Pulse Policy Secure’ ün üzerinde gelen Steel Belted Radius ile L2 authentication işlemlerini kolayca yapabiliyoruz.
Piyasadaki en bilindik security/network markalarının radius dictionary leri ön tanımlı olarak bulunmakta. Kendimiz de manuel olarak Radius dictionary ekleyebiliyoruz.
Tabii Policy Secure ün tek özelliği 802.1x authentication için sunuculuk yapmak değil. Birçok Authentication Server (Active Directory, LDAP, MDM Server, Sertifika Sunucuları, MAC Adres Veritabanı vs.) tanımlanıp kimlik doğrulama ve yetkilendirme süreçlerinde bu authentication source lar kullanılabilir. Ayrıca two factor / multi-factor authentication işlemleri için de bu sourcelarla entegrasyon yapılabiliyor.
L2 authentication sonrasında Host Checker Policy ler tanımlanarak client makine üzerinde “çalışan uygulamalardan açık portlara; güvenlik taramasından registry kayıtlarına” varana kadar birçok remediation işlemi ve kontroller yapılabiliyor.
Aşağıdaki örnekte basit bir şekilde Active Directory de BT grubundaki kullanıcılar bir VLAN a; Satış grubundaki kullanıcılar başka bir VLAN a atanıyor olacak. EX4200 Switchim üzerinde VLAN-10 ve VLAN-20 tanımlı.
Pulse Policy Secure: 10.10.20.106
EX4200 : 10.10.20.2
Kullanıcının bağlı olduğu port : ge-0/0/20
admin@Kabin_Switch> show version
fpc0:
————————————————————————–
Hostname: Kabin_Switch
Model: ex4200-24p
JUNOS Base OS boot [12.3R12.4]
{master:0}[edit vlans]
admin@Kabin_Switch# show
VLAN-10 {
vlan-id 10;
}
VLAN-20 {
vlan-id 20;
}
Juniper EX Switch üzerinde dot1x authentication ayarları:
set access radius-server 10.10.20.106 secret junoscuk123123
set access profile emreninyeri authentication-order radius
set access profile emreninyeri radius authentication-server 10.10.20.106
set protocols dot1x authenticator interface ge-0/0/20.0 supplicant single
set protocols dot1x authenticator authentication-profile-name emreninyeri
Pulse Policy Secure üzerinde 802.1x için yapılacak ayarlar:
Authentication Servers kısmından Active Directory sunucumuzu tanımlıyoruz.
Users > User Roles kısmından aşağıdaki gibi Satış ve BT olmak üzere 2 Role oluşturuyoruz.
User Realms bölümünde bir erişim bölgesi oluşturarak Authentication kısmına ACTIVE DIRECTORY sunucumuzu seçiyoruz.Role Mapping kısmından satış ve bt için ayrı iki role mapping yapacağız. Group Membership i seçip update diyoruz ve çıkan gruplardan (Active directory yapımıza göre) ilgili grubu seçiyoruz. Yukarıda tanımladığımız iki Role ü ayrı ayrı burada Map edeceğiz. Active Directory grubu Satış olanları “Satış Role” e atayacağız. Aynı şekilde Active Directory BT grubunu da “BT Role” e atayacağız.
Yukarıdaki Role Mapping işlemi bittikten sonra Network Access > Location Groups kısmından bir lokasyon grubu oluşturuyoruz.
Juniper EX Switch imizi Radius Client olarak tanımlıyoruz. Burada belirleyeceğimiz shared secret ile Switch te belirttiğimiz secret ın aynı olması gerekiyor.
Radius Return Attribute Policyde ise Switche göndereceğimiz vlan assignment bilgisini tanımlıyoruz.
Kişisel bilgisayarımızdaki network kartını 802.1x supplicant olarak kullanacak isek aşağıdaki linkten ethernet kartının konfigürasyonunu yapabiliriz.
https://documentation.meraki.com/MS/Access_Control/Configuring_802.1X_Wired_Authentication_on_a_Windows_7_Client
Bağlantımız gerçekleştikten sonra konu ile ilgili logları ve raporları Switch ve Pulse Policy Secure üzerinden aşağıdaki gibi görebiliriz.
Pulse Policy Secure üzerinde Log/Monitoring > User Access > Logs
Switch üzerinde show dot1x interface ge-0/0/20 detail
show dot1x interface ge-0/0/20
En basit uygulaması ile Pulse Policy Secure ve Juniper EX Switch üzerinde 802.1x Authentication işlemleri yukarıdaki gibi yapılmaktadır. Sonraki makalelerde Layer3 Remediation / Host Checker tarafına ve sonrasında da Profiling tarafına değiniyor olacağız.
Emre BAŞTUĞ