You are on page 1of 71

O reea trebuie s fie proiectata pentru a controla cine se poate conecta la acesta i ce le este permis s fac atunci cnd

acesta este conectat. Aceste specificaii de proiectare sunt identificate n cadrul politicii de securitate a reelei. Politic specific modul n care administratorii de reea, utilizatorii corporatiei, utilizatorii de la distan, parteneri de afaceri, clienii au acces la resurse din reea. Politica de securitate de reea poate reglementa , de asemenea, contabilizarea autentificarilor i momentul de timp in care au fost fcute ce logarile Gestionarea accesului la reea folosind doar modul de utilizator sau parola din modul privilege este limitat i nesclabila. n sc!imb, protocolul folosind Aut!entication, Aut!orization, i Accounting "AAA#, ofer cadrul necesar pentru a permite accesul scalabile de securitate. $outerele %isco &O' pot fi configurate pentru a utiliza AAA pentru a accesa un username local si o parola din baza de date. (olosind un username local i o parol din baza de date avem o siguranta mai mare dect o simpla parola cu un cost mic i uor de implementat ca o soluie de securitate . $outerele %isco &O', pot fi configurate pentru a utiliza AAA pentru a accesa un %isco 'ecure Access %ontrol 'erver "A%'#. )tilizarea %isco A%' este foarte scalabila, deoarece toate dispozitivele de infrastructur au acces la un server central. 'oluia %isco 'ecure A%' este, de asemenea, agreata, deoarece pot fi configurate mai multe servere. 'oluie %isco 'ecure A%' este adesea folosita de ctre organizaiile mari. )n a*utor pentru laboratorul 'ecuring Administrative Access )sing AAA and $A+&)' permite elevilor s foloseasc %,& i '+- pentru a configura i testa autentificare locale, cu i fr AAA. %entralizate de autentificare $A+&)' folosind AAA i este, de asemenea, e.plorata. ,aboratorul se gsete n manualul de laborator pe %one.iunea la Academia cisco.netacad.net. O activitate Packet Tracer, Configurare AAA autentificare pe routere Cisco, ofer cursanilor practic suplimentare de punere n aplicare a tehnologiilor introduse n acest capitol. Cursanii configura autentificare locale, cu i fr AAA. a!ate pe server AAA autentificare este configurat cu TACAC" # i $A%&'". Packet

Tracer activiti pentru CC(A "ecurit) se gsesc n manualul de marcare de pachete pe cone*iune la Academia cisco.netacad.net.

&ntruii pot obine acces la potenialele ec!ipamente de reea sensibile i servicii. Pentru a a*uta la prevenirea accesului nedorit, este necesar controlul accesulu. %ontrolul accesului limiteaza cine sau ce resurse poate folosi, precum i serviciile sau opiunile disponibile odat ce &i este acordat accesul. -ulte metode de autentificare pot fi efectuate pe un dispozitiv %isco, i fiecare metod ofer diferite nivele de securitate. %ea mai simpl form de autentificare este parola. Aceast metod este configurata folosind o combinaie de utilizator i parola pe consol, pe linii vt/ i pe porturile au.. Aceast metod este cel mai uor de folosit, dar este, si, cea mai nesigura. ,ogarea doar cu parola este foarte vulnerabil la atacuri brute0force. n plus, aceast metod nu ofer nicio responsabilitate. Oricine cu parola poate obine accesul la aparat i poate modifica configuraia. Pentru a creste responsabilitate, poate fi implementata autentificarea locala folosind una din urmtoarele comenzi+ username 1nume2pass3ord 1parola2 username 1nume2 secret 1parola2 Aceast metod creeaz conturi individuale de utilizator pe fiecare dispozitiv cu o parol asociata la fiecare utilizator. $etineti 4comanda username pass3ord afieaz parola n te.t clar n fiierul de configurare daca comanda service pass3ord0encr/ptionnu nu este data. 5ste recomandata combinaia username secret, deoarece acesta ofer criptare -+6.

-etoda bazei de date locale are unele limitri. %onturi de utilizator trebuie s fie configurat la nivel local pe fiecare dispozitiv. ntr0un mediu de ntreprindere mare cu mai multe routere i s3itc!0uri, aceasta poate fi consumatoare de timp pentru punerea n aplicare a bazelor de date locale pe fiecare dispozitiv, precum i dificil in a face sc!imbri. n plus, configurarea bazei de date locale nu are nici o metod de autentificare de rezerv. +e e.emplu, ce se ntmpl dac administratorul uit username i parola pentru acel dispozitiv7 %um nu e.ista nici o metod de rezerv disponibila, singura opiune este procedura de recuperarea parolei. O soluie mai bun este de a avea toate username0urile si parolele dispozitivelor din aceeai baz de date pe un server central. Acest capitol e.ploreaz diverse metode de a asigura acces la reea folosind Aut!entication, Aut!orization, Accounting "AAA# pentru routerele %isco.

s AAA serviciile de securitate de reea asigur cadrul primar pentru a configura controlul accesului pe un dispozitiv de reea. AAA este o modalitate de a controla cui ii este permis s acceseze o reea "autentificare#, ce pot face n timp ce sunt in retea "autoriza#, i s verifice aciunile pe care le efectueaz n timpul accesarii reelei "de contabilitate#. Aceasta ofer un grad mai mare de scalabilitate dect comenzile con, au., vt/ i privilegiat autentificare 585% luate separat.

$eeaua i administrarea securitatii AAA n mediul %isco are mai multe componente funcionale+ Autentificarea 0 )tilizatorii si administratorii trebuie s dovedeasc c sunt ceea ce spun c sunt. Autentificarea poate fi stabilit folosind combinaii de username i parola, ntrebri provocare i rspuns, carduri de to9en, i alte metode. +e e.emplu4 :5u sunt utilizator: student :5u cunosc parola pentru a dovedi c eu sunt student de utilizator..: Autorizare 0 +up ce utilizatorul este autentificat, serviciile de autorizare determina care din resursele utilizatorului pot fi accesate i operaiunile pe care utilizatorul poate s le faca )n e.emplu este utilizatorul :: student ,, poate accesa server8;< folosind numai =elnet.: %ontabilizarea i auditul 0 nregistreaza ce face utilizatorul, inclusiv ce a accesat, timp n care resursele sunt accesate, i orice modificri care au fost fcute. %ontabilitatea ine evidena de modul n care resursele de reea sunt utilizate. )n e.emplu este :gazda: student :a accesat server0ul 8;< folosind =elnet timp de >6 minute.:

Acest concept este similar cu folosirea unui card de credit. %ardul de credit identific cine l pot utiliza, ct de mult timp poate petrece utilizatorul, i ine cont de cati bani a c!eltuit utilizatorul .

Autentificarea AAA AAA poate fi folosit pentru autentificarea utilizatorilor la accesul funciilor administrative sau poate fi folosit pentru autentificarea utilizatorilor pentru accesul la o reea de la distan. Aceste dou metode de acces utilizeaza moduri diferite de solicitare a serviciilor AAA4 -odul caracter 0 )n utilizator trimite o cerere pentru a stabili o cone.iune din modul 585% cu routerul in scopuri administrative. -odul pac9et 0 )n utilizator trimite o cerere pentru a stabili o cone.iune prin intermediul router0ul cu un dispozitiv din reea.

%u e.cepia comenzilor de accounting, toate comenzile AAA se aplic la ambele c!aracter atat la modul caracter, ct i modul de pac9et. Acest subiect se concentreaza pe asigurarea in modul de acces caracter. Pentru ca o reea sa fie cu adevrat sigur, este important, sa fie configurat router0 ul pentru acces administrativ sigur local i la distan folosind serviciile AAA. %isco ofer dou metode comune de punere n aplicare a serviciilor AAA.

Autentificare locala AAA Autentificarea locala AAA folosete o baz de date locale pentru autentificare. Aceast metod de pastrare a username0urilor si parolelor la nivel local pe un router %isco, si autentifica utilizatorii dintr0o bazea de date locala. Aceast baz de date este acelai cu cea necesar pentru stabilirea role0based %,&. AAA local este ideal pentru retele mici.

Autentificare bazata pe server AAA -etoda bazate pe server folosete un server de baze de date e.tern care valorific resursele protocoalelor $A+&)' sau ? =A%A%'. 5.emplele includ %isco 'ecure Access %ontrol 'erver "A%'# pentru @indo3s 'erver, %isco 'ecure A%' 'oluie 5ngine, sau %isco 'ecure A%' 5.press. +ac e.ist mai multe routere, serverele bazate pe AAA sunt mai adecvate.

