SALESIANOS UNIVERSIDAD UNIVERS IDAD DON BOSCO BOSCO FACULTAD DE D E ESTUDIOS ES TUDIOS TECNOLOGICOS TECNOLOGICOS CICLO CICL O 01/2013 01/2013
AAA TACACS+
“
”
CATEDRÁTICO:
JUAN CARLOS ROSALES PALACIOS
ASIGNATURA:
SEGURIDAD SEGURI DAD EN REDES REDES
ALUMNOS:
FELIX ALFREDO CARPIO CARDONA
ELIAS ALBERTO COTO BARRIERE
JONATHAN ALEXIS GARCIA CASTILLO
ALVARO RODRIGO JERÓNIMO MARTÍNEZ
LUNES, 29 DE ABRIL DEL 2013
EXPLICACIÓN TEXTUAL
AAA NEW-MODEL
AAA corresponde a un tipo de protocolos que realizan tres funciones: Autenticación, Autorización y Contabilización (Authentication, Authorization and Accounting en inglés). La expresión protocolo
AAA
no se refiere pues a un
protocolo en particular, sino a una familia de protocolos que ofrecen los tres serv icios citados.
Authentication: identifica a los usuarios por nombre de usuario y contraseña con desafío y la metodología de respuesta antes de que el usuario se accede a la red. Dependiendo de las opciones de seguridad, sino que también puede admitir el cifrado.
Authorization: Después de la autenticación inicial, la autorización mira lo que el usuario autenticado tiene acceso a hacer. RADIUS o TACACS + servidores de seguridad realizan la autorización de priv ilegios específicos mediante la definición de atributo Valor (AV) pares, lo que sería específica a los derechos de los usuarios individuales. En el IOS de Cisco, puede definir la autorización de AAA con una lista con nombre o método de autorización.
Accounting: Proporciona una forma de recoger la información de seguridad que puede utilizar para la facturación, auditoría y presentación de informes. Puede utilizar la contabilidad para ver lo que los usuarios hacen una v ez autenticados y autorizados. Por ejemplo, con la contabilidad, se puede obtener un registro de cuando el usuario inicia sesión y cuando se cerrará la sesión. El comando se encarga de activar nuevos comandos de control de acceso o funciones, creando un nuevo modelo de autentificación; también desactiva comandos viejos.
AAA AUTHENTICATION LOGIN [LISTA] GROUP TACACS+
TACACS+ (Terminal Access Controller Access Control System, en inglés ‘sistema de control de acceso del controlador de acceso a terminales’) es un protocolo de
autenticación remota que se usa para gestionar el acceso (proporciona serv icios separados de autenticación, autorización y registro) a serv idores y dispositivos de comunicaciones. TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS. El comando crea un perfil de autenticación con un nombre de lista denominado por el usuario, quien se encuentra vinculado con un grupo de serv idores del tipo TACACS+ (solamente existen dos tipos, el trabajado actualmente & RADI US).
AAA AUTHENTICATION LOGIN DEFAULT GROUP TACACS+ LOCAL
Consiste en autenticar directamente en el router los nombres de usuario y sus contraseñas. Está recomendado para pequeñas redes y no requiere BBDD externas. La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router solicita el nombre de usuario y la contraseña, el usuario responde, el router comprueba los datos, acepta o deniega el acceso y comunica el veredicto al usuario.
TACACS-SERVER HOST [IP_SERVER] KEY [KEY]
Un servidor TACACS+ es el encargado de responder a las solicitudes del cliente por algún intermediario
(que
en
la
mayoría de los casos suele ser un router o incluso un sw itch). La función del comando es decirle al router donde se encuentra el servidor TACACS+ a través de su IP y enlazado con la clave compartida.
AAA AUTHENTICATION ENABLE DEFAULT GROUP TACACS+ LOCAL
Activación del AAA La habilitación de la autenticación AAA permite utilizar TACACS+ para proporcionar un método centralizado de proporcionar autenticación exec (enable secret), junto con la autenticación de usuarios. Un punto muy importante a tener en cuenta: asegúrese de incluir un segundo método de autenticación en el caso de que su TACACS + no esté disponible o no obtendrá el indicador EXEC.
AAA AUTHORIZATION EXEC [LISTA] IF-AUTHENTICATED
If-Authenticated permite al usuario acceder a la función solicitada, si el usuario está autenticado. Telnet es un protocolo de emulación de terminal estándar que se utiliza para la conexión del terminal a distancia. Normalmente, se conecte a un servidor de acceso de red y luego usar Telnet para acceder a otros dispositiv os de red desde el serv idor de acceso de red. La autorización se respaldará del nombre de lista que el usuario haya agregado en el perfil si y solo si la autenticación ha sido correcta.
AAA ACCOUNTING NETWORK DEFAULT STOP-ONLY GROUP TACACS+
Cuando el accounting AAA se activa, por defecto el softw are Cisco IOS no genera registros contables para los usuarios del sistema que no han podido autentificarse en el inicio de sesión o que tienen éxito en la autenticación de inicio de sesión. El accounting de comando aaa puede ser configurado para enviar un registro de "parada" usando ya sea el start-stop (palabra clav e) o la stop-only (palabra clave).
LINE VTY 0 4
Este comando se trata de un conjunto de puertos virtuales utilizados para la conexión vía telnet, SSH, http o https al dispositivo para realizar administración in band. La mayoría de los dispositiv os tienen al menos 5 puertos v irtuales identificados como vty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden generar más puertos v irtuales hasta completar un total de 21 líneas v ty. Encargado nada más de entrar al modo configuración de las líneas v ty.
LOGIN AUTHENTICATION [LISTA]
Activamos TELNET en las líneas virtuales. Es decir, que las líneas de telnet autenticarán y autorizarán con el nombre asignado por el administrador del router.
SESSION-LIMIT [NUMERO]
Este comando sirv e para tener el control de las sesiones de terminal y controlar el tráfico alto para proporcionar los recursos necesarios a los usuarios. En este caso asignamos “n” números para el límite de sesiones simultáneas dentro de [LI STA]para asegurarnos el funcionamiento exitoso de las conexiones.
EXEC-TIMEOUT [MINUTOS]
Para configurar el tiempo de espera de sesión inactiv a en el puerto de la consola o el terminal virtual, utilice el comando exec-timeout. Para volver a los valores predeterminados, utilice la forma no de este comando
LINE CONSOLE 0
Ingresamos a la línea de consola para pedir los parámetros de seguridad que asignamos en esta red.
LOGIN AUTHENTICATION [LISTA]
Tomamos el perfil “ LISTA” para ubicarlo en esta línea de consola, y al igual que
telnet, las líneas de consola autenticarán y autorizarán con el nombre asignado por el administrador del router.
EXPLICACIÓN GRÁFICA
EJEMPLO DE CLI CONFIGURADA ORDENADAMENTE
CONFIGURACIÓN DEL SERVIDOR
El servidor trae un entorno grafico interactivo para el administrador de redes que representa la configuración de clientes con direcciones I P e inclusive la creación de usuarios con contraseñas incluidos. En la siguiente imagen se v erá representada la lista de pasos realizados para lograr una completa estructuración del servicio AAA.
PASOS NUMERADOS 1
5
3
2
4
PASO 1: Seleccionamos la pestaña “ Config” del servidor TACACS+.
PASO 2: Escogemos el serv icio AAA del serv idor.
PASO 3: Agregamos el cliente en las siguientes casillas:
Client Name: Es el nombre del cliente (o el nombre del router a servir con AAA).
Client IP: Es la IP por la cual recibe la información del serv idor el cliente que la solicita.
Serv erType: Existen dos opciones para el tipo de servidor: RADIUS & TACACS, en nuestro caso elegimos TACACS.
Key: Es la clave compartida con el usuario.
PASO 4: Se agrega el nombre del usuario y contraseña que posteriormente se pedirá en la CLI de algún router con el serv icio AAA activado.
PASO 5: Activar el serv icio chequeando como “ ON” la opción mostrada.
RESULTADO
Pide dos v eces usuario y contraseña porque la primera vez es de autenticación, la otra es de autorización.
SIMULACIÓN
ESTRUCTURA
La topología está conformada por:
5 routers
4 switches
8 computadoras
1 servidor TACACS+
TECNOLOGIAS
Enrutamiento OSPF
Asignación de IP mediante servidor DHCP
Servicio AAA TACACS+ activado
