Cấu Hình Chứng Thực AAA

Quá trình cấu hình AAA trên router thông qua một số bước sau:
1. Kích hoạt AAA bằng cách dùng câu lệnh aaa new-model ở global mode
2. Nếu ta có ý định dùng một server riêng dùng cho quá trình chứng thực ví dụ như RADIUS Server, TACACS+ Server, Kerberos Server thì ta cấu hình tham số dùng cho phương thức bảo mật ứng với loại server ta đã chọn
3. Định nghĩa các phương pháp chứng thực bằng cách dùng câu lệnh aaa authentication
4. Apply những phương pháp này vào một interface hay một mode line nào đó.
5. Cấu hình Authorization bằng câu lệnh aaa authorization (Option)
6. Cấu hình Accounting bằng câu lệnh aaa accounting (Option)
I. Kích hoạt AAA
Để kích hoạt aaa trên router hoặc NAS, vào global mode nhập lệnh aaa new-model. Để disable thì dùng thêm no trước câu lệnh

R1(config)#aaa new-model
R1(config)#no aaa new-model


Những câu lệnh trên đơn giản chỉ là tắt và mở tính năng aaa. Sau khi ta đã nhập thì các mode CON, VTY, AUX và TTY line sẽ yêu cầu username và password cho quá trình chứng thực. Những thiết lập password trước đó cho những đường trên sẽ được remove tự động.


II. Định nghĩa Security Server
1.
TACACS Server
Giả sử lúc này ta dùng TACACS+ Server dùng cho quá trình chứng thực. Ta dùng câu lệnh tacacs-server host trong global mode. Để xóa câu lệnh ta thêm chữ no trước câu lệnh chỉ đến một server Tacacs nào đó. Cú pháp câu lệnh như sau:


R1(config)#tacacs-server host {hostname | ip address} [single-connection] [port port#] [timeout seconds] [key string]
R1(config)#no tacacs-server host hostname


host: Tên của Tacacs server

ip-address: Địa chỉ IP của Tacacs

Single Connection: Đây là một tính năng tùy chọn. Nó yêu cầu router chỉ duy trì một kết nối đến AAA/Tacacs Server.

Port: Override default port là port 49 (Option)

Port#: Số port của Server (range từ 1 đến 65535)

Timeout: Override thời gian time out mặc định và xác định thời gian timeout

Key: Xác định router sẽ dùng key cho quá trình chứng thực và mã hóa. Key này phải trùng khớp so với key đã được cấu hình trong TACACS daemon. Nếu key được cấu hình chỉ định cho server cụ thể thì sẽ override câu lệnh xác định key trong global mode là tacacs-server key.

String : Những ký tự dùng cho quá trình chứng thực và nó cũng là key mã hóa.


Ta có thể định nghĩa nhiều TACACS Server. Cisco IOS sẽ tìm kiếm theo thứ tự mà ta đã xác định. Các tính năng single – connection, port, timeout, key là các tính năng gia tăng tính bảo mật. Ta có một số ví dụ như sau


- Xác định tacacs server với hostname là SRV1 như sau


R1(config)#aaa new-model
R1(config)#tacacs-server host SRV1


- Ví dụ dưới đây Cisco IOS sẽ dùng Tacacs Server với IP là 192.168.1.1 trước sau đó. Nếu 192.168.1.1 không có thể đến được thì sau đó dùng server có tên là SRV2


R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.1.1
R1(config)#tacacs-server host SRV2


- Ví dụ dùng Tacacs server có IP 192.168.1.4 trên port 51. Thời gian time out cho kết nối là 3 giây và chỉ dùng single connection. Key cho quá trình chứng thực là a_secret


R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.1.4 single-connection port 51 timeout 3 key a_secret


Ngoài ra ta có thể xác định key ở global mode dùng cho quá trình chứng thực và mã hóa như sau:


R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.1.4
R1(config)#tacacs-server key seattle19

2. RADIUS Server
Để dùng Radius Server cho quá trình chứng thực ta dùng câu lệnh radius-server host ở global mode. Để xóa cấu hình ta thêm no trước câu lệnh. Cú pháp câu lệnh như sau:

R1(config)#radius-server host {hostname | ip-address} [auth-port port-number]
[acct-port port-number] [timeout seconds] [retransmit retries] [key string]
[alias{hostname | ip-address}]
R1(config)#no radius-server host {hostname | ip-address} [auth-port port-number]
[acct-port port-number] [timeout seconds] [retransmit retries] [key string]


Hostname: DNS name của Radius server

Ip address: Địa chỉ IP của Radius server

Auth-port: Xác định port cho kết nối UDP, dùng cho kết nối yêu cầu chứng thực

Acct-port: Xác định port request cho kết nối accounting


Ta có thể dùng Radius Server khác nhau. IOS sẽ tìm từ trên xuống theo thứ tự ta đã cấu hình. Ta có một số ví dụ cấu hình như sau:


- Xác định host1 là Radius Server và dùng các port mặc định cho quá trình chứng thực và accounting


R1(config)#aaa new-model
R1(config)#radius-server host host1.domain.com


- Ví dụ bên dưới dùng port 12 là destination port cho kết nối request authentication và port 16 cho kết nối request accounting với Radius server có IP là 192.168.1.4


