seguridad cisco para redes empresariales
TRANSCRIPT
Seminarios en Línea
Oscar Vilcarromero Pérez
Coordinador CETIS - UTP
Quienes Somos
• El Centro de Tecnologías de la Información y Sistemas de la Universidad Tecnológica del Perú (CETIS-UTP) es la unidad orientada a brindar cursos de especialización y de certificación en el área de tecnologías de la información y comunicaciones.
¿Porqué podemos brindar cursos de certificación?
• Por nuestros convenios:
¿Porqué podemos certificar?
• Porque somos Centro de Certificación
Seminarios en Línea
• Conferencista:
Jhon Flores Osco
CCNA
• Moderador: Oscar Vilcarromero
• Ejecutiva de Ventas: Ivonne Roca Esquivel
Seguridad Cisco para
Redes Empresariales
Objetivos del curso:
• Explicar la operación del protocolo AAA (Autenticación, Autorización y Auditoría).
• Describir la utilización Cisco ACS, configurado en Router IOS Cisco.
• Describir la configuración Servidor Basado en AAA.
Introducción a AAA
Existen varios métodos de autenticación aplicables a un dispositivo Cisco y cada uno ofrece diversos niveles de seguridad. La forma más sencilla es la de usar login y password en la línea de conexión. Vulnerable a ataques de fuerza y no ofrece cuentas de usuario. Cualquiera que conozca la contraseña puede cambiar la configuración.
La forma más simple de autenticar:
Para soportar el uso de cuentas de usuario se puede aplicar la autenticación con una base de datos local. Las limitaciones de este método van de la mano de la escalabilidad ya que se exige crear las cuentas de usuario en cada dispositivo a administrar y esto es inmanejable en una red grande.
Introducción a AAA
La alternativa de nombres de usuario
AAA es un mecanismo que permite controlar quien está permitido acceder a la red (Authentication), que está permitido hacer una vez dentro (Authorization) y auditar que acciones desarrollaron mientras estaban dentro (Accounting) La seguridad network-AAA y administrative-AAA tiene varios componentes funcionales:
El modelo AAA es similar a una tarjeta de crédito
Autenticación: Usuarios y administradores deben probar que son quien dicen ser mediante el uso de nombres de usuario, contraseña, retos y respuestas, tarjetas token y otros métodos.
Autorización: Una vez que el usuario ha sido autenticado, el servicio de autorización determina que recursos y que operaciones está permitido de aplicar el usuario.
Auditoría: Graba lo que el usuario hace lo que incluye a qué a ha accedido, por cuanto tiempo y los cambios que aplicó. Ejemplo: el usuario ‘student’ accedio al host ‘serverXYZ’ usando ‘telnet’ por 15 minutos.
Introducción a AAA
AAA puede usarse para autenticar un acceso al dispositivo o un acceso a la red. Ello implica dos modos: Para asegurar una red es necesario desplegar AAA para asegurar tanto el acceso administrativo (character) al router como el acceso remoto a la red LAN(network)
Características AAA
Character mode: Autenticar usuarios para un acceso administrativo
Network mode: Autenticar usuario para el acceso remoto a la red
Cisco ofrece dos métodos de implementar los servicios AAA Autenticación AAA local: Cuando se utiliza una base de datos local. Este método almacena los usuarios y las contraseñas localmente en el router Cisco y la autenticación se hace contra esta base de datos local. Autenticación basada en servidor: Este método utiliza una fuente de autenticación externa alojada en un servidor Radius o Tacacs+. Un ejemplo de servidor puede ser un Cisco ACS server for windows, Cisco ACS Solution Engine o Cisco Secure ACS express.
Autenticación
Características AAA
La autorización es lo que el usuario puede y no puede hacer luego de ser autenticado. La autorización generalmente se implementa usando una solución basado en servidor donde se tipifican las restricciones y permisos del usuario que se entregan al router local donde el usuario está conectado.
Autorización
La autorización es automática y no requiere que el usuario haga algo más aparte de autenticarse. La autorización se aplica inmediatamente después que el usuario es autenticado.
Características AAA
Auditoría
Características AAA
Ampliamente usado en combinación con AAA para administrar los accesos a los recursos y dispositivos por el administrador de red. Auditoria provee mas seguridad que solo usar autenticaciones servidor AAA guarda los log detallados, de usuarios autenticados en dispositivos.
