Servidores AAA
Los servidores AAA se utilizan para una mayor
seguridad en el acceso dentro de una red VPN (Virtual Private Network) remota. Esto lo hacen mediante el
protocolo AAA, el cual es más bien un conjunto de protocolos que
realizan tres funciones particulares: autenticación, autorización y
contabilización, de ahí las siglas AAA (Authentication, Authorization and Acounting). En estas tres funciones se realizan las siguientes tareas:
·
En la autenticación se pregunta ¿Quién eres?, es
decir, una entidad prueba su identidad ante otra.
·
En la autorización se especifica que es lo que
puedes hacer, esto se refiere a la concesión de privilegios a una entidad o
usuario basándose en su identidad.
·
En la contabilización se refiere a que es lo que
haces mientras estas conectado es el seguimiento del consumo de los recursos de
red por los usuarios.
Esto
es útil para hacer un seguimiento de clientes y poder realizar
auditorías de seguridad, facturación y análisis de uso.
Los protocolos AAA son los siguientes:
Ø RADIUS (Remote
Authentication Dial-In User Service). Es un protocolo de autenticación y autorización
para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP
para establecer sus conexiones.
Ø DIAMETER. Es un protocolo de red para la autenticación
de los usuarios que se conectan remotamente a Internet a través de la conexión
por línea conmutada o RTC, también provee de servicios de autorización y auditoría
para aplicaciones tales como acceso de red o movilidad IP.
Ø TACACS (Terminal Access Controller
Access Control System). Es un protocolo de autenticación remota,
propietario de cisco, que se usa para comunicarse con un servidor de
autenticación comúnmente usado en redes Unix. TACACS permite a un servidor de
acceso remoto comunicarse con un servidor de autenticación para determinar si
el usuario tiene acceso a la red.
Ø
TACACS+. Es un protocolo de autenticación remota
que se usa para gestionar el acceso (proporciona servicios separados de
autenticación, autorización y registro) a servidores y dispositivos de
comunicaciones. TACACS+ está basado en TACACS, pero, a pesar de su nombre, es
un protocolo completamente nuevo e incompatible con las versiones anteriores de
TACACS.
Desarrollo
En esta practica, se creo la siguiente topología configurando las direcciones de cada host de acuerdo a la table siguiente:
Una vez configurados todos los host, se procedió a establecer un enrutamiento tipo RIP versión 2 con los siguientes comandos desde el modo CLI en los routers:
R1(config)#router rip
R1(config)#version 2
R1(config)#network 192.168.1.1 //Red directamente conectadas
R1(config)#network 10.1.1.2 //Red directamente conectada
R1(config)#exit
R1#copy run start //Guardar cambios
Cada configuración se realizó en cada router. Después mando un PING, para poder comprobar la conectividad.
una vez hecho esto, se procede a ingresar los comandos necesarios para la configuración AAA. Se inicio por el router con los comandos:
R1(config)# username
Admin1 password admin1pa55 // Configurando un nombre y contraseña de acceso
R1(config)# aaa
new-model
R1(config)# aaa
authentication login default local //modo de autentificación
R1(config)# line console 0
R1(config-line)# login authentication default
R1(config-line)# end
%SYS-5-CONFIG_I: Configured from
console by console
R1# exit
Ahora se comprueba que la configuracion fue correcta si aparece el siguiente mensaje:
R1(config-line)# end
%SYS-5-CONFIG_I: Configured from
console by console
R1# exit
R1 con0 is now available
Press RETURN to get started.
User Access Verification
Username: Admin1 //Ya colocando el nombre de usuario y contraseña
Password: admin1pa55
ahora se procedió a realizar la configuración local AAA para VTY
R1(config)# aaa authentication login TELNET-LOGIN local
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
R1(config-line)# end
una vez terminado esto, nos vamos a PC-A, dentro de su modo de Command Prompt, en la cual comprobaremos si efectivamente se puede llegar al router de manera remota con el siguiente comando:
PC> telnet 192.168.1.1
Mostrando en la pantalla:
Ahora se configura un servidor basado con la autenticación AAA lo cual se hace desde el router R2.
R2(config)# username Admin2 password admin2pa55
ahora se procede a introducir un nombre y clave de acceso en el servidor TACACS+Server, como se ve en la siguiente imagen:
ahora se colocan los siguientes comandos en router R2:
R2(config)# tacacs-server host 192.168.2.2
R2(config)# tacacs-server key tacacspa55
R2(config)# aaa new-model
R2(config)# aaa authentication login default group tacacs+ local
R2(config)# line console 0 //Se utiliza la autentificación AAA predeterminada
R2(config-line)# login
authentication default con esto se concluye la configuración, nos salimos de ese modo, y al inicio, nos dara el siguiente mensaje:
R2 con0 is now available
Press RETURN to get started.
User Access Verification
Username: Admin2
Password: admin2pa55
R2>
Ahora se procedió a configurar el siguiente Servidor RADIUS en router R3
R3(config)# username Admin3 password admin3pa55 //Clave de acceso
Configuración desde el Servidor RADIUS:
R3(config)# radius-server host 192.168.3.2
R3(config)# radius-server key radiuspa55
R3(config)# aaa new-model
R3(config)# aaa authentication login default group radius local
R2(config)# line console 0
R2(config-line)# login
authentication default
R2(config)# end
Una vez que salimos de este modo, aparecerá el siguiente mensaje:
R2 con0 is now available
Press RETURN to get started.
User Access Verification
Username: Admin2
Password: admin2pa55
R2>
Con esto, se finaliza la practica ya que se concluye el proceso de configuración de autentificación AAA.
Páginas de consulta:
