lab 1

Môn Mạng máy tính nâng cao:

-------------------------------

Giảng viên hướng dẫn : Ths Nguyễn Đức Quang Sinh viên thực hiện : Nguyễn Trung Niệm Lớp : 09DTHM MSSV : 0951020186

Báo cáo bài Lab 1 –Giảng Viên: Nguyễn Đức Quang

SV: Nguyễn Trung Niệm - MSSV:0951020186 - Lớp:09DTHM

I. Mô Hình Lab :

II. Mô tả yêu cầu: a. Cấu hình như mô hình : Client telnet vào R1. R1 sử dụng giao thức chức thực Tacacs+. b. Cài đặt ACS server c. Cấu hình ACS server( dùng tacacs+) d. Cấu hình ACS Client trên R1 để kích hoạt dịch vụ AAA e. Trong ACS server tạo ba group Admin và Mod và Guest.

i. Group Admin telnet vào R1 được sử dụng tất cả các lệnh ii. Group Mod telnet vào R1 được sử dụng các lệnh trong danh sách quy định.(show ip

route, ping) iii. Group Guest chỉ telnet được vào R1

f. Bắt các thông điệp của giao thức TACACS+ bằng Wireshark III. Chuẩn bị:

-Trong bài lab này sử dụng các chương trình: VMware® Workstation Cisco Secure ACS SolarWinds Engineer's Toolset GNS3

-Client cài hệ điều hành XP, Server cài đặt hệ điều hành Window Server 2003



IV. Giới thiệu Cisco Secure ACS:

Cisco Secure ACS chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, các cuộc gọi vào, và truy cập Internet. Cisco Secure ACS hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền, và tính cước người dùng truy cập vào mạng.

Cisco Secure ACS cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS. Cisco Secure ACS xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm bảo đảm một môi trường an toàn tuyệt đối.

Cisco Secure ACS giúp tập trung việc điều khiển truy cập và tính cước, thêm vào đó là quản lý việc truy cập vào router và switch. Với Cisco Secure ACS, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.

Cisco Secure ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT Server hoặc Windows Server. Cisco Secure ACS cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000, của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài,..

Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS với các yêu cầu khác nhau. Mức độ bảo mật người dùng-mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows.

o Các chức năng chính.

o User Setup: Ta có thể thêm, xóa, sửa một account của người dùng, và liệt kê tất cả người dùng trong cơ sở dữ liệu.

o Group Setup: Ta có thể tạo, sửa, đổi tên nhóm và liệt kê tất cả user trong một nhóm. • Shared Profile Components: Phát triển và tái sử dụng tên, tập tất cả các thành phần xác thực



có thể áp dụng vào một hoặc nhiều người dùng hay nhóm người dùng và tham chiếu bởi tên trong từng profile riêng biệt. Các component bao gồm giới hạn truy cập mạng (NAR), tập lệnh cấp quyền, và các ACL download được.

o Network Configuration: Cấu hình và sửa chữa tham số NAS, thêm, xóa NAS, cấu hình AAA tham số phân phối cho AAA server.

o System Configuration: Khởi tạo và kết thúc các dịch vụ Cisco Secure ACS, cấu hình logging, điều khiển việc nhân bản cơ sở dữ liệu, và điều khiển việc đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ.

o Interface Configuration: Cấu hình các trường do người dùng định nghĩa sẽ được ghi lại vào trong file log, cấu hình các tùy chọn TACACS+/RADIUS, và điều khiển cách thức trình bày tùy chọn trong giao diện người dùng.

o Administration Control: điều khiển việc quản trị Cisco Secure ACS từ bất kì Workstation nào trên mạng.

o External User Databases: cấu hình chính sách user, cấu hình các mức phân quyền cho user, cấu hình các dạng cơ sở dữ liệu từ bên ngoài.

o Reports and Activity: lưu lại các thông tin xảy ra đối với Cisco Secure ACS như là một phần danh sách của các loại báo cáo phù hợp với ta. Ta có thể cài đặt những file này vào trong cơ sở dữ liệu hay ứng dụng bảng tính.

o TACACS+ Accounting Report: các danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên.

o RADIUS Accounting Report: danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên. - Failed Attemps Report: danh sách xác thực không thành công. - Logged in Users: danh sách tất cả người dùng truy cập gần đây. - Disable Accounts: các account không cho phép hoạt động nữa. - Admin Accounting Report: bản lưu lại các trạng thái thao tác của admin.

o Online Document: tài liệu hướng dẫn sử dụng Cisco Secure ACS như cách cấu hình, thao tác, và khái niệm có liên quan đến Cisco Secure ACS.

