Bài Thực hành mã hóa password và ACL AAA Radius

Sử dụng các lệnh CLI khác nhau để cấu hình các router với xác thực cục bộ cơ bản và xác thực cục bộ sử dụng AAA.. Phần 2: Cấu hình xác thực cục bộ trên R1 và R3 - Cấu hình một cơ sở dữ l

Bài thực hành số 2: AAA, RADIUS

I Giới thiệu AAA và RADIUS

- AAA (Authentication, Authorization, Accounting): Là thuật ngữ cho

một khuôn khổ, sử dụng cho việc kiểm soát thông minh truy cập vào tài nguyên máy tính, chính sách thực thi, kiểm toán sử dụng và cung cấp các thông tin cần thiết cho các dịch vụ Các quá trình kết hợp này được coi là quan trọng cho việc quản lý mạng hiệu quả và an toàn

II Bài tập thực hành

Mô hình triển khai

Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình các router và host Sử dụng các lệnh CLI khác nhau để cấu hình các router với xác thực cục bộ cơ bản và xác thực cục bộ sử dụng AAA Cài đặt phần mềm RADIUS trên một máy tính bên ngoài và sử dụng AAA để xác thực người dùng với RADIUS server

Bảng địa chỉ IP

Yêu cầu

Phần 1: Cấu hình thiết bị mạng cơ bản

- Cấu hình các thiết lập cơ bản như host name, địa chi IP cho cổng và mật khẩu truy cập

- Cấu hình định tuyến tĩnh

Phần 2: Cấu hình xác thực cục bộ trên R1 và R3

- Cấu hình một cơ sở dữ liệu người dùng cục bộ và truy cập cục bộ cho các đường console và vty

- Kiểm tra cấu hình

Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3

- Cấu hình cơ sở dữ liệu người dùng cục bộ

- Cấu hình AAA xác thực cục bộ

- Kiểm tra cấu hình

Phần 4: Cấu hình xác thực tập trung sử dụng AAA và RADIUS trên R1

- Cài đặt một RADIUS server trên PC-A

- Cấu hình các người dùng trên RADIUS server

- Cấu hình dịch vụ AAA trên R1 để truy cập đến RADIUS server để xác thực

- Kiểm tra cấu hình AAA RADIUS

Thiết bị và phần mềm hỗ trợ

- Phần mềm GNS3

- Phần mềm VMWARE

- 3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)

- PC-A: Windows XP, Vista, hoặc Windows Server với phần mềm RADIUS server có sẵn

- PC-C: Windows XP hoặc Vista

Hướng dẫn cấu hình

Phần 1: Cấu hình thiết bị mạng cơ bản

- Cấu hình cơ bản địa chỉ IP cho các Router và PC:

Router R1

R1#configure terminal

R1(config)# interface f0/0

R1(config-if)# no shutdown

R1(config-if)# ip address 192.168.1.1 255.255.255.0

R1(config)# exit

R1(config)# interface s0/0

R1(config-if)# no shutdown

R1(config-if)# ip address 10.1.1.1 255.255.255.252

Router R2

R2#configure terminal

R2(config)# interface s0/0

R2(config-if)# no shutdown

R2(config-if)# ip address 10.1.1.2 255.255.255.252

R2(config)# exit

R2(config)# interface s0/1

R2(config-if)# no shutdown

R2(config-if)# ip address 10.2.2.2 255.255.255.252

Router R3

R3#configure terminal

R3(config)# interface f0/0

R3(config-if)# no shutdown

R3(config-if)# ip address 192.168.3.1 255.255.255.0

R3(config)# exit

R3(config)# interface s0/0

R3(config-if)# no shutdown

R3(config-if)# ip address 10.2.2.1 255.255.255.252

PC-A

PC-C

- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:

Router R1

R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2

Router R2

R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1

R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1

Router R3

R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2

- Kiểm tra kết nối giữa các PC và router:

