AAA am Cisco-Router: TACACS+/RADIUS-Design, production-grade

In modernen Netzwerken ist die Authentifizierung, Autorisierung und Abrechnung (AAA) ein zentraler Bestandteil der Sicherheitsarchitektur. Cisco-Router bieten mit TACACS+ und RADIUS zwei leistungsfähige Protokolle, um Benutzerzugriffe auf Netzwerkgeräte zu steuern und zu überwachen. In diesem Tutorial lernen Sie, wie Sie AAA auf Cisco-Routern professionell designen und implementieren, sodass es production-grade-tauglich ist.

Grundlagen von AAA

AAA steht für Authentication, Authorization und Accounting:

• Authentication: Überprüfung der Identität eines Benutzers.
• Authorization: Bestimmung der Zugriffsrechte nach erfolgreicher Authentifizierung.
• Accounting: Protokollierung von Benutzeraktivitäten für Audits und Reporting.

Cisco-Router unterstützen beide Protokolle, TACACS+ und RADIUS, wobei die Wahl vom Anwendungsfall abhängt.

TACACS+ vs. RADIUS

Die beiden Protokolle unterscheiden sich in Funktionalität und Einsatzbereich:

• TACACS+: Trennung von Authentication, Authorization und Accounting. Ideal für Device-Management.
• RADIUS: Kombiniert Authentication und Authorization, Accounting separat. Häufig für Netzwerkzugang (VPN, WLAN) genutzt.

Vor- und Nachteile

• TACACS+: + Fein granular, + Verschlüsselung des gesamten Pakets, – Weniger weit verbreitet für Network Access.
• RADIUS: + Weit verbreitet, + Unterstützung für 802.1X, – Teile der Nachrichten nur Passwort-verschlüsselt.

AAA auf Cisco-Routern aktivieren

Bevor ein AAA-Server angebunden wird, muss AAA global aktiviert werden:

Router(config)# aaa new-model

Dies schaltet das AAA-Framework ein und erlaubt die Konfiguration von Authentifizierungs-, Autorisierungs- und Accounting-Methoden.

TACACS+-Integration

Server definieren

Router(config)# tacacs server TACACS01
Router(config-server-tacacs)# address ipv4 192.168.1.10
Router(config-server-tacacs)# key MeinSharedSecret

AAA-Richtlinien erstellen

Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local
Router(config)# aaa authorization exec VTY-AUTH group tacacs+ local
Router(config)# aaa accounting exec VTY-ACC group tacacs+

VTY-Zugriff auf TACACS+ umstellen

Router(config)# line vty 0 4
Router(config-line)# login authentication VTY-LOGIN
Router(config-line)# authorization exec VTY-AUTH
Router(config-line)# accounting exec VTY-ACC

Mit dieser Konfiguration werden alle Telnet/SSH-Logins zuerst über TACACS+ authentifiziert, autorisiert und anschließend protokolliert.

RADIUS-Integration

RADIUS-Server definieren

Router(config)# radius server RADIUS01
Router(config-radius)# address ipv4 192.168.1.20 auth-port 1812 acct-port 1813
Router(config-radius)# key MeinRadiusSecret

AAA-Richtlinien für RADIUS

Router(config)# aaa authentication login VTY-LOGIN group radius local
Router(config)# aaa authorization exec VTY-AUTH group radius local
Router(config)# aaa accounting exec VTY-ACC group radius

Designprinzipien für production-grade AAA

• Redundanz: Mindestens zwei AAA-Server pro Protokoll für Ausfallsicherheit.
• Fallback: Lokale Authentifizierung als Backup, falls der AAA-Server nicht erreichbar ist.
• Logging: Accounting aktivieren und auf zentralem Syslog-Server sammeln.
• Segmentierung: Management-Netzwerk vom Produktivnetz trennen, um AAA-Kommunikation zu schützen.
• Verschlüsselung: TACACS+ verschlüsselt Pakete, bei RADIUS sicherstellen, dass Passwörter geschützt sind.

Redundanz konfigurieren

Router(config)# tacacs server TACACS02
Router(config-server-tacacs)# address ipv4 192.168.1.11
Router(config-server-tacacs)# key MeinSharedSecret
Router(config)# radius server RADIUS02

Router(config-radius)# address ipv4 192.168.1.21 auth-port 1812 acct-port 1813

Router(config-radius)# key MeinRadiusSecret

Die Reihenfolge der Server wird in der AAA-Liste berücksichtigt, und Cisco-Router wechseln automatisch zum nächsten Server bei Ausfall.

Lokale Fallback-Authentifizierung

Um sicherzustellen, dass der Zugriff nicht verloren geht, kann ein lokaler Benutzer als Backup definiert werden:

Router(config)# username admin privilege 15 secret MeinLokalesPasswort
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local

Hierbei wird zuerst TACACS+ geprüft, bei Fehlern greift die lokale Anmeldung.

Accounting und Logging

Router(config)# aaa accounting exec VTY-ACC start-stop group tacacs+
Router(config)# logging host 192.168.1.100

Accounting ermöglicht die Protokollierung von Login- und Logout-Ereignissen. Zusammen mit einem zentralen Syslog-Server lassen sich Reports und Audits zuverlässig erstellen.

Tipps für ein sicheres AAA-Design

• Verwenden Sie starke, komplexe Shared Secrets für TACACS+ und RADIUS.
• Nutzen Sie Verschlüsselung und sichere Transportwege (z. B. Management-VLAN).
• Regelmäßige Tests der Fallback-Mechanismen.
• Überwachen Sie die Serververfügbarkeit und Log-Integrität kontinuierlich.
• Dokumentation aller AAA-Richtlinien und Serverkonfigurationen.

Zusammenfassung der CLI-Grundbausteine

• AAA global aktivieren:

  aaa new-model

• TACACS+ Server hinzufügen:

  tacacs server NAME

• RADIUS Server hinzufügen:

  radius server NAME

• AAA-Methodenlisten erstellen:

  aaa authentication login LIST group tacacs+ local

• VTY-Linien anpassen:

  line vty 0 4
  login authentication LIST
  authorization exec LIST
  accounting exec LIST

IP-Adressierung für AAA-Server

Ein typisches Management-Subnetz könnte wie folgt aussehen:

Management-Netz: 192.168.1.0/24
TACACS+: 192.168.1.10, 192.168.1.11
RADIUS: 192.168.1.20, 192.168.1.21
Router-Management-IP: 192.168.1.1

Subnetzplanung mit MathML:

192.168.1.0/24

Dies erlaubt 254 Hostadressen für Management-Hosts, Server und Router.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.