Lab Thực Hành An Toàn Mạng Phần 1

Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ Yersinia 0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc tương đương.Trên cửa sổ Terminal của Kali Linux truy

Bài thực hành số 1: Công cụ Cain & Abel và

2 Cấu hình

Click vào Menu Configure để thực hiện các bước cấu hình cơ bản của Cain

2.1 Tab Sniffer

Dùng để thiết lập các thông số của của card mạng cho các chức năng sniffer

và APR (ARP Poison Routing) của Cain

• Start Sniffer on Startup: Cain sẽ chạy chức năng sniffer khi khởi động.

• Start ARP on startup: Cain sẽ chạy chức năng ARP khi khởi động.

• Don’t use Promiscucos mode: Cain sẽ Kích hoạt APR Poisoning trên

mạng không dây nhưng không thể sử dụng tính năng giả mạo MAC

2.2 Tab APR

Đây là tab dùng để cấu hình APR (ARP Poison Routing) Khi chức năng nàyđược khởi động Cain sẽ tạo ra 1 thread mới và gửi các gói tin ARP Poison đểnnạn nhân mỗi 30 giây, người dùng có thể điều chỉnh lại thời gian gửi gói tin(Nếu thời gian quá nhỏ sẽ tạo ra nhiều traffic ARP, nếu thời gian quá lớn có thểtạo ra một số lỗi trong quá trình thực hiện hijacking traffic)

Phần cấu hình spoofing sẽ chỉ ra địa chỉ MAC và IP mà cain sẽ ghi vàoheader Ethernet và ARP của gói tin ARP Poison, điều này cho phép chúng tathực hiện cuộc tấn công ARP Poison hoàn toàn vô danh Nhưng khi cấu hình tùychọn này cần phải chú ý các vấn đề sau:

 Spoofing Ethernet Address: Thực hiện được khi các máy nối tới mộthub hoặc một switch không chạy chức năng port security

 IP address Spoofing: Phải sử dụng các IP address chưa sử dụng ởtrong subnet của mình

 MAC address Spoofing: Phải sử dụng địa chỉ MAC không có trongsubnet

2.3 Tab Filters and Ports

Đây là nơi cho phép có thể enable/disbale sniffer filter trên một số port, chỉ

có những port nào enbale thì cain mới bắt thông tin Cain chỉ bắt những thôngtin về việc auhentication chứ không bắt toàn bộ gón tin, nếu bạn muốn có đượcthông tin của toàn bộ gói tin thì có thể sử dụng các chương trình khác nhưwireshark

3 Sử dụng Cain để thực hiện ARP Poison Routing.

3.1 Mô hình mạng

3.2 Yêu cầu

a Đặt địa chỉ IP cho server và PC như mô hình

b Cài đặt dịch vụ HTTP trên Server (xác thực username, password trước khi

sử dụng)

c Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, snifferusername và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ nàytrên máy server.

3.3 Các bước triển khai

a Đặt địa chỉ IP cho server và 2 PC

Máy server sử dụng Windows server hoặc Linux server, 2 PC sử dụngWindows xp, 7,… (trong bài thực hành này, sử dụng Windows server 2003 làmserver, 2 PC sử dụng Windows xp)

Vào start  setting  control panel  add or remove program Add/Remove windows components

Chọn Next để tiếp tục quá trình cài đặt, sau khi cài đặt xong chọn finish đểhoàn thành

- Tạo trang web đơn giản chỉ bao gồm text

- Vào my computer  c:\  inetpub  wwwroot, tạo file index.htm với nộidung bất kỳ (Trong bài thực hành này tạo nội dung “Chao ban den voiwebsite!”)

