PPP Kimlik Doğrulama
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 5 sonuçtan 1 ile 5 arasındakiler gösteriliyor.
Like Tree1Likes
  • 1 Post By GhoSt
PPP Kimlik Doğrulama

Merhaba arkadaşlar. Bu yazıda WAN haberleşmesinde kullanılan PPP (Point to Point ) protokolünün oturum kurulma aşamasında kullandığı kimlik doğrulama metotları olan PAP ve CHAP'dan bahsetmeye çalıştım. Öğretici olmasını umuyor iyi

  1. #1
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,997

    Standart PPP Kimlik Doğrulama

    Merhaba arkadaşlar. Bu yazıda WAN haberleşmesinde kullanılan PPP (Point to Point ) protokolünün oturum kurulma aşamasında kullandığı kimlik doğrulama metotları olan PAP ve CHAP'dan bahsetmeye çalıştım. Öğretici olmasını umuyor iyi çalışmalar diliyorum.

    Kimlik doğrulamaya geçmeden önce kısaca PPP hakkında konuşalım. Point To Point Protocol (PPP) noktadan noktaya iletişim sağlayan, data hatlarında IP üzerinden iletim sağlayan bir kapsülleme protokolüdür. PPP, IP protokolü yanında IPX protokolü ile de çalışma kabiliyetine sahiptir. Hata denetimi ve kimlik doğrulama yetenekleri vardır. Senkron veya asenkron bağlantılarla çalışabilir. Dial-up ve xDSL bağlantılarda da kullanılır.

    PPP’nin esas amacı, Layer-3 paketleri, bir Layer-2 ortamda noktadan-noktaya link boyunca taşımaktır ve marka bağımlı değildir.

    Çalışma mekanizması Kapsüllenme (Encapsulation), Bağlantı Kontrol Protokolü (LCP) ve Ağ Kontrol Protokolü (NCP) olmak üzere üç ana bölümden meydana gelmektedir. Burada unuttuğumuz bir nokta var o ise fiziksel katman standartları. (V.24 ,V.35, ISDN gibi)

    Kapsülleme (Encapsulation) : WAN bağlarda, verinin iletilmeden önce "enkapsüle edilerek" frame (çerçeve) haline getirilmiş olması gerekir. PPP’nin içerdiği kapsülleme özelliği sayesinde IP, IPX gibi farklı ağ katmanı protokollerinin aynı bağlantı üzerinde eş zamanlı olarak çalışabilmesi sağlanır. En yaygın kapsülleme yöntemi ise HDLC'dir. HDLC seri bağlar boyunca datagram’ları enkapsüle etmenin bir yöntemidir. HDLC ile kapsüllenmiş çerçeve bayrak ,adres,kontrol,data ve frame check sequ.. gibi alanlar içerir. Oluşturulan çerçeve yapısı detaylarına bu konuda inersek konu başlığımıza ters düşmüş oluruz. Bu sebeple kısaca diğerlerini anlatmaya devam edelim.

    Link Kontrol Protokolü (LCP): PPP’nin en çok çalışan kısmıdır. Oturumu kurma , sürdürme , sınama ve sonlandırma görevlerini yapar. Bunlara ek olarak sıkıştırma, hata kontrolü, çoklu link, geri arama ve aşağıda anlatacağımız kimlik doğrulamadır.

    Ağ Kontrol Protokolü (NCP) : NCP ise, bağlantı sağlandıktan sonra, iki uç arasında ağ adresi seçenekleri veya sıkıştırma özellikleri gibi ayarların yapılmasını sağlar. NCP, çoklu Network katman protokollerinin eşzamanlı kullanımına izin vermek için tasarlanmıştır. Hiç unutmayalım PPP OSI 1. Ve 2. Katman protokol kümesinden oluşur. İçerisinde geçen IP ve IPx vb. protokoller bizleri yanıltmasın…

    Şimdi gelelim kimlik doğrulama olayına :

    PPP protokolünde iki tip kimlik doğrulama metodu vardır. PAP ve CHAP

    PAP (Password Authentication Protocol-Şifre Doğrulama Protokolü)

    CHAP (Challenge Handshake Authentication Protocol-Sorun Çözme Kimlik Doğrulaması Protokolü)

    PPP bağlarda kimlik doğrulama isteğe bağlıdır ve yapılandırmamız gerekir. Eğer kimlik doğrulama yapılandırdıysak PPP bağ kurulumunda LCP linki kurup test ettikten sonra NCP olaylarına geçmeden önce kimlik doğrulama olayı gerçekleşir.

