Bài 2: Cấu hình Authentication Proxy Phần này chỉ tập trung vào cấu hình Cisco IOS firewall cho hướng inbound và outbound mà không sử dụng CBAC, NAT, IPSec hay VPN Client. Các bước cấu hình Authentication Proxy: • Bước 1: Cấu hình AAA • Bước 2: Cấu hình HTTP server • Bước 3: Cấu hình Authentication Proxy • Bước 4: Kiểm tra cấu hình Bước 1: Cấu hình AAA Cho phép tính năng AAA trên Cisco IOS Firewall aaa new-model Định nghĩa phương thức xác thực được tận dụng khi login aaa authentication login default [tacacs+ | radius] Từ khoá auth-proxy cho phép bật cơ chế authentication proxy cho phương thức xác thực AAA ( TACACS+ hay RADIUS) và cho phép router download các ACL động từ server AAA. aaa authorization auth-proxy default [method1 [method2 ]] Từ khóa auth-proxy trong câu lệnh này kích hoạt chức năng accounting cho authentication proxy aaa accounting auth-proxy default start-stop group tacacs+ Nhận dạng AAA server bằng hostname hoặc bằng địa chỉ IP tacacs-server host hostname hoặc radius-server host hostname Cấu hình key xác thực và mã hóa nhằm đảm bảo kênh truyền thông tin giữa Cisco IOS Firewall và server AAA được bảo mật. tacacs-server key key or radius-server key key Tạo ACL nhằm cho phép các traffic từ AAA server trả về Cisco IOS Firewall. access-list [access-list-number] permit tcp host source eq tacacs | radius host destination Bước 2: Cấu hình HTTP server Trong bước này, bạn cấu hình HTTP server hoạt động và thiết lập các phương thức xác thực - ip http server Mở chức năng HTTP server trên Cisco IOS Firewall. HTTP server được dùng bởi Cisco IOS Firewall để gửi trang login đến Client. - ip http secure-server Mở chức năng HTTP server trên Cisco IOS firewall sử dụng đặc tính SSL (Secure Socket Layer). Ciso IOS Firewall được truy nhập theo cùng cách như trên ngoại trừ truy nhập sử dụng HTTPS (SSL). Sử dụng các server bảo mật làm giảm những lỗ hổng liên hệ với việc cho phép việc truy nhập vào Cisco IOS Firewall dùng HTTP server. - ip http authentication aaa Cài đặt phương thức xác thực HTTP server dùng AAA - access-list access-list-number deny any Một ACL chuẩn phải được tạo ra để từ chối bất kỳ máy nào - ip http access-class access-list-number Đặc tả ACL được sử dụng bởi HTTP server. Số của ACL được tạo ra ở trên được dùng để ngăn chặn bất kỳ máy nào kết nối trực tiếp vào HTTP server Bước 3: Cấu hình Authentication Proxy Bước này cấu hình authentication proxy trên Cisco IOS firewall. Dùng các câu lệnh trong bảng sau: - ip auth-proxy auth-cache-time min: Đặt giá trị idle-timeout của authentication proxy. Tất cả các mục xác thực và các ACL động được xóa khỏi Cisco IOS Firewall khi đạt đến giá trị idle-timeout này. Đơn vị là phút, mặc định là 60 phút. - ip auth-proxy auth-proxy-banner (Tùy chọn) cho phép bạn đặt tên của firewall trên trang login của authentication proxy. Mặc định tính năng không bật lên. - ip auth-proxy name auth-proxy-name http [auth-cache-time min][list {acl | acl-name}] Cấu hình các luật riêng lẻ của authentication proxy [auth-cache-time min]: tham số này là tùy chọn và được dùng đặc tả thời gian auth-cache- time cho 1 luật nào đó thay vì dùng cấu hình ở mode configuration[list {acl | acl-name}]: tùy chọn này dùng để chỉ định ACL cho luật. interface type Đặc tả loại cổng giao tiếp trên đó sẽ sử dụng authentication proxy. - ip auth-proxy auth-proxy-name Câu lệnh này sử dụng trên mode interface, áp dụng luật của authentication proxy lên cổng. Các luật phải được áp dụng trên cổng đầu tiên của Cisco IOS Firewall mà yêu cầu kết nối sẽ đi vào. Ví dụ, các luật nên được áp dụng trên cổng giao tiếp bên trong cho những traffic đi ra ngoài và trên cổng giao tiếp với bên ngoài cho traffic đi vào hệ thống. Bước 4: Kiểm tra cấu hình Authenticatino Proxy: Sử dụng câu lệnh show ip auth-proxy để hiển thị và kiểm tra cấu hình athentication proxy. . hình Authentication Proxy Bước này cấu hình authentication proxy trên Cisco IOS firewall. Dùng các câu lệnh trong bảng sau: - ip auth -proxy auth-cache-time min: Đặt giá trị idle-timeout của authentication. authentication proxy. Mặc định tính năng không bật lên. - ip auth -proxy name auth -proxy- name http [auth-cache-time min][list {acl | acl-name}] Cấu hình các luật riêng lẻ của authentication proxy [auth-cache-time. cổng giao tiếp trên đó sẽ sử dụng authentication proxy. - ip auth -proxy auth -proxy- name Câu lệnh này sử dụng trên mode interface, áp dụng luật của authentication proxy lên cổng. Các luật phải được