V. Triển khai mô hình:

-Cấu hình các Router:

>Cấu hình router R1:

!* R1.CiscoConfig !* IP Address : 192.168.2.86 !* Community : niem.org !* Downloaded 2/21/2012 2:22:17 AM by SolarWinds Config Transfer Engine Version 5.5.0 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption



! hostname R1 ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default group tacacs+ aaa authorization exec default group tacacs+ aaa authorization commands 15 default group tacacs+ aaa accounting exec default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ ! aaa session-id common ! resource policy ! memory-size iomem 5 ip cef ! ! ! ! no ip domain lookup ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.1.87 255.255.255.0 duplex auto speed auto !



interface Serial0/0 ip address 192.168.2.86 255.255.255.0 clock rate 2000000 ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/1 no ip address shutdown clock rate 2000000 ! router rip version 2 network 192.168.1.0 network 192.168.2.0 ! ! ! no ip http server no ip http secure-server ! snmp-server community niem.org RW ! ! ! ! ! tacacs-server host 192.168.4.87 tacacs-server directed-request tacacs-server key trungniem ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! ! webvpn context Default_context



ssl authenticate verify all ! no inservice ! ! end >Cấu hình router R2: !* R2.CiscoConfig !* IP Address : 192.168.2.87 !* Community : niem.org !* Downloaded 2/21/2012 2:07:34 AM by SolarWinds Config Transfer Engine Version 5.5.0 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 5 ip cef ! ! ! ! no ip domain lookup ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !



! ! ! ! ! interface FastEthernet0/0 ip address 192.168.2.87 255.255.255.0 shutdown duplex auto speed auto ! interface Serial0/0 ip address 192.168.2.87 255.255.255.0 clock rate 2000000 ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/1 ip address 192.168.3.86 255.255.255.0 clock rate 2000000 ! router rip version 2 network 192.168.2.0 network 192.168.3.0 ! ! ! no ip http server no ip http secure-server ! snmp-server community niem.org RW ! ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0



exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! ! end Cấu hình router R3: !* R3.CiscoConfig !* IP Address : 192.168.3.87 !* Community : niem.org !* Downloaded 2/21/2012 2:09:12 AM by SolarWinds Config Transfer Engine Version 5.5.0 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 5 ip cef ! ! ! ! no ip domain lookup ! ! ! ! ! ! ! ! ! ! ! !



! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.4.86 255.255.255.0 duplex auto speed auto ! interface Serial0/0 ip address 192.168.3.87 255.255.255.0 clock rate 2000000 ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/1 no ip address shutdown clock rate 2000000 ! router rip version 2 network 192.168.3.0 network 192.168.4.0 ! ! ! no ip http server no ip http secure-server ! snmp-server community niem.org RW ! ! ! ! ! ! control-plane ! ! ! ! !



! ! ! ! ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! ! end

VI. Triển khai ACS Server: a. Giao diện ACS Server:

Sau khi cài đặt Cisco Secure ACS, khởi động chương trình . Đây là giao diện chích của Cisco Secure ACS:



b. Tạo Group User:

Chúng tạo ba Group là Admin ,Mod và Guest B1:Tạo Group Admin: Vào Menu Group Setup .

-Chọn 1 trong bất kỳ Group trong list ở hình trên. Click chọn Edit Setting. - Check vào ô shell (exec). - Check vào ô Privilege levels và nhập vào số 15. -Chọn submit+restart.



Tiếp theo rename cho Group 1 thành Admin.

Chọn Group setup -> Chọn Group 1-> Click “ Rename Group” Điền tên muốn đổi vào Group Click Submit

-Như vậy chúng ta đã hoàn thành việc tạo Admin và phân quyền cho nó.

B2:Tạo Group Mod:

-Tương tự như tạo group admin , nhưng khác Group Admin là Kết hợp Privilege Levels và Command Authorization. -Trước tiên chúng tạo Command Authorization. Vào menu Shared Profile Components

Chọn Shell command Authorization Sets



Chọn Add . Lúc này giao diện Shell Command Authorization Set hiện ra. o Name : Tên của file cấu hình. o Description : Mô tả về file cầu hình này. o Unmatched command : Chỉ định cách mà server sẽ thực hiện với những

lệnh mà bạn không nhập bên dưới. ( 2 tuỳ chọn là Permit và Deny ). o Permit Unmatched Args: Cho phép các args mà bạn ko nhập vào. Nếu bạn

không check vào thì máy tự hiểu là Deny. o Add Command: Thêm vào một lệnh mới. Để thêm vào một lệnh thì bạn

nhập vào và sau đó nhấn Add Command. Tiếp theo là bạn sẽ nhập thêm những Args của lệnh đó với cấu trúc : permit/Deny arg. Để nhập thêm một Arg thì bạn nhấn enter để xuống dòng.

