AAA-本地认证篇
今天在這里所提到的AAA,不是指的美國的"AAA"電池,也不是指的什么“AAA”風景勝地,而這里指的是計算機安全領域的協議。AAA指:鑒權,授權,計費(Authentication, Authorization, Accounting),PS:可能在每個地方的翻譯不一樣,但是就是指的同一個技術。 更多關于"AAA"名詞,請看http://zh.wikipedia.org/wiki/AAA 如何在網絡中,使用AAA協議來提高網路的安全性,今天就談談“認證“的作用。當有位大蝦,試圖通過console線纜來登錄路由器或者交換機,我們怎么保證該用戶登錄的是安全的,它是合法的管理員,而不是***者,有的人說,只需要設置Console接口登錄密碼,以及特權模式密碼。如果這位大蝦,要通過網絡訪問,如(SSH,Telnet),還需要設置遠程登錄的密碼。這樣一來,這位大蝦本地,和遠程管理和調試網絡設備,需要記憶多個密碼。而且你這個密碼不一定是安全的。 那為什么要使用AAA,而不是只配置一個密碼解決問題了。使用AAA的好處是什么? 1,配置簡單,管理方便 2,安全性高,用戶名和密碼等,可以通過加密之后在網絡中傳輸,防止嗅探和欺騙 3,用戶記憶少,操作靈活,AAA可以與其他的技術綜合使用,如PPP認證由AAA完成等 而配置密碼,只是一個單一的安全性。 如何在Cisco設備上來配置AAA的認證? 實驗設備: cisco 3640路由器1臺,PC一臺,Console線纜一根,交叉線一根 實驗拓撲: 實驗過程: 第一步:通過console線纜,使用超級終端或者SecureCRT登錄路由器,完成基本配置,同時將交叉線連接到路由器E1/0,t在PC的接口上配置IP為192.168.10.1,掩碼255.255.255.0 Router>enable
Router#conf t
Enter configuration commands, one per line.? End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#line console 0
Router(config-line)#no exec-t
Router(config-line)#logg syn
3640(config)#host R3640
R3640(config)#int e1/0
R3640(config-if)#ip add 192.168.10.3 255.255.255.0
R3640(config-if)#no sh
R3640(config-if)#end
*Mar? 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by console
R3640#ping 192.168
*Mar? 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up
*Mar? 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up
R3640#ping 192.168.10.1 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms 第二步:啟用AAA,并配置登錄驗證為local R3640#conf t
Enter configuration commands, one per line.? End with CNTL/Z.
R3640(config)#aaa ????
? new-model? Enable NEW access control commands and functions.(Disables OLD
???????????? commands.) R3640(config)#aaa new-model 全局啟用AAA功能
R3640(config)#aaa authentication login ??當用戶登錄時啟用AAA認證功能,并且定義認證時調用的名字是默認的”default”,還是自己隨便定義1個
? WORD???? Named authentication list.
? default? The default authentication list. R3640(config)#aaa authentication login default ? 指定用哪種認證方式
? enable?????? Use enable password for authentication. 使用特權密碼
? group??????? Use Server-group 使用Radius或者Tacacs+協議
? krb5???????? Use Kerberos 5 authentication. 使用Kerberos
? krb5-telnet? Allow logins only if already authenticated via Kerberos V
???????????????? Telnet.
? line???????? Use line password for authentication. 使用線路認證方式
? local??????? Use local username authentication.? 使用本地認證方式,需配置用戶名和密碼
? local-case?? Use case-sensitive local username authentication.
? none???????? NO authentication. 不做認證 配置當用戶登錄設備時,使用aaa本地登錄認證方式,認證調用的名字為default,認證方式為local R3640(config)#aaa authentication login default local 配置本地登錄時,使用的用戶名和密碼。密碼我配置的為經過MD5加密的secret密碼。安全性高,在show running-config顯示的是密文的。不建議配置明文的用戶名和密碼如(R3640(config)#username admin password admin) 密碼建議配置復雜一點,要有大小寫,特殊字符,和數字,長度大于8位以上。如:P@ssw0rd
R3640(config)#username nousername secret nopassword 第三步:啟用認證調試,觀察debug 現象 R3640#debug aaa authentication
AAA Authentication debugging is on
R3640# 第四步:如圖1所示,在PC上使用telnet,遠程登錄路由器 第五步:如圖2所示,輸入剛才再配置,登錄的用戶名nousername 和密碼nopassword。輸入的密碼是不會顯示的,不然怎么叫密碼了,登錄成功之后,在當前路由器的用戶模式。說明我們已經完成了aaa的認證功能,并沒有配置VTY的密碼,而是使用aaa完成的認證 第六步:如圖3所示,輸入enable,嘗試進入特權模式,路由器提示如下認證錯誤。為什么了? 第七步:當輸入enable,嘗試登錄時,查看路由器的上的debug現象 R3640#
*Mar? 1 00:38:49.347: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar? 1 00:38:49.347: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar? 1 00:38:49.347: AAA/MEMORY: create_user (0x637810BC) user='nousername'(登錄的用戶名和密碼) ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1'(PC IP地址) authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): port='tty130' list='' action=LOGIN service=ENABLE? 輸入enable?????????????????????????????????????????????????? (沒有enable密碼)
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): non-console enable - default to enable password
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): Method=ENABLE
R3640#
*Mar? 1 00:38:49.351: AAA/AUTHEN(509980843): can't find any passwords 沒有發現enable 密碼
*Mar? 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR (認證狀態發生錯誤)
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): no methods left to try
*Mar? 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): failed to authenticate 認證失敗,原因是沒有配置enable密碼
*Mar? 1 00:38:49.355: AAA/MEMORY: free_user (0x637810BC) user='nousername' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640# 第七步:如果要想遠程登錄能進入到特權模式,完成配置,還需要在路由器上配置enable 密碼。如果希望讓某個大蝦,只活動用戶模式下,那暫且可以不配,但是沒有enable那不是不科學的,不敢保證,永遠也不需要遠程調試路由器,如果需要調試,那肯定就需要enable密碼才可以進入,如圖4所示, 第八步:如圖5所示,輸入剛配置的enable secret密碼,可以登錄到特權模式。 思考上圖中為什么出現以下錯誤提示: R3640>enable
Password:
% Access denied R3640>enable
Password:
% Password:? timeout expired!
% Error in authentication. 輸入enable密碼,進入特權模式時,authentication debug 消息 *Mar? 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
*Mar? 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar? 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar? 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user='nousername' ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
*Mar? 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port='tty130' list='' action=LOGIN service=ENABLE
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE
R3640#
*Mar? 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS? 認證通過
R3640#
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user='(undef)')
*Mar? 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE
*Mar? 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS
*Mar? 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640# 第九步:剛才我們驗證的是遠程登錄,再來驗證一下,本地登錄認證這種方式,從console接口能否登陸,如圖6所示:提示需要,用戶名和密碼 第十步:輸入正確的用戶名和密碼 *Mar? 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
*Mar? 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar? 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar? 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user='nousername' ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
*Mar? 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port='tty130' list='' action=LOGIN service=ENABLE
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE
R3640#
*Mar? 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS
R3640#
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user='(undef)')
*Mar? 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE
*Mar? 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS
*Mar? 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) 進入特權模式之后,用戶的級別是在15,思考,在用戶模式級別是多少?通過什么命令可以查看到你當前所處的模式,是那個級別?
總結: 本地登錄認證配置有兩種方法: 第一種:如圖7所示 第二種:如圖8所示 第二種配置方式,認證調用的名字是自定義的,那就需要在console和VTY接口下,調用才可以。第一種配置在命令上會少一些,如果配置登錄認證名字為默認“default”,是不需要在VTY和Console,再次調用一下,因為在執行認證就會去查詢本地名稱default,如果配置認證是名字為自定義的,如”hackerjx“,就必須到VTY和Console執行調用才可以認證通過。不然這個配置,當從console登錄根本就沒有對console做安全認證。 但是這兩配置AAA本地的認證方法,沒有必要同時在一臺設備上配置,大家可以根據自己的情況來配置。
轉載于:https://blog.51cto.com/hackerjx/221407
總結
- 上一篇: 对话哈佛大学教授Lukin:量子计算将在
- 下一篇: 红龙 M61 磁轴机械键盘上架:8K 回