capitulo 3 ccna security autenticación, autorización y contabilidad

Capítulo 3: autenticación, autorización y contabilidad

Una red debe estar diseñada para controlar quién tiene permiso para conectarse a él, cuando se les permite conectarse a él, y lo que se les permite hacer. Estas especificaciones de diseño se identifican en la política de seguridad de la red. La política especifica cómo los administradores de red, los usuarios corporativos, los usuarios remotos, socios comerciales y clientes el acceso a recursos de red. La política de seguridad de red también puede ordenar la implementación de un sistema de contabilidad que registra que registran en cuando y lo que hicieron mientras está conectado.

Gestión del acceso a la red utilizando únicamente el modo de usuario o contraseña comandos del modo privilegiado es limitado y no escala bien. Uso de la autenticación, autorización y contabilidad (AAA) protocolo proporciona el marco necesario para activar la seguridad de acceso escalable.

routers y switches Cisco IOS se pueden configurar para utilizar AAA para acceder a una base de datos de usuario y contraseña local. El uso de un nombre de usuario local y la contraseña de base de datos proporciona una mayor seguridad que una simple contraseña. También es una solución rentable y fácil de implementar la seguridad para las organizaciones pequeñas.

Las organizaciones más grandes requieren una solución de autenticación más escalable. routers y switches Cisco IOS se pueden configurar para utilizar AAA para la autenticación en un sistema de control de acceso seguro de Cisco (ACS). Utilización de Cisco ACS es muy escalable ya que todos los dispositivos de infraestructura de acceso a un servidor central. La solución de Cisco Secure ACS es también tolerante a fallos debido a varios servidores se pueden configurar.

Para asegurarse de que sólo las personas adecuadas, con los dispositivos adecuados obtener el derecho de acceso a los servicios de la empresa, Cisco introdujo el Cisco identificar los servicios Engine (ISE). ISE proporciona visibilidad de los usuarios y dispositivos que tienen acceso a una red. Esta solución de próxima generación no sólo ofrece la AAA, pero también hace cumplir las políticas de seguridad y acceso para dispositivos de punto final conectados a conmutadores y routers de la organización. Simplifica la gestión de varios dispositivos y ofrece funciones como la de perfiles de dispositivo, la evaluación de la postura, la gestión de clientes, y el acceso a la red basada en la identidad.

El acceso a la LAN se puede asegurar mediante IEEE 802.1X. 802.1X es un protocolo de control de acceso y autenticación basada en puerto utilizado para restringir las estaciones de trabajo no autorizados se conecten a una red local a través de puertos de conmutador de acceso público.

Autenticación sin AAA 

los hackers pueden potencialmente tener acceso a los equipos y servicios de red sensibles. límites de control de acceso o lo que pueden utilizar los recursos específicos. También limita los servicios o las opciones que están disponibles después de que se le conceda acceso. Muchos tipos de autenticación se pueden realizar en un dispositivo Cisco, y cada método ofrece diferentes niveles de seguridad.

El método más simple de autenticación de acceso remoto es configurar una combinación de usuario y contraseña en la consola, las líneas vty y puertos auxiliares, como se muestra en la Figura 1. Este método es el más fácil de implementar, pero también es el más débil y menos seguro. Este método no proporciona ninguna responsabilidad. Cualquier persona con la contraseña puede ganar la entrada al dispositivo y cambiar la configuración.

SSH es una forma más segura de acceso remoto. Se requiere tanto un nombre de usuario y una contraseña, ambos de los cuales están cifrados durante las transmisiones. El método de base de datos local proporciona seguridad adicional, ya que se requiere un atacante conocer un nombre de usuario y una contraseña. También proporciona una mayor responsabilidad, porque el nombre de usuario se registra cuando un usuario inicia sesión en. A pesar de Telnet se puede configurar con un nombre de usuario y contraseña, ambos se envían en texto plano, lo que hace que sea vulnerable a ser capturado y explotados.

El método de base local tiene algunas limitaciones. Las cuentas de usuario deben configurarse de forma local en cada dispositivo, como se muestra para la configuración de SSH en la figura 2. En un entorno empresarial de gran tamaño que tiene varios routers y switches para gestionar, puede tomar tiempo para implementar y cambiar las bases de datos locales en cada dispositivo. Además, la configuración de la base de datos local proporciona ningún método de autenticación de reserva. Por ejemplo, ¿qué pasaría si el administrador olvida el nombre de usuario y contraseña para ese dispositivo? Sin método de reserva para la autenticación, recuperación de la contraseña se convierte en la única opción.

