Port Based Web Authentication

802.1x authentication’un un olmadığı sistemlerde port bazlı kimlik doğrulama yöntemi ile güvenliği sağlamak için “web authentication” kullanılabilmektedir. Bu IOS bazlı firewall’ı etkin olarak kullanabilmek için yerel bir kullanıcı veritabanı yaratılabileceği gibi harici bir RADIUS veya TACAS+ sunucusu da kullanılabilmektedir. Aşağıdaki uygulamada Cisco Secure ACS üzerine çalışan bir RADIUS sunucusu kullanmıştır.

Adım 1: aaa new-model
Switch’in 802.1x kimlik doğrulamayı sağlaması için AAA’ nın enable edilmesi gerekmektedir. AAA global configuration modunda “aaa new-model” komutu ile enable edilebilir.
Not: “aaa new model” komutunu girdikten sonra yapılması gerek tüm güvenlik yapılandırmaları tamamen bitirilmelidir. Yoksa bir sonraki sefer cihaza console yapılamayabilir.

Adım 2: aaa authentication dot1x default
Bu komut ile 802.1x authentication methodu belirtilir. Buradaki “default” parametresi authenticationun varsayılan parametrelerle gerçekleştiğini belirtir.

Adım 3: dot1x system-auth-control
Komutu ile 802.1x authentication enable edilir.

Adım 4: radius server host ip auth-port 1645 acct-port 1646
Kimlik kontrolü yapılacak external server ‘ın ip adresi ve bu server üzerinde belirlenecek authentication ve accounting portları belirlenir.
Not: Authentication portu defaultta 1645, accounting portu ise 1646’dır.

Adım 5: radius-server key key1
Cisco Acs üzerinde belirlenecek AAA bölümünün switch ile doğrulamasını sağlayacak “key” belirlenir.

Adım 6: interface fastEthernet 0/1
switchport mode access
dot1x port-control auto
Port Based Authentication uygulanacak port belirlenerek, interface access moda alınır ve daha sonra “dot1x port-control auto” komutu ile 802.1x authenticationu ilgili interfacenin altında etkinleştirilir.

Adım 7: radius-server attribute 8 include-in-access-req
Komutuyla kimlik doğrulama sunucusuna ulaşacak verinin türü attribute değerleri yazılarak belirlenir. Buradaki “attribute 8” değeri frame’in ip katmanında ulaşacağını belirtmektedir.

Adım 8: radius-server vsa send authentication
Belirlenen attribute değerini doğrulamak için radius server ile gerekli authenticationu sağlayan komuttur.

Adım 9: ip device tracking
Radius server’a ulaşan ip takibini sağlayan komuttur.

Adım 10: ip admission name kural1 proxy http
Uygulanacak web authentication kuralları belirlenir.

Adım 11: interface fastEthernet 0/1
ip access-group policy1 in
ip admission kural1
İlgili interfacenin altına girerek yaratılan policy gereken yönde uygulanır.

Adım 12: fallback profile fallback1
ip access-group default-policy in
ip admission kural1
İstemcinin web authentication ile doğrulanması için gerekli olan profil tanımlanır. Bu profil içine istenen kurallar ve policyler atanır.

Adım 13: authentication fallback fallback1
İstemci bilgisayarı 802.1x authentication’unu desteklemedi takdirde web authentication yapılıp kimlik doğrulamanın gerçekleştirileceğini belirtir.

SAFA KISIKÇILAR

TANER KOÇ

“Port Based Web Authentication” için bir cevap

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir