Configurando AAA en un router

1. Las funciones y la importancia de AAA.

Autenticacin: comprueba que los usuarios y administradores sean quienes dicen ser
.
Autorizacin: despus de la autenticar al usuario o al administrador, decide a qu rec
ursos puede acceder o qu operaciones puede realizar.
Registro (Accounting and Auditing): guarda el instante temporal en el que se efe
ctuan las operaciones y acceden a los recursos.
2. Los tres mtodos para implementar AAA.
Los usuarios pueden acceder a la LAN de la empresa a travs de marcacin (NAS) o tra
vs de una VPN (router, ASA). Los administradores pueden acceder a los dispositivo
s de red a travs del puerto consola, el puerto auxiliar o las vty.
Todas estas formas de acceso pueden ser implementadas con AAA de forma local o e
n BBDD remotas. Con BBDD remotas podemos centralizar la gestin de AAA de varios d
ispositivos de red.
Los tres mtodos de implementar AAA son:
Localmente: en un router o un NAS.
En un ACS (Access Control Server) de Cisco por software: instalado en un Microso
ft Windows Server permitiendo la comunicacin con routers y NAS.
En un ACS de Cisco por hardware: servidor hardware dedicado que permite la comun
icacin con routers y NAS.
3. Mtodos de autenticacin remota.
Existen dos mtodos para autenticar usuarios remotos; autenticacin local o remota.
Autenticacin local
Consiste en autenticar directamente en el router o el NAS los nombres de usuario
y su contraseas. Esta recomendado para pequeas redes y no requiere BBDD externas.
La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse
, el router (o NAS) solicita el nombre de usuario y la contrasea, el usuario resp
onde, el router comprueba los datos, acepta o deniega el acceso y comunica el ve
redicto al usuario.
Autenticacin remota
El problema de la autenticacin local es la escalabilidad. Uno o varios ACS (por s
oftware o hardware) pueden gestionar toda la autenticacin de todos los dispositiv
os de red. La comunicacin entre estos dispositivos y los ACS utilizan los siguien
tes protocolos: TACACS+ o RADIUS.
La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse
, el router (o NAS) solicita el nombre de usuario y la contrasea, el usuario resp
onde, el router reenva los datos al ACS, el ACS comprueba los datos y acepta o de
niega el acceso, finalmente el ACS comunica el veredicto al router y este al usu
ario.
4. Los protocolos TACACS+ y RADIUS.
El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es ms seguro per
o RADIUS tiene mejor Accounting y una mejor interfaz de programacin.
El ACS permite gestionar los siguientes accesos:
Marcacin contra un router o un NAS.

Puertos consola, puertos auxiliares y vtys de dispositivos de red.

ASAs (Adaptative Security Appliance).
Concentradores VPN serie 300 (slo RADIUS).
Algunas tarjetas de testigo (token cards) y servidores
5. Los niveles de seguridad de los mtodos de autenticacin.
Sin usuario y contrasea: un atacante slo debera encontrar el dispositivo y tratar d
e acceder al mismo. Una manera de asegurarlo sera que el servicio escuchar un puer
to diferente.
Con usuario y contrasea y sin caducidad: el administrador decide cuando cambiar l
a contrasea. Este mtodo es vulnerable a ataques de repeticin, fuerza bruta, robo y
inspeccin de los paquetes.
Con usuario y contrasea y con caducidad: cada x tiempo el administrador es forzad
o a cambiar su contrasea. Este mtodo tiene las mismas vulnerabilidades pero el tie
mpo para comprometer el equipo por fuerza bruta es menor.
OTPs: es ms seguro que los anteriores ya que la contrasea enviada solo tiene valid
ez una vez, es decir, en el momento de ser interceptada por el atacante la contr
asea caduca. S/Key es una implementacin de OTP que genera un listado de contraseas
a partir de una palabra secreta.
Tarjetas de testigo por software y por hardware: est basado en la autenticacin de
doble factor; algo que el usuario tiene (token card) y algo que el usuario sabe
(token card PIN). Existen dos tipos: basados en tiempo; F(clave_criptogrfica,PIN)
= OTP o basados en desafos; F(desafo,clave_criptogrfica) = OTP.
6. Protocolos de autenticacin PPP.
PPP soporta autenticacin PAP, CHAP y MS-CHAP.
PAP utiliza un intercambio de dos vas; el autenticador solicita las credenciales
y el usuario las enva en texto claro. El intercambio se produce despus de establec
er el enlace PPP.
CHAP utiliza un intercambio de tres vas; despus de establecer el enlace, el autent
icador enva un desafo al dispositivo del usuario, este responde con un hash; F(des
afo,palabra_secreta) = hash, el autenticador comprueba que el hash recibido coinc
ida con su hash calculado. Este intercambio de tres vas se repite periodicamente
(controlado por el autenticador) durante la comunicacin y evita ataques de repeti
cin.
MS-CHAP es la versin CHAP de Microsoft.
7. Configurar AAA en un router.
Primero, habilitamos el modelo AAA, aadimos un usuario local y definimos que la a
utenticacin de acceso remoto sea local.
Router(config)#aaa new-modelRouter(config)#username tracker secret ccspRouter(co
nfig)#aaa authentication login default localAhora no tenemos problemas para acce
der de nuevo al router o NAS en el caso de perder la comunicacin (SSH).
Despus, definimos los mtodos de autenticacin para login (acceso al router), ppp y e
nable (acceso al nivel privilegiado) y los aplicamos a nivel de lnea o interfaz:
Router(config)#aaa authentication login default enableRouter(config)#enable secr
et ciscoRouter(config)#aaa authentication login consola localRouter(config)#line
console 0Router(config-line)#login authentication consolaRouter(config)#aaa aut
hentication login vty lineRouter(config)#line vty 0 4Router(config-line)#passwor
d 123telnetRouter(config-line)#login authentication vtyRouter(config-line)#endRo
uter#exitRouter con0 is now availablePress RETURN to get started.User Access Ver
ificationUsername: trackerPassword: ccspRouter>R1#RouterTrying Router (192.168.0
.1)... OpenUser Access VerificationPassword: 123telnetRouter>enablePassword: cis
coRouter#En los comandos de arriba, hemos definido que para acceder al router se

tiene que utilizar por defecto (default) la contrasea 'enable secret', que para
acceder por consola se tiene que utilizar un nombre de usuario y contrasea locale
s (tracker:ccsp) y para acceder por telnet necesitamos la contrasea en lnea 123tel
net. Las listas de autenticacin particulas (consola y vty) cuando se aplican a lne
as (vty, console, aux) o interfaces tiene preferencia sobre la autenticacin por d
efecto (default).
Ahora definimos una lista de autenticacin PPP por defecto (default) y una particu
lar (marcacion) que aplicamos:
Router(config)#aaa authentication ppp default localRouter(config)#aaa authentica
tion ppp marcacion group tacacs+ local-caseRouter(config)#interface serial 0/0Ro
uter(config-if)#ppp authentication chap marcacionArriba hemos definido que la au
tenticacin PPP por defecto sea local y que la autenticacin PPP particular (marcacin
) sea con TACACS+ y si falla sea local teniendo en cuenta maysculas/minsculas.
Finalmente definiremos que la autenticacin enable por defecto mire primero el gru
po RADIUS y luego la contrasea 'enable secret':
Router(config)#aaa authentication enable default group radius enableAhora veremo
s unos ejemplos de autorizacin y registro (accounting):
Router(config)#aaa authorization commands 15 default localRouter(config)#aaa aut
horization network netop localRouter(config)#aaa accounting commands 15 default
stop-only group tacacs+El primero comando autoriza localmente la ejecucin de los
comandos de nivel 15 utilizando la lista por defecto (default). El segundo autor
iza localmente algunos servicios de red utilizando una lista particular (netop).
El tercero registra remotamente los comandos de nivel 15 utilizando TACACS+ par
a la lista por defecto.
8. Solucionar problemas AAA en un router.
Router#debug aaa authenticationRouter#debug aaa authorizationRouter#debug aaa ac
counting9. Configurar AAA utilizando Cisco SDM.
AAA tambin puede ser configurado desde SDM. Para ello utilizamos el comando
aaa new-modely elegimos en el SDM 'Tareas Adicionales > AAA'. Aparecer un pantall
a para listar, editar y borrar mtodos de autenticacin en el router.