instituto tecnologico de celaya

Capitulo 3
Autenticacin, autorizacin y registro de auditoria
Un intruso puede ganar acceso a equipamiento de red y servicios sensibles.
Para ayudar a prevenir el acceso no deseado, el control de acceso es
necesario. El control de acceso limita quin o qu puede usar recursos
especficos as como servicios u opciones disponibles una vez que se otorga
el acceso. Se pueden usar muchos tipos de mtodos de autenticacin en un
dispositivo Cisco y cada mtodo ofrece varios niveles de seguridad.
La forma mas simple de implementar un control de acceso o de
autenticacion es mediante el uso de contrasenas en la consola, lineas vty y
puertos aux, la desventaja de este metodo de autenticacion es que es muy
debil y vulnerable a ataques de fuerza bruta.
Para ayudar a proporcionar registros de auditoria pude implementarse el uso
de bases de datos, este mtodo crea cuentas de usuario individuales en
cada dispositivo con una contrasea especfica asignada a cada usuario El
mtodo de base de datos local proporciona seguridad adicional, ya que el
atacante debe conocer tanto nombre de usuario como contrasea. Tambin
proporciona un mayor registro de auditora, ya que se registra el nombre de
usuario cada vez que el usuario inicia una sesin. Este metodo puede utilizar
encriptacion md5 la cual es mas recomendable.
El mtodo de base de datos local tiene algunas limitaciones. Las cuentas de
usuario deben configurarse localmente en cada dispositivo. En una empresa
grande que tiene mltiples routers y switches para administrar, puede tomar
demasiado tiempo implementar y cambiar las bases de datos locales en
cada dispositivo.
Una mejor solucin es hacer que todos los dispositivos accedan a la misma
base de datos de usuarios y contraseas en un servidor central.
Los servicios de seguridad AAA proporcionan un marco inicial para
montar control de acceso en un dispositivo de red. AAA es una manera de
controlar a quin se le permite acceso a una red (autenticacin) y qu
pueden hacer mientras estn all (autorizacin), as como auditar qu
acciones realizaron al acceder a la red (registro de auditora).
La seguridad AAA administrativa y de red tiene muchos componentes
funcionales en el ambiente Cisco:

Autenticacin - Los usuarios y administradores deben probar que son

quienes dicen ser. La autenticacin puede establecerse por medio de
combinaciones de usuario y contrasea, preguntas de desafo y

respuesta, tarjetas token y otros mtodos. Los dos mtodos de acceso

usan diferentes modos para solicitar los servicios de AAA:

o Modo carcter - El usuario enva una solicitud para establecer un

proceso de modoEXEC con el router con fines administrativos.
o Modo paquete - El usuario enva una solicitud para establecer
una conexin con un dispositivo en la red a travs del router.
Cisco proporciona dos mtodos comunes para implementar los servicios
AAA.

Autenticacin AAA local

AAA local usa una base de datos local para la autenticacin. Este mtodo
almacena los nombres de usuario y sus correspondientes contraseas
localmente en el router Cisco, y los usuarios se autentican en la base de
datos local. Esta base de datos es la misma que se requiere para
establecer una CLI basada en roles. AAA local es ideal para redes
pequeas.

Autenticacin AAA basada en servidor

El mtodo basado en servidor usa un recurso externo de servidor de base

de datos que utiliza los protocolos RADIUS o TACACS+. Los ejemplos
incluyen el Servidor de Control de Acceso Seguro de Cisco (ACS) para
Windows Server, el Cisco Secure ACS Solution Engine o Cisco Secure ACS
Express. Si hay ms de un router, AAA basado en servidor ser la opcin
ms apropiada.

Autorizacin - Una vez que el usuario ha sido autenticado, los

servicios de autorizacin determinan los recursos y operaciones a los
que el usuario tiene acceso. En general, la autorizacin se implementa
usando una solucin de AAA basada en servidor. La autorizacin usa
un grupo de atributos creado que describe el acceso del usuario a la
red. Estos atributos se comparan con la informacin contenida dentro
de la base de datos AAA y se determinan las restricciones para ese
usuario, que son enviadas al router local donde el usuario est
conectado. La autorizacin, que se implementa inmediatamente
despus de que el usuario se autentica, es automtica: no se requiere
participacin de parte del usuario luego de la autenticacin.

Registros de auditora y auditabilidad - Los registros de auditora

registran lo que el usuario hace, incluyendo los recursos a los que

accede, la cantidad de tiempo que se mantiene y cualquier cambio

que se haga. El registro de auditora monitorea el uso de los recursos.
El registro de auditora se implementa usando una solucin AAA
basada en servidor. Este servicio reporta estadsticas de uso al servidor
ACS. Estas estadsticas pueden ser extradas para crear reportes
detallados sobre la configuracin de la red. Los servidores AAA
mantienen un registro detallado de absolutamente todo lo que hace el
usuario una vez autenticado en el dispositivo. Esto incluye todos los
comandos de configuracin y EXEC emitidos por el usuario.
El registro contiene varios campos de datos, incluyendo el nombre de
usuario, la fecha y hora y el comando ingresado por el usuario. Esta
informacin es til al solucionar problemas en los dispositivos. Tambin
proporciona proteccin contra individuos malintencionados.
Configuracin de autenticacin AAA local con CLI
Este mtodo usa los nombres de usuario y contraseas locales almacenados
en el router. El administrador de sistemas debe poblar la base de datos de
seguridad local especificando perfiles de nombre de usuario y contrasea
para cada usuario que pueda conectarse.
El mtodo de autenticacin AAA local es similar al uso del comando login
local con una excepcin: AAA proporciona adems una manera de configurar
mtodos de autenticacin de respaldo.

