Security Tacacs AAA

2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential BSCI 8 - 5 1

Titulo: Tecnologas de
confianza e identidad
NetSec1V2 Modulo 4 Leccin 1 de 1
v2
2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 2
NetSec1V2 Modulo 4
Recomendacin
Introduccin
AAA
Tecnologas de autenticacin
IBNS (Identity Based Networking
Services)
NAC (Network Admission
Control)
Recomendacin
Siguiendo las siguientes recomendaciones Ud puede hacer un mejor uso de
su tiempo de estudio
Mantenga sus notas y respuestas para todo su trabajo con este material en
un lugar, para una referencia rpida
Cuando ud tome un examen de prueba, escriba sus respuestas, estudios han
demostrado que esto aumenta significativamente la retencin, incluso si no
se ha visto la informacin original nuevamente
Es necesario practicar los comandos y configuraciones en un laboratorio con
el equipo adecuado
Utilice esta presentacin como un material de apoyo, y no como un material
exclusivo para el estudio de este captulo
No presente el examen del capitulo, s Ud no ha terminado los laboratorios
del capitulo
Si se presenta algn problema, comunquese con su instructor
NetSec1V2 Modulo 4
Recomendacin
Introduccin
AAA
Services)
Control)
Introduccin
Este modulo presenta una introduccin a los servicios
de autenticacin, autorizacin y contabilizacin (AAA)
Seguridad AAA es uno de los principales componentes
de la infraestructura de seguridad de la empresa
Otros conceptos son introducidos en este captulo
como IBNS (cisco Identity Based Networking services)
y NAC (Network Admission Control)
NetSec1V2 Modulo 4
Recomendacin
Introduccin
AAA
Services)
Control)
TACACS+
Terminal Access Controller Access Control
System
TACACS+ manda la informacin con usurario y password a un
servidor de seguridad centralizada
Dependiendo del tamao de la red y la cantidad de recursos, el
AAAA puede ser implementado en un dispositivo de forma local o
puede ser gestionado por medio de un servidor central corriendo
los protocolos RADIUS o TACACS+
Versiones
TACACS RFC 1492 puede ser implementado en Linux o Windows
XTACACS define las extensiones que Cisco agrego a TACACS
TACACS+ - es el protocolo mejorado que provee servicios AAA
RADIUS
Remote Autentication Dial-In User Services
Es una alternativa, en lugar de usar TACACS+
Desarrollado por Livingston Enterprises (ahora parte de Lucent
Technologies), RADIUS tiene tres componentes
Protocolo que usa UDP/IP
Servidor
Cliente
Versiones
IETF con aproximadamente 63 atributos
Implementacin de Cisco con aproximadamente 58 atributos
Implementacin de Lucent con aproximadamente 254 atributos
Comparacin

NetSec1V2 Modulo 4
Recomendacin
Introduccin
AAA
Services)
Control)
Passwords estticos
No es recomendable crear
aplicaciones con usuarios y
passwords estticos
Es recomendable que estas
aplicaciones consideren de
forma automtica que el
usuario cambien su password
cada cierto tiempo a fin de
incrementar el nivel de
seguridad para estas
implementaciones
One Time Passwords
Algunos accesos remotos envan los passwords a travs de la red
en texto plano, la captura de estos puede provocar problemas en
la seguridad
Una forma de resolver este problema de forma segura es usar
algoritmos que permitan el uso del password solamente una vez,
esto es lo que hace S/key
S/Key usa MD4 (Message Digest 4) o MD5 (Message Digest 5)
desarrollado por Ron Rivest, para la creacin de passwords de un
sola utilizacin
Otros mtodos de autenticacin con OTP, es usando Tokens, o
tarjetas inteligentes junto con un servidor de passwords, el cual es
distribuido a cada usuario como un PIN que se genera cada vez
que el usuario quiere acceder a algn servicio remoto
Certificados digitales
Una firma o certificado digital es un
cdigo hash encriptado que se agrega al documento
La firma digital est basada en una combinacin de una llave
pblica encriptada y un algoritmo hash de una va
La validacin se hace por medio de un CA (Certificate Authority),
el cual puede ser de terceros y es un ente confiable tanto para el
que enva y el que recibe la informacin
Para validar la firma el receptor debe primero saber la llave
publica, la cual es distribuida en otro momento, o durante la
instalacin
Herramientas Biomtricas
Lector de huella digital
Reconocimiento de voz
Reconocimiento de rasgos faciales
Reconocimiento de firma
NetSec1V2 Modulo 4
Recomendacin
Introduccin
AAA
IBNS (Identity Based
Networking Services)
Control)
Introduccin a IBNS
Es una integracin de soluciones combinando una serie de
productos Cisco, los cuales ofrecen control de autenticacin,
polticas y acceso a recursos
El Framework empresarial IBNS ofrece movilidad y reduce costos
de sobrecarga asociados a permitir y manejar el acceso seguro a
los recursos
Equipos
Catalyst 2960, 3560, 3750
Aironet 1100, 1200, 1300
Routers 2811, 2821, etc
802.1x
Es un estndar definido por IEEE, diseado para proveer acceso a la red basado puertos
seguros
802.1x autentica a los clientes usando informacin nica para cada cliente y con credenciales
conocidos nicamente por el cliente
Este servicio es llamado port-level authentication ya que por razones de seguridad, es
configurado en cada uno de los puertos de cada punto de acceso
Procesos
El punto de acceso en busqueda de acceso utilizando el supplicant
El dispositivo al cual el punto de acceso pide autorizacin, procede a dar el acceso, es conocido como el
autenticador
El autenticador acta como puerta de enlace para el servidor de autenticacin y es responsable por la
credenciales del dispositivo de acceso
Beneficios
Soporte para autenticacin 802.1x
Autenticacin basada en direccin MAC
Polticas de autorizacin por defecto
Contenedores multiples de informacion IP (Multiple DHCP pools)
Topologas inalmbrica y alambica
Punto a punto
Inalmbrica
NetSec1V2 Modulo 4
Recomendacin
Introduccin
AAA
Control)
Componentes NAC
Software de seguridad de
punto de acceso
Dispositivos de acceso a
la red
Servidor de polticas
Sistema de
mantenimiento
Fases NAC
Fase 1
Liberada en junio del 2004, permite a los routers Cisco
comunicarse con los agentes de confianza para reunir
informacin y credenciales de seguridad a fin de reforzar la
poltica de admisin
Fase 2
Los Switches Cisco en esta fase permiten asignar puntos de
acceso a segmentos en cuarentena por medio de VLANs, en
donde residen servidores que puedan tomar polticas a fin de
remediar estos problemas
Operacin NAC
1.- El cliente enva un paquete
a travs del router NAC
2.- NAD (Network Access Devices) inician la
validacin usando EAP sobre UDP
3.- El cliente enva credenciales por medio de EOU al NAD
4.- NAD manda la resolucin al Cisco ACS (Access Control Server) usando RADIUS
5.- Cisco ACS pide la validacin de la resolucin usando HCAP (Host Credential Authorizatio
Protocol) dentro de un tnel HTTPS
6.- El servidor enva la resolucin (pass, fail, quarantine, etc)
7.- Para permitir o denegar el acceso, el Cisco ACS enva el aceptar con una redireccin
ACLs/URL
8.- NAD re-enva esta resolucin al cliente
9.- El cliente es autorizado, denegado, redireccionado o contenido
Participacin de marcas

NetSec1V2 Modulo 4
Recomendacin
Introduccin
AAA
Control)

Security Tacacs AAA

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Security Tacacs AAA

Diunggah oleh

Hak Cipta:

Format Tersedia

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential BSCI 8 - 5 1

Anda mungkin juga menyukai