Cisco IPS + RADIUS

При работе с большим количеством сетевых сенсоров становится актуальной необходимость централизованного управления учетными записями пользователей.

Преимущества использования RADIUS

До версии Cisco IPS 7.0(4)E4 сетевые сенсоры Cisco поддерживали возможность управления учетными записями пользователей только с использованием локальной аутентификации и авторизации. Централизованное управление доступом к большому количеству сенсоров могло осуществляться только посредством специализированных решений от производителя. С выходом версии 7.0(4)E4 появилась поддержка протокола RADIUS. Преимущества использования централизованных серверов аутентификации и авторизации очевидны: повышается безопасность и удобство администрирования учетных записей пользователей, а также существенно понижаются затраты времени на создание, изменение и удаление новых аккаунтов при большом количестве сетевых сенсоров.
Для отказоустойчивости необходимо два сервера RADIUS: основной (primary) и резервный (secondary). В случае отказа основного сенсор будет обращаться к резервному. При выходе из строя или потере связи с обоими серверами сенсоры Cisco могут использовать локальную базу учетных записей для аутентификации и авторизации пользователей.

Настройка Cisco IPS

Настройка сенсоров для подключения к серверам RADIUS и включением аварийной проверки по локальной базе производится по нижеописанному алгоритму.
Вход в режим конфигурации RADIUS на Cisco IPS осуществляется посредством ввода нескольких команд. Переход в режим глобальной конфигурации:

sensor# configure terminal

настройка AAA:

sensor(config)# service aaa

конфигурация атрибутов взаимодействия с сервером RADIUS:

sensor(config-aaa)# aaa radius

sensor(config-aaa-rad)#

Настройка параметров основного сервера:

sensor(config-aaa-rad)# primary-server

адрес и порт сервера:

sensor(config-aaa-rad-pri)# server-address 10.0.2.5

sensor(config-aaa-rad-pri)# server-port 1812

общий ключ шифрования сообщений RADIUS:

sensor(config-aaa-rad-pri)# shared-secret there_is_a_secret_key1

sensor(config-aaa-rad-pri)# exit

sensor(config-aaa-rad)#

Настройка атрибутов резервного сервера производится аналогично:

sensor(config-aaa-rad)# secondary-server enabled

sensor(config-aaa-rad-ena)# server-address 10.0.8.2

sensor(config-aaa-rad-ena)# server-port 1812

sensor(config-aaa-rad-ena)# shared-secret there_is_a_secret_key2

sensor(config-aaa-rad-ena)# exit

sensor(config-aaa-rad)#

Включение возможности локальной аутентификации и авторизации пользователей при отсутствии связи с основным и вспомогательным серверами RADIUS:

sensor(config-aaa-rad)# local-fallback enabled

Указание уровня доступа по умолчанию для пользователей, которые прошли аутентификацию на RADIUS, но которым явно не назначена соответствующая пара атрибут-значение:

sensor(config-aaa-rad)# default-user-role unspecified

В Cisco IPS определены 4 уровня доступа пользователей:

Administrator – «суперпользователь» IPS. Имеет право на осуществление любых действий в IPS CLI, но не имеет доступа в консоль операционной системы.

Operator - большинство функций CLI IPS, кроме управления пользователями.

Viewer – уровень доступа без возможности редактирования.

Service - пользователь консоли операционной системы Linux, использующий оболочку /bin/bash.

Системы обнаружения и предотвращения вторжений производства Cisco Systems основаны на операционной системе Linux. Cisco IPS CLI является командной оболочкой /usr/cids/idsRoot/bin/cidcli, заменяющей /bin/bash для пользователей с правами доступа viewer, operator и administrator. Пароль пользователя уровня service используется также для перехода в режим суперпользователя root командой su консоли Linux. В то же время, если пользователь с правами доступа service был заведен локально до интеграции с RADIUS, пароль для него можно изменить посредством конфигурации серверов RADIUS, но пароль суперпользователя root останется прежним.

Конфигурация RADIUS

В данной статье описывается настройка сервера Freeradius 2.0 под управлением ОС Linux Debian. Для того, чтобы сервер RADIUS обрабатывал запросы сенсора Cisco IPS, необходимо добавить параметры сенсора (DNS-имя или IP-адрес, общий ключ) в файл конфигурации клиентов (по умолчанию /etc/freeradius/clients.conf):

client sensor1 {

secret = there_is_a_secret_key1

shortname = sensor1

}

Для того чтобы пользователь получал соответствующие полномочия при работе с сенсором, в файл конфигурации пользователей сервера RADIUS (по умолчанию /etc/freeradius/users) необходимо добавить учетной записи соответствующую пару атрибут-значение, например:

cisco-avpair = "ips-role=administrator"

Заключение

Итого, при увеличении количества сетевых сенсоров систем обнаружения и предотвращения вторжений возникает необходимость централизованного управления учетными записями пользователей данных устройств. Интеграция Cisco IPS с серверами RADIUS предоставляет следующие возможности:
- централизованная аутентификация и авторизация пользователей;
- снижение операционных затрат времени администратора IPS на управление учетными записями пользователей;
- простоту масштабируемости инфраструктуры систем обнаружения вторжений.

===
Статья опубликована в журнале "Системный администратор" №9 2011.