IOS15🔗

Przyjęte oznaczenia🔗

NACVIEW_SERV - adres IP serwera RADIUS_KEY - klucz komunikacji z serwerem radius RADIUS_GROUP - nazwa grupy serwerów dla protokołu RADIUS SW_IP - adres IP zarządzania switcha MGMT_INT - interfejs zarządzania przełącznika COA_SECRET - hasło CoA (ustawiane w ustawieniach zmiany autoryzacji) SNMP_SECRET - hasło SNMP v2c SNMP_AUTH i SNMP_PRIV - hasła SNMP v3 SNMP_USER i SNMP_GROUP - odpowiednio użytkownik i grupa SNMP CONF_FILE - nazwa pliku konfiguracyjnego (.txt bądź .cfg) TAC+_GROUP - nazwa grupy serwerów dla protokołu Tacacs+ TAC+_KEY - klucz komunikacji z serwerem Tacacs+

Software: Cisco IOS Software, Version 15.2

Konfiguracja połączenia z serwerem RADIUS🔗

S1#configure terminal S1(config)#aaa new-model S1(config)#radius-server vsa send S1(config)#aaa group server radius RADIUS_GROUP S1(config-sg-radius)#server-private NACVIEW_SER auth-port 1812 acct-port 1813 key RADIUS_KEY S1(config-sg-radius)#ip radius source-interface MGMT_INT S1(config-sg-radius)#exit S1(config)#aaa authentication dot1x default group RADIUS_GROUP S1(config)#aaa accounting dot1x default start-stop group RADIUS_GROUP S1(config)#aaa authorization network default group RADIUS_GROUP S1(config)#dot1x system-auth-control

Change of Authority (CoA)🔗

S1#configure terminal S1(config)#aaa server radius dynamic-author S1(config-locsvr-da-radius)#client NACVIEW_SERV server-key COA_SECRET S1(config-locsvr-da-radius)#port 3799

Konfiguracja AAA cache (jako failover)🔗

S1#configure terminal S1(config)#aaa cache profile CACHE_PROFILE S1(config-profile-map)#all no-auth albo regexp UNIVERSE/*. albo konkretne tożsamości S1(config-profile-map)#exit S1(config)#aaa authorization network default group RADIUS_GROUP cache CACHE_PROFILE S1(config)#aaa authentication dot1x default group RADIUS_GROUP cache CACHE_PROFILE S1(config)#aaa group server radius RADIUS_GROUP S1(config-sg-radius)#cache expiry 1 failover S1(config-sg-radius)#cache authorization profile CACHE_PROFILE S1(config-sg-radius)#cache authentication profile CACHE_PROFILE

Konfiguracja Radius-ACL🔗

Konfiguracja autoryzacji🔗

Protokół 802.1x🔗

S1#configure terminal S1(config)#interface gigabitEthernet 0/1 S1(config-if)#spanning-tree portfast edge S1(config-if)#switchport mode access S1(config-if)#dot1x pae authenticator S1(config-if)#authentication port-control auto S1(config-if)#authentication host-mode single-host S1(config-if)#authentication periodic S1(config-if)#authentication violation replace S1(config-if)#authentication order dot1x S1(config-if)#authentication priority dot1x

802.1x + fall-back do autoryzacji adresem MAC🔗

S1#configure terminal S1(config)#interface gigabitEthernet 0/1 S1(config-if)#spanning-tree portfast edge S1(config-if)#switchport mode access S1(config-if)#dot1x pae authenticator S1(config-if)#authentication port-control auto S1(config-if)#authentication host-mode single-host S1(config-if)#authentication periodic S1(config-if)#authentication violation replace S1(config-if)#mab eap S1(config-if)#authentication order dot1x mab S1(config-if)authentication priority dot1x mab

Autoryzacja adresem MAC + fallback do 802.1x🔗

S1#configure terminal S1(config)#interface gigabitEthernet 0/1 S1(config-if)#spanning-tree portfast edge S1(config-if)#switchport mode access S1(config-if)#dot1x pae authenticator S1(config-if)#authentication port-control auto S1(config-if)#authentication host-mode single-host S1(config-if)#authentication periodic S1(config-if)#authentication violation replace S1(config-if)#mab eap S1(config-if)#authentication order mab dot1x S1(config-if)authentication priority mab dot1x

