ว่าด้วย SSH กับ AAA บน Cisco Devices

posted on 17 Apr 2010 16:39 by xpipato in Network

SSH 

ปกติแล้ว ในการเรียนการสอนปกติ จะสอนการ telnet ในการรีโมตระยะไกล

แต่วันนี้เราจะมาสอวิธีการใช้ SSH ซึ่งเป็นกระบวนการที่ปลอดภัยกว่า

ps. ยกตัวอย่างการทำ ssh บน Cisco Router 3640  

สรุปเป็นขั้นตอนดังนี้

1. ตั้ง domain name ด้วยคำสั่ง 

Router(config)#ip domain name test_ssh.com 

 

2. เปลี่ยนชื่อ Device Name ที่จากคำว่า Router เป็นอะไรก็ได้ เช่น R1

Router(config)#hostname R1

 

3.  ตั้ง username และ password [ในที่นี้เราจะใช้ secret เพื่อความปลอดภัย] 

R1(config)#username admin secret cisco [อธิบาย : username คือ admin และ secret คือ cisco]

และให้ตั้งรหัสสำหรับการเข้า Privillege mode โดยใช้คำั่สั่ง

R1(config)#enable secret cisco 

 

4. เพิ่มการตั้งค่าในส่วนของการเข้ารหัส เพื่อความปลอดภัย 

R1(config)#crypto key generate rsa general-keys modulus 1024

เมื่อกด Enter แล้ว หน้าจอจะแจ้งข้อความ ดังนี้

 

The name for the keys will be: R1.test_ssh.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

*Mar  1 00:03:23.847: %SSH-5-ENABLED: SSH 1.99 has been enabled

 

5. ทำการคอนฟิก Line vty ให้ใช้การรีโมทแบบ ssh

R1(config)#line vty  0 4

R1(config)#login local
 
R1(config)#transport input ssh 

 

 

6. ทำการตั้งค่า IP Address ให้กับ interface ของ R1 และทำการเชื่อมต่อกับ Host อีกเครื่อง 

หากใช้ PC ทดสอบ ให้ใช้โปรแกรม SecureCRT แต่หากใช้เราเตอร์ทดสอบ สามารถ ssh ผ่าน cmd ได้เลย

(R1).1--------172.16.1.0/24--------.2(R2)  

ตัวอย่างการ ssh ไปหา R1 โดยใช้เราเตอร์อีกตัวที่ชื่อว่า R2

"ssh -l  A.B.C.D

R2#ssh -l  admin  172.16.1.1

เมื่อกด Enter แล้ว หน้าจอจะร้องขอ Password จากเรา ให้เราใส่ Password ที่เราตั้งเอาไว้ ซึ่งก็คือ cisco

จะพบว่าสามารถล็อกอินแบบ ssh ได้สำเร็จ

-----------------------------------------------------BREAK--------------------------------------------------------

 

AAA 

มาต่อ กันที่เรื่อง AAA [อ่านว่าไรฟะ ทริปเปิ้ลเอป่ะ?]

ถึงผมอ่านไม่ออก แต่รู้ว่ามันคือตัวย่อของ 3 คำ ซึ่งมีความสำคัญทางด้าน Security มาก ได้แก่

1. Authentication การยืนยัน,ระบุตัวตน - เป็นใคร? 

2. Authorization การมอบสิทธิใช้งาน - คนๆนี้ มีสิทธิแค่ไหน (read/write)

3. Accounting การทำบัญชีผู้ใช้ - คนๆนี้เข้ามาทำอะไรบ้าง 

แน่นอนว่า การทำ AAA ย่อมเป็นการเพิ่มความปลอดภัยให้กับเครือข่ายของเรา ทำให้เราทราบว่า

- ใครมีสิทธิเข้ามาใช้งานในเครือข่ายของเราบ้าง? เช่นการล็อกอินเพื่อระบุตัวตนผู้ใช้

- คนที่มีสิทธิเข้ามา มีสิทธิแค่ไหน? เช่น admin, super-user หรือ guest 

- คนที่เข้ามาแล้ว ได้ทำอะไรในเครือข่ายของเราบ้าง? เช่นการส่ง log file ไปเก็บไว้ใน server

 

สำหรับการใช้งาน AAA บนอุปกรณ์ของ Cisco จะแบ่งออกได้เป็นสองรูปแบบใหญ่ๆคือ

1) Local AAA

2) Server-Based AAA 

 

 

 

สำหรับวันนี้เราจะลอง Local AAA ก่อน ซึ่งก็คือการควบคุมการ Authentication, Authorization

และ Accounting โดยใช้ Router หรือ Firewall สามารถทำได้ดังนี้

เราต้องทำการแอดค่า username และ password เก็บไว้บน Router

1. เหมือนเดิมครับ ใช้ Router 2 ตัว ตั้งชื่อว่า R1 และ R2 และตั้งไอพีให้ทั้งสองตัว [ปิงกันให้ได้ด้วยนะ]

2. แอดค่า username และ password เข้าไปให้ R1 [แอดได้หลายชุด]

R1(config)#username admin secret cisco

ปล.นอกจากนี้เราควรตั้ง password สำหรับการ enable เข้าสู่ Privillege ด้วย

R1(config)#enable secret sanfran 

3. มาดูที่ R1 กันก่อน เราจะต้องทำการ enable aaa ขึ้นมาเพื่อใช้งานก่อน โดยการ

R1(config)#aaa new-model 

4. ตามด้วยคำสั่งดังนี้

R1(config)#aaa authentication {enable|login} default {enable|group|local|none}

อธิบายทีละท่อนละกัน

 - พารามิเตอร์ enable เป็นการคอนฟิกรูปแบบการ enable เข้าสู่ Privillege mode

 - พารามิเตอร์ login เป็นการคอนฟิกรูปแบบการ login เข้าสู่ Router ในทางต่างๆ เช่น Telnet, Console

ต่อมาคือพารามิเตอร์ default เป็นคำสั่งบังคับ แต่หากท่อนก่อนนี้เราเลือกที่จะใช้ login เราสามารถไม่ใช้ 

     note1#คำว่า default ก็ได้ เพราะ default คือการเหมารวม line ต่างๆ ไม่ว่าจะเป็น console หรือ vty ต่างๆ

     ดังนั้น หากเราต้องการ ใช้ aaa แค่บางช่องทาง เราสามารถพิมพ์คำสั่งได้ดังนี้

     R1(config)#aaa authentication login aaa_telnet {enable | group | local | none}

     ซึ่ง คำว่า aaa_telnet คือชื่อที่เราตั้งขึ้น สามารถนำคำนี้ไปใช้กับการ telnet ได้โดย

     R1(config)#line vty 0 4

     R1(config-line)#login authentication aaa_telnet 

มาดูพารามิเตอร์กลุ่มสุดท้ายกัน

 - พารามิเตอร์ enable หมายถึง ในการล็อกอิน(telnet หรือ enable) ให้ใช้ password ของคำสั่ง

    enable secret xxx อย่างเดียว

 - พารามิเตอร์ group หมายถึง ให้ใช้ username , password ของกลุ่ม RADIUS หรือ TACACS+ SERVER

 - พารามิเตอร์ local หมายถึง ให้ใช้ username และ password ที่เราแอดไปบนเราเตอร์ตัวนี้ ในการล็อกอิน

 - พารามิเตอร์ none หมายถึง ไม่ต้องมีการ Authen 

 

มาลองดูตัวอย่าง R1 และ R2

เราคอนฟิก R1 ให้มี username = admin , มี secret = cisco และ enable secret = sanfran

ดังนั้น หากเรา คอนฟิกเกี่ยวกับ AAA ว่า

  Ex1  aaa authentication enable default enable  

ผลลัพธ์คือ ไม่มีการถามรหัสตอนเข้าผ่าน line ต่างๆ ไม่ว่าจะเป็น telnet หรือ console ก็ตาม แต่จะให้ใส่

password ตอนเราพิมพ์ enable เพื่อเข้าสู่ Privillege Mode ซึ่งก็คือคำว่า sanfran นั่นเอง

  Ex2  aaa authentication enable default local 

ผลลัพธ์จะคล้ายกับ Ex1 แต่จะถาม username และ password ซึ่งจะเป็น คำว่า admin และ cisco 

  Ex3  aaa authentication login default enable

ผลลัพธ์ จะแตกต่างกับ Ex1 และ Ex2 คือ มันจะถามตั้งแต่เราเริ่มเข้า line เลย ไม่ว่าจะเข้าผ่านทาง

console หรือ telnet ก็ตาม แต่มันจะใช้ password จากการ enable อย่างเดียว ซึ่งก็คือ sanfran

  Ex4 aaa authentication login default local

ผลลัพธ์ จะคล้ายกับ Ex3 แต่จะใช้ username และ password เหมือน Ex2 คือ admin และ cisco

 

หวังว่าจะเป็ประโยชน์กับคนที่ต้องการนะ เพราะว่าตอนนี้อ่านเรื่องนี้อยู่พอดี คราวหน้ามาต่อกัน ในหัวข้อ

Server-Based AAA

ปล.มีอะไรสงสัย จะโพสถามในนี้เลยก็ได้ หรือแอดเมลมาถาม meangzaa@hotmail.com

 


edit @ 18 Apr 2010 02:01:28 by xpipato

Comment

Comment:

Tweet

จี้แม่งสบประมาทกุว่าทุกเอ็นทรีต้องมีรูปของกิน อันนี้ไม่มีแม่งซะเลย

#7 By xpipato on 2010-04-18 00:51

ฟายยย มีลืมลงชื่อด้วยนะ

#6 By xpipato on 2010-04-18 00:47

กุเอง

#5 By peng (124.120.25.21) on 2010-04-18 00:41

ติดขัดตรงไหนถามกุได้นะเม้ง

#4 By (124.120.25.21) on 2010-04-18 00:41

หลงเข้ามา แล้วก็จากไปอย่างรวดเร็ว เพราะไม่ใช่แนวทาง ฮ่าๆๆๆ

#3 By Planit (124.120.238.112) on 2010-04-18 00:38

สาธุ

#2 By xpipato on 2010-04-17 22:52

แจกเมล์ด้วยเว้ยเห้ยย !!
สาธุขอให้อานิสงส์ในการอัพครั้งนี้
ขอให้เมิงอัพตำแหน่งไว ๆ ฮ่า ฮ่า

#1 By alzhymer on 2010-04-17 22:40