Universidad politcnica de Francisco i. madero.

Ing. En sistemas computacionales.

SEGURIDAD EN REDES.

INVESTIGACION AAA.

Lic. Alicia Len Martnez. Darvin Martnez Percastegui.

Grupo:

7 cuatrimestre.

Francisco I. Madero, septiembre del 2012.

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE

Propsito de AAA. AUTENTICACION, AUTORIZACION Y REGISTRO DE AUDITORIA.

Un intruso puede ganar acceso a equipamiento de red y servicios sensibles. Para ayudar a prevenir el acceso no deseado, el control de acceso es necesario. El control de acceso limita quin o qu puede usar recursos especficos as como servicios u opciones disponibles una vez que se otorga el acceso. Se pueden usar muchos tipos de mtodos de autenticacin en un dispositivo Cisco y cada mtodo ofrece varios niveles de seguridad. La forma ms simple de autenticacin son las contraseas. Este mtodo se configura usando una combinacin de login y contrasea en la consola y lneas vty y puertos aux. Este mtodo es el ms sencillo de implementar pero tambin es el ms dbil y menos seguro. Los inicios de sesin de slo contrasea son muy vulnerables a ataques de fuerza bruta. Adicionalmente, este mtodo no ofrece registros de auditora de ningn tipo. Cualquiera que tenga la contrasea puede ganar acceso al dispositivo y alterar la configuracin. Para ayudar a proporcionar registros de auditora, puede implementarse la autenticacin de base de datos local usando uno de los siguientes comandos: username nombre-usuario password contrasea username nombre-usuario secret contrasea Este mtodo crea cuentas de usuario individuales en cada dispositivo con una contrasea especfica asignada a cada usuario. El mtodo de base de datos local proporciona seguridad adicional, ya que el atacante debe conocer tanto nombre de usuario como contrasea. Tambin proporciona un mayor registro de auditora. Nombre de usuario cada vez que el usuario inicia una sesin. Tenga en consideracin que la combinacin de comandos username password muestra la contrasea en texto plano en el archivos de configuracin si el comando service password-encryption no ha sido emitido. Se recomienda especialmente la combinacin username secret porque proporciona cifrado de tipo MD-5. El mtodo de base de datos local tiene algunas limitaciones. Las cuentas de usuario deben configurarse localmente en cada dispositivo. En una empresa grande que tiene mltiples routers y switches para administrar, puede tomar demasiado tiempo implementar y cambiar las bases de datos locales en cada dispositivo. Adicionalmente, la configuracin de base de datos local no

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE

proporciona mtodos de autenticacin de resguardo. Por ejemplo, qu pasara si el administrador olvidara el nombre de usuario y contrasea de ese dispositivo? Sin mtodos de autenticacin disponibles, la recuperacin de contraseas es la nica opcin. Una mejor solucin es hacer que todos los dispositivos accedan a la misma base de datos de usuarios y contraseas en un servidor central. Este captulo explora los varios mtodos de asegurar el acceso a las redes usando Autenticacin, Autorizacin y Registro de Auditora (AAA) para asegurar los routers.

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE

Caractersticas de AAA

Autenticacin AAA
Puede utilizarse AAA para autenticar usuarios para acceso administrativo o para acceso remoto a una red. Estos dos mtodos de acceso usan diferentes modos para solicitar los servicios de AAA: Modo carcter - El usuario enva una solicitud para establecer un proceso de modo EXEC con el router con fines administrativos. Modo paquete - El usuario enva una solicitud para establecer una conexin con un dispositivo en la red a travs del router. A excepcin de los comandos de registro de auditora, todos los comandos AAA se aplican a ambos modos. Esta seccin se concentra en asegurar el acceso de modo carcter. Para una red verdaderamente segura, tambin es importante configurar el router para acceso administrativo y acceso remoto a la red LAN seguros mediante el uso de los servicios AAA. hay dos mtodos comunes para implementar los servicios AAA. Autenticacin AAA local AAA local usa una base de datos local para la autenticacin. Este mtodo almacena los nombres de usuario y sus correspondientes contraseas localmente en el router Cisco, y los usuarios se autentican en la base de datos local. Esta base de datos es la misma que se requiere para establecer una CLI basada en roles. AAA local es ideal para redes pequeas.

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE

Autenticacin AAA basada en servidor El mtodo basado en servidor usa un recurso externo de servidor de base de datos que utiliza los protocolos RADIUS o TACACS+. Los ejemplos incluyen el Servidor de Control de Acceso Seguro de Cisco (ACS) para Windows Server, el Cisco Secure ACS Solution Engine o Cisco Secure ACS Express. Si hay ms de un router, AAA basado en servidor ser la opcin ms apropiada.

Autorizacin AAA Una vez que los usuarios han ido autenticados exitosamente contra la fuente de datos AAA seleccionada (ya sea local o basada en servidor), se les autoriza el acceso a recursos especficos en la red. La autorizacin consiste bsicamente en lo que un usuario puede y no puede hacer en la red luego de que es autenticado, parecido a

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE

Los niveles de privilegios y la CLI basada en roles les dan a los usuarios derechos y privilegios especficos a ciertos comandos en el router. En general, la autorizacin se implementa usando una solucin de AAA basada en servidor. La autorizacin usa un grupo de atributos creado que describe el acceso del usuario a la red. Estos atributos se comparan con la informacin contenida dentro de la base de datos AAA y se determinan las restricciones para ese usuario, que son enviadas al router local donde el usuario est conectado. La autorizacin, que se implementa inmediatamente despus de que el usuario se autentica, es automtica: no se requiere participacin de parte del usuario luego de la autenticacin.

Registro de Auditora AAA El registro de auditora recolecta y reporta datos de uso para que puedan ser empleados para auditoras o emisin de facturas. Los datos recolectados pueden incluir el inicio y fin de conexiones, comandos ejecutados, nmeros de paquetes y nmero de bytes. El registro de auditora se implementa usando una solucin AAA basada en servidor. Este servicio reporta estadsticas de uso al servidor ACS. Estas estadsticas pueden ser extradas para crear reportes detallados sobre la configuracin de la red. Un uso popular de los registros de auditora es su combinacin con la autenticacin AAA para la administracin de dispositivos de internetworking por parte de los administradores. El registro de auditora proporciona una mejor rendicin que la que ofrece la autenticacin. Los servidores AAA mantienen un registro detallado de absolutamente todo lo que hace el usuario una vez autenticado en el dispositivo. Esto incluye todos los comandos de configuracin y EXEC emitidos por el usuario. El registro contiene varios campos de datos, incluyendo el nombre de usuario, la fecha y hora y el comando ingresado por el usuario. Esta informacin es til al solucionar problemas en los dispositivos. Tambin proporciona proteccin contra individuos malintencionados.

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE

CONFIGURACION DE AAA

En el router. 1 habilitamos el modelo aaa, aadimos un usuario local y se define que la autenticacin de acceso remoto sea local.

Router(config)#aaa new-model Router(config)#username tracker secret ccsp Router(config)#aaa authentication login default local

Se tienen problemas para acceder de nuevo al router o NAS en el caso de perder la comunicacin (SSH). Se define los mtodos de autenticacin para login (acceso al router), ppp y enable (acceso al nivel privilegiado) y los aplicamos a nivel de lnea o interfaz:

Router(config)#aaa authentication login default enable Router(config)#enable secret cisco Router(config)#aaa authentication login consola local Router(config)#line console 0 Router(config-line)#login authentication consola Router(config)#aaa authentication login vty line Router(config)#line vty 0 4 Router(config-line)#password 123telnet Router(config-line)#login authentication vty Router(config-line)#end Router#exit Router con0 is now availablePress RETURN to get started.User Access VerificationUsername: trackerPassword: ccsp Router> R1#RouterTrying Router (192.168.0.1)... Open User Access Verification Password: 123telnet Router>enable
DARVIN MARTINEZ PERCASTEGUI GRUPO:5 7 CUATRIMESTRE

Password: cisco Router#

DARVIN MARTINEZ PERCASTEGUI

GRUPO:5

7 CUATRIMESTRE