Securing Access with IEEE 802.

1x
No solo basta con hacer el diseño de la red, sino que es necesario que los switches utilicen
estándares de seguridad. Para ayudar a hacer más segura la red, los swithes utilizan el estándar
IEEE 802.1x para brindar seguridad a los puertos del switch.
Adicional a ello se debe implementar un Authentication, Authorization an accounting server (AAA
server) que será el que almacene las contraseñas y los usuarios para poder autenticarlos.

Una vez implementado el 802.1x aunthenticator, se habilita en los puertos, y cuando en este puerto
se conecten end users, lo primero que realizará es filtrar todo el tráfico que no sea de 802.1x y se
pedirá una autenticación para poder ingresar a la red.

Paso 1: En este paso, una vez que el end user se conecté a un puerto y esté pase a un up state, el
switch solicitará al usuario que le proporcione usuario/contraseña.
Paso 2: En este proceso el end-user device debe actuar como un 802.1x supplicant que muchos OSs
lo tienen como características adicionales del mismo sistema. El usuario proporciona dicha
información.
Paso 3: En este paso, el switch actúa como un Authenticator, verificando la información
proporcionada por el end-user. Para esto, el switch reenvía estas credenciales al AAA server y le
consulta si estas credenciales son correctas.
Paso 4: El AAA server responde la consulta con un mensaje Authorized o Unauthorized. Depende
de la autenticidad de las credenciales el switch determinará si deja de filtar las frames y autoriza el
tráfico en ese puerto o, vuelve a solicitar las credenciales correctas.
En la imagen se puede ver la implementación del estándar 802.1x EAP.
Extensible Authentication Protocol (EAP): es un protocolo utilizado entre supplicant y
authentication
EAPoL (EAP over LAN): es un protocolo utilizado para enviar información EAP entre el
Supplicant Server y el Authenticator Switch.
RADIUS: protocolo utilizado para enviar mensajes a nivel de aplicación enviando información del
protocolo EAP entre el Authenticator switch y Authentication Server

AAA Authentication
La implementación de un external AAA server nos ayudaría a administrar mejor las cuentas para
los equipos de red (switches, routers, etc) y tenerlas centralizadas en un servidor. Además, controla
y permite hacer seguimientos a los logueos de los usuarios en los equipos.
AAA Login Process
Para usar AAA es necesario tener configurado un AAA server, como por ejemplo el Cisco ACS
( Cisco Access Control Server). Cisco ACS es un AAA software que se puede instalar en un server
físico o virtual.
Una vez configurado nuestro AAA server, es necesario configurar los dispositivos de red para que
apunten al nuevo AAA server y además de ello, definir que protocolo de utilizaría para la
comunicación entre estos dispositivos y el server, ya sea RADIUS o TACACS+)

TACACS+ and RADIUS Protocols

Es necesario saber diferenciar estos protocolos ya que ambos tienen diferentes funciones y
utilidades. Por ejemplo, TACACS+ es in protocolo de Cisco ideal para poder restringir y limitar
usuarios que tengan acceso a los equipos de red (switches, routers, etc) mientras que RADIUS es
útil para autenticación de end-users.

Características TACACS+ RADIUS

Más usado por Network devices Users

Transport protocol TCP UDP

Authentication port number(s) 49 1645, 1812

Protocol encrypts the password Yes Yes

Protocol encrypts entire packet Yes No
Support function to authorize each user to a subset of CLI
Yes No
commands
Defined by Cisco RFC 2865

AAA Configuration Examples

Basicamente la configuración de seguridad para los dispositivos de red, se centran en el comando
aaa new-model, este comando insertado en modo configuración global habilita nuevos comandos
que no aparecían antes. Luego se insertarlo, se cambia la manera en la que los usuarios se deben
logear y se debe configurar características acerca de los AAA servers, y crear grupos de AAA
servers.

■ IOS does login authentication for the console, vty, and aux port, by default, based on
the setting of the aaa authentication login default global command.
■ The aaa authentication login default method1 method2… global command lists different
authentication methods, including referencing a AAA group to be used.
■ The methods include: a defined AAA group of AAA servers; local, meaning a locally
configured list of usernames/passwords; or line, meaning to use the password defined by
the password line subcommand.