Il tuo indirizzo IP è 162.158.78.127     

Cisco AAA: Authentication, Authorization and Accounting

Written by Alessio Carta on . Posted in CCNA Security . Hits: 12090

Un aspetto fondamentale delle reti è la loro sicurezza. Una rete è considerata sicura quando garantisce il controllo degli accessi e assicura la tracciabilità delle operazioni effettuate. Fa parte delle politiche di sicurezza la messa in produzione di un sistema di controllo che tenga traccia di chi ha effettuato l’accesso, del momento in cui è avvenuto l’accesso e cosa è stato fatto nel periodo di connessione. La tracciabilità deve riguardare tanto gli amministratori di rete, quanto gli utenti aziendali e quelli remoti.

Comments  

# Gab 2017-10-24 16:29
Fantastica spiegazione ! Sei un grande, grazie :-)
Reply
# Alex 2016-05-07 11:15
Senti, ma cisco è quello che fa facebook? cioè, non o capito. :sigh:
Reply
# Gab 2017-10-24 16:27
:-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :-| :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry:
Reply
# Alessio 2010-11-07 17:30
Quoting Gianmarco:
Scusami forse mi sono spiegato male. Mi riferisco al timeout che si
imposta durante le acl, per far sì che ci sia un acl dinamica che duri
il tempo dell'autenticazion e. Ora non saprei se utilizzare le cbac o
meno. Grazie per l'aiuto


Non mi è chiarissima la tua domanda, ma direi che il timeout è legato all'utente, non è un timeout assoluto. Mi par di capire che intendi usare un'ACL estesa e complessa per dare accesso ad un determinato utente a seguito di autenticazione sul router; l'autenticazion e puoi basarla su DB locale o su infrastruttura AAA, l’utente remoto deve prima di tutto connettersi via Telnet o SSH al router, e se l’autenticazion e ha successo, viene creata automaticamente una ACL dinamica e temporanea che consentirà l’accesso alle risorse interne. Il timeout lo specifichi proprio nell'ACL dinamica che sta dentro l'ACL estesa, e il conteggio partirà per ogni login. Alla domanda cosa succede se dopo 10 minuti un altro host fa il login, direi che questo nuovo accesso avrebbe sempre un timeout di 15 minuti.

Nell'articolo www.netsetup.it/.../ c'è un esempio di ACL dinamica che forse è quello che intendi tu. Ripeto, ti consiglio qualche prova su Packet Tracer, i riscontri che otterresti sarebbero migliori di qualsiasi mio parere! :-)
Ciao
Reply
# Gianmarco 2010-11-06 12:54
Scusami forse mi sono spiegato male. Mi riferisco al timeout che si
imposta durante le acl, per far sì che ci sia un acl dinamica che duri
il tempo dell'autenticaz ione. Ora non saprei se utilizzare le cbac o
meno. Grazie per l'aiuto
Reply
# Alessio 2010-11-06 10:43
Quoting Gianmarco:
Ciao vorrei porti un quesito: se avessi un router al quale sono collegati 2 lan /24. Mettendo il timeout per l'autenticazione sul router a 15 minuti, in caso un host qualsiasi di una lan facesse login, dopo 10 minuti lo facesse un altro host, cosa succederebbe? I due host possono essere autenticati contemporaneamente o uno dei due viene "buttato fuori"? Grazie anticipatamente


Intendi il timeout impostabile con il comando "timeout login response"?

Mi risulta che con il timeout vai ad indicare al sistema il tempo massimo di attesa per ricevere l’input del login. Di default quel tempo è di 30 secondi, dopo i quali la sessione viene chiusa se non viene effettuato il login.
Il tuo secondo host non dovrebbe aver problemi nell'effettuare il secondo accesso. Ti consiglio di fare una prova con il Packet Tracer per levarti ogni dubbio, usi un sistema AAA basato su DB locale, per cui non ti servono server RADIUS o TACACS+.
Ciao
Reply
# Gianmarco 2010-11-06 10:15
Ciao vorrei porti un quesito: se avessi un router al quale sono collegati 2 lan /24. Mettendo il timeout per l'autenticazion e sul router a 15 minuti, in caso un host qualsiasi di una lan facesse login, dopo 10 minuti lo facesse un altro host, cosa succederebbe? I due host possono essere autenticati contemporaneame nte o uno dei due viene "buttato fuori"? Grazie anticipatamente
Reply
# Alessio 2010-08-24 15:57
Quoting Ruben:
Ciao,volevo sapere si c'è la possibilità di fare l'autenticazione e autorizzazione dei client vpn dei router cisco usando il db di "Active Directory"e MS-IAS.
Grazie


Si. In linea di massima ti serve:
- versione dell' IOS con le funzionalità ipsec/security;
- configurazione delle vpn sul router con authentication tramite RADIUS
- Windows Server con IAS, con riferimento agli account di Active Directory.

Qui trovi un esempio:
briandesmond.com/.../...

E qui altri riferimenti:
www.cisco.com/.../scfrad.html
cisco.com/.../...
Reply
# Ruben 2010-08-24 00:40
Ciao,volevo sapere si c'è la possibilità di fare l'autenticazion e e autorizzazione dei client vpn dei router cisco usando il db di "Active Directory"e MS-IAS.
Grazie
Reply

Add comment


Security code
Refresh

Utilizzando questo sito accetti l'uso di cookie per analisi, contenuti personalizzati e pubblicità mirata (tramite Google AdSense). Clicca qui per maggiori informazioni