Escolar Documentos
Profissional Documentos
Cultura Documentos
PROJEKTNI
ZADATAK
Predmet:
Tema:
AAA server
Student:
struk. ing. Marko Mitid
br. indeksa: 2049.17
2
Bezbednost računarskih mreža AAA server
Sadržaj:
1. Uvod
2. Bezbednost računarskih mreža
3. Pojam AAA servisa
4. TACACS protocol
5. Cisco ACS server
6. Hardver ACS server
7. Instalacija ACS server softvera
8. Grafičko okruženje ACS servera
9. Dodavanje korisnika na TACACS server
10. Dodavanje uređaja na TACACS server
11. Mrežni Scenario
12. Konfiguracija TACACS lokalnog logovanja
na mrežnom uređaju
13. Konfiguracija TACACS autentifikacije
na mrežnom uređaju,
14. Konfiguracija TACACS autorizacije na
mrežnom uređaju
15. Konfiguracija TACACS accounting-a
na mrežnom uređaju
16. Dodavanje AAA servisa korišdenjem
Security Device Manager (SDM)
17. Konfiguracija SSH klijenta na računaru
18. Komunikacija između TACACS servera i mrežnog uređaja
19. Zaključak
20. Literatura
3
Bezbednost računarskih mreža AAA server
4
Bezbednost računarskih mreža AAA server
1. UVOD
U cilju povedanja raspoloživosti i bezbednosti računarske mreže (eng. Network), bide objašnjen
razlog primene ovakvog mrežnog rešenja, prednost u odnosu na slična rešenja i bide pokazano na
primeru kako se server uklapa u mrežno okruženje, konfigurisanje uređaja i korisnika, kao i njegova
komunikacija sa mrežnim uređajima.
Bide pokazano na koji način je mogude izvesti server, u kojim modelima i vrstama dolazi, na
kom mestu u mreži se nalazi, kako komunicira sa ostalim mrežnim uređajima.
5
Bezbednost računarskih mreža AAA server
6
Bezbednost računarskih mreža AAA server
Računarska mreža predstavlja izvestan broj mrežnih uređaja i računara. Tačnije, skup više od
jednog od ova dva elementa, ved predstavlja mrežu. Veličina mreže zavisi od broja ovih uređaja, a
može biti:
Kudna (rezidencijalna, eng. Residential network) mreža, koja je mala i sastoji se najčešde od
nekoliko računara. Sa stanovišta brojnosti uređaja, u ovom slučaju postoji najčešde jedan mrežni
uređaj, tj ruter (eng. Router) i više računara;
Poslovna (eng. Enterprise) mreža, koja može biti skoncentrisana na jednoj geografskoj lokaciji i
imati jedan iznaz na Internet, tj. prozor u svet, ili ona koja se prostire na više geografski udaljenih
lokacija međusobno povezane mrežom Telekom operatera. U ovom slučaju postoji mnogo mrežnih
uređaja i još više računara;
Telekom operater (eng. Telco, (Internet) Service Provider, ISP ili SP.), koji služi za mrežno
povezivanje Enterprajz i kudnih računarskih mreža sa Internetom kao Nad-mrežom. U ovoj mreži
postoje samo mrežni uređaji bez računara u užem smislu.
Prikaz upravljačkog centra Internet provajdera NMC (Network Management Center) sa izlazom na
Internet, korporativnim ruterom, Firewall ASA uređajem za filtriranje saobradaja, DMZ (Demilitarized Zone) u
kojoj za servere postoje posebna pravila, LAN za administratore mreža, mrežnom za redundantni pristup
mrežnim uređajima preko Out-of-Band OOB mreže
Ali bez obzira na veličinu i namenu, mreža nije napravljena da bude sama, ved da se dalje
vezuje sa drugim, susednim mrežama, činedi tako Super-mrežu (eng. Supernet). Imajudi to u vidu, svi
računari na svetu koji imaju izlaz na tu mrežu, su neposredno umreženi jedan sa drugim, odnosno
mogu da komuniciraju. Internet je spojio ljude na svim meridijanima sveta, omogudavajudi im da
komuniciraju i razmenjuju stečena iskustva. Ovo predstavlja sjajno dostignude za čoveka, ali i
potencijalnu bezbednosnu pretnju, jer nisu sva iskustva za deljenje sa svima, a što su jedinstvenija, to
su traženija od strane tredih lica koji bi da ih iskoriste i (zlo)upotrebe. Iz tog razloga, bezbednost
čuvanja podataka je postala veoma važan aspekt u današnjim telekomunikacijama i informacionim
tehnologijama.
7
Bezbednost računarskih mreža AAA server
Bezbednost računarske mreže u današnje vreme je postala veoma važna, tačnije neophodna u
današnjem svetu. Svi današnji računari i kudni ruteri imaju ugrađen Firewall. Važni su podaci koji se
nalaze unutar mreže i koje treba zaštititi od radoznalih pogleda. Ali kako su podaci važni, važan je i
pristup opremi na kojoj se ona skladište ili koje služe za njen transport. Ovde se misli naravno na
servere, mesta gde se podaci skladište, i na mrežne uređaje, čvorove i vodove koje omogudavaju da
se ovi podaci stave na raspolaganje korisnicima. Korisnici mogu biti ljudi ili drugi serveri i mrežni
uređaji. Tačka odluke više nije čovek u ulozi portira na ulazu u zgradu, ved uređaj na kome su
definisana prethodno dogovorena pravila.
8
Bezbednost računarskih mreža AAA server
Primer autentifikacije: 1. Udaljeni klijent želi da se autentifikuje i šalje zahtev ruteru; 2. Ruter
pita klijenta za korisničko ime i šifru; 3. Ruter pretražuje ove kredencijale u lokalnoj bazi i dozvoljava
klijentu pristup.
