1. Confidential : tính bảo mật
2. Integrity : tính toàn vẹn
3. Availability : tính sẵn sàng
Chủ Nhật, 20 tháng 9, 2015
Thứ Ba, 8 tháng 9, 2015
Thực hiện Cisco IOS Zone Base Firewall
Phần này sẽ show cho bạn biết làm như thế nào để cấu hình Cisco IOS zone base firewall
Theo truyên` thông', Cisco IOS firewall được cấu hình bởi một rule kiểm tra trên interface. Điều này đã được thay đổi với tính năng mới zone base firewall, phần này kiểm tra CiscoIOS theo 1 hướng chính sách firewall giữa những nhóm interface đươc biết đến bởi khái niệm zones và cho bạn biết làm như thê nào để cấu hình Cisco IOS zone base policy firewall.
Hiểu về Cisco IOS Firewall
Cisco IOS classic firewall bản chất được biết đến như là Context Base Access Control ( CBAC), là một trong những tính năng của Cisco IOS firewall. Phần này khám phá làm thế nào để cấu hình Cisco ios classic firewall bao gồm là như thế nào để cấu hình Granular Protocol Inspection (GPI ) và một firewall ứng dụng.
Cisco IOS classic firewall có thể cung cấp mạng bảo vệ trên nhiều lớp sử dụng những chức năng khác nhau :
1. Traffic filtering
2. Traffic inspection
3. Alerts and Audit trails
4. Intrusion prevention
1. Traffic filtering :
Cisco IOS fw có thể thông minh lọc gói tin TCP và UDP dựa trên thông tin phiên lớp ứng dụng. Cisco IOS classic fw có thể đc cấu hình chỉ rõ để cho phép những traffic tcp và udp qua firewall chỉ khi kết nối được bắt đầu từ mạng bên trong cái bạn muốn bảo vệ. Kiểm tra Traffic lớp sessions bắt nguồn từ 2 phía của firewall là 1 tính năng đã đc thêm vào. The Cisco IOS classic fw cũng đề cập tới tính mềm dẻo đc sử dụng cho intranet, extranet và thông số mạng internet của bạn.
Nếu không có Cisco IOS classic fw, lọc traffic sẽ đc giới hạn bởi ACL, Khi đó sự thực hiện chỉ xem xét kiểm tra những gói tin tại lớp network hoặc tại phần lớn lớp transport.
Một trong những tính năng nâgn cao của Cisco IOS classic fw là nó xem xét kiểm tra không chỉ lớp network và transport mà còn kiểm tra tại lớp ứng dụng tronng lỗ lực tìm hiểu học về trạng thái của phiên. Điều này cho phép Cisco IOS classic fw hỗ trợ nhiều giao thức bao gồm nhiều kênh đươc tạo như là một kết quả đảm phán trong điều khiển kênh. Điều này là thiết yếu trong hỗ trợ phần lớn đa giao thức như là các giao thức ( FTP, RPC, SQL.NET) .
Cisco IOS fw đề cập đến Java blocking. Sự ngăn chặn này có thể được cấu hình để lọc traffic http dựa trên địa chỉ server hoặc để từ trối truy cập Java applet không được nhúng trên một file nén. Một sự đưa ra với java là tiềm tàng cho người dùng không cố ý tải về cố tình phá hoại mạng bên trong của bạn. ( cái này dịch lủng củng quá ko hỉu luôn )
Một cáh để bảo vệ chống lại rủi ro này là yêu cầu tất cả người dùng disable Java trên trình duyệt của họ. Điều này có thể quá giới hạn, vượt qua tầm kiểm soát và nó có thể không đúng cho mạng của bạn. Nếu trong trường hợp này bạn nên setup 1 Cisco IOS FW inspection rule và sử dụng điều này để lọc Java applets. Làm những bước này sẽ cho phép người dùng tải về chỉ những applet liên quan trong phạm vi fw cho phép và đã xác thực những applets từ bên ngoài fw. Nếu bạn yêu cầu lọc nhiều nội dung của Java, Active X, hoặc virut scanning, bạn có thể muốn cần nhắc mua một sản phẩm lọc nội dung dành riêng.
