TACACS+ protokolünde yapı değişikliği
Modification of TACACS+ protocol
- Tez No: 100969
- Danışmanlar: DOÇ.DR. NADİA ERDOĞAN
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2000
- Dil: Türkçe
- Üniversite: İstanbul Teknik Üniversitesi
- Enstitü: Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Belirtilmemiş.
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 62
Özet
TACACS+ PROKOTOLÜNDE YAPI DEĞİŞİKLİĞİ ÖZET TACACS+ bir veya daha fazla merkezi sunucu üzerinden routerlara, ağ erişim cihazlarına ve ağ üzerindeki diğer cihazlara erişim kontrolünü sağlayan protokoldür. TACACS+ kullanıcı asıllandırmasını, yetkilendirmesini ve hesaplama işlemlerini birbirinden bağımsız olarak gerçekleştirir. TACACS+, TACACS protokolünün geliştirilen en son sürümüdür. TACACS, Amerikan Savunma Birimi MILNET için BBN tarafından geliştirilen UDP tabanlı bir erişim kontrol protokolüdür. Birkaç defa Cisco firması tarafından genişletilmiş ve TACACS temel alınarak geliştirilmiştir. TACACS+, TACACS ve XTACACS üzerinde kullanıcı asıllandırma, yetkilendirme ve hesaplama işlemlerini ayıracak şekilde ve aym zamanda Ağ Erişim Sunucusu ile Deamon arasındaki trafiğin şifreli olarak akranlması biçiminde yeni özellikler eklenerek geliştirildi. Bu fonksiyonlarin ayrılmasıyla istemciler üzerinde değişik şekil ve içerikte asıllandırma mekanizmaları geliştirmek mümkün oldu. Böylece ileride eklenecek yeni özelliklerin eklenmesi içinde esnek bir yapı ortaya çıkmıştır. TACACS+ protokolü güvenli iletişim için TCP kullanmaktadır. Bu protokol TACACS istemcilerine cok yollu bir erişim kontrolü sağlamakta ve deamon' a her istek için iyi bir yapı kurmasına izin vermektedir. Kullanıcı asıllandırma, yetkilendirme ve hesaplama fonksiyonlarının ayrık olması TACACS+ protokol tasarımının temel parçalarından biridir. Önemli noktalardan biri, TACACS+ protokolünün tüm fonksiyonlarının farklı farklı uygulanabileceği gibi, konfigurasyona ve uygulamaya bağlı olarak tüm fonksiyonlarının aym anda uygulanabileceğidir. Asıllandırma : Asıllandırma, bir kullanıcının kim olduğuna karar veren işlemdir. Asıllandırma işlemi bir çok şekilde olabilir ama genel olarak asıllandırma işlemi, kullanıcı adı ve sabit bir parola kontrolü şeklindedir. Çoğu bilgisayar, kullanıcı asıllandırma işlemini bu şekilde yaptığı gibi TACACS+ protokolüde bu şekilde yapmaktadır. Günümüzdeki en son asıllandırma mekanizmaları bir kez kullanılan parola veya parola soru-cevap yapısını kullanmaktadır. TACACS+, bu mekanizmaların hepsini desteklediği gibi ileride geliştirilecek yeni mekanizmaları da destekleyecek bir yapıya sahip olmalıdır. Asıllandırma işlemi kullanıcının sisteme ilk giriş isteği ile başlamaktadır. vmKullanıcı asıllandırma işleminin varolması gerekli değildir, sistemin yapışma uygun olarak seçime bağlı olarak devreye alınabilir. Kullanıcı asıllandırma işlemi, kullanıcı ekstra erişim yetenekleri istediğinde ve birtakım özel bilgilere -parola gibi- sahip olması gerektiğinde kullanılır. Yetkilendirme : Kullanıcı asıllandırma ve yetkilendirme işlemleri birbirinden farklı fonksiyonlardır. Yetkilendirme işlemi, bir kullanıcının neyi yapıp neyi yapmamaya yetkili olduğunu belirleyen bir fonksiyondur. Genel olarak asıllandırma işlemi yetkilendirmeden daha önce yapılan bir işlemdir fakat tam tersi bir sıralamada olabilir. Yetkilendirme isteği alındığında bu, kullanıcının asıllandınlmış kullanıcı olup olmadığım göstermez, yani kullanıcının kim olduğu bilinmez. Bu da gösteriyor ki, yetkilendirme işlemi, kullanıcının belirlenmiş kullanıcı olup olmadığı ile ilgilenmez. TACACS+ protokolünde yetkilendirme sadece evet -hayır cevaplarım sağlamaz, kullanıcı sisteme bağlandığında ve PPP bağlantısını çalıştırdığında bu protokol üzerinden İP çalıştırmak istediğinde de yetkilendirme işlemi devreye girer. Asıllandırma sunucusunda çalışan TACACS+ deamonu servis isteklerine cevap vermeden önce konfigurasyonda kullanılan kısıtlama koşullarını dikkate alarak işlem yapar. Hesaplama : Hesaplama işlemi, asıllandırma ve yetkilendirmeden sonra gelen üçüncü adımdır. Ama yine asıllandırma ve yetkilendirme işleminde olduğu gibi, bir sistemde sadece hesaplama işlemi tek başına olabilir. Hesaplama işlemi sisteme bağlanan kullanıcının, ne yapıyor olduğunu ve ne yaptığının kaydım tutar. TACACS+ protokolündeki