Kablolu Bağlantılarda 802.1x Doğrulama Konfigürasyonu

Merhaba arkadaşlar

Bir önceki yazımda sizlere 802.1x ile ilgili tanımlarını EAP paket tiplerini ve topolojinin basit halini anlatmıştım. Şimdi ise sizlere yaptığım konfigürasyonu anlatacağım. Öncelikle 802.1x mantığı ile ilgili olarak daha önce anlatmış olduğum 802.1x ile ilgili yazıyı okumanızı tavsiye ediyorum.

Öncelikle switchi Okumaya devam et “Kablolu Bağlantılarda 802.1x Doğrulama Konfigürasyonu”

DMVPN (1): mGRE ve NHRP

Merhaba

Bu zamana kadarki yazılarımda hep iki uçlu VPN topolojilerini ele aldım. Artık çok uçlu VPN topolojilerine geçiş yapıyoruz. Bu yazımda  DMVPN (Dynamic Multipoint VPN)’den bahsedeceğim. Adından da anlaşılacağı üzere DMVPN bir çok uçlu VPN modeli. Hemen belirteyim DMVPN geniş bir konu. O yüzden DMVPN için bir kaç yazı yazmayı düşünüyorum. Bu ilk yazıda DMVPN’in çalışma mantığını anlatıp çok basit bir topoloji örneği vereceğim.
Okumaya devam et “DMVPN (1): mGRE ve NHRP”

Tacacs+ Sunucusunun İşlevi, Kurulumu ve Konfigürasyonu

Merhabalar herkese,

Oldukça uzun bir yazıyla karşınızdayım. Aslında 2-3 parçada eklenebilecek bir yazı ancak dökümanın tek bir yerde toplanması açısından bölmedim ve komple her şeyi burada anlattım 🙂 Buyrun efendim.

Tacacs (Terminal Access Controller Access Control System), radius benzeri bir kimlik doğrulama ve yetkilendirme sunucusudur. Cisco systems tarafından geliştirilip bugünkü haline getirilmiştir. Radius’tan farklı olarak yetkilendirme ve kimlik doğrulama işlemi fonksiyonlarını birbirinden ayırmıştır. AAA protokolü ile birlikte çalışır. Tacacs TCP 49. Portu kullanır. Tacacs yardımıyla bir kullanıcı adı ve şifre oluşturulup cihazlara uzaktan bağlantı bu kullanıcı adı ve şifrelerle sağlanabilir. Aynı zamanda yetkilendirme ile her kullanıcıya ayrı yetkiler verilebilir. Kullanıcı adı ve şifreyi kendi  databasei içerisinde tutar. Sizlere CentOS makinaya adım adım tacacs nasıl kurulur ve yapılandırılır anlatacağım.

Kurulum ve yapılandırma kısmını birbirinden ayıracağım öncelikli olarak. Kurulum aşamasında yapılması gerekenleri sizlere göstereceğim. Ardından da yapılandırma işi de iki k Okumaya devam et “Tacacs+ Sunucusunun İşlevi, Kurulumu ve Konfigürasyonu”

Dynamic Access Control Lists (Dinamik ACL'ler)

Merhabalar. Öncelile agciyiz.net için yazdığım ilk yazımı okumakta olduğunuz için teşekkür ederim. Acemiliğimizden ve heyecanımızdan sürç-i lisan eylediysek şimdiden affoluna 🙂 Bu yazımda sizlere artık pek de kullanımda olmayan dinamik ACL’lerden bahsedeceğim. Topolojim içerisinde router ve host olarak GNS3 üzerinde c3725-advsecurityk9-mz.124-15.T12 imajını emüle ettiğimi belirtmek isterim. Kurduğum topoloji de şu şekilde;

Dinamik ACL’ler yalnızca IP trafiği üzerine etki Okumaya devam et “Dynamic Access Control Lists (Dinamik ACL'ler)”

Çakışan IP blokları arasında IPSEC VPN

Merhaba

IPSEC VPN’in uzak noktalardaki iki site arasında güvenli bağlantı sağlayan bir teknoloji olduğunu biliyoruz. IPSEC VPN bir kurumun uzak noktalardaki şubeleri arasında güvenli bağlantı sağlamak amacıyla kullanılabileceği gibi, iki farklı kurumun karşılıklı anlaşmasıyla bu kurumlar arasındaki belli bir trafiğin güvenliğinin sağlanması amacıyla da kullanılabilir. Bu “kurumlar arası” VPN türünde “kurum içi” VPN’de karşılaşılması pek olası olmayan bir durum ortaya çıkabilir: İki kurumun da aynı private IP aralığını kullanıyor olması.
Okumaya devam et “Çakışan IP blokları arasında IPSEC VPN”

Kablolu Bağlantılar İçin 802.1x Doğrulama -1

Merhabalar.