Kako bi se definisalo na koji način može da ih koristi, da ih samo gleda (eng. View Only,
odnosno da korisnik ima tzv. read only prava, ili da ih menja – eng. edit, odnosno da ima
administratorska prava), koristi se princip poznatiji kao autorizacija (eng. Autorization). Korisniku se
daju određena prava, tzv. Privilegovani nivoi pristupa (eng. privilege levels) pristup opremi, što bi u
Cisco terminologiji značilo pristup EXEC i configuration modu. Postoje 16 nivoa pristupa opremi:
Korisnik sa privilegovanim novoom 0 ne može da koristi ni jednu IOS komandu, dok onaj sa novoom
15 može kucati sve IOS komande. Korisnik može proveriti svoj privilegovani nivo pristupa kucanjem
sledede komande na Cisco mrežnom uređaju:
R1#show privilege
Current privilege level is 15
9
Bezbednost računarskih mreža AAA server
10
Bezbednost računarskih mreža AAA server
4. TACACS protokol
11
Bezbednost računarskih mreža AAA server
Seq_no Broj sekvence određene TACACS sesije, pošto TACACS+ server ima
mogudnost više TACACS+ sesija sa AAA klijentom. Prvi paket u sesiji nosi ID sekvence
1, dok se ostali ID povedavaju za 1 a najvedi mogudi ID je 28-1 nakon koje se sesija
raskida i ponovo inicira sa ID=1.
Flags In može biti ili 0, kada je paket enkriptovan i 1 kada nije:
TAC_PLUS_UNENCRYPTED_FLAG i TAC_PLUS_SINGLE_CONNECT_FLAG.
12
Bezbednost računarskih mreža AAA server
Cisco Secure Access Server (CSACS), ili samo ACS server (Access Control Server - ACS),
predstavlja namenski server za davanje prava pristupu (mrežnim uređajima) korišdenjem AAA servisa
i TACACS+ protokola kompanije Cisco.
Cisco je zamislio ACS server kao centralizovanu bazu za sve AAA servise u mreži:
Server može da se integriše External Identity Stores tj. Active Directory Domain & Lightweight
Directory Access Protocol (LDAP), što u prevodu znači da predstavlja eksternu bazu koju proziva
kontroler domena (Domain controller (DC)) koji kontroliše domenske korisnike okviru Active
Directory. U tom slučaju TACACS+ klijent je Windows Server, zadužen za Active Directory Domain
Services (AD DS). Microsoft koristi nestandardne brojeve TCP portova za ovu komunikaciju, pa je
potrebno na TACACS serveru uskladiti portove da se podudaraju sa onima na Windows AD serveru.
Koristi se u mreži Internet Servis Provajdera (Service Providers) umesto RADIUS servera, za
autentifikaciju xDSL korisnika, pod nazivom Cisco Access Registar (CAR);
Certificate authority or certification authority (CA),
Automatsko pradenje kritičnih servisa i mogudnost slanja alarma administratorima ukoliko se
ukaže problem, ali i restartovanje ovih servisa.
Mogudnost definisanja ograničenja u korišdenju AAA servisa predefinisanim grupama
korisnika u zavisnosti od doba dana, npr. dozvoljeno logovanje u radno vreme od 9 do 17 časova
(eng. time-of-day), ili u toku radne nedelje od ponedeljka do petka (eng. day-of-week) restrictions.
Mogudnost autentifikacije korisnika koji pristupaju mreži preko janog Interneta a korišdenjem
Virtual private network (VPN) softvera i IPSec i naloga. U tom slučaju je omogudeno korisnicima da od
kude ili neke druge lokacije koja ima pristup Internetu, korišdenjem predefinisanih IPSec naloga
(korisničko ime i lozinka) a korišdenjem nekih od VPN softvera poput Cisco VPN Client-a, mogude je
udi u LAN (eng. Local Area Network) koju obično čine privatne IP adrese, koje nisu vidljive spolja.
Korišdenjem Lightweight Extensible Authentication Protocol (LEAP) tehnologije i protokola
moguda je autentifikacija korisnika koji bežično pristupaju mreži. Konektovanjem na Wireless Access
Point-ove (AP) umesto definisanja lokalne baze korisnika koji smeju da pristupaju mreži, AP se obrada
RADIUS protokolom nadređenoj bazi na RADIUS/TACACS ACS serveru.
13
Bezbednost računarskih mreža AAA server
Naprednija verzija, Cisco ACS model 1121, poseduje DVD-ROM, i dva hard-diska (HDD) koji su „Hot swappable“,
tj. Sa mogudnošdu zamene dok je uređaj operativan
Svaka veda računarska mreža bi trebalo da poseduje bar jedan ACS server a velike Enterprise
firme i Telekom operateri zbog redundanse i zacrtane raspoloživosti AAA servisa od 100%, imaju i po
dva. Jedan se definiše kao prvi (eng. primary) PRIMARY, i njega uvek prozivaju mrežni uređaji i
korisnici. Drugi služi kao podrška u slučaju da prvi postane nedostupan iz nekog razloga (eng.
backup). Zato se i naziva drugi SECONDARY. Ova dva servera rade u režimu MASTER-SLAVE.
U zadato vreme, kada se ne očekuje veliki broj upita ka serverima, a što je najčešde ponod,
definiše se preslikavanje baze korisnika sa Primarnog servera na Sekundarni. Ovaj proces se zove
Replikacija (eng. Replication). Opcija se nalazi u odeljku System Administration/Operations/
Distributed System Management, gde postoje dve instance: Primary Instance i Secondary Instance a
pod njima njihove karakteristike, kao što su: Ime, IP adresa, Online Status, Replication ID, Last Update
(kada je vršena replikacija poslednji put), koja je verzija ACS servera i opis servera koju je dao
administrator.
ACS verzija 4.2 se mogla instalirati samo na Windows Server operativni sistem, dok je
počev od verzije 5.4 moguda instalacija na VMware virtuelnu mašinu poput ESXi servera.
U mreži Telekoma Srbija se koristi za autentifikovanje korisnika koji pristupaju mrežnoj opremi,
ali i za IPSec (Internet Protocol Security) pristup korisnika koji preko Interneta pristupaju nekoj od
VPN instanci. Obezbeđuje predefinisane ključeve tokom procesa ISAKMP (Internet Security
Association and Key Management Protocol) za autentifikaciju korisnika, poznatiju kao XAUTH.
Administratori korisičkih rutera unose IPSec ove sigurnosne parametre na Cisco uređaje, što se zove i
„Command Line Authorization“.
