ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Настройка аутентификации AAA на маршрутизаторах Cisco»
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели:
· Настройте локальную учетную запись пользователя на R1 и настройте проверку подлинности на консоли и линиях vty с помощью локального AAA.
· Проверьте локальную аутентификацию AAA с консоли R1 и клиента PC-A.
· Настройте аутентификацию AAA на основе сервера с помощью TACACS+.
· Проверьте аутентификацию AAA на основе сервера от клиента PC-B.
· Настройте аутентификацию AAA на основе сервера с помощью RADIUS.
· Проверьте аутентификацию AAA на основе сервера от клиента PC-C.
Предыстория / Сценарий
Топология сети показывает маршрутизаторы R1, R2 и R3. В настоящее время вся административная безопасность основана на знании секретного пароля включения. Ваша задача-настроить и протестировать локальные и серверные решения AAA.
Вы создадите локальную учетную запись пользователя и настроите локальный AAA на маршрутизаторе R1 для проверки входа в консоль и vty.
o Учетная запись пользователя: Admin1 и пароль admin1pa55
Затем вы настроите маршрутизатор R2 для поддержки аутентификации на основе сервера с использованием протокола TACACS+. Сервер TACACS+ был предварительно настроен следующим образом:
o Клиент: R2 с использованием ключевого слова tacacspa55
o Учетная запись пользователя: Admin2 и пароль admin2pa55
Наконец, вы настроите маршрутизатор R3 для поддержки аутентификации на основе сервера с использованием протокола RADIUS. Сервер RADIUS был предварительно настроен следующим образом:
o Клиент: R3 с использованием ключевого слова radiuspa55
o Учетная запись пользователя: Admin3 и пароль admin3pa55
Маршрутизаторы также были предварительно настроены следующим образом:
o Включить секретный пароль: ciscoenpa55
Примечание: Линии консоли и vty не были предварительно настроены.
Примечание: Версия IOS 15.3 использует SCRYPT в качестве безопасного алгоритма хеширования шифрования; однако версия IOS, которая в настоящее время поддерживается в Packet Tracer, использует MD5. Всегда используйте наиболее безопасный вариант, доступный на вашем оборудовании.
Часть 1: Настройка локальной аутентификации AAA для доступа к консоли на R1
Шаг 1: Проверьте подключение.
· Пинг с ПК-А на ПК-Б.
· Пинг с ПК-А на ПК-С.
· Пинг c ПК-Б к ПК-C.
Шаг 2: Настройте локальное имя пользователя на R1.
Настройте имя пользователя Admin 1 с секретным паролем admin1pa55.
R1(config)# username Admin1 secret admin1pa55
Шаг 3: Настройте локальную аутентификацию AAA для доступа к консоли на R1.
Включите AAA на R1 и настройте аутентификацию AAA для входа в консоль для использования локальной базы данных.
R1(config)# aaa new-model
R1(config)# aaa authentication login default local
Шаг 4: Настройте линейную консоль для использования определенного метода аутентификации AAA.
Включите AAA на R1 и настройте аутентификацию AAA для входа в консоль, чтобы использовать список методов по умолчанию.
R1(config)# line console 0
R1(config-line)# login authentication default
Шаг 5: Проверьте метод аутентификации AAA.
Проверьте вход пользователя в систему с помощью локальной базы данных.
R1(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R1# exit
User Access Verification
Username: Admin1
Password: admin1pa55
R1>
Часть 2: Настройка локальной аутентификации AAA для линий vty на R1
Шаг 1: Настройте доменное имя и крипто-ключ для использования с SSH.
a. Использование ccnasecurity.com как доменное имя на R1.
R1(config)# ip domain-name ccnasecurity.com
b. Создайте крипто-ключ RSA, используя 1024 бита.
R1(config)# crypto key generate rsa
Шаг 2: Настройте метод аутентификации AAA именованного списка для строк vty на R1.
Настройте именованный список под названием SSH-LOGIN для проверки подлинности учетных записей с помощью локального AAA.
R1(config)# aaa authentication login SSH-LOGIN local
Шаг 3: Настройте линии vty для использования определенного метода аутентификации AAA.