hesaplamanın iki amacı vardır : Faturalama için sistem kullanımı ile ilgili bilgiler tutar, ikinci olarak da, güvenlik servisleri için kullanıcının nereden ne zaman ve ne kadar süre bağlı kaldığı ile ilgili bilgileri kaydeder. TACACS+ hesaplama işlemi 3 hesaplama bilgisi tutmaktadır. Başlangıç ile ilgili kayıtlar, ilgili servisin başladığı bilgisini tutmaktadır. Dur kayıtlan ise alınmakta olan servisin sona erdiği ile ilgili bilgileri tutmaktadır. Güncelleme kayıtlan ise alınmakta olan servisin devam ettiğini gösteren bilgileri tutmaktadır. TACACS+ hesaplama kayıtlan yetkilendirmede kullanılan tüm kayıtlan da kaydeder. Aym zamanda servis başlangıç, bitiş zamanlannı ve kaynak kullanım bilgilerini de kaydetmektedir. Bu tez çalışmasında, ağ erişim sunucusu internet erişimi almak isteyen kullanıcılara asıllandırma ve yetkilendirme isteklerini asıllandırma sunucusuna iletmesi ve sisteme erişim sağlaması için konfigüre edilmiştir. Oracle veritabanı üzerinde çalışan asıllandırma sunucusuna ağ erişim sunucusundan gönderilen sisteme erişim istekleri, oracle veri tabam üzerinde kullanıcının adı ve parolası sorgulanarak cevap verilir. Bu sorgulama sonucunda ağ erişim sunucusuna, kullanıcının sisteme erişip erişmeyeceği ile ilgili cevap döner. IXOracle veri tabanı üzerinde çalışan deamon gelen tüm istekleri 49. Port üzerinden dinlemektedir. TACACS+ protokolünün dayandığı dosya yapısı terk edilerek yeni yapı Oracle veri tabam üzerine kurulmuştur. Kullanıcı kimlik bilgileri ve erişimi ile ilgili tüm değişiklikler Oracle veritabanı üzerinde yapılmakta ve deamon Oracle Pro*C ile yeniden yazılmıştır. Bu tez çalışmasında, yeni yapılandırılan TACACS+, kullanıcılar ile ilgili sistem kullanımını içeren hesaplama bilgileri asıllandırma sunucusundaki oracle veri tabam üzerinde tutulmaktadır. Deamon ağ erişim sunucusundan bir erişim isteği aldığında bu server üzaerindeki oracle veri tabam ile bağlantı kurulur, kullanıcının erişim izni istediği ağa izni olup olmadığı ile ilgili erişim kontrolleri yapılır. Kullanıcılarım tüm kimlik bilgileri ve bağlantı bilgileri de veri tabam üzerinde tutulmaktadır. Genel olarak dışarıdan gelen erişim istekleri ağ erişim sunucusu tarafından üretilir ve asıllandırma sunucusuna aktarılır. Asıllandırma sunucusu kullanıcının parolası, son kullanım tarihi ve kredisi gibi bilgileri oracle veri tabanından alır. Günümüzde Internet Servis Sağlayıcıların erişim için kullanıcılardan aldığı Ücretlendirme ile ilgili birçok bilginin de bu yapı içinde tutulması zorunludur. Oracle veri tabam üzerinde tutulan faturalama bilgileri, kullanıcının sisteme bağlı kaldığı süre, kullanıcı adı, hangi telefon numarasından aradığı, hangi telefonu aradığı, servis almaya başladığı saat ve sistemden çıktığı saat gibi bilgilerdir. Aynı zamanda TACACS+ arada her x dakikada bir kullanıcının bağlı kaldığı süreyide asıllandırma sunucusuna gönderebilmektedir. Bu özellik sayesinde Internet servis sağlayıcı gibi firmalar erişim sunucularının tekrar başlatmak zorunda kaldıklarında ya da ilk bağlantı süresini kaybettiklerinde bağlantı bilgisini kaybetmelerini önlemektedir. Internet servis sağlayıcılar bir dial-up erişimi birden fazla kullanıcının kullanmasını önlemek isterler ya da kendilerinin bu özelliği belirlemek isterler. Bu tez çalışmasında çoklu kullanım özelliği dediğimiz bu özellik opsiyonel bırakılmıştır. Bir dial-up kullanıcı, aynı isim ya da farklı isimle aynı anda 10 farklı bağlantı yapabilmektedir. Aynı zamanda kullanıcı bu erişim sayışım WEB üzerinden kendisi değiştirebilmektedir. Bu özellik servis sağlayıcılara standart dışı ek servisler sunmalarını sağlamaktadır. Bütün kullanıcılar kendi kimlik bilgilerini web üzerinden değiştirebildikleri gibi kendi parolanın değiştirebilmekte, son kullanım tarihlerini, bağlantı bilgilerini, giriş bilgilerini kontrol edebilmektedirler
Özet (Çeviri)
