Bài viết sưu tầm
Lưu ý: Sử dụng Cisco ASA & ACS Server chạy trên VMWare kết hợp Router chạy trên Cisco IOU hoặc GNS3.
Mô tả:
-
Thực hiện hạn chế quyền truy cập dịch vụ từ bên ngoài vào vùng DMZ. Với việc dùng RADIUS để thực hiện việc xác thực và cấp quyền. Khi người dùng xác thực thành công FTP, ACL sẽ được nhận từ ACS Server để cho phép những dịch vụ khác như ICMP, SMTP, và POP3.
-
Địa chỉ IP 192.168.2.2 được NAT tĩnh trên GATEWAY 195.1.1.1
Cấu hình:
1) Cấu hình trên ACS
Tạo thông tin người dùng.
Định nghĩa AAA Client.
Trong Interface Configuration chọn Advanced Option.
-
User-Level Downloadable ACLs
-
Group-Level Downloadable ACLs
Chọn Downloadable IP ACLs => Chọn Add để tạo ACL.
Định nghĩa ACL.
Permit tcp any host 192.168.2.2 eq 21
Permit tcp any host 192.168.2.2 eq 25
Permit tcp any host 192.168.2.2 eq 110
Permit icmp any host 192.168.2.2
Trong Group Setup hoặc User Setup, đảm bảo Assign IP ACL được chọn.
2) Cấu hình trên GATEWAY
Định nghĩa NAT tĩnh:
GATEWAY(config)# ip nat inside source static 192.168.2.2 195.1.1.1
Xác định tuyến 192.168.2.0/24:
GATEWAY(config)# ip route 192.168.2.0 255.255.255.0 192.168.3.1
3) Cấu hình trên ASA
Xác định thông tin RADIUS:
FW-ASA-DTU(config)# aaa-server RADIUS protocol radius
FW-ASA-DTU(config)# aaa-server RADIUS host 192.168.1.2
FW-ASA-DTU(config-aaa-server-host)# key dtu123
Định nghĩa luồng dữ liệu được xác thực:
FW-ASA-DTU(config)# access-list AUTHEN permit tcp any host 192.168.2.2
Xác định luồng dữ liệu từ bên ngoài mà so trùng với ACL:
FW-ASA-DTU(config)# aaa authentication match AUTHEN outside RADIUS
Tắt tính năng (tùy chọn):
FW-ASA-DTU(config)# no nat-control
Kiểm tra giao tiếp giữa ASA & ACS:
FW-ASA-DTU(config)# test aaa authentication RADIUS host 192.168.1.2
Username: dtu
Password:
…
Định nghĩa luồng dữ liệu cho phép vào:
FW-ASA-DTU(config)# access-list INBOUND permit tcp any host 192.168.2.2 eq 21
FW-ASA-DTU(config)# access-group INBOUND in interface outside per-user-override
References
[1]http://www.mustbegeek.com/configure-ssh-access-in-cisco-asa/
[2]https://cuongquach.com/firewall-asa-bai-1-cau-hinh-co-ban.html
[3]https://learningnetwork.cisco.com/thread/76581
[4]Nhóm tác giả TT Tin học VNPro, CCSP LABPRO (ISCW, SNRS, IPS & CSMARS, SNAF & SNAA), NXB Thông tin & Truyền thông.
[8]http://svuit.vn/threads/lab-1-2-install-cisco-acs-5-8-part-1-1224/
[9]http://svuit.vn/threads/lab-1-2-crack-cisco-acs-5-8-part-2-1226/
» Tin mới nhất:
- Có nên lập kế hoạch nghề nghiệp (18/04/2025)
- Xử lý ngoại lệ (18/04/2025)
- Cấu trúc KPA của CMM (18/04/2025)
- EIGRP-redistribute static (18/04/2025)
- EIGRP with authentication (18/04/2025)
» Các tin khác:
- Hướng dẫn đặt mật khẩu cho USB, đặt Password bảo vệ USB (30/08/2019)
- Cách giới hạn số lần đăng nhập sai trên máy tính Windows (30/08/2019)
- Quyền cài đặt hệ điều hành trước khi cài đặt DB2 (28/08/2019)
- Các điều kiện trước khi cài đặt DB2 (28/08/2019)
- Học sâu tăng cường cho điều hướng Robot di động (18/08/2019)
- HÀM IFS (18/08/2019)
- Function trong VBA (18/08/2019)
- ASA#6_Cut-Through cơ bản_Phần 2 (17/08/2019)
- ASA#6_Cut-Through cơ bản_Phần 1 (17/08/2019)
- Chiến lược lựa chọn hành động ε-greedy (17/08/2019)