Ping thành công từ R1 đến R3

Ping thành công từ PC-A đến PC-C

- Cấu hình và mã hóa mật khẩu trên R1 và R3

Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối thiểu 10 ký tự:

Router(config)# security passwords min-length 10

Bước 2: Sử dụng lệnh Service password-encryption để mã hóa password console, vty:

Router(config)#service password-encryption

Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:

Router(config)# enable secret cisco12345

Bước 3: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)

- Password console Trong đó, lệnh exec-timeout gây ra các dòng log sau 5 phút không hoạt động và lệnh logging synchronous ngăn chặn các message console làm gián đoạn lệnh nhập vào:

Router(config)# line console 0

Router(config-line)# password ciscoconpass

Router(config-line)# exec-timeout 5 0

Router(config-line)# login

Router(config-line)# logging synchronous

- Password trên line vty cho router dùng để telnet:

Router(config)# line vty 0 4

Router(config-line)# password ciscovtypass

Router(config-line)# exec-timeout 5 0

Router(config-line)# login

- Cấu hình một biểu ngữ cảnh báo đăng nhập:

Sử dụng lệnh banner motd để cấu hình Khi một người sử dụng kết nối đến một trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các dấu đô la ($) được sử dụng để bắt đầu và kết thúc thông điệp

Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$

Phần 2: Cấu hình xác thực cục bộ (thực hiện trên R1 và R3):

Các thủ tục dưới đây thực hiện trên R1

- Cấu hình cơ sở dữ liệu người dùng cục bộ:

Tạo một tài khoản cục bộ với hàm băm MD5 để mã hóa mật khẩu

Router(config)#username user01 secret user01pass

- Cấu hình xác thực cục bộ cho đường console và đăng nhập:

Thiết lập đường console để sử dụng tên người dùng đăng nhập và mật khẩu xác định tại cục bộ

Router(config)#line console 0

Router(config-line)#login local

Thoát ra màn hình ban đầu của router (sử dụng lệnh exit) hiển thị: R1 con0 is now available, Press RETURN to get started

Đăng nhập bằng cách sử dụng tài khoản user01 và mật khẩu được định nghĩa trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập password secret là cisco12345

Thiết lập các đường vty để sử dụng các tài khoản được xác định cục bộ

Router(config)#line vty 0 4

Router(config-line)#login local

Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 và mật khẩu là user01pass Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh enable, sử dụng mật khẩu secret là cisco12345

Lưu cấu hình

Sử dụng lệnh copy run start ở chế độ privileged EXEC

Router# copy run start

Thực hiện tương tự trên R3

Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3:

- Cấu hình cơ sở dữ liệu người dùng cục bộ:

Cấu hình một tài khoản người dùng cục bộ với hàm băm MD5 để mã hóa mật khẩu

R3(config)#username Admin01 privilege 15 secret Admin01pass

- Cấu hình AAA xác thực cục bộ:

Kích hoạt dịch vụ AAA:

R3(config)#aaa new-model

Triển khai dịch vụ AAA cho việc truy cập console sử dụng cơ sở dữ liệu cục bộ:

Tạo một danh sách xác thực đăng nhập mặc định bằng cách ban hành lệnh aaa authentication login default method1[method2][method3] với một danh sách phương pháp sử dụng local và none keywords

R3(config)#aaa authentication login default local none

Thoát ra màn hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 is now available, Press RETURN to get started

Đăng nhập vào console với tài khoản người dùng Admin01 và mật khẩu Admin01pass

Thoát ra màn hình ban đầu hiển thị: R3 con0 is now available, Press RETURN

to get started

Cố gắng đăng nhập đến console với người dùng bất kỳ (ở đây là baduser) Nếu người dùng không tìm thấy trong cơ sở dữ liệu cục bộ, tùy chọn none trên lệnh aaa authentication login default local none yêu cầu không xác thực, cho nên vẫn có thể đăng nhập với người dùng bất kỳ đến cổng console

- Tạo một hồ sơ chứng thực AAA cho Telnet sử dụng cơ sở dữ liệu cục bộ:

Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến router Chỉ định tên một danh sách TELNET_LINES và áp dụng nó đến các đường vty

R3(config)#aaa authentication login TELNET_LINES local

R3(config)#line vty 0 4

R3(config-line)#login authentication TELNET_LINES

Xác minh rằng hồ sơ chứng thực này được sử dụng bằng cách mở một phiên Telnet từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật khẩu Admin01pass

Thoát phiên Telnet với lệnh exit, và telnet đến R1 một lần nữa Cố gắng để đăng nhập với người dùng và mật khẩu bất kỳ (ở đây sử dụng người dùng baduser, mật khẩu 123)

Nếu người dùng không được tìm thấy trong cơ sở dữ liệu cục bộ, không có phương pháp dự phòng quy định trong danh sách chứng thực cho các đường vty cho nên không thể thiết lập phiên telnet

Bài thực hành số 3: ACL

I Giới thiệu ACL (Access Control List)

ACL là danh sách các điều kiện được áp dụng thông qua cổng của router, firewall, Các danh sách cho router, firewall biết loại gói tin được cho phép hoặc

từ chối khả năng cho phép và từ chối dựa trên các điều kiện quy định ACL cho phép quản lý lưu lượng và truy cập an toàn đến và đi từ một mạng

Phân loại ACL: ACL được chia thành các loại sau:

− Standard ACL

− Extended ACL

− Reflexive ACL

− Dynamic ACL

− Time-Based ACL

− Context-based Access Control (CBAC) ACL

II Bài tập thực hành

Mô hình triển khai

Yêu cầu

Phần 1: Cấu hình thiết bị mạng cơ bản

- Cấu hình cơ bản địa chỉ IP cho các Router và PC

- Cấu hình định tuyến tĩnh trên 2 router

- Kiểm tra kết nối giữa các PC và router

Phần 2: Cấu hình ACL

- Lọc các gói tin sử dụng standard ACL:

• Thực hiện cấm tất cả các lưu lượng từ PC-A đến lớp mạng 172.16.1.0/24

• Cho phép PC-A telnet vào R2

• Cho phép PC-B truy cập vào R1 qua giao diện web

Thiết bị và phần mềm hỗ trợ

- Phần mềm GNS3

- Phần mềm VMWARE

- 2 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)

- 2 PC: PC-A sử dụng Windows XP hoặc Windows 7, PC-B sử dụng Windows server hoặc Linux Server

Hướng dẫn cấu hình

Phần 1: Cấu hình thiết bị mạng cơ bản

- Cấu hình cơ bản địa chỉ IP cho các Router và PC:

Router R1

R1#configure terminal

R1(config)# interface f0/0

R1(config-if)# no shutdown

R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config)# exit

R1(config)# interface s0/0

R1(config-if)# no shutdown

R1(config-if)# ip address 203.162.1.1 255.255.255.0

Router R2

R2#configure terminal

R2(config)# interface f0/0

R2(config-if)# no shutdown

R2(config-if)# ip address 172.16.1.1 255.255.255.0 R2(config)# exit

R2(config)# interface s0/0

R2(config-if)# no shutdown

R2(config-if)# ip address 203.162.1.2 255.255.255.0

PC-A

PC-B

- Cấu hình định tuyến tĩnh trên 2 router:

Router R1

R1(config)# ip route 172.16.1.0 255.255.255.0 203.162.1.2

Router R2

R2(config)# ip route 192.168.1.0 255.255.255.0 203.162.1.1

- Kiểm tra kết nối giữa các PC và router:

Ping thành công từ R1 đến R2

R1#ping 203.162.1.2

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 203.162.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/136/208 ms

Ping thành công từ PC-A đến PC-B

C:\Documents and Settings\Administrator>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2: bytes=32 time=42ms TTL=126

Reply from 172.16.1.2: bytes=32 time=44ms TTL=126

Reply from 172.16.1.2: bytes=32 time=41ms TTL=126

Reply from 172.16.1.2: bytes=32 time=42ms TTL=126

Ping statistics for 172.16.1.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 41ms, Maximum = 44ms, Average = 42ms

