카테고리 없음
인증키 (aaa)
짱구는굿
2023. 9. 26. 12:20
IEEE 802.1x -> dot1x
NAD(network access device)
aaa 기능 (트리플 a) authentication, authorization, accounting
==> 보안기능 ex) AAA서버
aaa new-model -> cisco
supplicant : dot1x 절차를 인지하는 host
guest 장비 : dot1x를 이해 못하는 host
auth-proxy 기능
인증 통신 프로토콜
kerberos (커버로스),
radius[udp] 사용자인증 = 전송 중에 암호만 암호화, 인증과 권한부여를 결합
tacacs+ [tcp] 장비인증 = 전체 세션을 암호화, 인증 권한부여 책임성을 분리
 비밀번호는 그냥 확인을 누른다 |
 다음 -> 다음 -> 전부 설치 -> 다음 |
 cisco12345 |
 cmd 접속 net start 하여 설치가 되어있는지 확인한다 |
| Internet conf t int fa 0/0 no shut ip add 1.1.12.2 255.255.255.0 exi int lo 0 ip add 8.8.8.8 255.255.255.0 exi username admin priv 15 pass cisco line vty 0 4 tran in tel login loca internet(config)# ip http server internet(config)# ip http authentication local GW(config)#int fa 0/0 GW(config-if)#no shu GW(config-if)#ip add 1.1.12.1 255.255.255.0 GW(config-if)#ip nat outside GW(config-if)#exi GW(config)#int fa 0/1 GW(config-if)#no shu GW(config-if)#ip add 10.1.30.250 255.255.255.0 GW(config-if)#ip nat inside GW(config-if)#exi GW(config)#access-list 1 permit 10.1.10.0 0.0.0.255 GW(config)#ip nat inside source list 1 int fa 0/0 overload GW(config)#router rip GW(config-router)#ver 2 GW(config-router)#no auto GW(config-router)#net 10.0.0.0 GW(config-router)#default-information originate GW(config-router)#exi GW(config)#ip route 8.8.8.0 255.255.255.0 1.1.12.2 |
| NAD(config)#vl 10,20,30,44,55 NAD(config-vlan)#int vl 10 NAD(config-if)#no shu NAD(config-if)#ip add 10.1.10.254 255.255.255.0 NAD(config-if)#int vl 20 NAD(config-if)#no shu NAD(config-if)#ip add 10.1.20.254 255.255.255.0 NAD(config-if)#int vl 30 NAD(config-if)#ip add 10.1.30.250 255.255.255.0 NAD(config-if)#no shu NAD(config-if)#int vl 44 NAD(config-if)#ip add 10.1.44.254 255.255.255.0 NAD(config-if)#no shu NAD(config-if)#int vl 55 NAD(config-if)#no shu NAD(config-if)#ip add 10.1.55.254 255.255.255.0 NAD(config-if)#exi NAD(config)#int fa 1/0 NAD(config-if)#sw m a NAD(config-if)#sw a v 30 NAD(config)#int fa 1/3 NAD(config-if)#sw m a NAD(config-if)#sw a v 20 NAD(config-if)#int fa 1/4 NAD(config-if)#sw m a NAD(config-if)#sw a v 20 NAD(config)#ip routing NAD(config)#no ip cef NAD(config)#router rip NAD(config-router)#ver 2 NAD(config-router)#no auto NAD(config-router)#net 10.0.0.0 show vlan-switch br -> 확인 |
radius
 |
 |
 슈퍼계정 생성 완료 |
 |
 표준 설정 |
 |
 |
 |
 추가 |
 rename 설정 후 edit |
 |
| NAD(config)#aaa new-model NAD(config)#aaa authentication dot1x default group radius NAD(config)#aaa authorization network default group radius NAD(config)#aaa accounting dot1x default start-stop group radius NAD(config)#aaa accounting system default start-stop group radius. NAD(config)#radius-server host 10.1.20.251 key cisco123 NAD(config)#dot1x system-auth-control -> 전원 on NAD#test aaa group radius user1 12345 legacy -> success가 나와야 진행이 된다 |
| NAD(config)#int fa 1/2 NAD(config-if)#sw m a NAD(config-if)#dot1x port-control autoNAD(config-if)#shutdown NAD(config-if)#dot1x auth-fail vl 44 NAD(config-if)#dot1x guest-vlan 55 NAD(config-if)#dot1x auth-fail max-attempts 2 NAD(config-if)#dot1x timeout reauth-period 300 |
 관리도구 -> 서비스 |
 여기서 아까 fa 1/2 을 shudown을 시킨걸 다시 no shudown을 시키면 인증하라는 메세지가 나온다 (오른쪽 하단에 메시지 클릭) |
 인증을 성공하게되면 vlan10으로 올라간게 보인다 |
 NAD(config-if)#dot1x auth-fail vl 44 NAD(config-if)#dot1x auth-fail max-attempts 2 만약 여기서 비밀번호를 2번이상 틀린시 vlan44으로 이동한걸알수있다 |
 |
 이걸 지울라면 NAD#clear mac-address-table static |
 지워진걸 볼수있다 |
|
| 누가 들어오고 나갔는지 알수있다 |
DHCP
| NAD(config)#int vl 10 NAD(config-if)#ip helper-address 10.1.20.250 |
 |
 |
 xp -> 껀다 다시 키면 주소가 받아진다 |
|
tacacs+
 |
 |
 |
 |
 |
 |
 |
 GW# clear ip bgp * <-- AAA 서버에서 허가한 명령어는 실행이 된다.
GW#clear ip route *
Command authorization failed.
GW#
exec에서 실행하는 명령어만 ACS서버에서 관리한다. 즉 configure terminal 등은 안 된다.
[출처] [정보보안] dot1x - tacacs+ 구동메뉴얼|작성자 이루다
|
| GW(config)#aaa new-model GW(config)#aaa authentication login bbb group tacacs+ GW(config)#aaa authorization exec bbb group tacacs+ GW(config)#aaa authorization commands 15 bbb group tacacs+ GW(config)#aaa authorization network bbb group tacacs+ GW(config)#aaa accounting exec bbb start-stop group tacacs+ GW(config)#aaa accounting commands 15 bbb start-stop group tacacs+ GW(config)# tacacs-server host 10.1.20.251 key cisco123 GW#test aaa group tacacs+ admin 12345 legacy  |
|
| GW(config)#line vty 0 4 GW(config-line)#login authentication bbb GW(config-line)#authorization exec bbb GW(config-line)#authorization command 15 bbb GW(config-line)#accounting exec bbb GW(config-line)#accounting command 15 bbb |
 |
|
GW# clear ip bgp * <-- AAA 서버에서 허가한 명령어는 실행이 된다.
GW# clear ip route *
Command authorization failed.
GW#
exec에서 실행하는 명령어만 ACS서버에서 관리한다. 즉 configure terminal 등은 안 된다.
[출처] [정보보안] dot1x - tacacs+ 구동메뉴얼|작성자 이루다
|