Capitulo 3 Autenticacin, Autorizacin y Contabilidad (Accounting).

Una red debe ser diseada para el control de quin tiene permiso para conectarse a ella y lo que pueden hacer cuando estn conectados. Estas especificaciones de diseo se identifican en la poltica de seguridad de la red. La poltica especifica cmo los administradores de red, los usuarios corporativos, los usuarios remotos, socios comerciales, clientes tienen acceso a los recursos de la red. La poltica de seguridad de la red tambin puede ordenar la aplicacin de un sistema de contabilidad que indique las pistas que ha identificado y cuando, lo que hicieron mientras se encontraban logados. La gestin de acceso a la red utilizando slo el modo de usuario o los comandos de modo privilegiado de contraseas es limitada y no escala bien. En su lugar, utilizando el protocolo de autenticacin, autorizacin y contabilidad (AAA) proporciona el marco necesario para que se cuente con un acceso seguro escalable. Los Routers Cisco pueden ser configurados para utilizar AAA para acceder a un usuario local y una base de datos de contraseas. Usando un username local y una base de datos contrasea proporciona mayor seguridad que una contrasea simple y fcil de implementar una solucin de seguridad. Los routers Cisco tambin pueden ser configurados para utilizar la AAA para acceder a un Cisco Secure Access Control Server (ACS). El uso de Cisco ACS es muy escalable, porque todos los dispositivos de acceso a la infraestructura cuentan con un servidor central. La solucin de Cisco Secure ACS tambin es tolerante a errores, porque varios servidores pueden ser configurados. La solucin de Cisco Secure ACS se suele aplicar para las grandes organizaciones. Una prctica en el laboratorio para el captulo, Securing Administrative Access Using AAA and RADIUS, permite a los estudiantes a utilizar la CLI y SDM para configurar y probar la autenticacin local, con y sin AAA. La autenticacin centralizada usando AAA y Radius tambin se estudiara. Una actividad de Packet Tracer, configurar la autenticacin de la AAA en routers Cisco, proporciona a los estudiantes de prcticas adicionales de aplicacin de las tecnologas introducidas en este captulo. Los estudiantes podran configurar la autenticacin locales con y sin AAA. Basado en el servidor de autenticacin AAA est configurado con TACACS + y RADIUS. Las actividades de Packet Tracer para CCNA Seguridad se encuentran en la Academia de conexin en cisco.netacad.net.

3.1.1

AAA general

Los Intrusos en la red pueden potencialmente tener acceso a equipos de red y servicios delicados. Para ayudar a prevenir el acceso no deseado, el control de acceso es necesario. El control de acceso limita quien o que se puede utilizar los recursos especficos, as como los servicios o las opciones disponibles una vez que se concedi el acceso. Muchos tipos de mtodos de autenticacin se puede realizar en un dispositivo de Cisco, y cada mtodo ofrece diferentes niveles de seguridad. La forma ms simple de autenticacin son las contraseas. Este mtodo se configura mediante un nombre de usuario y contrasea en la consola, y las lneas de los puertos vty y aux. Este mtodo es el ms fcil de implementar, pero es tambin el ms dbil y menos seguro. Las contraseas de inicios de sesin son muy vulnerables a ataques de fuerza bruta. Adems, este mtodo no proporciona ninguna rendicin de cuentas. Cualquier persona con la contrasea puede penetrar en el dispositivo y modificar la configuracin. Para ayudar a facilitar la rendicin de cuentas, la autenticacin de base de datos local puede llevarse a cabo utilizando uno de los siguientes comandos:

Pgina 1 de 45

username username password password username username secret password Este mtodo crea cuentas de usuario individuales en cada dispositivo con una contrasea especfica asignada a cada usuario. El mtodo de base de datos local proporciona seguridad adicional, ya que un atacante debe conocer un nombre de usuario y una contrasea. Tambin proporciona una mayor responsabilidad, porque el usuario se registra cuando un usuario inicia sesin. Tenga en cuenta que la combinacin de comandos username password muestra la contrasea en texto plano en el fichero de configuracin si el comando service passwordencryption no est configurado. La combinacin service password-encryption es recomendable por que provee encriptacin MD5. El mtodo de base de datos local tiene algunas limitaciones. Las cuentas de usuario debe ser configurado de forma local en cada dispositivo. En un entorno de gran empresa que tiene varios enrutadores y conmutadores para manejar, puede tomar tiempo para aplicar y modificar bases de datos locales en cada dispositivo. Adems, la configuracin de base de datos local no proporciona ningn mtodo de autenticacin de reserva. Por ejemplo, qu pasa si el administrador olvida el nombre de usuario y contrasea para ese dispositivo? Con ningn mtodo de copia de seguridad disponible para la autenticacin, password recovery se convierte en la nica opcin. Una solucin mejor es tener todos los dispositivos se refieren a la misma base de datos de nombres de usuario y contraseas de un servidor central. Este captulo explora los diversos mtodos de obtener acceso a la red utilizando la autenticacin, autorizacin y contabilidad Accounting (AAA) para asegurar los routers Cisco.

Password method

Pgina 2 de 45

Database method Los servicios de seguridad de red AAA proporcionan el marco principal para establecer control de acceso en un dispositivo de red. AAA es una forma de controlar a quin se permite acceder a una red (autenticacin), lo que pueden hacer cuando se encuentran all (autorizar), y para auditar las acciones que lleva a cabo mientras el acceso a la red (contable). Proporciona un alto grado de escalabilidad, aux, vty la autenticacin y privilegiada comandos EXEC solo. Las redes y la administracin de seguridad AAA en Cisco tiene varios componentes funcionales: Autentificacin - Los usuarios y administradores deben demostrar que son quienes dicen ser. La autenticacin puede ser elaborado a partir de combinaciones de nombre de usuario y contrasea, el desafo y respuesta de preguntas, las tarjetas de token, y otros mtodos. Por ejemplo: "Soy estudiante de usuario '. S que la clave para demostrar que soy estudiante de usuario." Autorizacin - Despus de la autenticacin del usuario, los servicios de autorizacin de determinar los recursos que el usuario puede acceder y que las operaciones que el usuario est autorizado a realizar. Un ejemplo es el "estudiante de usuario" puede acceder a serverXYZ host mediante Telnet solamente. " Contabilidad y auditora - Contabilidad registra lo que hace el usuario, incluyendo lo que se tiene acceso, la cantidad de tiempo que se tiene acceso a los recursos, y los cambios que se hicieron. De Contabilidad realiza un seguimiento de cmo se utilizan los recursos de red. Un ejemplo es "serverXYZ de acogida de estudiantes de usuario acceder a 'usando Telnet durante 15 minutos." Este concepto es similar a la utilizacin de una tarjeta de crdito. La tarjeta de crdito determina quin puede usarlo, cmo mucho de lo que el usuario puede pasar, y mantiene a cuenta de qu artculos del usuario gastado el dinero.

Pgina 3 de 45

3.1.2 Caractersticas AAA. AAA se puede utilizar para autenticar a los usuarios para el acceso administrativo o puede ser utilizado para autenticar a los usuarios para el acceso a redes remotas. Estos dos mtodos de acceso utilizan distintos modos de solicitar los servicios de la AAA: El modo de caracteres - Un usuario enva una peticin para establecer un proceso de modo EXEC con el router para fines administrativos. Modo de paquetes - Un usuario enva una solicitud para establecer una conexin a travs del router con un dispositivo en la red. Con la excepcin de los comandos de la contabilidad, todos los comandos de la AAA se aplican tanto a modo de carcter y modo de paquete. Este tema se centra en garantizar el acceso en modo de caracteres. Para una red verdaderamente segura, es importante tambin para configurar el router para el acceso administrativo remoto seguro y acceso a la red LAN con servicios AAA tambin. Cisco ofrece dos mtodos comunes de aplicacin de los servicios de AAA.

Access methods

Pgina 4 de 45

Local AAA Autenticacin Local AAA utiliza una base de datos local para la autenticacin. Este mtodo almacena los nombres de usuario y contraseas a nivel local en el router de Cisco, y autenticar usuarios contra la base de datos local. Esta base de datos es la misma necesaria para establecer la funcin de base de la CLI. Locales de la AAA es ideal para redes pequeas.

Basados en servidor de autenticacin AAA El servidor basado en el mtodo utiliza un servidor de base de datos de recursos externos que aprovecha los protocolos RADIUS o TACACS +. Los ejemplos incluyen Cisco Secure Access Control Server (ACS) para Windows Server, Cisco Secure ACS Solution Engine, o Cisco Secure ACS Express. Si hay varios enrutadores, servidores basados en la AAA es ms apropiado.

AAA Authorization Despus de que los usuarios se han autenticado correctamente contra la fuente de datos, seleccione la AAA (local o basada en servidor), que luego son autorizados para los recursos de red especficos. La autorizacin es bsicamente lo que un usuario puede o no puede hacer en la red despus de que el usuario es autenticado, similar a cmo los niveles de privilegios basados en roles y CLI dar a los usuarios derechos y privilegios especficos a ciertos comandos en el router.

Pgina 5 de 45

La autorizacin es normalmente implementada usando un servidor AAA basado en la solucin. Autorizacin creado utiliza un conjunto de atributos que describe el acceso del usuario a la red. Estos atributos son comparados con la informacin contenida en la base de datos de la AAA, y la determinacin de las restricciones para que el usuario se haga y se entrega con el router local, donde est conectado el usuario. La autorizacin es automtica y no requieren que los usuarios que realizar pasos adicionales despus de la autenticacin. La autorizacin es aplicable inmediatamente despus de la autenticacin del usuario.

AAA de Contabilidad De Contabilidad recopila e informa datos de uso para que pueda ser empleado para fines tales como la auditora o la facturacin. Los datos recogidos pueden incluir el inicio y finalizacin de conexin, los comandos ejecutados, el nmero de paquetes, y el nmero de bytes. Contabilidad se lleva a cabo utilizando un servidor AAA basado en la solucin. Este servicio de informes de estadsticas de uso de nuevo al servidor ACS. Estas estadsticas pueden ser extrados para crear informes detallados acerca de la configuracin de la red. Un uso ampliamente extendido de la contabilidad es la combinacin con la autenticacin de la AAA para administrar el acceso a los dispositivos de interconexin por la red de personal administrativo. Contabilidad prev la responsabilidad extra por encima y ms all de la autenticacin. Los servidores AAA mantienen un registro detallado de exactamente lo que el usuario no autenticado en el dispositivo. Esto incluye todos los comandos de configuracin EXEC y expedido por el usuario. El registro contiene varios campos de datos, incluyendo el nombre de usuario, la fecha y la hora, y el comando real que fue introducido por el usuario. Esta informacin es til cuando los dispositivos de solucin de problemas. Tambin ofrece la ventaja frente a los individuos que llevan a cabo acciones maliciosas.

Pgina 6 de 45

3.2.1 Configuracin local AAA autenticacin con CLI La autenticacin local AAA, tambin conocida como autnomos de autenticacin, se debe configurar para redes ms pequeas, como los que tienen uno o dos enrutadores de acceso a un nmero limitado de usuarios. Este mtodo utiliza los nombres de usuarios locales y las contraseas almacenadas en un router. El administrador del sistema debe rellenar la base de datos de seguridad locales mediante la especificacin de perfiles de usuario y contrasea para cada usuario que pueda iniciar sesin pulg El mtodo de autenticacin local de la AAA es similar a usar el comando local de inicio de sesin con una excepcin. AAA tambin ofrece una manera de configurar los mtodos de copia de seguridad de autenticacin. Configuracin de los servicios locales de la AAA para autenticar el acceso de administrador (el acceso en modo de texto) requiere unos pasos bsicos. Paso 1. Aadir los nombres de usuario y contraseas para la base de datos router local para los usuarios que necesitan acceso administrativo al router.

Pgina 7 de 45

Paso 2. Habilitar AAA a nivel mundial en el router. Paso 3. Configurar los parmetros de la AAA en el router. Paso 4. Confirmar y solucionar problemas de la configuracin de la AAA.

Para habilitar la AAA, use el comando aaa new-model en modo global de configuracin. Para deshabilitar la AAA, utilice la forma no de este comando. Despus de la AAA es permitido, para configurar la autenticacin en los puertos vty, lneas asncronas (TTY), el puerto auxiliar, o el puerto de consola, definir una lista de nombre de mtodos de autenticacin y luego aplicar esa lista a las distintas interfaces. Para definir una lista de nombre de mtodos de autenticacin, utilice el comando aaa authentication login. Este comando requiere un nombre de lista y los mtodos de autenticacin. El nombre de la lista identifica la lista de mtodos de autenticacin se activa cuando un usuario inicia sesin pulg la lista de mtodos es una lista secuencial de describir los mtodos de autenticacin para ser consultados para la autenticacin de un usuario. Mtodo de las listas de permitir a un administrador para que designe a uno o varios protocolos de seguridad para la autenticacin. Uso de ms de un protocolo proporciona un sistema de copia de seguridad para la autenticacin en caso de que el mtodo inicial falla.

Pgina 8 de 45

Varias palabras clave que se puede utilizar para indicar el mtodo. Para habilitar la autenticacin local con una base de datos local preconfigurado, el uso de la palabra clave local o local-case. La diferencia entre las dos opciones es que local acepta un nombre de usuario local, independientemente de caso, y local-case de maysculas y minsculas. Para especificar que un usuario puede autenticar usando la contrasea de habilitacin, permite la utilizacin de palabras clave. Para garantizar que la autenticacin se realiza correctamente, incluso si todos los mtodos devuelven un error, especificar none como el mtodo final. Por motivos de seguridad, utilice la palabra clave no slo al probar la configuracin de la AAA. Nunca se debe aplicar en una red en directo.

Por ejemplo, el mtodo podra permitir ser configurado como un mecanismo de reserva en caso de que el nombre de usuario y la contrasea es olvidada. aaa authentication login TELNET-ACCESS local enable En este ejemplo, una lista de autenticacin AAA llamado telnet-ACCESS se crea que requiere que los usuarios intentan autenticarse en la base de datos de usuario local del router en primer lugar. Si el intento devuelve un error, como una base de datos de usuario local no est configurado, el usuario puede intentar autenticarse permitir conocer la contrasea. Un mnimo de un mtodo y un mximo de cuatro mtodos se pueden especificar para una lista solo mtodo. Cuando un usuario intenta iniciar la sesin, el primer mtodo, la lista se utiliza. El software Cisco IOS intentos de autenticacin con el siguiente mtodo de autenticacin se enumeran slo cuando no hay respuesta o un error en el mtodo anterior se produce. Si el mtodo de autenticacin niega el acceso de los usuarios, se detiene el proceso de autenticacin y no otros mtodos de autenticacin estn permitidos.

Pgina 9 de 45

La lista definida de los mtodos de autenticacin se debe aplicar a las interfaces especficas o lneas. Para una mayor flexibilidad, las listas de mtodo diferente puede ser aplicado a diferentes interfaces y las lneas. Por ejemplo, un administrador puede aplicar una sesin especial para Telnet y, a continuacin tienen un mtodo de acceso de la lnea de la consola. Para habilitar un nombre de lista especfica, el comando aaa login authentication list-name en el modo linea de configuracin.

Tambin existe la opcin de configurar un nombre de lista por defecto. Cuando la AAA es habilitar por primera vez, la lista de mtodos por defecto denominado "default" se aplica automticamente a todas las interfaces y las lneas, pero no tiene los mtodos de autenticacin definidos. Para asignar varios mtodos de autenticacin de la lista por defecto, utilice el comando aaa authentication login default method1... [method4]. Los mtodos de autenticacin en la lista por defecto se utiliza por defecto en todas las lneas, a menos que se crea una lista personalizada mtodo de autenticacin. Si una interfaz o lnea tiene una lista de mtodos no predeterminado que se le aplica, este mtodo anula la lista de mtodos por defecto para esa interfaz. Si la lista por defecto no est establecido y no hay otra lista, slo la base de datos de usuario local est marcada. Esto tiene el mismo efecto que el comando aaa authentication login default local. En la consola, inicio de sesin sin xito todas las comprobaciones de autenticacin por defecto si no se establece. Una vez que un mtodo de autenticacin personalizado lista se aplica a una interfaz, es posible volver a la lista mtodo predeterminado utilizando el comando no aaa authentication login list-name. Si la lista por defecto no se ha definido, entonces la autenticacin AAA no se produce. Adicionales para implementar seguridad puede usar el comando aaa local authentication attempts max-fail number-of-unsuccessful-attempts en el modo global de configuracion. Este comando asegura las cuentas de usuario de AAA por Bloqueo de cuentas que tienen exceso de intentos fallidos. Para eliminar el nmero de intentos infructuosos, cuando se cre, utiliza el formulario no de este comando.

Pgina 10 de 45

Para mostrar una lista de todos los usuarios que estn, use el comando s how aaa local user lockout en modo EXEC privilegiado. Usar el comando clear aaa local user lockout {username username | all} en modo EXEC privilegiado para desbloquear un usuario especfico o para desbloquear todos los usuarios bloqueados. El comando aaa local authentication attempts max-fail difiere de la orden login delay en los intentos de la forma en que maneja. El comando aaa local authentication attempts max-fail bloquea la cuenta de usuario si la autenticacin falla. Esta cuenta se queda bloqueada hasta que se borra por un administrador. El comando login delay introduce un retraso entre los intentos de acceso fallidos sin bloquear la cuenta. Cuando un usuario se registra en un router Cisco y utiliza la AAA, un identificador nico asignado a la sesin. A lo largo de la vida de la sesin, varios atributos que estn relacionados con el perodo de sesiones se recogen y almacenan internamente dentro de la base de datos de la AAA. Estos atributos pueden incluir la direccin IP del usuario, el protocolo que se utiliza para acceder al router, como PPP o Serial Line Internet Protocol (SLIP), la velocidad de la conexin, y el nmero de paquetes o bytes que se reciben o transmisin. Para mostrar los atributos que se recogen para una sesin de la AAA, use el comando show aaa user {all | unique id} en modo EXEC privilegiado. Este comando no facilitar informacin a todos los usuarios que se registran en un dispositivo, pero slo para aquellos que han sido autenticados o autorizado el uso AAA o cuyas sesiones se contabilizan por el mdulo de la AAA. El programa AAA sesiones de comando se puede utilizar para mostrar el identificador nico de una sesin.

3.2.2 Configurando AAA autenticacin local con SDM AAA est activado por defecto en Cisco SDM, pero es una buena idea para confirmar que est habilitado actualmente. Para comprobar la configuracin de la AAA y AAA para activar o desactivar, seleccione Configuracin> Tareas adicionales> AAA.

Pgina 11 de 45

Si el botn se hace clic en Deshabilitar AAA, Cisco SDM muestra un mensaje informativo que indica que se efectuarn los cambios de configuracin para asegurarse de que el router se puede acceder despus de la AAA est deshabilitada.

La primera tarea cuando se utiliza SDM para configurar los servicios de AAA para la autenticacin local es la creacin de los usuarios: Paso 1. Elija Configurar> Tareas adicionales> Router de acceso> Cuentas de usuario / View. Paso 2. Haga clic en Agregar para agregar un nuevo usuario. Paso 3. En el complemento de una ventana de cuenta, escriba el nombre de usuario y contrasea en los campos correspondientes para definir la cuenta de usuario. Paso 4. Desde la cada de nivel de privilegios de lista, elija 15, cuando hay diferentes niveles de privilegio menor definido. Paso 5. Si las opiniones se han definido, marque Associate a View with the User y elegir una vista de la lista Nombre de vista que est asociado con un usuario. Paso 6. Haga clic en Aceptar. El comando CLI que genera es de Cisco SDM es username AAAadmin privilege 15 secret 5 $1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root.

Pgina 12 de 45

Para configurar la autenticacin AAA, un administrador primero debe definir una lista de mtodos de autenticacin para el mtodo predeterminado o configurar una lista con nombre y mtodo de aplicacin. Listas mtodo diferente puede ser creado y aplicado a diferentes interfaces o lneas. Configurar la lista mtodo predeterminado para la autenticacin de inicio de sesin utilizando la base de datos local: Paso 1. Elija Configurar> Tareas adicionales> AAA> polticas de autenticacin> Iniciar y haga clic en Agregar. Paso 2. En Aadir una lista de mtodos de autenticacin de ventana de acceso, compruebe que est seleccionado por defecto en el desplegable Nombre de lista. Paso 3. Haga clic en Agregar. Paso 4. En la lista seleccione Mtodo (s) para la autenticacin de ventana de inicio, seleccione locales de la lista de mtodos. Paso 5. Haga clic en Aceptar. El comando CLI que Cisco SDM genera es la autenticacin por defecto AAA inicio de sesin local.

Pgina 13 de 45

3.2.3 Troubleshooting Autenticacin AAA Local El router Cisco ha depuracin de comandos que son tiles para solucionar problemas de autenticacin. El comando debug aaa contiene varias palabras clave que pueden ser utilizados para este propsito. De especial interes el comando debug aaa authentication. El mejor momento para entender resultados de la depuracin es cuando todo est funcionando correctamente. Saber cmo muestra la salida de depuracin cuando todo va bien ayuda a identificar los problemas cuando las cosas no estn funcionando correctamente. Extrema la precaucin al utilizar el comando de depuracin en un entorno de produccin ya que estos comandos de colocar una carga importante en los recursos de router y puede afectar al rendimiento de la red.

Pgina 14 de 45

El comando debug aaa authentication es instrumental al solucionar problemas de la AAA. Para desactivar este comando, use la forma no del comando o que todo lo abarca undebug all declaracin. Buscan especficamente GETUSER y mensajes de estado GETPASS. El mensaje de mtodo tambin es til a la hora de determinar qu mtodo de la lista se hace referencia.

3.3.1 Servidor Basado en caractersticas AAA.

La implementacin local de AAA no escala bien. La mayora de los entornos corporativos tiene varios routers Cisco con mltiples administradores de router y cientos o miles de usuarios que necesitan acceso a la LAN corporativa. El mantenimiento de bases de datos locales para cada router de Cisco para este tamao de la red no es factible.

Pgina 15 de 45

Para resolver este problema, uno o ms servidores AAA, como Cisco Secure ACS, se puede utilizar para administrar el acceso de usuarios y necesidades administrativas de una red corporativa completa. Cisco Secure ACS puede crear una base de datos central de usuarios y acceso administrativo que todos los dispositivos en la red pueden tener acceso. Tambin puede trabajar con muchas bases de datos externas, como Active Directory y Lightweight Directory Access Protocol (LDAP). Estas bases de datos almacenan la informacin de usuario de cuenta y contraseas, permitiendo a la administracin central de cuentas de usuario.

La familia Cisco Secure ACS de productos soporta tanto el acceso de Control de Acceso de Terminal Server Plus (TACACS +) y remota Dial-in User Services (RADIUS) protocolos, que son los dos protocolos predominante utilizado por los aparatos de seguridad de Cisco, routers y switches de aplicacin de la AAA . Si bien ambos protocolos pueden ser utilizados para la comunicacin entre cliente y servidores AAA, TACACS + se considera el protocolo ms seguro. Esto es porque todos los TACACS + se cifran los intercambios de protocolo; Radius slo cifra la contrasea de usuario. Que no encriptar los nombres de usuario, la informacin contable, o cualquier otra informacin que lleva en el mensaje de radius.

Pgina 16 de 45

TACACS + y RADIUS son protocolos de autenticacin. Cada uno soporta diferentes capacidades y funcionalidad. Si TACACS + o RADIUS est seleccionado depende de las necesidades de la organizacin. Por ejemplo, un gran ISP podra seleccionar RADIUS porque apoya la contabilidad detallada necesaria para los usuarios de facturacin. Una organizacin con diversos grupos de usuarios pueden seleccionar TACACS +, ya que requiere autorizacin de seleccionar las polticas que deben aplicarse en un esquema por usuario o por grupo. Protocolos Es importante comprender las diferencias que existen entre el TACACS + y RADIUS. Los factores crticos para TACACS + incluyen: Es incompatible con TACACS y XTACACS Separa la autenticacin y autorizacin Cifra toda la comunicacin Utiliza el puerto TCP 49 Los factores crticos para el radio incluyen: Utiliza los servidores proxy RADIUS para la escalabilidad Combina la autenticacin RADIUS y la autorizacin como un proceso. Slo encripta la contrasea Utiliza UDP Soporta las tecnologas de acceso remoto, 802.1X, y SIP

Pgina 17 de 45

TACACS + es una mejora de Cisco para el protocolo original TACACS. A pesar de su nombre, TACACS + es un programa totalmente nuevo protocolo que es incompatible con cualquier versin anterior de TACACS. TACACS + con el apoyo de la familia Cisco de routers y servidores de acceso como parte del mantenimiento de Cisco IOS versin 10.3. Cisco est actualmente presentando TACACS + para el IETF grupos de trabajo y est contribuyendo a la adopcin de las normas y protocolo emergentes. TACACS + proporciona por separado los servicios de AAA. La separacin de los servicios de la AAA ofrece flexibilidad en la aplicacin, ya que es posible utilizar TACACS + para la autorizacin y contabilidad, mientras que con cualquier otro mtodo de autenticacin. Las extensiones al protocolo TACACS + ofrecer ms tipos de solicitudes de autenticacin y los cdigos de respuesta que se encontraban en la especificacin original TACACS. TACACS + ofrece soporte multiprotocolo, tales como IP y AppleTalk. TACACS + normal funcionamiento encripta todo el cuerpo del paquete para las comunicaciones ms seguras y utiliza el puerto TCP 49.

RADIUS, desarrollados por las empresas de Livingston, es un protocolo IETF abierto AAA estndar para aplicaciones tales como acceso a la red o movilidad IP. RADIUS los trabajos en situaciones tanto a nivel local y en itinerancia, es comnmente utilizado para fines contables.

Pgina 18 de 45

RADIUS est definido por RFC 2865, 2866, 2867 y 2868. Las contraseas de protocolo RADIUS oculta durante la transmisin, incluso con el Protocolo de autenticacin de contrasea (PAP), mediante una operacin bastante compleja que implica Message Digest 5 (MD5) de hash y un secreto compartido. Sin embargo, el resto del paquete se enva en texto plano. RADIUS combina la autenticacin y autorizacin como un proceso. Cuando se autentica a un usuario, dicho usuario tambin est autorizado. RADIUS utiliza el puerto UDP 1645 o 1812 para la autenticacin y el puerto UDP 1646 o 1813 para la contabilidad. RADIUS es ampliamente utilizado por los proveedores de servicios VoIP. Pasa las credenciales de acceso de un protocolo de inicio de sesin (SIP) del punto final, como un telfono de banda ancha, a un registro SIP utiliza autenticacin implcita y, a continuacin a un servidor RADIUS mediante RADIUS. RADIUS es un protocolo de autenticacin comn que es utilizado por el estndar de seguridad 802.1X. El protocolo de dimetro es la sustitucin prevista para RADIUS. De dimetro utiliza un protocolo de transporte llamado Stream Control Transmission Protocol (SCTP) y TCP en lugar de UDP.

3.3.3. Cisco Secure ACS Muchas empresas de servidores de autenticacin a nivel estn en el mercado hoy en da. Funk Steel-Belted servidor RADIUS, Empresas Livingston 'Administrador de facturacin de autenticacin RADIUS y servidores RADIUS Mrito Networks son bien conocidos. Aunque se trata de compaas de prestigio con productos populares, carecen de la capacidad de combinar tanto los protocolos de TACACS + y RADIUS en una nica solucin. Afortunadamente, el Cisco Secure ACS para Windows Server (ACS) es una solucin nica que ofrece la AAA, tanto para TACACS + y RADIUS. Cisco Secure ACS es una altamente escalable y de alto rendimiento de control de acceso al servidor que puede ser empleado para controlar el acceso de administrador y la configuracin para todos los dispositivos de red en una red de apoyo RADIUS o TACACS + o ambos. Cisco Secure ACS ofrece varias ventajas: Ampla la seguridad de acceso mediante la combinacin de la autenticacin, acceso de los usuarios, y de acceso de administrador con control de la poltica dentro de una solucin centralizada de la identidad en red.

Pgina 19 de 45

Permite una mayor flexibilidad y movilidad, el aumento de la seguridad, y el usuario las ganancias de productividad. Aplica una poltica de seguridad uniforme para todos los usuarios, independientemente de cmo acceder a la red. Reduce la carga administrativa y de gestin, cuando la escala del usuario y administrador de la red de acceso a la red.

Cisco Secure ACS utiliza una base de datos central. Se centraliza el control de todos los privilegios de usuario y los distribuye a los puntos de acceso en toda la red. Cisco Secure ACS proporciona informes detallados y la capacidad de supervisin del comportamiento del usuario, las conexiones de acceso, y los cambios de configuracin de dispositivos. Esta caracterstica es extremadamente importante para las organizaciones tratan de cumplir con las regulaciones gubernamentales diferentes. Cisco Secure ACS soporta una amplia variedad de conexiones de acceso, incluyendo cable y wireless LAN, acceso conmutado, banda ancha, de contenido, almacenamiento, VoIP, firewalls y redes privadas virtuales (VPN). Cisco Secure ACS proporciona una variedad de caractersticas avanzadas: Servicio de monitoreo automtico de La sincronizacin de bases de datos y la importacin de herramientas para despliegues a gran escala La autenticacin LDAP apoyo a los usuarios De usuario y la informacin de acceso administrativo Restricciones de acceso a la red basado en criterios tales como la hora del da y el da de la semana Perfiles de usuario y grupo de dispositivos

Pgina 20 de 45

Cisco Secure ACS es un componente importante de la identidad de Cisco Servicios Basados en la Red (IBNS) de la arquitectura. Cisco IBNS se basa en el puerto de normas de seguridad, tales como IEEE 802.1X y el Protocolo de Autenticacin Extensible (EAP), y ampla la seguridad en el permetro de la red a cada punto de conexin dentro de la LAN. Control de polticas nuevas, como por las cuotas de usuario, las asignaciones de VLAN y listas de control de acceso (ACL) se puede implementar dentro de esta nueva arquitectura. Esto se debe a la capacidad ampliada de conmutadores de Cisco y los puntos de acceso inalmbrico a la consulta Cisco Secure ACS sobre el protocolo RADIUS. Cisco Secure ACS es tambin un componente importante de Cisco Network Admission Control (NAC). Cisco NAC es una iniciativa de la industria patrocinada por Cisco. Cisco NAC utiliza la infraestructura de red para reforzar la seguridad, cumplimiento de polticas en todos los dispositivos que buscan acceso a los recursos informticos de la red. Esto limita los daos de los virus y gusanos. Con NAC de Cisco, los clientes pueden optar por permitir acceso a la red slo a los dispositivos de punto final y compatible con confianza y restringir el acceso de los dispositivos que no cumplen. NAC es parte de la autodefensa de Cisco iniciativa de la red y es la base para permitir NAC en Layer 2 y Layer 3 redes. Las fases futuras de punto final y de ampliar la interoperacin de seguridad de red para incluir incidente capacidades dinmicas de contencin. Esta innovacin permite a los elementos del sistema compatible con el uso indebido de informe que emana de delincuentes o los sistemas infectados durante un ataque. Los sistemas infectados pueden ser dinmicamente en cuarentena desde el resto de la red para reducir significativamente el virus, gusano, y la propagacin de amenazas combinadas. Cisco Secure ACS tiene de alto rendimiento y muchas caractersticas de escalabilidad: Facilidad de uso - Una interfaz web de usuario basada simplifica y distribuye la configuracin de perfiles de usuario, perfiles de grupo, y la configuracin de Cisco Secure ACS. Escalabilidad - Cisco Secure ACS est construido para proporcionar grandes entornos de red con soporte para servidores redundantes, bases de datos remotas, y la replicacin de bases de datos y servicios de copia de seguridad.

Pgina 21 de 45

Extensibilidad - El envo de autenticacin LDAP soporta la autenticacin de los perfiles de usuario que se almacenan en los directorios de los proveedores lderes de directorio, como Sun, Novell y Microsoft. Gestin - Microsoft Windows Active Directory consolida nombre de usuario de Windows y la gestin de contraseas y se utiliza el Monitor de rendimiento real de Windows para ver las estadsticas de tiempo. Administracin - Diferentes niveles de acceso para cada administrador de Cisco Secure ACS y la capacidad de los dispositivos de red del grupo hacen que le sea ms fcil y flexible para controlar la aplicacin y los cambios de la administracin de polticas de seguridad para todos los dispositivos en una red. La flexibilidad de productos - Porque el software Cisco IOS ha incorporado soporte para AAA, Cisco Secure ACS puede ser utilizado en prcticamente cualquier servidor de red de acceso de Cisco que vende (la versin del software Cisco IOS que soporte RADIUS y TACACS +). Cisco Secure ACS est disponible en tres opciones: Cisco Secure ACS Solution Engine, Cisco Secure ACS Express y Cisco Secure ACS para Windows. Integracin - El ala de acoplamiento con los routers Cisco IOS y soluciones de VPN proporciona caractersticas tales como multichasis Multilink PPP y comandos de Cisco IOS Software autorizacin. Soporte de terceros - Cisco Secure ACS ofrece soporte de servidor de fichas para cualquier contrasea de un solo (OTP) de los proveedores que proporciona una interfaz de RADIUS RFC-compatible, como RSA, PassGo, Secure Computing, ActiveCard, Vasco, o tarjeta criptogrfica. Control - Cisco Secure ACS proporciona cuotas dinmica para restringir el acceso segn la hora del da, el uso de la red, el nmero de sesiones registradas, y el da de la semana.

Cisco Secure ACS est disponible como software instalado en un servidor de Windows o en un rack de 1U montable, la seguridad del servidor endurecido, como ACS o ACS Solution Engine Express. Todas estn basadas en servidor ejemplos de prestacin de servicios de AAA utilizando una base de datos de seguridad remota.

Pgina 22 de 45

La ACS Seguro de Cisco para la opcin de Windows permite a los servicios de la AAA en un router en contacto con un seguro externo Cisco ACS instalado en un sistema de servidor de Windows para autenticacin de usuarios y administrador. Cisco Secure ACS Solution Engine es una unidad de rack de 1U montable, la seguridaddispositivo hardware con un pre-instalado licencia de Cisco Secure ACS. Se debe usar en las grandes organizaciones, donde ms de 350 los usuarios deben ser apoyadas. En comparacin con el Cisco Secure ACS para el producto de Windows, Cisco Secure ACS Solution Engine reduce el coste total de propiedad al eliminar la necesidad de instalar y mantener una mquina de servidor de Microsoft Windows. Cisco Secure ACS Express es tambin una unidad de rack de 1U montable, la seguridaddispositivo hardware con un pre-instalado Cisco Secure ACS licencia expresa. La diferencia es que la opcin de ACS Express est pensado para comerciales (menos de 350 usuarios), comercio minorista, y la rama implementaciones empresariales de oficina. ACS Express ofrece un completo conjunto de caractersticas todava simplificado, un GUI fcil de usar, y un precio ms bajo que permite a los administradores implementar este producto en los casos en Cisco Secure ACS para Windows Server o Cisco Secure ACS Solution Engine podra no ser adecuado. Aunque en este captulo se centra en el despliegue de Cisco Secure ACS para Windows Server, los conceptos y caractersticas que se describen tambin estn disponibles en la solucin de motor y ACS ACS Express.

3.3.4 Configuracin Cisco Secure ACS. Antes de instalar Cisco Secure ACS, es importante preparar el servidor. En tercer lugar los requisitos de software y de la red y los requisitos de puerto del servidor y los dispositivos de la AAA debe ser considerado.

Pgina 23 de 45

Software de terceros Requerimientos Los productos de software que se mencionan en las notas de publicacin son soportados por Cisco para la interoperabilidad. Apoyo a las cuestiones de interoperabilidad con los productos de software que no se mencionan en las notas de publicacin podra ser difcil de alcanzar. La versin ms reciente de las notas de Cisco Secure ACS liberacin se publican en Cisco.com. Tenga en cuenta que en la solicitud de Cisco Secure ACS, un cliente es un router, un switch, firewall, o de concentrador de VPN que utiliza los servicios del servidor. Requisitos de red y puertos La red debe cumplir los requisitos especificados antes de comenzar el despliegue de los administradores de Cisco Secure ACS: Para TACACS + y RADIUS completo apoyo en los dispositivos Cisco IOS, los clientes de la AAA debe ejecutar Cisco IOS versin 11.2 o posterior. Los dispositivos de Cisco que no son clientes de Cisco IOS AAA debe estar configurado con TACACS +, RADIUS, o ambos. Dial-in, VPN, o los clientes inalmbricos deben poder conectarse a los clientes aplicables AAA. El equipo que ejecuta Cisco Secure ACS debe ser capaz de llegar a todos los clientes de la AAA utilizando ping. Los dispositivos de puerta de enlace entre la ACS Seguro de Cisco y otros dispositivos de red debe permitir la comunicacin a travs de los puertos que son necesarios para apoyar la funcin de aplicacin o protocolo. Un navegador web compatible debe estar instalado en el equipo con Cisco Secure ACS. Para la informacin ms reciente acerca de los navegadores probados, ver las notas de la versin para el producto de Cisco Secure ACS en Cisco.com. Todas las NIC en el equipo con Cisco Secure ACS debe estar habilitado. Si hay una tarjeta de red con discapacidad en el equipo con Cisco Secure ACS, la instalacin de Cisco Secure ACS podra proceder lentamente debido a los retrasos causados por el CryptoAPI de Microsoft. Despus de instalar correctamente Cisco Secure ACS, algunos de configuracin inicial debe realizarse. La nica manera de configurar un servidor de Cisco Secure ACS es a travs de un interfaz HTML. Para acceder a la interfaz de Cisco Secure ACS HTML del equipo que est ejecutando Cisco Secure ACS, utiliza el icono de Cisco Secure ACS etiquetados administrador que aparece en el escritorio o introduzca la siguiente URL en un navegador web compatible: http://127.0.0.1: 2002. La ACS Secure Cisco tambin se puede acceder de forma remota despus de una cuenta de usuario administrador est configurado. Para acceder remotamente Cisco Secure ACS, escriba http://direccin_ip [hostname]: 2002. Despus de la conexin inicial, un puerto diferente dinmica de negociacin. La pgina de inicio de Cisco Secure ACS est dividida en marcos. Los botones de la barra de navegacin representan reas o funciones que pueden ser configurados: Configuracin de usuario Grupo de instalacin de Compartido perfil Componentes Configuracin de la red Configuracin del sistema

Pgina 24 de 45

Interfaz de configuracin de Administracin Control Bases de datos de usuarios externos Validacin de Postura Perfiles de acceso a la red Informes y Actividad Documentacin en lnea Si las opciones RADIUS no se muestran, el cliente AAA que usa el protocolo RADIUS se aaden. Adems, la configuracin de la interfaz est directamente afectada por los ajustes en la configuracin de la red.

Antes de configurar un router, un switch o firewall como un cliente de TACACS + o RADIUS, el cliente de la AAA para el servidor debe ser aadido y la direccin IP y la clave de cifrado especificado. La pgina de configuracin de red es donde los clientes AAA son agregados, eliminados, o modificados. Para crear un cliente de la AAA, utilice la pgina de configuracin de red: Paso 1. Haga clic en Network Configuration en la barra de navegacin. La pgina de configuracin de red aparece. Paso 2. En la seccin de Clientes AAA, haga clic en Aadir entrada. Paso 3. Introduzca el nombre de host del cliente en el campo de nombre de host del cliente AAA. Por ejemplo, escriba el nombre del router que ser un cliente de la AAA para el servidor. En la aplicacin de Cisco Secure ACS, un cliente es un router, un switch, firewall, o de concentrador de VPN que utiliza los servicios del servidor. Paso 4. Escriba la direccin IP en el campo AAA Direccin IP del cliente. Paso 5. Introduzca la clave secreta que el cliente utiliza para el cifrado en el mbito de secreto compartido.

Pgina 25 de 45

Paso 6. Elija el protocolo adecuado de la AAA de la autenticacin mediante la lista desplegable. Paso 7. Complete otros parmetros segn sea necesario. Paso 8. Haga clic en Enviar y en Aplicar. Las opciones que estn disponibles en el botn de navegacin de configuracin de interfaz permiten al administrador controlar la visualizacin de las opciones en la interfaz de usuario. Las opciones especficas mostradas dependen de si TACACS + o RADIUS clientes se han aadido al servidor: Datos de usuario de configuracin TACACS + (Cisco IOS) RADIUS (Microsoft) RADIUS (Ascend) RADIUS (IETF) RADIUS (IOS / PIX) Opciones avanzadas El enlace de datos de configuracin de usuario permite a los administradores personalizar los campos que aparecen en la configuracin de usuario y la configuracin de Windows. Los administradores pueden agregar campos, tales como el nmero de telfono, lugar de trabajo, el nombre del supervisor, o cualquier otra informacin pertinente. El TACACS + (Cisco IOS) enlace permite al administrador configurar TACACS + ajustes, as como aadir nuevos TACACS + servicios. Los administradores tambin pueden configurar las opciones avanzadas que afectan a lo que se muestra en la interfaz de usuario.

