Authentication, Authorization, and Accounting

Presentación del tema: "Authentication, Authorization, and Accounting"— Transcripción de la presentación:

1 Authentication, Authorization, and Accounting
CCNA Security Authentication, Authorization, and Accounting

2 Major Concepts Autenticación Local
Mejoras sobre la Autenticación Local Describe el propósito de AAA y sus técnicas de implementación. Implementa AAA usando la base de datos local Implementa AAA usando protocolo TACACS+ y RADIUS Implementa AAA Authorization y Accounting

3 Qué es lo que gasta en ello?
AAA Access Security Authorization A qué recursos tiene acceso el usuario y qué operaciones puede realizar Authentication Quién eres tú? Accounting Qué es lo que gasta en ello?

4 Authentication – Password-Only
User Access Verification Password: cisco Password: cisco1 Password: cisco12 % Bad passwords Password-Only Method Internet R1(config)# line vty 0 4 R1(config-line)# password cisco R1(config-line)# login Usa un login y password para acceder a las líneas El más fácil de implementar pero el más inseguro Vulnerable a ataques de fuerza bruta No provee Accounting

5 Authentication – Local Database
Crea cuenta de usuario individual en cada dispositivo. Provee accounting. No proporciona ningún método de autenticación de respaldo R1(config)# username Admin secret Str0ng5rPa55w0rd R1(config)# line vty 0 4 R1(config-line)# login local User Access Verification Username: Admin Password: cisco1 % Login invalid Password: cisco12 Internet Local Database Method

6 Local Versus Remote Access
LAN 2 R1 Internet R2 Firewall LAN 3 Management LAN Administration Host Logging Host Remote Access Internet LAN 1 R1 Local Access Administrator Console Port Requiere una conexión directa a consola usando un ordenador con programa de gestión de terminales Usa Telnet, SSH HTTP o SNMP para conectarse a un router desde un ordenador. 6

7 Password Security Incrementamos la seguridad de los passwords modificando parámetros de seguridad: Longitud Mínima de passwords deber ser obligatorio Conexiones desatendidas deberían ser deshabilitadas Todas las passwords deberían ser encriptadas R1(config)# service password-encryption R1(config)# exit R1# show running-config line con 0 exec-timeout 3 30 password 7 094F471A1A0A login line aux 0 exec-timeout 3 30 password 7 094F471A1A0A login 7

8 Passwords Password de longitud 10 o más caracteres
Incluir mezcla de letras mayúsculas y minúsculas,números,símbolos,etc. Evitar password basados en repetición, diccionario de palabras, información biográfica,etc.. Deliberadamente escribir mal un password (Security = 5ecur1ty) Cambiar passwords a menudo NO escribir passwords en papel y dejarlos en sitios obvios. 8

9 Access Port Passwords Comandos que restringen el acceso al modo
EXEC privilegiado R1(config)# enable secret cisco Comandos para establecer un password para conexiones por modem Comandos para establecer un password en sesiones Telnet R1(config)# line vty 0 4 R1(config-line)# password cisco R1(config-line)# login R1(config)# line aux 0 R1(config-line)# password cisco R1(config-line)# login R1 R1(config)# line con 0 R1(config-line)# password cisco R1(config-line)# login Comandos para establecer un password de consola 9

10 Creating Users Parameter Description
username name secret {[0]password|5encrypted-secret} Parameter Description name Especifica nombre de usuario (Optional) Esta opción indica que el password en modo texto será hashed por el router usando MD5. password Este parámetro es el password plaintext. 5 Este parámetro indicaque el password encrypted-secret fue hashed usando MD5. encrypted-secret encrypted user password. 10

11 Enhanced Login Features
Los siguientes commandos están disponibles como mejoras en los IOS de Cisco: 11

12 login block-for Command
Todas las mejoras de login están deshabilitadas por defecto. El commando login block-for habilita la configuración de estas mejoras. login block-for monitoriza la actividad en los login del dispositivo de dos modos distintos: Normal-Mode (Watch-Mode) —El router mantiene un recuento del número de intentos de conexión fallidos en una cantidad de tiempo determinado. Quiet-Mode (Quiet Period) — Si el número de intentos fallidos supera el umbral configurado, todos los intentos de conexión hechas usando Telnet, SSH, HTTP se deniegan.

13 System Logging Messages
Genera mensajes de log para login correctos/fallidos: login on-failure log login on-success log Para generar un mensaje cuando se supera la tasa de fracaso : security authentication failure rate threshold-rate log Para comprobar que el comando de sesión está configurado y en qué modo está el router: -show login Para mostrar más información sobre los intentos fallidos : show login failures 13

14 Access Methods Character Mode Packet Mode
Un usuario envía una solicitud para establecer un proceso en modo EXEC con el router para fines administrativos Packet Mode Un usuario envía una solicitud para establecer una conexión a través del router con un dispositivo de la red

15 Self-Contained AAA Authentication
AAA Router Remote Client 1 2 3 Self-Contained AAA The client establishes a connection with the router. The AAA router prompts the user for a username and password. The router authenticates the username and password using the local database and the user is authorized to access the network based on information in the local database. Usado en redes pequeñas Almacena nombre de usuario y password localmente en el router Cisco

16 Server-Based AAA Authentication
Utiliza un servidor de base de datos externa Cisco Secure Access Control Server (ACS) for Windows Server Cisco Secure ACS Solution Engine Cisco Secure ACS Express Más apropiado si hay múltiples routers AAA Router Remote Client 1 2 4 Cisco Secure ACS Server 3 Server-Based AAA The client establishes a connection with the router. The AAA router prompts the user for a username and password. The router authenticates the username and password using a remote AAA server. The user is authorized to access the network based on information on the remote AAA Server.

17 AAA Authorization Típicamente implementado usando una solución basada en servidor AAA. Utiliza un conjunto de atributos que describe el acceso de usuarios a los recursos de la red When a user has been authenticated, a session is established with an AAA server. The router requests authorization for the requested service from the AAA server. The AAA server returns a PASS/FAIL for authorization.

18 AAA Accounting Implementada usando una solución basada en un server AAA. Mantiene un registro detallado de lo que lo hace un usuario autenticado en un dispositivo When a user has been authenticated, the AAA accounting process generates a start message to begin the accounting process. When the user finishes, a stop message is recorded ending the accounting process.

19 Local AAA Authentication Commands
R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default local-case R1(config)# aaa local authentication attempts max-fail 10 Para autenticar el acceso de administrador(character mode access) Añade nombres de usuario y passwords a la base de datos local del router. Habilita AAA globalmente Configura los parámetros AAA sobre el router Confirma y comprueba la configuración AAA.

20 Additional Commands aaa authentication enable aaa authentication ppp
Habilita AAA para acceso en modo EXEC aaa authentication ppp Habilita AAA para acceso a la red mediante PPP

21 AAA Authentication Command Elements
router(config)# aaa authentication login {default | list-name} method1…[method4] Command Description default Utiliza los métodos de autenticación de la lista que siguen a esta palabra clave como la lista predeterminada de métodos cuando un usuario se conecta list-name Cadena de caracteres usado para nombrar la lista de métodos de autenticación activa cuando un usuario se conecta password-expiry Habilitar la caducidad de contraseñas en una lista de autenticación local. method1 [method2...] Identifica la lista de métodos que el algoritmo de autenticación intenta en la secuencia dada. Debe introducir al menos un método; puede introducir hasta cuatro métodos.

22 Method Type Keywords Keywords Description enable
Activa la contraseña para la autenticación. Esta palabra clave no se puede utilizar. krb5 Usa Kerberos 5 para authentication. krb5-telnet Usa Kerberos 5 telnet authentication protocol cuando use Telnet para conectar al router line Utiliza la contraseña de línea para la autenticación. local Usa el nombre de usuario de la base de datos local para authentication. local-case Utiliza la autenticación de nombre de usuario local sensible a mayúsculas y minúsculas. none No usa authentication. cache group-name Utiliza un grupo de servidores caché para la autenticación. group radius Utiliza la lista de todos los servidores RADIUS para la autenticación group tacacs+ Utiliza la lista de todos los servidores TACACS + para la autenticación. group group-name Utiliza un subconjunto de RADIUS o TACACS + servidores para la autenticación definido por los comandos aaa group server radius or aaa group server tacacs+.

23 Additional Security router(config)#
aaa local authentication attempts max-fail [number-of-unsuccessful-attempts] R1# show aaa local user lockout Local-user Lock time JR-ADMIN :28:49 UTC Sat Dec R1# show aaa sessions Total sessions since last reload: 4 Session Id: 1 Unique Id: 175 User Name: ADMIN IP Address: Idle Time: 0 CT Call Handle: 0

24 Sample Configuration R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default local-case enable R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN

25 Verifying AAA Authentication
AAA está habilitado por defecto en SDM

26 Using SDM Select Configure > Additional Tasks > Router Access > User Accounts/View 2. Click Add 3. Enter username and password 4. Choose 15 5. Check the box and select a view 6. Click OK

27 Configure Login Authentication
1. Select Configure > Additional Tasks > AAA > Authentication Policies > Login and click Add 2. Verify that Default is selected 3. Click Add 4. Choose local 5. Click OK 6. Click OK

28 The debug aaa Command R1# debug aaa ? accounting Accounting
administrative Administrative api AAA api events attr AAA Attr Manager authentication Authentication authorization Authorization cache Cache activities coa AAA CoA processing db AAA DB Manager dead-criteria AAA Dead-Criteria Info id AAA Unique Id ipc AAA IPC mlist-ref-count Method list reference counts mlist-state Information about AAA method list state change and notification per-user Per-user attributes pod AAA POD processing protocol AAA protocol processing server-ref-count Server handle reference counts sg-ref-count Server group handle reference counts sg-server-selection Server Group Server Selection subsys AAA Subsystem testing Info. about AAA generated test packets R1# debug aaa

29 Sample Output R1# debug aaa authentication
113123: Feb 4 10:11: CST: AAA/MEMORY: create_user (0x619C4940) user='' ruser='' port='tty1' rem_addr='async/81560' authen_type=ASCII service=LOGIN priv=1 113124: Feb 4 10:11: CST: AAA/AUTHEN/START ( ): port='tty1' list='' action=LOGIN service=LOGIN 113125: Feb 4 10:11: CST: AAA/AUTHEN/START ( ): using "default" list 113126: Feb 4 10:11: CST: AAA/AUTHEN/START ( ): Method=LOCAL 113127: Feb 4 10:11: CST: AAA/AUTHEN ( ): status = GETUSER 113128: Feb 4 10:11: CST: AAA/AUTHEN/CONT ( ): continue_login (user='(undef)') 113129: Feb 4 10:11: CST: AAA/AUTHEN ( ): status = GETUSER 113130: Feb 4 10:11: CST: AAA/AUTHEN/CONT ( ): Method=LOCAL 113131: Feb 4 10:11: CST: AAA/AUTHEN ( ): status = GETPASS 113132: Feb 4 10:11: CST: AAA/AUTHEN/CONT ( ): continue_login (user='diallocal') 113133: Feb 4 10:11: CST: AAA/AUTHEN ( ): status = GETPASS 113134: Feb 4 10:11: CST: AAA/AUTHEN/CONT ( ): Method=LOCAL 113135: Feb 4 10:11: CST: AAA/AUTHEN ( ): status = PASS

30 Local Versus Server-Based Authentication
Local Authentication The user establishes a connection with the router. The router prompts the user for a username and password authenticating the user using a local database. Cisco Secure ACS for Windows Server Perimeter Router 1 3 2 4 Remote User Server-Based Authentication The user establishes a connection with the router. The router prompts the user for a username and password. The router passes the username and password to the Cisco Secure ACS (server or engine). The Cisco Secure ACS authenticates the user. The user is authorized to access the router (administrative access) or the network based on information found in the Cisco Secure ACS database.

31 Overview of TACACS+ and RADIUS
TACACS+ or RADIUS protocols are used to communicate between the clients and AAA security servers. Cisco Secure ACS for Windows Server Perimeter Router Remote User Cisco Secure ACS Express

32 TACACS+/RADIUS Comparación
Functionalidad Separa AAA de acuerdo con la arquitectura de AAA, lo que permite la modularidad de la aplicación de servidor de seguridad Combina la autenticación y autorización, pero separa la contabilidad, lo que permite una menor flexibilidad en la aplicación que con TACACS +. Standard Mayormente soportado por CISCO Open/RFC standard Protocol Transporte TCP UDP CHAP Desafío bidireccional y la respuesta que se utiliza en el Protocolo de autenticación por desafío mutuo (CHAP) Desafío unidireccional y respuesta del servidor de seguridad RADIUS con el cliente RADIUS. Protocolos Soportados Soporte Multiprotocolo No ARA, no NetBEUI Confidencialidad Paquete entero encriptado Password encriptado Personalización Proporciona la autorización de los comandos del router sobre una base de usuario o por grupos. No tiene opción de autorizar los comandos del router.

33 TACACS+ Authentication Process
Connect Username prompt? Username? Use “Username” JR-ADMIN JR-ADMIN Password prompt? Password? Use “Password” “Str0ngPa55w0rd” “Str0ngPa55w0rd” Accept/Reject Provee servicios AAA separados Utiliza Puerto 49 TCP

34 RADIUS Authentication Process
Access-Request (JR_ADMIN, “Str0ngPa55w0rd”) Username? Access-Accept JR-ADMIN Password? Str0ngPa55w0rd Trabajan en modo local o roaming Usa puertos UDP 1645 o 1812 para authentication y puertos UDP y 1813 para accounting

35 Configuring Server-Based AAA Authentication
Globalmente habilita AAA para permitir al usuario todos los elementos AAA (un requisito previo) Especifica Cisco Secure ACS que provee servicios AAA para el servidor de acceso a la red Configurar la clave de cifrado que se utiliza para cifrar la transferencia de datos entre el servidor de acceso a la red y el servidor Cisco Secure ACS Configurar la autenticación de lista de métodos AAA

36 aaa authentication Command
R1(config)# aaa authentication type { default | list-name } method1 … [method4] R1(config)# aaa authentication login default ? enable Use enable password for authentication. group Use Server-group krb Use Kerberos 5 authentication. krb5-telnet Allow logins only if already authenticated via Kerberos V Telnet. line Use line password for authentication. local Use local username authentication. local-case Use case-sensitive local username authentication. none NO authentication. passwd-expiry enable the login list to provide password aging support R1(config)# aaa authentication login default group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts. R1(config)# aaa authentication login default group

37 Cisco Secure ACS for Windows Cisco Secure ACS Solution Engine
Sample Configuration Múltiples servidores RADIUS pueden ser identificados introduciendo comandos en el servidor radius para cada uno. Para TACACS +, el comando de una sola conexión mantiene una única conexión TCP para la vida de la sesión. TACACS+ or RADIUS protocols are used to communicate between the clients and AAA security servers. R1 Cisco Secure ACS for Windows using RADIUS R1(config)# aaa new-model R1(config)# R1(config)# radius-server host R1(config)# radius-server key RADIUS-Pa55w0rd R1(config)# tacacs-server host R1(config)# tacacs-server key TACACS+Pa55w0rd single-connection R1(config)# aaa authentication login default group tacacs+ group radius local-case Cisco Secure ACS Solution Engine using TACACS+

38 Add TACACS Support 1. Choose Configure > Additional Tasks > AAA > AAA Servers and Groups > AAA Servers 2. Click Add 3. Choose TACACS+ 4. Enter the IP address (or hostname) of the AAA server 5. Check the Single Connection check box to maintain a single connection 6. Check the Configure Key to encrypt traffic 7. Click OK

39 Create AAA Login Method
1. Choose Configure>Additional Tasks>AAA>Authentication Policies>Login 2. Click Add 3. Choose User Defined 4. Enter the name 5. Click Add 6. Choose group tacacs+ from the list 7. Click OK 8. Click Add to add a backup method 9. Choose enable from the list Click OK twice

40 Apply Authentication Policy
1. Choose Configure>Additional Tasks>Router Access>VTY 2. Click Edit 3. Choose the authentication policy to apply

41 Sample Commands R1# debug aaa authentication AAA Authentication debugging is on R1# 14:01:17: AAA/AUTHEN ( ): Method=TACACS+ 14:01:17: TAC+: send AUTHEN/CONT packet 14:01:17: TAC+ ( ): received authen response status = PASS 14:01:17: AAA/AUTHEN ( ): status = PASS El comando debug AAA provee una vista de la actividad de entrada. Para exitosos intentos de inicio de sesión con TACACS +, un mensaje de estado PASS sucede.

42 Sample Commands R1# debug radius ?
accounting RADIUS accounting packets only authentication RADIUS authentication packets only brief Only I/O transactions are recorded elog RADIUS event logging failover Packets sent upon fail-over local-server Local RADIUS server retransmit Retransmission of packets verbose Include non essential RADIUS debugs <cr> R1# debug radius R1# debug tacacs ? accounting TACACS+ protocol accounting authentication TACACS+ protocol authentication authorization TACACS+ protocol authorization events TACACS+ protocol events packet TACACS+ packets <cr>

43 AAA Authorization Overview
Command authorization for user JR-ADMIN, command “show version”? show version Display “show version” output Accept Command authorization for user JR-ADMIN, command “config terminal”? configure terminal Do not permit “configure terminal” Reject El protocol TACACS+ permite la separación entre la authentication y la authorization. Puede ser configurado para restringir al usuario a realizar ciertas funciones solamente después de la autenticación exitosa. Authorization puede ser configurada en dos modos: character mode (exec authorization) packet mode (network authorization) RADIUS no separa la autenticación del proceso de autorización

44 AAA Authorization Commands
R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default group tacacs+ R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# aaa authorization exec default group tacacs+ R1(config)# aaa authorization network default group tacacs+ R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN R1(config-line)# ^Z Para configurar la authorization, usar: aaa authorization service-type {default | list-name} method1 [method2] [method3] [method4] Service types of interest include: commands level For exec (shell) commands exec For starting an exec (shell) network For network services. (PPP, SLIP, ARAP)

45 Using SDM to Configure Authorization Character Mode
1. Choose Configure>Additional Tasks>AAA>Authorization Policies>Exec 2. Click Add 3. Choose Default 4. Click Add 5. Choose group tacacs+ from the list 6. Click OK 7. Click OK to return to the Exec Authorization window

46 Using SDM to Configure Authorization Packet Mode
1. Choose Configure>Additional Tasks>AAA>Authorization Policies>Network 2. Click Add 3. Choose Default 4. Click Add 7. Click OK to return to the Exec Authorization pane 5. Choose group tacacs+ from the list 6. Click OK

47 AAA Accounting Overview
Proporciona la capacidad de rastrear el uso, tales como el acceso telefónico; la capacidad de registrar los datos recopilados a una base de datos; y la capacidad de producir informes sobre los datos recogidos aaa accounting {system | network | exec | connection | commands level} {default | list-name} {start-stop | wait-start | stop-only | none} [method1 [method2]] Suporta 6 tipos diferentes de accounting: network, connection, exec, system, commands level, and resource.

48 AAA Accounting Commands
R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default group tacacs+ R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# aaa authorization exec group tacacs+ R1(config)# aaa authorization network group tacacs+ R1(config)# aaa accounting exec start-stop group tacacs+ R1(config)# aaa accounting network start-stop group tacacs+ R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN R1(config-line)# ^Z aaa accounting exec default start-stop group tacacs+ Define una política de contabilidad AAA que utiliza TACACS + para registrar tanto el inicio y la detención de los registros de sesiones de terminal de usuario EXEC. aaa accounting network default start-stop group tacacs+ Define una política de contabilidad AAA que utiliza TACACS + para registrar registros de arranque y parada para todas las solicitudes de servicios relacionados con la red.