Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Configuracion ACS AAA 1

    Enviado por

    alexfcn2007
    37 visualizações3 páginas

    Título original

    Configuracion ACS AAA 1.docx

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    37 visualizações3 páginas

    Configuracion ACS AAA 1

    Enviado por

    alexfcn2007

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 3

    Configurando AAA en un router

    Enviado por K-nbora Bufete Tecnolgico en networking



    1. Las funciones y la importancia de AAA.
    Autenticacin: comprueba que los usuarios y administradores sean quienes dicen ser.
    Autorizacin: despus de la autenticar al usuario o al administrador, decide a qu recursos puede
    acceder o qu operaciones puede realizar.
    Registro (Accounting and Auditing): guarda el instante temporal en el que se efectuan las
    operaciones y acceden a los recursos.
    2. Los tres mtodos para implementar AAA.
    Los usuarios pueden acceder a la LAN de la empresa a travs de marcacin (NAS) o travs de una VPN
    (router, ASA). Los administradores pueden acceder a los dispositivos de red a travs del puerto consola, el
    puerto auxiliar o las vty.
    Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD remotas. Con
    BBDD remotas podemos centralizar la gestin de AAA de varios dispositivos de red.
    Los tres mtodos de implementar AAA son:
    Localmente: en un router o un NAS.
    En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft Windows Server
    permitiendo la comunicacin con routers y NAS.
    En un ACS de Cisco por hardware: servidor hardware dedicado que permite la comunicacin con
    routers y NAS.
    3. Mtodos de autenticacin remota.

    Existen dos mtodos para autenticar usuarios remotos; autenticacin local o remota.
    Autenticacin local
    Consiste en autenticar directamente en el router o el NAS los nombres de usuario y su contraseas. Esta
    recomendado para pequeas redes y no requiere BBDD externas.
    La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el
    nombre de usuario y la contrasea, el usuario responde, el router comprueba los datos, acepta o deniega el
    acceso y comunica el veredicto al usuario.
    Autenticacin remota
    El problema de la autenticacin local es la escalabilidad. Uno o varios ACS (por software o hardware) pueden
    gestionar toda la autenticacin de todos los dispositivos de red. La comunicacin entre estos dispositivos y los
    ACS utilizan los siguientes protocolos: TACACS+ o RADIUS.

    La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el
    nombre de usuario y la contrasea, el usuario responde, el router reenva los datos al ACS, el ACS comprueba
    los datos y acepta o deniega el acceso, finalmente el ACS comunica el veredicto al router y este al usuario.

    4. Los protocolos TACACS+ y RADIUS.

    El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es ms seguro pero RADIUS tiene mejor
    Accounting y una mejor interfaz de programacin.
    El ACS permite gestionar los siguientes accesos:
    Marcacin contra un router o un NAS.
    Puertos consola, puertos auxiliares y vtys de dispositivos de red.
    ASAs (Adaptative Security Appliance).
    Concentradores VPN serie 300 (slo RADIUS).
    Algunas tarjetas de testigo (token cards) y servidores
    5. Los niveles de seguridad de los mtodos de autenticacin.
    Sin usuario y contrasea: un atacante slo debera encontrar el dispositivo y tratar de acceder al
    mismo. Una manera de asegurarlo sera que el servicio escuchar un puerto diferente.
    Con usuario y contrasea y sin caducidad: el administrador decide cuando cambiar la contrasea.
    Este mtodo es vulnerable a ataques de repeticin, fuerza bruta, robo y inspeccin de los paquetes.
    Con usuario y contrasea y con caducidad: cada x tiempo el administrador es forzado a cambiar su
    contrasea. Este mtodo tiene las mismas vulnerabilidades pero el tiempo para comprometer el
    equipo por fuerza bruta es menor.
    OTPs: es ms seguro que los anteriores ya que la contrasea enviada solo tiene validez una vez, es
    decir, en el momento de ser interceptada por el atacante la contrasea caduca. S/Key es una
    implementacin de OTP que genera un listado de contraseas a partir de una palabra secreta.
    Tarjetas de testigo por software y por hardware: est basado en la autenticacin de doble factor;
    algo que el usuario tiene (token card) y algo que el usuario sabe (token card PIN). Existen dos tipos:
    basados en tiempo; F(clave_criptogrfica,PIN) = OTP o basados en desafos;
    F(desafo,clave_criptogrfica) = OTP.
    6. Protocolos de autenticacin PPP.

    PPP soporta autenticacin PAP, CHAP y MS-CHAP.
    PAP utiliza un intercambio de dos vas; el autenticador solicita las credenciales y el usuario las enva en texto
    claro. El intercambio se produce despus de establecer el enlace PPP.
    CHAP utiliza un intercambio de tres vas; despus de establecer el enlace, el autenticador enva un desafo al
    dispositivo del usuario, este responde con un hash; F(desafo,palabra_secreta) = hash, el autenticador
    comprueba que el hash recibido coincida con su hash calculado. Este intercambio de tres vas se repite
    periodicamente (controlado por el autenticador) durante la comunicacin y evita ataques de repeticin.
    MS-CHAP es la versin CHAP de Microsoft.

    7. Configurar AAA en un router.

    Primero, habilitamos el modelo AAA, aadimos un usuario local y definimos que la autenticacin de acceso
    remoto sea local.
    Router(config)#aaa new-model
    Router(config)#username tracker secret ccsp
    Router(config)#aaa authentication login default local
    Ahora no tenemos problemas para acceder de nuevo al router o NAS en el caso de perder la comunicacin
    (SSH).

    Despus, definimos los mtodos de autenticacin para login (acceso al router), ppp y enable (acceso al nivel
    privilegiado) y los aplicamos a nivel de lnea o interfaz:
    Router(config)#aaa authentication login default enable
    Router(config)#enable secret cisco
    Router(config)#aaa authentication login consola local
    Router(config)#line console 0
    Router(config-line)#login authentication consola
    Router(config)#aaa authentication login vty line
    Router(config)#line vty 0 4
    Router(config-line)#password 123telnet
    Router(config-line)#login authentication vty
    Router(config-line)#end
    Router#exit
    Router con0 is now available
    Press RETURN to get started.
    User Access Verification
    Username: tracker
    Password: ccsp
    Router>

    R1#Router
    Trying Router (192.168.0.1)... Open
    User Access Verification
    Password: 123telnet
    Router>enable
    Password: cisco
    Router#
    En los comandos de arriba, hemos definido que para acceder al router se tiene que utilizar por defecto
    (default) la contrasea 'enable secret', que para acceder por consola se tiene que utilizar un nombre de
    usuario y contrasea locales (tracker:ccsp) y para acceder por telnet necesitamos la contrasea en lnea
    123telnet. Las listas de autenticacin particulas (consola y vty) cuando se aplican a lneas (vty, console, aux) o
    interfaces tiene preferencia sobre la autenticacin por defecto (default).

    Ahora definimos una lista de autenticacin PPP por defecto (default) y una particular (marcacion) que
    aplicamos:
    Router(config)#aaa authentication ppp default local
    Router(config)#aaa authentication ppp marcacion group tacacs+ local-case
    Router(config)#interface serial 0/0
    Router(config-if)#ppp authentication chap marcacion
    Arriba hemos definido que la autenticacin PPP por defecto sea local y que la autenticacin PPP particular
    (marcacin) sea con TACACS+ y si falla sea local teniendo en cuenta maysculas/minsculas.

    Finalmente definiremos que la autenticacin enable por defecto mire primero el grupo RADIUS y luego la
    contrasea 'enable secret':
    Router(config)#aaa authentication enable default group radius enable
    Ahora veremos unos ejemplos de autorizacin y registro (accounting):
    Router(config)#aaa authorization commands 15 default local
    Router(config)#aaa authorization network netop local
    Router(config)#aaa accounting commands 15 default stop-only group tacacs+
    El primero comando autoriza localmente la ejecucin de los comandos de nivel 15 utilizando la lista por
    defecto (default). El segundo autoriza localmente algunos servicios de red utilizando una lista particular
    (netop). El tercero registra remotamente los comandos de nivel 15 utilizando TACACS+ para la lista por
    defecto.

    8. Solucionar problemas AAA en un router.
    Router#debug aaa authentication
    Router#debug aaa authorization
    Router#debug aaa accounting
    9. Configurar AAA utilizando Cisco SDM.

    AAA tambin puede ser configurado desde SDM. Para ello utilizamos el comando
    aaa new-model
    y elegimos en el SDM 'Tareas Adicionales > AAA'. Aparecer un pantalla para listar, editar y borrar mtodos de
    autenticacin en el router.

    Você também pode gostar