CCNA Security 2.0 Cap 3
CCNA Security 2.0 Cap 3
CCNA Security 2.0 Cap 3
0 CAPITULO 3
Una solución mejor es que todos los dispositivos se refieran a la misma base de datos de
nombres de usuario y contraseñas de un servidor central. Este capítulo explora los
diversos métodos de asegurar el acceso a la red mediante Autenticación, Autorización y
Contabilidad (AAA) para proteger routers de Cisco.
Componentes AAA
Los servicios de seguridad de red AAA proporcionan el marco principal para configurar
el control de acceso en un dispositivo de red. AAA es una manera de controlar a quién se
le permite acceder a una red (autenticar), qué pueden hacer mientras están allí (autorizar)
y auditar qué acciones realizaron al acceder a la red (contabilidad).
La seguridad AAA de red y administrativa en el entorno de Cisco tiene tres componentes
funcionales:
• Autenticación - Los usuarios y los administradores deben demostrar que son
quienes dicen ser. La autenticación se puede establecer usando combinaciones de
nombre de usuario y contraseña, preguntas de desafío y respuesta, tarjetas de
token y otros métodos. Por ejemplo: "Soy usuario 'estudiante' y sé la contraseña
para demostrarlo."
Modos de autenticación
La autenticación AAA se puede utilizar para autenticar usuarios para acceso
administrativo o para autenticar usuarios para acceso remoto a la red. Cisco ofrece dos
métodos comunes de implementación de servicios AAA:
• Autenticación local AAA -Local AAA utiliza una base de datos local para la
autenticación. A veces, este método se conoce como autenticación autónoma. En
este curso, se denominará autenticación AAA local. Este método almacena
nombres de usuario y contraseñas localmente en el router de Cisco y los usuarios
se autentican en la base de datos local, como se muestra en la Figura 1. Esta base
de datos es la misma requerida para establecer una CLI basada en roles. AAA
local es ideal para redes pequeñas.
• Autenticación AAA basada en servidor - Con el método basado en servidor, el
router accede a un servidor AAA central, como el Sistema de control de acceso
seguro de Cisco (ACS) para Windows, que se muestra en la Figura 2. El servidor
AAA central contiene los nombres de usuario y la contraseña para todos
usuarios. El router utiliza los protocolos de servicio de usuario de acceso
telefónico de autenticación remota (RADIUS) o de control de acceso de
controlador de acceso de terminal (TACACS +) para comunicarse con el servidor
Autorización
Una vez que los usuarios se autentican correctamente con la fuente de datos AAA
seleccionada, ya sea local o basada en el servidor, se autorizan para recursos de red
específicos, como se muestra en la figura. La autorización es básicamente lo que los
usuarios pueden y no pueden hacer en la red después de haber sido autenticados. Esto es
similar a cómo los niveles de privilegios y la CLI basada en roles proporcionan a los
usuarios derechos y privilegios específicos para ciertos comandos del router.
La autorización se implementa típicamente utilizando una solución basada en servidor
AAA. La autorización utiliza un conjunto creado de atributos que describe el acceso del
usuario a la red. Estos atributos se comparan con la información contenida en la base de
datos AAA y se realiza una determinación de restricciones para ese usuario y se entrega
al router local en el que está conectado el usuario.
Auditoría
AAA Accounting recopila e informa los datos de uso. Estos datos pueden utilizarse para
fines tales como auditoría o facturación. Los datos recogidos pueden incluir los tiempos
de conexión de inicio y parada, los comandos ejecutados, el número de paquetes y el
número de bytes.
La contabilidad se implementa utilizando una solución basada en servidor AAA. Este
servicio reporta las estadísticas de uso al servidor de ACS. Estas estadísticas se pueden
extraer para crear informes detallados sobre la configuración de la red.
Auditoria de redes
servidor de acceso
Sistema de contabilidad
vty. La palabra clave default significa que el método de autenticación se aplica a todas
las líneas, excepto aquellas para las que una configuración de línea específica anula el
valor predeterminado. La autenticación distingue entre mayúsculas y minúsculas,
indicada por la palabra clave local-case . Esto significa que tanto la contraseña como el
nombre de usuario son sensibles a mayúsculas y minúsculas.
Métodos de autenticación
Para habilitar AAA, primero se debe configurar el comando de configuración global aaa
new-model . Para desactivar AAA, utilice la forma no de este comando.
Nota: No hay otros comandos AAA disponibles hasta que se ingrese este comando.
Nota: Es importante saber que cuando se introduce por primera vez el comando aaa
new-model , se aplica automáticamente una autenticación "predeterminada" no
detectada utilizando la base de datos local a todas las líneas excepto a la consola. Por
esta razón, configure siempre una entrada de base de datos local antes de habilitar AAA.
Utilice el comando de aaa authentication login mostrado en la Figura 1 para habilitar
la autenticación de las líneas de consola, aux y vty. La palabra clave default aplica la
dentro de la base de datos AAA. Estos atributos pueden incluir la dirección IP del
usuario, el protocolo que se utiliza para acceder al router (por ejemplo, PPP), la
velocidad de la conexión y el número de paquetes o bytes que se reciben o transmiten.
Para mostrar los atributos que se recopilan para una sesión AAA, utilice
el comando show aaa user en modo EXEC privilegiado. Este comando no proporciona
información para todos los usuarios que han iniciado sesión en un dispositivo, pero sólo
para aquellos que han sido autenticados o autorizados mediante AAA o cuyas sesiones
están siendo contabilizadas por el módulo AAA.
El comando show aaa sessions se puede usar para mostrar el ID único de una sesión,
como se muestra en la Figura 3.
Opciones de depuración
El router de Cisco tiene comandos de depuración que son útiles para solucionar
problemas de autenticación. Como se muestra en la figura, el comando debug
aaa contiene varias palabras clave que pueden usarse para este propósito. De especial
interés es el comando de debug aaa authentication .
Es importante analizar la salida de depuración cuando todo funciona
correctamente. Saber cómo se muestra la salida de depuración cuando todo está bien
ayuda a identificar problemas cuando las cosas no funcionan correctamente. Tenga
cuidado cuando utilice comandos de depuration en un entorno de producción porque
estos comandos son interpretados por el plano de control; por lo tanto, ponen una carga
significativa en los recursos del router y pueden afectar negativamente el rendimiento de
la red.
• Utiliza UDP
• Soporta tecnologías de acceso remoto, 802.1X y SIP (Session Initiation Protocol)
Aunque ambos protocolos se pueden utilizar para comunicarse entre un router y
servidores AAA, TACACS + es considerado el protocolo más seguro. Esto se debe a que
todos los intercambios de protocolo TACACS + están cifrados, mientras que RADIUS
sólo cifra la contraseña del usuario. RADIUS no cifra nombres de usuario, información
contable ni ninguna otra información contenida en el mensaje RADIUS.
Autenticación TACACS +
TACACS + es una mejora de Cisco para el protocolo TACACS original. A pesar de su
nombre, TACACS + es un protocolo totalmente nuevo que es incompatible con
cualquier versión anterior de TACACS. TACACS + está soportado por la familia Cisco
de routeres y servidores de acceso.
información sobre los dispositivos finales (conocidos como extremos) que se conectan a
la red.
Hay cuatro características en el conjunto de herramientas ISE:
• Perfil del dispositivo : se puede utilizar para determinar si se trata de un
dispositivo personal o corporativo.
• Evaluación de posturas : determina si el dispositivo está limpio de virus y
aplicaciones sospechosas antes de entrar en la red. La evaluación de postura
también puede asegurarse de que el software antivirus de un dispositivo esté
actualizado.
• Gestión de invitados - Concede e impone el acceso temporal a los usuarios
invitados.
• AAA - Combina la autenticación, autorización, contabilidad, en un solo
dispositivo con perfil de dispositivo, evaluación de postura y capacidad de gestión
de invitados.
Una función principal de ISE es el acceso de red basado en la identidad. ISE
proporciona una gestión de identidades contextual:
• Para determinar si los usuarios acceden a la red en un dispositivo autorizado
compatible con políticas
• Para establecer la identidad del usuario, la ubicación y el historial de acceso, que
pueden utilizarse para el cumplimiento y la generación de informes
• Para asignar servicios basados en la función de usuario asignada, el grupo y la
política asociada (rol del trabajo, ubicación, tipo de dispositivo, etc.)
• Para conceder a los usuarios autenticados acceso a segmentos específicos de la
red, o aplicaciones y servicios específicos, o ambos, basados en los resultados de
autenticación
Haga clic en Reproducir en la Figura 1 para ver un video que discute los fundamentos de
Cisco ISE.
Haga clic aquí para leer la transcripción de este video.
1. Habilitar AAA.
2. Especifique la dirección IP del servidor ACS.
3. Configure la clave secreta.
4. Configure la autenticación para utilizar el servidor RADIUS o
TACACS +.
estado no autorizado. Mientras que en este estado, el puerto prohíbe todo el tráfico de
entrada y salida, excepto los paquetes de protocolo 802.1X. Cuando un cliente se
autentica correctamente, el puerto transita al estado autorizado, permitiendo que todo el
tráfico del cliente fluya normalmente. Si el switch solicita la identidad del cliente
(iniciación del autenticador) y el cliente no admite 802.1X, el puerto permanece en
estado no autorizado y el cliente no tiene acceso a la red.
Por el contrario, cuando un cliente habilitado para 802.1X se conecta a un puerto y el
cliente inicia el proceso de autenticación (iniciación de suplicante) enviando el marco
EAPOL-start a un switch que no está ejecutando el protocolo 802.1X, no se recibe
ninguna respuesta y el cliente comienza a enviar marcos como si el puerto estuviera en
el estado autorizado.
La Figura 2 muestra el intercambio completo de mensajes entre el suplicante, el
autenticador y el servidor de autenticación. La encapsulación se produce de la siguiente
manera:
• Entre el suplicante y el autenticador - los datos EAP están encapsulados en
marcos EAPOL.
• Entre el autenticador y el servidor de autenticación - los datos EAP se
encapsulan utilizando RADIUS.