قد تتم مصادقة RADIUS و TACACS+ لاتصالات FTP و Telnet و HTTP. يمكن عادة إجراء المصادقة لبروتوكولات TCP الأخرى الأقل شيوعا للعمل.
تفويض TACACS+ مدعوم. تفويض RADIUS غير صحيح. تتضمن التغييرات في مصادقة PIX 5.0 والتفويض والمحاسبة (AAA) عبر الإصدار السابق محاسبة AAA لحركة المرور بخلاف HTTP و FTP و Telnet.
لا توجد متطلبات خاصة لهذا المستند.
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.
المصادقة هي المستخدم.
التفويض هو ما يمكن للمستخدم القيام به.
المصادقة صالحة دون تخويل.
التخويل غير صالح بدون مصادقة.
على سبيل المثال، افترض أن لديك مائة مستخدم بالداخل وتريد فقط أن يكون ستة من هؤلاء المستخدمين قادرين على تنفيذ FTP أو Telnet أو HTTP خارج الشبكة. اطلب من PIX مصادقة حركة المرور الصادرة ومنح معرفات المستخدمين الستة جميعها على خادم أمان TACACS+/RADIUS. وباستخدام مصادقة بسيطة، يمكن مصادقة هؤلاء المستخدمين الستة باستخدام اسم المستخدم وكلمة المرور، ثم الخروج. أما المستخدمين الأربعة والتسعون الآخرون فلا يستطيعون الخروج. يطلب PIX من المستخدمين اسم المستخدم/كلمة المرور، ثم يقوم بتمرير اسم المستخدم وكلمة المرور إلى خادم أمان TACACS+/RADIUS. اعتمادا على الاستجابة، فإنه يفتح الاتصال أو ينفيه. يمكن لهؤلاء المستخدمين الستة تنفيذ بروتوكول FTP أو Telnet أو HTTP.
ومن ناحية أخرى، افترض أن واحدا من هؤلاء المستخدمين الثلاثة، "تيري"، ليس محل ثقة. تود أن تسمح لتيري بعمل FTP، ولكن ليس HTTP أو Telnet إلى الخارج. هذا يعني أنك تحتاج إلى إضافة التفويض. أي، تخويل ما يمكن للمستخدمين القيام به بالإضافة إلى المصادقة من هم. عند إضافة التفويض إلى PIX، يرسل PIX أولا اسم مستخدم وكلمة مرور تيري إلى خادم الأمان، ثم يرسل طلب تفويض يخبر خادم الأمان بما يحاول تيري القيام به الأمر". ومع إعداد الخادم بشكل صحيح، يمكن السماح لتيري بالوصول إلى "FTP 1.2.3.4" ولكنه يحرم من القدرة على إستخدام "HTTP" أو "Telnet" في أي مكان.
عندما تحاول الانتقال من الداخل إلى الخارج (أو العكس) باستخدام المصادقة/التخويل على:
Telnet - يرى المستخدم نافذة مطالبة باسم المستخدم، يتبعها طلب كلمة مرور. إذا نجحت المصادقة (والتفويض) في PIX/الخادم، فسيطلب من المستخدم اسم المستخدم وكلمة المرور بواسطة المضيف الوجهة فيما بعد.
FTP - يرى المستخدم ظهور مطالبة اسم المستخدم. يحتاج المستخدم إلى إدخال "local_username@remote_username" لاسم المستخدم و"local_password@remote_password" لكلمة المرور. يرسل ال PIX ال "local_username" و "local_password" إلى الأمن نادل محلي، وإن كانت المصادقة (والتخويل) ناجح في ال PIX/نادل، ال "remote_username" و "remote_password" يكون مررت إلى الغاية FTP نادل بعد.
HTTP - نافذة معروضة في المستعرض تطلب اسم المستخدم وكلمة المرور. في حالة نجاح المصادقة (والتفويض)، يصل المستخدم إلى موقع ويب الوجهة فيما بعد. تذكر أن المستعرضات تخزن أسماء المستخدمين وكلمات المرور مؤقتا.. إذا بدا أن PIX يجب أن يقوم بتوقيت اتصال HTTP ولكنه لا يفعل ذلك، فمن المحتمل أن تتم إعادة المصادقة بالفعل مع المستعرض "إطلاق" اسم المستخدم وكلمة المرور المخزن مؤقتا على PIX، والذي يقوم بعد ذلك بإعادة توجيه هذا إلى خادم المصادقة. سيقوم PIX syslog و/أو تصحيح أخطاء الخادم بعرض هذه الظاهرة. إذا بدا أن Telnet و FTP يعملان بشكل طبيعي، ولكن إتصالات HTTP لا تعمل، فهذا هو السبب.
تأكد من أن لديك عنوان PIX IP أو اسم المجال والمفتاح المؤهلان بالكامل في ملف CSU.cfg.
user = ddunlap { password = clear "rtp" default service = permit } user = can_only_do_telnet { password = clear "telnetonly" service = shell { cmd = telnet { permit .* } } } user = can_only_do_ftp { password = clear "ftponly" service = shell { cmd = ftp { permit .* } } } user = httponly { password = clear "httponly" service = shell { cmd = http { permit .* } } }
أستخدم واجهة المستخدم الرسومية (GUI) لإضافة PIX IP والمفتاح إلى قائمة خادم الوصول إلى الشبكة (NAS).
user=adminuser { radius=Cisco { check_items= { 2="all" } reply_attributes= { 6=6 } }
اتبع الخطوات التالية:
الحصول على كلمة مرور في قسم إعداد المستخدم لواجهة المستخدم الرسومية.
من قسم واجهة المستخدم الرسومية لإعداد المجموعة، قم بتعيين السمة 6 (نوع الخدمة) إلى تسجيل الدخول أو الإجراء الإداري.
قم بإضافة PIX IP في واجهة المستخدم الرسومية (GUI) لتكوين NAS.
تصف وثائق EasyACS الإعداد.
في قسم المجموعة، انقر فوق Shell EXEC (لإعطاء امتيازات EXEC).
لإضافة تفويض إلى PIX، انقر فوق رفض أوامر IOS غير المتطابقة في أسفل إعداد المجموعة.
حدد أمر إضافة/تحرير جديد لكل أمر تريد السماح به (على سبيل المثال، Telnet).
إذا كنت ترغب في السماح لبرنامج Telnet بمواقع معينة، فأدخل عنوان (عناوين) IP في قسم الوسيطة في النموذج "السماح #.#. #.#". للسماح لبرنامج Telnet بجميع المواقع، انقر فوق السماح بجميع الوسيطات غير المدرجة.
طقطقة إنجاز تحرير أمر.
قم بإجراء الخطوات من 1 إلى 5 لكل من الأوامر المسموح بها (على سبيل المثال، Telnet أو HTTP أو FTP).
قم بإضافة PIX IP في قسم تكوين NAS.
يتلقى المستعمل كلمة في المستعمل setup gui قسم.
في قسم المجموعة، انقر فوق Shell EXEC (لإعطاء امتيازات EXEC).
لإضافة تفويض إلى PIX، انقر فوق رفض أوامر IOS غير المتطابقة في أسفل إعداد المجموعة.
حدد أمر إضافة/تحرير جديد لكل أمر تريد السماح به (على سبيل المثال، Telnet).
إذا كنت ترغب في السماح ب Telnet لمواقع معينة، فأدخل تصريح IP (عناوين) IP في مستطيل الوسيطة (على سبيل المثال، "السماح 1.2.3.4"). للسماح لبرنامج Telnet بجميع المواقع، انقر فوق السماح بجميع الوسيطات غير المدرجة.
طقطقة إنجاز تحرير أمر.
قم بإجراء الخطوات السابقة لكل من الأوامر المسموح بها (على سبيل المثال، Telnet و/أو HTTP و/أو FTP).
قم بإضافة PIX IP في قسم تكوين NAS.
إضافة عنوان PIX IP والمفتاح إلى ملف العملاء.
adminuser Password="all" User-Service-Type = Shell-User
قم بإضافة عنوان PIX IP والمفتاح إلى ملف العملاء.
adminuser Password="all" Service-Type = Shell-User
key = "cisco" user = adminuser { login = cleartext "all" default service = permit } user = can_only_do_telnet { login = cleartext "telnetonly" cmd = telnet { permit .* } } user = httponly { login = cleartext "httponly" cmd = http { permit .* } } user = can_only_do_ftp { login = cleartext "ftponly" cmd = ftp { permit .* } }
تأكد من عمل تكوينات PIX قبل إضافة AAA.
إذا تعذر عليك تمرير حركة المرور قبل إنشاء المصادقة والتفويض، فلن تتمكن من القيام بذلك بعد ذلك.
تمكين تسجيل الدخول إلى PIX
يجب عدم إستخدام أمر تصحيح أخطاء وحدة تحكم التسجيل على نظام محمل بشكل ثقيل.
يمكن إستخدام أمر logging buffered debuing. يمكن إرسال الإخراج من أوامر show logging أو logging إلى خادم syslog وفحصه.
تأكد من تشغيل تصحيح الأخطاء لخوادم TACACS+ أو RADIUS. كافة الخوادم لها هذا الخيار.
تكوين PIX |
---|
pix-5# write terminal nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol http 80 fixup protocol smtp 25 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol sqlnet 1521 names name 1.1.1.1 abcd name 1.1.1.2 a123456789 name 1.1.1.3 a123456789123456 pager lines 24 logging timestamp no logging standby logging console debugging no logging monitor logging buffered debugging no logging trap logging facility 20 logging queue 512 interface ethernet0 auto interface ethernet1 auto mtu outside 1500 mtu inside 1500 ip address outside 192.1.1.254 255.255.255.0 ip address inside 10.31.1.200 255.255.255.0 no failover failover timeout 0:00:00 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 arp timeout 14400 global (outside) 1 192.1.1.10-192.1.1.20 netmask 255.255.255.0 static (inside,outside) 192.1.1.25 171.68.118.143 netmask 255.255.255.255 0 0 static (inside,outside) 192.1.1.30 10.31.1.5 netmask 255.255.255.255 0 0 conduit permit tcp any any conduit permit icmp any any conduit permit udp any any no rip outside passive no rip outside default no rip inside passive no rip inside default route inside 171.68.118.0 255.255.255.0 10.31.1.1 1 timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:00:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server AuthInbound protocol tacacs+ aaa-server AuthInbound (inside) host 171.68.118.143 cisco timeout 5 aaa-server AuthOutbound protocol radius aaa-server AuthOutbound (inside) host 171.68.118.133 cisco timeout 5 aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound aaa authentication telnet inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound aaa authentication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound aaa authentication http inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound aaa authentication ftp inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps telnet timeout 5 terminal width 80 Cryptochecksum:fef4bfc9801d7692dce0cf227fe7859b : end |
في أمثلة تصحيح الأخطاء هذه:
يقوم المستخدم الداخلي في 10.31.1.5 ببدء حركة المرور إلى خارج 192.1.1.1 ويتم مصادقته من خلال TACACS+. تستخدم حركة المرور الصادرة قائمة الخوادم "AuthOutbound" التي تتضمن خادم RADIUS 171.68.118.133.
يقوم المستخدم الخارجي في 192.1.1.1 ببدء حركة المرور إلى داخل 10.31.1.5 (192.1.1.30) وتتم مصادقته من خلال TACACS. تستخدم حركة المرور الواردة قائمة الخادم "AuthInbound" التي تتضمن خادم TACACS 171.68.118.143).
يوضح هذا المثال تصحيح أخطاء PIX بمصادقة جيدة:
pixfirewall# 109001: Auth start for user "???" from 192.1.1.1/13155 to 10.31.1.5/23 109011: Authen Session Start: user 'pixuser', sid 6 109005: Authentication succeeded for user 'pixuser' from 10.31.1.5/23 to 192.1.1.1/13155 109012: Authen Session End: user 'pixuser', Sid 6, elapsed 1 seconds 302001: Built inbound TCP connection 6 for faddr 192.1.1.1/13155 gaddr 192.1.1.30/23 laddr 10.31.1.5/23 (pixuser)
يوضح هذا المثال تصحيح أخطاء PIX بمصادقة غير صحيحة (اسم المستخدم أو كلمة المرور). يرى المستخدم أربع مجموعات اسم مستخدم/كلمة مرور والرسالة خطأ: الحد الأقصى لعدد المحاولات التي تم تجاوزها.
pixfirewall# 109001: Auth start for user '???' from 192.1.1.1/13157 to 10.31.1.5/23 109006: Authentication failed for user '' from 10.31.1.5/23 to 192.1.1.1/13157
يوضح هذا المثال تصحيح أخطاء PIX حيث يمكن تقسيم الخادم ولكنه لا يتحدث إلى PIX. يرى المستخدم اسم المستخدم مرة واحدة، ولكن PIX لا يطلب كلمة مرور (هذه على Telnet). يرى المستخدم خطأ: الحد الأقصى لعدد المحاولات التي تم تجاوزها."
Auth start for user '???' from 192.1.1.1/13159 to 10.31.1.5/23 pixfirewall# 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13159 failed (server 171.68.118.143 failed) 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13159 failed (server 171.68.118.143 failed) 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13159 failed (server 171.68.118.143 failed) 109006: Authentication failed for user '' from 10.31.1.5/23 to 192.1.1.1/13159
يوضح هذا المثال تصحيح أخطاء PIX حيث يكون الخادم غير قابل للجلب. يرى المستخدم اسم المستخدم مرة واحدة، ولكن PIX لا يطلب كلمة مرور (هذه على Telnet). يتم عرض هذه الرسائل: المهلة لخادم TACACS+" و"الخطأ: الحد الأقصى لعدد المحاولات التي تم تجاوزها" (تم تبديلها في خادم وهمي في التكوين).
109001: Auth start for user '???' from 192.1.1.1/13158 to 10.31.1.5/23 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13158 failed (server 171.68.118.143 failed) 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13158 failed (server 171.68.118.143 failed) 109002: Auth from 10.31.1.5/23 to 192.1.1.1/13158 failed (server 171.68.118.143 failed) 109006: Authentication failed for user '' from 10.31.1.5/23 to 192.1.1.1/13158
يوضح هذا المثال تصحيح أخطاء PIX بمصادقة جيدة:
109001: Auth start for user '???' from 10.31.1.5/11074 to 192.1.1.1/23 109011: Authen Session Start: user 'pixuser', Sid 7 109005: Authentication succeeded for user 'pixuser' from 10.31.1.5/11074 to 192.1.1.1/23 109012: Authen Session End: user 'pixuser', Sid 7, elapsed 1 seconds 302001: Built outbound TCP connection 7 for faddr 192.1.1.1/23 gaddr 192.1.1.30/11074 laddr 10.31.1.5/11074 (pixuser)
يوضح هذا المثال تصحيح أخطاء PIX بمصادقة غير صحيحة (اسم المستخدم أو كلمة المرور). يرى المستخدم طلبا لاسم المستخدم وكلمة المرور. للمستخدم ثلاث فرص لإدخال اسم المستخدم/كلمة المرور الناجح.
- 'Error: max number of tries exceeded' pixfirewall# 109001: Auth start for user '???' from 192.1.1.1/13157 to 10.31.1.5/23 109001: Auth start for user '???' from 10.31.1.5/11075 to 192.1.1.1/23 109002: Auth from 10.31.1.5/11075 to 192.1.1.1/23 failed (server 171.68.118.133 failed) 109002: Auth from 10.31.1.5/11075 to 192.1.1.1/23 failed (server 171.68.118.133 failed) 109002: Auth from 10.31.1.5/11075 to 192.1.1.1/23 failed (server 171.68.118.133 failed) 109006: Authentication failed for user '' from 10.31.1.5/11075 to 192.1.1.1/23
يوضح هذا المثال تصحيح أخطاء PIX حيث يكون الخادم قابلا للانقسام، ولكن الأداة المساعدة متوقفة ولن تتصل ب PIX. يرى المستخدم اسم المستخدم وكلمة المرور والرسائل فشل خادم RADIUS" و"الخطأ: الحد الأقصى لعدد المحاولات التي تم تجاوزها."
pixfirewall# 109001: Auth start for user '???' from 10.31.1.5/11076 to 192.1.1.1/23 109002: Auth from 10.31.1.5/11076 to 192.1.1.1/23 failed (server 171.68.118.133 failed) 109002: Auth from 10.31.1.5/11076 to 192.1.1.1/23 failed (server 171.68.118.133 failed) 109002: Auth from 10.31.1.5/11076 to 192.1.1.1/23 failed (server 171.68.118.133 failed) 109006: Authentication failed for user '' from 10.31.1.5/11076 to 192.1.1.1/23
في هذا المثال، يتم ضبط تصحيح أخطاء PIX حيث يكون الخادم غير قابل للجلب أو يوجد عدم تطابق في المفتاح/العميل. يرى المستخدم اسم المستخدم وكلمة المرور والرسائل المهلة إلى خادم RADIUS" و"خطأ: الحد الأقصى لعدد المحاولات التي تم تجاوزها" (تم تبديل خادم وهمي في التكوين).
