Lưu ý: Sử dụng Cisco ASA & ACS Server chạy trên VMWare kết hợp Router chạy trên Cisco IOU hoặc GNS3.

Mô tả:

• Thực hiện hạn chế quyền truy cập dịch vụ từ bên ngoài vào vùng DMZ. Với việc dùng RADIUS để thực hiện việc xác thực và cấp quyền. Khi người dùng xác thực thành công FTP, ACL sẽ được nhận từ ACS Server để cho phép những dịch vụ khác như ICMP, SMTP, và POP3.

• Địa chỉ IP 192.168.2.2 được NAT tĩnh trên GATEWAY 195.1.1.1

Cấu hình:

1) Cấu hình trên ACS

Tạo thông tin người dùng.

Định nghĩa AAA Client.

Trong Interface Configuration chọn Advanced Option.

• User-Level Downloadable ACLs

• Group-Level Downloadable ACLs

Chọn Downloadable IP ACLs => Chọn Add để tạo ACL.

Định nghĩa ACL.

Permit tcp any host 192.168.2.2 eq 21

Permit tcp any host 192.168.2.2 eq 25

Permit tcp any host 192.168.2.2 eq 110

Permit icmp any host 192.168.2.2

Trong Group Setup hoặc User Setup, đảm bảo Assign IP ACL được chọn.

2) Cấu hình trên GATEWAY

Định nghĩa NAT tĩnh:

GATEWAY(config)# ip nat inside source static 192.168.2.2 195.1.1.1

Xác định tuyến 192.168.2.0/24:

GATEWAY(config)# ip route 192.168.2.0 255.255.255.0 192.168.3.1

3) Cấu hình trên ASA

Xác định thông tin RADIUS:

FW-ASA-DTU(config)# aaa-server RADIUS protocol radius

FW-ASA-DTU(config)# aaa-server RADIUS host 192.168.1.2

FW-ASA-DTU(config-aaa-server-host)# key dtu123

Định nghĩa luồng dữ liệu được xác thực:

FW-ASA-DTU(config)# access-list AUTHEN permit tcp any host 192.168.2.2

Xác định luồng dữ liệu từ bên ngoài mà so trùng với ACL:

FW-ASA-DTU(config)# aaa authentication match AUTHEN outside RADIUS

Tắt tính năng (tùy chọn):

FW-ASA-DTU(config)# no nat-control

Kiểm tra giao tiếp giữa ASA & ACS:

FW-ASA-DTU(config)# test aaa authentication RADIUS host 192.168.1.2

Username: dtu

Password:

…

Định nghĩa luồng dữ liệu cho phép vào:

FW-ASA-DTU(config)# access-list INBOUND permit tcp any host 192.168.2.2 eq 21

FW-ASA-DTU(config)# access-group INBOUND in interface outside per-user-override

References

[1]http://www.mustbegeek.com/configure-ssh-access-in-cisco-asa/

[2]https://cuongquach.com/firewall-asa-bai-1-cau-hinh-co-ban.html

[3]https://learningnetwork.cisco.com/thread/76581

[4]Nhóm tác giả TT Tin học VNPro, CCSP LABPRO (ISCW, SNRS, IPS & CSMARS, SNAF & SNAA), NXB Thông tin & Truyền thông.

[5] https://supportforums.cisco.com/t5/security-documents/asa-how-to-download-images-using-tftp-ftp-http-https-and-scp/ta-p/3109769

[6]https://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/user/guide/acsuserguide/admin_config.html

[7]https://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/release/notes/acs_58_rn.html

[8]http://svuit.vn/threads/lab-1-2-install-cisco-acs-5-8-part-1-1224/

[9]http://svuit.vn/threads/lab-1-2-crack-cisco-acs-5-8-part-2-1226/