Authentifizierung, Autorisierung und Accounting ... Sonst wie AAA (Triple A) bekannt ist. Die meisten Menschen, hatten zu implementieren auf einem Router oder Switch AAA haben wahrscheinlich wissen sehr wenig über die Befehle, die sie kopieren, um den Router-Konfiguration. Die meisten Nehmen Sie einfach das AAA configs von einer anderen Arbeitsgruppe Router oder Switch und mit durchgeführt werden. Aber haben Sie sich jemals gefragt, was diese Befehle eigentlich tun? Haben Sie sich gefragt - "Muss ich auch brauchen dies Was ist der beste Weg zu AAA umzusetzen?" Heute sind wir gonna get unsere [Router] FREAK auf und sehen Sie sich einige bewährte Methoden mit AAA.
Wenn Ihre Arbeit in einem Umfeld, das AAA nutzt dann kein Zweifel daran haben, einen TACACS + oder ACS-Server irgendwo, das ist für die Verwaltung von Logins, um Ihre Geräte verwendet. AAA-Werke in Verbindung mit TACACS + zur Verwaltung Ihrer Login-Sicherheit zu gewährleisten. Wer kann sich anmelden (Authentifizierung), Was kann dieser Benutzer tun (Athorization), und verfolgen Sie die Befehle, die verwendet werden (Accounting) werden.
Ich habe vor kurzem direkt mit Cisco zusammen, um zu schlagen, was genau ist die Best Practices für die Konfiguration von AAA auf einem Router. was wir kamen auf die folgenden:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization config-commands
aaa authorization exec default group tacacs+ local if-authenticated
aaa authorization commands 1 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ local if-authenticated
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Einige Router-Konfigurationen sehen eher einschüchternd als andere und AAA ist immer ein ihnen. Mach dir keine Sorgen, wir brechen diese nach unten, und Sie werden ihre nicht so schlecht zu sehen.
Also lassen Sie uns einen Blick auf sie eine Zeile zu einem Zeitpunkt ...
aaa new-model
Diese im Grunde dreht sich auf AAA auf dem Router.
aaa authentication login default Gruppe TACACS + lokale
Hier handelt es sich von selbst, dass an diesem Router für Logins authentifizieren verwenden Sie den Standardnamen Gruppe, die TACACS + ist. Wenn TACACS + versagt, dann verwenden Sie das lokale Benutzerkonto auf dem Router konfiguriert. (Das ist, warum Sie wollen immer sicherstellen, dass Sie einen lokalen Benutzer auf Ihrem Router konfiguriert)
AAA-Authentifizierung zu aktivieren Standardgruppe TACACS +-enable
Hier werden wir sagen, dass wir für den enable-Modus, um die Standard-Gruppe TACACS + (man beachte das Schlüsselwort LOCAL wird nicht verwendet. Dies ist verwenden wollen, weil dieser eine lokal definierte Benutzer die Berechtigungsstufe sie benötigen .. zum Beispiel Leve 15 wird es angegeben haben, erhalten Modus)
AAA-Autorisierung config-Befehle
Dieser sagt, wir wollen mit TACACS + zu ermächtigen, gehen in die Config Mode zu überprüfen.
aaa authorization exec default Gruppe TACACS +-Authentifizierung, wenn lokale
Beachten Sie das ", wenn authentifizierte" Schlüsselwort am Ende dieser Linie. Dieser sagt, dass, wenn wir authentifiziert werden wir sofort in exec (enable)-Modus fallen gelassen werden.
AAA-Autorisierung Befehle 1 Standardgruppe TACACS +-Authentifizierung, wenn
Für Best Practices Cisco empfiehlt, dass eine Genehmigung für jede Ebene der Benutzer Zugriff auf Netzwerkgeräte konfiguriert werden. In diesem Befehl werden wir die Zulassung der Stufe 1 Benutzer. Dies würde ebenfalls die gleichen wie Nicht-enable-Modus befinden. Ein Fallback-Methode sollte wie ein lokales Benutzer konfiguriert werden. Dies erfordert auch den Einsatz von TACACS +.
