Bài thực hành số 2: AAA, RADIUS I Giới thiệu AAA RADIUS - AAA (Authentication, Authorization, Accounting): Là thuật ngữ cho khuôn khổ, sử dụng cho việc kiểm sốt thơng minh truy cập vào tài ngun máy tính, sách thực thi, kiểm tốn sử dụng cung cấp thông tin cần thiết cho dịch vụ Các trình kết hợp coi quan trọng cho việc quản lý mạng hiệu an tồn II Bài tập thực hành Mơ hình triển khai Trong thực hành này, xây dựng mạng lưới nhiều router cấu hình router host Sử dụng lệnh CLI khác để cấu hình router với xác thực cục xác thực cục sử dụng AAA Cài đặt phần mềm RADIUS máy tính bên ngồi sử dụng AAA để xác thực người dùng với RADIUS server Bảng địa IP Yêu cầu Phần 1: Cấu hình thiết bị mạng - Cấu hình thiết lập host name, địa chi IP cho cổng mật truy cập - Cấu hình định tuyến tĩnh Phần 2: Cấu hình xác thực cục R1 R3 - Cấu hình sở liệu người dùng cục truy cập cục cho đường console vty - Kiểm tra cấu hình Phần 3: Cấu hình xác thực cục sử dụng AAA R3 - Cấu hình sở liệu người dùng cục - Cấu hình AAA xác thực cục - Kiểm tra cấu hình Phần 4: Cấu hình xác thực tập trung sử dụng AAA RADIUS R1 - Cài đặt RADIUS server PC-A - Cấu hình người dùng RADIUS server - Cấu hình dịch vụ AAA R1 để truy cập đến RADIUS server để xác thực - Kiểm tra cấu hình AAA RADIUS Thiết bị phần mềm hỗ trợ - Phần mềm GNS3 - Phần mềm VMWARE - router (Cisco IOS C3725 , phiên 12.4(20)T tương đương) - PC-A: Windows XP, Vista, Windows Server với phần mềm RADIUS server có sẵn - PC-C: Windows XP Vista Hướng dẫn cấu hình Phần 1: Cấu hình thiết bị mạng - Cấu hình địa IP cho Router PC: Router R1 R1#configure terminal R1(config)# interface f0/0 R1(config-if)# no shutdown R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config)# exit R1(config)# interface s0/0 R1(config-if)# no shutdown R1(config-if)# ip address 10.1.1.1 255.255.255.252 Router R2 R2#configure terminal R2(config)# interface s0/0 R2(config-if)# no shutdown R2(config-if)# ip address 10.1.1.2 255.255.255.252 R2(config)# exit R2(config)# interface s0/1 R2(config-if)# no shutdown R2(config-if)# ip address 10.2.2.2 255.255.255.252 Router R3 R3#configure terminal R3(config)# interface f0/0 R3(config-if)# no shutdown R3(config-if)# ip address 192.168.3.1 255.255.255.0 R3(config)# exit R3(config)# interface s0/0 R3(config-if)# no shutdown R3(config-if)# ip address 10.2.2.1 255.255.255.252 PC-A PC-C - Cấu hình định tuyến tĩnh R2, default route R1, R3: Router R1 R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2 Router R2 R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1 Router R3 R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2 - Kiểm tra kết nối PC router: Ping thành công từ R1 đến R3 Ping thành công từ PC-A đến PC-C - Cấu hình mã hóa mật R1 R3 Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật tối thiểu 10 ký tự: Router(config)# security passwords min-length 10 Bước 2: Sử dụng lệnh Service password-encryption để mã hóa password console, vty: Router(config)#service password-encryption Bước 3: Cấu hình password secret sử dụng lệnh enable secret password: Router(config)# enable secret cisco12345 Bước 3: Cấu hình cổng console đường truy cập ảo (telnet) - Password console Trong đó, lệnh exec-timeout gây dòng log sau phút khơng hoạt động lệnh logging synchronous ngăn chặn message console làm gián đoạn lệnh nhập vào: Router(config)# line console Router(config-line)# password ciscoconpass Router(config-line)# exec-timeout Router(config-line)# login Router(config-line)# logging synchronous - Password line vty cho router dùng để telnet: Router(config)# line vty Router(config-line)# password ciscovtypass Router(config-line)# exec-timeout Router(config-line)# login - Cấu hình biểu ngữ cảnh báo đăng nhập: Sử dụng lệnh banner motd để cấu hình Khi người sử dụng kết nối đến router, banner motd xuất trước dấu nhắc đăng nhập, dấu đô la ($) sử dụng để bắt đầu kết thúc thông điệp Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$ Phần 2: Cấu hình xác thực cục (thực R1 R3): Các thủ tục thực R1 - Cấu hình sở liệu người dùng cục bộ: Tạo tài khoản cục với hàm băm MD5 để mã hóa mật Router(config)#username user01 secret user01pass - Cấu hình xác thực cục cho đường console đăng nhập: Thiết lập đường console để sử dụng tên người dùng đăng nhập mật xác định cục Router(config)#line console Router(config-line)#login local Thốt hình ban đầu router (sử dụng lệnh exit) hiển thị: R1 con0 is now available, Press RETURN to get started Đăng nhập cách sử dụng tài khoản user01 mật định nghĩa trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable nhập password secret cisco12345 Thiết lập đường vty để sử dụng tài khoản xác định cục Router(config)#line vty Router(config-line)#login local Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 mật user01pass Trong telnet đến R1, truy vào chế độ privileged EXEC với lệnh enable, sử dụng mật secret cisco12345 Lưu cấu hình Sử dụng lệnh copy run start chế độ privileged EXEC Router# copy run start Thực tương tự R3 Phần 3: Cấu hình xác thực cục sử dụng AAA R3: - Cấu hình sở liệu người dùng cục bộ: Cấu hình tài khoản người dùng cục với hàm băm MD5 để mã hóa mật R3(config)#username Admin01 privilege 15 secret Admin01pass - Cấu hình AAA xác thực cục bộ: Kích hoạt dịch vụ AAA: R3(config)#aaa new-model Triển khai dịch vụ AAA cho việc truy cập console sử dụng sở liệu cục bộ: Tạo danh sách xác thực đăng nhập mặc định cách ban hành lệnh aaa authentication login default method1[method2][method3] với danh sách phương pháp sử dụng local none keywords R3(config)#aaa authentication login default local none Thốt hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 is now available, Press RETURN to get started Đăng nhập vào console với tài khoản người dùng Admin01 mật Admin01pass Thốt hình ban đầu hiển thị: R3 con0 is now available, Press RETURN to get started Cố gắng đăng nhập đến console với người dùng (ở baduser) Nếu người dùng khơng tìm thấy sở liệu cục bộ, tùy chọn none lệnh aaa authentication login default local none yêu cầu không xác thực, đăng nhập với người dùng đến cổng console - Tạo hồ sơ chứng thực AAA cho Telnet sử dụng sở liệu cục bộ: Tạo danh sách xác thực cho Telnet truy cập đến router Chỉ định tên danh sách TELNET_LINES áp dụng đến đường vty R3(config)#aaa authentication login TELNET_LINES local R3(config)#line vty R3(config-line)#login authentication TELNET_LINES Xác minh hồ sơ chứng thực sử dụng cách mở phiên Telnet từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật Admin01pass Thoát phiên Telnet với lệnh exit, telnet đến R1 lần Cố gắng để đăng nhập với người dùng mật (ở sử dụng người dùng baduser, mật 123) Nếu người dùng khơng tìm thấy sở liệu cục bộ, khơng có phương pháp dự phòng quy định danh sách chứng thực cho đường vty thiết lập phiên telnet Bài thực hành số 3: ACL I Giới thiệu ACL (Access Control List) ACL danh sách điều kiện áp dụng thông qua cổng router, firewall, Các danh sách cho router, firewall biết loại gói tin cho phép từ chối khả cho phép từ chối dựa điều kiện quy định ACL cho phép quản lý lưu lượng truy cập an toàn đến từ mạng Phân loại ACL: ACL chia thành loại sau: II − Standard ACL − Extended ACL − Reflexive ACL − Dynamic ACL − Time-Based ACL − Context-based Access Control (CBAC) ACL Bài tập thực hành Mơ hình triển khai u cầu Phần 1: Cấu hình thiết bị mạng - Cấu hình địa IP cho Router PC - Cấu hình định tuyến tĩnh router - Kiểm tra kết nối PC router Phần 2: Cấu hình ACL - Lọc gói tin sử dụng standard ACL: • Thực cấm tất lưu lượng từ PC-A đến lớp mạng 172.16.1.0/24 • Cho phép PC-A telnet vào R2 • Cho phép PC-B truy cập vào R1 qua giao diện web Thiết bị phần mềm hỗ trợ - Phần mềm GNS3 - Phần mềm VMWARE - router (Cisco IOS C3725 , phiên 12.4(20)T tương đương) - PC: PC-A sử dụng Windows XP Windows 7, PC-B sử dụng Windows server Linux Server Hướng dẫn cấu hình Phần 1: Cấu hình thiết bị mạng - Cấu hình địa IP cho Router PC: Router R1 R1#configure terminal R1(config)# interface f0/0 R1(config-if)# no shutdown R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config)# exit R1(config)# interface s0/0 R1(config-if)# no shutdown R1(config-if)# ip address 203.162.1.1 255.255.255.0 Router R2 R2#configure terminal R2(config)# interface f0/0 R2(config-if)# no shutdown R2(config-if)# ip address 172.16.1.1 255.255.255.0 R2(config)# exit R2(config)# interface s0/0 R2(config-if)# no shutdown R2(config-if)# ip address 203.162.1.2 255.255.255.0 PC-A PC-B - Cấu hình định tuyến tĩnh router: Router R1 R1(config)# ip route 172.16.1.0 255.255.255.0 203.162.1.2 Router R2 R2(config)# ip route 192.168.1.0 255.255.255.0 203.162.1.1 - Kiểm tra kết nối PC router: Ping thành công từ R1 đến R2 R1#ping 203.162.1.