2. Traffic Inspector
Một trong những tính năng của Cisco IOS fw là kiểm tra những traffic đi qua nó, để khám phá và quản lý thông tin trạng thái của những phiên TCP và UDP. Sử dụng thông tin trạng thái này, tạm thời tạo và mở trên firewall để cho phép trả lại traffic như là thêm kết nối dữ liệu cho các phiên, cái mà đã đc cho phép
The Cisco IOS classic fw sử dụng kiểm tra gói tin packet tại lớp ứng dụng và duy trỳ thông tin phiên kết nối tcp và udp để cung cấp khả năng phát hiện và ngăn ngừa những kiểu tấn công mạng như là : Tấn công TCP SYN flooding attacks. Trong tấn công TCP SYN flooding attack, attacker yêu cầu những kết nối nhưng ko thực hiện hoàn thành kết nối mà ngăn chặn một nửa kết nối đó, làm tốn cpu của server hay tràn bộ đệm server, nó gây ra từ chối những dịch vụ đúng. Kiểu tấn công này còn gọi là DoS
Cisco IOS classic firewall giúp bảo vệ chống lại tấn công theo 1 số cách. Cho ví dụ , nó kiểm tra packet squence trong kết nối tcp để thấy nếu chúng nằm trong những dải ko mong đợi, nó sẽ xóa những packets bị nghi ngờ. Cisco ios classic fw cũng có thể đc cấu hình để xóa những kết nối một nửa ( half-open connections). Nó cũng có thể phát hiện những kết nối mối ko thường xuyên ở mức cao và đưa ra cảnh báo.
Cisco IOS classic fw cũng có thể giúp ngăn ngừa tấn công DOS bao gồm fragmented IP packets.
Theo truyên` thông', Cisco IOS firewall được cấu hình bởi một rule kiểm tra trên interface. Điều này đã được thay đổi với tính năng mới zone base firewall, phần này kiểm tra CiscoIOS theo 1 hướng chính sách firewall giữa những nhóm interface đươc biết đến bởi khái niệm zones và cho bạn biết làm như thê nào để cấu hình Cisco IOS zone base policy firewall.
Hiểu về Cisco IOS Firewall
Cisco IOS classic firewall bản chất được biết đến như là Context Base Access Control ( CBAC), là một trong những tính năng của Cisco IOS firewall. Phần này khám phá làm thế nào để cấu hình Cisco ios classic firewall bao gồm là như thế nào để cấu hình Granular Protocol Inspection (GPI ) và một firewall ứng dụng.
Cisco IOS classic firewall có thể cung cấp mạng bảo vệ trên nhiều lớp sử dụng những chức năng khác nhau :
1. Traffic filtering
2. Traffic inspection
3. Alerts and Audit trails
4. Intrusion prevention
1. Traffic filtering :
Cisco IOS fw có thể thông minh lọc gói tin TCP và UDP dựa trên thông tin phiên lớp ứng dụng. Cisco IOS classic fw có thể đc cấu hình chỉ rõ để cho phép những traffic tcp và udp qua firewall chỉ khi kết nối được bắt đầu từ mạng bên trong cái bạn muốn bảo vệ. Kiểm tra Traffic lớp sessions bắt nguồn từ 2 phía của firewall là 1 tính năng đã đc thêm vào. The Cisco IOS classic fw cũng đề cập tới tính mềm dẻo đc sử dụng cho intranet, extranet và thông số mạng internet của bạn.
Nếu không có Cisco IOS classic fw, lọc traffic sẽ đc giới hạn bởi ACL, Khi đó sự thực hiện chỉ xem xét kiểm tra những gói tin tại lớp network hoặc tại phần lớn lớp transport.
Một trong những tính năng nâgn cao của Cisco IOS classic fw là nó xem xét kiểm tra không chỉ lớp network và transport mà còn kiểm tra tại lớp ứng dụng tronng lỗ lực tìm hiểu học về trạng thái của phiên. Điều này cho phép Cisco IOS classic fw hỗ trợ nhiều giao thức bao gồm nhiều kênh đươc tạo như là một kết quả đảm phán trong điều khiển kênh. Điều này là thiết yếu trong hỗ trợ phần lớn đa giao thức như là các giao thức ( FTP, RPC, SQL.NET) .
