Comments 21
None — аутентификация не требуется, доступ к устройству прдоставляется без ввода логина и пароля.
Это не совсем так и это же таит в себе ещё большую опасность, ибо позволяет зайти не только без логина и пароля, но и под любым логином. И у вас опечатка в слове предоставляется.
Вообще для радуиса и такакса всегда надо задавать пароль примерно так, иначе никакой секурности:
tacacs-server host IP
tacacs-server key 0 Правильно я понял, что правила ААА в MaxPatrol касаются только аутентификации? Почему забыли про LDAP? MaxPatrol узнает информацию про LDAP аутентификацию в Cisco?
www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/configuration/15-mt/sec_conf_ldap.html
В общем не зачет.
tacacs-server host IP
tacacs-server key 0 Правильно я понял, что правила ААА в MaxPatrol касаются только аутентификации? Почему забыли про LDAP? MaxPatrol узнает информацию про LDAP аутентификацию в Cisco?
www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/configuration/15-mt/sec_conf_ldap.html
В общем не зачет.
Про ключ tacacs+/radius не говорилось, впрочем и про остальные параметры tacacs+/radius тоже. Это отдельная тема.
В статье специально указано, что перечислены наиболее распространенные методы аутентификации. Аутентификация через LDAP в нашей практике встречается путем использования протокола radius и сервера Cisco ACS.
Случай заведения пользователя LDAP на Cisco, не совсем хороший пример и с точки зрения безопасности. Ведь в случае получения конфигурации устройства злоумышленником, пароль пользователя LDAP может быть восстановлен со всеми вытекающими….
MaxPatrol проверят авторизацию и учет событий, но в них схема отлична от аутентификации. Поэтому и описали только про аутентификацию
В статье специально указано, что перечислены наиболее распространенные методы аутентификации. Аутентификация через LDAP в нашей практике встречается путем использования протокола radius и сервера Cisco ACS.
Случай заведения пользователя LDAP на Cisco, не совсем хороший пример и с точки зрения безопасности. Ведь в случае получения конфигурации устройства злоумышленником, пароль пользователя LDAP может быть восстановлен со всеми вытекающими….
MaxPatrol проверят авторизацию и учет событий, но в них схема отлична от аутентификации. Поэтому и описали только про аутентификацию
Ну все-таки, есть ли поддержка LDAP и керберос для Cisco AAA у MP или нету??
До настоящего времени, с такой конфигурацией на практике не встречались, поэтому от нас такой проверки не требовали.
Но если в вашей Компании используется MaxPatrol, заведите заявку на https://support.ptsecurity.com/. Мы обсудим детали и постараемся сделать такую проверку ;)
Но если в вашей Компании используется MaxPatrol, заведите заявку на https://support.ptsecurity.com/. Мы обсудим детали и постараемся сделать такую проверку ;)
А ну и забыл сказать, что работать ничего не будет в случае с аутентификацией, ибо авторизация не настроена. Да и использовать TACACS без учета глупо. В общем тема статьи не раскрыта.
Вы ничего не путаете?
Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.
Авторизация — пользователю даются права на что-то.
Как первое для работы может требовать второе?
Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.
Авторизация — пользователю даются права на что-то.
Как первое для работы может требовать второе?
У вас проблемы с терминологией и её пониманием в практическом плане.
Вы хотите попасть в защищаемое помещение. Вы говорите охраннику, что Вы Вася Пупкин и даете паспорт, где написано, что Вы Вася Пупкин и есть фото — это идентификация (Вы назвали это аутентификацией), далее Вы говорите охраннику пароль «безысходность» — охранник в своей базе проверяет, что для Васи Пупкина правильный пароль действительно «безысходность» (это вы прошли аутентификацию), далее охранник говорит Вам, что вы пройдя в комнату можете только прыгать вверх на 3 метра и все (это авторизация), а затем он снимает все что вы делаете на камеру (это учет).
Так вот. Настроив только аутентификацию Вы не сможете ничего сделать, т.к. не прошли авторизацию (вам не дали прав что-либо сделать), это два неразрывно связанных процесса. Соответственно, в Вашем примере нет настройки авторизации, а значит чуда не будет, конфиг нерабочий. Кстати, ещё можно керберос использовать в ааа)
Вы хотите попасть в защищаемое помещение. Вы говорите охраннику, что Вы Вася Пупкин и даете паспорт, где написано, что Вы Вася Пупкин и есть фото — это идентификация (Вы назвали это аутентификацией), далее Вы говорите охраннику пароль «безысходность» — охранник в своей базе проверяет, что для Васи Пупкина правильный пароль действительно «безысходность» (это вы прошли аутентификацию), далее охранник говорит Вам, что вы пройдя в комнату можете только прыгать вверх на 3 метра и все (это авторизация), а затем он снимает все что вы делаете на камеру (это учет).
