Cấu hình AAA (Authentication - Authorization - Accounting) trên Firewall Cisco ASA

Cấu hình AAA: Xác thực (Authentication) - Ủy quyền (Authorization) - Kiểm tra (Accounting) trên Firewall Cisco ASA

Khi nói đến các dịch vụ xác thực trong mạng và hệ thống CNTT nói chung, cách tốt nhất là có một hệ thống xác thực tập trung chứa thông tin đăng nhập tài khoản người dùng một cách an toàn và kiểm soát tất cả các xác thực và ủy quyền.

​

Đây là lý do tại sao Active Directory trong môi trường Microsoft là một chương trình xác thực hữu ích và mạnh mẽ. Trong thế giới mạng, chúng ta có các máy chủ AAA kiểm soát và quản lý tập trung tất cả các yêu cầu xác thực từ người dùng cần truy cập vào các thiết bị mạng ngoại vi.

Vậy AAA là gì?

AAA là viết tắt của Xác thực (Authentication), Ủy quyền (Authorization) và Kiểm tra (Accounting). AAA là một cơ chế được sử dụng để cho thiết bị tường lửa (hoặc bất kỳ thiết bị mạng nào) biết người dùng là ai (Xác thực), những hành động nào mà người dùng được phép thực hiện trên mạng (Ủy quyền) và những gì người dùng đã làm trên mạng sau kết nối (Kiểm tra). Trong bài đăng này, chúng ta sẽ xem các ví dụ về cách định cấu hình tất cả các phần tử AAA trên ASA (Authentication, Authorization and Accounting).

Các loại xác thực được hỗ trợ trên các thiết bị ASA

Ba loại Xác thực có sẵn cho tường lửa Cisco ASA:

1. Xác thực Người dùng để truy cập vào chính thiết bị bảo mật.

2. Xác thực Người dùng để truy cập các dịch vụ thông qua thiết bị bảo mật. Đây còn được gọi là "cut-through proxy " và được sử dụng để xác thực người dùng truy cập các dịch vụ Telnet, FTP, HTTP và HTTPs nằm trong mạng thông qua tường lửa.

3. Xác thực người dùng để truy cập đường hầm VPN (IPsec hoặc SSL VPN).

Chúng ta sẽ lấy một ví dụ cấu hình cho loại đầu tiên (xác thực để truy cập thiết bị bảo mật để quản lý bằng cách sử dụng Serial Console, SSH và truy cập Telnet).

Authentication configuration using TACACS+ (Cấu hình xác thực bằng TACACS +):

Trong ví dụ này, chúng ta giả định rằng chúng ta đã cài đặt và cấu hình một máy chủ AAA (ví dụ: Cisco ACS) chạy giao thức xác thực TACACS +.

Lưu ý: Cisco ACS đã hết vòng đời của một sản phẩm (EOL). Tùy chọn thay thế là Cisco ISE (Identity Services Engine) nhưng các khái niệm xác thực qua TACACS + đều giống nhau.

Trên máy chủ AAA, giả định đã định cấu hình tài khoản tên người dùng / mật khẩu mà quản trị viên tường lửa sẽ sử dụng để xác thực. Cũng giả sử rằng máy chủ AAA được đặt trên mạng LAN nội bộ với địa chỉ 10.1.1.1

​

Theo hình trên, quản trị viên tường lửa (Admin) yêu cầu quyền truy cập tường lửa (bảng điều khiển nối tiếp, SSH hoặc Telnet) (Mũi tên 1) để quản lý thiết bị.

Tường lửa ASA (Mũi tên 2) sẽ yêu cầu quyền Xác thực từ máy chủ AAA để nhắc người dùng quản trị (Admin) về thông tin đăng nhập Tên người dùng / Mật khẩu.

Sau khi Quản trị viên (Admin) nhập thành công thông tin đăng nhập của mình, máy chủ AAA sẽ cấp quyền cho Tường lửa để cho phép người dùng vào.

Cấu hình bên dưới:

! Chỉ định tên máy chủ AAA (NY_AAA) và giao thức sẽ sử dụng (Radius or TACACS+)
ASA-TGM(config)# aaa-server NY_AAA protocol tacacs+

! Chỉ định địa chỉ IP máy chủ xác thực và khóa bí mật xác thực
ASA-TGM(config)# aaa-server NY_AAA (inside) host 10.1.1.1
ASA-TGM(config-aaa-server-host)# key secretauthkey
ASA-TGM(config-aaa-server-host)# exit

! Bật Xác thực cho quyền truy cập quản lý
ASA-TGM(config)# aaa authentication serial console NY_AAA LOCAL
ASA(config)# aaa authentication telnet console NY_AAA LOCAL
ASA(config)# aaa authentication ssh console NY_AAA LOCAL

Từ khóa “LOCAL” ở cuối chỉ định việc sử dụng cơ sở dữ liệu tên người dùng tường lửa cục bộ để xác thực trong trường hợp xác thực máy chủ AAA không khả dụng (ví dụ: máy chủ AAA bị lỗi).

Tất nhiên, để hoàn thành tình huống trên, bạn cần định cấu hình đúng Máy chủ AAA với địa chỉ IP nội bộ của tường lửa ASA và cùng một khóa xác thực (ví dụ: secretauthkey) như khóa bạn đã định cấu hình trên ASA ở trên.

Accounting configuration using TACACS+ (Cấu hình kiểm tra sử dụng TACACS +):

Tiếp theo ví dụ trước ở trên về Xác thực AAA để quản lý quyền truy cập vào Tường lửa Cisco ASA, trong phần này sẽ mô tả cách chúng ta có thể theo dõi các yêu cầu xác thực của người dùng quản trị đối với tường lửa.

Điều này có thể hữu ích để ghi lại ngày giờ mà người dùng quản trị viên đã kết nối với tường lửa. Chức năng này có thể đạt được bằng cách định cấu hình " Accounting" trên ASA Cisco Firewall.

Điều này sẽ cho phép công cụ tạo hồ sơ kiểm tra đánh dấu việc thiết lập và chấm dứt quyền truy cập quản lý qua Telnet, Serial Console và SSH.

Giả sử rằng chúng ta đã cài đặt một máy chủ AAA và định cấu hình các chi tiết trên tường lửa (xem phần trước). Tên của máy chủ AAA là NY_AAA.

Cấu hình bên dưới:

ASA-TGM(config)# aaa accounting serial console NY_AAA
ASA-TGM(config)# aaa accounting telnet console NY_AAA
ASA-TGM(config)# aaa accounting ssh console NY_AAA

Cấu hình trên sẽ lưu giữ một bản ghi trong cơ sở dữ liệu máy chủ AAA về thời gian bắt đầu và thời gian kết thúc của quyền truy cập tường lửa của quản trị viên.

Bây giờ, nếu chúng ta cũng cần theo dõi tất cả các lệnh được nhập bởi quản trị viên khi họ được kết nối với tường lửa, chúng ta có thể sử dụng “accounting command” như được hiển thị bên dưới:

ASA-TGM(config)# aaa accounting command NY_AAA

Authorization configuration using TACACS+ (Cấu hình ủy quyền bằng TACACS +):

Với Authorization, chúng ta có thể chỉ định những lệnh nào được phép chạy cho từng người dùng cụ thể. Ví dụ: chúng ta có thể có người dùng đặc quyền thấp chỉ được phép thực hiện các lệnh giám sát (ví dụ: chỉ các lệnh “hiển thị”) chứ không làm bất kỳ điều gì khác.

Điều này có thể đạt được với Ủy quyền được cấu hình như dưới đây:

ASA-TGM(config)# aaa authorization exec authentication-server auto-enable
ASA-TGM(config)# aaa authorization command NY_AAA LOCAL

Chúc các bạn thành công!

 

thank you.