Tweet
Phần này chỉ tập trung vào cấu hình Cisco IOS firewall cho hướng inbound và outbound mà không sử dụng CBAC, NAT, IPSec hay VPN Client.
Các bước cấu hình Authentication Proxy:
Bước 1: Cấu hình AAA
Cho phép tính năng AAA trên Cisco IOS Firewall
Định nghĩa phương thức xác thực được tận dụng khi login
Từ khoá auth-proxy cho phép bật cơ chế authentication proxy cho phương thức xác thực AAA ( TACACS+ hay RADIUS) và cho phép router download các ACL động từ server AAA.
Từ khóa auth-proxy trong câu lệnh này kích hoạt chức năng accounting cho authentication proxy
Nhận dạng AAA server bằng hostname hoặc bằng địa chỉ IP
hoặc
Cấu hình key xác thực và mã hóa nhằm đảm bảo kênh truyền thông tin giữa Cisco IOS Firewall và server AAA được bảo mật.
Tạo ACL nhằm cho phép các traffic từ AAA server trả về Cisco IOS Firewall.
Bước 2: Cấu hình HTTP server
Trong bước này, bạn cấu hình HTTP server hoạt động và thiết lập các phương thức xác thực
- ip http server Mở chức năng HTTP server trên Cisco IOS Firewall. HTTP server được dùng bởi Cisco IOS Firewall để gửi trang login đến Client.
- ip http secure-server Mở chức năng HTTP server trên Cisco IOS firewall sử dụng đặc tính SSL (Secure Socket Layer). Ciso IOS Firewall được truy nhập theo cùng cách như trên ngoại trừ truy nhập sử dụng HTTPS (SSL). Sử dụng các server bảo mật làm giảm những lỗ hổng liên hệ với việc cho phép việc truy nhập vào Cisco IOS Firewall dùng HTTP server.
- ip http authentication aaa Cài đặt phương thức xác thực HTTP server dùng AAA
- access-list access-list-number deny any Một ACL chuẩn phải được tạo ra để từ chối bất kỳ máy nào
- ip http access-class access-list-number Đặc tả ACL được sử dụng bởi HTTP server. Số của ACL được tạo ra ở trên được dùng để ngăn chặn bất kỳ máy nào kết nối trực tiếp vào HTTP server
Bước 3: Cấu hình Authentication Proxy
Bước này cấu hình authentication proxy trên Cisco IOS firewall. Dùng các câu lệnh trong bảng sau:
- ip auth-proxy auth-cache-time min: Đặt giá trị idle-timeout của authentication proxy. Tất cả các mục xác thực và các ACL động được xóa khỏi Cisco IOS Firewall khi đạt đến giá trị idle-timeout này. Đơn vị là phút, mặc định là 60 phút.
- ip auth-proxy auth-proxy-banner (Tùy chọn) cho phép bạn đặt tên của firewall trên trang login của authentication proxy. Mặc định tính năng không bật lên.
- ip auth-proxy name auth-proxy-name http [auth-cache-time min][list {acl | acl-name}] Cấu hình các luật riêng lẻ của authentication proxy
[auth-cache-time min]: tham số này là tùy chọn và được dùng đặc tả thời gian auth-cache-time cho 1 luật nào đó thay vì dùng cấu hình ở mode configuration[list {acl | acl-name}]: tùy chọn này dùng để chỉ định ACL cho luật.
interface type Đặc tả loại cổng giao tiếp trên đó sẽ sử dụng authentication proxy.
- ip auth-proxy auth-proxy-name Câu lệnh này sử dụng trên mode interface, áp dụng luật của authentication proxy lên cổng. Các luật phải được áp dụng trên cổng đầu tiên của Cisco IOS Firewall mà yêu cầu kết nối sẽ đi vào. Ví dụ, các luật nên được áp dụng trên cổng giao tiếp bên trong cho những traffic đi ra ngoài và trên cổng giao tiếp với bên ngoài cho traffic đi vào hệ thống.
