CCIESecurity学习中怎么理解AAA网络安全系统?
本文由WOLFLAB网络实验室杨广成老师进行技术整理
CCIESecurityAAA是一种后台服务,是一种对网络用户进行控制的安全措施。
Authentication认证(你是谁)认证强度跟元素有关,用于认证的元素越多越安全,元素包括密码,指纹,证书,视网膜等等Authorization授权(确定你能做什么)授权用户能够使用的命令授权用户能够访问的资源授权用户能够获得的信息Accounting审计(确定你做了什么)两类审计:1、时间审计2、命令审计AAA的基本拓扑:NAS--网络访问服务器,或者叫网络接入服务器。其实就是你网络的边缘网关,外部节点需要通过这台路由器来访问你的网络。需要在这台路由器上对接入的用户进行控制。AAA--通过在服务器上装上CISCO的ACS软件,就能构建出一台AAA服务器。NAS是AAA服务器的client端为什么要用AAA:通过AAA技术,我们能对接入网络的用户进行控制,可以控制哪些用户能接入网络,能得到什么样的权限,还能记录用户上来之后做了啥事。1、跟网络设备数量有关,也就是跟NAS的数量有关2、跟用户数量有关3、由于用户的频繁变动三大类的需要认证的流量类型client-----NAS(网络访问服务器)也就是三种到达NAS的流量1、登入nastelnet/ssh/ 允许访问,查到有这个配置才会允许access-reject 拒绝访问ACS---CISCO的访问控制服务器,也就是AAA服务器。只需要在一台服务器上装上CISCO的ACS软件,就得到了一台AAA服务器。这台服务器可以配置为使用tacacs+和NAS通信,也可以配置为使用radius协议与NAS通信。以下是在路由器上配置AAA的步骤:先做准备工作:1、启用AAAaaanew-model注意:启用AAA后,路由器上不符合AAA的命令会被去掉2、client指server的地址NAS(config)#tacacs-serverhost..1.keycisco密码后面千万不要打上空格,敏感的还要在AAA服务器上增加一个client,并指明client的地址,最好起个环回口让服务器指,在服务器的CMD下加一个路由指向这个环回口。如果server指的是环回口,在client上还要指定一下更新源。iptacacssource-interfacelo03、测试testaaagrouptacacs+testR5(用户名)cisco(口令)new-code本命令纯属测试,没别的作用,只是看AAA服务器起没起作用,new-code是在新的IOS中才要用到的。如果出现usersuccessfullyauthenticated表示没问题4、做保护为了防止启用AAA后,导致自已进不了路由器,建议在console接口下做个保护设置,让console口即使不用密码也能登录。aaaauthenticationloginNOACSnone保护-不认证aaaauthorizationexecNOACSnone保护-不授权lineconsole0本地线路的保护loginauthenticationNOACS设定对CON口不进行认证,保留最后一个进入的方法,以防万一authorizationexecNOACS建议配置,但最好配置上lineaux0AUX的保护loginauthenticationNOACSauthorizationexecNOACS一、认证:1、开启对login的认证aaaauthenticationloginFOR_VTYnone不进行认证直接进入aaaauthenticationloginFOR_VTYline注意line意思是用line下的密码进行认证aaaauthenticationloginFOR_VTYlocal启用本地数据库,要自定义username和passwordaaaauthenticationloginFOR_VTYlocal-case用户名大小写敏感aaaauthenticationloginFOR_VTYenable使用enable密码进行验证aaaauthenticationloginFOR_VTYgrouptacacs+使用AAA服务器进行验证aaaauthenticationloginFOR_VTYlocallinenone如果第一种方法没有的话,就用第二种进行认证,如果第二种也没有,就不进行认证直接进入了,因为设了none需要在线程下调用:linevty04loginauthenticateFOR_VTY2、开启对enable的认证aaaauthenticationenabledefaultgrouptacacs+在用户进入enable模式的时候进行认证,本命令不需要再单独调用,默认就启用了。二、授权:基本知识:在IOS中,对用户分为16个级别,0-15,默认用户登录时级别为1在IOS中,对于命令也为分16个级别库,分别对应于16个用户级别。高级别的用户可以使用低级别的命令。默认情况下,只有0级、1级、15级这三个级别库中有命令。分为本地命令授权和AAA服务器授权1、本地授权NAS(config)#usernamewolfprivilege15passwordciscoNAS(config)#aaaauthorizationexecVTYgrouplocallinevty04authorizationexecVTY2、AAA授权注意:在AAA服务器上的授权分为用户级别的授权和命令的授权用户级别的授权:确定你是几级的用户NAS(config)#aaaauthorizationexecVTYgrouptacacs+linevty04authorizationexecVTY命令的授权:NAS(config)#aaaauthorization