Configurando AAA en un router

1. Las funciones y la importancia de AAA.

Autenticacin: comprueba que los usuarios y administradores sean quienes dicen ser. Autorizacin: despus de la autenticar al usuario o al administrador, decide a qu recursos puede acceder o qu operaciones puede realizar. Registro (Accounting and Auditing): guarda el instante temporal en el que se efectuan las operaciones y acceden a los recursos.

2. Los tres mtodos para implementar AAA. Los usuarios pueden acceder a la LAN de la empresa a travs de marcacin (NAS) o travs de una VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a travs del puerto consola, el puerto auxiliar o las vty. Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD remotas. Con BBDD remotas podemos centralizar la gestin de AAA de varios dispositivos de red. Los tres mtodos de implementar AAA son:

Localmente: en un router o un NAS. En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft Windows Server permitiendo la comunicacin con routers y NAS. En un ACS de Cisco por hardware: servidor hardware dedicado que permite la comunicacin con routers y NAS.

3. Mtodos de autenticacin remota. Existen dos mtodos para autenticar usuarios remotos; autenticacin local o remota.

Autenticacin local

Consiste en autenticar directamente en el router o el NAS los nombres de usuario y su contraseas. Esta recomendado para pequeas redes y no requiere BBDD externas. La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contrasea, el usuario responde, el router comprueba los datos, acepta o deniega el acceso y comunica el veredicto al usuario.

Autenticacin remota

El problema de la autenticacin local es la escalabilidad. Uno o varios ACS (por software o hardware) pueden gestionar toda la autenticacin de todos los dispositivos de red. La comunicacin entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o RADIUS. La autenticacin funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contrasea, el usuario responde, el router reenva los datos al ACS, el ACS comprueba los datos y acepta o deniega el acceso, finalmente el ACS comunica el veredicto al router y este al usuario. 4. Los protocolos TACACS+ y RADIUS. El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es ms seguro pero RADIUS tiene mejor Accounting y una mejor interfaz de programacin. El ACS permite gestionar los siguientes accesos:

Marcacin contra un router o un NAS. Puertos consola, puertos auxiliares y vtys de dispositivos de red. ASAs (Adaptative Security Appliance). Concentradores VPN serie 300 (slo RADIUS). Algunas tarjetas de testigo (token cards) y servidores

5. Los niveles de seguridad de los mtodos de autenticacin.

Sin usuario y contrasea: un atacante slo debera encontrar el dispositivo y tratar de acceder al mismo. Una manera de asegurarlo sera que el servicio escuchar un puerto diferente. Con usuario y contrasea y sin caducidad: el administrador decide cuando cambiar la contrasea. Este mtodo es vulnerable a ataques de repeticin, fuerza bruta, robo y inspeccin de los paquetes. Con usuario y contrasea y con caducidad: cada x tiempo el administrador es forzado a cambiar su contrasea. Este mtodo tiene las mismas vulnerabilidades pero el tiempo para comprometer el equipo por fuerza bruta es menor. OTPs: es ms seguro que los anteriores ya que la contrasea enviada solo tiene validez una vez, es decir, en el momento de ser interceptada por el atacante la contrasea caduca. S/Key es una implementacin de OTP que genera un listado de contraseas a partir de una palabra secreta. Tarjetas de testigo por software y por hardware: est basado en la autenticacin de doble factor; algo que el usuario tiene (token card) y algo que el usuario sabe (token card PIN). Existen dos tipos: basados en tiempo; F(clave_criptogrfica,PIN) = OTP o basados en desafos; F(desafo,clave_criptogrfica) = OTP.

6. Protocolos de autenticacin PPP. PPP soporta autenticacin PAP, CHAP y MS-CHAP. PAP utiliza un intercambio de dos vas; el autenticador solicita las credenciales y el usuario las enva en texto claro. El intercambio se produce despus de establecer el enlace PPP. CHAP utiliza un intercambio de tres vas; despus de establecer el enlace, el autenticador enva un desafo al dispositivo del usuario, este responde con un hash; F(desafo,palabra_secreta) = hash, el autenticador comprueba que el hash recibido coincida con su hash calculado. Este intercambio de tres vas se repite periodicamente (controlado por el autenticador) durante la comunicacin y evita ataques de repeticin. MS-CHAP es la versin CHAP de Microsoft. 7. Configurar AAA en un router. Primero, habilitamos el modelo AAA, aadimos un usuario local y definimos que la autenticacin de acceso remoto sea local.

Router(config)#aaa new-model Router(config)#username tracker secret ccsp Router(config)#aaa authentication login default local
Ahora no tenemos problemas para acceder de nuevo al router o NAS en el caso de perder la comunicacin (SSH). Despus, definimos los mtodos de autenticacin para login (acceso al router), ppp y enable (acceso al nivel privilegiado) y los aplicamos a nivel de lnea o interfaz:

Router(config)#aaa authentication login default enable Router(config)#enable secret cisco Router(config)#aaa authentication login consola local Router(config)#line console 0 Router(config-line)#login authentication consola Router(config)#aaa authentication login vty line Router(config)#line vty 0 4 Router(config-line)#password 123telnet Router(config-line)#login authentication vty Router(config-line)#end Router#exit Router con0 is now available Press RETURN to get started. User Access Verification Username: tracker Password: ccsp Router> R1#Router Trying Router (192.168.0.1)... Open User Access Verification Password: 123telnet Router>enable

Password: cisco Router#

En los comandos de arriba, hemos definido que para acceder al router se tiene que utilizar por defecto (default) la contrasea 'enable secret', que para acceder por consola se tiene que utilizar un nombre de usuario y contrasea locales (tracker:ccsp) y para acceder por telnet necesitamos la contrasea en lnea 123telnet. Las listas de autenticacin particulas (consola y vty) cuando se aplican a lneas (vty, console, aux) o interfaces tiene preferencia sobre la autenticacin por defecto (default). Ahora definimos una lista de autenticacin PPP por defecto (default) y una particular (marcacion) que aplicamos:

Router(config)#aaa authentication ppp default local Router(config)#aaa authentication ppp marcacion group tacacs+ localcase Router(config)#interface serial 0/0 Router(config-if)#ppp authentication chap marcacion
Arriba hemos definido que la autenticacin PPP por defecto sea local y que la autenticacin PPP particular (marcacin) sea con TACACS+ y si falla sea local teniendo en cuenta maysculas/minsculas. Finalmente definiremos que la autenticacin enable por defecto mire primero el grupo RADIUS y luego la contrasea 'enable secret':

Router(config)#aaa authentication enable default group radius enable

Ahora veremos unos ejemplos de autorizacin y registro (accounting):

Router(config)#aaa authorization commands 15 default local Router(config)#aaa authorization network netop local Router(config)#aaa accounting commands 15 default stop-only group tacacs+
El primero comando autoriza localmente la ejecucin de los comandos de nivel 15 utilizando la lista por defecto (default). El segundo autoriza localmente algunos servicios de red utilizando una lista particular (netop). El tercero registra remotamente los comandos de nivel 15 utilizando TACACS+ para la lista por defecto. 8. Solucionar problemas AAA en un router.

Router#debug aaa authentication Router#debug aaa authorization Router#debug aaa accounting

9. Configurar AAA utilizando Cisco SDM. AAA tambin puede ser configurado desde SDM. Para ello utilizamos el comando

aaa new-model
y elegimos en el SDM 'Tareas Adicionales > AAA'. Aparecer un pantalla para listar, editar y borrar mtodos de autenticacin en el router.