Upload
anxo-alonso-da-rosa
View
46
Download
0
Tags:
Embed Size (px)
Citation preview
Captulo 3: Authentication, Authorization and
1 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1
Authorization andAccounting
Introduccin
Funcionamiento de los protocolos AAA Configuracin de un router para realizar autenticacin
local Configuracin de Cisco ACS para soportar AAA
2 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Configuracin de Cisco ACS para soportar AAA Configurar un servidor basado en AAA
3 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
PROPSITO DE AAA
Descripcin de AAA Para realizar un control de acceso a los recursos de la red es necesario
realizar algn tipo de autenticacin.
El mtodo mas simple de autenticacin esta basado solo en claves.Es simple pero dbil. Sensible a ataques de fuerza brutaEs mas seguro emplear un mtodo basado en nombres de usuario y clavesLogin y password en lneas de consola, vty y puertos AUX.
4 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Login y password en lneas de consola, vty y puertos AUX. Para crear la base de datos local de usuarios y proporcionar
Responsabilidad tenemos los comandosusername username password password -> clave en texto clarousername username secret password -> clave cifrada con MD5
Limitacin de las bases de datos localesHay que implementarlas en todos los dispositivos de la red.Si el administrador pierde la clave hay que realizar un proceso de recuperacin de
claves. La mejor solucin es centralizar la base de datos en un servidor central
Descripcin de AAA (y II) Para realizar un control de acceso a los recursos de la red es necesario realizar algn tipo de autenticacin.
El mtodo mas simple de autenticacin esta basado solo en claves. Es simple pero dbil. Sensible a ataques de fuerza bruta Es mas seguro emplear un mtodo basado en nombres de usuario y claves Login y password en lneas de consola, vty y puertos AUX.
Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5
Limitacin de las bases de datos locales Hay que implementarlas en todos los dispositivos de la red. Si el administrador pierde la clave hay que realizar un proceso de recuperacin de claves.
5 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Si el administrador pierde la clave hay que realizar un proceso de recuperacin de claves. La mejor solucin es centralizar la base de datos en un servidor central Para realizar un control de acceso a los recursos de la red es
necesario realizar algn tipo de autenticacin. El mtodo mas simple de autenticacin esta basado solo en claves. Es simple pero dbil. Sensible a ataques de fuerza bruta Es mas seguro emplear un mtodo basado en nombres de usuario y claves Login y password en lneas de consola, vty y puertos AUX.
Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5
Limitacin de las bases de datos locales Hay que implementarlas en todos los dispositivos de la red. Si el administrador pierde la clave hay que realizar un proceso de recuperacin de claves.
La mejor solucin es centralizar la base de datos en un servidor central
Descripcin de AAA (y III) AAA es:
Control de acceso para entrar en los dispositivos o en la red: Authentication Establecer que puede hacer cada usuario. Authorization Auditar que acciones son realizadas durante el acceso a la red. Accounting
Es escalable y puede ser empelado para CON, AUX, VTY y EXEC privilegiado. Authentication
Usernames/Passwords
6 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Usernames/Passwords Preguntas y respuestas de desafo. Token Cards
Authorization A que recursos puede acceder al usuario y que acciones puede realizar sobre ellos.
Accounting y Auditing Informacin auditada acerca del acceso a un recurso por un usuario Cambios realizados
Caractersticas de AAA Authentication AAA
Se puede emplear para controlar accesos administrativos o accesos remotos de usuarios desde la red, como consecuencia hay dos modos:
Modo carcter: Cuando el acceso es administrativo. En este caso el usuario manda una peticin para crear un proceso EXEC.Modo paquete: Cuando hablamos de un acceso remoto. En este caso el usuario manda una peticin para establecer una conexin a travs del router con un dispositivo.
Hay dos mtodos de autenticacin AAA:
7 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Hay dos mtodos de autenticacin AAA: Local AAA
En este caso hay una base de datos local. La BD es la misma que la que se emplea para roles en el router.Mtodo ideal para redes pequeas.
Basado en servidor AAASe emplea un Server BD externoSe emplean protocolos de comunicacin seguros como TACACS y RADIUS.Un ejemplo de esta implementacin es Cisco ACS
Caractersticas de AAA (y II) Authorization AAA
La autorizacin AAA es fundamentalmente decidir que es lo que un usuario puede o no puede hacer a la hora de acceder a un recurso de la red.
Es implementada fundamentalmente mediante soluciones AAA basadas en servidor.
La autorizacin es implementada automticamente en cuanto el
8 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
La autorizacin es implementada automticamente en cuanto el usuario es autenticado.
Accounting AAAEl sistema de acounting recolecta y audita informacin acerca del uso de los recursos por parte de un usuario.
Por ejemplo recoge informacin acerca de los comandos ejecutados, tiempos de conexin, numero de paquetes y bytes, etc
Se implementa mediante soluciones basadas en servidor.
9 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
AUTENTICACIN LOCAL AAA
Configuracin de autenticacin local AAA con CLI
Paso 1: Aadir usuarios y passwords a la base de datos local del router para usuarios que necesitan acceso administrativo al router.
Paso 2: Habilitar AAA globalmente en el router
10 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Paso 2: Habilitar AAA globalmente en el router Paso 3: Configurar parmetros AAA en el router
Configuracin de autenticacin local AAA con CLI (y II) Para habilitar AAA globalmente en el router empleamos el comando aaa new-model A continuacin para configurar la autenticacin en los puertos vty , lneas asncronas tty,
puertos de consola y AUX es necesario definir una lista de mtodos de autenticacin y aplicarla a los interfaces.
Para definir esta lista de mtodos de autenticacin emplearemos el comando aaaauthenticacion login {default|list_name} metodo_1 metodo_4
La lista de mtodos identifica diferentes protocolos de seguridad para autenticar al usuario, hay varios mtodos por seguridad para garantizar alternativas en caso de que el mtodo anterior no este disponible.
11 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Ejemplo: aaa authentication login TELNET-ACCESS local enable En este caso primero se intenta autenticar al usuario mediante la base de datos de usuarios locales y si este mtodo falla mediante la clave de modo enable.
A continuacin hay que aplicar las listas de mtodos de autenticacin a interfaces. Es posible crear una lista por defecto que se aplica automticamente a todos los
interfaces y lneas mediante aaa authentication local default metodo1metodo4 siempre y cuando no haya una lista especifica creada para un interfaz concreto en cuyo caso esa lista para ese interfaz sobrescribe las configuraciones de la lista por defecto.
Configuracin de autenticacin local AAA con CLI (y III) Se puede ampliar la seguridad con el comando aaa local authentication
attempts max-fail number_of_unsuccessful_attempts de modo que se bloquean las cuentas con muchos intentos de autenticacin incorrectos.
El comando show aaa local user lockout permite ver los usuarios actualmente bloqueados.
Para borrar la lista de usuarios bloqueados podemos emplear el comando clear aaa local user lockout {username username | all}
12 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
clear aaa local user lockout {username username | all} Tambin hay un comando login delay que introduce un retardo entre intentos
de autenticacin sin bloquear la cuenta. Para mostrar informacin acerca de una sesin de un usuario podemos
emplear el comando show aaa user {all | unique_id} el cual proporciona informacin de los usuarios autenticados con AAA.
El comando show aaa sessions muestra el unique_id de una sesin.
Configuracin de autenticacin local AAA con SDM
Por defecto esta habilitado en SDM. Para verificar que esta habilitado ir al
Men Configure -> Additional tasks ->AAA
La primera tarea es crear los usuarios para ello vamos al men Configure -> Additional tasks ->Router Acccess -> User Accounts View y aadimos
13 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
User Accounts View y aadimos usuarios. Introduciremos:
nombre de usuario Clave Escogemos el nivel de privilegio 15 Si estn definidas vistas podemos asociar
una vista con un usuario
En consecuencia SDM genera lo siguiente : username AAAadmin privilege 15 secret 5 $1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root
Configuracin de autenticacin local AAA con SDM (y II) Es necesario definir listas de mtodos de autenticacin,
para realizarlo vamos:men Configure -> Additional tasks -> Authentication Policies
-> Login y pulsamos en el botn aadir. Es muy importante verificar que el nombre default est
14 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Es muy importante verificar que el nombre default est asociado a la lista de mtodos.
A continuacin elegimos el mtodo de autenticacin y seleccionamos local
Como consecuencia el comando CLI generado es. aaaauthentication login default local
Troubleshooting Local AAA Authentication
El comando fundamental de localizacin de averas es debug aaa con multitud de variantes entre ellas debug aaa authentication
Para deshabilitar el comando emplear no o bien
15 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Para deshabilitar el comando emplear no o bien undebug all
16 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
AAA BASADA EN SERVIDOR
Caractersticas de AAA basada en servidor Las implementaciones de AAA locales no son fcilmente
escalables a redes grandes . La opcin de trabajar con AAA basada en servidor soluciona el
problema de la escalabilidad de configuraciones de autenticacin en redes grandes.
Un software de servidor de AAA es por ejemplo Cisco ACS. Cisco ACS crea una base de datos central con todos los usuarios
17 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Cisco ACS crea una base de datos central con todos los usuarios y los dispositivos a los que se puede acceder.
Tambin es posible trabajar desde Cisco ACS con BD externas mediante LDAP
Caractersticas de AAA basada en servidor (y II) Para comunicarse entre el Router y el servidor Cisco ACS
se puede emplear el protocolo TACACS y RADIUS. TACACS + : Terminal Access Control Access Control Server
Plus
18 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
RADIUS: Remote Dial-in User Services Tacacs es considerado un protocolo mas seguro puesto que
encripta el trafico por el contario RADIUS solo encripta la clave del usuario, no el nombre de usuario ni ninguna otra informacin
Protocolos de comunicacin en AAA basada en servidor
Tanto TACACS como RADIUS son protocolos de autenticacin. RADIUS es muy empleado por ISP puesto que es capaz de gestionar informacin detallada de las
cuentas de los usuarios de pago. En empresas en que los usuarios se organizan en grupos con polticas de autorizacin diferenciadas
suele ser ms habitual emplear TACACS porque es capaz de asociar polticas de autorizacin por usuario o por grupo.
TACACS+ Es incompatible con TACACS y XTACACS
19 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Es incompatible con TACACS y XTACACS La autorizacin y autenticacin estn separadas. Se encriptan las comunicaciones Utiliza el puerto TCP 49
RADIUS Los servidores Proxy emplean RADIUS por su escalabilidad La autenticacin y autorizacin van unidas en un nico proceso Solo se encripta la clave Opera bajo UDP Soporta tecnologas de acceso remoto 802.1x y SIP
Protocolos de comunicacin en AAA basada en servidor (y II) TACACS+ es una mejora de Cisco del protocolo original TACACS en consecuencia es incompatible
con TACACS . Lo soportan los routers Cisco a partir de la versin IOS 10.3. Se esta mirando la posibilidad de convertirlo en un estndar abierto. TACACS+ proporciona servicios diferenciados, es muy flexible se puede emplear por ejemplo
TACACS para autorizacin y accounting y emplear un mtodo diferente para autenticacin. TACACS proporciona soporte multiprotocolo bajo IP y appletalk
20 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
RADIUS fue implementado por Livingston Enterprises es un estndar abierto de IETF. Es muy empleado en aplicaciones de acceso remoto y movilidad IP. Oculta las claves mediante PAP (Password Authentication Protocol) empleando hash MD5 y una clave
secreta. El resto de la informacin no se cifra. Cuando se autentica un usuario tambin se autoriza todo en nico proceso. Opera bajo UDP puertos 1645 o 1812 para la autenticacin y bajo UDP puertos 1646 o 1813 para
accounting. Muy empleado en proveedores de VoIP . Se considera que el protocolo DIAMETER reemplazara a RADIUS empleando SCTP (Stream Control
Transmission Protocol) y TCP.
Cisco Secure ACS Ejemplos de servidores de autenticacin que NO son capaces de
integrar TACACS y RADIUS en un solo producto son por ejemplo:Funk's Steel-Belted RADIUS server.Livingston Enterprises' RADIUS Authentication Billing ManagerMerit Networks' RADIUS server
Sin embargo Cisco ACS es capaz de integrar en un nico servidor de AAA Tacacs y Radius.
Cisco ACS
21 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Cisco ACSEs muy escalable.Puede soportar RADIUS, TACACS+ o ambos.Combina autenticacin, acceso de usuario y administrador con polticas decontrol centralizadas.Permite movilidad y flexibilidad.Uniformiza la seguridad para todos los usuariosReduce el trabajo administrativo.
Cisco Secure ACS (y II) Informa y monitoriza las conexiones de acceso y los cambios de
configuracin en los dispositivos. Soporta muchos tipos diferentes de conexiones de acceso.
LANDialupVPNs
22 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
VPNsVoIP
Algunas funcionalidades importantes son:Soporte para autenticacin LDAPRestricciones de acceso a recursos de red basadas en da de la semana y
hora.Perfiles de grupo y de usuario para cada dispositivo.Sincronizacin de bases de datos
Cisco Secure ACS (y III) Forma parte de la arquitectura Cisco Identity Based
Networking Services (IBNS). Cisco IBNS est basado en estndares de seguridad por
puerto como IEEE 802.1X and Extensible Authentication Protocol (EAP)
23 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Protocol (EAP) Cisco IBNS extiende la seguridad del perimetro de la red a
cualquier punto de conexion dentro de la LAN. Asi se logra establecer politicas de control nuevas como por
ejemplo cuotas por usuario, asignaciones de VLANs, y listas de control de acceso (ACLs).
Cisco Secure ACS (y IV) Se instala en un servidor Windows 2000 o 2003 o bien en una
maquina dedicada Cisco Secure ACS Solution Engine o en una maquina dedicada Cisco Secure ACS Express 5.0
Cisco Secure ACS Solution Engine es una maquina dedicada de 1U montada en Rack con una licencia de Cisco ACS preinstalada. Esta pensada para organizaciones con mas de 350 usuarios.
24 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Esta pensada para organizaciones con mas de 350 usuarios. Cisco Secure ACS Express es tambin una maquina dedicada que
se monta en un Rack de 1U al diferencia con la anterior esta en la licencia de menos de 350 usuarios.
Concretamente soporta 50 dispositivos AAAY 350 usuarios nicos ID_LOGINS en 24 h
Configurando Cisco Secure ACS Requerimientos previos:
Para soporte de TACACS+ y RADIUS en los dispositivos con Cisco IOS este ha de ser versin 11.2 o superior.
Los dispositivos clientes que no son Cisco IOS deben ser configurados con TACACS+, RADIUS o ambos.
Los clientes Dial-UP, VPN o wireless deben ser capaces de conectarse con clientes AAA.
Las maquinas que ejecuten CiscoACS deben hacer ping a los clientes.
25 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Las maquinas que ejecuten CiscoACS deben hacer ping a los clientes.Las comunicaciones entre el CiscoACS a travs de Gateway deben permitir la
comunicacin bajo los puertos que empleen los protocolos de seguridad.Hay que instalar un navegador compatible con CiscoACS en la maquina servidora.
Esto es muy importante porque la configuracin de CiscoACS se hace a travs de una pagina WEB.
Todas las NICs del CiscoACS deben estar habilitadasPara acceder al CiscoACS se accede por http://127.0.0.1:2002 y remotamente por
http://ip_address[hostname]:2002
Configurando Cisco Secure ACS (y II)
26 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Configurando Cisco Secure ACS (y III) Antes de configurar un router, switch, o
firewall como un cliente TACACS+ o RADIUS, debemos aadir el cliente AAA al servidor y especificar la clave de cifrado.
En la barra de navegacion -> Network configuration y en la seccion de clientes AAA le damos a aadir una entrada.
27 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
A continuacion introducimos los siguientes datos del cliente AAA (Un cliente es el Router, Switch, FW o concentrador de VPN que usa los servicios de CiscoACS)
Nombre del cliente. IP y clave secreta Protocolo de autenticacion empleado
Configurando Cisco Secure ACS (y IV) A continuacin se hace la configuracin de interface que
mostrara opciones diferentes en la pantalla en funcin del protocolo de seguridad elegido.
User Data ConfigurationTACACS+ (Cisco IOS)
28 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
TACACS+ (Cisco IOS)RADIUS (Microsoft)RADIUS (Ascend)RADIUS (IETF)RADIUS (IOS/PIX)Advanced Options
Configurando Cisco Secure ACS (y V) Cisco Secure ACS puede ser configurado para trasnmitir informacion de
autenticacion a una o mas BD externas. Cuando una empresa tiene por ejemplo los usuarios creados en un Entorno
de Directorio Activo se puede evitar introducir de nuevo los usuarios. Si se trabaja con varias BD externas es muy recomendable que no hay
duplicidades de nombres de usuario puesto que CiscoACS trabaja con la primera BD en la que hay coincidencia en las credenciales.
29 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
primera BD en la que hay coincidencia en las credenciales. PASO 1: Para configurar el acceso a BD externas pulsamos en la barra de
botones en External User Databases y aparecen tres opciones:Unknown user policy: Aqu se configura el procedimiento de autenticacin para los
usuarios que no se localizan en la BD de CiscoACSDatabase group mappings: Configuramos aqu los privilegios de los grupos de usuarios
autenticadosDatabase configuration: Aqu definimos los servidores externos con los que va a trabajar
CiscoACS.
Configurando Cisco Secure ACS (y VI) PASO 2: Si pulsamos en Database Configuration se muestran las siguientes opciones:
RSA SecurID Token Server RADIUS Token Server External ODBC Database Windows Database LEAP Proxy RADIUS Server Generic LDAP
30 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
PASO 3: Si deseamos usar una BD externa Windows elegiremos Windows Database. PASO 4: Si deseamos hacer configuraciones adicionales pulsaremos el boton configure. PASO 5: Podemos incluso configurar el permiso grant dialin permission que forma
parte del perfil del usuario de windows. Es importante porque no se aplica solo a conexiones DIAL-UP sino a cualquier acceso que el usuario intente hacer.
Configurando usuarios y grupos en Cisco Secure ACS
Una vez que ya hemos configurado CiscoACS para conectarse con un BD externa se puede realizar la autenticacin de usuarios de dos modos:
Mediante asignacin especifica de usuario. De este modo determinados usuarios se autentican con una BD externa.
Por politica de usuario desconocida: En este caso usamos una BD externa para autenticar usuarios cuando no los encontramos en la BD de CiscoACS
Para configurar Unknown user policy pulsamos en el botn correspondiente: Nos aparece la ventana de External User database y habilitamos la opcin Unknown
31 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Nos aparece la ventana de External User database y habilitamos la opcin Unknownuser policy
A continuacin elegiremos la BD correspondiente Si hemos elegido varias BD podemos elegir el orden en le que sern chequeadas.
En algunas ocasiones son necesarias diferentes autorizaciones en funcion de si hablamos de usuarios de Windows Server o de un Servidor LDAP, en este caso ser necesario crear dos grupos diferentes.
A continuacion establecemos MAPEADOS GRUPOS BASES de DATOS
Configurando usuarios y grupos en Cisco Secure ACS (y II) La ventaja de trabajar con grupos de usuarios es que podemos asignarle
polticas de autorizacin comunes. Por ejemplo un grupo de usuarios puede ejecutar un comando y otro grupo no.
Para configurar grupos:Barra de navegacin -> Group SetupEditamos un grupo de usuarios con Edit settingsPulsamos en la opcin Unmatched Cisco IOS commands
32 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Pulsamos en la opcin Unmatched Cisco IOS commandsHabilitamos la opcion Command y escribimos por ejemplo el comando show y
en el casillero de argumentos escribimos deny running-config y por ultimo habilitamos la opcion Permit
De este modo hemos permitido que este grupo de usuarios ejecute este comando. Para aadir un usuario:
User Setup -> Add/EditDefinimos los parametros del usuario como nombre y password.
33 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
AUTENTICACION AAA BASADA EN SERVIDOR
Autenticacin AAA basada en servidor con CLI
Hay 4 pasos fundamentalesPaso 1: Habilitar globalmente AAA para permitir el uso de todos los elementos AAA.
