lunes, 7 de abril de 2014

AAA en Routers & Switches Cisco

Las principales funciones de AAA son.
  • Autenticación: comprueba que los usuarios y administradores sean quienes dicen ser.
  • Autorización: después de la autenticar al usuario o al administrador, decide a qué recursos puede acceder o qué operaciones puede realizar.
  • Registro (Accounting and Auditing): guarda el instante temporal en el que se efectuan las operaciones y acceden a los recursos.
Los Routers y Switches Cisco manejan AAA, de hecho también los Firewalls de Cisco pueden manejar AAA, los concentradores de VPN pueden manejar AAA, los Access Point pueden manejar AAA pero para este examen estamos viendo nada más los Routers y Switches.

Lo hay de tres maneras:

Cisco Secure ACS Solution Engine: Este es un equipo que contiene CSA, este casi no se usa en la vida real.

Cisco Secure Access Control Server (ACS): Se le conoce como ACS y este es el que se usa bastante en la vida real y es el que vamos a ver como se configura pero nada más la parte del router no la parte en si del servidor. El Router o el NAS es el que tiene contacto con el ACS en este caso el NAS puede ser un Router, puede ser un Switch, un Firewall, un concentrador de VPN. Entonces el router o NAS contacta a la base de datos externa el Cisco Secure ACS.

Self-contained AAA: Se le conoce tambien como Autenticacion Local y esto quiere decir que el Router no necesita de un equipo externo como el ACS para que pueda funcionar como AAA y simplemente usa la base de datos local de usuarios con contraseña para tener los servicios de AAA.

¿Cuáles son los servicios más comunes de AAA?
  • Puerto de Consola
  • Puerto Auxiliar
  • Telnet
  • SSH
  • HTTP
  • HTTPS
  • VPNs
  • Wireless
Podemos proteger todo el acceso al Router, es decir si por ejemplo queremos accesar al router por CCP ya sea por HTTP o HTTPS podemos usar AAA, si queremos entrar al router por Telnet y SSH se puede proteger con AAA, o de hecho si queremos conectarnos directamente a los puertos de consola y auxiliar podemos protegerlos con AAA.

También para los usuarios que entran por medio de VPN a nuestra red, puede ser controlado ese acceso por AAA, nuestros usuarios de Wireless se les puede pedir nombre de usuario y password para entrar a la red Wireless y este también puede estar con AAA. Entonces como podemos ver hay muchas opciones en los que AAA puede entrar en juego.

Configuración de AAA, Autenticacion Local

Vamos a configurar AAA en el Router usando Autenticacion Local, es decir sin un Servidor ACS o ningún servidor externo. Para configurar AAA vamos a realizarlo paso a paso.
  1. La primera es entrar en Modo Privilegiado
  2. La segunda es habilitar en modo global AAA
  3. Configurar las Listas de Autenticación que se les conoce como Method List
  4. Después configurar Autorización
  5. Configurar el Accounting
  6. Por ultimo verificar nuestra configuración
El primero paso para configurar AAA es habilitarlo de manera global e indicarle que la Autenticación sea Local.

Router#configure terminal
Router(config)#aaa new-model
Router(config)#aaa authentication ?
  arap             Set authentication lists for arap.
  attempts         Set the maximum number of authentication attempts
  banner           Message to use when starting login/authentication.
  dot1x            Set authentication lists for IEEE 802.1x.
  enable           Set authentication list for enable.
  eou              Set authentication lists for EAPoUDP
  fail-message     Message to use for failed login/authentication.
  login            Set authentication lists for logins.
  password-prompt  Text to use when prompting for a password
  ppp              Set authentication lists for ppp.
  sgbp             Set authentication lists for sgbp.
  username-prompt  Text to use when prompting for a username

Con el signo de interrogacion podemos ver todo lo que podemos configurar con AAA.

  • attempts: Cuantas veces o numero maximo de autentications queremos preguntarle a un usuario y password.
  • banner: Podemos configurarle un Banner.
  • enable: Podemos autenticar el enable
  • fail-message: Cual es el mensaje que se debe mostrar si la autenticación falla
  • Login: 
  • password-prompt: Lo mismo para el password, cual es el texto que quiero que diga cuando salga el password.
  • ppp: Autenticar ppp, en el caso de que si queremos autenticar a alguien que se conecte por ppp, esto se usaba mucho cuando eran por modem.
  • username-prompt: Si queremos cambiar en lugar de preguntar un username y password cambiarle a que diga usuario y contraseña por ejemplo.
Por ejemplo nosotros queremos autenticar el login, entonces le vamos a indicar que la Autenticación va hacer login, Luego le indicaremos que sea desde la Base de datos Local. Para esto ingremos el siguiente comando.

Router(config)#aaa authentication login default local

Con esto estamos indicando que la autenticación por default es la base de datos local. Ahora si verificamos Accediendo por telnet al Router.

User Access Verification
Username: delfi
Password: cisco
Router>enable
% Error in authentication.
Router>

Si le tratamos de ingresar enable, envía un mensaje de error en la Autenticación porque el enable no está dado de alta. Así que lo damos de alta el enable desde configuracion global.

Router(config)#enable secret cisco

Volvemos verificar ingresando nuevamente el comando enable.

Router>en
Password:
Router#

domingo, 6 de abril de 2014

No service password recovery

Este comando puede ser muy muy peligroso, de hecho en los Routers está escondido, si ponemos en consola “no service password-recove ?” vamos a ver que no aparece pero si se puede configurar. Lo que hace es que no podemos hacerle un password recovery al router, si intentamos hacer un password recovery va borrar la configuración y puede que borre el IOS. Es un hecho de que va borrar la configuración y dependiendo de la plataforma puede que perdamos más cosas.

Tener en mente de que ROMMON no podrá ser accesible si tenemos habilitado el “no service password-recovery”. Hay que usarlo con mucho cuidado.

Configurar no service password-recovery  

Router(config)#no service password-recovery  
   WARNING:
   Executing this command will disable password recovery mechanism.
   Do not execute this command without another plan for
   password recovery.

Are you sure you want to continue? [yes/no]: yes
Router(config)#

Si revisamos la configuracion podremos ver que si aparece el no service password-recovery

Router#show running-config
Building configuration...
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service password-recovery
!

Habilitar el service password-recovery  

Router(config)#service password-recovery   

Autenticación, utilizando la Base de Datos Local

Autenticar en el Router mediante un Username y Password 
Lo que vamos a ver ahora es que a la hora de Autenticarnos en el Router nos pida el ingreso de nombre de usuario y contraseña.

El primer paso es definir desde configuración global el username y el password.
Router#configure terminal
Router(config)#username delfirosales password cisco

Con esto ya hemos creado un nombre de usuario con su respectiva contraseña. Ahora tenemos que indicarle al router que autentique con un username y un password. Esto se hace con el commando login local. En lugar de usar el commando login, vamos usar el login local.

Habilitar Login local para la Linea de Consola

Router(config)#line console 0
Router(config-line)#login local

Con esto estamos indicándole al router que ya no le haga caso al password configurado en consola, si no que busque la base de datos local de usuario y password.

Verificamos
User Access Verification

Username: delfirosales
Password:
Router>

Vemos que ahora nos pide un usuario y password desde consola.

Habilitar Login local en las Lineas VTY

Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#exit
Router(config)#

Verificamos Telnet