CCNA Security 2.0 Cap 3

CCNA Security 2.
0 CAPITULO 3
CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CCNA Security 2.0 CAPITULO 3
Capítulo 3: Autenticación, Autorización y Auditoría

Una red debe estar diseñada para controlar a quién se le permite conectarse, cuando se
les permite conectarse a ella, y lo que se les permite hacer. Estas especificaciones de
diseño se identifican en la directiva de seguridad de red. La directiva especifica cómo
los administradores de red, los usuarios corporativos, los usuarios remotos, los socios
comerciales y los clientes acceden a los recursos de red. La política de seguridad de la
red también puede exigir la implementación de un sistema de auditoría que rastree quién
se conectó y cuándo y qué hizo mientras estaba conectado.
La gestión del acceso a la red utilizando sólo el modo de usuario o los comandos de
contraseña de modo de privilegio es limitada y no se escala bien. El uso del protocolo
Autenticación, Autorización y Auditoría (AAA) proporciona el marco necesario para
habilitar la seguridad de acceso escalable.
Los routeres y switches Cisco IOS se pueden configurar para utilizar AAA para acceder
a una base de datos de nombre de usuario y contraseña local. El uso de una base de datos
de nombre de usuario y contraseña local proporciona una mejor seguridad que una
simple contraseña. También es una solución de seguridad rentable y de fácil
implementación para pequeñas organizaciones.
Las organizaciones más grandes requieren una solución de autenticación más
escalable. Los routeres y switches Cisco IOS se pueden configurar para utilizar AAA
para autenticarse en un sistema de control de acceso seguro de Cisco (ACS). El uso de
Cisco ACS es muy escalable porque todos los dispositivos de infraestructura acceden a
un servidor central. La solución Cisco Secure ACS también es tolerante a fallos porque
se pueden configurar varios servidores.
Para asegurarse de que sólo las personas adecuadas, con los dispositivos adecuados
obtienen el acceso adecuado a los servicios empresariales, Cisco presentó Cisco Identify
Services Engine (ISE). ISE proporciona visibilidad a los usuarios y dispositivos que
acceden a una red. Esta solución de próxima generación no sólo proporciona AAA, sino
que también aplica políticas de seguridad y acceso para dispositivos de punto final
conectados a switches y routeres de la organización. Simplifica la gestión de varios
dispositivos y proporciona características como perfiles de dispositivos, evaluación de
posturas, gestión de invitados y acceso a redes basadas en identidad.
El acceso a la LAN se puede asegurar mediante IEEE 802.1X. 802.1X es un protocolo
de autenticación y control de acceso basado en puerto que se utiliza para restringir las

estaciones de trabajo no autorizadas de conectarse a una LAN a través de puertos de

conmutación accesibles al público.
Autenticación sin AAA

Los hackers de la red pueden obtener acceso a equipos y servicios de red sensibles. El
control de acceso limita quién o qué puede utilizar recursos específicos. También limita
los servicios u opciones que están disponibles después de que se concede el
acceso. Muchos tipos de autenticación se pueden realizar en un dispositivo Cisco, y cada
método ofrece diversos niveles de seguridad.
El método más sencillo de autenticación de acceso remoto es configurar una
combinación de inicio de sesión y contraseña en la consola, líneas vty y puertos
auxiliares, como se muestra en la Figura 1. Este método es el más fácil de implementar,
pero también es el más débil y menos seguro. Este método no proporciona rendición de
cuentas. Cualquier persona con la contraseña puede entrar en el dispositivo y alterar la
configuración.
SSH es una forma más segura de acceso remoto. Requiere tanto un nombre de usuario
como una contraseña, ambos codificados durante las transmisiones. El método de base
de datos local proporciona seguridad adicional, ya que un atacante debe conocer un
nombre de usuario y una contraseña. También proporciona más responsabilidad, ya que
el nombre de usuario se registra cuando un usuario inicia sesión. Aunque Telnet puede
configurarse utilizando un nombre de usuario y una contraseña, ambos se envían en
texto claro, lo que lo hace vulnerable a ser capturado y explotado.
El método de base de datos local tiene algunas limitaciones. Las cuentas de usuario
deben configurarse localmente en cada dispositivo, como se muestra para la
configuración de SSH en la Figura 2. En un entorno de gran empresa que tiene varios
routeres y switches para administrar, puede tomar tiempo implementar y cambiar bases
de datos locales en cada dispositivo. Además, la configuración de la base de datos local
no proporciona ningún método de autenticación de fallback. Por ejemplo, ¿qué pasa si el
administrador olvida el nombre de usuario y la contraseña para ese dispositivo? Con
ningún método de copia de seguridad disponible para la autenticación, la recuperación
de contraseñas se convierte en la única opción.

Una solución mejor es que todos los dispositivos se refieran a la misma base de datos de
nombres de usuario y contraseñas de un servidor central. Este capítulo explora los
diversos métodos de asegurar el acceso a la red mediante Autenticación, Autorización y
Contabilidad (AAA) para proteger routers de Cisco.

Componentes AAA
Los servicios de seguridad de red AAA proporcionan el marco principal para configurar
el control de acceso en un dispositivo de red. AAA es una manera de controlar a quién se
le permite acceder a una red (autenticar), qué pueden hacer mientras están allí (autorizar)
y auditar qué acciones realizaron al acceder a la red (contabilidad).
La seguridad AAA de red y administrativa en el entorno de Cisco tiene tres componentes
funcionales:
• Autenticación - Los usuarios y los administradores deben demostrar que son
quienes dicen ser. La autenticación se puede establecer usando combinaciones de
nombre de usuario y contraseña, preguntas de desafío y respuesta, tarjetas de
token y otros métodos. Por ejemplo: "Soy usuario 'estudiante' y sé la contraseña
para demostrarlo."

• Autorización - Una vez que el usuario ha sido autenticado, los servicios de

autorización determinan los recursos a los que el usuario puede acceder y las
operaciones que el usuario puede realizar. Un ejemplo es "Estudiante de usuario"
puede acceder a servidor XYZ usando SSH solamente. "
• Contabilidad y auditoría - La contabilidad registra lo que el usuario hace,
incluyendo lo que se accede, la cantidad de tiempo que se accede al recurso y los
cambios que se realizaron. La contabilidad realiza un seguimiento de cómo se
utilizan los recursos de red. Un ejemplo es "Estudiante de usuario" acceso al
servidor hostXYZ usando SSH durante 15 minutos ".
Este concepto es similar al uso de una tarjeta de crédito, como se indica en la figura. La
tarjeta de crédito identifica quién puede usarla, cuánto puede gastar el usuario y
mantiene la cuenta de qué artículos o servicios compró el usuario.

Modos de autenticación
La autenticación AAA se puede utilizar para autenticar usuarios para acceso
administrativo o para autenticar usuarios para acceso remoto a la red. Cisco ofrece dos
métodos comunes de implementación de servicios AAA:
• Autenticación local AAA -Local AAA utiliza una base de datos local para la
autenticación. A veces, este método se conoce como autenticación autónoma. En
este curso, se denominará autenticación AAA local. Este método almacena
nombres de usuario y contraseñas localmente en el router de Cisco y los usuarios
se autentican en la base de datos local, como se muestra en la Figura 1. Esta base
de datos es la misma requerida para establecer una CLI basada en roles. AAA
local es ideal para redes pequeñas.
• Autenticación AAA basada en servidor - Con el método basado en servidor, el
router accede a un servidor AAA central, como el Sistema de control de acceso
seguro de Cisco (ACS) para Windows, que se muestra en la Figura 2. El servidor
AAA central contiene los nombres de usuario y la contraseña para todos
usuarios. El router utiliza los protocolos de servicio de usuario de acceso
telefónico de autenticación remota (RADIUS) o de control de acceso de
controlador de acceso de terminal (TACACS +) para comunicarse con el servidor

AAA. Cuando hay varios routeres y switches, el AAA basado en el servidor es

más apropiado.
Nota: En este curso, el enfoque se centra en la implementación de la seguridad de la red
con IPv4 en routers Cisco, switches y dispositivos de seguridad adaptativos. En
ocasiones, se hacen referencias a tecnologías y protocolos específicos de IPv6.
1. El cliente establece una conexión con el router.

2. El router AAA solicita al usuario un nombre de usuario y una contraseña.
3. El router autentica el nombre de usuario y la contraseña utilizando la base de datos
local y el usuario tiene acceso a la red basándose en información de la base de datos
local.

1. El cliente establece una conexión con el router.

2. El router AAA solicita al usuario un nombre de usuario y una contraseña.
3. El router autentifica el nombre de usuario y la contraseña utilizando un servidor
AAA remoto.
Autorización
Una vez que los usuarios se autentican correctamente con la fuente de datos AAA
seleccionada, ya sea local o basada en el servidor, se autorizan para recursos de red
específicos, como se muestra en la figura. La autorización es básicamente lo que los
usuarios pueden y no pueden hacer en la red después de haber sido autenticados. Esto es
similar a cómo los niveles de privilegios y la CLI basada en roles proporcionan a los
usuarios derechos y privilegios específicos para ciertos comandos del router.
La autorización se implementa típicamente utilizando una solución basada en servidor
AAA. La autorización utiliza un conjunto creado de atributos que describe el acceso del
usuario a la red. Estos atributos se comparan con la información contenida en la base de
datos AAA y se realiza una determinación de restricciones para ese usuario y se entrega
al router local en el que está conectado el usuario.

La autorización es automática y no requiere que los usuarios realicen pasos adicionales

después de la autenticación. La autorización se implementa inmediatamente después de
autenticar al usuario.
1. Cuando un usuario ha sido autenticado, se establece una sesión entre el router y el

servidor AAA.
2. El router solicita autorización del servidor AAA para el servicio solicitado por el
cliente.
Auditoría
AAA Accounting recopila e informa los datos de uso. Estos datos pueden utilizarse para
fines tales como auditoría o facturación. Los datos recogidos pueden incluir los tiempos
de conexión de inicio y parada, los comandos ejecutados, el número de paquetes y el
número de bytes.
La contabilidad se implementa utilizando una solución basada en servidor AAA. Este
servicio reporta las estadísticas de uso al servidor de ACS. Estas estadísticas se pueden
extraer para crear informes detallados sobre la configuración de la red.

Un uso ampliamente desplegado de la contabilidad es combinarlo con la autenticación

AAA. Esto ayuda con la administración del acceso a los dispositivos de interconexión
por parte del personal administrativo de la red. La contabilidad proporciona más
seguridad que la autenticación. Los servidores AAA mantienen un registro detallado de
exactamente lo que hace el usuario autenticado en el dispositivo, como se muestra en la
Figura 1. Esto incluye todos los comandos de configuración y de ejecución emitidos por
el usuario. El registro contiene numerosos campos de datos, incluyendo el nombre de
usuario, la fecha y hora, y el comando real que fue introducido por el usuario. Esta
información es útil cuando se solucionan problemas de dispositivos. También
proporciona apalancamiento contra las personas que realizan acciones maliciosas.
La Figura 2 muestra los diversos tipos de información contable que se pueden recopilar.
1. Cuando un usuario ha sido autenticado, el proceso de contabilidad

AAA genera un mensaje de inicio para comenzar el proceso de
contabilidad.

Auditoria de redes
La contabilidad de red captura la información para todas las

sesiones de Protocolo punto a punto (PPP), incluidos los
recuentos de paquetes y bytes.
Contabilidad de conexión
La contabilidad de conexión captura información sobre

todas las conexiones salientes realizadas desde el cliente
AAA, como Telnet o SSH.
Contabilidad de EXEC
La contabilidad EXEC captura la información sobre las

sesiones de terminal EXEC del usuario (shell de usuario) en
el servidor de acceso a la red, incluyendo nombre de usuario,
fecha, hora de inicio y detención y la dirección IP del

servidor de acceso
Sistema de contabilidad
La contabilidad del sistema captura información sobre todos

los eventos a nivel de sistema (por ejemplo, cuando se
reinicia el sistema o cuando se activa o desactiva la
contabilidad).
Contabilidad de mando
La contabilidad de comandos captura información sobre los

comandos de shell EXEC para un nivel de privilegio
especificado que se está ejecutando en un servidor de acceso
a la red. Cada registro de contabilidad de comandos incluye
una lista de los comandos ejecutados para ese nivel de
privilegios, así como la fecha y hora en que se ejecutó cada
comando y el usuario que lo ejecutó.
Contabilidad de recursos
La implementación de Cisco de contabilidad AAA captura

"iniciar" y "detener" soporte de grabación para las llamadas
que han pasado la autenticación de usuario. También se
admite la característica adicional de generar registros "stop"
para las llamadas que no se autentican como parte de la
autenticación del usuario. Dichos registros son necesarios
para que los usuarios que utilizan registros contables
administren y supervisen sus redes.

Autenticación de acceso administrativo

La autenticación AAA local debe configurarse para redes más pequeñas. Las redes más
pequeñas son aquellas redes que tienen uno o dos routeres que proporcionan acceso a un
número limitado de usuarios. Este método utiliza los nombres de usuario y contraseñas
locales almacenados en un router. El administrador del sistema debe rellenar la base de
datos de seguridad local especificando perfiles de nombre de usuario y contraseña para
cada usuario que pueda iniciar sesión.
El método de autenticación AAA local es similar al uso del comando local login con
una excepción. AAA también proporciona una forma de configurar métodos de copia de
seguridad de autenticación.
La configuración de los servicios AAA locales para autenticar el acceso de
administrador requiere unos pasos básicos:
Paso 1 . Agregue nombres de usuario y contraseñas a la base de datos del router local
para los usuarios que necesiten acceso administrativo al router.
Paso 2 . Active AAA globalmente en el router.
Paso 3 . Configure los parámetros AAA en el router.
Paso 4 . Confirme y resuelva la configuración AAA.
El comando de aaa authentication login en la figura permite a los usuarios de ADMIN
y JR-ADMIN iniciar sesión en el router a través de las líneas de consola o terminal

vty. La palabra clave default significa que el método de autenticación se aplica a todas
las líneas, excepto aquellas para las que una configuración de línea específica anula el
valor predeterminado. La autenticación distingue entre mayúsculas y minúsculas,
indicada por la palabra clave local-case . Esto significa que tanto la contraseña como el
nombre de usuario son sensibles a mayúsculas y minúsculas.
Métodos de autenticación
Para habilitar AAA, primero se debe configurar el comando de configuración global aaa
new-model . Para desactivar AAA, utilice la forma no de este comando.
Nota: No hay otros comandos AAA disponibles hasta que se ingrese este comando.
Nota: Es importante saber que cuando se introduce por primera vez el comando aaa
new-model , se aplica automáticamente una autenticación "predeterminada" no
detectada utilizando la base de datos local a todas las líneas excepto a la consola. Por
esta razón, configure siempre una entrada de base de datos local antes de habilitar AAA.
Utilice el comando de aaa authentication login mostrado en la Figura 1 para habilitar
la autenticación de las líneas de consola, aux y vty. La palabra clave default aplica la

autenticación a todas las líneas. Como alternativa, se puede configurar un método de

autenticación personalizado mediante un nombre de lista .
La parte final del comando identifica el tipo de métodos que se consultarán para
autenticar a los usuarios. Se pueden definir hasta cuatro métodos, proporcionando
métodos de fallback si un método no estuviera disponible. La Figura 2 muestra los
métodos comunes que se pueden especificar. Cuando un usuario intenta iniciar sesión, se
utiliza el primer método enumerado. El software Cisco IOS intenta la autenticación con
el siguiente método de autenticación listado sólo cuando no hay respuesta o se produce
un error del método anterior. Si el método de autenticación impide el acceso del usuario,
el proceso de autenticación se detiene y no se permiten otros métodos de autenticación.
Para habilitar la autenticación local mediante una base de datos local preconfigurada,
utilice la palabra clave local o local-case . La diferencia entre las dos opciones es
que localacepta un nombre de usuario independientemente del caso, mientras que local-
case distingue entre mayúsculas y minúsculas. Por ejemplo, si se configuró una entrada
de base de datos local con el nombre de usuario ADMIN, el método local aceptaría
ADMIN, Admin o incluso admin. Si se configuró el método de local case , sólo
ADMIN sería aceptable.
Para especificar que un usuario puede autenticarse utilizando la contraseña enable,
utilice la palabra clave enable . Para asegurarse de que la autenticación se realiza
correctamente incluso si todos los métodos devuelven un error, especifique any como el
método final.
Nota : Por razones de seguridad, utilice la palabra clave none sólo cuando pruebe la
configuración AAA. Nunca se debe aplicar en una red en vivo.


Métodos predeterminados y nombrados

Para mayor flexibilidad, se pueden aplicar diferentes listas de métodos a diferentes
interfaces y líneas mediante el comando aaa authentication login list-name .
Por ejemplo, un administrador puede aplicar un inicio de sesión especial para SSH y
luego tener el método de inicio de sesión predeterminado para la consola de línea, como
se muestra en la figura. En este ejemplo, la línea vty solo usaría la base de datos local
para la autenticación. Todas las demás líneas (es decir, la consola y las líneas auxiliares)
utilizarían la base de datos local y utilizarían la contraseña de habilitación como
alternativa si no hubiera entradas de base de datos en el dispositivo.
Observe que la lista nombrada tiene que estar habilitada explícitamente en la línea
mediante el mandato de configuración de la línea de login authentication . Si una línea
tiene una lista de métodos de autenticación personalizada aplicada a ella, esa lista de
métodos reemplaza a la lista de métodos predeterminada para esa interfaz.
Cuando se aplica una lista de métodos de autenticación personalizada a una interfaz, es
posible volver a la lista de métodos predeterminada utilizando el comando de login
without authentication .

Ajuste de la configuración de autenticación

Se puede implementar seguridad adicional en la línea utilizando el comando de
configuración global aaa local authentication attempts , que se muestra en la Figura
1. Este comando protege las cuentas de usuario AAA bloqueando cuentas que tienen
excesivos intentos fallidos.
A diferencia del comando de login delay que introduce un retraso entre los intentos de
inicio de sesión fallidos sin bloquear la cuenta, los aaa local authentication attempts
max-fail bloquean la cuenta de usuario si la autenticación falla. La cuenta de usuario
bloqueada permanece bloqueada hasta que sea borrada manualmente por un
administrador utilizando el comando de modo EXEC privilegiado de local user lock
aaa local .
Para mostrar una lista de todos los usuarios bloqueados, use el comando show aaa local
lockout del usuario en modo EXEC privilegiado, como se muestra en la Figura 2.
Cuando un usuario inicia sesión en un router de Cisco que utiliza AAA, se le asigna un
ID exclusivo a la sesión de ese usuario. A lo largo de la vida de la sesión, varios
atributos que están relacionados con la sesión se recogen y almacenan internamente

dentro de la base de datos AAA. Estos atributos pueden incluir la dirección IP del
usuario, el protocolo que se utiliza para acceder al router (por ejemplo, PPP), la
velocidad de la conexión y el número de paquetes o bytes que se reciben o transmiten.
Para mostrar los atributos que se recopilan para una sesión AAA, utilice
el comando show aaa user en modo EXEC privilegiado. Este comando no proporciona
información para todos los usuarios que han iniciado sesión en un dispositivo, pero sólo
para aquellos que han sido autenticados o autorizados mediante AAA o cuyas sesiones
están siendo contabilizadas por el módulo AAA.
El comando show aaa sessions se puede usar para mostrar el ID único de una sesión,
como se muestra en la Figura 3.

Opciones de depuración
El router de Cisco tiene comandos de depuración que son útiles para solucionar
problemas de autenticación. Como se muestra en la figura, el comando debug
aaa contiene varias palabras clave que pueden usarse para este propósito. De especial
interés es el comando de debug aaa authentication .
Es importante analizar la salida de depuración cuando todo funciona
correctamente. Saber cómo se muestra la salida de depuración cuando todo está bien
ayuda a identificar problemas cuando las cosas no funcionan correctamente. Tenga
cuidado cuando utilice comandos de depuration en un entorno de producción porque
estos comandos son interpretados por el plano de control; por lo tanto, ponen una carga
significativa en los recursos del router y pueden afectar negativamente el rendimiento de
la red.

Depuración de la autenticación AAA

El comando de debug aaa authentication es instrumental cuando se solucionan
problemas de AAA, como se muestra en la Figura 1.
Busque específicamente mensajes de estado GETUSER y GETPASS. Estos mensajes
también son útiles cuando se identifica qué lista de métodos se está haciendo
referencia. En este ejemplo, se utilizó el método de base de datos local. El estado del
inicio de sesión se indica mediante el mensaje PASS (PASS), lo que significa que fue un
inicio de sesión satisfactorio.
Nota: Para deshabilitar este comando, utilice el comando no debug aaa
authentication o la declaración undebug all .
Utilice el Comprobador de sintaxis de la Figura 2 para configurar y verificar la
autenticación AAA local en R1.


Comparación de AAA locales y las

implementaciones AAA basadas en servidor
Las implementaciones locales de AAA son aceptables en redes muy pequeñas. Sin
embargo, la autenticación local no escala bien.
La mayoría de los entornos corporativos tienen múltiples routers, conmutadores y otros
dispositivos de infraestructura de Cisco, administradores de routers múltiples y cientos o
miles de usuarios que necesitan acceso a la LAN corporativa. Mantener una base de
datos local en cada dispositivo para este tamaño de red no es factible.
Para resolver este desafío, uno o más servidores AAA, como Cisco Secure ACS, se
pueden usar para administrar las necesidades de acceso administrativo y de usuario para
una red corporativa completa. Cisco Secure ACS puede crear una base de datos de
acceso administrativo y de usuario central a la que todos los dispositivos de la red
pueden hacer referencia. También puede funcionar con muchas bases de datos externas,
como Active Directory y Lightweight Directory Access Protocol (LDAP). Estas bases de
datos almacenan información de cuenta de usuario y contraseñas, lo que permite la
administración central de las cuentas de usuario. Para una mayor redundancia, se pueden
implementar varios servidores, como se muestra en la figura.

1. El usuario establece una conexión con el router.

2. El router solicita al usuario un nombre de usuario y una contraseña.
3. El router pasa el nombre de usuario y la contraseña a Cisco Secure ACS
(servidor o motor).
4. Cisco Secure ACS autentica al usuario. El usuario tiene acceso al router (acceso
administrativo) oa la red, basándose en la información que se encuentra en la base
de datos de Cisco Secure ACS.

Introducción a Cisco Secure Access Control System

El Sistema de Control de Acceso Seguro de Cisco (ACS) es una solución centralizada
que une la política de acceso a la red y la estrategia de identidad de una empresa.
La familia de productos ACS de Cisco incluye servidores de control de acceso altamente
escalables y de alto rendimiento. Éstos se pueden aprovechar para controlar el acceso y
la configuración del administrador para todos los dispositivos de red en una red que
admita RADIUS o TACACS +, o ambos.
Cisco Secure ACS admite protocolos TACACS + y RADIUS, como se muestra en la
figura. TACACS + y RADIUS son los dos protocolos predominantes utilizados por los
dispositivos de seguridad de Cisco, routeres y switches para implementar AAA.

Presentación de TACACS + y RADIUS

TACACS + y RADIUS son protocolos de autenticación que se utilizan para comunicarse
con servidores AAA. Como se muestra en la figura, cada uno admite diferentes
capacidades y funcionalidad. La selección de TACACS + o RADIUS depende de las
necesidades de la organización. Por ejemplo, un ISP grande puede seleccionar RADIUS
porque admite la contabilidad detallada necesaria para los usuarios de facturación. Una
organización con varios grupos de usuarios puede seleccionar TACACS + porque
requiere que las políticas de autorización se apliquen por usuario o por grupo.
Es importante entender las muchas diferencias entre los protocolos TACACS + y
RADIUS.
Estos son tres factores críticos para TACACS +:
• Separa la autenticación y la autorización
• Cifra todas las comunicaciones
• Utiliza el puerto TCP 49
Estos son cuatro factores críticos para RADIUS:
• Combina la autenticación y autorización RADIUS como un solo proceso
• Cifra sólo la contraseña

• Utiliza UDP
• Soporta tecnologías de acceso remoto, 802.1X y SIP (Session Initiation Protocol)
Aunque ambos protocolos se pueden utilizar para comunicarse entre un router y
servidores AAA, TACACS + es considerado el protocolo más seguro. Esto se debe a que
todos los intercambios de protocolo TACACS + están cifrados, mientras que RADIUS
sólo cifra la contraseña del usuario. RADIUS no cifra nombres de usuario, información
contable ni ninguna otra información contenida en el mensaje RADIUS.
Autenticación TACACS +
TACACS + es una mejora de Cisco para el protocolo TACACS original. A pesar de su
nombre, TACACS + es un protocolo totalmente nuevo que es incompatible con
cualquier versión anterior de TACACS. TACACS + está soportado por la familia Cisco
de routeres y servidores de acceso.

TACACS + proporciona servicios AAA separados. La separación de los servicios AAA

proporciona flexibilidad en la implementación porque es posible utilizar TACACS +
para autorización y contabilidad mientras se utiliza otro método de autenticación.
Las extensiones del protocolo TACACS + proporcionan más tipos de solicitudes de
autenticación y códigos de respuesta que los que estaban en la especificación TACACS
original. TACACS + ofrece soporte multiprotocolo, como IP y AppleTalk heredado. La
operación normal TACACS + cifra todo el cuerpo del paquete para comunicaciones más
seguras y utiliza el puerto TCP 49.
Haga clic en Reproducir en la figura para ver un proceso de autenticación TACACS +.

