Documente Academic
Documente Profesional
Documente Cultură
AAA TACACS+
ALUMNOS: FELI X ALFREDO CARPI O CARDONA ELI AS ALBERTO COTO BARRI ERE JONATHAN ALEXI S GARCI A CASTI LLO ALVARO RODRI GO JERNI MO MART NEZ
EXPLICACIN TEXTUAL
AAA NEW-MODEL
AAA corresponde a un tipo de protocolos que realizan tres funciones: Autenticacin, Autorizacin y Contabilizacin (Authentication, Authorization and Accounting en ingls). La expresin protocolo AAA no se refiere pues a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres serv icios citados. Authentication: identifica a los usuarios por nombre de usuario y contrasea con desafo y la metodologa de respuesta antes de que el usuario se accede a la red. Dependiendo de las opciones de seguridad, sino que tambin puede admitir el cifrado. Authorization: Despus de la autenticacin inicial, la autorizacin mira lo que el usuario autenticado tiene acceso a hacer. RADI US o TACACS + serv idores de seguridad realizan la autorizacin de priv ilegios especficos mediante la definicin de atributo Valor (AV) pares, lo que sera especfica a los derechos de los usuarios indiv iduales. En el I OS de Cisco, puede definir la autorizacin de AAA con una lista con nombre o mtodo de autorizacin. Accounting: Proporciona una forma de recoger la informacin de seguridad que puede utilizar para la facturacin, auditora y presentacin de informes. Puede utilizar la contabilidad para v er lo que los usuarios hacen una v ez autenticados y autorizados. Por ejemplo, con la contabilidad, se puede obtener un registro de cuando el usuario inicia sesin y cuando se cerrar la sesin. El comando se encarga de activ ar nuev os comandos de control de acceso o funciones, creando un nuev o modelo de autentificacin; tambin desactiv a comandos v iejos.
TACACS+ (Terminal Access Controller Access Control System, en ingls sistema de control de acceso del controlador de acceso a terminales) es un protocolo de autenticacin remota que se usa para gestionar el acceso (proporciona serv icios separados de autenticacin, autorizacin y registro) a serv idores y dispositiv os de comunicaciones. TACACS+ est basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuev o e incompatible con las v ersiones anteriores de TACACS. El comando crea un perfil de autenticacin con un nombre de lista denominado por el usuario, quien se encuentra v inculado con un grupo de serv idores del tipo TACACS+ (solamente existen dos tipos, el trabajado actualmente & RADI US). AAA AUTHENTICATION LOGIN DEFAULT GROUP TACACS+ LOCAL
Consiste en autenticar directamente en el router los nombres de usuario y sus contraseas. Est recomendado para pequeas redes y no requiere BBDD externas. La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router solicita el nombre de usuario y la contrasea, el usuario responde, el router comprueba los datos, acepta o deniega el acceso y comunica el v eredicto al usuario.
Un serv idor TACACS+ es el encargado de responder a las solicitudes del cliente por algn intermediario (que en la mayora de los casos suele ser un router o incluso un sw itch). La funcin del comando es decirle al router donde se encuentra el serv idor TACACS+ a trav s de su I P y enlazado con la clav e compartida.
Activ acin del AAA La habilitacin de la autenticacin AAA permite utilizar TACACS+ para proporcionar un mtodo centralizado de proporcionar autenticacin exec (enable secret), junto con la autenticacin de usuarios. Un punto muy importante a tener en cuenta: asegrese de incluir un segundo mtodo de autenticacin en el caso de que su TACACS + no est disponible o no obtendr el indicador EXEC.
I f-Authenticated permite al usuario acceder a la funcin solicitada, si el usuario est autenticado. Telnet es un protocolo de emulacin de terminal estndar que se utiliza para la conexin del terminal a distancia. Normalmente, se conecte a un serv idor de acceso de red y luego usar Telnet para acceder a otros dispositiv os de red desde el serv idor de acceso de red. La autorizacin se respaldar del nombre de lista que el usuario haya agregado en el perfil si y solo si la autenticacin ha sido correcta.
Cuando el accounting AAA se activ a, por defecto el softw are Cisco I OS no genera registros contables para los usuarios del sistema que no han podido autentificarse en el inicio de sesin o que tienen xito en la autenticacin de inicio de sesin. El accounting de comando aaa puede ser configurado para env iar un registro de "parada" usando ya sea el start-stop (palabra clav e) o la stop-only (palabra clave).
LINE VTY 0 4
Este comando se trata de un conjunto de puertos v irtuales utilizados para la conexin v a telnet, SSH, http o https al dispositiv o para realizar administracin in band. La mayora de los dispositiv os tienen al menos 5 puertos v irtuales identificados como v ty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden generar ms puertos v irtuales hasta completar un total de 21 lneas v ty. Encargado nada ms de entrar al modo configuracin de las lneas v ty.
Activ amos TELNET en las lneas v irtuales. Es decir, que las lneas de telnet autenticarn y autorizarn con el nombre asignado por el administrador del router.
SESSION-LIMIT [NUMERO]
Este comando sirv e para tener el control de las sesiones de terminal y controlar el trfico alto para proporcionar los recursos necesarios a los usuarios. En este caso asignamos n nmeros para el lmite de sesiones simultneas dentro de [LI STA] para asegurarnos el funcionamiento exitoso de las conexiones.
EXEC-TIMEOUT [MINUTOS]
Para configurar el tiempo de espera de sesin inactiv a en el puerto de la consola o el terminal v irtual, utilice el comando exec-timeout. Para v olv er a los v alores predeterminados, utilice la forma no de este comando
LINE CONSOLE 0
I ngresamos a la lnea de consola para pedir los parmetros de seguridad que asignamos en esta red.
Tomamos el perfil LI STA para ubicarlo en esta lnea de consola, y al igual que telnet, las lneas de consola autenticarn y autorizarn con el nombre asignado por el administrador del router.
EXPLICACIN GRFICA
EJEMPLO DE CLI CONFIGURADA ORDENADAMENTE
El serv idor trae un entorno grafico interactiv o para el administrador de redes que representa la configuracin de clientes con direcciones I P e inclusiv e la creacin de usuarios con contraseas incluidos. En la siguiente imagen se v er representada la lista de pasos realizados para lograr una completa estructuracin del serv icio AAA.
PASOS NUMERADOS 1 5
PASO 1: Seleccionamos la pestaa Config del serv idor TACACS+. PASO 2: Escogemos el serv icio AAA del serv idor. PASO 3: Agregamos el cliente en las siguientes casillas: Client Name: Es el nombre del cliente (o el nombre del router a serv ir con AAA). Client I P: Es la I P por la cual recibe la informacin del serv idor el cliente que la solicita. Serv erType: Existen dos opciones para el tipo de serv idor: RADI US & TACACS, en nuestro caso elegimos TACACS.
PASO 4: Se agrega el nombre del usuario y contrasea que posteriormente se pedir en la CLI de algn router con el serv icio AAA activ ado. PASO 5: Activ ar el serv icio chequeando como ON la opcin mostrada.
RESULTADO
Pide dos v eces usuario y contrasea porque la primera v ez es de autenticacin, la otra es de autorizacin.
SIMULACIN
ESTRUCTURA
La topologa est conformada por: 5 routers 4 sw itches 8 computadoras 1 serv idor TACACS+
TECNOLOGIAS Enrutamiento OSPF Asignacin de I P mediante serv idor DHCP Serv icio AAA TACACS+ activ ado