پيكربندي سرويس AAA و افزايش امنيت بر روي اين سرويس
سرويس AAA برگرفته از Authentication,Authorization,Accounting كه از اين سرويس جهت احراز هويت و تعيين سطوح دسترسي و نظارت به دسترسي و مدت دسترسي كاربر استفاده مي شود.
Authentication: وظيفه اين بخش احراز هويت كاربر مي باشد . اين بخش از سرويس AAA ، مجاز بودن و يا غير مجاز بودن دسترسي كاربر را تعيين مي كند.
Authorization: اين بخش بعد از احراز هويت كاربر(Authentication) اجازه دسترسي به منابع را به كاربر خواهد داد و سطوح دسترسي كاربر را تعيين خواهد كرد.
Accounting: اين بخش بعد از احراز هويت كاربر(Authentication) و هچنين بعد از Authorization اعمال خواهد شد و دسترسي كاربر را بررسي و همچنين مدت و مقدار دسترسي كاربر را تعيين مي كند.
سرويس AAA جهت انجام وظايف خود يعني Authentication,Authorization,Accounting نياز به تصديق كاربر بر اساس Username خواهد داشت.شما همچنين ميتوانيد AAA را به گونه اي پيكربندي كنيد كه از Username هاي تعريف شده به صورت Local بر روي استفاده نماييد.
گام 1: پيكر بندي hostname بر روي Router1
Router#conf t
Router(config)#hostname Router1
Router1(config)#
گام 2: پيكر بندي تنظيمات IP Address روي اينتر فيس هاي Router1
Router1(config)#int fa0/0
Router1(config-if)#ip add 192.168.1.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#ex
Router1(config)#int s000
Router1(config-if)#ip add 10.1.1.1 255.255.255.252
Router1(config-if)#clock rate 64000
Router1(config-if)#no sh
گام 3: پيكربندي Default Route بر روي Router1
در اين مرحله با پيكربندي يك Default Route كليه ترافيكي كه مقصد آنها خارج از شبكه 192.168.1.0 مي باشد به هر مقصدي از يك مسير پيش فرض به سمت Router2 به آدرس 10.1.1.2 ارسال خواهد شد.
Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
گام 4: پيكربندي hostname برروي Router2
Router#conf t
Router(config)#hostname Router2
Router2(config)#
گام 5: پيكر بندي تنظيمات IP Address روي اينتر فيس هاي Router2
Router2#conf t
Router2(config)#int s000
Router2(config-if)#ip add 10.1.1.2 255.255.255.252
Router2(config-if)#no sh
Router2(config-if)#ex
Router2(config)#int s001
Router2(config-if)#ip add 10.2.2.1 255.255.255.252
Router2(config-if)#clock rate 64000
Router2(config-if)#no sh
گام 6 : پيكربندي Static Route برروي Router2
Router2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
Router2(config)#ip route 192.168.3.0 255.255.255.0 10.2.2.2
گام 7:پيكربندي hostname برروي Router3
Router#conf t
Router(config)#hostname Router3
Router3(config)#
گام 8: پيكر بندي تنظيمات IP Address روي اينتر فيس هاي Router3
Router3#conf t
Router3(config)#int fa0/0
Router3(config-if)#ip add 192.168.3.1 255.255.255.0
Router3(config-if)#no sh
Router3(config-if)#ex
Router3(config)#int s000
Router3(config-if)#ip add 10.2.2.2 255.255.255.252
Router3(config-if)#no sh
گام 9: پيكربندي Default Route بر روي Router3
در اين مرحله با پيكربندي يك Default Route كليه ترافيكي كه مقصد آنها خارج از شبكه 192.168.3.0 مي باشد به هر مقصدي از يك مسير پيش فرض به سمت Router2 به آدرس 10.2.2.1 ارسال خواهد شد.