Так вот. Настроив только аутентификацию Вы не сможете ничего сделать, т.к. не прошли авторизацию (вам не дали прав что-либо сделать), это два неразрывно связанных процесса. Соответственно, в Вашем примере нет настройки авторизации, а значит чуда не будет, конфиг нерабочий. Кстати, ещё можно керберос использовать в ааа)
Проблем с терминологией у меня нет, именно это я и имел ввиду.
В данном случае подразумеваются права на логин в железку. Именно это настраивается командами aaa authentication…
Всё прекрасно работает, проверьте сами.
В данном случае подразумеваются права на логин в железку. Именно это настраивается командами aaa authentication…
Всё прекрасно работает, проверьте сами.
Ну имели ввиду одно, а написали другое :D Более того, смысл ААА именно в связке трех компонентов, а не в том, чтобы настраивать один из них. Далее, что здесь проверять? Проверить, что аутентификация пройдет?) Я не ставил под сомнение, что она пройдет, прав на железку не будет, если не будет авторизации, будете постоянно успешно логиниться ) Собирать стенд, чтобы научить человека, которому за туже задачу платят деньги мне неинтересно, но готов провести курс повышения квалификации.
Тогда читаем внимательнее.
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль
«прав на железку не будет, если не будет авторизации, будете постоянно успешно логиниться»
Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?
Смысл ААА в централизованном хранении учёток и/или прав, чтобы устройства пользовались единой базой. Это устраняет необходимость поддерживать такую базу локально на каждом устройстве, что непрактично и зачастую невозможно.
А всякие связки трёх компонентов — побочный эффект, хоть и полезный.
Можно прекрасно делать ААА с RADIUS, который accounting, если не ошибаюсь не поддерживает.
Если вы не знаете, как работает ААА в Cisco, то на курсы повышения квалификации стоит сходить как раз вам, вместо того, чтобы писать тут заведомо неверные комментарии и лениться сделать стенд.
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль
«прав на железку не будет, если не будет авторизации, будете постоянно успешно логиниться»
Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?
Смысл ААА в централизованном хранении учёток и/или прав, чтобы устройства пользовались единой базой. Это устраняет необходимость поддерживать такую базу локально на каждом устройстве, что непрактично и зачастую невозможно.
А всякие связки трёх компонентов — побочный эффект, хоть и полезный.
Можно прекрасно делать ААА с RADIUS, который accounting, если не ошибаюсь не поддерживает.
Если вы не знаете, как работает ААА в Cisco, то на курсы повышения квалификации стоит сходить как раз вам, вместо того, чтобы писать тут заведомо неверные комментарии и лениться сделать стенд.
Уууу, все гораздо хуже чем я думал))
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль, знак равенства тут неверен. Чтобы подтвердить мне, что я msamoylov мне пароль не нужен, достаточно паспорта (идентификация), чтобы охранник проверил можно ли msamoylov сюда я называю пароль. Далее он проверяет в своей базе, есть ли msamoylov и правильность пароля. Если Вы не видите разницы по сравнению с тем, что написали, то печально.
«Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?»
Суть ААА, в том, что введя логин и пароль я сразу попадаю на железку с теми правами, которые мне определены на tacacs-сервере (таким может быть ACS). Если есть только аутентификация, то это не ААА, а только одна буковка А(аутентификация). Ведь вы не автоматом enable ввели, а ручками. У вас в шапке статьи написано, что разговор про ААА. Хотя тема аутентификация, в общем у вас противоречит то о чем пишете, с названием статьи. Ну и нет зрелого зерна в статье, т.е. вы применяете ААА без авторизация и учета, что для реальной жизни бесполезно и не является концепцией ААА.
Для Вас может быть RADIUS аккаунтинг и не поддерживает, но для всего остального мира поддерживает (http://tools.ietf.org/html/rfc2866).
