Cisco ISE

AAA/RADIUS/TACACS ve CISCO ISE
Bu yazıdaki amacım yeni nesil güvenlik çözümlerinin konuşulduğu bu günlerde ISE ürününün en azından ne işe yaradığının bilinmesidir. Aslında bu yazıya ISE (Identity Services Engine) ürününü anlatmak için başladım. Fakat ISE ürününü ne olduğunu anlamak için öncelikle AAA, 802.1x, TACACS ve RADIUS kavramlarının bilinmesi gerekiyor. Sonrasında vakit buldukça ISE makalelerine de devam edeceğim.

AAA fonksiyonu; Authentication, Authorization, Accounting kelimelerinin kısaltılmışıdır.
Authentication ;Kullanıcıya, kimsin sorusunun sorulduğu kısımdır.
Authorization ;Kullanıcının yetkilerinin belirlendiği kısımdır.
Accounting ;Kullanıcı aktivitelerinin loglanması anlamına gelir.
Bunu daha basit bir şekilde örneklemek gerekirse; eviniz var ve mutfaktaki su tesisatında problem yaşıyorsunuz. Buna istinaden problemi bulup gidermesi için bir adet tesisatçı çagırdınız. Bir müddet sonra kapınızın zili çaldı ve siz, kim o diye sordunuz? (Authentication) Gelen kişi, tesisatçı diye cevap verdi ve kapıyı açtınız. Çünkü bu kişiyi daha önce siz çağırdınız ve yetkilerini kafanızda belirlediniz. Tesisatçı mutfağa girebilir fakat salona giremez gibi veya ihtiyacını belirtir ve size mantıklı gelirse tamam salona da girebilir dersiniz ve daha önce kafanızda çizmiş olduğunuz profili genişletir veya tam tersi daraltabilirsiniz (Authorization). Herneyse tesisatçı işini bitirdi ve çıktı. Sizde bu esnada tesisatçının yaptıklarını evin her tarafındaki kameralarla kayıt altına aldınız (Accounting) şeklinde düşünebilirsiniz.
Cisco ISE

Başka bir örnekte ise bazı kapıların üzerinde ‘Authorizated Personnel Only’ yazar ve buda authorizationa tipik bir örnekdir veya zaman kısıtları olabilir. Mesela saat 10:00 dan 15:00 e kadar otopark ücretsizdir de authorization olarak düşünülebilir.
Kullanıcı hesaplarının tutulduğu yer RADIS/TACACS sunucu olabildiği gibi local veritabanda olabilmektedir. Günümüzde kurumsal networklerde sıklıkla kullanılan authentication yöntemine bir örnek vermek gerekirse; kullanıcı hesapları active directory (microsoft) üzerinde tutuluyor ve sonradan sisteme dahil olan RADIUS/TACACS active directory ile authenticate olarak gerekli kullanıcı bilgilerini oradan çekiyor. Yani network ekipmanları (Authenticator) authentication isteği geldiğinde ilgili isteği RADIUS/TACACS (AAA Server) sunucuya yönlendiriyor. AAA sunucularında zaten active directory ile bağlantısı olduğundan gerekli authentication sorgularını yapıp, eğer kullanıcı varsa success ya da yoksa fail diye cevap veriyor
Bu protokoller ile merkezi yerden kullanıcı veya (hierarşik yapıda) admin yönetimi yapılabilmektedir. Düşününki network ekipmanlarına girilen her komutun kimin tarafından, hangi tarih/saatte ve hangi komutların girildiği kayıt altına alınabilmektedir veya aynı şeyleri normal kullanıcılar içinde düşünebilirsiniz.
Admin yetkilendirmesini 2 şekilde yapılabilir;
1- Tüm yetkilerin AAA sunucusunda yapılması. Mesela sadece ‘show running-config’ i çalıştırabilsin.
2- Yetkiler authenticator üzerinde belirlenir AAA sunucudan attribute gönderilir. Burada ise authorization işlemi, ilgili network ekipmanı üzerinde yapılır. Mesela ‘show running-config’ komutunu sadece privilage level 2 (normalde admin kullanıcılarının tamamı priv moda geçtiğinde 15 de olur yani full yetkilidir) de yapılsın diyebilriz. Sonrasında ise AAA server üzerinde ilgili attribute ile kullanıcı authenticate olurken priv-lvl 2 parametresini göndererek yetkisini kısıtlamış oluruz.
Aşağıdaki linkte gayet güzel şekilde özetlenmiş hali bulunmaktadır.
http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13860-PRIV.html
Radius ve TACACS arasındaki farklıklara baktığımızda ise, 3 ana farklılık bulunmaktadır.
1-UDP/TCP, 2- Servis kullanımı ve 3-Güvenlik
TACACS 3 farklı serviste AAA fonksiyonunu çalıştırmaktadır, radius ise 2 farklı serviste AAA hizmetini vermektedir.
Radius da kullanıcı parolası şifreli şekilde giderken TACACS da hem kullanıcı parolası hemde kullanıcı adı şifreli şekilde gönderilmektedir.
Radius UDP tabanlı (hızlı) olduğundan ve bu yüzden fazlaca ölçeklenebildiğinden dolayı kullanıcı authenticationu için RADIUS önerilmektedir.
TACACS ise tcp tabanlıdır ve radiusa göre daha güvendir.
Aşağıdaki tabloda farklılıklar daha açık şekilde belirtilmiştir.

