Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA : Exemplo de Configuração de Proxy Cut-Through para Acesso à Rede Usando Servidores TACACS+ e RADIUS

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (13 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração do AAA no PIX
      Exemplo de Configuração do PIX
      Autenticação do Telnet
      Autenticação da Porta do Console
      Habilitação da Autenticação
      Habilitação da Autenticação Segura de Clientes Web
      Configuração do SSH para a Autenticação
      Uso do Comando exclude
      Configuração do Servidor RADIUS\TACACS+ com o Cisco Secure ACS
      Configuração da Autorização do TACACS+
      Configuração da Autorização RADIUS
      Uso de Exceções de AAA Baseadas em MAC
      Configuração do Banco de Dados Local como Método de Fallback
      Telnet Virtual
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como criar acesso autenticado por AAA (Proxy Cut-Through) a um PIX Firewall com PIX Software versão 6.3 ou posterior.

O PIX Firewall oferece um desempenho drasticamente superior aos firewalls da concorrência. Ele possui um ganho de velocidade devido a um processo chamado Proxies Cut-Through (patente pendente), a forma mais rápida de um firewall autenticar um usuário.

Ao contrário de um servidor proxy que deve analisar todos os pacotes na camada sete do modelo OSI, uma função intensiva em termos de tempo e processamento, o PIX Firewall consulta primeiro um servidor TACACS+ ou RADIUS para a autenticação. Uma vez aprovado, o PIX Firewall estabelece um fluxo de dados e todo o tráfego desse ponto em diante flui diretamente de forma rápida entre as duas partes.

Os Proxies Cut-Through permitem que o PIX Firewall tenha um desempenho muito superior ao dos servidores baseados em proxy ao mesmo tempo em que mantém o estado da sessão. O Proxy Cut-Through Proxy também diminui o custo de propriedade ao reutilizar o banco de dados de autenticação existente.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure PIX Firewall Software versão 6.3 ou posterior

  • Cisco Secure Access Control Server (ACS) versão 3.2 ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco ASA 5500 Series Security Appliance versão 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Você pode usar listas de acesso para controlar o tráfego com base no endereço IP e no protocolo. No entanto, é necessário usar a autenticação e a autorização para controlar o acesso e o uso por usuários ou grupos específicos. A autenticação, que é o processo de identificação dos usuários, é suportada pelo PIX Firewall para servidores RADIUS e TACACS+. A autorização identifica as permissões específicas para um determinado usuário.

Se você desejar aplicar a autenticação e a autorização quando um host interno (local) iniciar uma conexão para uma rede externa (menos segura), será necessário habilitá-las na interface interna (mais segura). Para configurar a autenticação e a autorização sempre que um host externo iniciar uma conexão para um host interno, você deverá habilitá-las na interface externa.

O AAA permite que o Security Appliance determine quem o usuário é (autenticação), o que ele pode fazer (autorização) e o que o usuário fez (responsabilização).

O AAA oferece um nível adicional de proteção e controle para o acesso de usuários que não é apenas o uso de listas de controle de acesso (ACLs). Por exemplo, você pode criar uma ACL que permita que todos os usuários externos acessem o Telnet em um servidor da rede DMZ. Se desejar que somente alguns usuários acessem o servidor, e nem sempre os endereços IP desses usuários são conhecidos, você poderá habilitar o AAA para que somente os usuários autenticados e/ou autorizados passem pelo Security Appliance. O servidor Telnet também impõe a autenticação. O Security Appliance impede que os usuários não autorizados tentem acessar o servidor.

Você pode usar a autenticação sozinha ou em conjunto com a autorização e a responsabilização. A autorização necessita que o usuário seja autenticado primeiro. A responsabilização pode ser usada de forma independente ou juntamente com a autenticação e autorização.

Configuração do AAA no PIX

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Conclua estes passos para habilitar a autenticação e a autorização:

  1. Identifique o endereço IP do servidor de autenticação que será usado e determine a chave de criptografia do servidor que será compartilhada pelo servidor de autenticação e o PIX Firewall.

  2. Configure o servidor de autenticação com os usuários que podem acessar a rede, os serviços que eles podem usar e os hosts que eles podem acessar.

  3. Configure o PIX Firewall para habilitar ou desabilitar a autenticação ou a autorização.

Além disso, você pode configurar o PIX Firewall para controlar o acesso de usuários a hosts ou serviços específicos. No entanto, é mais fácil administrar esse tipo de controle de acesso em um único local no servidor de autenticação. Após a habilitação da autenticação e da autorização, o PIX Firewall avisa os usuários de acesso FTP, Telnet ou HTTP (Web). O controle do acesso a um sistema ou serviço específico é gerenciado pelo servidor de autenticação e autorização.

Nota: Ao usar o PIX Firewall versão 6.3 ou posterior, você poderá habilitar a autenticação com um banco de dados de usuários configurado localmente em seu PIX Firewall. Os passos de configuração são semelhantes àqueles da configuração de um servidor RADIUS/TACACS+. As diferenças são descritas em cada passo deste procedimento.

Conclua estes passos para permitir que o PIX Firewall ofereça suporte à autenticação e à autorização de usuários:

  1. Para a autenticação de entrada, crie as instruções de comandos static e access-list necessárias para permitir que hosts externos acessem servidores na rede interna.

  2. Se a rede interna se conectar à Internet, crie um pool de endereços globais de endereços IP registrados.

  3. Execute o comando nat com o comando access-list para especificar os hosts internos que podem iniciar conexões de saída.

  4. Execute o comando aaa-server para identificar o servidor que gerencia a autenticação ou a autorização.

    Crie um nome de grupo de servidor exclusivo.

    Por exemplo:

    pix(config)#aaa-server AuthInbound protocol tacacs+
    
    pix(config)#aaa-server AuthInbound (inside) host 10.1.1.1 TheUauthKey
    
    pix(config)#aaa-server AuthOutbound protocol tacacs+
    
    pix(config)#aaa-server AuthOutbound (inside) host 10.1.1.2 TheUauthKey
    

    Nota: Este passo não é necessário quando um banco de dados LOCAL é usado para a autenticação.

    Nota: A autorização RADIUS é fornecida com a instrução de comando access-list conforme descrito na seção Configuração da Autorização RADIUS.

    A primeira instrução de comando neste exemplo cria o grupo de autenticação AuthInbound usando a autenticação TACACS+. A segunda instrução de comando determina que o servidor AuthInbound está na interface interna, que o endereço IP é 10.1.1.1 e que a chave de criptografia é TheUauthKey.

    A terceira instrução de comando cria o grupo de autenticação AuthOutbound usando a autenticação TACACS+. A quarta instrução de comando determina que o servidor AuthOutbound está na interface interna, que o endereço IP é 10.1.1.2 e que a chave de criptografia é TheUauthKey.

  5. Execute o comando aaa authentication para habilitar a autenticação.

    pix(config)#aaa authentication include authen_service if_name 0 0 0 0
    <server_tag|LOCAL>
    
    

    A parte authen_service do comando representa o tipo de tráfego que será incluído ou excluído da autenticação. Isso é baseado na opção de serviço selecionada, como ftp, telnet, http ou https.

    Estas são as opções de serviço de autenticação de acesso:

    • enable

    • serial

    • ssh

    • telnet

    Especifique serial para acesso do console serial, telnet para acesso de Telnet, ssh para acesso de SSH e enable para acesso do modo enable. As opções do serviço cut-through authentication são:

    • telnet

    • ftp

    • http

    • https

    • icmp/type

    • proto

    • tcp/porta

    • udp/porta

    A variável proto pode ser qualquer valor ou nome de protocolo IP com suporte, como ip ou igmp. Somente o tráfego telnet, ftp, http ou https aciona a autenticação de usuários interativa. Consulte a seção do comando aaa authentication na Referência de Comandos do Cisco PIX Firewall para obter informações sobre essa opção.

    A parte if_name do comando representa o nome da interface da qual os usuários solicitam autenticação. Se você a configurou como externa (com o comando nameif), a autenticação é habilitada para conexões provenientes da rede externa para qualquer rede interna. Use a palavra-chave LOCAL para usar o banco de dados LOCAL para a autenticação. Para usar um servidor AAA server, substitua server_tag pelo nome do grupo do servidor AAA definido com o comando aaa-server.

    Por exemplo:

    Um endereço IP 0 significa todos os hosts. Quando o endereço IP local é definido como 0, o servidor de autenticação pode decidir quais hosts são autenticados.

    Este exemplo habilita a autenticação para qualquer conexão de ftp proveniente da rede externa para qualquer rede interna:

    pix(config)#aaa authentication include ftp outside 0 0 0 0 AuthOutbound
    
    pix(config)#aaa authentication include telnet outside 0 0 0 0 AuthOutbound
    
    pix(config)#aaa authentication include http outside 0 0 0 0 AuthOutbound
    
    pix(config)#aaa authentication include ftp inside 0 0 0 0 AuthInbound
    

    Este exemplo habilita a autenticação para qualquer conexão de telnet proveniente da rede interna para qualquer rede externa:

    pix(config)#aaa authentication include telnet inside 0 0 0 0 AuthInbound
    
    pix(config)#aaa authentication include http inside 0 0 0 0 AuthInbound
    

    Nota: Cuidado ao aplicar a autenticação somente a protocolos que podem ser autenticados. Se você usa alguma palavra-chave para aplicar a autenticação, protocolos como o Simple Mail Transfer Protocol (SMTP) são impedidos de passar pelo PIX Firewall.

  6. Execute o comando aaa authorization para habilitar a autorização.

    pix(config)#aaa authorization include authen_service if_name 0 0 0 0
    

    O PIX Firewall verifica a solicitação de autorização no servidor AAA, o qual toma a decisão de quais serviços um usuário pode acessar.

    A parte authen_service do comando representa os serviços que necessitam de autorização. Os valores válidos são any, ftp, http, telnet ou protocolo/porta. Use any para fornecer autorização para todos os serviços de TCP. Use a forma protocolo/porta para fornecer autorização para serviços de UDP.

    A parte if_name do comando representa o nome da interface da qual os usuários solicitam autenticação. Use interface-name em combinação com o endereço IP local e o endereço IP estrangeiro para determinar de onde e por quem o acesso é solicitado. O endereço IP local é sempre na interface com nível de segurança mais alto, enquanto que o endereço IP estrangeiro é sempre naquela de nível mais baixo.

    Um endereço IP 0 significa todos os hosts. Quando o endereço IP local é definido como 0, o servidor de autorização pode decidir quais hosts são autorizados.

    Nota: Este passo não é necessário quando um banco de dados LOCAL é usado para a autenticação.

    Por exemplo:

    pix(config)#aaa authorization include ftp outside 0 0 0 0
    
    pix(config)#aaa authorization include telnet outside 0 0 0 0
    
    pix(config)#aaa authorization include http outside 0 0 0 0
    
    pix(config)#aaa authorization include ftp inside 0 0 0 0
    
    pix(config)#aaa authorization include telnet inside 0 0 0 0
    
    pix(config)#aaa authorization include http inside 0 0 0 0
    

    Consulte a Referência de Comandos do Cisco PIX Firewall para obter mais informações sobre as diferentes opções disponíveis para os parâmetros de autorização e autenticação.

Exemplo de Configuração do PIX

O PIX Firewall permite definir grupos separados de servidores TACACS+ ou RADIUS para especificar diferentes tipos de tráfego, como um servidor TACACS+ para o tráfego de entrada e um servidor RADIUS para o tráfego de saída.

Este exemplo cria o AuthInbound para a autenticação TACACS+ e grupos de servidores AuthOutbound para a autenticação RADIUS e também especifica que o servidor 172.68.118.101 na interface interna fornece autenticação.

pix(config)#aaa-server AuthInbound protocol tacacs+
pix(config)#aaa-server AuthInbound (inside) host 172.68.118.101 cisco timeout 5
pix(config)#aaa-server AuthOutbound protocol radius
pix(config)#aaa-server AuthOutbound (inside) host 172.68.118.101 cisco timeout 5
pix(config)#aaa authentication include ftp outside 0 0 0 0 AuthOutbound
pix(config)#aaa authentication include telnet outside 0 0 0 0 AuthOutbound
pix(config)#aaa authentication include http outside 0 0 0 0 AuthOutbound
pix(config)#aaa authentication include ftp inside 0 0 0 0 AuthInbound
pix(config)#aaa authentication include telnet inside 0 0 0 0 AuthInbound
pix(config)#aaa authentication include http inside 0 0 0 0 AuthInbound

No PIX 7.x, é possível especificar o número de tentativas com falha permitidas para qualquer servidor determinado no grupo de servidores antes que esse servidor seja desativado. Execute o comando max-failed-attempts no modo de grupo do servidor AAA. O grupo do servidor AAA deverá estar configurado para que você possa executar este comando. Por exemplo:

hostname(config)#aaa-server svrgrp1 protocol tacacs+

hostname(config-aaa-server-group)#max-failed-attempts 4

Autenticação do Telnet

Você verá uma solicitação de senha do PIX e, em seguida, uma solicitação de nome de usuário e senha do RADIUS ou TACACS (armazenados no servidor TACACS - 10.31.1.41 ). Por exemplo:

pix(config)#aaa-server topix protocol tacacs+

pix(config)#aaa-server topix host 10.31.1.41 cisco timeout 5

pix(config)#aaa authentication telnet console topix

Autenticação da Porta do Console

Você verá uma solicitação de senha do PIX e, em seguida, uma solicitação de nome de usuário e senha do RADIUS/TACACS (armazenados no servidor RADIUS - 10.31.1.41 ). Por exemplo:

pix(config)#aaa-server topix protocol radius

pix(config)#aaa-server topix host 10.31.1.41 cisco timeout 5

pix(config)#aaa authentication serial console topix

Habilitação da Autenticação

Aqui um nome de usuário e uma senha são solicitados e enviados para o servidor TACACS ou RADIUS. Você pode fazer login no PIX com o TACACS ou o RADIUS e habilitar via TACACS ou RADIUS com o mesmo nome de usuário/senha porque o pacote de autenticação de habilitação é o mesmo que o pacote de autenticação do login.

pix(config)#aaa-server topix protocol radius

pix(config)#aaa-server topix host 10.31.1.41 cisco timeout 5

pix(config)#aaa authentication enable console topix

Habilitação da Autenticação Segura de Clientes Web

O PIX Firewall versão 6.3 introduziu um método seguro para a troca de nomes de usuário e senhas entre um cliente Web e um PIX Firewall. Esta versão usa o HTTP over Secure Socket Layer (SSL) (HTTPS). O HTTPS criptografa o nome de usuário e a senha, tornando a transmissão segura.

Quando você autenticava um navegador da Web usando um servidor AAA nas versões anteriores do PIX Firewall, o nome de usuário e a senha eram obtidos do cliente HTTP em texto plano.

Adicione esta palavra-chave ao comando aaa para habilitar este recurso:

pix(config)#aaa authentication secure-http-client

A palavra-chave secure-http-client habilita esse recurso para que o nome de usuário e a senha sejam trocados de forma segura entre os clientes HTTP e o PIX Firewall.

Você deve configurar a autenticação AAA e executar este comando para habilitar esse recurso:

pix(config)#aaa authentication include authen_service if_name 0 0 0 0 <server_tag|LOCAL>

Consulte a seção Configuração do AAA no PIX para obter a sintaxe deste comando.

Esse recurso também oferece suporte à autenticação de clientes que acessam sites da Web seguros (HTTPS).

Nota: Quando a autenticação AAA é habilitada, a palavra-chave secure-http-client não é necessária para autenticar sessões de HTTPS.

Após a habilitação deste recurso, quando um usuário acessa uma página da Web que necessita de autenticação o PIX Firewall solicita um nome de usuário e uma senha para a autenticação de HTTPS.

tacacs-radius-config6.gif

Nota: O comando auth-prompt é executado neste exemplo para personalizar o campo de texto Cisco Systems. Ele será deixado em branco se você não fornecer uma string com o comando auth-prompt. Consulte a Referência de Comandos do Cisco PIX Firewall para obter a sintaxe detalhada deste comando.

Após o usuário inserir um nome de usuário e uma senha válidos, uma janela de autenticação bem-sucedida será aberta e fechada automaticamente. Se o usuário falhar ao inserir um nome de usuário ou senha válidos, uma janela de falha na autenticação será exibida.

Um máximo de 16 autenticações de HTTP simultâneas é permitido. Se todos os 16 processos de autenticação estiverem em execução, uma nova conexão que necessite de autenticação falhará. Um processo de autenticação é iniciado quando o PIX Firewall recebe o nome de usuário e a senha do navegador e termina ao receber o resultado da autenticação do servidor AAA. O tempo necessário para concluir cada processo de autenticação depende do tempo de resposta da origem da autenticação. Se o banco de dados LOCAL for usado, ele será muito rápido. Se um servidor RADIUS ou TACACS+ for usado, a velocidade dependerá do tempo de resposta do servidor.

Quando o comando uauth timeout 0 é configurado (o timeout de uauth é definido como 0), a autenticação de HTTPS pode não funcionar. Se um navegador iniciar várias conexões de TCP para carregar uma página da Web após a autenticação de HTTPS, a primeira conexão será permitida, mas as conexões subseqüentes acionarão a autenticação. Como resultado, os usuários serão continuamente apresentados a uma página de autenticação, mesmo que o nome de usuário e a senha corretos sejam fornecidos todas as vezes. Uma alternativa é definir o timeout de uauth para 1 segundo com o comando timeout uauth 0:0:1. No entanto, essa alternativa abre uma janela de oportunidade de 1 segundo que pode permitir que usuários não autenticados passem pelo firewall caso eles sejam provenientes do mesmo endereço IP de origem.

Se um navegador da Web iniciar uma solicitação de página da Web enquanto a autenticação segura estiver em processamento para uma solicitação de HTTP anterior, a solicitação de HTTPS acionará um segundo processo de autenticação segura, mesmo que a autenticação segura não seja habilitada especificamente para o HTTPS. Quando o processo de autenticação de qualquer uma das páginas da Web for concluído com êxito, a solicitação restante poderá ser concluída recarregando-se a página.

Como a autenticação de HTTPS ocorre na porta 443 do SSL, não use o comando access-list para bloquear tráfego do cliente HTTP para o servidor HTTP na porta 443. Além disso, se você configurar o PAT estático para o tráfego da Web na porta 80, também será necessário configurar uma entrada estática para a porta 443 do SSL. Neste exemplo, a primeira linha configura o PAT estático para o tráfego da Web e a segunda linha deve ser adicionada para oferecer suporte à configuração de autenticação de HTTPS no modo de configuração:

static (inside,outside) tcp 10.132.16.200 www 10.130.16.10 www

static (inside,outside) tcp 10.132.16.200 443 10.130.16.10 443

Os usuários de HTTP verão uma janela pop-up gerada pelo navegador se o comando aaa authentication secure-http-client não for configurado. Se o comando aaa authentication secure-http-client for configurado, um formulário será carregado no navegador para coletar o nome de usuário e a senha. De qualquer modo, se você fornecer uma senha incorreta, ela será solicitada novamente. Quando os servidores Web e de autenticação estiverem em hosts diferentes, execute o comando virtual para receber o comportamento de autenticação correto.

Configuração do SSH para a Autenticação

O PIX 5.2 adicionou o suporte ao Secure Shell (SSH) versão 1. O SSH 1 é baseado em um draft da IETF de novembro de 1995. As versões 1 e 2 do SSH não são compatíveis entre si. Consulte Perguntas Freqüentes do Secure Shell (SSH) leavingcisco.com para obter mais informações sobre o SSH.

O PIX é considerado o servidor SSH. O tráfego de clientes SSH (ou seja, máquinas que executam o SSH) para o servidor SSH (o PIX) é criptografado. Alguns clientes SSH versão 1 estão listados nas notas de versão do PIX 5.2. Os testes no laboratório da Cisco foram feitos com o F-secure SSH 1.1 no NT e a versão 1.2.26 para Solaris.

Nota: Para o PIX 7.x, consulte a seção Permitindo o Acesso de SSH de Gerenciando o Acesso ao Sistema. Consulte também a configuração de exemplo em PIX/ASA 7.x: Exemplo de Configuração do SSH em Interfaces Internas e Externas.

Siga estes passos para configurar o SSH autenticado pelo AAA:

  1. Certifique-se de que você é capaz de se conectar via Telnet com PIX com o AAA ativado, mas sem o SSH:

    pix(config)#aaa-server AuthOutbound protocol radius (or tacacs+)
    pix(config)#aaa authentication telnet console AuthOutbound
    pix(config)#aaa-server AuthOutbound host 172.18.124.111 cisco
    

    Nota: Quando o SSH está configurado, o comando telnet 172.18.124.114 255.255.255.255 não é necessário porque o comando ssh 172.18.124.114 255.255.255.255 inside é executado no PIX. Ambos os comandos são incluídos para fins de teste.

  2. Execute estes comandos no modo de configuração para adicionar o SSH:

    hostname goss-d3-pix515b
    domain-name rtp.cisco.com
    ca gen rsa key 1024
    
    
    !--- Cuidado: a chave de RSA não é salva sem
    !--- o comando ca save all.
    !--- O comando write mem não a salva.
    !--- Além disso, se o PIX sofreu um apagamento
    !--- ou foi substituído, cortar e colar
    !--- a configuração antiga não gera a chave.
    !--- Você executar o comando ca gen rsa key novamente.
    !--- Se houver um PIX secundário em um par de failover, o comando
    !--- write standby não copiará a chave do primário para o secundário.
    !--- Você também deverá gerar e salvar a chave no dispositivo secundário.
    
    
    
    ssh 172.18.124.114 255.255.255.255 inside
    ssh timeout 60
    aaa authen ssh console AuthOutbound
    logging trap debug
    logging console debug
  3. Execute o comando show ca mypubkey rsa no modo de configuração:

    goss-d3-pix(config)#show ca mypubkey rsa
     % Key pair was generated at: 08:22:25 Aug 14 2000
     Key name: goss-d3-pix.rtp.cisco.com
      Usage: General Purpose Key
      Key Data:
       30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00ad4bcb
       e9c174d5 0657a0f3 c94e4b6d 32ac8500 6b84e754 59e20df4 f28c257d 131af21d
       4c0a8f4c e79d8b6d a3520faa 1a42d577 c6adfe51 9d96fa62 f3be07fb 01e082d7
       133cecff bf24f653 bc690b11 ee222070 413c1920 d02321f8 4fc3c5f1 f0c6e077
       81e93184 af55438b dcdcda34 c0a5f5ad 87c435ef
          67170674 4d5ba51e 6d020301 0001
     % Key pair was generated at: 08:27:18 Aug 14 2000
     Key name: goss-d3-pix.rtp.cisco.com.server
      Usage: Encryption Key
      Key Data:
       307c300d 06092a86 4886f70d 01010105 00036b00 30680261 00d4f61b ec45843a
       4ad9266d b125ee26 efc63cc4 e5e9cda4 9418ee53 6e4d16cf 3d0dc864 4d4830c8
       fa7f110e 8a5761ed 4ca73ea7 5d405862 6f3150df 9eb0d11e 9c4d3563 95ff51ae
       6711d60b 9a1415e4 19201d3f 03b455ea c1df9a41 b3a5a73f 4f020301 0001
  4. Na estação Solaris, execute um Telnet:

    rtp-evergreen#./ssh -c 3des -l cisco -v 172.18.124.157
    

    Nota: O nome de usuário no servidor RADIUS/TACACS+ é cisco e 172.18.124.157 é o destino.

Uso do Comando exclude

Se você adicionar outro host externo (em 99.99.99.100) à rede e esse host for confiável, você poderá excluí-lo da autenticação e autorização com estes comandos:

pix(config)#aaa authentication exclude telnet inbound 0.0.0.0 0.0.0.0 99.99.99.100
 255.255.255.255 AuthInbound

pix(config)#aaa authorization exclude telnet inbound 0.0.0.0 0.0.0.0 99.99.99.100
255.255.255.255 AuthInbound

Configuração do Servidor RADIUS\TACACS+ com o Cisco Secure ACS

Conclua estes passos para configurar o RADIUS e o TACACS+ no Cisco Secure ACS.

  1. Você deve configurar o PIX para localizar o CSACS para verificar as credenciais de usuário.

    Por exemplo:

    pix(config)#aaa-server AuthOutbound protocol radius
    pix(config)#aaa-server AuthOutbound (inside) host 171.68.118.101 testkey
    
  2. Selecione Network Configuration à esquerda e clique em Add Entry para adicionar uma entrada para o PIX no banco de dados do servidor TACACS+ ou RADIUS. Escolha o banco de dados do servidor de acordo com a configuração do PIX.

    tacacs-radius-config1.gif

  3. Insira 172.16.1.85 no campo de endereços IP e test no campo da chave secreta compartilhada. Selecione RADIUS (Cisco IOS/PIX) na caixa suspensa Authenticate Using. Clique em Submit.

    tacacs-radius-config2.gif

    A chave é usada para autenticar entre o PIX e o servidor CSACS (servidor RADIUS). Se você desejar selecionar o protocolo TACACS+ para a autenticação, selecione TACACS+(Cisco IOS) no menu suspenso Authenticate Using.

    tacacs-radius-config3.gif

  4. Insira o nome de usuário no campo User no banco de dados do Cisco Secure e clique em Add/Edit.

    Neste exemplo, o nome de usuário é user1.

    tacacs-radius-config4.gif

  5. Na próxima janela, insira a senha de user1.

    Neste exemplo, a senha também é password1. É possível mapear a conta de usuário em um grupo, se desejado. Quando terminar, clique em Submit.

    tacacs-radius-config5.gif

Configuração da Autorização do TACACS+

Você pode configurar o Security Appliance para executar a autorização de acesso de rede com o TACACS+. Você é quem especifica as ACLs às quais as regras de autorização devem corresponder para identificar o tráfego que será autorizado. Uma outra opção é identificar o tráfego diretamente nas regras de autorização em si.

O uso de ACLs para identificar o tráfego que será autorizado pode reduzir enormemente o número de comandos de autorização que devem ser fornecidos. Isso ocorre porque cada regra de autorização inserida pode especificar somente uma origem, uma sub-rede de destino e um serviço, enquanto que uma ACL pode incluir muitas entradas.

As instruções de autenticação e autorização são independentes. No entanto, qualquer tráfego não autenticado aceito por uma instrução de autorização é negado. Para que a autorização seja bem sucedida, o usuário deverá ser autenticado primeiro com o Security Appliance. Como o usuário em um determinado endereço IP só precisa se autenticar uma vez para todas as regras e todos os tipos, se a sessão de autenticação não tiver expirado, a autorização poderá ocorrer mesmo que o tráfego seja correspondido por uma instrução de autenticação.

Após um usuário ser autenticado, o Security Appliance verifica as regras de autorização para o tráfego correspondente. Se o tráfego atender à instrução de autorização, o Security Appliance enviará o nome de usuário para o servidor TACACS+. O servidor TACACS+ responderá ao Security Appliance com uma permissão ou negação para esse tráfego com base no perfil do usuário. O Security Appliance irá impor a regra de autorização como resposta.

Consulte a documentação do seu servidor TACACS+ para obter informações de como configurar as autorizações de acesso à rede para um usuário.

Conclua estes passos para configurar a autorização TACACS+:

  1. Habilite a autenticação.

    Consulte Habilitando a Autenticação de Acesso à Rede para obter mais informações. Se a autenticação já estiver habilitada, continue para o próximo passo.

  2. Execute o comando access-list para criar uma ACL que identifique os endereços de origem e de destino do tráfego que você deseja autorizar.

    Para obter os passos, consulte Adicionando uma Lista de Acesso Estendida. As ACEs de permissão marcam o tráfego válido para autorização, enquanto que as entradas de negação o excluem. A ACL usada para a correspondência de autorização deve conter regras iguais (ou um subconjunto de) às regras da ACL usada para a correspondência de autenticação.

    Nota: Se você tiver configurado a autenticação e deseja autorizar todo o tráfego autenticado, a mesma ACL criada para uso com o comando aaa authentication match poderá ser usada.

  3. Execute este comando para habilitar a autorização:

    hostname/contexta(config)#aaa authorization match acl_name
    interface_name server_group
    

    A parte acl_name do comando é o nome da ACL criada no passo 2, a parte interface_name é o nome da interface especificada com o comando nameif ou por padrão e a parte server_group do comando é o grupo do servidor AAA que você criou ao habilitar a autenticação.

    Nota: Uma outra opção é usar o comando aaa authorization include. Isso identifica o tráfego no comando. No entanto, não é possível usar ambos os métodos na mesma configuração. Consulte a Referência de Comandos do Cisco Security Appliance para obter mais informações.

    Estes comandos autenticam e autorizam dentro do tráfego de Telnet. O tráfego de Telnet para servidores diferentes do 10.165.201.5 pode ser somente autenticado, mas o tráfego para 10.165.201.5 necessita de autorização.

    hostname/contexta(config)#access-list TELNET_AUTH extended permit tcp any any
    eq telnet
    
    hostname/contexta(config)#access-list SERVER_AUTH extended permit tcp any host
    10.165.201.5 eq telnet
    
    hostname/contexta(config)#aaa-server AuthOutbound protocol tacacs+
    
    hostname/contexta(config-aaa-server-group)#exit
    
    hostname/contexta(config)#aaa-server AuthOutbound (inside) host 10.1.1.1
    
    hostname/contexta(config-aaa-server-host)#key TACPlusUauthKey
    
    hostname/contexta(config-aaa-server-host)#exit
    
    hostname/contexta(config)#aaa authentication match TELNET_AUTH inside AuthOutbound
    
    hostname/contexta(config)#aaa authorization match SERVER_AUTH inside AuthOutbound
    

Configuração da Autorização RADIUS

O PIX Firewall permite que um servidor RADIUS envie atributos de grupo de usuários para o PIX Firewall na mensagem de resposta da autenticação RADIUS.

O administrador primeiro define as listas de acesso no PIX Firewall para cada grupo de usuários. Por exemplo, pode haver listas de acesso para cada departamento de uma organização, como vendas, marketing, engenharia e assim por diante. O administrador então relaciona a lista de acesso no perfil do grupo na versão da Cisco do RADIUS, chamada de CiscoSecure.

O PIX Firewall solicita a autenticação do usuário pelo servidor RADIUS. Se o usuário for autorizado, o RADIUS retornará uma mensagem de resposta de confirmação de autorização para o PIX Firewall com atributo específico de fornecedor 11 (filter-id) definido para a lista de acesso correspondente ao grupo determinado do usuário. O atributo 11 do RADIUS não pode ser usado para transmitir essa informação.

O PIX Firewall também oferece a mesma funcionalidade para o TACACS+ para manter a consistência.

Nota: As listas de acesso podem ser usadas com o RADIUS ou o TACACS, mas a autorização de FTP, HTTP ou Telnet somente é possível com o TACACS+.

