вторник, 2 июля 2013 г.

Лабораторная работа по Juniper №4. Настройка AAA, snmp, syslog


Так как лабораторных работ достаточно много, на ранних лабораторных будет изменяться схема подключения устройств.
Для настройки snmp необходимо настроить community:

root@set snmp commmunity NameCommunity read-only
После ввода данной команды создалась community с именем NameCommunity с правами только на чтение.
Выполним проверку с компьютера с помощью утилиты snmpwalk.

PC@test:~$ snmpwalk -v 2c -c NameCommunity 192.168.1.1
iso.3.6.1.2.1.1.1.0 = STRING: "Juniper Networks, Inc. srx240h internet router, kernel JUNOS 11.2R4.3 #0: 2011-11-24 08:11:51 UTC     builder@chamuth.juniper.net:/volume/build/junos/11.2/release/11.2R4.3/obj-octeon/bsd/kernels/JSRXNLE/kernel Build date: 2011-11-24 07:58:57 UTC Copyrigh"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.2636.1.1.1.2.39
iso.3.6.1.2.1.1.3.0 = Timeticks: (241311893) 27 days, 22:18:38.93
iso.3.6.1.2.1.1.4.0 = ""
iso.3.6.1.2.1.1.5.0 = STRING: "123"
iso.3.6.1.2.1.1.6.0 = ""
iso.3.6.1.2.1.1.7.0 = INTEGER: 4
iso.3.6.1.2.1.2.1.0 = INTEGER: 49
iso.3.6.1.2.1.2.2.1.1.3 = INTEGER: 3
iso.3.6.1.2.1.2.2.1.1.4 = INTEGER: 4
iso.3.6.1.2.1.2.2.1.1.6 = INTEGER: 6
iso.3.6.1.2.1.2.2.1.1.7 = INTEGER: 7
iso.3.6.1.2.1.2.2.1.1.8 = INTEGER: 8
iso.3.6.1.2.1.2.2.1.1.9 = INTEGER: 9
iso.3.6.1.2.1.2.2.1.1.10 = INTEGER: 10


Для настройки syslog необходимо:

root@set system syslog host 10.39.19.246 any any
Прописываем сетевой адрес сервера с запущенным syslog-сервером и выбираем режим логирование любых событий. JunOS позволяет тонко настраивать какие именно сообщения и каких типов следует логировать.

root@set system syslog user * any critical
Указываем, что любые критические замечания всех пользователей стоит логировать.

root@set system syslog file messages any any
Выполним логирование всех видов событий в файл  messages, который находится в памяти Juniper

Для проверки логирования следует настроить программу на сервере. В пример программа syslog-ng на OC Debian.
Пример лог файла
Jun  3 12:20:05 10.39.18.66 mgd[38086]: UI_COMMIT_PROGRESS: Commit operation in$
Jun  3 12:20:15 10.39.18.66 mgd[38086]: UI_CMDLINE_READ_LINE: User 'TEST', comm$
Jun  3 12:20:15 10.39.18.66 mgd[38086]: UI_DBASE_LOGOUT_EVENT: User 'TEST' exit$
Jun  3 12:20:18 10.39.18.66 mgd[38086]: UI_CMDLINE_READ_LINE: User 'TEST', comm$

Настройка syslog-ng
Устанавливаем syslog c помощью apt-get install syslog-ng.
Заходим в файл конфигурации nano /etc/syslog-ng/syslog-ng.conf
и прописываем строчки в соответствующих блоках.

source snet {
udp(ip("0.0.0.0") port (514));
tcp(ip("0.0.0.0") port (514));
} - говорим ему слушать информацию от всех ip-адресов на порту 514

destination dnet { file("/var/log/net/log"); }; - указываем файл в который будут писаться логи

filter fnet0 { host("192.168.*.*");}; - создаем фильтр, где размещаем адреса типа 192.168.0.0/16

log {source (snet); filter (fnet0); destination(dnet); }; - собираем вместе источник, назначение и фильтр.

Выполняем любую активность на Juniper и смотрим на логи.

              Для настройки AAA необходимо:
Установить AAA сервера. Для примера возьмем сервер freeradius на ОС Debian.
apt-get install freeradius
Приступим к настройке radius на сервере:Перейдем к 
/etc/freeradius/clients.conf: client 192.168.1.0/24 { secret = cisco nastype = cisco shortname = test }
Перейдем к /etc/freeradius/users: test1 Cleartext-Password := "123" Service-Type = Administrative-User, cisco-avpair = "shell:priv-lvl=1"
test2 Cleartext-Password := "321" Service-Type = Administrative-User, cisco-avpair = "shell:priv-lvl=15"

Теперь настроим сам роутер:
root@set system radius-server 192.168.1.254 port 1812 secret «Вводим секретный пароль»
Данной командой прописываем radius-server, указываем его порт и пароль.
               
root@set system radius-options password-protocol mschap-v2
По умолчанию выполняется авторизация PAP, которая является не безопасной. Укажем Juniper'у, что        необходимо использовать не PAP, а CHAP
                
root@set system accounting events [ change-log interactive-commands login ]            destination radius server 192.168.1.254
Выполним настройку слежения за событиями на Juniper. Аналог
syslogroot@ set system authentication-order radius
root@ insert system authentication-order password before radius
Указываем, что аутентификация radius выполняется в первую очередь, при недоступности сервера            ААА, используется локальная база пользователь/пароль
               
 
root@ set system login user remote full-name "all remote users"
 
root@ set system login user remote class operator
 Создаем пользователя с именем remote и даем ему права оператора
           

Выполнить проверку ААА с помощью удаленного сервера при этом логи будут писаться в файл /var/log/freeradius/

Если вам понравился данная лабораторная и вам захотелось поблагодарить:
Яндекс.деньги 410011902537185
ICQ: 402204328
Skype: monaxgtx

Комментариев нет:

Отправить комментарий