Autorizarea AAA +up ce utilizatorii sunt autentificati cu succes , acestia sunt apoi autorizati sa aiba acces la anomite resurse de reea. Autorizare este de fapt ceea ce un utilizator poate i ceea ce nu poate face in reea, dup ce utilizatorul este autentificat, similar cu modul n care nivelurile de privilegiu i rolul bazate pe %,& acorde drepturi specifice utilizatorilor i privilegii pentru anumite comenzi pe router. Autorizare este de obicei implementata folosind o soluie bazate pe serverul AAA. Autorizarea creaza un set de atribute care descriu accesul utilizatorului la reea. Aceste atribute sunt comparate cu informaiile coninute n baza de date AAA, i determina restriciile pe care utilizatorul le primeste de la router0ul local n cazul n care utilizatorul este conectat. Autorizare este automat i nu necesit msuri suplimentare dup autentificare din partea utilizatorilor. Autorizairea este pus n aplicare imediat dup ce utilizatorul este autentificat .

Accounting AAA Accounting0ul colecteaz i rapoarteaza utilizarea datelor astfel nct s poat fi folosite pentru scopuri cum ar fi de audit sau facturare. +atele colectate ar putea include start i stop ori cone.iune, comenzi e.ecutate, numrul de pac!ete, i numrul de octei . Accounting0ul este implementat folosind o soluie AAA bazate pe server. Acest serviciu rapoarteaza statistici de utilizare napoi la server A%'. Aceste statistici pot fi e.trase pentru a crea rapoarte detaliate despre configuraia reelei. Accounting0ul este combinat cu autentificare AAA pentru gestionarea accesului la &nternet ale dispozitivelor din reea de ctre personalul administrativ. %ontabilitate ofer responsabilitate suplimentara . 'erverele AAA in un *urnal detaliat la ceea ce utilizatorul autentificat a facut e.act pe dispozitiv. Aceasta include toate comenzile 585% i configurarile emise de ctre utilizator. Aurnalul conine numeroase domenii de date, inclusiv numele de utilizator, data i ora, i comenzile reale care au fost introduse de ctre utilizator. Aceast informaie este utila pentru depanarea dispozitivelor. Acesta prevede, , de prg!ii mpotriva persoanelor care efectueaz aciuni ru intenionate.

Autentificarea locala AAA, ar trebui s fie configurata pentru reelele mici, cum ar fi cele cu una sau dou routere oferind acces la un numr limitat de utilizatori. Aceast metod folosete numele de utilizator local i parolele stocate pe un router. Administratorul de sistem trebuie s populeze baza de date de securitate locale, prin specificarea profilelor nume de utilizator i parola pentru fiecare utilizator care s0ar putea autentifica -etoda de Autentificare ,ocala AAA este similar folosind comanda login local, cu o singur e.cepie. AAA ofer, o modalitate de a configura metodele de rezerv de autentificare. %onfigurarea serviciilor locale AAA pentru a autentifica accesul de administrator "in modul de acces caracter# necesit civa pai de baz. Pasul >. Adugai numele de utilizator i parolele la baza de date a router0 ului local pentru utilizatorii care au nevoie de acces administrativ la router. Pasul B. Permite acesul la nivel global pe router0ul AAA. Pasul C. %onfigurati parametrii AAA pe router.

Pasul D. %onfirmai i depanati configurarea AAA.

Pentru a activa AAA, utilizai comanda din configurare globala aaa ne30 model. %omanda, aaa ne30model, spune router0ului ce server sa foloseasca pentru autentificare fie =A%A%' ? sau $A+&)'. Pentru a dezactiva AAA, utilizeati comanda no aaa ne30model. +up ce AAA este activat, pentru a configura autentificarea pe porturile vt/, linii asincron "==;#, portul au.iliar, sau portul de consola, se defineasc o list cu nume de metode de autentificare i apoi se aplic aceast list la interfee diferite. Pentru a defini o list metode de autentificare, utilizati comanda aaa aut!entication login. Aceast comand necesit un nume de list i metodele de autentificare. Eumele listei identific lista metodelor de autentificare activata atunci cnd un utilizator se conecteaz -etoda este o list secvenial care descrie metodele de autentificare ceruta pentru

autentificarea unui utilizator. -etoda permite unui administrator s desemneze una sau mai multe protocoale de securitate pentru autentificare. (olosirea mai mult de un protocol prevede un sistem de rezerv pentru autentificare n cazul n care metoda iniial nu reuete. -ai multe cuvinte c!eie poate fi folosit pentru a indica metoda. Pentru a activa autentificarea locala cu a*utorul unei baze de date preconfigurate local, utilizai cuvntul c!eie local sau local0case. +iferena dintre cele dou opiuni este c local accept un nume de utilizator, indiferent de caz, i local0case este case0sensitive. Pentru a specifica faptul c un utilizator se poate autentifica folosind enable pass3ord, utilizati cuvntul c!eie enable. Pentru a ne asigura c autentificare reuete, c!iar dac toate metodele returneaza o eroare, specificati none ca metod de final. +in motive de securitate, folositi cuvintul c!eie none doar atunci cnd testati configurare AAA. 5a nu ar trebui s fie aplicat pe o reea live. +e e.emplu, metoda enable ar putea fi configurata ca un mecanism de rezerv n cazul n care numele de utilizator i parola este uitat. aaa aut!entication login =5,E5=0A%%5'' local enable n acest e.emplu, este creata o list de autentificare AAA numita =5,E5=0 A%%5'', care cere utilizatorilor sa ncerce s se autentifice la baza de date a router0ului a primului utilizator local. n cazul n care ncercarea returneaz o eroare, cum ar fi o baz de date a utilizatorului local nu este configurata, utilizatorul poate ncerca s se autentifice prin enable pass3ord.. -inimum o metod i ma.imum patru metode pot fi specificate pe o list singur. Atunci cnd un utilizator ncearc s se conecteze, prima metod este folosit. %isco &O' 'oft3are0ul de autentificare ncearc urmtoarea metod de autentificare numai atunci cnd nu e.ist nici un rspuns sau o eroare de la metoda anterioar are loc. n cazul n care metoda de autentificare refuza accesul utilizatorului, oprete procesul de autentificare i nici alte metode de autentificare nu mai este permisa.

,ista metodelor de autentificare definite trebuie s fie aplicate pe interfeele specifice sau linii. Pentru fle.ibilitate, liste de metode diferite pot fi aplicate pe diferite interfee i pe diferite linii. +e e.emplu, un administrator ar putea aplica o conectare speciala pentru =elnet i apoi au o metod diferit de autentificare pentru linia de consola. Pentru a activa un nume de list specific, utilizati comanda aaa login aut!entication 1nume lista2 n modul de configurare linie. +e asemenea, e.ist opiunea de a configura un nume de lista implicit. %nd serverul AAA este prima data desc!is, metoda listei implicite numit :default: este aplicata n mod automat pentru toate interfeele i linii, dar nu are metode de autentificare definite. Pentru a atribui multiple metode de autentificare la lista implicit, utilizati comanda aaa aut!entication login default metoda>...F metoda BG. -etodele de autentificare n lista implicit sunt utilizate n mod implicit pe toate liniile, cu e.cepia cazului in care este create o list cu metode de autentificare. +ac o interfa sau linie are o list cu metode neimplicita aplicat la aceasta, se suprascrie lista cu metoda implicit pe interfaa. +ac lista nu este setata implicit i nu e.ist nici o alt list, doar baza de date de utilizator local este verificat. Acest lucru are acelai efect ca si comanda aaa aut!entication login default local.. Pe consola, login reuete

fr nici n cazul n care controalele de autentificare i implicit nu este setat. Odat ce o lista de metode de autentificare se aplic o interfa, se poate reveni la lista de metoda implicit prin utilizarea comenzii no aaa aut!entication login 1nume. ,ista2. +ac lista implicita nu a fost definita, atunci autentificare AAA nu se produce.

'ecuritate suplimentara poate fi puse n aplicare pe linie folosind comanda aaa local aut!entication attempts ma.0fail1 numarde incercari nereusite2n modul de configurare la nivel global. Aceast comand asigur conturile de utilizator AAA prin blocarea conturilor daca s0au efectuat un numar prea mare de incercari nereusite. Pentru a elimina numrul de ncercri nereuite, care a fost stabilit, utilizati comanda no aaa local aut!entication attempts ma.0fail1 numarde incercari nereusite2. Pentru a afia o list a tuturor utilizatorilor blocati, utilizati comanda s!o3 aaa local user loc9out n modul privilegiat 585%. )tilizai comanda clear aaa local user loc9out Husername 1nume2 I allJ in modul privilegiat 585% pentru a debloca un anumit utilizator %omanda aaa local aut!entication attempts ma.0fail difera de comanda login dela/ n modul n care aceasta se ocup de ncercrile nereuite. Comand aaa local aut!entication attempts ma.0fail bloc!eaz contul de utilizator n cazul n care autentificarea nu reuete. Acest cont rmne blocat pn cnd aceasta este eliminat de ctre un administrator. %omanda login dela/ introduce o ntrziere ntre ncercrile euate de autentificare fr blocarea contului.