Cisco IOS fw đề cập đến Java blocking. Sự ngăn chặn này có thể được cấu hình để lọc traffic http dựa trên địa chỉ server hoặc để từ trối truy cập Java applet không được nhúng trên một file nén. Một sự đưa ra với java là tiềm tàng cho người dùng không cố ý tải về cố tình phá hoại mạng bên trong của bạn. ( cái này dịch lủng củng quá ko hỉu luôn )
Một cáh để bảo vệ chống lại rủi ro này là yêu cầu tất cả người dùng disable Java trên trình duyệt của họ. Điều này có thể quá giới hạn, vượt qua tầm kiểm soát và nó có thể không đúng cho mạng của bạn. Nếu trong trường hợp này bạn nên setup 1 Cisco IOS FW inspection rule và sử dụng điều này để lọc Java applets. Làm những bước này sẽ cho phép người dùng tải về chỉ những applet liên quan trong phạm vi fw cho phép và đã xác thực những applets từ bên ngoài fw. Nếu bạn yêu cầu lọc nhiều nội dung của Java, Active X, hoặc virut scanning, bạn có thể muốn cần nhắc mua một sản phẩm lọc nội dung dành riêng.
2. Traffic Inspector
Một trong những tính năng của Cisco IOS fw là kiểm tra những traffic đi qua nó, để khám phá và quản lý thông tin trạng thái của những phiên TCP và UDP. Sử dụng thông tin trạng thái này, tạm thời tạo và mở trên firewall để cho phép trả lại traffic như là thêm kết nối dữ liệu cho các phiên, cái mà đã đc cho phép
The Cisco IOS classic fw sử dụng kiểm tra gói tin packet tại lớp ứng dụng và duy trỳ thông tin phiên kết nối tcp và udp để cung cấp khả năng phát hiện và ngăn ngừa những kiểu tấn công mạng như là : Tấn công TCP SYN flooding attacks. Trong tấn công TCP SYN flooding attack, attacker yêu cầu những kết nối nhưng ko thực hiện hoàn thành kết nối mà ngăn chặn một nửa kết nối đó, làm tốn cpu của server hay tràn bộ đệm server, nó gây ra từ chối những dịch vụ đúng. Kiểu tấn công này còn gọi là DoS
Cisco IOS classic firewall giúp bảo vệ chống lại tấn công theo 1 số cách. Cho ví dụ , nó kiểm tra packet squence trong kết nối tcp để thấy nếu chúng nằm trong những dải ko mong đợi, nó sẽ xóa những packets bị nghi ngờ. Cisco ios classic fw cũng có thể đc cấu hình để xóa những kết nối một nửa ( half-open connections). Nó cũng có thể phát hiện những kết nối mối ko thường xuyên ở mức cao và đưa ra cảnh báo.
Cisco IOS classic fw cũng có thể giúp ngăn ngừa tấn công DOS bao gồm fragmented IP packets.
Thứ Tư, 2 tháng 9, 2015
Secure Switch. Bảo mật tấn công lớp 2 swtich
Chương này khám
phá những hoạt động tự nhiên của lớp 2 và tại sao nó lại nhận được sự quan tâm
lớn từ hacker. Sau đó đến gần với cái đích để làm giảm những kiểu tấn công lớp
2. Những chiến lược bao gồm phương pháp luyện tập tốt nhất để bảo mật mạng lớp
2. Bảo mật chống lại tấn công VLAN HOPPING, ngăn ngừa một hacker thao tác STP,
dừng dhcp và ARP spoofing, ngăn ngừa tấn công CAM table overflow ( Content
address memory) và disallowing MAC address
spoofing.
Những topic liên quan đến chương này bao gồm: Port security,
Switch port analyzer (SPAN), Remote SPAN(RSPAN), Vlan access control list
(VACL) private VLANs, rate limiting, và MAC address notification.
Tổng quan hoạt động lớp 2 : môi trường chia sẻ hub phần lớn đã bị
loại khoải mạng ngày nay so vơi thiết bị switch. Một Ethernet switch học những
địa chỉ MAC kết nối tới port của nó. Sau nó khi nó nhận đc 1 frame đến switch,
switch sẽ đẩy frame đó đến đựa trên địa chỉ MAC đích. Tuy nhiên , nếu switch
không có địa chỉ MAC đích đc lưu trữ trên bảng CAM hay còn gọi là bảng MAC, thì
frame đó sẽ được đẩy ra tất cả các cổng của switch, loại trừ cổng nó nhận
frame.