14
Bezbednost računarskih mreža AAA server
Na primeru jednog modela ACS servera bide pokazane hardverske karakteristike modela Cisco
1111 ACS 74-3348-03.
Uređaj se montira u telekomunikacioni orman (rack) (eng. Rack mountable), standradne visine
44.50 mm (1.75 in) tj. 1U. Poseduje L profil za pričvršdivanje uređaja za metalni ram ormana.
Uređaj poseduje metalni L profil za pričvršdivanje uređaja za metalni ram ormana i šraf kojim
se vrši pričvršdivanje.
15
Bezbednost računarskih mreža AAA server
Tehničke karatkteristike:
Procesor: Intel Pentium 4 takta 3.06 GHz;
Memorija: 1 Gb RAM;
Diskovi: HDD, CD/DVD-ROM, Floppy drive.
Slika : Server bez poklopca, može se videti Floppy disk Qompaq, prostor za dva hard diska.
Untrašnjost servera i prikaz matične ploče sa hladnjakom procesora, 4 slota za RAM module, hladnjake hard diska
16
Bezbednost računarskih mreža AAA server
Konektori:
1. Ulaz mrežnog napajanja
2. PS/2 port za povezivanje miša;
3. USB port;
4. serijski port RS-232 za konzolni kabl;
5. Video RGB (Red Green Blue) za povezivanje monitora;
6. Fa0/2 NIC (Network Interface Card) RJ-45 Fast Ethernet 10/100/1000-Mbit/s;
7. Fa0/1 NIC (Network Interface Card) RJ-45 Fast Ethernet 10/100/1000-Mbit/s;
8. PS/2 port za povezivanje tastature.
17
Bezbednost računarskih mreža AAA server
18
Bezbednost računarskih mreža AAA server
19
Bezbednost računarskih mreža AAA server
Ukoliko se pokrene ACS Recovery DVD ili butabilni USB drajv sa Cisco Secure ACS ISO image,
dobija se ekran sa opcijama za instalaciju, oporavak sistema ili reset šifre za pristup:
Welcome to Cisco Secure ACS 5.5 Recovery
boot:
To reset the administrator password, at the system prompt, enter 3 if you are
using a keyboard and video monitor, or enter 4 if you are using a serial
console port.
Za instalaciju pritisnuti 1. Nakon instalacije ACS_v5.5.0.46.iso fajla sa DVD koji je veličine 1,78
Gb, dobije se preko 20Gb instalacije. U slučaju da se instalira u virtuelnoj mašini, preporučeno je
ostaviti 60Gb prostora na fizičkom hard disku.
Proces instalacije
Nakod duže instalacije, dobija se upit za konfiguraciju osnovnih parametara servera, kao što je
ime (eng. Hostname), IP adrese i mrežna maska, izlaznog interfejsa (eng. Default Gateway),
administratorski nalog, administratorsku šifru, primarni (i sekundarni opciono) DNS (Domain Name
Server)... nakon čega de se sistem rebutovati.
cached: 483720 kB
swap-cached: 0 kB
Internal filesystems:
/ : 9% used ( 305412 of 3999424)
/storeddata : 36% used ( 1333840 of 3967680)
/usr : 26% used ( 982300 of 3999424)
/tmp : 3% used ( 76232 of 3999424)
/opt : 12% used ( 2745868 of 24853612)
/home : 2% used ( 17716 of 983960)
/altroot : 2% used ( 17652 of 983960)
/recovery : 2% used ( 17652 of 983960)
/var : 4% used ( 181764 of 4983392)
/storedconfig : 2% used ( 17772 of 988116)
/boot : 40% used ( 34781 of 93275)
/dev/shm : 0% used ( 0 of 2008264)
all internal filesystems have sufficient free space
interface GigabitEthernet 0
ip address 10.10.0.65 255.255.255.0
ipv6 address autoconfig
ipv6 enable
22
Bezbednost računarskih mreža AAA server
Mogude je pingovati google.com kao URL (Uniform Resourse Locatior) adresu, i DNS de razrešiti
upit:
ACSTacacs# ping ip google.com
PING google.com (172.217.18.78) 56(84) bytes of data.
64 bytes from 172.217.18.78: icmp_seq=1 ttl=55 time=8.01 ms
64 bytes from 172.217.18.78: icmp_seq=2 ttl=55 time=8.07 ms
64 bytes from 172.217.18.78: icmp_seq=3 ttl=55 time=8.02 ms
64 bytes from 172.217.18.78: icmp_seq=4 ttl=55 time=7.98 ms
Mogude je komandom sličnom onom u DOS-u, zatražiti razrešenje adrese, npr. google.rs:
ACSTacacs# nslookup google.rs
Trying "google.rs"
Received 103 bytes from 212.200.191.166#53 in 2 ms
Komandom kojom se konfiguriše NTP (Network Time Server) server, ruter dobija tačno vreme:
ntp server 212.200.13.22
Ukoliko naknadno promenite vremensku zonu, sistem de tražiti da se resetuje. Zato je važno
ovu komandu uneti prilikom prvog pokretanja servera:
ACSTacacs(config)# clock timezone Europe/Belgrade
23
Bezbednost računarskih mreža AAA server
Politika unosa šifri, bilo za korisnika, enable mod ili neki drugi, definiše se pod password-policy
menijem:
lower-case-required
upper-case-required
digit-required
no-username
disable-cisco-passwords
min-password-length 6
password-lock-enabled
password-lock-retry-count 5
Velike kompanije koje administriraju mnogo mrežnih uređaja, moraju dugo, ako ne i zauvek, da
čuvaju AAA podatke. Pošto se u tom slučaju radi o mnogo podataka, postoji mogudnost da ugrađeni
hard disk nije dovoljan da ih sve skladišti. Radi rešenja ovog problema, mogude je čuvati logove na
eksternom serveru, kakav je SFTP server (Secure File Transfer Protocol). To se definiše komandom:
cli acs scheduled_backup acsadmin repository SFTP-Server
24
Bezbednost računarskih mreža AAA server
Pošto je na serveru podignut secure http server, tj. https server, mogude je pridi serveru preko
web pretraživača kucanjem IP adrese njegovog Gi0 interfejsa. U podržanom pretraživaču koji je
Internet Explorer (Microsoft Edge), kucati URL adresu: https://10.10.0.65/acsadmin/login.jsp
Pozdravni ekran prilikom logovanja, sa banner pozdravnom porukom u levom donjem uglu
25
Bezbednost računarskih mreža AAA server
Prvi ekran je MyWorkspace, sa prečicama za razne strane u ACS serveru. U uglu se vidi
indikacija da se radi o probnoj kopiji (eng. evaluation) ACS servera u trajanju od 90 dana: „EVAL (Days
left: 63)“
U meniju: Login Banner se može postaviti pozdravna poruka koja se ispisuje na login strani.
