Bài Thực hành mã hóa password và ACL AAA Radius
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (273.18 KB, 14 trang )
Bài thực hành số 2: AAA, RADIUS
I.
Giới thiệu AAA và RADIUS
-
AAA (Authentication, Authorization, Accounting): Là thuật ngữ cho
một khuôn khổ, sử dụng cho việc kiểm soát thông minh truy cập vào tài
nguyên máy tính, chính sách thực thi, kiểm toán sử dụng và cung cấp các
thông tin cần thiết cho các dịch vụ. Các quá trình kết hợp này được coi là
quan trọng cho việc quản lý mạng hiệu quả và an toàn.
II.
Bài tập thực hành
Mô hình triển khai
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình
các router và host. Sử dụng các lệnh CLI khác nhau để cấu hình các router với
xác thực cục bộ cơ bản và xác thực cục bộ sử dụng AAA. Cài đặt phần mềm
RADIUS trên một máy tính bên ngoài và sử dụng AAA để xác thực người dùng
với RADIUS server.
Bảng địa chỉ IP
Yêu cầu
Phần 1: Cấu hình thiết bị mạng cơ bản
-
Cấu hình các thiết lập cơ bản như host name, địa chi IP cho cổng và
mật khẩu truy cập.
-
Cấu hình định tuyến tĩnh.
Phần 2: Cấu hình xác thực cục bộ trên R1 và R3
-
Cấu hình một cơ sở dữ liệu người dùng cục bộ và truy cập cục bộ cho
các đường console và vty.
-
Kiểm tra cấu hình.
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3
-
Cấu hình cơ sở dữ liệu người dùng cục bộ.
-
Cấu hình AAA xác thực cục bộ.
-
Kiểm tra cấu hình.
Phần 4: Cấu hình xác thực tập trung sử dụng AAA và RADIUS trên R1
-
Cài đặt một RADIUS server trên PC-A.
-
Cấu hình các người dùng trên RADIUS server.
-
Cấu hình dịch vụ AAA trên R1 để truy cập đến RADIUS server để xác
thực.
-
Kiểm tra cấu hình AAA RADIUS.
Thiết bị và phần mềm hỗ trợ
-
Phần mềm GNS3
-
Phần mềm VMWARE
-
3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
-
PC-A: Windows XP, Vista, hoặc Windows Server với phần mềm RADIUS
server có sẵn
-
PC-C: Windows XP hoặc Vista
Hướng dẫn cấu hình
Phần 1: Cấu hình thiết bị mạng cơ bản
-
Cấu hình cơ bản địa chỉ IP cho các Router và PC:
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 10.1.1.1 255.255.255.252
Router R2
R2#configure terminal
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
Router R3
R3#configure terminal
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
PC-A
PC-C
-
Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
-
Kiểm tra kết nối giữa các PC và router:
Ping thành công từ R1 đến R3
Ping thành công từ PC-A đến PC-C
-
Cấu hình và mã hóa mật khẩu trên R1 và R3
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối
thiểu 10 ký tự:
Router(config)# security passwords min-length 10
Bước 2: Sử dụng lệnh Service password-encryption để mã hóa password
console, vty:
Router(config)#service password-encryption
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Router(config)# enable secret cisco12345
Bước 3: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
-
Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5
phút không hoạt động và lệnh logging synchronous ngăn chặn các
message console làm gián đoạn lệnh nhập vào:
Router(config)# line console 0
Router(config-line)# password ciscoconpass
Router(config-line)# exec-timeout 5 0
Router(config-line)# login
Router(config-line)# logging synchronous
- Password trên line vty cho router dùng để telnet:
Router(config)# line vty 0 4
Router(config-line)# password ciscovtypass
Router(config-line)# exec-timeout 5 0
Router(config-line)# login
-
Cấu hình một biểu ngữ cảnh báo đăng nhập:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến
một trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các
dấu đô la ($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
Phần 2: Cấu hình xác thực cục bộ (thực hiện trên R1 và R3):
Các thủ tục dưới đây thực hiện trên R1
-
Cấu hình cơ sở dữ liệu người dùng cục bộ:
Tạo một tài khoản cục bộ với hàm băm MD5 để mã hóa mật khẩu.
Router(config)#username user01 secret user01pass
-
Cấu hình xác thực cục bộ cho đường console và đăng nhập:
Thiết lập đường console để sử dụng tên người dùng đăng nhập và mật khẩu
xác định tại cục bộ.
Router(config)#line console 0
Router(config-line)#login local
Thoát ra màn hình ban đầu của router (sử dụng lệnh exit) hiển thị: R1 con0 is
now available, Press RETURN to get started.
Đăng nhập bằng cách sử dụng tài khoản user01 và mật khẩu được định nghĩa
trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập password
secret là cisco12345.
Thiết lập các đường vty để sử dụng các tài khoản được xác định cục bộ.
