Quais são as precauções a serem tomadas durante a configuração da autenticação RADIUS para roteadores, comutadores e firewalls [closed]?

Navegue suas respostas
3

Tem algumas perguntas para implementar o Radius em meus dispositivos de rede:

  1. Como implementar com segurança a autenticação aaa Radius para garantir que os usuários façam login usando o banco de dados LOCAL caso o Radius falhe.

  2. Como fornecer apenas acesso de leitura para poucos usuários e acesso total aos administradores.

  3. Incase se eu salvar a configuração .. será possível fazer o login nos dispositivos (supondo que tanto o raio quanto as credenciais locais não estejam funcionando).

  4. Como recuperar a senha para dispositivos, especialmente firewalls.

por gHP 14.07.2012 / 18:26

1 resposta

3

How to safely implement aaa Radius authentication to make sure users have login using LOCAL database incase the Radius fails.

Parece que você já está no caminho certo; você deseja ter local como o mecanismo de fallback no seu comando de autenticação. Defina um tempo limite baixo (eu tendem a ir com 2 ou 3 segundos) na configuração do servidor de autenticação para se certificar de que você não está esperando para sempre no fall-back.

Para um roteador IOS, é assim: 

aaa authentication login default group radius local

E para um firewall ASA: 

aaa authentication http console radius-server-group-name LOCAL
aaa authentication ssh console radius-server-group-name LOCAL

Isso fará com que a autenticação ocorra localmente nos casos em que o servidor RADIUS não responde. Uma medida adicional que você pode considerar, se desejado, seria usar incondicionalmente a autenticação local no console serial do dispositivo:

IOS: 

aaa authentication login consoleport local
line con 0
  login authentication consoleport

ASA: 

aaa authentication enable console LOCAL
aaa authentication serial console LOCAL

Mas não acredite na minha palavra. Obtenha sua configuração resolvida, em seguida, teste o heck fora dela em um dispositivo de cada tipo. Desconecte-o da rede, mexa com o servidor RADIUS, cause todos os tipos de falhas interessantes que você possa imaginar e certifique-se de que ainda possa entrar no dispositivo.

How to provide only read access for few users and full access to Adminstrators.

O servidor RADIUS controla a autorização.

IOS: 

aaa authorization exec default group radius if-authenticated

ASA: 

aaa authorization exec authentication-server

Defina os usuários somente leitura para o nível de privilégio 1, definindo os administradores como 15. Consulte aqui para saber como configurar isso no seu servidor RADIUS. Como alternativa, se você usasse o TACACS + em vez do RADIUS, poderia atribuir a cada comando os comandos que cada usuário era capaz de executar (por exemplo, se eles precisassem acessar um conjunto muito limitado de comandos somente de administrador). / p>

Incase if I save the config ..will it be possible to login to devices ( assuming both the radius and Local credentials both are not working).

Se nenhuma das credenciais funcionar, você precisará passar para a redefinição de senhas.

How to recover the password for devices especially firewalls.

O procedimento para ambos os tipos de dispositivos é muito semelhante e envolve a inicialização do dispositivo sem permitir que o sistema carregue a configuração salva. Consulte aqui para o ASA e aqui para os roteadores IOS .

    
por 14.07.2012 / 23:18

Tags

A entrada do swiper de cartão via RDP é diferente no modo de tela cheia O que são interfaces de captura no Wireshark?