Khi CSACS ( Cisco Secure Access Control Server ) được cấu hình (CSACS
là một
phần mềm được cài đặt trên server cung cấp đầy đủ 3 dịch vụ AAA), một entry tương
ứng với AAA server phải được cấu hình trên pix. Các bước cấu hình như sau: Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
V Tạo ra AAA server và đăng ký nó đến AAA group, nhiều AAA server có
thể ở
trong cùng một group:
aaa-server group_tag protocol auth_protocoỉ
Group_tag: tên của server group
If_name: tên interface kết nối với server
Host server_ip: địa chỉ IP của TACACS+ server hoặc RADIƯS server
Key: là từ khoá case-sensitive, có độ dài tối đa là 127 kí tự, tù’ khoá này phải
giống
với từ khoá của server. Key được sử dụng giừa Client và server cho việc mã hoá dừ
liệu giữa chúng. Neu key không được chỉ ra, mã hoá sẽ không xảy ra. Không
được sử
dụng khoảng trắng giữa các kí tự trong key.
Timeout seconds: chỉ ra khoảng thời gian mà pix phải chờ đế thử lại lần nữa,
pix
sẽ thử lại 4 lần trước khi chọn server kế tiếp cho việc xác thực. Giá trị mặc định của
timeout là 30 giây.
Auth_protocol: là chỉ ra loại server nào được sử dụng, tacacs hay là radius.
Lưu ý: Mặc định, PIX fĩrewall giao tiếp với RADIUS server dùng port 1645 dành
cho việc xác thực và port 1646 dành cho accounting. Các RADIƯS đời mới hơn
có thề
sử dụng port 1812 và port 1813. Neu server sử dụng port khác 1645 và 1646, ta cần
phải định nghĩa lại giá trị port tương ứng trên Pix bằng câu lệnh aaa-server radius-
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________ Xác thực việc access vào pix console có nhiều loại khác nhau tuỳ thuộc vào option
được chọn. Enable option cho phép 3 lần thử trước khi từ chối việc access .
Serial và
telnet cho phép User thử nhiều lần cho đến khi log in vào được thiết bị.
Telnet cho phép ta chỉ ra host nào có thê access vào pix. Đối với các os version
5.0 trở về trước, telnet đến pix chỉ được thực hiện từ intemal interface đi ra mạng
ngoài, không cho phép outside interface. Nhưng các version os sau này đều hồ trợ
tính năng này. Tuy nhiên, PIX fírewall bắt buộc rằng tất cả telnet traffíc đến outside
interface phải được bảo vệ bởi IPSEC. Do đó, đổ khởi động một telnet session đến
outside interíace, cấu hình IPSEC ở outside interface bao gồm cả IP traffic do
pix tạo
ra. Chỉ có traffic trở về telnet Client được gửi qua IPSEC tunnel, không phải là
tất cả
traffic được phát ra bởi outside interface.
3.23.2. Xác thực cho trajjĩc đi qua pỉx
Câu lệnh:
aaa authentỉcatỉon {include I exclude} <authen_servỉce>
{inside I
outside I <interface>} <ỉocal_ỉp> <local_mask>
<foreign_ip>
<foreign _mask> <gỉX)up_tag>
incỉude: tạo ra một quy tắc mới cho dịch vụ cụ thể nào đó. exclude: chỉ ra host nào đó được bỏ qua các quy tắc mà ta đã định nghĩa trước
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
foreign_ip: là địa chỉ IP của các host mà local ip có khả năng truy cập đến.
Sử
dụng 0 cho tất cả các host.
/oreign mask: giống local_mask
grouptag’. là tag group trong lệnh aaa-server
PIX fírewall chỉ cho phép chỉ một giao thức authentication cho một mạng. Ví dụ,
nếu một mạng kết nối inbound thông qua PIX firewall sử dụng TACACS +, thì cùng
mạng đó không thế kết nối inbound thông qua PIX sử dụng RADIUS. Tuy
nhiên, nếu
một mạng kết nối inbound thông qua pix sử dụng TACACS+, một mạng khác có thể
kết nối inbound qua PIX sử dụng RADIƯS.
