SEGURIDAD EN REDES CORPORATIVAS (CCNA SEGURITY)

SRC5501

Experiencia de aprendizaje 1
Acceso seguro al router, local y remoto
 Unidad de Aprendizaje N°1
Fundamentos e Implementación en redes seguras

Aprendizajes Esperados:
• Ejecutar el acceso seguro a dispositivos CISCO IOS utilizando AAA.
• Trabajar en equipo para alcanzar los objetivos y soluciones a los problemas.
• Realizar el trabajo bajo presión de acuerdo al tiempo del encargo.
• Reconocer las redes de seguridad y los conceptos y políticas para la mitigación
de amenazas y ataques.
 Propósito de AAA

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
 AAA Generalidades
Autenticación sin AAA

 Muchos tipos de métodos de autenticación pueden ser realizadas en un

dispositivo Cisco y cada método ofrece diversos niveles de seguridad.
 La forma más simple de autenticación es la contraseña.
 Iniciar sesión solo con contraseñas es vulnerable a ataques de fuerza bruta.
 El método de base de datos local, proporciona seguridad adicional, ya que se
requiere saber un nombre de usuario y una contraseña. También proporciona una
mayor responsabilidad, porque el nombre de usuario se registra cuando un
usuario se conecta.
 Una mejor solución es utilizar una misma base de datos centralizada.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
 AAA Generalidades
Componentes AAA

Redes y seguridad administrativa AAA en entornos Cisco, tiene varios

componentes funcionales:
 Autenticación: Los usuarios y los administradores deben demostrar
que son quienes dicen ser. La autenticación se puede establecer
mediante usuario y contraseña combinadas, preguntas de seguridad y
respuesta, token cards y otros métodos.
 Autorización: Después de que el usuario es autenticado, los servicios
de autorización determinan a qué recursos el usuario puede acceder y
que operaciones realizar.
 Registro: Registros contables de lo que hace el usuario, incluyendo a
lo que accede, la cantidad de tiempo que utiliza el recurso y los
cambios que se hicieron.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
 Características AAA
Modos de Autenticación
AAA, se puede utilizar para autenticar a los usuarios para el acceso
administrativo o para autenticar usuarios para el acceso remoto. Estos dos
métodos de acceso utilizan diferentes modos de solicitar los servicios de AAA:

Autenticación AAA Local: Utiliza una base de datos local para la

autenticación. Este método almacena los nombres de usuario y contraseñas
localmente en el router Cisco.

Autenticación AAA basada en Servidor: El método basado en servidor utiliza

un de servidor de base de datos externo que aprovecha los protocolos RADIUS
o TACACS +.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
 Características AAA
Autorización
La autorización es lo que un usuario puede y no puede hacer en la red después
autenticarse.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
 Características AAA
Contabilidad
La contabilidad recopila y reporta datos de uso, para que pueda
emplearse para fines tales como la auditoría o facturación.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
 Autorización Local AAA

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
 Configurando Autenticación Local AAA utilizando CLI
Autenticación para Acceso Administrativo
 El método local AAA autenticación, es similar a usar el comando logil
local con una excepción. AAA también proporciona una manera de
configurar los métodos de copia de seguridad de autenticación.
 Configurar los servicios AAA locales para autenticar el acceso del
administrador requiere algunos pasos básicos:
Paso 1. Añadir nombres de usuario y contraseñas de la base de datos del router.
local para los usuarios que necesitan acceso administrativo al router.
Paso 2. Habilitar AAA globalmente.
Paso 3. Configurar parámetros AAA en el router.
Paso 4. Comprobar y solucionar problemas AAA.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
 Configurando Autenticación Local AAA utilizando CLI
Métodos de Autenticación
 Habilitar AAA con el comando aaa new-model de la configuración
global. 
 Para configurar la autenticación de puertos vty, líneas asíncronas (TTY),
el puerto auxiliar, o el puerto de la consola, se debe definir una lista con
nombre de métodos de autenticación y luego aplicar esa lista a las
diferentes interfaces.
 Para definir una lista con nombre de métodos de autenticación, utilice el
comando aaa authentication login.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
 Configurando Autenticación Local AAA utilizando CLI
Métodos de Autentificación
 Para configurar la autenticación, se debe definir una lista con nombre de métodos de
autenticación y luego aplicar esa lista a las diferentes interfaces.
 Para definir una lista con nombre de métodos de autenticación, utilice el comando aaa
authentication login.

 Para habilitar la autenticación local utilizando una base de datos local pre configurado,
utilice el/los comandos local or local-case.
 Para especificar, que un usuario puede autenticar utilizando la contraseña del modo exec,
utilice el argumento enable. 
 Un mínimo de un método y un máximo de cuatro métodos se pueden especificar para una
sola lista de métodos. Cuando un usuario intenta iniciar sesión, se utiliza el primer método
de la lista.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
 Configurando Autenticación Local AAA utilizando CLI
Métodos por defecto y nombrados
 La lista definida de métodos de autenticación se debe aplicar a las interfaces o líneas
específicas. Diferentes listas de métodos, pueden ser aplicado a diferentes interfaces y
líneas.
 Para habilitar un nombre de lista específica, utilice el comando login authentication list-
name en el modo de línea de configuración.
 También existe la opción de configurar un nombre de la lista por defecto. Cuando AAA es
primero activada, la lista método por defecto llamado "default" se aplica automáticamente a
todas las interfaces y las líneas, pero no tiene métodos de autenticación definidos.
 Para asignar múltiples métodos de autenticación a la lista por defecto, utilice el comando
aaa authentication login default metodo1...[metodo2].

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
 Configurando Autenticación Local AAA utilizando CLI
Refinar la configuración de autenticación
 Seguridad adicional se puede implementar en la línea con el comando
aaa local authentication attempts max-fail number-of-
unsuccessful-attempts en el modo de configuración global.

 Este comando asegura cuentas de usuario AAA, bloqueando las

cuentas que tienen intentos fallidos en exceso.
 Para mostrar usuarios bloqueados.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
 Solución de problemas a autenticación AAA local
Opciones del comando debug

 El comando debug aaa
authentication,  es
fundamental para
solucionar problemas AAA.
 Busca específicamente
mensajes de estado
GETUSER y GETPASS.
Estos mensajes son útiles
en la identificación de los
que se hace referencia a la
lista de método.

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15