prev
next
out of 7

Authentication, Authorization, and Accounting

Embed Size (px)

DESCRIPTION

Authentication, Authorization, and Accounting.

Citation preview

  • INSTITUTO TECNOLGICO DE QUERTARO

    Authentication, Authorization, and

    Accounting.

    Giovana Avalos Hernndez

    11/11/2013

  • Contenido Authentication, Authorization, y Accounting. .................................................................................... 1

    Funciones y beneficios de AAA. ...................................................................................................... 1

    Mtodos para implementar AAA. ................................................................................................... 1

    Mtodos de autenticacin. ............................................................................................................. 2

    Los protocolos TACACS+ y RADIUS. ................................................................................................. 2

    Niveles de seguridad de los mtodos de autenticacin.................................................................. 3

    Protocolos de autenticacin PPP. ................................................................................................... 3

    Configurar AAA en un router. ......................................................................................................... 4

    Solucionar problemas AAA en un router..................................................................................... 6

    Referencias .......................................................................................................................................... 6

    Authentication, Authorization, y Accounting.

    Funciones y beneficios de AAA. Autenticacin: Proporciona el mtodo de identificacin de usuarios, incluyendo nombre

    de usuario y contrasea, desafo y respuesta, soporte de mensajera, y, segn el protocolo

    de seguridad que seleccione, puede ofrecer cifrado.

    Autorizacin: Provee el mtodo de control de acceso remoto, incluyendo autorizacin

    total o para cada servicio, liste de cuentas y perfil por usuario, soporte para grupos de

    usuarios, y soporte para IP, IPX, ARA y Telnet.

    Contabilizacin: Posee un mtodo de recoleccin y envi de informacin al servidor de

    seguridad, el cual es usado para facturar, auditar y reportar: nombres de usuario, tiempo

    de inicio y final, comandos ejecutados (como PPP), cantidad de paquetes enviados, y

    nmero de bytes.

    AAA provee los siguientes beneficios:

    Incremento de flexibilidad y control de configuracin de acceso.

    Mtodos de autorizacin estandarizados, como RADIUS, TACACS+ o Kerberos.

    Mltiples sistemas de backup.

    Mtodos para implementar AAA.

    Los usuarios pueden acceder a la LAN de la empresa a travs de marcacin (NAS) o travs de una

    VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a travs del

    puerto consola, el puerto auxiliar o las vty.

  • Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD

    remotas. Con BBDD remotas podemos centralizar la gestin de AAA de varios dispositivos de red.

    Los tres mtodos de implementar AAA son:

    Localmente: en un router o un NAS.

    En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft

    Windows Server permitiendo la comunicacin con routers y NAS.

    En un ACS de Cisco por hardware: servidor hardware dedicado que permite la

    comunicacin con routers y NAS.

    Mtodos de autenticacin. Existen dos mtodos para autenticar usuarios remotos: autenticacin local o remota.

    Autenticacin local.

    Consiste en autenticar directamente en el router o el NAS los nombres de usuario y sus

    contraseas. Est recomendado para pequeas redes y no requiere BBDD externas.

    La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS)

    solicita el nombre de usuario y la contrasea, el usuario responde, el router comprueba los datos,

    acepta o deniega el acceso y comunica el veredicto al usuario.

    Autenticacin remota

    El problema de la autenticacin local es la escalabilidad. Uno o varios ACS (por software o

    hardware) pueden gestionar toda la autenticacin de todos los dispositivos de red. La

    comunicacin entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o

    RADIUS.

    La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS)

    solicita el nombre de usuario y la contrasea, el usuario responde, el router reenva los datos al

    ACS, el ACS comprueba los datos y acepta o deniega el acceso, finalmente el ACS comunica el

    veredicto al router y este al usuario.

    Los protocolos TACACS+ y RADIUS.

    El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es ms seguro pero RADIUS

    tiene mejor Accounting y una mejor interfaz de programacin.