Nhiều Ethernet switch có thể nhóm những port riêng thành các
Vlan. Nơi mà mỗi vlan là 1 vùng broadcast domain. Trafic phải được định tuyến từ
vlan này đến vlan khác.
Swtich hoạt động động ở lớp 2 mô hình OSI. Nếu 1 haker tấn công
chiếm quyền điều khiển của hệ thống switch lớp 2, tất cả các lớp trên có thể sẽ
bị tấn công. Như là 1 kêt quả tất yếu. Lớp 2 switch là 1 nơi hấp dẫn những
attacker nhất.
Preventing VLAN Hopping
Một tấn công VLAN hopping cho phép traffic từ một VLAN truy cập
tới những vlan khác mà không cần định tuyến. Một attacker có thể sự dụng vlan
hopping attack để nghe trôm traffic trên các vlan khác.
Có 2 kiểu tấn công VLAN hopping là : Switch spoofing và double tagging.
1. Switch Spoofing
Mặc định switch cicso mang tất
cả những traffic của tất cả các vlan. Vì vậy nếu một haker có thể thuyết phục một
switch đi vào trunking mode, attacker có thể nhìn thấy tất cả các traffic trên
tất cả các vlan. Trong một vài trường hợp kiểu tấn công này có thể sử dụng để
tìm kiếm username và password credential, để hacker sử dụng cho lần tấn công
sau.
Một vài dòng switch cicso mặc
định để auto mode trunking. Cái này có ý nghĩa rằng những port tự động trở thành trunking port nếu nó nhận DTP frame ( Dynamic trunking protocol).
Một haker có thể thực hiện biến cổng switch của anh ấy thành cổng trunking
mode. Bằng cách cài phần mềm trên máy tính lừa gạt DTP frame hoặc kết nối 1
switch giả tới cổng của anh ấy.
Để trống lại switch spoofing,
bạn có thể tắt trunking trên tất cả những
port không yc thực hiện mode trunks và tắt DTP trên những cổng ko cần trở thành
trunk port.
Disable Trunking
Switch (config)# interface
gigaethernet 0/3
Switch (config -if)#
switchport mode access
Preventing sử dung DTP ( ngăn ngừa sử dụng DTP)
Switch (config-if)# switchport trunk encapsulationg dot1q
Switch (config-if)#swtichport mode trunk
Switch (config-if)#swtichport nonegotiate
2. Double Tagging
Trên đường Trunk chuẩn IEEE
802.1Q ,một VLAN được thiết kế là native VLAN. Native vlan không thêm bất kỳ
tagging nào tới frame trong quá trình chuyền từ một switch này đến những switch
khác.
Nếu máy tính của hacker thuộc
cùng native vlan, hacker có thể dùng đặc thù của native vlan làm đòn bẩy để gửi
traffic, cái mà có hai tag chuẩn 802.1q.
Đặc trưng riêng, traffic `s outer tag cho native vlan và traffic inner tag cho
vlan đích, cái mà attacker muốn gửi traffic.
Mô hình :
Attacker(VLAN 1) => sw1; sw1=> sw2; sw2 =>
victim(VLAN 100).
Attacker gửi dữ liệu từ máy
mình vlan1 đến máy victim vlan 100. Do attacker kết nối đến sw1 thuộc native
vlan, nên khi dữ liệu qua sw1 sẽ ko bị gắn tag, ở đây outer tag sẽ bị gỡ bỏ
trên frame của sw1.Khi frame của sw1 được gửi đến sw2, sw2 sẽ đóng inner tag
cho frame. Inner tag ở đây là vlan 100 , vlan của máy victim. Sw2 gửi traffic
out tới vlan đích(vlan 100).
Để ngăn ngừa một tấn công VLAN
hopping sử dụng double tagging, không sử dụng native vlan để gửi traffic người
dung. Bạn có thực hiện điều này bằng cách tạo 1 native vlan trên tổ chức của bạn
không có bất kỳ port nào. Vlan này không sử dụng là duy nhất cho mục đích gán
native vlan.
SW(config-if)# switchport trunk native vlan 400
Bảo vệ trống lại một tấn công STP attack.
