مروری بر سیسکو (AAA (Authentication,Authorization,Accounting

توسط technet24 آخرین بروزرسانی ژانویه 15, 2018 7,418 0

AAA چه مزایایی را برای ما فراهم می کند:

1. افزایش امنیت برای تنظیمات دستگاهها با اجازه دادن به تعداد محدودی از کاربران

2. امکان داشتن چندین پشتیبان از دسترسی های انجام شده در شبکه

3. استفاده از پروتکل های استاندارد مانند +TACACS وRADIUS و Kerberos

مراحل تنظیم کردن AAA به شرح زیر می باشد:

1. فعال کردن AAA با استفاده از دستور aaa new-model

2. در صورتی که بخواهیم از سرورهای جداگانه برای AAA استفاده کنیم باید ابتدا پروتکل های RADIUS یا TACACS+ یا Kerberos تنظیم شوند .

3. تعریف کردن لیست روشها برای Authentication با استفاده از دستور aaa authentication و مشخص کردن خصوصیت هایی که می خواهیم با استفاده از آن داشته باشیم .

4. اعمال کردن لیست روش نوشته شده به اینترفیس و یا لاین دستگاه

5. تعریف کردن لیست روشها برای Authorization با استفاده از دستور aaa authorization و مشخص کردن خصوصیت هایی که می خواهیم با استفاده از آن داشته باشیم

6. تعریف کردن لیست روشها برای Accounting با استفاده از دستور aaa accounting و مشخص کردن خصوصیت هایی که می خواهیم با استفاده از آن داشته باشیم

تنظیم کردن پارامترهای پروتکل های RADIUS و +TACACS

برای اینکه بتوانیم از این پروتکل ها برای AAA استفاده کنیم نیاز است ابتدا پارامترهای آنها در Cisco IOS Device تنظیم شود. برای این کار باید سرورهای مربوط به آنها را تعریف کنیم که از دستور زیر استفاده می کنیم.

Switch(config)# radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 key Cisco

Switch(config)# tacacs-server host 172.16.0.2 port 49 key Cisco

در دستور اول 1812 پورت پیش فرض برای Authentication , Authorization و 1813 پورت پیش فرض برای Accounting درServer RADIUS می باشد.

در دستور دوم 49 پورت پیش فرض برای هر سه نوع AAA در TACACS+ Serverمی باشد.

در هر دو دستور Cisco برای رمز نگاری بین سرورها و دستگاهی که AAA روی آن تنظیم می شود به کار می رود.

تنظیم کردن AAA Authentication

Authentication AAAروشی است که امکان شناسایی هر کاربر را با استفاده از نام کاربری و پسورد آن و پروتکل امنیتی که برای آن تعریف شده است برای دسترسی به شبکه فراهم می کند. فرمت کلی دستور AAA Authentication به صورت زیر می باشد:

[...aaa authentication {method-type} {default |list-name} method1 [method2

می توانیم برای AAA Authentication از نام برای لیست روش آن استفاده کنیم ودر انتها آن لیست روش را با آن نام یر روی اینترفیس و یا لاین های مورد نظر اعمال کنیم در صورتی که برای تعریف لیست روش از نام “Default” استفاده کنیم این لیست روش به صورت اتوماتیک بر روی تمام اینترفیس ها یی که لیست روش برای آنها تعریف نشده است اعمال می شود.

برای لیست روش در AAA Authentication می توان از حالت های زیر استفاده کرد:

1. Group : در این روش از سرورهای +TACACS و RADIUS برای AAA استفاده می شود و نام کاربرو پسورد آن کاربر در این سرورها تعریف می شوند( از این روش در AAA Authorization برای تعریف دسترسی های هر کاربر در سرورهای نام برده شده نیز استفاده می شود)

2. Local : در این روش از پایگاه داده ای که در خود دستگاه تعریف شده است استفاده می شود.

3. Line :در این روش از پسوردی که برای لاین تعریف شده است استفاده می شود.

4. Enable :در این روش از پسوردی که برایPassword Enable تعریف شده است استفاده می شود.

5. None :این روش AAA Authentication را غیر فعال می کند.

AAA Authentication انواع مختلفی دارد که در زیر به حالتهایی از آن اشاره می شود:

1. Enable : این حالت لیست روش را برای Enable Password با استفاده از روش های تعریف شده برای آن تنظیم می کند. مثال:

Switch(config)# aaa authentication enable default group radius group tacacs+ enable

در این حالت ابتدا Enable Password وارد شده را در سرور های RADIUS که اولین روش است جستجو می کند(در سرورهایRADIUS باید نام کابری “$enable15$” با پسورد مورد نظر ما و در سرورهای TACACS+ باید نام کابری نامی باشد که کاربر با آن به دستگاه وارد شده با پسورد مورد نظر ما تعریف شوند) درصورتی که پسورد وارد شده درست بود اجازه وارد شدن به Global Configuration را به کاربر می دهد و در صورتی که اشتباه بود این دسترسی از کاربر گرفته می شود. فقط در صورتی AAA Authentication از روش دوم که سرورهای TACACS+ است استفاده می کند که از طرف سرورهای RADIUS پاسخی دریافت نکندو همچنین اگر روش دوم بی پاسخ ماند به سراغ روش های بعدی تعریف شده برای آن می رود.

2. Dot.1x : این حالت لیست روش را برای IEEE 802.1x با استفاده از روش های تعریف شده برای آن تنظیم می کند. مثال:

Switch(config)# aaa authentication dot1x default group radius local

در این حالت روش دوم (local) از نام کاربری و پسورد ی که در خود دستگاه تعریف شده است استفاده می کند.

3. Login : این حالت لیست روش را برای اجازه ورود به دستگاه برای کاربر با نام کاربری و پسوردی که وارد می کند را تنظیم می کند.مثال:

Switch(config)# aaa authentication login METHOD-LOGINgroup tacacs+ local

در این حالت برای لیست روش از نامی به غیر از Default استفاده شده است که در این صورت باید این لیست روش را بر روی اینترفیس ویا لاین مورد نظر با نام انتخاب شده فعال کنیم

Switch(config)#interface line vty 0 15

Switch(config-line)#login authentication METHOD-LOGIN

حال AAA Authentication بر روی Vty Line فعال شده است و نام کاربری و پسورد کاربر قبل از ورود به دستگاه توسط اولین روش که سرورهای TACACS+ می باشند بررسی می شوند.

4. PPP : این حالت لیست روش را برای سریال اینترفیسی که از پروتکل PPP استفاده می کند تنظیم می کند. مثال:

Switch(config)#aaa authentication ppp radius-ppp if-needed group radius

Switch(config)#interface serial 0

Switch(config-serial)# encapsulation ppp

Switch(config-serial)#ppp authentication radius-ppp

تنظیم کردن AAA Authorization

AAA Authorization به ما اجازه می دهد که سرویس هایی که هر کاربر امکان استفاده از آنها را دارد محدود کنیم برای اینکار دستگاه ای که AAA روی آن تنظیم می شود اطلاعات هر کاربر را از پروفایل کاربر که در روی خود دستگاه و یا سرور AAA تعریف شده است دریافت می کند و سرویس هایی که کاربر اجازه دسترسی به آنها را دارد را به آن اختصاص می دهد.

فرمت کلی دستور AAA Authorization به صورت زیر می باشد:

[…aaa authorization {method-type} {default |list-name} method1 [method2

مانند AAA Authentication می توانیم از نام برای لیست روش آن استفاده کنیم ودر انتها آن لیست روش را با آن نام یر روی اینترفیس و یا لاین های مورد نظر اعمال کنیم در صورتی که برای تعریف لیست روش از نام “Default” استفاده کنیم این لیست روش به صورت اتوماتیک برای روی تمام اینترفیس ها یی که لیست روش برای آنها تعریف نشده است اعمال می شود.

AAA Authorization انواع مختلفی دارد که در زیر به حالتهایی از آن اشاره می شود:

1. Auth-Proxy : این حالت لیست روش را برای اختصاص دادن سیاستهای امنیتی به کاربر تنظیم می کند.

2. Exec : این حالت لیست روش را برای اختصاص دادن پارامتر های مربوط به Shell مانند سطح دسترسی (از 1 تا 15) که کاربر برای کار با دستگاه به آن نیاز دارد تنظیم می کند .مثال:

Switch(config)#aaa authorization exec default group tacacs+ if-authenticated

در روش دوم که if-authenticated می باشد در صورتی که کاربر فقط بتواند با روشهای AAA Authentication وارد دستگاه شود تمام مجوز های مربوط به Shell آن صادر می شود .

3. Config-Command : این حالت اجازه دسترسی یا عدم دسترسی به دستورات مربوط به تنظیم کردن دستگاه ها با استفاده از حالتی که به دستورات مربوط به هر کاربر مجوز می دهد را فعال می کند و با دستور زیر تنظیم می شود.

Switch(config)#aaa authorization config-commands

4. Configuration : این حالت امکان دانلود شدن دستورات هر دستگاه از سرور AAA را فراهم می کند. مثال:

+Switch(config)#aaa authorization configuration default group tacacs

5. Commands: این حالت لیست روش را برای مجموعه دستوراتی که هر کاربر اجازه استفاده از آن را در دستگاه دارد تنظیم می کند . این دستورات می توانند از سطح 0 تا 15 را شامل شوند .مثال:

Switch(config)#aaa authorization commands 1 COMMAND-LEVEL1 group tacacs+ none

+Switch(config)#aaa authorization commands 15 COMMAND-LEVEL15 group tacacs

Switch(config)#interface line vty 0 15

Switch(config-line)#authorization commands 1 COMMAND-LEVEL1

Switch(config-line)#authorization commands 15 COMMAND-LEVEL15

در این حالت AAA Authorizationبرای دستورات سطح 1 و 15 در دستگاه فعال شده است و حالا می توانیم برای کاربران در سرورهای TACACS+ و برای این سطح دستورات مجوز هایی که باید داشته باشند را تعریف کنیم(این حالت فقط برای سرورهای TACACS+ تنظیم می شود)

6. Network : این حا لت لیست روش را برای سرویس های ارتباطی شبکه مانند PPP و ARAP و SLIPتنظیم می کند.مثال:

Switch(config)#aaa authorization network default group radius none

7. Console : این حالت AAA Authorization را برای لاین کنسول فعال می کند و با دستور زیر تنظیم می شود

Switch(config)#aaa authorization console

تنظیم کردن AAA Accounting

AAA Accounting به ما امکان مشاهده سرویس هایی که کاربران به آنها دسترسی پیدا کرده اند و مقدار منابعی از شبکه که مصرف کرده اند و همچنین دستوراتی که کاربر برای تنظیم کردن دستگاههای شبکه استفاده کرده است را می دهد

فرمت کلی دستور AAA Accounting به صورت زیر می باشد:

[…aaa accounting {method-type} {default |list-name} method1 [method2

AAA Accounting انواع مختلفی دارد که در زیر به حالتهایی از آن اشاره می شود:

1. Network : این حا لت لیست روش را برای گرفتن اطلاعات سرویس های ارتباطی شبکه مانند PPP و ARAP و SLIP و فرستادن آنها به سرور AAA تنظیم می کند.مثال:

Switch(config)#aaa accounting network default start-stop group radius

برای دیدن زمان شروع و پایان استفاده از این سرویس ها از Start-stop استفاده می کنیم.

2. Exec: این حالت لیست روش را برای گرفتن اطلاعات کاربرانی که به Shell دستگاه دسترسی پیدا کرده اند مانند نام کاربری و مدت زمان اتصال و … تنظیم می کند. مثال:

[…Switch(config)#aaa accounting exec default start-stop group tacacs

3. Commands: این حالت لیست روش را برای فرستادن دستوراتی که کاربران در دستگاهها استفاده می کنند به سرور AAA تنظیم می کند مثال:

[…Switch(config)#aaa accounting commands 15 default start-stop group tacacs

4. Connection:این حالت لیست روش را برای گرفتن اطلاعات مربوط به تمام ارتباطات خروجی که از روی دستگاه ساخته می شود مانند Telnetو rLogin تنظیم می کند. مثال:

Switch(config)#aaa accounting connection default start-stop group radius

5. Dot.1x:این حالت لیست روش را برای گرفتن اطلاعات مربوط به Dot.1x که کاربران با استفاده از آن به شبکه دسترسی پیدا می کنند تنظیم می کند. مثال:

[…Switch(config)#aaa accounting dot1x default start-stop group tacacs

AAA Session MIB:

این ویژگی در AAA به ما اجازه می دهد که با استفاده از دستگاههای مانیتورینگ و SNMP کاربرهایی که توانسته اند به دستگاه ها دسترسی پیدا کنند را مانیتور کنیم . اطلاعاتی که با استفاده از این ویژگی به دستگاه مانیتور کننده فرستاده می شود شامل نام کاربری وIP Address و مدت استفاده کاربر از دستگاه و … می باشد و با دستور زیر تنظیم می شود.

Switch(config)#aaa session-mib disconnect

نتیجه گیری :

همانطور که توضیح داده شد AAA ابزار قدرتمندی را در اختیار ما قرار می دهد که با تنظیم روش های آن بر روی دستگاههای شبکه و همچنین تنظیماتی که بر روی سرور های AAA مانند RADIUS و +TACACS انجام می شود می تواند در تعریف دسترسی های کاربرهای مختلف در شبکه و محدودیت هایی که باید در دسترسی به دستگاههای مختلف در شبکه اعمال شود به ما کمک کند، که این امر باعث افزایش امنیت در شبکه می شود.