Bước 4: Kiểm tra cấu hình Authenticatino Proxy:
Sử dụng câu lệnh show ip auth-proxy để hiển thị và kiểm tra cấu hình athentication proxy.
Các bước cấu hình Authentication Proxy:
- Bước 1: Cấu hình AAA
- Bước 2: Cấu hình HTTP server
- Bước 3: Cấu hình Authentication Proxy
- Bước 4: Kiểm tra cấu hình
Bước 1: Cấu hình AAA
Cho phép tính năng AAA trên Cisco IOS Firewall
Code:
[I]aaa new-model[/I]
Code:
[I]aaa authentication login default [tacacs+ | radius][/I]
Code:
[I]aaa authorization auth-proxy default [method1 [method2...]][/I]
Code:
[I]aaa accounting auth-proxy default start-stop group tacacs+[/I]
Code:
[I]tacacs-server host hostname[/I]
Code:
[I]radius-server host hostname[/I]
Code:
[I]tacacs-server key key[/I] or [I]radius-server key key[/I]
Code:
access-list [access-list-number] permit tcp host source eq tacacs | radius host destination
Trong bước này, bạn cấu hình HTTP server hoạt động và thiết lập các phương thức xác thực
- ip http server Mở chức năng HTTP server trên Cisco IOS Firewall. HTTP server được dùng bởi Cisco IOS Firewall để gửi trang login đến Client.
- ip http secure-server Mở chức năng HTTP server trên Cisco IOS firewall sử dụng đặc tính SSL (Secure Socket Layer). Ciso IOS Firewall được truy nhập theo cùng cách như trên ngoại trừ truy nhập sử dụng HTTPS (SSL). Sử dụng các server bảo mật làm giảm những lỗ hổng liên hệ với việc cho phép việc truy nhập vào Cisco IOS Firewall dùng HTTP server.
- ip http authentication aaa Cài đặt phương thức xác thực HTTP server dùng AAA
- access-list access-list-number deny any Một ACL chuẩn phải được tạo ra để từ chối bất kỳ máy nào
- ip http access-class access-list-number Đặc tả ACL được sử dụng bởi HTTP server. Số của ACL được tạo ra ở trên được dùng để ngăn chặn bất kỳ máy nào kết nối trực tiếp vào HTTP server
Bước 3: Cấu hình Authentication Proxy
Bước này cấu hình authentication proxy trên Cisco IOS firewall. Dùng các câu lệnh trong bảng sau:
- ip auth-proxy auth-cache-time min: Đặt giá trị idle-timeout của authentication proxy. Tất cả các mục xác thực và các ACL động được xóa khỏi Cisco IOS Firewall khi đạt đến giá trị idle-timeout này. Đơn vị là phút, mặc định là 60 phút.
- ip auth-proxy auth-proxy-banner (Tùy chọn) cho phép bạn đặt tên của firewall trên trang login của authentication proxy. Mặc định tính năng không bật lên.
- ip auth-proxy name auth-proxy-name http [auth-cache-time min][list {acl | acl-name}] Cấu hình các luật riêng lẻ của authentication proxy
[auth-cache-time min]: tham số này là tùy chọn và được dùng đặc tả thời gian auth-cache-time cho 1 luật nào đó thay vì dùng cấu hình ở mode configuration[list {acl | acl-name}]: tùy chọn này dùng để chỉ định ACL cho luật.
interface type Đặc tả loại cổng giao tiếp trên đó sẽ sử dụng authentication proxy.
- ip auth-proxy auth-proxy-name Câu lệnh này sử dụng trên mode interface, áp dụng luật của authentication proxy lên cổng. Các luật phải được áp dụng trên cổng đầu tiên của Cisco IOS Firewall mà yêu cầu kết nối sẽ đi vào. Ví dụ, các luật nên được áp dụng trên cổng giao tiếp bên trong cho những traffic đi ra ngoài và trên cổng giao tiếp với bên ngoài cho traffic đi vào hệ thống.
Bước 4: Kiểm tra cấu hình Authenticatino Proxy:
Sử dụng câu lệnh show ip auth-proxy để hiển thị và kiểm tra cấu hình athentication proxy.