Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Bảo mật Router-Switch (P11)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Bảo mật Router-Switch (P11)

    Sự xác thực

    Thật là quan trọng để tạo 1 phương pháp đăng nhập xác thực, được sắp theo danh sách(khai báo chi tiết loại giao thức được sử dụng cho Security Server). Và cấu trúc lệnh sau đây bật tính năng xác thưc khi đăng nhập vào Switch, việc sử dụng 1 danh sách mặc định hoặc danh sách theo ý mình và việc sử dụng nhưng phương pháp xác thực.

    Aaa athentication login {default | list-name} method1 [method2…]

    nơi mà những phương pháp đó bao gồm:

    group radius - sủ dụng tất cả danh sách RADIUS SERVER
    group tacacs - sủ dụng tất cả danh sách TACACS
    group group-name - sủ dụng những Server được khai báo bởi group-name(RADIUS SERVER, TACACS)
    krb5 - sử dụng Kerberos

    Một ví dụ về việc cấu hình cho Switch để cung cấp kiểu chứng thực TACACS+ sử dụng 1 tên nhóm của aaa-admin-servers:

    Switch(config)# aaa group servers tacacs+ aaa-admin-servers
    Switch(config)# aaa authentication login default group aaa-admin-servers
    Switch có thể cung cấp 1 phương pháp đăng nhập cục bộ nếu vì 1 lý do nào đó AAA server không thể sẵn sàng. Nó se không cho phép 1 user mà đã bị cấm truy nhập bởi AAA server để đăng nhập và sử dụng cơ chế xác thực cục bộ. Để mà thựcthi việc đăng nhập cục bộ, 1 ussername và password cần phải được cấu hình. Nhiều tài khoản có thể được tạo trên Switch, với mỗi user có 1 quyền truy cập khác nhau . Sự thêm vào những đặc tính thuận lợ khi đăng nhập cục bộ như là: phương pháp xác thực dự trữ mà người quản trị được yêu cầu cho username và password. Lệnh sau đây chỉ cho bạn cách sủ dụng xác thực cục bộ như là sự dự trữ:

    Switch(config)# aaa authentication login aaa-fallback group aaa-admin-server local

    Bước cuối cùng là việc áp đặt danh sách phương pháp xác thực lên dòng mong muốn. Câu lệnh dưới đây miêu tả cú pháp để bật dịch vụ xác thực trên 1 dòng chi tiết hay trên 1 nhóm dòng, áp đặt mặt định hay không:

    Login authentication (default | list-name)

    Lệnh sau đây sẽ áp đặt 1 danh sách tên aaa-fallback lên cổng console:

    Switch(config)# line con 0
    Switch(config-line)# login authentication aaa-fallback

    Sự phân quyền
    Tương tự như sự xác thực, sự cấu hình phân quyền cũng yêu cầu sự bảo mật của nhà quản trị khi khai báo những danh sách phương pháp. Sự trình bày khai báo cấu trúc lệnh sau đây để bật tính năng khi user truy cập vào hệ thống mạng, sử dụng danh sách mặc định hay do mình tự chọn

    Aaa authorization {auth-proxy | network | exec | commands level | reverse access | configuration | ipmobile | }{default | list name}
    Method1[method2…]

    Chi tiết về các loại chứng thực:
    auth-proxy - những chính sách bảo mật được áp đặt lên 1 user
    network - yêu cầu dịchvụ
    exec - sự bắt đầu của 1 phiên EXEC
    commands level - lệnh EXEC thực thi tại các cấp độ chi tiết
    reverse access - đảo ngược 1 phiên Telnet
    configuration - tải những cấu hình từ Security Server
    ipmobile - những dịch vụ IpMobile

    Một ví dụ về việc cấu hình 1 Switch cung cấp sự chứng thực kiểu TACACS+, sủ dụng nhóm aaa-admin-servers cho EXEC và lệnh privileged EXEC:
    Switch(config)# aaa authorization exec default group aaa-admin-servers
    Switch(config)# aaa authorization command 15 aaa-config group aaa-admin-servers if-authenticated

    Việc áp đặt những loại danh sách xác thực là bướccuối cùng của việc cấu hình xác thực. Cú pháp:
    Authorization(arap | commands level | exec | reverse-access | default | list-name)

    Để bật dịch vụ chứng thực bằng dây Console cho lệnh Privileged level 15 với 1 danh sách chứng thực, người quản trị nên sử dụng theo ví dụ sau:

    Switch(config)# line con 0
    Switch(config-line)#authorization commands 15 aaa-config

    Accouting

    Một phần cuối cùng của việc cấu hình AAA là Accounting. Những Switch Cicsco chỉ hổ trợ bảng Accounting cho Sercurity Server TACACS+ và RADIUS. Sau đây là cú pháp của lệnh để bật tính năng Accounting khi sử dụng TACACS và RADIUS+:

    Aaa accounting { system | network | exec | connection | commands levels}
    {default | list-name} {start-stop | stop only | none} [method1[method2….]]

