Capitulo 3 Autenticación, Autorización y Contabilidad (Accounting).

Una red debe ser diseñada para el control de quién tiene permiso para conectarse a ella y lo que pueden hacer cuando estén conectados. Estas especificaciones de diseño se identifican en la política de seguridad de la red. La política especifica cómo los administradores de red, los usuarios corporativos, los usuarios remotos, socios comerciales, clientes tienen acceso a los recursos de la red. La política de seguridad de la red también puede ordenar la aplicación de un sistema de contabilidad que indique las pistas que ha identificado y cuando, lo que hicieron mientras se encontraban logados.

La gestión de acceso a la red utilizando sólo el modo de usuario o los comandos de modo privilegiado de contraseñas es limitada y no escala bien. En su lugar, utilizando el protocolo de autenticación, autorización y contabilidad (AAA) proporciona el marco necesario para que se cuente con un acceso seguro escalable.

Los Routers Cisco pueden ser configurados para utilizar AAA para acceder a un usuario local y una base de datos de contraseñas. Usando un username local y una base de datos contraseña proporciona mayor seguridad que una contraseña simple y fácil de implementar una solución de seguridad. Los routers Cisco también pueden ser configurados para utilizar la AAA para acceder a un Cisco Secure Access Control Server (ACS). El uso de Cisco ACS es muy escalable, porque todos los dispositivos de acceso a la infraestructura cuentan con un servidor central. La solución de Cisco Secure ACS también es tolerante a errores, porque varios servidores pueden ser configurados. La solución de Cisco Secure ACS se suele aplicar para las grandes organizaciones.

Una práctica en el laboratorio para el capítulo, “Securing Administrative Access Using AAA and RADIUS”, permite a los estudiantes a utilizar la CLI y SDM para configurar y probar la autenticación local, con y sin AAA. La autenticación centralizada usando AAA y Radius también se estudiara.

Una actividad de Packet Tracer, configurar la autenticación de la AAA en routers Cisco, proporciona a los estudiantes de prácticas adicionales de aplicación de las tecnologías introducidas en este capítulo. Los estudiantes podran configurar la autenticación locales con y sin AAA. Basado en el servidor de autenticación AAA está configurado con TACACS + y RADIUS. Las actividades de Packet Tracer para CCNA Seguridad se encuentran en la Academia de conexión en cisco.netacad.net.

3.1.1   AAA general

Los Intrusos en la red pueden potencialmente tener acceso a equipos de red y servicios delicados. Para ayudar a prevenir el acceso no deseado, el control de acceso es necesario. El control de acceso limita quien o que se puede utilizar los recursos específicos, así como los servicios o las opciones disponibles una vez que se concedió el acceso. Muchos tipos de métodos de autenticación se puede realizar en un dispositivo de Cisco, y cada método ofrece diferentes niveles de seguridad.

La forma más simple de autenticación son las contraseñas. Este método se configura mediante un nombre de usuario y contraseña en la consola, y las líneas de los puertos vty y aux. Este método es el más fácil de implementar, pero es también el más débil y menos seguro. Las contraseñas de inicios de sesión son muy vulnerables a ataques de fuerza bruta. Además, este método no proporciona ninguna rendición de cuentas. Cualquier persona con la contraseña puede penetrar en el dispositivo y modificar la configuración.

Para ayudar a facilitar la rendición de cuentas, la autenticación de base de datos local puede llevarse a cabo utilizando uno de los siguientes comandos:

Página 1 de 45

username username password password

username username secret password

Este método crea cuentas de usuario individuales en cada dispositivo con una contraseña específica asignada a cada usuario. El método de base de datos local proporciona seguridad adicional, ya que un atacante debe conocer un nombre de usuario y una contraseña. También proporciona una mayor responsabilidad, porque el usuario se registra cuando un usuario inicia sesión. Tenga en cuenta que la combinación de comandos username password muestra la contraseña en texto plano en el fichero de configuración si el comando service password-encryption no está configurado. La combinación service password-encryption es recomendable por que provee encriptación MD5.

El método de base de datos local tiene algunas limitaciones. Las cuentas de usuario debe ser configurado de forma local en cada dispositivo. En un entorno de gran empresa que tiene varios enrutadores y conmutadores para manejar, puede tomar tiempo para aplicar y modificar bases de datos locales en cada dispositivo. Además, la configuración de base de datos local no proporciona ningún método de autenticación de reserva. Por ejemplo, ¿qué pasa si el administrador olvida el nombre de usuario y contraseña para ese dispositivo? Con ningún método de copia de seguridad disponible para la autenticación, password recovery se convierte en la única opción.

Una solución mejor es tener todos los dispositivos se refieren a la misma base de datos de nombres de usuario y contraseñas de un servidor central. Este capítulo explora los diversos métodos de obtener acceso a la red utilizando la autenticación, autorización y contabilidad - Accounting (AAA) para asegurar los routers Cisco.

Password method

Página 2 de 45

Database method

Los servicios de seguridad de red AAA proporcionan el marco principal para establecer control de acceso en un dispositivo de red. AAA es una forma de controlar a quién se permite acceder a una red (autenticación), lo que pueden hacer cuando se encuentran allí (autorizar), y para auditar las acciones que lleva a cabo mientras el acceso a la red (contable). Proporciona un alto grado de escalabilidad, aux, vty la autenticación y privilegiada comandos EXEC solo.

Las redes y la administración de seguridad AAA en Cisco tiene varios componentes funcionales:

Autentificación - Los usuarios y administradores deben demostrar que son quienes dicen ser. La autenticación puede ser elaborado a partir de combinaciones de nombre de usuario y contraseña, el desafío y respuesta de preguntas, las tarjetas de token, y otros métodos. Por ejemplo: "Soy estudiante de usuario '. Sé que la clave para demostrar que soy estudiante de usuario."

Autorización - Después de la autenticación del usuario, los servicios de autorización de determinar los recursos que el usuario puede acceder y que las operaciones que el usuario está autorizado a realizar. Un ejemplo es el "estudiante de usuario" puede acceder a serverXYZ host mediante Telnet solamente. "

Contabilidad y auditoría - Contabilidad registra lo que hace el usuario, incluyendo lo que se tiene acceso, la cantidad de tiempo que se tiene acceso a los recursos, y los cambios que se hicieron. De Contabilidad realiza un seguimiento de cómo se utilizan los recursos de red. Un ejemplo es "serverXYZ de acogida de estudiantes de usuario acceder a 'usando Telnet durante 15 minutos."

Este concepto es similar a la utilización de una tarjeta de crédito. La tarjeta de crédito determina quién puede usarlo, cómo mucho de lo que el usuario puede pasar, y mantiene a cuenta de qué artículos del usuario gastado el dinero.

Página 3 de 45

3.1.2 Características AAA.

AAA se puede utilizar para autenticar a los usuarios para el acceso administrativo o puede ser utilizado para autenticar a los usuarios para el acceso a redes remotas. Estos dos métodos de acceso utilizan distintos modos de solicitar los servicios de la AAA:

El modo de caracteres - Un usuario envía una petición para establecer un proceso de modo EXEC con el router para fines administrativos.

Modo de paquetes - Un usuario envía una solicitud para establecer una conexión a través del router con un dispositivo en la red.

Con la excepción de los comandos de la contabilidad, todos los comandos de la AAA se aplican tanto a modo de carácter y modo de paquete. Este tema se centra en garantizar el acceso en

modo de caracteres. Para una red verdaderamente segura, es importante también para configurar el router para el acceso administrativo remoto seguro y acceso a la red LAN con

servicios AAA también.

Cisco ofrece dos métodos comunes de aplicación de los servicios de AAA.

Access methods

Página 4 de 45

Local AAA Autenticación

Local AAA utiliza una base de datos local para la autenticación. Este método almacena los nombres de usuario y contraseñas a nivel local en el router de Cisco, y autenticar usuarios contra la base de datos local. Esta base de datos es la misma necesaria para establecer la función de base de la CLI. Locales de la AAA es ideal para redes pequeñas.

Basados en servidor de autenticación AAA

El servidor basado en el método utiliza un servidor de base de datos de recursos externos que aprovecha los protocolos RADIUS o TACACS +. Los ejemplos incluyen Cisco Secure Access Control Server (ACS) para Windows Server, Cisco Secure ACS Solution Engine, o Cisco Secure ACS Express. Si hay varios enrutadores, servidores basados en la AAA es más apropiado.

AAA Authorization

Después de que los usuarios se han autenticado correctamente contra la fuente de datos, seleccione la AAA (local o basada en servidor), que luego son autorizados para los recursos de red específicos. La autorización es básicamente lo que un usuario puede o no puede hacer en la red después de que el usuario es autenticado, similar a cómo los niveles de privilegios basados en roles y CLI dar a los usuarios derechos y privilegios específicos a ciertos comandos

Página 5 de 45

en el router.

La autorización es normalmente implementada usando un servidor AAA basado en la solución. Autorización creado utiliza un conjunto de atributos que describe el acceso del usuario a la red. Estos atributos son comparados con la información contenida en la base de datos de la AAA, y la determinación de las restricciones para que el usuario se haga y se entrega con el router local, donde está conectado el usuario.

La autorización es automática y no requieren que los usuarios que realizar pasos adicionales después de la autenticación. La autorización es aplicable inmediatamente después de la autenticación del usuario.

AAA de Contabilidad

De Contabilidad recopila e informa datos de uso para que pueda ser empleado para fines tales como la auditoría o la facturación. Los datos recogidos pueden incluir el inicio y finalización de conexión, los comandos ejecutados, el número de paquetes, y el número de bytes.

Contabilidad se lleva a cabo utilizando un servidor AAA basado en la solución. Este servicio de informes de estadísticas de uso de nuevo al servidor ACS. Estas estadísticas pueden ser extraídos para crear informes detallados acerca de la configuración de la red.

Un uso ampliamente extendido de la contabilidad es la combinación con la autenticación de la AAA para administrar el acceso a los dispositivos de interconexión por la red de personal administrativo. Contabilidad prevé la responsabilidad extra por encima y más allá de la autenticación. Los servidores AAA mantienen un registro detallado de exactamente lo que el usuario no autenticado en el dispositivo. Esto incluye todos los comandos de configuración EXEC y expedido por el usuario. El registro contiene varios campos de datos, incluyendo el nombre de usuario, la fecha y la hora, y el comando real que fue introducido por el usuario. Esta información es útil cuando los dispositivos de solución de problemas. También ofrece la ventaja frente a los individuos que llevan a cabo acciones maliciosas.

Página 6 de 45

3.2.1 Configuración local AAA autenticación con CLI

La autenticación local AAA, también conocida como autónomos de autenticación, se debe configurar para redes más pequeñas, como los que tienen uno o dos enrutadores de acceso a un número limitado de usuarios. Este método utiliza los nombres de usuarios locales y las contraseñas almacenadas en un router. El administrador del sistema debe rellenar la base de datos de seguridad locales mediante la especificación de perfiles de usuario y contraseña para cada usuario que pueda iniciar sesión pulg

El método de autenticación local de la AAA es similar a usar el comando local de inicio de sesión con una excepción. AAA también ofrece una manera de configurar los métodos de copia de seguridad de autenticación.

Configuración de los servicios locales de la AAA para autenticar el acceso de administrador (el acceso en modo de texto) requiere unos pasos básicos.

Paso 1. Añadir los nombres de usuario y contraseñas para la base de datos router local para los usuarios que necesitan acceso administrativo al router.

Página 7 de 45

Paso 2. Habilitar AAA a nivel mundial en el router.

Paso 3. Configurar los parámetros de la AAA en el router.

Paso 4. Confirmar y solucionar problemas de la configuración de la AAA.

Para habilitar la AAA, use el comando aaa new-model en modo global de configuración. Para deshabilitar la AAA, utilice la forma no de este comando.

Después de la AAA es permitido, para configurar la autenticación en los puertos vty, líneas asíncronas (TTY), el puerto auxiliar, o el puerto de consola, definir una lista de nombre de métodos de autenticación y luego aplicar esa lista a las distintas interfaces.

Para definir una lista de nombre de métodos de autenticación, utilice el comando aaa authentication login. Este comando requiere un nombre de lista y los métodos de autenticación. El nombre de la lista identifica la lista de métodos de autenticación se activa cuando un usuario inicia sesión pulg la lista de métodos es una lista secuencial de describir los métodos de autenticación para ser consultados para la autenticación de un usuario. Método de las listas de permitir a un administrador para que designe a uno o varios protocolos de seguridad para la autenticación. Uso de más de un protocolo proporciona un sistema de copia de seguridad para la autenticación en caso de que el método inicial falla.

Página 8 de 45

Varias palabras clave que se puede utilizar para indicar el método. Para habilitar la autenticación local con una base de datos local preconfigurado, el uso de la palabra clave local o local-case. La diferencia entre las dos opciones es que local acepta un nombre de usuario local, independientemente de caso, y local-case de mayúsculas y minúsculas. Para especificar que un usuario puede autenticar usando la contraseña de habilitación, permite la utilización de palabras clave. Para garantizar que la autenticación se realiza correctamente, incluso si todos los métodos devuelven un error, especificar none como el método final. Por motivos de seguridad, utilice la palabra clave no sólo al probar la configuración de la AAA. Nunca se debe aplicar en una red en directo.

Por ejemplo, el método podría permitir ser configurado como un mecanismo de reserva en caso de que el nombre de usuario y la contraseña es olvidada.

aaa authentication login TELNET-ACCESS local enable

En este ejemplo, una lista de autenticación AAA llamado telnet-ACCESS se crea que requiere que los usuarios intentan autenticarse en la base de datos de usuario local del router en primer lugar. Si el intento devuelve un error, como una base de datos de usuario local no está configurado, el usuario puede intentar autenticarse permitirá conocer la contraseña.

Un mínimo de un método y un máximo de cuatro métodos se pueden especificar para una lista solo método. Cuando un usuario intenta iniciar la sesión, el primer método, la lista se utiliza. El software Cisco IOS intentos de autenticación con el siguiente método de autenticación se enumeran sólo cuando no hay respuesta o un error en el método anterior se produce. Si el método de autenticación niega el acceso de los usuarios, se detiene el proceso de autenticación y no otros métodos de autenticación están permitidos.

Página 9 de 45

La lista definida de los métodos de autenticación se debe aplicar a las interfaces específicas o líneas. Para una mayor flexibilidad, las listas de método diferente puede ser aplicado a diferentes interfaces y las líneas. Por ejemplo, un administrador puede aplicar una sesión especial para Telnet y, a continuación tienen un método de acceso de la línea de la consola. Para habilitar un nombre de lista específica, el comando aaa login authentication list-name en el modo linea de configuración.

También existe la opción de configurar un nombre de lista por defecto. Cuando la AAA es habilitar por primera vez, la lista de métodos por defecto denominado "default" se aplica automáticamente a todas las interfaces y las líneas, pero no tiene los métodos de autenticación definidos. Para asignar varios métodos de autenticación de la lista por defecto, utilice el comando aaa authentication login default method1... [method4].

Los métodos de autenticación en la lista por defecto se utiliza por defecto en todas las líneas, a menos que se crea una lista personalizada método de autenticación. Si una interfaz o línea tiene una lista de métodos no predeterminado que se le aplica, este método anula la lista de métodos por defecto para esa interfaz. Si la lista por defecto no está establecido y no hay otra lista, sólo la base de datos de usuario local está marcada. Esto tiene el mismo efecto que el comando aaa authentication login default local. En la consola, inicio de sesión sin éxito todas las comprobaciones de autenticación por defecto si no se establece.

Una vez que un método de autenticación personalizado lista se aplica a una interfaz, es posible volver a la lista método predeterminado utilizando el comando no aaa authentication login list-name. Si la lista por defecto no se ha definido, entonces la autenticación AAA no se produce.

Adicionales para implementar seguridad puede usar el comando aaa local authentication attempts max-fail number-of-unsuccessful-attempts en el modo global de configuracion. Este comando asegura las cuentas de usuario de AAA por Bloqueo de cuentas que tienen exceso de intentos fallidos. Para eliminar el número de intentos infructuosos, cuando se creó, utiliza el formulario no de este comando.

Página 10 de 45

Para mostrar una lista de todos los usuarios que estén, use el comando show aaa local user lockout en modo EXEC privilegiado. Usar el comando clear aaa local user lockout {username username | all} en modo EXEC privilegiado para desbloquear un usuario específico o para desbloquear todos los usuarios bloqueados.

El comando aaa local authentication attempts max-fail difiere de la orden login delay en los intentos de la forma en que maneja. El comando aaa local authentication attempts max-fail bloquea la cuenta de usuario si la autenticación falla. Esta cuenta se queda bloqueada hasta que se borra por un administrador. El comando login delay introduce un retraso entre los intentos de acceso fallidos sin bloquear la cuenta.

Cuando un usuario se registra en un router Cisco y utiliza la AAA, un identificador único asignado a la sesión. A lo largo de la vida de la sesión, varios atributos que están relacionados con el período de sesiones se recogen y almacenan internamente dentro de la base de datos de la AAA. Estos atributos pueden incluir la dirección IP del usuario, el protocolo que se utiliza para acceder al router, como PPP o Serial Line Internet Protocol (SLIP), la velocidad de la conexión, y el número de paquetes o bytes que se reciben o transmisión.

Para mostrar los atributos que se recogen para una sesión de la AAA, use el comando show aaa user {all | unique id} en modo EXEC privilegiado. Este comando no facilitar información a todos los usuarios que se registran en un dispositivo, pero sólo para aquellos que han sido autenticados o autorizado el uso AAA o cuyas sesiones se contabilizan por el módulo de la AAA.

El programa AAA sesiones de comando se puede utilizar para mostrar el identificador único de una sesión.

3.2.2 Configurando AAA autenticación local con SDM

AAA está activado por defecto en Cisco SDM, pero es una buena idea para confirmar que está habilitado actualmente. Para comprobar la configuración de la AAA y AAA para activar o desactivar, seleccione Configuración> Tareas adicionales> AAA.

Página 11 de 45

Si el botón se hace clic en Deshabilitar AAA, Cisco SDM muestra un mensaje informativo que indica que se efectuarán los cambios de configuración para asegurarse de que el router se puede acceder después de la AAA está deshabilitada.

La primera tarea cuando se utiliza SDM para configurar los servicios de AAA para la autenticación local es la creación de los usuarios:

Paso 1. Elija Configurar> Tareas adicionales> Router de acceso> Cuentas de usuario / View.

Paso 2. Haga clic en Agregar para agregar un nuevo usuario.

Paso 3. En el complemento de una ventana de cuenta, escriba el nombre de usuario y contraseña en los campos correspondientes para definir la cuenta de usuario.

Paso 4. Desde la caída de nivel de privilegios de lista, elija 15, cuando hay diferentes niveles de privilegio menor definido.

Paso 5. Si las opiniones se han definido, marque Associate a View with the User y elegir una vista de la lista Nombre de vista que está asociado con un usuario.

Paso 6. Haga clic en Aceptar.

El comando CLI que genera es de Cisco SDM es username AAAadmin privilege 15 secret 5 $1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root.

Página 12 de 45

Para configurar la autenticación AAA, un administrador primero debe definir una lista de métodos de autenticación para el método predeterminado o configurar una lista con nombre y método de aplicación. Listas método diferente puede ser creado y aplicado a diferentes interfaces o líneas.

Configurar la lista método predeterminado para la autenticación de inicio de sesión utilizando la base de datos local:

Paso 1. Elija Configurar> Tareas adicionales> AAA> políticas de autenticación> Iniciar y haga clic en Agregar.

Paso 2. En Añadir una lista de métodos de autenticación de ventana de acceso, compruebe que está seleccionado por defecto en el desplegable Nombre de lista.

Paso 3. Haga clic en Agregar.

Paso 4. En la lista seleccione Método (s) para la autenticación de ventana de inicio, seleccione locales de la lista de métodos.

Paso 5. Haga clic en Aceptar.

El comando CLI que Cisco SDM genera es la autenticación por defecto AAA inicio de sesión local.

Página 13 de 45

3.2.3 Troubleshooting Autenticación AAA Local

El router Cisco ha depuración de comandos que son útiles para solucionar problemas de autenticación. El comando debug aaa contiene varias palabras clave que pueden ser utilizados para este propósito. De especial interes el comando debug aaa authentication.

El mejor momento para entender resultados de la depuración es cuando todo está funcionando correctamente. Saber cómo muestra la salida de depuración cuando todo va bien ayuda a identificar los problemas cuando las cosas no están funcionando correctamente. Extrema la precaución al utilizar el comando de depuración en un entorno de producción ya que estos comandos de colocar una carga importante en los recursos de router y puede afectar al rendimiento de la red.

Página 14 de 45

El comando debug aaa authentication es instrumental al solucionar problemas de la AAA. Para desactivar este comando, use la forma no del comando o que todo lo abarca undebug all declaración.

Buscan específicamente GETUSER y mensajes de estado GETPASS. El mensaje de método también es útil a la hora de determinar qué método de la lista se hace referencia.

3.3.1 Servidor Basado en características AAA.

 La implementación local de AAA no escala bien. La mayoría de los entornos corporativos tiene varios routers Cisco con múltiples administradores de router y cientos o miles de usuarios que necesitan acceso a la LAN corporativa. El mantenimiento de bases de datos locales para cada router de Cisco para este tamaño de la red no es factible.

Página 15 de 45

Para resolver este problema, uno o más servidores AAA, como Cisco Secure ACS, se puede utilizar para administrar el acceso de usuarios y necesidades administrativas de una red corporativa completa. Cisco Secure ACS puede crear una base de datos central de usuarios y acceso administrativo que todos los dispositivos en la red pueden tener acceso. También puede trabajar con muchas bases de datos externas, como Active Directory y Lightweight Directory Access Protocol (LDAP). Estas bases de datos almacenan la información de usuario de cuenta y contraseñas, permitiendo a la administración central de cuentas de usuario.

La familia Cisco Secure ACS de productos soporta tanto el acceso de Control de Acceso de Terminal Server Plus (TACACS +) y remota Dial-in User Services (RADIUS) protocolos, que son los dos protocolos predominante utilizado por los aparatos de seguridad de Cisco, routers y switches de aplicación de la AAA .

Si bien ambos protocolos pueden ser utilizados para la comunicación entre cliente y servidores AAA, TACACS + se considera el protocolo más seguro. Esto es porque todos los TACACS + se cifran los intercambios de protocolo; Radius sólo cifra la contraseña de usuario. Que no encriptar los nombres de usuario, la información contable, o cualquier otra información que lleva en el mensaje de radius.

Página 16 de 45

TACACS + y RADIUS son protocolos de autenticación. Cada uno soporta diferentes capacidades y funcionalidad. Si TACACS + o RADIUS está seleccionado depende de las necesidades de la organización. Por ejemplo, un gran ISP podría seleccionar RADIUS porque apoya la contabilidad detallada necesaria para los usuarios de facturación. Una organización con diversos grupos de usuarios pueden seleccionar TACACS +, ya que requiere autorización de seleccionar las políticas que deben aplicarse en un esquema por usuario o por grupo.

Protocolos Es importante comprender las diferencias que existen entre el TACACS + y RADIUS.

Los factores críticos para TACACS + incluyen:

Es incompatible con TACACS y XTACACS Separa la autenticación y autorización Cifra toda la comunicación Utiliza el puerto TCP 49

Los factores críticos para el radio incluyen:

Utiliza los servidores proxy RADIUS para la escalabilidad Combina la autenticación RADIUS y la autorización como un proceso. Sólo encripta la contraseña Utiliza UDP Soporta las tecnologías de acceso remoto, 802.1X, y SIP

Página 17 de 45

TACACS + es una mejora de Cisco para el protocolo original TACACS. A pesar de su nombre, TACACS + es un programa totalmente nuevo protocolo que es incompatible con cualquier versión anterior de TACACS. TACACS + con el apoyo de la familia Cisco de routers y servidores de acceso como parte del mantenimiento de Cisco IOS versión 10.3. Cisco está actualmente presentando TACACS + para el IETF grupos de trabajo y está contribuyendo a la adopción de las normas y protocolo emergentes.

TACACS + proporciona por separado los servicios de AAA. La separación de los servicios de la AAA ofrece flexibilidad en la aplicación, ya que es posible utilizar TACACS + para la autorización y contabilidad, mientras que con cualquier otro método de autenticación.

Las extensiones al protocolo TACACS + ofrecer más tipos de solicitudes de autenticación y los códigos de respuesta que se encontraban en la especificación original TACACS. TACACS + ofrece soporte multiprotocolo, tales como IP y AppleTalk. TACACS + normal funcionamiento encripta todo el cuerpo del paquete para las comunicaciones más seguras y utiliza el puerto TCP 49.

RADIUS, desarrollados por las empresas de Livingston, es un protocolo IETF abierto AAA estándar para aplicaciones tales como acceso a la red o movilidad IP. RADIUS los trabajos en situaciones tanto a nivel local y en itinerancia, es comúnmente utilizado para fines contables.

Página 18 de 45

RADIUS está definido por RFC 2865, 2866, 2867 y 2868.

Las contraseñas de protocolo RADIUS oculta durante la transmisión, incluso con el Protocolo de autenticación de contraseña (PAP), mediante una operación bastante compleja que implica Message Digest 5 (MD5) de hash y un secreto compartido. Sin embargo, el resto del paquete se envía en texto plano.

RADIUS combina la autenticación y autorización como un proceso. Cuando se autentica a un usuario, dicho usuario también está autorizado. RADIUS utiliza el puerto UDP 1645 o 1812 para la autenticación y el puerto UDP 1646 o 1813 para la contabilidad.

RADIUS es ampliamente utilizado por los proveedores de servicios VoIP. Pasa las credenciales de acceso de un protocolo de inicio de sesión (SIP) del punto final, como un teléfono de banda ancha, a un registro SIP utiliza autenticación implícita y, a continuación a un servidor RADIUS mediante RADIUS. RADIUS es un protocolo de autenticación común que es utilizado por el estándar de seguridad 802.1X.

El protocolo de diámetro es la sustitución prevista para RADIUS. De diámetro utiliza un protocolo de transporte llamado Stream Control Transmission Protocol (SCTP) y TCP en lugar de UDP.

3.3.3. Cisco Secure ACS

Muchas empresas de servidores de autenticación a nivel están en el mercado hoy en día. Funk Steel-Belted servidor RADIUS, Empresas Livingston 'Administrador de facturación de autenticación RADIUS y servidores RADIUS Mérito Networks son bien conocidos. Aunque se trata de compañías de prestigio con productos populares, carecen de la capacidad de combinar tanto los protocolos de TACACS + y RADIUS en una única solución. Afortunadamente, el Cisco Secure ACS para Windows Server (ACS) es una solución única que ofrece la AAA, tanto para TACACS + y RADIUS.

Cisco Secure ACS es una altamente escalable y de alto rendimiento de control de acceso al servidor que puede ser empleado para controlar el acceso de administrador y la configuración para todos los dispositivos de red en una red de apoyo RADIUS o TACACS + o ambos. Cisco Secure ACS ofrece varias ventajas:

Amplía la seguridad de acceso mediante la combinación de la autenticación, acceso de los usuarios, y de acceso de administrador con control de la política dentro de una solución centralizada de la identidad en red.

Página 19 de 45

Permite una mayor flexibilidad y movilidad, el aumento de la seguridad, y el usuario las ganancias de productividad.

Aplica una política de seguridad uniforme para todos los usuarios, independientemente de cómo acceder a la red. Reduce la carga administrativa y de gestión, cuando la escala del usuario y administrador de la red de acceso a la red.

Cisco Secure ACS utiliza una base de datos central. Se centraliza el control de todos los privilegios de usuario y los distribuye a los puntos de acceso en toda la red. Cisco Secure ACS proporciona informes detallados y la capacidad de supervisión del comportamiento del usuario, las conexiones de acceso, y los cambios de configuración de dispositivos. Esta característica es extremadamente importante para las organizaciones tratan de cumplir con las regulaciones gubernamentales diferentes. Cisco Secure ACS soporta una amplia variedad de conexiones de acceso, incluyendo cable y wireless LAN, acceso conmutado, banda ancha, de contenido, almacenamiento, VoIP, firewalls y redes privadas virtuales (VPN).

Cisco Secure ACS proporciona una variedad de características avanzadas:

Servicio de monitoreo automático de La sincronización de bases de datos y la importación de herramientas para despliegues a gran escala La autenticación LDAP apoyo a los usuarios De usuario y la información de acceso administrativo Restricciones de acceso a la red basado en criterios tales como la hora del día y el día de la semana Perfiles de usuario y grupo de dispositivos

Página 20 de 45

Cisco Secure ACS es un componente importante de la identidad de Cisco Servicios Basados en la Red (IBNS) de la arquitectura. Cisco IBNS se basa en el puerto de normas de seguridad, tales como IEEE 802.1X y el Protocolo de Autenticación Extensible (EAP), y amplía la seguridad en el perímetro de la red a cada punto de conexión dentro de la LAN. Control de políticas nuevas, como por las cuotas de usuario, las asignaciones de VLAN y listas de control de acceso (ACL) se puede implementar dentro de esta nueva arquitectura. Esto se debe a la capacidad ampliada de conmutadores de Cisco y los puntos de acceso inalámbrico a la consulta Cisco Secure ACS sobre el protocolo RADIUS.

Cisco Secure ACS es también un componente importante de Cisco Network Admission Control (NAC). Cisco NAC es una iniciativa de la industria patrocinada por Cisco. Cisco NAC utiliza la infraestructura de red para reforzar la seguridad, cumplimiento de políticas en todos los dispositivos que buscan acceso a los recursos informáticos de la red. Esto limita los daños de los virus y gusanos. Con NAC de Cisco, los clientes pueden optar por permitir acceso a la red sólo a los dispositivos de punto final y compatible con confianza y restringir el acceso de los dispositivos que no cumplen. NAC es parte de la autodefensa de Cisco iniciativa de la red y es la base para permitir NAC en Layer 2 y Layer 3 redes. Las fases futuras de punto final y de ampliar la interoperación de seguridad de red para incluir incidente capacidades dinámicas de contención. Esta innovación permite a los elementos del sistema compatible con el uso indebido de informe que emana de delincuentes o los sistemas infectados durante un ataque. Los sistemas infectados pueden ser dinámicamente en cuarentena desde el resto de la red para reducir significativamente el virus, gusano, y la propagación de amenazas combinadas.

Cisco Secure ACS tiene de alto rendimiento y muchas características de escalabilidad:

Facilidad de uso - Una interfaz web de usuario basada simplifica y distribuye la configuración de perfiles de usuario, perfiles de grupo, y la configuración de Cisco Secure ACS. Escalabilidad - Cisco Secure ACS está construido para proporcionar grandes entornos de red con soporte para servidores redundantes, bases de datos remotas, y la replicación de bases de datos y servicios de copia de seguridad.

Página 21 de 45

Extensibilidad - El envío de autenticación LDAP soporta la autenticación de los perfiles de usuario que se almacenan en los directorios de los proveedores líderes de directorio, como Sun, Novell y Microsoft. Gestión - Microsoft Windows Active Directory consolida nombre de usuario de Windows y la gestión de contraseñas y se utiliza el Monitor de rendimiento real de Windows para ver las estadísticas de tiempo. Administración - Diferentes niveles de acceso para cada administrador de Cisco Secure ACS y la capacidad de los dispositivos de red del grupo hacen que le sea más fácil y flexible para controlar la aplicación y los cambios de la administración de políticas de seguridad para todos los dispositivos en una red. La flexibilidad de productos - Porque el software Cisco IOS ha incorporado soporte para AAA, Cisco Secure ACS puede ser utilizado en prácticamente cualquier servidor de red de acceso de Cisco que vende (la versión del software Cisco IOS que soporte RADIUS y TACACS +). Cisco Secure ACS está disponible en tres opciones: Cisco Secure ACS Solution Engine, Cisco Secure ACS Express y Cisco Secure ACS para Windows. Integración - El ala de acoplamiento con los routers Cisco IOS y soluciones de VPN proporciona características tales como multichasis Multilink PPP y comandos de Cisco IOS Software autorización. Soporte de terceros - Cisco Secure ACS ofrece soporte de servidor de fichas para cualquier contraseña de un solo (OTP) de los proveedores que proporciona una interfaz de RADIUS RFC-compatible, como RSA, PassGo, Secure Computing, ActiveCard, Vasco, o tarjeta criptográfica. Control - Cisco Secure ACS proporciona cuotas dinámica para restringir el acceso según la hora del día, el uso de la red, el número de sesiones registradas, y el día de la semana.

Cisco Secure ACS está disponible como software instalado en un servidor de Windows o en un rack de 1U montable, la seguridad del servidor endurecido, como ACS o ACS Solution Engine Express. Todas están basadas en servidor ejemplos de prestación de servicios de AAA utilizando una base de datos de seguridad remota.

