Documente Academic
Documente Profesional
Documente Cultură
Capitulo 3
Autenticacin, autorizacin y registro de auditoria
Un intruso puede ganar acceso a equipamiento de red y servicios sensibles.
Para ayudar a prevenir el acceso no deseado, el control de acceso es
necesario. El control de acceso limita quin o qu puede usar recursos
especficos as como servicios u opciones disponibles una vez que se otorga
el acceso. Se pueden usar muchos tipos de mtodos de autenticacin en un
dispositivo Cisco y cada mtodo ofrece varios niveles de seguridad.
La forma mas simple de implementar un control de acceso o de
autenticacion es mediante el uso de contrasenas en la consola, lineas vty y
puertos aux, la desventaja de este metodo de autenticacion es que es muy
debil y vulnerable a ataques de fuerza bruta.
Para ayudar a proporcionar registros de auditoria pude implementarse el uso
de bases de datos, este mtodo crea cuentas de usuario individuales en
cada dispositivo con una contrasea especfica asignada a cada usuario El
mtodo de base de datos local proporciona seguridad adicional, ya que el
atacante debe conocer tanto nombre de usuario como contrasea. Tambin
proporciona un mayor registro de auditora, ya que se registra el nombre de
usuario cada vez que el usuario inicia una sesin. Este metodo puede utilizar
encriptacion md5 la cual es mas recomendable.
El mtodo de base de datos local tiene algunas limitaciones. Las cuentas de
usuario deben configurarse localmente en cada dispositivo. En una empresa
grande que tiene mltiples routers y switches para administrar, puede tomar
demasiado tiempo implementar y cambiar las bases de datos locales en
cada dispositivo.
Una mejor solucin es hacer que todos los dispositivos accedan a la misma
base de datos de usuarios y contraseas en un servidor central.
Los servicios de seguridad AAA proporcionan un marco inicial para
montar control de acceso en un dispositivo de red. AAA es una manera de
controlar a quin se le permite acceso a una red (autenticacin) y qu
pueden hacer mientras estn all (autorizacin), as como auditar qu
acciones realizaron al acceder a la red (registro de auditora).
La seguridad AAA administrativa y de red tiene muchos componentes
funcionales en el ambiente Cisco:
AAA local usa una base de datos local para la autenticacin. Este mtodo
almacena los nombres de usuario y sus correspondientes contraseas
localmente en el router Cisco, y los usuarios se autentican en la base de
datos local. Esta base de datos es la misma que se requiere para
establecer una CLI basada en roles. AAA local es ideal para redes
pequeas.
Metodos de Autenticacion
Ejemplo:
aaa authentication login TELNET-ACCESS local enable
Se crea una lista de autenticacin llamada TELNET-ACCESS que requiere que
los usuarios intenten primero autenticarse a la base de datos de usuario
local en el router. Si ese intento devuelve un error, como que una base de
datos local no est configurada, el usuario puede intentar autenticarse a
travs de la contrasea enable.
Para habilitar unnombre de lista especfico, use en el modo de configuracion
delinea el comando
aaa login authentication nombre-lista
Para ver una lista de todos los usuarios bloqueados, , en el modo EXEC
privilegiado use el comando:
show aaa local userlockout.
Para ver los atributos recolectados en una sesin AAA en el modo EXEC
privilegiado., use el comando:
show aaa user{all | unique id}
que ejecuta el ACS Seguro de Cisco, la instalacin del ACS Seguro de Cisco
puede resultar lenta por retrasos causados por la Microsoft CryptoAPI.