PROTOCOLOS AAA

En el entorno de la seguridad informática, AAA significa Authentication (Autenticación),

Authorization (Autorización) & Accounting (Registro).

Autenticación

A través de la autenticación, el sistema reconoce a los usuarios que intentan

acceder a recursos específicos y, una vez identificados, aplica políticas de seguridad

definidas en función de su rol. Todas las identificaciones y contraseñas están centralizadas

y los usuarios pueden usar sus cuentas existentes para acceder a nuevos equipos a medida

que la red cambia o crece. Los procesos de actualización de cuenta existente eliminan el

error y la frustración del usuario. Los ID y las contraseñas se cifran mediante algoritmos

hash de eficacia contrastada. Por lo tanto, su cuenta está a salvo de intrusos.

La autorización, que se implementa inmediatamente después de autenticar a un

usuario, es automática, no se requiere la participación del usuario después de la

autenticación. También puede configurar servidores de autenticación principales y

secundarios redundantes para garantizar el acceso.

Autorización

Una vez autenticado el usuario, se le aplicarán las políticas de seguridad

necesarias que eventualmente le permitirán acceder a determinados recursos de la red. El

usuario administrador tiene acceso completo de lectura/escritura, así como un perfil de

usuario operador de solo lectura, que se puede configurar y controlar desde el servidor de

autenticación. Como proceso centralizado, elimina la complejidad de editar en

computadoras individuales.

Registro

Registra todos los accesos y movimientos realizados a través del sistema de

seguridad para disponer siempre de esta información. Esta parte de la arquitectura puede
 parecer la menos importante durante la fase de acceso a los recursos, pero es de suma

importancia durante el análisis después de un incidente para encontrar la causa raíz de las

infracciones de seguridad.

Modos AAA

AAA se puede utilizar para autenticar usuarios para acceso administrativo o acceso

remoto a la red. Estos dos métodos de acceso utilizan diferentes modos para solicitar servicios

AAA.

Tabla 1: Modos AAA

Fuente: https://elibro.net/es/ereader/uguayaquil/106474

Protocolos para AAA

Básicamente, existen dos protocolos ampliamente utilizados para implementar servicios

AAA: RADIUS y TACACS+.

RADIUS (Remote Authentication Dial-In Usar Service)

Está definido en RFC 2865 y es la versión publicada y más utilizada del protocolo AAA.

Es un protocolo cliente/servidor que proporciona tres servicios AAA de forma centralizada y se

ha convertido en un modelo estándar de IETF. Este es un protocolo estándar de la industria

(cualquiera puede usarlo), usa UDP como protocolo de transporte y solo cifra las contraseñas.

Presenta muchas combinaciones de funciones de autenticación y autorización, no admite la

granulación de comandos y tiene capacidades de registro mucho más detalladas que TACACS+.

RADIUS usa el puerto UDP 1645 o 1812 para la autenticación y el puerto UDP 1646 o 1813 para

el registro de auditoría.

TACACS+ (Terminal Access Control Access Control Server)

Está definido en RFC 1492 y es una evolución del protocolo TACACS de Cisco que

permite agregar autorización y registro a la autenticación original, convirtiéndolo en un protocolo

AAA completo. Este es un protocolo propietario de Cisco que utiliza TCP como protocolo de

transporte y cifra todos los paquetes. Se caracteriza por aislar cada función del resto, permitiendo

una autorización detallada de comando a comando. TACACS+ utiliza el puerto TCP 49.

Configuración Router

En el caso de usar un servidor TACACS+:

Se crea un nuevo modelo de configuraciones AAA.

R1(config)#aaa new-model

Se crea una lista de autenticación llamada ORDEN_AUTENTICACION en la que

primero el router intentará verificar las credenciales con un servidor TACACS+ (group tacacs+)

y en caso de fallo busca en la configuración local (local). Esta lista puede tener varios elementos

y con uno solo basta.

R1(config)#aaa authentication login ORDEN_AUTENTICACION group

tacacs+ local

Se le define al router la dirección IP del servidor TACACS+ y la contraseña para

comunicarse con el mismo.

R1(config)#tacacs-server host 192.168.56.2 key cisco

Entrando a las líneas VTY.

R1(config)#line vty 0 4
 Estableciendo que para el login se debe buscar acorde a la lista

ORDEN_AUTENTICACION.

R1(config-line)#login authentication ORDEN_AUTENTICACION

En el caso de usar un servidor RADIUS:

R1(config)#aaa new-model

R1(config)#aaa authentication login ORDEN_AUTENTICACION group

radius local

R1(config)#radius-server host 192.168.56.2 key cisco

R1(config)#line vty 0 4

R1(config-line)#login authentication ORDEN_AUTENTICACION

PWDS EN ROUTERS

Hay varios tipos de contraseñas que se pueden configurar en los enrutadores Cisco como

la contraseña de activación, contraseña secreta para conexiones Telnet y SSH y puerto de consola.

Las contraseñas restringen el acceso a su enrutador. El acceso a la consola, las líneas de terminales

virtuales (VTY) y los puertos auxiliares siempre deben tener una contraseña.

Las contraseñas también se utilizan para controlar el acceso desde el modo de usuario al

modo EXEC privilegiado, lo que garantiza que solo los usuarios autorizados puedan modificar

los archivos de configuración.

Router(config)# enable password password

Router(config)# enable secret password

Router(config)# line { console 0 | aux 0 | vty 0 4 }

Router(config-line)# password password

Router(config-line)# login
 De forma predeterminada, las contraseñas enable, console, aux y vty se almacenan en

texto no cifrado y el secreto enable se almacena en forma cifrada. Cuando se accede a través de

Consola, Aux y VTY, lo lleva directamente al Modo de usuario, donde solo tiene acceso a ciertos

comandos, generalmente para ver estadísticas. Se requiere acceso al modo Activo o Privilegiado

para realizar las funciones restantes. La consola y los puertos auxiliares son locales para el

enrutador, el acceso a la consola requiere un cable de consola y el acceso auxiliar requiere un

módem.

Puede verificar su contraseña usando el comando de inicio de sesión dentro de la línea.

Sin este comando, no se utiliza ninguna contraseña. La inclusión de este comando hace obligatorio

el uso de la contraseña de acceso.

Protección de consola

De manera predeterminada, el puerto de línea de la consola no requiere una contraseña

para acceder a la consola de administración, pero esto es opcional. Sin embargo, se recomienda

establecer una contraseña para acceder a la consola desde la línea de comandos.

Router(config)#line console 0

Router(config-line)#password password

Router(config-line)#login

La línea de comando de la consola 0 seguida de los subcomandos de inicio de sesión y

contraseña para solicitar un inicio de sesión y establecer la contraseña de inicio de sesión en la

línea de la consola.

Protección del puerto AUX

De manera predeterminada, el puerto auxiliar del enrutador no requiere una contraseña

para el acceso administrativo remoto. Los administradores pueden usar este puerto para configurar

y monitorear remotamente el enrutador a través de una conexión de módem Dialup.

 Para acceder a la línea auxiliar, use el comando line aux 0 con los subcomandos de inicio

de sesión y contraseña para solicitar un inicio de sesión y establecer una contraseña de inicio de

sesión para las conexiones entrantes.

router(config)# line aux 0

router(config-line)# password password

router(config-line)# login

router(config-line)# exit

Protección del acceso a través de TELNET

Para permitir que los usuarios remotos accedan al enrutador a través de Telnet o SSH,

debe establecer una contraseña en una o más líneas de terminal virtual (VTY). Los enrutadores

de Cisco suelen admitir hasta 5 sesiones de terminal virtual VTY simultáneas (Telnet o SSH) de

forma predeterminada. En los enrutadores, los puertos vty están numerados o etiquetados del 0 al

4, pero diferentes hardware pueden tener diferentes modos de conexiones vty.

Normalmente se usa la misma contraseña para todas las conexiones o sesiones

simultáneas, pero las líneas o sesiones pueden reservarse con una contraseña dedicada incluso si

se requieren más de cuatro conexiones o sesiones simultáneas.

router(config)# line vty 0 4

router(config-line)# password password

router(config-line)# login

Se utiliza el comando line vty 0 4 seguido por los subcomandos login y password para

solicitar ingreso y establecer una contraseña de ingreso a las sesiones telnet entrantes.

Protección del modo privilegiado

Hay dos comandos que puede usar para establecer la contraseña. Los comandos enable

password y enable secret se utilizan para restringir el acceso al modo EXEC privilegiado. El
comando enable password se usa solo si el enable secret no se configuró previamente. A

diferencia de enable password, las contraseñas siempre se cifran, por lo que se recomienda

habilitar siempre enable secret.

Router(config)#enable password

Router(config)#enable secret password

Esta contraseña no está cifrada, por lo que el comando de configuración enable password

habilita la contraseña para el acceso en modo privilegiado desde el modo de usuario. Si desea que

esta contraseña se cifre y almacene en el archivo de configuración del enrutador, debe usar el

comando enable secret. El comando de configuración enable secret restringe el acceso al modo

EXEC privilegiado. Esta contraseña está encriptada en la configuración del enrutador usando un

algoritmo de encriptación fuerte MD5 (Message Digest 5) para encriptar la contraseña. Por lo

tanto, le recomendamos que utilice el comando enable secret para mayor seguridad. Si usa los dos

comandos anteriores, la contraseña ingresada con el comando enable secret tiene prioridad.

Si la contraseña para habilitar la contraseña secreta se pierde u olvida, debe reemplazarse

mediante el procedimiento de recuperación de contraseña del enrutador de Cisco.

BIBLIOGRAFÍA

Ariganello, E. y Barrientos Sevilla, E. (2015). Redes Cisco: guía de estudio para la

certificación CCNP Routing y Switching (3a. ed.). Paracuellos de Jarama, Madrid, RA-MA

Editorial. Recuperado de https://elibro.net/es/ereader/uguayaquil/106474

Ariganello, E. (2014). Redes Cisco CCNP a Fondo: guía de estudio para profesionales.

Madrid, RA-MA Editorial. Recuperado de https://elibro.net/es/ereader/uguayaquil/106405

Cisco Router Passwords: Habilitar y Secretos / Prucommercialre.com. (s/f).

Prucommercialre.com. Recuperado el 12 de septiembre de 2022, de

https://www.prucommercialre.com/cisco-router-passwords-habilitar-y-secretos/