MODIFICATION OF TACACS+ PROTOCOL SUMMARY TACACS+ provides access control for routers, network access servers and other networked computing devices via one or more centralized servers. TACACS+ provides separate authentication, authorization and accounting services. The TACACS+ protocol is the latest generation of TACACS. TACACS is a simple UDP based access control protocol originally developed by BBN for the MILNET. Cisco has enhanced (extended) TACACS several times, and Cisco's implementation, based on the original TACACS. TACACS+ improves on TACACS and XTACACS by separating the functions of Authentication, Authorization and Accounting and by encrypting all traffic between the NAS and the daemon. It allows for arbitrary length and content authentication exchanges which will allow any authentication mechanism to be utilized with TACACS+ clients. It is extensible to provide for site customization and future development features, and it uses TCP to ensure reliable delivery. The protocol allows the TACACS+ client to request very fine grained access control and allows the daemon to respond to each component of that request. The separation of authentication, authorization and accounting is a fundamental component of the design of TACACS+. The distinction between them is very important so this document will address each one separately. It is important to note that TACACS+ provides for all three, but an implementation or configuration is not required to employ all three. Each one serves a unique purpose that alone is useful, and together can be quite powerful. A very important benefit to separating authentication from authorization is that authorization (and per-user profiles) can be a dynamic process. Instead of a one-shot user profile, TACACS+ can be integrated with other negotiations, such as a PPP negotiation, for far greater flexibility. The accounting portion can serve to provide security auditing or accounting/billing services. Authentication : Authentication is the action of determining who a user (or entity) is. Authentication can take many forms. Traditional authentication utilizes a name and a fixed password. Most computers work this way, and TACACS+ can also work this way. However, fixed passwords have limitations, mainly in the area of security. Many modern authentica- tion mechanisms utilize“one-time”passwords or a challenge- response query. TACACS+ is designed to support all of these, and should be XIpowerful enough to handle any future mechanisms. Authentication gen- erally takes place when the user first logs in to a machine or requests a service of it. Authentication is not mandatory, it is a site configured option. Some sites do not require it. Others require it only for certain services (see authorization below). Authentication may also take place when a user attempts to gain extra privileges, and must identify themselves as someone who possesses the required information (passwords, etc.) for those privileges. Authorization : It is important to distinguish Authorization from Authentication. Authorization is the action of determining what a user is allowed to do. Generally authentication precedes authorization, but again, this is not required. An authorization request may indicate that the user is not authenticated (we don't know who they are). In this case it is up to the authorization agent to determine if an unauthenticated user is allowed the services in question. In TACACS+, authorization does not merely provide yes or no answers, but it may also customize the service for the particular user. Exam- pies of when authorization would be performed are: When a user first logs in and wants to start a shell, or when a user starts PPP and wants to use IP over PPP with a particular IP address. The TACACS+ daemon might respond to these requests by allowing the service, but placing a time restriction on the login shell, or by requiring IP access lists on the PPP connection. For a list of authorization attributes, see the authorization section below. Accounting : Accounting is typically the third action after authentication and authorization. But again, neither authentication nor authorization are required. Accounting is the action of recording what a user is doing, and/or has done. Accounting in TACACS+ can serve two purposes: It may be used to account for services used, such as in a billing environment. It may also be used as an auditing tool for security services. To this end, TACACS+ supports three types of accounting records. Start records indicate that a service is about to begin. Stop records indicate that a service has just terminated, and Update records are intermediate notices that indicate that a service is still