Execute as instruções de comando access-list para restringir os usuários de um departamento a três servidores e negar qualquer outra coisa:

access-list eng permit ip any server1 255.255.255.255

access-list eng permit ip any server2 255.255.255.255

access-list eng permit ip any server3 255.255.255.255

access-list eng deny ip any any

Neste exemplo, a string de atributo específico de fornecedor na configuração do CiscoSecure foi definida como acl=eng. Use esse campo na configuração do CiscoSecure para determinar o nome de identificação da lista de acesso. O PIX Firewall recebe a string acl=acl_ID do CiscoSecure, extrai o identificador da ACL e a coloca na entrada uauth do usuário.

Quando um usuário tenta abrir uma conexão, o PIX Firewall verifica a lista de acesso na entrada uauth do usuário e permite ou nega a conexão. Tudo depende do status de permissão ou negação da correspondência da lista de acesso. Quando uma conexão é negada, o PIX Firewall gera uma mensagem do syslog correspondente. Quando não há correspondência, a regra implícita é negar.

Como o IP de origem de um determinado usuário pode variar dependendo de onde eles fazem login, defina o endereço de origem na instrução do comando access-list para any e o endereço de destino para identificar os serviços de rede aos quais o acesso do usuário é permitido ou negado.

Nota: O comando aaa authorization não necessita de uma opção RADIUS separada.

Uso de Exceções de AAA Baseadas em MAC

O PIX Firewall versão 6.3 ou posterior permite usar endereços MAC para ignorar a autenticação para dispositivos como Cisco IP Phones que não oferecem suporte à autenticação AAA. Você precisa identificar os endereços MAC na interface interna (mais segura) para usar este recurso. O PIX Firewall usa o endereço MAC e o endereço IP, o qual foi dinamicamente atribuído ao endereço MAC, para desviar do servidor AAA para o tráfego correspondente. Os serviços de autorização são automaticamente desativados quando você desvia da autenticação. Os registros da responsabilização ainda são gerados (se habilitada), mas o nome de usuário não é exibido.

Crie uma lista dos endereços MAC que serão excluídos da autenticação AAA e, em seguida, atribua à lista a um servidor AAA para habilitar as exceções de AAA baseadas em MAC.

Nota: Este recurso não pode ser aplicado à interface externa ou de segurança mais baixa.

  1. Execute este comando no modo de configuração para definir uma lista de endereços MAC:

    mac-list mcl-id deny | permit mac mac-mask
    

    Execute este comando tantas vezes quanto forem necessárias para definir todos os endereços MAC que deseja adicionar à lista. Substitua mcl-id pelo identificador da lista de MAC.

    Use a opção permit para identificar os endereços MAC que serão excluídos da autenticação. Use a opção deny para impedir que a autenticação seja ignorada. Substitua mac por um endereço MAC parcial que pode ser usado para selecionar um grupo de dispositivos com base em uma parte comum do endereço de hardware, como a ID do fornecedor. Substitua mac-mask por uma máscara que identifique a parte do MAC que deve ser usada para a correspondência.

    Por exemplo, este comando ignora a autenticação para um único endereço MAC:

    mypix(config)#mac-list adc permit 00a0.c95d.0282 ffff.ffff.ffff
    

    Neste exemplo, a máscara FFFF.FFFF.FFFF instrui o PIX Firewall a coincidir todos os 12 dígitos (seis bytes) no endereço hexadecimal precedente.

    Este comando ignora a autenticação para todos os Cisco IP Phones, os quais possuem a ID de hardware 0003.E3:

    mypix(config)#mac-list adc permit 0003.E300.0000 FFFF.FF00.0000
    
  2. Execute este comando para aplicar a lista de MAC ao servidor AAA:

    mypix(config)#aaa mac-exempt match<mcl-id>
    
    

    Substitua mcl-id pelo identificador para a lista de MAC que deseja aplicar.

    Por exemplo, este comando aplica o adc da lista de MAC ao servidor AAA:

    mypix(config)#aaa mac-exempt match<adc>
    
    
  3. Execute este comando para exibir as entradas atuais em uma lista de MAC específica:

    mypix#show mac-list [mcl-id]
    

    Se você omitir o identificador da lista de MAC, o sistema exibirá todas as listas de MAC configuradas no momento.

  4. Execute este comando para limpar todas as entradas em uma lista de MAC:

    mypix#clear mac-list [mclid]
    

    Se você omitir o identificador da lista de MAC, o sistema limpará todas as listas de MAC configuradas no momento.

Configuração do Banco de Dados Local como Método de Fallback

Esta seção descreve como gerenciar usuários no banco de dados local. Você pode usar o banco de dados local para autenticação de acesso da CLI, autenticação do modo privilegiado, autorização de comandos, autenticação de acesso à rede e autenticação e autorização de VPNs. Não é possível usar o banco de dados local para a autorização de acesso de rede. O banco de dados local não oferece suporte à contabilidade.

No modo de contexto múltiplo, você pode configurar nomes de usuário no espaço de execução do sistema para proporcionar logins individuais com o comando login. No entanto, não é possível configurar nenhum comando aaa no espaço de execução do sistema.

Conclua estes passos:

  1. Execute estes comandos para definir uma conta de usuário no banco de dados local:

    • No PIX 6.3:

      hostname(config)#username username {[{nopassword | password
      password} [encrypted]] [privilege level]}
      
    • No PIX/ASA 7.x:

      Sintaxe

      hostname(config)#username user password password1 encrypted
      pix(config)#aaa authentication {telnet | ssh | http | serial} console
      {LOCAL | server_group [LOCAL]}
      

    Nota: Se você usa um grupo de servidores TACACS+ ou RADIUS para a autenticação, é possível configurar o Security Appliance para usar o banco de dados local como método de fallback quando o servidor AAA não está disponível. Especifique o nome do grupo de servidores seguido por LOCAL (LOCAL diferencia maiúsculas de minúsculas). A Cisco recomenda que você use no banco de dados local os mesmos nome de usuário e senha usados no servidor AAA porque o prompt do Security Appliance não fornece nenhuma indicação do método que está sendo usado.

    Exemplo:

    pix(config)#aaa authentication ssh console TACACS+ LOCAL
    

    Você pode opcionalmente usar o banco de dados local como seu principal método de autenticação (sem fallback) ao inserir LOCAL sozinho. Por exemplo, execute este comando para definir uma conta de usuário no banco de dados local e executar a autenticação local para uma conexão de SSH:

    Exemplo:

    pix(config)#aaa authentication ssh console LOCAL
    
  2. No PIX 7.x, execute este comando para configurar uma conta de usuário local com atributos de VPN:

    hostname/contexta(config)#username username attributes
    

    Ao executar um comando username attributes, você entra no modo de nome de usuário. Estes são os comandos disponíveis neste modo que precisam ser executados para configurar o perfil do usuário:

    • group-lock

    • password-storage

    • vpn-access-hours

    • vpn-filter

    • vpn-framed-ip-address

    • vpn-group-policy

    • vpn-idle-timeout

    • vpn-session-timeout

    • vpn-simultaneous-logins

    • vpn-tunnel-protocol

    • webvpn

Telnet Virtual

Embora seja possível configurar a autenticação de acesso de rede para qualquer protocolo ou serviço (consulte o comando aaa authentication match ou aaa authentication include), é possível autenticar diretamente somente com HTTP, Telnet ou FTP. Um usuário deverá se autenticar primeiro com um desses serviços antes que qualquer outro tráfego que necessite de autenticação seja permitido. Se não desejar permitir tráfego de HTTP, Telnet ou FTP via Security Appliance, mas quiser autenticar outros tipos de tráfego, você poderá configurar o Telnet virtual. O usuário executa um Telnet para um endereço IP determinado configurado no Security Appliance e o Security Appliance fornece um prompt de Telnet.

Para configurar um servidor de Telnet virtual, execute esse comando:

hostname(config)#virtual telnet <ip_address>

O argumento ip_address define o endereço IP do servidor de Telnet virtual. Certifique-se de que este endereço seja um endereço não utilizado roteado para o Security Appliance.

Você deve configurar a autenticação para o acesso de Telnet ao endereço de Telnet virtual, bem como os outros serviços que deseja autenticar com o comando authentication match ou aaa authentication include.

Quando um usuário não autenticado se conecta ao endereço IP do Telnet virtual, o usuário deve informar um nome de usuário e uma senha e, em seguida, é autenticado pelo servidor AAA. Após a autenticação, uma mensagem de autenticação bem-sucedida é exibida para o usuário. Com isso, o usuário poderá acessar os outros serviços que necessitam de autenticação.

No caso de usuários de entrada (da segurança mais baixa para a mais alta), você também deve incluir o endereço de Telnet virtual como uma interface de destino na lista de acesso aplicada à interface de origem. Além disso, você deve adicionar um comando static para o endereço IP do Telnet virtual, mesmo que o NAT não seja necessário (usando o comando no nat-control). Um comando de NAT de identidade é normalmente usado (onde o endereço é convertido nele mesmo).

Para os usuários de saída, há uma permissão explícita de tráfego. No entanto, se você aplicar uma lista de acesso a uma interface interna, certifique-se de permitir o acesso ao endereço de Telnet virtual. Nenhuma instrução static é necessária.

Para fazer logout do Security Appliance, reconecte-se ao endereço IP do Telnet virtual. Você será avisado para fazer logout.

Este exemplo mostra como habilitar o Telnet virtual juntamente com a autenticação AAA para outros serviços:

hostname(config)#virtual telnet 10.165.202.129
hostname(config)#access-list ACL-IN extended permit tcp any host 10.165.200.225
eq smtp
hostname(config)#access-list ACL-IN

!--- Este é o servidor SMTP no interior

hostname(config)#access-list ACL-IN extended permit tcp any host 10.165.202.129
eq telnet
hostname(config)#access-list ACL-IN

!--- Este é o endereço de Telnet virtual

hostname(config)#access-group ACL-IN in interface outside
hostname(config)#static (inside, outside) 10.165.202.129 10.165.202.129 netmask
255.255.255.255
hostname(config)#access-list AUTH extended permit tcp any host 10.165.200.225
eq smtp
hostname(config)#access-list AUTH

!--- Este é o servidor SMTP no interior

hostname(config)#access-list AUTH extended permit tcp any host 10.165.202.129
eq telnet
hostname(config)#access-list AUTH

!--- Este é o endereço de Telnet virtual

hostname(config)#aaa-server ACS protocol tacacs+
hostname(config)#aaa-server Acs (inside) host 10.1.1.1 TheUauthKey
hostname(config)#aaa authentication match AUTH outside ACS

Verificação

No momento, não há procedimento de verificação disponível para as configurações neste documento.

Troubleshooting

No momento, não existem informações disponíveis específicas sobre Troubleshooting para estas configurações.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70992