Metodos de Autenticacion

Ejemplo:
aaa authentication login TELNET-ACCESS local enable
Se crea una lista de autenticacin llamada TELNET-ACCESS que requiere que
los usuarios intenten primero autenticarse a la base de datos de usuario
local en el router. Si ese intento devuelve un error, como que una base de
datos local no est configurada, el usuario puede intentar autenticarse a
travs de la contrasea enable.
Para habilitar unnombre de lista especfico, use en el modo de configuracion
delinea el comando
aaa login authentication nombre-lista
Para ver una lista de todos los usuarios bloqueados, , en el modo EXEC
privilegiado use el comando:
show aaa local userlockout.

Para ver los atributos recolectados en una sesin AAA en el modo EXEC
privilegiado., use el comando:
show aaa user{all | unique id}

Use el comando en modo EXEC privilegiado para desbloquear a un usuario

especfico o para desbloquear a todos los usuarios bloqueados por intento
fallido de logeo:
clear aaa local user lockout {username nombre-usuario | all}

El siguiente comando bloquea la cuenta del usuario si la autenticacin falla.

aaa local authenticationattempts max-fail

Esta cuentapermanece bloqueada hasta que un administrador la blanquee.

El comando siguiente introduce un retraso entre intentos de ingreso fallidos
sin bloquear la cuenta
login delay
Para ver los atributos recolectados en una sesin AAA, en el modo EXEC
privilegiado use el comando:
show aaa user{all | unique id}
Protocolos de Comunicacin de AAA basado en servidor.

ACS Seguro de Cisco

El ACS Seguro de Cisco es un servidor de control de acceso altamente escalable y

de alto rendimiento que puede ser usado para controlar el acceso y la configuracin
administrativos para todos los dispositivos de red en una red que soporta RADIUS o
TACACS+ o ambos. El ACS Seguro de Cisco ofrece varios beneficios:

Extiende la seguridad de acceso al combinar la autenticacin, el acceso del

usuario y elacceso del administrador con control de polticas dentro de una
solucin de networking de identidad centralizada.
Permite mayor flexibilidad y movilidad, seguridad mejorada y ganancias en la
productividad del usuario.
Aplica una poltica de seguridad uniforme para todos los usuarios, sin
importar cmo acceden a la red.
Reduce la carga administrativa ya que escala el acceso administrativo y de
usuario a la red.

El ACS Seguro de Cisco proporciona funciones de monitoreo y registro del

comportamiento del usuario, conexiones de acceso y cambios de la configuracin
de los dispositivos. Esta funcin es extremadamente importante para las
organizaciones que buscan atenerse a las varias reglas gubernamentales. El ACS
Seguro de Cisco soporta una gran variedad de conexiones de acceso, incluyendo
redes LAN cableadas e inalmbricas, dialup, banda ancha, contenido,
almacenamiento, VoIP, firewalls y VPNs. El ACS Seguro de Cisco tiene muchas
funciones de alto rendimiento y escalabilidad.
La red debe cumplir ciertos requisitos especficos antes de que los administradores
puedan comenzar a desplegar el ACS Seguro de Cisco:

Para un soporte completo de TACACS+ y RADIUS en los IOS de los

dispositivos Cisco, los clientes AAA deben estar utilizando la versin 11.2 del
IOS de Cisco o posterior.
Los dispositivos Cisco que no son clientes AAA del IOS de Cisco deben ser
configurados con TACACS+, RADIUS o ambos.
Los clientes dial-in, VPN o inalmbricos deben poder conectarse a los
clientes AAAaplicables.
La computadora que corre el ACS Seguro de Cisco debe poder alcanzar a
todos los clientes AAA usando ping.
Los dispositivos gateway entre el ACS Seguro de Cisco y otros dispositivos en
la red deben permitir la comunicacin a travs de los puertos necesarios para
soportar la funcin o el protocolo aplicable.
Debe tenerse instalado un navegador web soportado en la computadora que
ejecuta el ACS Seguro de Cisco. Para obtener la informacin ms reciente
sobre navegadores probados, vaya a las notas de versin del producto ACS
Seguro de Cisco en Cisco.com.
Deben habilitarse todas las NICs en la computadora que ejecuta el ACS
Seguro de Cisco. Si hay una tarjeta de red deshabilitada en la computadora

que ejecuta el ACS Seguro de Cisco, la instalacin del ACS Seguro de Cisco
puede resultar lenta por retrasos causados por la Microsoft CryptoAPI.