WEBVTT 00:00.090 --> 00:00.930 Eğitmen: Bu derste, 00:00.930 --> 00:03.360 kimlik doğrulama, yetkilendirme ve muhasebe anlamına 00:03.360 --> 00:06.210 gelen AAA sunucuları hakkında konuşacağız ve AAA sunucularını 00:06.210 --> 00:09.000 anlamak için yapmamız gereken ilk şey 802'nin nasıl çalıştığını 00:09.000 --> 00:12.327 anlamaktır. 1X bir çerçeve olarak çalışır. 00:12.327 --> 00:15.240 Eğitmen: 802. 1X, hem kablolu hem de kablosuz ağlarda 00:15.240 --> 00:17.040 bağlantı noktası tabanlı kimlik doğrulama 00:17.040 --> 00:19.650 için kullanılan standartlaştırılmış bir çerçevedir. 00:19.650 --> 00:22.800 Şimdi, 802'den beri. 1X sadece bir çerçevedir, aslında 00:22.800 --> 00:24.840 bizim için gerçek kimlik doğrulamasını yapmak 00:24.840 --> 00:27.210 için diğer mekanizmaları kullanacaktır. 00:27.210 --> 00:28.140 Örneğin, hem RADIUS 00:28.140 --> 00:30.690 olarak bilinen Uzaktan Kimlik Doğrulama Arayan Kullanıcı 00:30.690 --> 00:31.800 Hizmeti hem de Terminal 00:31.800 --> 00:33.510 Erişim Denetleyicisi Erişim Kontrol 00:33.510 --> 00:36.510 Sistemi Plus veya TACACS+, 802 kullanılarak kimlik doğrulamayı 00:36.510 --> 00:41.700 gerçekleştirmek için kullanılabilir. 00:41.700 --> 00:41.700 1X protokolü. 00:41.700 --> 00:43.410 Bir kimlik doğrulamanın 802 kapsamında gerçekleşmesi 00:43.410 --> 00:46.920 için gerekli olan üç rol vardır. 1X. 00:46.920 --> 00:49.830 Birincisi, bu görüntüdeki PC1 gibi ağa erişim 00:49.830 --> 00:51.660 talebinde bulunan cihaz veya 00:51.660 --> 00:54.030 kullanıcı olan supplicant'tır. 00:54.030 --> 00:56.430 Bir de kimlik doğrulayıcı vardır, bu da destekleyicinin 00:56.430 --> 00:59.370 ağa erişmeye çalıştığı cihazdır. 00:59.370 --> 01:01.620 Normalde bu bir anahtar, kablosuz erişim 01:01.620 --> 01:04.860 noktası veya VPN yoğunlaştırıcı gibi bir şey olacaktır. 01:04.860 --> 01:07.230 Son olarak, kimlik doğrulama sunucusu vardır, 01:07.230 --> 01:08.760 bu da kimlik doğrulamayı gerçekleştiren 01:08.760 --> 01:10.350 merkezi cihaz olacaktır, bu da 01:10.350 --> 01:11.970 genellikle RADIUS veya TACACS+ 01:11.970 --> 01:13.920 sunucunuz olacaktır. 01:13.920 --> 01:16.230 Kimlik doğrulama, bir kişinin kimliği kanıtlarla 01:16.230 --> 01:19.500 belirlendiğinde ve sistem tarafından onaylandığında gerçekleşir. 01:19.500 --> 01:21.180 Bunu her gün yapıyorsunuz. 01:21.180 --> 01:23.850 Aslında, bu kursa giriş yaptığınızda bunu yaptınız. 01:23.850 --> 01:26.340 E-posta adresinizi ve şifrenizi girdiğinizde, bu 01:26.340 --> 01:28.380 kurs için ödeme yapan öğrenci olduğunuzu 01:28.380 --> 01:30.660 iddia ediyordunuz ve bunu yaparak sistem tarafından 01:30.660 --> 01:33.150 kontrol edildiniz ve erişim izni aldınız. 01:33.150 --> 01:36.330 Şimdi, kim olduğunuzu doğrulamanın farklı yolları var. 01:36.330 --> 01:38.700 Gerçek dünyada, örneğin, bir polis memuru tarafından 01:38.700 --> 01:40.380 hız yaptığınız için kenara çekilirseniz, 01:40.380 --> 01:42.000 ehliyetinizi çıkarabilir ve onlara 01:42.000 --> 01:43.860 siz olduğunuzu ve söylediğiniz kişi olduğunuzu 01:43.860 --> 01:45.780 gösterebilirsiniz. 01:45.780 --> 01:47.220 Bu senin kanıtın. 01:47.220 --> 01:48.600 Artık dijital dünyada 01:48.600 --> 01:51.000 beş kimlik doğrulama yöntemimiz var. 01:51.000 --> 01:52.800 Bildiğiniz bir şey var, bu bir şifre 01:52.800 --> 01:55.050 veya kullanıcı adı gibi bir şey olabilir, olduğunuz 01:55.050 --> 01:57.150 bir şey var, bu parmak iziniz veya göz taramanız 01:57.150 --> 02:00.390 veya retina taramanız gibi bir şey olabilir, sahip olduğunuz 02:00.390 --> 02:02.280 bir şey var, bu bir jeton, ehliyet veya 02:02.280 --> 02:05.430 kredi kartı gibi bir şey olabilir, yaptığınız bir şey olabilir, 02:05.430 --> 02:07.410 bu konuşma şekliniz veya isminizi imzalama 02:07.410 --> 02:10.020 şekliniz olabilir ve GPS konumunuza dayalı olarak 02:10.020 --> 02:12.540 konum faktörünüz olarak bildiğimiz bulunduğunuz 02:12.540 --> 02:15.930 bir yer olabilir. 02:15.930 --> 02:19.080 LDAP, Hafif Dizin Erişim Protokolüdür. 02:19.080 --> 02:21.630 Bu, müşterileriniz ve ağdaki nesneleriniz hakkındaki bilgileri 02:21.630 --> 02:24.510 merkezileştirmek için kullanılan bir veritabanıdır. 02:24.510 --> 02:28.050 LDAP esasen X'in basitleştirilmiş bir versiyonudur. 500, bir dizin hizmetidir 02:28.050 --> 02:29.490 ve ağınızdaki kullanıcıların, 02:29.490 --> 02:32.460 grupların, sunucuların ve sistemlerin hiyerarşik 02:32.460 --> 02:36.360 bir organizasyonunu içerir. 02:36.360 --> 02:39.000 LDAP, şifrelenmemiş haldeyken 389 numaralı bağlantı 02:39.000 --> 02:41.400 noktası üzerinden iletişim kurar ve SSL veya TLS 02:41.400 --> 02:46.290 kullanarak şifrelemeye karar verirseniz, 636 numaralı bağlantı noktasını kullanacaktır. 02:46.290 --> 02:48.960 Şimdi, LDAP çapraz platform olarak kabul edilirken, 02:48.960 --> 02:51.390 Microsoft bunun AD veya Active Directory olarak 02:51.390 --> 02:54.060 bilinen kendi uygulamasını yarattı. 02:54.060 --> 02:56.370 Windows etki alanında Active Directory, bu istemciler, 02:56.370 --> 02:58.710 sunucular, cihazlar, kullanıcılar ve gruplar da 02:58.710 --> 03:00.570 dahil olmak üzere ağdaki her şeyi düzenlemek 03:00.570 --> 03:02.730 ve yönetmek için kullanılır. 03:02.730 --> 03:04.650 Artık Active Directory, grup politikalarınız aracılığıyla 03:04.650 --> 03:07.410 güvenlik politikalarınızın veya erişim kontrolünüzün bir parçası olarak 03:07.410 --> 03:08.883 da kullanılabilir. 03:09.990 --> 03:13.770 RADIUS, Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmetidir. 03:13.770 --> 03:17.130 Çevirmeli bağlantı, VPN ve kablosuz kimlik doğrulamasının merkezi yönetimini 03:17.130 --> 03:21.660 sağlar, böylece bunu hem 802 ile kullanabilirsiniz. 03:21.660 --> 03:21.660 1X 03:21.660 --> 03:25.350 ve Genişletilebilir Kimlik Doğrulama Protokolü veya EAP. 03:25.350 --> 03:27.870 RADIUS, OSI modelinin yedinci katmanı olan uygulama 03:27.870 --> 03:29.940 katmanı üzerinde çalışan bir istemci sunucu 03:29.940 --> 03:31.470 protokolüdür. 03:31.470 --> 03:34.470 RADIUS genellikle ayrı bir sunucuda çalıştırılmak üzere yapılandırılır, 03:34.470 --> 03:36.810 ancak daha küçük etki alanı ortamlarında bir Windows 03:36.810 --> 03:38.880 sunucusuna da yüklenebilir. 03:38.880 --> 03:40.950 RADIUS, kullanıcıların kimliklerini doğrulamak, 03:40.950 --> 03:42.390 onları hizmetlere yetkilendirmek ve 03:42.390 --> 03:44.970 bu hizmetleri kullanımlarını hesaba katmak için kullanılır. 03:44.970 --> 03:48.120 RADIUS ayrıca bağlantılarını yapmak için UDP kullanır, bu da kimlik 03:48.120 --> 03:49.470 doğrulama ve yetkilendirme 03:49.470 --> 03:52.380 işlevleri sırasında oldukça hızlı olmasını sağlar. 03:52.380 --> 03:55.140 RADIUS platformlar arası bir standart olsa da Cisco'nun 03:55.140 --> 03:58.590 TACACS+ adında tescilli bir protokolü vardır. 03:58.590 --> 04:00.300 Bu, bir 802'de kimlik doğrulayıcı rolünü 04:00.300 --> 04:03.060 yerine getirebilen Terminal Erişim Denetleyicisi Erişim-Kontrol 04:03.060 --> 04:06.300 Sistemi Plus'tır. 1X ağ. 04:06.300 --> 04:08.640 Şimdi, kuruluşunuzun ihtiyaçları için hangisinin en 04:08.640 --> 04:10.500 iyisi olduğunu belirlemek size kalmış. 04:10.500 --> 04:12.810 Şahsen, RADIUS'u neredeyse yalnızca kuruluşlarımda 04:12.810 --> 04:14.370 kullandım. 04:14.370 --> 04:17.490 TACACS+'ın UDP yerine TCP'ye dayandığı için biraz 04:17.490 --> 04:20.100 daha yavaş çalıştığını fark ettim, ancak 04:20.100 --> 04:22.620 TACACS+'ın bazı avantajları var. 04:22.620 --> 04:24.090 Size bazı ek güvenlik sağlar 04:24.090 --> 04:26.550 ve kimlik doğrulama, yetkilendirme ve muhasebe 04:26.550 --> 04:29.070 işlemlerini bağımsız olarak yürütür. 04:29.070 --> 04:31.560 TACACS+ tüm ağ protokollerini destekler, 04:31.560 --> 04:32.880 ancak RADIUS ise uzaktan 04:32.880 --> 04:35.070 erişim protokolünü, NetBIOS Çerçeve 04:35.070 --> 04:38.850 protokolünü, X. 25 sabitlenmiş bağlantı ve 04:38.850 --> 04:39.840 diğerleri. 