1 / 21

Ulaknet Çalıştayı 2008 / Konya

FreeRADIUS ile Kimlik Denetimi. Gökhan AKIN, Hüseyin Yüce, ve Hüsnü DEMİR gokhan.akin@itu.edu.tr, huseyin@marmara.edu.tr, hdemir@metu.edu.tr. Ağ Kimlik Denetimi Çalışma Grubu. Ulaknet Çalıştayı 2008 / Konya. FreeRADIUS Kurulumu. Sunum dahilinde Fedora Core8 üzerine

ulema
Télécharger la présentation

Ulaknet Çalıştayı 2008 / Konya

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. FreeRADIUS ile Kimlik Denetimi Gökhan AKIN, Hüseyin Yüce, ve Hüsnü DEMİR gokhan.akin@itu.edu.tr, huseyin@marmara.edu.tr, hdemir@metu.edu.tr Ağ Kimlik Denetimi Çalışma Grubu ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu Ulaknet Çalıştayı 2008 / Konya

  2. FreeRADIUS Kurulumu Sunum dahilinde Fedora Core8 üzerine FreeRADIUS 2.0.3 kurulumu anlatılmaktadır. Ayrıca çalışmanın dökümanında FreeRADIUS1.0.7’nin kurulumunu da bulabilirsiniz. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  3. FreeRADIUS Kurulumu ./configure make make install ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  4. Kurulum Tamamlandı Kurulduğu klasör: /usr/local/etc/raddb ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  5. Sertifika Klasörü Test amaçlı oluşturulmuş sertifikalar silinir. Sertifika klasörü: /usr/local/etc/raddb/certs ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  6. Kök Sertifikası Ayar Dosyası Kök sertifikası için gereken konfigürasyon dosyasına girilir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  7. Kök Sertifikası Ayarları Default Days ile Sertifika geçerlilik süresi değiştirilebilir. Kök Sertifikanın 5-10 yıl için geçerli olması önerilir. Kurumunuz ile ilgili değerlerde değiştirilmelidir. Burada Kök Sertifika 2048 bit oluşturulmaktadır. Bu değer ihitiyaca bağlı artırılabilir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  8. Sunucu Sertifikası Ayar Dosyası Sunucu sertifikası için gereken konfigürasyon dosyasına girilir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  9. Sunucu Sertifikası Ayarları Default Days ile Sertifika geçerlilik süresi değiştirilebilir. Sunucu sertifikanın köke göre daha kısa süreler için geçerli olması önerilir. Yine kurumunuz ile ilgili değerler girilmelidir. Burada sunucu sertifikasıda 2048 bit ile oluşturulmaktadır. Bu değer ihitiyaca bağlı artırılabilir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  10. Video Sertifikaların Basımı ./bootstrap komudu ile sertifikalar basılır. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  11. Kök Sertifikasının Der Formatına Çevirimi make ca.der komudu ile basılmış olan kök sertifikasını Windows istemcilerin daha kolay kurulum yapmalarını sağlayacak der formatına cevirilir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  12. “eap.conf” Ayar Dosyası Sunucu Sertifikasının anahtar kelimesini değiştirmek için eap.conf konfigürasyon dosyasına girilir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  13. “eap.conf” Dosyasındaki Değişiklikler (1) Burdaki default_eap_type değeri md5’den kullanacağınız protokole bağlı olarak peap veya ttls olarak değiştirilebilir. Bu sadece kimlik denetimin daha hızlı yapılmasını sağlar. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  14. “eap.conf” Dosyasındaki Değişiklikler (2) Sunucu Sertifikasının anahtar kelimesi “private_key_password” kısmına yazılmalıdır. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  15. “eap.conf” Dosyasındaki Değişiklikler (3) FreeRADIUS’un virtual server özelliği kullanılmayacaktır. Bunun için eap.conf dosyasında ki peap ve ttls kısımlarında bu özellik ile ilgili satırların başına # sembolu konulur. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  16. “clients.conf” Dosyasındaki Değişiklikler “client.conf” dosyasına kimlik denetimi yapacak ağ cihazının IP adresleri ve şifreleri belirtilir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  17. “users” Dosyasındaki Değişiklikler Son olarak “users” dosyasına ağınıza dahil olacak kullanıcıların kullanıcı adları ve şifreleri belirtilmelidir. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  18. FreeRADIUS’un Çalıştırılması Artık FreeRADIUS radiusd –X komudu ile çalıştırılabilir. Bu komut ile kimlik denetimi ile ilgili sunucu detaylı log verecektir. Sunucunun düzgün çalıştığında eminseniz uygulamayı bir servis olarak devreye alabilirsiniz. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  19. PEAP ve TTLS Karşılaştırması (1) PEAP kullanıcı adı TLS tüneli dışında yolladığı için şifresiz gider. Ancak şifre TLS tünelinde ve MSCHAP2 ile şifrelenmiş gider. Buda sunucu logunda bile kullanıcının şifresinin tespit edilmesini engeller. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  20. PEAP ve TTLS Karşılaştırması (2) TTLS’de kullanıcı adı ve şifre TLS tünelinden gider. Ancak tünel içinde çoğu zaman PAP kimlik denetimi seçildiğinden kullanıcı adı şifre açık gider. Buda sunucu logunda kullanıcının şifresi açık olarak gözükmesine sebep olur. ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

  21. Teşekkürler csirt@ulakbim.gov.tr http://csirt.ulakbim.gov.tr/gruplar/nac.uhtml http://www2.itu.edu.tr/~akingok ULAK-CSIRT Ağ Kimlik Denetimi Çalışma Grubu

More Related