T3 CEP Authentication Authorization and Accounting

Captulo 3: Authentication, Authorization and Accounting
2007 Cisco Systems, Inc. Todos los derechos reservados.
Cisco Public
Introduccin
Funcionamiento de los protocolos AAA Configuracin de un router para realizar autenticacin local Configuracin de Cisco ACS para soportar AAA Configurar un servidor basado en AAA
Cisco Public
PROPSITO DE AAA
Cisco Public
Descripcin de AAA
Para realizar un control de acceso a los recursos de la red es necesario realizar algn tipo de autenticacin.
El mtodo mas simple de autenticacin esta basado solo en claves. Es simple pero dbil. Sensible a ataques de fuerza bruta Es mas seguro emplear un mtodo basado en nombres de usuario y claves Login y password en lneas de consola, vty y puertos AUX.
Para crear la base de datos local de usuarios y proporcionar Responsabilidad tenemos los comandos
username username password password -> clave en texto claro username username secret password -> clave cifrada con MD5
Limitacin de las bases de datos locales

Hay que implementarlas en todos los dispositivos de la red. Si el administrador pierde la clave hay que realizar un proceso de recuperacin de claves.
La mejor solucin es centralizar la base de datos en un servidor central
Cisco Public
Descripcin de AAA (y II)

Para realizar un control de acceso a los recursos de la red es necesario realizar algn tipo de autenticacin.

La mejor solucin es centralizar la base de datos en un servidor central Para realizar un control de acceso a los recursos de la red es necesario realizar algn tipo de autenticacin.

La mejor solucin es centralizar la base de datos en un servidor central
Cisco Public
Descripcin de AAA (y III)

AAA es:
Control de acceso para entrar en los dispositivos o en la red: Authentication Establecer que puede hacer cada usuario. Authorization Auditar que acciones son realizadas durante el acceso a la red. Accounting
Es escalable y puede ser empelado para CON, AUX, VTY y EXEC privilegiado. Authentication
Usernames/Passwords Preguntas y respuestas de desafo. Token Cards
Authorization
A que recursos puede acceder al usuario y que acciones puede realizar sobre ellos.
Accounting y Auditing
Informacin auditada acerca del acceso a un recurso por un usuario Cambios realizados
Cisco Public
Caractersticas de AAA
Authentication AAA
Se puede emplear para controlar accesos administrativos o accesos remotos de usuarios desde la red, como consecuencia hay dos modos: Modo carcter: Cuando el acceso es administrativo. En este caso el usuario manda una peticin para crear un proceso EXEC. Modo paquete: Cuando hablamos de un acceso remoto. En este caso el usuario manda una peticin para establecer una conexin a travs del router con un dispositivo.
Hay dos mtodos de autenticacin AAA:

Local AAA En este caso hay una base de datos local. La BD es la misma que la que se emplea para roles en el router. Mtodo ideal para redes pequeas. Basado en servidor AAA Se emplea un Server BD externo Se emplean protocolos de comunicacin seguros como TACACS y RADIUS. Un ejemplo de esta implementacin es Cisco ACS
Cisco Public
Caractersticas de AAA (y II)

Authorization AAA
La autorizacin AAA es fundamentalmente decidir que es lo que un usuario puede o no puede hacer a la hora de acceder a un recurso de la red. Es implementada fundamentalmente mediante soluciones AAA basadas en servidor. La autorizacin es implementada automticamente en cuanto el usuario es autenticado.
Accounting AAA
El sistema de acounting recolecta y audita informacin acerca del uso de los recursos por parte de un usuario. Por ejemplo recoge informacin acerca de los comandos ejecutados, tiempos de conexin, numero de paquetes y bytes, etc Se implementa mediante soluciones basadas en servidor.
Cisco Public
AUTENTICACIN LOCAL AAA
Cisco Public
Configuracin de autenticacin local AAA con CLI

Paso 1: Aadir usuarios y passwords a la base de datos local del router para usuarios que necesitan acceso administrativo al router. Paso 2: Habilitar AAA globalmente en el router Paso 3: Configurar parmetros AAA en el router
Cisco Public
10
Configuracin de autenticacin local AAA con CLI (y II)

Para habilitar AAA globalmente en el router empleamos el comando aaa new-model A continuacin para configurar la autenticacin en los puertos vty , lneas asncronas tty, puertos de consola y AUX es necesario definir una lista de mtodos de autenticacin y aplicarla a los interfaces. Para definir esta lista de mtodos de autenticacin emplearemos el comando aaa authenticacion login {default|list_name} metodo_1 metodo_4 La lista de mtodos identifica diferentes protocolos de seguridad para autenticar al usuario, hay varios mtodos por seguridad para garantizar alternativas en caso de que el mtodo anterior no este disponible. Ejemplo: aaa authentication login TELNET-ACCESS local enable En este caso primero se intenta autenticar al usuario mediante la base de datos de usuarios locales y si este mtodo falla mediante la clave de modo enable. A continuacin hay que aplicar las listas de mtodos de autenticacin a interfaces. Es posible crear una lista por defecto que se aplica automticamente a todos los interfaces y lneas mediante aaa authentication local default metodo1metodo4 siempre y cuando no haya una lista especifica creada para un interfaz concreto en cuyo caso esa lista para ese interfaz sobrescribe las configuraciones de la lista por defecto.
Cisco Public
11
Configuracin de autenticacin local AAA con CLI (y III)

Se puede ampliar la seguridad con el comando aaa local authentication attempts max-fail number_of_unsuccessful_attempts de modo que se bloquean las cuentas con muchos intentos de autenticacin incorrectos. El comando show aaa local user lockout permite ver los usuarios actualmente bloqueados. Para borrar la lista de usuarios bloqueados podemos emplear el comando clear aaa local user lockout {username username | all} Tambin hay un comando login delay que introduce un retardo entre intentos de autenticacin sin bloquear la cuenta. Para mostrar informacin acerca de una sesin de un usuario podemos emplear el comando show aaa user {all | unique_id} el cual proporciona informacin de los usuarios autenticados con AAA. El comando show aaa sessions muestra el unique_id de una sesin.
Cisco Public
12
Configuracin de autenticacin local AAA con SDM

Por defecto esta habilitado en SDM. Para verificar que esta habilitado ir al Men Configure -> Additional tasks >AAA La primera tarea es crear los usuarios para ello vamos al men Configure -> Additional tasks ->Router Acccess -> User Accounts View y aadimos usuarios. Introduciremos:
nombre de usuario Clave Escogemos el nivel de privilegio 15 Si estn definidas vistas podemos asociar una vista con un usuario
En consecuencia SDM genera lo siguiente : username AAAadmin privilege 15 secret 5 $1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root
Cisco Public
13
Configuracin de autenticacin local AAA con SDM (y II)

Es necesario definir listas de mtodos de autenticacin, para realizarlo vamos: men Configure -> Additional tasks -> Authentication Policies -> Login y pulsamos en el botn aadir. Es muy importante verificar que el nombre default est asociado a la lista de mtodos. A continuacin elegimos el mtodo de autenticacin y seleccionamos local Como consecuencia el comando CLI generado es. aaa authentication login default local
Cisco Public
14
Troubleshooting Local AAA Authentication

El comando fundamental de localizacin de averas es debug aaa con multitud de variantes entre ellas debug aaa authentication Para deshabilitar el comando emplear no o bien undebug all
Cisco Public
15
AAA BASADA EN SERVIDOR
Cisco Public
16
Caractersticas de AAA basada en servidor

Las implementaciones de AAA locales no son fcilmente escalables a redes grandes . La opcin de trabajar con AAA basada en servidor soluciona el problema de la escalabilidad de configuraciones de autenticacin en redes grandes. Un software de servidor de AAA es por ejemplo Cisco ACS. Cisco ACS crea una base de datos central con todos los usuarios y los dispositivos a los que se puede acceder. Tambin es posible trabajar desde Cisco ACS con BD externas mediante LDAP
Cisco Public
17
Caractersticas de AAA basada en servidor (y II)

Para comunicarse entre el Router y el servidor Cisco ACS se puede emplear el protocolo TACACS y RADIUS. TACACS + : Terminal Access Control Access Control Server Plus RADIUS: Remote Dial-in User Services Tacacs es considerado un protocolo mas seguro puesto que encripta el trafico por el contario RADIUS solo encripta la clave del usuario, no el nombre de usuario ni ninguna otra informacin
Cisco Public
18
Protocolos de comunicacin en AAA basada en servidor

Tanto TACACS como RADIUS son protocolos de autenticacin. RADIUS es muy empleado por ISP puesto que es capaz de gestionar informacin detallada de las cuentas de los usuarios de pago. En empresas en que los usuarios se organizan en grupos con polticas de autorizacin diferenciadas suele ser ms habitual emplear TACACS porque es capaz de asociar polticas de autorizacin por usuario o por grupo. TACACS+
Es incompatible con TACACS y XTACACS La autorizacin y autenticacin estn separadas. Se encriptan las comunicaciones Utiliza el puerto TCP 49
RADIUS
Los servidores Proxy emplean RADIUS por su escalabilidad La autenticacin y autorizacin van unidas en un nico proceso Solo se encripta la clave Opera bajo UDP Soporta tecnologas de acceso remoto 802.1x y SIP
Cisco Public
19
Protocolos de comunicacin en AAA basada en servidor (y II)

TACACS+ es una mejora de Cisco del protocolo original TACACS en consecuencia es incompatible con TACACS . Lo soportan los routers Cisco a partir de la versin IOS 10.3. Se esta mirando la posibilidad de convertirlo en un estndar abierto. TACACS+ proporciona servicios diferenciados, es muy flexible se puede emplear por ejemplo TACACS para autorizacin y accounting y emplear un mtodo diferente para autenticacin. TACACS proporciona soporte multiprotocolo bajo IP y appletalk RADIUS fue implementado por Livingston Enterprises es un estndar abierto de IETF. Es muy empleado en aplicaciones de acceso remoto y movilidad IP. Oculta las claves mediante PAP (Password Authentication Protocol) empleando hash MD5 y una clave secreta. El resto de la informacin no se cifra. Cuando se autentica un usuario tambin se autoriza todo en nico proceso. Opera bajo UDP puertos 1645 o 1812 para la autenticacin y bajo UDP puertos 1646 o 1813 para accounting. Muy empleado en proveedores de VoIP . Se considera que el protocolo DIAMETER reemplazara a RADIUS empleando SCTP (Stream Control Transmission Protocol) y TCP.
Cisco Public
20
Cisco Secure ACS

Ejemplos de servidores de autenticacin que NO son capaces de integrar TACACS y RADIUS en un solo producto son por ejemplo:
Funk's Steel-Belted RADIUS server. Livingston Enterprises' RADIUS Authentication Billing Manager Merit Networks' RADIUS server
Sin embargo Cisco ACS es capaz de integrar en un nico servidor de AAA Tacacs y Radius. Cisco ACS
Es muy escalable. Puede soportar RADIUS, TACACS+ o ambos. Combina autenticacin, acceso de usuario y administrador con polticas de control centralizadas. Permite movilidad y flexibilidad. Uniformiza la seguridad para todos los usuarios Reduce el trabajo administrativo.
Cisco Public
21
Cisco Secure ACS (y II)

Informa y monitoriza las conexiones de acceso y los cambios de configuracin en los dispositivos. Soporta muchos tipos diferentes de conexiones de acceso.
LAN Dialup VPNs VoIP
Algunas funcionalidades importantes son:

Soporte para autenticacin LDAP Restricciones de acceso a recursos de red basadas en da de la semana y hora. Perfiles de grupo y de usuario para cada dispositivo. Sincronizacin de bases de datos
Cisco Public
22
Cisco Secure ACS (y III)

Forma parte de la arquitectura Cisco Identity Based Networking Services (IBNS). Cisco IBNS est basado en estndares de seguridad por puerto como IEEE 802.1X and Extensible Authentication Protocol (EAP) Cisco IBNS extiende la seguridad del perimetro de la red a cualquier punto de conexion dentro de la LAN. Asi se logra establecer politicas de control nuevas como por ejemplo cuotas por usuario, asignaciones de VLANs, y listas de control de acceso (ACLs).
Cisco Public
23
Cisco Secure ACS (y IV)

Se instala en un servidor Windows 2000 o 2003 o bien en una maquina dedicada Cisco Secure ACS Solution Engine o en una maquina dedicada Cisco Secure ACS Express 5.0 Cisco Secure ACS Solution Engine es una maquina dedicada de 1U montada en Rack con una licencia de Cisco ACS preinstalada. Esta pensada para organizaciones con mas de 350 usuarios. Cisco Secure ACS Express es tambin una maquina dedicada que se monta en un Rack de 1U al diferencia con la anterior esta en la licencia de menos de 350 usuarios.
Concretamente soporta 50 dispositivos AAA Y 350 usuarios nicos ID_LOGINS en 24 h
Cisco Public
24
Configurando Cisco Secure ACS

Requerimientos previos:
Para soporte de TACACS+ y RADIUS en los dispositivos con Cisco IOS este ha de ser versin 11.2 o superior. Los dispositivos clientes que no son Cisco IOS deben ser configurados con TACACS+, RADIUS o ambos. Los clientes Dial-UP, VPN o wireless deben ser capaces de conectarse con clientes AAA. Las maquinas que ejecuten CiscoACS deben hacer ping a los clientes. Las comunicaciones entre el CiscoACS a travs de Gateway deben permitir la comunicacin bajo los puertos que empleen los protocolos de seguridad. Hay que instalar un navegador compatible con CiscoACS en la maquina servidora. Esto es muy importante porque la configuracin de CiscoACS se hace a travs de una pagina WEB. Todas las NICs del CiscoACS deben estar habilitadas Para acceder al CiscoACS se accede por http://127.0.0.1:2002 y remotamente por http://ip_address[hostname]:2002
Cisco Public
25
Configurando Cisco Secure ACS (y II)
Cisco Public
26
Configurando Cisco Secure ACS (y III)

Antes de configurar un router, switch, o firewall como un cliente TACACS+ o RADIUS, debemos aadir el cliente AAA al servidor y especificar la clave de cifrado. En la barra de navegacion -> Network configuration y en la seccion de clientes AAA le damos a aadir una entrada. A continuacion introducimos los siguientes datos del cliente AAA (Un cliente es el Router, Switch, FW o concentrador de VPN que usa los servicios de CiscoACS)
Nombre del cliente. IP y clave secreta Protocolo de autenticacion empleado
Cisco Public
27
Configurando Cisco Secure ACS (y IV)

A continuacin se hace la configuracin de interface que mostrara opciones diferentes en la pantalla en funcin del protocolo de seguridad elegido.
User Data Configuration TACACS+ (Cisco IOS) RADIUS (Microsoft) RADIUS (Ascend) RADIUS (IETF) RADIUS (IOS/PIX) Advanced Options
Cisco Public
28
Configurando Cisco Secure ACS (y V)

Cisco Secure ACS puede ser configurado para trasnmitir informacion de autenticacion a una o mas BD externas. Cuando una empresa tiene por ejemplo los usuarios creados en un Entorno de Directorio Activo se puede evitar introducir de nuevo los usuarios. Si se trabaja con varias BD externas es muy recomendable que no hay duplicidades de nombres de usuario puesto que CiscoACS trabaja con la primera BD en la que hay coincidencia en las credenciales. PASO 1: Para configurar el acceso a BD externas pulsamos en la barra de botones en External User Databases y aparecen tres opciones:
Unknown user policy: Aqu se configura el procedimiento de autenticacin para los usuarios que no se localizan en la BD de CiscoACS Database group mappings: Configuramos aqu los privilegios de los grupos de usuarios autenticados Database configuration: Aqu definimos los servidores externos con los que va a trabajar CiscoACS.
Cisco Public
29
Configurando Cisco Secure ACS (y VI)

PASO 2: Si pulsamos en Database Configuration se muestran las siguientes opciones:
RSA SecurID Token Server RADIUS Token Server External ODBC Database Windows Database LEAP Proxy RADIUS Server Generic LDAP
PASO 3: Si deseamos usar una BD externa Windows elegiremos Windows Database. PASO 4: Si deseamos hacer configuraciones adicionales pulsaremos el boton configure. PASO 5: Podemos incluso configurar el permiso grant dialin permission que forma parte del perfil del usuario de windows. Es importante porque no se aplica solo a conexiones DIAL-UP sino a cualquier acceso que el usuario intente hacer.
Cisco Public
30
Configurando usuarios y grupos en Cisco Secure ACS

Una vez que ya hemos configurado CiscoACS para conectarse con un BD externa se puede realizar la autenticacin de usuarios de dos modos:
Mediante asignacin especifica de usuario. De este modo determinados usuarios se autentican con una BD externa. Por politica de usuario desconocida: En este caso usamos una BD externa para autenticar usuarios cuando no los encontramos en la BD de CiscoACS
Para configurar Unknown user policy pulsamos en el botn correspondiente:

Nos aparece la ventana de External User database y habilitamos la opcin Unknown user policy A continuacin elegiremos la BD correspondiente Si hemos elegido varias BD podemos elegir el orden en le que sern chequeadas.
En algunas ocasiones son necesarias diferentes autorizaciones en funcion de si hablamos de usuarios de Windows Server o de un Servidor LDAP, en este caso ser necesario crear dos grupos diferentes. A continuacion establecemos MAPEADOS GRUPOS BASES de DATOS
Cisco Public
31
Configurando usuarios y grupos en Cisco Secure ACS (y II)

La ventaja de trabajar con grupos de usuarios es que podemos asignarle polticas de autorizacin comunes. Por ejemplo un grupo de usuarios puede ejecutar un comando y otro grupo no. Para configurar grupos:
Barra de navegacin -> Group Setup Editamos un grupo de usuarios con Edit settings Pulsamos en la opcin Unmatched Cisco IOS commands Habilitamos la opcion Command y escribimos por ejemplo el comando show y en el casillero de argumentos escribimos deny running-config y por ultimo habilitamos la opcion Permit De este modo hemos permitido que este grupo de usuarios ejecute este comando.
Para aadir un usuario:

User Setup -> Add/Edit Definimos los parametros del usuario como nombre y password.
Cisco Public
32
AUTENTICACION AAA BASADA EN SERVIDOR

2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 33
Autenticacin AAA basada en servidor con CLI

Hay 4 pasos fundamentales
Paso 1: Habilitar globalmente AAA para permitir el uso de todos los elementos AAA. Paso 2: Especificar el Cisco Secure ACS que proporcionara servicios AAA al router. Podr ser un servidor TACACS+ o RADIUS. Es decir la IP del ACS server. Paso 3: Configurar la clave de encriptado necesaria para cifrar los datos entre el servidor de acceso de la red y Cisco Secure ACS. Paso 4: Configurar la lista de mtodos de autenticacin AAA.
Cisco Public
34
Autenticacion AAA basada en servidor con CLI (y II)

Configuracin de un servidor TACACS+ y la clave de cifrado:
Especificamos el servidor con el comando tacacs-server host ip_address single-connection La opcin single-connection crea una nica conexin TCP que se mantiene durante toda la vida de la sesin. Especificamos la clave de cifrado en el router con el comando: tacacsserver key por supuesto esta misma clave ha de ser configurada en el servidor TACACS+.
Configuracin de un servidor RADIUS y la clave de cifrado:

Cuando los servidores de seguridad AAA han sido identificados, los servidores deben ser incluidos en la lista de mtodos con el comando aaa authentication login Los servidores son identificados con group tacacs+ o group radius
Cisco Public
35
Autenticacion AAA basada en servidor con CLI (y III)
Cisco Public
36
Autenticacion AAA basada en servidor con SDM

Mediante SDM debemos especificar una lista de servidores CSACS que proporcionan servicios TACACS+
Paso 1: Configure -> Additional Tasks -> AAA -> AAA Servers and Groups -> AAA Servers. Elegimos el tipo de servidor y ponemos su IP. El router puede ser configurado para mantener una conexin abierta con servidor TACACS + en lugar de abrir y cerrar una conexin TCP cada vez que se comunica con el servidor. Para ello, debemos habilitar la opcin Single connection to server Es posible especificar valores de timeout Tambin es posible especificar una clave para encriptar trafico entre el router y el AAA server.
Esta misma configuracin la podemos hacer a travs de CLI mediante el comando:

tacacs-server host 10.0.1.1 key TACACS+Pa55w0rd
Cisco Public
37
Autenticacin AAA basada en servidor con SDM (y II)

Mediante SDM tambin es necesario especificar el mtodo de autenticacin que se emplear.
En SDM Configure -> Additional Tasks -> AAA -> authentication Policies > Login
A travs de CLI el comando sera: aaa authentication login TACACS_SERVER group tacacs+ enable mediante el cual empleariamos la clave de enable como clave de autenticacion.
Autenticacin AAA basada en servidor con SDM (y III)

Una vez creado el mtodo de autenticacin es necesario aplicarlas a los interfaces y lneas del router.
En SDM Configure -> Additional Tasks -> Router Access -> VTY. Ya continuacin editamos la configuracin de la lnea. El comando que se podra emplear mediante CLI es login authentication {default | listname} Por ejemplo en este caso para las lneas VTY de 0 a 4 se aplica una poltica de autenticacin denominada TACACS_SERVER Aplicado al caso estudiado el comando sera login authentication TACACS_SERVER
Cisco Public
39
Troubleshooting de Autenticacin AAA basada en servidor

Podemos emplear el comando debug aaa authentication que muestra mucha informacin durante el procesod e autenticacin. Otros comandos son debug tacacs y debug radius que muestran informacin muy detallada.
Podemos emplear el comando debug aaa authentication para mostrar informacion acerca de los mensajes de estado de la autenticacin correcta o con fallo. El comando debug tacacs events muestra informacion acerca de las conexiones TCP que se abren y cierran en el servidor.
AUTORIZACIN Y ACCOUNTING AAA BASADA EN SERVIDOR
Cisco Public
41
Configurando Autorizacin AAA basada en servidor

La autenticacin busca asegurar el acceso al dispositivo La autorizacin se refiere a permitir y no permitir a los usuarios autenticados acceso a ciertas reas y programas en la red. El protocolo TACACS + permite la separacin de las funciones de autenticacin y de autorizacin. La autorizacin puede ser configurada en dos modalidades:
Modo carcter (Autorizacin EXEC) Modo paquete (Autorizacin de red).
A diferencia de TACACS+ el protocolo RADIUS no separa la autenticacin del proceso de autorizacin. Mediante mecanismos de autorizacin podemos permitir o no la ejecucin de determinados comandos puesto que el router consulta al ACS para saber si el usuario tiene permiso para ejecutar el comando concreto. TACACS + por defecto establece una sesin TCP nueva por cada solicitud de autorizacin, esto puede dar lugar a retrasos cuando los usuarios escriben comandos. Cisco Secure ACS proporciona sesiones TCP persistentes para mejorar el rendimiento.
Cisco Public
42
Configurando Autorizacin AAA basada en servidor (y II)

Para configurar la autorizacin emplearemos el comando aaa authorization {network | exec | commands level} {default | listname} method1...[method4]
Commands level: para comandos EXEC Exec: para iniciar un exec (shell) Network: para servicios de red (PPP, SLIP)
Cuando se inicia la autenticacin ya se deben haber creado los usuarios con derechos de acceso sin se bloqueara al administrador y seria necesario reiniciar.
Cisco Public
43
Configurando Autorizacin AAA basada en servidor (y III)

Mediante SDM tambin podemos configurar la lista de mtodos de autorizacin y en ocasiones editaremos el mtodo de autorizacin por defecto. Si queremos configurar la lista de mtodos de autorizacin por defecto para el Modo carcter (EXEC) sera: En SDM vamos al botn Configure > Additional Tasks > AAA > Authorization Policies > Exec. Y pulsamos el botn aadir un mtodo de autorizacin . Elegimos como nombre del mtodo default y a continuacin en la ventana de listas de mtodos elegimos el que nos interese por ejemplo group tacacs+ Si lo hicieramos a travs de CLI el comando sera aaa authorization exec default group tacacs+
Cisco Public
44
Configurando Autorizacin AAA basada en servidor (y IV)

