Switch Authentication Konfigürasyonu (IBNS / IEEE 802.1x )

Yazar Özge Irmak

802.1x, IEEE tarafından çıkarılan bir endüstri standardıdır ve Switch’e bağlanırken Authentication işlemi yapılması için kullanılır. 802.1x çıkmadan önce, Cisco IBNS ( Identity Based Network Services) çıkarmıştı. Şu anda tüm dünyada 802.1x olarak kullanılmaktadır.

802.1x ‘e kadar çıkarılan authentication metotları, hep switch’lerin de katıldığı işlemlerle gerçekleştirilirdi. 802.1x ile birlikte bu işlem, switch’ten ayrılarak bilgisayar (supplicant ) ile authentication server arasında olacak şekilde değişmiştir. Bu durum hem güvenlik, hem de performans açısından çok büyük fayda sağlamaktadır. Authenticator görevinde olan switch, yalnızca aralarındaki paketleri iletmektedir. Bunun için de EAP adlı protokol kullanılmaktadır. EAP, içine farklı authentication modellerini barındırabilen bir protokol olacak şekilde tasarlanmıştır. Tek yaptığı Authenticator’un paketin Authentication bilgisi taşıdığını anlatarak paketin Authentication server’a gönderilmesini sağlamaktır. Özetle, EAP bir zarf gibidir. Zarfın içinde MD5, clear text authentication olabilir. Switch bu farklılıklara bakmadan, EAP “zarfı” gördüğünde authentication server’a iletir. Böylece Switch, aradan çıkmış olur. MD5 encryption kullanarak authentication yapmak istediğinizde switch’in MD5 desteklemesi gerekmez. Ayrıca bu authentication işlemiyle CPU harcaması da yaşanmamış olur.

EAP, bize authentication metodu değiştirme olanağını sağlar. Örneğin ileride farklı bir encryption metodu bulunduğunda bunu destekleyen switchler almanız gerekmez. Çünkü switch’in baktığı ve anladığı tek şey EAP’tir ve switch, zarfın içindeki metoda bakmaz.

Server, supplicant’ın yolladığı username/password bilgilerine bakarak switch’e izin ver ya da verme şeklinde cevap döner. Böylece switch, bu kararını server’dan gelen karar göre uygular. Eğer authentication başarılıysa switch bu porttan veri trafiğine devam ederken, eğer authentication başarısız olduysa bu portu kapatır.

Burada switch’i bu tip authentication’ı destekleyecek hale getirmemiz gerekmektedir. Konfigürasyonu aşağıda görebilirsiniz.

Öncelikle aaa özelliğini açmamız gerekiyor. Hemen ardından 802.1x için authentication’ı kullanılabilir hale getiriyoruz.

Burada, authentication’ın radius server’dan yapılmasını sağladık. Radius server’ın kurulu olduğunu düşünüyoruz. Son olarak da bu özelliğin kullanılmasını istediğimiz portların altına aşağıdaki komutu giriyoruz.

Burada auto seçersek, authorization isteyecek, eğer doğru username ve password girilirse izin verilecek değilse verilmeyecektir. Ancak switchin portlarından birine wireless acces point ya da server gibi kimlik doğrulama yapamayacak cihazlar varsa bu portlara force-authorized seçeneğini uygularız. Böylece kimlik doğrulama gerçekleşmese bile port, authorized durumda kalır. Forced-unauthorized seçeneği ise kimlik doğrulama gerçekleşse de port’u her zaman unauthorized tutar. Genellikle auto kullanılır.

Bu işlemleri tamamladığınızda switch’inize bağlanmak isteyen kullanıcıların kullanıcı adı ve şifre girerek kimlik doğrulamaları gerekecektir. Server’ınızın database’inde olmayan kullanıcılar switch’inizin portuna bağlansalar da kimlik doğrulamayı geçemedikleri için network’ünüze bağlanamayacaklardır.

Görüntüleme sayısı: 2100

Yorumlar (2)

	1. 26-09-2008 14:48
	Windows login username password ekranından girilen bilgileri mi auth sunucusuna gönderiyor? Active Directory ile entegrasyonu var mı? Thin Client'lerda nasıl bir auth ekranı geliyor? Kayıtlı

Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır

	2. 11-11-2008 12:38
	Client yazilimi kullaniyorsan ( Intelingki gibi mesela ) bu program icersine girilecek user/pass gonderilir. Eger Windows'un wireless managerini kullaniyorsan domain user passi kullanabilirsin. Radius server a database olarak elbette AD yi tanitabilirsin. Kayıtlı