Назад | Перейти на главную страницу

Какие меры предосторожности следует соблюдать при настройке аутентификации RADIUS для маршрутизаторов, коммутаторов и межсетевых экранов

Есть несколько вопросов по реализации Radius для моих сетевых устройств:

  1. Как безопасно реализовать аутентификацию aaa Radius, чтобы убедиться, что пользователи вошли в систему с использованием ЛОКАЛЬНОЙ базы данных в случае сбоя Radius.

  2. Как предоставить доступ только для чтения для нескольких пользователей и полный доступ администраторам.

  3. Если я сохраню конфигурацию ... будет ли возможно войти на устройства (при условии, что и радиус, и локальные учетные данные не работают).

  4. Как восстановить пароль для устройств, особенно межсетевых экранов.

Как безопасно реализовать аутентификацию aaa Radius, чтобы убедиться, что пользователи вошли в систему с использованием ЛОКАЛЬНОЙ базы данных в случае сбоя Radius.

Похоже, вы уже на правильном пути; ты хочешь иметь local как резервный механизм в вашей команде аутентификации. Установите минимальный тайм-аут (я обычно использую 2 или 3 секунды) в конфигурации сервера аутентификации, чтобы убедиться, что вы не будете вечно ждать возврата.

Для маршрутизатора IOS это выглядит так:

aaa authentication login default group radius local

И для межсетевого экрана ASA:

aaa authentication http console radius-server-group-name LOCAL
aaa authentication ssh console radius-server-group-name LOCAL

Это приведет к локальной аутентификации в случаях, когда сервер RADIUS не отвечает. Дополнительная мера, которую вы можете рассмотреть при желании, - это безоговорочно использовать локальную аутентификацию на последовательной консоли устройства:

IOS:

aaa authentication login consoleport local
line con 0
  login authentication consoleport

КАК:

aaa authentication enable console LOCAL
aaa authentication serial console LOCAL

Но не верьте мне на слово. Разберитесь с конфигурацией, затем проверить это черт возьми на устройстве каждого типа. Отключите его от сети, возитесь с сервером RADIUS, вызовите все типы интересных сбоев, которые вы можете себе представить, и убедитесь, что вы все еще можете попасть в устройство.


Как предоставить доступ только для чтения для нескольких пользователей и полный доступ администраторам.

Получите авторизацию обработчика сервера RADIUS.

IOS:

aaa authorization exec default group radius if-authenticated

КАК:

aaa authorization exec authentication-server

Установите для пользователей с правами только для чтения уровень привилегий 1, а для администраторов - 15. См. Вот для того, как настроить это на вашем сервере RADIUS. В качестве альтернативы, если бы вы использовали TACACS + вместо RADIUS, вы могли бы назначить, какие команды каждый пользователь был способен выполнять мелким образом (например, если им нужен доступ к очень ограниченному набору команд только для администратора).


Если я сохраню конфигурацию ... будет ли возможно войти на устройства (при условии, что и радиус, и локальные учетные данные не работают).

Если ни одна из учетных данных не работает, вам нужно перейти к сбросу паролей.


Как восстановить пароль для устройств, особенно межсетевых экранов.

Процедура для обоих типов устройств очень похожа и включает в себя загрузку устройства, не позволяя системе загрузить сохраненную конфигурацию. Видеть здесь для ASA и здесь для роутеров IOS.