R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 any
R1(config)#int s0/0
R1(config-if)#ip access-group 101 in
R1(config)#int s0/1
Нужно настроить доступ к маршрутизатору посредством протокола HTTP:
R1 (config)# ip http server
Для включения протокола HTTPS:
R1(config)# ip http secure-server
Укажем базу данных для аутентификации, она у нас будет локальная:
R1 (config)# ip http authentication local
Для того чтобы доступ по HTTP или HTTPS был разрешен только заданным хостам используем списки доступа:
R1(config)#access-list 1 permit 192.168.1.2
R1 (config)# ip http acces-class 1
Контрольные вопросы:
Лабороторная работа №6.
Защита удаленного доступа с помощью ААА с локальной базой данных.
Цели:
· Глобальная активизация ААА на маршрутизаторе, настройка профилей аутентификации ААА.
· Настройка средств авторизации ААА.
· Настройка параметров аудита ААА.
· Отладка конфигурации ААА.
Введение:
Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура AAA позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам. AAA это средства аутентификации, авторизации и аудита.
Оборудование:
Для выполнения понадобится маршрутизатор серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт.
Задание 1. Глобальная активизация ААА на маршрутизаторе, настройка профилей аутентификации ААА.
Для глобальной активизации ААА на сервере сетевого доступа или маршрутизаторе используем следующие команды:
R1(config)#aaa new-model
R1(config)#aaa authentication login default local enable line
Первая команда создает новую конфигурацию ААА, вторая обеспечивает постоянную защиту доступа по всем линиям (кроме РРР).
Изменим стандартное приглашение ввода имени пользователя и пароля, для того чтобы запутать нарушителя:
R1(config)#aaa authentication password-prompt "password: "
R1(config)#aaa authentication username-prompt "login as: "
После глобальной активизации AAA на сервере доступа необходимо определить списки методов аутентификации, а затем связать их с линиями и интерфейсами. Списки методов аутентификации представляют собой профили защиты, указыаающие сервис (РРР, ARAP или NASI) или метод входа в систему и аутентификации (local, TACACS+, RADIUS, login, enable, line или none).
Настроим ААА аутентификацию, так чтобы при входе в систему использовалась локальная база данных:
R1(config)#aaa authentication login ourprofile local
Эта команда определяет профиль аутентификации при входе в систему (ourprofile), использующий для аутентификации локальную базу данных.
Помимо метода login могут использоваться следующие методы:
Enable - cоздает набор методов аутентификации для выяснения возможности получения досту па к командам привилегированного уровня.
Login - использование аутентификации AAA в начале сеанса.
Nasi - использование аутентификации AAA для клиентов NASI, подключающихся через сервер доступа.
PPP - указывает один или несколько методов аутентификации AAA для последовательного интерфейса, использующего РРР и TACACS+.
Default - использование следующих за данным аргументом методов по умолчанию при входе пользователя в систему.
Можно указать несколько методов, они будут пробоваться сервером доступа поочереди, укажем например для нашего списка методов:
R1(config)#aaa authentication login ourprofile local enable line
Enable использует пароль администратора для доступа, line использует пароль консоли для доступа.
Теперь применим наш список методов аутентификации на консольный интерфейс:
R1(config)#line con 0
R1(config-line)#login authentication ourprofile
Также можно настроить ААА аутентификацию для консольной и терминальной линий по-другому, а именно с помощью команд:
R1(config)#aaa authentication login console-in local
R1(config)#aaa authentication login vty-in local
Задание 2. Настройка средств авторизации ААА.
Средства авторизации AAA позволяют ограничить доступ к сервисам. Когда средства авторизации AAA активизированы, сервер сетевого доступа настраивает параметры сеанса связи в соответствии с профилем пользователя, хранящимся либо в локальной базе данных, либо на сервере защиты. Пользователю предоставляется доступ к соответствующему сервису, если это допускается параметрами профиля.
Для установки параметров, определяющих права пользователя, используется команда глобальной конфигурации ааа authorization. Сервер доступа необходимо настроить так, чтобы после успешной аутентификации пользователю предоставлялось право доступа только к определенным функциям. Синтаксис команды ааа authorization следующий.
ааа authorization {network | exec | commands уровень | reverse-access} {default | имя-списка} {if-authenticated | local j none | radius | tacacs+ | krb5-instance}
Создадим список ourlist1 для авторизации пользователей с помощью локальной базы, и разрешения им выполнения всех команд уровня 15:
R1(config)#aaa authorization commands 15 ourlist1 local
Создадим список ourlist2 для авторизации пользователей с помощью локальной базы, и разрешения им выполнения процесса exec:
R1(config)#aaa authorization exec ourlist2 local
Задание 2. Настройка средств аудита ААА.
Возможности аудита AAA позволяют контролировать доступ к сервисам, а также объемы потребляемых пользователями сетевых ресурсов.
Для установки параметров записи действий пользователя используется команда глобальной конфигурации ааа accounting. Синтаксис команды ааа accounting следующий.
ааа accounting {system | network | exec | connection | commands уровень} {default | имя-списка} {start-stop | wait-start | stop-only | none} [метод! [метод2]]
Аргументы команды: system – аудит событий системного уровня (типа перезагрузки), network – аудит запросов сетевого сервиса (Slip, PPP, ARAP), exec- аудит процессов exec, connection – аудит всех исходящих соеденений telnet или rlogin. Start-stop – отправка уведомдений о начале и окночании аудита, stop-only – отправка уведомлений об окончании аудита, методы – активизирует аудит tacacs+ или radius.
Настроим аудит и отправку уведомлений о начале и завершении процесса exec, с использованием локальной базы:
R1(config)#aaa accounting start-stop local
Задание 3. Отладка ААА.
Чтобы наблюдать процессы аутентификации, авторизации и аудита в реальном времени, используйте команды:
R1# debug aaa authentication
R1# debug aaa authorization
R1# debug aaa accounting
Приведем пример вывода команды debug aaa authentication, здесь пользователь пытается войти на маршрутизатор используя свой логин и пароль, и в конечном итоге получает доступ, о чем говорит status=PASS:
R1# debug aaa authentication
113123: Feb 4 10:11:19.305 CST: AAA/MEMORY: create_user (0x619C4940) user=''
ruser='' port='tty1' rem_addr='async/81560' authen_type=ASCII service=LOGIN
priv=1
113124: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): port='tty1'
list=''
action=LOGIN service=LOGIN
113125: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): using "default"
list
113126: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): Method=LOCAL
113127: Feb 4 10:11:19.305 CST: AAA/AUTHEN (2784097690): status = GETUSER
113128: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): continue_login
(user='(undef)')
113129: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETUSER
113130: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL
113131: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETPASS
113132: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): continue_login
(user='diallocal')
113133: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = GETPASS
113134: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL
113135: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = PASS
Контрольные вопросы: