21T5 Radius na Routerze Cisco IOS

Dostęp Administracyjny

Więcej miejsc do posłuchania:

Spotify

Link do artykułu.

0:00 Scenariusz

0:40 Środowisko – 2 routery

1:51 Router R1 2:28 Router R2

2:55 Konfiguracja serwera Radius

3:35 Skonfigurowanie serwera Radius

6:30 Dodanie serwera Radius – adres IP

7:00 Dodanie domeny do Routera

9:25 Łączenie z R2 do R1 przez SSH

11:30 Podsumowanie

Transkrypcja

Cześć. Chciałbyś się dowiedzieć jak skonfigurować serwer Radius na routerze Cisco IOS? Jeżeli tak, to ten odcinek właśnie, będzie pokazywał jak to zrobić. Żeby to lepiej zobrazować, scenariusz, który tutaj będę komentował, będzie dotyczył uwierzytelnienia administracyjnego na routerze Cisco, w oparciu właśnie o Radiusa. Żeby zrobić taką konfigurację, to oczywiście trzeba najpierw dodać część konfiguracji dotyczącą Radius. I trzeba dodać część konfiguracji administracyjnej.

Nie ma co dłużej czekać, zaczynajmy. Jeżeli chodzi o środowisko, które tutaj widzisz, to mam 2 routery. Router nr. 1 będzie tym routerem, na którym Mateusz skonfiguruje tą potrzebną informację do komunikacji z serwerem Radius. Router R2 będzie dotyczył sprawdzania logowania, czyli po prostu ssh z R2 będzie wywoływane po to, żeby do R1 się podłączyć. Serwer Radius, który widzisz tutaj na górze przez interfejs Fa0/3 na switchu będzie służył do wykonywania uwierzytelnień. Dodatkowo w tym scenariuszu, żeby sprawdzić co się stanie, jeżeli będzie niedostępny serwer Radius, zostanie skonfigurowana na R1 również taka funkcjonalność zapasowego uwierzytelniania na wypadek utraty komunikacji z Radiusem.

Czyli w takim przypadku R1 będzie uwierzytelniał według lokalnej bazy użytkowników. Okej, no to zaczynajmy. Czyli tak, najpierw konfigurację Mateusz rozpoczyna od wpisania na routerze R1, wpisuje informacje o adresie IP. Adresacja będzie taka, że R1 na interfejsie G0/0/0, to, co tutaj widzisz. Będzie miał adres 192.168.1.1. Jeżeli chodzi o R2, to tutaj będzie 1.2 a jeżeli chodzi o serwer Radius, to będzie 192.168.1.3. Dobrze, mamy teraz już interfejs skonfigurowany IP na R1. Teraz podstawowa konfiguracja na R2. Tak samo interfejs G0/0/0. Adres z końcówką 1.2. Włączenie interfejsu.

Widać, że tutaj R1 jest już właściwie podłączony, R2 też już prawie. Trzeba chwilę poczekać aż się ten link zapali na zielono. Teraz konfiguracja serwera Radius. Czyli adres IP dla serwera 192.168.1.3, czyli mamy wszystkie urządzenia w jednej podsieci. W tym przykładzie switch pracuje w trybie L2. Sprawdzamy czy jest komunikacja. Oczywiście ping z poziomu konfiguracyjnego nie zadziałał, ale już ping z poziomu podstawowego jest jak najbardziej skuteczny, czyli jest komunikacja z R1 do 1.2 , czyli do R2, jest komunikacja do serwera Radius.

Kolejną konfiguracją, kolejnym krokiem jest skonfigurowanie serwera aaa. Mamy tutaj już taki prekonigurowany profil, czyli możemy tylko podstawowe dane wpisując, uruchomić serwer radiusowy w tym Cisco Trackerze. Czyli to, co uruchomiliśmy to nazwę klienta R1, adres IP klienta i klucz, który jest potrzebny, żeby się połączyć. Czyli zapytania do serwera Radius będą akceptowane tylko z adresu, który jest tutaj wpisany jako klient i z właściwym kluczem.

Co więcej, mamy tutaj wpisanych dwóch użytkowników. To są użytkownicy wpisani na Radiusie, czyli test, hasło test i test1, hasło test1. Mamy dwóch użytkowników skonfigurowanych na Radiusie. Kolejnym krokiem jest wykonanie konfiguracji routera R1. No to zobaczmy jakie kroki trzeba wykonać. Najpierw Mateusz chce przełączyć do modelu new model aaa na routerze Cisco, czyli chodzi o rodzaj składni, który jest tutaj używany. Standardowo dzisiaj używa się tego modelu new model, w zasadzie tylko tego. I chciał dodać tutaj użytkownika, backup lokalnego z hasłem backup1. To się nie powiodło, dlatego że ten tryb new model nie został włączony. W związku z tym to polecenie w tej składni nie mogło zadziałać. To, co teraz dodaje Mateusz, to jest lokalny użytkownik, czyli username backup, secret backup1, czyli to jest hasło a to jest użytkownik.

Teraz ustawienie uwierzytelniania. W grupie domyślnej i ma być wykorzystywany najpierw Radius a potem local. Polecenie nie powiodło się. Nie ma takiego polecenia. To dlatego, że nie ma włączonego tego modelu konfiguracyjnego aaa new model. Za chwilę zostanie to włączone i będzie można taką składnię wykonać. Teraz został tryb new model aaa włączony na routerze i składnia jak widzisz authentication login, czyli teraz mówimy o uwierzytelnianiu w tym module konfiguracji, czyli uwierzytelnianie logowania do urządzenia. W profilu default będzie zawierało grupy, czyli źródło uwierzytelniania. Najpierw Radius a jeżeli Radius nie będzie dostępny, to router będzie próbował uwierzytelniać użytkowników z lokalnych haseł. I taki scenariusz chcemy zrealizować. No i widzimy, że po włączeniu modelu new model aaa, mamy możliwość wpisania właściwej składni, czyli aaa authentication enable default group radius local, tak jak wcześniej Mateusz to próbował zrobić tylko teraz zostało to właściwie zaakceptowane, bo aaa new model został skonfigurowany.

Kolejnym krokiem, który trzeba wykonać jest dodanie serwera Radius, czyli dodajemy adres IP konkretnego serwera, który będzie wykorzystywany, plus klucz, który będzie służył do połączenia z tym serwerem Radius. Końcówka 1.3, to jest właśnie adres IP naszego serwera Radius, który mamy właśnie w tej naszej topologii.

Kolejnym krokiem, który trzeba skonfigurować jest dodanie domeny dla tego routera i standardowo nazwa, która tutaj funkcjonuje, będzie razem z tą domeną elementem, który jest potrzebny do wygenerowania kluczy. Więc żeby uruchomić teraz IP ssh, bo chcemy przez ssh uwierzytelniać się czy logować się do tego routera. Ssh w wersji drugiej. Żeby to zrobić trzeba wygenerować klucze.

Standardowo na urządzeniach, na routerach Cisco, te klucze nie istnieją, trzeba je wygenerować komendą crypto key generate. I podać jaki parametr generacji tego klucza ma być. Jak widzisz, ta nazwa routera musi być najpierw zmieniona, żeby wygenerowanie klucza zadziałało. Generujemy klucze, w tym przykładzie, RSA i wpisujemy długość klucza. Tutaj oczywiście dla naszych przykładowych zastosowań można spokojnie użyć klucz 1024. Co ciekawe, jeżeli chodzi o długość kluczy dzisiaj stosowanych, to zaleca się według najlepszych praktyk eliptyczne algorytmy, czyli klucze ESCA. Natomiast jeżeli już nie masz innej opcji albo z innych powodów potrzebujesz, no to dobrze, żeby ten klucz był powyżej 2048 a najlepiej 4096.

Dobra, wracamy do generowania. Czyli mamy już klucz wygenerowany pod ssh. Kolejnym krokiem jest włączenie obsługi zdalnego połączenia, czyli vty 0 4. I tutaj włączenia transportu, czyli protokołu wykorzystywanego ssh. W ten sposób mówimy routerowi, że będziemy przez ssh się łączyć do vty, czyli do zdalnych terminali. I tu akurat 4 terminale są wymienione.

Co więcej tutaj jest do skonfigurowania. Będziemy uwierzytelniać według ustawień grupy default, czyli to, co wcześniej wykorzystywaliśmy w poleceniu aaa i group authentication group default. Czyli przypomnę, że najpierw był Radius a potem baza lokalna. Teraz Mateusz przeszedł do konfiguracji R2, czyli jesteśmy na routerze R2 i przez ssh będziemy się łączyć do routera R1.

Wywołanie polecenia. Tutaj router nie ma większego znaczenia. Chodzi o to, że to jest host. Czyli ssh -l czyli login, nazwa użytkownika, -v nie zadziałało, musi być -v2, czyli w wersji drugiej ssh i tu wpisanie użytkownika i hasła. Czyli login mamy, tu jeszcze tylko hasło i widać, że jesteśmy zalogowani na R1 za pomocą loginu test, czyli tego użytkownika, który został skonfigurowany jako konto radiusowe. Okej, czyli wyjście teraz z tego routera i kolejny użytkownik test1, czyli przykład zalogowania się przez użytkownika drugiego, którego mamy skonfigurowanego na Radiusie i oczywiście próba również udana. To, co teraz Mateusz jeszcze chciał nam pokazać – chciał zasymulować zachowanie się tego mechanizmu uwierzytelnienia, jeżeli zasymulujemy awarię. Czyli to, co zrobił, to wszedł na interfejs na switchu 03. 03 to jest tutaj, zauważ, podłączenie serwera Radius. Następnie wydał polecenie shut, czyli wyłączył interfejs. Na rysunku widać, że interfejs jest wyłączony. Czyli R1 w tym momencie nie ma podłączenia do serwera Radius. Czyli będziemy korzystać z tego profilu zapasowego – uwierzytelnienia w lokalnej bazie użytkowników.

Zobaczmy jak ta próba się powiedzie. Teraz przełączenie na router R2, czyli stąd się logujemy. Próba logowania użytkownikiem backup, to był użytkownik lokalny, jeżeli pamiętasz na adres R1. Hasło zostało właściwie wpisane i jesteśmy zalogowani na R1 z wykorzystaniem lokalnego konta, które było skonfigurowane wcześniej na R1.

To wszystko, jeżeli chodzi o przykład konfiguracji Radiusa w wykorzystaniu logowania administracyjnego. Jeżeli masz jakieś sugestie, to oczywiście napisz.

Bazując na tej części konfiguracji Radiusa możemy również inne funkcjonalności w oparciu o uwierzytelnianie tego serwera zdalnego, czyli serwera Radius, uskuteczniać. Jeżeli to Ci się podobało albo chcesz dowiedzieć się więcej, to zachęcam Cię do wysłuchania mojego podcastu, w którym rozwijam bardziej szczegółowo tą stronę teoretyczną, dlaczego się tak stosuje, jakie to ma zalety, jakie ma wady, jakie są potencjalne alternatywy.

Na dzisiaj Ci dziękuję, do usłyszenia już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.