UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO

Transcripción

1 2011 Instalación de servidor de seguridad con autenticación TACACS+ José Alejandro Ávila Jiménez UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Instalación de Servidor de seguridad con autenticación TACACS+ Memoria Que como parte de los requisitos para obtener el titulo de Ingeniero en Tecnologías de la Información y Comunicación Presenta José Alejandro Ávila Jiménez M. en C. Raúl García Pérez M. en C. José Gonzalo Luego Pérez Asesor de la UTEQ Asesor de la empresa Santiago de Querétaro Qro, a de del

2 RESUMEN En la actualidad la seguridad de la información es esencial en cualquier organización. Con las tecnologías de la información se puede proteger la información vital para una empresa. Una forma de ingresar a los equipos de telecomunicaciones (conmutadores y ruteadores) es mediante la autenticación de usuarios por medio de los protocolos de seguridad RADIUS y TACACS+, éste último propietario de CISCO. TACACS (acrónimo de Terminal Access Controller Access Control System) es un protocolo de autenticación remota, propietario de Cisco, que se usa para comunicarse con un servidor de permisos de usuarios comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene autorización para utilizar recursos en a la red. El presente trabajo sirve como guía que permitirá montar servidores de seguridad con autenticación de usuarios utilizando el protocolo TACACS+, todo esto con el objetivo de implementar actividades en forma de prácticas para los alumnos que cursan la ingeniería en TI. (Palabras clave: guía, servidor, CISCO, RADIUS, TACACS+, switch, protocolo, PPP, ISP, Internet, configuración) 2

3 ABSTRACT Nowadays information is essential in any organization. Can protect vital information for an enterprise using information technologies. One way to enter the telecommunication equipment (switches and routers) is through user authentication using security protocols RADIUS and TACACS+, the last is owner from CISCO. TACACS (an acronym for Terminal Access Controller Access Control System) is a remote authentication protocol, owner of Cisco, which is used to communicate with an authentication server commonly used on Unix networks. TACACS allows a remote access server to communicate with an authentication server to determine if the user has access to the network. This document can be used as a guide that will help to students how to mount to security server s user authentication using the TACACS + protocol, all with the goal of implementing these activities in the form of practices for students studying IT engineering. 3

4 Índice CAPÍTULO I INTRODUCCIÓN ANTECEDENTES JUSTIFICACIÓN OBJETIVOS ALCANCES CAPÍTULO II RECURSOS MATERIALES Y HUMANOS PLAN DE ACTIVIDADES FUNDAMENTACION TEORICA Esquemas de autenticación a ruteadores Funcionamiento de TACACS Esquema de funcionamiento Modelo Cliente Servidor Mecanismos de autenticación Ejemplo de tráfico en TACACS CAPÍTULO III DESARROLLO DEL PROYECTO Ubicación y etapas de desarrollo del proyecto Actividad con el servidor TACACS Materiales Diagrama de topología TACACS Tabla de direcciones TACACS Montando el servidor TACACS Instalación servidor TACACS Configuración del ruteador TACACS Prueba final de autenticación hacia el dispositivo ruteador CAPÍTULO IV Resultados obtenidos Análisis de riesgos CAPÍTULO V Conclusiones Referencias bibliográficas

5 Tabla de Ilustraciones Ilustración 1: Packet Tracert... 9 Ilustración 2: Algoritmo de actividades Ilustración 3: Recursos materiales y humanos Ilustración 4: Diagrama de Gantt Ilustración 5: Tabla de actividades Ilustración 6: Esquema de funcionamiento TACACS Ilustración 7: Ejemplo de trafico TACACS Ilustración 8: Topologia TACACS Ilustración 9: Terminal de Ubuntu Ilustración 10: Configuración de usuarios Ilustración 11: Telnet al dispositivo ruteador

