BẢO MẬT CHO THIẾT BỊ ROUTER P2 –

Thuật ngữ xác thực, thẩm quyền, và tính toán cước (Authentication, Authorization, và Accounting – AAA) ám chỉ đến 1 số ít dịch vụ bảo mật thông tin phổ biến. Phần này tập trung chuyên sâu vào ký tự A tiên phong trong AAA – là xác nhận (authentication) và nó dùng để quản trị truy vấn dến router và IOS của switch như thế nào. Phương thức xác nhận mạnh nhất được dùng để quản trị truy vấn đến router hay IOS của switch là dùng TACACS+ hay RADIUS. Sản phẩm ACS (Cisco Secure Access Control Server) là một sản phẩm ứng dụng hoàn toàn có thể cài trên Linux, Unix và vài hệ quản lý Window. Máy chủ sẽ lưu những tên người dùng và mật khầu được sử dụng trong quy trình xác thực. Các router và switch sau đó cần phải nhận tên người dùng và mật khẩu, gửi những thông tin này dưới dạng mã hóa và nhận thông điệp trả lời. Sau đó sẽ đồng ý hay khước từ nhu yếu truy cập. Bảng 21.1 tóm tắt những thông tin chủ chốt về RADIUS và TACACS+.

Bảng 21.1: Các đặc điểm cơ bản của Radius và Tacacs+

+ Dùng tập hợp phương pháp xác nhận mặc định

Cấu hình xác nhận AAA bao gồm vài lệnh để định nghĩa những phương pháp xác thực. Một phương pháp xác nhận là phương pháp để xác nhận hoặc thẩm định và đánh giá một người dùng. Ví dụ, một phương pháp là yêu cầu sever RADIUS xác nhận một người dùng đang đăng nhập, một cách thức khác là để router tìm kiếm những lệnh định nghĩa username trong thông số kỹ thuật cục bộ của router.

Một tập hợp của những phương pháp thông số kỹ thuật được đại diện bằng một list có thứ tự, trong đó từng phương pháp được thử theo thứ tự cho đến khi nào một phương pháp nào đó trả về một thông điệp là khước từ hay gật đầu người dùng.

Cấu hình đơn thuần nhất của AAA sẽ định nghĩa một tập hợp của những phương pháp xác nhận được dùng một cách mặc định cho những truy cập vào router hay vào switch. Ngoài ra, một tập hợp mặc định của những phương pháp xác nhận được dùng bởi lệnh enable. Phương thức xác nhận mặc định áp dụng vào toàn bộ những tiến trình truy cập: console, Telnet và aux.

Phương thức xác lập mặc định được dùng bởi lệnh enable đơn thuần miêu tả IOS của Cisco làm gì khi người dùng gõ lệnh enable. Cấu hình tổng thể và toàn diện sử dụng những bước sau:

  • Bước 1: Bật xác nhận AAA bằng lệnh ở chính sách toàn cục  aaa new-model.
  • Bước 2: Nếu dùng RADIUS hay TACACS+, hãy định nghĩa địa chỉ IP và khóa mã hóa được dùng bởi sever bằng cách dùng lệnh radius-server host, radius-server key, tacacs-server host, và tacacs-server key.
  • Bước 3: Định nghĩa tập hợp những phương pháp mặc định được dùng bởi tất cả những truy cập CLI bằng cách dùng lệnh aaa authentication login default.
  • Bước 4: Định nghĩa tập hợp mặc định của những phương pháp xác nhận được dùng cho chính sách enable-mode bằng cách dùng lệnh aaa authentication enable default.

Ví dụ dưới đây hiển thị một thông số kỹ thuật router mẫu dùng các lệnh này. Trong trường hợp này, hai sever RADIUS được cấu hình. Một sever dùng cổng mặc định 1645 và sever còn lại dùng cổng 1812. Theo thông số kỹ thuật dưới đây, router này nỗ lực xác nhận như sau:

  • Khi có một truy cập vào router được thực hiện, IOS của Cisco nỗ lực xác nhận dùng sever RAIDUS đầu tiên. Nếu không có thông điệp trả lời, IOS sẽ cố thử với sever RADIUS thứ hai, nếu cũng không có trả lời, người dùng sẽ được phép vào router mà không cần xác nhận (chế độ authentication none).
  • Khi bất kể người dùng nào thực thi lệnh enable, router sẽ cố gắng thử với sever RADIUS trước, theo thứ tự đó, nếu không có sever RADIUS nào trả lời, router sẽ chấp nhận tên người dùng và mật khẩu được thông số kỹ thuật cục bộ trên router là cisco/cisco.

