AAA Informacin general

Tabla de contenidos
AAA Informacin general
En este captulo
Acerca de los Servicios de Seguridad del AAA
Ventajas del uso de la AAA
AAA Filosofa
Listas Mtodo
Por dnde empezar
Descripcin del proceso de configuracin de AAA
Habilitacin AAA
Desactivacin de la AAA
Qu hacer a continuacin


AAA Informacin general

El control de acceso es la forma de controlar quin puede acceder al servidor de red y qu servicios estn
autorizados a utilizar una vez que tienen acceso. Servicios de autenticacin, autorizacin y contabilidad (AAA)
de seguridad de red proporcionan el marco principal a travs del cual se establece el control de acceso en el
router o servidor de acceso.
En este captulo
Este captulo incluye los siguientes apartados:
Acerca de los Servicios de Seguridad del AAA
Por dnde empezar
Qu hacer a continuacin
Acerca de los Servicios de Seguridad del AAA
AAA es un marco arquitectnico para la configuracin de un conjunto de tres funciones de seguridad
independientes de una manera consistente. AAA ofrece una forma modular de la realizacin de los siguientes
servicios:
Autenticacin: proporciona el mtodo de identificacin de los usuarios, incluyendo nombre de usuario y
contrasea de dilogo, el desafo y respuesta, soporte de mensajera, y, segn el protocolo de seguridad
que seleccione, el cifrado.
La autenticacin es la forma en que un usuario se identifica antes de que se les permita el acceso a la red
y los servicios de red. Puede configurar la autenticacin AAA mediante la definicin de una lista con
nombre de mtodos de autenticacin y, a continuacin, la aplicacin de esa lista a varias interfaces. La
lista de mtodos se definen los tipos de autenticacin que se va a realizar y la secuencia en la que se
llevarn a cabo, sino que debe aplicarse a una interfaz especfica antes que cualquiera de los mtodos de
autenticacin definidos se realizarn. La nica excepcin es la lista de mtodo por defecto (que lleva el
nombre "default"). La lista mtodo por defecto se aplica automticamente a todas las interfaces si no hay
otra lista de mtodo est definido. Una lista mtodo definido invalida la lista de mtodo por defecto.
Todos los mtodos de autenticacin, salvo los locales, contrasea de lnea y habilitar la autenticacin,
deben definirse a travs de AAA. Para obtener informacin sobre la configuracin de todos los mtodos
de autenticacin, incluyendo las que se desarrollen fuera de los servicios de seguridad AAA, consulte el
captulo "Configuracin de la autenticacin."
Autorizacin: proporciona el mtodo para el control de acceso remoto, como la autorizacin de una sola
vez o una autorizacin para cada servicio, la lista y el perfil de cada usuario de cuenta, admite grupos de
usuarios, y el apoyo de IP, IPX, ARA, y Telnet.
Autorizacin AAA trabaja ensamblando un conjunto de atributos que describen lo que el usuario est
autorizado a realizar. Estos atributos se comparan con la informacin contenida en una base de datos
para un usuario dado y el resultado se devuelve a AAA para determinar las capacidades y las
restricciones reales del usuario. La base de datos se puede localizar de forma local en el servidor de
acceso o router o puede ser alojado remotamente en un servidor RADIUS o TACACS +
seguridad. Servidores de seguridad remotas, tales como RADIUS y TACACS +, autorizan a los usuarios
de los derechos especficos mediante la asociacin de atributo-valor (AV) pares, que definen esos
derechos con el usuario apropiado. Todos los mtodos de autorizacin deben ser definidas a travs de
AAA.
Al igual que con la autenticacin, configure autorizacin AAA mediante la definicin de una lista con
nombre de mtodos de autorizacin y, a continuacin, la aplicacin de esa lista a varias interfaces. Para
obtener informacin sobre la configuracin de la autorizacin el uso de AAA, consulte el captulo
"Configuracin de autorizacin."
Contabilidad: proporciona el mtodo para la recogida y envo de la informacin del servidor de seguridad
utilizado para la facturacin, auditora y presentacin de informes, tales como las identidades de usuario,
inicio y fin, ejecutado comandos (como PPP), nmero de paquetes, y el nmero de bytes.
Contabilidad le permite realizar un seguimiento de los servicios de los usuarios estn accediendo, as
como la cantidad de recursos de la red que estn consumiendo. Cuando se activa la contabilidad de AAA,
el servidor de acceso a la red informa de la actividad del usuario a la RADIUS o TACACS + servidor de
seguridad (segn el mtodo de seguridad que ha implementado) en forma de registros contables. Cada
registro de contabilidad se compone de pares de AV contabilidad y se almacena en el servidor de control
de acceso. Estos datos pueden ser analizados para la gestin de la red, la facturacin del cliente, y / o
auditora. Todos los mtodos de contabilidad deben ser definidas a travs de AAA. Al igual que con la
autenticacin y la autorizacin, se configura la contabilidad AAA mediante la definicin de una lista con
nombre de mtodos de contabilidad y, a continuacin, la aplicacin de esa lista a varias interfaces. Para
obtener informacin sobre la configuracin de la contabilidad usando AAA, consulte el captulo
"Configuracin de la contabilidad."
En muchas circunstancias, AAA utiliza protocolos como RADIUS, TACACS +, o Kerberos para administrar sus
funciones de seguridad. Si el servidor de acceso o enrutador est actuando como un servidor de acceso de
red, AAA es el medio a travs del cual establecer la comunicacin entre el servidor de acceso a la red y su
RADIUS, TACACS + o un servidor de seguridad de Kerberos.
Aunque AAA es el mtodo principal (y recomendado) para control de acceso, el software Cisco IOS
proporciona funciones adicionales para el control de acceso simple que estn fuera del alcance de AAA, como
la autenticacin de nombre de usuario locales, autenticacin de contrasea de lnea y habilitar la autenticacin
de contrasea. Sin embargo, estas caractersticas no proporcionan el mismo grado de control de acceso que
es posible mediante el uso de AAA.
Esta seccin incluye las siguientes secciones:
Ventajas del uso de la AAA
AAA Filosofa
Listas de mtodo
Ventajas del uso de la AAA
AAA ofrece los siguientes beneficios:
Mayor flexibilidad y control de la configuracin de acceso
Escalabilidad
Mtodos de autenticacin estandarizados, como RADIUS, TACACS +, y Kerberos
Los sistemas de copia de seguridad mltiples


Nota Los protocolos en desuso, TACACS TACACS y ampliado, no son compatibles con AAA; si selecciona estos
protocolos de seguridad, usted no ser capaz de tomar ventaja de los servicios de seguridad de la AAA.

AAA Filosofa
AAA est diseado para que pueda configurar dinmicamente el tipo de autenticacin y autorizacin que
usted quiere en una por lnea (por usuario) o (por ejemplo, IP, IPX o VPDN) funcin de cada servicio. Usted
define el tipo de autenticacin y autorizacin que desee crear listas de mtodo, entonces la aplicacin de esas
listas de mtodo a los servicios o interfaces especficas.
Para obtener informacin acerca de las aplicaciones que utilizan la AAA, como la configuracin de cada
usuario y los perfiles virtuales, consulte los captulos "Configuracin por usuario Configuracin" y
"Configuracin de perfiles virtuales" en los Cisco IOS Gua de configuracin de acceso telefnico
Technologies, versin 12.2 .
Listas Mtodo
Una lista de mtodos es una lista secuencial que se definen los mtodos de autenticacin utilizados para
autenticar un usuario. Este tipo de listas le permiten designar uno o ms protocolos de seguridad que se
utilizarn para la autenticacin, lo que garantiza un sistema de copia de seguridad para la autenticacin en el
caso de que el mtodo inicial falla. Software Cisco IOS utiliza el primer mtodo de la lista para autenticar a los
usuarios, y si ese mtodo no responde, el software Cisco IOS selecciona el siguiente mtodo de autenticacin
en la lista de mtodo. Este proceso contina hasta que haya una comunicacin exitosa con un mtodo de
autenticacin cotizada o la lista de mtodos de autenticacin se agota, en el que falla la autenticacin caso.


Nota Cisco IOS autenticacin intentos de software con el siguiente mtodo de autentificacin catalogado slo
cuando no hay respuesta desde el mtodo anterior. Si la autenticacin falla en cualquier punto de este ciclo-el
sentido de que el servidor de seguridad de base de datos o nombre de usuario local, responde al negar el
acceso de los usuarios-el proceso de autenticacin se detiene y no hay otros mtodos de autenticacin se
intentan.

La figura 2 muestra una configuracin de red tpica que incluye AAA cuatro servidores de seguridad: R1 y R2
son servidores RADIUS, y T1 y T2 son TACACS + servidores.
Figura tpica configuracin de red 2 AAA

Supongamos que el administrador del sistema ha definido una lista de mtodos en donde R1 se pondr en
contacto por primera vez para la informacin de autenticacin, entonces R2, T1, T2, y finalmente la base de
datos de nombre de usuario local en el servidor de acceso a s mismo.Cuando un usuario remoto intenta
marcar a la red, el servidor de acceso a la red consulta primero R1 informacin de autenticacin. Si R1
autentica al usuario, emite una respuesta PASS para el servidor de acceso a la red y el usuario est
autorizado para acceder a la red. Si R1 devuelve una respuesta falla, el usuario no podr acceder y se termina
la sesin. Si R1 no responde, el servidor de acceso a la red que procesa como un error y consulta R2 para la
informacin de autenticacin. Este patrn contina a travs de los mtodos designados que faltan para que el
usuario est autenticado, ya sea o rechazado, o hasta que se termina la sesin. Si todos los mtodos de
autenticacin devuelven errores, el servidor de acceso a la red procesar la sesin como un fracaso, y la
sesin finalizar.


Nota Una respuesta del FALL es significativamente diferente de un ERROR. A FALLO significa que el usuario no
ha cumplido con los criterios contenidos en la base de datos de autenticacin aplicable para ser autenticado
correctamente. Autenticacin termina con una respuesta del FALL. Un error significa que el servidor de
seguridad no ha respondido a una consulta de autenticacin. Debido a esto, hay autenticacin se ha
intentado. Slo cuando se detecta un error AAA seleccionar el siguiente mtodo de autenticacin definido en
la lista de mtodos de autenticacin.

Por dnde empezar
Primero debe decidir qu tipo de solucin de seguridad que desea implementar. Es necesario evaluar los
riesgos de seguridad en su red particular y decidir sobre los medios adecuados para evitar la entrada y el
ataque no autorizado. Para obtener ms informacin acerca de la evaluacin de sus riesgos de seguridad y
las posibles soluciones de seguridad, consulte el captulo "Descripcin de la seguridad." Cisco recomienda
utilizar AAA, no importa cun pequea sus necesidades de seguridad podran ser.
Esta seccin incluye los siguientes apartados:
Descripcin del proceso de configuracin de AAA
Habilitacin de AAA
Desactivacin AAA
Descripcin del proceso de configuracin de AAA
Configuracin de AAA es relativamente sencillo despus de entender los procesos bsicos involucrados. Para
configurar la seguridad de un router Cisco o servidores de acceso con AAA, siga este proceso:
1. Habilitar AAA utilizando el nuevo modelo aaa comando de configuracin global.
2. Si usted decide utilizar un servidor de seguridad independiente, configurar los parmetros del protocolo de
seguridad, tales como RADIUS, TACACS +, o Kerberos.
3. Definir las listas de mtodos para la autenticacin mediante el uso de un comando de autenticacin AAA.
4. Aplicar las listas de mtodo a una interfaz o lnea en particular, si es necesario.
5. (Opcional) Configure la autorizacin de uso de la autorizacin aaa comando.
6. (Opcional) Configure la contabilidad usando la contabilidad aaa comando.
Para una descripcin completa de los comandos que se utilizan en este captulo, consulte el captulo
"Comandos de autenticacin" del Cisco IOS Referencia de comandos de seguridad . Para localizar la
documentacin de otros comandos que aparecen en este captulo, utilice el ndice maestro de referencia de
comandos o buscar en lnea.
Habilitacin AAA
Antes de utilizar cualquiera de los servicios de seguridad de la red AAA proporcionan servicios, debe habilitar
AAA.


Nota Cuando se habilita la AAA, ya no podr acceder a los comandos para configurar los protocolos ms antiguos,
TACACS o TACACS extendido. Si ha decidido utilizar TACACS o TACACS extendido en su solucin de
seguridad, no se permitir a AAA.

Para activar AAA, utilice el siguiente comando en el modo de configuracin global:
Comando Propsito
Router (config) # aaa nuevo modelo

Permite la AAA.


Desactivacin de la AAA
Puede deshabilitar la funcionalidad AAA con un solo comando si usted decide que sus necesidades de
seguridad no se pueden cumplir por la AAA, pero pueden ser satisfechas mediante TACACS, TACACS
extendidos, o un mtodo de seguridad de lnea que puede ser implementado sin AAA. Para desactivar la AAA,
utilice el siguiente comando en el modo de configuracin global:
Comando Propsito
Router (config) # no aaa nuevo modelo

Desactiva AAA.


Qu hacer a continuacin
Una vez que haya habilitado AAA, est listo para configurar los otros elementos relacionados con la solucin
de seguridad seleccionado. Tabla 3 se describen las tareas de configuracin de AAA y dnde encontrar ms
informacin.
Tabla 3 AAA de acceso Soluciones de Seguridad Mtodos de control
Tarea
Captulo en el Cisco IOS Gua de
configuracin de seguridad

Configuracin de la autenticacin de inicio
de sesin local
"Configuracin de la autenticacin"
El control de inicio de sesin utilizando la
autenticacin del servidor de seguridad
"Configuracin de la autenticacin"
Definicin de listas de mtodos para la
autenticacin
"Configuracin de la autenticacin"
La aplicacin de las listas de mtodo a una
interfaz o lnea particular
"Configuracin de la autenticacin"
Configurar los parmetros del protocolo de
seguridad RADIUS
"Configuracin de RADIUS"
Configurar los parmetros del protocolo de
seguridad de TACACS +
"Configuracin de TACACS +"
Configurar los parmetros del protocolo de
seguridad Kerberos
"Configuracin de Kerberos"
Habilitacin TACACS + autorizacin "Configuracin de Autorizacin"
Habilitacin autorizacin RADIUS "Configuracin de Autorizacin"
Visualizacin de atributos IETF RADIUS
admitidos
"RADIUS Atributos" (Apndice)
Visualizacin de los atributos de RADIUS
especficos del proveedor soportados
"RADIUS Atributos" (Apndice)
Viendo pares AV TACACS + soportados "Pares AV TACACS +" (Apndice)
Activacin de la contabilidad "Configuracin de Contabilidad"

Bibliografa
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.ht
ml