6 CAPÍTULO I 6

7 1.1 INTRODUCCIÓN El presente proyecto servirá como guía a los estudiantes de ingeniería en TI para elaborar correctamente las prácticas de redes de acuerdo con la retícula vigente de la materia de Seguridad de la Información; así mismo se implementarán algunas metodologías vistas en clase para reforzar el conocimiento del estudiante próximo a graduarse como ingeniero en TI. Éste trabajo también puede ser de utilidad para cualquier profesional de TI como consulta de los procedimientos para montar servidores de seguridad utilizando el método de autenticación TACACS+. El primer capítulo tratara los antecedentes del proyecto, para qué fue desarrollado? y el estado previo al desarrollo del proyecto; se hará de manera muy breve la justificación y las motivaciones que llevaron al desarrollo el proyecto. También se tratarán los objetivos medibles y alcanzables, se enfatizaran las principales metas que debe cumplir el proyecto de manera sencilla y clara; que a su vez se hablará de los alcances del proyecto y cada una de las etapas del desarrollo del mismo de manera clara y concisa. El capítulo II redacta los principales recursos materiales y humanos utilizados para el montaje del servidor de seguridad, así como el equipo especial utilizado, las personas involucradas en el proyecto; además se presentan las actividades a realizar de manera gráfica; elaborando un cronograma ampliamente conocido como diagrama de Gantt en honor a su diseñador el ingeniero Henrry Laurence Gantt en En adición se explicará la fundamentación teórica que es 7

8 prácticamente el sustento metodológico del desarrollo del proyecto; y que para éste caso se recopiló en su mayoría material de la empresa de telecomunicaciones Cisco Systems. El contenido del capítulo III es de suma importancia porque es el momento de explicar el desarrollo del montaje del servidor de seguridad utilizando TACACS+ como método de autenticación de usuarios para acceder a diferentes equipos de telecomunicaciones. En el capítulo IV se mostrarán los resultados obtenidos en el proyecto y que se reflejarán en las prácticas ya terminadas para los estudiantes. También es importante considerar el énfasis en plasmar un análisis de riesgos pertinente de los principales problemas que se pudieran presentar en el montaje de los servidores y también su mitigación. Finalmente se tiene el capítulo V que habla de las conclusiones y recomendaciones del proyecto así como la bibliografía de consulta en la que está basado éste contenido. 8

9 1.2 ANTECEDENTES Parte de la formación integral del ingeniero en TI, es tener dominio en los temas de redes y telecomunicaciones y a su vez cumplir con una curricula de diversas materias de la especialidad, entre ellas Seguridad de la Información ; donde el alumno aprenderá técnicas de seguridad para equipos de ruteo y switcheo. El panorama antes de la elaboración del proyecto se centraba en que el profesor proponía diversas prácticas de seguridad, para que el alumno adquiriera y reforzara los conocimientos además de practicar las destrezas aprendidas referente a los equipos de redes propietarios de Cisco, según el plan de estudios. Antes del proyecto la herramienta para realizar todas éstas prácticas era el Packet Tracer (Ilustración 1), un software simulador de entornos de red propietario de CISCO y en ocasiones en equipo físico. Ilustración 1: Packet Tracert 9

10 La principal motivación de la realización de éste proyecto, fue mejorar las habilidades del estudiante, ya que antes el acceso a equipo físico de telecomunicaciones era más restringido. Gracias al apoyo de la Universidad Tecnológica de Querétaro, de los tutores, asesores y al equipo brindado, es posible desarrollar éste proyecto que pretende integrar actividades 100% prácticas sobre servidores de seguridad y equipo de ruteo para que refuercen el aprendizaje de los candidatos a ingeniero en TI, cubriendo los perfiles del plan de estudios vigente. 10

11 1.3 JUSTIFICACIÓN Las principales razones para el desarrollo del proyecto fueron el impulso por la innovación educativa y las técnicas de enseñanza; además también influyó mucho el deseo de aprender sobre las nuevas tecnologías de seguridad para servidores de autenticación en un entorno de telecomunicaciones. Las competencias que adquirirá el alumno al finalizar el desarrollo de éstas práctica serán: A. Planear proyectos de seguridad en redes y telecomunicaciones para la implementación eficaz de soluciones, empleando los recursos disponibles en la organización, para contribuir a la productividad y logro de los objetivos estratégicos de las organizaciones utilizando las metodologías apropiadas. B. Construir proyectos de tecnologías de la información empleando estándares y modelos de calidad para contribuir en la competitividad de las organizaciones. C. Evaluar sistemas de tecnologías de información para establecer acciones de mejora e innovación en las organizaciones. Los beneficios que se esperan al concluir el proyecto son un adecuado dominio sobre sistemas de seguridad para autenticar usuarios utilizando el método TACACS+. 11

12 1.4 OBJETIVOS Los objetivos planteados para éste proyecto son los siguientes: Concluir el diseño y desarrollo al 100% en tiempo y forma según el cronograma, de la actividad práctica sobre equipo físico y de la actividad en software Packet Tracer para probar el funcionamiento del protocolo de autenticación TACACS+. Lograr un dominio claro del tema de servidores utilizando el protocolo de seguridad TACACS+. Reforzar conocimientos, destrezas y habilidades de aprendizaje en un entorno práctico, resolviendo las actividades que involucran el montaje de servidores de seguridad utilizando el protocolo de autenticación de usuarios TACACS+. 12

13 1.5 ALCANCES Los principales alcances del proyecto son a nivel institucional, donde se pretende finalizar las prácticas para que puedan ser aprovechadas por alumnos de la Universidad Tecnológica de Querétaro. La delimitación del proyecto abarca desde investigar las técnicas y métodos para el desarrollo de un servidor TACACS+, aplicar software, configuraciones, realizar pruebas en equipo físico hasta la documentación, diseño, y elaboración de prácticas. El diseño cronológico del proyecto es similar a un algoritmo trasladado a un diagrama de flujo, ya que es secuencial y una ó más de las actividades pueden ser repetitivas hasta encontrar los resultados esperados, tal y como lo muestra la figura 1.2. Donde el ciclo es el inicio de actividades, seguido por la investigación y recopilación de información de diversas fuentes como libros, artículos, revistas, videos, tutoriales, otros trabajos de investigación y guías. Posteriormente se pasa a la obtención de las herramientas investigadas tales como software necesario y hardware adecuado. Después se pasa a la etapa de pruebas en equipo físico para validar si todo el proceso fue exitoso, si la respuesta es positiva esto dará pauta a realizar la documentación de lo contrario se deberá volver al punto de investigación y recopilación de información. 13

14 Inicio de actividades Investigación y recopilación de información Obtención de herramientas de hardware y software Pruebas en equipo físico Proceso exitoso? SI Documentar NO Entregar Fin de actividades Ilustración 2: Algoritmo de actividades 14

15 CAPÍTULO II 15

16 2.1 RECURSOS MATERIALES Y HUMANOS A continuación se presentará la lista de recursos necesarios para el desarrollo del proyecto, contemplando recursos humanos y materiales (Ilustración 3). Más adelante se plantea el cronograma seguido para la elaboración del proyecto (Ilustración 4), en conjunto con la lista de actividades a realizar (Ilustración 5) RECURSOS HUMANOS Profesores y tutores de la UTEQ RECURSOS MATERIALES RECURSO CANTIDAD Ruteadores Cisco Sitches Catalyst 2 Cable consola Rollover 1 Cable de red Straight 7 Adaptador DB-9 a USB 1 Cable de corriente 4 Cable de conexión serial RS Computadora portátil 3 Conexión a Internet 1 Libros, revistas y trabajos 1 Ilustración 3: Recursos materiales y humanos 16

17 2.2 PLAN DE ACTIVIDADES Ilustración 4: Diagrama de Gantt 17

18 TAREAS DURACION COMIENZO FIN INICIAR ACTIVIDADES 1 día? 21/02/ :00 21/02/ :00 PRIMERA INVESTIGACION Y RECOPILACION DE LA INFORMACION 11 días? 22/02/ :00 04/03/ :00 PRIMERA OBTENCION DE HERRAMIENTAS DE HARDWARE Y SOFTWARE 7 días? 05/03/ :00 11/03/ :00 PRIMERAS PRUEBAS EN EQUIPO FISCO 12 días? 07/03/ :00 18/03/ :00 SEGUNDA INVESTIGACION Y RECOPILACION DE LA INFORMACION 5 días? 21/03/ :00 25/03/ :00 SEGUNDA OBTENCION DE HERRAMIENTAS DE HARDWARE Y SOFTWARE 1 día? 27/03/ :00 27/03/ :00 SEGUNDAS PRUEBAS EN EQUIPO FISCO 5 días? 28/03/ :00 01/04/ :00 TERCERA INVESTIGACION Y RECOPILACION DE LA INFORMACION 5 días? 04/04/ :00 08/04/ :00 TERCERA OBTENCION DE HERRAMIENTAS DE HARDWARE Y SOFTWARE 2 días? 09/04/ :00 10/04/ :00 TERCERAS PRUEBAS EN EQUIPO FISCO 5 días? 11/04/ :00 15/04/ :00 DOCUMENTACION 46 días? 01/03/ :00 15/04/ :00 ELABORACION DE TUTORIALES Y VIDEOS 4 días? 16/04/ :00 19/04/ :00 ENTREGA DEL PROYECTO 1 día? 20/04/ :00 20/04/ :00 Ilustración 5: Tabla de actividades Tabla

19 2.3 FUNDAMENTACION TEORICA Esquemas de autenticación a ruteadores Cuando se requiere administrar un ruteador de forma remota, se necesita cumplir tres condiciones importantes: Autenticación que es la identificación del acceso, Autorización que son los recursos disponibles en la conexión y el Accounting que es el historial de movimientos en dicha cuenta. Los tres métodos de conexión para administrar a un ruteador son: por medio de consola, por medio de la conexión auxiliar y por terminales vty. Los medios y la infraestructura de red que más se utilizan son: Por medio de marcación (dial up) A través del protocolo PPP, Por medio de una red privada virtual (VPN). Los tipos de autenticación de acuerdo a la ubicación, son local y remota. Las autenticaciones locales se validan utilizando una base de datos local, que generalmente está alojada en el ruteador ó en el dispositivo de red al cuál se quiere acceder, y las autenticaciones remotas utilizan normalmente un servidor aledaño que puede estar en cualquier ubicación dentro de la red. Para las autenticaciones remotas existen dos tipos de servidores de seguridad que son: TACACS+ y RADIUS. 19

20 2.3.2 Funcionamiento de TACACS+ TACACS es el acrónimo de Terminal Access Controller Access Control System, en inglés sistema de control de acceso del controlador de acceso a terminales ; y es un protocolo de autenticación remota que se usa para gestionar el acceso, además de proporcionar servicios separados de autenticación, autorización y registro a servidores y dispositivos de comunicaciones. TACACS es propietario de Cisco, y es muy usado para comunicarse con un servidor de autenticación comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar los permisos de un usuario, además éste protocolo está documentado en el estándar RFC 1492 TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS. 20

21 2.3.3 Esquema de funcionamiento El software Cisco IOS soporta actualmente tres versiones para la Terminal Access Controller Access: TACACS +: Un reciente protocolo que provee la información de cuentas de usuario detallada y flexible, además de tener control administrativo sobre los procesos de autenticación y autorización. TACACS+ se da gracias a la AAA, y sólo se puede activar a través de comandos AAA. TACACS: es un protocolo de acceso más viejo e incompatible con el nuevo protocolo TACACS +, que está ahora en uso por Cisco. TACACS Proporciona la comprobación de contraseñas y autenticación, y la notificación de las acciones del usuario con fines de administración y seguridad de cuentas. TACACS Extendido: es una extensión del viejo protocolo TACACS. TACACS Extendido proporciona información acerca de conversión de protocolos y el uso del router. Esta información se utiliza en auditoría UNIX y archivos de cuentas de usuario. Básicamente el esquema de funcionamiento de TACACS+ (Ilustración 6) es muy similar al de RADIUS; la diferencia a simple vista es que TACACS+ está diseñado para ejecutarse en servidores Linux. 21