Lệnh tiếp nối mô tả rằng mật khẩu enable secret password vẫn được thông số kỹ thuật nhưng sẽ không được dùng. Lệnh username định nghĩa một username/password sẽ được dùng cho quá trình xác nhận nếu sever RADIUS không được thấy bởi máy chủ. Chú ý rằng số 0 trong câu lệnh username có ý nghĩa chỉ ra rằng mật khẩu không được mã hóa.

R1# show running-config

! lines omitted for brevity

enable secret 5 $1$GvDM$ux/PhTwSscDNOyNIyr5Be/

username cisco password 0 cisco

Kế tiếp, AAA được bật lên. Các phương pháp xác thực mặc định và phương pháp xác thực để vào chính sách enable được định nghĩa.

aaa new-model

aaa authentication enable default group radius local

aaa authentication login default group radius none

Kế tiếp, hai sever Radius được định nghĩa. Các giá trị cổng bị bỏ qua khi lệnh radius-server host 10.1.1.2 được thực hiện. IOS sẽ tự động hóa hóa điền vào giá trị cổng mặc định. Tương tự, lệnh radius-server host 10.1.1.1 auth-port 1812 được triển khai với IOS tự động thêm vào giá trị cổng trong câu lệnh.

radius-server host 10.1.1.1 auth-port 1812 acct-port 1646

radius-server host 10.1.1.2 auth-port 1645 acct-port 1646

radius-server key cisco

Trước khi AAA được cấu hình, cả hai line console và vty đều đã thông số kỹ thuật các lệnh login và password như liệt kê trong ví dụ trên. Việc bật AAA sẽ xóa các lệnh login. Thay vào đó mặc định lệnh aaa authentication login default ở chính sách toàn cục sẽ được dùng. Các password trong chính sách line sẽ chỉ được dùng nếu trong câu lệnh aaa authentication login có chỉ ra phương pháp là line.

line con 0

password cisco

line vty 0 4

password cisco

  • Dùng nhiều phương pháp xác thực

Xác thực AAA được được cho phép tham chiếu đến nhiều sever và nhiều phương pháp xác thực để một người dùng có thể chỉ được xác thực chỉ nếu một phương pháp xác thực không làm việc. Lệnh aaa authentication tương hỗ lên đến 4 phương pháp trên một lệnh duy nhất. Thêm vào đó, không có giới hạn thực tế đối với số sever RADIUS và TACACS+. Thuật toán được dùng bởi IOS của Cisco khi dùng các phương pháp này là như sau:

  • Dùng phương pháp được liệt kê tiên phong trước, nếu phương pháp đó không trả lời, chuyển sang phương pháp thứ hai và sau đó qua phương thứ tiếp nối cho đến khi nào có một phương thức trả lời. Phương thức tiên phong vấn đáp sẽ được router sử dụng (cho phép hoặc từ chối.
  • Nếu một phương thức khai báo một tập hợp đến một hoặc nhiều máy chủ, hãy thử máy chủ tiên phong trước, trong đó “đầu tiên” được dựa trên thứ tự của các lệnh trong tập tin cấu hình. Nếu không có trả lời, chuyển sang máy chủ tuần tự tiếp nối và cứ thế liên tục cho đến khi nào có một máy chủ trả lời. Máy chủ đầu tiên vấn đáp (cho phép hoặc từ chối) sẽ được router dùng.
  • Nếu không có vấn đáp nào từ bất cứ phương thức nào, yêu cầu sẽ bị từ chối.

Ví dụ, thông số kỹ thuật dưới đây khai báo máy chủ RADIUS 10.1.1.1 và 10.1.1.2 theo thức tự đó, vì vậy các máy chủ này sẽ được kiểm tra trong cùng thứ tự. Nếu không có bất kể thông điệp vấn đáp nào thì phương thức kế tiếp sẽ được dùng. Phương thức none có nghĩa là tự động cho người dùng vào và xác thực dựa trên lệnh username.

Bảng 21.2 liệt kê các phương thức xác thực thông dụng cho phép đăng nhập vào chính sách enable mode cùng với một mô tả ngắn. 