Ukoliko se koristi eksterno skladište baze korisnika, potrebno ju je konfigurisati pod „External
Identity Stores“ protokol „LDAP“. U tom slučaju TACACS server koristi udaljenu bazu za autentifikaciju
svojih korisnika, a ona može biti na Windows Server Active Directory.
26
Bezbednost računarskih mreža AAA server
Potrebno je pod menijem Active Directory definisati na kojem domenu se nalazi AD i koja mu
je šifra za pristup. Zatim se izvrši testiranje i spajanje sa njegovom bazom.
27
Bezbednost računarskih mreža AAA server
U podmeniju za pristup (eng. Access), definiše se sa kojih IP adresa je mogude pristupiti ACS
serveru. Osnovna postavka je dopušteno sa svih IP adresa. Ukoliko se promeni pristup u „Omoguditi
pristup samo sa spiska IP adresa“ (eng Allow only listed IP address to connect), otvara se dijalog
prozor u kome se definiše tzv. Bela lista (eng. Whitelist) IP adresa sa kojih je mogude pristupiti
serveru. Postoji i tzv. Blacklist, odnosno lista IP adresa sa kojih je zabranjen pristup. Slična postavka je
na mrežnim uređajima na kojima se korišdenjem lista za pristup (eng. Access Lists ACL) dopušta ili
brani pristup uređaju ili interfejsu.
28
Bezbednost računarskih mreža AAA server
Korisnici koji de biti autentifikovani korišdenjem TACACS+ servera, definišu se pod „Users and
Identity Stores/Identity Groups“. Po default-u postoji jedna grupa, to je ALL Groups, ali se može
dodati nova selektovanjem dugmeta „Create“. Napravljena je grupa „Administrators“, koja de imati
definisani privilegovani nivo pristupa 15 i dozvolu da koristi sve komande. Druga grupa je „Users“,
koja de imati privilegovani nivo pristupa 1 („View only“) i dozvolu da koristi pet osnovnih komandi.
Kreirali smo korisnika pod imenom „marko“ i definisali šifru i enable password za ulazak u
priviledged EXEC mode.
Dodali smo i jednog „view only“ korisnika pod imenom „Other“ koji ne pripada grupi
prethodno definisanih Administratora, ved „Users“. Njemu de biti uskraden ulazak u exec enable mod,
tzv. „Shell mode“:
29
Bezbednost računarskih mreža AAA server
30
Bezbednost računarskih mreža AAA server
U kartici „Custom Attributes“ se nalazi prikaz atributa koji se razmenjuju u TACACS porukama,
a mogude je dodatno konfigurisati još neke dodatne atribute
Na kraju se vidi spisak privilegovanih profila sa kratkim opisom.
Mogude je kreirati ostale privilegije, tzv. „Parser view“, koji de biti pridodati korisnicima sa
definisanim pristupom određenim komandama. Ovi profili prestavljaju „customized priviledge“
korisnike, koji mogu da koriste samo definisane komande.
Sada je potrebno napraviti autorizacione polise, što se radi pod Access Policies/Access Services
Potrebno je kreirati servise pristupa, kliknuti na „Create“ i za obe grupe.
U koraku 1 „Step 1 – General“ smo prvu grupu servisa nazvali ADMINISTRATORS, a drugu
USERS, svim velikim slovima, kako bi razlikovali od sličnih naziva (grupa, profil...). Zatim se čekira
servis: „User Selected Service Type“ i pod njim izabere „Device Administration“ u slučaju
administratora, i „Network Access“ u slučaju ostalih (other) korisnika, i klikne se na „Next“. Otvara se
31
Bezbednost računarskih mreža AAA server
drugi korak „Step 2 – Allowed Protocols“ gde je za komunikaciju TACACS+ servera sa mrežnim
urešajima dovoljno samo selektovati „Allow PAP/ASCII“. Kliknuti „Finish“.
Na ekranu de se pojaviti poruka, koja vas obaveštava da je kreiranje pristupnih servisa uspešno
okončano i da se može pristupiti kreiranju odabira servisa „Service Selection“. Kliknuti „Yes“.
Otvoride se stranica Service Selection Rules. Kada AAA serveru dođe zahtev, prvo de se procenjivati pravila selekcije
definisana pod Service Selection Rules. Promeniti ved postojede pravilo 1 (Rule-1)
Pod Identity svake polise je potrebno definisati koji je izvor identiteta, da li je to AD (Active
Directory) ukoliko naš ACS server vrši autentifikaciju i autorizaciju koristedi eksternu bazu na
Windows Server Active Direcrtory, ili u našem slučaju lokalnu bazu skladištenu na svom disku. Druga
opcija je AD_Local, što znači da de ACS prvo pokušati da konsultuje AD bazu a ako ona nije dostupna,
probati lokalno definisane korisnike. Tada se u „Identity Source“ bira „Internal Users“ a ostala
podešavanja se ostave kako su definisana.
Na kraju je potrebno definisati autorizaciju, pod „Authorization“ svake polise. Pošto ni jedan
profil nije definisan, kliknuti „Napravi“ tj. „Customize“. Izabrati samo uslov samo za predefinisane
atribute: „Protocol“, „Shell Profile“, „Command Sets“ i „Identity Group“.
32
Bezbednost računarskih mreža AAA server
Rezultat su dva pravila za dve vrste korisnika: administratore sa admin pravima i korisnike (user
tj. other) sa „Read only“ pravima, kojima se zabranjuje ulazak u konfiguracioni mod.
