T3 CEP Authentication Authorization and Accounting

Captulo 3: Authentication, Authorization and

1 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1

Authorization andAccounting

Introduccin

Funcionamiento de los protocolos AAA Configuracin de un router para realizar autenticacin

local Configuracin de Cisco ACS para soportar AAA

2 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

Configuracin de Cisco ACS para soportar AAA Configurar un servidor basado en AAA


PROPSITO DE AAA

Descripcin de AAA Para realizar un control de acceso a los recursos de la red es necesario

realizar algn tipo de autenticacin.

El mtodo mas simple de autenticacin esta basado solo en claves.Es simple pero dbil. Sensible a ataques de fuerza brutaEs mas seguro emplear un mtodo basado en nombres de usuario y clavesLogin y password en lneas de consola, vty y puertos AUX.


Login y password en lneas de consola, vty y puertos AUX. Para crear la base de datos local de usuarios y proporcionar

Responsabilidad tenemos los comandosusername username password password -> clave en texto clarousername username secret password -> clave cifrada con MD5

Limitacin de las bases de datos localesHay que implementarlas en todos los dispositivos de la red.Si el administrador pierde la clave hay que realizar un proceso de recuperacin de

claves. La mejor solucin es centralizar la base de datos en un servidor central

Descripcin de AAA (y II) Para realizar un control de acceso a los recursos de la red es necesario realizar algn tipo de autenticacin.

El mtodo mas simple de autenticacin esta basado solo en claves. Es simple pero dbil. Sensible a ataques de fuerza bruta Es mas seguro emplear un mtodo basado en nombres de usuario y claves Login y password en lneas de consola, vty y puertos AUX.

Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5

Limitacin de las bases de datos locales Hay que implementarlas en todos los dispositivos de la red. Si el administrador pierde la clave hay que realizar un proceso de recuperacin de claves.


Si el administrador pierde la clave hay que realizar un proceso de recuperacin de claves. La mejor solucin es centralizar la base de datos en un servidor central Para realizar un control de acceso a los recursos de la red es

necesario realizar algn tipo de autenticacin. El mtodo mas simple de autenticacin esta basado solo en claves. Es simple pero dbil. Sensible a ataques de fuerza bruta Es mas seguro emplear un mtodo basado en nombres de usuario y claves Login y password en lneas de consola, vty y puertos AUX.

Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5

Limitacin de las bases de datos locales Hay que implementarlas en todos los dispositivos de la red. Si el administrador pierde la clave hay que realizar un proceso de recuperacin de claves.

La mejor solucin es centralizar la base de datos en un servidor central

Descripcin de AAA (y III) AAA es:

Control de acceso para entrar en los dispositivos o en la red: Authentication Establecer que puede hacer cada usuario. Authorization Auditar que acciones son realizadas durante el acceso a la red. Accounting

Es escalable y puede ser empelado para CON, AUX, VTY y EXEC privilegiado. Authentication

Usernames/Passwords


Usernames/Passwords Preguntas y respuestas de desafo. Token Cards

Authorization A que recursos puede acceder al usuario y que acciones puede realizar sobre ellos.

Accounting y Auditing Informacin auditada acerca del acceso a un recurso por un usuario Cambios realizados

Caractersticas de AAA Authentication AAA

Se puede emplear para controlar accesos administrativos o accesos remotos de usuarios desde la red, como consecuencia hay dos modos:

Modo carcter: Cuando el acceso es administrativo. En este caso el usuario manda una peticin para crear un proceso EXEC.Modo paquete: Cuando hablamos de un acceso remoto. En este caso el usuario manda una peticin para establecer una conexin a travs del router con un dispositivo.

Hay dos mtodos de autenticacin AAA:


Hay dos mtodos de autenticacin AAA: Local AAA

En este caso hay una base de datos local. La BD es la misma que la que se emplea para roles en el router.Mtodo ideal para redes pequeas.

Basado en servidor AAASe emplea un Server BD externoSe emplean protocolos de comunicacin seguros como TACACS y RADIUS.Un ejemplo de esta implementacin es Cisco ACS

Caractersticas de AAA (y II) Authorization AAA

La autorizacin AAA es fundamentalmente decidir que es lo que un usuario puede o no puede hacer a la hora de acceder a un recurso de la red.

Es implementada fundamentalmente mediante soluciones AAA basadas en servidor.

La autorizacin es implementada automticamente en cuanto el


La autorizacin es implementada automticamente en cuanto el usuario es autenticado.

Accounting AAAEl sistema de acounting recolecta y audita informacin acerca del uso de los recursos por parte de un usuario.

Por ejemplo recoge informacin acerca de los comandos ejecutados, tiempos de conexin, numero de paquetes y bytes, etc

Se implementa mediante soluciones basadas en servidor.


AUTENTICACIN LOCAL AAA

Configuracin de autenticacin local AAA con CLI

Paso 1: Aadir usuarios y passwords a la base de datos local del router para usuarios que necesitan acceso administrativo al router.

Paso 2: Habilitar AAA globalmente en el router


Paso 2: Habilitar AAA globalmente en el router Paso 3: Configurar parmetros AAA en el router

Configuracin de autenticacin local AAA con CLI (y II) Para habilitar AAA globalmente en el router empleamos el comando aaa new-model A continuacin para configurar la autenticacin en los puertos vty , lneas asncronas tty,

puertos de consola y AUX es necesario definir una lista de mtodos de autenticacin y aplicarla a los interfaces.

Para definir esta lista de mtodos de autenticacin emplearemos el comando aaaauthenticacion login {default|list_name} metodo_1 metodo_4

La lista de mtodos identifica diferentes protocolos de seguridad para autenticar al usuario, hay varios mtodos por seguridad para garantizar alternativas en caso de que el mtodo anterior no este disponible.


Ejemplo: aaa authentication login TELNET-ACCESS local enable En este caso primero se intenta autenticar al usuario mediante la base de datos de usuarios locales y si este mtodo falla mediante la clave de modo enable.

A continuacin hay que aplicar las listas de mtodos de autenticacin a interfaces. Es posible crear una lista por defecto que se aplica automticamente a todos los

interfaces y lneas mediante aaa authentication local default metodo1metodo4 siempre y cuando no haya una lista especifica creada para un interfaz concreto en cuyo caso esa lista para ese interfaz sobrescribe las configuraciones de la lista por defecto.

Configuracin de autenticacin local AAA con CLI (y III) Se puede ampliar la seguridad con el comando aaa local authentication

attempts max-fail number_of_unsuccessful_attempts de modo que se bloquean las cuentas con muchos intentos de autenticacin incorrectos.

El comando show aaa local user lockout permite ver los usuarios actualmente bloqueados.

Para borrar la lista de usuarios bloqueados podemos emplear el comando clear aaa local user lockout {username username | all}


clear aaa local user lockout {username username | all} Tambin hay un comando login delay que introduce un retardo entre intentos

de autenticacin sin bloquear la cuenta. Para mostrar informacin acerca de una sesin de un usuario podemos

emplear el comando show aaa user {all | unique_id} el cual proporciona informacin de los usuarios autenticados con AAA.

El comando show aaa sessions muestra el unique_id de una sesin.

Configuracin de autenticacin local AAA con SDM

Por defecto esta habilitado en SDM. Para verificar que esta habilitado ir al

Men Configure -> Additional tasks ->AAA

La primera tarea es crear los usuarios para ello vamos al men Configure -> Additional tasks ->Router Acccess -> User Accounts View y aadimos


User Accounts View y aadimos usuarios. Introduciremos:

nombre de usuario Clave Escogemos el nivel de privilegio 15 Si estn definidas vistas podemos asociar

una vista con un usuario

En consecuencia SDM genera lo siguiente : username AAAadmin privilege 15 secret 5 $1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root

Configuracin de autenticacin local AAA con SDM (y II) Es necesario definir listas de mtodos de autenticacin,

para realizarlo vamos:men Configure -> Additional tasks -> Authentication Policies

-> Login y pulsamos en el botn aadir. Es muy importante verificar que el nombre default est


Es muy importante verificar que el nombre default est asociado a la lista de mtodos.

