Die Implementierung von AAA (Authentication, Authorization, Accounting) auf Cisco-Routern ist ein zentraler Bestandteil der zentralisierten Zugriffskontrolle. Durch den Einsatz von TACACS+ oder RADIUS können Unternehmen konsistente Richtlinien für Benutzerzugriffe definieren, privilegierte Rechte steuern und alle Aktivitäten auditierbar protokollieren. Dieses Tutorial beschreibt praxisnah, wie ein sicheres AAA-Design umgesetzt wird.
Grundlagen von AAA
AAA umfasst drei Kernbereiche:
- Authentication: Verifizierung der Identität von Benutzern oder Geräten
- Authorization: Steuerung der Zugriffsrechte und Privilegien
- Accounting: Protokollierung von Aktionen zur Nachvollziehbarkeit und Auditierung
Die Nutzung von zentralisierten Servern über TACACS+ oder RADIUS erleichtert das Management, erhöht die Sicherheit und erlaubt konsistente Policies über mehrere Router und Standorte hinweg.
TACACS+ vs. RADIUS
TACACS+
- Trennung von Authentication, Authorization und Accounting
- Vollständige Verschlüsselung der Payload, einschließlich Passwörter
- Fein granulare Rechteverwaltung auf CLI-Basis
- Bessere Integration für Netzwerkgeräte und administrative Zugriffe
RADIUS
- Häufig für Netzwerkzugriffe wie VPN oder WLAN eingesetzt
- Authentication und Authorization kombiniert, nur Passwords verschlüsselt
- Geringere Flexibilität für CLI-Level-Zugriffe
- Gut geeignet für Massenbenutzerzugriffe auf Endgeräte
AAA-Design auf Cisco-Routern
1. AAA aktivieren
aaa new-modelDer Befehl aktiviert AAA und bereitet die Integration mit TACACS+ oder RADIUS vor.
2. TACACS+/RADIUS-Server konfigurieren
! TACACS+ Server
tacacs server TACACS-SERVER-1
address ipv4 10.10.10.10
key SehrStarkesPasswort
! RADIUS Server
radius server RADIUS-SERVER-1
address ipv4 10.10.20.10 auth-port 1812 acct-port 1813
key SehrStarkesPasswort
3. Authentifizierungsrichtlinien definieren
Login-Zugriffe über VTY-Linien oder lokale Konsolen absichern:
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authentication login CONSOLE-LOGIN local- Primäre Authentifizierung über TACACS+, Fallback auf lokale Benutzer
- Separate Methoden für Konsolen- und Remotezugriff
4. Autorisierung konfigurieren
Steuert, welche CLI-Kommandos oder Funktionen ein Benutzer ausführen darf:
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local- Prüft Rechte auf Befehlsebene
- Verhindert unautorisierte privilegierte Aktionen
- Lokale Fallbacks für Notfallzugriffe
5. Accounting aktivieren
Alle administrativen Aktionen protokollieren:
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
logging host 10.10.10.200
service timestamps log datetime msec localtime- Start/Stop von Sessions erfassen
- Privilegierte Befehle protokollieren
- Zentrale Syslog-Integration für Audit-Zwecke
Best Practices für AAA-Design
- Primäre Authentifizierung über zentralisierte Server, lokale Fallbacks nur für Notfälle
- Separate Policies für Konsolen, VTY-Linien, SNMP oder VPN-Zugänge
- Regelmäßige Passwort- und Key-Rotation auf TACACS+/RADIUS-Servern
- Granulare Rechte auf Befehls- oder Exec-Level vergeben
- Monitoring und Alarmierung bei fehlgeschlagenen Login-Versuchen
- Dokumentation aller Policies und Konfigurationen für Audits
Praktische CLI-Zusammenfassung
aaa new-model
! TACACS+ Server konfigurieren
tacacs server TACACS-SERVER-1
address ipv4 10.10.10.10
key SehrStarkesPasswort
! RADIUS Server konfigurieren
radius server RADIUS-SERVER-1
address ipv4 10.10.20.10 auth-port 1812 acct-port 1813
key SehrStarkesPasswort
! Authentifizierung
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authentication login CONSOLE-LOGIN local
! Autorisierung
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
! Accounting
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
! Logging für Audit
logging host 10.10.10.200
service timestamps log datetime msec localtime
! Benutzer für Fallback
username admin privilege 15 secret AdminPasswort123!
Zusammenfassung
- AAA bietet zentrale Kontrolle über Benutzerzugriffe
- TACACS+ eignet sich für administrative CLI-Zugriffe, RADIUS für Endgeräte und VPNs
- Trennung von Authentication, Authorization und Accounting erhöht Sicherheit
- Fallback-Mechanismen, Monitoring und Logging sichern Betrieb und Auditfähigkeit
- Regelmäßige Reviews und Anpassungen der Policies notwendig für Enterprise-Umgebungen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.