Trong mẫu trên có ý nghĩa như sau : Group nào được add file cấu hình này vào thì dù có privilage level 15 cũng chỉ được thực hiện lệnh show ip route.

o Unmatched Command Deny : Từ chối tất cả các lệnh.



o Không check vào ô Permit Unmatched Args : Deny tất cà các lệnh không có trong ô bên dưới.

o Permit ip route : Cho phép lệnh show thực hiện show ip route. o Cấu hình xong chọn Submit.

-Add Shell command Authorization và Group Mod:

Chọn Group Setup->Chọn Group Mod-> Chọn Edit Setting Chọn Shell(exec) Privilege level điền số 15 Phần Sell Command Authorization Set, check Assign a Shell Commad Authoriziation Set

of any network deviece-> Chọn Mod Submit+reset

B3:Tạo group Guest : Tưởng tự như group Admin nhưng với Privilege leve 0



c. Tạo User và add user vào Group: Tạo User admin 1 và mod1, guest1 : -Vào menu User Setup:

-Điền tên user vào ô User. Chúng ta nhập tên user là Admin1 , click chọn Add/Edit:

- Password authentication: ACS internet database, password cho user admin1 là longthanc

- Chọn group user này là Admin. / chọn Submit.



-Làm tương tự cho user Guest1 và Mod1

Sau khi hoàn thành:

d. Cấu hình ACS server: Vào Menu Network Configuration:



-Cấu hình ACS server:

o Để tạo một AAA Server Tới mục AAA Server chọn Add Entry o AAA Server Name : Tên Server (đặt tùy ý). o AAA Server IP Address : IP của máy cài ACS Server. o Key : Khóa trao đồi với Client (Giống với khóa của Client). o AAA Server Type : TACACS + o Trafic Type : Inboud/Outbound o Cấu hình xong chọn Submit + Apply

e. Cấu hình ACS server

Để tạo một AAA Client tới mục AAA Client Chọn Add Entry. o AAA Client Host Name : Tên Router muốn truy cập tới.



o AAA Client IP Address : IP của Router muốn truy cập tới. o Shared Secret : khóa trao đổi với Server ( Khóa này phải giống nhau ở Client và Server và sẽ

được yêu cầu khi cấu hình router ). o Authenticate Using chọn TACACS + (CISCO IOS). o Cấu hình xong chọn Submit + Apply

VII. Cấu hình ACS Client trên R1: -Sau đây là những lệnh cấu hình cơ bản: chú ý là những lệnh này được dùng cho IOS cisco 12.05 trở về sau.



VIII. Kiểm tra kết quả sau khi cấu hình: -Ở client dùng lệnh telnet 192.168.2.86 để kiểm tra. -Login bằng user Admin1:



-Login bằng user guest1:

-Login bằng user mod1:

->Chỉ sử dụng được lệnh ping và show ip route.



IX. Xem Reports TACACS+ Accounting

Để sử dụng chức năng này chúng ta cần cấu hình AAA Accounting. Vào menu Reports and activity-> chọn TACACS+ Accounting

Chọn file log cần xem ở mục Select a TACACS+ Accounting file ví dụ chọn file: TACACS+ Accounting active.csv

X. Các gói tin của Tacacs+:



- Thành phần gói tin :

+ Major version : TACACS+ (Phiên bản chính, ở đây là phiên bản TACACS+) + Minor version : 0 (phiên bản nhỏ, ở đây muốn nói là phiên bản nhỏ của TACACS+ có số hiệu phiên bản là 0). + Type : Authoziration (2) (loại gói tin, ở đây là gói Authoziration có thể hiểu số hiệu mã hóa là 2).



+ Sequence number : 2 (số thứ tự của gói tin thuộc loại gói tin ở Type được gửi, ở đây chỉ số thứ tự của gói Authoziration bắt được là gói đầu tiên được gửi). + Flags : 0x00 (Encrypted payload, multiple connection) (các cờ dùng để mã hóa các gói tin và đường truyền, giá trị “not set” cho thấy nó chưa được cài đặt). + Session ID : 4196086279

(ID cho phiên làm việc với TACACS+, ở đây là 4196086279). + Paclet Length : 19 (chiều dài gói tin, không bao gồm cả các Header).

lab 1

Documents

ci sco secur

ip http secure

ip domain

command aut

nguyn trung

ip http server

uy cp mng

dng gi ao