TACACS Erişim Yönetimi Nedir?
Dijital teknolojide yaşanan gelişmeler ile uzaktan erişim sistemleri, hemen her sektörde ve iş dünyasında sıkça kullanılan bir araçtır. Uzaktan erişim sistemleri, iş akışlarını sürdürülebilir hale getirme, maliyeti optimize etme ve verimliliği artırma gibi birçok fayda sağlar. Uzaktan erişim ise asıl olarak kullanıcıların uzak bir konumdan bir bilgisayara veya ağa erişim imkanı sunar. Uzaktan erişim; sanal özel ağ (VPN), uzak masaüstü protokolü (RDP) ya da uzaktan erişim hizmeti (RAS) gibi farklı birçok yöntemlerle yapılabilir. Ancak çoğu zaman erişim yönetimi modeli, özellikle siber güvenlik kapsamında birtakım sorunlar meydana getirebilir. Yine de sorunları ve bu sorunlardan kaynaklı etkileri en aza indirmek mümkündür. SECHARD, çoğu zaman bu zorluklardan etkilenmemenin yolunu TACACS Erişim Yönetimi modülü kullanarak mümkün kılar. TACACS Erişim Yönetimi modülü de bir çeşit uzaktan erişim hizmeti sağlayan güvenilir araçlardan biridir.
SECHARD, TACACS protokolü ile, ilgili kullanıcı adı ve parolaları yapılandırarak diğer araçlar ve modüllerden ayrıcalıklı bir altyapı meydana getirir. Aynı zamanda SECHARD, TACACS’da yer alan uzaktan kimlik doğrulama özeliği ile BT ağınızdaki kullanıcı adlarını ve parolaları merkezi bir sunucuda, tek bir yerde muhafaza etmenize olanak tanır. Ağınıza bir kullanıcı dahil edildiğinde, silindiğinde veya bir kullanıcı parola değiştirdiğinde her iki protokolü de kullanarak her bir ayrı ağ cihazında değişiklik yapabilirsiniz.
Ek olarak SECHARD, sunucuda yer alan yapılandırmada yalnızca bir değişiklik yaptığınızda dahi sistemdeki farklı bileşenlere müdahale edilmesine gerek kalmadan cihazlar, kimlik doğrulama işlemi için sunucuya erişim sağlamaya devam eder. Diğer bir yandan TACACS’ı en özel kılan işlevi kimlik doğrulama (authentication) olarak bilinmektedir ancak yetkilendirme (authorization) ve hesap oluşturma işlevleri de oldukça başarılı ve faydalıdır.
TACACS Erişim Yönetimi Nedir?
SECHARD’ın sunduğu Terminal Access Controller Access-Control System Plus (TACACS) uzaktan erişim modülü, BT ağlarına erişim sağlamak amacıyla kullanılan en yaygın ve fonksiyonlu güvenlik protokolleridir. TACACS, yönlendiriciler ve anahtarlar olmak üzere ağ cihazları veya sistemde bulunan cihazlar üzerinde yönetici erişimi sağlamak amacıyla kullanılır. TACACS, uzaktan kimlik doğrulama sunucusu iletişimi ile kullanıcı ağ erişimini belirlemek amacıyla en kolay ve etkili yöntemdir. TACACS protokolü varsayılan olarak 49 numaralı bağlantı noktasını kullanır. Ayrıca TACACS, BT ağına bağlanan bu ağı kullanan cihazlar için Kimlik Doğrulama, Yetkilendirme ve Hesaplama (AAA) yönetimi sağlar. Bu üç ana bileşenden oluşan AAA yönetiminin özelliklerini detaylandıracak olursa;
Kimlik Doğrulama (Authentication): Kimlik doğrulama özelliği ile kimlerin ağa erişim yetkisi olacağı belirlenir. TACACS ayrıcalıklı hesaplar için kimlik doğrulama amacıyla bir kullanıcı adı ve parola temin eder.
Yetkilendirme (Authorization): Bu özellik ile kullanıcının ağ erişimi esnasında hangi hizmet ve servislere erişebileceğini belirlenir. TACACS protokolünde bulunan yetkilendirme özelliği ile ziyaretçiler yalnızca ağdaki çevrim içi ortama erişip internet kullanımına yetkilendirilirken tüm parola veri tabanına erişme yetkisi yalnızca BT ekibine tanınır.
