10-laboratoriya ishi Mavzu: aaa serverda autentifikatsiya rejimini sozlash (radius, tacacs+) Ishdan maqsad

10-laboratoriya ishi 
 
Mavzu: AAA serverda autentifikatsiya rejimini sozlash 
(RADIUS, TACACS+) 
Ishdan maqsad: Ma‘lumot uzatish tarmoqlarida autentifikatsiya, 
avtorizatsiya va hisobga olish protokollarini sozlash, hamda amaliy 
ko‘nikmaga ega bo‘lish. 
Topshiriq 
 
Bu ishda quyidagilar zarur: 
- 10.1-rasmda keltirilgan sxemaga muvofiq tarmoqning modelini qurish; 
10.1- rasm. Tadqiq qilinayotgan tarmoq tuzilishi 
− AAA-serverni kompyuter va marshrutizatorga ulanishi 
ta‘minlanadigan tarzda sozlashni o‘rnatish. 
− Serverda ro‗yxatga olish yozuvlari qayt etilishi kerak; 
− marshrutizatorlarda AAA-mijozni sozlash; 
− noto‗g‗ri foydalanuvchi paroli yoki nomidan foydalanish bilan 
Telnet orqali marshrutizatorga ulana olishga urinish; 
− to‗g‗ri foydalanuvchi paroli yoki nomidan foydalanish bilan Telnet 
orqali marshrutizatorga ulana olishga urinish. 
Qisqacha nazariy ma‟lumotlar 
AAA (Authentication, Authorization, Accounting) mexanizmi 
ulanishni taqdim etish jarayonini tavsiflash va uning ustidan nazorat qilish 
uchun ishlatiladi. 
Autentifikatsiyalash (Authentication) - bu so‗rovni xavfsizlik 
tizimidagi mavjud ro‗yxatga olish yozuvi bilan taqqoslash hisoblanadi. Bu 
login, parol, sertifikat, smart-karta va boshqalar bo‗yicha amalga oshiriladi. 
Avtorizatsiya (Authorization) (vakolatlarni, ulanish darajasini 
tekshirish) 
– 
tizimidagi 
mavjud 
ro‗yxatga 
olish 
yozuvi 
(autentifikatsiyalashdan o‗tgan shaxsni) va ma‘lum vakolatlarni (yoki 
ulanishga ta‘qiqlashni) taqqoslash hisoblanadi. 

Hisobga olish (Accounting) - bu foydalanuvchi tomonidan tizimning 
resurslaridan foydalanilishi haqida ma‘lumotlarni to‗plash hisoblanadi. 
AAA ni ishlatadigan protokollaridan biri RADIUS (Remote 
Authentication Dial-In User Service) va TACACS (Terminal Access 
Controller Access Control System) protokollari hisoblanadi (10.2-rasm). 
TACACS va RADIUS tizimlari markaziy tarmog‗ida bir necha 
olisdan ulanish serverlari ishlatiladigan tashkilotlar uchun mo‗ljallangan. Bu 
tizimlarda 
ma‘mur foydalanuvchilar identifikatorlarining bazaviy 
ma‘lumotlarini va parollarini boshqarishi, ularga ulanish imtiyozlarini 
taqdim etishni va tizim resurslariga murojaatlarni hisobga olishni olib borishi 
mumkin. 
10.2-rasm. TACACS va RADIUS protokollarining ishlash mexanizmi 
TACACS va RADIUS protokollari alohida autentifikatsiyalash 
serverining qo‗llanilishini talab qiladi. Bu server foydalanuvchilar 
haqiqiyligini tekshirish va ularning vakolatlarini aniqlash uchun ma‘lumotlar 
omborini ishlatadi. 
RADIUS protokoli haqiqiylikni, avtorizatsiyalashni va ro‗yxatga 
olishni tekshirishni amalga oshirish uchun ishlatiladi. 
RADIUS-mijoz (odatda olisdan ulanish server, VPN -server, simsiz 
tarmoqqa ulanish nuqtasi va h.k.) foydalanuvchining ro‗yxatga olish 
ma‘lumotlarini va RADIUS xabar shaklidagi ulanish parametrlarini 
RADIUS - serverga jo‗natadi. Server haqiqiylikni tekshiradi va mijozning 
so‗rovini avtorizatsiyalaydi, keyin esa teskari javob xabarini jo‗natadi. 
Mijozlar serverlarga ro‗yxatga olish xabarlarni ham jo‗natadi. Bundan 
tashqari, RADIUS standarti proksi-serverlardan foydalanishni qo‗llaydi. 
RADIUS ning proksi-serveri bu RADIUS protokolini qo‗llaydigan tugunlar 
orasida RADIUS -xabarlarni qayta uzatadigan kompyuter hisoblanadi. 
RADIUS - xabarlarni uzatilishi uchun UDP (User Datagram Protocol 
- Foydalanuvchi deytagramm protokoli) protokoli ishlatiladi. RADIUS 
haqiqiylikni tekshirish xabarlari uchun 1812 UDP-port, ro‗yxatga olish 
xabarlari uchun esa 1813 UDP-port ishlatiladi. Tarmoqqa ayrim ulanish 
serverlari RADIUS haqiqiylikni tekshirish xabarlari uchun 1645 UDP-portni 
va RADIUS xisobga olish xabarlari uchun esa 1646 UDP-portni ishlatishi 
mumkin. 

RADIUS protokoli yo‗qotiladigan paketlar 5...10% dan kam 
bo‗ladigan tarmoqlarda samarador bo‗ladi, boshqa tarmoqlarda TASASS+ 
protokoli ishlatilishi yaxshi bo‗ladi. 
Shifrlashda RADIUS protokoli parolda faqat clear text shifrlanadi, 
qolgan butun paket «ochiq» qoladi (xavfsizlik nuqtai nazaridan xatto 
foydalanuvchining nomi juda muhim parametr bo‗lsada). 
TACASS+ protokolida paketning faqat sarlavhasi ochiq (hech qanday 
qimmatli axborotni tashimaydigan) qoladi, paketning butun tanasi esa 
shifrlanadi. 
Bajarish bo„yicha ko„rsatmalar 
− AAA-serverni sozlash uchun sichqonchaning chapki tugmasini 
serverning modeli bo‗yicha bosish, konfiguratsiyalash oynasini ochish, 
«Config» qismiga o‗tish (10.3-rasm, 1-marker) va «AAA» tugmasini bosish 
(10.3-rasm, 2-marker). 
− User Name (10.3-rasm, 7-marker) – tarmoq elementiga ulanish 
uchun foydalanuvchining nomi (logini); 
− Password (10.3-rasm, 8-marker) – tarmoq elementiga ulanish uchun 
parol; 
− yuqorida sanab o‗tilgan parametrlar qiymatlari ko‗rsatilganidan 
keyin AAA-serverga mos yozuvlarni qo‗shish uchun «+» tugmasini bosish 
(10.3-rasm, 6-va 9-markerlar) kerak bo‗ladi. 
10.3 - rasm. AAA-serverni konfiguratsiya oynasi 
Marshrutizatorlarning 
interfeyslari 
aktivlashtirilganidan 
keyin 
marshrutizatordagi AAA-mijozni sozlash kerak bo‗ladi. Buning uchun 
quyida keltirilgan komandalar ketma-ketligini bajarish kerak. 
1. AAA- serverning IP-manzilini ko„rsatish: 
R1(config)#radius-server host 192.168.2.100 
 
bu erda  – AAA-serverning IP-manzili.