1. Genel Bakış
Tacacs+, anahatlarıyla kimlik doğrulama, yetkilendirme, hesap yönetimi gibi AAA servislerini kullanan bir güvenlik protokolüdür. Ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap yönetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.
Bu örnekte, üzerinde IOS 9.x. çalışan Cisco ASA güvenlik duvarında güvenlik için Tacacs Plus protokollerinin nasıl yapılandırılacağı gösterilecektir.
2. Başlarken
a. Ağ altyapınızda halihazırda Tacacs+ sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.
1.RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması
b. Cisco ASA güvenlik duvarınızda SSH servisinin yapılandırıldığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.
3. Yedekleme Kullanıcısı Hesabını Etkinleştirin
Cisco ASA güvenlik duvarınıza konsol girişi için yerel kullanıcı hesabını kullanmanız önerilir. Sadece SSH için Tacacs+ yapılandırın.
# aaa authentication serial console LOCAL
Cisco ASA güvenlik duvarınızda Tacacs+ protokollerini uygulamaya başlamadan önce, bir “privilege level” oluşturmanız ve bu seviyeye sahip “enable_15” adında varsayılan kullanıcı hesabı etkinleştirmeniz gereklidir. Bu iki işlemi yapmadan, Tacacs Plus yetkilendirme yapmaya çalışırsanız büyük ihtimal sorun yaşarsınız. Başka herhangi bir komut çalıştıramayacaksınız Cisco ASA güvenlik duvarınızı yeniden başlatarak parolayı sıfırlayın.
# privilege show level 5 mode configure command filter # username enable_15 password 3333 privilege 15
4. Tacacs+ Sunucu Yapılandırması
Üzerinde IOS 9.x çalışan Cisco ASA güvenlik duvarına aşağıdaki komutları girerek Tacacs+ sunucusunu yapılandıralım.
# aaa-server TS-AAA protocol tacacs+ reactivation-mode timed max-failed-attempts 2 # aaa-server TS-AAA (inside) host 192.168.171.13 key TS@123
5. Kimlik Doğrulama Yapılandırması
Şimdi Cisco ASA güvenlik duvarına Tacacs+ sunucusu ile kullanıcı kimlik doğrulamasını yapmasını söyleyelim. Tacacs+ sunucusuna erişilememesi durumunda yerel hesaplarla denetim yapılır.
# no aaa authentication ssh console LOCAL # aaa authentication ssh console VK-AAA LOCAL
6. Yetkilendirme Yapılandırması
Cisco ASA güvenlik duvarına yetkilendirme komutlarını girdiğimizde, giriş yapan kullanıcı Tacacs+ sunucusunda izinleri dahilinde komut çalıştırabilir. If-Authenticated seçeneği bu durumda büyük önem arz etmektedir, çünkü Cisco ASA güvenlik duvarının Tacacs+ sunucusuna ulaşamaması durumunda, konsoldan bile herhangi bir komut çalıştıramazsınız. If-Authenticated seçeneği uygulanmışsa, Tacacs+ sunucusuna ulaşılamadığında, Cisco ASA güvenlik duvarı ile çalışmaya devam edebiliriz.
# aaa authorization exec authentication-server auto-enable # aaa authorization command TS-AAA LOCAL
7. Hesap Denetimi Yapılandırması
Hesap denetimini bir router, switch veya güvenlik duvarı üzerinde aktif ettiğimizde, kullanıcı tarafından çalıştırılan tüm komutları Tacacs+ sunucusu günlük kaydına kaydetmeye başlayacaktır. Yani, artık ağ cihazlarımızda kimin ne yaptığını bilebiliriz.
# aaa accounting ssh console TS-AAA # aaa accounting command TS-AAA
8. Test Edin
Tacacs+ yapılandırmanızda 3 konuyu test etmeniz büyük önem taşımaktadır:
- Cisco ASA güvenlik duvarınızın Tacacs+ sunucusundaki ayrıcalıklı izinlerin olduğu hesapla giriş yapın.
- Cisco ASA güvenlik duvarınızın Tacacs+ sunucusundaki kısıtlı izinlerin olduğu hesapla giriş yapın ve bu hesabın yalnızca o kullanıcıya izin verilen komutları çalıştırabildiğine emin olun.
- Cisco ASA güvenlik duvarınızın Tacacs+ sunucusuyla olan bağlantısını koparın ve SSH veya console bağlantısıyla yerel kullanıcı veritabanını kullandığından emin olun. Tacacs+ sunucusuna erişilememesi durumunda cihazlarımızı yönetebilmemiz için bu son derece önemlidir.
9. Sonuç
Artık Cisco ASA güvenlik duvarı üzerinde Tacacs+ yapılandırmasını yapabilecek bilgiye sahipsiniz. Tacacs+, ağlara merkezi erişim sağlamak için kullanılan, tek güvenlik protokolüdür. Örneğimiz umarım bilgilendirici olmuştur. Soru veya öneriniz olursa, yorumlarınızı aşağıda yazabilirsiniz.