A continuacin elegimos el mtodo de autenticacin y seleccionamos local

Como consecuencia el comando CLI generado es. aaaauthentication login default local

Troubleshooting Local AAA Authentication

El comando fundamental de localizacin de averas es debug aaa con multitud de variantes entre ellas debug aaa authentication

Para deshabilitar el comando emplear no o bien


Para deshabilitar el comando emplear no o bien undebug all


AAA BASADA EN SERVIDOR

Caractersticas de AAA basada en servidor Las implementaciones de AAA locales no son fcilmente

escalables a redes grandes . La opcin de trabajar con AAA basada en servidor soluciona el

problema de la escalabilidad de configuraciones de autenticacin en redes grandes.

Un software de servidor de AAA es por ejemplo Cisco ACS. Cisco ACS crea una base de datos central con todos los usuarios


Cisco ACS crea una base de datos central con todos los usuarios y los dispositivos a los que se puede acceder.

Tambin es posible trabajar desde Cisco ACS con BD externas mediante LDAP

Caractersticas de AAA basada en servidor (y II) Para comunicarse entre el Router y el servidor Cisco ACS

se puede emplear el protocolo TACACS y RADIUS. TACACS + : Terminal Access Control Access Control Server

Plus


RADIUS: Remote Dial-in User Services Tacacs es considerado un protocolo mas seguro puesto que

encripta el trafico por el contario RADIUS solo encripta la clave del usuario, no el nombre de usuario ni ninguna otra informacin

Protocolos de comunicacin en AAA basada en servidor

Tanto TACACS como RADIUS son protocolos de autenticacin. RADIUS es muy empleado por ISP puesto que es capaz de gestionar informacin detallada de las

cuentas de los usuarios de pago. En empresas en que los usuarios se organizan en grupos con polticas de autorizacin diferenciadas

suele ser ms habitual emplear TACACS porque es capaz de asociar polticas de autorizacin por usuario o por grupo.

TACACS+ Es incompatible con TACACS y XTACACS


Es incompatible con TACACS y XTACACS La autorizacin y autenticacin estn separadas. Se encriptan las comunicaciones Utiliza el puerto TCP 49

RADIUS Los servidores Proxy emplean RADIUS por su escalabilidad La autenticacin y autorizacin van unidas en un nico proceso Solo se encripta la clave Opera bajo UDP Soporta tecnologas de acceso remoto 802.1x y SIP

Protocolos de comunicacin en AAA basada en servidor (y II) TACACS+ es una mejora de Cisco del protocolo original TACACS en consecuencia es incompatible

con TACACS . Lo soportan los routers Cisco a partir de la versin IOS 10.3. Se esta mirando la posibilidad de convertirlo en un estndar abierto. TACACS+ proporciona servicios diferenciados, es muy flexible se puede emplear por ejemplo

TACACS para autorizacin y accounting y emplear un mtodo diferente para autenticacin. TACACS proporciona soporte multiprotocolo bajo IP y appletalk


RADIUS fue implementado por Livingston Enterprises es un estndar abierto de IETF. Es muy empleado en aplicaciones de acceso remoto y movilidad IP. Oculta las claves mediante PAP (Password Authentication Protocol) empleando hash MD5 y una clave

secreta. El resto de la informacin no se cifra. Cuando se autentica un usuario tambin se autoriza todo en nico proceso. Opera bajo UDP puertos 1645 o 1812 para la autenticacin y bajo UDP puertos 1646 o 1813 para

accounting. Muy empleado en proveedores de VoIP . Se considera que el protocolo DIAMETER reemplazara a RADIUS empleando SCTP (Stream Control

Transmission Protocol) y TCP.

Cisco Secure ACS Ejemplos de servidores de autenticacin que NO son capaces de

integrar TACACS y RADIUS en un solo producto son por ejemplo:Funk's Steel-Belted RADIUS server.Livingston Enterprises' RADIUS Authentication Billing ManagerMerit Networks' RADIUS server

Sin embargo Cisco ACS es capaz de integrar en un nico servidor de AAA Tacacs y Radius.