Za sva pravila koja ne potpadaju pod dva definisana, default-na vrednost je setovana na
„Permit“ što se ne sme ostaviti zbog sigurnosnog propusta. Zato je potrebno je promeniti ponašanje
pravila, pa u dnu selektovati „Default“ i promeniti u „Deny Access“:
Default If no rules defined or no enabled rule matches. Permit Access 0
33
Bezbednost računarskih mreža AAA server
34
Bezbednost računarskih mreža AAA server
U resursima mreže (eng. Network Resources), dodaju se mrežni uređaji. Po default-u, postoje
dve grupe resursa: vrsta uređaja i lokacija (Device Type i Location). Prvo je potrebno definisati
lokaciju na kojoj su mrežni uređaji, kliktanjem na dugme „Create“.
Definisana je lokacija pod imenom HP2, na kojoj se nalaze mrežni uređaji emulirani u GNS3
softveru. Kliknuti „Select“ kako bi se uneo podatak o lokaciji. Sada se može videti kreirana lokacija
kada se otvori „All Locations“ stavka, kao na slici:
Zatim je potrebno definisati vrstu uređaja koja de koristiti usluge AAA servera, a to može biti,
npr. ruter, svič, firewall, server... Kliknuti u levom meniju na „Device Type“ i „Create“ da biste uneli
vrstu uređaja, zatim opis koji nije obavezan i kliknuti „Submit“ da bi se postavke sačuvale. Kada se
razvuče „All Device Types“, može se videti napravljen objekat „Routers“.
U meniju „Network Devices and AAA Clients“ se dodaju mrežni uređaji. Kreira se uređaj koji de
tražiti autorizaciju koristedi svoju IP adresu. Definisati ime pod „Name“, proizvoljan opis, prethodno
kreirana lokacija (kliknuti na „Select“ pored „Location“ i izabrati „HP2“), vrsta mrežnog uređaja kojoj
R1 pripada a napravljena u prethodnom koraku (kliknuti na „Select“ pored „Device Type“ i izabati
„Router“). Označiti način autentifikacije da bude „TACACS+“ a ključ za komunikaciju, odnosno
„Shared Secret“ staviti isti kao i key na ruteru u komandi: tacacs-server host 10.10.0.65 key cisco123.
35
Bezbednost računarskih mreža AAA server
36
Bezbednost računarskih mreža AAA server
Fizička topologija
Logička topologija
Ruter u GNS3 ima izlaz na fizičku mrežu tako što je izlazni interfejs Gi1/0 povezan na oblak
(eng. Cloud) koji u emulatoru predstavlja Loopback interfejs računara (127.0.0.1). Pošto ovaj interfejs
nije u startu enbable-ovan u Microsoft Windows operatiovnom sistemu, potrebno ga je naknadno
enable-ovati:
37
Bezbednost računarskih mreža AAA server
U Device Manageru, desnim klikom na ime računara otvoriti meni i izabrati: Add legacy hardware.
38
Bezbednost računarskih mreža AAA server
Pošto su setovani DNS serveri koji de razrešavati upite, domen lab.rs kao i komanda kojom se
naznačava, da se za nepoznate komande, ruter obrati serveru za razrešavanje domena.
ip domain-lookup
ip domain name lab.yu
ip name-server 212.200.190.166 212.200.191.166
Važna napomena:
Sa HP2 računara sa IP adresom 10.10.0.64 nije mogude pingovati ruter R1 i IP adresu Gi0/1
interfejsa sa IP adresom 10.10.0.66, zato što ICMP (Internet Control Message Protocol) paket zna da
izađe na gejtvej 10.10.0.1 ali ne može da se vrati po istom interfejsu kojim je izašao. HP2 odbacuje taj
paket, jer ga je on inicirao. Ne zna da ga pošalje preko Loopback interfejsa i IP 127.0.0.1 na IP adresu
10.10.0.66. To se može proveriti kada se sa rutera pinguje „Broadcast“ IP adresa 255.255.255.255.
Uređaj sa IP adresom 10.10.0.66 se ne javlja. Isti je slučaj kada se želi sa R1 rutera pingovati HP2
računar. Zato nije mogude na istom računaru imati VMWare Worksation sa podignutim serverom i
GNS3 sa podignutim ruterom koji žele da komuniciraju. Ping sa rutera na server ne može da prođe.
Zbog komande kojom se konfiguriše NTP (Network Time Server) server ruter dobija tačno
vreme:
R1(config)#ntp server 212.200.13.22
R1(config)#clock timezone CET +1
40
Bezbednost računarskih mreža AAA server
Tako da u slučaju konektovanja konzolnog kabla, ili pokušaja telneta, mrežni uređaj de pitati za
ovu šifru.
Mogude je defininati I drugi nivo autentifikacije, koji mrežni uređaj zahteva ukoliko se želi
pristupiti Enable (EXEC) modu:
R1(config)# enable secret cisco
Kako bi se definisao preferirani način pristupa urešaju (in smer), potrebno je konfigurisati
transportni način na vty ulaznu liniju:
R1(config-line)# transport ?
input Define which protocols to use when connecting to the terminal server
output Define which protocols to use for outgoing connections
preferred Specify the preferred protocol to use
Pošto još nije ruter podešen da prima ssh konekcije, ved samo telnet, ako pokušamo ssh na IP
adresu rutera: R1# ssh –l marko –v 10.10.0.66, dobidemo poruku o odbijanju:
% Connection refused by remote host
41
Bezbednost računarskih mreža AAA server
Da bi se, pored telnet protokola koji prenosi komunikaciju između servera i klijenta u
tekstualnom modu i podložan je otkrivanju, koristi se protokol koji entriptuje tu komunikaciju. To je
SSH (Secure Shell) protokol.Na ruteru se mora eksplicitno omoguditi:
R1(config)#crypto key generate rsa general-keys modulus ?
<360-2048> size of the key modulus [360-2048]
Zatim je potrebno pod ulaznim linijama, ovaj put su to linije od 5 do 15, definisati način
pristupa, a to nije više telnet protokol, ved ssh:
R1(config)# line vty 5 15
R1(config-line)# exec-timeout 5 0
R1(config-line)# password cisco
R1(config-line)# transport input ssh
Mogude je proveriti sa samog mrežnog uređaja konektivnost ssh protokolom, tako što se
definiše IP adresa na koju želi da se klijent konektuje. Pošalje se korisničko ime, definiše verzija ssh
protokola.