Router(config)#line vty 0 4
Router(config-line)#login local
Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 và mật khẩu là
user01pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh
enable, sử dụng mật khẩu secret là cisco12345.
Lưu cấu hình
Sử dụng lệnh copy run start ở chế độ privileged EXEC
Router# copy run start
Thực hiện tương tự trên R3
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3:
-
Cấu hình cơ sở dữ liệu người dùng cục bộ:
Cấu hình một tài khoản người dùng cục bộ với hàm băm MD5 để mã hóa mật
khẩu.
R3(config)#username Admin01 privilege 15 secret Admin01pass
-
Cấu hình AAA xác thực cục bộ:
Kích hoạt dịch vụ AAA:
R3(config)#aaa new-model
Triển khai dịch vụ AAA cho việc truy cập console sử dụng cơ sở dữ liệu cục
bộ:
Tạo một danh sách xác thực đăng nhập mặc định bằng cách ban hành lệnh
aaa authentication login default method1[method2][method3] với một danh
sách phương pháp sử dụng local và none keywords.
R3(config)#aaa authentication login default local none
Thoát ra màn hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 is now
available, Press RETURN to get started.
Đăng nhập vào console với tài khoản người dùng Admin01 và mật khẩu
Admin01pass.
Thoát ra màn hình ban đầu hiển thị: R3 con0 is now available, Press RETURN
to get started.
Cố gắng đăng nhập đến console với người dùng bất kỳ (ở đây là baduser).
Nếu người dùng không tìm thấy trong cơ sở dữ liệu cục bộ, tùy chọn none
trên lệnh aaa authentication login default local none yêu cầu không xác thực,
cho nên vẫn có thể đăng nhập với người dùng bất kỳ đến cổng console.
-
Tạo một hồ sơ chứng thực AAA cho Telnet sử dụng cơ sở dữ liệu
cục bộ:
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến router. Chỉ
định tên một danh sách TELNET_LINES và áp dụng nó đến các đường vty.
R3(config)#aaa authentication login TELNET_LINES local
R3(config)#line vty 0 4
R3(config-line)#login authentication TELNET_LINES
Xác minh rằng hồ sơ chứng thực này được sử dụng bằng cách mở một phiên
Telnet từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật khẩu
Admin01pass.
Thoát phiên Telnet với lệnh exit, và telnet đến R1 một lần nữa. Cố gắng để
đăng nhập với người dùng và mật khẩu bất kỳ (ở đây sử dụng người dùng
baduser, mật khẩu 123).
Nếu người dùng không được tìm thấy trong cơ sở dữ liệu cục bộ, không có
phương pháp dự phòng quy định trong danh sách chứng thực cho các đường vty
cho nên không thể thiết lập phiên telnet.
Bài thực hành số 3: ACL
I.
Giới thiệu ACL (Access Control List)
ACL là danh sách các điều kiện được áp dụng thông qua cổng của router,
firewall,... Các danh sách cho router, firewall biết loại gói tin được cho phép hoặc
từ chối. khả năng cho phép và từ chối dựa trên các điều kiện quy định. ACL cho
phép quản lý lưu lượng và truy cập an toàn đến và đi từ một mạng.
Phân loại ACL: ACL được chia thành các loại sau:
II.
−
Standard ACL
−
Extended ACL
−
Reflexive ACL
−
Dynamic ACL
−
Time-Based ACL
−
Context-based Access Control (CBAC) ACL
Bài tập thực hành
Mô hình triển khai
Yêu cầu
Phần 1: Cấu hình thiết bị mạng cơ bản
-
Cấu hình cơ bản địa chỉ IP cho các Router và PC.
-
Cấu hình định tuyến tĩnh trên 2 router.
-
Kiểm tra kết nối giữa các PC và router.
Phần 2: Cấu hình ACL
-
Lọc các gói tin sử dụng standard ACL:
•
Thực hiện cấm tất cả các lưu lượng từ PC-A đến lớp mạng
172.16.1.0/24.
•
Cho phép PC-A telnet vào R2.
•
Cho phép PC-B truy cập vào R1 qua giao diện web.
Thiết bị và phần mềm hỗ trợ
-
Phần mềm GNS3
-
Phần mềm VMWARE
-
2 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
-
2 PC: PC-A sử dụng Windows XP hoặc Windows 7, PC-B sử dụng Windows
server hoặc Linux Server.