109001: Auth start for user '???' from 10.31.1.5/11077 to 192.1.1.1/23 109002: Auth from 10.31.1.5/11077 to 192.1.1.1/23 failed (server 100.100.100.100 failed) 109002: Auth from 10.31.1.5/11077 to 192.1.1.1/23 failed (server 100.100.100.100 failed) 109002: Auth from 10.31.1.5/11077 to 192.1.1.1/23 failed (server 100.100.100.100 failed) 109006: Authentication failed for user '' from 10.31.1.5/11077 to 192.1.1.1/23
إذا قررت إضافة تخويل، فستحتاج إلى تخويل لنفس نطاق المصدر والوجهة (نظرا لأن التخويل غير صالح بدون مصادقة):
aaa authorization telnet inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound aaa authorization HTTP inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound aaa authorization ftp inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
لاحظ أنه لا تتم إضافة التخويل ل "الصادر" لأنه تتم مصادقة حركة المرور الصادرة باستخدام RADIUS، وأن تخويل RADIUS غير صالح.
يوضح هذا المثال تصحيح أخطاء PIX بمصادقة جيدة وتفويض ناجح:
109011: Authen Session Start: user 'pixuser', Sid 8 109007: Authorization permitted for user 'pixuser' from 192.1.1.1/13160 to 10.31.1.5/23 109012: Authen Session End: user 'pixuser', Sid 8, elapsed 1 seconds 302001: Built inbound TCP connection 8 for faddr 192.1.1.1/13160 gaddr 192.1.1.30/23 laddr 10.31.1.5/23 (pixuser)
يوضح هذا المثال تصحيح أخطاء PIX بمصادقة جيدة ولكن بتخويل فاشل. هنا يرى المستخدم أيضا الرسالة خطأ: تم رفض التخويل."
109001: Auth start for user '???' from 192.1.1.1/13162 to 10.31.1.5/23 109011: Authen Session Start: user 'userhttp', Sid 10 109005: Authentication succeeded for user 'userhttp' from 10.31.1.5/23 to 192.1.1.1/13162 109008: Authorization denied for user 'userhttp' from 10.31.1.5/23 to 192.1.1.1/13162 109012: Authen Session End: user 'userhttp', Sid 10, elapsed 1 seconds 302010: 0 in use, 2 most used
aaa accounting any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
تصحيح الأخطاء نفس النظرة سواء كانت المحاسبة قيد التشغيل أو قيد الإيقاف. ومع ذلك، يتم إرسال سجل محاسبة "البدء" في وقت "الإنشاء". في وقت "التيردون"، يتم إرسال سجل محاسبة "إيقاف".
تبدو سجلات محاسبة TACACS+ مثل هذا الإخراج (هذا من Cisco Secure NT، وبالتالي التنسيق المحدد بفاصلة):
04/26/2000,01:31:22,pixuser,Default Group,192.1.1.1, start,,,,,,,0x2a,,PIX,10.31.1.200,telnet,6, Login,1,,,1,,,,,,,,,,,,local_ip=10.31.1.5 foreign_ip=192.1.1.1, ,, ,,,,,,,,,,zekie,,,,,,,,^ 04/26/2000,01:31:26,pixuser,Default Group,192.1.1.1,stop,4, ,36,82,,,0x2a,,PIX,10.31.1.200,telnet,6, Login,1,,,1,,,,,,,,,,,,local_ip=10.31.1.5 foreign_ip=192.1.1. 1, ,,,,,,,,,,,,zekie,,,,,,,,
aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
يبدو التصحيح نفسه سواء كانت المحاسبة قيد التشغيل أو إيقاف التشغيل. ومع ذلك، يتم إرسال سجل محاسبة "البدء" في وقت "الإنشاء". في وقت "التيردون"، يتم إرسال سجل محاسبة "إيقاف".
تبدو سجلات محاسبة RADIUS بهذا الإخراج (وهذه من Cisco Secure UNIX؛ وقد تكون هناك سجلات في Cisco Secure NT مفصولة بفاصلة بدلا من ذلك):
radrecv: Request from host a1f01c8 code=4, id=18, length=65 Acct-Status-Type = Start Client-Id = 10.31.1.200 Login-Host = 10.31.1.5 Login-TCP-Port = 23 Acct-Session-Id = "0x0000002f" User-Name = "pixuser" Sending Accounting Ack of id 18 to a1f01c8 (10.31.1.200) radrecv: Request from host a1f01c8 code=4, id=19, length=83 Acct-Status-Type = Stop Client-Id = 10.31.1.200 Login-Host = 10.31.1.5 Login-TCP-Port = 23 Acct-Session-Id = "0x0000002f" Username = "pixuser" Acct-Session-Time = 7
في شبكتنا، إذا قررنا أن مصدر و/أو وجهة معينة لا تحتاج إلى مصادقة أو تفويض أو محاسبة، فيمكننا القيام بشيء مثل هذا الإخراج:
aaa authentication except inbound 192.1.1.1 255.255.255.255 0.0.0.0 0.0.0.0 AuthInbound
إذا كنت تقوم "باستثناء" مربع من المصادقة وكان لديك تخويل عليه، فيجب أيضا إستثناء المربع من التخويل.
تحتوي بعض خوادم TACACS+ و RADIUS على ميزات "الحد الأقصى لجلسة العمل" أو "عرض المستخدمين الذين تم تسجيل دخولهم". تعتمد إمكانية تنفيذ الحد الأقصى لجلسات العمل أو فحص المستخدمين الذين تم تسجيل دخولهم على سجلات المحاسبة. عندما يكون هناك سجل "بدء" محاسبة تم إنشاؤه ولكن لم يتم "إيقاف"، يفترض خادم TACACS+ أو RADIUS أن الشخص لا يزال قيد تسجيل الدخول (لديه جلسة عمل من خلال PIX).
يعمل هذا بشكل جيد لاتصالات Telnet و FTP بسبب طبيعة الاتصالات. لا يعمل هذا بشكل جيد ل HTTP بسبب طبيعة الاتصال. في هذا المثال إخراج الإخراج، يتم إستخدام تكوين شبكة مختلف، ولكن المفاهيم هي نفسها.