Una mejor solución es que todos los dispositivos se refieren a la misma base de datos de nombres de usuario y contraseñas desde un servidor central. Este capítulo explora los diversos métodos de asegurar el acceso a la red mediante la autenticación, autorización y contabilidad (AAA) para asegurar los routers de Cisco.

 componentes AAA 

los servicios de seguridad de red AAA proporcionan el marco principal para configurar el control de acceso en un dispositivo de red. AAA es una manera de controlar a quien se permite acceder a una red (autenticar), lo que pueden hacer mientras se encuentran allí (Autorizar), y para auditar las acciones que llevan a cabo mientras se accede a la red (contabilidad).

La red y la seguridad AAA administrativa en el entorno de Cisco tiene tres componentes funcionales:

Autenticación - Los usuarios y administradores deben demostrar que son quienes dicen que son. La autenticación puede establecerse utilizando combinaciones de usuario y contraseña, preguntas de desafío y respuesta, las tarjetas de testigo, y otros métodos. Por ejemplo: "Yo soy" estudiante "de usuario y sé la contraseña para probarlo."

Autorización - Una vez autenticado el usuario, los servicios de autorización determinan los recursos que el usuario puede acceder y qué operaciones se permite al usuario realizar. Un ejemplo es "" estudiante "El usuario puede acceder a serverxyz anfitrión utilizando sólo SSH."

Contabilidad y auditoría - Registros contables lo que hace el usuario, incluyendo lo que se accede, la cantidad de tiempo que se accede al recurso, y cualquier cambio que se hicieron. Contabilidad realiza un seguimiento de cómo se utilizan los recursos de la red. Un ejemplo es "" estudiante "usuario accede serverxyz host mediante SSH durante 15 minutos."

Este concepto es similar al uso de una tarjeta de crédito, como se indica por la figura. Los identifica la tarjeta de crédito que pueden utilizarla, la cantidad de usuarios que pueden pasar, y mantiene la cuenta de lo que los artículos o servicios que el usuario compró.

Modos de autenticación

Autenticación AAA se puede utilizar para autenticar a los usuarios para el acceso administrativo o puede ser utilizado para autenticar a los usuarios para el acceso remoto a la red. Cisco ofrece dos métodos comunes de implementación de servicios de AAA:

Autenticación local de la AAA AAA El Mañana utiliza una base de datos local para la autenticación. Este método se conoce a veces como la autenticación autónomo. En este curso, se hará referencia a la autenticación AAA como local. Este método almacena los nombres de usuario y contraseñas de forma local en el router de Cisco, y los usuarios se autentican en contra de la base de datos local, como se muestra en la Figura 1. Esta base de datos es el mismo que necesita para establecer CLI basada en roles. AAA local es ideal para redes pequeñas.

Servidor de autenticación basada en AAA - Con el método basado en servidor, el router tiene acceso a un servidor AAA central, tales como el Sistema de Control de Acceso Seguro de Cisco (ACS) para Windows, que se muestra en la Figura 2. El servidor AAA central contiene los nombres de usuario y contraseña para todos usuarios. El router utiliza ya sea la autenticación remota Dial-In User Service (RADIUS) o protocolos de control de acceso Sistema Terminal Access Controller (TACACS +) para comunicarse con el servidor AAA. Cuando hay varios enrutadores y conmutadores, AAA basada en servidor es más apropiado.

Nota: En este supuesto, la atención se centra en la aplicación de seguridad de red con IPv4 en los routers Cisco, interruptores y de seguridad Aparato adaptativa. En ocasiones, se hace referencia a las tecnologías y protocolos IPv6 específicos

Autorización 

Después de los usuarios se autentican con éxito contra la fuente de datos seleccionada AAA , ya sea local o basada en servidor , que son autorizados después por los recursos específicos de la red , como se muestra en la figura. La autorización es básicamente lo que los usuarios pueden y no pueden hacer en la red después de que se autentican . Esto es similar a cómo los niveles de privilegio y CLI basados ​​en roles dan a los usuarios derechos y privilegios específicos a ciertos comandos en el router .

