Upload File

configurar aaa en router

prev
next
out of 3
Download Configurar Aaa en Router

Upload: estronic

Post on 21-Feb-2018

215 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • 7/24/2019 Configurar Aaa en Router

    1/3

    Configurando AAA en un router1. Las funciones y la importancia de AAA.

    Autenticacin: comprueba que los usuarios y administradores sean quienes dicen ser.Autorizacin: despus de la autenticar al usuario o al administrador, decide a qu recursos puede acceder o qu operaciones puede realizar.Registro (Accounting and Auditing): guarda el instante temporal en el que se efectuan las operaciones y acceden a los recursos.

    2. Los tres mtodos para implementar AAA.

    Los usuarios pueden acceder a la LAN de la empresa a travs de marcacin (NAS) o travs de una VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a travs del puerto consola, el puerto auxiliar o las vty.

    Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD remotas. Con BBDD remotas podemos centralizar la gestin de AAA de varios dispositivos de red.Los tres mtodos de implementar AAA son:

    Localmente: en un router o un NAS.En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft Windows Server permitiendo la comunicacin con routers y NAS.

    En un ACS de Cisco por hardware: servidor hardware dedicado que permite la comunicacin con routers y NAS.

    3. Mtodos de autenticacin remota.

    Existen dos mtodos para autenticar usuarios remotos; autenticacin local o remota.

    Autenticacin local

    Consiste en autenticar directamente en el router o el NAS los nombres de usuarioy su contraseas. Esta recomendado para pequeas redes y no requiere BBDD externas.La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contrasea, el usuario resp

    onde, el router comprueba los datos, acepta o deniega el acceso y comunica el veredicto al usuario.

    Autenticacin remota

    El problema de la autenticacin local es la escalabilidad. Uno o varios ACS (por software o hardware) pueden gestionar toda la autenticacin de todos los dispositivos de red. La comunicacin entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o RADIUS.

    La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contrasea, el usuario responde, el router reenva los datos al ACS, el ACS comprueba los datos y acepta o de

    niega el acceso, finalmente el ACS comunica el veredicto al router y este al usuario.

    4. Los protocolos TACACS+ y RADIUS.

    El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es ms seguro pero RADIUS tiene mejor Accounting y una mejor interfaz de programacin.El ACS permite gestionar los siguientes accesos:

    Marcacin contra un router o un NAS.

  • 7/24/2019 Configurar Aaa en Router

    2/3

    Puertos consola, puertos auxiliares y vtys de dispositivos de red.ASAs (Adaptative Security Appliance).Concentradores VPN serie 300 (slo RADIUS).Algunas tarjetas de testigo (token cards) y servidores

    5. Los niveles de seguridad de los mtodos de autenticacin.

    Sin usuario y contrasea: un atacante slo debera encontrar el dispositivo y tratar de acceder al mismo. Una manera de asegurarlo sera que el servicio escuchar un puerto diferente.Con usuario y contrasea y sin caducidad: el administrador decide cuando cambiar la contrasea. Este mtodo es vulnerable a ataques de repeticin, fuerza bruta, robo yinspeccin de los paquetes.Con usuario y contrasea y con caducidad: cada x tiempo el administrador es forzado a cambiar su contrasea. Este mtodo tiene las mismas vulnerabilidades pero el tiempo para comprometer el equipo por fuerza bruta es menor.OTPs: es ms seguro que los anteriores ya que la contrasea enviada solo tiene validez una vez, es decir, en el momento de ser interceptada por el atacante la contrasea caduca. S/Key es una implementacin de OTP que genera un listado de contraseasa partir de una palabra secreta.Tarjetas de testigo por software y por hardware: est basado en la autenticacin dedoble factor; algo que el usuario tiene (token card) y algo que el usuario sabe(token card PIN). Existen dos tipos: basados en tiempo; F(clave_criptogrfica,PIN)= OTP o basados en desafos; F(desafo,clave_criptogrfica) = OTP.

