• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Bài 2: Cấu hình Authentication Proxy

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Bài 2: Cấu hình Authentication Proxy

    Phần này chỉ tập trung vào cấu hình Cisco IOS firewall cho hướng inbound và outbound mà không sử dụng CBAC, NAT, IPSec hay VPN Client.

    Các bước cấu hình Authentication Proxy:
    • Bước 1: Cấu hình AAA
    • Bước 2: Cấu hình HTTP server
    • Bước 3: Cấu hình Authentication Proxy
    • Bước 4: Kiểm tra cấu hình


    Bước 1: Cấu hình AAA

    Cho phép tính năng AAA trên Cisco IOS Firewall
    aaa new-model


    Định nghĩa phương thức xác thực được tận dụng khi login
    aaa authentication login default [tacacs+ | radius]

    Từ khoá auth-proxy cho phép bật cơ chế authentication proxy cho phương thức xác thực AAA ( TACACS+ hay RADIUS) và cho phép router download các ACL động từ server AAA.

    aaa authorization auth-proxy default [method1 [method2...]]


    Từ khóa auth-proxy trong câu lệnh này kích hoạt chức năng accounting cho authentication proxy

    aaa accounting auth-proxy default start-stop group tacacs+


    Nhận dạng AAA server bằng hostname hoặc bằng địa chỉ IP
    tacacs-server host hostname
    hoặc
    radius-server host hostname


    Cấu hình key xác thực và mã hóa nhằm đảm bảo kênh truyền thông tin giữa Cisco IOS Firewall và server AAA được bảo mật.
    tacacs-server key key
    or
    radius-server key key


    Tạo ACL nhằm cho phép các traffic từ AAA server trả về Cisco IOS Firewall.
    access-list [access-list-number] permit tcp host source eq tacacs | radius host destination


    Bước 2: Cấu hình HTTP server

    Trong bước này, bạn cấu hình HTTP server hoạt động và thiết lập các phương thức xác thực


    - ip http server Mở chức năng HTTP server trên Cisco IOS Firewall. HTTP server được dùng bởi Cisco IOS Firewall để gửi trang login đến Client.

    - ip http secure-server Mở chức năng HTTP server trên Cisco IOS firewall sử dụng đặc tính SSL (Secure Socket Layer). Ciso IOS Firewall được truy nhập theo cùng cách như trên ngoại trừ truy nhập sử dụng HTTPS (SSL). Sử dụng các server bảo mật làm giảm những lỗ hổng liên hệ với việc cho phép việc truy nhập vào Cisco IOS Firewall dùng HTTP server.

    - ip http authentication aaa Cài đặt phương thức xác thực HTTP server dùng AAA
    - access-list access-list-number deny any Một ACL chuẩn phải được tạo ra để từ chối bất kỳ máy nào
    - ip http access-class access-list-number Đặc tả ACL được sử dụng bởi HTTP server. Số của ACL được tạo ra ở trên được dùng để ngăn chặn bất kỳ máy nào kết nối trực tiếp vào HTTP server

    Bước 3: Cấu hình Authentication Proxy


    Bước này cấu hình authentication proxy trên Cisco IOS firewall. Dùng các câu lệnh trong bảng sau:
    - ip auth-proxy auth-cache-time min: Đặt giá trị idle-timeout của authentication proxy. Tất cả các mục xác thực và các ACL động được xóa khỏi Cisco IOS Firewall khi đạt đến giá trị idle-timeout này. Đơn vị là phút, mặc định là 60 phút.
    - ip auth-proxy auth-proxy-banner (Tùy chọn) cho phép bạn đặt tên của firewall trên trang login của authentication proxy. Mặc định tính năng không bật lên.
    - ip auth-proxy name auth-proxy-name http [auth-cache-time min][list {acl | acl-name}] Cấu hình các luật riêng lẻ của authentication proxy
    [auth-cache-time min]: tham số này là tùy chọn và được dùng đặc tả thời gian auth-cache-time cho 1 luật nào đó thay vì dùng cấu hình ở mode configuration[list {acl | acl-name}]: tùy chọn này dùng để chỉ định ACL cho luật.
    interface type Đặc tả loại cổng giao tiếp trên đó sẽ sử dụng authentication proxy.
    - ip auth-proxy auth-proxy-name Câu lệnh này sử dụng trên mode interface, áp dụng luật của authentication proxy lên cổng. Các luật phải được áp dụng trên cổng đầu tiên của Cisco IOS Firewall mà yêu cầu kết nối sẽ đi vào. Ví dụ, các luật nên được áp dụng trên cổng giao tiếp bên trong cho những traffic đi ra ngoài và trên cổng giao tiếp với bên ngoài cho traffic đi vào hệ thống.


    Bước 4: Kiểm tra cấu hình Authenticatino Proxy:
    Sử dụng câu lệnh show ip auth-proxy để hiển thị và kiểm tra cấu hình athentication proxy.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

  • #2
    anh cho e hoi vay cai nay a dang cau hinh tren con ASA dung khong ?

    Comment


    • #3
      Cho ví dụ đi anh Minh ơi!!!!!!!!!!!

      Comment

      Working...
      X