Home
ASA
Cisco ASA 9.x Üzerinde Tacacs+ Yapılandırması
ASA, cisco, fix, güvenlik, IOS, network

Cisco ASA 9.x Üzerinde Tacacs+ Yapılandırması

Yorum yapılmamış

1. Genel Bakış

 

Tacacs+, anahatlarıyla kimlik doğrulama, yetkilendirme, hesap yönetimi gibi AAA servislerini kullanan bir güvenlik protokolüdür. Ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap yönetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.

Bu örnekte, üzerinde IOS 9.x. çalışan Cisco ASA güvenlik duvarında güvenlik için Tacacs Plus protokollerinin nasıl yapılandırılacağı gösterilecektir.

 

2. Başlarken

 

a. Ağ altyapınızda halihazırda Tacacs+ sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

1.RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması

b. Cisco ASA güvenlik duvarınızda SSH servisinin yapılandırıldığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

Cisco Switch ve Router Üzerinde SSH Yapılandırması

 

3. Yedekleme Kullanıcısı Hesabını Etkinleştirin

 

Cisco ASA güvenlik duvarınıza konsol girişi için yerel kullanıcı hesabını kullanmanız önerilir. Sadece SSH için Tacacs+ yapılandırın.

 

# aaa authentication serial console LOCAL

 

Cisco ASA güvenlik duvarınızda Tacacs+ protokollerini uygulamaya başlamadan önce, bir “privilege level” oluşturmanız ve bu seviyeye sahip “enable_15” adında varsayılan kullanıcı hesabı etkinleştirmeniz gereklidir. Bu iki işlemi yapmadan, Tacacs Plus yetkilendirme yapmaya çalışırsanız büyük ihtimal sorun yaşarsınız. Başka herhangi bir komut çalıştıramayacaksınız Cisco ASA güvenlik duvarınızı yeniden başlatarak parolayı sıfırlayın.

 

# privilege show level 5 mode configure command filter
# username enable_15 password 3333 privilege 15

 

 

4. Tacacs+ Sunucu Yapılandırması

 

Üzerinde IOS 9.x çalışan Cisco ASA güvenlik duvarına aşağıdaki komutları girerek Tacacs+ sunucusunu yapılandıralım.

 

# aaa-server TS-AAA protocol tacacs+
reactivation-mode timed
max-failed-attempts 2
# aaa-server TS-AAA (inside) host 192.168.171.13
key TS@123

5. Kimlik Doğrulama Yapılandırması

 

Şimdi Cisco ASA güvenlik duvarına Tacacs+ sunucusu ile kullanıcı kimlik doğrulamasını yapmasını söyleyelim. Tacacs+ sunucusuna erişilememesi durumunda yerel hesaplarla denetim yapılır.

 

# no aaa authentication ssh console LOCAL
# aaa authentication ssh console VK-AAA LOCAL

6. Yetkilendirme Yapılandırması

 

Cisco ASA güvenlik duvarına yetkilendirme komutlarını girdiğimizde, giriş yapan kullanıcı Tacacs+ sunucusunda izinleri dahilinde komut çalıştırabilir. If-Authenticated seçeneği bu durumda büyük önem arz etmektedir, çünkü Cisco ASA güvenlik duvarının Tacacs+ sunucusuna ulaşamaması durumunda, konsoldan bile herhangi bir komut çalıştıramazsınız. If-Authenticated seçeneği uygulanmışsa, Tacacs+ sunucusuna ulaşılamadığında, Cisco ASA güvenlik duvarı ile çalışmaya devam edebiliriz.

 

# aaa authorization exec authentication-server auto-enable
# aaa authorization command TS-AAA LOCAL

7. Hesap Denetimi Yapılandırması

 

Hesap denetimini bir router, switch veya güvenlik duvarı üzerinde aktif ettiğimizde, kullanıcı tarafından çalıştırılan tüm komutları Tacacs+ sunucusu günlük kaydına kaydetmeye başlayacaktır. Yani, artık ağ cihazlarımızda kimin ne yaptığını bilebiliriz.

 

# aaa accounting ssh console TS-AAA
# aaa accounting command TS-AAA

8. Test Edin

 

Tacacs+ yapılandırmanızda 3 konuyu test etmeniz büyük önem taşımaktadır:

  1. Cisco ASA güvenlik duvarınızın Tacacs+ sunucusundaki ayrıcalıklı izinlerin olduğu hesapla giriş yapın.
  2. Cisco ASA güvenlik duvarınızın Tacacs+ sunucusundaki kısıtlı izinlerin olduğu hesapla giriş yapın ve bu hesabın yalnızca o kullanıcıya izin verilen komutları çalıştırabildiğine emin olun.
  3. Cisco ASA güvenlik duvarınızın Tacacs+ sunucusuyla olan bağlantısını koparın ve SSH veya console bağlantısıyla yerel kullanıcı veritabanını kullandığından emin olun. Tacacs+ sunucusuna erişilememesi durumunda  cihazlarımızı yönetebilmemiz için bu son derece önemlidir.

9. Sonuç

 

Artık Cisco ASA güvenlik duvarı üzerinde Tacacs+ yapılandırmasını yapabilecek bilgiye sahipsiniz. Tacacs+, ağlara merkezi erişim sağlamak için kullanılan, tek güvenlik protokolüdür. Örneğimiz umarım bilgilendirici olmuştur. Soru veya öneriniz olursa, yorumlarınızı aşağıda yazabilirsiniz.

 

Google+0LinkedIn0Pin0Total0StumbleUpon0Print0
Etiketler:, ,

İlginizi Çekebilecek Diğer İçerikler

Yazar Hakkında

tanergunal

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: