Anda di halaman 1dari 25

Tema 3 - AAA

AJM

VISION GENERAL DE AAA


-Para ayudar a impedir el acceso no autorizado, el control de accesos es necesario, limitando quien puede utilizar determinados recursos -El mtodo ms simple de autenticacin es la configuracin de contraseas en consola, aux y vty, este mtodo es vulnerable a ataques de fuerza bruta y no suministra accountability -La autenticacin utilizando la DB local, proporciona accountability, es decir en los logs podemos ver lo que ha hecho el usuario. Preferible utilizar: username nombre secret password -En grandes empresas con muchos routers y switches llevara mucho tiempo implementar y cambiar las DB locales de cada disposivo. Adems la configuracin de la DB con el comando login local dentro de la lnea no proporciona mtodo de backup

VISION GENERAL DE AAA


-Una mejor solucin es utilizar un servidor AAA central con DB de usuarios y contraseas -Autenticacin: los usuarios deben probar que son ellos mediante usuario y contrasea, cuestiones desafio-respuesta, tokens. Hace referencia a quien es permitido acceder a la red. -Autorizacin: determina a que recursos puede acceder un usuario despus de haberse autenticado -Accounting (registro): que acciones han realizado los usuarios autenticados mientras estaban en la red

CARACTERSTICAS DE AAA
AUTENTICACIN AAA Modos de acceso que puede autenticar la AAA: -Modo carcter: cuando el usuario solicita acceso administrativo al modo EXEC de un router -Modo paquete: cuando un usuario solicita acceso a recursos de red a travs de un router Autenticacin AAA local: se utiliza la AAA para
la autenticacin de usuarios con la DB local

Autenticacin AAA basada en servidor: el servidor utiliza una DB propia o externa y se comunica con el cliente AAA (router) mediante RADIUS o TACACS+

CARACTERSTICAS DE AAA
AUTORIZACIN AAA Qu puede hacer un usuario y que no puede hacer un usuario una vez autenticado, es implementada utilizando un servidor AAA, la autorizacin es automtica y no requiere actuacin por parte del usuario. ACCOUNTING AAA -Mediante el accounting se recogen datos que pueden ser utilizados en auditoras o para elaborar facturas, estos datos incluyen horas de comienzo y fin de conexin, usuarios, comandos ejecutados,. Se implementa mediante servidor de AAA

AUTENTICACIN AAA LOCAL


-til en redes pequeas -Mtodo similar a utilizar el comando login local, con la excepcin de que AAA permite configurar mtodos de backup Paso 1: Configurar usuarios en la DB local Paso 2: Habilitar AAA globalmente en el router Paso 3: Configura la lista de mtodos de autenticacin usando el mtodo local local-case (diferencia mayusculas de minsculas) Se puede utilizar la lista default que est aplicado por defecto a todas las lneas e interfaces, o crear una lista y asignarla a la lnea

AUTENTICACIN AAA LOCAL


-Se pueden asignar hasta 4 mtodos en el comando aaa authentication login Si se incluye ms de un mtodo, cuando el primer mtodo no est disponible, se utilizar el siguiente

Si la autenticacin es denegada por un mtodo, no se utiliza el siguiente Ejemplo con la lista por defecto y con una lista configurada

AUTENTICACIN AAA LOCAL


-Este comando bloquea a un usuarios cuando se ha fallado la autenticacin en el nmero de intentos definido -El usuario permanece bloqueado hasta que se introduzca el comando: Router#clear aaa local user lockout {username nombre de usuario | all} TROUBLESHOOTING: Observar status: getuser, getpass y pass

AUTENTICACIN AAA LOCAL CON SDM


-Configurar usuarios: Configure > Additional Tasks > Router > Router Access > User Accounts -Habilitar AAA:
Configure > Additional Tasks > AAA

-Configurar listas de mtodos de Autenticacin:


Configure > Additional Tasks > AAA > > Authentication policies > Login

AUTENTICACIN AAA BASADO EN SERVIDOR


-Se utiliza en grandes empresas donde mantener las DB locales de cientos de routers no es prctico. -Cisco ACS (servidor de seguridad): tiene una BD propia, pero tambin puede utilizar BD externas como BD de windows o LDAP -ACS es compatible con TACACS+ y RADIUS, que son los 2 protocolos que se utilizan para la comunicacin entre el servidor y el cliente AAA

RADIUS vs TACACS+
-La eleccin de uno u otro depende de las necesidades de la empresa:
Un ISP utilizar radius porque soporta accounting detallado, util para las facturas Una empresa que requiere autorizacin por usuario o grupo utilizar tacacs+

-TACACS+: -Incompatible con TACACS y XTACACS -Separa autenticacin y autorizacin -Encripta todo el paquete de datos -Utiliza el puerto TCP 49 -Accounting limitado -RADIUS: -Combina autenticacin y autorizacin como un nico proceso -Encripta slo la contrasea, no encripta el nombre de usuario -Utiliza UDP (1645 o 1812 para autenticacin y 1646 o 1813 para accounting) -Soporta tecnologas de acceso remoto, SIP y 802.1x -Accounting detallado

CISCO SECURE ACS


-Servidor de seguridad AAA centralizado que combina TACACS+ y RADIUS -Centraliza el control de los privilegios de todos los usuarios y los distribuye a los clientes AAA -Tiene capacidad de monitorizacin y reporting de comportamiento de usuario, conexiones de acceso y cambios de configuracin -Forma parte de Cisco Identity Based Networking (IBNS) relacionado con la seguridad de puerto -Forma parte de Cisco Network Admission Control (NAC) que evala el dispositivo que se conecta a la red para comprobar si cumple con ciertas especificaciones (versin del antivirus, parcheo,) -Es fcil de usar, es escalable, es extensible (puede utilizar DB de diversos fabricantes) -Existe flexibilidad de producto: Cisco Secure ACS Solution Engine: dispositivo, >350 usuarios Cisco Secure ACS Express: dispositivo, <350 usuarios Cisco Secure ACS for Windows: software que se instala en Windows Server

CISCO SECURE ACS. REQUERIMIENTOS


-Un cliente AAA puede ser un router, un switch o un concentrador de VPNs -El router requiere una IOS de seguridad versin 11.2 posterior -El ordenador con Cisco ACS debe poder hacer ping a los clientes AAA -Si hay dispositivos gateway, deben permitir las comunicaciones sobre todos los puertos necesarios -Un navegador web para acceder a Cisco Secure ACS, nica forma de acceso -Una vez instalado se accede mediante: http://127.0.0.1:2002 desde el propio equipo del ACS http://[ip del ACS]:2002 desde otro equipo

CISCO SECURE ACS. CONFIGURACIN.


-En la pantalla principal de ACS aparecen los siguientes botones
Paso 1: Aadir el cliente AAA al ACS Network Configuration > AAA Clients Aadir el nombre, ip, la clave secreta compartida y el tipo de autenticacin

CISCO SECURE ACS. CONFIGURACIN.


Paso 2: Acceder a Interface Configuration. El enlace User Data Configuration permite configurar los campos que aparecen en user setup

CISCO SECURE ACS. CONFIGURACIN.


Paso 3: Configuracin de soporte para DB externas. -Acceder a External Database. -Seleccionar Database Configuration, aqu aparecen los tipos de DB soportados. -Seleccionamos Windows Database, desde aqu se puede configurar Grant dialin permision to user

CISCO SECURE ACS. CONFIGURACIN.


-Acceder a External Database y seleccionar Unknown User Policy, en esta seccin indicamos donde buscar los usuarios si no se encuentran en la DB propia del ACS -Acceder a External Database y seleccionar Group Mapping, aqu se mapean los usuarios de DB externas con grupos del ACS, de forma que la autorizacin se pueda llevar a cabo.

CISCO SECURE ACS. CONFIGURACIN.


Paso 4: Creacin de usuarios en la DB del ACS. User Setup > add. Como mnimo configurar nombre de usuario y contrasea Paso 5: Configuracin de autorizacin a nivel de grupo, para denegar el uso del comando show running-config. Group setup > seleccionar el grupo > TACACS+ > marcar shell(exec) En Shell command authorization set, click en permit unmatched command, escribir el comando show y en argumentos escribir deny running-config

CONFIGURACIN DE AUTENTICACIN BASADA EN SERVIDOR


-Paso 1: Habilita la AAA -Paso 2: configura la ip del servidor radius o tacacs+, es decir la ip del ACS -Paso 3: configura la clave secreta del servidor radius o tacacs+ -Paso 4: configurar la lista de mtodos de autenticacin con group tacacas+ o group radius
tacacs-server host ip del server single-connection tacacs-server key clave que se configur en el ACS radius-server host ip del server radius-server key clave del ACS

El argumento single-connection deja una conexin abierta con el ACS mientras dura la sesin del usuario, til sobre todo para la autorizacin y accounting

CONFIGURACIN DE AUTENTICACIN BASADA EN SERVIDOR SDM


Aadir un servidor y configurar tipo de servidor, ip del servidor y clave secreta
Configure > Additional Tasks > AAA > AAA servers and groups > AAA servers

Configurar lista de mtodos de autenticacin:


Configure > Additional Tasks > AAA > Authentication policies > Login Desde aqu configuramos una nueva lista para autenticar con TACACS+ y como segundo
mtodo utilizamos local

CONFIGURACIN DE AUTENTICACIN BASADA EN SERVIDOR SDM


Aplicar la lista de mtodos de autenticacin a la lnea:
Configure > Additional Tasks > Router Access > VTY En authentication policy seleccionar nuestra lista.

TROUBLESHOOTING DE AUTENTICACIN BASADA EN SERVIDOR


Aplicar la lista de mtodos de autenticacin a la lnea:

Observar GETUSER, GETPASS y PASS, si apareciera FAIL, revisar la clave secreta

AUTORIZACIN BASADA EN SERVIDOR


-La autorizacin puede ser configurada en modo paquete (autorizacin network) o en modo carcter (autorizacin exec). Para denegar o permitir comandos (autorizacin commands) -TACACS+ permite la separacin entre autenticacin y autorizacin -La autorizacin permite controlar el acceso de usuario a determinados servicios, como por ejemplo el control de acceso a comandos EXEC -Por ejemplo: un usuario puede ser autorizado a acceder a show ver, pero no a show run. El router pregunta al ACS si el usuario tiene permiso para ejecutar el comando introducido y el ACS devuelve una respuesta ACCEPT o REJECT -El router establece una nueva conexin TCP por cada peticin de autorizacin, para establecer una conexin permanente mientras el usuario est autenticado incluir el parmetro single-conection

AUTORIZACIN BASADA EN SERVIDOR


-Configurar una lista de autorizacin o editar la lista de autorizacin por defecto SDM: Configure > Additional Tasks > AAA > Authorization policies > Exec Configure > Additional Tasks > AAA > Authorization policies > Network

ACCOUNTING BASADO EN SERVIDOR


-El accounting (registro) permite visualizar la utilizacin de accesos, incluyendo usuarios y horas, tambin permite registrar los cambios de configuracin, loga los datos a una base de datos y genera informes. til para administracin, auditoras de seguridad y emisin de facturas.

Anda mungkin juga menyukai