%nd un utilizator se conecteaz ntr0un router %isco si foloseste AAA, un &+ unic este atribuit sesiunii. ntreaga durat a sesiunii, diferitele atributele, care sunt legate de sesiune sunt colectate i stocate n baza de date interna AAA. Aceste atribute pot include adresa &P a utilizatorului, protocol care este utilizat pentru a accesa router, cum ar fi PPP sau 'erial ,ine &nternet Protocol "',&P#, viteza de conectare, i numrul de pac!ete sau octei care sunt primite sau transmise. Pentru a afia atributele care sunt colectate pentru o sesiune de AAA, utilizati comanda s!o3 aaa user Hall I uniKue idJ n mod privilegiat 585%. Aceast comand nu furnizeaz informaii pentru toi utilizatorii care sunt conectai ntr0un dispozitiv, dar numai pentru cei care au fost autentificati sau autorizati folosind AAA sau ale cror sesiuni sunt contabilizate de ctre modulul AAA. %omanda s!o3 aaa sessions poate fi utilizat pentru a arta &+0ul unic al unei sesiuni .

AAA este activat implicit n %isco '+-, dar este o idee bun pentru a confirma c este n prezent activata. Pentru a verifica configuraia AAA i pentru a activa sau dezactiva AAA, selectai %onfigure 2 Additional =as9s 2 AAA. n cazul n care butonul +isable AAA este apasat, %isco '+- afieaz un mesa* de informare care s ateste c acesta va face modificri de configurare pentru a se asigura c router0ul poate fi accesat dup ce AAA este dezactivat .

Prima sarcin atunci cnd se utilizeaz '+- pentru a configura servicii AAA pentru autentificare locala este de a crea utilizatori4 Pasul >. Alegei %onfigure 2 Additional =as9s 2 $outer Access 2 )ser AccountsLMie3. Pasul B. (acei clic9 pe Add t pentru a aduga un nou utilizator. Pasul C. n fereastr Account, introducei numele de utilizator i parola n cmpurile corespunztoare pentru a defini contul de utilizator. Pasul D. +in lista Privilege ,evel drop0do3n, alege >6, cu e.cepia cazului n care e.ist niveluri mai puine de privilegii definite . Pasul 6. n cazul n care punctele de vedere au fost definite, verificai caseta de utilizator Associate a Mie3 3it! t!e )ser i alegei o vizualizare din lista Mie3 Eame care sa fie asociata cu un utilizator. Pasul N. (acei clic pe OO. %omanda pe care %,& in %isco '+- o genereaz este username AAAadmin privilege >6 secret 6 P>Pf>NuPuOOONAL)no*<Qb%5zgnRi> vie3 root.

Pentru a configura autentificarea AAA, un administrator trebuie mai nti s defineasca o list a metodelor de autentificare pentru metoda implicit sau s configurai o list de metoda cu numele i s o aplice . +iferite metode liste pot fi create i aplicate pe interfee diferite sau linii. %onfigurai metoda lista implicit pentru autentificare de autentificare folosind baza de date locale+ Pasul >. Alegei %onfigure 2 Additional =as9s 2 AAA 2 Aut!entication Policies 2 ,ogin i facei clic9 pe Add. Pasul B. n fereastra Add a -et!od ,ist for Aut!entication ,ogin, verificai dac este selectat +efault n lista Eame drop0do3n. Pasul C. (acei clic pe Add. Pasul D. +in fereastra 'elect -et!od ,ist"s# for Aut!entication ,ogin, alegeti local din lista de metoda. Pasul 6. (acei clic pe OO.

%omanda pe care %,& c %isco '+- o genereaz este aaa aut!entication login default local.

$outerele %isco au comenzi de depanare care sunt utile pentru depanarea problemelor de autentificare. %omanda debug aaa conine mai multe cuvinte c!eie care pot fi folosite n acest scop. +e interes special este comanda debug aaa aut!entication. %el mai bine pentru a nelege output0ul debug este atunci cnd totul funcioneaz corect. Stiind ce afieaz output0ul debug atunci cnd totul este bine, ne a*ut la identificarea problemelor atunci cnd lucrurile nu funcioneaz corespunztor.(iti precaui atunci cnd utilizati comanda debug ntr0o retea reala, deoarece aceste comenzi atribuie sarcini semnificative routerului i pot afecta performana reelei.

%omanda debug aaa aut!entication este esenial atunci cnd avem problemele de depanare AAA. Pentru a dezactiva aceast comand, utilizat comanda no debug aaa aut!entication sau undebug all . )it0te n mod special la starea mesa*ele G5=)'5$ i de G5=PA''. -esa*ul -et!od este, de asemenea, util atunci cnd identificam la care lista de metod se refera.

&mplementarile locale de AAA nu sunt scalabile. %ele mai multe corporatii au mai multe routere %isco cu administratori i sute sau mii de utilizatori care au nevoie de acces la reeaua ,AE a companiei. -eninerea bazelor de date locale pentru fiecare router %isco la aceast dimensiune a reelei nu este fezabil. Pentru a rezolva aceast provocare, pot fi folosite pentru a gestiona administrarea unuia sau mai multor servere AAA, cum ar fi %isco 'ecure A%', accesului utilizatorilor intr0o o reea a unei corporatii . %isco 'ecure A%' poate crea un utilizator central i o baza de date administrativa pentru accesul tuturor dispozitivelor din reea. 'e poate lucra, de asemenea, cu multe baze de date e.terne, inclusiv Active +irector/ i ,ig!t3eig!t +irector/ Access Protocol ",+AP#. Aceste baze de date stoc!eaza contul de utilizator i parole, permind administrarea conturilor de utilizator .

(amilia produselor %isco 'ecure A%' sustine atat protocoale =erminal Access %ontrol Access %ontrol 'erver Plus "=A%A%' ?# cat i $emote +ial0in )ser 'ervices "$A+&)'#, care sunt cele dou protocoale predominante folosite de dispozitive de securitate %isco, routere, i s3itc!0 uri pentru punerea n aplicare a AAA . n timp ce ambele protocoale pot fi utilizate pentru a comunica ntre client i servere AAA, =A%A%' ? este considerat un protocol mai sigur. Acest lucru se datoreaz faptului c toate sc!imburile asigurate prin protocolul=A%A%' ? sunt criptateT $adius cripteaz numai parola de utilizator. $adius nu cripteaza nume de utilizator, informaiile contabile, sau orice alte informaii aflate n mesa*. .

=A%A%' ? i $A+&)' sunt ambele protocoale de autentificare. (iecare accept capaciti diferite i funcionalitate. (ie =A%A%' ? sau $A+&)' sunt selectate functie de nevoile organizatiei. +e e.emplu, un mare &'P ar putea selecta $A+&)', pentru c spri*in contabilizarea detaliata necesare pentru facturarea clientilor. O organizaie cu diferite grupuri de utilizatori ar putea selecta =A%A%' ?, deoarece necesit ca politicile de autorizare s fie aplicate selective per0utilizator sau per0grup. 5ste important s nelegei diferenele mari dintre protocoalele =A%A%' ? i $A+&)'. %ritici pentru =A%A%' ? este4 &ncompatibilitatea cu predecesoarele sale =A%A%' i 8=A%A%' 'eparea autentificarii i autorizari %riptarea tuturor comunicarilor )tilizeaza =%P pe portul DU

%ritic pentru serverele $adius este + (olosirea serverelor $A+&)' necesita folosirea serverelor pro./ pentru scalabilitate %ombinarea autentificarii i autorizarii intr0un singur proces $A+&)' %riptarea numai a parolei )tilizeaz )+P

'pri*inirea te!nologiile de acces de la distan0, VQB.>8, i '&P

=A%A%' ? este un accesoriu %isco al protocolului original =A%A%'. n ciuda numelui su, =A%A%' ? este un protocol complet nou, care este incompatibil cu orice versiune anterioar de =A%A%'. =A%A%' ? este susinut de familia de routere i servere de acces %isco, ca parte din maintenance %isco &O' $elease >Q.C. %isco prezint n prezent =A%A%' ? la grupurile de lucru &5=( i contribuie la adoptarea standardelor i la dezvoltarea protocolului =A%A%' ? ofer servicii separate AAA. 'epararea serviciilor AAA ofer fle.ibilitate n punerea n aplicare, deoarece este posibil s se utilizeze =A%A%' ? pentru autorizarea i accounting n timp ce se utilizeaza o alt metod de autentificare. 5.tensiile =A%A%' ? protocolul ofera mai multe tipuri de cereri de autentificare i coduri de rspuns dect au fost n varianta originala =A%A%'. =A%A%' ? ofera suport multiprotocol, cum ar fi &P i Apple=al9. Eormal =A%A%' ? cripteaz ntregul corp al pac!etului pentru comunicaii mai sigure si utilizeaza portul =%P DU. $A+&)', dezvoltat de ,ivingston 5nterprises, este un protocol desc!is standard &5=( AAA pentru aplicaii, cum ar fi accesul la reea sau mobilitatea &P. $A+&)' funcioneaz n ambele situaii locale i de roaming i este frecvent utilizat n scopuri contabile. $A+&)' este n prezent definit