Si queremos configurar la lista de mtodos de autorizacin por defecto para el Modo red sera: En SDM vamos al botn Configure > Additional Tasks > AAA > Authorization Policies > Network. Y pulsamos el botn aadir un mtodo de autorizacin . Elegimos como nombre del mtodo default y a continuacin en la ventana de listas de mtodos elegimos el que nos interese por ejemplo group tacacs+ Si lo hicieramos a travs de CLI el comando sera aaa authorization network default group tacacs+
Cisco Public
45
Configurando Accounting AAA basada en servidor

A veces una empresa quiere hacer un seguimiento de los recursos que los individuos o grupos de uso. El servicio Accounting AAA ofrece la posibilidad de rastrear el uso de los recursos, recoger informacin en una BD y producir informes sobre los datos recogidos. Una de las cuestiones de seguridad que se ocupa de la contabilidad es la creacin de una lista de usuarios y la hora del da en que se logue en el sistema. Otra razn por la aplicacin de la contabilidad es la de crear una lista de cambios que se producen en la red, quin realiz dichos cambios, y la naturaleza exacta de los cambios. Cisco Secure ACS acta como un repositorio central de informacin contable haciendo un seguimiento de los eventos que ocurren en la red. Cada sesin que se establece a travs de Cisco Secure ACS es monitorizada y la informacin relacionada almacenada lo cual puede ser muy til para la gestin y las auditoras de seguridad. Es necesario definir listas de mtodos de Accounting que definen el modo en que se realiza la gestin de la contabilidad.
Cisco Public
46
Configurando Accounting AAA basada en servidor (y II)

Para configurar AAA accounting podemos emplear el comando:
A continuacin se especifica el nombre de la lista por defecto default o bien el nombre de la lista correspondiente. El siguiente parmetro es el trigger que hace que los registros de contabilidad sean actualizados, sus valores son: start-stop, stop-only, none.
Cisco Public
47

T3 CEP Authentication Authorization and Accounting

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

T3 CEP Authentication Authorization and Accounting

Uploaded by

Copyright:

Available Formats

Captulo 3: Authentication, Authorization and Accounting

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

2007 Cisco Systems, Inc. Todos los derechos reservados.

Limitacin de las bases de datos locales

La mejor solucin es centralizar la base de datos en un servidor central

2007 Cisco Systems, Inc. Todos los derechos reservados.

Descripcin de AAA (y II)

Limitacin de las bases de datos locales

Limitacin de las bases de datos locales

La mejor solucin es centralizar la base de datos en un servidor central

2007 Cisco Systems, Inc. Todos los derechos reservados.

Descripcin de AAA (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Hay dos mtodos de autenticacin AAA:

2007 Cisco Systems, Inc. Todos los derechos reservados.

Caractersticas de AAA (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

AUTENTICACIN LOCAL AAA

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configuracin de autenticacin local AAA con CLI

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configuracin de autenticacin local AAA con CLI (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configuracin de autenticacin local AAA con CLI (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configuracin de autenticacin local AAA con SDM

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configuracin de autenticacin local AAA con SDM (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Troubleshooting Local AAA Authentication

2007 Cisco Systems, Inc. Todos los derechos reservados.

AAA BASADA EN SERVIDOR

2007 Cisco Systems, Inc. Todos los derechos reservados.

Caractersticas de AAA basada en servidor

2007 Cisco Systems, Inc. Todos los derechos reservados.

Caractersticas de AAA basada en servidor (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Protocolos de comunicacin en AAA basada en servidor

2007 Cisco Systems, Inc. Todos los derechos reservados.

Protocolos de comunicacin en AAA basada en servidor (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Secure ACS

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Secure ACS (y II)

Algunas funcionalidades importantes son:

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Secure ACS (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Cisco Secure ACS (y IV)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configurando Cisco Secure ACS

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configurando Cisco Secure ACS (y II)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configurando Cisco Secure ACS (y III)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configurando Cisco Secure ACS (y IV)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configurando Cisco Secure ACS (y V)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configurando Cisco Secure ACS (y VI)

2007 Cisco Systems, Inc. Todos los derechos reservados.

Configurando usuarios y grupos en Cisco Secure ACS