3.23.3. Xác thực cho các dịch vụ khác
PIX fírewall xác thực User thông qua Telnet, FTP, HTTP. Nhưng nó cũng có thê
xác thực các loại dịch vụ khác. Ví dụ, PIX có thê được câu hình đê xác thực
User khi
user cần sử dụng dịch vụ Microsoữ file server ở port 139. Khi User được yêu
cầu xác
thử đe access vào các dịch vụ khác ngoài Telnet, FTP, HTTP, họ cần thực hiện một
trong các bước sau:
o Option 1: xác thực đầu tiên bằng việc truy cập vào Telnet, FTP, hay HTTP
server trước khi truy cập các dịch vụ khác, o Option 2: xác thực đến PIX Virtual telnet trước khi truy cập vào các
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Sử dụng Virtual telnet không chỉ cho việc log in mà còn dành cho việc
log out .
Sau khi xác thực thành công thông qua Virtual telnet, User sẽ không phải
xác thực trở
lại cho đến khi hết thời gian uauth. Neu ta không muốn sử dụng dịch vụ
nữa, và muốn
chặn không cho các traffíc qua fírewall sử dụng thông tin xác thực của
mình, ta có thê
telnet đến Virtual telnet lại một lần nữa. Điều này sẽ kết thúc phiên làm việc và log out.
> Virtual http:
Neu xác thực được yêu cầu trong các site ngoài cũng như trong bản thân
PIX, vì
các browser có lưu usemame và password nên có thể việc xác thực sẽ không xảy
ra đối
với các brovvser mà pix không hiếu. Đê tránh điêu này, ta có thê sử dụng Virtual http.
PIX firewall giả sử rằng AAA server và web server chia sẻ cùng database, và pix tự
động cung cấp cho 2 server này thông tin giống nhau. Virtual http sử dụng trong PIX
dùng để xác thực User, tách thông tin AAA server từ request URL của web Client,
chuyển web Client đến web server. Virtual http lại chuyển tiếp kết nối khởi tạo của
web browser đến một địa chỉ IP thuộc về PIX firewall, xác thực User, sau đó chuyên
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
1. Web browser gửi HTTP request đến web server
2. PIX fírewall chặn connection này lại và reply bằng một message “ HTTP 401
Authorization Required ”
3. Web browser nhận response từ firewall và sử dụng usemame, password cho
User chứng thực.
4. Web brovvser gửi lại HTTP request này với usemame, password đã được mã
hoá đến PIX.
5. PIX fírewall nhận HTTP request, tách nó ra làm 2 phần: phần request AAA
authentication bao gồm username, password và phần khởi tạo HTTP request
không có
username, password.
6. Pix gửi AAA authentication request đến cho AAA server
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
3.2.4. cẩu hình uỷ quyền
Khi đã cấu hình xác thực cho traffic thông qua firewall sử dụng cut-through proxy,
ta có thể cấu hình authorization cho traffic thông qua firewall. Authentication là một
yêu cầu cho authorization, tức là authorization sẽ quyết định dịch vụ nào mà
User sau
khi được chứng thực có thề truy cập vào.
Đe thực hiện uỷ quyền, đầu tiên cần cấu hình cho TACACS server. Sau đó ta cần
phải cấu hình uỷ quyền AAA cho PIX sử dụng câu lệnh sau:
aaa authorỉzatỉon {include I exclude} <author_service> {inside I outside}
<if_name>
<Iocaỉ_ip> <ỉocaỉ_mask> <foreign_ip> <foreign_mask> <group_tag>
Cấu trúc của câu lệnh trên tưong tự trong chứng thực. Tất cả các tham số đều giống
ngoại trù’ author_service. Các giá trị có thể cho author_service là any, ftp, telnet, http,
hay là <protocol/port> (ví dụ như TCP là 6, UDP là 17, ICMP là 1). Thiết lập giá trị
port về 0 chỉ ra tất cả các port.
