A proposito dell'autore

Cisco trainer and consultant.

Obiettivi

1. Configurare AAA
2. Configurare le ACLs di filtraggio, compatibilmente con i servizio di autenticazione
3. Configurare un Authentication Proxy

Scenario

Con l’Authentication Proxy, gli utenti possono loggarsi in rete o accedere ad internet via HTTP.
I profili utente vengono ottenuti automaticamente da un server TACACS+, che supponiamo già configurato. (Cisco Secure Access Control Server)
Si suppone che il server TACACS+ sia nella stessa LAN dei client e che in CSACS sia configurato un utente in Default Group, con username e password.

Configure AAA

Per configurare AAA, i passi da compiere sono i seguenti:

  • a. Sul router, in global configuration mode:
Router# configure terminal
  • b. Abilitare AAA.
Router(config)# aaa new-model
  • c. Specificare il protocollo di autenticazione (noi abbiamo scelto TACACS+, qui si possono elencare tutti i modi di autenticazione del caso, da quella locale, al RADIUS, etc).
Router(config)# aaa authentication login default group tacacs+
  • d. Specificare il protocollo di autenticazione (qui TACACS+ è la scelta migliore, per l’ottima granularità che permette. L’altra possibilità è RADIUS)
Router(config)# aaa authorization auth-proxy default group tacacs+
  • e. Definire il server TACACS+ e la sua chiave (compatibilemente con quanto impostato sul CSACS).
Router (config)# tacacs-server host XXX.XXX.XXX.XXX (indirizzo IP del server TACACS+)
Router(config)# tacacs-server key CHIAVESEGRETA (la chiave preimpostata sul serverTACACS+ e relativa a questo router)

Definire le ACL che permettono il traffico TACACS+

  • a. Definire una ACL che consenta il traffico TACACS+ tra il server di autenticazione e il router (interfaccia interna), che consenta l’ICMP in uscita, e il traffico su cui basare il controllo d’accesso (CBAC) come HTTP e FTP:
Router(config)# access-list 101 permit tcp host IPADDRSTACACS+ eq tacacs host IPADDRSROUTER
Router(config)# access-list 101 permit icmp any any
Router(config)# access-list 101 permit tcp IPRETEINTERNA WILDMASK any eq ftp
Router(config)# access-list 101 permit tcp IPRETEINTERNA WILDMASK any eq www
Router(config)# access-list 101 deny ip any any  (ok, non serve, ma male non fa)
  • b.Bisogna ora definire una ACL sull’interfaccia di uscita, che blocchi il traffico in ingresso (altrimenti è un firewall deboluccio)
Router(config)# access-list 102 deny ip any any

Configurare l’Authentication Proxy

  • a. Definire una regola per il proxy di autenticazione
RouterP(config)# ip auth-proxy name REGOLA http auth-cache-time 5
  • b. Applicare la regola all’interfaccia interna, quella da cui arriveranno gli utenti da autenticare, supponiamo la Fastethernet 0/0:
Router(config)# interface fastethernet 0/0
Router(config-if)# ip auth-proxy REGOLA
Router(config-if)# ip access-group 101 in
Router(config-if)# exit
  • c. Applicare l’ACL all’interfacia esterna:
Router(config-if)# interface fastethernet 0/1
Router(config-if)# ip access-group 102 in

E’ tutto, la access-list 102 verrà modificata dinamicamente dalla regola di auth-proxy, una volta che il server TACACS+ avrà restituito un profilo di autorizzazione

Comandi utili

  • a. Per pulire la cache del proxy:
RouterP# clear ip auth-proxy cache *
  • b. Per verificare la configurazione del proxy di autenticazione
Router# show ip auth-proxy cache
Close
Entra in contatto con altri professionisti ICT, seguici su Facebook e Twitter: