آموزش قدم به قدم راه اندازی AAA در سیسکو و مراحل امن کردن AAA

کاربرد AAA در سیسکو چیست؟ چگونه AAA سیسکویی راه اندازی کنیم؟ با سلام ، سرویس AAA برگرفته از Authentication,Authorization,Accounting که از این سرویس جهت احراز هویت و تعیین سطوح دسترسی و نظارت به دسترسی و مدت دسترسی کاربر استفاده می شود.

1. Authentication: وظیفه این بخش احراز هویت کاربر می باشد . این بخش از سرویس AAA ، مجاز بودن و یا غیر مجاز بودن دسترسی کاربر را تعیین می کند.
2. Authorization: این بخش بعد از احراز هویت کاربر(Authentication) اجازه دسترسی به منابع را به کاربر خواهد داد و سطوح دسترسی کاربر را تعیین خواهد کرد.
3. Accounting: این بخش بعد از احراز هویت کاربر(Authentication) و هچنین بعد از Authorization اعمال خواهد شد و دسترسی کاربر را بررسی و همچنین مدت و مقدار دسترسی کاربر را تعیین می کند.

سرویس AAA جهت انجام وظایف خود یعنی Authentication,Authorization,Accounting نیاز به تصدیق کاربر بر اساس Username خواهد داشت.شما همچنین میتوانید AAA را به گونه ای پیکربندی کنید که از Username های تعریف شده به صورت Local بر روی استفاده نمایید.

اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.

گام 1 : پیکربندی hostname بر روی Router1

Router#conf t

Router(config)#hostname Router1

Router1(config)#

گام 2 : پیکربندی تنظیمات IP Address روی اینتر فیس های Router1

Router1(config)#int fa0/0

Router1(config-if)#ip add 192.168.1.1 255.255.255.0

Router1(config-if)#no sh

Router1(config-if)#ex

Router1(config)#int s000

Router1(config-if)#ip add 10.1.1.1 255.255.255.252

Router1(config-if)#clock rate 64000

Router1(config-if)#no sh

گام 3 : پیکربندی Default Route بر روی Router1

در این مرحله با پیکربندی یک Default Route کلیه ترافیکی که مقصد آنها خارج از شبکه 192.168.1.0 می باشد به هر مقصدی از یک مسیر پیش فرض به سمت Router2 به آدرس 10.1.1.2 ارسال خواهد شد.

Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

گام 4 : پیکربندی hostname برروی Router2

Router#conf t

Router(config)#hostname Router2

Router2(config)#

گام 5 : پیکر بندی تنظیمات IP Address روی اینتر فیس های Router2

Router2#conf t

Router2(config)#int s000

Router2(config-if)#ip add 10.1.1.2 255.255.255.252

Router2(config-if)#no sh

Router2(config-if)#ex

Router2(config)#int s001

Router2(config-if)#ip add 10.2.2.1 255.255.255.252

Router2(config-if)#clock rate 64000

Router2(config-if)#no sh

گام 6 : پیکربندی Static Route برروی Router2

Router2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1

Router2(config)#ip route 192.168.3.0 255.255.255.0 10.2.2.2

گام 7 : پیکربندی hostname برروی Router3

Router#conf t

Router(config)#hostname Router3

Router3(config)#

گام 8 : پیکر بندی تنظیمات IP Address روی اینتر فیس های Router3

Router3#conf t

Router3(config)#int fa0/0

Router3(config-if)#ip add 192.168.3.1 255.255.255.0

Router3(config-if)#no sh

Router3(config-if)#ex

Router3(config)#int s000

Router3(config-if)#ip add 10.2.2.2 255.255.255.252

Router3(config-if)#no sh

گام 9 : پیکربندی Default Route بر روی Router3

در این مرحله با پیکربندی یک Default Route کلیه ترافیکی که مقصد آنها خارج از شبکه 192.168.3.0 می باشد به هر مقصدی از یک مسیر پیش فرض به سمت Router2 به آدرس 10.2.2.1 ارسال خواهد شد.

