Upload
brayan-davian-florez-garcia
View
262
Download
0
Embed Size (px)
Citation preview
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
1/71
© 2012 Cisco and/or its affiliates. All rights reserved. 1
De autenticación,
autorización ycontabilidad
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
2/71
© 2012 Cisco and/or its affiliates. All rights reserved. 2
• La gestión de acceso a la infraestructura administrativa escrucial. Métodos: – Sólo contraseña
– Base de datos local
– AAA Autenticación local (AAA autónomo)
– Basado en servidor AAA
tipo deacceso
modos network accessserver puertos
elemento de uso aaacomando
accesoadmin
remoto
modalidadcaracteres(línea o modo
exec)
tty, vty, auxiliar, yla consola
login, exec y activarcomandos
acceso a lared a
distancia
paquete(modo de
interfaz)
dial-up y elacceso vpnincluyendo
asíncrona y rdsi(bri y pri)
comandos de red y ppp
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
3/71
© 2012 Cisco and/or its affiliates. All rights reserved. 3
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
Internet
Modo User EXEC o privilegiado con contraseña de acceso es limitadoy no escala bien.
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12
% Bad passwords
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
4/71
© 2012 Cisco and/or its affiliates. All rights reserved. 4
• Proporciona mayor seguridad que una contraseña simple.
• Es costosa efectiva solución de seguridad y de fácil implementación.
R1(config)# username Admin secret Str0ng5rPa55w0rd
R1(config)# line vty 0 4
R1(config-line)# login local
Internet
Welcome to SPAN Engineering
User Access Verification
Username adminPassword: cisco
User Access Verification
Username: Admin
Password: cisco1
% Login invalid
Username: Admin
Password: cisco12
% Login invalid
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
5/71
© 2012 Cisco and/or its affiliates. All rights reserved. 5
– El problema es que esta base de datos local tiene que ser replicado en variosdispositivos ...
– Una solución mejor escalable es utilizar AAA.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
6/71
© 2012 Cisco and/or its affiliates. All rights reserved. 6
• AAA es un marco arquitectónico para la configuración:
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
7/71 © 2012 Cisco and/or its affiliates. All rights reserved. 7
ContabilidadQue es lo que pasa en?
AutenticaciónQuien es usted? AutorizacionCuanto puede gastar?
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
8/71 © 2012 Cisco and/or its affiliates. All rights reserved. 8
• Routers Cisco IOS pueden implementar AAA utilizando:
Nombre de usuario local ycontraseña
local
Control de Cisco Secure Access Server (ACS)
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
9/71 © 2012 Cisco and/or its affiliates. All rights reserved. 9
– También llamado "AAA autónomo", que proporciona el método deidentificación de los usuarios:
• Incluye acceso y contraseña de diálogo, desafío y respuesta,soporte de mensajería, ... – Es configurado por:
– Definir una lista de "llamada" de los métodos de autenticación.
• La aplicación de la lista a varias interfaces (consola, aux, vty).
• La única excepción es la lista de método por defecto ("default"), que se aplica automáticamente a todas las
interfaces si no hay otra lista de método está definido.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
10/71 © 2012 Cisco and/or its affiliates. All rights reserved. 10
• El nombre o el método de autenticación predeterminado define:
• Los tipos de autenticación que se deben realizar.
• La secuencia en la que se llevarán a cabo.
•
Debe aplicarse a una interfaz específica antes que cualquiera delos métodos de autenticación definidos se llevará a cabo.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
11/71 © 2012 Cisco and/or its affiliates. All rights reserved. 11
• El cliente establece una conexión con el router.
• El router AAA solicita al usuario un nombre de usuario ycontraseña.
• El router autentifica el nombre de usuario y la contraseñautilizando la base de datos local y el usuario está autorizado para
acceder a la red en función de la información en la base de datoslocal.
1
23
AAARouter
Cliente remoto
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
12/71 © 2012 Cisco and/or its affiliates. All rights reserved. 12
• Utilización de Cisco de control de acceso del servidor (SCA) esmás escalable ya que todos los dispositivos de la infraestructurade acceso acuden al servidor central. – Tolerancia a fallas debido a múltiples ACS se puede configurar.
– Solución Enterprise.
• El servidor real puede ser:
• Cisco Secure ACS para Windows Server:• Servicios de AAA en los contactos del router en un sistema Cisco Secure Access
Control de Server (ACS) para la autenticación de usuarios y de administrador..