Autenticación AAA Local
La autenticación AAA local también se conoce
como self-contained authentication y se
puede aplicar sólo en redes pequeñas.
Este método usa los nombres de usuarios y
contraseñas almacenados en el propio router.
Paso 1: agregar un username y contraseña a
la base de datos del router local para cada
usuario que requiera acceso administrativo
Paso 2: Habilitar AAA a nivel global
Paso 3: Establecer la autenticación de login
predeterminada a una autenticación local
Paso 4: Probar y diagnosticar problemas en
la configuración AAA
Configurar la autenticación AAA local usando CLI
PASO 1: Habilitar AAA
PASO 2: Definir una lista nombrada de los métodos de autenticación para login
Para habilitar la autenticación local especifique el método local o local-case.
Para que el usuario se autentique usando la contraseña enable especifique
enable y asegurarse que la autenticación sea exitosa.
Configurar la autenticación AAA local usando CLI
Router(config)#aaa new-model
Autenticación AAA Local
Para el ejemplo, si no se ha configurado la base de datos local de usuarios, se
permitirá acceder con la contraseña de enable. Se requiere un mínimo de un
método y un máximo de cuatro.
Configurar la autenticación AAA local usando CLI
Router(config)#aaa authentication login TELNET-LOGIN local enable
Autenticación AAA Local
PASO 3: Aplicar la lista de autenticación a un interfaz o línea.
Login default y otras listas de autenticación
La autenticación de login por defecto se tipifica usando:
La lista de autenticación default es una lista que
aplica de forma predeterminada a cualquier
acceso al router, cualquiera sea la línea o
interfaz de acceso.
Otra lista de acceso se creará y se aplicará
explícitamente en la línea donde desea
aplicarse una autenticación personalizada.
Configurar la autenticación AAA local usando CLI
Router(config)#aaa authentication login default local enable
Router(config)#line vty 0 4
Router(config-line)#login authentication TELNET-LOGIN
Autenticación AAA Local
Características de AAA basado en servidor
AAA Basado en Servidor
1. El usuario establece una conexión con el router
2. El router solicita al usuario su nombre de usuario y su contraseña
3. El router pasa la el nombre de usuario y contraseña al ACS (server o engine)
4. El ACS server autentica al usuario. El usuario es autorizado a acceder al router o a la red.
La autenticación local no es escalable. Los entornos corporativos poseen múltiples routers, múltiples
administradores y muchos usuarios que pretenden acceder a la red.
AAA basado en servidor ofrece una solución ya que permite centralizar la gestión de cuentas de usuarios
en un servidor tal como Cisco Secure ACS el cual puede integrarse a Active Directory o LDAP.
Los productos de la familia
Cisco Secure ACS soporta tanto
el protocolo TACACS+
(Terminal Access Control
Access Control Server Plus)
como al protocolo RADIUS
(Remote Dial-in User Service).
Características de AAA basado en servidor
AAA Basado en Servidor
Tanto RADIUS como TACACS+ son
protocolos de autenticación y cada uno
soporta capacidades y funcionalidades
distintas.
La elección entre RADIUS y TACAC+
dependerá de las necesidades de la
organización. Por ejemplo, un ISP
podría optar por RADIUS porque
soporta una auditoría detallada
necesaria para la tarifación de los
usuarios. Una organización con varios
grupos de usuarios podría optar por
TACACS+ dado que requiere
seleccionar las políticas de
autorización para ser aplicadas a nivel
de usuario o a nivel de grupo.
Protocolos de comunicación para AAA basado en servidor
Factores críticos para TACACS+: • Es incompatible con TACACS y XTACACS • Separa la autenticación de la autorización • Cifra toda la comunicación • Utiliza el puerto TCP 49 Factores Críticos para RADIUS: • Usa proxy RADIUS para la escalabilidad • Combina el proceso de autenticación y autorización en un mismo proceso. • Cifra solo la contraseña • Utiliza UDP • Soporta tecnologías de acceso-remoto, 802.1X, y SIP
AAA Basado en Servidor
Existen en el mercado diversas soluciones para la
autenticación pero que no integran los protocolos
TACACS+ y RADIUS en una misma solución.
Cisco Secure ACS server si integra RADIUS y
TACACS+ en una misma solución.