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 203.162.1.2, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/136/208 ms Ping thành công từ PC-A đến PC-B C:\Documents and Settings\Administrator>ping 172.16.1.2 Pinging 172.16.1.2 with 32 bytes of data: Reply Reply Reply Reply from from from from 172.16.1.2: 172.16.1.2: 172.16.1.2: 172.16.1.2: bytes=32 bytes=32 bytes=32 bytes=32 time=42ms time=44ms time=41ms time=42ms TTL=126 TTL=126 TTL=126 TTL=126 Ping statistics for 172.16.1.2: Packets: Sent = 4, Received = 4, Lost = (0% loss), Approximate round trip times in milli-seconds: Minimum = 41ms, Maximum = 44ms, Average = 42ms Phần 2: Cấu hình ACL • Lọc gói tin sử dụng standard ACL: Tạo ACL thực cấm tất lưu lượng từ PC-A đến lớp mạng 172.16.1.0/24: Bước 1: Tạo ACL R2 cấm tất lưu lượng từ PC-A cho phép lưu lượng lại đến lớp mạng 172.16.1.0/24: Sử dụng lệnh access-list để tạo ACL có số hiệu R2(config)#access-list deny host 192.168.1.2 R2(config)#access-list permit any Bước 2: Áp dụng ACL vào cổng f0/0 theo chiều out: Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều lưu lượng cổng f0/0 R2(config)#interface f0/0 R2(config-if)# ip access-group out Bước 3: Xác nhận lưu lượng từ PC-A vào lớp mạng 172.16.1.0/24 bị loại bỏ cho phép lưu lượng lại: Ping khơng thành công từ PC-A vào PC-B C:\Documents and Settings\Administrator>ping 172.16.1.2 Pinging 172.16.1.2 with 32 bytes of data: Reply Reply Reply Reply from from from from 203.162.1.2: 203.162.1.2: 203.162.1.2: 203.162.1.2: Destination Destination Destination Destination net net net net unreachable unreachable unreachable unreachable Ping statistics for 172.16.1.2: Packets: Sent = 4, Received = 4, Lost = (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Ping thành công từ R1 vào PC-B R1#ping 172.16.1.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/95/160 ms • Tạo ACL cho phép PC-A telnet vào R2 Bước 1: Cấu hình telnet R2 + Tạo username, password sử dụng cho phiên kết nối telnet (username: u1, password: 123): R2(config)#username u1 password 123 + Cấu hình telnet R2(config)#line vty R2(config-line)#login local Bước 3: Tạo ACL R2 cho phép PC-A truy cập từ xa (sử dụng telnet) đến R2: Sử dụng lệnh access-list để tạo ACL có số hiệu R2(config)#access-list permit host 192.168.1.2 Bước 4: Áp dụng ACL vào đường vty theo chiều in: Sử dụng lệnh access-class để áp dụng danh sách truy cập theo chiều vào lưu lượng đường vty R2(config)# line vty R2(config)# access-class in Bước 3: Kiểm tra: Telnet không thành công từ R1 vào R2 R1#telnet 203.162.1.2 Trying 203.162.1.2 % Connection refused by remote host Telnet thành công từ PC-A vào R2(trên PC-A mở cmd, gõ lệnh telnet 203.162.1.2, nhập username: u1, password: 123 yêu cầu) C:\Documents and Settings\Administrator>telnet 203.162.1.2 User Access Verification Username: u1 Password: R2> • Tạo ACL cho phép PC-B truy cập vào R1 qua giao diện web Bước 1: Tạo ACL R1 cho phép PC-B truy cập vào R1 qua giao diện web: Sử dụng lệnh access-list để tạo ACL có số hiệu R1(config)#access-list permit host 172.16.1.2 Bước 2: Áp dụng ACL vào http server để hạn chế truy cập vào giao diện web R1: Sử dụng lệnh ip http server để kích hoạt http R1 ip http access-class để áp dụng danh sách truy cập vào giao diện web R1 R1(config)# ip http server R1(config)# ip http access-class Bước 3: Kiểm tra: Trên PC-A, mở trình duyệt web(IE, Chrome, Firefox,…) nhập vào địa http://192.168.1.1 để truy cập vào R1, sách ACL nên PC-A truy cập vào giao diện web R1 Truy cập http bị chặn PC-B truy cập thành công vào giao diện web R1(thực truy cập tương tự giống PC-A) Truy cập http thành công ... quy định ACL cho phép quản lý lưu lượng truy cập an toàn đến từ mạng Phân loại ACL: ACL chia thành loại sau: II − Standard ACL − Extended ACL − Reflexive ACL − Dynamic ACL − Time-Based ACL − Context-based... Cấu hình AAA xác thực cục - Kiểm tra cấu hình Phần 4: Cấu hình xác thực tập trung sử dụng AAA RADIUS R1 - Cài đặt RADIUS server PC-A - Cấu hình người dùng RADIUS server - Cấu hình dịch vụ AAA R1... phương pháp dự phòng quy định danh sách chứng thực cho đường vty thiết lập phiên telnet Bài thực hành số 3: ACL I Giới thiệu ACL (Access Control List) ACL danh sách điều kiện áp dụng thông qua cổng