    El ACS permite gestionar los siguientes accesos:

  • Marcacin contra un router o un NAS.

    Puertos consola, puertos auxiliares y vtys de dispositivos de red.

    ASAs (Adaptative Security Appliance).

    Concentradores VPN serie 300 (slo RADIUS).

    Algunas tarjetas de testigo (token cards) y servidores

    Niveles de seguridad de los mtodos de autenticacin. Sin usuario y contrasea: un atacante slo debera encontrar el dispositivo y tratar de acceder al

    mismo. Una manera de asegurarlo sera que el servicio escuchar un puerto diferente.

    Con usuario y contrasea y sin caducidad: el administrador decide cuando cambiar la contrasea.

    Este mtodo es vulnerable a ataques de repeticin, fuerza bruta, robo y inspeccin de los

    paquetes.

    Con usuario y contrasea y con caducidad: cada x tiempo el administrador es forzado a cambiar su

    contrasea. Este mtodo tiene las mismas vulnerabilidades pero el tiempo para comprometer el

    equipo por fuerza bruta es menor.

    OTPs: es ms seguro que los anteriores ya que la contrasea enviada solo tiene validez una vez, es

    decir, en el momento de ser interceptada por el atacante la contrasea caduca. S/Key es una

    implementacin de OTP que genera un listado de contraseas a partir de una palabra secreta.

    Tarjetas de testigo por software y por hardware: est basado en la autenticacin de doble factor;

    algo que el usuario tiene (token card) y algo que el usuario sabe (token card PIN). Existen dos

    tipos: basados en tiempo; F(clave_criptogrfica,PIN) = OTP o basados en desafos;

    F(desafo,clave_criptogrfica) = OTP.

    Protocolos de autenticacin PPP. PPP soporta autenticacin PAP, CHAP y MS-CHAP.

    PAP utiliza un intercambio de dos vas; el autenticador solicita las credenciales y el usuario las

    enva en texto claro. El intercambio se produce despus de establecer el enlace PPP.

    CHAP utiliza un intercambio de tres vas; despus de establecer el enlace, el autenticador enva un

    desafo al dispositivo del usuario, este responde con un hash; F(desafo,palabra_secreta) = hash, el

    autenticador comprueba que el hash recibido coincida con su hash calculado. Este intercambio de

    tres vas se repite periodicamente (controlado por el autenticador) durante la comunicacin y

    evita ataques de repeticin.

    MS-CHAP es la versin CHAP de Microsoft.

  • Configurar AAA en un router.

    Primero, habilitamos el modelo AAA, aadimos un usuario local y definimos que la autenticacin

    de acceso remoto sea local.

    Router(config)#aaa new-model

    Router(config)#username tracker secret ccsp

    Router(config)#aaa authentication login default local

    Ahora no tenemos problemas para acceder de nuevo al router o NAS en el caso de perder la

    comunicacin (SSH).

    Despus, definimos los mtodos de autenticacin para login (acceso al router), ppp y enable

    (acceso al nivel privilegiado) y los aplicamos a nivel de lnea o interfaz:

    Router(config)#aaa authentication login default enable

    Router(config)#enable secret cisco

    Router(config)#aaa authentication login consola local

    Router(config)#line console 0

    Router(config-line)#login authentication consola

    Router(config)#aaa authentication login vty line

    Router(config)#line vty 0 4

    Router(config-line)#password 123telnet

    Router(config-line)#login authentication vty

    Router(config-line)#end

    Router#exit

    Router con0 is now available

    Press RETURN to get started.