04:39.840 --> 04:42.480 Genel olarak, TACACS+ mükemmel bir seçimdir, ancak yalnızca 04:42.480 --> 04:44.490 ağınızda Cisco cihazları kullanacaksanız, 04:44.490 --> 04:45.630 çünkü bu çapraz platform 04:45.630 --> 04:48.270 özelliğine sahip olmak istiyorsanız, geçmişte seçtiğim 04:48.270 --> 04:49.770 yol olan RADIUS ile devam etmeniz 04:49.770 --> 04:51.840 gerekecektir. 04:51.840 --> 04:54.360 İkinci A ise yetkilendirmedir. 04:54.360 --> 04:57.000 Yetkilendirme, bir kullanıcıya belirli bir veri parçasına 04:57.000 --> 05:00.990 veya binanın belirli alanlarına erişim izni verildiğinde gerçekleşir. 05:00.990 --> 05:03.120 Hiç bir binaya girdiğinizde sadece yetkili 05:03.120 --> 05:06.570 personel girebilir yazan bir tabela gördünüz mü? 05:06.570 --> 05:09.180 Yani o bölgeye giremezsiniz. 05:09.180 --> 05:11.100 Bakım odası ya da jeneratörlerin olduğu 05:11.100 --> 05:12.840 ve sadece teknisyenlerin girebildiği 05:12.840 --> 05:14.790 bir yer gibi bir şey olabilir. 05:14.790 --> 05:16.650 Bu alanlara girmelerini sağlayacak özel anahtarları 05:16.650 --> 05:18.450 ya da özel rozetleri vardır. 05:18.450 --> 05:21.900 O bölge gitme izninizin olmadığı bir yer. 05:21.900 --> 05:25.170 Kerberos kimlik doğrulama ve yetkilendirme üzerine odaklanmıştır. 05:25.170 --> 05:27.570 Bu, bir Windows etki alanındaki Kerberos biletleme sistemimiz 05:27.570 --> 05:29.280 aracılığıyla gerçekleştirilir. 05:29.280 --> 05:31.860 Kerberos, iki yönlü veya karşılıklı kimlik doğrulama 05:31.860 --> 05:34.350 sağlayan bir kimlik doğrulama protokolüdür. 05:34.350 --> 05:36.330 Kullanıcı etki alanında oturum açtığında, 05:36.330 --> 05:38.400 ilk olarak anahtar dağıtım merkezi veya KDC 05:38.400 --> 05:42.120 olarak görev yapan etki alanı denetleyicisiyle iletişime geçer. 05:42.120 --> 05:44.550 Bu KDC'nin iki temel işlevi vardır: 05:44.550 --> 05:46.980 kimlik doğrulama ve bilet verme. 05:46.980 --> 05:49.410 Dolayısıyla, istemcinizin kimliği doğru bir 05:49.410 --> 05:51.990 şekilde doğrulanırsa, KDC onlara Bilet Verme Bileti 05:51.990 --> 05:54.570 olarak adlandırılan bir TGT verecektir. 05:54.570 --> 05:56.520 Bu Bilet Verme Bileti daha sonra kullanıcı 05:56.520 --> 05:58.740 bir kaynağa erişmek istediğinde etki alanı denetleyicisine 05:58.740 --> 06:00.060 sağlanır ve ardından etki alanı 06:00.060 --> 06:02.460 denetleyicisi bu kullanıcıya bir hizmet bileti veya 06:02.460 --> 06:04.920 bir oturum anahtarı sağlayabilir (ihtiyaçlarına 06:04.920 --> 06:07.260 hangisi uygunsa). 06:07.260 --> 06:09.150 Bu biletler kaynağa sunulur ve daha sonra 06:09.150 --> 06:10.680 erişim izni verilir çünkü kaynak 06:10.680 --> 06:12.180 her zaman etki alanı denetleyicileri 06:12.180 --> 06:14.580 tarafından sağlanan biletlere güvenir. 06:14.580 --> 06:16.860 Kerberos, anahtar dağıtım merkezi olarak hizmet 06:16.860 --> 06:19.080 vermesi için etki alanı denetleyicisine güvendiğinden, 06:19.080 --> 06:21.840 bu etki alanında tek bir hata noktasıdır. 