La autorización se implementa típicamente usando una solución basada en un servidor AAA . Autorización utiliza un conjunto creado de atributos que describen el acceso del usuario a la red. Estos atributos se comparan con la información contenida en la base de datos AAA, y una determinación de restricciones para que el usuario se hace y se entregan al router local que está conectado el usuario.

La autorización es automática y no requiere que los usuarios realizar pasos adicionales después de la autenticación . Autorización se lleva a cabo inmediatamente después de que el usuario es autenticado .

Contabilidad Accounting

AAA Contabilidad recoge y datos de uso de informes. Estos datos pueden utilizarse para fines tales como la auditoría o de facturación. Los datos recogidos podrían incluir el inicio y finalización de conexión, los comandos ejecutados, el número de paquetes y el número de bytes.

Contabilidad se implementa utilizando una solución basada en un servidor AAA. Este servicio informa de las estadísticas de uso de vuelta al servidor ACS. Estas estadísticas se pueden extraer para crear informes detallados acerca de la configuración de la red.

Un uso ampliamente extendido de la contabilidad es combinarla con la autenticación AAA. Esto ayuda con la gestión del acceso a los dispositivos de red personal administrativo de conexión en red. Contabilidad ofrece más seguridad que acaba de autenticación. Los servidores AAA mantienen un registro detallado de exactamente lo que el usuario autenticado en el dispositivo, como se muestra en la Figura 1. Esto incluye todos los comandos EXEC y configuración emitidos por el usuario. El registro contiene numerosos campos de datos, incluido el nombre de usuario, la fecha y la hora, y el comando real que fue introducido por el usuario. Esta información es útil para solucionar problemas de dispositivos. También provee un impulso contra las personas que realizan acciones maliciosas.

La figura 2 muestra los distintos tipos de información contable que se pueden recoger.

 Network acoont contabilidad de red captura la información para todas las sesiones Punto - a-Punto (PPP ), incluyendo recuentos de paquetes y bytes .

conection accounting que representa la conexión captura información sobre todas las conexiones salientes realizadas desde el cliente AAA , tales como Telnet o SSH .

exec accounting EXEC accounting captures information about user EXEC terminal sessions (user shells) on the network access server, including username, date, start and stop times, and the access server IP address.

System accounting la contabilidad del sistema captura información sobre todos los eventos a nivel de sistema (por ejemplo , cuando el sistema se reinicia o cuando se activa la contabilidad o apagado) .

command accounting la contabilidad de comandos captura información acerca de los comandos de la shell Exec para un nivel de privilegio especificado que se están ejecutando en un servidor de acceso a la red . Cada registro 

resource accounting contable de comandos incluye una lista de los comandos ejecutados para ese nivel de privilegios , así como la fecha y la hora se ejecuta cada comando , y el usuario que lo ejecuta .

La implementación de Cisco de contabilidad AAA captura apoyo "start " y "stop " registro de llamadas que han pasado la autenticación de usuario . También se admite la función adicional de generar registros de " stop" para las llamadas que fallan en la autenticación como parte de la autenticación de usuario . Tales registros son necesarios para los usuarios que emplean los registros de contabilidad para gestionar y supervisar sus redes .

Ejercicio : https://static-course-assets.s3.amazonaws.com/CCNAS2/en/index.html#3.1.2.4

La autenticación de acceso administrativo 

Autenticación AAA local debe estar configurado para redes más pequeñas. Las redes más pequeñas son aquellas redes que tienen uno o dos routers que proporcionan acceso a un número limitado de usuarios. Este método utiliza los nombres de usuario y contraseñas locales almacenados en un router. El administrador del sistema debe llenar la base de la seguridad local mediante la especificación de perfiles de usuario y contraseña para cada usuario que pueda conectarse.

El método de autenticación AAA local es similar al uso del comando de inicio de sesión local, con una excepción. AAA también proporciona una manera de configurar los métodos de copia de seguridad de autenticación.

Configuración de los servicios de AAA local para autenticar el acceso de administrador requiere algunos pasos básicos:

Paso 1. Añadir los nombres de usuario y contraseñas para la base de datos del router local para los usuarios que necesitan acceso administrativo al router.

