Obiettivi
1. Configurare AAA
2. Configurare le ACLs di filtraggio, compatibilmente con i servizio di autenticazione
3. Configurare un Authentication Proxy
Scenario
Con l’Authentication Proxy, gli utenti possono loggarsi in rete o accedere ad internet via HTTP.
I profili utente vengono ottenuti automaticamente da un server TACACS+, che supponiamo già configurato. (Cisco Secure Access Control Server)
Si suppone che il server TACACS+ sia nella stessa LAN dei client e che in CSACS sia configurato un utente in Default Group, con username e password.
Configure AAA
Per configurare AAA, i passi da compiere sono i seguenti:
- a. Sul router, in global configuration mode:
Router# configure terminal
- b. Abilitare AAA.
Router(config)# aaa new-model
- c. Specificare il protocollo di autenticazione (noi abbiamo scelto TACACS+, qui si possono elencare tutti i modi di autenticazione del caso, da quella locale, al RADIUS, etc).
Router(config)# aaa authentication login default group tacacs+
- d. Specificare il protocollo di autenticazione (qui TACACS+ è la scelta migliore, per l’ottima granularità che permette. L’altra possibilità è RADIUS)
Router(config)# aaa authorization auth-proxy default group tacacs+
- e. Definire il server TACACS+ e la sua chiave (compatibilemente con quanto impostato sul CSACS).
Router (config)# tacacs-server host XXX.XXX.XXX.XXX (indirizzo IP del server TACACS+) Router(config)# tacacs-server key CHIAVESEGRETA (la chiave preimpostata sul serverTACACS+ e relativa a questo router)
Definire le ACL che permettono il traffico TACACS+
- a. Definire una ACL che consenta il traffico TACACS+ tra il server di autenticazione e il router (interfaccia interna), che consenta l’ICMP in uscita, e il traffico su cui basare il controllo d’accesso (CBAC) come HTTP e FTP:
Router(config)# access-list 101 permit tcp host IPADDRSTACACS+ eq tacacs host IPADDRSROUTER Router(config)# access-list 101 permit icmp any any Router(config)# access-list 101 permit tcp IPRETEINTERNA WILDMASK any eq ftp Router(config)# access-list 101 permit tcp IPRETEINTERNA WILDMASK any eq www Router(config)# access-list 101 deny ip any any (ok, non serve, ma male non fa)
- b.Bisogna ora definire una ACL sull’interfaccia di uscita, che blocchi il traffico in ingresso (altrimenti è un firewall deboluccio)
Router(config)# access-list 102 deny ip any any
Configurare l’Authentication Proxy
- a. Definire una regola per il proxy di autenticazione
RouterP(config)# ip auth-proxy name REGOLA http auth-cache-time 5
- b. Applicare la regola all’interfaccia interna, quella da cui arriveranno gli utenti da autenticare, supponiamo la Fastethernet 0/0:
Router(config)# interface fastethernet 0/0 Router(config-if)# ip auth-proxy REGOLA Router(config-if)# ip access-group 101 in Router(config-if)# exit
- c. Applicare l’ACL all’interfacia esterna:
Router(config-if)# interface fastethernet 0/1 Router(config-if)# ip access-group 102 in
E’ tutto, la access-list 102 verrà modificata dinamicamente dalla regola di auth-proxy, una volta che il server TACACS+ avrà restituito un profilo di autorizzazione
Comandi utili
- a. Per pulire la cache del proxy:
RouterP# clear ip auth-proxy cache *
- b. Per verificare la configurazione del proxy di autenticazione
Router# show ip auth-proxy cache