prin $(% BVN6, BVNN, BVNW, i BVNV. Protocolul $A+&)' ascunde parola n timpul transmiterii, c!iar i cu Pass3ord Aut!entication Protocol "PAP#, folosind o operaiune destul de comple. care implic un !as!ing al mesa*ului +igest 6 "-+6# i un secret parta*at. %u toate acestea, restul de pac!et este trimis n clar . $A+&)' combin autentificarea i autorizarea intr0un singur proces. %nd un utilizator este autentificat, utilizatorul respectiv este, si autorizat. $A+&)' utilizeaz portul )+P >ND6 sau >V>B pentru autentificarea i portul )+P >NDN sau >V>C pentru accounting.. $A+&)' este utilizat pe scar larg de ctre furnizorii de servicii Mo&P . 'e trece de la autentificarea unui protocol de iniiere a sesiunii finale"'&P#, cum ar fi un telefon de band larg, la un grefier '&P folosind autentificarea de tip digest, i apoi la un server $A+&)' folosind $A+&)'. $A+&)' este un protocol de autentificare, , comun, care este utilizat de standardul de securitate VQB.>8. Protocolul +&A-5=5$ este nlocuitorul planificat a lui $A+&)'. +&A-5=5$ foloseste un protocol de transport nou, denumit 'tream =ransmission %ontrol Protocol "'%=P# i =%P in loc de )+P.

-ulte servere de autentificare la nivel de ntreprindere sunt pe pia astzi. (un9 'teel0centur $A+&)' server, ,ivingston 5nterprises :autentificare $A+&)' -anager de facturare, i -erit Eet3or9s: serverele $A+&)' sunt bine cunoscute. n timp ce acestea sunt companii de renume cu produse populare, le lipsete capacitatea de a combina ambele protocoale =A%A%' ? i $A+&)' ntr0o soluie unic. +in fericire, %isco 'ecure A%' pentru @indo3s 'erver "A%'# este o soluie unic, care ofera AAA pentru ambele =A%A%' ? i $A+&)'. %isco 'ecure A%' este un protocol e.trem de scalabil, de nalt performan de control al server de acces care poate a*uta la controlul accesului administrativ i la configurarea tuturor dispozitivelor din reea ntr0o reea controlata de $A+&)' sau =A%A%' ? sau de ambele. %isco 'ecure A%' oferind mai multe avanta*e4 . 5.tinderea accesului securizat prin combinarea autentificarii, accesului utilizatorilor, i accesului administratorilor cu politica de control ntr0o soluie centralizat de identificar de net3or9ing. Permite o mai mare fle.ibilitate i mobilitate, securitate sporit, i cresterea productivitatii pe utilizator. &mpune o politic de securitate uniform pentru toi utilizatorii, indiferent de modul n care au acces in reea. $educe povara administrativ i de gestionare cnd creste numarul utilizatorilor i administratorii de reea acceseaza reeaua

%isco 'ecure A%' folosete o baz de date central. Aceasta centralizeaza toate privilegiile de control al utilizatorului i le distribuie punctelor de acces n ntreaga reea. %isco 'ecure A%' ofer raportarea i monitorizarea detaliata a comportamentului utilizatorilor, cone.iunilor de acces, i sc!imbrile de configurare pe dispozitiv. Aceast caracteristic este e.trem de importanta pentru organizaiile care ncerca sa se conformeze cu diferite reglementri guvernamentale. %isco 'ecure A%' suport o varietate larg de cone.iuni de acces, inclusiv ,AE cu fir si 3ireless, dial0 up, band larg, , Mo&P, fire3all0uri, si retele virtuale private "MPE#. %isco 'ecure A%' ofer o varietate de caracteristici avansate + monitorizare automata sincronizarea bazelor de date i importul de instrumente pentru implementri pe scar larg suport pentru autentificarea ,+AP raportarea accesului administrativ i al utilizatorilor restricii de acces la reea pe baza unor criterii, cum ar fi ora din zi si zi a sptmnii

profiluri de utilizator i de grup pe dispozitive

%isco 'ecure A%' este o component important a ar!itecturii %isco &dentit/ Xased Eet3or9ing 'ervices. %isco &XE' se bazeaz pe standarde de port de securitate, cum ar fi &555 VQB.>8 i 5.tensible Aut!entication Protocol "5AP#, i se e.tinde de la perimetrul de securitate a reelei la fiecare punct de racordare n interiorul ,AE.0ului Eoi politici de control, cum ar fi conturile per0utilizator, asignarile M,AE, i listele de control al accesului "A%,0uri# pot fi desfurate n cadrul acestei noi ar!itecturi. Acest lucru se datoreaz capacitile e.tinse ale s3itc!0uri %isco i punctelor de acces 3ireless la interogare %isco 'ecure A%' prin protocolul $A+&)'. %isco 'ecure A%' este o component important a %isco Eet3or9 Admission %ontrol "EA%#. %isco EA% este o iniiativ a industriei sponsorizat de %isco. %isco EA% utilizeaz infrastructura de reea pentru a impune respectarea politicii de securitate pe toate dispozitivele care caut s acceseze resursele reelei de calcul. Aceastea limiteaza deteriorarile produse de virui i viermi. %u %isco EA%, clienii pot alege sa permita accesul la reea doar pentru dispozitivele compatibile endpoint i de ncredere, i restricioneaz accesul dispozitivelor neconforme. EA% este parte a iniiativei %isco 'elf0+efending Eet3or9 i este fundamentul pentru a permite EA% pe reele ,a/er B i ,a/er C. (azele viitoare e.tinde endpoint

i interoperabilitatea reelei de securitate pentru a include capabiliti dinamice incident0izolare. Aceasta inovatie permite sistemelor sa raporteze abuzurile provenind de la intrusi sau de la sisteme infectate n timpul unui atac. 'istemele infectate pot fi izolate de restul de reea dinamic pentru a reduce n mod semnificativ virusi, viermii, i ameninarea propagarii lor .

%isco 'ecure A%' are performan mare i caracteristici de scalabilitate4 )urina n utilizare 0 O interfa de utilizator bazat pe 3eb simplific i o distributie de configurare pentru profilurile de utilizator, profile de grup, i de configurare %isco 'ecure A%'. 'calabilitate 0 %isco 'ecure A%' este construit pentru a oferi suport pentru servere redundante, baze de date la distan, i replicarea bazelor de date i servicii de bac9up.in reele mari 5.tensibilitate 0 transmiterea de autentificare ,+AP susine autentificarea de profiluri de utilizator care sunt stocate n directoare de la furnizori directorul de conducere, inclusiv 'un, Eovell, i -icrosoft. -anagement Y directorul -icrosoft @indo3s Active +irector/ consolideaz numele de utilizator i parola de gestionare i utilizeaz @indo3s Performance -onitor pentru statistici n timp real de vizualizare.

Administrare 0 nivele de acces pentru fiecare administrator %isco 'ecure A%' i capacitatea de a grupa mpreun dispozitive de reea face mai uoara i mai fle.ibil punerea n aplicare a controlului i modificrile politicii administrative de securitate pentru toate dispozitivele ntr0o reea. (le.ibilitatea productiei0 Pentru ca soft3are0ul %isco &O' are ncorporat suport pentru AAA, %isco 'ecure A%' poate fi utilizat n aproape orice server de acces la reea care vinde %isco "%isco &O' versiune de soft3are trebuie s accepte $A+&)' sau =A%A%' ?#. %isco 'ecure A%' este disponibil n trei opiuni4 %isco 'ecure A%' 'olution 5ngine, %isco 'ecure A%' 5.press, i %isco 'ecure A%' pentru @indo3s. &ntegrarea 0 cupla*ul strns cu routere %isco &O' i soluii MPE ofer caracteristici, cum ar fi multilin9 PPP multic!assis i comanda soft3are de autorizare. %isco &O' suport de la tere pri 0 %isco 'ecure A%' ofera suport pentru orice server to9en0 one0time pass3ord "O=P#, furnizor, care ofer o interfa conform $(%0$A+&)', cum ar fi $'A, PassGo, 'ecure %omputing, Active%ard, Masco, sau %r/pto%ard. %ontrol 0 %isco 'ecure A%' ofer cote dinamice pentru a restriciona accesul pe baza de ora din zi, utilizarea reelei, numrul de sesiuni autentificat, i zi din sptmn.

