SALESIANOS UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLOGICOS CICLO 01/2013

AAA TACACS+

CATEDRTICO: JUAN CARLOS ROSALES PALACI OS

ASIGNATURA: SEGURI DAD EN REDES

ALUMNOS: FELI X ALFREDO CARPI O CARDONA ELI AS ALBERTO COTO BARRI ERE JONATHAN ALEXI S GARCI A CASTI LLO ALVARO RODRI GO JERNI MO MART NEZ

LUNES, 29 DE ABRIL DEL 2013

EXPLICACIN TEXTUAL

AAA NEW-MODEL

AAA corresponde a un tipo de protocolos que realizan tres funciones: Autenticacin, Autorizacin y Contabilizacin (Authentication, Authorization and Accounting en ingls). La expresin protocolo AAA no se refiere pues a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres serv icios citados. Authentication: identifica a los usuarios por nombre de usuario y contrasea con desafo y la metodologa de respuesta antes de que el usuario se accede a la red. Dependiendo de las opciones de seguridad, sino que tambin puede admitir el cifrado. Authorization: Despus de la autenticacin inicial, la autorizacin mira lo que el usuario autenticado tiene acceso a hacer. RADI US o TACACS + serv idores de seguridad realizan la autorizacin de priv ilegios especficos mediante la definicin de atributo Valor (AV) pares, lo que sera especfica a los derechos de los usuarios indiv iduales. En el I OS de Cisco, puede definir la autorizacin de AAA con una lista con nombre o mtodo de autorizacin. Accounting: Proporciona una forma de recoger la informacin de seguridad que puede utilizar para la facturacin, auditora y presentacin de informes. Puede utilizar la contabilidad para v er lo que los usuarios hacen una v ez autenticados y autorizados. Por ejemplo, con la contabilidad, se puede obtener un registro de cuando el usuario inicia sesin y cuando se cerrar la sesin. El comando se encarga de activ ar nuev os comandos de control de acceso o funciones, creando un nuev o modelo de autentificacin; tambin desactiv a comandos v iejos.

AAA AUTHENTICATION LOGIN [LISTA] GROUP TACACS+

TACACS+ (Terminal Access Controller Access Control System, en ingls sistema de control de acceso del controlador de acceso a terminales) es un protocolo de autenticacin remota que se usa para gestionar el acceso (proporciona serv icios separados de autenticacin, autorizacin y registro) a serv idores y dispositiv os de comunicaciones. TACACS+ est basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuev o e incompatible con las v ersiones anteriores de TACACS. El comando crea un perfil de autenticacin con un nombre de lista denominado por el usuario, quien se encuentra v inculado con un grupo de serv idores del tipo TACACS+ (solamente existen dos tipos, el trabajado actualmente & RADI US). AAA AUTHENTICATION LOGIN DEFAULT GROUP TACACS+ LOCAL

Consiste en autenticar directamente en el router los nombres de usuario y sus contraseas. Est recomendado para pequeas redes y no requiere BBDD externas. La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router solicita el nombre de usuario y la contrasea, el usuario responde, el router comprueba los datos, acepta o deniega el acceso y comunica el v eredicto al usuario.

TACACS-SERVER HOST [IP_SERVER] KEY [KEY]

Un serv idor TACACS+ es el encargado de responder a las solicitudes del cliente por algn intermediario (que en la mayora de los casos suele ser un router o incluso un sw itch). La funcin del comando es decirle al router donde se encuentra el serv idor TACACS+ a trav s de su I P y enlazado con la clav e compartida.

AAA AUTHENTICATION ENABLE DEFAULT GROUP TACACS+ LOCAL

Activ acin del AAA La habilitacin de la autenticacin AAA permite utilizar TACACS+ para proporcionar un mtodo centralizado de proporcionar autenticacin exec (enable secret), junto con la autenticacin de usuarios. Un punto muy importante a tener en cuenta: asegrese de incluir un segundo mtodo de autenticacin en el caso de que su TACACS + no est disponible o no obtendr el indicador EXEC.

