Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802.1 ... - Ulakbim

ulakbim.gov.tr
  • No tags were found...

Yerleşke Ağlarında Açık Kaynak Kodlu Yazılımlar ile 802.1 ... - Ulakbim

Yerleşke Ağlarında AçıkKaynak Kodlu Yazılımlar ile802.1X UygulamalarıOrta Doğu Teknik ÜniversitesiKuzey Kıbrıs KampusuEmre Sezginer emre@metu.edu.trSeniha S. Öztemiz senihaoz@metu.edu.trUlakbim Gökova ÇalıştayıNisan 2007+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –1K u z e y K ı b r ı s K a m p u s u 1


IEEE 802.1XKullanıcı ağa erişmeden önce, kullanıcı bilgilerine dayalıdenetleme yaparak ağ oturumu başlatan sistemdir.PC/LaptopEAPOLAnahtarlamaCihazı / KablosuzErişim NoktasıEAP overRADIUSKimlik KanıtlamaSunucusuÖr: LDAPKullanıcıVeri TabanıİstemciKimlikKanıtlayıcıAğ+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –3K u z e y K ı b r ı s K a m p u s u 3


.1X/EAP Kimlik Doğrulama TürleriMD5– Radius’a hash gönderir.– Doğrulamak için sunucuda parola “açık metin” olmalıdır.– Kablosuz için güvenli değildir.TLS– Sunucu ve istemci sertifikaları kullanır.– Her istemciye özgün sertifika üretilerek dağıtılmalıdır.TTLS– Sadece sunucu sertifikası kullanılır.– Güvenli tünel ile kullanıcı kodu / parola doğrulaması yapar.PEAP/LEAP– TTLS’e benzer.– MS kullanıcı kodları için uygundur.+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –5K u z e y K ı b r ı s K a m p u s u 5


ODTÜ Kıbrıs .1X Seçim KriterleriGüvenlikAçık kaynak kod istemci/sunucu yazılımıİstemci sertifikasızLDAP merkezi kullanıcı veri tabanı desteği+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –6K u z e y K ı b r ı s K a m p u s u 6


İstemci.1X İstemci-İşletim Sistemi98/MEXP/2KUyumluluğuOSXLinuxPcktPCTLS PEAP TTLS LisansWinYerleşik CHAPv2 YerleşikOSXYerleşik YerleşikSecureW2 GPLOdyssey $$AEGIS $$wpa_supp GPLXsupplicant GPL+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –8K u z e y K ı b r ı s K a m p u s u 8


TTLS Yazılım/DonanımGereksinimleriSunucu donanımı ve güncel işletim sistemi kurulumu802.1X destekli ağ cihazı donanımı veyapılandırılmasıOpenSSL kurulumu ve Sunucu SertifikasınınÜretilmesiFreeRADIUS Kurulumu ve YapılandırılmasıOpenLDAP kurulumu ve LDAP sunucusununFreeRADIUS’a sorgu hakkı vermek üzereyapılandırılmasıİstemci yazılımı kurulması ve yapılandırılması(SecureW2/WPA_suplicant)+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –9K u z e y K ı b r ı s K a m p u s u 9


TTLS’in Zorluklarıİlave istemci yazılım gereksinimiDaha iyi belgeleme/destek gereksinimiSunucu kurulumu güçlükleri+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –10K u z e y K ı b r ı s K a m p u s u 10


Anahtarlama CihazınınYapılandırılmasıconfigure terminalAAA’yı (Authentication, authorization, and accounting) etkinleştir:aaa new-modelRadius sunucuları listesi kullanılarak, 802.1X Kimlik Kanıtlama Yöntemi listesi oluşturulur.aaa authentication dot1X default group radiusdot1x system-auth-controlRadius sunucu parametrelerini anahtarlama cihazına işlenir.radius-server host 172.16.1.1 auth-port 1812 acc-port 1813 timeout 3radius-server retransmit 3radius-server key Guven-liSifreendİstemcinin bağlanacağı arabirim (örnekte fastethernet0/1) aşağıdaki gibi yapılandırılmalıdır:interface fastethernet0/1dot1x port-control autoend+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –11K u z e y K ı b r ı s K a m p u s u 11