    User Access Verification

  • Username: tracker

    Password: ccsp

    Router>

    R1#Router

    Trying Router (192.168.0.1)... Open

    User Access Verification

    Password: 123telnet

    Router>enable

    Password: cisco

    Router#

    En los comandos de arriba, hemos definido que para acceder al router se tiene que utilizar por

    defecto (default) la contrasea 'enable secret', que para acceder por consola se tiene que utilizar

    un nombre de usuario y contrasea locales (tracker:ccsp) y para acceder por telnet necesitamos la

    contrasea en lnea 123telnet. Las listas de autenticacin particulas (consola y vty) cuando se

    aplican a lneas (vty, console, aux) o interfaces tiene preferencia sobre la autenticacin por defecto

    (default).

    Ahora definimos una lista de autenticacin PPP por defecto (default) y una particular (marcacion)

    que aplicamos:

    Router(config)#aaa authentication ppp default local

    Router(config)#aaa authentication ppp marcacion group tacacs+ local-case

    Router(config)#interface serial 0/0

    Router(config-if)#ppp authentication chap marcacion

    Arriba hemos definido que la autenticacin PPP por defecto sea local y que la autenticacin PPP

    particular (marcacin) sea con TACACS+ y si falla sea local teniendo en cuenta

    maysculas/minsculas.

  • Finalmente definiremos que la autenticacin enable por defecto mire primero el grupo RADIUS y

    luego la contrasea 'enable secret':

    Router(config)#aaa authentication enable default group radius enable

    Ahora veremos unos ejemplos de autorizacin y registro (accounting):

    Router(config)#aaa authorization commands 15 default local

    Router(config)#aaa authorization network netop local

    Router(config)#aaa accounting commands 15 default stop-only group tacacs+

    El primero comando autoriza localmente la ejecucin de los comandos de nivel 15 utilizando la

    lista por defecto (default). El segundo autoriza localmente algunos servicios de red utilizando una

    lista particular (netop). El tercero registra remotamente los comandos de nivel 15 utilizando

    TACACS+ para la lista por defecto.

    Solucionar problemas AAA en un router.

    Router#debug aaa authentication

    Router#debug aaa authorization

    Router#debug aaa accounting

    Referencias Guiza, J. A. (30 de Noviembre de 2010). http://www.wikispaces.com/. Recuperado el 08 de

    Noviembre de 2013, de http://proyecto-teleco-

    2010.wikispaces.com/file/view/Marco+teorico+AAA.pdf

    mashpedia. (2011 de Noviembre de 28). www.mashpedia.com. Recuperado el 08 de Noviembre de

    2013, de http://www.mashpedia.com/

    Rosales. (18 de Enero de 2009). Recuperado el 08 de Noviemebre de 2013, de

    networkeando.blogspot.mx: http://networkeando.blogspot.mx/2009/01/configurando-

    aaa-en-un-router.html


Authentication, Authorization, and Accounting ... · Authentication, Authorization, and Accounting Configuration Guide, Cisco IOS Release 15M&T Americas Headquarters Cisco Systems,

Authentication, Authorization, and Accounting ... · Authentication, Authorization, and Accounting Configuration Guide, Cisco IOS Release 15M&T Americas Headquarters Cisco Systems,

Documents
Forms Authentication, Authorization, User Accounts, and …download.microsoft.com/.../aspnet_tutorial02_FormsAuth_vb.pdf · Forms Authentication, Authorization, User Accounts, and

Forms Authentication, Authorization, User Accounts, and …download.microsoft.com/.../aspnet_tutorial02_FormsAuth_vb.pdf · Forms Authentication, Authorization, User Accounts, and

Documents
Authentication, Authorization, and Accounting

Authentication, Authorization, and Accounting

Documents
n1000v cmds show - Cisco · show aaa accounting show aaa accounting To display the authentication, authorization, and accounting (AAA) accounting configuration, use the ... test aaa

n1000v cmds show - Cisco · show aaa accounting show aaa accounting To display the authentication, authorization, and accounting (AAA) accounting configuration, use the ... test aaa

Documents
Lecture 4b AAA protocols (Authentication …dacs-web.ewi.utwente.nl/~pras/netsec/4b-radius_diameter.pdfLecture 4b AAA protocols (Authentication Authorization Accounting) Network security

