search

Qual componente do AAA permite que um administrador rastreie indivíduos que acessam recursos de rede e quaisquer alterações feitas nesses recursos?

1 anos atrás
Comentários: 0
Visualizações: 2

Contents

Show

Introduction

Este documento explica como configurar as Autenticação, Autorização e Auditoria (AAA) em um roteador Cisco usando protocolos Radius ou TACACS+. O objetivo deste documento não é cobrir todos os recursos AAA, mas explicar os comandos principais e fornecer alguns exemplos e diretrizes.

Observação: leia a seção sobre a Configuração geral de AAA antes de continuar a configuração do Cisco IOS®. Deixar de fazer isso pode resultar na configuração incorreta e no bloqueio subsequente.

Antes de Começar

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Prerequisites

Para obter uma visão geral de AAA e os detalhes completos sobre os comandos e as opções de AAA, consulte o Guia de configuração de segurança do IOS 12.2: autenticação, autorização e contabilização.

Componentes Utilizados

As informações contidas neste documento baseiam-se em uma linha principal do software Cisco IOS versão 12.1.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Diagrama de Rede

Qual componente do AAA permite que um administrador rastreie indivíduos que acessam recursos de rede e quaisquer alterações feitas nesses recursos?

Configuração geral de AAA

Habilitando AAA

Para habilitar o AAA, é necessário configurar o comando aaa new-model na configuração global.

Observação: até que esse comando seja ativado, todos os outros comandos AAA ficam ocultos.

Qual componente do AAA permite que um administrador rastreie indivíduos que acessam recursos de rede e quaisquer alterações feitas nesses recursos?
Aviso: o comando aaa new-model aplica imediatamente a autenticação local a todas as linhas e interfaces (com exceção da linha de console line con 0). Se uma sessão de Telnet for aberta para o roteador após a ativação desse comando (ou se o tempo limite de uma conexão expirar e for necessária a reconexão), o usuário deverá ser autenticado usando a base de dados local do roteador. Para evitar o bloqueio por parte do roteador, recomendamos a definição de um nome de usuário e de uma senha no servidor de acesso antes de iniciar a configuração do AAA. Para isso:

Router(config)# username xxx password yyy

Dica: salve a configuração antes de definir os comandos AAA. Somente após ter concluído toda a configuração do AAA (e após ter certeza de que ela funcionando corretamente) é que você deverá salvar novamente a configuração. Isso permite a recuperação em caso de fechamentos inesperados (antes de salvar a configuração), recarregando o roteador.

Especificando o servidor AAA externo

Na configuração global, defina o protocolo de segurança utilizado com o AAA (Radius, TACACS+). Se você não quiser usar esses dois protocolos, use o banco de dados local no roteador.

Se estiver usando TACACS+, use o comando tacacs-server host<IP address of the AAA server> <key>.

Se estiver usando Radius, use o comando radius-server host<IP address of the AAA server> <key>.

Configuração do servidor AAA

No servidor AAA, configure os seguintes parâmetros:

  • O nome do servidor de acesso.

  • O endereço IP que o servidor de acesso usa para comunicar-se com o servidor AAA.

    Observação: se os dois dispositivos estiverem na mesma rede Ethernet, por padrão, o servidor de acesso usará o endereço IP definido na interface Ethernet ao enviar o pacote AAA. Esse problema é importante quando o roteador tem várias interfaces (e, portanto, vários endereços).

  • A mesma chave exata <key> configurada no servidor de acesso.

    Observação: a chave diferencia maiúsculas de minúsculas.

  • O protocolo usado pelo servidor de acesso (TACACS+ ou Radius).

Consulte a documentação do servidor AAA para obter o procedimento exato usado para configurar os parâmetros acima. Se o servidor AAA não for corretamente configurado, as solicitações do NAS ao AAA serão ignoradas pelo servidor AAA e a conexão poderá falhar.

