sabato, Marzo 2, 2024

Configurare un Authentication Proxy

marcozonta
marcozonta
Cisco trainer and consultant.

Obiettivi

1. Configurare AAA
2. Configurare le ACLs di filtraggio, compatibilmente con i servizio di autenticazione
3. Configurare un Authentication Proxy

Scenario

Con l’Authentication Proxy, gli utenti possono loggarsi in rete o accedere ad internet via HTTP.
I profili utente vengono ottenuti automaticamente da un server TACACS+, che supponiamo già configurato. (Cisco Secure Access Control Server)
Si suppone che il server TACACS+ sia nella stessa LAN dei client e che in CSACS sia configurato un utente in Default Group, con username e password.

Configure AAA

Per configurare AAA, i passi da compiere sono i seguenti:

  • a. Sul router, in global configuration mode:
Router# configure terminal
  • b. Abilitare AAA.
Router(config)# aaa new-model
  • c. Specificare il protocollo di autenticazione (noi abbiamo scelto TACACS+, qui si possono elencare tutti i modi di autenticazione del caso, da quella locale, al RADIUS, etc).
Router(config)# aaa authentication login default group tacacs+
  • d. Specificare il protocollo di autenticazione (qui TACACS+ è la scelta migliore, per l’ottima granularità che permette. L’altra possibilità è RADIUS)
Router(config)# aaa authorization auth-proxy default group tacacs+
  • e. Definire il server TACACS+ e la sua chiave (compatibilemente con quanto impostato sul CSACS).
Router (config)# tacacs-server host XXX.XXX.XXX.XXX (indirizzo IP del server TACACS+)
Router(config)# tacacs-server key CHIAVESEGRETA (la chiave preimpostata sul serverTACACS+ e relativa a questo router)

Definire le ACL che permettono il traffico TACACS+

  • a. Definire una ACL che consenta il traffico TACACS+ tra il server di autenticazione e il router (interfaccia interna), che consenta l’ICMP in uscita, e il traffico su cui basare il controllo d’accesso (CBAC) come HTTP e FTP:
Router(config)# access-list 101 permit tcp host IPADDRSTACACS+ eq tacacs host IPADDRSROUTER
Router(config)# access-list 101 permit icmp any any
Router(config)# access-list 101 permit tcp IPRETEINTERNA WILDMASK any eq ftp
Router(config)# access-list 101 permit tcp IPRETEINTERNA WILDMASK any eq www
Router(config)# access-list 101 deny ip any any  (ok, non serve, ma male non fa)
  • b.Bisogna ora definire una ACL sull’interfaccia di uscita, che blocchi il traffico in ingresso (altrimenti è un firewall deboluccio)
Router(config)# access-list 102 deny ip any any

Configurare l’Authentication Proxy

  • a. Definire una regola per il proxy di autenticazione
RouterP(config)# ip auth-proxy name REGOLA http auth-cache-time 5
  • b. Applicare la regola all’interfaccia interna, quella da cui arriveranno gli utenti da autenticare, supponiamo la Fastethernet 0/0:
Router(config)# interface fastethernet 0/0
Router(config-if)# ip auth-proxy REGOLA
Router(config-if)# ip access-group 101 in
Router(config-if)# exit
  • c. Applicare l’ACL all’interfacia esterna:
Router(config-if)# interface fastethernet 0/1
Router(config-if)# ip access-group 102 in

E’ tutto, la access-list 102 verrà modificata dinamicamente dalla regola di auth-proxy, una volta che il server TACACS+ avrà restituito un profilo di autorizzazione

Comandi utili

  • a. Per pulire la cache del proxy:
RouterP# clear ip auth-proxy cache *
  • b. Per verificare la configurazione del proxy di autenticazione
Router# show ip auth-proxy cache

Articoli correlati

Il caso “Medusa Ransomware”

I ransomware stanno diventando sempre più una minaccia di rilevanza importante, quasi da non far dormire sonni tranquilli ad aziende sia pubbliche che private,...

Digital Transformation


 

Noleggia una Tesla per il tuo evento ICT!

Categorie