Paso 2: Especificar el Cisco Secure ACS que proporcionara servicios AAA al router. Podr ser un servidor TACACS+ o
34 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
servicios AAA al router. Podr ser un servidor TACACS+ o RADIUS. Es decir la IP del ACS server.
Paso 3: Configurar la clave de encriptado necesaria para cifrar los datos entre el servidor de acceso de la red y Cisco Secure ACS.
Paso 4: Configurar la lista de mtodos de autenticacin AAA.
Autenticacion AAA basada en servidor con CLI (y II) Configuracin de un servidor TACACS+ y la clave de cifrado:
Especificamos el servidor con el comando tacacs-server host ip_addresssingle-connection La opcin single-connection crea una nica conexin TCP que se mantiene durante toda la vida de la sesin.
Especificamos la clave de cifrado en el router con el comando: tacacs-server key por supuesto esta misma clave ha de ser configurada en el
35 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
server key por supuesto esta misma clave ha de ser configurada en el servidor TACACS+.
Configuracin de un servidor RADIUS y la clave de cifrado:Cuando los servidores de seguridad AAA han sido identificados, los servidores deben ser incluidos en la lista de mtodos con el comando aaaauthentication login
Los servidores son identificados con group tacacs+ o group radius
Autenticacion AAA basada en servidor con CLI (y III)
36 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Autenticacion AAA basada en servidor con SDM
Mediante SDM debemos especificar una lista de servidores CSACS que proporcionan servicios TACACS+
Paso 1: Configure -> Additional Tasks -> AAA -> AAA Servers and Groups -> AAA Servers. Elegimos el tipo de servidor y ponemos su IP.
El router puede ser configurado para mantener una conexin abierta con servidor TACACS + en lugar de abrir y cerrar una conexin TCP cada vez que se comunica con el servidor. Para ello, debemos habilitar la opcin
37 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
que se comunica con el servidor. Para ello, debemos habilitar la opcin Single connection to server
Es posible especificar valores de timeoutTambin es posible especificar una clave para encriptar trafico entre el router y el AAA server.
Esta misma configuracin la podemos hacer a travs de CLI mediante el comando:
tacacs-server host 10.0.1.1 key TACACS+Pa55w0rd
Autenticacin AAA basada en servidor con SDM (y II) Mediante SDM tambin es necesario especificar el mtodo de
autenticacin que se emplear.En SDM Configure -> Additional Tasks -> AAA -> authentication Policies -> Login
38 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
A travs de CLI el comando sera: aaa authentication loginTACACS_SERVER group tacacs+ enable mediante el cual empleariamos la clave de enable como clave de autenticacion.
Autenticacin AAA basada en servidor con SDM (y III) Una vez creado el mtodo de
autenticacin es necesario aplicarlas a los interfaces y lneas del router.
En SDM Configure -> Additional Tasks -> Router Access -> VTY. Ya continuacin editamos la configuracin de la lnea.
El comando que se podra emplear mediante CLI es login authentication
39 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
mediante CLI es login authentication{default | listname}Por ejemplo en este caso para las lneas
VTY de 0 a 4 se aplica una poltica de autenticacin denominada TACACS_SERVER
Aplicado al caso estudiado el comando sera login authenticationTACACS_SERVER
Troubleshooting de Autenticacin AAA basada en servidor
Podemos emplear el comando debug aaa authentication que muestra mucha informacin durante el procesod e autenticacin.
Otros comandos son debug tacacs y debug radius que muestran informacin muy detallada.
40 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Podemos emplear el comando debug aaa authentication para mostrar informacion acerca de los mensajes de estado de la autenticacin correcta o con fallo.
El comando debug tacacs events muestra informacion acerca de las conexiones TCP que se abren y cierran en el servidor.
41 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
AUTORIZACIN Y ACCOUNTINGAAA BASADA EN SERVIDOR
Configurando Autorizacin AAA basada en servidor
La autenticacin busca asegurar el acceso al dispositivo La autorizacin se refiere a permitir y no permitir a los usuarios autenticados
acceso a ciertas reas y programas en la red. El protocolo TACACS + permite la separacin de las funciones de
autenticacin y de autorizacin. La autorizacin puede ser configurada en dos modalidades:
42 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
La autorizacin puede ser configurada en dos modalidades:Modo carcter (Autorizacin EXEC)Modo paquete (Autorizacin de red).