– Cisco Secure ACS Solution Engine:
• Servicios de AAA en el router o el contacto de un NAS Secure ACS Solution EngineCisco externo para la autenticación de usuarios y administrador.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
13/71 © 2012 Cisco and/or its affiliates. All rights reserved. 13
1. El cliente establece una conexión con el router.
2. El router AAA solicita al usuario un nombre de usuario y contraseña.3. El router autentifica el nombre de usuario y la contraseña utilizando un servidor
AAA remoto.
4. El usuario está autorizado para acceder a la red en función de la informaciónsobre la AAA Server remoto.
1
24
AAARouter
Cisco Secure
ACS
Servidor
3
Cliente remoto
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
14/71
© 2012 Cisco and/or its affiliates. All rights reserved. 14
• Proporciona el método para el control de acceso remoto. – Incluyendo la autorización una sola vez o una autorización para cada
servicio, la lista y el perfil de cada usuario son su cuenta,
• Una vez que un usuario se ha autenticado, servicios deautorización determinan que:
– A que recursos el usuario puede acceder. – Que operaciones se permite le permiten al usuario realizar.
• Por ejemplo, "Usuario" estudiante "puede acceder serverXYZ host utilizando sóloTelnet."
• Al igual que con la autenticación, autorización AAA se configuramediante la definición de una lista de "llamada" de los métodosde autorización y, a continuación, la aplicación de esa lista convarias interfaces.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
15/71
© 2012 Cisco and/or its affiliates. All rights reserved. 15
1.Usuario se ha autenticado y una sesión se ha establecido con elservidor AAA.
2.Cuando el usuario intenta introducir comandos del modo EXECprivilegiado, el router solicita la autorización de un servidor AAApara verificar que el usuario tiene el derecho de utilizarla.
3.El servidor AAA devuelve una respuesta "PASS / FAIL".
AAARouter
Cliente remotoCisco Secure
ACS
Servidor
1
2
3
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
16/71
© 2012 Cisco and/or its affiliates. All rights reserved. 16
• Proporciona el método para la recogida y envío de la informacióndel servidor de seguridad.
• Se utiliza para la facturación, auditoría y presentación deinformes, tales como las identidades de usuario, hora de inicio ysalida, ejecución de comandos, el número de paquetes / bytes, ...
• Con la contabilidad AAA activado, el router informa la actividaddel usuario en el servidor TACACS + garantía en la forma de losregistros contables.
• Contabilidad se configura mediante la definición de una listade "llamada" de los métodos de contabilidad y, a continuación, laaplicación de esa lista a varias interfaces.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
17/71
© 2012 Cisco and/or its affiliates. All rights reserved. 17
1.Cuando un usuario se ha autenticado, el proceso contable AAAgenera un mensaje de inicio para iniciar el proceso decontabilidad.
2.Cuando el usuario cierra la sesión, un mensaje de detención se
registra y se termina el proceso de contabilidad.
AAARouter
Cliente remotoCisco Secure
ACS
Servidor
2
1
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
18/71
© 2012 Cisco and/or its affiliates. All rights reserved. 18
• Mayor flexibilidad y control de la configuración de acceso
• Escalabilidad
• Sistemas de copia de seguridad múltiples
• Métodos de autenticación estandarizados
–
RADIUS, TACACS+ y Kerberos
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
19/71
© 2012 Cisco and/or its affiliates. All rights reserved. 19
• AAA se implementa típicamente usando un servidor dedicado ACS para guardar usuarios / contraseñas en una base de datoscentralizada.
• La información se introduce centralmente/modificado a diferencia
de una base de datos local que debe configurarse en cada router.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
20/71
© 2012 Cisco and/or its affiliates. All rights reserved. 20
• Tolerancia a fallos puede ser configurado en una secuencia derespaldo. – Consulte a un servidor de seguridad ...
– Si el error permanece, o no existen consultar bases de datos locales, ...
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
21/71
© 2012 Cisco and/or its affiliates. All rights reserved. 21
• AAA compatible con los protocolos de seguridad estandarizados.
– TACACS+
• Sistema de control de acceso de Terminal Access Controller Plus
• Sustituye protocolos heredados TACACS y XTACACS
–
RADIUS• Autenticación remota Dial-In User Service
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
22/71
© 2012 Cisco and/or its affiliates. All rights reserved. 22
Implementar autenticación AAALocal
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
23/71
© 2012 Cisco and/or its affiliates. All rights reserved. 23
1. Habilitar AAA mediante el comando de configuración global:
– aaa new-model
2. Definir las listas de métodos de autenticación usando:
– aaa authentication
1. Aplicar las listas de método a una interfaz o línea (si esnecesario) de manera particular.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
24/71
© 2012 Cisco and/or its affiliates. All rights reserved. 24
• El comando aaa new-model permite la función de AAA.
– Comandos AAA ahora se pueden configurar.
– Para desactivar la AAA, utilice el comando no aaa new-model.
• PRECAUCIÓN: no ejecute el comando a menos que estéspreparado para configurar la autenticación AAA. Si lo hace,podría obligar a los usuarios de Telnet para autenticarse con unnombre de usuario, incluso si no se configura ninguna base dedatos de nombre de usuario o método de autenticación.
R1(config)# aaa new-model
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
25/71
© 2012 Cisco and/or its affiliates. All rights reserved. 25
• Especifique el tipo de autenticación para configurar: – Iniciar sesión - permite AAA para inicios de sesión de TTY, VTY, y console 0.
– Enable - habilita AAA para el acceso al modo EXEC.
– PPP - permite AAA para inicios de sesión en PPP (transferencia de paquetes).
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
26/71
© 2012 Cisco and/or its affiliates. All rights reserved. 26
• Liste los métodos por defecto se aplica automáticamente a todaslas interfaces si no hay otra lista.
• Listas con nombre deben aplicarse a una interfaz específicaantes que cualquiera de los métodos de autenticación definidos
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
27/71
© 2012 Cisco and/or its affiliates. All rights reserved. 27
• Métodos enumeran los tipos de autenticación que se va a realizar y la secuencia en la que se llevarán a cabo, ejemplo: – Contraseñas predefinidas (por ejemplo, locales, habilitar o línea)
– Consultar a un servidor TACACS + / RADIUS / Kerberos (s)
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
28/71
© 2012 Cisco and/or its affiliates. All rights reserved. 28
métodos descripción
enable utiliza la contraseña de activación para la autenticación.line utiliza la contraseña de línea para la autenticación.
local utiliza la base de datos de nombre de usuario local para la autenticación.
local-case utiliza la autenticación de nombre de usuario local de mayúsculas yminúsculas.
none
no utiliza la autenticación.cache group-name utiliza un grupo de servidores de caché para la autenticación.
group radius utiliza la lista de todos los servidores radius para la autenticación
group tacacs+ utiliza la lista de todos los servidores tacacs + para la autenticación.
group group-name utiliza un subconjunto de radius o tacacs + para la autenticación deservidores definido por el servidor radius aaa grupo o servidor
tacacs + grupo comando aaa.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
29/71
© 2012 Cisco and/or its affiliates. All rights reserved. 29
• Opcionalmente, para bloquear las cuentas que tienen intentosfallidos excesivos, utilice:
– aaa local authentication attempts max-fail number-of-
unsuccessful-attempts.
– Para eliminar el número de intentos fallidos que se estableció, utilice
la forma no de este comando.
palabra clave descripción
number-of-unsuccessful-
attempts
número de intentos de autenticación fallidos antes de queuna conexión se interrumpe.
aaa local authentication attempts max-fail [number-of-unsuccessful-attempts ]
Router(config)#
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
30/71
© 2012 Cisco and/or its affiliates. All rights reserved. 30
• Este comando cierra la cuenta de usuario si falla la autenticacióny la cuenta permanece bloqueada hasta que el administrador laactive usando:
– clear aaa local user lockout {username username | all}
• El comando difiere del comando login delay en la forma enque maneja los intentos fallidos.
– El comando login delay introduce un retraso entre losintentos fallidos de acceso sin bloquear la cuenta.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
31/71
© 2012 Cisco and/or its affiliates. All rights reserved. 31
• Añadir nombres de usuario y contraseñas para la base de datosdel router local para los usuarios que necesitan accesoadministrativo al router.
• Habilitar AAA a nivel global en el router.
• Configure los parámetros de AAA en el router.
• Confirmar y solucionar problemas de la configuración de AAA.
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default local-case
R1(config)# aaa local authentication attempts max-fail 10
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
32/71
© 2012 Cisco and/or its affiliates. All rights reserved. 32
• Una lista predeterminada o una lista con nombre pueden ser definidos.
– Una lista predeterminada se aplica automáticamente a todas las interfaces sino hay otra lista de acceso definida.
– Una lista con nombre debe ser aplicada a una interfaz específica antes decualquiera de los métodos de autenticación definidos se llevará a cabo.
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default local-case enable
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
33/71
© 2012 Cisco and/or its affiliates. All rights reserved. 33
R1# show aaa sessions
Total sessions since last reload: 4
Session Id: 1
Unique Id: 175
User Name: ADMIN
IP Address: 192.168.1.10
Idle Time: 0
CT Call Handle: 0
R1# show aaa local user lockout
Local-user Lock time
JR-ADMIN 04:28:49 UTC Sat Dec 27 2008
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
34/71
© 2012 Cisco and/or its affiliates. All rights reserved. 34
Implementar autenticación AAAbasada en servidor
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
35/71
© 2012 Cisco and/or its affiliates. All rights reserved. 35
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
36/71
© 2012 Cisco and/or its affiliates. All rights reserved. 36
El apoyo de Cisco ACS: – Terminal de Control de Acceso Control de Acceso Server Plus
(TACACS +)
– protocolos de Acceso a los Servicios de Usuario (RADIUS) remoto
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
37/71
© 2012 Cisco and/or its affiliates. All rights reserved. 37
• Ambos protocolos se pueden utilizar para la comunicación entreel cliente y los servidores AAA.
• TACACS + se considera el protocolo más seguro porque todoslos intercambios están cifradas.
• Radius sólo encripta la contraseña de usuario.
– No cifra los nombres de usuario, información contable, o cualquier otra
información contenida en el mensaje de radio.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
38/71
© 2012 Cisco and/or its affiliates. All rights reserved. 38
• TACACS + es un protocolo de Cisco que ofrece servicios de AAAseparados.
– La separación de los servicios de AAA proporciona flexibilidad en laaplicación, debido a que es posible utilizar TACACS + para la autorización yla contabilidad, mejor que cualquier otro método de autenticación.
Conectar Nombre de usuario
pedirá?
Nombre de Usuario? Utilice "Nombre de usuario"
JR-ADMIN JR-ADMIN
Contraseña?
Petición contraseña?
Str0ngPa55w0rd
Utilizar la contraseña?
Aceptar / Rechazar
Str0ngPa55w0rd
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
39/71
© 2012 Cisco and/or its affiliates. All rights reserved. 39
• RADIUS, desarrollado por Livingston Enterprises, es un protocolo AAA abierto IETF estándar para aplicaciones tales como acceso
a la red o movilidad IP.
– RADIUS se define actualmente por los RFC 2865, 2866, 2867 y 2868.
• El protocolo RADIUS oculta las contraseñas durante latransmisión, pero el resto del paquete se envía en texto claro.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
40/71
© 2012 Cisco and/or its affiliates. All rights reserved. 40
• RADIUS combina la autenticación y autorización como unproceso que significa que cuando un usuario es autenticado, a
ese usuario está también autorizado.
– RADIUS utiliza el puerto UDP 1645 o 1812 para la autenticación y el puertoUDP 1646 o 1813 para la contabilidad.
Nombre de Usuario?
JR-ADMIN
Contraseña?
Str0ngPa55w0rd
Solicitud de Acceso(JR_ADMIN, Str0ngPa55w0rd
)
De aceptación de acceso
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
41/71
© 2012 Cisco and/or its affiliates. All rights reserved. 41
• RADIUS es ampliamente utilizado por los proveedores deservicios de VoIP porque pasa las credenciales de acceso de un
protocolo de iniciación de sesión (SIP) de punto final, como unteléfono de banda ancha, a un registrador SIP utilizando laautenticación implícita, y luego a un servidor RADIUS medianteRADIUS.
– RADIUS es también un protocolo de autenticación común que es utilizadapor el estándar de seguridad 802.1X.
• El Protocolo de diámetro es la sustitución prevista para RADIUS.
– DIÁMETRO utiliza un nuevo protocolo de transporte llamado Protocolo deControl de Transmisión Corriente (SCTP) y TCP en vez de UDP.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
42/71
© 2012 Cisco and/or its affiliates. All rights reserved. 42
CARACTERISTICA TACACS+ RADIUS
Funcionalidad
separa aaa según la arquitecturaaaa, lo que permite la modularidadde la implementación del servidor
de seguridad
combina la autenticación y laautorización, sino que separa a la
contabilidad, lo que permite menos
flexibilidad en la aplicación detacacs +.
Estándar mayormente cisco apoya estándar abierto / rfc
Protocolo detransporte
el puerto tcp 49
el puerto udp 1645 o 1812 para laautenticaciónpuerto udp 1646 o 1813 para lacontabilidad
CHAPdesafío y respuesta bidireccionaltal como se utiliza en chap
desafío unidireccional y larespuesta desde el servidor de
seguridad de radius para el clienteradius.
Compatibilidadcon el protocolo
soporte multiprotocolo no se ara, sin netbeui
Confidencialidad todo el paquete de cifrado Sólo se cifra la contraseña
Personalización
proporciona la autorización de loscomandos del router en una ofunción de cada usuario y por
grupo.
no tiene opción de autorizar loscomandos del router en una ofunción de cada usuario y por
grupo.
Contabilidad limitado extenso
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
43/71
© 2012 Cisco and/or its affiliates. All rights reserved. 43
Cisco Secure ACS
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
44/71
© 2012 Cisco and/or its affiliates. All rights reserved. 44
• Muchos servidores de autenticación a nivel de empresase encuentran en el mercado hoy en día, incluyendo:
– Servidor Steel-Belted RADIUS de Funk
– Livingston Enterprises RADIUS de autenticación de Gerente de Facturación
– RADIUS Mérito Networks
– Cisco Secure ACS para Windows Server (ACS)
• Cisco ACS es una solución única que ofrece servicios de AAAutilizando TACACS + o RADIUS.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
45/71
© 2012 Cisco and/or its affiliates. All rights reserved. 45
Facilidad de
uso
• una interfaz de usuario basada en web simplifica la configuración de los perfilesde usuario, perfiles de grupo y la configuración de acs.
Escalabilidad
• acs está construida para proporcionar grandes entornos de red, incluyendo
servidores redundantes, bases de datos remotas, y la replicación de bases dedatos y servicios de copia de seguridad.
Extensibilidad • soporta la autentificación de los perfiles de usuario que se almacenan en los
directorios del directorio vendors líderes, como sun, novell y microsoft.
Administració
n
• compatibilidad con active directory consolida nombre de usuario y laadministración de contraseñas.
Administració
n
• capacidad de los dispositivos de red de grupo juntos hacen que sea más fácil ymás flexible para el control de la aplicación y los cambios para todos losdispositivos en una red.
Flexibilidad
del producto
• cisco secure acs está disponible en tres opciones: cisco secure acs solutionengine, cisco secure acs express y cisco secure acs para windows.
Integración • acoplamiento apretado con los routers cisco ios y soluciones vpn.
Ayuda de
tercera
persona
• cisco secure acs ofrece soporte de servidor token para cualquier proveedor deuna sola vez la contraseña (otp) que proporciona una interfaz radius compatiblecon rfc, como rsa, passgo, secure computing, activecard, vasco o cripto.
Control • Proporciona cuotas dinámicos para restringir el acceso basado en la hora del
día, el uso de la red, el número de sesiones registrados, y el día de la seman
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
46/71
© 2012 Cisco and/or its affiliates. All rights reserved. 46
Cisco Secure ACS Express 5.0
– de nivel de entrada de acs con el conjunto de características simplificada
– admite hasta 50 dispositivos aaa y un máximo de 350 conexiones de id de
usuario únicos en un período de 24 horas
cisco secure acs para Windows se puede instalar en:
– Windows 2000 server con Service pack 4
– windows 2000 advanced server con service pack 4 – 2003 standard o windows server enterprise edition
– windows server 2008 standard o enterprise edition
Cisco Secure ACS Solution Engine
– una plataforma dedicada altamente escalable que sirve como un ACS de
alto rendimiento – 1RU, montaje en rack
– instalado de fábrica con un software de Windows seguridad reforzada,cisco secure acs software
– soporte para más de 350 usuarios
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
47/71
© 2012 Cisco and/or its affiliates. All rights reserved. 47
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
48/71
© 2012 Cisco and/or its affiliates. All rights reserved. 48
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
49/71
© 2012 Cisco and/or its affiliates. All rights reserved. 49
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
50/71
© 2012 Cisco and/or its affiliates. All rights reserved. 50
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
51/71
© 2012 Cisco and/or its affiliates. All rights reserved. 51
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
52/71
© 2012 Cisco and/or its affiliates. All rights reserved. 52
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
53/71
© 2012 Cisco and/or its affiliates. All rights reserved. 53
• ACSv5 Demo
– http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.html
http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.htmlhttp://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.htmlhttp://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.htmlhttp://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.html
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
54/71
© 2012 Cisco and/or its affiliates. All rights reserved. 54
AAA
autenticaciónbasada enservidor
Configuración
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
55/71
© 2012 Cisco and/or its affiliates. All rights reserved. 55
1. Habilitar AAA utilizando el comando de configuración global: – aaa new-model
2. Configurar los parámetros del protocolo de seguridad: – Dirección IP del servidor y la clave
3. Definir las listas de métodos de autenticación usando: – aaa authentication
4. Aplicar las listas de método a una interfaz o línea (si esnecesario) en particular.
5. Opcionalmente configurar la autorización mediante el comandoglobal:
–
aaa authorization
6. Opcionalmente configurar la contabilidad usando el comandoglobal:
– aaa accounting
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
56/71
© 2012 Cisco and/or its affiliates. All rights reserved. 56
1. Especifique la ubicación del servidor AAA que proporcionaráservicios de AAA.
2. Configurar la clave de cifrado necesaria para cifrar latransmisión de datos entre el servidor de acceso a la red yCisco Secure ACS.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
57/71
© 2012 Cisco and/or its affiliates. All rights reserved. 57
Comando Descripción
tacacs-server host
ip-address
single-connection
•
indica la dirección del servidor cisco secure acs yespecifica el uso de la función de una sola conexióntcp de cisco secure acs.
• Esta característica mejora el rendimiento mediante elmantenimiento de una única conexión tcp para lavida de la sesión entre el servidor de acceso a la red
y el servidor cisco secure acs, en lugar de abrir ycerrar conexiones tcp para cada sesión (por defecto).
tacacs-server key key
• Establece la clave de cifrado secreta compartidaentre el servidor de acceso a la red y el servidorcisco secure acs.
radius-server host ip-
address • Especifica un servidor aaa RADIUS.
radius-server key key • Especifica una clave de cifrado para ser utilizado con
el servidor aaa radius.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
58/71
© 2012 Cisco and/or its affiliates. All rights reserved. 58
R1
192.168.1.100
192.168.1.101
Cisco Secure ACSSolution Engine
using TACACS+
Cisco Secure ACSfor Windows
using RADIUS
R1(config)# aaa new-model
R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connectionR1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
59/71
© 2012 Cisco and/or its affiliates. All rights reserved. 59
R1(config)# aaa authentication login default ?
enable Use enable password for authentication.
group Use Server-groupkrb5 Use Kerberos 5 authentication.
krb5-telnet Allow logins only if already authenticated via Kerberos V
Telnet.
line Use line password for authentication.
local Use local username authentication.
local-case Use case-sensitive local username authentication.
none NO authentication.
passwd-expiry enable the login list to provide password aging support
R1(config)# aaa authentication login default group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
R1(config)# aaa authentication login default group
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
60/71
© 2012 Cisco and/or its affiliates. All rights reserved. 60
Parámetro Descripción
default
• Este comando crea un valor predeterminado que se aplicaautomáticamente a todas las líneas y las interfaces,especificando el método o la secuencia de los métodos deautenticación.
group group-name
group radius
group tacacs+
• Estos métodos especifican el uso de un servidor aaa.• El radio del grupo y tacacs grupo + métodos se refieren a
radius previamente definido o servidores tacacs +.• La cadena de nombre-grupo permite el uso de un grupo
predefinido de radius o tacacs + para servidores deautenticación (creada con el servidor radius aaa grupo oservidor tacacs + grupo comando aaa).
R1(config)# aaa authentication login default group tacacs+ group radius local-case
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
61/71
© 2012 Cisco and/or its affiliates. All rights reserved. 61
R1
192.168.1.100
192.168.1.101
Cisco Secure ACSSolution Engine
using TACACS+
Cisco Secure ACSfor Windows
using RADIUS
R1(config)# aaa new-model
R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connection
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#
R1(config)# aaa authentication login default group tacacs+ group radius local-case
R1(config)#
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
62/71
© 2012 Cisco and/or its affiliates. All rights reserved. 62
Autorizaciónbasada enservidor
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
63/71
© 2012 Cisco and/or its affiliates. All rights reserved. 63
• Se utiliza para limitar los servicios disponibles para un usuario.