O servidor AAA precisa ser de IP praticável no servidor de acesso (realize um teste de ping para verificar a conectividade).

Configurando a autenticação

A autenticação verifica os usuários antes que tenham acesso à rede e aos serviços de rede (que são verificados com autorização).

Para configurar a autenticação AAA:

  1. Primeiro defina uma lista nomeada de métodos de autenticação (no modo de configuração global).

  2. Aplique essa lista a uma ou mais interfaces (no modo de configuração de interface).

A única exceção é a lista de métodos padrão (chamada de "default"). A lista de métodos padrão é aplicada automaticamente a todas as interfaces, exceto aquelas que tenham uma lista de métodos nomeada explicitamente definida. Uma lista de métodos definida substitui a lista de métodos padrão.

Os exemplos de autenticação abaixo utilizam autenticação RADIUS, de logon e por protocolo de ponto-a-ponto (PPP) (a mais utilizada) para explicar conceitos como métodos e listas nomeadas. Em todos os exemplos, TACACS+ pode ser substituído por Radius ou autenticação local.

O Cisco IOS Software usa o primeiro método listado para autenticar usuários. Se aquele método falhar em responder (indicado por um ERRO), o software Cisco IOS seleciona o próximo método de autenticação listado na lista de métodos. Esse processo continua até que haja uma comunicação bem-sucedida com um método de autenticação listado ou que todos os métodos definidos na lista de métodos sejam esgotados.

É importante observar que o software Cisco IOS tenta realizar a autenticação com o próximo método de autenticação listado, somente quando não há resposta do método anterior. Se houver falha de autenticação em qualquer ponto desse ciclo, significando que o servidor AAA ou o banco de dados de nome de usuário local responde negando acesso ao usuário (indicado por FAIL), o processo de autenticação será interrompido e nenhum outro método de autenticação será usado.

Para permitir uma autenticação de usuário, você deve configurar o nome de usuário e a senha no servidor AAA.

Autenticação de login

Você pode usar o comando aaa authentication login para autenticar os usuários que desejam acesso exec no servidor de acesso (tty, vty, console e aux).

Exemplo 1: Exec Access using Radius then Local

Router(config)# aaa authentication login default group radius local

No comando acima:

  • a lista nomeada é a padrão (default).

  • existem dois métodos de autenticação (raio de grupo e local)

Todos os usuários são autenticados usando o servidor Radius (o primeiro método). Se o servidor Radius não responder, o banco de dados local do roteador será usado (o segundo método). Para autenticação local, defina o nome de usuário e a senha:

Router(config)# username xxx password yyy

Devido ao fato de estarmos usando o padrão de lista no comando aaa authentication login, a autenticação de logon é automaticamente aplicada a todas as conexões de logon (como tty, vty, console e aux).

Observação: o servidor (Radius ou TACACS+) não responderá a uma solicitação de aaa authentication enviada pelo servidor de acesso se não houver conectividade IP, se o servidor de acesso não estiver definido corretamente no servidor AAA ou se o servidor AAA não estiver definido corretamente no servidor de acesso.

Observação: usando o exemplo acima, se não incluirmos a palavra-chave local, teremos:

Router(config)# aaa authentication login default group radius

Observação: se o servidor AAA não responder à solicitação de autenticação, a autenticação falhará (já que o roteador não tem um método alternativo para tentar).

Observação: a palavra-chave group fornece uma forma de agrupar hosts de servidor atuais. O recurso permite que o usuário selecione um subconjunto dos hosts do servidor configurados e os use para um serviço específico. Para obter mais informações sobre este recurso avançado, consulte o documento Grupo de servidores AAA.

Exemplo 2: Acesso ao console com senha de linha

Permite expandir a configuração a partir do Exemplo 1 de forma que o login do console apenas seja autenticado pela senha definida na linha con 0.

O CONSOLE da lista é definido e aplicado a line con 0.

