Professional Documents
Culture Documents
Seguridad Informatica y Alta Disponibili PDF
Seguridad Informatica y Alta Disponibili PDF
Seguridad Informatica y Alta Disponibili PDF
3.-
3.1.-
3.2.-
3.3.1.-
Para que un intruso no acceda a los datos seguros, y/o obtenga privilegios de
administrador, debemos mantener un control de acceso. La forma mas sencilla de
autenticacin son las contraseas. Este mtodo se usa cuando configuramos las lneas de
Telnel(vty), puertos Auxiliares, y en la consola, mediante (usuario|contrasea).
Este tipo solo de proteccin es vulnerable a ataques por fuerza bruta, por lo que podemos
aadir una dificultad mas al intruso, si adems aadimos un Registro de Auditoria.
Usando el siguiente comando:
- Username user password pass
- Username user secret pass
Este mtodo crea cuentas de usuario individuales en cada dispositivo con una
contrasea especfica asignada a cada usuario. El mtodo de base de datos local
proporciona seguridad adicional, ya que el atacante debe conocer tanto nombre de usuario
como contrasea.
Se recomienda utilizar el comando con secret, dado que el cifrado de la contrasea se
realizara en MD-5, de otra manera si el comando (password-encryption) no ha sido
ejecutado, las contraseas aparecern en texto plano.
Esta nueva proteccin genera un fichero de auditoria, donde se graba las veces que el
usuario ha intentado acceder al sistema, sea o no, con la clave correcta.
La gran desventaja, es que esta manera, implica que cada base de datos en cada dispositivo
ha de ser implementada con cada usuario, si nuestra empresa es muy grande, puede llevar
demasiado tiempo, y tambin tiene algunas limitaciones, no dispone de una bbdd de
resguardo, por lo que si el admin olvidase dichas contraseas de dichos dispositivos, todo se
volvera inviable. Por ello cisco propone usar AAA en una nica base de datos y que l resto
de dispositivos accedan a ella mediante red.
AAA es una manera de controlar a quin se le permite
acceso a una red (autenticacin) y qu pueden hacer mientras estn all (autorizacin),
as como auditar qu acciones realizaron al acceder a la red (registro de auditora).
Otorga un mayor grado de escalabilidad que el que proporcionan los comandos de con,
aux, vty y la autenticacin EXEC privilegiada solos.
Autenticacion: Acreditar que eres quien dices ser.
Autorizacion: Grado o Nivel de Acceso que se da a tu cuenta, segn sea esta de un tipo.
Ejemplo : (Guest, User, Mod, Admin) Diferentes cuentas, diferentes niveles de acceso.
Registros de Auditoria: Informes completos que se realizan con cada ingreso valido o no, de
cada cuenta, o cuentas seleccionadas, con la mxima informacin recogida sobre su estancia
en el sistema.
3.2.-
Autenticacin AAA
Puede utilizarse AAA para autenticar usuarios para acceso administrativo o para acceso
remoto a una red. Estos dos mtodos de acceso usan diferentes modos para solicitar los
servicios de AAA:
Modo carcter - El usuario enva una solicitud para establecer un proceso de modo
EXEC con el router con fines administrativos.
Modo paquete - El usuario enva una solicitud para establecer una conexin con un
dispositivo en la red a travs del router.
Autenticacin AAA local
AAA local usa una base de datos local para la autenticacin. Excelente para redes pequeas.
Autenticacin AAA basada en servidor
El mtodo basado en servidor usa un recurso externo de servidor de base de datos que
utiliza los protocolos RADIUS o TACACS+.
Para grandes topologas.
COMANDOS PARA ACCESO
AAA - Local
AAA -Servidor
Autorizacion AAA
Como dije anteriormente : Autorizacion: Grado o Nivel de Acceso que se da a tu cuenta,
segn sea esta de un tipo. Ejemplo : (Guest, User, Mod, Admin) Diferentes cuentas,
diferentes niveles de acceso.
Bsicamente la autorizacin es lo que puede o no puede hacerse con dicha cuenta en el
sistema.
En general, la autorizacin se implementa usando una solucin de AAA basada en
servidor. La autorizacin usa un grupo de atributos creado que describe el acceso del
usuario a la red. Estos atributos se comparan con la informacin contenida dentro de la
base de datos AAA y se determinan las restricciones para ese usuario, que son enviadas
al router local donde el usuario est conectado.
Auditoria AAA:
El registro de auditora se implementa usando una solucin AAA basada en servidor.
Este servicio reporta estadsticas de uso al servidor ACS. Estas estadsticas pueden ser
extradas para crear reportes detallados sobre la configuracin de la red.. mantienen un
registro detallado de absolutamente todo lo que hace el usuario una vez autenticado en el
dispositivo
Recuerda siempre que quieras retirar algn comando que hayas preestablecido antes, puedes
hacerlo con la palabra (no) delante, por ejemplo para retirar el nmero mximo de errores.
