Kablolu Bağlantılar İçin 802.1x Doğrulama -1

Merhabalar.

Port tabanlı ağ erişim denetimi, noktadan–noktaya bağlantı özelliklerine sahip bir yerel ağ portuna takılan cihazların kimlik doğrulaması ve yetkilendirme için ve bu sayede kimlik doğrulaması ve yetkilendirmesi başarısız olması durumunda o portu erişimden koruyarak IEEE 802 yerel ağ altyapılarının fiziksel erişim özelliklerinin kullanımına olanak sağlar. Bu bağlamda bir port, yerel ağ altyapısına ekli tekil bir noktadır.

802.1x uygulaması medyadan bağımsız olduğu için yukardaki gibi kablosuz bir şekilde yapıldığı gibi kablolu bir şekilde de uygulanabilir. Yukarıdaki şekilde de görüldüğü üzere 802.1x uygulaması için gerekli olan üç eleman vardır.

1) İstemci : Lokal networkumuze bağlanmak isteyen kişi

2) Doğrulayıcı : Lokal networkumuze bağlanmak isteyen kişinin bağlandığı cihazdır. Bu

cihaz RADIUS sunucusu ile senkron calışır ve kimlik denetiminin gecilmesi durumunda istemciyi networkumuze bağlar.

3) RADIUS : Bu sunucu hangi cihazların veya hangi kullanıcıların networke bağlanabileceğini belirler. RADIUS sunucusu ile AD ( Active Directory) sunucusu

entegre bir şekilde calıştırılarak kimlik denetimi daha efektif bir şekilde yapılabilir.

EAP (Extensible Authentication Protocol) doğrulama yapısıdır ve bu sayede 802.1x uygulamaları yapılır. EAP paketinin ilk 8 biti yani “Code” kısmında EAP paketinin cinsi belirtilir. Burada 1’den 6’ya kadar sırası ile Request, Response, Success, Failure, Initiate ve Finish’tir. İkinci 8 biti ise “Identifier” kısmıdır ve birden çok EAP paketinin doğrulayıcı cihazımıza gelmesi durumunda sorgulama (request) ve cevaplamanın (response) eşleştirilmesi içindir. gelebilir. Hangisine ne cevap vereceğini anlaması açısından “Identifier” kısmı önemlidir. EAP doğrulama yapısı kimlik doğrulaması yapılması için müzakere (negotiation) metodlarını içinde barındırır bunlara EAP-Method adı verilir. Yaklaşık 40 tane EAP metodu bulunmaktadır. Bunlardan en çok kullanılanları EAP-MD5, EAP-TTLS, EAP-TLS, LEAP’tir.

802.1x doğrulama mekanizması:

a) 802.1x mekanizmasında işlem switch bir portunda yeni bir istemci belirlediği zaman başlar. Ancak bu işlemden once switch de yapacağımız konfigurasyon ile 802.1x mekanizmasını aktif hale getirmemiz gerekiyor. Daha sonra konfigurasyonun nasıl yapıldığından bahsedeceğim. Bu işlem yapıldıktan sonra switch cihazımızın bağlandığı portu “unauthorized” duruma alır. Bu durum sadece 802.1x trafiğine izin verir. DHCP (Dynamic Host Control Protocol) ve HTTP (Hyper Text Transfer Protocol) gibi paketler drop edilir.

b) Kimlik doğrulamasının başlaması icin doğrulayacı periyodik bir şekilde EAP-Request paketleri gönderir. EAP 802.1x e özel bir paket ceşididir. İstemci EAP-Request paketini dinler ve EAP-Response paketini gonderir. Doğrulayıcı cihazımız aldığı bilgileri RADIUS Access-Request paketi olarak enkapsüle eder ve RADIUS sunucusuna gonderir.Ayrıca kullanıcımız EAPOL-Start frame’i göndererek bu işlemleri yeniden başlatabilir ve karşılığında yine EAP-Request paketi gelir.

c)RADIUS sunucumuz cevabını RADIUS Access-Challenge paketi şeklinde enkapsüle edilmiş olarak doğrulayıcı cihazımıza gönderir. Bu paketin içinde EAP-Request ve onun belirttiği EAP-Method bulunmaktadır. EAP-Method RADIUS sunucusunun istemciden uygulamasını istediği methodu belirtir. EAP-Request paketini doğrulayıcı cihazımız istemciye iletir. Bu durumdan sonra EAP-Method istemci tarafından kabul edilip işleme başlanılır ya da istemcimiz kullanmak istediği metodu belirtmek için bir NAK (Negative Acknowledgement) ile birlikte kullanmak istediği metodu sunucumuza döner.

d)RADIUS sunucusu ve istemci EAP-Method üzerinde anlaşırsa, sunucu RADIUS Access-Accept paketi şeklinde enkapsüle edilmiş olan EAP-Success paketini gönderir. Anlaşamazsa RADIUS Access-Reject paketine enkapsüle edilmiş EAP-Failure mesajını doğrulayıcı cihazımıza döner ve istemici ile sunucu metod üzerinde anlaşana kadar aralarında EAP-Request ve EAP-Response paketleri gidip gelmeye devam eder. Bu işlemlerin sonunda eğer doğrulama işlemi tamamlanırsa port “authorized” duruma geçer, tamamlanamazsa “unauthorized” durumda kalır. “Authorized” duruma geçen porttaki cihaz ağ erişimine kavuşmuş olur.

Bir sonraki yazıda görüşmek üzere!

Hüseyin Efe Evyapan

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir