Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cisco Public
Introduccin
Funcionamiento de los protocolos AAA Configuracin de un router para realizar autenticacin local Configuracin de Cisco ACS para soportar AAA Configurar un servidor basado en AAA
Cisco Public
PROPSITO DE AAA
Cisco Public
Descripcin de AAA
Para realizar un control de acceso a los recursos de la red es necesario realizar algn tipo de autenticacin.
El mtodo mas simple de autenticacin esta basado solo en claves. Es simple pero dbil. Sensible a ataques de fuerza bruta Es mas seguro emplear un mtodo basado en nombres de usuario y claves Login y password en lneas de consola, vty y puertos AUX.
Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos
username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5
Cisco Public
Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos
username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5
La mejor solucin es centralizar la base de datos en un servidor central Para realizar un control de acceso a los recursos de la red es necesario realizar algn tipo de autenticacin.
El mtodo mas simple de autenticacin esta basado solo en claves. Es simple pero dbil. Sensible a ataques de fuerza bruta Es mas seguro emplear un mtodo basado en nombres de usuario y claves Login y password en lneas de consola, vty y puertos AUX.
Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos
username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5
Cisco Public
Es escalable y puede ser empelado para CON, AUX, VTY y EXEC privilegiado. Authentication
Usernames/Passwords Preguntas y respuestas de desafo. Token Cards
Authorization
A que recursos puede acceder al usuario y que acciones puede realizar sobre ellos.
Accounting y Auditing
Informacin auditada acerca del acceso a un recurso por un usuario Cambios realizados
Cisco Public
Caractersticas de AAA
Authentication AAA
Se puede emplear para controlar accesos administrativos o accesos remotos de usuarios desde la red, como consecuencia hay dos modos: Modo carcter: Cuando el acceso es administrativo. En este caso el usuario manda una peticin para crear un proceso EXEC. Modo paquete: Cuando hablamos de un acceso remoto. En este caso el usuario manda una peticin para establecer una conexin a travs del router con un dispositivo.
Cisco Public
Accounting AAA
El sistema de acounting recolecta y audita informacin acerca del uso de los recursos por parte de un usuario. Por ejemplo recoge informacin acerca de los comandos ejecutados, tiempos de conexin, numero de paquetes y bytes, etc Se implementa mediante soluciones basadas en servidor.
Cisco Public
Cisco Public
Cisco Public
10
Cisco Public
11
Cisco Public
12
En consecuencia SDM genera lo siguiente : username AAAadmin privilege 15 secret 5 $1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root
Cisco Public
13
Cisco Public
14
Cisco Public
15
Cisco Public
16
Cisco Public
17
Cisco Public
18
RADIUS
Los servidores Proxy emplean RADIUS por su escalabilidad La autenticacin y autorizacin van unidas en un nico proceso Solo se encripta la clave Opera bajo UDP Soporta tecnologas de acceso remoto 802.1x y SIP
Cisco Public
19
Cisco Public
20
Sin embargo Cisco ACS es capaz de integrar en un nico servidor de AAA Tacacs y Radius. Cisco ACS
Es muy escalable. Puede soportar RADIUS, TACACS+ o ambos. Combina autenticacin, acceso de usuario y administrador con polticas de control centralizadas. Permite movilidad y flexibilidad. Uniformiza la seguridad para todos los usuarios Reduce el trabajo administrativo.
Cisco Public
21
Cisco Public
22
Cisco Public
23
Cisco Public
24
Cisco Public
25
Cisco Public
26
Cisco Public
27
Cisco Public
28
Cisco Public
29
PASO 3: Si deseamos usar una BD externa Windows elegiremos Windows Database. PASO 4: Si deseamos hacer configuraciones adicionales pulsaremos el boton configure. PASO 5: Podemos incluso configurar el permiso grant dialin permission que forma parte del perfil del usuario de windows. Es importante porque no se aplica solo a conexiones DIAL-UP sino a cualquier acceso que el usuario intente hacer.
Cisco Public
30
En algunas ocasiones son necesarias diferentes autorizaciones en funcion de si hablamos de usuarios de Windows Server o de un Servidor LDAP, en este caso ser necesario crear dos grupos diferentes. A continuacion establecemos MAPEADOS GRUPOS BASES de DATOS
Cisco Public
31
Cisco Public
32
Cisco Public
34
Cisco Public
35
Cisco Public
36
Cisco Public
37
A travs de CLI el comando sera: aaa authentication login TACACS_SERVER group tacacs+ enable mediante el cual empleariamos la clave de enable como clave de autenticacion.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 38
Cisco Public
39
Podemos emplear el comando debug aaa authentication para mostrar informacion acerca de los mensajes de estado de la autenticacin correcta o con fallo. El comando debug tacacs events muestra informacion acerca de las conexiones TCP que se abren y cierran en el servidor.
2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 40
Cisco Public
41
A diferencia de TACACS+ el protocolo RADIUS no separa la autenticacin del proceso de autorizacin. Mediante mecanismos de autorizacin podemos permitir o no la ejecucin de determinados comandos puesto que el router consulta al ACS para saber si el usuario tiene permiso para ejecutar el comando concreto. TACACS + por defecto establece una sesin TCP nueva por cada solicitud de autorizacin, esto puede dar lugar a retrasos cuando los usuarios escriben comandos. Cisco Secure ACS proporciona sesiones TCP persistentes para mejorar el rendimiento.
Cisco Public
42
Cuando se inicia la autenticacin ya se deben haber creado los usuarios con derechos de acceso sin se bloqueara al administrador y seria necesario reiniciar.
Cisco Public
43
Cisco Public
44
Cisco Public
45
Cisco Public
46
A continuacin se especifica el nombre de la lista por defecto default o bien el nombre de la lista correspondiente. El siguiente parmetro es el trigger que hace que los registros de contabilidad sean actualizados, sus valores son: start-stop, stop-only, none.
Cisco Public
47