Trong kiểu tấn công này Attacker dùng một thiết
bị đóng giả một switch trong hệ thống có chạy giao thức STP. Switch giả này sẽ
buộc các switch khác trong hệ thống tính tóan lại STP và nó sẽ gửi các BPDUs với
switch priority là nhỏ nhất để được chọn là root bridge trong hệ thống. Và từ
đó mô hình loop-free bị thay đổi, một số đường link có thể bị block và toàn bộ dữ
liệu đổ về switch giả của Attacker.
2 khái niệm được đưa ra để bảo vệ mạng
từ kiểu tấn công STP này
+ Bảo vệ với Root Guard
: tính năng root guard có thể được bật trên tất cả những cổng của sw trên mạng,
root bridge thì không nên cấu hình root guard (đó là , bất kỳ port nào không phải
là root port). Nếu một port được cấu hình Root Guard nhận một superior BPDU,
thay vì tin BPDU, port đi tới trạng thái root-inconsistent(trạng thái mâu thuẫn).
Khi port ở trạng thái này, không dữ liệu người dùng nào được chuyển qua nó. Tuy
nhiên sau khi superior BPDU stop, port trở lại trạng thái forwarding.
Cấu hình Root Guard
Sw(config)# interface giga 0/1
Sw(config-if)#
spanning-trê guard root
+ Bảo vệ với BPDU Guard
: Tính năng BPDU Guard được bật trên tất cả những cổng được cấu
hình với tính năng Cisco Portfast. Tính
năng PortFast được bật trên tất cả những cổng kết nối tới thiết bị người dùng
cuối như là PC. Nó giảm khoảng thời gian yêu cầu cho port chuyển sang trạng
thái forwarding sau khi được kết nối. Về logic portfast là port mà kết nối tới
thiết bị người dùng cuối, không tiềm tàng tạo một topology loop. Vì vậy, port
có thể chuyển trạng thái sang forwarding sớm bằng cách bỏ qua listening và
learning. bật
tính năng STP BPDU guard ở global configuration mode. Tính năng này không cho
phép các PortFast nhận các gói tin BPDUs
Cấu
hình BPDU Guard
Sw(config)# interface
giga 0/1
Sw(config-if)# spanning-tree
portfast bpduguard
Bản dưới đây chỉ ra tổng quan về tấn công
Root Guard và BPDU Guard.
|
STP Attack mitigation method
|
Description
|
|
Root guard
|
Sau khi nhận 1 supperior BPDU, port được cấu hình Root Guard sẽ
đi đến trạng thái mâu thuẫn( root-inconsistent), Ở trạng thái này port không forwarding nữa. Sau khi superior
BPDU dừng lại, port trở lại trạng thái forward
|
|
BPDU Guard
|
BPDU guard được thiết kế để làm việc trên những port được cấu
hình tính năng PortFast. Nếu port fast nhận được BPDU thì port sẽ disable đảm
bảo cho việc secure ko thêm switch.
|
Combating DHCP Server Spoofing
Ngày
nay, phần lớn user thực hiện request ip qua dhcp server. DHCP server nhận được
request của client và response request bao gồm ( ip, subnet mac, getway, dns) gửi
tới client.
Tuy
nhiên, nếu hacker kết nối 1 dhcp server giả vào mạng, và thực hiện response
dhcp request cho client. Nếu trong mô hình mạng có 2 con dhcp, thì con nào gần
client hơn sẽ response gói tin dhcp request của client trước. ở đây dhcp server
sẽ trả lời gói tin request của người dùng trc vì nó gần client hơn.
Mục
đích của tấn công dhcp snoofing là làm thay đổi cấu trúc của gói dhcp respon của
dhcp server thật. DHCP giả sẽ trả lời các thông số ip và gateway có thể là
gateway của attacker để khi người dùng request dhcp thành công, mọi traffic đều
đi qua máy của hacker ,hacker có thể bắt tất cả các traffic qua nó, ngoài ra
còn gây hỗn loạn mạng.
Tinh
năng DHCP snooping trên switch cisco
có thể được sử dugnj để trống lại tấn công dhcp server spoofing. Với giải pháp
này, sw cisco được cấu hình trên 2 trạng thái port, là trusted và untrusted. Nếu
port ở trạng thái trusted, nó cho phép nhận dhcp response, còn nếu ở trạng thái
untrust thì nó ko cho phép nhận dhcp response.Và nếu port ở trạng thái
untrusted nó ko cho phép nhận dhcp response, và nếu 1 dhcp response được thực
hiệnv và untrusted port thì port sẽ bị disable.