R1#ssh -l marko ?
-c Select encryption algorithm
-m Select HMAC algorithm
-o Specify options
-p Connect to this port
-v Specify SSH Protocol Version
WORD IP address or hostname of a remote system
42
Bezbednost računarskih mreža AAA server
Šifre mogu biti vidljive u ispisu konfiguracije mrežnog uređaja što predstavlja izvesni
bezbednosni propust. Sve šifre se mogu kriptovati koristedi MD5 (Message Digest 5) način enkripcije,
ukoliko je uključena opcija na ruteru:
R1(config)# service password-encryption
U ovom slučaju je privilegovani nivo 15 najviši nivo koji ima pravo da menja
konfiguraciju uređaja i dozvoljen mu je ulaz u sve modove. Nasuprot njemu, privilegovani
nivo 0 ima pravo samo da korisni pet komandi: Disable, enable, exit, help i logout.
Mogude je definisati lokalni AAA servis na mrežnom uređaju, koji je pouzdaniji od login local.
Nakon ove konfiguracije, mogude je uspostaviti i sekundarn metod autentifikacije, kao što je npr.
korišdenjem TACACS+/RADIUS servera.
aaa authentication login default local-case
Ova komanda definiše metod autentifikacije, da bude lokalna, i osetljiva na mala i velika slova.
Pošto je broj simultanih telnet/ssh sesija koje mrežni uređaj može da podrži ograničen, tj. broj
korisnika koji su telnetovani na uređaj ne može da prelazi 15, potrebno je neaktivne sesije posle
izvesnog vremena nekorišdenja raskačiti (disconnect). Pod ovim virtuelnim (vty) ulaznim linijama je
mogude definisati vreme koliko de ved uspostavljena telnet/ssh sesija ostati aktivna nakon prestanka
unosa komandi (eng. inactive interval):
R1(config-line)# exec-timeout ?
<0-35791> Timeout in minutes
R1(config-line)# exec-timeout 60 ?
<0-2147483> Timeout in seconds
R1(config-line)# exec-timeout 60 0
Konfigurisano je da sesija ostane aktivna 60 minuta nakon prestanka unosa komandi, nakon
čega se sesija raskida i korisnik mora ponovo da se autentifikuje. Nakon unosa svake komande,
poseban tajmer se resetuje i počne da odbrojava do 60 minuta. Tada se na ekranu terminala pojavi
ispis koji obaveštava korisnika da je vreme sesije isteklo:
43
Bezbednost računarskih mreža AAA server
Da bi se proverilo ko je od korisnika ulogovan na mrežni uređaj kroz ulazne vty linije, kucati
komandu u exec/enable modu:
R1#show user
Line User Host(s) Idle Location
0 con 0 marko idle 00:03:10
2 vty 0 marko idle 00:01:30 10.10.0.62
7 vty 5 marko idle 00:00:18 10.10.0.62
* 8 vty 6 marko idle 00:00:00 10.10.0.62
Zvezdicom je označena ulazna vty linija koja pripada korisniku (u našem slučaju je to 6) koji ju
je zatražio. Ukoliko je korisnik sa privilegijama 15 a želi da drugog korisnika diskonektuje, kuca se
komanda: disconnect broj vty linije .
44
Bezbednost računarskih mreža AAA server
default (osnovni način autentifikacije za sve vrste ulaza: console, aux, telnet, ssh).
Ukoliko se ne definiše sekundarni način autentifikacije posle TACACS+, ukoliko server nije
dostupan, ne postoji način za logovanje na mrežni uređaj. Jedina opcija je Password Recovery
ulaskom u Rommon mode.
Za logovanje koristiti šifru definisanu pod line (bilo vty bilo console):
aaa authentication login telnet-pristup line
Mi demo koristiti listu za pristup telnet-pristup (ACL eng. Access List) gde demo definisati sa
kojih IP adresa sme da se pristupa mrežnom uređaju.
45
Bezbednost računarskih mreža AAA server
Definisati TACACS+ server sa kojim mrežni uređaj treba da komunicira. U komunikaciji se koristi
ključ za komunikaciju, koji mora biti isti i na TACACS serveru da bi se komunikacija između mrežnog
uređaja, u ovom slučaju klijenta, i TACACS servera, u ovom slučaju servera, uspostavila.
Ukoliko mrežni uređaj treba da komunicira samo sa jednim TACACS serverom, koristiti
komandu sa single-connection atributom:
tacacs-server host 10.10.0.65 key 7 cisco single-connection
U mreži sa dva TACACS servera, kao što je slučaj sa mrežom Telekoma Srbija, koristiti odvojene
komande za definisanje IP adrese servera i ključ za komunikaciju. U ovom slučaju, ključ de biti
korišden u komunikaciji sa oba TACACS+ servera:
tacacs-server host 195.178.45.12
tacacs-server host 195.178.45.13
tacacs-server key 7 09585430GJ890D8H15
Definisati listu za pristup gde se određuje sa koje IP adrese sme da dođe pokušaj telneta. Sve
ostale pokušaje sa drugih IP adresa prikazivati u ispisu loga:
access-class 1 in
10 permit 10.10.0.66
20 deny any log
Zatim se pod ulaznim interfejsom, a to je line console, aux (auxiliary) vty 0 4 za Telnet pristup,
ili vty 5 15 za SSH, definiše način pristupa:
line vty 0 4 aaa
access-class 1 in
Kako je ACS server na IP adresi 10.10.0.66, stavili smo tu adresu u listu za pristup. Međutim,
pokušaj telneta na ruter je odbijen, jer telnet paket koji je došao ruteru u polju Source IP Address ima
10.10.0.62, što je fizička adresa HP1 računara. Ukoliko pristupamo sa IP adrese koja nije propuštena u
listi za pristup, u logu se pojavljuje poruka:
Mar 10 23:41:26.402: %SEC-6-IPACCESSLOGNP: list 1 denied 0 10.10.0.62 -> 0.0.0.0, 1 packet
Ova adresa se koristi dok god je interfejs podignut, u „up“ stanju. Zato je bolje definisati
Loopback interfejs kao source interface na ruteru, ili vlan ukoliko se radi o sviču.