Test: Truy cập vào website vừa tạo xong

++Cấu hình xác thực username, password khi truy cập dịch vụ HTTP

- Tạo username: u1, password: 123 được sử dụng để xác thực trước khitruy cập vào website:

Vào start  run  cmd gõ lệnh: net user u1 123 /add để tạo username u1,password 123

- Vào start  programs  addministrative tools  Internet InformationServices (IIS) Manager

Nhấp chuột phải vào Default website chọn properties như hình bên dưới

Chọn tab Directory security, nhấn vào nút edit trong mục Authentication andaccess control

Nhấn vào nút browse trong mục use the following windows user accountfor anonymous access: gõ u1 và nhấn nút check names, sau đó nhấn OK

Trở lại hộp thoại Authentication Methods, bỏ dấu tick ở mục Enableanonymous access Đồng thời đánh dấu tick vào mục Basicauthentication(password is sent in clear text), bỏ chọn các dấu tick còn lại vànhấn ok như hình bên dưới

- Test: Trên máy client, mở trình duyệt web (Internet explorer, googlechrome, firefox,…) truy cập vào website trên máy server Lúc này sẽ yêucầu username, password trước khi xem được nội dung trang web

Nhập vào username: u1, password: 123 để xem được nội dung trang webtrên máy server.

c Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, snifferusername và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ nàytrên máy server

- Cài đặt công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker

- Sniffer username, password dịch vụ HTTP khi máy Victim sử dụng dịch vụnày trên máy server

B1: Chạy phần mềm Cain&Abel, trên thanh công cụ menu tab chọn tabConfigure, chọn vào card mạng sử dụng để sniffer (ở đây card mạng có địa chỉ

IP 10.0.0.2), sau đó nhấn OK

Trở về giao diện phần mềm Cain, start sniffer bằng cách nhấn vào nút (hìnhcard mạng) trên thanh công cụ, như hình bên dưới

B2: Quét địa chỉ mac trong hệ thống mạng vừa thiết lập

Chuyển qua tab sniffer trên thanh công cụ, sau đó nhấn vào nút hình chữthập màu xanh (như hình bên dưới)

Chọn vào nút range, sửa lại dãy địa chỉ IP muốn quét địa chỉ mac từ 10.0.0.1đến 10.0.0.254, sau đó nhấn OK để tiến hành quét địa chỉ mac.

Kết quả: phần mềm Cain sẽ quét được 2 địa chỉ mac trong hệ thống mạngvừa thiết lập, để xem hostname chọn vào từng địa chỉ mac hoặc chọn tất cả địachỉ mac, nhấn chuột phải chọn Resolve host name

B3: Thực hiện quá trình APR

Chuyển qua tab APR ở phía dưới cùng của thanh công cụ, sau đó nhấn vàonút hình chữ thập màu xanh(như hình bên dưới) để mở hộp thoại New ARPPoison Routing

Hộp thoại New ARP Poison Routing xuất hiện, ở cửa sổ bên trái chọn máyvictim(địa chỉ IP 10.0.0.1), ở cửa sổ bên phải chọn máy server (địa chỉ IP10.0.0.254) sau đó nhấn OK

Để thực hiện quá trình APR, nhấn vào nút hình tròn màu vàng trên thanhcông cộng ở giao diện phần mềm Cain(xem hình bên dưới).

B4: Sniffer username, password dịch vụ HTTP khi máy victim truy cập vàowebsite trên máy server

Máy victim tiến hành truy cập vào website trên máy server, lúc này sẽ bắtđược username, password truy cập vào dịch vụ HTTP ở máy attacker

Để xem username, password bắt được này Trên giao diện phần mềm cain,chuyển qua tab passwords trên thanh công cụ và chọn vào dịch vụ HTTP bênphía trái (xem hình bên dưới)

4 Bài tập mở rộng

Cài đặt dịch vụ FTP, TELNET trên máy server và tiến hành sniffer username,password trên máy attacker