Cisco ISE ve NAC Kavramları;
Öncelikle 802.1x den bahsetmem gerekiyor.
802.1x, kullanıcılar networke kablolu veya kablosuz bağlanır bağlanmaz kimlik denetimine tabi tutar ve kimlik denetiminin yapılabilmesi için yukarıda bahsettigim bir kullanıcı veri tabanı olmalıdır. Cisco daha önce bunu ACS (Access Control Server) üzerinden yapıyordu. ACS hem kullanıcı kimlik yönetimi (User Authentication) için RADIUS, hemde network yöneticileri için TACACS+ destekleniyordu. Yani Cisco ACS hem Radius hemde TACACS protokolünü destekliyor. Admin kullanıcıları içinde RADIUS kullanılabilir veya tam tersi kullanıcı authenticationu içinde TACACS kullanılabilir fakat önerilen kullanıcı ve admin kimlik denetimlerinin ilgili protokoller ile ayrılmasıdır.
802.1x fonksiyonu temelde EAP (genişletilmiş doğrulama methodu) protkolünü kullanarak authenticationu yapmaktadır. Authenticate olan kullanıcı “Supplicant”, Authenticate yaptıran (AAA servera soran ya da kullanıcıyı karşılayan cihaz, bu cihazları switch, access point, router veya firewall olarak düşünebilirsiniz) “Authenticator” ve AAA server ise “Authentication Server” olarak geçmektedir.

Örneğin LAN yapısındaysanız kullanıcıyı karşılayan cihazlar switch veya AP lerdir fakat WAN da VPN sonlandırırkende kullanabilirsiniz o zaman router veya firewall olabilir ve bu örnekler network yapılarına göre çoğaltılabilir.
Aşağıdaki şekilde 802.1x yapılmadan önce geçen paketin ismi EAP over LAN (EAPoL) dır.

802.1x başlı başına bir konu olmakla birlikte EAP tipleri bile başlı başına bir konudur. Bu yüzden konuyu çokta dağıtmadan ISE’a geri dönelim.
Cisco ISE dan önce NAC ürününü kullanıyordu. NAC kullanıcı yetkilendirmesini network seviyesinde değil uygulama katmanında yapıyordu. Yani örneklemek gerekirse bilgisayarınızın güvenlik duvarı kapalıysa networke giremesin veya bilgisayarınızın işletim sisteminin yamaları yapılmamışsa networke girmeye izin vermeyip sadece yamaları yükleyebileceğiniz sayfaya gidebilmenize izin versin fonksiyonunu NAC yapabilmektedir.
Üreticiler Kurumsal networklerde farklı bir güvenlik anlayışı ile AAA ve NAC ürünlerini birleştirdiler ve ortaya ISE çıktı.
Aslında üreticilerin yaptığı çokta mantıklı bir teknoloji birleştirmesiydi. Çünkü zaten 802.1x ile authentication yapılıyordu üzerine kullanıcı bilgisayarlarına ajanlar yükleyerek kullanıcı bilgisayarından gerekli bilgileri AAA servera göndererek bir katman daha authentication/authorization genişletilmiş oldu.
ISE (Identity Services Engine) ürününü temel özellik ve faydalarına bakacak olursak;
Business Policy Enforcement: Bu özellik kural bazlı kimlik doğrulama yapabilmemizi sağlamaktadır.
Access Control: Downloadable Access List, Dinamik VLAN ataması, URL redirection ve Security Group Tags özellikleri bu başlık altından toplanmaktadır.
Guest Lifecycle Management: Misafir kullanıcı yönetimi. Misafir networke giren kullanıcının zaman limiti, SMS doğrulaması gibi özellikleri desteklenmektedir.
Device Profiling: Kullanıcı cihazlarının gruplanması ve farklı policyler uygulanması anlamına gelmektedir.
EndPoint Posture: NAC fonksiyonları bu kısımdadır. Kullanıcı cihazındaki antivirüs güncelmi gibi fonksyionlar bu kısımda yapılmaktadır.
ISE aynı zamanda Cisco TrustSec modelinin bir parçasıdır. Aşağıda TrustSec LAN uygulama topolojisi görünmektedir,

Cisco ürünlerinin teknik özelliklerini aşağıda tablo şeklinde görebilirsiniz.

Kullanıcı ölçeklenmesi kısmı aşağıdaki gibidir;

Barış GENÇ
CCIE 27940
CCSI&HCSI
www.cliguru.com

Kaynaklar;
http://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/data_sheet_c78-656174.html
http://en.wikipedia.org/wiki/IEEE_802.1X
http://www.cisco.com/cisco/web/UK/products/security/cisco_ise.html
http://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/data_sheet_c78-726524.html

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir