Tutorial AAA TACACS + e RADIUS

18 de outubro de 2018Vá para comentários

Hoje em dia, a segurança desempenha um papel importante em uma empresa. Sem qualquer
implementação de solução de segurança em nossa rede, um usuário pode simplesmente “plug and
play” em nossa rede. O usuário pode simplesmente escolher um endereço IP válido ou ser atribuído a
um automaticamente via DHCP. É conveniente, mas não é uma boa maneira se sua rede contiver
dados confidenciais. Pior ainda, esse usuário pode ter todos os direitos sobre a sua rede para que ele
possa fazer coisas perigosas.

Quando sua empresa fica cada vez maior, chega o momento em que você precisa considerar a
implementação de segurança em sua rede. Existem muitas maneiras de proteger uma rede, mas AAA
oferece uma solução completa. Neste tutorial, vamos descobrir mais sobre esse recurso de segurança.

Antes de mergulhar no AAA, vamos dar um exemplo de um usuário que deseja se conectar à nossa
rede.

Este processo usa um login e senha na linha de acesso. Embora seja muito fácil de implementar, há
muitas desvantagens de usar este método:
+ Método de login inseguro
+ Vulnerável a ataques de força bruta
+ Sem responsabilidade
+ Deve ser configurado em cada dispositivo manualmente
+ Armazene nomes de usuário e senhas localmente em cada dispositivo
+ Não é possível limitar quais comandos específicos não são usados

Com AAA, agora o processo de um usuário se conectando à nossa rede é mostrado abaixo:
Cada ação que os usuários fazem deve ser submetida ao servidor AAA para determinar se eles são
permitidos ou não. Este processo tem muitas vantagens:
+ Login seguro (o servidor AAA não é exposto aos usuários e apenas alguns protocolos podem ser
enviados inicialmente)
+ Gerenciamento fácil em um ou alguns servidores centralizados
+ Firewalls ou outros dispositivos de segurança podem ser colocados antes dos servidores AAA
protegê-los
+ Pode aceitar ou rejeitar comandos específicos
+ Cada comando digitado pelos usuários pode ser registrado para análise posterior

Desvantagens:
+ Requer servidor poderoso (para lidar com todo o tráfego e solicitações)

AAA significa Autenticação, Autorização e Contabilidade.

+ Autenticação: Especifique quem você é (geralmente por meio de nome de usuário e senha de

login)
+ Autorização : Especifique quais ações você pode fazer, quais recursos você pode acessar
+ Contabilidade : Monitore o que você faz, por quanto tempo você faz (pode ser usado para
faturamento e auditoria)

Um exemplo de AAA é mostrado abaixo:

+ Autenticação: “Sou um usuário normal. Meu nome de usuário / senha é user_tom /

learnforever “
+ Autorização :“ user_tom pode acessar o servidor LearnCCNA via HTTP e FTP “
+ Contabilidade :“ user_tom acessou o servidor LearnCCNA por 2 horas “. Este usuário usa
apenas comandos “show”.

Com AAA, os usuários devem se autenticar antes de obter um endereço IP para acessar a rede. Caso
contrário, eles podem usar apenas protocolos específicos para continuar a autenticação
Para autenticação, podemos fazer via banco de dados local, padrão 802.1x (que foi desenvolvido para
fornecer um método para autenticar dispositivos que tentam acessar uma porta de switch / LAN) ou
via servidores AAA remotos. Existem dois protocolos AAA cliente / servidor populares para a
comunicação entre servidores AAA remotos e dispositivos de autenticação:

+ RADIUS (Serviço de usuário de discagem de autenticação remota)

+ TACACS + (Sistema de controle de acesso ao controlador de acesso ao terminal)

A comparação de dois protocolos está listada abaixo:

  RAIO TACACS +

Transporte e Porta UDP 1812/1645 Porta TCP 49

portos (autenticação)
1813/1646 (contabilidade)

Encriptação apenas senhas carga útil inteira de cada pacote

(deixando apenas o cabeçalho
TACACS + em texto não
criptografado)

Padrões Padrão aberto Propriedade da Cisco (mas na

verdade agora é um padrão aberto
definido pela RFC1492 )

Operação Autenticação e autorização são autenticação, autorização e

combinadas em uma função contabilidade são separadas
(pacote)

Exploração Sem registro de comando Registro completo de comandos

madeireira (comandos digitados por usuários
podem ser registrados nos servidores)

Nota:
+ RADIUS é um protocolo muito antigo (criado por volta do início de 1990) e foi originalmente
projetado para conexões de modem discado. Nos velhos tempos, a segurança não era uma grande
preocupação, então o RADIUS criptografava apenas as informações de autenticação (senhas) ao longo
do caminho de tráfego.
+ TACACS + é uma versão mais recente do TACAS e do XTACAS. É a resposta da Cisco ao RADIUS.
+ Ambos RADIUS e TACACS + suportam Extensible Authentication Protocol (EAP), que é uma
estrutura de autenticação freqüentemente usada em redes sem fio e conexões ponto a ponto
+ Ambos TACACS + e RADIUS podem ser executados em servidores Windows ou Unix / Linux
+ O TACACS + separa as etapas de autenticação, autorização e contabilidade. Essa arquitetura
permite soluções de autenticação separadas enquanto ainda usa o TACACS + para autorização e
contabilidade.
+ A autenticação e a autorização não são separadas em uma transação RADIUS. Quando a solicitação
de autenticação é enviada a um servidor AAA, o cliente AAA espera que o resultado da autorização
seja enviado de volta em resposta.
+ TACACS + suporta autorização de nível de acesso para comandos. Isso significa que você pode
atribuir níveis de privilégio quando um usuário fizer login com êxito.

Na próxima parte, aprenderemos como configurar o AAA.

Configuração AAA

As seguintes etapas são necessárias para configurar o AAA:

1. Habilite o “novo modelo” de AAA.

2. Configure o (s) servidor (es) a serem usados para AAA (por exemplo, servidores TACACS + ou
RADIUS).
3. Defina listas de métodos de autenticação e autorização.
4. Imponha autenticação AAA nas linhas relevantes (por exemplo, console e linhas VTY).

Exemplo:

Neste exemplo, faremos uma configuração de autenticação para que os usuários sejam

autenticados quando fizerem telnet para o dispositivo:

1. Ativa globalmente o AAA em um dispositivo:

Switch (config) #aaa new-model

2. Vamos configurar o servidor a ser usado para AAA e a chave; observe que a chave usada é a
mesma que foi configurada no servidor RADIUS.

Switch (config) # radius-server host 192.168.1.2 key MySecretP @

ssword

No comando acima, não especificamos as portas usadas para autenticação e contabilidade RADIUS,
portanto, usaremos os valores padrão de 1645 e 1646, respectivamente (ou podemos especificá-los
por meio do “radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key MySecretP @
ssword ”). A sintaxe completa do comando acima é:

Switch (config) # radius-server host { hostname | endereço ip } [ número da porta de

autenticação ] [ número  da porta de acesso ] [ segundos de tempo limite ] [ tentativas
de retransmissão ] [ string de chave ] [ alias {nome do host | endereço de IP}]

3. Ativaremos a autenticação para logins no dispositivo e especificaremos que RADIUS é o método

preferencial, mas devemos incluir o banco de dados do usuário local como um fallback se RADIUS se
tornar indisponível. Observe que os usuários no banco de dados local não podem ser usados se o
usuário não existir no RADIUS, ele só retornará se o servidor RADIUS estiver offline.

Switch (config) #aaa autenticação login grupo padrão radius local

Este comando é dividido da seguinte maneira:

+ A parte ' autenticação aaa ' está simplesmente dizendo que queremos definir as configurações de
autenticação.
+ O ' login ' indica que queremos solicitar um nome de usuário / senha quando uma conexão é feita
com o dispositivo.
+ O ' padrão ' significa que queremos aplicar para todas as conexões de login (como tty, vty, console
e aux). Se usarmos esta palavra-chave, não precisamos configurar mais nada nas linhas tty, vty e
aux. Se não usarmos essa palavra-chave, temos que especificar quais linhas queremos aplicar o
recurso de autenticação. Um exemplo de não usar a palavra-chave 'padrão' é mostrado na etapa 4
abaixo.
+ O ' raio do grupo local”Significa que todos os usuários são autenticados usando servidores
RADIUS (o primeiro método). Se os servidores RADIUS não responderem (inacessível), o banco de
dados local do roteador será usado (o segundo método). Mas observe que se o servidor RADIUS
estiver acessível enquanto o usuário não o tiver configurado, ele não fará fallback e tentará
pesquisar no banco de dados local. Ele exibirá a mensagem de % Falha na autenticação .

Observação: se não tivermos a palavra-chave 'local' (apenas o comando 'aaa authentication login
default group radius', a autenticação falhará se o servidor AAA não responder à solicitação de
autenticação, pois não há método de autenticação substituto)

Para que a autenticação local funcione, precisamos criar um usuário local. Para criar um novo usuário,
com senha armazenada em texto simples:

Switch (config) #username User1 senha CCNA_cisco

Mas ter senhas em texto simples não é uma boa ideia! O comando abaixo é melhor para criar um
novo usuário, com senha armazenada em texto criptografado:

Switch (config) #username test2 secret Pa55w0rd

especifique o servidor RADIUS e um grupo a ser usado.

4. Na etapa 3, se não usarmos a lista de métodos de login 'padrão', por exemplo:

Switch (config) #aaa autenticação login MY_AUTHEN_GROUP grupo radius local

Então temos que configurar o mesmo grupo (MY_AUTHEN_GROUP neste caso) para a (s) linha (s)
específica (s) com o comando “ login authentication list_name ”. Por exemplo, queremos aplicar a
linhas VTY (para telnet):

Switch (config) #line vty 0 4

Switch (config) # login autenticação MY_AUTHEN_GROUP

Nota:
+ Podemos configurar nomes de usuário / senhas diferentes no dispositivo local e no servidor AAA
remoto, mas para usuários normais, devemos configurar os mesmos nomes de usuário / senhas em
ambos os dispositivos para que a transição (no caso de falha do servidor AAA remoto) seja
transparente para eles .
+ Use o comando de configuração global de autenticação aaa para definir listas de métodos para
autenticação RADIUS
+ Use o comando global de autorização aaa para autorizar funções de usuário específicas
+ Use o comando aaa accounting para habilitar a contabilidade para conexões RADIUS

Concluindo, esta é toda a configuração de que precisamos para uma autenticação simples usando
AAA:

Switch (config) #username test2 secret Pa55w0rd

Switch (config) #aaa switch new-model
(config) # radius-server host 192.168.1.2 chave MySecretP @ ssword
Switch (config) #aaa autenticação login MY_AUTHEN_GROUP group radius local
Switch (config) #line vty 0 4
Switch (config) # login authentication MY_AUTHEN_GROUP

Uma configuração TACACS + simples para autenticação seria:

aaa novo modelo

aaa autenticação login grupo padrão tacacs + local
tacacs-servidor host 10.10.10.1
tacacs-servidor chave login @ pass!
Com isso configurado, ao efetuar login, a senha fornecida será tentada ser verificada pelo servidor
TACACS + antes que o acesso seja concedido. Se o servidor estiver indisponível / inacessível, o switch
voltará a usar o banco de dados de autenticação local.

Na próxima parte, veremos alguns exemplos de configuração de AAA.

Suponha que configuremos AAA da seguinte maneira.

login de autenticação aaa NO_AUTH nenhum

console de linha 0
autenticação de login NO_AUTH

Quais credenciais de login são necessárias ao se conectar à porta do console nesta saída?

Resposta: A porta do console é autenticada com a lista NO_AUTH. Mas esta lista não contém nenhum
método de autenticação (ela usa “nenhum”), portanto, nenhuma autenticação é necessária ao
conectar à porta do console.

Pergunta

Quais credenciais de login são necessárias ao conectar-se à porta VTY nesta saída?

Roteador (config) #aaa autenticação login grupo padrão linha local radius

Resposta: Usamos a lista de métodos “padrão” para que a autenticação seja aplicada a todas as
conexões de login (mesmo se não houver umcomando de autenticação de login ). Um grupo de
“RADIUS, local e linha” é definido para que o dispositivo primeiro contate o servidor RADIUS, depois o
nome de usuário local e, por fim, a senha da linha.

Como estamos usando a lista default no comando aaa authentication login, a autenticação de login é
aplicada automaticamente a todas as conexões de login (como tty, vty, console e aux).

Pergunta

Quais credenciais de login são necessárias ao conectar-se à porta VTY nesta saída?

Roteador (config) # aaa autenticação login padrão tacacs + habilitar

Resposta: O roteador primeiro tenta usar o método TACACS + para autenticação e, a seguir,
o método de habilitação . Portanto, a senha de habilitação é usada para autenticar usuários se o
dispositivo não puder entrar em contato com o servidor TACACS +.

Nota: Todas as configurações acima usam apenas o primeiro “A” (Autenticação) para
demonstração. Se você deseja saber mais sobre dois outros “A” s (Autorização e Contabilidade), visite
os links da Cisco abaixo:

+
Autorização: https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/s
cfathor.html
+ Contabilidade: https://www.cisco.com
/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfacct.html

Referência:

http://www.cisco.com/c/dam/en/us/products/collateral/security/secure-access-control-server-
windows/prod_white_paper0900aecd80737943.pdf
https://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-
system-tacacs-/10384-security.html