R1(config)#aaa new-model
R1(config)#radius-server host 192.168.1.4 auth-port 12 acct-port 16


- Để định nghĩa key dùng cho quá trình chứng thực ta dùng câu lệnh radius-server key ở global mode. Cú pháp như sau:

R1(config)#radius-server key key
R1(config)#no radius-server key [key]


- Ví dụ bên dưới ta dùng key là Test123 cho quá trình chứng thực với Radius Server có IP là 192.168.1.4


R1(config)#aaa new-model
R1(config)#radius-server host 192.168.1.4
R1(config)#radius-server key Test123


III. Cấu hình Authentication
Chứng thực là một phương pháp hay cách thức mà một user sẽ được nhận dạng trước khi user này được phép truy cập vào network và sử dụng các network services. Quá trình chứng thực bao gồm các bước như nhập vào username và password trong form login, quá trình challenge và response, các message được thông báo, các phương thức mã hóa. Trong quá trình cấu hình chứng thực bằng AAA ta sẽ định nghĩa một list các phương pháp chứng thực và sau đó apply nó vào một interface. List các phương pháp (Method List) chứng thực này định nghĩa ra loại chức thực nào ta sẽ thực hiện và trình tự thực hiện của nó sẽ như thế nào. Method list phải được apply vào một interface hay một line mode... trước khi nó được thực thi. Chỉ có một ngoại lệ được bỏ qua là default method list. Nó được đặt tên là “default”. Default method list này được apply vào tất cả các interface mặc dù chưa có method list được apply vào. Nếu như ta định nghĩa lên Method List nào đó thì nó sẽ override default method list
1.
Định nghĩa Method List

Để tạo ra method list ta dùng câu lệnh aaa authentication và sau đó định nghĩa ra phương pháp mà ta chứng thực là gì. Câu lệnh aaa authentication có nhiều option để ta lựa chọn như sau:
• aaa authentication login: chứng thực tại quá trình login
• aaa authentication ppp: chứng thực cho interface đang chạy ppp
• aaa authentication nasi: chứng thực cho Netware Asynchronous Services Interface
• aaa authentication arap: phương pháp chứng thực cho AppleTalk Remote Access Protocols
a.
Bây giờ ta tìm hiểu Method List – Login
Ở global mode ta dùng câu lệnh aaa authentication login để kích hoạt tính năng này. Để disable thì ta thêm no trước câu lệnh. Cú pháp câu lệnh như sau:


R1(config)#aaa authentication login {default | list-name} method1 [method2…]
R1(config)#no aaa authentication login {default | list-name} method1 [method2…]


Default: Sử dụng các phương pháp chứng thực đã được liệt kê sẵn dùng làm mặc định để sử dụng chứng thực khi user login.

List-name: Dùng để đặt tên cho list các phương pháp chứng thực.

Method: Ta phải xác định ít nhất một keyword minh họa ở bảng bên dưới.


Tham số method sẽ nhận dạng các giải thuật dùng cho quá trình chứng thực sẽ được router kiểm tra theo trình tự. Nó có bao gồm các thành phần sau:


group tacacs+: Sử dụng list các tacacs+ server dùng cho quá trình chứng thực

group radius: Sử dụng list các radius server dùng cho quá trình chứng thực

group group –name: Định nghĩa một tên group. Sử dụng các thiết lập tiếp theo là dùng radius hay tacacs server cho quá trình chứng thực.

local: Sử dụng local username cho quá trình chứng thực

Local – case: Sử dụng local username có xem xét đến case-sensitive

Enable: Dùng enable password cho quá trình chứng thực

Line: Sử dụng line password cho quá trình chứng thực

Krb5: Sử dụng kerberos 5 cho quá trình chứng thực

None: Không thực hiện quá trình chứng thực – no security


Để apply list các phương pháp chứng thực vào trong một interface ta dùng câu lệnh login authentication {default | list – name}. Nếu như không có list các phương pháp chứng thực nào được apply vào interface với câu lệnh login authentication thì default list sẽ được sử dụng mặc định. Nếu như quá trình chứng thực không có được xác định thì mặc định sẽ là từ chối truy cập và không có thực hiện quá trình chứng thực.

Ví dụ ta sẽ tạo ra AAA authentication list có tên là XYZ-access. Nó sẽ cố gắng thử truy cập đến TACACS+ Server trước. Nếu như không có server nào được tìm thấy thì router sẽ trả về dòng báo lỗi và sau đó nó sẽ dùng enable password, nếu như enable password cũng không có thì router cũng dòng báo lỗi về. Và sau cùng user sẽ được đăng nhập và không cần thực hiện quá trình chứng thực.
R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.1.4
R1(config)#tacacs-server key seattle19
R1(config)#aaa authentication login XYZ-access group tacacs+ enable none
R1(config)#line vty 0 4
R1(config-line)#login authentication XYZ-access
Còn ví dụ dưới đây ta dùng default list cho quá trình chứng thực và ta không có tạo thêm một list nào khác nữa. Thứ tự chọn lựa sẽ là Tacacs Server, local username và password, sau đó đến enable password và cuối cùng sẽ là không có quá trình chứng thực gì hết (no security).

R1(config)#username last password hope
R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.1.4
R1(config)#tacacs-server key seattle19
R1(config)#aaa authentication login default group tacacs+ local enable none