برنامج Telnet للمستخدم من خلال PIX، للمصادقة على الطريقة:
(pix) 109001: Auth start for user '???' from 171.68.118.100/1200 to 9.9.9.25 /23 (pix) 109011: Authen Session Start: user 'cse', Sid 3 (pix) 109005: Authentication succeeded for user 'cse' from 171.68.118.100/12 00 to 9.9.9.25/23 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/23 gaddr 9.9.9.10/12 00 laddr 171.68.118.100/1200 (cse) (server start account) Sun Nov 8 16:31:10 1998 rtp-pinecone.rtp.cisco.com cse PIX 171.68.118.100 start task_id=0x3 foreign_ip=9.9.9.25 local_ip=171.68.118.100 cmd=telnet
بما أن الخادم قد شاهد سجل "بدء" ولكن ليس سجل "إيقاف" (في هذه المرحلة من الوقت)، يظهر الخادم أن مستخدم "برنامج Telnet" قد قام بتسجيل الدخول. إذا حاول المستخدم إجراء اتصال آخر يتطلب مصادقة (ربما من كمبيوتر آخر) وإذا تم تعيين الحد الأقصى لجلسات العمل على "1" على الخادم لهذا المستخدم (بافتراض أن الخادم يدعم الحد الأقصى لجلسات العمل)، يتم رفض الاتصال من قبل الخادم.
يستمر المستخدم في عمل Telnet أو FTP على المضيف الهدف، ثم يخرج (يقضي 10 دقائق هناك):
(pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse) (server stop account) Sun Nov 8 16:41:17 1998 rtp-pinecone.rtp.cisco.com cse PIX 171.68.118.100 stop task_id=0x3 foreign_ip=9.9.9.25 local_ip=171.68.118.100 cmd=telnet elapsed_time=5 bytes_in=98 bytes_out=36
سواء كانت المصادقة هي 0 (المصادقة كل مرة) أو أكثر (المصادقة مرة واحدة وليس مرة أخرى خلال فترة المصادقة)، يتم خفض سجل محاسبة لكل موقع يتم الوصول إليه.
يعمل HTTP بشكل مختلف نظرا لطبيعة البروتوكول. يوضح هذا الإخراج مثالا على HTTP:
يستعرض المستخدم من 171.68.118.100 إلى 9.9.9.25 من خلال PIX:
(pix) 109001: Auth start for user '???' from 171.68.118.100/1281 to 9.9.9.25 /80 (pix) 109011: Authen Session Start: user 'cse', Sid 5 (pix) 109005: Authentication succeeded for user 'cse' from 171.68.118.100/12 81 to 9.9.9.25/80 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/80 gaddr 9.9.9.10/12 81 laddr 171.68.118.100/1281 (cse) (server start account) Sun Nov 8 16:35:34 1998 rtp-pinecone.rtp.cisco.com cse PIX 171.68.118.100 start task_id=0x9 foreign_ip=9.9.9.25 local_ip=171.68.118.100 cmd=http (pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse) (server stop account) Sun Nov 8 16:35.35 1998 rtp-pinecone.rtp.cisco .com cse PIX 171.68.118.100 stop task_id=0x9 foreign_ip =9.9.9.25 local_ip=171.68.118.100 cmd=http elapsed_time=0 bytes_ in=1907 bytes_out=223
يقرأ المستخدم صفحة الويب التي تم تنزيلها.
سجل البداية المنشور في 16:35:34، وسجل التوقف المنشور في 16:35:35. استغرق هذا التنزيل ثانية واحدة (أي أنه كان هناك أقل من ثانية واحدة بين سجل البداية وسجل التوقف). هل لا يزال المستخدم يسجل الدخول إلى موقع ويب ولا يزال الاتصال مفتوحا عندما يقرأ صفحة ويب؟ لا. هل سيعمل الحد الأقصى لجلسات العمل أو عرض المستخدمين الذين تم تسجيل دخولهم هنا؟ لا، لأن وقت الاتصال (الوقت بين "Build" و"Teardown") في HTTP قصير جدا. سجل "البدء" و"الإيقاف" هو الثاني الفرعي. لن يكون هناك سجل "بدء" بدون سجل "إيقاف"، لأن السجلات تحدث في نفس اللحظة تقريبا. سيظل هناك سجل "البدء" و"الإيقاف" مرسلا إلى الخادم لكل معاملة، سواء تم تعيينها ل 0 أو أي شيء أكبر. ومع ذلك، فإن الحد الأقصى لجلسات العمل وعرض المستخدمين الذين تم تسجيل دخولهم لا يعملان بسبب طبيعة إتصالات HTTP.
وصفت المناقشة السابقة مصادقة حركة مرور Telnet (و HTTP و FTP) من خلال PIX. نتأكد من أن Telnet إلى PIX يعمل دون مصادقة على:
telnet 10.31.1.5 255.255.255.255 passwd ww
aaa authentication telnet console AuthInbound
عندما يستعمل Telnet إلى ال PIX، هم حضضت ل ال telnet كلمة (ww). ثم يطلب PIX أيضا TACACS+ (في هذه الحالة، نظرا لاستخدام قائمة خادم "AuthInbound") أو اسم مستخدم وكلمة مرور RADIUS. إذا كان الخادم معطلا، فيمكنك الوصول إلى PIX عن طريق إدخال PIX لاسم المستخدم، ثم كلمة مرور enable (enable password مهما كان ) للحصول على الوصول.