Beneficios:
Cisco Secure ACS
•Extiende la seguridad de acceso al combinar la autenticación, acceso de usuario y acceso de
administrador con la política de seguridad dentro de una solución de autenticación centralizada
• Permite mayor flexibilidad y movilidad, seguridad mejorada y mejoras en la productividad del
usuario.
• Fuerza una política de seguridad uniforme para todos los usuarios independientemente de
cómo se conecten a la red.
• Reduce la carga de administración cuando se escala en accesos de usuario o accesos de
administrador.
Cisco Secure ACS centraliza el control de privilegios de
usuario y los distribuye a los puntos de acceso de la red.
Cisco Secure ACS brinda reporte detallado y capacidades de
monitoreo del comportamiento de los usuarios, conexiones
de acceso y cambios en las configuraciones.
Cisco Secure ACS soporta una gama de conexiones de
acceso que incluye LAN cableado o WIRELESS, dial-up,
contenido, almacenamiento, VoIP, firewalls y VPNs.
Cisco Secure ACS ofrece features avanzados:
• Monitoreo de servicio automático
• Sincronización de bases de datos e importación de
herramientas para despliegues de gran escala
• Soporte a LDAP para autenticación de usuarios
• Restricciones para el acceso a la red basados en criterios
tales como hora del día y día de semana.
• Perfiles de grupos de usuarios y de dispositivos
Cisco Secure ACS
Ease of use – Interfaz basada en Web que facilita y
distribuye la configuración de perfiles de usuarios y
grupos.
Scalability – Está diseñado para entornos de red grandes
donde se requiera soporte a servidores redundantes, bases
de datos remotas y servicios de replicación, backup y
restauración de bases de datos.
Extensibility – Soporte a LDAP lo que permite extender la
autenticación de usuarios contra servidores de directorio
tales como Sun, Novell, and Microsoft.
Management - Microsoft Windows Active Directory
soporta consolidar la gestión de nombre de usuario y
contraseñas Windows y usar el Windows Performance
Monitor seguimientos y estadísticas en tiempo real.
Administration – Diferentes niveles de acceso para cada
administrador de Cisco ACS y la capacidad de agrupar
dispositivos hace más fácil y flexible forzar y cambiar las
políticas de seguridad para todos los dispositivos de red.
Cisco Secure ACS: features
Cisco Secure ACS
Cisco Secure ACS: Versiones disponibles
Cisco Secure ACS
Configurar la autenticación AAA basado en servidor usando CLI
Paso 1: habilitar AAA a nivel global
R1(config)#aaa new-model
Paso 2: Especificar la dirección IP del servidor AAA
R1(config)#tacacs-server host ip-address single-connection
Ó
R1(config)#radius-server host ip-address single-connection
Configurar la autenticación AAA basado en servidor usando CLI
Paso 3: Configurar la clave secreta para la encriptación de datos
R1(config)#tacacs-server key key
Ò
R1(config)#radius-server key key
Paso 4: Configurar la lista de métodos de autenticación usando RADIUS o
TACACS+
R1(config)#aaa authentication login default group [radius | tacacs+]
Informes Finales
Ivonne Roca Esquivel
Ejecutiva de Ventas
AGRADECEMOS SU PARTICIPACIÓN
EN EL SEMINARIO
SEGURIDAD CISCO PARA REDES EMPRESARIALES
Beneficios por participar en los Seminario en Línea
Descuento especial en cursos de certificación y talleres.
Se les mantendrá informado de los nuevos seminarios en línea.
ENCUESTA
• Realizar la encuesta para que de esta manera acceda a los beneficios de este seminario.
• http://www.cetis.com.pe/encuesta
Taller Seguridad Cisco para Redes Empresariales
• Duración: 05 horas
• Instructor: Jhon Flores Osco
• Fecha de Inicio: 17 de agosto.
• Frecuencia: Viernes
• Horario: 09:00 am a 01:00 pm
CONTÁCTANOS
• Cualquier consulta adicional no dude en contactarse con mi persona
Ivonne Roca Esquivel
Ejecutiva de Ventas
Teléfono: (51-1) 3159696
Gracias
Links
Encuesta
http://www.cetis.com.pe/encuesta
Diapositivas y Grabaciones
http://www.cetis.com.pe/diapositivas
Síguenos en Facebook
http://www.facebook.com/cetis.utp