Integración de TACACS + y ACS

Muchos servidores de autenticación de nivel empresarial están en el mercado hoy en día,
pero carecen de la capacidad de combinar los protocolos TACACS + y RADIUS en una
única solución. Afortunadamente, Cisco Secure ACS para Windows Server es una
solución única que ofrece AAA para TACACS + y RADIUS, como se muestra en la
figura.
Cisco Secure ACS versión 5.6 es una sofisticada plataforma de control de acceso basada
en políticas. Algunas de las características de Cisco Secure ACS incluyen:
• Una arquitectura distribuida para implementaciones de mediano y gran escala
• Una interfaz gráfica de usuario ligera basada en web con navegación intuitiva,
accesible desde clientes IPv4 e IPv6
• Autenticación de administrador a través de Microsoft Active Directory y LDAP
(Protocolo ligero de acceso a directorios)
• Informes programados (automatizados) enviados por correo electrónico
• Capacidades avanzadas integradas de monitoreo, generación de informes y
solución de problemas para un excelente control y visibilidad mediante trampas
SNMP para el estado de salud de Cisco Secure ACS
• Syslogs (seguros) encriptados
• Administración flexible y detallada de dispositivos en redes IPv4 e IPv6, con
capacidades completas de auditoría y generación de informes como se requiere
para el cumplimiento de estándares

Integración de AAA con Active Directory

Microsoft Active Directory (AD) es un servicio de directorio para redes de dominio de
Windows y forma parte de la mayoría de los sistemas operativos Windows Server. El
controlador de dominio de AD se utiliza para aplicar directivas de seguridad al
autenticar y autorizar a los usuarios cuando inician sesión en el dominio de
Windows. Microsoft AD también se puede utilizar para gestionar la autenticación y la
autorización en dispositivos Cisco IOS.
Aunque Cisco Secure ACS se puede integrar para utilizar el servicio AD, Microsoft
Windows Server también se puede configurar como un servidor AAA. La
implementación de Microsoft de un servidor AAA utilizando RADIUS se conoce como
Servicio de autenticación de Internet (IAS). Sin embargo, a partir de Windows Server
2008, IAS se ha cambiado de nombre Network Policy Server (NPS).
La configuración de Cisco IOS es la misma que la de comunicarse con cualquier
servidor RADIUS. La única diferencia es que el controlador AD del servidor de
Microsoft se utiliza para realizar los servicios de autenticación y autorización. La
configuración de RADIUS y TACACS + se trata más adelante en este capítulo.

Integración de AAA con Identity Service Engine

Cisco Identity Services Engine (ISE) es una plataforma de políticas de control de acceso
y de identidad que permite a las empresas reforzar el cumplimiento, mejorar la seguridad
de la infraestructura y optimizar sus operaciones de servicio. La arquitectura de Cisco
ISE permite a las empresas reunir información contextual en tiempo real de redes,
usuarios y dispositivos. El administrador puede entonces usar esa información para
tomar decisiones proactivas de gobernabilidad enlazando la identidad a varios elementos
de la red. Estos elementos de red incluyen switches de acceso, controladores LAN
inalámbricos (WLC), VPN, gateways y switches de centro de datos.
BYOD (Bring Your Own Device) se está volviendo más común e incluso necesario en
muchas empresas. Cisco ISE define las políticas de acceso justo y hace cumplir el
cumplimiento de todos los dispositivos finales, incluyendo BYOD.
Cisco ISE es el principal componente de la política de Cisco TrustSec y es una
tecnología de Cisco que protege los activos, tales como datos, aplicaciones y
dispositivos móviles contra el acceso no autorizado. Cisco ISE combina la definición de
políticas, el control y los informes en un solo dispositivo. ISE trabaja con la
infraestructura de red existente para proporcionar a los administradores de red

información sobre los dispositivos finales (conocidos como extremos) que se conectan a
la red.
Hay cuatro características en el conjunto de herramientas ISE:
• Perfil del dispositivo : se puede utilizar para determinar si se trata de un
dispositivo personal o corporativo.
• Evaluación de posturas : determina si el dispositivo está limpio de virus y
aplicaciones sospechosas antes de entrar en la red. La evaluación de postura
también puede asegurarse de que el software antivirus de un dispositivo esté
actualizado.
• Gestión de invitados - Concede e impone el acceso temporal a los usuarios
invitados.
• AAA - Combina la autenticación, autorización, contabilidad, en un solo
dispositivo con perfil de dispositivo, evaluación de postura y capacidad de gestión
de invitados.
Una función principal de ISE es el acceso de red basado en la identidad. ISE
proporciona una gestión de identidades contextual:
• Para determinar si los usuarios acceden a la red en un dispositivo autorizado
compatible con políticas
• Para establecer la identidad del usuario, la ubicación y el historial de acceso, que
pueden utilizarse para el cumplimiento y la generación de informes
• Para asignar servicios basados en la función de usuario asignada, el grupo y la
política asociada (rol del trabajo, ubicación, tipo de dispositivo, etc.)
• Para conceder a los usuarios autenticados acceso a segmentos específicos de la
red, o aplicaciones y servicios específicos, o ambos, basados en los resultados de
autenticación
Haga clic en Reproducir en la Figura 1 para ver un video que discute los fundamentos de
Cisco ISE.
Haga clic aquí para leer la transcripción de este video.


Pasos para configurar la autenticación AAA basada en

servidor
A diferencia de la autenticación AAA local, la AAA basada en servidor debe identificar
varios servidores TACACS + y RADIUS que el servicio AAA debe consultar al
autenticar y autorizar a los usuarios.
Hay cuatro pasos básicos para configurar la autenticación basada en servidor, como se
muestra en la figura:
Paso 1 . Permitir a nivel mundial que AAA permita el uso de todos los elementos
AAA. Este paso es un requisito previo para todos los demás comandos AAA.
Paso 2 . Especifique el Cisco Secure ACS que proporcionará servicios AAA para el
router. Esto puede ser un servidor TACACS + o RADIUS.
Paso 3 . Configure la clave de cifrado necesaria para cifrar la transferencia de datos
entre el servidor de acceso a la red y Cisco Secure ACS.
Paso 4 . Configure la lista de métodos de autenticación AAA para referirse al servidor
TACACS + o RADIUS. Para redundancia, es posible configurar más de un servidor.

1. Habilitar AAA.
2. Especifique la dirección IP del servidor ACS.
3. Configure la clave secreta.
4. Configure la autenticación para utilizar el servidor RADIUS o
TACACS +.
Configuración de servidores TACACS +

Los protocolos TACACS + y RADIUS se utilizan para comunicarse entre los clientes y
los servidores de seguridad AAA. La Figura 1 muestra la topología de referencia AAA
para este tema.
Para configurar un servidor TACACS +, habilite globalmente AAA utilizando
el comando aaa new-model . A continuación, utilice el comando tacacs
server name . En el modo de configuración del servidor TACACS +, configure la
dirección IPv4 del servidor TACACS + mediante el comando address
ipv4 . El comando address ipv4 permite modificar el puerto de autenticación y el puerto
de contabilidad.
A continuación, utilice el comando de single connection para mejorar el rendimiento
TCP manteniendo una única conexión TCP durante la vida de la sesión. De lo contrario,
de forma predeterminada, se abre y cierra una conexión TCP para cada sesión. Si es
necesario, se pueden identificar varios servidores TACACS + introduciendo sus
respectivas direcciones IPv4 mediante el comando tacacs server name .
El comando key key se utiliza para configurar la clave secreta compartida para cifrar la
transferencia de datos entre el servidor TACACS + y el router habilitado para AAA. Esta
clave debe configurarse exactamente de la misma manera en el router y en el servidor
TACACS +.
La Figura 2 muestra una muestra de configuración de servidor TACACS +.


Configuración de servidores RADIUS

Para configurar un servidor RADIUS, utilice el comando radius server name . Esto lo
pone en modo de configuración de servidor de radio.
Dado que RADIUS utiliza UDP, no existe una palabra clave equivalente de conexión
única . Si es necesario, se pueden identificar varios servidores RADIUS introduciendo
un comando de nombre de radius server para cada servidor.
En el modo de configuración del servidor de radio, configure la dirección IPv4 del
servidor de radio utilizando la dirección ipv4 ipv4-address .
De forma predeterminada, los routeres Cisco utilizan el puerto 1645 para la
autenticación y el puerto 1646 para la contabilidad. Sin embargo, IANA ha reservado los
puertos 1812 para el puerto de autenticación RADIUS y 1813 para el puerto de
contabilidad RADIUS. Es importante asegurarse de que estos puertos coincidan entre el
router Cisco y el servidor RADIUS.
Para configurar la clave secreta compartida para cifrar la contraseña, utilice
el comando key. Esta clave debe configurarse exactamente de la misma manera en el
router y en el servidor RADIUS.
La figura muestra un ejemplo de configuración de servidor RADIUS.

Configurar la autenticación para utilizar el servidor

AAA
Cuando se han identificado los servidores de seguridad AAA, los servidores deben estar
incluidos en la lista de métodos del comando de aaa authentication login . Los
servidores AAA se identifican mediante las palabras clave group tacacs+ or group
radius . Consulte la Figura 1 para ver las opciones de sintaxis de comandos disponibles
con el comando de aaa authentication login .
Para configurar una lista de métodos para el inicio de sesión predeterminado para
autenticar primero usando un servidor TACACS +, el segundo con un servidor RADIUS
y, finalmente, con una base de datos de nombre de usuario local, especifique el orden
con el comando aaa authentication login default , es importante darse cuenta de que
R1 sólo intentará autenticar usando RADIUS si el servidor TACACS + no es
accesible. Del mismo modo, R1 sólo intentaría autenticar utilizando la base de datos
local si los servidores TACACS + y RADIUS no están disponibles.
Utilice el Comprobador de sintaxis de la Figura 3 para configurar la autenticación AAA
basada en servidor en R1. Se ha configurado la base de datos de nombre de usuario local
y se han implementado los servidores TACACS + y RADIUS en la red.


Monitoréo del tráfico de autenticación

Cuando se activa AAA, a menudo es necesario supervisar el tráfico de autenticación y
solucionar problemas de las configuraciones.
El comando de debug aaa authentication es un útil comando de resolución de
problemas AAA porque proporciona una vista de alto nivel de la actividad de inicio de
sesión, como se muestra en la figura.
El comando indica un mensaje de estado de PASS cuando se logra un intento de inicio
de sesión de TACACS +. Si el mensaje de estado devuelto es FAIL, verifique la clave
secreta y solucione los problemas según sea necesario.

Depuración de TACACS + y RADIUS

Otros dos comandos de solución de problemas AAA basados en servidor muy útiles
incluyen los comandos debug radius y debug tacacs , como se muestra en las figuras
1 y 2, respectivamente. Estos comandos se pueden utilizar para proporcionar
información de depuración AAA más detallada. Para desactivar la salida de depuración,
utilice la forma no de estos comandos.
De forma similar al comando de debug aaa authentication , los tacacs de depuración
también indican mensajes de estado de PASS o FAIL, como se muestra en las figuras 3 y
4, respectivamente.
Para ver todos los mensajes TACACS +, utilice el comando debug tacacs . Para
restringir los resultados y mostrar información del proceso auxiliar TACACS +, utilice
el comando depurar tacacs events en modo EXEC privilegiado. El comando debug
tacacs events muestra la apertura y el cierre de una conexión TCP a un servidor
TACACS +, los bytes leídos y escritos sobre la conexión y el estado TCP de la
conexión. Utilice el comando depurar tacacs events con precaución, ya que puede
generar una cantidad sustancial de salida. Para desactivar la salida de depuración, utilice
la forma no de estos comandos.



Demostración de vídeo - Configurar un router Cisco

para acceder a un servidor RADIUS AAA
Este video muestra cómo configurar un router Cisco para acceder a un servidor
RADIUS AAA completando lo siguiente:
Paso 1 . Crear usuarios en el servidor RADIUS
Paso 2 . Establecer una clave secreta en el servidor RADIUS
Paso 3 . Verifique el puerto 1812 para el puerto de autenticación RADIUS y 1813 para
el puerto de contabilidad RADIUS
Paso 4 . Configurar SSH en el router para acceso remoto
Paso 5 . Configurar un usuario local en el router en caso de fallo del servidor RADIUS
Paso 6 . Habilitar la autenticación AAA en el router

Paso 7 . Establecer listas de métodos de inicio de sesión de autenticación AAA

Paso 8 . Active el router para utilizar el servidor RADIUS para la autenticación
configurando lo siguiente en el router:
a . Nombre del servidor RADIUS
b . Dirección IP del servidor RADIUS, puerto de autenticación 1812 y puerto de
contabilidad 1813
c . clave secreta compartida
Paso 9 . Configure la línea de consola y especifique la lista de métodos de autenticación
de inicio de sesión AAA para usar
Paso 10 . Configure las líneas VTY para SSH y especifique la lista de métodos de
autenticación de inicio AAA para usar
Paso 11 . Probar y verificar
Haga clic aquí para leer la transcripción de este video.

Introducción a la autorización AAA basada en servidor

Si bien la autenticación debe garantizar que el dispositivo o el usuario final es legítimo,
la autorización se refiere a permitir y no permitir que los usuarios autenticados accedan a
determinadas áreas y programas de la red.
El protocolo TACACS + permite separar la autenticación de la autorización. Un router
puede configurarse para restringir al usuario a realizar sólo ciertas funciones después de
la autenticación correcta. Tenga en cuenta que RADIUS no separa la autenticación del
proceso de autorización.
Otro aspecto importante de la autorización es la capacidad de controlar el acceso de los
usuarios a servicios específicos. El control del acceso a los comandos de configuración
simplifica en gran medida la seguridad de la infraestructura en las redes de grandes
empresas. Los permisos por usuario de Cisco Secure ACS simplifican la configuración
del dispositivo de red.
En la animación, el JR-ADMIN ha establecido satisfactoriamente una sesión SSH con el
router y autenticado en el servidor TACACS + AAA ACS.
Haga clic en Reproducir en la figura para ver la separación entre autenticación y
autorización.