    6. Protocolos de autenticacin PPP.

    PPP soporta autenticacin PAP, CHAP y MS-CHAP.PAP utiliza un intercambio de dos vas; el autenticador solicita las credencialesy el usuario las enva en texto claro. El intercambio se produce despus de establecer el enlace PPP.CHAP utiliza un intercambio de tres vas; despus de establecer el enlace, el autenticador enva un desafo al dispositivo del usuario, este responde con un hash; F(desafo,palabra_secreta) = hash, el autenticador comprueba que el hash recibido coincida con su hash calculado. Este intercambio de tres vas se repite periodicamente(controlado por el autenticador) durante la comunicacin y evita ataques de repeticin.

    MS-CHAP es la versin CHAP de Microsoft.

    7. Configurar AAA en un router.

    Primero, habilitamos el modelo AAA, aadimos un usuario local y definimos que la autenticacin de acceso remoto sea local.

    Router(config)#aaa new-modelRouter(config)#username tracker secret ccspRouter(config)#aaa authentication login default localAhora no tenemos problemas para acceder de nuevo al router o NAS en el caso de perder la comunicacin (SSH).

    Despus, definimos los mtodos de autenticacin para login (acceso al router), ppp y enable (acceso al nivel privilegiado) y los aplicamos a nivel de lnea o interfaz:

    Router(config)#aaa authentication login default enableRouter(config)#enable secret ciscoRouter(config)#aaa authentication login consola localRouter(config)#lineconsole 0Router(config-line)#login authentication consolaRouter(config)#aaa authentication login vty lineRouter(config)#line vty 0 4Router(config-line)#password 123telnetRouter(config-line)#login authentication vtyRouter(config-line)#endRouter#exitRouter con0 is now availablePress RETURN to get started.User Access VerificationUsername: trackerPassword: ccspRouter>R1#RouterTrying Router (192.168.0.1)... OpenUser Access VerificationPassword: 123telnetRouter>enablePassword: ciscoRouter#En los comandos de arriba, hemos definido que para acceder al router se

  • 7/24/2019 Configurar Aaa en Router

    3/3

    tiene que utilizar por defecto (default) la contrasea 'enable secret', que paraacceder por consola se tiene que utilizar un nombre de usuario y contrasea locales (tracker:ccsp) y para acceder por telnet necesitamos la contrasea en lnea 123telnet. Las listas de autenticacin particulas (consola y vty) cuando se aplican a lneas (vty, console, aux) o interfaces tiene preferencia sobre la autenticacin por defecto (default).

    Ahora definimos una lista de autenticacin PPP por defecto (default) y una particular (marcacion) que aplicamos:

    Router(config)#aaa authentication ppp default localRouter(config)#aaa authentication ppp marcacion group tacacs+ local-caseRouter(config)#interface serial 0/0Router(config-if)#ppp authentication chap marcacionArriba hemos definido que la autenticacin PPP por defecto sea local y que la autenticacin PPP particular (marcacin) sea con TACACS+ y si falla sea local teniendo en cuenta maysculas/minsculas.

    Finalmente definiremos que la autenticacin enable por defecto mire primero el grupo RADIUS y luego la contrasea 'enable secret':

    Router(config)#aaa authentication enable default group radius enableAhora veremos unos ejemplos de autorizacin y registro (accounting):

    Router(config)#aaa authorization commands 15 default localRouter(config)#aaa authorization network netop localRouter(config)#aaa accounting commands 15 default

    stop-only group tacacs+El primero comando autoriza localmente la ejecucin de loscomandos de nivel 15 utilizando la lista por defecto (default). El segundo autoriza localmente algunos servicios de red utilizando una lista particular (netop).El tercero registra remotamente los comandos de nivel 15 utilizando TACACS+ para la lista por defecto.

    8. Solucionar problemas AAA en un router.

    Router#debug aaa authenticationRouter#debug aaa authorizationRouter#debug aaa accounting9. Configurar AAA utilizando Cisco SDM.

    AAA tambin puede ser configurado desde SDM. Para ello utilizamos el comandoaaa new-modely elegimos en el SDM 'Tareas Adicionales > AAA'. Aparecer un pantall

    a para listar, editar y borrar mtodos de autenticacin en el router.


Configurar SSL Anyconnect com autenticação e atributo de ... · test aaa-server authentication [host |] username

Como Configurar Un Router Norma N Linksys

Windows 7 C³mo configurar el WiFi en tu m³dem-router ComtrendCT5367

REDES 07 CONFIGURAR ROUTER INALÁMBRICO - …eductic.wikispaces.com/.../view/REDES_07_CONFIGURAR_ROUTER_I… · cual podemos cambiar (por ... Ahora vamos a configurar la conexión

aaa coHtnr10B aaa - Jaén 11... · aaa coHtnr10B aaa . Created Date: 20141215110120-05

Bonos AAA(Col) Calificación Fitch Ratings Bonos AAA(Col

Cámara de interior FHD Pan Tilt IP · los siguientes métodos para configurar el reenvío de puertos en el router. Para estos pasos, vamos a utilizar el router inalámbrico de la

ZYXEL VMG1312 B10B - Telecom | Hogareshogares.telecom.com.ar/.../manual/zyxel-vmg1312-b10… ·  · 2016-03-17Este documento ofrece una orientación para configurar el router VDSL2

Como Configurar Router Linksys WRT54G

CONFIGURACIÓN DE LOS ROUTER DE TELEFÓNICA DESDE … · 1-1 1 INTRODUCCIÓN El presente documento es una guía de ayuda para configurar los router de Telefónica desde el sistema

SISTEMA WI-FI DE MALLA PARA EL HOGAR · Este avanzado dispositivo de red funciona como un Router Inalámbrico de Malla. Antes de configurar el router, debe asegurarse primero de

Guía del usuario del Synology Router Basado en el firmware ...Guía del usuario del Synology Router Basado en el firmware SRM 1.1.2 Contenido Capítulo 1: Configurar su Synology Router

Configurar MikroTik en Modo PPPoE-Client Para Router Modo Bridge

Router Lite-N Inalámbrico 150Mbpsapprox.es/image/catalog/downloads/APPR150V3/APPR... · Router, usted puede configurar su red wireless en minutos, el asistente lo guiará por un

Como Configurar Router Linksys WRT54G

TU ROUTER - OSI · 2020. 12. 4. · Aprende a configurar tu router de forma segura paso a paso “Tu router, tu castillo” 03 | 40 1. El router: La puerta de entrada a Internet El

Como configurar un Router Tp-link

Práctica 2: - Configuración básica del router con RIPv1 y ...informatica.uv.es/iiguia/AER/PRACTICA_RIP.pdf7. Ahora pide configurar mínimamente el router para que se pueda configurar

Configurar Router Aw4062

CNC Router SR1325-PRO - Venta De Maquinaria CNC Router

Módem ADSL2+ con router inalámbrico G+ MIMOcache- · con router inalámbrico G+ MIMO Asistencia técnica de Belkin Europa: 00 800 223 55 460. ... de configurar el Módem ADSL con

Edimax 6200n Router 3G/3.5G SN Wi-Fisnwifi.com.ar/pdf/tutoriales/Edimax 6200n Router 3G.pdf · Edimax 6200n Router 3G/3.5G – SN Wi-Fi Configurar opción 3G y Access Point En esta

Pasos para configurar un router

COMO CONFIGURAR EL ROUTER LINKSYS WRT54G

Tema 4. Configuración de routers · Paso 3b. Configurar rutas dinámicas a) Alternativamente, puedo configurar el router de forma que use algún algoritmo de routing dinámico (que

Configurar router

UNDERWOOD Configurar Router

AAA Español

Presentación de PowerPointmunicoatepeque.gob.gt/wp-content/uploads/2017/08/CONTROLPATER… · If your router came with a setup CD, ... Esta página se puede utilizar para configurar

haydychuk.files.wordpress.com€¦  · Web viewSeguridad y filtrado MAC. Antes de nada, para poder configurar nuestro Router y asegurar nuestra conexión, debemos acceder a la configuración

Cómo configurar el router Advantek

Configurar El Router Zyxel 660hw

Guía rápida de Instalación Kit ADSL Instalación de la …...siga las instrucciones para configurar el router. Router inalámbrico Instalación de la tarjeta Ethernet La tarjeta

Conecta tu router - pepephone.com · DSL LA Cable RJ11 Cable RJ45 Router cable RJ45 cable RJ45 cable RJ11 Microfiltro cable RJII Router Router phone

PAUTAS PARA LA CONFIGURACIÓN WEB DEL ROUTER … · 1-1 Edición 1.0 1 INTRODUCCIÓN Este documento ofrece una orientación para configurar el router ADSL Zyxel P660HW-61, suministrado