Tính dễ bị tổn thương
1 cách điển hình, 1 người quản trị truy cập từ xa đến 1 Switch Cisco yêu cầu phải có password nhưng không có username. Cũng vậy, không có cơ chế nào được cài đặt mặc định cho nhà quản trị thực hiện điều đó. Cuối cùng, việc thực thi xác thực chỉ 1 cách cục bộ tại những Switch ma không cung cấp 1 phương pháp tổng quát về việc xác thực quyền hạn và sự chỉ dẫn không chính xác về sự xác thực.
Giải pháp
Cisco cung cấp 3 cơ chế bảo mật gọi là: Authentication, Authorization và Accounting gọi tắt là AAA mà có thể dung cho những tính dễ bị tổn thương. Cấu hình AAA trên 1 Switch trong sự liên kết với 1 Security Server. Sử dụng AAA với 1 Security Server cung cấp cơ chế bảo mật theo mô tả bên dưới:
Authentication: cơ chế này khai báo 1 user đằng xa và cục bộ trươc khi cho phép truy cập đến Switch.
Authorization: cơ chế này điều khiển dịch vụ đằng xa dựa trên những khai báothuộc tính liên quan đến tính xác thực của user.
Accounting: cơ chế này cung cấp 1 khả năng năng nhập bảo đảm băng việc lưu lại dịch vụ truy cập sử dụng băng thông tốt nhât của user
AAA cho phép 1 Security Server sử dụng 3 loại giao thức: RADIUS, TACACS+ và Kerberos. Việc sử dụng 1 Security Server thay vì tin tưởng vào vị trí dữ liệu của user(line password or enable passwords) cung cấp những lợi ích thêm vào của việc tập trung tâm hóa Server với nhiều hệ thống mạng sủ dụng AAA. Việc sủ dụng AAA cũng làm tăng thêm khả năng cấp quyền và sự tính toán mà nó không có nếu không sủ dụng Security Server. Những bước sau đây cung cấp những tùy chọn dựa trên Security Server được chọn .
Khai báo ít nhất 1 user cục bộ trước. việc cài đặt này rất quan trọng, đặt biệt nếu nhà quản trị đang cấu hình trên Switch đằng xa. Nếu 1 nhà quản trị không có 1 user được tạo từ trước và kết nối đằng xa bị đứt, khi đó người quản trị sẽ không thể kết nối đằng xa lại được nữa. Lệnh sau đây chỉ ra 1 ví dụ làm thế nào để tạo 1 user cục bộ bao gồm username với quyền uư tiên cao nhất và password được mã hóa là MD5.
Switch(config)#username ABC privilege 0 secret CDF Để bật tính năng AAA, sử dụng câu lệnh sau:
Switch(config)#aaa new-model
Khai báo cụ thể 1 Security Server hay là 1 cài đặt Security Server có thể được thực hiện khi sử dụng câu lệnh sau cho TACACS và RADIUS:
{tacacs-server || radius-server} hots ip-address {tacacs-server || radius-server} key key
Một điều lưu ý quan trọng khác khi sử dụng kerberos, trái với RADIUS hoặc TACACS là sự cấu hình thêm vào được yêu cầu để cho phép Switch giao tiếp với thuật toán mã hóa KDC(key distribution centrer)
Sự xác thực
Thật là quan trọng để tạo 1 phương pháp đăng nhập xác thực, được sắp theo danh sách(khai báo chi tiết loại giao thức được sử dụng cho Security Server). Và cấu trúc lệnh sau đây bật tính năng xác thưc khi đăng nhập vào Switch, việc sử dụng 1 danh sách mặc định hoặc danh sách theo ý mình và việc sử dụng nhưng phương pháp xác thực.
Aaa athentication login {default | list-name} method1 [method2…] nơi mà những phương pháp đó bao gồm:
group radius - sủ dụng tất cả danh sách RADIUS SERVER group tacacs - sủ dụng tất cả danh sách TACACS
group group-name - sủ dụng những Server được khai báo bởi group- name(RADIUS SERVER, TACACS)
Một ví dụ về việc cấu hình cho Switch để cung cấp kiểu chứng thực TACACS+ sử dụng 1 tên nhóm của aaa-admin-servers:
Switch(config)# aaa group servers tacacs+ aaa-admin-servers
Switch(config)# aaa authentication login default group aaa-admin-servers Switch có thể cung cấp 1 phương pháp đăng nhập cục bộ nếu vì 1 lý do nào đó AAA server không thể sẵn sàng. Nó se không cho phép 1 user mà đã bị cấm truy nhập bởi AAA server để đăng nhập và sử dụng cơ chế xác thực cục bộ. Để mà thựcthi việc đăng nhập cục bộ, 1 ussername và password cần phải được cấu hình. Nhiều tài khoản có thể được tạo trên Switch, với mỗi user có 1 quyền truy cập khác nhau . Sự thêm vào những đặc tính thuận lợ khi đăng nhập cục bộ như là: phương pháp xác thực dự trữ mà người quản trị được yêu cầu cho username và password. Lệnh sau đây chỉ cho bạn cách sủ dụng xác thực cục bộ như là sự dự trữ:
Switch(config)# aaa authentication login aaa-fallback group aaa-admin- server local
Bước cuối cùng là việc áp đặt danh sách phương pháp xác thực lên dòng mong muốn. Câu lệnh dưới đây miêu tả cú pháp để bật dịch vụ xác thực trên 1 dòng chi tiết hay trên 1 nhóm dòng, áp đặt mặt định hay không:
Login authentication (default | list-name)
Lệnh sau đây sẽ áp đặt 1 danh sách tên aaa-fallback lên cổng console: Switch(config)# line con 0
Switch(config-line)# login authentication aaa-fallback Sự phân quyền
Tương tự như sự xác thực, sự cấu hình phân quyền cũng yêu cầu sự bảo mật của nhà quản trị khi khai báo những danh sách phương pháp. Sự trình bày khai báo cấu trúc lệnh sau đây để bật tính năng khi user truy cập vào hệ thống mạng, sử dụng danh sách mặc định hay do mình tự chọn
Aaa authorization {auth-proxy | network | exec | commands level | reverse access | configuration | ipmobile | }{default | list name}
Method1[method2…]
Chi tiết về các loại chứng thực:
auth-proxy - những chính sách bảo mật được áp đặt lên 1 user network - yêu cầu dịchvụ
exec - sự bắt đầu của 1 phiên EXEC
commands level - lệnh EXEC thực thi tại các cấp độ chi tiết reverse access - đảo ngược 1 phiên Telnet
configuration - tải những cấu hình từ Security Server ipmobile - những dịch vụ IpMobile
Một ví dụ về việc cấu hình 1 Switch cung cấp sự chứng thực kiểu TACACS+, sủ dụng nhóm aaa-admin-servers cho EXEC và lệnh privileged EXEC:
Switch(config)# aaa authorization exec default group aaa-admin-servers Switch(config)# aaa authorization command 15 aaa-config group aaa- admin-servers if-authenticated
Việc áp đặt những loại danh sách xác thực là bướccuối cùng của việc cấu hình xác thực. Cú pháp:
Authorization(arap | commands level | exec | reverse-access | default | list- name)
Để bật dịch vụ chứng thực bằng dây Console cho lệnh Privileged level 15 với 1 danh sách chứng thực, người quản trị nên sử dụng theo ví dụ sau:
Switch(config)# line con 0
Switch(config-line)#authorization commands 15 aaa-config Accouting
Một phần cuối cùng của việc cấu hình AAA là Accounting. Những Switch Cicsco chỉ hổ trợ bảng Accounting cho Sercurity Server TACACS+ và RADIUS. Sau đây là cú pháp của lệnh để bật tính năng Accounting khi sử dụng TACACS và RADIUS+:
Aaa accounting { system | network | exec | connection | commands levels} {default | list-name} {start-stop | stop only | none} [method1[method2….]] Có 5 loại accounting có thể chi tiết bao gồm:
System - thông tin cho tất cả các sự kiện của hệ thống(không hợ danh sách tên, phải theo mặc định)
Network - thông tin về tất cả các dịch vụ mạng
Exec - thông tin về những phiên đầu cuối của user EXEC
Connection - thông tin về tất cả các kết nối bên ngoài
Commands level - thông tin về tất cả các lệnh EXEC, và tại những Privileged level 15 mà sử dụng.