10
11
Tanto TACACS+ como RADIUS son protocolos de administracin, pero cada uno
soporta diferentes capacidades y funcionalidades.
Por ejemplo, un ISP grande puede elegir
RADIUS porque soporta un registro de auditora detallado necesario para calcular lo
que debe cobrarse al usuario.
Y para redes grandes pero con grupos de usuarios y polticas de autorizacin estrictas es
mas recomendable el TACACS+
DiferenciaS:
TACACS+
proporciona servicios AAA separados. Separar los servicios AAA
proporciona flexibilidad en la implementacin, ya que es posible usar TACACS+ para
autorizacin y registros de auditora mientras se usa otro mtodo para la autenticacin.
TACACS+ ofrece soporte multiprotocolo, como IP y AppleTalk. La operacin normal
de TACACS+ cifra todo el cuerpo del paquete para comunicaciones ms seguras y usa
el puerto TCP 49.
12
13
RADIUS,
desarrollado por Livingston Enterprises, es un protocolo AAA abierto de
estndar IETF con aplicaciones en acceso a las redes y movilidad IP. RADIUS trabaja
tanto en situaciones locales y de roaming, y generalmente se usa para los registros de
auditora.
RADIUS combina autenticacin y autorizacin en un solo proceso. Cuando el usuario
se autentica, tambin est autorizado. RADIUS usa el puerto UDP 1645 o el 1812 para
la autenticacin y el puerto UDP 1646 o el 1813 para los registros de auditora.
DIAMETER
El protocolo DIAMETER es el reemplazo programado para RADIUS. DIAMETER usa
un nuevo protocolo de transporte llamado Stream Control Transmission Protocol
(SCTP) y TCP en lugar de UDP.
14
15
16
17
Paso 2. Haga clic en Database Configuration. Aparecer el panel External User Database
Configuration, mostrando las siguientes opciones:
-
18
Paso 3. Para usar la base de datos de Windows como base de datos externa, haga clic en
Windows Database.
Paso 4. Para configurar las funciones adicionales de la base de datos de Windows, haga
clic en Configure en el panel External User Database Configuration.
Paso 5. Si se requiere mayor control sobre quin puede autenticarse a la red, se puede
configurar la opcin de permiso de Dialin.
La opcin Dialin Permissions en el ACS Seguro de Cisco se aplica a ms que solo las
conexiones dialup. Si un usuario tiene esta opcin marcada, se aplica a cualquier acceso
que el usuario intente.
3.4.3.2 Configuracion de Grupos y Usuarios en el ACS Seguro de Cisco
Este mtodo no requiere que los administradores definan usuarios en
la base de datos del ACS Seguro de Cisco.
Use el enlace External User Databases para configurar la poltica de usuarios
desconocidos:
Paso 1. En la barra de navegacin, haga clic en External User Databases.
Paso 2. Haga clic en Unknown User Policy.
Paso 3. Habilite la poltica de usuarios desconocidos marcando la casilla en la seccin
Unknown User Policy.
Paso 4. Por cada base de datos a la que los administradores quieran que el ACS Seguro
de Cisco tenga acceso para usarla al intentar autenticar usuarios desconocidos, vaya a la
base de datos en la lista External Databases y haga clic en el botn de la flecha derecha
para moverla a la lista Selected Databases
Paso 5. Ubique las bases de datos que probablemente autenticarn usuarios
desconocidos al principio de la lista.
Importante el mapeo de Usuarios
Ser necesario ubicar a los usuarios autenticados por el servidor Windows en un grupo y a
los usuarios autenticados por el servidor LDAP en otro grupo. Para hacer esto, use mapeo
de grupos de bases de datos.
Los mapeos de grupos de bases de datos permiten al administrador mapear un servidor
de autenticacin, como LDAP, Windows, ODBC y otros, a un grupo que ha sido
configurado en el ACS Seguro de Cisco. En algunas bases de datos, el usuario solo
puede pertenecer a un grupo. En otras, como LDAP y Windows, es posible el soporte de
mapeo de grupos por miembros de grupos de bases de datos externas.
19
20
Paso 1. Desde la pgina de inicio del SDM de Cisco, vaya a Configure > Additional
Tasks > AAA > AAA Servers and Groups > AAA Servers.
Paso 2. Desde el panel AAA Servers, haga clic en Add. Aparecer la ventana Add AAA
Server. Vaya a TACACS+ en la lista Server Type.
Paso 3. Ingrese la direccin IP o nombre de host del servidor AAA en el campo Server
IP or Host. Si el router no ha sido configurado para usar un servidor DNS, ingrese la
direccin IP de un servidor DNS.
Paso 4. Puede configurarse el router para mantener una sola conexin abierta al servidor
TACACS+ Para hacer esto, marque la casilla Single Connection to Server.
21
Paso 5. Para invalidar los parmetros globales de servidores AAA y especificar un valor
de vencimiento especfico para el servidor, ingrese en la seccin Server-Specific Setup
un valor en el campo Timeout (seconds). (Determina el tiempo que el router
esperar una respuesta del servidor antes de acudir al siguiente servidor en la lista de
grupo.)