Lecture 4b AAA protocols (Authentication …dacs-web.ewi.utwente.nl/~pras/netsec/4b-radius_diameter.pdfLecture 4b AAA protocols (Authentication Authorization Accounting) Network security

Documents
Authentication Authorization and Accounting Configuration ...AAA Authentication General Configuration Procedure 4 RADIUS Change of Authorization 5 Change-of-Authorization Requests

Authentication Authorization and Accounting Configuration ...AAA Authentication General Configuration Procedure 4 RADIUS Change of Authorization 5 Change-of-Authorization Requests

Documents
Opensource Authentication and Authorization

Opensource Authentication and Authorization

Documents
Authentication, Authorization, and Accounting ... · PDF fileIntroduction Installation of ... Cisco Systems, Inc. Authentication, Authorization, and Accounting Configuration on the

Authentication, Authorization, and Accounting ... · PDF fileIntroduction Installation of ... Cisco Systems, Inc. Authentication, Authorization, and Accounting Configuration on the

Documents
> Authentication, Authorization and Accounting …...Ethernet Routing Switch 1600, 8300, 8600, 2500, 4500, 5500 Ethernet Switch 460/470 Engineering > Authentication, Authorization

> Authentication, Authorization and Accounting …...Ethernet Routing Switch 1600, 8300, 8600, 2500, 4500, 5500 Ethernet Switch 460/470 Engineering > Authentication, Authorization

Documents
RADIUS, Network Access, Single Sign On. RADIUS Remote authentication dial-in user service (RADIUS) AAA (authentication, authorization and accounting)

RADIUS, Network Access, Single Sign On. RADIUS Remote authentication dial-in user service (RADIUS) AAA (authentication, authorization and accounting)

Documents
conandcyber.weebly.com · Web view1 of 1 Lab – Authentication, Authorization, and Accounting Objectives Given a scenario, select the appropriate authentication, authorization, or

conandcyber.weebly.com · Web view1 of 1 Lab – Authentication, Authorization, and Accounting Objectives Given a scenario, select the appropriate authentication, authorization, or

Documents
The 3 “A”s: Authentication, Authorization, Accounting · The 3 “A”s: Authentication, Authorization, Accounting 3 with a cellular service provider and purchases a cellular

The 3 “A”s: Authentication, Authorization, Accounting · The 3 “A”s: Authentication, Authorization, Accounting 3 with a cellular service provider and purchases a cellular

Documents
Authentication - University of Southern Californiacsci530l/slides/lab-authentication-color.pdf · authentication != authorization – authorization establishes what user can do once

Authentication - University of Southern Californiacsci530l/slides/lab-authentication-color.pdf · authentication != authorization – authorization establishes what user can do once

Documents
Forms Authentication, Authorization, User Accounts, and Roles :: …€¦ · Forms Authentication, Authorization, User Accounts, and Roles :: User-Based Authorization Introduction

Forms Authentication, Authorization, User Accounts, and Roles :: …€¦ · Forms Authentication, Authorization, User Accounts, and Roles :: User-Based Authorization Introduction

Documents
Authentication, Authorization, Accounting (AAA)jain/cse571-09/ftp/l_18aaa.pdf · 2009-04-23 · 18-1 Washington University in St. Louis CSE571S ©2009 Raj Jain Authentication, Authorization,

Authentication, Authorization, Accounting (AAA)jain/cse571-09/ftp/l_18aaa.pdf · 2009-04-23 · 18-1 Washington University in St. Louis CSE571S ©2009 Raj Jain Authentication, Authorization,

Documents
Authentication, authorization and accounting within an ...1017210/FULLTEXT01.pdf · velopment of a scalable Authentication, Authorization, Accounting (AAA) infrastructure is critical

Authentication, authorization and accounting within an ...1017210/FULLTEXT01.pdf · velopment of a scalable Authentication, Authorization, Accounting (AAA) infrastructure is critical

