Cisco ASA 9.x Üzerinde Tacacs+ Yapılandırması

Cisco ASA 9.x Üzerinde Tacacs+ Yapılandırması

 

1. Genel Bakış

 

Tacacs+, anahatlarıyla kimlik doğrulama, yetkilendirme, hesap yönetimi gibi AAA servislerini kullanan bir güvenlik protokolüdür. Ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap yönetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.

Bu örnekte, üzerinde IOS 9.x. çalışan Cisco ASA güvenlik duvarında güvenlik için Tacacs Plus protokollerinin nasıl yapılandırılacağı gösterilecektir.

 

2. Başlarken

 

a. Ağ altyapınızda halihazırda Tacacs+ sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

1.RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması

b. Cisco ASA güvenlik duvarınızda SSH servisinin yapılandırıldığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

Cisco Switch ve Router Üzerinde SSH Yapılandırması

 

3. Yedekleme Kullanıcısı hesabını etkinleştirin

 

Cisco ASA güvenlik duvarınıza konsol girişi için yerel kullanıcı hesabını kullanmanız önerilir. Sadece SSH için Tacacs+ yapılandırın.

 

 

Cisco ASA güvenlik duvarınızda Tacacs+ protokollerini uygulamaya başlamadan önce, bir “privilege level” oluşturmanız ve bu seviyeye sahip “enable_15” adında varsayılan kullanıcı hesabı etkinleştirmeniz gereklidir. Bu iki işlemi yapmadan, Tacacs Plus yetkilendirme yapmaya çalışırsanız büyük ihtimal sorun yaşarsınız. Başka herhangi bir komut çalıştıramayacaksınız Cisco ASA güvenlik duvarınızı yeniden başlatarak parolayı sıfırlayın.

 

 

 

4. Tacacs+ Sunucu Yapılandırması

 

Üzerinde IOS 9.x çalışan Cisco ASA güvenlik duvarına aşağıdaki komutları girerek Tacacs+ sunucusunu yapılandıralım.

 

5. Kimlik Doğrulama Yapılandırması

 

Şimdi Cisco ASA güvenlik duvarına Tacacs+ sunucusu ile kullanıcı kimlik doğrulamasını yapmasını söyleyelim. Tacacs+ sunucusuna erişilememesi durumunda yerel hesaplarla denetim yapılır.

 

6. Yetkilendirme Yapılandırması

 

Cisco ASA güvenlik duvarına yetkilendirme komutlarını girdiğimizde, giriş yapan kullanıcı Tacacs+ sunucusunda izinleri dahilinde komut çalıştırabilir. If-Authenticated seçeneği bu durumda büyük önem arz etmektedir, çünkü Cisco ASA güvenlik duvarının Tacacs+ sunucusuna ulaşamaması durumunda, konsoldan bile herhangi bir komut çalıştıramazsınız. If-Authenticated seçeneği uygulanmışsa, Tacacs+ sunucusuna ulaşılamadığında, Cisco ASA güvenlik duvarı ile çalışmaya devam edebiliriz.

 

7. Hesap Denetimi Yapılandırması

 

Hesap denetimini bir router, switch veya güvenlik duvarı üzerinde aktif ettiğimizde, kullanıcı tarafından çalıştırılan tüm komutları Tacacs+ sunucusu günlük kaydına kaydetmeye başlayacaktır. Yani, artık ağ cihazlarımızda kimin ne yaptığını bilebiliriz.

 

8. Test Edin

 

Tacacs+ yapılandırmanızda 3 konuyu test etmeniz büyük önem taşımaktadır:

  1. Cisco ASA güvenlik duvarınızın Tacacs+ sunucusundaki ayrıcalıklı izinlerin olduğu hesapla giriş yapın.
  2. Cisco ASA güvenlik duvarınızın Tacacs+ sunucusundaki kısıtlı izinlerin olduğu hesapla giriş yapın ve bu hesabın yalnızca o kullanıcıya izin verilen komutları çalıştırabildiğine emin olun.
  3. Cisco ASA güvenlik duvarınızın Tacacs+ sunucusuyla olan bağlantısını koparın ve SSH veya console bağlantısıyla yerel kullanıcı veritabanını kullandığından emin olun. Tacacs+ sunucusuna erişilememesi durumunda  cihazlarımızı yönetebilmemiz için bu son derece önemlidir.

9. Sonuç

 

Artık Cisco ASA güvenlik duvarı üzerinde Tacacs+ yapılandırmasını yapabilecek bilgiye sahipsiniz. Tacacs+, ağlara merkezi erişim sağlamak için kullanılan, tek güvenlik protokolüdür. Örneğimiz umarım bilgilendirici olmuştur. Soru veya öneriniz olursa, yorumlarınızı aşağıda yazabilirsiniz.

 

Cisco ASA 9.x Üzerinde Tacacs+ Yapılandırması
Etiketlendi:         

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.