%isco 'ecure A%' este disponibil ca soft3are0ul instalat pe un 'erver @indo3s sau pe un >), rac9, server de securitate, cum ar fi A%' 'oluie 5ngine sau 5.press A%'. =oate acestea sunt e.emple bazate pe server care furnizeaza servicii AAA utiliznd o baz de date de securitate de la distan. %isco 'ecure A%' permite opiunea serviciilor AAA pentru @indo3s pe un router cu un contact e.tern %isco A%' 'ecure instalat pe un sistem server @indo3s pentru autentificarea utilizatorului i administratorului . %isco 'ecure A%' 'olution 5ngine are o unitate de rac9 >), si este un dispozitiv de securitate ntrit cu un pre0instalat %isco 'ecure licen A%' . ) este unitatea standard de msur pentru a desemna spatiul dintre rafturi pe un raft. >) este egal cu >.W6 cm. Ar trebui s fie utilizat n organizaiile mari, unde sunt mai mult de C6Q de utilizatori. %omparativ cu %isco 'ecure A%' pentru produsul @indo3s, %isco 'ecure A%' 'oluie -otor reduce costul total de proprietate prin eliminarea necesitii de a instala i menine o main de -icrosoft @indo3s server. %isco 'ecure A%' 5.press este, de asemenea, o unitate de rac9 >), dispozitiv de securitate ntrit cu un pre0instalat %isco 'ecure A%' licen 5.press. +iferena este c opiune A%' 5.press este destinat pentru

implementri comerciale "mai mic de C6Q utilizatori#, cu amnuntul, i de ntreprindere filiala. A%' 5.press ofer un set cuprinztor caracteristici nc simplificate, o interfa grafic uor de utilizat, i un pre mai mic, care permite administratorilorilor sa implementeze acest produs n situaiile n care %isco 'ecure A%' pentru @indo3s 'erver sau %isco 'ecure A%' 5ngine 'oluia ar putea s nu fie potrivit. +esi in acest capitol se a.eaz pe implementarea %isco 'ecure A%' pentru @indo3s 'erver, conceptele i caracteristicile discutate sunt de asemenea disponibile pe 'olution A%' 5ngine i A%' 5.press.

nainte de a instala %isco 'ecure A%', este important s se pregteasc server0ul. =rebuie s fie luate n considerare %erinele soft3are pentru tere pri , cerinele reelei i portul de server i dispozitivele AAA. %erine soft3are tere Produse soft3are care sunt menionate n notele de lansare sunt acceptate pentru interoperabilitate de %isco. 'pri*inul pentru problemele de

interoperabilitate ale produse soft3are care nu sunt menionate n notele de lansare ar putea fi dificil de atins. %ea mai recent versiune a notelor de pres %isco 'ecure A%' sunt postate pe %isco.com. $einei c, n cererea %isco 'ecure A%', un client poate fi un router fire3all, s3itc!,, sau concentrator MPE care utilizeaz serviciile de server. %erinele de reea i de Port $eeaua ar trebui s ndeplineasc cerinele specificate nainte de a se ncepe implementarea %isco 'ecure A%'4 de catre administratori. Pentru suport complet =A%A%' ? i $A+&)' pe dispozitive %isco &O', clientii AAA trebuie s ruleze %isco &O' $elease >>.B sau mai trziu. dispozitivele %isco care nu sunt clienti AAA %isco &O' trebuie s fie configurati cu =A%A%' ?, $A+&)', sau cu ambele. +ial0in, MPE, sau clienii fr fir trebuie s fie n msur s se conecteze la clientii AAA. %alculatorul pe care ruleaz %isco 'ecure A%' trebuie s poat s a*ung la toi clienii AAA folosind ping0ul. dispozitivele Gate3a/ ntre %isco 'ecure A%' i alte dispozitive de reea trebuie s permit comunicarea pe porturile care sunt necesare pentru a spri*ini protocolul sau caracteristica aplicabil. trebuie s fie instalat un bro3ser @eb acceptat pe computerul care e.ecut %isco 'ecure A%'. Pentru cele mai recente informaii despre bro3sere testate, a se vedea notele de lansare pentru produsul %isco 'ecure A%' pe %isco.com. =oate E&%0uri n computerul care e.ecut %isco 'ecure A%' trebuie s fie activate. +ac e.ist o plac de reea dezactivata pe computerul care e.ecut %isco 'ecure A%', instalarea %isco 'ecure A%' ar putea continua lent din cauza ntrzierilor cauzate de %r/ptoAP& -icrosoft.

+up instalarea cu succes %isco 'ecure A%', trebuie s fie efectuate. unele configurari iniiale 'ingura modalitate de a configura un server %isco 'ecure A%' este printr0o interfata Z=-,. Pentru a accesa %isco 'ecure A%' interfata Z=-, de pe computer pe care se e.ecut %isco 'ecure A%', utilizai pictograma %isco 'ecure etic!etate A%' Admin care apare pe des9top sau introduce )$,0ul urmator intr0un bro3ser @eb acceptat4 !ttp4LL>BW.Q.Q.>4 BQQB. %isco 'ecure A%' pot fi accesate de la distan, de asemenea, dup ce este configurat un utilizator pe contul de administrator. Pentru a accesa de

la distan %isco 'ecure A%', introducei !ttp4LLip[address F!ostnameG4 BQQB. +up conectarea iniial, un alt port este dinamic negociat.

Pagina de start a %isco 'ecure A%' este mprit n cadre. Xutoanele de pe bara de navigare reprezint anumite zone sau funcii care pot fi configurate4 )ser 'etup Group 'etup '!ared Profile %omponents Eet3or9 %onfiguration '/stem %onfiguration &nterface %onfiguration Administration %ontrol 5.ternal )ser +atabases Posture Malidation Eet3or9 Access Profiles $eports and Activit/ Online +ocumentation n cazul n care opiunile de $A+&)' nu sunt afiate, trebuie s fie adugat clientul AAA care folosete protocolul $A+&)'. n plus, interfaa de configurare este direct afectat de setrile de configurare ale reelei.

&nainte de a configura un router, s3itc!, sau fire3all ca =A%A%' ? sau client $A+&)', trebuie s fie adugat clientul AAA i adresa &P c!eia de criptare specifica. la server Pagina Eet3or9 %onfiguration este locul unde clientii AAA sunt adugati, tersi sau modificati. Pentru a crea un client AAA, folositi pagina Eet3or9 %onfiguration a reelei de configurare+ Pasul >. (acei clicO pe Eet3or9 %onfiguration pe bara de navigare. Apare Pagina de configurare a reelei. Pasul B. n seciunea AAA %lieni, facei clic pe Add 5ntr/.. Pasul C. &ntroducei numele clientului n cmpul %lient AAA Zostname. +e e.emplu, introducei numele de ruter care poate fi un client AAA al unui server %isco 'ecure A%'. n aplicatia %isco 'ecure A%', un client este un router, s3itc!, fire3all, concentrator MPE sau care utilizeaz serviciile unui server. Pasul D. &ntroducei adresa &P n cmpul AAA %lient &P Address. Pasul 6. &ntroducei c!eia secret pe care clientul o foloseste pentru criptare n campul '!ared 'ecret. Pasul N. Alegei protocolul corespunztor AAA din lista de autentificare . Pasul W. completati alti parametri, dup caz. Pasul V. (acei clic pe 'ubmit and Appl/.. Opiunile care sunt disponibile de la butonul de navigare pe interfaa de configurare permite administratorului s controleze afiarea de opiuni n interfaa cu utilizatorul. Opiuni specifice afiate depind dac clienii =A%A%' ? sau $A+&)' au fost adugati la server4 )ser +ata %onfiguration =A%A%'? "%isco &O'# $A+&)' "-icrosoft# $A+&)' "Ascend# $A+&)' "&5=(# $A+&)' "&O'LP&8# Advanced Option

,in90ul )ser +ata %onfiguration permite administratorilor sa personalizeze cmpurile care apar n crearea utilizatorilor i fereastrele de configurare. Administratorii pot aduga cmpuri, cum ar fi numrul de telefon, locaie de lucru, numele supraveg!etor, sau orice alte informaii pertinente.

=A%A%' ? "%isco &O'# lin90ul permite administratorilor s configureze setri =A%A%' ? precum i sa aduge noi servicii =A%A%' ?. Administratorii pot configura, de asemenea, opiuni avansate care afecteaz ceea ce este afiat n interfaa cu utilizatorul .