Pgina 26 de 45

Cisco Secure ACS puede ser configurado para reenviar la autenticacin de los usuarios a una o ms bases de datos de usuarios externos. Soporte para bases de datos de usuarios externos significa que Cisco Secure ACS no requiere entradas de usuario duplicados que se crear en la base de datos de usuario de Cisco Secure. En organizaciones en las que una base de datos de usuario importante ya existe, como un entorno Active Directory, Cisco Secure ACS puede aprovechar el trabajo ya ha invertido en la construccin de la base de datos sin ninguna aportacin adicional. Para la mayora de configuraciones de bases de datos, excepto para bases de datos de Windows, Cisco Secure ACS admite slo un ejemplo de un nombre de usuario y contrasea. Si Cisco Secure ACS est configurado para utilizar bases de datos de mltiples usuarios con nombres de usuario almacenados en comn cada uno, tener cuidado con las configuraciones de base de datos. La primera base de datos para coincidir con las credenciales de autenticacin del usuario es el nico que utiliza Cisco Secure ACS para el usuario. Es por esta razn que se recomienda que haya una sola instancia de un nombre de usuario en todas las bases de datos externas. Utilice el botn de usuario Bases de datos externas para configurar Cisco Secure ACS para acceder a bases de datos externas: Paso 1. Haga clic en el botn de usuario Bases de datos externas de la barra de navegacin. La ventana de usuario Bases de datos externas aparece con los siguientes enlaces: User unknown Poltica - Configura el procedimiento de autenticacin para los usuarios que no se encuentran en la base de datos de Cisco Secure ACS. La base de datos Grupo de Asignaciones - Configura los privilegios de grupo de usuarios lo que la base de datos externa heredar cuando Cisco Secure ACS autentica. En la mayora de los casos, cuando un usuario est autenticado por una base de datos de usuarios externos, de los privilegios reales se obtienen de Cisco Secure ACS y no la base de datos externa. Configuracin de bases de datos - Define los servidores externos que Cisco Secure ACS trabaja. Paso 2. Haga clic en la base de datos de configuracin. La base de datos externa panel de configuracin de usuario aparece, mostrando las siguientes opciones: RSA SecurID Token servidor Token servidor RADIUS

Pgina 27 de 45

Exteriores base de datos ODBC Base de datos de Windows LEAP proxy servidor RADIUS Genrico LDAP Paso 3. Para utilizar la base de datos de Windows como una base de datos externa, haga clic en la base de datos de Windows. El usuario de Windows externos panel de configuracin de base de datos aparece. La configuracin de Windows externa base de datos tiene ms opciones que otras formaciones de base de datos externa. Debido a que Cisco Secure ACS es nativo del sistema operativo Windows, los administradores pueden configurar la funcionalidad adicional en el exterior de Windows panel de configuracin de usuario de base de datos. Paso 4. Para configurar la funcionalidad de base de datos adicionales de Windows, haga clic en Configurar en el panel exterior de usuario de base de datos de configuracin. La base de datos de usuario de Windows ventana de configuracin aparece. Paso 5. Si hay ms control sobre quin es capaz de autenticar a la red es necesario, la opcin de permiso Dialin tambin se puede configurar. En la seccin de permisos Dialin, compruebe el Compruebe que el "permiso Dialin subvencin al usuario" ha sido activada desde el Administrador de usuarios para los usuarios de Windows configurado para el usuario de Windows casilla de verificacin de autenticacin de base de datos. Tambin asegrese de que el permiso de Dialin subvencin casilla de verificacin est activada en el perfil de los usuarios de Windows en Windows Manager. La opcin de permisos Dialin de Cisco Secure ACS se aplica a algo ms que las conexiones de acceso telefnico. Si un usuario tiene esta opcin activada, se aplica a cualquier acceso que el usuario intenta hacer. Otra opcin que se puede configurar mediante la base de datos de Windows es el mapeo de bases de datos externas a los dominios. Mapping permite a un administrador tienen el mismo nombre de usuario a travs de dominios diferentes, todos con contraseas diferentes.

Pgina 28 de 45

3.3.3.5 Configuracin grupo de Usuarios cisco ACS Despus de Cisco Secure ACS est configurado para comunicarse con una base de datos de usuarios externos, puede ser configurado para autenticar a los usuarios con la base de datos de usuarios externos en una de dos maneras: Por la asignacin de usuarios especficos - los usuarios de autenticacin especficos, con una base de datos de usuarios externos. Por la poltica de usuario desconocido - Use una base de datos externa para autenticar a los usuarios que no se encuentran en la base de datos de usuario de Cisco Secure. Este mtodo no requiere a los administradores definir los usuarios en la base de datos del usuario de Cisco Secure. Usar la Bases de datos externas de usuario a configurar la directiva de usuario desconocido: Paso 1. En la barra de navegacin, haga clic en Usuario Externo bases de datos. Paso 2. Desconocido Haga clic en la poltica de usuario. Paso 3. Permitir que la poltica usuario desconocido marcando la casilla en la seccin de usuario desconocido Poltica. Paso 4. Para cada base de datos que los administradores desean Cisco Secure ACS para utilizar cuando se intenta autenticar a los usuarios desconocidos, seleccione la base de datos en la lista de bases de datos externos y haga clic en el botn de flecha derecha para moverla a la lista de bases de datos seleccionadas. Para eliminar una base de datos de la lista de bases de datos seleccionadas, seleccione la base de datos y, a continuacin, haga clic en el botn de flecha izquierda para volver a la lista de bases de datos externas. Paso 5. Para asignar el orden en que Cisco Secure ACS controles las bases de datos externos seleccionados al intentar autenticar un usuario desconocido, haga clic en un nombre de base de datos en la lista de bases de datos seleccionadas y haga clic arriba o hacia abajo para moverlo a la posicin deseada. Coloque la base de datos que tienen ms probabilidades de

Pgina 29 de 45

autenticar a los usuarios desconocidos en la parte superior de la lista. Paso 6. Haga clic en Enviar.

Despus de un usuario se autentica a una base de datos externa, la autorizacin que se lleva a cabo es determinado por Cisco Secure ACS. Esto puede complicar las cosas, porque los usuarios que se autentican mediante un servidor de Windows puede requerir la autorizacin diferente a los usuarios que se autentican por el servidor LDAP. Debido a esta necesidad potencial de autorizaciones diferentes, lugar que los usuarios son autenticados por el servidor de Windows en un grupo y que los usuarios son autenticados por el servidor LDAP en otro grupo. Para ello, las asignaciones de uso de base de datos de grupo. Asignaciones de grupos de base de datos permitir a los administradores asignar un servidor de autenticacin, tales como LDAP, Windows, ODBC, y as sucesivamente, a un grupo que se ha configurado en Cisco Secure ACS. Para algunas bases de datos, un usuario puede pertenecer a un solo grupo. Para otras bases de datos, tales como LDAP y Windows, soporte para la asignacin de grupos externos por grupo de miembros de base de datos es posible. Una de las cosas que se pueden configurar en una configuracin de grupo es por autorizacin del grupo de comandos, que utiliza Cisco Secure ACS para autorizar que los comandos del router a los usuarios que pertenecen a un grupo puede ejecutar. Por ejemplo, un grupo puede ser permitido ejecutar cualquier comando router excepto show running-config. Paso 1. Haga clic en configuracin de los grupos en la barra de navegacin. Paso 2. Elija el grupo para editar, el Grupo predeterminado, por ejemplo, y haga clic en Editar configuracin. Paso 3. Permiso Haga clic en el incomparable opcin de comandos de Cisco IOS. Paso 4. Marque la casilla de comandos y escriba muestran en el cuadro de texto. En el cuadro de texto Argumentos, escriba niegan running-config. Paso 5. Para la opcin de argumentos incluidos en la lista, haga clic en Permitir.

Pgina 30 de 45

Agregar una cuenta de usuario y la configuracin de acceso de los usuarios es una tarea crtica para Cisco Secure ACS: Paso 1. Haga clic en Configuracin de usuario en la barra de navegacin. Paso 2. Introduzca un nombre de usuario en el campo de usuario y haga clic en Agregar o Editar. Paso 3. En el panel de edicin, introduzca los datos en los campos para definir la cuenta de usuario. Algunos de los campos necesarios son probablemente los campos de usuario contrasea, TACACS + permiten el control, TACACS + permitir la contrasea, y TACACS + comandos de shell autorizado. Paso 4. Haga clic en Enviar. Si hay propiedades de usuario necesario que usted no ve, compruebe la configuracin de la interfaz. Para modificar la interfaz de usuario, seleccione Configuracin de la interfaz> Datos de usuario de configuracin.

Pgina 31 de 45

3.4.1 Configurando un servidor basado en AAA en CLI A diferencia de local AAA de autenticacin, basado en el servidor AAA debe identificar diversas TACACS + y servidores RADIUS que el servicio de AAA debe consultar al autenticar y autorizar a los usuarios. Hay algunos pasos bsicos para configurar el servidor de autenticacin basada en: Paso 1. A nivel mundial permitir AAA para permitir el uso de todos los elementos de AAA. Este paso es un requisito previo para todos los dems comandos AAA. Paso 2. Especifique el Secure ACS de Cisco, que prestar servicios de la AAA para el router. Esto puede ser un TACACS + o un servidor RADIUS. Paso 3. Configurar la clave de cifrado necesaria para cifrar la transmisin de datos entre el servidor de acceso de red y Cisco Secure ACS. Paso 4. Configurar el mtodo de autenticacin AAA lista para referirse a la TACACS + o un servidor RADIUS. Para la redundancia, es posible configurar ms de un servidor.

Pgina 32 de 45

Configurar un TACACS + de servidor y de claves de cifrado Para configurar un servidor TACACS +, utilice el comando tacacs-server host ip-address single-connection La palabra single-connection en TCP mejora el rendimiento mediante el mantenimiento de una conexin TCP nico para la vida de la sesin. De lo contrario, por defecto, una conexin TCP se abre y se cierra para cada sesin. Si es necesario, TACACS + mltiples servidores pueden identificarse introduciendo su direccin IP respectivo utilizando el comando tacacsserver host. A continuacin, utilizar el comando tacacs-server key key para configurar la clave secreta compartida para cifrar la transferencia de datos entre el servidor TACACS + y AAA-enabled router. Esta clave debe ser configurado exactamente el mismo en el router y el servidor TACACS +. Configurar un servidor RADIUS y clave de cifrado Para configurar un servidor RADIUS, use el comando radius-server host ip-address. Debido RADIUS utiliza UDP, no hay un equivalente de palabras clave de conexin nico. Si es necesario, varios servidores RADIUS pueden ser identificados mediante la introduccin del comando radius-server host para cada servidor. Para configurar la clave secreta compartida para el cifrado de la contrasea, utiliza el comando radius-server key key . Esta clave debe ser configurada exactamente de la mismo router y el servidor RADIUS. Configurar la autenticacin para utilizar el servidor AAA Cuando los servidores de seguridad AAA han sido identificados, los servidores deben ser incluidos en la lista de mtodos con el comando aaa authentication login . Servidores AAA se identifican con el grupo de TACACS + o palabras clave del grupo de radio. Por ejemplo, para configurar una lista de mtodos para el inicio de sesin predeterminado para autenticar usando un servidor RADIUS, un servidor TACACS + o un nombre de usuario de base de datos local, utilice el comando aaa authentication login default group radius group tacacs+ local-case.

Pgina 33 de 45

3.4.2 Configurando un servidor basado en AAA en SDM Si se utiliza SDM para TACACS + de apoyo, es necesario especificar una lista de servidores disponibles de Cisco Secure ACS que proporcionan los servicios de TACACS + para el router: Paso 1. En la pgina de inicio de Cisco SDM, seleccione Configuracin> Tareas adicionales> AAA> Servidores AAA y Grupos> Servidores AAA. Paso 2. Desde el panel de servidores AAA, haga clic en Agregar. La ventana Aadir AAA Server aparece. Elija TACACS + en el cuadro de lista Tipo de servidor. Paso 3. Escriba la direccin IP o nombre de host del servidor de AAA en la IP del servidor o en el campo de acogida. Si el router no se ha configurado para utilizar un servidor DNS, introduzca

Pgina 34 de 45

un servidor DNS la direccin IP. Paso 4. El router puede ser configurado para mantener una conexin abierta con el nico servidor TACACS + en lugar de abrir y cerrar una conexin TCP cada vez que se comunica con el servidor. Para ello, compruebe la conexin individual a la casilla de verificacin Servidor. Paso 5. Para anular la configuracin del servidor AAA global y especificar un valor de tiempo de espera del servidor especfico en el servidor de seccin de configuracin especfica, introduzca un valor en el tiempo de espera (segundos) sobre el terreno. Este campo determina el tiempo que el router espera de una respuesta de este servidor antes de pasar al siguiente servidor de la lista de grupos. Si un valor no se escribe, el router utiliza el valor que se configura en la ventana de Configuracin global de servidores AAA. El valor predeterminado es de cinco segundos. Paso 6. Para configurar un servidor de clave especfica, marque la casilla Configurar nmero de verificacin e introduzca la clave que se utiliza para cifrar el trfico entre el router y el servidor en el campo de la nueva llave. Vuelva a introducir la clave en el campo Confirmar clave de confirmacin. Si esta opcin no est activada y el valor no se escribe, el router utiliza el valor que se configura en la ventana de Configuracin global de servidores AAA. Paso 7. Haga clic en Aceptar. Un ejemplo del comando CLI que Cisco SDM generara basada en un servidor TACACS + en la direccin IP 10.0.1.1 y TACACS + clave Pa55w0rd tacacs-server host 10.0.1.1 key TACACS+Pa55w0rd.

Despus de la AAA es habilitado y el TACACS + servidores estn configurados, el router puede ser configurado para utilizar el servidor de Cisco Secure ACS para autenticar el acceso del usuario al router. Para configurar el router para utilizar el servidor de Cisco Secure ACS para la autenticacin de acceso, definidos por el usuario login lista mtodo de autenticacin se debe crear, o la lista de mtodos por defecto debe ser editado. Tenga en cuenta, la lista de mtodos por defecto se aplica automticamente a todas las interfaces y las lneas, excepto aquellos que tienen una lista definida por el usuario de forma explcita el mtodo aplicado. El administrador puede utilizar Cisco SDM para configurar una definida por el usuario login lista de mtodo de autenticacin:

Pgina 35 de 45

Paso 1. En la pgina de inicio de Cisco SDM, seleccione Configuracin> Tareas adicionales> AAA> polticas de autenticacin> Iniciar sesin. Paso 2. Desde el panel de inicio de sesin de autenticacin, haga clic en Agregar. Paso 3. Para crear un nuevo mtodo de autenticacin de inicio de sesin, seleccione Definido por el usuario en la lista desplegable Nombre de lista. Paso 4. Introduzca el nombre de mtodo de autenticacin de inicio de sesin en el campo de la lista Especifique, por ejemplo TACACS_SERVER. Paso 5. Haga clic en Agregar para definir los mtodos que utiliza esta poltica. La lista de seleccin Mtodo (s) para la autenticacin de la ventana de ingreso. Paso 6. Elija group TACACS + de la lista de mtodos. Paso 7. Haga clic en Aceptar para aadir el grupo de TACACS + para la lista de mtodos y volver a la opcin Aadir una lista de mtodos de autenticacin ventana de inicio. Paso 8. Haga clic en Agregar para agregar un mtodo de respaldo a esta poltica. La lista de seleccin Mtodo (s) para la autenticacin de la ventana de ingreso. Paso 9. Elige Activar en la lista de mtodos para utilizar la contrasea de habilitacin como el mtodo de copia de seguridad de inicio de sesin de autenticacin. Paso 10. Haga clic en Aceptar para agregar permitir a la lista de mtodos y volver a la opcin Aadir una lista de mtodos de autenticacin de ventana de inicio. Paso 11. Haga clic en Aceptar para agregar el mtodo de autenticacin de la lista de inicio de sesin y volver a la pantalla de inicio de sesin de autenticacin. El resultado de comando CLI que Cisco SDM genera aaa authentication login TACACS_SERVER group tacacs+ enable. Una vez creadas las listas de autenticacin de inicio de sesin mtodo, se aplican las listas a las lneas y las interfaces en el router. SDM se pueden utilizar para aplicar una poltica de autenticacin a una lnea de router: Paso 1. Elija Configurar> Tareas adicionales> Router de acceso> vty. Paso 2. Desde la ventana de lneas vty, haga clic en el botn Editar para realizar cambios en las lneas vty. Edicin de lneas vty aparece la ventana. Paso 3. En el cuadro de la lista poltica de autenticacin, elija la poltica de autenticacin que se aplican a las lneas vty. Por ejemplo, la aplicacin de la poltica de autenticacin con nombre TACACS_SERVER a las lneas vty 0 a 4 resultados con el comando login authentication TACACS_SERVER CLI. La CLI tambin se puede utilizar para aplicar una poltica de autenticacin para las lneas o las interfaces el comando login authentication {default | list-name} en modo de lnea de configuracin o el modo de configuracin de la interfaz.

Pgina 36 de 45

3.4.3 Troubleshooting Server Basado en autenticacin AAA Cuando se habilita la AAA, a menudo es necesario para controlar el trfico de autenticacin y resolver problemas de configuraciones. El comando debug aaa authentication es un comando til de solucin de problemas, ya que proporciona una vista de alto nivel de actividad de inicio de sesin. El comando indica un mensaje de estado de PASS cuando un TACACS + intento de conexin es exitosa. Si el mensaje de estado devuelto es FAIL, compruebe la clave secreta.

Dos servidores de gran utilidad otros comandos basados en la solucin de problemas incluyen la AAA debug tacacs y el comando debug radius. Estos comandos se pueden utilizar para proporcionar informacin ms detallada AAA depuracin. Para desactivar la salida de depuracin, utilize la forma no de estos comandos. Similar que el comando debug aaa authentication, la debug tacacs tambin indica los mensajes de estado de aprobacin o no. Para ver todos los mensajes de TACACS + utiliza el comando debug tacacs. Para acotar la bsqueda y mostrar la informacin del proceso de TACACS + ayudante, utilice el comando

Pgina 37 de 45

debug tacacs events en modo EXEC privilegiado. El comando debug tacacs events muestra los eventos de apertura y cierre de una conexin TCP con un servidor TACACS +, los bytes ledos y escritos sobre la conexin, y el estado de la conexin TCP. Utilice el comando debug tacacs events con precaucin, porque puede generar una cantidad considerable de la produccin. Para desactivar la salida de depuracin, utiliza el formulario no de este comando.

Pgina 38 de 45

3.5.1 Configurando Server-Basado en Autorizaron AAA. Mientras que la autenticacin se ocupa de asegurar que el dispositivo o usuario final es como se afirma, la autorizacin se refiere a permitir y no permitir a los usuarios autenticados acceso a ciertas reas y programas en la red. TACACS + El protocolo permite la separacin de la autenticacin de la autorizacin. Un router puede ser configurado para restringir al usuario a realizar slo determinadas funciones despus de la autenticacin exitosa. La autorizacin puede ser configurado para el modo de caracteres (ejecutivo de la autorizacin) y el modo de paquete (autorizacin de red). Tenga en cuenta que RADIUS no separa la autenticacin del proceso de autorizacin. Otro aspecto importante de la autorizacin es la capacidad de control de acceso del usuario a los servicios especficos. Controlar el acceso a los comandos de configuracin simplifica enormemente la seguridad de la infraestructura en las redes de grandes empresas. Por los permisos de usuario en el Cisco Secure ACS simplificar la configuracin de dispositivos de red. Por ejemplo, un usuario autorizado puede permitir acceder al comando show version, pero no el comando configure terminal. Las consultas del Router por ACS de permiso para ejecutar los comandos en nombre del usuario. Cuando el usuario emite el comando show version, la ACS enva una respuesta ACCEPT. Si el usuario emite un comando configure terminal, la ACS enva una respuesta RECHAZO. TACACS + por defecto establece una sesin TCP nueva por cada solicitud de autorizacin, que puede dar lugar a retrasos cuando los usuarios escriben comandos. Cisco Secure ACS apoya sesiones TCP persistentes para mejorar el rendimiento. Para configurar la autorizacin de comandos, utilice el comando aaa authorization {network | exec | commands level} {default | list-name} method1...[method4]. El tipo de servicio puede especificar los tipos de comandos o servicios: commands level for exec (shell) commands exec for starting an exec (shell) network for network services (PPP, SLIP, ARAP)

Pgina 39 de 45

Cuando la autorizacin de la AAA no est habilitado, todos los usuarios se les permite el pleno acceso. Despus se inicia la autenticacin, los cambios por defecto a no permitir el acceso. Esto significa que el administrador debe crear un usuario con derechos de acceso antes de que se permiti la autorizacin. Si no lo hace inmediatamente bloquea el administrador del sistema el momento en el comando aaa authorization es introducido. La nica manera de recuperarse de esto es para reiniciar el router. Si esto es un router de produccin, reiniciar podra ser inaceptable. Asegrese de que al menos un usuario siempre tiene todos los derechos.

Pgina 40 de 45

Para configurar el router para utilizar el servidor de Cisco Secure ACS para la autorizacin, crear un usuario definiendo la lista del mtodo de autorizacin o editar la lista predeterminada de mtodo de autorizacin. El mtodo de autorizacin por defecto se aplica automticamente a todas las interfaces excepto los que tienen una definida por el usuario la lista de mtodos de autorizacin de forma explcita aplicado. Si un usuario define una lista de mtodo de autorizacin anula la lista de mtodo de autorizacin por defecto. Cisco SDM se puede utilizar para configurar la lista de autorizaciones mtodo por defecto para el modo de caracteres (EXEC) de acceso: Paso 1. En la pgina de inicio de Cisco SDM, seleccione Configuraci n> Tareas adicionales> AAA> Polticas de Autorizacin> Exec. Paso 2. Desde el panel de Autorizacin Exec, haga clic en Agregar. Paso 3. Del Aadir una lista de mtodos para Exec ventana Autorizacin, seleccione por defecto en el desplegable Nombre de lista. Paso 4. Haga clic en Agregar para definir los mtodos que utiliza esta poltica. Paso 5. En la lista seleccione Mtodo (s) para Exec ventana de Autorizacin, elija TACACS + grupo de la lista de mtodos. Paso 6. Haga clic en Aceptar para regresar a la opcin Aadir una lista de mtodos para Exec ventana Autorizacin. Paso 7. Haga clic en Aceptar para volver al panel de Autorizacin Exec. El resultado de comando CLI que Cisco SDM genera es la autorizacin AAA TACACS + grupo por defecto Exec.

El SDM tambin se puede utilizar para configurar la lista de autorizaciones mtodo por defecto para el modo de paquete (de red):

Pgina 41 de 45

Paso 1. En la pgina de inicio de Cisco SDM, seleccione Configuracin> Tareas adicionales> AAA> Polticas de Autorizacin> Network. Paso 2. Desde el panel de Autorizacin de red, haga clic en Agregar. Paso 3. De la Aadir una lista de mtodos para la Red de la ventana de Autorizacin, seleccione por defecto en el desplegable Nombre de lista. Paso 4. Haga clic en Agregar para definir los mtodos que utiliza esta poltica. Paso 5. En la lista seleccione Mtodo (s) de la ventana de Autorizacin de red, seleccione TACACS + grupo de la lista de mtodos. Paso 6. Haga clic en Aceptar para regresar a la opcin Aadir una lista de mtodos para la Red de la ventana de autorizacin. Paso 7. Haga clic en Aceptar para volver al panel de Autorizacin de red. El resultado de comando CLI que Cisco SDM genera es aaa authorization network default group tacacs+.

3.5.2 Configurando Server-Basado en contabilidad AAA. A veces una empresa quiere hacer un seguimiento de los recursos que los individuos o grupos de uso. Ejemplos de esto incluyen cuando un departamento de los cargos de otros departamentos para el acceso, o de una compaa proporciona apoyo interno a otra empresa. Contabilidad AAA ofrece la posibilidad de rastrear el uso, tales como acceso telefnico, en el registro de los datos recogidos a una base de datos, y producir informes sobre los datos recogidos.

Pgina 42 de 45

Aunque la contabilidad es generalmente considerado un problema de gestin de red o la gestin financiera, se discute brevemente aqu porque est muy estrechamente vinculada con la seguridad. Una de las cuestiones de seguridad que se ocupa de la contabilidad es la creacin de una lista de usuarios y la hora del da que marc en el sistema. Si, por ejemplo, el administrador sabe que un trabajador inicia una sesin en el sistema en la mitad de la noche, esta informacin puede ser utilizada para investigar los efectos de la sesin. Otra razn por la aplicacin de la contabilidad es la de crear una lista de cambios que se producen en la red, que hizo los cambios, y la naturaleza exacta de los cambios. Conocer esta informacin ayuda en el proceso de solucin de problemas si los cambios de producir resultados inesperados. Cisco Secure ACS acta como un repositorio central de informacin contable, en esencia, el seguimiento de los eventos que ocurren en la red. Cada sesin que se establece a travs de Cisco Secure ACS puede ser plenamente en cuenta y se almacena en el servidor. Esta informacin almacenada puede ser muy til para la gestin, las auditoras de seguridad, planificacin de capacidad, y la facturacin de uso de la red. Como mtodo de autenticacin y autorizacin de las listas, listas de mtodo para la contabilidad de definir la manera como se realiza la contabilidad y la secuencia en que se llevan a cabo estos mtodos. Despus est habilitado, la lista predeterminada de contabilidad mtodo se aplica automticamente a todas las interfaces, excepto aquellos que tienen una lista de mtodos de contabilidad llamado explcitamente definido.

Para configurar contabilidad AAA use el comando aaa accounting { network | exec | connection} {default | list-name} {start-stop | stop-only | none} [broadcast] method1... [method4]. Los parametros network, exec y connection se utilizan palabras clave. Al igual que con la autenticacin de la AAA, o bien se utiliza el valor predeterminado de palabra clave o una lista de nombre. A continuacin, el tipo de registro, o de activacin, est configurado. El disparador especifica

Pgina 43 de 45

qu acciones hacen que los registros contables a ser actualizado. Posibles factores desencadenantes son none, start-stop, stop-only. Por ejemplo, para registrar el uso de sesiones EXEC y conexiones de red, utilice los comandos de configuracin global.

Pgina 44 de 45

R1(config)# aaa accounting exec default start-stop group tacacs+ R1(config)# aaa accounting network default start-stop group tacacs+

Pgina 45 de 45