22 Ilustración 6: Esquema de funcionamiento TACACS 22

23 2.3.4 Modelo Cliente Servidor TACACS+ es una aplicación de seguridad que proporciona la validación centralizada de los usuarios que intentan acceder a un router o un servidor de acceso a la red. Los servicios TACACS+ se mantienen en una base de datos que se ejecuta por lo general, en una estación de trabajo UNIX o Windows NT. Se debe configurar el servidor TACACS+, de preferencia antes de dar de alta los servicios en el ruteador. TACACS+ proporciona una autenticación independiente y modular, autorización y facilidades de administración de cuentas. TACACS+ permite a un servidor de control de acceso único proveer servicio de autenticación, autorización y manejo de cuentas independientemente. Cada servicio puede ser inicializado en su propia base de datos para aprovechar de otros servicios disponibles en ese servidor o en la red, dependiendo de las capacidades. El objetivo de TACACS+ es proporcionar una metodología para la gestión desde múltiples puntos de acceso a la red. 23

24 2.3.5 Mecanismos de autenticación TACACS+ opera básicamente al igual que RADIUS con tres elementos fundamentales: Autenticación: proporciona un control completo de autenticación mediante nombre de usuario y contraseña. La facilidad de autenticación proporciona la capacidad para llevar a cabo un diálogo con el usuario (por ejemplo, después de un inicio de sesión y contraseña se proporcionan características muy particulares para validar a un usuario como por ejemplo una serie de cuestiones, como domicilio, número de seguridad social, etc. Además, el servicio de autenticación TACACS+ admite el envío de mensajes a los usuarios a través de cuadros de diálogo. Por ejemplo, un mensaje podría notificar a los usuarios de que sus contraseñas se deben cambiar, porque la política de caducidad de contraseñas de la empresa ha caducado. Autorización: proporciona un control detallado sobre las capacidades del usuario para la duración de la sesión del usuario, incluyendo auto-comandos, control de acceso, duración de la sesión, ó el apoyo del protocolo. También se pueden imponer restricciones sobre los comandos que un usuario puede ejecutar; todo esto con características de autorización de TACACS+. Accounting: recoge y envía la información utilizada para la facturación, auditoría y presentación de informes a la TACACS+. Los administradores de red pueden utilizar la función de cuentas para rastrear la actividad del usuario para una 24

25 auditoría de seguridad o para proporcionar información para la facturación del usuario. Los registros de cuentas incluyen las identidades de usuario, inicio y finalización, los comandos ejecutados (tales como PPP), el número de paquetes, y el número de bytes. El protocolo TACACS+ proporciona la autenticación entre el servidor de acceso a la red y TACACS+, y se asegura la confidencialidad ya que todos los intercambios de protocolo entre un servidor de acceso a la red y TACACS+ se cifran. 25

26 2.3.6 Ejemplo de tráfico en TACACS+ Este ejemplo (Ilustración 7) asume el login de autenticación, exec autorización, comando autorizado, iniciar-parar exec accounting, y comandos de accounting que pueden ser utilizados por un usuario cuando hace telnet a un router, realiza el comando y sale del router: Ilustración 7: Ejemplo de trafico TACACS 26

27 CAPÍTULO III 27

28 3.1 DESARROLLO DEL PROYECTO Ubicación y etapas de desarrollo del proyecto El proyecto se desarrolló en varios puntos, según el desglose cíclico de actividades la investigación y recopilación de información y datos se realizó en bibliotecas, Internet y otras instituciones educativas con el apoyo de profesionales en el área incluyendo en ésta etapa también a la Universidad Tecnológica de Querétaro. La etapa de búsqueda de herramientas y software adecuado para montar el servidor Tacacs+, se realizó de manera local en el lugar de trabajo de la preferencia del investigador, ya que se requería contar con un área de confort para mayor comodidad y concentración que favoreciera el avance de los procesos involucrados en el desarrollo del proyecto. Las pruebas de software y hardware, ya con la información recopilada, un documento sólido y bien estructurado y con las herramientas de software necesarias para la actividad, se llevaron a cabo en la Universidad Tecnológica de Querétaro con equipo de los laboratorios de Cisco, específicamente se estuvo trabajando en el laboratorio de Cisco II. 28