    Öncelikle PAP'i anlamaya çalışalım...Onu akılda kalıcı olması için günlük hayattan bir duruma benzetelim. Birbirini daha önce görmüş iki insan karşılaşıyor. Bir bayan ve bir erkek…İsimleri Behlul ve Bihter olsun. Daha önce tanışmış oldukları için birbirinin isimlerini biliyorlar. Yaratılış doğası gereği erkek önce davranıyor:

    -Merhaba Bihter… Nbr ?

    Tabiî ki Bihter de Behlülü iyi tanıdığı için hemen cevap veriyor :

    -Merhaba Behlul...Standart..

    Birbirine karşı aynı anlam taşıyan şifreli bakışlar sonrası bağ kuruluyor. PPP bağda karşıdaki cihazın hangi marka olduğu önem arz etmediğinden Behlul içinde Bihter’in yengesi olduğu fark etmiyor hemen bağı kuruyor.. Yani PPP’de her türlü cihazla her türlü ilişki kuruluyor.. Ve dikkat ederseniz PAP soru ve cevap şeklinde 2 aşamadan oluşuyor.



    Şimdi Aşk-ı Memnu dizisinden çıkarken oradan iki tane kullanıcı adı alalım ve iki router üzerinde uygulamak üzere asıl konumuza dönelim.


    Adsız.jpg






    Önce Behlülü yapılandıralım :

    Router>
    Router>enable
    Router#conf t
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#hostname Behlul
    Behlul(config)#interface serial 0/0/0
    Behlul(config-if)#encapsulation ppp
    Behlul(config-if)#ip add
    Behlul(config-if)#ip address 192.168.1.1 255.255.255.252
    Behlul(config-if)#no sh
    %LINK-5-CHANGED: Interface Serial0/0/0, changed state to down
    Behlul(config-if)#do wr
    Building configuration...
    [OK]
    Behlul(config-if)#exit
    Behlul(config)#username Bihter password adnan
    ( Burada parola ortak noktaları olan adnan oldu.)



    Şimdi sıra geldi Bihter’e :


    Router(config)#hostname Bihter
    Bihter(config)#interface serial 0/0/0
    Bihter(config-if)#encapsulation ppp
    Bihter(config-if)#ip address 192.168.1.2 255.255.255.252
    Bihter(config-if)#no sh
    Bihter(config-if)#exit
    Bihter(config)#username Behlul password adnan
    Bihter(config)#do wr
    Building configuration...


    Yukarıda her bir cihaz için karşı cihazın adı ile aynı olan kullanıcı adı ve her ikisinde ortak birer parola oluşturduk. Bihteri behlülün kalbine kaydettik , behlülüde bihterin kalbine...

    Temel düzeyde PPP kimlik doğrulamasız olarak tamamlandı. PAP aktif hale getirmek için her iki router arayüzünde :
    Behlul(config-if)#ppp authentication pap <------------> Bihter(config-if)#ppp authentication pap komutlarını uyguluyoruz.

    Bağın her iki ucundaki cihazlarda pap etkinleştirildi. Ama hala cihazlar birbiri ile görüşemiyor. Neden mi ?

    Cisco IOS 11.1 ve daha sonraki Cisco IOS sürümlerinde, arayüz üzerinde varsayılan olarak PAP devre dışı bırakılmıştır. Bu, yönlendiricinin sadece PAP doğrulama etkinleştirildiğinde kendi kullanıcı adı ve parola birleşimini göndermeyeceği anlamına gelir. Dolayısıyla, PAP için ek komutlar gereklidir.Bu komut ise :

    #ppp pap sent-username <kullanıcıadı> password <parola> komutudur. Hemen uyguluyoruz... Bihteri fazla bekletmeye gelmez



    Bihter(config-if)#ppp pap sent-username Bihter password adnan
    Behlul(config-if)#ppp pap sent-username Behlul password adnan


    Yukarıdaki komutlar vasıtasıyla bihtere dedik ki "Bak kızım sen kullanıcı adın olarak Bihter'i gönder. Behlül sende kullanıcı adın olarak Behlül'ü gönder. Parola zaten ortak o halde problem yok...

    Yukarıda bihterin kalbine behlülü kaydetmiştik. Behlül kullanıcı adı olarak behlül'ü gönderdi ve bu kullanıcı adı bihterin kalbindeki ile eşleşti artık bağ kurulmuştur.

    Ama bu husus karıştırılır !! Bizim oluşturduğumuz kullanıcı adı gönderilmiyor mu ? Cevap hayır .. Bunu burada kafanızdan siliniz...



    PAP oturum başında yanlızca bir defa kimlik doğrulaması yapar. PAP'ın kimlik denetlemesini bir kez yaptıktan sonra çalışmayı durdurması, bağlantıyı dışardan gelebilecek bir saldırıya karşı savunmasız bırakır. Ve PAP kimlik doğrulama yaparken şifreler, clear text gönderilir. Bu clear text şifre olayı gizli aşkı deşifre edebilir... Bu sebeple bir diğer yöntemimiz olan CHAP'a bakalım...


    CHAP (Challenge Handshake Authentication Protocol), bir linkin ilk başlamasında ve router’ın, aynı host’la hala haberleştiğinden emin olmak için linkte periyodik kontroller yapar. PAP' ın aksine kimlik denetlemesini düzenli aralıklarla tekrarlar ve karşı tarafın hala geçerli bir şifresinin olup olmadığını denetler. Bağlantının kurulum evresinin tamamlanmasının hemen ardından karşı taraftaki uca bir kimlik sorgulaması gönderilir. Uzaktaki uç ise sorgulama mesajının ve şifrenin türüne göre değişen ve genelde MD5 ile şifrelenmiş tek yönlü bir hash fonksiyonu ile hesaplanmış bir değer ile cevap verir. Eğer beklenen hash değeri ile cevap aynı ise bağlantı yeniden onaylanır, eğer aynı değilse bağlantı hemen sonlandırılır. TCP/IP'ye benzer şekilde 3 aşamalıdır. Güçlü şifreleme tekniği ve sürekli denetimiyle CHAP daha güvenli bir iletişim ortamı sağlar.

    CHAP'ı etkinleştirmek için :

    Yukarıda PAP için yaptığımız her şeyi yapıyoruz ve ;
    #ppp authentication pap yerine #ppp authentication chap yazıyoruz... Hepsi bu kadar ... İlave komuta gerek yok ...



    Ve son olarak birisinin başarısız olması durumunda diğerinin kullanılması için her ikisini bir arada kullanabilme lüksüne sahibiz.

    #PPP Authentication PAP CHAP veya #PPP Authentication CHAP PAP komutları ile bu işi yapabiliyoruz. İlk yazılan ilk kullanılacak olandır..

    CCNA seviyesi için bu kadarı fazlası ile yeter..

    Faydalı olması dileklerimle ....

    Murat KAYAPINAR
    Comm. Eng. & Elect. Eng.
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  2. #2
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    aşk-ı memnu örnekleri iyiymiş
    elinize sağlık...
    Nexus likes this.
    Mr.google knows everything , ask to him...

  3. #3
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Mesajlar
    565

    Standart

    Güzel çalışma

    Ellerine sağlık
    Mehmet Ceyhan YAĞLI
    I learn, I teach
    MCyagli

  4. #4
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,997

    Standart

    Teşekkürler hocam o sizin güzelliğiniz
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  5. #5
    gandalf_3466 isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Sep 2007
    Mesajlar
    264

    Standart

    Gayet anlasilir olmus, tesekkurler...

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok