Funciones del aaa
Páginas: 6 (1293 palabras)
Publicado: 9 de diciembre de 2010
1. Las funciones y la importancia de AAA.
* Autenticación: comprueba que los usuarios y administradores sean quienes dicen ser.
* Autorización: después de la autenticar al usuario o al administrador, decide a qué recursos puede acceder o qué operaciones puede realizar.
* Registro (Accounting and Auditing): guarda el instante temporal en el que se efectuan las operaciones y acceden alos recursos.
2. Los tres métodos para implementar AAA.
Los usuarios pueden acceder a la LAN de la empresa a través de marcación (NAS) o través de una VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a través del puerto consola, el puerto auxiliar o las vty.
Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD remotas. Con BBDDremotas podemos centralizar la gestión de AAA de varios dispositivos de red.
Los tres métodos de implementar AAA son:
* Localmente: en un router o un NAS.
* En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft Windows Server permitiendo la comunicación con routers y NAS.
* En un ACS de Cisco por hardware: servidor hardware dedicado que permite lacomunicación con routers y NAS.
3. Métodos de autenticación remota.
Existen dos métodos para autenticar usuarios remotos; autenticación local o remota.
* Autenticación local
Consiste en autenticar directamente en el router o el NAS los nombres de usuario y su contraseñas. Esta recomendado para pequeñas redes y no requiere BBDD externas.
La autenticación funciona de la siguiente manera; el usuariosolicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contraseña, el usuario responde, el router comprueba los datos, acepta o deniega el acceso y comunica el veredicto al usuario.
* Autenticación remota
El problema de la autenticación local es la escalabilidad. Uno o varios ACS (por software o hardware) pueden gestionar toda la autenticación de todos los dispositivos dered. La comunicación entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o RADIUS.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contraseña, el usuario responde, el router reenvía los datos al ACS, el ACS comprueba los datos y acepta o deniega el acceso, finalmente el ACScomunica el veredicto al router y este al usuario.
4. Los protocolos TACACS+ y RADIUS.
El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es más seguro pero RADIUS tiene mejor Accounting y una mejor interfaz de programación.
El ACS permite gestionar los siguientes accesos:
* Marcación contra un router o un NAS.
* Puertos consola, puertos auxiliares y vtys de dispositivos dered.
* ASAs (Adaptative Security Appliance).
* Concentradores VPN serie 300 (sólo RADIUS).
* Algunas tarjetas de testigo (token cards) y servidores
5. Los niveles de seguridad de los métodos de autenticación.
* Sin usuario y contraseña: un atacante sólo debería encontrar el dispositivo y tratar de acceder al mismo. Una manera de asegurarlo sería que el servicio escuchará un puertodiferente.
* Con usuario y contraseña y sin caducidad: el administrador decide cuando cambiar la contraseña. Este método es vulnerable a ataques de repetición, fuerza bruta, robo y inspección de los paquetes.
* Con usuario y contraseña y con caducidad: cada x tiempo el administrador es forzado a cambiar su contraseña. Este método tiene las mismas vulnerabilidades pero el tiempo paracomprometer el equipo por fuerza bruta es menor.
* OTPs: es más seguro que los anteriores ya que la contraseña enviada solo tiene validez una vez, es decir, en el momento de ser interceptada por el atacante la contraseña caduca. S/Key es una implementación de OTP que genera un listado de contraseñas a partir de una palabra secreta.
* Tarjetas de testigo por software y por hardware: está...
* Autenticación: comprueba que los usuarios y administradores sean quienes dicen ser.
* Autorización: después de la autenticar al usuario o al administrador, decide a qué recursos puede acceder o qué operaciones puede realizar.
* Registro (Accounting and Auditing): guarda el instante temporal en el que se efectuan las operaciones y acceden alos recursos.
2. Los tres métodos para implementar AAA.
Los usuarios pueden acceder a la LAN de la empresa a través de marcación (NAS) o través de una VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a través del puerto consola, el puerto auxiliar o las vty.
Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD remotas. Con BBDDremotas podemos centralizar la gestión de AAA de varios dispositivos de red.
Los tres métodos de implementar AAA son:
* Localmente: en un router o un NAS.
* En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft Windows Server permitiendo la comunicación con routers y NAS.
* En un ACS de Cisco por hardware: servidor hardware dedicado que permite lacomunicación con routers y NAS.
3. Métodos de autenticación remota.
Existen dos métodos para autenticar usuarios remotos; autenticación local o remota.
* Autenticación local
Consiste en autenticar directamente en el router o el NAS los nombres de usuario y su contraseñas. Esta recomendado para pequeñas redes y no requiere BBDD externas.
La autenticación funciona de la siguiente manera; el usuariosolicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contraseña, el usuario responde, el router comprueba los datos, acepta o deniega el acceso y comunica el veredicto al usuario.
* Autenticación remota
El problema de la autenticación local es la escalabilidad. Uno o varios ACS (por software o hardware) pueden gestionar toda la autenticación de todos los dispositivos dered. La comunicación entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o RADIUS.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contraseña, el usuario responde, el router reenvía los datos al ACS, el ACS comprueba los datos y acepta o deniega el acceso, finalmente el ACScomunica el veredicto al router y este al usuario.
4. Los protocolos TACACS+ y RADIUS.
El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es más seguro pero RADIUS tiene mejor Accounting y una mejor interfaz de programación.
El ACS permite gestionar los siguientes accesos:
* Marcación contra un router o un NAS.
* Puertos consola, puertos auxiliares y vtys de dispositivos dered.
* ASAs (Adaptative Security Appliance).
* Concentradores VPN serie 300 (sólo RADIUS).
* Algunas tarjetas de testigo (token cards) y servidores
5. Los niveles de seguridad de los métodos de autenticación.
* Sin usuario y contraseña: un atacante sólo debería encontrar el dispositivo y tratar de acceder al mismo. Una manera de asegurarlo sería que el servicio escuchará un puertodiferente.
* Con usuario y contraseña y sin caducidad: el administrador decide cuando cambiar la contraseña. Este método es vulnerable a ataques de repetición, fuerza bruta, robo y inspección de los paquetes.
* Con usuario y contraseña y con caducidad: cada x tiempo el administrador es forzado a cambiar su contraseña. Este método tiene las mismas vulnerabilidades pero el tiempo paracomprometer el equipo por fuerza bruta es menor.
* OTPs: es más seguro que los anteriores ya que la contraseña enviada solo tiene validez una vez, es decir, en el momento de ser interceptada por el atacante la contraseña caduca. S/Key es una implementación de OTP que genera un listado de contraseñas a partir de una palabra secreta.
* Tarjetas de testigo por software y por hardware: está...
Leer documento completo
Regístrate para leer el documento completo.