باستخدام هذا الأمر:
aaa authentication enable console AuthInbound
تتم مطالبة المستخدم باسم مستخدم وكلمة مرور، والتي يتم إرسالها إلى TACACS (في هذه الحالة، نظرا لاستخدام قائمة خادم "AuthInbound"، ينتقل الطلب إلى خادم TACACS) أو خادم RADIUS. بما أن حزمة المصادقة للتمكين هي نفسها حزمة المصادقة لتسجيل الدخول، إذا إستطاع المستخدم تسجيل الدخول إلى PIX باستخدام TACACS أو RADIUS، فيمكنه التمكين من خلال TACACS أو RADIUS باستخدام نفس اسم المستخدم/كلمة المرور. عينت هذا مشكلة cisco بق id CSCdm47044 (يسجل زبون فقط).
يتطلب الأمر AAA authentication serial console AuthInbound التحقق من المصادقة للوصول إلى وحدة التحكم التسلسلية ل PIX.
عندما يقوم المستخدم بتنفيذ أوامر التكوين من وحدة التحكم، يتم قطع رسائل syslog (بافتراض تكوين PIX لإرسال syslog على مستوى تصحيح الأخطاء إلى مضيف syslog). هذا مثال من ما يعرض على ال syslog نادل:
logmsg: pri 245, flags 0, from [10.31.1.200.2.2], msg Nov 01 1999 03:21:14: %PIX-5-111008: User 'pixuser' executed the 'logging' command.
إذا كان لديك الأمر auth-prompt PIX_PIX_PIX، فإن المستخدمين الذين يتنقلون عبر PIX يرون هذا التسلسل:
PIX_PIX_PIX [at which point one would enter the username] Password:[at which point one would enter the password]
عند الوصول إلى مربع الوجهة النهائية، يتم عرض نافذة مطالبة "username:" و"password:". تؤثر هذه المطالبة فقط على المستخدمين الذين يمرون ب PIX، وليس على PIX.
ملاحظة: لا توجد سجلات محاسبة مقطوعة للوصول إلى PIX.
إذا كانت لديك الأوامر:
auth-prompt accept "GOOD_AUTH" auth-prompt reject "BAD_AUTH"
يرى المستخدمون هذا التسلسل عند تسجيل دخول فشل/ناجح من خلال PIX:
PIX_PIX_PIX Username: asjdkl Password: "BAD_AUTH" "PIX_PIX_PIX" Username: cse Password: "GOOD_AUTH"
يمكن إرسال فترات الانتظار الخاملة والمطلقة من خادم TACACS+ على أساس كل مستخدم. إذا كان لكافة المستخدمين في شبكتك نفس "المهلة"، فلا تقم بتنفيذ هذا! ولكن إذا كنت بحاجة إلى أجهزة مختلفة لكل مستخدم، فاستمر في القراءة.
في هذا المثال، يتم إستخدام الأمر timeout auth 3:00:00. بمجرد أن يقوم الشخص بالتصديق، لا يتعين عليه إعادة المصادقة لمدة ثلاث ساعات. ومع ذلك، إذا قمت بإعداد مستخدم باستخدام ملف التعريف هذا وكان لديك تفويض TACACS AAA قيد التشغيل في PIX، فإن حالات انتهاء المهلة الخاملة والمطلقة في ملف تعريف المستخدم تتجاوز المهلة الواردة في PIX لذلك المستخدم. لا يعني ذلك أن جلسة عمل Telnet من خلال PIX تم قطع إتصالها بعد المهلة الخاملة/المطلقة. إنها فقط تتحكم في ما إذا كانت تتم إعادة المصادقة.
يأتي ملف التعريف هذا من البرنامج المجاني TACACS+:
user = timeout { default service = permit login = cleartext "timeout" service = exec { timeout = 2 idletime = 1 } }
بعد المصادقة، قم بتنفيذ أمر show uauth على PIX:
pix-5# show uauth Current Most Seen Authenticated Users 1 1 Authen In Progress 0 1 user 'timeout' at 10.31.1.5, authorized to: port 11.11.11.15/telnet absolute timeout: 0:02:00 inactivity timeout: 0:01:00
بعد أن يجلس المستخدم في وضع الخمول لمدة دقيقة واحدة، يظهر تصحيح الأخطاء الموجود على PIX:
109012: Authen Session End: user 'timeout', Sid 19, elapsed 91 seconds
يجب على المستخدم إعادة المصادقة عند إرجاعه إلى المضيف الهدف نفسه أو إلى مضيف مختلف.
إذا كانت المصادقة مطلوبة على مواقع خارج PIX، وكذلك على PIX نفسه، فيمكن ملاحظة سلوك غير عادي للمستعرض في بعض الأحيان نظرا لأن المستعرضات تخزن اسم المستخدم وكلمة المرور مؤقتا.
لتجنب هذا، يمكنك تنفيذ HTTP ظاهري بإضافة عنوان RFC 1918 (عنوان غير قابل للتوجيه على الإنترنت، ولكنه صالح وفريد ل PIX داخل الشبكة) إلى تكوين PIX باستخدام هذا الأمر:
virtual http #.#.#.# [warn]
عندما يحاول المستخدم الخروج من PIX، تكون المصادقة مطلوبة. إذا كانت المعلمة WARN موجودة، يتلقى المستخدم رسالة إعادة توجيه. تعد المصادقة جيدة لطول الوقت في الوحدة. كما هو موضح في التوثيق، لا تقم بتعيين مدة الأمر timeout uth إلى 0 ثوان مع HTTP الظاهري. وهذا يؤدي إلى منع إتصالات HTTP بخادم ويب الحقيقي.
