10-tajriba ishi
MAvzu: AAA serverda autentifikatsiya rejimini sozlash (RADIUS,
TACACS+)
Ishdan maqsad: Ma’lumot uzatish tarmoqlarida autentifikatsiya,
avtorizatsiya va hisobga olish protokollarini sozlash, hamda amaliy ko’nikmaga
ega bo’lish.
Topshiriq
Bu ishda quyidagilar zarur:
- 10.1-rasmda keltirilgan sxemaga muvofiq tarmoqning modelini qurish;
10.1- rasm.
Tadqiq
qilinayotgan tarmoq tuzilishi
AAA-serverni kompyuter va marshrutizatorga ulanishi ta’minlanadigan
tarzda sozlashni o’rnatish.
Serverda ro‘yxatga olish yozuvlari qayt etilishi kerak;
marshrutizatorlarda AAA-mijozni sozlash;
noto‘g‘ri foydalanuvchi paroli yoki nomidan foydalanish bilan Telnet
orqali marshrutizatorga ulana olishga urinish;
to‘g‘ri foydalanuvchi paroli yoki nomidan foydalanish bilan Telnet
orqali marshrutizatorga ulana olishga urinish.
Qisqacha nazariy ma’lumotlar
AAA (Authentication, Authorization, Accounting) mexanizmi ulanishni
taqdim etish jarayonini tavsiflash va uning ustidan nazorat qilish uchun ishlatiladi.
Autentifikatsiyalash (Authentication) - bu so‘rovni xavfsizlik tizimidagi
mavjud ro‘yxatga olish yozuvi bilan taqqoslash hisoblanadi. Bu login, parol,
sertifikat, smart-karta va boshqalar bo‘yicha amalga oshiriladi.
Avtorizatsiya (Authorization) (vakolatlarni, ulanish darajasini tekshirish) –
tizimidagi mavjud ro‘yxatga olish yozuvi (autentifikatsiyalashdan o‘tgan shaxsni)
va ma’lum vakolatlarni (yoki ulanishga ta’qiqlashni) taqqoslash hisoblanadi.
Hisobga olish (Accounting) - bu foydalanuvchi tomonidan tizimning
resurslaridan foydalanilishi haqida ma’lumotlarni to‘plash hisoblanadi.
AAA ni ishlatadigan protokollaridan biri RADIUS (Remote Authentication
Dial-In User Service) va TACACS (Terminal Access Controller Access Control
System) protokollari hisoblanadi (10.2-rasm).
TACACS va RADIUS tizimlari markaziy tarmog‘ida bir necha olisdan
ulanish serverlari ishlatiladigan tashkilotlar uchun mo‘ljallangan. Bu tizimlarda
ma’mur foydalanuvchilar identifikatorlarining bazaviy ma’lumotlarini va
parollarini boshqarishi, ularga ulanish imtiyozlarini taqdim etishni va tizim
resurslariga murojaatlarni hisobga olishni olib borishi mumkin.
10.2-rasm. TACACS va RADIUS protokollarining ishlash mexanizmi
TACACS va RADIUS protokollari alohida autentifikatsiyalash serverining
qo‘llanilishini talab qiladi. Bu server foydalanuvchilar haqiqiyligini tekshirish va
ularning vakolatlarini aniqlash uchun ma’lumotlar omborini ishlatadi.
RADIUS protokoli haqiqiylikni, avtorizatsiyalashni va ro‘yxatga olishni
tekshirishni amalga oshirish uchun ishlatiladi.
RADIUS-mijoz (odatda olisdan ulanish server, VPN -server, simsiz
tarmoqqa ulanish nuqtasi va h.k.) foydalanuvchining ro‘yxatga olish
ma’lumotlarini va RADIUS xabar shaklidagi ulanish parametrlarini RADIUS -
serverga jo‘natadi. Server haqiqiylikni tekshiradi va mijozning so‘rovini
avtorizatsiyalaydi, keyin esa teskari javob xabarini jo‘natadi. Mijozlar serverlarga
ro‘yxatga olish xabarlarni ham jo‘natadi. Bundan tashqari, RADIUS standarti
proksi-serverlardan foydalanishni qo‘llaydi. RADIUS ning proksi-serveri bu
RADIUS protokolini qo‘llaydigan tugunlar orasida RADIUS -xabarlarni qayta
uzatadigan kompyuter hisoblanadi.
RADIUS - xabarlarni uzatilishi uchun UDP (User Datagram Protocol -
Foydalanuvchi deytagramm protokoli) protokoli ishlatiladi. RADIUS haqiqiylikni
tekshirish xabarlari uchun 1812 UDP-port, ro‘yxatga olish xabarlari uchun esa
1813 UDP-port ishlatiladi. Tarmoqqa ayrim ulanish serverlari RADIUS
haqiqiylikni tekshirish xabarlari uchun 1645 UDP-portni va RADIUS xisobga
olish xabarlari uchun esa 1646 UDP-portni ishlatishi mumkin.
RADIUS protokoli yo‘qotiladigan paketlar 5...10% dan kam bo‘ladigan
tarmoqlarda samarador bo‘ladi, boshqa tarmoqlarda TASASS+ protokoli
ishlatilishi yaxshi bo‘ladi.
Shifrlashda RADIUS protokoli parolda faqat clear text shifrlanadi, qolgan
butun paket «ochiq» qoladi (xavfsizlik nuqtai nazaridan xatto foydalanuvchining
nomi juda muhim parametr bo‘lsada).
TACASS+ protokolida paketning faqat sarlavhasi ochiq (hech qanday qimmatli
axborotni tashimaydigan) qoladi, paketning butun tanasi esa shifrlanadi.
Bajarish bo‘yicha ko‘rsatmalar
AAA-serverni sozlash uchun sichqonchaning chapki tugmasini serverning
modeli bo‘yicha bosish, konfiguratsiyalash oynasini ochish, «Config» qismiga
o‘tish (10.3-rasm, 1-marker) va «AAA» tugmasini bosish (10.3-rasm, 2-marker).
User Name (10.3-rasm, 7-marker) – tarmoq elementiga ulanish uchun
foydalanuvchining nomi (logini);
Password (10.3-rasm, 8-marker) – tarmoq elementiga ulanish uchun parol;
yuqorida sanab o‘tilgan parametrlar qiymatlari ko‘rsatilganidan keyin
AAA-serverga mos yozuvlarni qo‘shish uchun «+» tugmasini bosish (10.3-rasm,
6-va 9-markerlar) kerak bo‘ladi.
10.3 - rasm. AAA-serverni konfiguratsiya oynasi
Marshrutizatorlarning
interfeyslari
aktivlashtirilganidan
keyin
marshrutizatordagi AAA-mijozni sozlash kerak bo‘ladi. Buning uchun quyida
keltirilgan komandalar ketma-ketligini bajarish kerak.
1. AAA- serverning IP-manzilini ko‘rsatish:
R1(config)#radius-server host 192.168.2.100
bu erda – AAA-serverning IP-manzili.
2. RADIUS protokoli uchun shifrlash kalitini ko‘rsatish :
R1(config)#radius-server key burgut
3. Marshrutizatordagi barcha AAA-xizmatlarni aktivlashtirish:
R1(config)#aaa new-model
4. Marshrutizatorda autentifikatsiyalash jarayonini sozlash:
R1(config)#aaa authentication login default group radius local
bu erda – autentifikatsiyalash usuli. RADIUS protokoli bo‘yicha
autentifikatsiyalash usuliga bu parametrning «group radius» qiymati mos keladi
5. Marshrutizatorda avtorizatsiya jarayonini sozlash:
- boshqarish seansini boshlanishi uchun avtorizatsiyalash:
- tarmoq seanslari uchun avtorizatsiyalash:
bu erda – mualliflashtirish usuli. RADIUS protokoli bo‘yicha
autentifikatsiyalash usuliga bu parametrning «group radius» qiymati mos keladi.
Cisco Packet Tracerda ro‘yxatga olish funksiyalari mumkin emas.
Ishni bajarish tartibi
R1 konfiguratsiyasi
Router>enable
Router#configure terminal
Router(config)# hostname R1
R1 (config)# enable secret 123456
R1(config)#username admin password admin
R1 (config)# aaa new-model
R1 (config)# radius-server host 192.168.2.100 key burgut
Routerga masofadan kirishda username admin password admin
foydalaniladi
R1 (config)# aaa authentication login default local group radius
Agar group radius ishlatilsa, u holda rasmda ko`rsatilgan username cisco va
parol cisco orqali kiritiladi
R1 (config)# aaa authentication login default group radius group radius
AAA mexanizmi yordamida enable kirish parolini ham nazorat qilsa boladi.
R1 (config)# aaa authentication enable default group radius enable
R1 (config)# aaa authentication enable default enable
Bu ish bo‘yicha hisobot quyidagilardan iborat bo‘lishi kerak:
ishning nomeri va nomi;
topshiriq;
Cisco Packet Tracer da tarmoq modelining tasviri;
tarmoqdagi IP-manzillarni taqsimlanishi, ulanish sxemasini (interfeyslar
nomerlarini) o‘z ichiga olgan tavsifi;
ishda foydalanilgan foydalanuvchilar nomlari va parollari;
tarmoq elementlari konfiguratsiyalari listinglari;
tarmoq elementlariga ulana olishga urinishlar natijalari.
Nazorat savollari
1. Autentifikatsiyalash tushunchasiga ta’rif bering?
2. Avtotizatsiyalash tushunchasiga ta’rif bering?
3. Identifikatsiyalash tushunchasiga ta’rif bering?
4. TACACS va RADIUS protokollarini taqqoslang?
5. Hisobga olish (Accounting) deganda nimani tushunasiz?
6. RADIUS xabarlarini uzatish uchun qaysi protokol ishlatiladi?
7. UDP protokolining ishlash tamoyilini tushuntiring
|