Documents
Authentication, Authorization, and Accounting · Authentication, Authorization, and Accounting Alessandro Paolini1(B), ... puting, storage and data resources to support European research,

Authentication, Authorization, and Accounting · Authentication, Authorization, and Accounting Alessandro Paolini1(B), ... puting, storage and data resources to support European research,

Documents
SOLUCIÓN AAA (Authentication, Authorization and Accounting) · SOLUCIÓN AAA (Authentication, Authorization and Accounting) BOGOTÁ D.C., MAYO DE 2020 . 2 1. INFORMACIÓN PRELIMINAR

SOLUCIÓN AAA (Authentication, Authorization and Accounting) · SOLUCIÓN AAA (Authentication, Authorization and Accounting) BOGOTÁ D.C., MAYO DE 2020 . 2 1. INFORMACIÓN PRELIMINAR

Documents
2008 03 26 Authentication Authorization and Accounting for ERS and ES TCG NN48500558

2008 03 26 Authentication Authorization and Accounting for ERS and ES TCG NN48500558

Documents
Authentication, authorization

Authentication, authorization

Documents
Kernel Authentication & Authorization for J2EE … AUTHENTICATION & AUTHORIZATION FOR J2EE (KAAJEE) ... JavaBean Example: ... x Kernel Authentication & Authorization for Java 2 Enterprise

Kernel Authentication & Authorization for J2EE … AUTHENTICATION & AUTHORIZATION FOR J2EE (KAAJEE) ... JavaBean Example: ... x Kernel Authentication & Authorization for Java 2 Enterprise

Documents
Authentication, Authorization, and Accounting · 2020. 7. 24. · Authentication, Authorization and Accounting (AAA) play a crucial role in providing a secure distributed digital

Authentication, Authorization, and Accounting · 2020. 7. 24. · Authentication, Authorization and Accounting (AAA) play a crucial role in providing a secure distributed digital

Documents
aaa accounting dot1x - Cisco · aaa accounting dot1x Use the aaa accounting dot1x global configuration command to enable authentication, authorization, and accounting (AAA) accounting

aaa accounting dot1x - Cisco · aaa accounting dot1x Use the aaa accounting dot1x global configuration command to enable authentication, authorization, and accounting (AAA) accounting

Documents
The Three Musketeers (Authentication, Authorization, Accounting)

The Three Musketeers (Authentication, Authorization, Accounting)

Data & Analytics
AAA and Port Authentication - Allied Telesis · C613-22088-00 REV F Authentication, Authorization and Accounting (AAA) | Page 6 AAA and Port Authentication Accounting keeps a record

AAA and Port Authentication - Allied Telesis · C613-22088-00 REV F Authentication, Authorization and Accounting (AAA) | Page 6 AAA and Port Authentication Accounting keeps a record

Documents
Authentication, Authorization, Accounting Breakout Session Von Welch, NCSA NSF CyberSecurity Summit Feb 22, 2007

Authentication, Authorization, Accounting Breakout Session Von Welch, NCSA NSF CyberSecurity Summit Feb 22, 2007

Documents
Authentication Authorization and Accounting Configuration … · CHAPTER 11 AAA-SERVER-MIBSetOperation179 FindingFeatureInformation 179 PrerequisitesforAAA-SERVER-MIBSetOperation

Authentication Authorization and Accounting Configuration … · CHAPTER 11 AAA-SERVER-MIBSetOperation179 FindingFeatureInformation 179 PrerequisitesforAAA-SERVER-MIBSetOperation

Documents
Authentication Authorization and Accounting Configuration

Authentication Authorization and Accounting Configuration

Documents
Authorization, Authentication, And Security

Authorization, Authentication, And Security

Documents
AAA Services. 2 è Authentication è Authorization è Accounting

AAA Services. 2 è Authentication è Authorization è Accounting

Documents