ip address outside 9.9.9.1 255.255.255.0 ip address inside 171.68.118.115 255.255.255.0 global (outside) 1 9.9.9.5-9.9.9.9 netmask 255.0.0.0 timeout uauth 01:00:00 aaa-server TACACS+ protocol tacacs+ aaa-server AuthOutbound protocol tacacs+ aaa-server AuthOutbound (inside) host 171.68.118.101 cisco timeout 10 aaa authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound virtual http 171.68.118.99 auth-prompt THIS_IS_PIX_5
من الممكن تكوين PIX لمصادقة جميع حركة المرور الواردة والصادرة، ولكن ليس من الأفضل القيام بذلك. وذلك نظرا لأنه ليس من السهل مصادقة بعض البروتوكولات، مثل "mail". عندما يحاول خادم بريد وعميل الاتصال من خلال PIX عندما تتم مصادقة جميع حركات مرور البيانات عبر PIX، فإن PIX syslog للبروتوكولات غير القابلة للمصادقة تظهر رسائل مثل:
109001: Auth start for user '???' from 9.9.9.10/11094 to 171.68.118.106/25 109009: Authorization denied from 171.68.118.106/49 to 9.9.9.10/11094 (not authenticated
نظرا لأن البريد وبعض الخدمات الأخرى ليست تفاعلية بشكل كاف للمصادقة، فإن أحد الحلول هو إستخدام الأمر except للمصادقة/التفويض (مصادقة الكل باستثناء مصدر/وجهة خادم/عميل البريد).
إذا كانت هناك حاجة حقيقية لمصادقة نوع ما من الخدمة غير العادية، يمكن القيام بذلك باستخدام الأمر virtual telnet. يسمح هذا الأمر بظهور المصادقة إلى Telnet IP الظاهري. بعد هذه المصادقة، يمكن لحركة مرور الخدمة غير العادية الانتقال إلى الخادم الحقيقي.
في هذا المثال، نريد تدفق حركة مرور منفذ TCP رقم 49 من المضيف الخارجي 9.9.9.10 إلى المضيف الداخلي 171.68.118.106. بما أن حركة المرور هذه ليست حقا قابلة للمصادقة، فقد قمنا بإعداد برنامج Telnet ظاهري. بالنسبة ل Telnet الظاهرية الواردة، يجب أن يكون هناك ثابت مقترن. هنا، كل من 9.9.9.20 و 171.68.118.20 هي عناوين افتراضية.
ip address outside 9.9.9.1 255.255.255.0 ip address inside 171.68.118.115 255.255.255.0 static (inside,outside) 9.9.9.20 171.68.118.20 netmask 255.255.255.255 0 0 static (inside,outside) 9.9.9.30 171.68.118.106 netmask 255.255.255.255 0 0 conduit permit tcp host 9.9.9.20 eq telnet any conduit permit tcp host 9.9.9.30 eq tacacs any aaa-server TACACS+ protocol tacacs+ aaa-server AuthInbound protocol tacacs+ aaa-server AuthInbound (inside) host 171.68.118.101 cisco timeout 5 AAA authentication any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound virtual telnet 9.9.9.20
user = pinecone { default service = permit login = cleartext "pinecone" service = exec { timeout = 10 idletime = 10 } }
يجب على المستخدم في 9.9.9.10 المصادقة أولا بواسطة Telnet على عنوان 9.9.9.20 على PIX:
pixfirewall# 109001: Auth start for user '???' from 9.9.9.10/11099 to 171.68.118.20/23 109011: Authen Session Start: user 'pinecone', Sid 13 109005: Authentication succeeded for user 'pinecone' from 171.68.118.20/23 to 9.9.9.10/1470
بعد المصادقة الناجحة، يظهر الأمر show uauth أن المستخدم لديه "الوقت على العداد":
pixfirewall# show uauth Current Most Seen Authenticated Users 1 1 Authen In Progress 0 1 user 'pinecone' at 9.9.9.10, authenticated absolute timeout: 0:10:00 inactivity timeout: 0:10:00
هنا، يريد الجهاز على 9.9.9.10 إرسال حركة مرور TCP/49 إلى الجهاز على 171.68.118.106:
pixfirewall# 109001: Auth start for user 'pinecone' from 9.9.9.10/11104 to 171.68.118.20/23 109011: Authen Session Start: user 'pinecone', Sid 14 109005: Authentication succeeded for user 'pinecone' from 171.68.118.20/23 to 9.9.9.10/1470 302001: Built TCP connection 23 for faddr 9.9.9.10/11104 gaddr 9.9.9.30/49 laddr 171.68.118.106/49 (pinecone) 302002: Teardown TCP connection 23 faddr 9.9.9.10/11104 gaddr 9.9.9.30/49 laddr 171.68.118.106/49 duration 0:00:10 bytes 179 (pinecone)
بما أن حركة المرور الصادرة مسموح بها بشكل افتراضي، فلا حاجة إلى وجود حركة مرور ثابتة لاستخدام الصادر الظاهري لبرنامج Telnet. في هذا المثال، المستخدم الداخلي في 171.68.118.143 برنامج Telnet إلى الإصدار Virtual 9.9.9.30 والمصادقة. تم إسقاط اتصال برنامج Telnet على الفور. بمجرد التصديق، يتم السماح بحركة مرور TCP من 171.68.118.143 إلى الخادم على 9.9.9.10:
ip address outside 9.9.9.1 255.255.255.0 ip address inside 171.68.118.115 255.255.255.0 global (outside) 1 9.9.9.5-9.9.9.9 netmask 255.0.0.0 timeout uauth 00:05:00 aaa-server TACACS+ protocol tacacs+ aaa-server AuthOutbound protocol tacacs+ aaa-server AuthOutbound (inside) host 171.68.118.101 cisco timeout 10 AAA authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound virtual telnet 9.9.9.30
109001: Auth start for user '???' from 171.68.118.143/1536 to 9.9.9.30/23 109011: Authen Session Start: user 'timeout_143', Sid 25 109005: Authentication succeeded for user 'timeout_143' from 171.68.118.143/1536 to 9. 9.9.30/23 302001: Built TCP connection 46 for faddr 9.9.9.10/80 gaddr 9.9.9.30/1537 laddr 171.68 .118.143/1537 (timeout_143) 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/ 302001: Built TCP connection 47 for faddr 9.9.9.10/80 gaddr 9.9.9.30/1538 laddr 171.68 .118.143/1538 (timeout_143) 302002: Teardown TCP connection 46 faddr 9.9.9.10/80 gaddr 9.9.9.30/1537 laddr 171.68. 118.143/1537 duration 0:00:03 bytes 625 (timeout_143) 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/ 302002: Teardown TCP connection 47 faddr 9.9.9.10/80 gaddr 9.9.9.30/1538 laddr 171.68. 118.143/1538 duration 0:00:01 bytes 2281 (timeout_143) 302009: 0 in use, 1 most used
عندما يقوم المستخدم Telnet إلى Telnet IP الظاهري، فإن الأمر show uauth يعرض المصادقة.
