آموزش قدم به قدم راه اندازی AAA در سیسکو و مراحل امن کردن AAA
کاربرد AAA در سیسکو چیست؟ چگونه AAA سیسکویی راه اندازی کنیم؟ با سلام ، سرویس AAA برگرفته از Authentication,Authorization,Accounting که از این سرویس جهت احراز هویت و تعیین سطوح دسترسی و نظارت به دسترسی و مدت دسترسی کاربر استفاده می شود.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- گام 1 : پیکربندی hostname بر روی Router1
- گام 2 : پیکربندی تنظیمات IP Address روی اینتر فیس های Router1
- گام 3 : پیکربندی Default Route بر روی Router1
- گام 4 : پیکربندی hostname برروی Router2
- گام 5 : پیکر بندی تنظیمات IP Address روی اینتر فیس های Router2
- گام 6 : پیکربندی Static Route برروی Router2
- گام 7 : پیکربندی hostname برروی Router3
- گام 8 : پیکر بندی تنظیمات IP Address روی اینتر فیس های Router3
- گام 9 : پیکربندی Default Route بر روی Router3
- گام 10: بررسی اتصال بین Server1 و PC1
- گام 11 : پیکربندی حداقل طول پسورد برای تمامی پسوردهای Router
- گام 12 : اعمال رمزگذاری(Encryption) برروی پسوردهای Clear text
- گام 13 : پیکربندی هشدارهای امنیتی در زمان دسترسی به روتر( Login Warning banner)
- گام 14 : تعریف User Account و Password روی Router
- گام 15 : تعریف User Account و Password روی Router به صورت Secret Password
- گام 16 : استفاده از User Accountهای Local روتر برای دسترسی یه صورت Console به Router
- گام 17 : استفاده از User Accountهای Local روتر برای دسترسی یه صورت Telnetبه Router
- گام 18 : پیکربندی Local Authentication با استفاده از سرویس AAA برروی Router3
- گام 19 : استفاده از سرویس AAA برای دسترسی به صورت Telnet
- گام 20 : استفاده از سرویس AAA برای دسترسی به صورت Console
- گام 21 : عیب یابی AAA با استفاده از توانمندی Debug
- Authentication: وظیفه این بخش احراز هویت کاربر می باشد . این بخش از سرویس AAA ، مجاز بودن و یا غیر مجاز بودن دسترسی کاربر را تعیین می کند.
- Authorization: این بخش بعد از احراز هویت کاربر(Authentication) اجازه دسترسی به منابع را به کاربر خواهد داد و سطوح دسترسی کاربر را تعیین خواهد کرد.
- Accounting: این بخش بعد از احراز هویت کاربر(Authentication) و هچنین بعد از Authorization اعمال خواهد شد و دسترسی کاربر را بررسی و همچنین مدت و مقدار دسترسی کاربر را تعیین می کند.
سرویس AAA جهت انجام وظایف خود یعنی Authentication,Authorization,Accounting نیاز به تصدیق کاربر بر اساس Username خواهد داشت.شما همچنین میتوانید AAA را به گونه ای پیکربندی کنید که از Username های تعریف شده به صورت Local بر روی استفاده نمایید.
گام 1 : پیکربندی hostname بر روی Router1
Router#conf t
Router(config)#hostname Router1
Router1(config)#
گام 2 : پیکربندی تنظیمات IP Address روی اینتر فیس های Router1
Router1(config)#int fa0/0
Router1(config-if)#ip add 192.168.1.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#ex
Router1(config)#int s000
Router1(config-if)#ip add 10.1.1.1 255.255.255.252
Router1(config-if)#clock rate 64000
Router1(config-if)#no sh
گام 3 : پیکربندی Default Route بر روی Router1
در این مرحله با پیکربندی یک Default Route کلیه ترافیکی که مقصد آنها خارج از شبکه 192.168.1.0 می باشد به هر مقصدی از یک مسیر پیش فرض به سمت Router2 به آدرس 10.1.1.2 ارسال خواهد شد.
Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
گام 4 : پیکربندی hostname برروی Router2
Router#conf t
Router(config)#hostname Router2
Router2(config)#
گام 5 : پیکر بندی تنظیمات IP Address روی اینتر فیس های Router2
Router2#conf t
Router2(config)#int s000
Router2(config-if)#ip add 10.1.1.2 255.255.255.252
Router2(config-if)#no sh
Router2(config-if)#ex
Router2(config)#int s001
Router2(config-if)#ip add 10.2.2.1 255.255.255.252
Router2(config-if)#clock rate 64000
Router2(config-if)#no sh
گام 6 : پیکربندی Static Route برروی Router2
Router2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
Router2(config)#ip route 192.168.3.0 255.255.255.0 10.2.2.2
گام 7 : پیکربندی hostname برروی Router3
Router#conf t
Router(config)#hostname Router3
Router3(config)#
گام 8 : پیکر بندی تنظیمات IP Address روی اینتر فیس های Router3
Router3#conf t
Router3(config)#int fa0/0
Router3(config-if)#ip add 192.168.3.1 255.255.255.0
Router3(config-if)#no sh
Router3(config-if)#ex
Router3(config)#int s000
Router3(config-if)#ip add 10.2.2.2 255.255.255.252
Router3(config-if)#no sh
گام 9 : پیکربندی Default Route بر روی Router3
در این مرحله با پیکربندی یک Default Route کلیه ترافیکی که مقصد آنها خارج از شبکه 192.168.3.0 می باشد به هر مقصدی از یک مسیر پیش فرض به سمت Router2 به آدرس 10.2.2.1 ارسال خواهد شد.