%isco 'ecure A%' poate fi configurat pentru a transmite autentificarea utilizatorilor la unul sau mai multe baze de date al utilizatorilor e.terni. 'uport pentru baze de date ale utilizator e.tern nseamn c %isco 'ecure A%' nu are nevoie de dublarea intrrilor de utilizator pentru a fi create n baza de date de utilizator %isco 'ecure. n organizaii n care o baz de date cu utilizatori e.ist de*a, cum ar fi un mediu Active +irector/, %isco 'ecure A%' poate folosi baza de date e.istenta, fr nici o intrare suplimentar. Pentru cele mai multe configuratii de baze de date, cu e.cepia bazelor de date @indo3s, %isco 'ecure A%' suport doar o singur instan de nume de utilizator i parola. n cazul n care %isco 'ecure A%' este configurat pentru a utiliza baze de date de utilizator multiple cu numele de utilizator stocate n fiecare baza trebuie s fiti atenti la configurarea bazei de date. Prima baz de date pentru a se potrivi acreditrile de autentificare a utilizatorului este singura pe care %isco 'ecure A%' o foloseste pentru acel utilizator. Pentru acest motiv este recomandat s e.iste o singur instan a unui nume de utilizator n toate bazele de date e.terne. )tilizai 5.ternal )ser +atabases pentru a configura %isco A%' 'ecure pentru a accesa baze de date e.terne4 Pasul >. (acei clic9 pe butonul 5.ternal )ser +atabases din bara de navigare. (fereastra 5.ternal )ser +atabases apare cu urmtoarele lin90uri4

)n9no3n )ser Polic 0 %onfigureaz procedura de autentificare pentru utilizatorii care nu se afl n baza de date %isco 'ecure A%'. +atabase Group -appings 0 %onfigureaz ce privilegii de grup motenesc utilizatori e.terni din baza de date cnd %isco 'ecure A%' ii autentific. n ma*oritatea cazurilor, atunci cnd un utilizator este autentificat de ctre o baz de date utilizator e.tern, privilegiile reale sunt date de la %isco 'ecure A%' i nu de baz de date e.tern. +atabase %onfiguration"%onfigurarea bazei de date# 0 +efinete servere e.terne cu care %isco 'ecure A%' funcioneaz .

Pasul B. (acei clic pe +atabase %onfiguration. Panoul 5.ternal )ser +atabase %onfiguration apare, afind urmtoarele opiuni+ $'A 'ecur&+ =o9en 'erver $A+&)' =o9en 'erver 5.ternal O+X% +atabase @indo3s +atabase ,5AP Pro./ $A+&)' 'erver Generic ,+AP Pasul C. Pentru a utiliza baza de date @indo3s ca o baz de date e.terna, facei clic9 pe @indo3s +atabase . Apare panoul @indo3s 5.ternal )ser +atabase %onfiguration %onfigurare @indo3s e.ternal database are mai multe opiuni dect alte configuratii de baze de date e.terne. +eoarece %isco 'ecure A%' este nativ pentru sistemul de operare @indo3s, administratorii poate configura funcionaliti suplimentare cu privire la baza de date @indo3s 5.ternal )ser +atabase Pasul D. Pentru a configura funcionalitati suplimentare in baze de date @indo3s, facei clic pe %onfigure din panoul de configurare 5.ternal )ser +atabase. Apare fereastra. @indo3s )ser +atabase %onfiguration Pasul 6. n cazul n care este nevoie de mai mult control asupra cine poate s se autentifice in reea este necesar, sa fie configurat opiune +ialin Permission, ,. n seciunea +ialin Permission, verificai Merificai c :Grant +ialin Permissions to )ser: 'etting Zas Xeen 5nabled from @it!in t!e @indo3s )sers -anager for )sers %onfigured for @indo3s )ser +atabase Aut!entication. +e asemenea, asigurai0v c +ial0Grant Permisiuni n caseta de selectare este bifat n profilul @indo3s )sers -anager.. Opiunea +ialin Permission,de %isco 'ecure A%' se aplic mai mult decat cone.iunile dial0up. +ac un utilizator are aceast opiune activat, se

aplic oricrui utilizator care ncearc s obtina accesul . O alt opiune care poate fi configurat cu a*utorul baz de date e.tern @indo3s este de cartografiere a domeniilor din baze de date. %artografiere permite unui administrator sa aiba acelai nume de utilizator n diferite domenii, toate cu parole diferite.

+up configurarea lui %isco 'ecure A%' pentru comunicare cu o baz de date de utilizatori e.tern, acesta poate fi configurat pentru autentificarea utilizatorilor cu baza de date a utilizatorilor e.tern ntr0unul din urmatoarele dou moduri4. Prin asignarea de utilizator 0 )tilizatorii se autentific cu o baz de date utilizator e.terni Prin politica de utilizator necunoscut Y )tilizaand o baz de date e.tern a utilizatorilor pentru autentificarea care nu se gseste n baza de date de utilizator %isco 'ecure. Aceast metod nu necesit

ca administratorii s defineasc utilizatori n baza de date a utilizatorilor %isco 'ecure. )tilizai lin90ul 5.ternal )ser +atabases pentru a configura politica utilizatorului necunoscut4 Pasul >. n bara de navigare, facei clic pe 5.ternal )ser +atabases.. Pasul B. (acei clic9 pe )n9no3n )ser Polic/. Pasul C. Permite )n9no3n )ser Polic/ prin bifarea casetei n seciunea )n9no3n )ser Polic/ s Pasul D. Pentru fiecare baza de date pentru care administratorul doreste sa foloseasca %isco 'ecure A%' cnd se ncearc autentificarea utilizatorilor necunoscute, alege baza de date din lista 5.ternal +atabases i facei clic9 pe butonul sgeat dreapta pentru a o muta n lista Xaze de date selectate ('elected +atabases#. Pentru a elimina o baz de date din lista selectata Xaze de date, selectai baza de date, i apoi facei clic pe butonul sgeat stnga pentru a muta napoi la lista Xaze de date e.terne. Pasul 6. Pentru a atribui ordinea n care %isco 'ecure A%' verific bazele de date selectate e.terne atunci cnd se ncearc s se autentifice un utilizator necunoscut, facei clic pe numele bazei de date din lista 'elected +atabases i facei clic in 'us sau in Aos pentru al muta n poziia dorit. Plasati baza de date, care este este cel mai probabil pentru autentificarea utilizatorilor necunoscute n partea de sus a listei. Pasul N. (acei clic pe =rimitei.

+up ce un utilizator este autentificat la o baz de date e.tern, autorizarea care are loc este determinate de %isco 'ecure A%'. Acest lucru poate complica lucrurile, deoarece utilizatorii care sunt autentificati de ctre un server @indo3s ar putea necesita autorizare diferita de utilizatorii care sunt autentificate de ctre serverul ,+AP. +atorit acestei poteniale nevoi de autorizaii diferite, plasati utilizatorii care sunt autentificate de ctre serverul @indo3s ntr0un grup i utilizatori care sunt autentificati de ctre serverul ,+AP ntr0un alt grup. Pentru a face acest lucru, utilizati maprile bazelor de date de grup. -aprile bazelor de date de grup permite unui administrator s tina evidenta pe server de autentificare, cum ar fi ,+AP, @indo3s, O+X%, i aa mai departe, unui grup cu care a fost configurat n %isco 'ecure A%'. Pentru unele baze de date, un utilizator poate aparine doar unui singur grup. Pentru alte baze de date, cum ar fi ,+AP i @indo3s, este posibil maparea unui grup de membri la un grup de baze de date e.terna . )nul dintre lucrurile care pot fi configurate ntr0un grup de configurare este comanda de autorizare per grup, prin care %isco 'ecure A%' s autorizeaza ce comenzi pot e.ecuta utilizatorii care aparin unui grup. +e e.emplu, un grup poate fi autorizat e.ecuta oricaror comenzi router, cu e.cepia s!o3 running0config4 Pasul >. (acei clic9 pe Group 'etup n bara de navigare.

Pasul B. Alege grupul pentru editare, grupul implicit, de e.emplu, i facei clic pe 5dit 'ettings. Pasul C. (acei clic9 pe Permit n opiune comenzii )nmatc!ed %isco &O' Pasul D. Merificai caseta de selectare %ommand i introducei s!o3 n caseta de te.t. n caseta te.t Arguments, introducei den/ running0config.. Pasul 6. Pentru opiunea )nlisted Arguments, facei clic pe permis.

Adugarea unui cont de utilizator i configurarea accesului utilizatorilor este o sarcin esenial pentru %isco 'ecure A%'4 Pasul >. (acei clic pe )ser 'etup n bara de navigare. Pasul B. &ntroducei un nume de utilizator n cmpul de utilizator i facei clic pe Add L 5dit. Pasul C. n panoul 5ditare, introducei datele n cmpurile pentru a definesc contul de utilizator. )nele dintre domeniile probabil necesare sunt domeniile utilizator parola, =A%A%' ? enable control, =A%A%'? enable pass3ord,si comenzile de autorizare a s!ell0ului =A%A%' ?

Pasul D. (acei clic pe 'ubmit.. +ac e.ist proprieti de utilizator necesare pe care nu le puteti vedea, verifica configurarea interfeei. Pentru a modifica interfaa cu utilizatorul, alegeti &nterface %onfiguration 2 )ser +ata %onfiguration.