Phương thức

Ý nghĩa

Group radius

Hãy dùng các máy chủ radius được cấu hình

Group tacacs+

Hãy dùng các máy chủ tacacs+ được cấu hình

Group name

Hãy dùng một nhóm của các máy chủ radius hoặc tacacs+

Enable

Hãy dùng enable password dựa trên câu lệnh enable secret hay enable password

Line

Hãy dùng password được định nghĩa trong câu lệnh ở chế độ line

Local

Hãy dùng username trong cấu hình cục bộ, hãy xem username không quan tâm chử thường hay chữ hoa nhưng mật khẩu là phân biệt chữ thường, chữ hoa

Local-case

Hãy dùng lệnh username trong cấu hình cục bộ. Xem cả username và password là phân biệt chữ thường, chữ hoa

None

Không cần xác thực. Người dùng tự động được xác thực.

Bảng 21.2: Các phương thức xác thực phổ biến

+ Nhóm các máy chủ của AAA

Mặc định, IOS của Cisco tự động nhóm các máy chủ RADIUS và TACACS+ được cấu hình bởi câu lệnh radius-server host và tacacs-server host vào một nhóm, gọi là Radius và Tacacs+.

Lệnh aaa authentication bao gồm từ khóa group radius hoặc group tacacs+ để chỉ đến các nhóm mặc định. Mặc định, tất cả các máy chủ RADIUS định nghĩa trong group radius và các máy chủ TACACS+ định nghĩa trong group tacacs+. Trong vài trường hợp, đặc biệt là với những triển khai cho những hệ thống mạng quay số dạng lớn, một thiết kế có thể dùng các tập hợp khác nhau của các máy chủ RADIUS hay TACACS+. Để làm được điều đó, các máy chủ có thể nhóm với nhau bằng tên. Ví dụ dưới đây hiển thị một cấu hình với hai máy chủ trong một nhóm RADIUS có tên là fred và mô tả lệnh aaa authentication có thể tham chiếu đến một nhóm như thế nào.

Ba lệnh kế tiếp tạo ra một nhóm tên fred của các máy RADIUS. Chú ý rằng các máy chủ được cấu hình bên trong nhóm AAA, dùng lệnh server. Cũng chú ý rằng IOS thêm vào các lệnh auth-port và acct-port tự động.

R1(config)# aaa group server radius fred

R1(config-group)# server 10.1.1.3 auth-port 1645 acct-port 1646

R1(config-group)# server 10.1.1.4 auth-port 1645 acct-port 1646

Để dùng nhóm có tên là fred thay vì là nhóm mặc định, lệnh aaa authentication cần phải tham chiếu đến một nhóm có tên là fred, như được hiển thị kế tiếp.

aaa new-model

aaa authentication enable default group fred local

aaa authentication login default group fred none

4.Bỏ qua các truy cập mặc định cho vấn đề bảo mật truy cập

Các cổng console, vty và aux có thể vượt qua việc sử dụng phương thức xác thực mặc định. Để làm được việc này, trong chế độ cấu hình ở chế độ line, lệnh login authentication name được dùng để chỉ đến tên một tập hợp các phương thức xác thực khác.

Ví dụ dưới đây hiển thị một nhóm các phương thức cấu hình được gọi là dành riêng cho từng phương thức (for-console, for-vty và for-aux). Trong đó từng phương thức áp dụng vào các phương thức truy cập khác nhau.

Mỗi nhóm được đặt tên định nghĩa một tập hợp các phương thức xác thực khác nhau. Ví dụ dưới đây mô tả một cấu hình trong đó hiện thực các yêu cầu sau:

  • Console: cố gắng thử máy chủ RADIUS và sau đó dùng mật khẩu trong chế độ line nếu không có trả lờI từ server.
  • VTY: thử dùng máy chủ RADIUS trước và dùng username/password cục bộ nếu không có vấn đáp từ máy chủ.
  • Aux: thử dùng xác thực trên máy chủ RADIUS truớc và không xác thực nếu không có vấn đáp từ máy chủ.

Cấu hình dưới đây thêm vào đoạn cấu hình đã có trong ví dụ trước đó.

aaa authentication login for-console group radius line

aaa authentication login for-vty group radius local

aaa authentication login for-aux group radius

Các phương thức được bật lên dưới đây bằng lệnh login authentication. Chú ý rằng các mật khẩu khai báo cục bộ vẫn tồn tại trong các cổng console và vty. Đối với cổng console, mật khẩu của line console sẽ được dùng nếu tất cả các máy chủ Radius đều không trả lời. Tuy nhiên, lệnh vty password sẽ không được dùng bởi cấu hình này.

line con 0

password 7 14141B180F0B

login authentication for-console

line aux 0

login authentication for-aux

line vty 0 4

password 7 104D000A0618

login authentication for-vty