AAA AUTHORIZATION EXEC [LISTA] IF-AUTHENTICATED

I f-Authenticated permite al usuario acceder a la funcin solicitada, si el usuario est autenticado. Telnet es un protocolo de emulacin de terminal estndar que se utiliza para la conexin del terminal a distancia. Normalmente, se conecte a un serv idor de acceso de red y luego usar Telnet para acceder a otros dispositiv os de red desde el serv idor de acceso de red. La autorizacin se respaldar del nombre de lista que el usuario haya agregado en el perfil si y solo si la autenticacin ha sido correcta.

AAA ACCOUNTING NETWORK DEFAULT STOP-ONLY GROUP TACACS+

Cuando el accounting AAA se activ a, por defecto el softw are Cisco I OS no genera registros contables para los usuarios del sistema que no han podido autentificarse en el inicio de sesin o que tienen xito en la autenticacin de inicio de sesin. El accounting de comando aaa puede ser configurado para env iar un registro de "parada" usando ya sea el start-stop (palabra clav e) o la stop-only (palabra clave).

LINE VTY 0 4

Este comando se trata de un conjunto de puertos v irtuales utilizados para la conexin v a telnet, SSH, http o https al dispositiv o para realizar administracin in band. La mayora de los dispositiv os tienen al menos 5 puertos v irtuales identificados como v ty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden generar ms puertos v irtuales hasta completar un total de 21 lneas v ty. Encargado nada ms de entrar al modo configuracin de las lneas v ty.

LOGIN AUTHENTICATION [LISTA]

Activ amos TELNET en las lneas v irtuales. Es decir, que las lneas de telnet autenticarn y autorizarn con el nombre asignado por el administrador del router.

SESSION-LIMIT [NUMERO]

Este comando sirv e para tener el control de las sesiones de terminal y controlar el trfico alto para proporcionar los recursos necesarios a los usuarios. En este caso asignamos n nmeros para el lmite de sesiones simultneas dentro de [LI STA] para asegurarnos el funcionamiento exitoso de las conexiones.

EXEC-TIMEOUT [MINUTOS]

Para configurar el tiempo de espera de sesin inactiv a en el puerto de la consola o el terminal v irtual, utilice el comando exec-timeout. Para v olv er a los v alores predeterminados, utilice la forma no de este comando

LINE CONSOLE 0

I ngresamos a la lnea de consola para pedir los parmetros de seguridad que asignamos en esta red.

LOGIN AUTHENTICATION [LISTA]

Tomamos el perfil LI STA para ubicarlo en esta lnea de consola, y al igual que telnet, las lneas de consola autenticarn y autorizarn con el nombre asignado por el administrador del router.

EXPLICACIN GRFICA
EJEMPLO DE CLI CONFIGURADA ORDENADAMENTE

CONFIGURACIN DEL SERVIDOR

El serv idor trae un entorno grafico interactiv o para el administrador de redes que representa la configuracin de clientes con direcciones I P e inclusiv e la creacin de usuarios con contraseas incluidos. En la siguiente imagen se v er representada la lista de pasos realizados para lograr una completa estructuracin del serv icio AAA.

PASOS NUMERADOS 1 5

PASO 1: Seleccionamos la pestaa Config del serv idor TACACS+. PASO 2: Escogemos el serv icio AAA del serv idor. PASO 3: Agregamos el cliente en las siguientes casillas: Client Name: Es el nombre del cliente (o el nombre del router a serv ir con AAA). Client I P: Es la I P por la cual recibe la informacin del serv idor el cliente que la solicita. Serv erType: Existen dos opciones para el tipo de serv idor: RADI US & TACACS, en nuestro caso elegimos TACACS.

Key: Es la clav e compartida con el usuario.

PASO 4: Se agrega el nombre del usuario y contrasea que posteriormente se pedir en la CLI de algn router con el serv icio AAA activ ado. PASO 5: Activ ar el serv icio chequeando como ON la opcin mostrada.

RESULTADO

Pide dos v eces usuario y contrasea porque la primera v ez es de autenticacin, la otra es de autorizacin.

SIMULACIN

ESTRUCTURA

La topologa est conformada por: 5 routers 4 sw itches 8 computadoras 1 serv idor TACACS+

TECNOLOGIAS Enrutamiento OSPF Asignacin de I P mediante serv idor DHCP Serv icio AAA TACACS+ activ ado