إذا أراد المستخدم منع حركة مرور البيانات من المرور بعد انتهاء جلسة العمل (عندما يكون هناك وقت متبقي في الوحدة)، فسيحتاج المستخدم إلى إرسال Telnet إلى برنامج Telnet الظاهري IP مرة أخرى. يتم الآن تبديل جلسة العمل.
يمكنك طلب تفويض على نطاق من المنافذ. في هذا المثال، كانت المصادقة لا تزال مطلوبة لجميع المنافذ الصادرة، ولكن كان يلزم فقط التخويل لمنافذ TCP 23-49.
AAA authentication any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound AAA authorization tcp/23-49 outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthOutbound
عندما تم تنفيذ Telnet من 171.68.118.143 إلى 9.9.9.10، حدثت المصادقة والتفويض لأن منفذ Telnet 23 هو في النطاق 23-49.
عند إجراء جلسة HTTP من 171.68.118.143 إلى 9.9.9.10، ما يزال يتعين عليك المصادقة، ولكن لا يطلب PIX من خادم TACACS+ تخويل HTTP لأن 80 ليست في النطاق 23-49.
user = telnetrange { login = cleartext "telnetrange" cmd = tcp/23-49 { permit 9.9.9.10 } }
لاحظ أن PIX يرسل cmd=tcp/23-49" و"cmd-arg=9.9.9.10" إلى خادم TACACS+.
109001: Auth start for user '???' from 171.68.118.143/1051 to 9.9.9.10/23 109011: Authen Session Start: user 'telnetrange', Sid 0 109005: Authentication succeeded for user 'telnetrange' from 171.68.118.143/1051 to 9. 9.9.10/23 109011: Authen Session Start: user 'telnetrange', Sid 0 109007: Authorization permitted for user 'telnetrange' from 171.68.118.143/1051 to 9.9 .9.10/23 302001: Built TCP connection 0 for faddr 9.9.9.10/23 gaddr 9.9.9.5/1051 laddr 171.68.1 18.143/1051 (telnetrange) 109001: Auth start for user '???' from 171.68.118.143/1105 to 9.9.9.10/80 109001: Auth start for user '???' from 171.68.118.143/1110 to 9.9.9.10/80 109011: Authen Session Start: user 'telnetrange', Sid 1 109005: Authentication succeeded for user 'telnetrange' from 171.68.118.143/1110 to 9. 9.9.10/80 302001: Built TCP connection 1 for faddr 9.9.9.10/80 gaddr 9.9.9.5/1110 laddr 171.68.1 18.143/1110 (telnetrange) 302001: Built TCP connection 2 for faddr 9.9.9.10/80 gaddr 9.9.9.5/1111 laddr 171.68.1 18.143/1111 (telnetrange) 302002: Teardown TCP connection 1 faddr 9.9.9.10/80 gaddr 9.9.9.5/1110 laddr 171.68.11 8.143/1110 duration 0:00:08 bytes 338 (telnetrange) 304001: timeout_143@171.68.118.143 Accessed URL 9.9.9.10:/ 302002: Teardown TCP connection 2 faddr 9.9.9.10/80 gaddr 9.9.9.5/1111 laddr 171.68.11 8.143/1111 duration 0:00:01 bytes 2329 (telnetrange)
يغير الإصدار 5. 0 من برنامج PIX وظيفة محاسبة حركة المرور. يمكن قطع سجلات المحاسبة الآن لحركة المرور بخلاف HTTP و FTP و Telnet، بمجرد اكتمال المصادقة.
لنسخ ملف من الموجه الخارجي (192.1.1.1) إلى الموجه الداخلي (10.31.1.5)، أضف برنامج Telnet الظاهري لفتح فتحة لعملية TFTP:
virtual telnet 192.1.1.30 static (inside,outside) 192.1.1.30 10.31.1.5 netmask 255.255.255.255 0 0 conduit permit udp any any AAA authentication udp/69 inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound AAA authorization udp/69 inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound AAA accounting udp/0 inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
بعد ذلك، يعمل برنامج Telnet من الموجه الخارجي في 192.1.1.1 إلى IP 192.1.1.30 الافتراضي ويصادق على العنوان الظاهري الذي يسمح ل UDP باجتياز PIX. في هذا المثال، تم بدء عملية copy tftp flash من الخارج إلى الداخل:
302006: Teardown UDP connection for faddr 192.1.1.1/7680 gaddr 192.1.1.30/69 laddr 10.31.1.5/69
مقابل كل نسخة tftp flash على PIX (كانت هناك ثلاث مرات خلال نسخة IOS هذه)، يتم قص سجل محاسبة وإرساله إلى خادم المصادقة. فيما يلي مثال على سجل TACACS على Cisco Secure Windows):
Date,Time,Username,Group-Name,Caller-Id,Acct-Flags,elapsed_time, service,bytes_in,bytes_out,paks_in,paks_out, task_id,addr,NAS-Portname,NAS-IP-Address,cmd 04/28/2000,03:08:26,pixuser,Default Group,192.1.1.1,start,,,,,,, 0x3c,,PIX,10.31.1.200,udp/69
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
08-Oct-2018 |
الإصدار الأولي |