Authentication, Authorization, and Accounting.
Content
INSTITUTO TECNOLÓGICO DE QUERÉTARO
Authentication,
Authorization, and
Accounting.
Giovana Avalos Hernández
11/11/2013
Contenido
Authentication, Authorization, y Accounting. .................................................................................... 1
Funciones y beneficios de AAA. ...................................................................................................... 1
Métodos para implementar AAA. ................................................................................................... 1
Métodos de autenticación. ............................................................................................................. 2
Los protocolos TACACS+ y RADIUS.................................................................................................. 2
Niveles de seguridad de los métodos de autenticación.................................................................. 3
Protocolos de autenticación PPP. ................................................................................................... 3
Configurar AAA en un router. ......................................................................................................... 4
Solucionar problemas AAA en un router..................................................................................... 6
Referencias .......................................................................................................................................... 6
Authentication, Authorization, y Accounting.
Funciones y beneficios de AAA.
Autenticación: Proporciona el método de identificación de usuarios, incluyendo nombre
de usuario y contraseña, desafío y respuesta, soporte de mensajería, y, según el protocolo
de seguridad que seleccione, puede ofrecer cifrado.
Autorización: Provee el método de control de acceso remoto, incluyendo autorización
total o para cada servicio, liste de cuentas y perfil por usuario, soporte para grupos de
usuarios, y soporte para IP, IPX, ARA y Telnet.
Contabilización: Posee un método de recolección y envió de información al servidor de
seguridad, el cual es usado para facturar, auditar y reportar: nombres de usuario, tiempo
de inicio y final, comandos ejecutados (como PPP), cantidad de paquetes enviados, y
número de bytes.
AAA provee los siguientes beneficios:
Incremento de flexibilidad y control de configuración de acceso.
Métodos de autorización estandarizados, como RADIUS, TACACS+ o Kerberos.
Múltiples sistemas de backup.
Métodos para implementar AAA.
Los usuarios pueden acceder a la LAN de la empresa a través de marcación (NAS) o través de una
VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a través del
puerto consola, el puerto auxiliar o las vty.
Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD
remotas. Con BBDD remotas podemos centralizar la gestión de AAA de varios dispositivos de red.
Los tres métodos de implementar AAA son:
Localmente: en un router o un NAS.
En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft
Windows Server permitiendo la comunicación con routers y NAS.
En un ACS de Cisco por hardware: servidor hardware dedicado que permite la
comunicación con routers y NAS.
Métodos de autenticación.
Existen dos métodos para autenticar usuarios remotos: autenticación local o remota.
Autenticación local.
Consiste en autenticar directamente en el router o el NAS los nombres de usuario y sus
contraseñas. Está recomendado para pequeñas redes y no requiere BBDD externas.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS)
solicita el nombre de usuario y la contraseña, el usuario responde, el router comprueba los datos,
acepta o deniega el acceso y comunica el veredicto al usuario.
Autenticación remota
El problema de la autenticación local es la escalabilidad. Uno o varios ACS (por software o
hardware) pueden gestionar toda la autenticación de todos los dispositivos de red. La
comunicación entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o
RADIUS.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS)
solicita el nombre de usuario y la contraseña, el usuario responde, el router reenvía los datos al
ACS, el ACS comprueba los datos y acepta o deniega el acceso, finalmente el ACS comunica el
veredicto al router y este al usuario.
Los protocolos TACACS+ y RADIUS.
El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es más seguro pero RADIUS
tiene mejor Accounting y una mejor interfaz de programación.
El ACS permite gestionar los siguientes accesos:
Marcación contra un router o un NAS.
Puertos consola, puertos auxiliares y vtys de dispositivos de red.
ASAs (Adaptative Security Appliance).
Concentradores VPN serie 300 (sólo RADIUS).
Algunas tarjetas de testigo (token cards) y servidores
Niveles de seguridad de los métodos de autenticación.
Sin usuario y contraseña: un atacante sólo debería encontrar el dispositivo y tratar de acceder al
mismo. Una manera de asegurarlo sería que el servicio escuchará un puerto diferente.
Con usuario y contraseña y sin caducidad: el administrador decide cuando cambiar la contraseña.
Este método es vulnerable a ataques de repetición, fuerza bruta, robo y inspección de los
paquetes.
Con usuario y contraseña y con caducidad: cada x tiempo el administrador es forzado a cambiar su
contraseña. Este método tiene las mismas vulnerabilidades pero el tiempo para comprometer el
equipo por fuerza bruta es menor.
OTPs: es más seguro que los anteriores ya que la contraseña enviada solo tiene validez una vez, es
decir, en el momento de ser interceptada por el atacante la contraseña caduca. S/Key es una
implementación de OTP que genera un listado de contraseñas a partir de una palabra secreta.
Tarjetas de testigo por software y por hardware: está basado en la autenticación de doble factor;
algo que el usuario tiene (token card) y algo que el usuario sabe (token card PIN). Existen dos
tipos: basados en tiempo; F(clave_criptográfica,PIN) = OTP o basados en desafíos;
F(desafío,clave_criptográfica) = OTP.
Protocolos de autenticación PPP.
PPP soporta autenticación PAP, CHAP y MS-CHAP.
PAP utiliza un intercambio de dos vías; el autenticador solicita las credenciales y el usuario las
envía en texto claro. El intercambio se produce después de establecer el enlace PPP.
CHAP utiliza un intercambio de tres vías; después de establecer el enlace, el autenticador envía un
desafío al dispositivo del usuario, este responde con un hash; F(desafío,palabra_secreta) = hash, el
autenticador comprueba que el hash recibido coincida con su hash calculado. Este intercambio de
tres vías se repite periodicamente (controlado por el autenticador) durante la comunicación y
evita ataques de repetición.
MS-CHAP es la versión CHAP de Microsoft.
Configurar AAA en un router.
Primero, habilitamos el modelo AAA, añadimos un usuario local y definimos que la autenticación
de acceso remoto sea local.
Router(config)#aaa new-model
Router(config)#username tracker secret ccsp
Router(config)#aaa authentication login default local
Ahora no tenemos problemas para acceder de nuevo al router o NAS en el caso de perder la
comunicación (SSH).
Después, definimos los métodos de autenticación para login (acceso al router), ppp y enable
(acceso al nivel privilegiado) y los aplicamos a nivel de línea o interfaz:
Router(config)#aaa authentication login default enable
Router(config)#enable secret cisco
Router(config)#aaa authentication login consola local
Router(config)#line console 0
Router(config-line)#login authentication consola
Router(config)#aaa authentication login vty line
Router(config)#line vty 0 4
Router(config-line)#password 123telnet
Router(config-line)#login authentication vty
Router(config-line)#end
Router#exit
Router con0 is now available
Press RETURN to get started.
User Access Verification
Username: tracker
Password: ccsp
Router>
R1#Router
Trying Router (192.168.0.1)... Open
User Access Verification
Password: 123telnet
Router>enable
Password: cisco
Router#
En los comandos de arriba, hemos definido que para acceder al router se tiene que utilizar por
defecto (default) la contraseña 'enable secret', que para acceder por consola se tiene que utilizar
un nombre de usuario y contraseña locales (tracker:ccsp) y para acceder por telnet necesitamos la
contraseña en línea 123telnet. Las listas de autenticación particulas (consola y vty) cuando se
aplican a líneas (vty, console, aux) o interfaces tiene preferencia sobre la autenticación por defecto
(default).
Ahora definimos una lista de autenticación PPP por defecto (default) y una particular (marcacion)
que aplicamos:
Router(config)#aaa authentication ppp default local
Router(config)#aaa authentication ppp marcacion group tacacs+ local-case
Router(config)#interface serial 0/0
Router(config-if)#ppp authentication chap marcacion
Arriba hemos definido que la autenticación PPP por defecto sea local y que la autenticación PPP
particular (marcación) sea con TACACS+ y si falla sea local teniendo en cuenta
mayúsculas/minúsculas.
Finalmente definiremos que la autenticación enable por defecto mire primero el grupo RADIUS y
luego la contraseña 'enable secret':
Router(config)#aaa authentication enable default group radius enable
Ahora veremos unos ejemplos de autorización y registro (accounting):
Router(config)#aaa authorization commands 15 default local
Router(config)#aaa authorization network netop local
Router(config)#aaa accounting commands 15 default stop-only group tacacs+
El primero comando autoriza localmente la ejecución de los comandos de nivel 15 utilizando la
lista por defecto (default). El segundo autoriza localmente algunos servicios de red utilizando una
lista particular (netop). El tercero registra remotamente los comandos de nivel 15 utilizando
TACACS+ para la lista por defecto.
Solucionar problemas AAA en un router.
Router#debug aaa authentication
Router#debug aaa authorization
Router#debug aaa accounting
Referencias
Guiza, J. A. (30 de Noviembre de 2010). http://www.wikispaces.com/. Recuperado el 08 de
Noviembre
de
2013,
de
http://proyecto-teleco2010.wikispaces.com/file/view/Marco+teorico+AAA.pdf
mashpedia. (2011 de Noviembre de 28). www.mashpedia.com. Recuperado el 08 de Noviembre de
2013, de http://www.mashpedia.com/
Rosales. (18 de Enero de 2009). Recuperado el 08 de Noviemebre de 2013, de
networkeando.blogspot.mx:
http://networkeando.blogspot.mx/2009/01/configurandoaaa-en-un-router.html
Authentication,
Authorization, and
Accounting.