Página 22 de 45

La ACS Seguro de Cisco para la opción de Windows permite a los servicios de la AAA en un router en contacto con un seguro externo Cisco ACS instalado en un sistema de servidor de Windows para autenticación de usuarios y administrador.

Cisco Secure ACS Solution Engine es una unidad de rack de 1U montable, la seguridad-dispositivo hardware con un pre-instalado licencia de Cisco Secure ACS. Se debe usar en las grandes organizaciones, donde más de 350 los usuarios deben ser apoyadas. En comparación con el Cisco Secure ACS para el producto de Windows, Cisco Secure ACS Solution Engine reduce el coste total de propiedad al eliminar la necesidad de instalar y mantener una máquina de servidor de Microsoft Windows.

Cisco Secure ACS Express es también una unidad de rack de 1U montable, la seguridad-dispositivo hardware con un pre-instalado Cisco Secure ACS licencia expresa. La diferencia es que la opción de ACS Express está pensado para comerciales (menos de 350 usuarios), comercio minorista, y la rama implementaciones empresariales de oficina. ACS Express ofrece un completo conjunto de características todavía simplificado, un GUI fácil de usar, y un precio más bajo que permite a los administradores implementar este producto en los casos en Cisco Secure ACS para Windows Server o Cisco Secure ACS Solution Engine podría no ser adecuado.

Aunque en este capítulo se centra en el despliegue de Cisco Secure ACS para Windows Server, los conceptos y características que se describen también están disponibles en la solución de motor y ACS ACS Express.

3.3.4 Configuración Cisco Secure ACS.

Antes de instalar Cisco Secure ACS, es importante preparar el servidor. En tercer lugar los requisitos de software y de la red y los requisitos de puerto del servidor y los dispositivos de la AAA debe ser considerado.

Página 23 de 45

Software de terceros Requerimientos Los productos de software que se mencionan en las notas de publicación son soportados por Cisco para la interoperabilidad. Apoyo a las cuestiones de interoperabilidad con los productos de software que no se mencionan en las notas de publicación podría ser difícil de alcanzar. La versión más reciente de las notas de Cisco Secure ACS liberación se publican en Cisco.com.

Tenga en cuenta que en la solicitud de Cisco Secure ACS, un cliente es un router, un switch, firewall, o de concentrador de VPN que utiliza los servicios del servidor.

Requisitos de red y puertos La red debe cumplir los requisitos especificados antes de comenzar el despliegue de los administradores de Cisco Secure ACS:

Para TACACS + y RADIUS completo apoyo en los dispositivos Cisco IOS, los clientes de la AAA debe ejecutar Cisco IOS versión 11.2 o posterior.

Los dispositivos de Cisco que no son clientes de Cisco IOS AAA debe estar configurado con TACACS +, RADIUS, o ambos.

Dial-in, VPN, o los clientes inalámbricos deben poder conectarse a los clientes aplicables AAA.

El equipo que ejecuta Cisco Secure ACS debe ser capaz de llegar a todos los clientes de la AAA utilizando ping.

Los dispositivos de puerta de enlace entre la ACS Seguro de Cisco y otros dispositivos de red debe permitir la comunicación a través de los puertos que son necesarios para apoyar la función de aplicación o protocolo.

Un navegador web compatible debe estar instalado en el equipo con Cisco Secure ACS. Para la información más reciente acerca de los navegadores probados, ver las notas de la versión para el producto de Cisco Secure ACS en Cisco.com.

Todas las NIC en el equipo con Cisco Secure ACS debe estar habilitado. Si hay una tarjeta de red con discapacidad en el equipo con Cisco Secure ACS, la instalación de Cisco Secure ACS podría proceder lentamente debido a los retrasos causados por el CryptoAPI de Microsoft.

Después de instalar correctamente Cisco Secure ACS, algunos de configuración inicial debe realizarse. La única manera de configurar un servidor de Cisco Secure ACS es a través de un interfaz HTML.

Para acceder a la interfaz de Cisco Secure ACS HTML del equipo que está ejecutando Cisco Secure ACS, utiliza el icono de Cisco Secure ACS etiquetados administrador que aparece en el escritorio o introduzca la siguiente URL en un navegador web compatible: http://127.0.0.1: 2002.

La ACS Secure Cisco también se puede acceder de forma remota después de una cuenta de usuario administrador está configurado. Para acceder remotamente Cisco Secure ACS, escriba http://dirección_ip [hostname]: 2002. Después de la conexión inicial, un puerto diferente dinámica de negociación.

La página de inicio de Cisco Secure ACS está dividida en marcos. Los botones de la barra de navegación representan áreas o funciones que pueden ser configurados:

Configuración de usuario Grupo de instalación de Compartido perfil Componentes Configuración de la red Configuración del sistema

Página 24 de 45

Interfaz de configuración de Administración Control Bases de datos de usuarios externos Validación de Postura Perfiles de acceso a la red Informes y Actividad Documentación en línea

Si las opciones RADIUS no se muestran, el cliente AAA que usa el protocolo RADIUS se añaden. Además, la configuración de la interfaz está directamente afectada por los ajustes en la configuración de la red.

Antes de configurar un router, un switch o firewall como un cliente de TACACS + o RADIUS, el cliente de la AAA para el servidor debe ser añadido y la dirección IP y la clave de cifrado especificado. La página de configuración de red es donde los clientes AAA son agregados, eliminados, o modificados.

Para crear un cliente de la AAA, utilice la página de configuración de red:

Paso 1. Haga clic en Network Configuration en la barra de navegación. La página de configuración de red aparece.

Paso 2. En la sección de Clientes AAA, haga clic en Añadir entrada.

Paso 3. Introduzca el nombre de host del cliente en el campo de nombre de host del cliente AAA. Por ejemplo, escriba el nombre del router que será un cliente de la AAA para el servidor. En la aplicación de Cisco Secure ACS, un cliente es un router, un switch, firewall, o de concentrador de VPN que utiliza los servicios del servidor.

Paso 4. Escriba la dirección IP en el campo AAA Dirección IP del cliente.

Paso 5. Introduzca la clave secreta que el cliente utiliza para el cifrado en el ámbito de secreto compartido.

Página 25 de 45

Paso 6. Elija el protocolo adecuado de la AAA de la autenticación mediante la lista desplegable.

Paso 7. Complete otros parámetros según sea necesario.

Paso 8. Haga clic en Enviar y en Aplicar.

Las opciones que están disponibles en el botón de navegación de configuración de interfaz permiten al administrador controlar la visualización de las opciones en la interfaz de usuario. Las opciones específicas mostradas dependen de si TACACS + o RADIUS clientes se han añadido al servidor:

Datos de usuario de configuración TACACS + (Cisco IOS) RADIUS (Microsoft) RADIUS (Ascend) RADIUS (IETF) RADIUS (IOS / PIX) Opciones avanzadas

El enlace de datos de configuración de usuario permite a los administradores personalizar los campos que aparecen en la configuración de usuario y la configuración de Windows. Los administradores pueden agregar campos, tales como el número de teléfono, lugar de trabajo, el nombre del supervisor, o cualquier otra información pertinente.

El TACACS + (Cisco IOS) enlace permite al administrador configurar TACACS + ajustes, así como añadir nuevos TACACS + servicios. Los administradores también pueden configurar las opciones avanzadas que afectan a lo que se muestra en la interfaz de usuario.

Página 26 de 45

Cisco Secure ACS puede ser configurado para reenviar la autenticación de los usuarios a una o más bases de datos de usuarios externos. Soporte para bases de datos de usuarios externos significa que Cisco Secure ACS no requiere entradas de usuario duplicados que se creará en la base de datos de usuario de Cisco Secure. En organizaciones en las que una base de datos de usuario importante ya existe, como un entorno Active Directory, Cisco Secure ACS puede aprovechar el trabajo ya ha invertido en la construcción de la base de datos sin ninguna aportación adicional.

Para la mayoría de configuraciones de bases de datos, excepto para bases de datos de Windows, Cisco Secure ACS admite sólo un ejemplo de un nombre de usuario y contraseña. Si Cisco Secure ACS está configurado para utilizar bases de datos de múltiples usuarios con nombres de usuario almacenados en común cada uno, tener cuidado con las configuraciones de base de datos. La primera base de datos para coincidir con las credenciales de autenticación del usuario es el único que utiliza Cisco Secure ACS para el usuario. Es por esta razón que se recomienda que haya una sola instancia de un nombre de usuario en todas las bases de datos externas.

Utilice el botón de usuario Bases de datos externas para configurar Cisco Secure ACS para acceder a bases de datos externas:

Paso 1. Haga clic en el botón de usuario Bases de datos externas de la barra de navegación. La ventana de usuario Bases de datos externas aparece con los siguientes enlaces:

User unknown Política - Configura el procedimiento de autenticación para los usuarios que no se encuentran en la base de datos de Cisco Secure ACS. La base de datos Grupo de Asignaciones - Configura los privilegios de grupo de usuarios lo que la base de datos externa heredar cuando Cisco Secure ACS autentica. En la mayoría de los casos, cuando un usuario está autenticado por una base de datos de usuarios externos, de los privilegios reales se obtienen de Cisco Secure ACS y no la base de datos externa. Configuración de bases de datos - Define los servidores externos que Cisco Secure ACS trabaja.

Paso 2. Haga clic en la base de datos de configuración. La base de datos externa panel de configuración de usuario aparece, mostrando las siguientes opciones:

RSA SecurID Token servidor Token servidor RADIUS

Página 27 de 45

Exteriores base de datos ODBC Base de datos de Windows LEAP proxy servidor RADIUS Genérico LDAP

Paso 3. Para utilizar la base de datos de Windows como una base de datos externa, haga clic en la base de datos de Windows. El usuario de Windows externos panel de configuración de base de datos aparece.

La configuración de Windows externa base de datos tiene más opciones que otras formaciones de base de datos externa. Debido a que Cisco Secure ACS es nativo del sistema operativo Windows, los administradores pueden configurar la funcionalidad adicional en el exterior de Windows panel de configuración de usuario de base de datos.

Paso 4. Para configurar la funcionalidad de base de datos adicionales de Windows, haga clic en Configurar en el panel exterior de usuario de base de datos de configuración. La base de datos de usuario de Windows ventana de configuración aparece.

Paso 5. Si hay más control sobre quién es capaz de autenticar a la red es necesario, la opción de permiso Dialin también se puede configurar. En la sección de permisos Dialin, compruebe el Compruebe que el "permiso Dialin subvención al usuario" ha sido activada desde el Administrador de usuarios para los usuarios de Windows configurado para el usuario de Windows casilla de verificación de autenticación de base de datos. También asegúrese de que el permiso de Dialin subvención casilla de verificación está activada en el perfil de los usuarios de Windows en Windows Manager.

La opción de permisos Dialin de Cisco Secure ACS se aplica a algo más que las conexiones de acceso telefónico. Si un usuario tiene esta opción activada, se aplica a cualquier acceso que el usuario intenta hacer.

Otra opción que se puede configurar mediante la base de datos de Windows es el mapeo de bases de datos externas a los dominios. Mapping permite a un administrador tienen el mismo nombre de usuario a través de dominios diferentes, todos con contraseñas diferentes.

Página 28 de 45

3.3.3.5 Configuración grupo de Usuarios cisco ACS

Después de Cisco Secure ACS está configurado para comunicarse con una base de datos de usuarios externos, puede ser configurado para autenticar a los usuarios con la base de datos de usuarios externos en una de dos maneras:

Por la asignación de usuarios específicos - los usuarios de autenticación específicos, con una base de datos de usuarios externos. Por la política de usuario desconocido - Use una base de datos externa para autenticar a los usuarios que no se encuentran en la base de datos de usuario de Cisco Secure. Este método no requiere a los administradores definir los usuarios en la base de datos del usuario de Cisco Secure.

Usar la Bases de datos externas de usuario a configurar la directiva de usuario desconocido:

Paso 1. En la barra de navegación, haga clic en Usuario Externo bases de datos.

Paso 2. Desconocido Haga clic en la política de usuario.

Paso 3. Permitir que la política usuario desconocido marcando la casilla en la sección de usuario desconocido Política.

Paso 4. Para cada base de datos que los administradores desean Cisco Secure ACS para utilizar cuando se intenta autenticar a los usuarios desconocidos, seleccione la base de datos en la lista de bases de datos externos y haga clic en el botón de flecha derecha para moverla a la lista de bases de datos seleccionadas. Para eliminar una base de datos de la lista de bases de datos seleccionadas, seleccione la base de datos y, a continuación, haga clic en el botón de flecha izquierda para volver a la lista de bases de datos externas.

Paso 5. Para asignar el orden en que Cisco Secure ACS controles las bases de datos externos seleccionados al intentar autenticar un usuario desconocido, haga clic en un nombre de base de datos en la lista de bases de datos seleccionadas y haga clic arriba o hacia abajo para moverlo a la posición deseada. Coloque la base de datos que tienen más probabilidades de

Página 29 de 45

autenticar a los usuarios desconocidos en la parte superior de la lista.

Paso 6. Haga clic en Enviar.

Después de un usuario se autentica a una base de datos externa, la autorización que se lleva a cabo es determinado por Cisco Secure ACS. Esto puede complicar las cosas, porque los usuarios que se autentican mediante un servidor de Windows puede requerir la autorización diferente a los usuarios que se autentican por el servidor LDAP.

Debido a esta necesidad potencial de autorizaciones diferentes, lugar que los usuarios son autenticados por el servidor de Windows en un grupo y que los usuarios son autenticados por el servidor LDAP en otro grupo. Para ello, las asignaciones de uso de base de datos de grupo.

Asignaciones de grupos de base de datos permitirá a los administradores asignar un servidor de autenticación, tales como LDAP, Windows, ODBC, y así sucesivamente, a un grupo que se ha configurado en Cisco Secure ACS. Para algunas bases de datos, un usuario puede pertenecer a un solo grupo. Para otras bases de datos, tales como LDAP y Windows, soporte para la asignación de grupos externos por grupo de miembros de base de datos es posible.

Una de las cosas que se pueden configurar en una configuración de grupo es por autorización del grupo de comandos, que utiliza Cisco Secure ACS para autorizar que los comandos del router a los usuarios que pertenecen a un grupo puede ejecutar. Por ejemplo, un grupo puede ser permitido ejecutar cualquier comando router excepto show running-config.

Paso 1. Haga clic en configuración de los grupos en la barra de navegación.

Paso 2. Elija el grupo para editar, el Grupo predeterminado, por ejemplo, y haga clic en Editar configuración.

Paso 3. Permiso Haga clic en el incomparable opción de comandos de Cisco IOS.

Paso 4. Marque la casilla de comandos y escriba muestran en el cuadro de texto. En el cuadro de texto Argumentos, escriba niegan running-config.

Paso 5. Para la opción de argumentos incluidos en la lista, haga clic en Permitir.

Página 30 de 45

Agregar una cuenta de usuario y la configuración de acceso de los usuarios es una tarea crítica para Cisco Secure ACS:

Paso 1. Haga clic en Configuración de usuario en la barra de navegación.

Paso 2. Introduzca un nombre de usuario en el campo de usuario y haga clic en Agregar o Editar.

Paso 3. En el panel de edición, introduzca los datos en los campos para definir la cuenta de usuario. Algunos de los campos necesarios son probablemente los campos de usuario contraseña, TACACS + permiten el control, TACACS + permitir la contraseña, y TACACS + comandos de shell autorizado.

Paso 4. Haga clic en Enviar.

Si hay propiedades de usuario necesario que usted no ve, compruebe la configuración de la interfaz. Para modificar la interfaz de usuario, seleccione Configuración de la interfaz> Datos de usuario de configuración.

Página 31 de 45

3.4.1 Configurando un servidor basado en AAA en CLI

A diferencia de local AAA de autenticación, basado en el servidor AAA debe identificar diversas TACACS + y servidores RADIUS que el servicio de AAA debe consultar al autenticar y autorizar a los usuarios.

Hay algunos pasos básicos para configurar el servidor de autenticación basada en:

Paso 1. A nivel mundial permitirá AAA para permitir el uso de todos los elementos de AAA. Este paso es un requisito previo para todos los demás comandos AAA.

Paso 2. Especifique el Secure ACS de Cisco, que prestará servicios de la AAA para el router. Esto puede ser un TACACS + o un servidor RADIUS.

Paso 3. Configurar la clave de cifrado necesaria para cifrar la transmisión de datos entre el servidor de acceso de red y Cisco Secure ACS.

Paso 4. Configurar el método de autenticación AAA lista para referirse a la TACACS + o un servidor RADIUS. Para la redundancia, es posible configurar más de un servidor.

Página 32 de 45

Configurar un TACACS + de servidor y de claves de cifrado

Para configurar un servidor TACACS +, utilice el comando tacacs-server host ip-address single-connection

La palabra single-connection en TCP mejora el rendimiento mediante el mantenimiento de una conexión TCP único para la vida de la sesión. De lo contrario, por defecto, una conexión TCP se abre y se cierra para cada sesión. Si es necesario, TACACS + múltiples servidores pueden identificarse introduciendo su dirección IP respectivo utilizando el comando tacacs-server host.

A continuación, utilizar el comando tacacs-server key key para configurar la clave secreta compartida para cifrar la transferencia de datos entre el servidor TACACS + y AAA-enabled router. Esta clave debe ser configurado exactamente el mismo en el router y el servidor TACACS +.

Configurar un servidor RADIUS y clave de cifrado

Para configurar un servidor RADIUS, use el comando radius-server host ip-address. Debido RADIUS utiliza UDP, no hay un equivalente de palabras clave de conexión único. Si es necesario, varios servidores RADIUS pueden ser identificados mediante la introducción del comando radius-server host para cada servidor.

Para configurar la clave secreta compartida para el cifrado de la contraseña, utiliza el comando radius-server key key . Esta clave debe ser configurada exactamente de la mismo router y el servidor RADIUS.

Configurar la autenticación para utilizar el servidor AAA

Cuando los servidores de seguridad AAA han sido identificados, los servidores deben ser incluidos en la lista de métodos con el comando aaa authentication login . Servidores AAA se identifican con el grupo de TACACS + o palabras clave del grupo de radio. Por ejemplo, para configurar una lista de métodos para el inicio de sesión predeterminado para autenticar usando un servidor RADIUS, un servidor TACACS + o un nombre de usuario de base de datos local, utilice el comando aaa authentication login default group radius group tacacs+ local-case.

Página 33 de 45

3.4.2 Configurando un servidor basado en AAA en SDM

Si se utiliza SDM para TACACS + de apoyo, es necesario especificar una lista de servidores disponibles de Cisco Secure ACS que proporcionan los servicios de TACACS + para el router:

Paso 1. En la página de inicio de Cisco SDM, seleccione Configuración> Tareas adicionales> AAA> Servidores AAA y Grupos> Servidores AAA.

Paso 2. Desde el panel de servidores AAA, haga clic en Agregar. La ventana Añadir AAA Server aparece. Elija TACACS + en el cuadro de lista Tipo de servidor.

Paso 3. Escriba la dirección IP o nombre de host del servidor de AAA en la IP del servidor o en el campo de acogida. Si el router no se ha configurado para utilizar un servidor DNS, introduzca

Página 34 de 45

un servidor DNS la dirección IP.

Paso 4. El router puede ser configurado para mantener una conexión abierta con el único servidor TACACS + en lugar de abrir y cerrar una conexión TCP cada vez que se comunica con el servidor. Para ello, compruebe la conexión individual a la casilla de verificación Servidor.

Paso 5. Para anular la configuración del servidor AAA global y especificar un valor de tiempo de espera del servidor específico en el servidor de sección de configuración específica, introduzca un valor en el tiempo de espera (segundos) sobre el terreno. Este campo determina el tiempo que el router espera de una respuesta de este servidor antes de pasar al siguiente servidor de la lista de grupos. Si un valor no se escribe, el router utiliza el valor que se configura en la ventana de Configuración global de servidores AAA. El valor predeterminado es de cinco segundos.

Paso 6. Para configurar un servidor de clave específica, marque la casilla Configurar número de verificación e introduzca la clave que se utiliza para cifrar el tráfico entre el router y el servidor en el campo de la nueva llave. Vuelva a introducir la clave en el campo Confirmar clave de confirmación. Si esta opción no está activada y el valor no se escribe, el router utiliza el valor que se configura en la ventana de Configuración global de servidores AAA.

Paso 7. Haga clic en Aceptar.

Un ejemplo del comando CLI que Cisco SDM generaría basada en un servidor TACACS + en la dirección IP 10.0.1.1 y TACACS + clave Pa55w0rd tacacs-server host 10.0.1.1 key TACACS+Pa55w0rd.

Después de la AAA es habilitado y el TACACS + servidores están configurados, el router puede ser configurado para utilizar el servidor de Cisco Secure ACS para autenticar el acceso del usuario al router. Para configurar el router para utilizar el servidor de Cisco Secure ACS para la autenticación de acceso, definidos por el usuario login lista método de autenticación se debe crear, o la lista de métodos por defecto debe ser editado. Tenga en cuenta, la lista de métodos por defecto se aplica automáticamente a todas las interfaces y las líneas, excepto aquellos que tienen una lista definida por el usuario de forma explícita el método aplicado.

El administrador puede utilizar Cisco SDM para configurar una definida por el usuario login lista de método de autenticación:

Página 35 de 45

Paso 1. En la página de inicio de Cisco SDM, seleccione Configuración> Tareas adicionales> AAA> políticas de autenticación> Iniciar sesión.

Paso 2. Desde el panel de inicio de sesión de autenticación, haga clic en Agregar.

Paso 3. Para crear un nuevo método de autenticación de inicio de sesión, seleccione Definido por el usuario en la lista desplegable Nombre de lista.

Paso 4. Introduzca el nombre de método de autenticación de inicio de sesión en el campo de la lista Especifique, por ejemplo TACACS_SERVER.

Paso 5. Haga clic en Agregar para definir los métodos que utiliza esta política. La lista de selección Método (s) para la autenticación de la ventana de ingreso.

Paso 6. Elija group TACACS + de la lista de métodos.

Paso 7. Haga clic en Aceptar para añadir el grupo de TACACS + para la lista de métodos y volver a la opción Añadir una lista de métodos de autenticación ventana de inicio.

Paso 8. Haga clic en Agregar para agregar un método de respaldo a esta política. La lista de selección Método (s) para la autenticación de la ventana de ingreso.

Paso 9. Elige Activar en la lista de métodos para utilizar la contraseña de habilitación como el método de copia de seguridad de inicio de sesión de autenticación.

Paso 10. Haga clic en Aceptar para agregar permitir a la lista de métodos y volver a la opción Añadir una lista de métodos de autenticación de ventana de inicio.

Paso 11. Haga clic en Aceptar para agregar el método de autenticación de la lista de inicio de sesión y volver a la pantalla de inicio de sesión de autenticación.

El resultado de comando CLI que Cisco SDM genera aaa authentication login TACACS_SERVER group tacacs+ enable.

Una vez creadas las listas de autenticación de inicio de sesión método, se aplican las listas a las líneas y las interfaces en el router.

SDM se pueden utilizar para aplicar una política de autenticación a una línea de router:

Paso 1. Elija Configurar> Tareas adicionales> Router de acceso> vty.

Paso 2. Desde la ventana de líneas vty, haga clic en el botón Editar para realizar cambios en las líneas vty. Edición de líneas vty aparece la ventana.

Paso 3. En el cuadro de la lista política de autenticación, elija la política de autenticación que se aplican a las líneas vty. Por ejemplo, la aplicación de la política de autenticación con nombre TACACS_SERVER a las líneas vty 0 a 4 resultados con el comando login authentication TACACS_SERVER CLI.

La CLI también se puede utilizar para aplicar una política de autenticación para las líneas o las interfaces el comando login authentication {default | list-name} en modo de línea de configuración o el modo de configuración de la interfaz.

Página 36 de 45

3.4.3 Troubleshooting Server – Basado en autenticación AAA

Cuando se habilita la AAA, a menudo es necesario para controlar el tráfico de autenticación y resolver problemas de configuraciones.

El comando debug aaa authentication es un comando útil de solución de problemas, ya que proporciona una vista de alto nivel de actividad de inicio de sesión.

El comando indica un mensaje de estado de PASS cuando un TACACS + intento de conexión es exitosa. Si el mensaje de estado devuelto es FAIL, compruebe la clave secreta.

Dos servidores de gran utilidad otros comandos basados en la solución de problemas incluyen la AAA debug tacacs y el comando debug radius. Estos comandos se pueden utilizar para proporcionar información más detallada AAA depuración. Para desactivar la salida de depuración, utilize la forma no de estos comandos.

Similar que el comando debug aaa authentication, la debug tacacs también indica los mensajes de estado de aprobación o no.

Para ver todos los mensajes de TACACS + utiliza el comando debug tacacs. Para acotar la búsqueda y mostrar la información del proceso de TACACS + ayudante, utilice el comando

Página 37 de 45

debug tacacs events en modo EXEC privilegiado. El comando debug tacacs events muestra los eventos de apertura y cierre de una conexión TCP con un servidor TACACS +, los bytes leídos y escritos sobre la conexión, y el estado de la conexión TCP. Utilice el comando debug tacacs events con precaución, porque puede generar una cantidad considerable de la producción. Para desactivar la salida de depuración, utiliza el formulario no de este comando.

Página 38 de 45

3.5.1 Configurando Server-Basado en Autorizaron AAA.

Mientras que la autenticación se ocupa de asegurar que el dispositivo o usuario final es como se afirma, la autorización se refiere a permitir y no permitir a los usuarios autenticados acceso a ciertas áreas y programas en la red.

TACACS + El protocolo permite la separación de la autenticación de la autorización. Un router puede ser configurado para restringir al usuario a realizar sólo determinadas funciones después de la autenticación exitosa. La autorización puede ser configurado para el modo de caracteres (ejecutivo de la autorización) y el modo de paquete (autorización de red). Tenga en cuenta que RADIUS no separa la autenticación del proceso de autorización.

Otro aspecto importante de la autorización es la capacidad de control de acceso del usuario a los servicios específicos. Controlar el acceso a los comandos de configuración simplifica enormemente la seguridad de la infraestructura en las redes de grandes empresas. Por los permisos de usuario en el Cisco Secure ACS simplificar la configuración de dispositivos de red.

Por ejemplo, un usuario autorizado puede permitir acceder al comando show version, pero no el comando configure terminal. Las consultas del Router por ACS de permiso para ejecutar los comandos en nombre del usuario. Cuando el usuario emite el comando show version, la ACS envía una respuesta ACCEPT. Si el usuario emite un comando configure terminal, la ACS envía una respuesta RECHAZO.

TACACS + por defecto establece una sesión TCP nueva por cada solicitud de autorización, que puede dar lugar a retrasos cuando los usuarios escriben comandos. Cisco Secure ACS apoya sesiones TCP persistentes para mejorar el rendimiento.

Para configurar la autorización de comandos, utilice el comando aaa authorization {network | exec | commands level} {default | list-name} method1...[method4]. El tipo de servicio puede especificar los tipos de comandos o servicios:

commands level for exec (shell) commands

exec for starting an exec (shell)

network for network services (PPP, SLIP, ARAP)

Página 39 de 45

Cuando la autorización de la AAA no está habilitado, todos los usuarios se les permite el pleno acceso. Después se inicia la autenticación, los cambios por defecto a no permitir el acceso. Esto significa que el administrador debe crear un usuario con derechos de acceso antes de que se permitió la autorización. Si no lo hace inmediatamente bloquea el administrador del sistema el momento en el comando aaa authorization es introducido. La única manera de recuperarse de esto es para reiniciar el router. Si esto es un router de producción, reiniciar podría ser inaceptable. Asegúrese de que al menos un usuario siempre tiene todos los derechos.

Página 40 de 45

Para configurar el router para utilizar el servidor de Cisco Secure ACS para la autorización, crear un usuario –definiendo la lista del método de autorización o editar la lista predeterminada de método de autorización. El método de autorización por defecto se aplica automáticamente a todas las interfaces excepto los que tienen una definida por el usuario la lista de métodos de autorización de forma explícita aplicado. Si un usuario define una lista de método de autorización anula la lista de método de autorización por defecto.

Cisco SDM se puede utilizar para configurar la lista de autorizaciones método por defecto para el modo de caracteres (EXEC) de acceso:

Paso 1. En la página de inicio de Cisco SDM, seleccione Configuració n> Tareas adicionales> AAA> Políticas de Autorización> Exec.

Paso 2. Desde el panel de Autorización Exec, haga clic en Agregar.

Paso 3. Del Añadir una lista de métodos para Exec ventana Autorización, seleccione por defecto en el desplegable Nombre de lista.

Paso 4. Haga clic en Agregar para definir los métodos que utiliza esta política.

Paso 5. En la lista seleccione Método (s) para Exec ventana de Autorización, elija TACACS + grupo de la lista de métodos.

Paso 6. Haga clic en Aceptar para regresar a la opción Añadir una lista de métodos para Exec ventana Autorización.

Paso 7. Haga clic en Aceptar para volver al panel de Autorización Exec.

El resultado de comando CLI que Cisco SDM genera es la autorización AAA TACACS + grupo por defecto Exec.

El SDM también se puede utilizar para configurar la lista de autorizaciones método por defecto para el modo de paquete (de red):

Página 41 de 45

Paso 1. En la página de inicio de Cisco SDM, seleccione Configuración> Tareas adicionales> AAA> Políticas de Autorización> Network.

Paso 2. Desde el panel de Autorización de red, haga clic en Agregar.

Paso 3. De la Añadir una lista de métodos para la Red de la ventana de Autorización, seleccione por defecto en el desplegable Nombre de lista.

Paso 4. Haga clic en Agregar para definir los métodos que utiliza esta política.

Paso 5. En la lista seleccione Método (s) de la ventana de Autorización de red, seleccione TACACS + grupo de la lista de métodos.

Paso 6. Haga clic en Aceptar para regresar a la opción Añadir una lista de métodos para la Red de la ventana de autorización.

Paso 7. Haga clic en Aceptar para volver al panel de Autorización de red.

El resultado de comando CLI que Cisco SDM genera es aaa authorization network default group tacacs+.

3.5.2 Configurando Server-Basado en contabilidad AAA.

A veces una empresa quiere hacer un seguimiento de los recursos que los individuos o grupos de uso. Ejemplos de esto incluyen cuando un departamento de los cargos de otros departamentos para el acceso, o de una compañía proporciona apoyo interno a otra empresa. Contabilidad AAA ofrece la posibilidad de rastrear el uso, tales como acceso telefónico, en el registro de los datos recogidos a una base de datos, y producir informes sobre los datos recogidos.

Página 42 de 45

Aunque la contabilidad es generalmente considerado un problema de gestión de red o la gestión financiera, se discute brevemente aquí porque está muy estrechamente vinculada con la seguridad. Una de las cuestiones de seguridad que se ocupa de la contabilidad es la creación de una lista de usuarios y la hora del día que marcó en el sistema. Si, por ejemplo, el administrador sabe que un trabajador inicia una sesión en el sistema en la mitad de la noche, esta información puede ser utilizada para investigar los efectos de la sesión.

Otra razón por la aplicación de la contabilidad es la de crear una lista de cambios que se producen en la red, que hizo los cambios, y la naturaleza exacta de los cambios. Conocer esta información ayuda en el proceso de solución de problemas si los cambios de producir resultados inesperados.

Cisco Secure ACS actúa como un repositorio central de información contable, en esencia, el seguimiento de los eventos que ocurren en la red. Cada sesión que se establece a través de Cisco Secure ACS puede ser plenamente en cuenta y se almacena en el servidor. Esta información almacenada puede ser muy útil para la gestión, las auditorías de seguridad, planificación de capacidad, y la facturación de uso de la red.

Como método de autenticación y autorización de las listas, listas de método para la contabilidad de definir la manera como se realiza la contabilidad y la secuencia en que se llevan a cabo estos métodos. Después está habilitado, la lista predeterminada de contabilidad método se aplica automáticamente a todas las interfaces, excepto aquellos que tienen una lista de métodos de contabilidad llamado explícitamente definido.

Para configurar contabilidad AAA use el comando aaa accounting { network | exec | connection} {default | list-name} {start-stop | stop-only | none} [broadcast] method1...[method4]. Los parametros network, exec y connection se utilizan palabras clave.

Al igual que con la autenticación de la AAA, o bien se utiliza el valor predeterminado de palabra clave o una lista de nombre.

A continuación, el tipo de registro, o de activación, está configurado. El disparador especifica

Página 43 de 45

qué acciones hacen que los registros contables a ser actualizado. Posibles factores desencadenantes son none, start-stop, stop-only.

Por ejemplo, para registrar el uso de sesiones EXEC y conexiones de red, utilice los comandos de configuración global.

Página 44 de 45

R1(config)# aaa accounting exec default start-stop group tacacs+

R1(config)# aaa accounting network default start-stop group tacacs+

Página 45 de 45