Настройте линии vty для использования именованного метода AAA и разрешите только SSH для удаленного доступа.
R1(config)# line vty 0 4
R1(config-line)# login authentication SSH-LOGIN
R1(config-line)# transport input ssh
1(config-line)# end
Шаг 4: Проверьте метод аутентификации AAA.
Проверьте конфигурацию SSH SSH в R1 из командной строки PC-A.
PC> ssh –l Admin1 192.168.1.1
Open
Password: admin1pa55
Часть 3: Настройка аутентификации AAA на основе сервера с помощью TACACS+ на R2
Шаг 1: Настройте резервную запись локальной базы данных с именем Admin.
Для резервного копирования настройте локальное имя пользователя Admin2 и секретный пароль admin2pa55.
R2(config)# username Admin2 secret admin2pa55
Шаг 2: Проверьте конфигурацию сервера TACACS+.
Выберите сервер TACACS+. На вкладке Службы нажмите кнопку AAA. Обратите внимание, что существует запись конфигурации сети для R2 и запись настройки пользователя для Admin2.
Шаг 3: Настройте спецификацию сервера TACACS+ на R2.
Настройте IP-адрес сервера AAA TACACS и секретный ключ на R2.
Примечание: Команды tacacs-server host и tacacs-server key устарели. В настоящее время трассировщик пакетов не поддерживает новый сервер командной строки tacacs.
R2(config)# tacacs-server host 192.168.2.2
R2(config)# tacacs-server key tacacspa55
Шаг 4: Настройте аутентификацию входа AAA для доступа к консоли на R2.
Включите AAA на R2 и настройте все учетные записи для аутентификации с помощью сервера AAA TACACS+. Если он недоступен, используйте локальную базу данных.
R2(config)# aaa new-model
R2(config)# aaa authentication login default group tacacs+ local
Шаг 5: Настройте линейную консоль для использования определенного метода аутентификации AAA.
Настройте проверку подлинности AAA для входа в консоль, чтобы использовать метод проверки подлинности AAA по умолчанию.
R2(config)# line console 0
R2(config-line)# login authentication default
Шаг 6: Проверьте метод аутентификации AAA.
Проверьте вход пользователя в систему с помощью сервера AAA TACACS+.
R2(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R2# exit
R2 con0 is now available
User Access Verification
Username: Admin2
Password: admin2pa55
R2>
Часть 4: Настройка аутентификации AAA на основе сервера с использованием RADIUS на R3
Шаг 1: Настройте резервную запись локальной базы данных с именем Admin.
Для резервного копирования настройте локальное имя пользователя Admin3 и секретный пароль admin3pa55.
R3(config)# username Admin3 secret admin3pa55
Шаг 2: Проверьте конфигурацию сервера RADIUS.
Щелкните сервер RADIUS. На вкладке Службы нажмите кнопку AAA. Обратите внимание, что существует запись конфигурации сети для R3 и запись настройки пользователя для Admin3.
Шаг 3: Настройте спецификацию сервера RADIUS на R3.
Настройте IP-адрес сервера AAA RADIUS и секретный ключ на R3.
Примечание: Команды radius-server host и radius-server key устарели. В настоящее время трассировщик пакетов не поддерживает новый сервер командной строки radius.
R3(config)# radius-server host 192.168.3.2
R3(config)# radius-server key radiuspa55
Шаг 4: Настройте аутентификацию входа AAA для доступа к консоли на R3.
Включите AAA на R3 и настройте все учетные записи для аутентификации с помощью сервера AAA RADIUS. Если он недоступен, используйте локальную базу данных.
R3(config)# aaa new-model
R3(config)# aaa authentication login default group radius local
Шаг 5: Настройте линейную консоль для использования определенного метода аутентификации AAA.
Настройте проверку подлинности AAA для входа в консоль, чтобы использовать метод проверки подлинности AAA по умолчанию.
R3(config)# line console 0
R3(config-line)# login authentication default
Шаг 6: Проверьте метод аутентификации AAA.
Проверьте вход пользователя в систему с помощью сервера AAA RADIUS
R3(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R3# exit
R3 con0 is now available
User Access Verification
Username: Admin3Password: admin3pa55R3>