Port tabanlı ağ erişim denetimi, noktadan–noktaya bağlantı özelliklerine sahip bir yerel ağ portuna takılan cihazların kimlik doğrulaması ve yetkilendirme için ve bu sayede kimlik doğrulaması ve yetkilendirmesi başarısız olması durumunda o portu erişimden koruyarak IEEE 802 yerel ağ altyapılarının fiziksel erişim özelliklerinin kullanımına olanak sağlar. Bu bağlamda bir port, yerel ağ altyapısına ekli tekil bir no Okumaya devam et “Kablolu Bağlantılar İçin 802.1x Doğrulama -1”

Cisco IOS'ta Easy VPN

Merhaba

Bildiğiniz gibi bir Cisco router’ı VPN geçidi olarak tanımlayıp, uzak istemcileri bu router ile IPSEC bağlantısı kurmaları suretiyle iç ağa güvenli bir şekilde dahil etmek mümkündür. Genel adı remote-access olan bu yapı Cisco terminolojisinde Easy VPN olarak geçiyor.

Easy VPN kavramı sadece üzerinde bir VPN yazılımı olan son kullanıcı cihazlarını kapsamamaktadır. Uzak noktalardaki router’lar da bir IPSEC VPN istemcisi olarak yapılandırılabilir. Yani IPSEC VPN gateway olarak yapılandırılan bir router’a son kullanıcıların yanı sıra başka ağ cihazları da bağlanabilir. Bu yazıda ben daha çok istemci router yapılandırmasını ve farklı istemci yapılandırmalarındaki özellikleri inceleyeceğim.
Okumaya devam et “Cisco IOS'ta Easy VPN”

IOS router'larda PKI konfigürasyonu

Merhaba

Bu zamana kadarki yazılarımda ISAKMP’de kimlik denetimini hep önceden paylaştırılmış gizli anahtar ile (Pre-shared Secret Key ve Pre-Shared Key, kısaca PSK) yaptık. ISAKMP kimlik denetimi için PSK sıklıkla kullanılır çünkü çok basit bir yöntemdir. PSK’nın yeterince ölçeklenebilir olmadığı durumlarda ise kimlik denetimi sertifikalarla yapılabilir. Asimetrik şifreleme ve hash algoritmalarıyla çalışan bu mekanizmaya PKI (Public Key Infrastructure) adı verilir.
Okumaya devam et “IOS router'larda PKI konfigürasyonu”

VPN High Availability

Merhaba

Son yazımı 2013’te görüşürüz diye bitirip Mart ayına kadar beklediğimi fark edince uzun bir yazı yazmaya kadar verdim 🙂 Bu yazımı şimdiye kadar basitlik adına hiç değinmediğim bir konuya, VPN bağlantılarında yedekliliğe ayıracağım ve çeşitli yedeklilik konfigürasyonlarını inceleyeceğiz.

Öncelikle link yedekliliğini inceleyelim. VPN tünelini sonlandırdığımız router’lar birbirlerine farklı interface’lerinden ulaşabiliyorlarsa her interface için bir tünel oluşturulması ölçeklenebilir olmayacaktır. Bunun yerine her iki router’da da birer loopback oluşturup tünelleri bu interface’lerde sonlandırabiliriz. Aşağıdaki topolojiyi inceleyelim:

 

 

Okumaya devam et “VPN High Availability”

DVTI (Dynamic Virtual Tunnel Interface)

Önceki yazımda SVTI’dan bahsetmiştim. Kısaca hatırlatmak gerekirse: Crypto map yerine VTI kullandığımızda elimizde hemen hemen tüm interface komutlarını uygulayabileceğimiz bir tunnel interface oluyordu. Bu sayede sadece VPN’e özgü security ve QoS konfigürasyonları yapabiliyorduk. (Ayrıca bu tünellerin multicast desteği de oluyordu). İşte remote access VPN’i dinamik crypto map değil de dinamik VTI kullanarak yapılandırırsak bu bahsettiğimiz yetenekleri remote access bağlantılarda da kullanabiliriz.
Okumaya devam et “DVTI (Dynamic Virtual Tunnel Interface)”