Escolar Documentos
Profissional Documentos
Cultura Documentos
Quando sua empresa fica cada vez maior, chega o momento em que você precisa considerar a
implementação de segurança em sua rede. Existem muitas maneiras de proteger uma rede, mas AAA
oferece uma solução completa. Neste tutorial, vamos descobrir mais sobre esse recurso de segurança.
Antes de mergulhar no AAA, vamos dar um exemplo de um usuário que deseja se conectar à nossa
rede.
Este processo usa um login e senha na linha de acesso. Embora seja muito fácil de implementar, há
muitas desvantagens de usar este método:
+ Método de login inseguro
+ Vulnerável a ataques de força bruta
+ Sem responsabilidade
+ Deve ser configurado em cada dispositivo manualmente
+ Armazene nomes de usuário e senhas localmente em cada dispositivo
+ Não é possível limitar quais comandos específicos não são usados
Com AAA, agora o processo de um usuário se conectando à nossa rede é mostrado abaixo:
Cada ação que os usuários fazem deve ser submetida ao servidor AAA para determinar se eles são
permitidos ou não. Este processo tem muitas vantagens:
+ Login seguro (o servidor AAA não é exposto aos usuários e apenas alguns protocolos podem ser
enviados inicialmente)
+ Gerenciamento fácil em um ou alguns servidores centralizados
+ Firewalls ou outros dispositivos de segurança podem ser colocados antes dos servidores AAA
protegê-los
+ Pode aceitar ou rejeitar comandos específicos
+ Cada comando digitado pelos usuários pode ser registrado para análise posterior
Desvantagens:
+ Requer servidor poderoso (para lidar com todo o tráfego e solicitações)
Com AAA, os usuários devem se autenticar antes de obter um endereço IP para acessar a rede. Caso
contrário, eles podem usar apenas protocolos específicos para continuar a autenticação
Para autenticação, podemos fazer via banco de dados local, padrão 802.1x (que foi desenvolvido para
fornecer um método para autenticar dispositivos que tentam acessar uma porta de switch / LAN) ou
via servidores AAA remotos. Existem dois protocolos AAA cliente / servidor populares para a
comunicação entre servidores AAA remotos e dispositivos de autenticação:
RAIO TACACS +
Nota:
+ RADIUS é um protocolo muito antigo (criado por volta do início de 1990) e foi originalmente
projetado para conexões de modem discado. Nos velhos tempos, a segurança não era uma grande
preocupação, então o RADIUS criptografava apenas as informações de autenticação (senhas) ao longo
do caminho de tráfego.
+ TACACS + é uma versão mais recente do TACAS e do XTACAS. É a resposta da Cisco ao RADIUS.
+ Ambos RADIUS e TACACS + suportam Extensible Authentication Protocol (EAP), que é uma
estrutura de autenticação freqüentemente usada em redes sem fio e conexões ponto a ponto
+ Ambos TACACS + e RADIUS podem ser executados em servidores Windows ou Unix / Linux
+ O TACACS + separa as etapas de autenticação, autorização e contabilidade. Essa arquitetura
permite soluções de autenticação separadas enquanto ainda usa o TACACS + para autorização e
contabilidade.
+ A autenticação e a autorização não são separadas em uma transação RADIUS. Quando a solicitação
de autenticação é enviada a um servidor AAA, o cliente AAA espera que o resultado da autorização
seja enviado de volta em resposta.
+ TACACS + suporta autorização de nível de acesso para comandos. Isso significa que você pode
atribuir níveis de privilégio quando um usuário fizer login com êxito.
Configuração AAA
Exemplo:
2. Vamos configurar o servidor a ser usado para AAA e a chave; observe que a chave usada é a
mesma que foi configurada no servidor RADIUS.
No comando acima, não especificamos as portas usadas para autenticação e contabilidade RADIUS,
portanto, usaremos os valores padrão de 1645 e 1646, respectivamente (ou podemos especificá-los
por meio do “radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key MySecretP @
ssword ”). A sintaxe completa do comando acima é:
+ A parte ' autenticação aaa ' está simplesmente dizendo que queremos definir as configurações de
autenticação.
+ O ' login ' indica que queremos solicitar um nome de usuário / senha quando uma conexão é feita
com o dispositivo.