29 3.1.2 Actividad con el servidor TACACS La topología (figura 3.1) muestra que los ruteadores R1 y R2 actualmente están siendo administrados bajo un entorno basado en el secret passsword sin ningún tipo de autenticación aplicada a los usuarios que se conectan local y remotamente a ellos. El reto es montar y configurar un servidor bajo la plataforma Ubuntu que utilice autenticación TACACS para que verifique las conexiones locales y remotas que los administradores realicen cuando intenten gestionar la configuración del ruteador R1 desde cualquier computadora de la RED_1 ó la RED_2. Además de configurar correctamente el ruteador R1 bajo el esquema TACACS y las configuraciones básicas para el R Materiales A continuación se dispondrá de los siguientes equipos y dispositivos: EQUIPO / DISPOSITIVOS CANTIDAD Computadoras personales / Laptops 6 Router Cisco Switch Cisco Catalyst Cable de consola RollOver 1 Adaptador DB-9 a USB 1 Cable de corriente 4 Cable de conexión serial RS Cable de red, Straight 7 29

30 3.1.4 Diagrama de topología TACACS Con los dispositivos se deberá formar la siguiente topología. Ilustración 8: Topologia TACACS Tabla de direcciones TACACS DISPOSITIVO INTERFACE DIRECCION IP MASCARA DE SUBRED R1 Fa0/ Se0/0/ R2 Fa0/ Se0/0/ SERVIDOR RADIUS NIC SWITCH 1 PUERTOS N/A N/A CLIENTE_1_RED_1 NIC CLIENTE_2_RED_1 NIC SWITCH 2 PUERTOS N/A N/A CLIENTE_1_RED_2 NIC CLIENTE_1_RED_2 NIC

31 3.1.6 Montando el servidor TACACS Para la ejecución e instalación del servidor TACACS fue necesario contar con dos elementos muy importantes, el primero de ellos es una PC con una plataforma Ubuntu la cual es una distribución GNU/Linux que proporciona un sistema operativo actualizado y estable para el usuario medio. Ubuntu es gratuito y se puede descargar directamente de su web oficial: El segundo elemento fue la última versión del paquete TACACS+ la cual está disponible al público en la siguiente liga: Instalación servidor TACACS Para la instalación del servidor TACACS fue necesario ejecutar una serie de comandos desde la Terminal de Ubuntu a la cual se puede acceder desde el menú superior izquierdo Aplicaciones/Accesorios/Terminal (Ilustración 9). Ilustración 9: Terminal de Ubuntu 31

32 La ejecución de los comandos se introdujo de la siguiente manera: 1. Se instaló TCP wrappers. El propósito de esta herramienta es establecer un mejor control sobre los servicios de una red local y sobre los host que tienen permitido acceder a ella. Comando: apt-get install libwrap0-dev gcc make libc6-dev 2. Se realizó una copia del archivo de la versión TACACS+ descargada previamente al directorio /src. Comando: cp tacacs+-f tar.gz /usr/src 3. Se accedió al directorio /src y previamente se descomprimió el archivo tacacs+-f tar.gz. Comando: cd /usr/src sudo tar xvfz tacacs+-f tar.gz 4. Se accedió al nuevo directorio creado. Comando: cd tacacs+-f

33 5. Se ejecuto el script configure que se encuentra dentro del directorio tacacs+-f el cual comprueba que se cuenta con los requerimientos de hardware y software para la instalación de este paquete. En caso contrario este advertirá en pantalla los elementos faltantes. Comando: sudo./configure 6. Se ejecuto el script Makefile.in que se encuentra dentro del directorio tacacs+-f que realiza el proceso de instalación del paquete. Comando: sudo make install 33

34 Terminado el proceso de instalación se creó un archivo de texto con el nombre tac_plus.conf en el directorio /usr para generar la configuración de los usuarios que tendrán acceso al router (Ilustración 10). Ilustración 10: Configuración de usuarios Se estableció la key que debe ser la misma configurada en el router y dos usuarios alex y raul con sus respectivos passwords para acceder al dispositivo y acceder a modo privilegiado. Realizado esto el servidor TACACS está listo para ser ejecutado desde la terminal con el siguiente comando tac_plus -C /etc/tac_plus.conf. 34

