4.6.1.2: AAA con RADIUS y TACACS+

-

Para evitar que usuarios malintencionados obtengan acceso a equipos de red y servicios sensibles, los administradores deben habilitar el control de acceso. El control de acceso limita a las personas o los dispositivos que pueden utilizar recursos específicos. También limita los servicios o las opciones que están disponibles después de que se concede el acceso.

El control de acceso básico en los dispositivos de red se activa mediante la autenticación. Existen diferentes métodos para implementar la autenticación en un dispositivo Cisco, y cada método ofrece varios niveles de seguridad. A continuación, se describen dos métodos comunes:
  • Autenticación de contraseña simple: Esto implica el uso de los comandos de configuración password y login para proteger la consola, las líneas vty, y los puertos auxiliares. Lamentablemente, este método es también el método más débil y menos seguro porque no proporciona ninguna responsabilidad. Por ejemplo, cualquier persona que tenga la contraseña puede obtener acceso al dispositivo y modificar la configuración.
  • Autenticación local de bases de datos: Esto implica la creación de las cuentas de usuario local con el comando de configuración global username name secret password y luego configurar el comando de configuración de línea login local en la consola, el VTY y los puertos auxiliares. Esto proporciona seguridad adicional, ya que un atacante necesita saber un nombre de usuario y una contraseña. También proporciona más responsabilidad porque el nombre de usuario queda registrado cuando un usuario inicia sesión.
Sin embargo, el método de la base de datos local no escala mucho más allá de algunos dispositivos de red porque las cuentas de usuario deben configurarse localmente en cada dispositivo. Esto no es adecuado en un entorno empresarial grande con varios routers y switches para administrar. Además, la configuración de la base de datos local no proporciona ningún método de autenticación de reserva. Por ejemplo, ¿qué sucede si el administrador olvida el nombre de usuario y la contraseña para ese dispositivo? Sin el método de respaldo disponible para la autenticación, la recuperación de la contraseña se convierte en la única opción.

Una solución mejor y más escalable es lograr que todos los dispositivos remitan a una base de datos de nombres de usuario y contraseñas alojados en un servidor central. Para admitir esto, los dispositivos Cisco admiten el marco de trabajo de autenticación, autorización y auditoría (AAA) que ayuda a asegurar el acceso de los dispositivos. En los dispositivos Cisco, se utilizan dos protocolos de autenticación AAA:
  • Terminal Access Controller Access-Control System Plus (TACACS+, sistema de control de acceso mediante control del acceso desde terminales [se pronuncia como “tack-axe plus”])
  • Remote Authentication Dial-In User Service (RADIUS, servicio de usuario de acceso telefónico de autenticación remota)
Un dispositivo compatible con AAA se puede configurar para remitir a una base de datos de usuarios externa para la autenticación de usuarios, licencias y contabilización. El dispositivo se comunica con el servidor AAA mediante el protocolo TACACS+ o RADIUS. Cada protocolo admite capacidades y funcionalidades diferentes. La selección de TACACS+ o RADIUS depende de las necesidades de la organización. Por ejemplo, un ISP grande puede seleccionar RADIUS porque admite la contabilización detallada necesaria para la facturación de los usuarios. Una organización con varios grupos de usuarios puede seleccionar TACACS+ porque requiere políticas de autorización que se aplican por usuario o por grupo.

Es importante comprender las diferencias entre los protocolos TACACS+ y RADIUS.
Estos son tres factores cruciales para TACACS+:
  • Separa la autenticación y la autorización.
  • Cifra todas las comunicaciones.
  • Utiliza el puerto TCP 49.
A continuación, se enumeran cuatro factores cruciales para RADIUS:
  • Combina la autenticación de RADIUS y autorización como un solo proceso.
  • Cifra solamente la contraseña.
  • Utiliza UDP.
  • Admite tecnologías de acceso remoto, 802.1x y el protocolo SIP (Session Initiation Protocol).
Mientras ambos protocolos pueden usarse para la comunicación entre un router y los servidores AAA, TACACS+ se considera el protocolo más seguro. Esto se debe a que se cifran todos los intercambios de protocolos TACACS+, mientras que RADIUS solo cifra la contraseña del usuario. RADIUS no cifra nombres de usuario, información de la cuenta, o cualquier otra información que contenga el mensaje de RADIUS.

Nota: la configuración de AAA va más allá del alcance de este curso.

Comentarios

Publicar un comentario

Entradas más populares de este blog

VENTAJAS Y DESVENTAJAS DE LAS VLAN

-
Imagen
Ventajas de las VLAN La productividad del usuario y la adaptabilidad de la red son impulsores clave para el crecimiento y el éxito del negocio. La implementación de la tecnología de VLAN permite que una red admita de manera más flexible las metas comerciales. Los principales beneficios de utilizar las VLAN son los siguientes: Seguridad:   los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial. Las computadoras del cuerpo docente se encuentran en la VLAN 10 y están completamente separadas del tráfico de datos del Invitado y de los estudiantes. Reducción de costo:   el ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y m á s usos eficientes de enlaces y ancho de banda existente. Mejor rendimiento:   la división de las redes planas de Capa 2 en múltiples grupos lógicos de trabajo (dominios de broadcast) reduce el tráfico i...
Read more »

3.1.3.1: VLAN normales y extendidas

-
Las VLAN se dividen en VLAN de rango normal o de rango extendido como se describe en la Tabla 1. Tabla 1: Tipos de VLAN Tipo Definición VLAN de rango normal ·       Se utilizan en redes de pequeñas y medianas empresas y de negocios. ·       Se identifican mediante un ID de VLAN entre 1 y 1005. ·       Los ID 1 y de 1002 a 1005 se crean automáticamente y no se pueden eliminar. (Los ID de 1002 a 1005 se reservan para VLAN de Token Ring e interfaz de datos distribuidos por fibra óptica [FFDDI]). ·       Las configuraciones se almacenan en un archivo de base de datos de VLAN llamado vlan.dat, que se guarda en la memoria flash. VLAN de rango extendido ·       Utilizadas por los proveedores de servicios y las grandes organizaciones para ampliar su infraestructura a una mayor cantidad de clientes. ·  ...
Read more »

DESCARGA CURSO CCNA 5.0

-
Imagen
DESCARGAR CISCO CCNA V 5.0 COMPLETO ESPAÑOL Y GRATIS……Cisco Certified Network Associate (CCNA) Routing y Switching es un programa de certificación para los ingenieros de red de nivel básico que ayuda a maximizar su inversión en conocimientos de redes. El plan de estudios Cisco CCNA ayuda a los estudiantes a prepararse para las oportunidades de carrera de nivel inicial, la formación continua y el CCENT Cisco reconocido a nivel mundial y las certificaciones CCNA . Nuestro nuevo CCNA V 5.0 Enrutamiento y conmutación currículo se alinea con los últimos exámenes CCENT y certificación CCNA . INTRODUCCION A REDES Capítulo 0: Introducción al curso Capítulo 1: Exploración de la red Capítulo 2: Configuración de un sistema operativo de red Capítulo 3: Protocolos y comunicaciones de red Capítulo 4: Acceso a la red Capítulo 5: Ethernet Capítulo 6: Capa de Red Capítulo 7: Capa de Transporte Capítulo 8: Asignación de direcciones IP Capítulo 9: División de redes IP en subredes...
Read more »