Muhasebe (Accounting): Son özellik sayesinde hangi kullanıcının, hangi hizmet ve servise ne kadarlık zaman dilimi içerisinde eriştiği kaydının tutulmasını sağlar. Muhasebe kayıtları, işletmenin, BT ağına bağlanan bir kullanıcının kimliğini, bağlantı noktasını, ağ adresini ve erişim sürecine bir oturum tanımlayıcısı kaydeder. Aynı zamanda bu veriler, aktivite izleme yöntemiyle izlenmekte ve kullanıcı adına yapılan kayda dahil edilmektedir. Bu özellik, hangi kullanıcının sistemde ne kadar süre geçirdiği ve yapılan işlemler kayıt altına alınır.
SECHARD TACACS Erişim Yönetimi Nasıl Çalışır?
TACACS Yönetimi; Kimlik Doğrulama, Yetkilendirme ve Muhasebe adımlarından oluşmaktadır ve AAA yönetim süreciyle çalışır. Kimlik Doğrulama ve Yönetim başlıkları altında yer alan 9 adımdan oluşur. Bu 9 adımda şekillene çalışma sürecinde Network Admin, Network Specialist, Backbone Specialist önemli birer kaynaktır. Ayrıca Active Directory (AD) sürecin son adımında Lightweight Directory Access Protocol (LDAP) aşamasının tamamlanmasını sağlamakta ve erişim yönetiminin sorunsuz şekilde çalışmasını desteklemektedir.
Ağ Cihazlarınızda SECHARD TACACSI Aşağıdaki Gibi Devreye Alabilirsiniz
Kimlik Doğrulama
adım: Kullanıcı, erişmek istediği cihaz için bir CLI oturumu başlatır. Oturum başlatıldıktan sonra kişi, bir kullanıcı adı ve parola girer.
adım: Erişilmek istenen cihaz, kullanıcı adını ve parolayı TACACS+ modülünün erişim yöneticisine iletir.
adım: Kullanıcı adı ve parola doğru ise yanıt başarılıdır.
adım: Erişilmek istenen cihaz, yanıtı kullanıcıya gönderir.
adım: Kullanıcı ve hedef cihaz arasında bir CLI oturumu kurulur. Kişi, bu aşamanın ardından cihaz yönetimi için komutlar girebilir.
Yönetim
adım: Kişi, CLI ekranına bir komut girer ve ardından bu komut erişilmek istenen cihaza iletilir.
adım: Erişilmek istenen cihaz, söz konusu komutu TACACS+ modülünün erişim yöneticisine iletir.
adım: TACACS Erişim Yöneticisi, erişim isteğinde bulunan kullanıcının bu komutu çalıştırma ayrıcalığının olup olmadığını kontrol eder. Kontrol ettikten sonra kabul et ya da reddet yanıtı bildirir. Yanıtın ardından bu komutu kayıt altına alır.
adım: TACACS Erişim Yöneticisi, komutun çalıştırılması için kabul bildirimi verirse erişilmek istenen cihaz, komutu çalıştırır ve yanıtı kişiye iletir. Yanıt bir ret mesajı ise erişilmek istenen cihaz, kişiye bir başarısız mesajı iletir.
SECHARD İLE TACACS ERİŞİM YÖNETİMİ MODÜLÜNÜN FAYDALARI
Açık görünürlük, detaylı denetim günlükleri
Görevler ayrılığı sistemi ve sınırlı ayrıcalık ilkesi
Zamana göre erişim sınırlamalarını tanımlama
Her bir departmana ağdan izole edilmiş en az ayrıcalık
Active Directory (AD) kullanıcı adları ve parolaları ile basit bir yönetim
İşten ayrılma sonrası kullanıcı hesabını otomatik olarak kilitleme
Açık protokol tabanlı ağ cihazlarını destekleme
Öznitelik Değer Çifti (AVP) yapılandırmasını destekleme
Tek bir örnekte binden fazla cihazı destekleme
Ağ altyapısına genişletilmiş Active Directory grup ilkeleri ile GDPR ve ISO27001 gibi uluslararası regülasyonlara tam uyum
Hedef cihazlara doğrudan erişim kontrolü
Çok faktörlü kimlik doğrulama
Zayıf ve süresi dolan parolaları ortadan kaldırma