AAA 인증
§Authentication (인증) :
• Who are you?
• “I am user student and my password validateme proves it.”
§ Authorization (인가, 권한부여) :
• What can you do? What can you access?
• “User student can access host serverXYZ using Telnet.”
• “Assign an IP address and ACL to user student connecting through VPN.”
• “When user student starts an EXEC session, assign privilege level 10.”
§ Accounting (감사 ) :
• What did you do? How long and how often did you do it?
• “User student accessed host serverXYZ using Telnet for 15 minutes.”
• “User student was connected to VPN for 25 minutes.”
• “EXEC session of user student lasted 20 minutes and only show commands we re executed.”
- Privilege Level
- Cisco Device의 경우도 권한 설정을 통해 사용자 별로
접근할 수 있는 제어할 수 있다.
- Cisco Device에서 Privilege Level은 0 ~ 15까지
(15가 최상위 권한으로 모든 접근이 가능)
- Cisco IOS의 모드는 크게 다음과 같이 구분이 가능
- EXEC Mode
-> 'show' 명령어를 사용하여 장비의 정보를 확인할 수 있다.
하지만 새롭게 설정을 입력하거나 변경하는 것은 불가능
1) User mode(>)
-> Privilege Level이 1로 기본적인 정보만 확인이 가능
권한 레벨이 낮기 때문에 중요한 정보를 확인이 불가능
2) Privileged mode(#)
-> 기본적인 Privilege Level이 15이기 때문에 최상위 권한을 갖고 있다.
즉, 모든 정보를 확인하는 것이 가능하고 설정 모드로 이동이 가능하다.
-> 관리자가 Privilege Level 2 - 14 까지의 권한을 제어하는
것이 가능하다.
- Configuration Mode
1) Global Configuration mode [ (config)# ]
2) Specific Configuration moede
-> (config-if)#
-> (config-router)#
-> (config-line)#
- 상위 Level의 경우 하위 Level의 권한을 갖고 있다.
때문에 Privilege Level 2인 경우에도 Level 1의
명령어를 사용하는 것이 가능하다.
- Privilege Level 2 - 14는 관리자가 정의하는 권한으로
별도의 명령어를 허용하지 않는 경우 Privilege Level 1의
권한과 동일하다.
<DSW1>
-> level 2,level 3에 password 설정
conf t
enable secret level 2 cisco2
enable secret level 3 cisco3
enable secret level 4 cisco4
enable secret cisco15
-> exec 모드에서 level 2,3에 해당 명령어 허용하는 설정
privilege exec level 2 show running-config
privilege exec level 3 configure terminal
privilege configure level 4 interface
privilege configure level 4 router
privilege configure level 4 ip address
privilege configure level 4 shutdown
- username 설정
즉 username과 level 2, 3, 4, 15에 password를 각각 설정한 것이다.
username user1 password cisco123
username user2 privilege 2 password cisco123
username user3 privilege 3 password cisco123
username user4 privilege 4 password cisco123
username user15 privilege 15 password cisco123
- console 0과 0~4 세션이 login local 인증을 통한 telnet 접속 설정
line console 0
login local
line vty 0 4
login local
<DSW2>
conf t
line con 0
no privilege level 15
line vty 0 4
no privilege level 15
enable secret cisco15
username admin privilege 15 password cisco123
aaa new-model
tacacs-server host 10.10.50.4 single-connect key cisco123
aaa authentication login VTY_AUTH group tacacs+ local
aaa authentication login CON_AUTH local
line vty 0 4
login authentication VTY_AUTH
line con 0
login authentication CON_AUTH
PPP (점대점 구간에서 사용하는 프로토콜)
PPPoE -> ADSL
인증 CHAP,PAP(평문)
NAS(Network Access Service)
- AAA(Authentication, Authorization, Accounting)
접근 모드
Character mode
: 장비를 설정하거나 제어
Packet mode
: PPP,network 같은 접근
- AAA Configuration
- TACACS+ 사용
<DSW1>
conf t
aaa new-model
-> aaa로 인증이 가능
tacacs-server host 10.10.50.4 single-connection key cisco123
(shared key로 입력)
aaa authentication login default group tacacs+ local none
- 모든 로그인은 설정한 값으로 한다.
-> 위와 같이 'default' 방식을 사용하게 되면 장비의 모든
접근(CON/VTY/AUX)에 대한 인증은 위에서 정의한 방식
(Tacacs+ 서버 -> Local)으로 처리하겠다는 의미이다.
-> 접근 방식 별로 서로 다른 인증을 처리하기 위해서는
다음과 같이 설정한다.
aaa authentication login VTY_AUTH group tacacs+ local
-> aaa VTY 인증은 tacacs 인증 서버에서 먼저 처리하고 안되면 local로 처리
aaa authentication login CON_AUTH local
- aaa console에 대한 인증은 local로 처리한다.
line vty 0 4
login authentication VTY_AUTH
line con 0
login authentication CON_AUTH
test aaa group tacacs+ user1 cisco123 legacy
-> 인증 방식 test 확인
'network 보안' 카테고리의 다른 글
| IPSec VPN (1) | 2016.09.01 |
|---|---|
| IEEE 802.1X 인증(= dot1x 인증) (0) | 2016.09.01 |
| IP Spooping (0) | 2016.09.01 |
| DNS 공격 및 방어 (0) | 2016.09.01 |
| DHCP 관련 Attack 및 방어 (0) | 2016.08.31 |