L’authentification, l’autorisation et la comptabilité, également connues sous le nom AAA, sont essentielles pour gérer la sécurité des connexions sur les routeurs et les commutateurs. De nombreuses personnes qui implémentent AAA peuvent ne pas bien comprendre les commandes qu’elles utilisent dans la configuration du routeur. Au lieu de cela, ils copient souvent des configurations AAA à partir d’un autre périphérique de travail sans beaucoup de réflexion. Cependant, il est important de comprendre le but de ces commandes et d’examiner si un AAA est nécessaire et comment le mettre en œuvre efficacement. Dans cet article, nous allons explorer quelques bonnes pratiques pour la configuration AAA.

Si vous travaillez dans un environnement qui utilise AAA, vous avez très probablement un serveur TACACS+ ou ACS en place pour la gestion des connexions sur vos appareils. AAA travaille aux côtés de TACACS+ pour gérer la sécurité des connexions. Il détermine qui peut se connecter (authentification), quelles actions ils sont autorisés à effectuer (autorisation), et garde une trace des commandes utilisées (comptabilité).

J’ai récemment collaboré avec Cisco pour établir les meilleures pratiques de configuration AAA sur un routeur. Voici ce que nous avons réalisé:

Aaa nouveau modèle

Authentification aaa login groupe par défaut tacacs+ local

Authentification aaa activer le groupe par défaut tacacs+ activer

Autorisation aaa config-commandes

Autorisation aaa exec groupe par défaut tacacs+ authentifié if local

Commandes d’autorisation aaa 1 groupe par défaut tacacs+ if-authentifié

Commande d’autorisation aaa 15 tacacs de groupe par défaut + authentifié if local

Aaa comptabilité exec par défaut start-stop groupe tacacs+

Commandes comptables aaa 1 groupe start-stop par défaut tacacs+

Commandes de comptabilité aaa 15 tacacs par défaut de groupe start-stop +

Certaines configurations de routeurs peuvent sembler plus intimidantes que d’autres, et AAA est certainement l’une d’entre elles. Mais don't inquiétude, nous avons#39;ll le décomposer et vous ' nous voyons qu’il y a#- 39 - pas aussi difficile qu’il n’y paraît.

Alors let' S jetez un oeil à chaque ligne une par une...

Aaa nouveau modèle

Cette ligne active simplement AAA sur le routeur.

Authentification aaa login groupe par défaut tacacs+ local

Ici, nou're disant que pour l’authentification de login, nous devrions utiliser le groupe par défaut, qui est tacacs+. Si tacacs+ échoue, alors we'll utiliser le compte utilisateur local configuré sur le routeur. (que ' S pourquoi il#39; S important d’avoir un utilisateur local configuré sur votre routeur.)

Authentification aaa activer le groupe par défaut tacacs+ activer

Pour activer l’authentification en mode, we're en utilisant le groupe par défaut tacacs+ (notez que we' ne pas utiliser le mot-clé local ici). C’est parce qu’un utilisateur défini localement aura spécifié le niveau d’autorisation dont il a besoin. Par exemple, le niveau 15 obtient le mode enable.

Autorisation aaa config-commandes

Cette ligne nous indique que nous voulons vérifier avec TACACS+ pour autoriser l’entrée en mode config.

Autorisation aaa exec groupe par défaut tacacs+ authentifié if local

Notez le " if-authentifié " Mot-clé à la fin de cette ligne. Cela signifie que si nous sommes authentifiés, nous serons immédiatement mis en mode exec (enable).

Commandes d’autorisation aaa 1 groupe par défaut tacacs+ if-authentifié

Comme pratique exemplaire, Cisco recommande de configurer l’autorisation pour chaque niveau d’accès des utilisateurs aux périphériques réseau. Dans cette commande, nous autorisons les utilisateurs de niveau 1, ce qui est équivalent au mode non-enable. Une méthode de secours doit être configurée, comme un utilisateur local. Cela nécessite également l’utilisation de tacacs+.

Commande d’autorisation aaa 15 tacacs de groupe par défaut + authentifié if local

Ici, nous autorisons les utilisateurs de niveau 15 contre tacacs+. Si tacacs+ n’est pas disponible, alors le compte utilisateur local est utilisé. S’il est authentifié, l’utilisateur sera immédiatement placé en mode exec/enable.

Aaa comptabilité exec par défaut start-stop groupe tacacs+

L’activation de la comptabilité AAA pour chaque niveau de commandes assure la responsabilité de l’utilisation des commandes privilégiées sur le routeur. Les niveaux de privilège varient de 1 à 15, 15 étant le niveau le plus élevé. Certaines organisations peuvent vouloir implémenter des niveaux supplémentaires de commandes, où le niveau 1 peut être pour un bureau d’assistance et le niveau 15 pour les administrateurs réseau.

Commandes comptables aaa 1 groupe start-stop par défaut tacacs+

C’est une commande optionnelle en termes de bonnes pratiques, mais elle fournit la responsabilité ou le suivi de l’activité des utilisateurs même s’ils se sont seulement connectés (pas en mode exec/enable).

Commandes de comptabilité aaa 15 tacacs par défaut de groupe start-stop +

Cette commande fournit la comptabilité pour les administrateurs ou les utilisateurs avec le niveau de privilège 15.

... et... Et que ' S it! Vous voyez? Une fois que vous passez par chaque ligne, it' S pas si difficile. Le plus grand défi consiste à comprendre la structure de commande complexe de Cisco.

J’espère que cette rupture a contribué à clarifier un peu les choses.

À la prochaine fois - FREAK!