FreeRadius Yapılandırılmasıradiusd.conf:#LDAP modülü, kullanıcıların kimlik kontrolünün, LDAP sunucusu üzerinde kayıtlıkullanıcı adı/parola verisine göre yapılmasına olanak verir.ldap ldap_1x {# LDAP sunucusunun adıserver = “server.metu.edu.tr"base_filter = "(objectclass=radiusprofile)"filter = "(uid=%u)"basedn="ou=YOURou,dc=YOURdc,dc=YOURdc,dc=YOURdc"start_tls = yes#LDAP sunucusu ile-Radius Sunucusu arasında kurulacak iletişim için gerekliSertifika Otoritesinin yolutls_cacertfile = /etc/ldap/metuca.crttls_require_cert = "demand"authtype = ldap...}+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –12K u z e y K ı b r ı s K a m p u s u 12


FreeRadius Yapılandırılmasıradiusd.conf-Devam:# Yetkilendirme modülü(Devam)authorize {# Bu modül EAP-MD5, EAP-TLS, ve EAP-LEAP yöntemleriningerçekleştirilebilmesini sağlar. Ayrıca kimlik kanıtlama için hangieap modülünün kullanılacağını belirler.eap#Users dosyasını oku. Giriş hakkı engellenenlere, ağa bağlanma izniverme!files…}+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –13K u z e y K ı b r ı s K a m p u s u 13


FreeRadius Yapılandırılmasıradiusd.conf-Devam:(Devam)#Bu modülde, kullanılabilecek yetkilendirme yöntemleri listelenir.authenticate {…Auth-Type PAP {pap}Auth-Type LDAP {ldap_1x}eap…}+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –14K u z e y K ı b r ı s K a m p u s u 14


FreeRadius Yapılandırılması(Devam)eap.conf:eap {default_eap_type = ttls...tls {private_key_password = sertifikanın passphrase’iprivate_key_file = ${raddbdir}/certs/server_keycert.pemcertificate_file = ${raddbdir}/certs/server_keycert.pemCA_file = ${raddbdir}/certs/cacert.pemdh_file = ${raddbdir}/certs/dhrandom_file = ${raddbdir}/certs/random...}ttls {...}...}+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –15K u z e y K ı b r ı s K a m p u s u 15


FreeRadius Yapılandırılması(Devam)clients.conf:#Format client [ip-address | hostname] şeklindedir.client 88.247.216.153 {# Kimlik kanıtlayıcı ile kimlik kanıtlama sunucusu arasında paylaşılananahtar bilgidir.secret = GizliSifre#shortname: kayıtlama için kullanılır.shortname = yucelen1}client 88.247.216.154{secret = GizliSifre2#nastype: zorunlu bir alan değildir.nastype= ciscoshortname = yucelen2}+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –16K u z e y K ı b r ı s K a m p u s u 16


FreeRadius Yapılandırılması(Devam)users:# Ağa erişimi yasaklanan kullanıcılar ile ilgili tanımı“dahil eder.”$INCLUDE /etc/std-net/radius.inc#Örnek radius.inc dosyasının içeriği şöyle olabilir:#Format : “Kullanıcı adı” Auth-Type :=Reject“std43400" Auth-Type := Reject“std48649" Auth-Type := Reject...DEFAULT Auth-Type=LDAP...+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –17K u z e y K ı b r ı s K a m p u s u 17


Ağ Yönetim ArayüzüAna Sayfa Kayıt Değiştirme Kayıt Ekleme Kayıt Silme/İptalYURT ODASI KAYITLARIIP Adresi Donanım Adresi İsim Soyad Ogrenci No Oda No Durum192.168.11.51 00:16:d4:34:51:f1 Suat Unlu std6543982 3316-1 KAPALI192.168.11.74 00:06:1b:c1:b8:ee Ali Erman std648761 3315-2 KAPALI192.168.11.81 00:16:d4:3e:cb:de Hasan Cutuk std645573 3402-2 KAPALI192.168.11.90 00:02:3f:25:0c:d6 Firat Dagdeviren std6485986 3220-2 KAPALI192.168.11.116 00:15:c5:18:47:12 Ayse Burat std645375 3403-2 ONAYLI192.168.11.163 00:17:f2:f0:f1:64 Fuat MEHERREMLI std647449 3307-1 ONAYLI192.168.11.182 00:0f:b0:9c:88:1d Funda ARIK std643281 3414-2 ONAYLI192.168.11.200 00:a0:d1:5f:03:b9 Veli CALISIR std654435 3314-3 ONAYLI+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –18K u z e y K ı b r ı s K a m p u s u 18