Мне не нужен стенд, чтобы посмотреть как работает то, с чем я работаю более 5 лет)
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль, знак равенства тут неверен. Чтобы подтвердить мне, что я msamoylov мне пароль не нужен, достаточно паспорта (идентификация), чтобы охранник проверил можно ли msamoylov сюда я называю пароль. Далее он проверяет в своей базе, есть ли msamoylov и правильность пароля. Если Вы не видите разницы по сравнению с тем, что написали, то печально.
«Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?»
Суть ААА, в том, что введя логин и пароль я сразу попадаю на железку с теми правами, которые мне определены на tacacs-сервере (таким может быть ACS). Если есть только аутентификация, то это не ААА, а только одна буковка А(аутентификация). Ведь вы не автоматом enable ввели, а ручками. У вас в шапке статьи написано, что разговор про ААА. Хотя тема аутентификация, в общем у вас противоречит то о чем пишете, с названием статьи. Ну и нет зрелого зерна в статье, т.е. вы применяете ААА без авторизация и учета, что для реальной жизни бесполезно и не является концепцией ААА.
Для Вас может быть RADIUS аккаунтинг и не поддерживает, но для всего остального мира поддерживает (http://tools.ietf.org/html/rfc2866).
Мне не нужен стенд, чтобы посмотреть как работает то, с чем я работаю более 5 лет)
Не поленился, залез в вики.
Идентификация — установление личности субъекта.
Аутентификация — подтверждение подлинности субъекта.
Авторизация — проверка прав доступа субъекта к ресурсам.
Вот в этой фразе вы утверждаете, что подтверждение подлинности у вас — идентификация. Что неверно.
Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.
Всё равно, что сказать, что смысл Active Directory — применение групповых политик и SSO на ресурсы доверенных доменов, хотя это всё — дополнительные фишки. А смысл — наличие централизованной базы учёток.
Про RADIUS напутал, каюсь. Он не поддерживает покомандной авторизации. Помнил ведь, что что-то там не поддерживалось по сравнению с TACACS. =)
Статья, кстати, не моя. Автор работает в Positive Research и её цель — очевидно, показать возможности Max Patrol. :)
Идентификация — установление личности субъекта.
Аутентификация — подтверждение подлинности субъекта.
Авторизация — проверка прав доступа субъекта к ресурсам.
Чтобы подтвердить мне, что я msamoylov мне пароль не нужен, достаточно паспорта (идентификация)
Вот в этой фразе вы утверждаете, что подтверждение подлинности у вас — идентификация. Что неверно.
Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.
Всё равно, что сказать, что смысл Active Directory — применение групповых политик и SSO на ресурсы доверенных доменов, хотя это всё — дополнительные фишки. А смысл — наличие централизованной базы учёток.
Про RADIUS напутал, каюсь. Он не поддерживает покомандной авторизации. Помнил ведь, что что-то там не поддерживалось по сравнению с TACACS. =)
Статья, кстати, не моя. Автор работает в Positive Research и её цель — очевидно, показать возможности Max Patrol. :)
Тааак, ещё разик))
Я утверждаю, что идентификация — процесс опознания субъекта с помощью идентификаторов. Чтобы установить личность субъекта охраннику требуется документ, в котором есть идентификаторы личности ФИО+Фото, таким документом является паспорт, потому если я сказал что я msamoylov и дал паспорт, то охранник проверит идентификаторы (ФИО в паспорте и фото), соответственно подтверждение в моем примере нужно, т.к. я ситуацию описываю, где охранник не знает как я выгляжу и как меня зовут, если охранник знает заранее, то он видит меня, узнает по лицу к примеру таким образом я прохожу у него идентификацию. Про подтверждение я писал исключительно в моем примере, для моего примера это обязатльный был атрибут. Если он будет проверять, что паспорт не поддельный (про это я не писал), отсутствие у меня грима, маски и т.п., то тогда будет проверка подлинности.
«Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.»
Автомобиль нужен, чтобы доехать из пункта А в пункт Б. Чтобы автомобиль заработал нужно его завести, по факту автомобиль работает, но хренли толку от просто заведенного автомобиля? Ведь, чтобы поехать нам надо выжать сцепление, выставить скорость, сняться с ручника, затем отпустить сцепление и добавить газку, хотя это вообще вещи опциональные, но мы без них из пункта А в пункт Б не доедем. Так и здесь. Использование механизма ААА( автомобиля) только для одной буквы А(только завести тачку и загрузить в нее себя) не решает задач, для которых создан сей механизм.