•
Router utiliza la información del perfil del usuario, que seencuentra ya sea en la base de datos local o en el servidor deseguridad, para configurar la sesión del usuario. – Usuario entonces se concede el acceso a un servicio solicitado sólo si la
información en el perfil de usuario lo permite.
aaa authorization type { default | list-name } method1 … [method4]
Router(config)#
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
64/71
© 2012 Cisco and/or its affiliates. All rights reserved. 64
Ver versión
JR-ADMIN, comando "show versión"?
Aceptar
JR-ADMIN
La pantalla muestra unasalida de la versión
configure terminal
Autorización de comandos para el usuarioJR-ADMIN, comando "config Terminal"?
Rechazar No permita
que "configure terminal"
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
65/71
© 2012 Cisco and/or its affiliates. All rights reserved. 65
R1(config)# aaa authorization ?
auth-proxy For Authentication Proxy Services
cache For AAA cache configuration
commands For exec (shell) commands.
config-commands For configuration mode commands.
configuration For downloading configurations from AAA server
console For enabling console authorization
exec For starting an exec (shell).
ipmobile For Mobile IP services.
multicast For downloading Multicast configurations from an AAA server
network For network services. (PPP, SLIP, ARAP)
prepaid For diameter prepaid services.
reverse-access For reverse access connectionstemplate Enable template authorization
R1(config)# aaa authorization exec ?
WORD Named authorization list.
default The default authorization list.
R1(config)# aaa authorization exec default ?
group Use server-group.
if-authenticated Succeed if user has authenticated.
krb5-instance Use Kerberos instance privilege maps.
local Use local database.none No authorization (always succeeds).
R1(config)# aaa authorization exec default group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
66/71
© 2012 Cisco and/or its affiliates. All rights reserved. 66
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec default group tacacs+
R1(config)# aaa authorization network default group tacacs+
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGINR1(config-line)# ^Z
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
67/71
© 2012 Cisco and/or its affiliates. All rights reserved. 67
Contabilidadbasada enservidor
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
68/71
© 2012 Cisco and/or its affiliates. All rights reserved. 68
• Define la forma en que se llevará a cabo la contabilidad y lasecuencia en que se realizan.
• Listas con nombre permiten designar un protocolo de seguridadespecial para ser utilizado en las líneas específicas o interfacespara los servicios de contabilidad.Router(config)#
aaa accounting type { default | list-name } record-type method1 … [method2]
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
69/71
© 2012 Cisco and/or its affiliates. All rights reserved. 69
R1(config)# aaa accounting ?
auth-proxy For authentication proxy events.
commands For exec (shell) commands.
connection For outbound connections. (telnet, rlogin)
delay-start Delay PPP Network start record until peer IP address is known.
exec For starting an exec (shell).
gigawords 64 bit interface counters to support Radius attributes 52 & 53.
multicast For multicast accounting.
nested When starting PPP from EXEC, generate NETWORK records before EXEC-STOP
record.
network For network services. (PPP, SLIP, ARAP)
resource For resource events.
send Send records to accounting server.
session-duration Set the preference for calculating session durations
suppress Do not generate accounting records for a specific type of user.system For system events.
update Enable accounting update records.
R1(config)# aaa accounting exec ?
WORD Named Accounting list.
default The default accounting list.
R1(config)# aaa accounting exec default ?
none No accounting.
start-stop Record start and stop without waiting
stop-only Record stop when service terminates.
R1(config)# aaa accounting exec default start-stop?
broadcast Use Broadcast for Accounting
group Use Server-group
R1(config)# aaa accounting exec default start-stop group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
70/71
© 2012 Cisco and/or its affiliates. All rights reserved. 70
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec group tacacs+
R1(config)# aaa authorization network group tacacs+
R1(config)# aaa accounting exec start-stop group tacacs+
R1(config)# aaa accounting network start-stop group tacacs+
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGINR1(config-line)# ^Z
8/19/2019 En CCNAS v11 Ch03 Traducido SENA
71/71