CHƯƠNG 1 : TỔNG QUAN VỀ AN NINH MẠNG
3.2. Dịch vụ AAA trên CISCO PIX FIREWALL
3.2.3. Cấu hình xác thực
Khi CSACS ( Cisco Secure Access Control Server ) được cấu hình (CSACS là một phần mềm được cài đặt trên server cung cấp đầy đủ 3 dịch vụ AAA), một entry tương ứng với AAA server phải được cấu hình trên pix. Các bước cấu hình như sau:
Tạo AAA group, chỉ ra giao thức dùng cho xác thực:
aaa-server group_tag (if_name) host server_ip key timeout seconds
Tạo ra AAA server và đăng ký nó đến AAA group, nhiều AAA server có thể ở trong cùng một group:
aaa-server group_tag protocol auth_protocol
Group_tag: tên của server group
If_name: tên interface kết nối với server
Host server_ip: địa chỉ IP của TACACS+ server hoặc RADIUS server
Key: là từ khố case-sensitive, có độ dài tối đa là 127 kí tự, từ khố này phải giống
với từ khoá của server. Key được sử dụng giữa client và server cho việc mã hoá dữ liệu giữa chúng. Nếu key khơng được chỉ ra, mã hố sẽ không xảy ra. Không được sử dụng khoảng trắng giữa các kí tự trong key.
Timeout seconds: chỉ ra khoảng thời gian mà pix phải chờ để thử lại lần nữa, pix
sẽ thử lại 4 lần trước khi chọn server kế tiếp cho việc xác thực. Giá trị mặc định của timeout là 30 giây.
Auth_protocol: là chỉ ra loại server nào được sử dụng, tacacs hay là radius.
Lưu ý: Mặc định, PIX firewall giao tiếp với RADIUS server dùng port 1645 dành cho việc xác thực và port 1646 dành cho accounting. Các RADIUS đời mới hơn có thể sử dụng port 1812 và port 1813. Nếu server sử dụng port khác 1645 và 1646, ta cần phải định nghĩa lại giá trị port tương ứng trên Pix bằng câu lệnh aaa-server radius- authport và aaa-server radius-acctport trước khi cấu hình RADIUS server.
Với PIX firewall, nhà quản trị có thể định nghĩa từng group riêng cho các loại traffic khác nhau, ví dụ như một TÁCACS + server cho inbound traffic, một
TACACS+ server khác cho outbound traffic. Ta có thể có đến 16 tag group và mỗi group có thể có đến 16 AAA server, tổng cộng có đến 256 server.
Cấu hình mặc định ở pix có hai giao thức AAA server là:
- aaa-server tacacs+ protocol tacacs+ - aaa-server radius protocol radius
Sau khi đã chỉ ra aaa-server, ta cần phải cấu hình xác thực, sử dụng câu lệnh aaa authentication để bật hay tắt việc xác thực user. Có các loại xác thực sau: