Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1x
No solo basta con hacer el diseño de la red, sino que es necesario que los switches utilicen
estándares de seguridad. Para ayudar a hacer más segura la red, los swithes utilizan el estándar
IEEE 802.1x para brindar seguridad a los puertos del switch.
Adicional a ello se debe implementar un Authentication, Authorization an accounting server (AAA
server) que será el que almacene las contraseñas y los usuarios para poder autenticarlos.
Una vez implementado el 802.1x aunthenticator, se habilita en los puertos, y cuando en este puerto
se conecten end users, lo primero que realizará es filtrar todo el tráfico que no sea de 802.1x y se
pedirá una autenticación para poder ingresar a la red.
Paso 1: En este paso, una vez que el end user se conecté a un puerto y esté pase a un up state, el
switch solicitará al usuario que le proporcione usuario/contraseña.
Paso 2: En este proceso el end-user device debe actuar como un 802.1x supplicant que muchos OSs
lo tienen como características adicionales del mismo sistema. El usuario proporciona dicha
información.
Paso 3: En este paso, el switch actúa como un Authenticator, verificando la información
proporcionada por el end-user. Para esto, el switch reenvía estas credenciales al AAA server y le
consulta si estas credenciales son correctas.
Paso 4: El AAA server responde la consulta con un mensaje Authorized o Unauthorized. Depende
de la autenticidad de las credenciales el switch determinará si deja de filtar las frames y autoriza el
tráfico en ese puerto o, vuelve a solicitar las credenciales correctas.
En la imagen se puede ver la implementación del estándar 802.1x EAP.
Extensible Authentication Protocol (EAP): es un protocolo utilizado entre supplicant y
authentication
EAPoL (EAP over LAN): es un protocolo utilizado para enviar información EAP entre el
Supplicant Server y el Authenticator Switch.
RADIUS: protocolo utilizado para enviar mensajes a nivel de aplicación enviando información del
protocolo EAP entre el Authenticator switch y Authentication Server
AAA Authentication
La implementación de un external AAA server nos ayudaría a administrar mejor las cuentas para
los equipos de red (switches, routers, etc) y tenerlas centralizadas en un servidor. Además, controla
y permite hacer seguimientos a los logueos de los usuarios en los equipos.
AAA Login Process
Para usar AAA es necesario tener configurado un AAA server, como por ejemplo el Cisco ACS
( Cisco Access Control Server). Cisco ACS es un AAA software que se puede instalar en un server
físico o virtual.
Una vez configurado nuestro AAA server, es necesario configurar los dispositivos de red para que
apunten al nuevo AAA server y además de ello, definir que protocolo de utilizaría para la
comunicación entre estos dispositivos y el server, ya sea RADIUS o TACACS+)
■ IOS does login authentication for the console, vty, and aux port, by default, based on
the setting of the aaa authentication login default global command.
■ The aaa authentication login default method1 method2… global command lists different
authentication methods, including referencing a AAA group to be used.
■ The methods include: a defined AAA group of AAA servers; local, meaning a locally
configured list of usernames/passwords; or line, meaning to use the password defined by
the password line subcommand.