MAB🔗

S1#configure terminal S1(config)#interface gigabitEthernet 0/1 S1(config-if)#spanning-tree portfast edge S1(config-if)#switchport mode access S1(config-if)#authentication port-control auto S1(config-if)#authentication host-mode single-host S1(config-if)#authentication periodic S1(config-if)#authentication violation shutdown S1(config-if)#mab eap S1(config-if)#authentication order mab S1(config-if)authentication priority mab

802.1x + fall-back do autoryzacji adresem MAC - tryb multi-domain🔗

S1#configure terminal S1(config)#interface gigabitEthernet 0/1 S1(config-if)#spanning-tree portfast edge S1(config-if)#switchport mode access S1(config-if)#dot1x pae authenticator S1(config-if)#authentication port-control auto S1(config-if)#authentication host-mode multi-domain S1(config-if)#authentication periodic S1(config-if)#authentication violation replace S1(config-if)#mab eap S1(config-if)#authentication order dot1x mab S1(config-if)authentication priority dot1x mab

802.1x + fall-back do autoryzacji adresem MAC - tryb multi-host🔗

S1#configure terminal S1(config)#interface gigabitEthernet 0/1 S1(config-if)#spanning-tree portfast edge S1(config-if)#switchport mode access S1(config-if)#dot1x pae authenticator S1(config-if)#authentication port-control auto S1(config-if)#authentication host-mode multi-host S1(config-if)#authentication periodic S1(config-if)#authentication violation replace S1(config-if)#mab eap S1(config-if)#authentication order dot1x mab S1(config-if)authentication priority dot1x mab

802.1x + fall-back do autoryzacji adresem MAC - tryb multi-auth🔗

S1#configure terminal S1(config)#interface gigabitEthernet 0/1 S1(config-if)#spanning-tree portfast edge S1(config-if)#switchport mode access S1(config-if)#dot1x pae authenticator S1(config-if)#authentication port-control auto S1(config-if)#authentication host-mode multi-auth S1(config-if)#authentication periodic S1(config-if)#authentication violation replace S1(config-if)#mab eap S1(config-if)#authentication order dot1x mab S1(config-if)authentication priority dot1x mab

Konfiguracja CentralWebAuth🔗

  1. ACL

  2. Author Profile

  3. Authen Rule

  4. Author Rule

  5. SW

  6. HTTP Proxy

CP-BLOCK

  1. permit ip

CP-ACCESS

Konfiguracja TACACS+🔗

S1(config)#aaa group server tacacs+ TAC+_GROUP S1(config-sg-tacacs+)#server-private NACVIEW_SERV key TAC+_KEY S1(config-sg-tacacs+)#accounting acknowledge broadcast S1(config-sg-tacacs+)#ip tacacs source-interface MGMT_INT S1(config-sg-tacacs+)#exit S1(config)#aaa authentication login default group TAC+_GROUP S1(config)#aaa authorization exec default group TAC+_GROUP S1(config)#aaa accounting exec default start-stop group TAC+_GROUP

SNMP🔗

Wersja 3 - zalecana🔗

S1#configure terminal S1(config)#snmp-server enable traps S1(config)#snmp-server group SNMP_GROUP v3 priv context vlan- match prefix S1(config)#snmp-server ifindex persist S1(config)#snmp-server trap-source MGMT_INT S1(config)#snmp-server source-interface informs MGMT_INT S1(config)#snmp-server source-interface traps MGMT_INT S1(config)#snmp-server user SNMP_USER SNMP_GROUP v3 auth sha SNMP_AUTH priv des SNMP_PRIV S1(config)#snmp-server host NACVIEW_SERV inform version 3 priv SNMP_USER S1(config)#snmp-server host NACVIEW_SERV traps version 3 priv SNMP_USER

Wersja 2c - nie zalecana, zapewniająca minimalny poziom bezpieczeństwa🔗

S1#configure terminal S1(config)#snmp-server enable traps S1(config)#snmp-server ifindex persist S1(config)#snmp-server community SNMP_SECRET ro S1(config)#snmp-server trap-source MGMT_INT S1(config)#snmp-server source-interface informs MGMT_INT S1(config)#snmp-server source-interface traps MGMT_INT S1(config)#snmp-server host NACVIEW_SERV inform version 2c private S1(config)#snmp-server host NACVIEW_SERV traps version 2c private

Przekierowanie logów systemowych na serwer NACVIEW🔗

S1#configure terminal S1(config)#logging host NACVIEW_SERV S1(config)#logging source-interface MGMT_INT S1(config)#logging on

Zabezpieczenia MAC🔗

Polecania switchport port-security można używać tylko na porcie w statycznie ustawionym trybie access bądź trunk

S1(config-if)#switchport port-security - polecenie włącza tryb port-security (domyślnie dynamiczne zapamiętywanie adresów MAC) S1(config-if)#switchport port-security MAC-address H.H.H - polecenie dodaje do konfiguracji adres statyczny MAC S1(config-ir)#switchport port-security MAC-address sticky - polecenie konfiguruje dodawanie dynamicznych adresów MAC w trybie sticky S1(config-if)#switchport port-security mac-address forbidden H.H.H - polecenie konfiguruje adres zabroniony na danym porcie

Tryb domyślny (dynamiczny) - jest to tryb, w którym przełącznik dynamicznie uczy się adresów MAC na porcie, są one usuwane z tablicy adresów po wystąpienie każdego link-down na porcie Tryb statyczny - jest to tryb, w którym administrator statycznie konfiguruje do 4096 adresów, są one zapisywane w bieżącej konfiguracji urządzenia. Jeśli zostanie określona ilość adresów mniejsza niż ustawiona wartość maksymalna, to reszta adresów jest rejestrowana w trybie dynamicznym bądź sticky Tryb sticky - jest to tryb, w którym przełącznik dynamicznie uczy się adresów MAC na porcie, natomiast są one zapisywane jak adresy statyczne

S1(config-if)#switchport port-security violation [protect | restrict | shutdown] - polecenia konfiguruje tryb naruszenia portu (wykrycie niezarejstrowanego adresu MAC w trybie statycznym bądź przekroczenie maksymalnej ilości adresów w trybie dynamicznym bądź wykrycie zarejestrowanego adresu MAC na innym porcie) Tryb protect - pakiety są odrzucane do momentu, kiedy przestaną obowiązywać naruszenie portu Tryb restrict - j.w., powoduje zwiększenie licznika SecurityViolation Tryb shutdown - ustawia port w tryb error-disabled

S1(config-if)#switchport port-security maximum X - polecenie konfiguruje maksymalną ilość adresów na porcie, gdzie X jest od 1 do 4097 S1(config-if)#switchport port-security aging time X - polecenia konfiguruje maksymalny czas życia adresów dynamicznych, gdzie X jest od 1 do 1440 (w minutach) S1(config-if)#switchport port-security aging type [ absolute | inactivity] - typ starzenia się adresów MAC (absolutny, od momentu dodanie do tablicy bądź bazujący na nieaktywności danego adresu) S1(config-if)#switchport port-security aging static - włączenie starzenia portów dla adresów dodanych statycznie

Utility🔗

S1#show running-config - akualna konfiguracja urządzenia S1#show startup-config - startowa konfiguracja urządzenia S1#show dot1x - konfiguracja 802.1x S1#show dot1x interface gigabitEthernet X/x details - konfiguracja 802.1x na interfejsie X S1#show radius server-group all - konfiguracja serwera RADIUS S1#show dot1x interface gigabitEthernet X/x statistics - statystyki 802.1x na interfejsie X S1#copy running-config tftp://NACVIEW_SERV/CONF_FILE.txt - kopiowanie bieżącej konfiguracji na serwer NACVIEW S1#copy startup-config tftp://NACVIEW_SERV/CONF_FILE.txt - kopiowanie konfiguracji startowej na serwer NACVIEW S1#copy tftp://NACVIEW_SERV/CONF_FILE.txt running-config - kopiowanie konfiguracji z serwera NACVIEW do bieżącej konfigurcji S1#copy tftp://NACVIEW_SERV/CONF_FILE.txt startup-config - kopiowanie konfiguracji z serwera NACVIEW do startowe