Hướng dẫn cấu hình
Phần 1: Cấu hình thiết bị mạng cơ bản
-
Cấu hình cơ bản địa chỉ IP cho các Router và PC:
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 203.162.1.1 255.255.255.0
Router R2
R2#configure terminal
R2(config)# interface f0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 172.16.1.1 255.255.255.0
R2(config)# exit
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 203.162.1.2 255.255.255.0
PC-A
PC-B
-
Cấu hình định tuyến tĩnh trên 2 router:
Router R1
R1(config)# ip route 172.16.1.0 255.255.255.0 203.162.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 203.162.1.1
-
Kiểm tra kết nối giữa các PC và router:
Ping thành công từ R1 đến R2
R1#ping 203.162.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.162.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 68/136/208
ms
Ping thành công từ PC-A đến PC-B
C:\Documents and Settings\Administrator>ping 172.16.1.2
Pinging 172.16.1.2 with 32 bytes of data:
Reply
Reply
Reply
Reply
from
from
from
from
172.16.1.2:
172.16.1.2:
172.16.1.2:
172.16.1.2:
bytes=32
bytes=32
bytes=32
bytes=32
time=42ms
time=44ms
time=41ms
time=42ms
TTL=126
TTL=126
TTL=126
TTL=126
Ping statistics for 172.16.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 41ms, Maximum = 44ms, Average = 42ms
Phần 2: Cấu hình ACL
•
Lọc các gói tin sử dụng standard ACL:
Tạo ACL thực hiện cấm tất cả các lưu lượng từ PC-A đến lớp mạng
172.16.1.0/24:
Bước 1: Tạo ACL 1 trên R2 cấm tất cả lưu lượng từ PC-A và cho phép các lưu
lượng còn lại đến lớp mạng 172.16.1.0/24:
Sử dụng lệnh access-list để tạo một ACL có số hiệu là 1.
R2(config)#access-list 1 deny host 192.168.1.2
R2(config)#access-list 1 permit any
Bước 2: Áp dụng ACL 1 vào cổng f0/0 theo chiều out:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều ra lưu
lượng trên cổng f0/0.
R2(config)#interface f0/0
R2(config-if)# ip access-group 1 out
Bước 3: Xác nhận lưu lượng từ PC-A vào lớp mạng 172.16.1.0/24 đã bị loại bỏ và
cho phép các lưu lượng còn lại:
Ping không thành công từ PC-A vào PC-B
C:\Documents and Settings\Administrator>ping 172.16.1.2
Pinging 172.16.1.2 with 32 bytes of data:
Reply
Reply
Reply
Reply
from
from
from
from
203.162.1.2:
203.162.1.2:
203.162.1.2:
203.162.1.2:
Destination
Destination
Destination
Destination
net
net
net
net
unreachable.
unreachable.
unreachable.
unreachable.
Ping statistics for 172.16.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Ping thành công từ R1 vào PC-B
R1#ping 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 68/95/160
ms
•
Tạo ACL chỉ cho phép PC-A telnet vào R2
Bước 1: Cấu hình telnet trên R2
+ Tạo username, password sử dụng cho phiên kết nối telnet (username: u1,
password: 123):
R2(config)#username u1 password 123
+ Cấu hình telnet
R2(config)#line vty 0 4
R2(config-line)#login local
Bước 3: Tạo ACL 2 trên R2 chỉ cho phép PC-A truy cập từ xa (sử dụng telnet) đến
R2:
Sử dụng lệnh access-list để tạo một ACL có số hiệu là 2.
R2(config)#access-list 2 permit host 192.168.1.2
Bước 4: Áp dụng ACL 2 vào các đường vty theo chiều in:
Sử dụng lệnh access-class để áp dụng danh sách truy cập theo chiều vào lưu
lượng trên các đường vty.
R2(config)# line vty 0 4
R2(config)# access-class 2 in
Bước 3: Kiểm tra:
Telnet không thành công từ R1 vào R2
R1#telnet 203.162.1.2
Trying 203.162.1.2 ...
% Connection refused by remote host
Telnet thành công từ PC-A vào R2(trên PC-A mở cmd, gõ lệnh telnet
203.162.1.2, nhập username: u1, password: 123 khi được yêu cầu)
C:\Documents and Settings\Administrator>telnet 203.162.1.2
User Access Verification
Username: u1
Password:
R2>
•
Tạo ACL chỉ cho phép PC-B truy cập vào R1 qua giao diện web.
Bước 1: Tạo ACL 3 trên R1 chỉ cho phép PC-B truy cập vào R1 qua giao diện
web:
Sử dụng lệnh access-list để tạo một ACL có số hiệu là 3.
R1(config)#access-list 3 permit host 172.16.1.2
Bước 2: Áp dụng ACL 3 vào http server để hạn chế truy cập vào giao diện
web trên R1:
Sử dụng lệnh ip http server để kích hoạt http trên R1 và ip http access-class
để áp dụng danh sách truy cập vào giao diện web trên R1 .
R1(config)# ip http server
R1(config)# ip http access-class 3
Bước 3: Kiểm tra:
Trên PC-A, mở trình duyệt web(IE, Chrome, Firefox,…) nhập vào địa chỉ
http://192.168.1.1 để truy cập vào R1, do chính sách ACL nên PC-A không thể
truy cập vào giao diện web của R1.
Truy cập http bị chặn
PC-B truy cập thành công vào giao diện web trên R1(thực hiện truy cập tương
tự giống PC-A)
Truy cập http thành công