AAA-Autorisierung befiehlt 15 Standardgruppe TACACS +-Authentifizierung, wenn lokale
Hier bieten wir Berechtigung für Stufe 15 Benutzer gegen TACACS +. Wenn TACACS + ist nicht verfügbar, dann die lokale Benutzer-Account verwendet wird. Wenn der Benutzer authentifiziert wird sofort in exec / enable-Modus fallen gelassen werden.
aaa Buchhaltung exec default Start-Stopp-Gruppe TACACS +
AAA Accounting für jede Ebene der Befehle sichert es eine Rechenschaftspflicht für die Verwendung der privilegierten Befehle auf dem Router. Privilege Levels reichen von 1 bis 15, wobei 15 die höchste Stufe. Einige Organisationen können zusätzliche Ebenen der Befehle implementieren, wobei 1 ein Help Desk sein könnten, und 15 sind Netzwerkadministratoren.
aaa Buchhaltung Befehle ein Standard-Start-Stopp-Gruppe TACACS +
Dies ist ein optionaler Befehl so weit wie Best Practices gehen ... aber dies stellt Rechenschaftspflicht oder Verfolgung von Benutzer-Aktivität auch sie haben nur thay eingeloggt (nicht exec / enable)
AAA Accounting Standard 15 befiehlt Start-Stopp-Gruppe TACACS +
Dieser Befehl wird für die Rechnungslegung von adminsitrators oder priveledge Stufe 15 geben
... Und das ist es! Sehen Sie? Oonce Sie über jede Zeile gehen seine nicht ganz so schlimm. Die größte Hürde ist das Verständnis der freakige Cisco Kommandostruktur.
Ich hoffe, dass dieser Bruch nach unten hat klar die Dinge ein wenig geholfen.
Bis zum nächsten Mal - FREAK!
Ich mag keine lokale Benutzer-Authentifizierung. Viele Ingenieure würden argumentieren mit "enable" versus "lokalen" Dies setzt voraus, Sie verwenden "enable secret", die Hash-Kennwörter mit dem MD5-Algorithmus ermöglicht. Es ist unmöglich, sich zu erholen und ein Passwort-Wiederherstellung muss durchgeführt erfordert physischen Zugriff werden.
lokale Benutzerkonten verwenden eine schwächere Verschlüsselung, die leicht besiegt werden kann.
Mit "enable secret" ist auch die bevorzugte Methode, wie im "Guide to Cisco Cisco IOS Devices Harden" Anleitung hier skizziert: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
ChrisM
Ist das nicht nur, wenn Sie nicht angeben 'Benutzernamen cisco priv 15 cisco123 Geheimnis' und stattdessen 'Benutzernamen cisco priv 15 cisco123 Passwort'? Ich bin bei dir, obwohl ich nur mit Hilfe bevorzugen die enable secret.
Ich will einfach nur danke für den Abbau der T die AAA-Befehle sagen. Ich hatte mit ihnen zu kämpfen. Ich habe immer Wante zu verstehen, was der Befehl bedeutet nicht nur ausschneiden und einfügen und sehen, es arbeite daran. Es ist schwer, jegliches Material, wo diese nach unten, wie Sie es taten gebrochen zu finden. Das gleiche mit Multicast ... Ich bin noch immer schwer mit ihm, aber Ihr Artikel 2 haben begonnen, meine Gedanken um ihn herum zu lenken.
Hier ist ein Beispiel-Konfiguration, die ich habe, wenn man sie könnten brek hinunter, ich würde sicherlich zu schätzen.
ip pim autorp Zuhörer
ip pim send-rp-announce Loopback1 Umfang 10-Gruppe-Liste Local-Range
ip pim send-rp-Entdeckung Loopback0 Umfang Intervall 10 30
ip pim rp-announce-Liste Filter RP-RP-Lo299 Gruppe-Liste Local-Range
ip pim Register-Rate-Limit 10
ip pim akzeptieren-Liste registrieren MoH-Source-Gruppe
IP 10.255.255.224 MSDP Peer connect-Source Loopback0
IP 10.255.255.224 MSDP Beschreibung
IP MSDP sa-Limit 10.255.255.224 2000
IP MSDP Cache-sa-Zustand
IP MSDP umverteilen Liste MSDP-Local-in
IP MSDP Urheber-ID Loopback0
IP MSDP Timer 1
IP-Source-Schnittstelle TACACS Loopback0
!
ip access-list Standard-Local-Range
erlauben 239.250.0.0 0.0.15.255
erlauben 239.250.8.0 0.0.15.255
ip access-list Standard RP-Lo299
erlauben 10.255.0.1 (Dies ist dieselbe IP-Adresse auf die 2 Kerne konfiguriert)
ignorieren Sie die 299, nur geändert, so ist es nicht vertraut zu einigen Leuten, die ihn erkennen kann.
Vielen Dank!