Embed Size (px)
Citation preview
TACACS
TACACS + là giao thức cung cấp điều khiển truy cập cho các bộ định tuyến,
mạng truy cập vào máy chủ và các thiết bị máy tính khác nối mạng thông qua một
hoặc tập trung nhiều máy chủ. TACACS + cung cấp riêng biệt chứng thực, uỷ
quyền và các dịch vụ kế toán.
TACACS cho phép một khách hàng chấp nhận một tên người dùng và mật khẩu
và gửi một truy vấn đến một máy chủ xác thực TACACS, đôi khi được gọi là một
TACACS daemon hoặc đơn giản chỉ TACACSD. Máy chủ đó,được dùng để chạy
chương trình trên host. Các máy chủ sẽ xác định xem liệu chấp nhận hoặc từ chối
yêu cầu và gửi một phản ứng trở lại. Các TIP sau đó sẽ cho phép truy cập hay
không, dựa trên phản ứng đó . Trong này cách, quá trình ra quyết định là "mở cửa"
và các thuật toán và dữ liệu sử dụng để đưa ra quyết định là dưới sự kiểm soát
hoàn toàn của bất cứ ai chạy TACACS daemon. Các phần mở rộng cho giao thức
cung cấp cho nhiều loại yêu cầu chứng thực và các loại mã nhiều phản ứng hơn là
trong bản gốc đặc điểm kỹ thuật.
Có ba phiên bản của TACACS và phiên bản thứ ba được gọi là TACACS +, mà
không tương thích với các phiên bản trước.
TACACS + là một phương pháp trao đổi thông tin giữa một thiết bị cung cấp truy
cập mạng người sử dụng (các "TACACS + client") và một thiết bị có chứa thông
tin xác thực cho những người người sử dụng (các "TACACS + server"). TACACS
+ được dựa trên mô hình AAA: xác thực, uỷ quyền và kế toán.
Các TACACS dựa trên môi trường truy cập từ xa có ba thành phần chính: Client
Access, Network Access Server, và TACACS Server +.
Các Client Access có thể là một người quay số vào một mạng lưới cung cấp dịch
vụ kết nối với các trang web khác nhau trên internet (traditional User role). Ngoài
ra, các Client Access có thể là một thiết bị; nó có thể là một bộ định tuyến router
ISDN hoặc quay số theo yêu cầu để có thể kết nối nhiều người dùng tại một văn
phòng nhỏ / home office.
Network Access Server (NAS) là một thiết bị có thể nhận ra và xử lý các yêu cầu
kết nối từ bên ngoài rìa "mạng". Khi NAS nhận được yêu cầu kết nối của người
dùng, nó có thể thực hiện một thương lượng truy cập ban đầu với người sử dụng
(PPP hoặc SLIP). Đàm phán này sẽ thành lập một số dữ liệu (tên người dùng, mật
khẩu, số port NAS, vv). Các sau đó NAS sẽ chuyển thông tin này dữ liệu đến máy
chủ xác thực TACACS + và yêu cầu chứng thực
Các TACACS + server sẽ xác thực các yêu cầu, và sẽ cho phép các dịch vụ
trên kết nối. Các TACACS + server thực hiện điều này bằng cách kết hợp dữ liệu
từ yêu cầu của NAS với mục trong một số well-known, cơ sở dữ liệu tin cậy.
Các mô hình bảo mật AAA, khi mà giao thức TACACS + là cơ bản , một tình
trạng phân biệt chính xác giữa ba giai đoạn riêng biệt của một người dùng truy cập
mạng: Authentication, Authorization và Accounting. Việc kích hoạt của mỗi giai
đoạn có thể được cấu hình độc lập về NAS. Những gì mà NAS sẽ gửi đến máy chủ
TACACS + phụ thuộc vào cấu hình của NAS chính nó.
TACACS + server có thể chấp nhận xác thực của người dùng hoặc ủy quyền hoặc
từ chối người dùng. Dựa trên phản hồi từ các máy chủ TACACS +, NAS sẽ quyết
định thành lập kết nối đên người dùng ("chấp nhận người sử dụng" hoặc "chấp
nhận các gói tin"), hoặc chấm dứt nỗ lực kết nối của người dùng ("từ chối người
dùng " hoặc "từ chối các gói tin"). Cuối cùng, NAS đưa dữ liệu accounting đến
máy chủ TACACS + vào document the transaction.Những hành vi này cùng với
các thành phần cơ bản mô tả ở trên cũng tương tự như khái niệm RADIUS
TACACS + Các gói tin
Một TACACS + client và TACACS + server giao tiếp bằng TACACS packets +
gửi qua TCP / IP mạng. TACACS + packets được định dạng bằng cách sử dụng
các công ước nêu trong The TACACS + Phiên bản giao thức 1,78.
