Authentication, Authorization e Accounting ... Altrimenti noto come AAA (tripla A). La maggior parte delle persone che hanno avuto per implementare AAA su un router o uno switch, probabilmente sanno ben poco sui comandi che copiano al router config. Più semplicemente prendere i file di configurazione AAA da un altro router o switch di lavoro e da fare con. Ma vi siete mai chiesti cosa fanno questi comandi? Vi siete chiesti - "Non ho nemmeno bisogno di questa Qual è il modo migliore per attuare AAA?" Oggi stiamo per ottenere il nostro [ROUTER] FREAK e verificare alcune best practice con AAA.
Se il vostro lavoro in un ambiente che utilizza AAA allora è senza dubbio un TACACS + o server di ACS in esecuzione da qualche parte che viene utilizzato per la gestione degli account di accesso ai vostri dispositivi. AAA lavora in congiunzione con TACACS + per fornire la gestione della vostra sicurezza login. Chi può effettuare il login (autenticazione), Che cosa può fare l'utente (Athorization), e tenere traccia dei comandi che vengono utilizzati (Contabilità).
Recentemente ho lavorato direttamente con Cisco per battere che cosa è esattamente delle migliori pratiche per la configurazione di AAA su un router. ciò che è venuto in mente è la seguente:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization config-commands
aaa authorization exec default group tacacs+ local if-authenticated
aaa authorization commands 1 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ local if-authenticated
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Alcune configurazioni del router aspetto più intimidatorio di altri e AAA è sempre uno di loro. Non ti preoccupare, faremo una scomposizione e si vedrà la sua non è così male dopo tutto.
Così lascia dare un'occhiata a uno linea alla volta ...
aaa nuovo modello
Questo attiva fondamentalmente aaa sul router.
aaa autenticazione TACACS login di default di gruppo + locali
Qui stiamo dicendo che per l'autenticazione a questo router login per usare il gruppo di default che è TACACS +. Se TACACS + non riesce quindi utilizzare l'account utente locale configurato sul router. (È per questo che si vuole sempre assicurarsi di avere un utente locale configurato sul router)
aaa abilitare l'autenticazione TACACS + predefinita per il gruppo di abilitazione
Qui stiamo dicendo che per attivare la modalità si desidera utilizzare le TACACS predefinite del gruppo + (notare la parola chiave locale non viene utilizzata. Ciò è dovuto al fatto che un utente definito localmente sarà specificato il livello di autorizzazione di cui hanno bisogno .. ad esempio leve 15 si ottiene consentirà modalità)
autorizzazione aaa config-comandi
Questo dice che vogliamo verificare con TACACS + per autorizzare entrare in modalità di configurazione.
aaa autorizzazione exec predefinita per il gruppo TACACS + locale se-autenticato
Notate la parola chiave "if-authenticated" alla fine di questa riga. Questo sta dicendo che se ci sono autenticati provvederemo immediatamente lasciati nelle exec (enable) mode.
autorizzazione aaa comanda 1 TACACS + gruppo di default, se-autenticato
Per ottenere i migliori pratiche Cisco raccomanda che l'autorizzazione essere configurato per ogni livello di accesso degli utenti ai dispositivi di rete. In questo comando ci autorizza livello 1 utente. Questo sarebbe anche lo stesso come non-enable mode. Un metodo fallback dovrebbe essere configurato come un utente locale. Questo richiede anche l'uso di TACACS +.
autorizzazione aaa comanda 15 TACACS + gruppo di default locale se-autenticato
Qui stiamo fornendo l'autorizzazione per il livello di 15 utenti contro TACACS +. Se TACACS + non è disponibile, l'account utente locale viene utilizzato. Se autenticato l'utente verrà immediatamente caduto in exec / enable mode.
aaa contabile di default exec start-stop di gruppo TACACS +
Contabilità AAA per ogni livello di comandi garantisce che ci sia la responsabilità per l'utilizzo di comandi privilegiati sul router. Livelli di privilegi vanno da 1 a 15, con 15 è il più alto livello. Alcune organizzazioni potrebbero voler implementare ulteriori livelli di comandi in cui uno potrebbe essere un help desk e 15 sono gli amministratori di rete.
aaa contabile comandi predefiniti uno start-stop di gruppo TACACS +
Si tratta di un comando opzionale, per quanto buone pratiche andare ... ma si tratta di responsabilità o la localizzazione delle attività degli utenti anche loro thay hanno registrato solo in (non exec / enable)
contabilità aaa comanda 15 di default start-stop TACACS + gruppo
Questo comando fornirà per la contabilizzazione di adminsitrators o livello priveledge 15
... E questo è tutto! Vedi? Oonce si va oltre ogni riga la sua non è poi così male. Il più grande ostacolo è la comprensione della struttura di comando Freaky Cisco.
Spero che questo break down ha aiutato a chiarirmi un po '.
Fino alla prossima volta - FREAK!
Non mi piace l'autenticazione utente locale. Un sacco di ingegneri sostengono l'utilizzo di "enable" contro "locale" Questo presuppone che si sta utilizzando "enable secret" che permette di password hashing utilizzando l'algoritmo MD5. E 'impossibile recuperare e un recupero password deve essere eseguito richiede l'accesso fisico.
account utente locali utilizzare una crittografia debole che può essere facilmente sconfitto.
Uso di "abilitare segreto" è anche il metodo preferito, come indicato nella "Guida al Harden Cisco IOS Cisco Devices" guida qui: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
Crisma
Non è che solo se non si specifica 'username cisco priv 15 secret cisco123' e di utilizzare invece 'username cisco priv 15 cisco123 la password'? Sono con te anche se io preferisco semplicemente usando il segreto di abilitazione.
Voglio solo dire grazie per abbattere la T i comandi AAA. Avevo lottato con loro. Ho sempre wante di capire che cosa significa il comando non solo taglia e incolla e vedere che funziona. E 'difficile trovare qualsiasi materiale in cui è suddiviso questo in giù il modo in cui hai fatto. Lo stesso con Multicast ... sto ancora lottando con esso, ma i 2 articoli hanno cominciato a guidare la mia mente intorno ad esso.
Ecco un esempio di configurazione che ho, se si potesse brek giù, ho certamente apprezzato.
ip pim autorp listener
ip pim send-rp-announce Loopback1 portata 10-list di gruppo locale-Range
ip pim send-rp-discovery Loopback0 portata intervallo di 10 30
ip pim rp-announce-filtro rp-list RP-Lo299 gruppo-list locale-Range
ip pim register-rate-limit 10
ip pim accettare la registrazione list MoH-Source-Group
ip MSDP pari 10.255.255.224 connect-source Loopback0
ip MSDP descrizione 10.255.255.224
ip MSDP sa-limite di 10.255.255.224 2000
ip MSDP cache-sa-stato
ip MSDP list ridistribuire MSDP-Local-in
ip MSDP originator-id Loopback0
ip MSDP timer 1
TACACS ip source-interfaccia Loopback0
!
ip access-list standard di Local-Range
consentire 239.250.0.0 0.0.15.255
consentire 239.250.8.0 0.0.15.255
ip access-list standard RP-Lo299
consentire 10.255.0.1 (questo è lo stesso indirizzo IP configurato i 2 core)
ignorare la 299, appena cambiato quindi non è familiare ad alcune persone che potrebbero riconoscerlo.
Grazie!