    Có 5 loại accounting có thể chi tiết bao gồm:

    System - thông tin cho tất cả các sự kiện của hệ thống(không hợ danh sách tên, phải theo mặc định)
    Network - thông tin về tất cả các dịch vụ mạng
    Exec - thông tin về những phiên đầu cuối của user EXEC
    Connection - thông tin về tất cả các kết nối bên ngoài
    Commands level - thông tin về tất cả các lệnh EXEC, và tại những Privileged level 15 mà sử dụng.

    Để điều khiển 1 số lượng bảng accounting cho những sự kiện chi tiết bằng danh sách các phương pháp:

    Start-stop - ghi chú khi bắt đầu có sự kiện và kết thúc khi kết thúc sự kiện
    Stop only - chỉ gửi những ghi chú mà đã dừng liên quan đến sự kiện đó
    none - không lưu accounting

    Nó thì được yêu cầu để accounting được bật lên cho tất cả 5 loại, và nói riêng cho aaa accounting network default start-stop group aaa-admin-servers
    Lệnh sau đây bật tất cả 5 loại accounting, sủ dụng phương pháp accounting mặc định:start-stop
    Switch(config)# aaa accounting exec default start-stop group aaa-admin-servers

    Switch(config)# aaa accounting commands 15 default start-stop group aaa-admin-servers
    Switch(config)# aaa accounting network default start-stop group aaa-admin-servers
    Switch(config)# aaa accounting network default start-stop group aaa-admin-servers
    Switch(config)# aaa accounting system default start-stop group aaa-admin-servers

    Cú pháp lệnh sau đây bật dịch vụ accounting trên 1 dòng chi tiết hay 1 nhóm dòng

    Accounting{arap | commands level | exec | connection} {default | list-name}

    Để bật dịch vụ accounting tại Privileged level 15 và cho những sự kiện system-level(eg,.. exec) người quản trị nên sử dụng theo ví dụ sau:

    Switch(config)# line con 0
    Switch(config)# accounting commands 15 default
    Switch(config)# accounting exec default

    Tùy chọn Newinfo chỉ gửi bảng update khí nó có thông tin mới về accounting, trong khi tùy chọn Periodic sẽ gửi update dựa trên khoảng thời gian cấu hình(phút). Khi sử dụng cài đặt Periodic, nó sẽ phát ra nhiều bảng accounting kể từ thừoi gian báo cáo chuyển tiếp của những sự kiện mà xảy ra hiện hành được thêm vào.Vì thế, nó được khuyến cáo nên sử dụng tuỳ chọn Newinfo.

    Mặc định, những Switch của Cisco không phát ra bảng accoungting cho việc cố gắng xác thực đăng nhập sai khi accounting được bật lên. Để tính năng này, sủ dụng lệnh sau:

    Switch(config)# aaa accounting send stop-record authentication failure

    802.1X Port-Base Authentication

    Chuẩn EEE 802.1X là 1 giao thức xác thực và điều khiển truy xuất Port-based. Mặc dù sự thực thi của chuẩn này vẫn còn đang phát triển, nó giờ đang hiện hành trên nhiều dòng Switch của Cisco. Nó yêu cầu 1 client khi kêt nối đến 1 port của Switch phải xác thực đến 1 Server như là Access Control Server của Cisco trước khi có thể truy xuất đến mạng. Client phải chạy 1 phần mềm hỗ trợ 802.1X mà nó phải phù hợp với hệ điều hành(WinXP…)

    Ví dụ sau đây bật 802.1x trên IOS của Switch Cisco trên Interface Ethernet 1/0

    Switch(config)# aaa authentication dot1x default group radius
    Switch(config)# dot1x system-auth-control
    Switch(config)# interface Ethernet 1/0
    Switch(config-if)# dot1x port-control auto
    Switch(config-if)# dot1x host-mode single mode


    Khi 802.1X được cấu hình trên port gắn vào IP Phone của Cisco và Voice Vlan thì IP Phone không cần phải xác thực sử dụng 802.1x để truy xuất vào mạng. IP Phone đầu tiên được khai báo xuyên qua CDP sẽ được truy xuất đên mạng Voice Vlan. Không có địa chỉ MAC nào được chấp nhận trên Voice Vlan cho đến khi 1 hệ thống xác thực sử dụng 802.1X. Khi tính năng port security nên được bật lên thì chế độ dot1X multiple-hosts có thể được yêu cầu. Khi chế độ này được bật lên, bất kỳ hệ thống nào được chứng thực bởi 802.1X thì tất cả địa chỉ MAC được chấp nhận vượt qua Voice Vlan nhưng chỉ những hệ thống được xác thực sẽ được chấp nhận trên Native Vlan. Port Security hay khả năng của PACL phải được sử dụng để giới hạn sự cho phép địa chỉ MAC
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
Working...
X