Để điều khiển 1 số lượng bảng accounting cho những sự kiện chi tiết bằng danh sách các phương pháp:
Start-stop - ghi chú khi bắt đầu có sự kiện và kết thúc khi kết thúc sự kiện
Stop only - chỉ gửi những ghi chú mà đã dừng liên quan đến sự kiện đó
Nó thì được yêu cầu để accounting được bật lên cho tất cả 5 loại, và nói riêng cho aaa accounting network default start-stop group aaa-admin-servers
Lệnh sau đây bật tất cả 5 loại accounting, sủ dụng phương pháp accounting mặc định:start-stop
Switch(config)# aaa accounting exec default start-stop group aaa-admin- servers
Switch(config)# aaa accounting commands 15 default start-stop group aaa-admin-servers
Switch(config)# aaa accounting network default start-stop group aaa- admin-servers
Switch(config)# aaa accounting network default start-stop group aaa-admin- servers
Switch(config)# aaa accounting system default start-stop group aaa-admin- servers
Cú pháp lệnh sau đây bật dịch vụ accounting trên 1 dòng chi tiết hay 1 nhóm dòng Accounting{arap | commands level | exec | connection} {default | list- name}
Để bật dịch vụ accounting tại Privileged level 15 và cho những sự kiện system-level(eg,..
exec) người quản trị nên sử dụng theo ví dụ sau:
Switch(config)# line con 0
Switch(config)# accounting commands 15 default Switch(config)# accounting exec default
Tùy chọn Newinfo chỉ gửi bảng update khí nó có thông tin mới về accounting, trong khi tùy chọn Periodic sẽ gửi update dựa trên khoảng thời gian cấu hình(phút). Khi sử dụng cài đặt Periodic, nó sẽ phát ra nhiều bảng accounting kể từ thừoi gian báo cáo chuyển tiếp của những sự kiện mà xảy ra hiện hành được thêm vào.Vì thế, nó được khuyến cáo nên sử dụng tuỳ chọn Newinfo.
Mặc định, những Switch của Cisco không phát ra bảng accoungting cho việc cố gắng xác thực đăng nhập sai khi accounting được bật lên. Để tính năng này, sủ dụng lệnh sau:
Switch(config)# aaa accounting send stop-record authentication failure 802.1X Port-Base Authentication
Chuẩn EEE 802.1X là 1 giao thức xác thực và điều khiển truy xuất Port-based. Mặc dù sự thực thi của chuẩn này vẫn còn đang phát triển, nó giờ đang hiện hành trên nhiều dòng Switch của Cisco. Nó yêu cầu 1 client khi kêt nối đến 1 port của Switch phải xác thực đến 1 Server như là Access Control Server của Cisco trước khi có thể
truy xuất đến mạng. Client phải chạy 1 phần mềm hỗ trợ 802.1X mà nó phải phù hợp với hệ điều hành(WinXP…)
Ví dụ sau đây bật 802.1x trên IOS của Switch Cisco trên Interface Ethernet 1/0 Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control Switch(config)# interface Ethernet 1/0 Switch(config-if)# dot1x port-control auto Switch(config-if)# dot1x host-mode single mode
Khi 802.1X được cấu hình trên port gắn vào IP Phone của Cisco và Voice Vlan thì IP Phone không cần phải xác thực sử dụng 802.1x để truy xuất vào mạng. IP Phone đầu tiên được khai báo xuyên qua CDP sẽ được truy xuất đên mạng Voice Vlan. Không có địa chỉ MAC nào được chấp nhận trên Voice Vlan cho đến khi 1 hệ thống xác thực sử dụng 802.1X. Khi tính năng port security nên được bật lên thì chế độ dot1X multiple-hosts có thể được yêu cầu. Khi chế độ này được bật lên, bất kỳ hệ thống nào được chứng thực bởi 802.1X thì tất cả địa chỉ MAC được chấp nhận vượt qua Voice Vlan nhưng chỉ những hệ thống được xác thực sẽ được chấp nhận trên Native Vlan. Port Security hay khả năng của PACL phải được sử dụng để giới hạn sự cho phép địa chỉ MAC