Paso 2. Habilitar AAA a nivel mundial en el router.

Paso 3. Configurar los parámetros de AAA en el router.

Paso 4. Confirmar y solucionar problemas de la configuración de AAA.

El comando de inicio de sesión de autenticación AAA en la figura permite a los usuarios administradores y JR-Admin para iniciar sesión en el router a través de la consola o vty líneas terminales. La palabra clave por defecto significa que el método de autenticación se aplica a todas las líneas, excepto aquellos para los que una configuración de línea específica sustituye el valor predeterminado. La autenticación entre mayúsculas y minúsculas, indicado por la palabra clave-caso local. Esto significa que tanto la contraseña y el nombre de usuario entre mayúsculas y minúsculas.

Métodos de autenticación 

Para activar AAA, el nuevo modelo de comando de configuración global aaa primero se debe configurar. Para desactivar la AAA, utilice la forma no de este comando.

Nota: No hay otros comandos AAA están disponibles hasta que se introduzca este comando.

Nota: Es importante saber que cuando se introduce por primera vez el comando aaa nuevo modelo, que no se ve una autenticación "por defecto", utilizando la base de datos local se aplica automáticamente a todas las líneas excepto la consola. Por esta razón, siempre configurar una entrada de base de datos local antes de activar AAA.

Utilice el comando de inicio de sesión de autenticación AAA se muestra en la Figura 1 para habilitar la autenticación de las líneas de consola, aux, y vty. La palabra clave de autenticación predeterminada se aplica a todas las líneas. Alternativamente, un método de autenticación personalizado se puede configurar con una lista de nombres.

La parte final del comando identifica el tipo de métodos que pueden consultar para autenticar los usuarios. Hasta cuatro métodos se pueden definir, proporcionando métodos de retorno debe ser un método no disponible. La Figura 2 muestra los métodos comunes que se pueden especificar. Cuando un usuario intenta iniciar sesión, se utiliza el primer método de la lista. el software Cisco IOS intentos de autenticación con el siguiente método de autenticación están incluidos solamente cuando no hay respuesta o se produce un error en el método anterior. Si el método de autenticación niega el acceso de los usuarios, el proceso de autenticación se detiene y no se permiten otros métodos de autenticación.

Para habilitar la autenticación local utilizando una base de datos local preconfigurado, utilice el caso local, local o palabra clave. La diferencia entre las dos opciones es que acepta un nombre de usuario local, independientemente del caso, mientras que locales de los casos es entre mayúsculas y minúsculas. Por ejemplo, si se ha configurado una entrada de la base de datos local con el nombre de usuario admin, el método local aceptaría ADMIN, administrador, o incluso de administración. Si se ha configurado el método de caso local, entonces sólo ADMIN sería aceptable.

Para especificar que un usuario puede autenticarse mediante la contraseña de activación, utilice la palabra clave de activación. Para asegurarse de que la autenticación se realiza correctamente, incluso si todos los métodos devuelven un error, especifique ninguno como el método final.

Nota: Por razones de seguridad, utilice la palabra clave none solamente al probar la configuración de AAA. Nunca se debe aplicar en una red activa.

Predeterminadas y con nombre Métodos 

Para mayor flexibilidad, diferentes listas de métodos se pueden aplicar a diferentes interfaces y líneas utilizando el comando aaa authentication login nombre-lista.

Por ejemplo, un administrador puede aplicar una entrada especial para SSH y luego tener el método de inicio de sesión predeterminado para la consola de línea, como se muestra en la figura. En este ejemplo, la línea vty utilizaría solamente la base de datos local para la autenticación. Todas las demás líneas (es decir, líneas de consola y AUX) usarían la base de datos local y utilizar la contraseña de activación como una alternativa en caso de que no había entradas de base de datos en el dispositivo.

Observe que la lista llamada tiene que ser activado de forma explícita en la línea de comandos usando la configuración de la línea de autenticación de inicio de sesión. Si una línea tiene una lista de métodos de autenticación personalizado que se le aplica, esa lista método, se sustituye la lista método por defecto para esa interfaz.

Cuando se aplica una lista de métodos de autenticación personalizado a una interfaz, es posible volver a la lista método predeterminado mediante el comando no inicio de sesión de autenticación.