Ağ Yönetim ArayüzüVT ARP DHCP DNS Forward DNS Reverse GuncellemeYURT ODASI KAYITLARI YÖNETİMİIP Adresi Donanım Adresi İsim Soyad Ogrenci No Oda No Durum192.168.11.51 00:16:d4:34:51:f1 Suat Unlu std6543982 3316-1 KAPALI192.168.11.74 00:06:1b:c1:b8:ee Ali Erman std648761 3315-2 KAPALI192.168.11.81 00:16:d4:3e:cb:de Hasan Cutuk std645573 3402-2 KAPALI192.168.11.90 00:02:3f:25:0c:d6 Firat Dagdeviren std6485986 3220-2 KAPALI192.168.11.116 00:15:c5:18:47:12 Ayse Burat std645375 3403-2 ONAYLI192.168.11.163 00:17:f2:f0:f1:64 Fuat MEHERREMLI std647449 3307-1 ONAYLI192.168.11.182 00:0f:b0:9c:88:1d Funda ARIK std643281 3414-2 ONAYLI192.168.11.200 00:a0:d1:5f:03:b9 Veli CALISIR std654435 3314-3 ONAYLI+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –19K u z e y K ı b r ı s K a m p u s u 19


Ağ Yönetim ArayüzüVT ARP DHCP DNS Forward DNS Reverse GuncellemeINSERT INTO tablo1 VALUES ('192.168.11.11','00-12-79-c3-71-b8','Ali','Orhan','1432749','3308-1','ONAYLI',' ');INSERT INTO tablo1 VALUES ('192.168.11.12','00-0f-b0-5a-8cc7','Ceylan','Yok','1474485','3120/3','ONAYLI','');INSERT INTO tablo1 VALUES ('192.168.11.13','00-c0-9f-d0-fad0','Kamil','Akyol','1487537','3215/3','ONAYLI','');INSERT INTO tablo1 VALUES ('192.168.11.14','00-08-0d-7f-16-c5','Mete','tosunlu','1380013','3109/3','ONAYLI',' ');INSERT INTO tablo1 VALUES ('192.168.11.15','00-c0-9f-e8-ec-06','Recep','Arsoy','1488238','3318/1','ONAYLI',' ');INSERT INTO tablo1 VALUES ('192.168.11.16','00-0f-b0-e1-4a-7c','Ismail','Oklar','1542067','3214/1','ONAYLI',' ');INSERT INTO tablo1 VALUES ('192.168.11.17','00-c0-9f-a7-24-94','Hakki','ilhan','1486224','3303/3','ONAYLI',' ');INSERT INTO tablo1 VALUES ('192.168.11.18','00-18-f3-27-48-c6','ATALAY','Turk','e154326','3217-2','ONAYLI',' ');INSERT INTO tablo1 VALUES ('192.168.11.19','00-c0-9f-c4-9d-90','Ahmet','Ezer','1433770','3115-3','ONAYLI',' ');+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –20K u z e y K ı b r ı s K a m p u s u 20


Ağ Yönetim ArayüzüVT ARP DHCP DNS Forward DNS Reverse Guncellemearp 192.168.11.7 0006.1cc4.2a3e arpaarp 192.168.11.8 000a.a43a.beb9 arpaarp 192.168.11.11 0011.79c3.71b8 arpaarp 192.168.11.12 000f.b25a.8cc7 arpaarp 192.168.11.13 00c0.96d0.fad0 arpaarp 192.168.11.14 0008.0a7f.16c5 arpaarp 192.168.11.15 00c0.cfe8.ec06 arpaarp 192.168.11.16 000f.b6e1.4a7c arpaarp 192.168.11.17 00c0.99a7.2494 arpaarp 192.168.11.18 0018.f3a7.48c6 arpaarp 192.168.11.19 00c0.9f94.9d90 arpaarp 192.168.11.20 0008.0d14.0050 arpaarp 192.168.11.21 000c.7688.9725 arpa+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –21K u z e y K ı b r ı s K a m p u s u 21