En la animación, el JR-ADMIN puede acceder al comando show version , pero no

al comando configure terminal . El router consulta al ACS para obtener permiso para
ejecutar los comandos en nombre del usuario. Cuando el usuario emite el comando show
version , el ACS envía una respuesta ACCEPT. Si el usuario emite
un comando configure terminal , el ACS envía una respuesta REJECT.
De forma predeterminada, TACACS + establece una nueva sesión TCP para cada
solicitud de autorización, lo que puede provocar retrasos cuando los usuarios introducen
comandos. Para mejorar el rendimiento, Cisco Secure ACS admite sesiones TCP
persistentes configuradas con el comando del modo de configuración del servidor tacacs
de conexión única.


Configuración de autorización AAA

Para configurar la autorización de comando, utilice el comando de autorización aaa ,
como se muestra en las figuras 1 y 2. El tipo de servicio puede especificar los tipos de
comandos o servicios:
• network - Para servicios de red como PPP
• exec - Para iniciar un exec (shell); ver Figura 2
• nivel de comandos - Para comandos exec (shell)
Cuando la autorización AAA no está habilitada, todos los usuarios tienen acceso
completo. Una vez iniciada la autenticación, el valor predeterminado cambia para no
permitir acceso. Esto significa que el administrador debe crear un usuario con derechos
de acceso completos antes de que se habilite la autorización, como se muestra en la
Figura 3. Si no lo hace, bloqueará inmediatamente al administrador del sistema en
cuanto se ingrese el mandato de autorización aaa. La única manera de recuperarse de
esto es reiniciar el router. Si se trata de un router de producción, el reinicio puede ser
inaceptable. Asegúrese de que al menos un usuario siempre tenga derechos completos.



Configuración de contabilidad AAA

Para configurar la contabilidad AAA, utilice el comando aaa accounting , como se
muestra en la Figura 1.
Los siguientes tres parámetros son comúnmente utilizados aaa palabras clave de
la cuenta :
• network - Ejecuta la contabilidad de todas las solicitudes de servicio relacionadas
con la red, incluyendo PPP.
• exec - Ejecuta la contabilidad de la sesión shell de EXEC.
• connection - Ejecuta la contabilidad en todas las conexiones salientes como SSH
y Telnet.
Al igual que con la autenticación AAA, se puede utilizar la palabra clave default6 o
un nombre de lista .
A continuación, se configura el tipo de registro o disparador. El disparador especifica
qué acciones hacen que los registros contables se actualicen. Los posibles
desencadenantes incluyen:
• start-stop - Envía un aviso de contabilización de "inicio" al inicio de un proceso y
un aviso de contabilidad "stop" al final de un proceso.
• stop-only - Envía un registro contable "stop" para todos los casos, incluyendo
fallos de autenticación.
• none - Desactiva los servicios de contabilidad en una línea o interfaz.
La Figura 2 muestra las listas de métodos contables disponibles.
La Figura 3 proporciona un ejemplo de contabilidad para registrar el uso de comandos
EXEC y conexiones de red
Utilice el Comprobador de sintaxis en la Figura 4 para configurar la autorización AAA
basada en servidor y la contabilidad en R1. Se ha configurado una base de datos de
nombre de usuario local, se ha habilitado AAA, se ha configurado la autenticación AAA
y se han implementado servidores TACACS + y RADIUS en la red.

De seguridad mediante autenticación basada en puertos

802.1X
El estándar IEEE 802.1X define un protocolo de autenticación y control de acceso
basado en puertos que restringe las estaciones de trabajo no autorizadas de conectarse a
una LAN a través de puertos de switch públicamente accesibles. El servidor de
autenticación autentica cada estación de trabajo que está conectada a un puerto de switch
antes de poner a disposición los servicios ofrecidos por el switch o la LAN.
La Figura 1 muestra que con la autenticación basada en puertos 802.1X, los dispositivos
de la red tienen funciones específicas:
• Supplicant (Cliente) : el dispositivo (estación de trabajo) que solicita acceso a la
LAN y cambia los servicios y, a continuación, responde a las solicitudes del
switch. La estación de trabajo debe ejecutar software cliente compatible con
802.1X. (El puerto al que está conectado el cliente es el cliente [cliente] en la
especificación IEEE 802.1X.)
• Authenticator (Switch) - Controla el acceso físico a la red basado en el estado de
autenticación del cliente. El switch actúa como un intermediario (proxy) entre el
cliente (suplicante) y el servidor de autenticación, solicitando información de
identificación del cliente, verificando esa información con el servidor de
autenticación y retransmitiendo una respuesta al cliente. El switch utiliza un
agente de software RADIUS, el cual es responsable de encapsular y desencapsular
los marcos EAP (Extensible Authentication Protocol) e interactuar con el servidor
de autenticación.
• Servidor de autenticación : realiza la autenticación real del cliente. El servidor
de autenticación valida la identidad del cliente y notifica al switch si el cliente está
autorizado a acceder a la LAN y cambiar los servicios. Dado que el switch actúa
como proxy, el servicio de autenticación es transparente para el cliente. El sistema
de seguridad RADIUS con extensiones EAP es el único servidor de autenticación
soportado.
Hasta que la estación de trabajo esté autenticada, el control de acceso 802.1X sólo
habilita el tráfico de protocolo de autenticación extensible sobre LAN (EAPOL) a través
del puerto al que está conectada la estación de trabajo. Después de que la autenticación
tiene éxito, el tráfico normal puede pasar a través del puerto.
El estado del puerto de conmutación determina si el cliente tiene acceso a la red. Cuando
se configura para la autenticación basada en puertos 802.1X, el puerto se inicia en el

estado no autorizado. Mientras que en este estado, el puerto prohíbe todo el tráfico de
entrada y salida, excepto los paquetes de protocolo 802.1X. Cuando un cliente se
autentica correctamente, el puerto transita al estado autorizado, permitiendo que todo el
tráfico del cliente fluya normalmente. Si el switch solicita la identidad del cliente
(iniciación del autenticador) y el cliente no admite 802.1X, el puerto permanece en
estado no autorizado y el cliente no tiene acceso a la red.
Por el contrario, cuando un cliente habilitado para 802.1X se conecta a un puerto y el
cliente inicia el proceso de autenticación (iniciación de suplicante) enviando el marco
EAPOL-start a un switch que no está ejecutando el protocolo 802.1X, no se recibe
ninguna respuesta y el cliente comienza a enviar marcos como si el puerto estuviera en
el estado autorizado.
La Figura 2 muestra el intercambio completo de mensajes entre el suplicante, el
autenticador y el servidor de autenticación. La encapsulación se produce de la siguiente
manera:
• Entre el suplicante y el autenticador - los datos EAP están encapsulados en
marcos EAPOL.
• Entre el autenticador y el servidor de autenticación - los datos EAP se
encapsulan utilizando RADIUS.


802.1X Estado de autorización del puerto

Si el cliente se autentica correctamente (recibe un marco "aceptar" del servidor de
autenticación), el estado del puerto cambia a autorizado y todos los marcos del cliente
autenticado se habilitan a través del puerto.
Si la autenticación falla, el puerto permanece en el estado no autorizado, pero la
autenticación se puede volver a intentar. Si el servidor de autenticación no puede ser
alcanzado, el switch puede retransmitir la solicitud. Si no se recibe ninguna respuesta del
servidor después del número especificado de intentos, la autenticación falla y el acceso a
la red no se concede.
Cuando un cliente se desconecta, envía un mensaje EAPOL-logout, haciendo que el
puerto del switch pase al estado no autorizado.

Utilice el comando authentication port-controlpara controlar el estado de autorización

del puerto. La sintaxis del comando y una descripción de los parámetros se muestran en
la figura. De forma predeterminada, un puerto está en el estado autorizado por la fuerza,
lo que significa que puede enviar y recibir tráfico sin la autenticación 802.1x.
Se debe introducir la palabra clave automatic para habilitar la autenticación 802.1X. Si
el cliente se autentica correctamente (recibe una trama de aceptación del servidor de
autenticación), el estado del puerto cambia a autorizado y todos los marcos del cliente
autenticado se permiten a través del puerto. Si la autenticación falla, el puerto
permanece en el estado no autorizado, pero la autenticación se puede volver a
intentar. Si el servidor de autenticación no puede ser alcanzado, el switch puede reenviar
la solicitud. Si no se recibe ninguna respuesta del servidor después del número
especificado de intentos, la autenticación falla y el acceso a la red no se concede.
Cuando un cliente cierra la sesión, envía un mensaje de cierre de sesión EAPOL,
haciendo que el puerto del switch cambie al estado no autorizado.
Si el estado de enlace de un puerto cambia de arriba a abajo o si se recibe una trama de
cierre de sesión EAPOL, el puerto vuelve al estado no autorizado.

Autenticación, autorización y contabilidad

El protocolo de autenticación, autorización y contabilidad (AAA) proporciona un marco
escalable para permitir el acceso administrativo. AAA controla quién está autorizado a
conectarse a la red, qué se les permite hacer y registra los registros de lo que se hizo.
En redes pequeñas o simples, la autenticación AAA puede implementarse utilizando la
base de datos local. Sin embargo, en las redes más grandes o complejas, la autenticación
AAA debe implementarse utilizando AAA basada en servidor. Los servidores AAA
pueden utilizar los protocolos RADIUS o TACACS + para comunicarse con los routeres
clientes. Cisco Access Control System (ACS) se puede utilizar para proporcionar
servicios de servidor AAA o para una mayor funcionalidad de Cisco Identity Services
Engine (ISE). 802.1X también se puede utilizar para la autenticación basada en puertos.

Capítulo 4: Implementación de tecnologías de

cortafuegos
A medida que las redes continuaron creciendo con el tiempo, se utilizaron cada vez más
para transferir y almacenar datos confidenciales. Esto intensificó la necesidad de
tecnologías de seguridad más fuertes, lo que llevó a la invención del cortafuegos. El
firewall del término se refería originalmente a una pared ignífuga, hecha generalmente
de la piedra o del metal que evitó las llamas de separar entre estructuras conectadas. En
el mundo de las redes, los firewalls separan las áreas protegidas de las áreas no
protegidas. Esto evita que usuarios no autorizados accedan a recursos de red protegidos.
Inicialmente, las listas de control de acceso (ACL) básicas, incluyendo estándar,
extendido, numerado y nombrado, eran el único medio de proporcionar protección de
firewall. Otras tecnologías de cortafuegos empezaron a madurar a finales de los años
noventa. Los cortafuegos con estado utilizan tablas para rastrear el estado en tiempo real
de las sesiones de extremo a extremo. Los firewalls de estado consideran la naturaleza
orientada a sesión del tráfico de red. Los primeros firewalls con estado usaron la opción
"TCP establecida" para las ACL.
Hoy en día existen muchos tipos de cortafuegos en existencia, como el filtrado de
paquetes, el estado, el gateway de aplicaciones, el proxy, la traducción de direcciones,
los firewalls basados en host, los transparentes y los híbridos. El diseño moderno de la
red debe incluir cuidadosamente la colocación adecuada de uno o más firewalls para
proteger los recursos que deben ser protegidos mientras se permite el acceso seguro a los
recursos que deben permanecer disponibles.

CCNA Security 2.0 Cap 3

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CCNA Security 2.0 Cap 3

Uploaded by

Copyright:

Available Formats

CCNA Security 2.

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Capítulo 3: Autenticación, Autorización y Auditoría

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

estaciones de trabajo no autorizadas de conectarse a una LAN a través de puertos de

Autenticación sin AAA

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

• Autorización - Una vez que el usuario ha sido autenticado, los servicios de

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

AAA. Cuando hay varios routeres y switches, el AAA basado en el servidor es

1. El cliente establece una conexión con el router.

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

1. El cliente establece una conexión con el router.

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

La autorización es automática y no requiere que los usuarios realicen pasos adicionales

1. Cuando un usuario ha sido autenticado, se establece una sesión entre el router y el

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Un uso ampliamente desplegado de la contabilidad es combinarlo con la autenticación

1. Cuando un usuario ha sido autenticado, el proceso de contabilidad

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

La contabilidad de red captura la información para todas las

La contabilidad de conexión captura información sobre

La contabilidad EXEC captura la información sobre las

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

La contabilidad del sistema captura información sobre todos

La contabilidad de comandos captura información sobre los

La implementación de Cisco de contabilidad AAA captura

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Autenticación de acceso administrativo

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

autenticación a todas las líneas. Como alternativa, se puede configurar un método de

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Métodos predeterminados y nombrados

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Ajuste de la configuración de autenticación

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Depuración de la autenticación AAA

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Comparación de AAA locales y las

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

1. El usuario establece una conexión con el router.

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Introducción a Cisco Secure Access Control System

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Presentación de TACACS + y RADIUS

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

TACACS + proporciona servicios AAA separados. La separación de los servicios AAA

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Integración de TACACS + y ACS

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Integración de AAA con Active Directory

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

Integración de AAA con Identity Service Engine

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL

CISCO Neteorking Academy..............................Escuela de Telecomunicaciones del Ejército CETEL