9-思科防火墙：Cut Through：Telnet穿越认证

原创

第七_感 2018-07-07 18:35:26 博主文章分类：思科防火墙 ©著作权

文章标签 Cut Through Telnet 穿越 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者第七_感的原创作品，如需转载，请与作者联系，否则将追究法律责任

一、实验拓扑：二、实验要求： ASA联动外部产品ACS做一个认证，通过这种方式控制内部用户的流量；其实还可以做授权、审计。有时候单单抓流量控制是不方便的，因为可能该网络有很多用户连接，比如总经理、副总经理、普通员工；所以这时候要用用户、密码来控制。允许登录，不同用户的不同授权之类的。一般认证可以对4大流量开启认证：Http、Https、FTP、Telnet。 1、希望R2在远程登录R1时候还要通过一个验证，输入用户名密码，验证成功才可以登录R1； 2、为Inside网络访问Outside网络配置穿越认证； 3、认证服务器使用ACS； 4、调整认证超时时间，绝对超时时间1小时，闲置超时时间10分钟; 5、效果：R2 Telnet R1时候，会要求输入ACS认证的用户名、密码，正确之后在输入R1真实的用户名、密码。三、命令部署： 1、ASA上部署aaa-server配置： ASA(config)# aaa-server zhou protocol tacacs+ ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254 ASA(config-aaa-server-host)# key zhou

2、ASA测试： ASA(config)# test aaa-server authentication zhou username bb password bbbb Server IP Address or name: 10.1.2.254(timeout: 12 seconds) INFO: Authentication Successful 注意：前半部分和3-认证管理访问：ACS联动是一样的

3、R2去往R1的Telnet流量首先用ACL抓起来： ASA(config)# access-list tel extended permit tcp host 10.1.1.2 host 202.100.1.1 eq telnet

4、将ACL抓取的流量送到ACS验证： ASA(config)# aaa authentication match tel inside zhou //ACS的名字是zhou 四、验证： R2远程登录R1： R2#telnet 202.100.1.1 Trying 202.100.1.1 ... Open Username: bb Password:

User Access Verification Username: aa Password: R1>