'pre deosebire de autentificare locala AAA, server bazate pe AAA trebuie s identifice diverse servere =A%A%' ? i $A+&)' pentru a le consulta cnd realizeaza autentificarea i autorizarea utilizatorilor. 5.ist civa pai de baz pentru a configura autentificare bazate pe server4 Pasul >. ,a nivel global AAA permite utilizarea tuturor elementelor AAA. Acest pas este o condiie prealabil pentru toate comenzile celelalte AAA. Pasul B. 'pecificai %isco 'ecure A%' care va furniza servicii AAA pentru router. Acest lucru poate fi un =A%A%' ? sau server $A+&)'. Pasul C. %onfigurati c!eia de criptare necesare pentru a cripta transferul de date intre server de acces la reea i %isco 'ecure A%'. Pasul D. %onfigurai metoda de autentificare AAA din lista referitoare la =A%A%' ? sau server $A+&)'. Pentru redundan, este posibil configurarea mai multor servere.

%onfigurarea unui 'erver =A%A%' ? i c!eia de criptare Pentru a configura un server =A%A%' ? folositi comanda. tacacs0server !ost 1 adresa ip 2 single0connection %uvnt c!eie single0connection mbuntete performana =%P prin meninerea unei singure legturi =%P pe durata unei sesiunii. n caz contrar, n mod implicit, o cone.iune =%P este desc!is i nc!is pentru fiecare sesiune. +ac este necesar, mai multe servere =A%A%' ? pot fi identificate prin introducerea adreselor lor respective folosind comanda tacacs0server !ost Apoi, utilizai comanda tacacs0server 9e/ 19e/2 pentru a configura parta*area c!eia secreta la transferul criptat de date ntre serverul =A%A%' ? i routerul AAA0activat. Aceast c!eie trebuie s fie configurata e.act la fel pe router i pe server =A%A%' ?. %onfigurarea unui server $A+&)' i c!eia de criptare Pentru a configura un server $A+&)', utilizai comanda radius0server !ost 1adresa &P2. +eoarece $A+&)' foloseste )+P, nu e.ist un ec!ivalent al cuvintului c!eie single0connection. +ac sunt necesare, mai multe servere $A+&)' pot fi identificate prin introducerea unei comenzi radius0server !ost pentru fiecare server.

Pentru a configura c!eie secreta parta*ata pentru criptarea parolei, utilizati comanda radius0server 9e/ 1c!eie2. Aceast c!eie trebuie s fie configurata e.act la fel si pe router i pe serverul $A+&)'. %onfigurarea Autentificarii pentru a utiliza un serverul AAA %nd servere AAA de securitate au fost identificate, serverele trebuie s fie incluse n lista de metode folosind comanda aaa aut!entication login. 'erverele AAA sunt identificate cu a*utorul cuvintelor c!eie group tacacs? sau group radius. +e e.emplu, pentru a configura o list cu metode de autentificare implicita prin care s se autentifice utiliznd un server $A+&)', o =A%A%' ?, sau o baz de date cu nume de utilizatori locali, utilizai comanda de autentificare aaa aut!entication login default group radius group tacacs? local0case.

+ac se utilizeaz '+- pentru suport =A%A%' ?, este necesar s se specifica o lista de servere disponibile %isco 'ecure A%' care furnizeaz servicii pentru routerele =A%A%' ?4

Pasul >. +in pagina de start, a lui %isco '+-, alegei %onfigure 2 Additional =as9s 2 AAA 2 AAA 'ervers and Groups 2 AAA 'ervers. Pasul B. +in panoul AAA 'ervers, facei clic pe Add. (ereastra Add AAA 'erver apare. Alegei =A%A%' ? din list. casetete/ 'erver =/pe Pasul C. &ntroducei adresa &P sau numele !ostului al serverului AAA n 'erver &P sau campul !ost. +ac ruterul nu a fost configurat s utilizeze un server +E', introducei adresa &P a unui server +E' Pasul D. $outer poate fi configurat pentru a menine o singur cone.iune desc!is la =A%A%' ? server, mai degrab dect sa desc!ida si sa inc!ida o i cone.iune =%Pde fiecare dat cnd comunic cu serverul. Pentru a face acest lucru, a verificati ca este o singur cone.iune in caseta 'ingle %onnection to 'erver Pasul 6. Pentru a suprascrie setrile pe serverul AAA globale i specifica o valoare de timeout de server0specific n seciunea 'erver 'etup0specifice, introducei o valoare n cmpul =imeout "seconds# Acest cmp determin ct timp router ateapt un rspuns de la acest server nainte de a merge pe la urmatorul server din lista de grup. n cazul n care o valoare nu este introdusa, router0ul utilizeaz valoarea care este configurata n fereastra AAA 'ervers Global 'ettings. 'etarea implicit este de cinci secunde. Pasul N. Pentru a configura o c!eie pe server, verificai caseta pentru c!eie %onfigure Oe/ i introducei c!eia care este utilizat pentru a cripta traficul ntre router i acest server n campull Ee3 Oe/. $e0introducei0c!eie n campul %onfirm Oe/ pentru confirmare. +ac aceast opiune nu este bifat i nu este introdusa o valoare, router0ul foloseste valoarea care a fost configurata n l fereastra 'ervers AAA Globa'ettings. Pasul W. (acei clic pe OO. )n e.emplu de comand pe care %,& %isco '+- ar genera0o pentru un server =A%A%' ? de la adresa &P >Q.Q.>.> i =A%A%' c!eie ? Pa663Qrd este tacacs0server !ost >Q.Q.>.> 9e/ =A%A%'?Pa663Qrd.

+up ce AAA este activat i serverele =A%A%' ? sunt configurate, router0ul poate fi configurat s utilizeze %isco 'ecure server A%' pentru a autentifica accesul utilizatorilor la router. Pentru a configura router0ul sa utilizeze un server %isco 'ecure A%' pentru autentificarea logarilor, un utilizator0definit pentru o lista de metode trebuie s fie creat, sau lista de metoda implicit trebuie s fie editata. =ineti minte, metoda listei implicite se aplic automat pentru toate interfeele i liniile, cu e.cepia celor care au aplicata o list de metode definit de utilizator n mod e.plicit. Administrator poate utiliza %isco '+- pentru a configura o list definita de metode de autentificare login+ Pasul >. +in !ome page, a lui %isco '+-, selectai %onfigure 2 Additional =as9s 2 AAA 2 Aut!entication Policies 2 ,ogin . Pasul B. +in panoul de autentificare ,ogin, facei clic pe Add. Pasul C. Pentru a crea o nou metod de autentificare, selectai )ser +efined din lista Eume. Pasul D. &ntroducei numele listei de metode de autentificare login in campul 'pecif/, de e.emplu =A%A%'['5$M5$.

Pasul 6. (acei clic pe Add pentru a defini metodele care utilizeaz aceast politic. Apare fereastra ,ista cu metodele de autentificare ,ogin . Pasul N. Alegeti group tacacs? din lista de metoda. Pasul W. (acei clic pe OO pentru a aduga grupul =A%A%' ? la lista de metoda i reveniti pentru a o aduga in fereastra -et!od ,ist for Aut!entication ,ogin. Pasul V. (acei clic pe Add pentru a aduga o metod de rezerv pentru aceast politic. 'electai metoda "e# pentru autentificare cand apare fereastra -et!od ,ist"s# for Aut!entication ,ogin Pasul U. Alegei enable din lista de metode pentru a utiliza parola enble ca metoda de rezerv de autentificare login. Pasul >Q. (acei clic pe OO pentru a aduga enable la lista i reveniti la aduga unei metode in list -etoda de autentificaredin fereastra ,ogin. Pasul >>. (acei clic pe OO pentru a aduga metoda de autentificare login a listei i reveniti la ecranul de autentificare ,ogin. $ezultatul comenzii %,& generata de %isco '+- este aaa aut!entication login =A%A%'['5$M5$ group tacacs? enable.

+up ce listele cu metoda de autentificare sunt create, acestea se aplic la linii i interfeelor pe router. '+- poate fi folosit pentru a aplica o politic de autentificare la o linie de router4 Pasul >. Alegei %onfigure 2 Additional =as9s 2 $outer Access 2 M=;.. Pasul B. +in fereastra M=; ,ines, facei clic pe butonul 5dit pentru a face modificri la liniile vt/. (ereastra 5dit M=; ,ines apare. Pasul C. +in list aflata in caseta Aut!entication Polic/, alege ca politica de autentificare s se aplice pe liniile vt/. +e e.emplu, aplicarea politicii de autentificare numit =A%A%'['5$M5$ la liniile vt/ la Q la D rezultate din comanda %,&. login aut!entication =A%A%'['5$M5$ %,& poate fi de asemenea utilizat pentru aplicare politicii de autentificare la linii sau interfee cu comanda login aut!entication Hdefault I nume listaJ n modul de configurare linie sau interfata.

%nd AAA este activat, este adesea necesar monitorizarea traficului de autentificare i depanarea configuraiilor. %omanda debug aaa aut!entication este un instrument util de comand AAA pentru rezolvari de probleme, deoarece acesta ofer o vedere la nivel nalt a activitatii login. %omand indic mesa*ul PA'', atunci cnd o tentativ de conectare =A%A%' ? este incununata de succes. n cazul n care mesa*ul de stare returnat este (A&,, verificai c!eia secret.