+ O ' padrão ' significa que queremos aplicar para todas as conexões de login (como tty, vty, console
e aux). Se usarmos esta palavra-chave, não precisamos configurar mais nada nas linhas tty, vty e
aux. Se não usarmos essa palavra-chave, temos que especificar quais linhas queremos aplicar o
recurso de autenticação. Um exemplo de não usar a palavra-chave 'padrão' é mostrado na etapa 4
abaixo.
+ O ' raio do grupo local”Significa que todos os usuários são autenticados usando servidores
RADIUS (o primeiro método). Se os servidores RADIUS não responderem (inacessível), o banco de
dados local do roteador será usado (o segundo método). Mas observe que se o servidor RADIUS
estiver acessível enquanto o usuário não o tiver configurado, ele não fará fallback e tentará
pesquisar no banco de dados local. Ele exibirá a mensagem de % Falha na autenticação .
Observação: se não tivermos a palavra-chave 'local' (apenas o comando 'aaa authentication login
default group radius', a autenticação falhará se o servidor AAA não responder à solicitação de
autenticação, pois não há método de autenticação substituto)
Para que a autenticação local funcione, precisamos criar um usuário local. Para criar um novo usuário,
com senha armazenada em texto simples:
Mas ter senhas em texto simples não é uma boa ideia! O comando abaixo é melhor para criar um
novo usuário, com senha armazenada em texto criptografado:
4. Na etapa 3, se não usarmos a lista de métodos de login 'padrão', por exemplo:
Então temos que configurar o mesmo grupo (MY_AUTHEN_GROUP neste caso) para a (s) linha (s)
específica (s) com o comando “ login authentication list_name ”. Por exemplo, queremos aplicar a
linhas VTY (para telnet):
Nota:
+ Podemos configurar nomes de usuário / senhas diferentes no dispositivo local e no servidor AAA
remoto, mas para usuários normais, devemos configurar os mesmos nomes de usuário / senhas em
ambos os dispositivos para que a transição (no caso de falha do servidor AAA remoto) seja
transparente para eles .
+ Use o comando de configuração global de autenticação aaa para definir listas de métodos para
autenticação RADIUS
+ Use o comando global de autorização aaa para autorizar funções de usuário específicas
+ Use o comando aaa accounting para habilitar a contabilidade para conexões RADIUS
Concluindo, esta é toda a configuração de que precisamos para uma autenticação simples usando
AAA:
console de linha 0
autenticação de login NO_AUTH
Quais credenciais de login são necessárias ao se conectar à porta do console nesta saída?
Resposta: A porta do console é autenticada com a lista NO_AUTH. Mas esta lista não contém nenhum
método de autenticação (ela usa “nenhum”), portanto, nenhuma autenticação é necessária ao
conectar à porta do console.
Pergunta
Quais credenciais de login são necessárias ao conectar-se à porta VTY nesta saída?
Roteador (config) #aaa autenticação login grupo padrão linha local radius
Resposta: Usamos a lista de métodos “padrão” para que a autenticação seja aplicada a todas as
conexões de login (mesmo se não houver umcomando de autenticação de login ). Um grupo de
“RADIUS, local e linha” é definido para que o dispositivo primeiro contate o servidor RADIUS, depois o
nome de usuário local e, por fim, a senha da linha.
Como estamos usando a lista default no comando aaa authentication login, a autenticação de login é
aplicada automaticamente a todas as conexões de login (como tty, vty, console e aux).
Pergunta
Quais credenciais de login são necessárias ao conectar-se à porta VTY nesta saída?
Resposta: O roteador primeiro tenta usar o método TACACS + para autenticação e, a seguir,
o método de habilitação . Portanto, a senha de habilitação é usada para autenticar usuários se o
dispositivo não puder entrar em contato com o servidor TACACS +.
Nota: Todas as configurações acima usam apenas o primeiro “A” (Autenticação) para
demonstração. Se você deseja saber mais sobre dois outros “A” s (Autorização e Contabilidade), visite
os links da Cisco abaixo:
+
Autorização: https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/s
cfathor.html
+ Contabilidade: https://www.cisco.com
/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfacct.html
Referência:
http://www.cisco.com/c/dam/en/us/products/collateral/security/secure-access-control-server-
windows/prod_white_paper0900aecd80737943.pdf
https://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-
system-tacacs-/10384-security.html