II Kali Linux

1 Giới thiệu Kali Linux

Kali Linux là một bản phân phối của Linux dựa trên nền tảng Debian nhằmnâng cao kiểm tra thâm nhập và an ninh kiểm toán Kali chứa vài trăm công cụnhằm mục đích nhiệm vụ an ninh thông tin khác nhau, chẳng hạn như kiểm trathâm nhập, điều tra và dịch ngược Kali linux được phát triển, tài trợ và duy trìbởi Offensive Security, một công ty đào tạo bảo mật thông tin hàng đầu

Kali Linux được phát hành vào ngày 13 tháng 3 năm 2013 như là một nềntảng hoàn hảo, từ trên xuống dưới xây dựng lại của BackTrack Linux, tôn trọnghoàn toàn các tiêu chuẩn phát triển của Debian

2 Bài tập

2.1 CDP Flooding Attack

2.1.1 Giới thiệu CDP (Cisco Discovery Protocol)

CDP là một giao thức độc quyền lớp Data Link được phát triển bởi CiscoSystems CDP được sử dụng để chia sẻ thông tin về các thiết bị Cisco kết nối

trực tiếp khác, chẳng hạn như phiên bản hệ điều hành và các địa chỉ IP CDPcũng có thể được sử dụng cho On-Demand Routing, là một phương pháp baogồm thông tin định tuyến trong thông báo CDP để các giao thức định tuyếnđộng không cần phải sử dụng trong các mạng đơn giản.

Lợi dụng giao thức này, Attacker sẽ sử dụng chương trình làm giả các gói tinCDP để làm Router/Switch tốn tài nguyên để xử lý Một trong những công cụthực hiện được chức năng này là Yersinia, công cụ có sẵn trên Kali Linux

2.1.2 Công cụ Yersinia

Yersinia là một chương trình khung để thực hiện các cuộc tấn công lớp 2.Yersinia được thiết kế để tận dụng lợi thế một số yếu điểm trong các giao thứcmạng khác nhau Yersinia giả vờ là một chương trình khung vững chắc cho việcphân tích và thử nghiệm các mạng và hệ thống được triển khai Các cuộc tấncông vào các giao thức mạng như:

 Spanning Tree Protocol (STP)

 Cisco Discovery Protocol (CDP)

 Dynamic Trunking Protocol (DTP)

 Dynamic Host Configuration Protocol (DHCP)

 Hot Standby Router Protocol (HSRP)

 802.1q

 802.1x

 Inter-Switch Link Protocol (ISL)

 VLAN Trunking Protocol (VTP)

2.1.3 Mô hình triển khai

Yêu cầu:

a Dựng mô hình như hình vẽ

b Kích hoạt interface và CDP trên cổng f0/0 của router R1

c Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ Yersinia 0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc tương đương

d Đưa ra biện pháp phòng chống tấn công cdp flooding

2.1.4 Quá trình thực hiện

a Dựng mô hình như hình vẽ

Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS routerCisco c3640 phiên bản 12.4 hoặc tương đương, máy Kali Linux phiên bản 1.0.6hoặc tương đương chạy trên phần mềm VMWARE

b Kích hoạt interface và CDP trên cổng f0/0 của router R1.

Trên Router R1, kích hoạt interface f0/0 đang ở chế độ disable, bằng cách

vào interface này, gõ lệnh no shutdown

R1(config)#interface f0/0

R1(config-if)#no shutdown

Mặc định CDP đã được kích hoạt trên các interface của router cisco, nếu chưa

được kích hoạt gõ lệnh cdp enable để kích hoạt CDP.

R1(config)#interface f0/0

R1(config-if)#cdp enable

kiểm tra CDP neighbor, traffic, CPU cho quá trình xử lý gói tin CDP

c Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ Yersinia 0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc tương đương.

Trên cửa sổ Terminal của Kali Linux truy cập vào chương trình Yersinia bằngcâu lệnh:

root@kali:~#yersinia –G

Ở Tab CDP, cho thấy router R1 đang chạy CDP

Trên giao diện chương trình Yersinia có rất nhiều cách tấn công như: CDP,DHCP, 802.1Q,… trong bài tập này sẽ thực hiện quá trình tấn công CDPflooding

Để thực hiện quá trình tấn công, trên thanh công cụ của chương trình

Yersinia nhấn vào nút Launch Attack, hộp thoại xuất hiện, chọn flooding CDP table  OK.

Lúc này Yersinia sẽ tạo ra hàng nghìn gói tin CDP(xem hình bên dưới):

Trên Router R1, thực hiện thao tác rất chậm, gõ lệnh thì bị delay khá lâu

Sử dụng các câu lệnh show trên router R1 để kiểm tra:

- Show cdp traffic: Sử dụng để kiểm tra traffic

- Show process cpu sorted | incude CPU|PID runtime| CDP Protocol: Sửdụng để kiểm tra hiệu xuất CPU và các tiến trình

- Show cdp neighbor: Hiển thị chi tiết thông tin về các thiết bị lân cận pháthiện sử dụng CDP

Để dừng quá trình flooding CDP, trên thanh công cụ của chương trình

Yersinia nhấn vào nút List attacks  Cancel all attacks.

d Đưa ra biện pháp phòng chống tấn công cdp flooding.

Vô hiệu hóa CDP trên các interface f0/0 của router R1, bằng cách truy cập

vào interface f0/0 và gõ lệnh no cdp enable.

R1(config)#interface f0/0

R1(config-if)#no cdp enable

2.2 DHCP Starvation Attack

2.2.1 Giới thiệu tấn công DHCP Starvation Attack

Tấn công DHCP starvation attack hoạt động bằng cách yêu cầu DHCP gửi cácgói tin broadcast với địa chỉ MAC giả mạo Điều này có thể dễ dàng đạt được vớicác công cụ tấn công như "Gobbler" (một công cụ được thiết kế để kiểm toáncác khía cạnh khác nhau của mạng DHCP, từ việc phát hiện nếu DHCP đượcchạy trên một mạng để thực hiện tấn công từ chối dịch vụ) Nếu đủ yêu cầuđược gửi đi, những kẻ tấn công mạng có thể làm cạn kiệt không gian địa chỉ cósẵn trên các máy chủ DHCP trong một khoảng thời gian Đây là cuộc tấn cônglàm thiếu tài nguyên đơn giản như tấn công flood SYN Sau đó những kẻ tấn

công mạng thiết lập một máy chủ DHCP giả mạo trên hệ thống và đáp ứng cácyêu cầu DHCP từ client trên mạng.

Trong hệ thống mạng, khi Client xin địa chỉ IP từ DHCP Server sẽ trải qua 4bước bằng cách lần lượt trao đổi 4 gói tin giữa DHCP client và Server gồm:Discover, Offer, Request, Ack

2.2.2 Mô hình triển khai

Yêu cầu:

a Dựng mô hình như hình vẽ

b Đặt địa chỉ IP tĩnh cho router R1 như hình vẽ, cấu hình DHCP Server trênrouter R1 cấp mạng 192.169.10.0/24 cho các PC trong mạng và tiến hànhxin IP trên máy Client

c Xóa bỏ IP trên máy Client và thực hiện tấn công DHCP Starvation Attacktrên máy Kali Linux vào DHCP Server Sau đó tiến hành xin lại IP trênmáy client, cho biết kết quả?

d Đưa ra biện pháp phòng chống tấn công DHCP Starvation Attack

2.2.3 Quá trình thực hiện

a Dựng mô hình như hình vẽ.

Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS routerCisco c3640 phiên bản 12.4 hoặc tương đương, sử dụng phần mềm VMWARE giảlập máy Kali Linux sử dụng phiên bản 1.0.6 và máy client sử dụng hệ điều hànhWindows client (xp,7,8,…)

b Đặt địa chỉ IP và cấu hình DHCP server trên router R1.

- Cấu hình địa chỉ IP 192.169.10.1/24 trên interface f0/0

R1(config)#ip dhcp pool VLAN1

R1(dhcp-config)#network 192.169.10.1 /24

R1(dhcp-config)#exit

R1(config)#ip dhcp excluded-address 192.169.10.1

- Kiểm tra DHCP Server đã cấu hình:

Trên máy Client tiến hành xin IP, tại cửa sổ cmd, gõ lệnh ipconfig /renew

Trước khi có tấn công DHCP Starvation attack, quá trình xin IP từ DHCPServer thành công

c Thực hiện tấn công DHCP Starvation Attack vào DHCP Server

Như đã giới thiệu ở bài trước, trên Kali Linux có sẵn công cụ Yersinia, có tínhnăng thực hiện tấn công DHCP Starvation attack.

Trên máy Kali Linux, ở cửa sổ termial gõ yersinia -G để mở giao diệnYersinia

Lúc này, chương trình Yersinia tạo ra rất nhiều gói Discover giả mạo để tìmkiếm và gửi đến DHCP server.

Trên Router R1 lúc này xử lý rất chậm, CPU dành cho việc xử lý gói tinDiscover chiếm hầu hết hiệu suất

Kiểm tra các tiến trình và khả năng xử lý của CPU sử dụng lệnh show process.

Trên máy Client, tiến hành xóa IP cũ (sử dụng lệnh ipconfig /release tại dấunhăc lệnh trong cửa sổ cmd) và xin cấp phát lại địa chỉ IP từ DHCP Servernhưng không thành công Xuất hiện thông báo không thể liên hệ với DHCPserver (xem hình bên dưới).

Để ngừng tấn công, nhấn vào nút List attacks  Cancel all attacks.

Trên router R1, gõ lệnh show ip dhcp binding sẽ có rất nhiều địa chỉ IP mà

DHCP đã Offer do quá trình tấn công DHCP Starvation đã gửi nhiều gói tinDiscover liên tục tới router R1

Sử dụng lệnh show ip dhcp server statistics để xem DHCP Server đã

thống kê các gói tin DHCP nhận được và gửi đi

Từ các lệnh kiểm tra trên cho thấy rằng, khi máy Kali Linux thực hiện tấncông DHCP Starvation chỉ gửi gói tin DHCP Discover, khi Server gửi lại gói DHCPOffer thì quá trình tấn công không gửi lại gói DHCP Request, nên Sever vẫn để

dành những địa chỉ đã Offer đó (đã thấy ở lệnh show ip dhcp binding ở trên),sau một khoảng thời gian không nhận được gói DHCP Request thì DHCP Servermới xóa những entry này trong database.

Trong bài tập này, cấu hình tính năng DHCP snooping trên interface e0/1 củaswitch SW (cổng nối với DHCP Server)

SW(config)# ip dhcp snooping

SW(config)# ip dhcp snooping vlan 1

SW(config-if)# interface e0/1

SW(config-if)# ip dhcp snooping trust

SW(config-if)# exit

SW(config)#no ip dhcp snooping information option

- Monitor DHCP Server

Sử dụng các lệnh show để monitor các pool, các tiến trình và quá trình xử lýcủa DHCP Server:

R1#show process: Để xem các tiến trình và hiệu suất xử lý của CPU

R1#show ip dhcp pool: Để xem các pool tạo trên DHCP Server, tổng số địachỉ IP cấp, địa chỉ IP hiện tại đang cấp và số lượng địa chỉ IP đã cấp

Lưu ý: Để cấu hình được tính năng này trên switch sử dụng phần mềm gns3, yêu cầu thiết bị switch phải sử dụng Cisco IOU Switch để giả lập

Bài thực hành số 2: AAA, RADIUS

I Giới thiệu AAA và RADIUS

- AAA (Authentication, Authorization, Accounting): Là thuật ngữ cho

một khuôn khổ, sử dụng cho việc kiểm soát thông minh truy cập vào tàinguyên máy tính, chính sách thực thi, kiểm toán sử dụng và cung cấp cácthông tin cần thiết cho các dịch vụ Các quá trình kết hợp này được coi làquan trọng cho việc quản lý mạng hiệu quả và an toàn

- RADIUS (Remote Authentication Dial-In User Service): Là dịch vụ

quay số xác thực người dùng từ xa, giao thức được sử dụng trong giaotiếp giữa NAS và máy chủ AAA Hỗ trợ xác thực, ủy quyền và kiểm toán,được định nghĩa trong RFC 2865

II Bài tập thực hành

Mô hình triển khai

Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hìnhcác router và host Sử dụng các lệnh CLI khác nhau để cấu hình các router vớixác thực cục bộ cơ bản và xác thực cục bộ sử dụng AAA Cài đặt phần mềmRADIUS trên một máy tính bên ngoài và sử dụng AAA để xác thực người dùngvới RADIUS server

Bảng địa chỉ IP

Yêu cầu

Phần 1: Cấu hình thiết bị mạng cơ bản

- Cấu hình các thiết lập cơ bản như host name, địa chi IP cho cổng vàmật khẩu truy cập

- Cấu hình định tuyến tĩnh

Phần 2: Cấu hình xác thực cục bộ trên R1 và R3

- Cấu hình một cơ sở dữ liệu người dùng cục bộ và truy cập cục bộ chocác đường console và vty

- Kiểm tra cấu hình

Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3

- Cấu hình cơ sở dữ liệu người dùng cục bộ

- Cấu hình AAA xác thực cục bộ

- Kiểm tra cấu hình

Phần 4: Cấu hình xác thực tập trung sử dụng AAA và RADIUS trên R1

- Cài đặt một RADIUS server trên PC-A

- Cấu hình các người dùng trên RADIUS server

- Cấu hình dịch vụ AAA trên R1 để truy cập đến RADIUS server để xácthực

- Kiểm tra cấu hình AAA RADIUS

Thiết bị và phần mềm hỗ trợ

- Phần mềm GNS3

- Phần mềm VMWARE

- 3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)

- PC-A: Windows XP, Vista, hoặc Windows Server với phần mềm RADIUSserver có sẵn

- PC-C: Windows XP hoặc Vista

Hướng dẫn cấu hình

Phần 1: Cấu hình thiết bị mạng cơ bản

- Cấu hình cơ bản địa chỉ IP cho các Router và PC:

R3(config)# interface s0/0

R3(config-if)# no shutdown

- Cấu hình và mã hóa mật khẩu trên R1 và R3

Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tốithiểu 10 ký tự:

Router(config)# security passwords min-length 10

Bước 2: Sử dụng lệnh Service password-encryption để mã hóa passwordconsole, vty:

Router(config)#service password-encryption

Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:

Router(config)# enable secret cisco12345

Bước 3: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)

- Password console Trong đó, lệnh exec-timeout gây ra các dòng log sau 5phút không hoạt động và lệnh logging synchronous ngăn chặn cácmessage console làm gián đoạn lệnh nhập vào:

Router(config)# line console 0

Router(config-line)# password ciscoconpass

Router(config-line)# exec-timeout 5 0

Router(config-line)# login

Router(config-line)# logging synchronous

- Password trên line vty cho router dùng để telnet:

Router(config)# line vty 0 4

Router(config-line)# password ciscovtypass

Router(config-line)# exec-timeout 5 0

Router(config-line)# login

- Cấu hình một biểu ngữ cảnh báo đăng nhập:

Sử dụng lệnh banner motd để cấu hình Khi một người sử dụng kết nối đếnmột trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, cácdấu đô la ($) được sử dụng để bắt đầu và kết thúc thông điệp

Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$

Phần 2: Cấu hình xác thực cục bộ (thực hiện trên R1 và R3):

Các thủ tục dưới đây thực hiện trên R1

- Cấu hình cơ sở dữ liệu người dùng cục bộ:

Tạo một tài khoản cục bộ với hàm băm MD5 để mã hóa mật khẩu

Router(config)#username user01 secret user01pass

- Cấu hình xác thực cục bộ cho đường console và đăng nhập:

Thiết lập đường console để sử dụng tên người dùng đăng nhập và mật khẩuxác định tại cục bộ

Router(config)#line console 0

Router(config-line)#login local

Thoát ra màn hình ban đầu của router (sử dụng lệnh exit) hiển thị: R1 con0

is now available, Press RETURN to get started

Đăng nhập bằng cách sử dụng tài khoản user01 và mật khẩu được địnhnghĩa trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable và nhậppassword secret là cisco12345

Thiết lập các đường vty để sử dụng các tài khoản được xác định cục bộ

Router(config)#line vty 0 4

Router(config-line)#login local

Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 và mật khẩu làuser01pass Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnhenable, sử dụng mật khẩu secret là cisco12345

Lưu cấu hình

Sử dụng lệnh copy run start ở chế độ privileged EXEC

Router# copy run start

Thực hiện tương tự trên R3

Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3:

- Cấu hình cơ sở dữ liệu người dùng cục bộ:

Cấu hình một tài khoản người dùng cục bộ với hàm băm MD5 để mã hóa mậtkhẩu

R3(config)#username Admin01 privilege 15 secret Admin01pass

R3(config)#aaa authentication login default local none

Thoát ra màn hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 isnow available, Press RETURN to get started

Đăng nhập vào console với tài khoản người dùng Admin01 và mật khẩuAdmin01pass

Thoát ra màn hình ban đầu hiển thị: R3 con0 is now available, Press RETURN

to get started

Cố gắng đăng nhập đến console với người dùng bất kỳ (ở đây là baduser).Nếu người dùng không tìm thấy trong cơ sở dữ liệu cục bộ, tùy chọn nonetrên lệnh aaa authentication login default local none yêu cầu không xác thực,cho nên vẫn có thể đăng nhập với người dùng bất kỳ đến cổng console

- Tạo một hồ sơ chứng thực AAA cho Telnet sử dụng cơ sở dữ liệu cục bộ:

Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến router Chỉđịnh tên một danh sách TELNET_LINES và áp dụng nó đến các đường vty

R3(config)#aaa authentication login TELNET_LINES local

R3(config)#line vty 0 4

R3(config-line)#login authentication TELNET_LINES

Xác minh rằng hồ sơ chứng thực này được sử dụng bằng cách mở một phiênTelnet từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật khẩuAdmin01pass

Thoát phiên Telnet với lệnh exit, và telnet đến R1 một lần nữa Cố gắng đểđăng nhập với người dùng và mật khẩu bất kỳ (ở đây sử dụng người dùngbaduser, mật khẩu 123)

Nếu người dùng không được tìm thấy trong cơ sở dữ liệu cục bộ, không cóphương pháp dự phòng quy định trong danh sách chứng thực cho các đường vtycho nên không thể thiết lập phiên telnet.

- Quan sát Chứng thực AAA sử dụng lệnh Debug:

Kiểm tra thời gian hệ thống:

Sử dụng lệnh show clock để xác định thời gian hiện tại cho router Để Thiếtlập thời gian từ chế độ privilged EXEC với lệnh clock set HH:MM:SS DD MonthYYYY

R3# clock set 14:15:00 1 nov 2015

Sử dụng lệnh debug để kiểm tra người dùng truy cập:

Kích hoạt debug cho chứng thực AAA

R3#debug aaa authentication

AAA Authentication debugging is on

Bắt đầu một phiên Telnet từ PC-C đến R3 Đăng nhập với người dùngAdmin01 và mật khẩu Admin01pass Quan sát sự kiện chứng thực AAA trongcửa sổ phiên console Thông điệp debug tương tự như sau sẽ được hiển thị

R3#

Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f

Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5): Pick method list'default'

Từ cửa sổ Telnet, vào chế độ privileged EXEC Sử dụng mật khẩu enablesecret là cisco12345 Các thông điệp debug tương tự như sau sẽ được hiển thị.Trong thành phần thứ 3, lưu ý tên người dùng (Admin01), số cổng ảo (tty194),

và địa chỉ client telnet ở xa (192.168.3.3) Cũng lưu ý rằng thành phần trạngthái cuối cùng là "PASS."

R3#

Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1

Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0adapter=0 port=194 channel=0

Dec 26 14:40:54.431: AAA/MEMORY: create_user (0x64BB5510)user='Admin01' ruser=' NULL' ds0=0 port='tty194'rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE priv=15initial_task_id='0', vrf= (id=0)

Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): port='tty194'list='' action=LOGIN service=ENABLE

Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): non-console enable– default to enable password

Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): Method=ENABLE

Dec 26 14:40:59.275: AAA/AUTHEN(2467624222): Status=GETPASS

Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): Method=ENABLE

Dec 26 14:40:59.287: AAA/AUTHEN(2467624222): Status=PASS

Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL'ruser='NULL' port='tty194' rem_addr='192.168.3.3' authen_type=ASCIIservice=ENABLE priv=15 v

rf= (id=0)

Từ cửa sổ Telnet, thoát khỏi chế độ privileged EXEC sử dụng lệnh disable Cốgắng để vào chế độ privileged EXEC một lần nữa, nhưng sử dụng một mật khẩusai cho lần này Quan sát lệnh đầu ra debug trên R3, lưu ý rằng trạng thái là

"FAIL" cho lần này

Dec 26 15:46:54.027: AAA/AUTHEN(2175919868): Status=GETPASS

Dec 26 15:46:54.027: AAA/AUTHEN/CONT (2175919868): Method=ENABLE

Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): password incorrect

Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): Status=FAIL

Dec 26 15:46:54.039: AAA/MEMORY: free_user (0x6615BFE4) user='NULL'ruser='NULL'

port='tty194' rem_addr='192.168.3.3' authen_type=ASCII service=ENABLEpriv=15 v

rf= (id=0)

Phần 4: Cấu hình chứng thực tập trung sử dụng AAA và RADIUS trên R1:

Khôi phục R1 với cấu hình cơ bản:

- Xóa và reload router:

Trên gns3 xóa file cấu hình của R1 chứa trong thư mục configs của bài thựchành (R1.cfg) Sau đó, tắt và chạy lại các router của bài thực hành để khôi phụccấu hình mặc định của R1

- Khôi phục cấu hình cơ bản:

Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 như trong phần 1

và phần 2 của bài thực hành này

- Tải và cài đặt một máy chủ RADIUS trên PC-A:

Tải phần mềm WinRadius:

Tải phiên bản mới nhất từ đường dẫn 103252.html

http://downloads.fyxm.net/WinRadius-Cấu hình cơ sở dữ liệu cho máy chủ WinRadius:

Khởi động ứng dụng WinRadius.exe WinRadius sử dụng cơ sở dữ liệu cục bộ,trong đó nó lưu thông tin người dùng khi ứng dụng được khởi động cho lần đầutiên, thông điệp sau đây được hiển thị

Please go to “Settings/Database and create the ODBC for your RADIUSdatabase

Launch ODBC service failed

Chọn Settings  Database từ menu chính và màn hình sau đây được hiểnthị Chọn nút Configure ODBC automatically và sau đó nhấn OK Bạn sẽ thấyrằng một thông báo ODBC được tạo thành công Thoát WinRadius và khởi độnglại ứng dụng để thay đổi có hiệu lực

Thiết lập ODBC trên WinRadius

Khi WinRadius khởi động lại Bạn sẽ nhìn thấy thông báo tương tự sau đây

Giao diện chính WinRadius

- Cấu hình người dùng và mật khẩu trên máy chủ WinRadius:

Từ menu chính, chọn Operation  Add User Nhập tên người sử dụngRadUser, mật khẩu RadUserpass

Thêm người dùng trong WinRadius