Alte dou comenzi foarte utile pentru probleme de depanare a serverelor AAA e includ debug tacacs i debug radius. Aceste comenzi pot fi folosite pentru a oferi mai multe informaii pentru depanarea AAA. Pentru a

dezactiva depanarea, utilizati no debug tacacs i no debug radius. 'imilar cu comanda debug aaa aut!entication, comanda debug tacacs indic, de asemenea mesa*e de stare PA'' sau (A&,. Pentru a vedea toate mesa*ele =A%A%' ? folositi comanda debug tacacs. Pentru a restrnge rezultatele i a va afia informaii din procesul de =A%A%' ? a*utor, utilizai comanda debug tacacs events in modul privilegiat 585%. %omanda debug tacacs events afieaz evenimente de desc!idere i nc!idere a unei cone.iuni =%P la un server =A%A%' ?, b/tes citit i scris prin cone.iunea, i statutul cone.iunii=%P . )tilizai comanda debug tacacs events cu pruden, deoarece poate genera o cantitate semnificativ de date la ieire. Pentru a dezactiva depanarea, utilizati no debug tacacs events.

n timp ce autentificarea este preocupata de asigurarea aparatului final care are acces in retea , autorizarea este concentrata cui s permit i cui sa interzica accesul la anumite zone i programe n reea. Protocolul =A%A%' ? permite separarea autentificarii de la autorizare. )n router poate fi configurat pentru a restriciona utilizatoriii s efectueze numai anumite funcii dup autentificare cu succes. Autorizaie poate fi configurat att pentru modul de caractere "de autorizare e.ec# i modul pac!et "autorizaie de reea#. \inei minte c $A+&)' nu separa procesul de autentificare de cel de autorizare. )n alt aspect important de autorizare este abilitatea de a controla accesul utilizatorilor la servicii specifice. %ontrolul accesului la comenzile de configurare simplific foarte mult infrastructura de securitate n reele ntreprinderilor mari. Permisiunile per0utilizator de pe A%' %isco 'ecure simplifica dispozitivele de configurare ale reelei. +e e.emplu, un utilizator autorizat poate fi permis pentru a accesa comanda s!o3 version, dar nu poate accesa comanda configure terminal. $outer interog!eaza A%'0ul despre permisiunea de a e.ecuta comenzi pe numele utilizatorului. Atunci cnd utilizatorul emite comanda s!o3 version, A%' trimite un rspuns A%%5P=. +ac utilizatorul emite o comand configure terminal, A%' trimite un rspuns $5A5%=. =A%A%' ? n mod implicit stabilete o nou sesiune =%P pentru fiecare cerere de autorizare, care poate duce la ntrzieri atunci cnd utilizatorii introduc comenzi. %isco 'ecure A%' susine sesiunile persistente =%P pentru a mbunti performana.

Pentru a configura comanda de autorizare, utilizati comanda aaa aut!orization Hnet3or9 I e.ec I commands levelJ Hdefault I list0nameJ met!od>...Fmet!odDG. =ipul de serviciu poate specifica tipurile comenzii sau a serviciilor4 commands level >pentru e.ec "s!ell# comenzi e.ec pentru nceperea unei e.ec "s!ell# net3or9 pentru serviciile de reea "PPP, ',&P, A$AP# . +up ce autentificarea este pornita, implicit, accesul nu mai este permis. Acest lucru nseamn c administratorul trebuie s creeze un utilizator cu drepturi de acces depline nainte deactivarea autorizarii. &mposibilitatea de a face acest lucru imediat bloc!eaz sistemul pana in momentul n care este data comanda aaa aut!orization 'ingura modalitate de a trece peste acest lucru este s repornii router0ul. +ac aceasta este un router de producie, repornirea ar putea fi inacceptabil. Asigurai0v c cel puin un utilizator are ntotdeauna drepturi depline.

Pentru a configura router0ul pentru a utiliza %isco 'ecure server A%' pentru autorizare, creati o list definit de utilizator cu metoda de autorizare sau editati o metoda implicit de autorizare a listei. ,ist cu metode de autorizare implicte se aplic automat la toate interfeele cu e.cepia celor care au o list definit aplicat de utilizator n mod e.plicit metoda de autorizare. O lista de metoda de autorizare definite de utilizator

suprascrie metoda implicit de autorizare a listei. %isco '+- poate fi folosit pentru a configura metoda de autorizare a unei liste implicit pentru modul de acces caracter "e.ec#4 Pasul >. +in !ome page a lui %isco '+-, selectai %onfigure 2 Additional =as9s 2 AAA 2 Aut!orization Policies 2 5.ec. Pasul B. +in panoul de autorizare 5.ec Aut!orization, facei clic pe Add. Pasul C. +in fereastra Add a -et!od ,ist for 5.ec Aut!orization, alegei +efault din lista Eume. Pasul D. (acei clic pe Add pentru a defini metodele care utilizeaz aceast politic. Pasul 6. +in fereastra 'elect -et!od ,ist"s# for 5.ec Aut!orization, alege group tacacs? din lista de metoda. Pasul N. (acei clic pe OO pentru a reveni la fereastra Add a -et!od ,ist for Eet3or9 Aut!orization. Pasul W. (acei clic pe OO pentru a reveni la panoul Eet3or9 Aut!orization. $ezultatul comenzii %,& pe care %isco '+- o genereaz este aaa aut!orization e.ec default group tacacs?.

'+- poate fi, de asemenea, utilizat pentru a configura metoda de autorizare a listei implicite pentru modul pac!et "de reea#4 Pasul >. +in !ome page, a lui %isco '+-, selectai %onfigure 2 Additional =as9s 2 AAA 2 Aut!orization Policies 2 5.ec. Pasul B. +in panoul 5.ec Aut!orization, facei clic pe Add. Pasul C. +in fereastra Add a -et!od ,ist for 5.ec Aut!orization, alegei +efault din lista Eume. Pasul D. (acei clic pe Add pentru a defini metodele care utilizeaz aceast politic. Pasul 6. +in fereastra 'elect -et!od ,ist"s# for 5.ec Aut!orization, alege group tacacs? din lista de metoda. Pasul N. (acei clic pe OO pentru a reveni la fereastra Add a -et!od ,ist for 5.ec Aut!orization Pasul W. (acei clic pe OO pentru a reveni la panoul 5.ec Aut!orization. %omanda %,& care este generate de aaa aut!orization e.ec default group tacacs?. .

)neori, o companie dorete s urmreasca ce resurse individualei sau de grup sunt utilizate. 5.emple de acest lucru atunci cnd se numr un departament ta.ele alte departamente de acces, sau o companie ofer spri*in interna la o alta companie. %ontabilizarea AAA ofer posibilitatea de a urmri ,,cat s0a folosit], cum ar fi dial0in de acces, la *urnalele datelor colectate la o baz de date, pentru a produce rapoarte cu privire la datele colectate. +ei contabilitatea este n general considerat o problem de gestionare a reelei sau de management financiar, este discutat pe scurt aici, pentru c este att de strns legat de securitate. O problem de securitate care se adreseaz accounting0ului este crearea unei liste de utilizatori cu ora din zi in care au intrat in sistem. +ac, de e.emplu, administratorul tie c un lucrtor se conecteaz la sistem n mi*locul nopii, aceste informaii pot fi folosite pentru a investiga n continuare, n scopul de autentificarii.

)n alt motiv pentru a pune n aplicare accounting0ul este de a crea o list de modificri care apar in reea, care a fcut modificri, precum i natura e.act a modificrilor. Stiind acest informaii se a*ut procesul de depanare in cazul n care modificrile produc rezultate neateptate .

%a si listelele de metod de autentificare i autorizare, liste de metoda de contabilitate definesc modul de contabilitate este efectuat i secvena n care aceste metode sunt efectuate. +upa ce este activat, accounting0ul metoda lista implicita se aplic automat la toate interfeele, cu e.cepia celor care au un nume de list metod de contabilitate definite n mod e.plicit

Pentru a configura AAA accounting, utilizati command aaa accounting H net3or9 I e.ec I connectionJ Hdefault I list0nameJ Hstart0stop I stop0onl/ I

noneJ FbroadcastG met!od>...Fmet!odDG din modul de configurare. %uvintele c!eie net3or9, e.ec i connection sunt frecvent utilizate. %a i n cazul autentificare AAA, fie cuvinte c!eie default sau list0name este folosit. Apoi, este configurat tipul de nregistrare, sau de declanare,. +eclanator specific ce aciuni cauza nregistrrilor contabile care urmeaz s fie actualizat. Posibile declaneaz sunt none, start0stop si stop0onl/. +e e.emplu, s v autentificai utilizati comanda e.ec i net3or9, din configurare globala $>"config#^ aaa accounting e.ec start0stop group tacacs? $>"config#^ aaa accounting net3or9 start0stop group tacacs?