Instalacija i konfiguracija TACACS + s Cisco usmjerivačem na Debian 8 Jessie

Tehnologija se danas uvelike oslanja na mrežnu opremu i pravilnu konfiguraciju te mrežne opreme. Administratori imaju zadatak osigurati da se promjene konfiguracije ne samo temeljito testiraju prije implementacije, već i da promjene konfiguracije rade osobe koje su ovlaštene za uvođenje promjena, kao i da evidentiraju promjene.

Ovo načelo sigurnosti poznato je kao AAA (Triple-A) ili Ovjera, autorizacija i računovodstvo. Postoje dva vrlo istaknuta sustava koja nude AAA funkcionalnost za administratore kako bi osigurali pristup uređajima i mrežama koje ti uređaji opslužuju.

RADIUS (usluga daljinskog pristupa putem dial-in-a) i TACACS + (Terminal Access Controller Access-Control System Plus).

Radius se tradicionalno koristi za provjeru autentičnosti korisnika za pristup mreži koja je suprotna TACACS-u jer se TACACS tradicionalno koristi za administraciju uređaja. Jedna od velikih razlika između ova dva protokola je sposobnost TACACS-a da razdvoji AAA funkcije u neovisne funkcije.

Prednost TACACS odvajanja AAA funkcija je u tome što se može kontrolirati korisnikova sposobnost izvršavanja određenih naredbi. To je vrlo povoljno za organizacije koje žele pružiti umreženo osoblje ili druge IT administratore različitim privilegijama naredbi na vrlo detaljnoj razini.

Ovaj članak će proći kroz postavljanje Debian sustava koji će djelovati kao TACACS + sustav.

  1. Debian 8 instaliran i konfiguriran mrežnom vezom. Molimo pročitajte ovaj članak o tome kako instalirati Debian 8
  2. Cisco mrežni prekidač 2940 (Većina ostalih Ciscovih uređaja također će raditi, ali naredbe na prekidaču/usmjerivaču mogu se razlikovati).

Instalacija softvera TACACS + na Debianu 8

Prvi korak u postavljanju ovog novog TACACS poslužitelja bit će nabavka softvera iz spremišta. To se lako postiže korištenjem naredbe ‘apt’.

# apt-get install tacacs+

Gornja naredba će instalirati i pokrenuti poslužiteljsku uslugu na portu 49. To se može potvrditi s nekoliko uslužnih programa.

# lsof -i :49
# netstat -ltp | grep tac

Ove dvije naredbe trebale bi vratiti liniju koja označava da TACACS sluša na priključku 49 na ovom sustavu.

U ovom trenutku TACACS osluškuje veze na ovom stroju. Sada je vrijeme da konfigurirate TACACS uslugu i korisnike.

Konfiguriranje TACACS usluge i korisnika

Općenito je dobra ideja vezati usluge za određene IP adrese ako slučajno poslužitelj ima više adresa. Da bi se ovaj zadatak izvršio, zadane opcije demona mogu se izmijeniti kako bi se navela IP adresa.

# nano /etc/default/tacacs+

Ova datoteka navodi sve postavke demona koje bi sustav TACACS trebao pokrenuti. Zadana instalacija odredit će samo konfiguracijsku datoteku. Dodavanjem argumenta '-B' u ovu datoteku, TACACS se može koristiti za određenu IP adresu.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Posebna napomena u Debianu: Iz nekog razloga pokušaj ponovnog pokretanja usluge TACACS + za čitanje novih opcija demona nije uspješan (putem ponovnog pokretanja usluge tacacs_plus).

Čini se da je problem ovdje kada se TACACS pokrene putem init skripte, PID je statički postavljen na "PIDFILE =/var/run/tac_plus.pid", međutim kada je "-B XXXX" naveden kao opcija demona, ime datoteke pid promijenjeno je u “/var/run/tac_plus.pid.XXXX”.

Nisam potpuno siguran je li ovo greška ili nije, ali za privremenu borbu protiv situacije, možete ručno postaviti PIDFILE u init skripti promjenom retka u "PIDFILE =/var/run/tac_plus.pid.XXXX" gdje XXXX je IP adresa koju bi TACACS trebao slušati, a zatim pokrenuti uslugu sa:

# service tacacs_plus start

Nakon ponovnog pokretanja usluge, naredba lsof može se ponovno upotrijebiti za potvrdu da TACACS usluga preslušava na ispravnoj IP adresi.

# lsof -i :49

Kao što se vidi gore, TACACS preslušava IP adresu na određenoj IP adresi kako je postavljeno u gornjoj datoteci zadanih vrijednosti TACACS. U ovom trenutku treba stvoriti korisnike i određene skupove naredbi.

Ovim podacima upravlja druga datoteka: ‘/etc/tacacs+/tac_plus.conf’. Otvorite ovu datoteku pomoću uređivača teksta da biste izvršili odgovarajuće izmjene.

# nano /etc/tacacs+/tac_plus.conf

U ovoj bi se datoteci trebale nalaziti sve specifikacije TACACS-a (korisnička dopuštenja, popisi za kontrolu pristupa, ključevi domaćina itd.). Prvo što treba stvoriti je ključ za mrežne uređaje.

U ovom je koraku puno fleksibilnosti. Jedan ključ može se konfigurirati za sve mrežne uređaje ili više ključeva po uređaju. Opcija ovisi o korisniku, ali ovaj vodič radi jednostavnosti će koristiti jedan ključ.

key = "super_secret_TACACS+_key"

Nakon što se ključ konfigurira, treba izgraditi grupe koje određuju dozvole koje će korisnici dodijeliti kasnije. Stvaranje grupa znatno olakšava delegiranje dozvola. Ispod je primjer dodjeljivanja potpunih administratorskih prava.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Naziv grupe određuje se retkom "group = admins", a administratori su naziv grupe.
  2. Redak "zadana usluga = dozvola" označava da ako naredba nije izričito odbijena, tada je implicitno dopustite.
  3. "Usluga = exec {priv-lvl = 15}" omogućuje razinu privilegija 15 u exec načinu rada na Cisco uređaju (nivo privilegija 15 najviši je na Cisco opremi).

Sada korisnika treba dodijeliti grupi administratora.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Strofa “user = rob” omogućuje korisničkom imenu rob da pristupi nekom resursu.
  2. "member = admins" govori TACACS + da se popiše na ono što je ovaj korisnik ovlašten uputiti na prethodnu grupu koja se naziva admins.
  3. Završni redak, "login = des mjth124WPZapY" deskriptirana je lozinka za ovog korisnika za autentifikaciju (slobodno upotrijebite cracker da biste shvatili ovaj super "složeni" primjer lozinke)!

Važno: Općenito je najbolja praksa postavljanje šifriranih lozinki u ovu datoteku, a ne u običan tekst, jer dodaje malu količinu sigurnosti u slučaju da bi netko trebao pročitati ovu datoteku i ne bi trebao nužno imati pristup.

Dobra preventivna mjera za to je barem ukloniti pristup svjetskom čitanju i na konfiguracijskoj datoteci. To se može postići sljedećom naredbom:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

U ovom je trenutku poslužiteljska strana spremna za veze s mrežnih uređaja. Idemo sada na Cisco komutator i konfigurirajte ga za komunikaciju s ovim Debian TACACS + poslužiteljem.