Để cấu hình Clear Box Server, các thông tin cần thiết cần thiết về gói TACACS +
là :
• Mang thông điệp giữa TACACS+ client và TACACS + server
• Tiếp theo thoả hiệp yêu cầu / đáp ứng : Khách hàng gửi một yêu cầu và
mong đợi một phản hồi từ máy chủ. Trong một số trường hợp, một "
TACACS session" có thể bao gồm một số yêu cầu và trả lời khởi xướng
bởi một người dùng duy nhất.
• Mỗi gói hỗ trợ một mục đích cụ thể: authentication, authorization or
accounting.
• 1 gói accounting cùng với sự phân quyền có thể chứa các giá trị, được gọi
là "thuộc tính giá trị cặp ".
• Các thuộc tính cụ thể để được tìm thấy trong mỗi gói tin phụ thuộc vào
loại gói (authorization or accounting).
TACACS + định nghĩa 7 loại gói dữ liệu (hoặc "thông điệp"):
• Authentication START (Nó mô tả các loại chứng thực được thực
hiện, và có thể có các tên người dùng và dữ liệu chứng thực số. Các gói
START là duy nhất gửi dưới dạng tin nhắn đầu tiên trong một phiên xác
thực TACACS +.).
• Authentication REPLY (Nó chỉ ra cho dù xác thực kết thúc, hoặc
cho dù nó nên tiếp tục. Nếu REPLY cho biết là xác thực nên tiếp tục, sau
đó nó sẽ cũng chỉ ra những thông tin mới được yêu cầu.).
• Authentication CONTINUE(Nó được gửi từ NAS đến máy chủ
sau khi nhận một gói REPLY và có thể chứa thông tin yêu cầu.).
• Authorization REQUEST (Nó chứa một tập cố định của các lĩnh
vực mô tả tính xác thực của người sử dụng hoặc process, và biến một tập
hợp các đối số đó mô tả các dịch vụ và các tùy chọn mà sự ủy quyền được
yêu cầu.).
• Authorization RESPONSE (Nó chứa một biến thiết lập các luận
cứ phản ứng (thuộc tính- cặp giá trị) mà có thể hạn chế hoặc sửa đổi các
hành động của khách hàng.).
• Accounting REQUEST (Nó chuyển tải thông tin được sử dụng để cung
cấp dịch vụ Accounting cho người sử dụng.).
• Accounting REPLY (Nó được sử dụng để cho biết rằng chức năng
Accounting trên máy chủ có bảo mật hay không.)
TACACS + Secrets
Các TACACS + " shared secret" được sử dụng để mã hóa / giải mã gói TACACS
+ trong truyền thông giữa hai thiết bị. Bí mật được chia sẻ có thể là bất kỳ chuỗi
chữ và số. Mỗi shared secret phải được cấu hình trên cả máy khách và máy
chủ. Clear Box Server có thể được cấu hình để sử dụng một trong những mặc định
shared secret được sử dụng khi không có bí mật đặc biệt là các mặt hàng cho một
máy chủ cụ thể (thiết lập setting Default client secret key and thay đổi Require
client secret key ).
II. Mô hình demo
Máy pc 2 chạy cas 4.2 giao diện khởi động như sau:
b.Cấu hình trên TACACS+ Server:
Bước 1:Tạo groupỞ đây chúng ta sẽ tạo ra 2 nhóm. Nhóm một là Administrator có quyền privilege level 15và nhóm guestcó quyền privilege level 0.Vào menu Group Setup
Trong cửa sổ Group Setuptiếp theo ta làm lần lượt như sau;
Chọn TACACS+trong mục Jump to Check vào Shell (exec) Check vào Privilege Levelvà nhập vào thông số 15 Chọn Submit + Restart
Như vậy, những user nào thuộc group Adminstrator khi kết nối vào router thông qua TACACS+ server sẽ có bộ quyền ở mức 15.Việc cấu hình cho nhóm Guest ở Privỉlege Level 0 tương tự như vậy.
Bước 2: Tạo user và add user vào group
Chúng ta sẽ tạo user mang tên balcony thuộc group Aministrator và user mang tên Guest thuộc nhóm Guest
Vào menu User, nhập vào tên cisco, chọn Add/Edit
Trong màn hình User Setup tiếp theo ta cần nhập các thông số sau: Password authentication: ACS internet Database Password cho user cisco Chọn nhóm cho user này là Administrator.
Việc tạo và cấu hình cho user Guest và group Guest ta làm tương tự.
Bước 3: Cấu hình AAA server và Client:
Vào menu Network Configuration. Trước tiên ta cấu hình AAA client.Click vào Add Entry trong phần AAA Client
Trong cửa sổ tiếp theo ta cần nhập các thông số sau: AAA Client hostname: hostname của router (router) AAA IP address: địa chỉ của router 192.168.1.2 Key: khoá thương lượng giữa router và server ( ta chọn tuỳ ý và cần phải khớp
với giá trị sẽ nhập khi cấu hình router) Authentication Using: Tất nhiên là chọn TACACS+
Sau đó ta chọn Submit + Apply
tiếp theo sẽ cấu hình cho AAA Server:
Chọn Add Entrytrong phần AAA server:
Nhập vào các giá trị sau: AAA server name: đặt tùy ý AAA server IP: địa chỉ IP của máy cài TACACS+ Key: khoá giao trước ( trùng với khoá lúc nãy là 123456) AAA server type: Chọn TACACS+
Chọn vào Submit + Apply
2.Cấu hình trên router:
Sau đây là những lệnh cấu hình chính : Chú ý là những lệnh này dùng cho Cisco IOS 12.05 trở về sau
router(config)#aaa new-model router(config)#aaa authentication login default group tacacs+ router(config)#aaa authorization exec default group tacacs+router(config)#tacacs-server host 20.0.0.2//IP của TACACS+ serverrouter(config)#tacacs-server key 123456//key nhập ở trên
3.Kết quả show run của các router
Trên router R0
r0#sho runBuilding configuration...
Current configuration : 2647 bytes
!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname r0!boot-start-markerboot-end-marker!!no aaa new-model!resource policy!memory-size iomem 5!!ip cefno ip domain lookup!!!!!crypto pki trustpoint TP-self-signed-0 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-0 revocation-check none rsakeypair TP-self-signed-0!!crypto pki certificate chain TP-self-signed-0 certificate self-signed 01 3082022D 30820196 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 28312630 24060355 0403131D 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 30301E17 0D303230 33303130 30323035 315A170D 32303031 30313030 30303030 5A302831 26302406 03550403 131D494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 9B73C6A4 1411E43C 99D317DB A81CBAC9 15AF4F87 79E63D84 10D278FF E981C889 27C7FFE1 8976E54F 92A6E263 9DA630DA 11308FA4 94357FE3 7A5A7EDD E8E133C8 6E2B7EFE 2D9086FF 6C0B34C3 25BB48D0 62E3DC8C 39A5E997 D3492978 DC953389 984D7617 56B7A2C8 F12F88AF B8824C9E 3BECB354 65D7CA4F A825B82B 538FC9FF 02030100 01A36730 65300F06 03551D13 0101FF04 05300301 01FF3012 0603551D 11040B30 09820752 6F757465 722E301F 0603551D 23041830 168014FE 02605F6F E7FCDCF6 F4846E26 1078110C A9893530 1D060355 1D0E0416 0414FE02 605F6FE7 FCDCF6F4 846E2610 78110CA9 8935300D 06092A86 4886F70D 01010405 00038181 0028F314 56D354C8 770A8806 B61FF97B 76D088BD 6DFACFB1 6C677F9B 5B8D4213 2E3225C2 71B8ABF9 3EE87B3B A4EB8FEF 2B0EB139 5167D3B3 5C8CE5B3 1E9BC13F CFA59E6C 6A2C6A42 84C9D681 BBB2C372 DD1A18BE 984CFBE7 E7936FD1 F434E490 534C031F D0B8EFE7 B92A8FC1 8A46C9D4 16387070 569E09D9 B5D1066E 478DC8D9 18 quit!!