R1(config)#aaa ?
new-model Enable NEW access control commands and functions.(Disables OLD commands.)
R1(config)#aaa new-model
46
Bezbednost računarskih mreža AAA server
R1(config)#?
Configure commands:
aaa Authentication, Authorization and Accounting.
aal2-profile Configure AAL2 profile
access-list Add an access list entry
alias Create command alias
appfw Configure the Application Firewall policy
application Define application
archive Archive the configuration
arp Set a static ARP entry
async-bootp Modify system bootp parameters
atm Enable ATM SLM Statistics
backhaul-session-manager Configure Backhaul Session Manager
banner Define a login banner
bba-group Configure BBA Group
beep Configure BEEP (Blocks Extensible Exchange
Protocol)
bfd BFD configuration commands
boot Modify system boot parameters
bridge Bridge Group.
buffers Adjust system buffer pool parameters
busy-message Display message when connection to host fails
call Configure Call parameters
no tacacs-server ?
directed-request Allow user to specify tacacs server to use with
`@server'
no tacacs-server directed-request
aaa new-model
aaa authentication login default group ACSTacacs local
line vty 0 4
login authentication default
line vty 5 15
login authentication default
47
Bezbednost računarskih mreža AAA server
48
Bezbednost računarskih mreža AAA server
Nakon uspešne autentifikacije korisnika, počinje proces autorizacije, tj. definisanja privilegija
korisnika.
Poruke koje TACACS server vrada TACACS klijentu, su PASS (dozvoljena autorizacija) ili FAIL
(odbijena autorizacija) poruke.
U ovom primeru, korisnik mora da se autorizuje TACACS+ serverom, pre nego što mu se
dozvoli ulazak u EXEC mod na ruteru.
R1(config)#aaa authorization ?
config-commands For configuration mode commands.
console For enabling console authorization
exec For starting an exec (shell).
Ako TACACS server nije dostupan, koristi se lokalno definisani korisnik tako što je drugi metod
posle TACACS+ definisan grupom ACSTacacs, local (poziva se na lokalnu bazu):
R1(config)# aaa authorization exec [ named authorization list | default ] group
tacacs+ local if-authenticated
Obično se ne definiše posebna lista (eng. Named authorization list) već se primenjuje
default.
Primeniti autorizaciju na ulazne vty linije:
R1(config)# line vty 0 4
R1(config-line)# authorization exec default
R1(config-line)# authorization commands 15 [ named authorization list | default ]
R1(config-line)# authorization commands 1 [ named authorization list | default ]
50
Bezbednost računarskih mreža AAA server
Kada se korisnik autorizuje za korišdenje mrežnog uređaja, AAA accounting proces generiše
start poruku, nakon čega počinje proces beleženja svih komandi. Prilikom raskidanja telnet/ssh sesije
između klijenta i mrežnog uređaja, stop poruka se generiše i proces snimanja unetih komandi na AAA
serveru prestaje.
Definiše se logovanje svih komandi korisnika koji se nalaze u EXEC/enable modu mrežnog
uređaja:
R1(config)# aaa accounting exec [accounting group | default] start-stop group tacacs+
R1(config)# aaa accounting commands 1 [accounting group level-1 | default] start-stop group
tacacs+
R1(config)# aaa accounting commands 15 [accounting group level-15 | default] start-stop group
tacacs+
51
Bezbednost računarskih mreža AAA server
username: marko
password:
R1#show priviledge
Command authorization failed.
Day Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
52
Bezbednost računarskih mreža AAA server
R2 11 17 28 60.71 3.43 8
53
Bezbednost računarskih mreža AAA server
54
Bezbednost računarskih mreža AAA server
Dodavanje AAA servisa na ruter može se uraditi preko komandne linije unosom komandi, tzv.
CLI (Command Line Interface) ali i preko grafičkog interfejsa, ondosno Graphical User Interface (GUI).
Za tu svrhu se koristi https servis podignutom na ruteru, a servis se zove Security Device Manager
(SDM).
Konfigurisanje AAA servisa preko web interfejsa rutera i Service Device Manager (SDM)
56
Bezbednost računarskih mreža AAA server
Definisanje korisnika
57
Bezbednost računarskih mreža AAA server
58
Bezbednost računarskih mreža AAA server
Pristup mrežnom uređaju se najčešde zatražuje telnet ili SSH (Secure Shell) protokolom
koristedi neki od terminal softvera, poput CMD - Command Prompt-a u Windows okruženju, Terminal
u Mac OSx okruženju, ali i Putty, Tera Term i SecureCRT.
SecureCRT predstavlja poplularni SSH i Telnet klijent i terminal emulator kompanije VanDyke
Software. Mogude je definisati mrežne uređaje sa IP adresama, ali i obezbediti automatsko logovanje
slanjem predefinisanih korisničkih imena i šifara.
Mogude je napraviti telnet sesiju sa predefinisanim slanjem imena i šifre, zatim komande enable I
enable šifre, što nas dovodi pravo u EXEC mod
59
Bezbednost računarskih mreža AAA server
Ipak prilikom prvog logovanja putem SSH protokola, dobijena je greška da je razmena ključeva
između servera i klijenta neuspešna, jer server podržava samo metodu diffie-hellman. Zato je
potrebno u SSH klijentu ručno dodati ovu metodu za razmenu.
Dobija se poruka koja obaveštava klijent da je razmena ključa u toku, i da je mogude prihvatiti i
zapamtiti podešavanja.
ACS Serveru se, osim konzolno može pridi i preko SSH protokola na IP adresu Gi0 interfejsa, tj.
10.10.0.66.
60
Bezbednost računarskih mreža AAA server
% Authentication failed
Na ACS serveru u logu se javila poruka: „22056 Subject not found in the applicable identity
store(s)“, a u koloni User se pojavio korisnik milan koji nije definisan pod „Users and Identity
Stores/Identity Groups/Users“. Kada se klikne na grešku koja je u pretraživaču predstavljena kao link,
dobija se obrašnjenje poruke:
Zbog greške u konfiguraciji identiteta za Administratorsku grupu, gde je bilo setovano „Deny
Access“, nije se moglo logovati sa korisničkim imenom na mrežni uređaj. U logu ACS servera se
javljala greška: 22017 Selected Identity Source is DenyAccess
62
Bezbednost računarskih mreža AAA server
Prilikom logovanja na ruter i kucnja TACACS korisničkog imena i lozinke, ruter je odbijao da
autentifikuje korisnika, jer je njegovo ime bilo u grupi Administrators:
username: marko
password:
% Authentication failed
Ukoliko je uključen proces debug aaa authentication tacacs event, debug aaa authentication
tacacs packet, debug aaa authentication tacacs, debug aaa authorization, debug aaa accounting,
može se videti da
AAA/BIND(0000002D): Bind i/f
AAA/ACCT/EVENT/(0000002D): CALL START
Getting session id for NET(0000002D) : db=65DB6694
AAA/ACCT(00000000): add node, session 41
AAA/ACCT/NET(0000002D): add, count 1
Getting session id for NONE(0000002D) : db=65DB6694
AAA/ACCT/EXEC(0000002D): Pick method list 'EXEC'
AAA/ACCT/SETMLIST(0000002D): Handle 8D00000A, mlist 65FA0CA4, Name EXEC
Getting session id for EXEC(0000002D) : db=65DB6694
AAA/ACCT(0000002D): add common node to avl failed
AAA/ACCT/EXEC(0000002D): add, count 2
AAA/ACCT/EVENT/(0000002D): EXEC DOWN
AAA/ACCT/EXEC(0000002D): Accounting record not sent
AAA/ACCT/EXEC(0000002D): free_rec, count 1
AAA/ACCT/EXEC(0000002D) reccnt 1, csr FALSE, osr 0
AAA/ACCT/EVENT/(0000002D): CALL STOP
AAA/ACCT/CALL STOP(0000002D): Sending stop requests
AAA/ACCT(0000002D): Send all stops
AAA/ACCT/NET(0000002D): STOP
AAA/ACCT/NET(0000002D): Method list not found
AAA/ACCT(0000002D): del node, session 41
AAA/ACCT/NET(0000002D): free_rec, count 0
AAA/ACCT/NET(0000002D) reccnt 0, csr TRUE, osr 0
AAA/ACCT/NET(0000002D): Last rec in db, intf not enqueued
Potrebno je setovati „Select“ pa izabrati „Internal Users“, nakon čega se korisnik marko
autentifikuje i autorizuje uspešno.
Log na ACS serveru pokazuje grešku: 22040 Wrong password or invalid shared secret
Pošto smo na ACS serveru pod Network Devices and AAA Clients za R1 isprva definisali
pogrešnu IP adresu, npr. 10.10.0.68, na serveru se pojavila poruka 13017 Received TACACS+ packet from
unknown Network Device or AAA Client.
Promenili smo ključ za komunikaciju rutera R1 i TACACS servera nakon čega server nije
dostupan:
R1(config)#tacacs-server key cisco1
Username: marko
Password: kucana TACACS šifra
% Authentication failed
Username: marko
Password: cisco123
T+: user:
T+: port: tty2
T+: rem_addr: 10.10.0.62
T+: data:
T+: End Packet
Username: marko
Password: cisco123 koristi se enable šifra
R1>
Enable šifru proverava ruter, tako da se Authentication failed poruka ne vidi na ACS u logu.
username: marko
password: Kucati pravu šifru definisanu na TACACS serveru
65
Bezbednost računarskih mreža AAA server
Authorization Details
Status: Passed
Failure Reason:
Logged At: Mar 11,18 11:28:07.676 PM
ACS Time: Mar 11,18 11:28:07.663 PM
ACS Instance: ACSTacacs
Authentication Method: TacacsPlus
Authentication Type:
Header Privilege Level: 1
Command Set: [ CmdAV= ]
User
User Name: marko
Remote Address: 10.10.0.62
Network Device
Network Device Name: R2
Device Type:All Device Types:Routers,
Netwok Device Group:
Location:All Locations:HP2
Device IP Address: 10.10.0.66
Access Policy
Access Service: Default Device Admin
Identity Store:
Selected Shell Profile: Permit Access
Matched Command Set:
Selected Command Set:
Active Directory Domain:
Identity Group: All Groups:Administrators
Access Service Selection Matched Rule: Rule-2
Identity Policy Matched Rule: Default
Selected Identity Stores:
Query Identity Stores:
Selected Query Identity Store:
Group Mapping Policy Matched Rule:
Authorization Policy Matched Rule: Default
66
Bezbednost računarskih mreža AAA server
username: other
password:
R1>enable
Password:
R1#configure
Command authorization failed.
Ako bismo želeli da korisniku „other“ damo privilegovani nivo 1, kojom bi mogao da uđe u
enable/EXEC mod i koristi standarnih pet komandi, potrebno je promeniti na ACS serveru da umesto
„Permit Access“ za „Shell Profile“ tj. enable/EXEC mod, stavimo predefinisani nivo privilegija 15
(„priviledge15“).
Nakon ove ispravke, korisnik “other” je dobio privilegovana prava prvog nivoa i prilikom
logovanja i unosa šifre, ulazi pravo u enable/EXEC mod.
67
Bezbednost računarskih mreža AAA server
68
Bezbednost računarskih mreža AAA server
19. Zaključak
ACS server se više ne proizvodi pod tim imenom od 2015. godine. Sada je zamenjen serverom
za „proveru identiteta“ (eng. Identity Services Engine (ISE)) koji se zasniva na politikama pristupa
(eng. Policy-Based Access Control (PBAC)), a ne kao pre na kontrolu pristupa po ulogama.
The Cisco Secure Access Control System will complement your existing infrastructure. Use it to
enhance visibility and control across the domain. You can centrally manage access policies for device
administration and for wireless and wired 802.1X network access scenarios.
Receive support for two distinct protocols: RADIUS for network access control and TACACS+
for network device access control
69
Bezbednost računarskih mreža AAA server
Use multiple databases concurrently for exceptional flexibility in enforcing access policy
Enjoy more power and flexibility for access control policies that may include authentication
Get integrated monitoring, reporting, and troubleshooting components, accessible through
an easy-to-use web-based GUI
For physical platform support of ISE, please refer to the Cisco Secure Network Server data
sheet.
End-of-Life Chart
70
Bezbednost računarskih mreža AAA server
20. Literatura:
71