Router3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.1

گام 10: بررسی اتصال بین Server1 و PC1

SERVER>ping 192.168.3.2

Pinging 192.168.3.2 with 32 bytes of data:

Reply from 192.168.3.2: bytes=32 time=11ms TTL=125

Reply from 192.168.3.2: bytes=32 time=11ms TTL=125

Reply from 192.168.3.2: bytes=32 time=2ms TTL=125

Reply from 192.168.3.2: bytes=32 time=2ms TTL=125

گام 11 : پیکربندی حداقل طول پسورد برای تمامی پسوردهای Router

Router#conf t

Router(config)#security passwords min-length 4

در دستور بالا حداقل پسورد برای تمامی پسوردهای روتر مقدار 4کاراکتر در نظر گرفته شده است(در این حالت نمی توان روی روتر پسورد کمتر از طول 4 کاراکتر تنظیم نمود)

گام 12 : اعمال رمزگذاری(Encryption) برروی پسوردهای Clear text

کلمات رمز برای ورود به مدهای AUX,Console,Telnet که برروی روتر تنظیم می شود به صورت Clear text (رمز قابل مشاهده) می باشد.به عبارتی این رمزها در فایل پیکربندی روتر به صورت متن ساده قابل مشاهده می باشند که از نظر امنیتی باید به صورت رمزگذاری(Encryption) در فایل پیکربندی روتر نگهداری شود که برای این منظور از دستور زیر برروی Routerهای سیسکو استفاده میکنیم.

Router#conf t

Router(config)#service password-encryption

گام 13 : پیکربندی هشدارهای امنیتی در زمان دسترسی به روتر( Login Warning banner)

قصد داریم یک Warning Massage برای کاربران غیر مجاز (unauthorized) که قصد دسترسی به مد پیکربندی روتر را دارند تعیین کنیم که این پیام قبل از دسترسی کاربر به Login Prompt یا همان User Mode نمایش داده می شود.برای این منظور از MOTD banner استفاده می کنیم.

Router#conf t

$Router(config)#banner motd $Unauthorized access

گام 14 : تعریف User Account و Password روی Router

Router#conf t

Router(config)#username itpro password cisco

گام 15 : تعریف User Account و Password روی Router به صورت Secret Password

Router#conf t

Router(config)#username itpro secret ccna123

گام 16 : استفاده از User Accountهای Local روتر برای دسترسی یه صورت Console به Router

Router#conf t

Router(config)#line console 0

Router(config-line)#login local

Router(config-line)#exit

گام 17 : استفاده از User Accountهای Local روتر برای دسترسی یه صورت Telnetبه Router

Router1#conf t

Router(config)#line vty 0 4

Router(config-line)#login local

Router(config-line)#exit

گام 18 : پیکربندی Local Authentication با استفاده از سرویس AAA برروی Router3

در این حالت میخواهیم سرویس AAA را بر روی روتر فعال و پیکربندی نماییم به طوری که سرویس AAA برای احراز هویت و تعیین سطوح دسترسی از Username های Local که بر روی روتر تعریف شده استفاده نمایید.اولین مرحله فعال نمودن سرویس AAA با استفاده از دستور زسر می باشد.

Router3#conf t

Router3(config)#aaa new

Router3(config)#aaa new-model

دومین مرحله استفاده از سرویس AAA برای احراز هویت در زمان Login با استفاده از Usernameهای Local که بر روی روتر تعریف شده اند می باشد.برای این منظور از دستور زیر استفاده میکنیم.

Router3(config)#aaa authentication login default local

سومین مرحله شما باید به صورت Local برروی روتر Username تعریف کنید که سرویس AAA برای احراز هویت از آن استفاده می کند.

Router3(config)#username itpro privilege 15 secret Cisco123

گام 19 : استفاده از سرویس AAA برای دسترسی به صورت Telnet

Router3#conf t

Router3(config)#line vty 0 4

Router3(config-line)#login authentication default

Router3(config-line)#exit

گام 20 : استفاده از سرویس AAA برای دسترسی به صورت Console

Router3#conf t

Router3(config)#line Console 0

Router3(config-line)#login authentication default

Router3(config-line)#exit

گام 21 : عیب یابی AAA با استفاده از توانمندی Debug

Router3#debug aaa authentication