Configuramos:

Router(config)# aaa authentication login CONSOLE line

No comando acima:

  • a lista nomeada é CONSOLE.

  • há somente um método de autenticação (linha).

Depois de criada uma lista nomeada (neste exemplo, CONSOLE), ela deve ser aplicada a uma linha ou interface para que possa entrar em vigor. Isso é feito usando o comando login authentication list_name:

Router(config)# line con 0 Router(config-line)# exec-timeout 0 0 Router(config-line)# password cisco Router(config-line)# login authentication CONSOLE

A lista de CONSOLE substitui a lista de métodos padrão em line con 0. Você precisa digitar a senha "cisco" (configurada em line con 0) para obter acesso ao console. A lista padrão ainda é usada em tty, vty e aux.

Observação: para que o acesso ao console seja autenticado por um nome de usuário local e uma senha, use:

Router(config)# aaa authentication login CONSOLE local

Observação: nesse caso, um nome de usuário e uma senha devem ser configurados no banco de dados local do roteador. A lista também deve ser aplicada à linha ou interface.

Observação: para não ter autenticação, use

Router(config)# aaa authentication login CONSOLE none

Observação: nesse caso, não há autenticação para acessar o console. A lista também deve ser aplicada à linha ou interface.

Exemplo 3: Habilitar o acesso de modo usando servidor AAA externo

Você pode emitir a autenticação para entrar no modo de habilitação (privilégio 15).

Configuramos:

Router(config)# aaa authentication enable default group radius enable

Somente a senha será solicitada; o nome de usuário é $enab15$. Portanto, o nome de usuário $enab15$ deve ser definido no servidor AAA.

Se o servidor Radius não responder, a senha de habilitação configurada localmente no roteador precisará ser digitada.

Autenticação PPP

O comando aaa authentication ppp é usado para autenticar uma conexão PPP. Geralmente, é usado para autenticar usuários remotos ISDN ou analógicos que desejam acessar a Internet ou um escritório central por meio de um servidor de acesso.

Exemplo 1: Método de autenticação PPP único para todos os usuários

O servidor de acesso tem uma interface ISDN que é configurada para aceitar clientes de discagem do PPP. Nós usamos um dialer rotary-group 0 mas a configuração pode ser definida na interface principal ou na interface de perfil do discador.

Configuramos

Router(config)# aaa authentication ppp default group radius local

Este comando autentica todos os usuários de PPP que utilizam Radius. Se o servidor Radius não responder, o banco de dados local será usado.

Exemplo 2: Autenticação de PPP utilizando uma lista específica

Para usar uma lista nomeada em vez da lista padrão, configure os seguintes comandos:

Router(config)# aaa authentication ppp ISDN_USER group radius Router(config)# int dialer 0 Router(config-if)# pp authentication chap ISDN_USER

Nesse exemplo, a lista é ISDN_USER, e o método é Radius.

Exemplo 3: PPP iniciado a partir de sessão no modo de caractere

O access-server tem uma placa de modem interna (Mica, Microcom ou Next Port). Vamos assumir que os comandos aaa authentication login e aaa authentication ppp estejam configurados.

Se um usuário de modem acessar primeiro o roteador usando uma sessão de exec do modo de caractere (por exemplo, usando Janela Terminal depois de Discar), o usuário será autenticado em uma linha tty. Para iniciar uma sessão de modo de pacote, os usuários devem digitar ppp default ou ppp. Como a autenticação do PPP é explicitamente configurada (com o PPP de autenticação de AAA), o usuário é autenticado no nível de PPP novamente.

Para evitar essa segunda autenticação, pode-se utilizar a palavra-chave if-needed.

Router(config)# aaa authentication login default group radius local Router(config)# aaa authentication ppp default group radius local if-needed

Observação: se o cliente iniciar uma sessão PPP diretamente, a autenticação PPP será realizada diretamente, pois não há acesso de login ao servidor de acesso.

Para obter mais informações sobre autenticação AAA, consulte os documentos do Manual de configuração de segurança do IOS 12.2: Configurando a autenticação e os Casos Práticos de Implementação do Cisco AAA.

Configurando autorização

A autorização é o processo pelo qual você pode controlar o que um usuário pode ou não fazer.

Autorização AAA tem as mesmas regras que a autenticação:

  1. Primeiro, defina uma lista nomeada de métodos de autorização.

  2. Em seguida, aplique essa lista a uma ou mais interfaces (exceto a lista de métodos padrão).

  3. O primeiro método listado é usado. Se ela não responder, o segundo método é usado e assim por diante.

As listas de método são específicas para o tipo de autorização solicitado. Este documento se concentra nos tipos de autorização de rede e exec.

Para obter mais informações sobre outros tipos de autorização, consulte o Cisco IOS Security Configuration Guide, Release 12.2.

Autorização de exec

O comando aaa authorization exec determina se o usuário tem permissão para executar um shell EXEC. Esta instalação pode retornar informações de perfil de usuário como autocomando, tempo-limite de ociosidade, tempo-limite de sessão, privilégio e lista de acesso e outros fatores por usuário.

A autorização do exec é executada apenas nas linhas vty e tty.

O exemplo a seguir utiliza Radius.

Exemplo 1: Mesmos Métodos de Autenticação Exec para Todos os Usuários

Após a autenticação com:

Router(config)# aaa authentication login default group radius local

Todos os usuários que queiram fazer login no servidor de acesso terão de ser autorizados usando o Radius (primeiro método) ou o banco de dados local (segundo método).

Configuramos:

Router(config)# aaa authorization exec default group radius local

Observação: no servidor AAA, Service-Type=1 (login) deve ser selecionado.

Observação: com esse exemplo, se a palavra-chave local não estiver incluída e o servidor AAA não responder, a autorização nunca será possível e ocorrerá uma falha na conexão.

Observação: nos exemplos 2 e 3 abaixo, não precisamos adicionar comandos no roteador, mas apenas configurar o perfil no servidor de acesso.

Exemplo 2: Atribuição de Níveis de Privilégio de Execução do Servidor AAA

Com base no exemplo 1, se um usuário que faz logon no servidor de acesso for autorizado a entrar no modo de ativação diretamente, configure o seguinte Cisco AV-pair no servidor AAA:

shell:priv-lvl=15

Isto significa que o usuário entra diretamente no modo ativo.

Observação: se o primeiro método não responder, o banco de dados local será usado. No entanto, o usuário não passará diretamente para o modo de ativação, mas terá que digitar o comando enable e fornecer a senha de ativação.

Exemplo 3: Atribuindo Intervalo Ocioso do Servidor AAA

Para configurar um tempo limite de ociosidade (de modo que a sessão seja desconectada no caso de não haver tráfego após o tempo limite de ociosidade), use o atributo IETF Radius 28: Idle-Timeout no perfil do usuário.

Autorização de rede

A comando aaa authorization network executa a autorização para todas as requisições de serviços relacionados à rede, como PPP, SLIP e ARAP. Esta seção concentra-se no PPP, que é o mais utilizado.

O servidor de AAA verifica se uma sessão PPP pelo cliente é permitida. Além disso, as opções do PPP podem ser solicitadas pelo cliente: retorno de chamada, compactação, endereço IP e assim por diante. Essas opções devem ser configuradas no perfil do usuário no servidor AAA. Além disso, para um cliente específico, o perfil de AAA pode conter intervalo ocioso, lista de acesso e outros atributos por usuário cujo download será feito pelo software Cisco IOS e aplicados para esse cliente.

O exemplo a seguir mostra a autorização usando Radius:

Exemplo 1: Mesmos métodos de autorização de rede para todos os usuários

O servidor de acesso é usado para aceitar conexões de discagem PPP.

Inicialmente, os usuários são autenticados (como configurado anteriormente) usando:

Router(config)# aaa authentication ppp default group radius local

em seguida, eles devem ser autorizados usando:

Router(config)# aaa authorization network default group radius local

Observação: no servidor AAA, configure:

  • Service-Type=7 (quadros configurados)

  • Framed-Protocol = PPP

Exemplo 2: Aplicação de atributos específicos do usuário

Você pode usar o servidor AAA para designar atributos por peer, como endereço IP, número de retorno de chamada, valor de timeout de ociosidade do discador ou lista de acesso, etc.. Em tal implementação, o NAS faz o download dos atributos adequados do perfil de usuário do servidor de AAA.

Exemplo 3: Autorização PPP com uma lista específica

Assim como na autenticação, podemos configurar um nome de lista, em vez de usar o padrão:

Router(config)# aaa authorization network ISDN_USER group radius local

Em seguida, esta lista é aplicada à interface:

Router(config)# int dialer 0 Router(config-if)# ppp authorization ISDN_USER

Para obter mais informações sobre autenticação AAA, consulte os documentos do Manual de configuração de segurança do IOS 12.2: Configurando a autenticação e os Casos Práticos de Implementação do Cisco AAA.

Configurando relatório

O recurso de contabilização de AAA permite controlar os serviços que os usuários estão acessando e a quantidade de recursos da rede que estão consumindo.

A auditoria de AAA tem as mesmas regras que a autenticação e a autorização:

  1. Você deve primeiro definir uma lista nomeada de métodos de contagem.

  2. Então, aplique aquela lista a uma ou mais interfaces (exceto para a lista de método padrão).

  3. O primeiro método listado é utilizado e, se ele não responder, o segundo é utilizado, e assim por diante.

O primeiro método listado é utilizado e, se ele não responder, o segundo é utilizado, e assim por diante.

  • A contabilização da rede fornece informações de todas as sessões de PPP, Slip e AppleTalk Remote Access Protocol (ARAP). contagem de pacotes, contagem de octetos, tempo de sessão, hora de início e de término.

  • A contabilidade Exec fornece informações sobre sessões de terminal EXEC (uma sessão telnet por exemplo) do servidor de acesso à rede: Tempo da sessão, horário de início e de término.

Para obter mais informações sobre outros tipos de autorização, consulte o Cisco IOS Security Configuration Guide, Release 12.2.

Os exemplos a seguir enfatizam como as informações podem ser enviadas ao servidor AAA.

Configurando exemplos de relatórios

Exemplo 1: Gerando os registros de contabilidade de início e de parada

Para cada sessão do PPP de discagem, as informações de auditoria são enviadas para o servidor AAA quando o cliente é autenticado e após a desconexão usando a palavra-chave start-stop.

Router(config)# aaa accounting network default start-stop group radius local

Exemplo 2: Gerando apenas registros de contabilidade de parada

Se informações contábeis tiverem de ser enviadas somente após a desconexão de um cliente, use a palavra-chave stop e configure a seguinte linha:

Router(config)# aaa accounting network default stop group radius local

Exemplo 3: Gerando registros de recursos para falhas de autenticação e negociação

Até esse ponto, a auditoria de AAA oferece suporte ao registro de início e de término para chamadas que passaram pela autenticação de usuário.

Se ocorrer uma falha na autenticação ou na negociação de PPP, não haverá registro de autenticação.

A solução é utilizar o relatório de parada de falha do recurso AAA:

Router(config)# aaa accounting send stop-record authentication failure

É enviado um registro de parada para o servidor AAA.

Exemplo 4: Ativando o relatório de recurso completo

Para habilitar a contabilização completa de recursos, que gera tanto um registro de início na configuração de chamada quanto um registro de interrupção ao término da chamada, configure:

Router(config)# aaa accounting resource start-stop

Esse comando foi apresentado no Cisco IOS Software Release 12.1(3)T.

Com este comando, um registro de contabilidade de iniciar-parar configuração e desconexão de chamada controla o progresso da conexão entre o recurso e o dispositivo. Um registro de contabilidade de início e parada de autenticação do usuário separado controla o progresso do gerenciamento de usuários. Esses dois conjuntos de registros de contabilização são interligados usando um único ID de sessão da chamada.

Para obter mais informações sobre autenticação AAA, consulte os documentos do Manual de configuração de segurança do IOS 12.2: Configurando a autenticação e os Casos Práticos de Implementação do Cisco AAA.

Informações Relacionadas

  • Suporte Técnico - Cisco Systems

Quais são os dois protocolos que são usados pelo AAA para autenticar usuários em um banco de dados central de nomes de usuário e senha?

Explicação: Usando TACACS + ou RADIUS, o AAA pode autenticar usuários de um banco de dados de nomes de usuário e senhas armazenados centralmente em um servidor, como um servidor Cisco ACS.

Qual componente de controle de acesso implementação ou protocolo controla quem tem permissão para acessar uma rede?

AAA fornece a estrutura principal para configurar o controle de acesso em um dispositivo de rede. AAA é uma forma de controlar quem tem permissão para acessar uma rede (autenticação), o que eles podem fazer enquanto estão lá (autorizar) e auditar quais ações eles realizaram ao acessar a rede (contabilidade).

Qual guia permite que um administrador de rede configure uma WLAN específica com uma política WPA2?

Clique na guia Segurança para acessar todas as opções disponíveis para proteger a LAN. O administrador da rede deseja proteger a camada 2 com WPA2-PSK. WPA2 e 802.1X são configurados por padrão.

componente aaa permite administrador rastreie indivíduos acessam recursos rede quaisquer alterações feitas recursos

Postagens relacionadas

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?

If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes

50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls

20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall

Which group would be most likely to oppose government intervention to improve the tenements
Which group would be most likely to oppose government intervention to improve the tenements

What is the name of the process in which one company studies the processes of another firm?
What is the name of the process in which one company studies the processes of another firm?

Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?

Ferrous sulfate life threatening Considerations
Ferrous sulfate life threatening Considerations

How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?

Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?

Publicidade

ÚLTIMAS NOTÍCIAS

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
1 anos atrás . por InflatedHumility
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
1 anos atrás . por TropicalPhrasing
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
1 anos atrás . por DamagedShoplifting
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
1 anos atrás . por IncredibleLitigation
Which group would be most likely to oppose government intervention to improve the tenements
1 anos atrás . por EscapingAdvice
What is the name of the process in which one company studies the processes of another firm?
1 anos atrás . por PerverseSiding
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
1 anos atrás . por SatiricalCrossroads
Ferrous sulfate life threatening Considerations
1 anos atrás . por DarkStandpoint
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
1 anos atrás . por NostalgicTuesday
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
1 anos atrás . por PlanetaryWomanhood

Toplistas

#1
Top 7 remédio para dor de ouvido infantil 6 anos 2022
1 anos atrás
#2
Top 7 folder programa para fazer 2022
1 anos atrás
#3
Top 7 o que é bom para reduzir o colesterol ruim 2022
1 anos atrás
#4
Top 8 o que é cidade local 2022
1 anos atrás
#5
Top 8 distancia entre cidades americanas e canadenses 2022
1 anos atrás
#6
Top 9 o texto apresenta uma relação entre atividade econômica e organização social marcada pelo 2022
1 anos atrás
#7
Top 5 blusas de croche verão 2022
1 anos atrás
#8
Top 6 cha de cordão de frade para que serve 2022
1 anos atrás
#9
Top 8 se a cada hora o planeta percorre 15° de longitude quantos graus ele realiza a cada rotação 2022
1 anos atrás
#10
Top 5 crie um algoritmo que calcule o valor do fatorial de um número fornecido pelo usuário 2022
1 anos atrás

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

direito autoral © 2024 comojogaruno Inc.