3.2.5. Cẩu hình kiếm toán.
Sau khi cấu hình chứng thực(authentication) và uỷ quyền (authorization), thông
thường ta cần phải cấu hình kiềm toán (accounting). Thông tin kiểm toán có thể được
Device Interíace IP Address
PIX EO 209.162. u/24
E1 172.16.1.2/24
Router7200 Fal/0 209 162.1.2/24
AAAServer 172 16.1.1/24
^y|Network Access CiscoSecure ACS
Release 4.2(0) Build 124 I Reportsand 1 À 1 u**f ẩ | SlnrHAr [lilK, tóllss 1 Shđred PrợOlí “ 1 Corr^cnents N" W0rk Coní'gur.l1<*> Sgítrm
!•—u_LL JP| C«nflfluri»ionI In1wf.c<?
‘Vía I CÕn(»oĩ V1 J I Databacer ỊnnaalỊ Poítar* Au* I R*por*s«n<J rai 10n,ifií Supplementary User Info _u
Real Name |AAA User
Description |AAA user viethanit
LầlK.
II
1 Shar ed 5*^1 Nft work
Network Device ịpix
shared Secret |pixfirewall|
LầlK, kàllXỈ 1 Slnrtd NMwort< T'is|
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
3.3.2. Mô hình mô phỏng
and Fix Firewal
Client Access FIX Firewall AAA Server Web servế FTP Servẽi Mail ServeT FW1
Hình 3-6 Mô hình mô phỏng trên GNS3
3.3.3. Các công cụ thực hiện mô phỏng
- Máy chủ giả lập AAA server cài hệ điều hành Windows server 2003
- Phần mềm Cisco Secure ACS v4.2 được cài đặt trên máy Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
3.3.4. Các bước mô phỏng
Địa chỉ IP của các interface
Cấu hình Security level và IP address cho các interface eO và el cho PIX
Pix(config’)# inter/úce eO Pix(confìg-if) # nameif outside Pix(config-ịf)#ip address 209.162.1.1 255.255.255.0
Pix(conỳìg- if) #no shu tdo wn Pix(config)H interface el Pix(confìg-ự)# nameì'f inside Pix(config-ịf)#ip address 172.16.1.2 255.255.255.0
Pix(conỳìg- if) #no shu tdo wn
Cấu hình tầm địa chỉ đuợc NAT ra ngoài:
PIX(config■)# nat (inside) 10 0 0 PlX(conỷìg)# global (outside) 1 209.162.1.30 Global 209.162. ỉ.30 wỉll be Port Address Translated
Cấu hình định tuyến cho mạng inside ra outside:
PỈX(confìg)# route outside 0.0.0.0 0.0.0.0
209.162. ỉ. 1
Cấu hình Cho Cisco Router 7200
router(config)# hosừiame xvebserver xvebserver (confìg)benab/e passxvord Cisco xvebserver (conýìg)#interface faỉ/0 xvebserver (confìg-ịf)#ip add 209.162.1.2 255.255.255.0
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco Pix(config)# ping 172.16.1.1
rype escape sequence to abort.
Sending 5, 100-bỵte ICMP Echo3 to 172.16.1.1, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/maX = 10/12/2C
ma
Pix(config)# ping 172.16.1.2 Tỵpe escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
I I I I I
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/1/1 m£
Pix(config)# ping 209.162.1.2 Tỵpe escape sequence to abort.
Sending 5, 100-bỵte ICMP Echos to 209.162.1.2, timeout is 2 seconds:
Cấu hình để các mạng insidc có thể ping thấy các mạng outsidc:
Pỉx(config)#static (inside,outside) 209.162.1.5 1 72.16.1.2 netmask 255.255.255.255
Pix(config)# access-lỉst SER VER permỉt ỉcmp any any
Pỉx(confìg■)#global (outside) 1 209.162.1.10-209.162.1.250 netmask 255.255.255.0
Pix(confìg)# nat (inside) 1 172.16.1.0 255.255.255.0
iiM
lui
C:\Documents and Settings\Administrator>ping 209.162.1.2
Pỉngỉng 209.162.1.2 wỉth 32 bytes of đata: Reply from 209.162.1.2: bytes=32 tine=59ns TTL=254
Reply tron 209.162.1.2: bytes=32 tine=67ns TTL=254
Reply fron 209.162.1.2: bytes=32 tine=68ns Ping statỉstỉcs for 209.162.1.2:
Packets: Sent = 4, Receiụed = 4, Lost = 0 <0y.
loss>,
Approxỉmate round trip tỉmes in nilli-seconds: Mỉnỉmum = 59ms, Maxỉnum = 76ns, Average = C:\Documents and Settincfs\Administrator>
Cấu hình cho phép host ở mạng inside được phép telnet vào pix:
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco Bật tính năng AAA server trên PIX:
Pix(config)# aaa-server ccsp protocol tacacs+
Pix(config)# aaa-server ccsp (insỉde) host ỉ 72.16. ì. ỉ pỉxjìrewalỉ
Hai câu lệnh trên sử dụng các thông số: 172.16.1.1 chính là địa chỉ của AAA server, với share key là pỉxfìrewall. Tạo một group tag gọi là ccsp và đăng ký giao
thức TACACS+ đến nó.
Cấu hình xác thực User truy cập vào PIX.
Như đã nói trong phần lý thuyết, có tất cả 3 option để xác thực User khi User truy cập
vào PIX. Cấu hình như sau:
Pix(conJìg)# aaa authentication telnet console ccsp Pix(conJìg)# aaa authentication http console ccsp Pixịconỹig)# aaa authentication enabỉe console ccsp
Ngoài ra ta cũng có thể cấu hình một vài option cho việc kiểm tra trở nên dễ dàng:
Pix(conJìg)# auth-prompt prompt Lam on chung thuc Pix(conJìg)# auth-prompt accept Chung thuc thanh cong
Bật logging trên PIX để quan sát quá trình xác thực:
Pix(conýìg)# ỉogging con so le debug
User: |aaauser|
Find I Add/Edit I Hình 3 -9 Thêm User
Điền tên và diễn tả cho User ở trường Real Name và Description. Trong tuỳ
chọn User Setup, Password Authentication chọn ACS Internal Database Điền password và lặp lại password cho Cisco Secure PAP/CHAP/MS- Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
, , User Setup CISC
O
User Setup _ỊJ
Password Authentication:
I ACS Internal Database ~a
CiscoSecure PAP (Also used for CHAP/MS- CHAP/ARAP, if the Separate field is not checked.)
Passvvord !•••••••••••••• Confirm I--- Password !•••••••••••••• r Separate (CHAP/MS-CHAP/ARAP) Passwerd I... Confirm I--- Password
when a token server is used for authentication, supplying
.=> ĩpnaratp rMiD npppwnrH fnr tTiịrpn rprrl 1 icpr ,=*llnw^
Submit I Delete I Cancel I Hình 3-10 User Setup TACACS+ Settings _ĩ_ R Shell (exec) I- Access control list r~ Autũ command r Callback line
Hình 3-11 Cấu hình TACACS+ Settings trong User
Setup
Xong chọn Submit để lun cấu hình cho User.
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
New Netvvork Device Group
Hình 3-12 Thêm mới Network Device Group
Sau khi đã có Device Group là Pix, ta tiến hành khai báo Pix firewall là AAA
Client bằng cách vào Pix group và Add AAA Client. Điền AAA Client IP là 172.16.1.2
(công inside của Fix), secret là pixfírewall như đã khai báo trong cấu hình PIX ớ
AAA Client IP Address Shared Secret Network Device Group RADIUS Key Wrap Key Encryption r Keý ' Message Authenticator Code Key
Key Input Format V ASCII a Hexadecimal
Authenticate Using |TACACS+ (Cisco IOS) 3
Hình 3-13 Thêm AAA Client là PIXFirewall
172.16.1.2
|nnd«<|| . Aue»5v^Ị]| V*v 1 R*port 0nl,tìẹ
Pix> enable Usernamaaauser Passwor******** Usernamaaauser Passwor******* Usernamaaauser Passwor******* Access denied. Pix> 1 raỉíLl ỊC-S 1 |(t risinỊI * AueííFroí 1 Ríp«rls 0r,|,n? lil u**r M Sroụp
Tiến hành kiếm tra xác thực khi User truy cập vào pix với username là
aaauser
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco ẽT Telnet 172.16.1.2
User Access Uerifỉcation Usernane: aaauset*
Pas s wo rd: *******
Type help or '?' for a lỉst of aụailable conrtands.