Cisco ACS


Cisco ACSEs muy escalable.Puede soportar RADIUS, TACACS+ o ambos.Combina autenticacin, acceso de usuario y administrador con polticas decontrol centralizadas.Permite movilidad y flexibilidad.Uniformiza la seguridad para todos los usuariosReduce el trabajo administrativo.

Cisco Secure ACS (y II) Informa y monitoriza las conexiones de acceso y los cambios de

configuracin en los dispositivos. Soporta muchos tipos diferentes de conexiones de acceso.

LANDialupVPNs


VPNsVoIP

Algunas funcionalidades importantes son:Soporte para autenticacin LDAPRestricciones de acceso a recursos de red basadas en da de la semana y

hora.Perfiles de grupo y de usuario para cada dispositivo.Sincronizacin de bases de datos

Cisco Secure ACS (y III) Forma parte de la arquitectura Cisco Identity Based

Networking Services (IBNS). Cisco IBNS est basado en estndares de seguridad por

puerto como IEEE 802.1X and Extensible Authentication Protocol (EAP)


Protocol (EAP) Cisco IBNS extiende la seguridad del perimetro de la red a

cualquier punto de conexion dentro de la LAN. Asi se logra establecer politicas de control nuevas como por

ejemplo cuotas por usuario, asignaciones de VLANs, y listas de control de acceso (ACLs).

Cisco Secure ACS (y IV) Se instala en un servidor Windows 2000 o 2003 o bien en una

maquina dedicada Cisco Secure ACS Solution Engine o en una maquina dedicada Cisco Secure ACS Express 5.0

Cisco Secure ACS Solution Engine es una maquina dedicada de 1U montada en Rack con una licencia de Cisco ACS preinstalada. Esta pensada para organizaciones con mas de 350 usuarios.


Esta pensada para organizaciones con mas de 350 usuarios. Cisco Secure ACS Express es tambin una maquina dedicada que

se monta en un Rack de 1U al diferencia con la anterior esta en la licencia de menos de 350 usuarios.

Concretamente soporta 50 dispositivos AAAY 350 usuarios nicos ID_LOGINS en 24 h

Configurando Cisco Secure ACS Requerimientos previos:

Para soporte de TACACS+ y RADIUS en los dispositivos con Cisco IOS este ha de ser versin 11.2 o superior.

Los dispositivos clientes que no son Cisco IOS deben ser configurados con TACACS+, RADIUS o ambos.

Los clientes Dial-UP, VPN o wireless deben ser capaces de conectarse con clientes AAA.

Las maquinas que ejecuten CiscoACS deben hacer ping a los clientes.


Las maquinas que ejecuten CiscoACS deben hacer ping a los clientes.Las comunicaciones entre el CiscoACS a travs de Gateway deben permitir la

comunicacin bajo los puertos que empleen los protocolos de seguridad.Hay que instalar un navegador compatible con CiscoACS en la maquina servidora.

Esto es muy importante porque la configuracin de CiscoACS se hace a travs de una pagina WEB.

Todas las NICs del CiscoACS deben estar habilitadasPara acceder al CiscoACS se accede por http://127.0.0.1:2002 y remotamente por

http://ip_address[hostname]:2002

Configurando Cisco Secure ACS (y II)


Configurando Cisco Secure ACS (y III) Antes de configurar un router, switch, o

firewall como un cliente TACACS+ o RADIUS, debemos aadir el cliente AAA al servidor y especificar la clave de cifrado.

En la barra de navegacion -> Network configuration y en la seccion de clientes AAA le damos a aadir una entrada.


A continuacion introducimos los siguientes datos del cliente AAA (Un cliente es el Router, Switch, FW o concentrador de VPN que usa los servicios de CiscoACS)

Nombre del cliente. IP y clave secreta Protocolo de autenticacion empleado

Configurando Cisco Secure ACS (y IV) A continuacin se hace la configuracin de interface que

mostrara opciones diferentes en la pantalla en funcin del protocolo de seguridad elegido.