Router3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.1
گام 10: بررسي اتصال بين Server1 و PC1
SERVER>ping 192.168.3.2
Pinging 192.168.3.2 with 32 bytes of data:
Reply from 192.168.3.2: bytes=32 time=11ms TTL=125
Reply from 192.168.3.2: bytes=32 time=11ms TTL=125
Reply from 192.168.3.2: bytes=32 time=2ms TTL=125
Reply from 192.168.3.2: bytes=32 time=2ms TTL=125
Image
گام 11: پيكربندي حداقل طول پسورد براي تمامي پسوردهاي Router
Router#conf t
Router(config)#security passwords min-length 4
در دستور بالا حداقل پسورد براي تمامي پسوردهاي روتر مقدار 4كاراكتر در نظر گرفته شده است(در اين حالت نمي توان روي روتر پسورد كمتر از طول 4 كاراكتر تنظيم نمود)
گام 12: اعمال رمزگذاري(Encryption) برروي پسوردهاي Clear text
كلمات رمز براي ورود به مدهاي AUX,Console,Telnet كه برروي روتر تنظيم مي شود به صورت Clear text (رمز قابل مشاهده) مي باشد.به عبارتي اين رمزها در فايل پيكربندي روتر به صورت متن ساده قابل مشاهده مي باشند كه از نظر امنيتي بايد به صورت رمزگذاري(Encryption) در فايل پيكربندي روتر نگهداري شود كه براي اين منظور از دستور زير برروي Routerهاي سيسكو استفاده ميكنيم.
Router#conf t
Router(config)#service password-encryption
گام 13:پيكربندي هشدارهاي امنيتي در زمان دسترسي به روتر( Login Warning banner)
قصد داريم يك Warning Masغير مجاز مي باشدe براي كاربران غير مجاز (unauthorized) كه قصد دسترسي به مد پيكربندي روتر را دارند تعيين كنيم كه اين پيام قبل از دسترسي كاربر به Login Prompt يا همان User Mode نمايش داده مي شود.براي اين منظور از MOTD banner استفاده مي كنيم.
Router#conf t
$Router(config)#banner motd $Unauthorized access
گام 14:تعريف User Account و Password روي Router
Router#conf t
Router(config)#username itpro password cisco
گام 15: تعريف User Account و Password روي Router به صورت Secret Password
Router#conf t
Router(config)#username itpro secret ccna123
گام 16: استفاده از User Accountهاي Local روتر براي دسترسي يه صورت Console به Router
Router#conf t
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#exit
گام 17:استفاده از User Accountهاي Local روتر براي دسترسي يه صورت Telnetبه Router
Router1#conf t
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#exit
گام 18:پيكربندي Local Authentication با استفاده از سرويس AAA برروي Router3
در اين حالت ميخواهيم سرويس AAA را بر روي روتر فعال و پيكربندي نماييم به طوري كه سرويس AAA براي احراز هويت و تعيين سطوح دسترسي از Username هاي Local كه بر روي روتر تعريف شده استفاده نماييد.
اولين مرحله فعال نمودن سرويس AAA با استفاده از دستور زسر مي باشد.
Router3#conf t
Router3(config)#aaa new
Router3(config)#aaa new-model
دومين مرحله استفاده از سرويس AAA براي احراز هويت در زمان Login با استفاده از Usernameهاي Local كه بر روي روتر تعريف شده اند مي باشد.براي اين منظور از دستور زير استفاده ميكنيم.
Router3(config)#aaa authentication login default local
سومين مرحله شما بايد به صورت Local برروي روتر Username تعريف كنيد كه سرويس AAA براي احراز هويت از آن استفاده مي كند.
Router3(config)#username itpro privilege 15 secret Cisco123
گام 19:استفاده از سرويس AAA براي دسترسي به صورت Telnet
Router3#conf t
Router3(config)#line vty 0 4
Router3(config-line)#login authentication default
Router3(config-line)#exit
گام 20:استفاده از سرويس AAA براي دسترسي به صورت Console
Router3#conf t
Router3(config)#line Console 0
Router3(config-line)#login authentication default
Router3(config-line)#exit
گام 21: عيب يابي AAA با استفاده از توانمندي Debug
Router3#debug aaa authentication
برچسب: ،