06:21.840 --> 06:23.550 Etki alanı denetleyicisi kapalıysa, 06:23.550 --> 06:26.190 bilet verme hizmetleri de kapatılır. 06:26.190 --> 06:28.350 Ancak bunu önlemek için çoğu kişinin yapacağı şey birincil 06:28.350 --> 06:31.530 ve ikincil bir aktif etki alanı denetleyicisine sahip olmaktır. 06:31.530 --> 06:33.330 Bu size Kerberos'un çalıştığından ve LDAP'ın 06:33.330 --> 06:36.900 hala çalıştığından emin olmak için bu tür bir yedeklilik sağlayacaktır. 06:36.900 --> 06:38.790 Üçüncü A muhasebedir. 06:38.790 --> 06:40.980 Muhasebe, verilerin, bilgisayar kullanımının 06:40.980 --> 06:44.220 ve ağ kaynaklarının takibinin sürdürülmesini sağlar. 06:44.220 --> 06:46.170 Şimdi, bunu yaptığımızda, genellikle günlük 06:46.170 --> 06:48.150 dosyası adı verilen bir şeye konur. 06:48.150 --> 06:49.680 Bu, bilgisayarda bulunan ve aslında 06:49.680 --> 06:51.930 sadece büyük bir metin belgesi olan bir dosyadır 06:51.930 --> 06:54.450 ve her türlü şeyin kaydını tutar. 06:54.450 --> 06:56.340 Bu, ekranda gösterildiği gibi ağdan 06:56.340 --> 06:58.980 ayrılan tüm internet bağlantıları olabilir veya 06:58.980 --> 07:01.140 belirli bir dosya veya web sitesinde oturum 07:01.140 --> 07:04.680 açmaya çalışan tüm kişilerin bir listesi olabilir. 07:04.680 --> 07:07.320 Yapılan tüm çeşitli şeylerin kaydını tutmak için bilgisayarınızda 07:07.320 --> 07:09.180 her türlü farklı günlük tutulur ve bunların 07:09.180 --> 07:11.100 hepsi iyi muhasebe uygulamalarının kullanılmasını 07:11.100 --> 07:18.270 sağlamak içindir çünkü bir veri ihlaliniz varsa veya içeriden bir tehditle karşılaşırsanız, kimin neyi ne zaman yaptığını anlamak için geriye 07:18.270 --> 07:23.880 dönüp günlük dosyalarınızdaki verilere bakabilirsiniz. 07:23.880 --> 07:26.310 Muhasebe bunu yapmanızı sağlar. 07:26.310 --> 07:29.130 Şimdi, eğer birisinin bir şey yaptığına, bir eylemde 07:29.130 --> 07:32.850 bulunduğuna dair kanıtınız varsa, biz buna inkar etmeme diyoruz. 07:32.850 --> 07:35.790 İnkar edememe basitçe kullanıcının işlemi yapmadığını söyleyemeyeceği 07:35.790 --> 07:39.060 anlamına gelir çünkü yaptığına dair kanıtınız vardır. 07:39.060 --> 07:41.160 Örneğin, bana bir e-posta gönderdiyseniz 07:41.160 --> 07:43.200 ve bunu dijital bir imza ile imzaladıysanız, 07:43.200 --> 07:45.360 tüm dünyada bu özel dijital imza anahtarına 07:45.360 --> 07:47.910 sahip olan tek kişi sizsiniz. 07:47.910 --> 07:50.400 O e-postayı senin gönderdiğinden eminim. 07:50.400 --> 07:52.350 Daha sonra bana göndermediğini söyleyemezsin 07:52.350 --> 07:54.060 çünkü artık elimde kanıt var. 07:54.060 --> 07:55.593 Bu inkar edilemez.