Universidad Tecnolgica Del Per filial Arequipa

Facultad De Ingeniera
Carrera Profesional
Ingeniera de Sistemas e Informtica

Authentication, Authorization and Accounting

(AAA)

Presentado por:
Ventura Mamani Wily
Mendoza Huillca Jesus
Curso: Telecomunicaciones
Ciclo: XI
Profesor asesor:
Ing. Omar Valencia Gallegos

Arequipa Per
2015

ndice
Introduccin................................................................................................... 2
Captulo I: Protocolo AAA................................................................................... 4
1.

Protocolo AAA.......................................................................................... 4
Autenticacin.............................................................................................. 4
Autenticacin AAA Local..........................................................................5
Autenticacin AAA basado en servidor....................................................5
Autorizacin................................................................................................ 6
Contabilizacin............................................................................................ 7

2.

Proposito de la AAA.................................................................................. 9

3.

Autenticacin AAA local.........................................................................13

3.1.

Configuracin de autenticacin local AAA con CLI...........................13

Seguridad Adicional............................................................................... 15
4.

AAA Basado en Servidor........................................................................16

4.1.

Caractersticas................................................................................. 16

Protocolos de comunicacin AAA basados en servidor..........................18

Cisco Secure ACS................................................................................... 20
Server ACS tiene muchas caractersticas de alto rendimiento y
escalabilidad:......................................................................................... 22

Introduccin
Una red debe ser diseada para controlar a quienes estn conectados y que
pueden hacer cuando estn conectados. Estas especificaciones de diseo se

identifican en las polticas de seguridad de red. La poltica especfica, de qu

manera los administradores de red, los usuarios corporativos, los usuarios
remotos, socios comerciales, clientes accedan a los recursos de la red. La
poltica de seguridad de red tambin puede encargar la ejecucin de un
sistema de cuentas las cuales registra quien inicia sesin y cuando, y lo que
hicieron mientras estaban conectados.
Controlar el acceso a la red solo utilizando comandos de modo de usuario o
de modo contrasea privilegiada que es limitada y no es escalable. En lugar
de ello, utilizando el protocolo de autenticacin, autorizacin y contabilidad
(AAA) que proporciona el marco necesario para permitir el acceso de
seguridad escalable.
Los IOS de routers Cisco pueden configurarse para utilizar AAA local para
acceder a una base de datos de usuario y contrasea. El uso de un nombre
de usuario local y contrasea de base de datos proporciona una mayor
seguridad que una simple contrasea y es un costo efectivo y fcil de
implementar soluciones de seguridad. Los Routers Cisco IOS tambin
pueden ser configurados para utilizar AAA para acceder al
Servidor de Control de Acceso de Seguridad Cisco (ACS). Usando el ACS de
Cisco es muy escalable, porque todos los dispositivos de la infraestructura
accedan a un servidor central. La solucin segura de Cisco ACS es tambin
tolerante a fallos, porque mltiples servidores se pueden configurar. La
solucin segura de Cisco
ACS es a menudo es implementado por las grandes organizaciones.
Los laboratorios de este captulo Aseguran el acceso administrativo
utilizando AAA y RADIUS. Permitiendo aprender a utilizar el CLI y SDM para

configurar y probar la autenticacin local con o sin AAA. Tambin tocaremos

el tema de Autenticacin Centralizada con AAA

Captulo I: Protocolo AAA

1. Protocolo AAA
En seguridad informtica, el acrnimo AAA corresponde a un tipo de
protocolos que realizan tres funciones: autenticacin, autorizacin y
contabilizacin (en ingls, Authentication, Authorization and Accounting). La
expresin protocolo AAA no se refiere pues a un protocolo en particular, sino
a una familia de protocolos que ofrecen los tres servicios citados.
AAA se combina a veces con auditoria, convirtindose entonces en AAAA.

Autenticacin
La autenticacin es el proceso por el que una entidad prueba su identidad
ante otra. Normalmente la primera entidad es un cliente (usuario,
ordenador, etc) y la segunda un servidor (ordenador). La Autenticacin se
consigue mediante la presentacin de una propuesta de identidad (vg. un
nombre de usuario) y la demostracin de estar en posesin de las
credenciales que permiten comprobarla. Ejemplos posibles de estas
credenciales son las contraseas, los testigos de un slo uso (one-time
tokens), los Certificados Digitales, los nmeros de telfono en la
identificacin de llamadas. Viene al caso mencionar que los protocolos de
autenticacin digital modernos permiten demostrar la posesin de las
credenciales requeridas sin necesidad de transmitirlas por la red (vanse
por ejemplo los protocolos de desafo-respuesta).
Autenticacin AAA Local
Local AAA utiliza una base de datos local para la autenticacin. Este mtodo
almacena los nombres de usuario y contraseas localmente en el router de
Cisco, y los usuarios a autenticarse estn contra la base de datos local. Esta
base de datos es la necesaria para el establecimiento de una funcin
basada en CLI. AAA local es ideal para redes pequeas.
Autenticacin AAA basado en servidor
El mtodo basado en el servidor utiliza una base de datos externa que
aprovecha los recursos del servidor de RADIUS o TACACS + protocolos.
Los ejemplos incluyen: Cisco Secure Access Control Server (ACS) para
Windows Server, Cisco Secure ACS Solution Engine, o Cisco Secure ACS
Express. Si hay varios routers, basados en servidor AAA es ms apropiado

El cliente establece una conexin con el router

El router solicita al usuario un nombre de usuario y contrasea
El router se autetifica con el nombre de usuario y la contrasea
usando la base de datos local y el usuario es autorizado para acceder
a la red basado en la base de datos local

Autorizacin
Autorizacin se refiere a la concesin de privilegios especficos (incluyendo
"ninguno")

una

entidad

usuario

basndose

en

su

identidad

(autenticada), los privilegios que solicita, y el estado actual del sistema. Las
autorizaciones pueden tambin estar basadas en restricciones, tales como
restricciones horarias, sobre la localizacin de la entidad solicitante, la
prohibicin de realizar logins mltiples simultneos del mismo usuario, etc.
La mayor parte de las veces el privilegio concedido consiste en el uso de un
determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin
estar limitado a: filtrado de direcciones IP, asignacin de direcciones,
asignacin de rutas, asignacin de parmetros de Calidad de Servicio,
asignacin de Ancho de banda, y Cifrado.
Una vez que los usuarios son autenticados con xito en la base de datos
(local o db en servidor), son autorizados para los recursos de red
especficos. Autorizacin es bsicamente lo que un usuario puede o no
puede hacer en la red despus de que el usuario es autenticado, de forma

similar a cmo los niveles privilegiados y el role-basado CLI ofrece a los

usuarios derechos y privilegios especficos a ciertos comandos en el router.
La autorizacin es generalmente aplicada usando AAA una solucin basada
en el servidor.
Autorizacin usa un conjunto de atributos creados que describe el acceso
del usuario a la red. Estos atributos son comparados con la informacin
contenida en la base de datos de la AAA, y determina las restricciones para
el usuario se hace y se entrega al router local donde el usuario est
conectado.
La autorizacin es automtica y no requiere a los usuarios para realizar
pasos adicionales despus de la autenticacin. Autorizacin se aplica
inmediatamente despus de que el usuario se autentica.

Cuando un usuario esta autentificado , una sesin es establecido con

un servidor AAA
El router responde la autorizacin para el servicio de respuesta del

servidor AAA
El servidor AAA retorna un PASS/FAIL para la autorizacin

Contabilizacin
La contabilizacin se refiere al seguimiento del consumo de los recursos de
red por los usuarios. Esta informacin puede usarse posteriormente para la
administracin,

planificacin,

facturacin,

otros

propsitos.

La

contabilizacin en tiempo real es aquella en la que los datos generados se

entregan al mismo tiempo que se produce el consumo de los recursos. En
contraposicin la contabilizacin por lotes (en ingls batch accounting)
consiste en la grabacin de los datos de consumo para su entrega en algn
momento posterior. La informacin tpica que un proceso de contabilizacin
registra es la identidad del usuario, el tipo de servicio que se le proporciona,
cuando comenz a usarlo, y cuando termin.
Recoge los informes de contabilidad y los datos de uso para que pueda ser
empleado para fines tales como la auditora o la facturacin. Los datos
recogidos podran incluir el inicio y detencin de horas de conexin, los
comandos ejecutados, el nmero de paquetes, y el nmero de bytes.
La contabilidad se llevar a cabo a travs de AAA una solucin basada en
servidor.

Este

servicio de

estadsticas

de

utilizacin

hace

informes

regresndolos al servidor ACS. Estas estadsticas se pueden extraer para

crear informes detallados acerca de la configuracin de la red.
Desplegado una amplia utilizacin de la contabilidad se combina con la AAA
para la gestin de la autenticacin de acceso a los dispositivos de
interconexin de las redes de personal administrativo.
Contabilidad establece la rendicin de contabilidad adicional ms all de la
autenticacin. Los servidores
AAA mantienen un registro detallado de exactamente lo que el usuario
autenticado hace con el dispositivo.
Esto incluye todos los comandos de configuracin EXEC y expedido por el
usuario. El registro contiene varios campos de datos, incluido el nombre de
usuario, la fecha y la hora, y el comando que ha sido proporcionada por el

usuario. Esta informacin es til cuando se ocupan solucionar problemas de

dispositivos. Tambin proporciona estrategias contra individuos que llevan a
cabo acciones maliciosas.

Cuando un usuario esta autentificado, la contabilidad de AAA el

proceso genera un mensaje de inicio para iniciar el proceso de

contabilidad.
Cuando el usuario finaliza. un mensaje de detencin se registra y se
termina el proceso de contabilidad

2. Proposito de la AAA

Los intrusos de red pueden obtener acceso a equipos de redes y servicios.

Para ayudar a prevenir el acceso no deseado, es necesario el control de
acceso. El control de acceso puede limitar quien o que recursos especficos
son utilizados, as como los servicios o las opciones disponibles concediendo
una vez el acceso.
Muchos tipos de mtodos de autenticacin se puede realizar sobre un
dispositivo de Cisco, y cada mtodo ofrece distintos niveles de seguridad.
La forma ms simple de autenticacin son las contraseas. Este mtodo se
configura usando un nombre de usuario y contrasea en la consola, y las

lneas vty y los puertos auxiliares. Este mtodo es el ms fcil de aplicar,

pero tambin es el ms dbil y menos seguro. La contrasea de acceso slo
es vulnerable a ataques de fuerza bruta. Adems, este mtodo no
proporciona la rendicin de contabilidad.

Cualquier persona con la

contrasea puede acceder al dispositivo y modificar la configuracin

Para ayudar a ofrecer rendicin de contabilidad y base de datos local se
puede implementar la autenticacin utilizando con uno de los siguientes
comandos:

Username nombre de usuario password contrasea

Username nombre de usuario secret contrasea

Este mtodo crea contabilidad de usuario individual en cada dispositivo con

una contrasea asignada a cada usuario. El mtodo de base de datos local
proporciona ms seguridad, porque un atacante est obligado a saber un
nombre de usuario y una contrasea. Tambin proporciona una mayor
rendicin de contabilidad, porque el usuario se registra cuando un usuario
inicia sesin. Tenga en contabilidad que la combinacin del comando
username password muestra la contrasea en texto plano en el archivo de
configuracin en caso de que el comando de service password-encryption
no est configurado. La combinacin de username secret es muy
recomendable ya que proporciona la encriptacin MD5-style.
Los mtodos de base de datos locales tienen algunas limitaciones. Las
contabilidad

de

usuario

debe

ser

configurado

localmente

en

cada

dispositivo. En un entorno de grandes empresas que tiene varios routers y

switches para administrar, se toma tiempo para aplicar y modificar las
bases de datos locales en cada dispositivo. Adems, la base de datos de
configuracin no proporciona mtodo de autenticacion fallback.

Por ejemplo, Que sucede si el administrador se olvida el nombre de usuario

y contrasea para ese dispositivo?
No hay Mtodo de copia de seguridad disponible para la autenticacin, y la
recuperacin de la contrasea es la nica opcin.
La mejor solucin es tener todos los dispositivos en la misma base de datos
de nombres de usuario y contraseas de un servidor central. Este captulo
analiza los distintos mtodos de aplicacin de acceso a la red utilizando la
autenticacin, autorizacin y contabilidad (AAA) la seguridad de la red en
los routers Cisco.

Los servicios de seguridad de red AAA proporcionan el marco bsico para

establecer el control de acceso en un dispositivo de red. AAA es una forma
de controlar quin est autorizado a acceder a una red (autenticacin), lo
que pueden hacer mientras estn all (autorizar) y la auditora de las
acciones que se realizan mientras se accesa a la red (contabilidad).
Proporciona un mayor grado de escalabilidad de la construccin, auxiliares y
vty; la autenticacin de los comandos EXEC privilegiado.

La Red y la seguridad AAA en el entorno de Cisco tienen varios

componentes funcionales:

Autenticacin - Los usuarios y administradores deben demostrar que son

quienes dicen que son. Autenticacin se puede ser establecido utilizando
combinaciones de nombre de usuario y contrasea, desafa y responde las
preguntas, token cards, y otros mtodos. Por ejemplo: "Yo soy usuario
'estudiante'. S cual es la clave para demostrar que soy usuario estudiante.
Autorizacin - Despus de que el usuario es autenticado, el servicio de
autorizacin determina los recursos que el usuario puede acceder y
operaciones el usuario est autorizado a realizar. Un ejemplo es "Usuario"
estudiante

"puede

acceder

como

host

al

servidor

serverXYZ

mediante

telnet

solamente".
Contabilidad y auditora - Los registros contables que lo que hace el
usuario, incluyendo lo que se tiene acceso, la cantidad de tiempo que se
accede a los recursos, y los cambios que se hicieron. Contabilidad sigue la
pista de cmo se utilizan los recursos de la red. Un ejemplo es "Usuario
estudiante " acceso como host al servidor serverXYZ mediante Telnet por 15
minutos.
Este concepto es similar a la utilizacin de una tarjeta de crdito. Identifica
la tarjeta de crdito que pueden utilizar, la cantidad que puede gastar el
usuario, y mantiene contabilidad de los elementos que el usuario gasta
dinero.

3. Autenticacin AAA local

3.1. Configuracin de autenticacin local AAA con CLI
Autenticacin local AAA, tambin conocido como auto-autenticacin, debe
estar configurado para redes ms pequeas, tales como aquellos con uno o
dos routers que da acceso a un nmero limitado de usuarios.
Este mtodo usa el nombre de usuario y contraseas almacenadas en un
router. El administrador del sistema debe registrar la base de datos de
seguridad local, precisando los perfiles de usuario y contrasea para cada
usuario que puede acceder
El mtodo de autenticacin local AAA es similar a usar el comando login
local con una sola excepcin. AAA tambin ofrece una forma de configurar
los mtodos de copia de seguridad de autenticacin.

La configuracin de los servicios locales de la AAA para autenticar el acceso

de administrador (modo de caracteres de acceso) requiere unos pasos
bsicos.
Paso 1.Aadir los nombres de usuario y las contraseas del router a la base
de datos local para los usuarios que necesitan acceso administrativo al
router.
Paso 2.Habilitar AAA a nivel global en el router.
Paso 3.Configurar los parmetros de la AAA en el router.
Paso 4.Confirmar y solucionar problemas de configuracin de la AAA.

Para habilitar AAA, utilice el comando aaa new-model en modo de

configuracin global. Para desactivar la
AAA, use no con el mismo comando.

Despus de la AAA est habilitado, para configurar la autenticacin en

puertos vty, lneas asncronas (tty), el puerto auxiliar, o el puerto de
consola, definir el nombre de una lista de mtodos de autenticacin y,
despus, se aplica la lista en las distintas interfaces.
Para definir el nombre de una lista de mtodos de autenticacin, utilice el
comando aaa authentication login .Este comando requiere un nombre de
lista y los mtodos de autenticacin. El nombre de la lista identifica la lista
de mtodos de autenticacin y se activa cuando un usuario inicia sesin. El
mtodo es una lista secuencial que describe los mtodos de autenticacin
que se cuestion para autenticar un usuario. El mtodo de listas permite
que un administrador asigne a uno o varios protocolos de seguridad para la
autenticacin. La utilizacin de ms de un protocolo prev un sistema de
copia de seguridad para la autenticacin inicial en caso de que el mtodo
falle.
Varias palabras clave se pueden utilizar para indicar el mtodo. Para
habilitar autenticacin local usando una base de datos pre configurada local,
utilice la palabra clave local o local-case. La diferencia entre estas dos
opciones es que acepta un nombre de usuario local, independientemente
del caso, y local-case se distingue entre maysculas y minsculas. Para
especificar que un usuario puede permitir la autenticacin mediante
contrasea,

enable

es

palabra

clave.

Para

asegurarse

de

que

la

autenticacin tenga xito, incluso si todos los mtodos de retorna un error,

especifique none como el ltimo mtodo. Por motivos de seguridad, utilice
la palabra clave none slo cuando pruebe la configuracin de la AAA. Nunca
debe ser aplicado sobre una red en directo.

Por ejemplo, el mtodo enable se configura como un mecanismo de

emergencia en caso de que el nombre de usuario y la contrasea es
olvidado.
aaa authentication login TELNET-ACCESS local enable
En este ejemplo, una lista de nombre de autenticacin AAA TELNET-ACCESS
crea que los usuarios intenten autenticarse en el router en la primera base
de datos de usuarios locales. Si ese intento devuelve un error, como una
base de datos de usuario local, quiere decir que no est configurado, el
usuario puede intentar autenticarse para conocer la contrasea. Por ltimo,
si se habilita una contrasea que no est configurada, permite el acceso al
dispositivo sin ningn tipo de autenticacin.
Un mnimo de un mtodo y un mximo de cuatro mtodos se puede
especificar un mtodo nico para la lista. Cuando un usuario intenta iniciar
sesin en el primer mtodo se utiliza la lista. Cisco IOS software intenta la
autenticacin con el siguiente mtodo de autenticacin se enumeran slo
cuando no hay respuesta o un error del mtodo anterior se produce. Si el
mtodo de autenticacin niega el acceso de los usuarios, el proceso de
autenticacin no se detiene y otros mtodos de autenticacin se habilitan.
Seguridad Adicional
Seguridad adicional puede ser implementada en lnea usando la aaa local
authentication attempts max-fail nmero de intentos fallados. Utilice este
comando en modo de configuracin global. Este comando AAA asegura las
contabilidad de usuario por el bloqueo de contabilidad que tienen exceso de
intentos fallidos.

Para eliminar el nmero de intentos fallidos que se estableci, use el

comando no.
Para mostrar una lista de todos los usuarios bloqueados, utilice el comando
clear aaa local user lockout en el modo EXEC privilegiado. Use el comando
clear aaa local user lockout (username nombre de usuario | all) en el modo
EXEC

privilegiado

para

desbloquear

un

usuario

especfico

para

desbloquear todos los usuarios bloqueados.

El comando aaa local authentication attempts max-fail difiere del comando
login delay en la forma en que se ocupa de intentos fallidos. El comando aaa
local authentication attempts max-fail bloquea la contabilidad de usuario si
la autenticacin falla. Esta contabilidad se queda bloqueada hasta que se
borra por un administrador. El comando login delay introduce un retraso
entre los intentos de acceso sin bloquear la contabilidad.

4. AAA Basado en Servidor

4.1. Caractersticas

Implementacin local de AAA no escala bien. La mayora de las empresas

tienen mltiples entornos con mltiples routers Cisco y los administradores
de cientos o miles de usuarios que necesitan acceso a la LAN corporativa. El
mantenimiento de bases de datos locales para cada router de Cisco no es
factible por el tamao de la red.
Para resolver este problema, uno o ms servidores AAA, como ACS Seguro
de Cisco,

se puede utilizar para gestionar el usuario con acceso

administrativo y las necesidades de toda una red corporativa. ACS Seguro

de Cisco puede crear un usuario con acceso administrativo y base de datos

que todos los dispositivos en la red pueden tener acceso.
Tambin puede trabajar con muchas bases de datos externas, incluyendo
Active Directory y Lightweight Directory Access Protocol (LDAP). Estas bases
de datos almacenan informacin de contabilidad de usuario y contraseas,
lo que permite la administracin central de contabilidad de usuario.
Como mencionamos en un punto en la autentificacin local

El cliente establece una conexin con el router

El router se autetifica con el nombre de usuario y la contrasea
usando la base de datos local y el usuario es autorizado para acceder
a la red basado en la base de datos local

Pero en la autentificacin basado en el servidor es de diferente manera

El usuario establece una conexin con el router

El router solicita al usuario un nombre de usuario y una contrasea
El router pasa el nombre de usuario y la contrasea para el Cisco

Secure ACS
El Cisco Secure autentifica al usuario. El usuario es autorizado
para acceder al router o a la red

La familia de productos ACS es compatible tanto con la terminal de control

de acceso servidor de control de acceso Plus (TACACS +) y el Servicios de

Usuario de marcacin remota (RADIUS) protocolos, que son los dos

protocolos predominantes utilizados por los aparatos de seguridad de Cisco,
routers y switches de aplicacin AAA. Si bien ambos protocolos pueden ser
utilizados para comunicarse entre el cliente y los servidores AAA, TACACS +
es considerado el ms seguro protocolo. Esto se debe a que todos los
intercambios de protocolo TACACS + estn codificadas; Radius slo encripta
la contrasea de usuario. No encripta los nombres de usuario, la informacin
contable, o cualquier otro tipo de informacin a bordo del mensaje radius.

Protocolos de comunicacin AAA basados en servidor

TACACS + y RADIUS son protocolos de autenticacin. Cada uno soporta
diferentes capacidades y funcionalidad. TACACS + o radius depende de las
necesidades de la organizacin. Por ejemplo, un gran proveedor de servicios
de Internet puede seleccionar RADIUS porque es compatible para los
usuarios de facturacin. Una organizacin con distintos grupos de usuarios
pueden seleccionar TACACS +, ya que requiere autorizacin de seleccionar
las polticas que deben aplicarse para cada usuario o por grupo.

Es importante comprender las muchas diferencias entre los protocolos

TACACS + y RADIUS.
Los factores crticos para TACACS + incluyen:

Es incompatible con TACACS y XTACACS

Separa de autenticacin y autorizacin
Encripta toda la comunicacin
Utiliza el puerto TCP 49

Los factores crticos para Radius incluyen:

Utilizacin de RADIUS para la escalabilidad de servidores proxy
Combina la autenticacin RADIUS y autorizacin como un proceso.
Slo encripta la contrasea Utiliza UDP
Soporta tecnologas de acceso remoto, autenticacin 802.1X, y SIP

Radius, desarrollado por empresas Livingston, es un espacio abierto de AAA

estndar IETF protocolo para aplicaciones tales como el acceso a la red o
movilidad IP. RADIUS trabajo tanto locales como en las situaciones de
itinerancia y es comnmente utilizado para efectos contables. Radius est
definido por RFC 2865, 2866, 2867, y 2868.

El protocolo de radius oculta contraseas durante la transmisin, incluso con

el Protocolo de autenticacin de contrasea (PAP), utilizando una operacin
bastante compleja que involucra mensaje 5 (MD5) de hash y un secreto
compartido. Sin embargo, el resto del paquete se enva en texto plano.
RADIUS combina la autenticacin y la autorizacin como un proceso. Cuando
un usuario est autenticado, el usuario tambin est autorizado. RADIUS
utiliza el puerto UDP 1645 o 1812 para la autenticacin y el puerto UDP
1646 o 1813 para la contabilidad.
RADIUS es ampliamente utilizado por los proveedores de servicios VoIP. Pasa
las credenciales de acceso de un protocolo de inicio de sesin (SIP) de punto
final, como un telfono de banda ancha, a un Secretario de SIP utilizando la
autenticacin de texto y, despus, a un servidor RADIUS mediante RADIUS.
Radius es tambin un protocolo de autenticacin comn que es utilizado por
el estndar de seguridad 802.1X.
El DIAMETER es el protocolo previsto para la sustitucin de RADIUS.
DIMETER utiliza un nuevo protocolo de transporte llamado Stream
Protocolo de Control de Transmisin (SCTP) y TCP en lugar de UDP.
Cisco Secure ACS
Muchos servidores de autenticacin de nivel empresarial, se encuentran en
el mercado hoy en da. Si bien muchas son empresas de renombre con
productos populares, carecen de la capacidad de combinar tanto el TACACS
+ y RADIUS protocolos en una sola solucin. Afortunadamente, la ACS
Seguro de Cisco para Windows Server (ACS) es una solucin nica que
ofrece la AAA para ambas TACACS + y RADIUS. ACS Seguro de Cisco es una
iniciativa altamente escalable, de alto rendimiento del servidor de control de
acceso que pueden ser aprovechados para el control de acceso de

administrador y la configuracin para todos los dispositivos de red en una

red de compatibilidad con RADIUS o TACACS + o ambos. ACS
Seguro de Cisco ofrece varios beneficios:

Ampla el acceso de seguridad mediante la combinacin dela

autenticacin, el acceso de los usuarios, y de administrador con la
poltica de control de identidad dentro de una solucin de red

centralizado.
Permite una mayor flexibilidad y movilidad, el aumento de la

seguridad, el usuario y el aumento de la productividad.

Aplica una poltica de seguridad uniforme para todos los usuarios,

independientemente de cmo acceder a la red.

Reduce la carga administrativa y de gestin de usuarios y la
ampliacin cuando el administrador de la red de acceso a la red.

ACS Seguro de Cisco utiliza una base de datos central. Se centraliza el

control de todos los privilegios de usuario y los distribuye a los puntos de
acceso en toda la red. ACS Seguro de Cisco proporciona informes detallados
y la capacidad de vigilancia del comportamiento del usuario, las conexiones
de acceso, y los cambios de configuracin del dispositivo. Esta caracterstica
es muy importante para las organizaciones que tratan de cumplir con varias

regulaciones gubernamentales. Seguro de Cisco ACS apoya una amplia

variedad de conexiones de acceso, incluidas las redes LAN inalmbricas y
por

cable,

acceso

telefnico,

de

banda

ancha,

los

contenidos,

el

almacenamiento, VoIP, firewalls y redes privadas virtuales (VPN).

Un componente importante de la arquitectura de servicios de red basado en
identidad (IBNS) (propuesta de cisco). IBNS de Cisco se basa en las normas
de seguridad del puerto, tales como IEEE 802.1X y el Protocolo de
Autenticacin Extensible (EAP), y se extiende desde el permetro de
seguridad de la red para cada punto de conexin dentro de la LAN. Una
nueva poltica de control, tales como las cuotas por usuario, VLAN tareas y
listas de control de acceso (ACL) se puede desplegar dentro de esta nueva
arquitectura. Esto se debe a la ampliacin de las capacidades de los
switches de Cisco y access point inalmbrico a la consulta de Cisco ACS
sobre el protocolo de radius. Server ACS es tambin un componente
importante de Cisco Network Admisin Control (NAC). Cisco NAC es una
iniciativa de la industria patrocinada por Cisco. Cisco NAC utiliza la
infraestructura de la red para hacer cumplir la poltica de seguridad en
todos los dispositivos que tratan de la red de acceso de los recursos
informticos. Esto limita los daos causados por virus y gusanos. Con NAC
de Cisco, los clientes pueden optar por permitir el acceso a la red slo para
compatibles y confa en los dispositivos de punto final y restringir el acceso
de los dispositivos de incumplimiento. NAC es parte de Cisco de la Red de
Auto-Defensa de la iniciativa y es la base para que el NAC capa 2 y capa 3 .
Las fases futuras de punto final y de ampliar la seguridad de la red
interoperacin dinmica es un incidente a fin de incluir la capacidad de
contencin. Esta innovacin permite que cumpla con los elementos del
sistema de informe de uso indebido o riesgo que emanan de los sistemas

infectados durante un ataque. Los sistemas infectados pueden ser de forma

dinmica

en

cuarentena,

el

resto

de

la

red

es

para

reducir

significativamente el virus, gusano, y mezclado amenaza de propagacin.

Server ACS tiene muchas caractersticas de alto rendimiento y
escalabilidad:

Fcil de usar - Un sitio basado en la interfaz de usuario simplifica y

distribuye la configuracin de perfiles de usuario, perfiles de grupo, y

Cisco ACS configuracin segura.

Escalabilidad - ACS Seguro de Cisco est diseado para grandes entornos
de red con soporte para servidores redundantes, bases de datos
remotas, y la replicacin de bases de datos y servicios de copia de
seguridad. Extensibilidad - autenticacin LDAP soporta la transmisin de
la autenticacin de los perfiles de usuario que se almacenan en los
directorios de los principales proveedores de directorio, incluyendo Sun,

Novell y Microsoft.
Gestin - Microsoft Windows Active Directory de Windows consolida la
gestin de usuario y contrasea de Windows y utiliza el Monitor de

rendimiento en tiempo real las estadsticas de visualizacin.

Administracin - Contiene diferentes niveles de acceso para cada
administrador de ACS Seguro de Cisco y contabilidad con la capacidad de
grupo de dispositivos de red. Para hacer ms fcil y ms flexible el
control de la ejecucin y los cambios de la poltica de seguridad de

administracin de todos los dispositivos en una red.

Flexibilidad del producto - Esto se debe a que el software Cisco IOS ha
incorporado el apoyo a la AAA, Cisco ACS segura se puede utilizar en
prcticamente cualquier servidor de acceso a la red de Cisco que vende
(la versin del software Cisco IOS debe apoyar radius o TACACS +).ACS
Seguro de Cisco est disponible en tres opciones: Motor Seguro de Cisco
ACS, Cisco ACS Express Seguro y Cisco ACS para Windows.

Integracin - Tiene un estrecho acoplamiento con los routers Cisco IOS y

soluciones
multichassis

de

VPN

proporcionando

multienlace

PPP

el

caractersticas
software

Cisco

tales
IOS

como

comando

autorizacin.
Soporte de terceros - ACS Seguro de Cisco ofrece soporte para modo de
servidor de cualquier contrasea de un solo uso (OTP) que proporciona
un proveedor compatible con RFC interfaz de radius, como RSA, PassGo,

Secure
Computing, ActiveCard, Vasco, o tarjeta criptogrfica.
Control - ACS Seguro de Cisco proporciona cuotas dinmicas para
restringir el acceso basado en la hora del da, el uso de la red, el nmero
de sesiones conectado, y el da de la semana.