Bật tính
năng DHCP SNOOPING trên sw:
Enable dhcp snooping cho vlan 1,100 hoặc ranger vlan 200 tới
210 sử dụng lệnh sau:
SW(config)#
ip dhcp snooping vlan 1,100,200-210
Sau khi bạn enable tính năng dhcp snooping, chỉ ra những interface trên switch được cấu hình port trusted
SW(config-if)# ip dhcp snooping trust
Còn những
kiểu tấn công DHCP khác như là DoS Deny of Service, trống lại dhcp server.
Attacker thực hiện request ip làm cho ip trong pool của dhcp server bị cạn kiệt
hết ip bằng những địa chỉ mac giả mạo. Để tránh tấn côn DoS dhcp, tính năng
dhcp snooping có thể đc sử dụng để giới hạn số lượng dhcp request trong 1 khoảng
thời gian, đc cho phép trên 1 cổng.
Ví dụ
dưới đây giới hạn 3 messages trên 1 giây, sử dụng cú pháp sau:
Sw(config-if)# ip dhcp snooping limit rate 3
Using Dynamic ARP Inspection
Lab config AAA trên router cisco
AAA ( Authentication Athoright
Accounting)
AAA:
Authentication là phần quan trọng nhất\
·
Authentication
+ Cisco secure ACS Solution Engine: dịch
vụ aaa đc cài đặt trên router hoặc trên network access server (NAS)
+ Self contained AAA: dịch vụ aaa đc cài đặt
trên router hoặc NAS. Cái này gọi là Local authentication
Thông
thường aaa sử dụng để xác thực user truy cập tới mạng lan thông qua kết nối từ
xa. Ngoài ra xác thực truy cập admin tới cổng console của router hay cổng vty.
AAA
access control thì được hỗ trợ trên sản phẩm của Cisco, Có thể sử dụng tên và
password trên router hoặc qua 1 csdl bảo mật.
- Local user :
B1:
R(Config)#username name
privil 15 password password // tạo user
B2:
R(Config-line)# login local // login local ( ở mode vty,
console)
- Local user/pass database : sử dụng xác
thực cho mô hình mạng nhỏ
Su dung
AAA de cau hinh local user database ( sử dụng aaa trên local router ).
+ Những câu lệnh dưới đây được nhập
theo thứ tự
R(Config)#aaa
new-model
R(Config)#username
username password password
R(Config)#aaa
authentication login default local
+ Duoi day la nhung danh sach' lenh
authentication hoan trinh cho Cisco ios ver 12.2 or later
R(Config)#aaa
authentication arap // lenh nay su dung xac' thuc RADIUS
hoac TACACS+
R(Config)#aaa
authentication banner //
Sd lenh nay de tao mot banner login
R(Config)#aaa
authentication enable default //lenh nay de enable aaa authen
de xac' dinh lieu rang 1 user co the truy cap mode privleged hay ko
R(Config)#aaa
authentication fail-message //lenh nay de hien thi khi nguoi dung login
fail
R(Config)#aaa
authentication local-override //lenh
nay dung de xac' thuc user local database truoc khi khi thuc hien xac' thuc
khac'
R(Config)#aaa
authentication login //xac'
thuc authen tai thoi diem login
R(Config)#aaa
authentication nssi //xac
thuc authen qua 1 server nssi
R(Config)#aaa
authentication password-prompt //xac thuc authen password qua 1 thong
bao' dang text
R(Config)#aaa
authentication ppp //Dung de chi dinh 1 hoac nhieu
phuong phap xac' thuc su dung tren interface serial chay ppp
R(Config)#aaa
authentication username-prompt //xac thuc authen username qua 1 thong
bao' dang text
+ 3 lenh xac' thuc quan trong ma ban
can phai nho:
R(Config)#aaa
authentication login command
R(Config)#aaa
authentication ppp command
R(Config)#aaa
authentication enable default command
Sau khi
bạn enable aaa tren access server, bạn cần định nghĩa phương thức danh sách, và
áp danh sách đó đến mode vty hoặc mode console
Có những
mẫu bảo mật đã đc định nghĩa sẵn, chỉ ra những service ppp, dot1x hoặc login,
authentication medthod
Bạn chỉ có thể chỉ định được 5 phương pháp xác thực ( local, group tacacs+, group radius, line, hoac enable authentication ) để áp tới mode line hoặc interface.
Bạn chỉ có thể chỉ định được 5 phương pháp xác thực ( local, group tacacs+, group radius, line, hoac enable authentication ) để áp tới mode line hoặc interface.
Mặc dù
trong chương này là xác thực trên local user database
Bạn có
thể áp dụng các phương pháp xác thực trên để dự phòng, ví dụ : xác thực radius,
group tacacs+, group radius, local )
LAP AAA
+ Phần 1: Cấu hình xác thực local
account
( Chu'
y' : nếu AAA được enable thì lênh login
local trên mode vty bị bỏ đi )
-R1(config)#username admin01 privil
15 pass admin01pass
-R1(config)#line
console 0 hoac line vty 0 4
-R1(config-line)#login
local
(Chú ý :
Cấu hình local user authen, khi user có privil 1 mà nhập được pass enable thì
user đó có quyền admin, vì pass enable là pass ở privil 15 )
+ Phần 2: Cấu hình xác thực AAA local account
trên router
-R3(config)#username Admin02 privilege 15 secret Admin02pass
-R3(config)#aaa
new-model
-R3(config)#aaa
authen login default local
-R3(config-line)#login
authentication default local
// kiểm
tra hệ thống đăng nhập thành công hoặc ko thành công bằng xác thực aaa)
-R3#clock set 14:15:00 27 July 2015 // Đặt thời gian
-R3#show run | include timestamps
// kiem tra xem lenh service timestamps debug datetime msec va` lenh
service timestamps log datetime msec da dc bat hay chua
-R3#copy run start
-R3#aaa debug authentication //AAA
Authentication debugging is on
Tu`
router2 thuc hien telnet den router 3, tren man` hinh R3 ban quan sat entry
thu' 3 : se thay' user dang nhap admin01, quyen privil 15, login
-R3#undebug all // lenh dung de
disable debug
+ Phần 3: Cấu hình xác thực qua
Server Radius
-R3(config)#aaa
new-model
-R3(config)#aaa
authentication login default group radius \\Configure
the default login authentication list.
-R3(config)#radius-server host 10.1.1.1 key tct@123
( Chu' y': kiem tra router giao tiep
voi Radius server)
-R3(config)#radius-server host 192.168.1.3 // kiem tra output hien thi port
authentication va port accountting
-R3#show run | incl radius // Kiem tra command line radius trong running
config
OUTPUT:
aaa
authentication login default group radius none
radius-server
host 192.168.1.3 auth-port 1645 acct-port 1646 key 7 097B47072B04131B1E1F
Thong tin hien thi dau
ra thong bao' rang radius server dang cau hinh chay tren cong 1645 va 1646
// Kiem tra cong tren
Radius Server tren PC A SETTING\SYSTEM ( Mac dinh phan mem radius chay tren cong
1812 1813 )
// Thay doi port Radius
tren router R3
+ Xoa' cau
hinh truoc' su dung lenh sau :
R1(config)#no radius-server host 10.1.1.1
auth-port 1645 acct-port 1646
+ Cau' hinh
lai cong Radius tren route la : 1812, 1813
R1(config)#radius-server host 10.1.1.1
auth-port 1812 acct-port 1813 key tct@123
//The following message
should display on the RADIUS server log.
User
(RadUser) authenticate OK.
VD: Tao 1 danh sach' xac' thuc va
kiem tra no'
a.R3(config)#aaa
authentication login TELNET_LINES group radius
b.R1(config)#line vty 0
4 \\
apply danh sach' xac' thuc aaa vao mode vty
R1(config-line)#login authentication
TELNET_LINES
+ LAP
Cac' buoc Cau hinh voi Radius server
R1(config)#aaa new-model
R1(config)# aaa authen login giapdv
group radius local // Xac' thuc radius => local
R1(config)#radius-server host
192.168.1.3
R1(config)#no radius-server host
192.168.1.3 auth-port 1645 acct-port 1646
R1(config)#radius-server host
192.168.1.3 auth-port 1812 acct-port 1813
R1(config-if)#login authen giapdv
Đăng ký:
Nhận xét (Atom)