Giovana Avalos Hernández
11/11/2013
Contenido
Authentication, Authorization, y Accounting. .................................................................................... 1
Funciones y beneficios de AAA. ...................................................................................................... 1
Métodos para implementar AAA. ................................................................................................... 1
Métodos de autenticación. ............................................................................................................. 2
Los protocolos TACACS+ y RADIUS.................................................................................................. 2
Niveles de seguridad de los métodos de autenticación.................................................................. 3
Protocolos de autenticación PPP. ................................................................................................... 3
Configurar AAA en un router. ......................................................................................................... 4
Solucionar problemas AAA en un router..................................................................................... 6
Referencias .......................................................................................................................................... 6
Authentication, Authorization, y Accounting.
Funciones y beneficios de AAA.
Autenticación: Proporciona el método de identificación de usuarios, incluyendo nombre
de usuario y contraseña, desafío y respuesta, soporte de mensajería, y, según el protocolo
de seguridad que seleccione, puede ofrecer cifrado.
Autorización: Provee el método de control de acceso remoto, incluyendo autorización
total o para cada servicio, liste de cuentas y perfil por usuario, soporte para grupos de
usuarios, y soporte para IP, IPX, ARA y Telnet.
Contabilización: Posee un método de recolección y envió de información al servidor de
seguridad, el cual es usado para facturar, auditar y reportar: nombres de usuario, tiempo
de inicio y final, comandos ejecutados (como PPP), cantidad de paquetes enviados, y
número de bytes.
AAA provee los siguientes beneficios:
Incremento de flexibilidad y control de configuración de acceso.
Métodos de autorización estandarizados, como RADIUS, TACACS+ o Kerberos.
Múltiples sistemas de backup.
Métodos para implementar AAA.
Los usuarios pueden acceder a la LAN de la empresa a través de marcación (NAS) o través de una
VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a través del
puerto consola, el puerto auxiliar o las vty.
Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD
remotas. Con BBDD remotas podemos centralizar la gestión de AAA de varios dispositivos de red.
Los tres métodos de implementar AAA son:
Localmente: en un router o un NAS.
En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft
Windows Server permitiendo la comunicación con routers y NAS.
En un ACS de Cisco por hardware: servidor hardware dedicado que permite la
comunicación con routers y NAS.
Métodos de autenticación.
Existen dos métodos para autenticar usuarios remotos: autenticación local o remota.
Autenticación local.
Consiste en autenticar directamente en el router o el NAS los nombres de usuario y sus
contraseñas. Está recomendado para pequeñas redes y no requiere BBDD externas.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS)
solicita el nombre de usuario y la contraseña, el usuario responde, el router comprueba los datos,
acepta o deniega el acceso y comunica el veredicto al usuario.
Autenticación remota
El problema de la autenticación local es la escalabilidad. Uno o varios ACS (por software o
hardware) pueden gestionar toda la autenticación de todos los dispositivos de red. La
comunicación entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o
RADIUS.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS)
solicita el nombre de usuario y la contraseña, el usuario responde, el router reenvía los datos al
ACS, el ACS comprueba los datos y acepta o deniega el acceso, finalmente el ACS comunica el
veredicto al router y este al usuario.
Los protocolos TACACS+ y RADIUS.
El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es más seguro pero RADIUS
tiene mejor Accounting y una mejor interfaz de programación.
El ACS permite gestionar los siguientes accesos:
Marcación contra un router o un NAS.
Puertos consola, puertos auxiliares y vtys de dispositivos de red.
ASAs (Adaptative Security Appliance).
Concentradores VPN serie 300 (sólo RADIUS).
Algunas tarjetas de testigo (token cards) y servidores
Niveles de seguridad de los métodos de autenticación.
Sin usuario y contraseña: un atacante sólo debería encontrar el dispositivo y tratar de acceder al
mismo. Una manera de asegurarlo sería que el servicio escuchará un puerto diferente.
Con usuario y contraseña y sin caducidad: el administrador decide cuando cambiar la contraseña.
Este método es vulnerable a ataques de repetición, fuerza bruta, robo y inspección de los
paquetes.
Con usuario y contraseña y con caducidad: cada x tiempo el administrador es forzado a cambiar su
contraseña. Este método tiene las mismas vulnerabilidades pero el tiempo para comprometer el
equipo por fuerza bruta es menor.
OTPs: es más seguro que los anteriores ya que la contraseña enviada solo tiene validez una vez, es
decir, en el momento de ser interceptada por el atacante la contraseña caduca. S/Key es una
implementación de OTP que genera un listado de contraseñas a partir de una palabra secreta.
Tarjetas de testigo por software y por hardware: está basado en la autenticación de doble factor;
algo que el usuario tiene (token card) y algo que el usuario sabe (token card PIN). Existen dos
tipos: basados en tiempo; F(clave_criptográfica,PIN) = OTP o basados en desafíos;
F(desafío,clave_criptográfica) = OTP.
Protocolos de autenticación PPP.
PPP soporta autenticación PAP, CHAP y MS-CHAP.
PAP utiliza un intercambio de dos vías; el autenticador solicita las credenciales y el usuario las
envía en texto claro. El intercambio se produce después de establecer el enlace PPP.
CHAP utiliza un intercambio de tres vías; después de establecer el enlace, el autenticador envía un
desafío al dispositivo del usuario, este responde con un hash; F(desafío,palabra_secreta) = hash, el
autenticador comprueba que el hash recibido coincida con su hash calculado. Este intercambio de
tres vías se repite periodicamente (controlado por el autenticador) durante la comunicación y
evita ataques de repetición.
MS-CHAP es la versión CHAP de Microsoft.
Configurar AAA en un router.
Primero, habilitamos el modelo AAA, añadimos un usuario local y definimos que la autenticación
de acceso remoto sea local.
Router(config)#aaa new-model
Router(config)#username tracker secret ccsp
Router(config)#aaa authentication login default local
Ahora no tenemos problemas para acceder de nuevo al router o NAS en el caso de perder la
comunicación (SSH).
Después, definimos los métodos de autenticación para login (acceso al router), ppp y enable
(acceso al nivel privilegiado) y los aplicamos a nivel de línea o interfaz:
Router(config)#aaa authentication login default enable
Router(config)#enable secret cisco
Router(config)#aaa authentication login consola local
Router(config)#line console 0
Router(config-line)#login authentication consola
Router(config)#aaa authentication login vty line
Router(config)#line vty 0 4
Router(config-line)#password 123telnet
Router(config-line)#login authentication vty
Router(config-line)#end
Router#exit
Router con0 is now available
Press RETURN to get started.
User Access Verification
Username: tracker
Password: ccsp
Router>
R1#Router
Trying Router (192.168.0.1)... Open
User Access Verification
Password: 123telnet
Router>enable
Password: cisco
Router#
En los comandos de arriba, hemos definido que para acceder al router se tiene que utilizar por
defecto (default) la contraseña 'enable secret', que para acceder por consola se tiene que utilizar
un nombre de usuario y contraseña locales (tracker:ccsp) y para acceder por telnet necesitamos la
contraseña en línea 123telnet. Las listas de autenticación particulas (consola y vty) cuando se
aplican a líneas (vty, console, aux) o interfaces tiene preferencia sobre la autenticación por defecto
(default).
Ahora definimos una lista de autenticación PPP por defecto (default) y una particular (marcacion)
que aplicamos:
Router(config)#aaa authentication ppp default local
Router(config)#aaa authentication ppp marcacion group tacacs+ local-case
Router(config)#interface serial 0/0
Router(config-if)#ppp authentication chap marcacion
Arriba hemos definido que la autenticación PPP por defecto sea local y que la autenticación PPP
particular (marcación) sea con TACACS+ y si falla sea local teniendo en cuenta
mayúsculas/minúsculas.
Finalmente definiremos que la autenticación enable por defecto mire primero el grupo RADIUS y
luego la contraseña 'enable secret':
Router(config)#aaa authentication enable default group radius enable
Ahora veremos unos ejemplos de autorización y registro (accounting):
Router(config)#aaa authorization commands 15 default local
Router(config)#aaa authorization network netop local
Router(config)#aaa accounting commands 15 default stop-only group tacacs+
El primero comando autoriza localmente la ejecución de los comandos de nivel 15 utilizando la
lista por defecto (default). El segundo autoriza localmente algunos servicios de red utilizando una
lista particular (netop). El tercero registra remotamente los comandos de nivel 15 utilizando
TACACS+ para la lista por defecto.
Solucionar problemas AAA en un router.
Router#debug aaa authentication
Router#debug aaa authorization
Router#debug aaa accounting
Referencias
Guiza, J. A. (30 de Noviembre de 2010). http://www.wikispaces.com/. Recuperado el 08 de
Noviembre
de
2013,
de
http://proyecto-teleco2010.wikispaces.com/file/view/Marco+teorico+AAA.pdf
mashpedia. (2011 de Noviembre de 28). www.mashpedia.com. Recuperado el 08 de Noviembre de
2013, de http://www.mashpedia.com/
Rosales. (18 de Enero de 2009). Recuperado el 08 de Noviemebre de 2013, de
networkeando.blogspot.mx:
http://networkeando.blogspot.mx/2009/01/configurandoaaa-en-un-router.html