Я утверждаю, что идентификация — процесс опознания субъекта с помощью идентификаторов. Чтобы установить личность субъекта охраннику требуется документ, в котором есть идентификаторы личности ФИО+Фото, таким документом является паспорт, потому если я сказал что я msamoylov и дал паспорт, то охранник проверит идентификаторы (ФИО в паспорте и фото), соответственно подтверждение в моем примере нужно, т.к. я ситуацию описываю, где охранник не знает как я выгляжу и как меня зовут, если охранник знает заранее, то он видит меня, узнает по лицу к примеру таким образом я прохожу у него идентификацию. Про подтверждение я писал исключительно в моем примере, для моего примера это обязатльный был атрибут. Если он будет проверять, что паспорт не поддельный (про это я не писал), отсутствие у меня грима, маски и т.п., то тогда будет проверка подлинности.
«Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.»
Автомобиль нужен, чтобы доехать из пункта А в пункт Б. Чтобы автомобиль заработал нужно его завести, по факту автомобиль работает, но хренли толку от просто заведенного автомобиля? Ведь, чтобы поехать нам надо выжать сцепление, выставить скорость, сняться с ручника, затем отпустить сцепление и добавить газку, хотя это вообще вещи опциональные, но мы без них из пункта А в пункт Б не доедем. Так и здесь. Использование механизма ААА( автомобиля) только для одной буквы А(только завести тачку и загрузить в нее себя) не решает задач, для которых создан сей механизм.
Ну и как бы хрен с тем, что вы написали. На свои вопросы я ответа не получил до сих пор:)
«Правильно я понял, что правила ААА в MaxPatrol касаются только аутентификации? Почему забыли про LDAP? MaxPatrol узнает информацию про LDAP аутентификацию в Cisco?
www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/configuration/15-mt/sec_conf_ldap.html»
«Правильно я понял, что правила ААА в MaxPatrol касаются только аутентификации? Почему забыли про LDAP? MaxPatrol узнает информацию про LDAP аутентификацию в Cisco?
www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/configuration/15-mt/sec_conf_ldap.html»
На этом примере видно, что настроены три Radius-сервера. Но возникает вопрос: как они будут работать? Первое, что приходит в голову: скорее всего, они будут работать по очереди: при недоступности 192.168.1.1 идет обращение к 192.168.1.2 и т. д. Но это не так.
Разве? Мне казалось, что это именно так. Более того, документация по ссылке из статьи это подтверждает.
И что всё ок, если «хотя бы одно да» — тоже не так. Как только получен первый «нет», сразу в аутентификации отказано.
Причем тут, то что пришло Вам в голову и стандарты протокола?) RFC есть, значит есть совместимое оборудование и ПО. RADIUS вообще для учета просто технологически особого смысла нет использовать, т.к. есть TACACS, который выдает очень большое количество информации, просто вопрос целесообразности. RADIUS хорош для другого, к примеру для 802.1x, для SplitAccess туннелей при RemoteAccess VPN (client to site IPSEC VPN). Вообще должно идти по порядку, поиграться надо с deadtime. Посмотреть на других версиях IOS. Я про что и пишу, тему Вы не раскрыли, более того, когда пишете статьи по Cisco, то пишите оборудование на котором тестировалось с версией IOS.
Из интересного. Не раскрыта тема с per vrf AAA, а такие вещи часто встречаются у крупных мультисервисных операторов связи. Например, имеется BRAS (скажем на базе Cisco ASR 1000) и огромная куча PPPoE клиентов. Далее, каждый клиент может терминироваться в тот или иной vrf или MPLS L3 VPN, а запрос на аутентификацию и авторизацию может уходить к разным RADIUS'у серверам в зависимости от VRF или Realm (особенно если используется B2B модель VSP — Virtual Service Provider).
Если пароль на линии vty задан, то устройство потребует от вас только ввести пароль, что существенно снижает безопасность подключения, так как для входа не требуется вводить логин; впрочем, тут все, конечно, зависит также от сложности пароля, который вы настроили.
Каким образом отсутствие логина снижает безопасность подключения??????
Логин никогда не скрывается, в отличии от пароля, по одной простой причине, он не для безопасности, он для разделения админов, чтобы можно было понять, а кто это вообще был, если админов больше одного.
Но почему-то люди продолжают писать бред и прятать свой логин. Вы еще напишите, что адрес почтовый повышает безопасность работы с почтой.
Sign up to leave a comment.
Аутентификация в Cisco IOS