Pix> _
Hình 3-14 Kiêm tra xác thực truy cập PĨX với server chứng thực là AAA Server
Hình 3-15 Kiêm tra quả trình chứng thực hằng ÌVireshack
Xác thực thành công. Như vậy, Fix firewall đã sử dụng User và mật khấu trên
AAA server để chứng thực khi telnet đến nó. Nhưng ở đây nếu vào pix và enable để
vào mode privileged, Pix sẽ yêu cầu chứng thực User và mật khẩu. Nếu sử dụng Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Hình 3-16 Access denied khi chưa cấp quyền TACACS+ nâng cao cho User Đê xác thực User có quyền vào mode privileged, trên CSACS cấu hình thêm nhu
sau:
Vào Interface Conĩiguration, chọn TACACS+ (Cisco IOS)
03* User Data Contiauration
% TACACS+ ('Cisco 105)
Advanced Qptions
Hình 3-17 Tuỳ chọn TACACS + (Cisco ĨOS)
Tại cửa sổ TACACS + (cisco IOS), chọn Advanced Conĩiguration Options, tích chọn Advanced TACACS+ íeatures. Sau khi thao tác xong, click Submit để
bật tính năng advanccd features
Advanced Contiguration Options 7
w Advanced TACACS+ Features
r Display a Time-of-Day access grid for every TACACS+ Service where you can override the detault Time-of-Day settings r~ Display a window for each Service selected in which you can enter
customized TACACS+ attributes r Display enable detault (Undetined)
Hình 3-18 Kích hoạt tính năng TẢCACS+ nâng cao Tiếp theo vào User Setup, trong tuỳ chọn Advanced TACACS+ Setting chọn
Max privileged for any AAA Client là Level 15. Sau đó đến TACACS +enable
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
TACACS+ Enable Password
r Use CiscoSecure PAP passvvord
c Use external database passvvord
I Windows Database 3
<• Use separate password
Hình 3-19 cấu hình cấp độ Privilege và mật khâu truy cập
Ớ Pix Firewall, tiến hành thoát ra ngoài mode privileged. Và enable lại. Đăng Pix(config-if)# endPix# exi
Logoff
Tỵpe help or '?' for a list of available commands. Pix> en Pix> enable Username: aaauser Password: ********* Pix# 1
Hình 3-20 Kết quả chứng thực sau khi cấu hình TACACS+ nâng cao Chứng thực thành công. Như vậy, User muốn vào chế độ privleged thì phải bật
tính năng nâng cao cho TACACS+ đồng thời khai báo password đổ vào modc
Cấu hình xác thực traffìc đi qua PIX:
Cấu hình xác thực cho các traffíc đi từ inside đến outside với group tag là ccsp
p Most Visỉted 1_J Getting started |
_J viethanit 2mit.org
0 CĩscoSecure ACS *
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco ẽTTelnet 209.162.1.2 Please Authentication Username: aaausei' Password: Please Authentication username : aaausei* Passwoi*d: Authentication
Hình 3-21 Kết quả chứng thực traffic đi qua PĨX Ket quả chứng thực User, password thành công.
Cấu hình dịch vụ xác thực
Như ta đã biết sử dụng Virtual telnet để xác thực các traffic không hỗ trợ quá
trình này . Trong bài này giả sử User muốn truy cập đến dịch vụ có port 49 . Đối với inbound traffìc , địa chỉ Virtual telnet phải là địa chỉ được định
tuyến đến
pix . Trong bài này , PIX được cấu hình để yêu cầu xác thực cho việc outside access
đến TCP port 49 . Client inside muốn sử dụng dịch vụ này, sè telnet đến địa chỉ Virtual
telnet 209.162.1.4
Pix(confìg)# Virtual telnet 209. ỉ62.1.4
Pix(conýìg)# aaa authentication include tcp/49 outhound 0 0 0 0 ccsp
Kiềm tra tương tự như lần trước , nhưng ở command-prompt của PC , thay vì
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco ED C:\WINNT\System32\cmd.
'lease
Authenticatỉon sernane:
aaauser
irror: Authorization Denied