/
Etapa-033-ConfiguracaoDoTacacsRadiusNoSwitchRouter.txt
173 lines (147 loc) · 8.11 KB
/
Etapa-033-ConfiguracaoDoTacacsRadiusNoSwitchRouter.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
!Autor: Robson Vaamonde
!Procedimentos em TI: http://procedimentosemti.com.br
!Bora para Prática: http://boraparapratica.com.br
!Robson Vaamonde: http://vaamonde.com.br
!Facebook Procedimentos em TI: https://www.facebook.com/ProcedimentosEmTi
!Facebook Bora para Prática: https://www.facebook.com/BoraParaPratica
!Instagram Procedimentos em TI: https://www.instagram.com/procedimentoem
!YouTUBE Bora Para Prática: https://www.youtube.com/boraparapratica
!Data de criação: 12/05/2020
!Data de atualização: 12/05/2020
!Versão: 0.01
!Testado e homologado no Cisco Packet Tracer 7.3 e GNS3 2.2.7
!AAA (Authentication, Authorization and Accounting) em segurança da informação, é uma referência aos
!protocolos relacionados com os procedimentos de autenticação, autorização e contabilização.
!RADIUS (Remote Authentication Dial In User Service) é um protocolo de rede que fornece gerenciamento
!centralizado de Autenticação, Autorização e Contabilização para usuários que se conectam e utilizam
!um serviço de rede.
!O protocolo padrão utilizado pelo RADIUS é o UDP (User Datagram Protocol) na porta padrão: 1812
!OBSERVAÇÃO: o protocolo RADIUS também utiliza as portas: 1812, 1813, 1645 e 1646
!TACACS (Terminal Access Controller Access-Control System) é um protocolo de autenticação remota usado
!para comunicação com servidores de autenticação, ele permite que um servidor de acesso remoto se
!comunique com um servidor de autenticação para verificar se o usuário tem direitos ao acesso à rede.
!O protocolo padrão utilizado pelo TACACS+ é o TCP (Transmission Control Protocol) na porta padrão: 49
!PRIMEIRA ETAPA: Configuração do Servidor AAA Radius e Tacacs+
!OBSERVAÇÃO: no Cisco Packet Tracer por padrão o Serviço do AAA está desligado
Service On
Radius Port 1645
Network Configuration
Client Name sw-l3-3560-1 Client IP 192.168.3.254 Secret pti Server Type Tacacs
sw-l2-2960-3 Client IP 192.168.3.250 Secret pti Server Type Tacacs
sw-l2-2960-4 Client IP 192.168.3.251 Secret pti Server Type Tacacs
rt-1941-2 Client IP 192.168.2.254 Secret pti Server Type Radius
User Setup
Username pti Password pti
!SEGUNDA ETAPA: Configuração do Switch Layer 3 3560
!OBSERVAÇÃO IMPORTANTE: No Switch Layer 3 temos apenas o recurso de AAA TACACS+, não está disponível no Cisco Packet
Tracer a possibilidade de configuração do AAA RADIUS
!Acessando o modo EXEC Privilegiado
enable
!Acessando o modo de Configuração Global de Comandos
configure terminal
!Configuração do Modelo de Autenticação AAA
!DICA: quando habilitado o recurso de autenticação do AAA, essa é a primeira opção a ser configurada
!OBSERVAÇÃO: o comando aaa new-model aplica imediatamente a autenticação local a todas as linhas e console
!OBSERVAÇÃO: existe a possibilidade de criar modelos de autenticação personalizados para cada grupo de usuários
aaa new-model
!Configuração da Autenticação AAA de Login do Console e VTY
!DICA: configurando essa opção, o acesso ao modo EXEC será feito consultando o servidor de AAA
!OBSERVAÇÃO: o comando aaa authentication login autentica os usuários que querem o acesso ao modo EXEC
!OBSERVAÇÃO: é recomendado configurar a autenticação AAA com Backup de usuários locais: AAA + Local
!OBSERVAÇÃO: será criado uma lista padrão (default) de autenticação dos usuários, podemos criar nossa lista
!EXEMPLO: aaa authentication login boraparapratica group tacacs+ local
!OBSERVAÇÃO: utilizando a opção grupo (group) configuramos a possibilidade de usar o TACACS+ e Local
!ADENDO IMPORTANTE: os usuários locais só serão utilizados quando os Servidores AAA TACACS+ ou RADIUS estiverem
!Off-Line (fora de serviço)
aaa authentication login default group tacacs+ local
!Configuração da Autenticação AAA de Login do Modo EXEC Privilegiado
!DICA: configurando essa opção, o acesso ao modo EXEC Privilegiado será feito consultando o servidor de AAA
!OBSERVAÇÃO: segue o mesmo procedimento da configuração de login, primeiro AAA depois Local
aaa authentication enable default group tacacs+ local
!Configuração da Autorização AAA do Modo EXEC
!DICA: as configurações de autorização está relacionada ao nível de privilégio de acesso ao Shell
!OBSERVAÇÃO: no Cisco Packet Tracer os níveis de privilégios de acesso são limitados
!OBSERVAÇÃO: nas configurações de autorização temos as opções: exec e network (Protocolos SLIP, PPP, e ARAP)
aaa authorization exec default group tacacs+ local
!Configuração dos Avisos de Contabilização AAA
!DICA: as configurações de contabilização está relacionada aos tipos de avisos enviados para contabilização
!OBSERVAÇÃO: no Cisco Packet Tracer os níveis de contabilização são limitados
!OBSERVAÇÃO: nas configurações da contabilização temos as opções: start-stop e stop-only
aaa accounting exec default start-stop group tacacs+
!Configuração do Servidor de Autenticação AAA TACACS+
!DICA: a configuração do endereço IPv4 do Servidor AAA e da chave de autenticação
!OBSERVAÇÃO: no Cisco Packet Tracer, os Switches Layer 2 e 3 são limitados somente a autenticação TACACS+
tacacs-server host 192.168.3.1 key pti
!Configuração das Linhas Virtuais (VTY) do Switch Layer 3 3560
line vty 0 5
!Alteração da forma da autenticação de acesso das Linhas Virtuais
!DICA: alterar a forma da autenticação das Linhas permite utilizar usuários Locais e Remotos
!OBSERVAÇÃO: na configuração do Script Base do Switch o padrão definido foi login local
!OBSERVAÇÃO: a opção de authentication default força utilizar o método de autenticação AAA
login authentication default
!Configuração da contabilização da autenticação das Linhas Virtuais
!DICA: alterar a forma de contabilização das Linhas permite enviar avisos de utilização dos terminais
!OBSERVAÇÃO: essa contabilização será feita com base no comando: aaa accounting exec default
accounting exec default
exit
!Configuração do Console do Switch Layer 3 3560
line console 0
login authentication default
accounting exec default
end
!Salvando as configurações da memória RAM para a memória NVRAM
write
!TERCEIRA ETAPA: Configuração dos Switches Layer 2 2960
!OBSERVAÇÃO IMPORTANTE: O recurso de AAA só está disponível no Switch Layer 2 2960 na versão do IOS 15,
!para essa configuração é necessário fazer o Upgrade do IOS. No Switch Layer 2 temos apenas o recurso
!de AAA TACACS+, não está disponível no Cisco Packet Tracer a possibilidade de configuração do AAA RADIUS
enable
copy tftp: flash:
192.168.3.1
c2960-lanbasek9-mz.150-2.SE4.bin
configure terminal
boot system c2960-lanbasek9-mz.150-2.SE4.bin
end
write
reload
enable
configure terminal
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
tacacs-server host 192.168.3.1 key pti
line vty 0 5
login authentication default
accounting exec default
exit
line console 0
login authentication default
accounting exec default
end
write
!QUARTA ETAPA: Configuração do Router 1941-2
enable
configure terminal
!OBSERVAÇÃO: alterado o tipo do Servidor AAA para RADIUS
aaa new-model
aaa authentication login default group radius local
aaa authentication enable default group radius local
aaa authorization exec default group radius local
aaa accounting exec default start-stop group radius
radius-server host 192.168.3.1 key pti
line vty 0 5
login authentication default
accounting exec default
exit
line console 0
login authentication default
accounting exec default
end
write
!Visualizando as configurações da memória RAM
show running-config | section aaa
show running-config | include tacacs
show running-config | include radius
show users