A diferencia de TACACS+ el protocolo RADIUS no separa la autenticacin del proceso de autorizacin.
Mediante mecanismos de autorizacin podemos permitir o no la ejecucin de determinados comandos puesto que el router consulta al ACS para saber si el usuario tiene permiso para ejecutar el comando concreto.
TACACS + por defecto establece una sesin TCP nueva por cada solicitud de autorizacin, esto puede dar lugar a retrasos cuando los usuarios escriben comandos. Cisco Secure ACS proporciona sesiones TCP persistentes para mejorar el rendimiento.
Configurando Autorizacin AAA basada en servidor (y II) Para configurar la autorizacin emplearemos el comando aaa
authorization {network | exec | commands level} {default | list-name} method1...[method4]
Commands level: para comandos EXECExec: para iniciar un exec (shell)Network: para servicios de red (PPP, SLIP)
43 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Network: para servicios de red (PPP, SLIP) Cuando se inicia la autenticacin ya se deben haber creado los
usuarios con derechos de acceso sin se bloqueara al administrador y seria necesario reiniciar.
Configurando Autorizacin AAA basada en servidor (y III)
Mediante SDM tambin podemos configurar la lista de mtodos de autorizacin y en ocasiones editaremos el mtodo de autorizacin por defecto.
Si queremos configurar la lista de mtodos de autorizacin por defecto para el Modo carcter (EXEC) sera:En SDM vamos al botn Configure >
44 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
En SDM vamos al botn Configure > Additional Tasks > AAA > AuthorizationPolicies > Exec. Y pulsamos el botn aadir un mtodo de autorizacin .
Elegimos como nombre del mtodo default y a continuacin en la ventana de listas de mtodos elegimos el que nos interese por ejemplo group tacacs+
Si lo hicieramos a travs de CLI el comando sera aaa authorization exec default grouptacacs+
Configurando Autorizacin AAA basada en servidor (y IV) Si queremos configurar la lista de mtodos
de autorizacin por defecto para el Modo redsera:
En SDM vamos al botn Configure >Additional Tasks > AAA > AuthorizationPolicies > Network. Y pulsamos el botnaadir un mtodo de autorizacin .
45 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
aadir un mtodo de autorizacin . Elegimos como nombre del mtodo
default y a continuacin en la ventanade listas de mtodos elegimos el que nosinterese por ejemplo group tacacs+
Si lo hicieramos a travs de CLI elcomando sera aaa authorizationnetwork default group tacacs+
Configurando Accounting AAA basada en servidor
A veces una empresa quiere hacer un seguimiento de los recursos que los individuos o grupos de uso.
El servicio Accounting AAA ofrece la posibilidad de rastrear el uso de los recursos, recoger informacin en una BD y producir informes sobre los datos recogidos.
Una de las cuestiones de seguridad que se ocupa de la contabilidad es la creacin de una lista de usuarios y la hora del da en que se logue en el sistema.
Otra razn por la aplicacin de la contabilidad es la de crear una lista de cambios que se
46 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
Otra razn por la aplicacin de la contabilidad es la de crear una lista de cambios que se producen en la red, quin realiz dichos cambios, y la naturaleza exacta de los cambios.
Cisco Secure ACS acta como un repositorio central de informacin contable haciendo un seguimiento de los eventos que ocurren en la red.
Cada sesin que se establece a travs de Cisco Secure ACS es monitorizada y la informacin relacionada almacenada lo cual puede ser muy til para la gestin y las auditoras de seguridad.
Es necesario definir listas de mtodos de Accounting que definen el modo en que se realiza la gestin de la contabilidad.
Configurando Accounting AAA basada en servidor (y II) Para configurar AAA accounting podemos emplear el comando:
A continuacin se especifica el nombre de la lista por defecto default o bien el nombre de la lista correspondiente.
47 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public
nombre de la lista correspondiente. El siguiente parmetro es el trigger que hace que los registros de contabilidad sean
actualizados, sus valores son: start-stop, stop-only, none.