CentralTECH

Curso de Redes IP

1 © Copyright
© Copyright 2016-CentralTECH
2013 CentralTECH www.cteducacion.com-- www.cteducacion.com
masinfo@cteducacion.com - masinfo@cteducacion.com
Índice
AAA – Características y funcionamiento

AAA – Radius y TACACS+

AAA – 802.1x

AAA – Configuración

© Copyright 2016 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA - Introducción
• AAA (Authentication,
Authorization and
Accounting) es un feature
de seguridad que permite
validar quién puede
conectase a los equipos de
la red y además controlar
cuáles comandos están
autorizados a ejecutar en el
Cisco IOS.

3 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA - Introducción
• Authentication es el proceso que permite verificar que un individuo es realmente quien dice ser. La
validación de un usuario la podemos realizar a través de varios métodos, siendo el usuario y
contraseña la opción más utilizada. También podemos implementar el uso de token, challenge and
responde, etc.

• Authorization es el proceso que, luego de autenticar a un usuario, permite controlar a cuáles

recursos un usuario tiene derecho a tener acceso. Por ejemplo, un usuario puede tener acceso a
entrar a la interface del router y modificar su configuración, mientras otro usuario se le niega el
acceso a este recurso.

• Accounting es el proceso mediante el cual el sistema registra cuándo y por cuanto tiempo un usuario
tuvo acceso a los recursos del sistema. Esta información es extremadamente útil para realizar
auditorías de seguridad, principalmente después de ocurrido un ataque a la red.

4 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Validación de usuario
La verificación de credenciales puede realizarse sobre una base de datos local en los dispositivos de
red. Pero este tipo de implementación no es escalable en redes con múltiples dispositivos, en este
caso se puede implementar un servidor de autenticación externo en el que se centralice la gestión
de credenciales centralizado en todo la red.

Cuando se implementan servidores de autenticación externos, los 2 servicios mas implementados

son:

• Radius: Protocolo estándar que combina servicios de autenticación y autorización en un único

proceso. Utiliza UDP para el intercambio de información.

• TACACS+ : Mecanismo propietario de cisco que separa los diferentes servicios

(autenticación, autorización y registro) en diferentes procesos.
Utiliza TCP para el intercambio de información.

5 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Validación de usuario
Cuando se implementa un servidor de autenticación externo es este servidor el que acepta o
rechaza la conexión de un usuario en función de la información con la que cuenta.

El proceso de autenticación:
Una terminal se conecta a la red y se le requiere el ingreso de usuario y clave

El dispositivo autenticador hace una solicitud de validacion de las credenciales

al servidor de autenticacion utilizando el protocolo elegiddo
(Radius o Tacacs)

El servidor de autenticacion le encia su respuesta (aceptacion o rechazo)

al autenticador para que aplique la decision.

6 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Identity Based Networking
Es un concepto que reúne varios componentes:

• Autenticación
• Control de acceso
• Políticas de usuario

Con el objetico de brindar a cada usuario el servicio que le corresponde.

De esta manera la política de seguridad en el acceso que se aplica ya no

depende de donde se conecta el usuario sino de quien es el usuario que
se conecta independientemente de donde lo haga. Cuando un usuario se
conecta a la red se requiere que se autentique y en función de su
identidad se lo coloca en la VLAN correcta. Si la autenticación falla por el
motivo que sea el usuario puede ser rechazado o simplemente colocado
en una vlan para invitados

7 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Identity Based Networking
La clave para esta implementación es el protocolo IEEE 802.1x que define 3 roles en el proceso:

Cliente (o suplicante): Una estación

terminal con un cliente de software
802.1x

Autenticador: Es el dispositivo que

controla el acceso físico a la red.

Servidor de autenticación: Servidor

responsable de verificar las credenciales
de cada cliente que se conecta a la red.

8 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Configuración

9 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Configuración

10 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Configuración

11 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Configuración

Tacacs+

12 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

 AAA – Configuración

13 © Copyright 2013 CentralTECH - www.cteducacion.com - masinfo@cteducacion.com

¿Preguntas?

14 © Copyright
© Copyright 2016-CentralTECH
2013 CentralTECH www.cteducacion.com-- www.cteducacion.com
masinfo@cteducacion.com - masinfo@cteducacion.com