Router3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.1
گام 10: بررسی اتصال بین Server1 و PC1
SERVER>ping 192.168.3.2
Pinging 192.168.3.2 with 32 bytes of data:
Reply from 192.168.3.2: bytes=32 time=11ms TTL=125
Reply from 192.168.3.2: bytes=32 time=11ms TTL=125
Reply from 192.168.3.2: bytes=32 time=2ms TTL=125
Reply from 192.168.3.2: bytes=32 time=2ms TTL=125
گام 11 : پیکربندی حداقل طول پسورد برای تمامی پسوردهای Router
Router#conf t
Router(config)#security passwords min-length 4
در دستور بالا حداقل پسورد برای تمامی پسوردهای روتر مقدار 4کاراکتر در نظر گرفته شده است(در این حالت نمی توان روی روتر پسورد کمتر از طول 4 کاراکتر تنظیم نمود)
گام 12 : اعمال رمزگذاری(Encryption) برروی پسوردهای Clear text
کلمات رمز برای ورود به مدهای AUX,Console,Telnet که برروی روتر تنظیم می شود به صورت Clear text (رمز قابل مشاهده) می باشد.به عبارتی این رمزها در فایل پیکربندی روتر به صورت متن ساده قابل مشاهده می باشند که از نظر امنیتی باید به صورت رمزگذاری(Encryption) در فایل پیکربندی روتر نگهداری شود که برای این منظور از دستور زیر برروی Routerهای سیسکو استفاده میکنیم.
Router#conf t
Router(config)#service password-encryption
گام 13 : پیکربندی هشدارهای امنیتی در زمان دسترسی به روتر( Login Warning banner)
قصد داریم یک Warning Massage برای کاربران غیر مجاز (unauthorized) که قصد دسترسی به مد پیکربندی روتر را دارند تعیین کنیم که این پیام قبل از دسترسی کاربر به Login Prompt یا همان User Mode نمایش داده می شود.برای این منظور از MOTD banner استفاده می کنیم.
Router#conf t
$Router(config)#banner motd $Unauthorized access
گام 14 : تعریف User Account و Password روی Router
Router#conf t
Router(config)#username itpro password cisco
گام 15 : تعریف User Account و Password روی Router به صورت Secret Password
Router#conf t
Router(config)#username itpro secret ccna123
گام 16 : استفاده از User Accountهای Local روتر برای دسترسی یه صورت Console به Router
Router#conf t
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#exit
گام 17 : استفاده از User Accountهای Local روتر برای دسترسی یه صورت Telnetبه Router
Router1#conf t
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#exit
گام 18 : پیکربندی Local Authentication با استفاده از سرویس AAA برروی Router3
در این حالت میخواهیم سرویس AAA را بر روی روتر فعال و پیکربندی نماییم به طوری که سرویس AAA برای احراز هویت و تعیین سطوح دسترسی از Username های Local که بر روی روتر تعریف شده استفاده نمایید.اولین مرحله فعال نمودن سرویس AAA با استفاده از دستور زسر می باشد.
Router3#conf t
Router3(config)#aaa new
Router3(config)#aaa new-model
دومین مرحله استفاده از سرویس AAA برای احراز هویت در زمان Login با استفاده از Usernameهای Local که بر روی روتر تعریف شده اند می باشد.برای این منظور از دستور زیر استفاده میکنیم.
Router3(config)#aaa authentication login default local
سومین مرحله شما باید به صورت Local برروی روتر Username تعریف کنید که سرویس AAA برای احراز هویت از آن استفاده می کند.
Router3(config)#username itpro privilege 15 secret Cisco123
گام 19 : استفاده از سرویس AAA برای دسترسی به صورت Telnet
Router3#conf t
Router3(config)#line vty 0 4
Router3(config-line)#login authentication default
Router3(config-line)#exit
گام 20 : استفاده از سرویس AAA برای دسترسی به صورت Console
Router3#conf t
Router3(config)#line Console 0
Router3(config-line)#login authentication default
Router3(config-line)#exit
گام 21 : عیب یابی AAA با استفاده از توانمندی Debug
Router3#debug aaa authentication