Ağ Yönetim ArayüzüVT ARP DHCP DNS Forward DNS Reverse Guncellemehost std642067 {hardware ethernet 00:0f:b0:e1:4a:7c; fixed-address 192.168.11.16;} # AyseOklar - 3214/1host std686224 {hardware ethernet 00:c0:9f:a7:24:94; fixed-address 192.168.11.17;} # Ali Can ilhan - 3303/3host std64326 {hardware ethernet 00:18:f3:27:48:c6; fixed-address 192.168.11.18;} # Mehmet GOCMEN - 3217-2host std633770 {hardware ethernet 00:c0:9f:c4:9d:90; fixed-address 192.168.11.19;} # Evrim Ezer - 3115-3host std644550 {hardware ethernet 00:08:0d:a4:00:50; fixed-address 192.168.11.20;} # Aysen Berksoy - 3202/3host std633283 {hardware ethernet 00:0c:76:f8:97:25; fixed-address 192.168.11.21;} # Bedriye Kunt - 3320/2host std632715 {hardware ethernet 00:03:0d:20:23:7f; fixed-address 192.168.11.22;} # Hasan Karasay - 3320/1+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –22K u z e y K ı b r ı s K a m p u s u 22


Ağ Yönetim ArayüzüVT ARP DHCP DNS Forward DNS Reverse Guncellemestd62830 IN A 192.168.11.71 ; Mehmet KARHANI - 3218-1std63925 IN A 192.168.11.72 ; Sakir Ozcan - 3312-1std68614 IN A 192.168.11.73 ; Ayca Ture - 3113-1std634067 IN A 192.168.11.75 ; Turan Goker - 3305-2std633051 IN A 192.168.11.76 ; Tijen Tosun - 3405-1std68676 IN A 192.168.11.77 ; Berayet SOLMAZ - 3305-1std64568 IN A 192.168.11.78 ; Tarkan Dalaman - 33std6-1std686448 IN A 192.168.11.79 ; Atilla Pilevneli - 3119-2std62661 IN A 192.168.11.80 ; Serpil Ilerici - 3407-1std64105 IN A 192.168.11.82 ; Gulcin Doganci - 3215-1std687545 IN A 192.168.11.83 ; Sinem Alav - 3301-2+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –23K u z e y K ı b r ı s K a m p u s u 23


Ağ Yönetim ArayüzüVT ARP DHCP DNS Forward DNS Reverse Guncelleme71 IN A std6983 ; Mehmet KARHANI - 3218-172 IN A std6129 ; Sakir Ozcan - 3312-173 IN A std67312 ; Ayca Ture - 3113-174 IN A std67534 ; Turan Goker - 3305-275 IN A std67623 ; Tijen Tosun - 3405-176 IN A std67767 ; Berayet SOLMAZ - 3305-177 IN A std67843 ; Tarkan Dalaman - 33std6-178 IN A std67976 ; Atilla Pilevneli - 3119-279 IN A std68098 ; Serpil Ilerici - 3407-180 IN A std68243 ; Gulcin Doganci - 3215-181 IN A std68332 ; Sinem Alav - 3301-2+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –24K u z e y K ı b r ı s K a m p u s u 24


Yararlı Kaynaklar1. http://standards.ieee.org/getieee802/download/802.1X-2004.pdf2. http://www.linuxjournal.com/article/80173. http://www.freeradius.org/4. http://www.openssl.org/5. http://www.openldap.org/6. http://hostap.epitest.fi/wpa_supplicant/7. http://www.securew2.com/8. http://polaris.ncc.metu.edu.tr/nokta1x+ 1O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –25K u z e y K ı b r ı s K a m p u s u 25


TeşekkürlerİdealÇözüm!Sorular...+ 1ODTÜ Kuzey Kıbrıs Kampusu Bilişim TeknolojileriMüdürlüğüncc-cc@metu.edu.trTel: (0392) 661 2051O r t a D o ğ u T e k n i k Ü n i v e r s i t e s i –26K u z e y K ı b r ı s K a m p u s u 26

More magazines by this user
Similar magazines