!interface FastEthernet0/0 ip address 10.0.0.1 255.255.255.0 duplex auto speed auto!interface Serial1/0 ip address 172.16.1.1 255.255.255.0 serial restart-delay 0 no dce-terminal-timing-enable!interface Serial1/1 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable!interface Serial1/2 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable!interface Serial1/3 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable!router rip network 10.0.0.0 network 172.16.0.0!ip http serverip http authentication localip http secure-server!!!control-plane!!!line con 0line aux 0line vty 0 4 privilege level 15 login local transport input telnet ssh!!end
r0#
Tren router r1
r1#sho runBuilding configuration...
Current configuration : 2922 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname r1!boot-start-markerboot-end-marker!!aaa new-model!!aaa authentication login default group tacacs+ noneaaa authentication login telnet_lines group tacacs+aaa authorization exec default group tacacs+!aaa session-id common!resource policy!memory-size iomem 5!!ip cefno ip domain lookup!!!!!crypto pki trustpoint TP-self-signed-0 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-0 revocation-check none rsakeypair TP-self-signed-0!!crypto pki certificate chain TP-self-signed-0 certificate self-signed 01 3082022D 30820196 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 28312630 24060355 0403131D 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 30301E17 0D303230 33303130 30323333 345A170D 32303031 30313030 30303030 5A302831 26302406 03550403 131D494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 BBF4F42A 21F79213 392052A3 3F1F9101 2669763D C5586A14 F67411DF 4FAE17BC C31EC017 6EABAE02 29E54888 2DEA8788 08556592 2252C2DE 0B149491 ABA7E5AB 97B54024 5EC7EB4B 90FABDB5 A4E65367 75CB3A88 075BDF60 6228F1A6 711E7F51 A209147E 89D44E04 335B17A7 4A5D5F99 DD55EF47 2E444812 27E2BFAD 385A653D 02030100 01A36730 65300F06 03551D13
0101FF04 05300301 01FF3012 0603551D 11040B30 09820752 6F757465 722E301F 0603551D 23041830 168014FD 0A7BBA83 55C45E3E 77563771 C595465B D4F66130 1D060355 1D0E0416 0414FD0A 7BBA8355 C45E3E77 563771C5 95465BD4 F661300D 06092A86 4886F70D 01010405 00038181 00B94FBA 42754584 67BDDE31 E87615D9 A8D58F30 D52DC630 6994C0B5 D8473E9A 37D6F232 E4624BD3 675191CE 438D3B62 4D860692 277BE8AB 4DF862CD B6E379A5 A14B65EF 26FFF925 82E1F8A0 E648B421 BBA4ACC0 B93005A6 F78BF0F2 351A06BD E4DF959A 3CB3FAD1 ABEB1E4D 7675C140 480D5FFC D91733C9 F40F582E 84A9EE86 D9 quit
!!username aloblack privilege 15 secret 5 $1$i/fL$Ks8PRsh46nqc3ptqLFmfb0username cisco privilege 15 password 0 cisco!!!!!!interface Serial0/0 ip address 172.16.1.2 255.255.255.0 serial restart-delay 0 no dce-terminal-timing-enable!interface Serial0/1 ip address 192.168.1.2 255.255.255.0 serial restart-delay 0 no dce-terminal-timing-enable!interface Serial0/2 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable!interface Serial0/3 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable!router rip network 172.16.0.0 network 192.168.1.0!ip http serverip http authentication localip http secure-server!!!!!tacacs-server host 20.0.0.2 key ciscotacacs-server directed-request
!control-plane!
!!line con 0line aux 0line vty 0 4 privilege level 15 transport input telnet ssh!!end
r1#
Trên router r3Router#sho runBuilding configuration...
Current configuration : 986 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!!no aaa new-model!resource policy!memory-size iomem 5!!ip cef!interface FastEthernet0/0 ip address 20.0.0.1 255.255.255.0 duplex auto speed auto!interface Serial1/0 ip address 192.168.1.1 255.255.255.0 serial restart-delay 0 no dce-terminal-timing-enable!interface Serial1/1 no ip address
shutdown serial restart-delay 0 no dce-terminal-timing-enable!interface Serial1/2 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable!interface Serial1/3 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable!router rip network 20.0.0.0 network 192.168.1.0!ip http serverno ip http secure-server
!control-plane!!!line con 0line aux 0line vty 0 4!!end
Router#
Kiểm traSau khi cấu hình song ta kiểm tra bằng cách telnet
HÌnh chụp bằng wireshare bắt gói tacacs+