User Data ConfigurationTACACS+ (Cisco IOS)


TACACS+ (Cisco IOS)RADIUS (Microsoft)RADIUS (Ascend)RADIUS (IETF)RADIUS (IOS/PIX)Advanced Options

Configurando Cisco Secure ACS (y V) Cisco Secure ACS puede ser configurado para trasnmitir informacion de

autenticacion a una o mas BD externas. Cuando una empresa tiene por ejemplo los usuarios creados en un Entorno

de Directorio Activo se puede evitar introducir de nuevo los usuarios. Si se trabaja con varias BD externas es muy recomendable que no hay

duplicidades de nombres de usuario puesto que CiscoACS trabaja con la primera BD en la que hay coincidencia en las credenciales.


primera BD en la que hay coincidencia en las credenciales. PASO 1: Para configurar el acceso a BD externas pulsamos en la barra de

botones en External User Databases y aparecen tres opciones:Unknown user policy: Aqu se configura el procedimiento de autenticacin para los

usuarios que no se localizan en la BD de CiscoACSDatabase group mappings: Configuramos aqu los privilegios de los grupos de usuarios

autenticadosDatabase configuration: Aqu definimos los servidores externos con los que va a trabajar

CiscoACS.

Configurando Cisco Secure ACS (y VI) PASO 2: Si pulsamos en Database Configuration se muestran las siguientes opciones:

RSA SecurID Token Server RADIUS Token Server External ODBC Database Windows Database LEAP Proxy RADIUS Server Generic LDAP


PASO 3: Si deseamos usar una BD externa Windows elegiremos Windows Database. PASO 4: Si deseamos hacer configuraciones adicionales pulsaremos el boton configure. PASO 5: Podemos incluso configurar el permiso grant dialin permission que forma

parte del perfil del usuario de windows. Es importante porque no se aplica solo a conexiones DIAL-UP sino a cualquier acceso que el usuario intente hacer.

Configurando usuarios y grupos en Cisco Secure ACS

Una vez que ya hemos configurado CiscoACS para conectarse con un BD externa se puede realizar la autenticacin de usuarios de dos modos:

Mediante asignacin especifica de usuario. De este modo determinados usuarios se autentican con una BD externa.

Por politica de usuario desconocida: En este caso usamos una BD externa para autenticar usuarios cuando no los encontramos en la BD de CiscoACS

Para configurar Unknown user policy pulsamos en el botn correspondiente: Nos aparece la ventana de External User database y habilitamos la opcin Unknown


Nos aparece la ventana de External User database y habilitamos la opcin Unknownuser policy

A continuacin elegiremos la BD correspondiente Si hemos elegido varias BD podemos elegir el orden en le que sern chequeadas.

En algunas ocasiones son necesarias diferentes autorizaciones en funcion de si hablamos de usuarios de Windows Server o de un Servidor LDAP, en este caso ser necesario crear dos grupos diferentes.

A continuacion establecemos MAPEADOS GRUPOS BASES de DATOS

Configurando usuarios y grupos en Cisco Secure ACS (y II) La ventaja de trabajar con grupos de usuarios es que podemos asignarle

polticas de autorizacin comunes. Por ejemplo un grupo de usuarios puede ejecutar un comando y otro grupo no.

Para configurar grupos:Barra de navegacin -> Group SetupEditamos un grupo de usuarios con Edit settingsPulsamos en la opcin Unmatched Cisco IOS commands


Pulsamos en la opcin Unmatched Cisco IOS commandsHabilitamos la opcion Command y escribimos por ejemplo el comando show y

en el casillero de argumentos escribimos deny running-config y por ultimo habilitamos la opcion Permit

De este modo hemos permitido que este grupo de usuarios ejecute este comando. Para aadir un usuario:

User Setup -> Add/EditDefinimos los parametros del usuario como nombre y password.


AUTENTICACION AAA BASADA EN SERVIDOR

Autenticacin AAA basada en servidor con CLI

Hay 4 pasos fundamentalesPaso 1: Habilitar globalmente AAA para permitir el uso de todos los elementos AAA.

Paso 2: Especificar el Cisco Secure ACS que proporcionara servicios AAA al router. Podr ser un servidor TACACS+ o


servicios AAA al router. Podr ser un servidor TACACS+ o RADIUS. Es decir la IP del ACS server.

Paso 3: Configurar la clave de encriptado necesaria para cifrar los datos entre el servidor de acceso de la red y Cisco Secure ACS.

Paso 4: Configurar la lista de mtodos de autenticacin AAA.

Autenticacion AAA basada en servidor con CLI (y II) Configuracin de un servidor TACACS+ y la clave de cifrado:

Especificamos el servidor con el comando tacacs-server host ip_addresssingle-connection La opcin single-connection crea una nica conexin TCP que se mantiene durante toda la vida de la sesin.

Especificamos la clave de cifrado en el router con el comando: tacacs-server key por supuesto esta misma clave ha de ser configurada en el


server key por supuesto esta misma clave ha de ser configurada en el servidor TACACS+.

Configuracin de un servidor RADIUS y la clave de cifrado:Cuando los servidores de seguridad AAA han sido identificados, los servidores deben ser incluidos en la lista de mtodos con el comando aaaauthentication login

Los servidores son identificados con group tacacs+ o group radius

Autenticacion AAA basada en servidor con CLI (y III)


Autenticacion AAA basada en servidor con SDM

Mediante SDM debemos especificar una lista de servidores CSACS que proporcionan servicios TACACS+

Paso 1: Configure -> Additional Tasks -> AAA -> AAA Servers and Groups -> AAA Servers. Elegimos el tipo de servidor y ponemos su IP.

El router puede ser configurado para mantener una conexin abierta con servidor TACACS + en lugar de abrir y cerrar una conexin TCP cada vez que se comunica con el servidor. Para ello, debemos habilitar la opcin


que se comunica con el servidor. Para ello, debemos habilitar la opcin Single connection to server

Es posible especificar valores de timeoutTambin es posible especificar una clave para encriptar trafico entre el router y el AAA server.

Esta misma configuracin la podemos hacer a travs de CLI mediante el comando:

tacacs-server host 10.0.1.1 key TACACS+Pa55w0rd

Autenticacin AAA basada en servidor con SDM (y II) Mediante SDM tambin es necesario especificar el mtodo de

autenticacin que se emplear.En SDM Configure -> Additional Tasks -> AAA -> authentication Policies -> Login


A travs de CLI el comando sera: aaa authentication loginTACACS_SERVER group tacacs+ enable mediante el cual empleariamos la clave de enable como clave de autenticacion.

Autenticacin AAA basada en servidor con SDM (y III) Una vez creado el mtodo de

autenticacin es necesario aplicarlas a los interfaces y lneas del router.

En SDM Configure -> Additional Tasks -> Router Access -> VTY. Ya continuacin editamos la configuracin de la lnea.

El comando que se podra emplear mediante CLI es login authentication


mediante CLI es login authentication{default | listname}Por ejemplo en este caso para las lneas

VTY de 0 a 4 se aplica una poltica de autenticacin denominada TACACS_SERVER

Aplicado al caso estudiado el comando sera login authenticationTACACS_SERVER

Troubleshooting de Autenticacin AAA basada en servidor

Podemos emplear el comando debug aaa authentication que muestra mucha informacin durante el procesod e autenticacin.

Otros comandos son debug tacacs y debug radius que muestran informacin muy detallada.


Podemos emplear el comando debug aaa authentication para mostrar informacion acerca de los mensajes de estado de la autenticacin correcta o con fallo.

El comando debug tacacs events muestra informacion acerca de las conexiones TCP que se abren y cierran en el servidor.


AUTORIZACIN Y ACCOUNTINGAAA BASADA EN SERVIDOR

Configurando Autorizacin AAA basada en servidor

La autenticacin busca asegurar el acceso al dispositivo La autorizacin se refiere a permitir y no permitir a los usuarios autenticados

acceso a ciertas reas y programas en la red. El protocolo TACACS + permite la separacin de las funciones de

autenticacin y de autorizacin. La autorizacin puede ser configurada en dos modalidades:


La autorizacin puede ser configurada en dos modalidades:Modo carcter (Autorizacin EXEC)Modo paquete (Autorizacin de red).

A diferencia de TACACS+ el protocolo RADIUS no separa la autenticacin del proceso de autorizacin.

Mediante mecanismos de autorizacin podemos permitir o no la ejecucin de determinados comandos puesto que el router consulta al ACS para saber si el usuario tiene permiso para ejecutar el comando concreto.

TACACS + por defecto establece una sesin TCP nueva por cada solicitud de autorizacin, esto puede dar lugar a retrasos cuando los usuarios escriben comandos. Cisco Secure ACS proporciona sesiones TCP persistentes para mejorar el rendimiento.

Configurando Autorizacin AAA basada en servidor (y II) Para configurar la autorizacin emplearemos el comando aaa

authorization {network | exec | commands level} {default | list-name} method1...[method4]

Commands level: para comandos EXECExec: para iniciar un exec (shell)Network: para servicios de red (PPP, SLIP)


Network: para servicios de red (PPP, SLIP) Cuando se inicia la autenticacin ya se deben haber creado los

usuarios con derechos de acceso sin se bloqueara al administrador y seria necesario reiniciar.

Configurando Autorizacin AAA basada en servidor (y III)

Mediante SDM tambin podemos configurar la lista de mtodos de autorizacin y en ocasiones editaremos el mtodo de autorizacin por defecto.

Si queremos configurar la lista de mtodos de autorizacin por defecto para el Modo carcter (EXEC) sera:En SDM vamos al botn Configure >


En SDM vamos al botn Configure > Additional Tasks > AAA > AuthorizationPolicies > Exec. Y pulsamos el botn aadir un mtodo de autorizacin .

Elegimos como nombre del mtodo default y a continuacin en la ventana de listas de mtodos elegimos el que nos interese por ejemplo group tacacs+

Si lo hicieramos a travs de CLI el comando sera aaa authorization exec default grouptacacs+

Configurando Autorizacin AAA basada en servidor (y IV) Si queremos configurar la lista de mtodos

de autorizacin por defecto para el Modo redsera:

En SDM vamos al botn Configure >Additional Tasks > AAA > AuthorizationPolicies > Network. Y pulsamos el botnaadir un mtodo de autorizacin .


aadir un mtodo de autorizacin . Elegimos como nombre del mtodo

default y a continuacin en la ventanade listas de mtodos elegimos el que nosinterese por ejemplo group tacacs+

Si lo hicieramos a travs de CLI elcomando sera aaa authorizationnetwork default group tacacs+

Configurando Accounting AAA basada en servidor

A veces una empresa quiere hacer un seguimiento de los recursos que los individuos o grupos de uso.

El servicio Accounting AAA ofrece la posibilidad de rastrear el uso de los recursos, recoger informacin en una BD y producir informes sobre los datos recogidos.

Una de las cuestiones de seguridad que se ocupa de la contabilidad es la creacin de una lista de usuarios y la hora del da en que se logue en el sistema.

Otra razn por la aplicacin de la contabilidad es la de crear una lista de cambios que se


Otra razn por la aplicacin de la contabilidad es la de crear una lista de cambios que se producen en la red, quin realiz dichos cambios, y la naturaleza exacta de los cambios.

Cisco Secure ACS acta como un repositorio central de informacin contable haciendo un seguimiento de los eventos que ocurren en la red.

Cada sesin que se establece a travs de Cisco Secure ACS es monitorizada y la informacin relacionada almacenada lo cual puede ser muy til para la gestin y las auditoras de seguridad.

Es necesario definir listas de mtodos de Accounting que definen el modo en que se realiza la gestin de la contabilidad.

Configurando Accounting AAA basada en servidor (y II) Para configurar AAA accounting podemos emplear el comando:

A continuacin se especifica el nombre de la lista por defecto default o bien el nombre de la lista correspondiente.


nombre de la lista correspondiente. El siguiente parmetro es el trigger que hace que los registros de contabilidad sean

actualizados, sus valores son: start-stop, stop-only, none.

T3 CEP Authentication Authorization and Accounting

Documents

Transcript of T3 CEP Authentication Authorization and Accounting