2020년 국비지원 교육 내용 정리
##AAA (Authentication , Authorization, Accounting)
- 관리자가 지정한 사용자가 지정된 서비스만 사용하며 사용한 모든 서비스를 기록하는 기능
- Authentication (인증) - 접속하는 계정이 신뢰할 수 있는 계정인지 확인하는 여부
많은 라우터 또는 계정을 관리해야하는 경우, 중앙 Server를 통한 인증 기능을 사용함으로써 관리부담을 줄일 수 있다.
- Authorization (인가) - 접속 계정에 권한을 부여하는 기능
많은 라우터와 관리자가 있을 경우 작업을 기능별/설정 별로 관리자에게 분배할 수 있기 때문에 중앙 집중 인증만이 아니라 인가 기능도 수행할 수 있다.
- Accounting (과금 또는 계정관리)
네트워크 사용량에 따라 고객에게 과금을 서비스 하는업체에서 과금을 따로 분류할수 있다.
관리자가 지정한 사용자가 언제 어느 경로를 사용하여 어떠한 작업을 수행했는지
그리고 언제 접속을 해제 했는지에 대한 기록을 남기는 기능을 수행할수 있다.
-인증기능이란 사용자가 네트워크 장치와 서비스에 접근하는 것을 허용하기 전에 식별하고 확인하는 과정을 의미한다. 인증은 인가와 과금이 정확히 이루어질 수 있도록 하는데 필수적이다.
- 인가란 인증을 마친 사용자의 권한과 접근 수준을 결정하는 과정을 의미한다.
- 과금이란 요금 부과, 감사 리포팅을 할복적으로 사용자의 행동을 기록하는 과정을 의미한다.
-예를 들어서 가입자가 핸드폰을 사용하여 무선 인터넷에 접속할 경우
1) 해당 가입자가 적법한지
2) 해당 가입자에게 어떤 종류의 서비스가 제공 가능한지
3) 얼마 만큼의 데이터 서비스를 받았는지를 결정하는 시스템이다
- 인증과정 없이 Login이 가능
- 일반적인 username 을 설정하게되면 Password만 대/소 문자를 구별 (Username은 대/소 문자를 구분하지 않는다.)
* username GUEST password GuesT1234으로 username을 대문자로 명령어를 입력했다.
하지만 소문자로 입력해도 접속이 가능하다.
* 아래 명령어를 입력하면 대소문자를 구별할 수 있다.
* username도 대소문자를 구별하여 접속해야한다.
* 접속을 시도하는 사용자에게 username이나 password를 물어보고 얼마나 기다릴지를 지정
* 원격 사용자에게 username과 password를 물어보는 문구를 변경할 수 있다.
# Lock Out
- Attacker의 공격을 막기위해 잘못된 Password를 N회 이상 로그인 시도시 해당 account를 Lock out시킬수 있다.
- 계정이 Lock Out에 적용되면 관리자가 해당 계정을 해제할 때까지 login 할수 없다.
(단 System 관리자 계정은 Lock이 걸리지 않는다.)
- 연속해서 틀릴 경우에 적용되며 중간에 제대로 login하게되면 account는 0으로 초기화된다.
- 단 Lockout은 Router의 Local 사용자에게만 해당되며 radius+ , tacacs+ 에서 지정한 사용자에게는 적용되지 않는다.
* 최대 2회로 설정하였다. 잘못된 Password로 2회 이상 로그인을 시도할 때 해당 username을 Lock Out한다.
* show aaa local user lockout (현재 Lock Out되어있는 계정을 확인)
Lock걸린 계정을 Unlock하며, Unsuccessful attempts의 count를 초기화한다.
'IT > ㄴ Cisco' 카테고리의 다른 글
| [CISCO] BGP IPv6 (0) | 2023.07.02 |
|---|---|
| [CISCO] syslog 기초 (Log level 설명) (0) | 2023.06.30 |
| [CISCO] VPN 정리 (Virtual Private Network) (0) | 2023.06.30 |
| [CISCO] Access Control List 기초 (standard ACL / Extended ACL) (0) | 2023.06.30 |
| [CISCO] BGP 기초 (0) | 2023.06.29 |