AAA安全认证

AAAAAA是一种后台服务，是一种对网络用户进行控制的安全措施，可用于对想要接入网络的用户进行认证（身份验证）、授权、审计。Authentication认证认证的作用是确定你是谁，是否是合法用户，是否有资格进入。认证强度跟元素有关 , 用于认证的元素越多越安全，元素包括密码，指纹，证书，视网膜等等Authorization授权授权决定了你能做什么授权用户能够使用的命令授权用户能够访问的资源授权用户能够获得的信息Accounting审计审计确定你做了什么，对你的所做的事进行记录两类审计：1、时间审计2、命令审计AAA的基本拓扑：NAS-网络访问服务器，或者叫网络接入服务器。其实就是你网络的边缘网关，外部节点需要通过这台路由器来访问你的网络。 需要在这台路由器上对接入的用户进行控制。AAA-通过在服务器上装上 CISCO的ACS软件，就能构建出一台AAA服务器。NAS是 AAA服务器的 client端为什么要用 AAA：通过 AAA技术，我们能对接入网络的用户进行控制，可以控制哪些用户能接入网络，能得到什么样的权限，还能记录用户上来之后做了啥事。1、跟网络设备数量有关，也就是跟NAS的数量有关2、跟用户数量有关3、由于用户的频繁变动三大类的需要认证的流量类型client-NAS(网络访问服务器)也就是三种到达 NAS的流量1、登入 nas telnet/ssh/http/https(也叫网管流量 )2、拔入 nas pptp/l2tp/pppoe/ipsec vpn.3、穿越 nas auth-proxy(ios)认证代理 /cut-through(pix)其实上面的分类也可以换个说法：AAA的接入模式分为两类 :1、字符模式 -用于 VTY、TTY、 AUX、CON端口，该模式一般用来配置设备。2、包模式 -用于串行端口或其它远程接口，以及拨号接口。该模式用于用户与网络内不同设备的通信。AAA安全服务器的选择：1、本地安全数据库2、远程安全服务器，也就是AAA服务器本地安全数据库：本地安全数据库运行在 NAS上为一小部分用户提供服务，实现起来容易，但是功能不够强大。特点：1、在小型网络中使用2、在 CISCO的路由器上存储用户名和密码3、通过 CISCO路由器上的本地安全数据库进行用户验证4、不需要外部的数据库服务器AAAprotocols:RADIUS 和TACACS+通常在网络中实现 AAA，都是通过部署一台单独的 AAA服务器来实现，而 AAA服务器是需要跟 NAS通信的，它们之间通信的协议有两种： RADIUS和TACACS+TACACS+ 基于 TCPcisco 标准端口号 49 信息是加密后传送的RADIUS 基于 UDP国际标准新端口号 1812(authen/author)1813(account)1646(account)旧端口号 1645(authen/author)RADIUS的信息是明文传送的，只有密码是加密传送的。注意： RADIUS各厂家是不一样的，有不同的av pairAV PAIR-由管理员定义的，为了进行验证而要求客户提供的一组信息。RADIUS:有四种消息类型：access-request access-challenge access-accept access-reject访问请求，客户发给 server挑战信息，查询 AAA服务器上的配置允许访问，查到有这个配置才会允许拒绝访问ACS-CISCO的访问控制服务器，也就是AAA服务器。只需要在一台服务器上装上CISCO的ACS软件，就得到了一台 AAA服务器。这台服务器可以配置为使用tacacs+ 和NAS通信，也可以配置为使用radius 协议与 NAS通信。以下是在路由器上配置 AAA的步骤：先做准备工作：1、启用 AAAaaa new-model注意：启用 AAA后，路由器上不符合 AAA的命令会被去掉2、client指 server 的地址NAS（ config ）#tacacs-server host 150.100.1.100 keycisco密码后面千万不要打上空格 , 敏感的还要在 AAA服务器上增加一个 client ，并指明 client 的地址 , 最好起个环回口让服务器指，在服务器的 CMD下加一个路由指向这个环回口。 如果 server 指的是环回口，在 client 上还要指定一下更新源。 ip tacacs source-interface lo0参数详解：tacacs-server host x.x.x.xkey/指定路由器和 tacacs+ 服务器之间使用的认证和加密密钥nat/被发送到 tacacs+ 服务器的客户端 NAT地址port/指定 tacacs+ 服务器的端口号single-connection/ 在路由器和 tacacs+ 服务器之间维护一条开放连接timeout/指定超时时间radius-server host x.x.x.xauth-portacct-porttimeout/ 为认证请求指定 UDP目的端口号/ 为记帐请求指定 UDP目的端口号/ 指定路由器在重发请求之前等待的radius服务器响应的秒数retransmitkeyalias/ 指定 radius 请求的重传次数/ 指定路由器和 radius 服务器之间使用的认证和加密密钥/ 为radius 服务器指定别名，最多8个3、测试test aaa group tacacs+testR5( 用户名 ) cisco（口令）new-code 本命令纯属测试，没别的作用，只是看AAA服务器起没起作用 ,new-code 是在新的 IOS中才要用到的。如果出现 user successfully authenticated表示没问题4、做保护为了防止启用 AAA后，导致自已进不了路由器， 建议在 console 接口下做个保护设置，让 console 口即使不用密码也能登录。aaa authentication login NOACS none aaa authorization exec NOACS none保护 - 不认证保护 - 不授权line console 0本地线路的保护login authentication NOACS设定对 CON口不进行认证，保留最后一个进入的方法 , 以防万一authorization exec NOACS建议配置，但最好配置上line aux 0AUX的保护login authentication NOACSauthorization exec NOACS一、认证：1、开启对 login 的认证要先定义一个认证方法列表aaa authentication login FOR_VTY none/ 不进行认证直接进入aaa authentication login FOR_VTY line/ 注意 line 意思是用 line 下的密码进行认证aaa authentication login FOR_VTY local/ 启用本地数据库 , 要自定义username和passwordaaa authentication login FOR_VTY local-case/ 用户名大小写敏感aaa authentication login FOR_VTY enable/ 使用 enable 密码进行验证aaa authentication login FOR_VTY group tacacs+/ 使用 AAA服务器进行验证aaa authentication login FOR_VTY local line none/ 如果第一种方法没有的话，就用第二种进行认证，如果第二种也没有，就不进行认证直接进入了, 因为设了 noneaaa authentication login default local/default 的意思相当于全局启用定义好的认证方法列表需要在线程下调用：line vty 0 4login authenticate FOR_VTY2、开启对 enable 的认证aaa authentication enable default group tacacs+/ 在用户进入 enable 模式的时候进行认证，本命令不需要再单独调用，默认就启用了。