being performed. TACACS+ accounting records contain all the information used in the authorization records, and also contain accounting specific information such as start and stop times (when appropriate) and resource usage information. A list of accounting attributes is defined in the accounting section. In this thesis, the network access server is configured to direct all dial-in user access requests to authentication server for authentication and authorization of privileges. Using the TACACS+ protocol, the network access server sends authentication requests to the authentication server that runs on oracle database, which verifies the username and password against the Oracle Database. The Authentication server then returns a success or failure response to the network access server, which permits or denies user access. XllA deamon runs on Oracle database and listen all requests at port 49. File system structures are left and then TACACS+ have based on database. All modifications have been done using ORACLE database and programmed with Pro*C. New TACACS+, in this thesis, provides accounting information in oracle database located on the authentication server. When deamon gets an authentication request from NAS, and establishs connection to oracle database on this server and checks out, if the user, who wants to get access to network, is authenticated or not. All user's profiles and connection informations are on oracle database. Generally, an outbound request for use of a particular service is generated by the NAS and directed to authentication server. Authentication server recieve information (user's password, expire time, credit etc.) from oracle database In today's age where Internet Services Providers(ISP) charge for access, many billing items have been added to keep track their client's usage of network resources. The billing information on oracle database includes connection time, username, location connected from (caller ID and caller ID) start time and stop time. Future TACACS+ accounting enhancements will provide connect time updates, which will send an update for current connect time to the authentication server every x minutes. This future allows companies like Internet service providers to bill a customer for an open session even if the network access server restarts and loses the initial start time. Service providers can significantly minimize lost billing time. ISPs want servers to prevent multiple uses of the same username- password so those customers with flat rates do not share their accounts with others. But this should be an optional service for ISPs. In this thesis, this service is allowed and optional. A Dial-up user can share your account with others (at the same time, multiple connection number is 10) and user can change this number via WEB. This future provides additional services for ISPs. All users can check your account profiles via WEB. They can change your passwords, and check out your expire time, login informations, connection information (start time, stop time, date etc). xm
Benzer Tezler
- Yüksek boyutlu dedekind toplamlarının genelleştirilmesi
A Generalization of high dimesional dedekind sums
CELAL ÇEŞMECİ
- Kentsel atık su arıtma tesislerinde arıtma yöntemleri ve işletme performanslarının değerlendirilmesi: Kavak atık su arıtma tesisi örneği
Evaluation of treatment methods and operating performance in urban wastewater treatment plants: Kavak example of wastewater treatment plant
AYŞENUR AYAN
Yüksek Lisans
Türkçe
2022
Çevre MühendisliğiOndokuz Mayıs ÜniversitesiÇevre Mühendisliği Ana Bilim Dalı
PROF. DR. YÜKSEL ARDALI
- Genelleştirilmiş Dedekind toplamları ve Bernoulli polinomları
Generalized Dedekind sums and Bernoulli polynomials
MEHMET CENKCİ
- Atık su arıtım tesislerinin model öngörmeli kontrolü
Model predictive control of wastewater treatment plants
EVRİM AKYÜREK
Yüksek Lisans
Türkçe
2009
Kimya MühendisliğiAnkara ÜniversitesiKimya Mühendisliği Ana Bilim Dalı
PROF. DR. RIDVAN BERBER
- Nesnelliğe dayalı sanat eleştirisi yöntemlerinin kuramsal temelleri
The theoretica principles of art criticism approaches based on objectivity
AYŞEGÜL SANCAR
Yüksek Lisans
Türkçe
2005
Eğitim ve ÖğretimDokuz Eylül ÜniversitesiGüzel Sanatlar Eğitimi Ana Bilim Dalı
Y.DOÇ. MUKADDER ÇAĞLAR