Phần 2: Cấu hình ACL

- Lọc các gói tin sử dụng standard ACL:

• Tạo ACL thực hiện cấm tất cả các lưu lượng từ PC-A đến lớp mạng 172.16.1.0/24:

Bước 1: Tạo ACL 1 trên R2 cấm tất cả lưu lượng từ PC-A và cho phép các lưu lượng còn lại đến lớp mạng 172.16.1.0/24:

Sử dụng lệnh access-list để tạo một ACL có số hiệu là 1

R2(config)#access-list 1 deny host 192.168.1.2

R2(config)#access-list 1 permit any

Bước 2: Áp dụng ACL 1 vào cổng f0/0 theo chiều out:

Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều ra lưu lượng trên cổng f0/0

R2(config)#interface f0/0

R2(config-if)# ip access-group 1 out

Bước 3: Xác nhận lưu lượng từ PC-A vào lớp mạng 172.16.1.0/24 đã bị loại bỏ và cho phép các lưu lượng còn lại:

Ping không thành công từ PC-A vào PC-B

C:\Documents and Settings\Administrator>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 203.162.1.2: Destination net unreachable

Reply from 203.162.1.2: Destination net unreachable

Reply from 203.162.1.2: Destination net unreachable

Reply from 203.162.1.2: Destination net unreachable

Ping statistics for 172.16.1.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Ping thành công từ R1 vào PC-B

R1#ping 172.16.1.2

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/95/160 ms

• Tạo ACL chỉ cho phép PC-A telnet vào R2

Bước 1: Cấu hình telnet trên R2

+ Tạo username, password sử dụng cho phiên kết nối telnet (username: u1, password: 123):

R2(config)#username u1 password 123

+ Cấu hình telnet

R2(config)#line vty 0 4

R2(config-line)#login local

Bước 3: Tạo ACL 2 trên R2 chỉ cho phép PC-A truy cập từ xa (sử dụng telnet) đến R2:

Sử dụng lệnh access-list để tạo một ACL có số hiệu là 2

R2(config)#access-list 2 permit host 192.168.1.2

Bước 4: Áp dụng ACL 2 vào các đường vty theo chiều in:

Sử dụng lệnh access-class để áp dụng danh sách truy cập theo chiều vào lưu lượng trên các đường vty

R2(config)# line vty 0 4

R2(config)# access-class 2 in

Bước 3: Kiểm tra:

Telnet không thành công từ R1 vào R2

R1#telnet 203.162.1.2

Trying 203.162.1.2

% Connection refused by remote host

Telnet thành công từ PC-A vào R2(trên PC-A mở cmd, gõ lệnh telnet 203.162.1.2, nhập username: u1, password: 123 khi được yêu cầu)

C:\Documents and Settings\Administrator>telnet 203.162.1.2

User Access Verification

Username: u1

Password:

R2>

• Tạo ACL chỉ cho phép PC-B truy cập vào R1 qua giao diện web.

Bước 1: Tạo ACL 3 trên R1 chỉ cho phép PC-B truy cập vào R1 qua giao diện web:

Sử dụng lệnh access-list để tạo một ACL có số hiệu là 3

R1(config)#access-list 3 permit host 172.16.1.2

Bước 2: Áp dụng ACL 3 vào http server để hạn chế truy cập vào giao diện web trên R1:

Sử dụng lệnh ip http server để kích hoạt http trên R1 và ip http access-class

để áp dụng danh sách truy cập vào giao diện web trên R1

R1(config)# ip http server

R1(config)# ip http access-class 3

Bước 3: Kiểm tra:

Trên PC-A, mở trình duyệt web(IE, Chrome, Firefox,…) nhập vào địa chỉ

truy cập vào giao diện web của R1

Truy cập http bị chặn

PC-B truy cập thành công vào giao diện web trên R1(thực hiện truy cập tương

tự giống PC-A)

Truy cập http thành công