二、授权：授权就是对接入的用户给予一定的级别权限，对用户所能进行的操作进行限制。基本知识：在 IOS中，对用户分为 16个级别， 0-15 ，默认用户登录时级别为 1在 IOS中，对于命令也为分 16个级别库，分别对应于 16个用户级别。高级别的用户可以使用低级别的命令。 默认情况下， 只有 0级、1级、15级这三个级别库中有命令。授权也有两种方式：分为本地数据库授权和AAA服务器授权1、本地数据库授权NAS(config)#username wolf privilege 15 password cisco/ 定义本地数据库并指明用户权限NAS(config)#aaa authorization exec VTY group local/定义一个授权方法列表，并注明是对exec会话授权line vty 0 4authorization exec VTY/ 调用2、AAA授权注意：在 AAA服务器上的授权分为用户级别的授权和命令的授权用户级别的授权：确定你是几级的用户NAS(config)#aaa authorization exec VTY group tacacs+ line vty 0 4authorization exec VTY命令的授权：NAS(config)#aaa authorization commands 0 FOR_VTY group tacacs+NAS(config)#aaa authorization commands 1 FOR_VTY group tacacs+NAS(config)#aaa authorization commands 15 FOR_VTY group tacacs+/ 对15级的命令进行授权，在你使用 15级的命令时，会先去查询否已有授权，然后才能使用。注意，最好从高级别的向低级别的授权调用：line vty 0 4authorization commands 0 FOR_VTYauthorization commands 1 FOR_VTYauthorization commands 15 FOR_VTY这样，你所输入的各种命令都会发向 AAA服务器去检查是否得到授权，得到授权的才能使用。授权参数详解：aaa authenorization network|exec|login|commands|reverse-accessnetworkexec/为所有与网络相关的服务请求进行授权进行授权以确定用户是否被授权执行exec会话，其实就是授权是否进入 CLI进行配置commands/为命令进行级别授权reverse-access/为反向 telnet连接进行授权命令级别的改动：注意：在cisco 的路由器上有 16个用户级别（ 0-15 ），其中 0、 1、15级是有命令的，其他的级别默认没有定义任何命令，高级别的用户可以使用低级别的命令。在本地路由器上改动命令的级别：R1(config)#privilege exec level 0conf terminal将一条 15级命令放入0级(exec 特指在特权模式下的命令)R1(config)#privilege configure level 0 R1(config)#privilege configureallinterfacelevel 0router将一条全局命令放入 0级将router 命令及其下的所有命令放入0级注意：当一条命令被放入0级后，它就不属于原来的级别了，因为被剪切过去了。但是因为高级别的授权能使用低级别的命令。所以在高级别用户还是可用的。show privilege查看用户级别aaa authorization config-commands 开启对全局命令的授权，如果不打上这条命令，在 AAA服务器上对 conf terminal 命令做了授权后，所有的全局命令都可以使用了。打上后，就仅仅只能使用授权的命令。aaa authorization console 新的 IOS中 AAA默认不影响 console 口的授权，需要打上这条命令才能影响。三、审计：分为命令审计和时间审计aaa accounting commands 0 VTY start-stop group tacacs+ 会记录所有 0级命令的操作基于命令的审计，aaa accounting commands 1 VTY start-stop group tacacs+ aaa accounting commands 15 VTY start-stop group tacacs+aaa accounting exec VTY start-group group tacacs+基于时间的审计，会记录所有登录用户的进出时间line vty 0 4accounting commands 0 vtyaccounting commands 1 vtyaccounting commands 15 vtyaccounting exec vty审计参数详解：aaa accounting auth-proxy|system|network|exec|connection|commands start-stop|stop-only broadcastauth-proxy/为所有已通过认证的代理事件进行记帐system/为所有与用户无关联的系统级事件（如重启等）进行记帐nework/为所有与网络相关的请求进行记帐exec/为所有 exec会话进行记帐connection/为所有从网络接入服务器出站的连接进行记帐commands/为所以指定级别的命令记帐start-stop/在记帐进程开始时发送 “start ”指示，在记帐进程结束时发送 “stop ”指示stop-only/只在记帐进程结束时发送 “stop ”指示broadcast/启用向多个 AAA服务器发送记帐记录的功能-举例：aaa authentication login VTY group tacacs+ line vty 0 4login auth VTYaaa authentication login VTY group tacacs+ local服务器 down后转到本地认证aaa auth exec VTY group tacacs+ line vty 0 4login auth exec VTYaaa accounting login VTY start-stop group tacacs+审计aaa accounting commands 0 VTY start-stop group tacacs+注意，路由器的 0-15 级中，只有 0、 1、 15级是有命令的， 2-14 级没有命令NAR网络访问限制：在 AAA上配置，可以用来限制只有哪些IP 地址能够来访问网络，还可以限制端口号。