Paso 6. Para configurar una clave especfica para el servidor, marque la casilla
Configure Key e ingrese la clave que se usa para cifrar el trfico entre el router y este
servidor en el campo New Key. Reingrese la clave en el campo Confirm Key para
confirmar.
El comando CLI ejemplo que el SDM de Cisco generara basado en un servidor
TACACS+ en la direccin IP 10.0.1.1 y con la clave TACACS+Pa55w0rd sera
tacacsserver
host 10.0.1.1 key TACACS+Pa55w0rd.
El administrador puede usar el SDM de Cisco para configurar una lista de mtodos de
autenticacin definida por el usuario:
Paso 1. En la pgina de inicio del SDM de Cisco, vaya a Configure > Additional Tasks
> AAA > Authentication Policies > Login.
Paso 2. En el panel Authentication Login, haga clic en Add.
Paso 3. Para crear un nuevo mtodo de autenticacin, vaya a User Defined en la lista
desplegable Name.
Paso 4. Ingrese el nombre de la lista de mtodos de autenticacin en el campo Specify,
por ejemplo TACACS_SERVER.
Paso 5. Haga clic en Add para definir los mtodos que usar esta poltica. Aparecer la
ventana Select Method List(s) for Authentication Login.
Paso 6. Vaya a group tacacs+ en la lista de mtodos.
Paso 7. Haga clic en OK para agregar group tacacs+ a la lista de mtodos y vuelva a la
ventana Add a Method List for Authentication Login.
Paso 8. Haga clic en Add para agregar un mtodo de resguardo a esta poltica.
Aparecer la ventana Select Method List(s) for Authentication Login.
Paso 9. Vaya a enable en la lista de mtodos para usar la contrasea enable como
mtodo de autenticacin de resguardo.
Paso 10. Haga clic en OK para agregar enable a la lista de mtodos y vuelva a la
ventana Add a Method List for Authentication Login.
Paso 11. Haga clic en OK para agregar la lista de mtodos de autenticacin y vuelva a la
pantalla Authentication Login.
El comando CLI resultante que generar el SDM de Cisco ser aaa authentication login
TACACS_SERVER group tacacs+ enable.
Puede usarse SDM para aplicar una poltica de autenticacin a una lnea del router:
Paso 1. Vaya a Configure > Additional Tasks > Router Access > VTY.
Paso 2. En la ventana VTY Lines window, haga clic en el botn Edit para efectuar
cambios a las lneas vty. Aparecer la ventana Edit VTY Lines.
Paso 3. En la casilla que contiene la lista Authentication Policy, elija la poltica de
autenticacin que aplicar a las lneas vty. Por ejemplo, la aplicacin de la poltica de
autenticacin llamada TACACS_SERVER a las lneas vty 0 a 4 resulta en el comando
CLI login authentication TACACS_SERVER.
22
23
24
****Luego de que inicia la autenticacin, por defecto no se permite acceso a nadie. Esto
significa que el administrador debe crear un usuario con derechos de acceso sin
restricciones antes de que se habilite la autorizacin: no hacerlo deja al administrador
sin forma de ingresar al sistema al momento en que ingresa el comando aaa
authorization.****
El SDM de Cisco puede ser usado para configurar la lista de mtodos de autorizacin
por defecto para el acceso de modo carcter (exec):
Paso 1. Desde la pgina de inicio del SDM de Cisco, vaya a Configure > Additional
Tasks > AAA > Authorization Policies > Exec.
Paso 2. En el panel Exec Authorization, haga clic en Add.
Paso 3. En la ventana Add a Method List for Exec Authorization, elija Default en la
lista desplegable Name.
Paso 4. Haga clic en Add para definir los mtodos que usar esta poltica.
Paso 5. En la ventana Select Method List(s) for Exec Authorization, elija group tacacs+
en la lista de mtodos.
Paso 6. Haga clic en OK para volver a la ventana Add a Method List for Exec
Authorization.
Paso 7. Haga clic en OK para volver al panel Exec Authorization.
El comando CLI resultante generado por el SDM de Cisco es aaa authorization exec
default group tacacs+.
defecto para el modo paquete (red):
Paso 1. En la pgina de inicio del SDM de Cisco, vaya a Configure > Additional Tasks
> AAA > Authorization Policies > Network.
Paso 2. En el panel Network Authorization, haga clic en Add.
Paso 3. En la ventana Add a Method List for Network Authorization, elija Default en la
lista desplegable Name.
Paso 4. Haga clic en Add para definir los mtodos que usar esta poltica.
Paso 5. En la ventana Select Method List(s) for Network Authorization, elija group
tacacs+ en la lista de mtodos.
Paso 6. Haga clic en OK para volver a la ventana Add a Method List for Network
Authorization.
Paso 7. Haga clic en OK para volver al panel Network Authorization.
El comando CLI resultante generado por el SDM de Cisco es aaa authorization network
default group tacacs+.
25
26