Как защитить административный доступ на маршрутизаторе Cisco с помощью AAA и RADIUS

Рубрики:

Метки:

Cisco, Cisco CLI, security, сетевые технологии

Команды LINUX «от A до Z» — настольная книга с примерами

Рассмотрим, как защитить административный доступ на маршрутизаторе Cisco с помощью AAA и RADIUS. Узнаем, как построить сеть из нескольких маршрутизаторов и использовать команды CLI для настройки базовой локальной аутентификации с помощью AAA. Установим на внешнем компьютере программное обеспечение RADIUS и будем использовать AAA для аутентификации пользователей с помощью сервера RADIUS.

Содержание:

Топология
Подробный мастер-класс
Сценарий
Задачи
Выводы

Топология

Исследуемая топология состоит из трех маршрутизаторов Cisco 1941 с ПО Cisco IOS Release 15.4(3)M2 (с лицензией Security Technology Package). Допускается использование других маршрутизаторов и версий Cisco IOS.

Схема топологии следующая:

Подробный мастер-класс

Видеоинструкция на нашем YouTube-канале:

Лабораторная работа доступна здесь: CCNA Security Securing Administrative Access Using AAA and RADIUS.

Сценарий

Самым распространенным способом обеспечения безопасного доступа к маршрутизатору является создание паролей для линий консоли, vty и aux. При попытке доступа к маршрутизатору, у пользователя будет запрашиваться только пароль. Настройка секретного пароля в привилегированном режиме повышает уровень безопасности, но в любом случае для каждого уровня доступа требуется только основной пароль.

Курсы Python с нуля до DevOps на практике за 1,5 часа

Помимо основных паролей, в локальной базе данных маршрутизатора можно настроить отдельные имена или учетные записи пользователей с разными уровнями привилегий, которые могут применяться ко всему маршрутизатору. Когда для линий консоли, vty или aux настроено обращение к этой локальной базе данных, то при использовании любой из этих линий для доступа к маршрутизатору пользователю предлагается ввести имя и пароль.

Для дополнительного контроля над процессом входа может применяться метод аутентификации, авторизации и учета (AAA). Для обеспечения базовой аутентификации, функцию AAA можно настроить на доступ к локальной базе данных при вводе имен пользователей. Кроме того, могут быть определены запасные процедуры. Однако данный подход не обладает хорошей масштабируемостью, так как его нужно настраивать на каждом маршрутизаторе. Для обеспечения максимальной масштабируемости и максимально эффективного применения AAA, данную функцию нужно использовать совместно с базой данных внешнего сервера TACACS+ или RADIUS. При попытке пользователя войти в систему, маршрутизатор обращается к внешнему серверу базы данных для проверки действительности имени пользователя и пароля.

Задачи

Настройка основных параметров устройства.
Настройка локальной аутентификации.
Настройка локальной аутентификации с помощью AAA.
Настройка централизованной аутентификации с помощью AAA и RADIUS.

Настройки R1 после выполнения Части 1

hostname R1
no ip domain-lookup
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no shut

interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
no shut

router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 192.168.1.0 0.0.0.255 area 0
passive-interface fa 0/1

line con 0
exec-timeout 5 0
logging synchronous

Настройки R2 после выполнения Части 1

hostname R2
no ip domain-lookup

interface Serial0/0/0
ip address 10.1.1.2 255.255.255.252
no shut

interface Serial0/0/1
ip address 10.2.2.2 255.255.255.252
no shut

router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0

line con 0
exec-timeout 5 0
logging synchronous
password ciscoconpass
exit

security passwords min-length 10
enable algorithm-type scrypt secret cisco12345

line aux 0
password ciscoauxpass
exec-timeout 5 0
login
exit

line vty 0 4
password ciscovtypass
exec-timeout 5 0
login
exit

service password-encryption
banner motd $Unauthorized access strictly prohibited!$

Настройки R3 после выполнения Части 1

hostname R3
no ip domain-lookup

interface FastEthernet0/1
ip address 192.168.3.1 255.255.255.0
no shut

interface Serial0/0/1
ip address 10.2.2.1 255.255.255.252
no shut

router ospf 1
network 10.2.2.0 0.0.0.3 area 0
network 192.168.3.0 0.0.0.255 area 0
passive-interface fa 0/1

line con 0
exec-timeout 5 0
logging synchronous

Настройки R1 после выполнения Части 2

username user01 algorithm-type scrypt secret user01pass

line console 0
login local
exit

line vty 0 4
login local
transport input telnet
exit

line aux 0
login local
exit

Настройки R3 после выполнения Части 3

username Admin01 privilege 15 algorithm-type scrypt secret Admin01pass

aaa new-model
aaa authentication login default local-case none
aaa authentication login TELNET_LINES local

line vty 0 4
login local
transport input telnet
login authentication TELNET_LINES
exit

clock set 14:15:00 13 September 2019

Настройки R1 после выполнения Части 4

aaa new-model
aaa authentication login default group radius none
radius server CCNAS
key WinRadius
address ipv4 192.168.1.3 auth-port 1812 acct-port 1813

aaa authentication login TELNET_LINES group radius

line vty 0 4
login local
transport input telnet
login authentication TELNET_LINES
exit

Выводы

Спасибо за уделенное время на прочтение статьи. Теперь вы больше знаете о том, как защитить административный доступ на маршрутизаторе Cisco с помощью AAA и RADIUS.

Курсы Git за час: руководство для начинающих DevOps / DevNet инженеров

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.

Что Вы получите?

Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.

Как проходит обучение?

Проведем вечерние онлайн-лекции на нашей платформе.
Согласуем с вами удобное время для практик.
Если хотите индивидуальный график — обсудим и реализуем.
Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.

А еще поможем Вам:

отредактировать или создать с нуля резюме;
подготовиться к техническим интервью;
подготовиться к конкурсу на понравившуюся вакансию;
устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.