35 3.1.8 Configuración del ruteador TACACS Paso 1: Primero se accede al modo privilegiado y se restablece la configuración de ambos ruteadores y de los switches con el siguiente comando. R1#erase startup-config Paso 2: Después de levantar todas las interfaces seriales y de Ethernet de ambos ruteadores, hacer las conexiones pertinentes y las configuraciones básicas; entonces se procederá a configurar la autenticación AAA. Establecer la contraseña enable secret como Cisco, para establecer niveles de seguridad locales. R1(config)#enable secret cisco Paso 3: Configurar un usuario local como respaldo para acceder al ruteador en caso de emergencia, el usuario se llamará Admin y su secret password será adminpassword. En dado caso que el servidor TACACS no responda se podrá accesar al sistema con éste usuario inclusive de manera remota si está activado el modo de acceso remoto vty. R1(config)# username Admin password adminpassword Paso 4: Configurar la autenticación AAA para el acceso a la consola en R1, todo esto para poder usar TACACS+, configurando la línea de consola. 35

36 R1(config)# aaa new-model R1(config)# aaa authentication login CONSOLA group tacacs+ local R1(config)# line console 0 R1(config-line)# login authentication CONSOLA Paso 5: Si se quisiera accesar al ruteador de forma remota no se podría accesar con autenticación TACACS sino únicamente con el usuario de respaldo que se creo en el paso 2 que fue Admin y su contraseña adminpassword, éste procedimiento es muy útil cuando un servidor es hackeado ó simplemente está caído. Para poder accesar al ruteador de forma remota se debe habilitar el acceso remoto por las terminales VTYS usando autenticación TACACS se deben habilitar las terminales virtuales aplicando los siguientes comandos. R1(config)# aaa new-model R1(config)# aaa authentication login VTYS group TACACS local R1(config)# line vty 0 4 R1(config-line)# login authentication VTYS Paso 6: Configurar la autenticación de usuario en el login vía TACACS y si en su defecto el servidor no está accesible, el ruteador usará las credenciales de acceso local. R1(config)# aaa authentication login default group tacacs+ local 36

37 Paso 7: Configurar la parte de TACACS en el ruteador, asignando la dirección IP del servidor TACACS. R1(config)# tacacs-server host single-connection port 49 Paso 8: Configurar la clave secreta (secret key) como radiuspassword. R1(config)# tacacs-server key password Paso 9: Dar de alta el ruteo estático en R1 y R2 para que ambas redes puedan verse entre sí; además de no olvidar sincronizar la interface de reloj en R2. R1(config)# ip route R2(config)# ip route R2(config-if)#clock rate

38 3.1.9 Prueba final de autenticación hacia el dispositivo ruteador Teniendo instalado el servidor y las configuraciones pertinentes en el router se dio paso a realizar la prueba de autenticación hacia el dispositivo routeador vía Telnet de la siguiente manera: Se accedió al Hyper Terminal de una de las PC s dentro de la red seleccionando el medio de conexión TCP/IP utilizando el puerto número 23 con petición hacia el host que es la interfaz fastethernet del router (Ilustracion 11). Ilustración 11: Telnet al dispositivo ruteador Una vez realizada la petición se accedió al router el cual requirio que se introdujera el nombre de usuario y password, se introdujo el usuario alex y su password alexpass configurados previamente en el servidor, desafortunadamente el acceso no resultó de manera satisfactoria, se realizó lo mismo con el segundo usuario obteniendo el mismo resultado. 38

39 Al percatarse de este problema se procedió a tratar de acceder con el usuario local Admin configurado en el ruteador pero el acceso fue denegado nuevamente. Esto llevó a la conclusión de que el servidor posiblemente estaba trabajando, así que se decidió desconectar la interfazethernet del servidor para eliminarlo de la red y nuevamente intentar acceder con el usuario local, esta vez el resultado del acceso al routeador fue positivo, confirmando la posibilidad de que el servidor estaba realizando su función con algún problema en la autenticación de los usuarios. Transcurrido esto se verificó nuevamente la metodología de investigación para revisar la instalación del servidor y su configuración con el fin de comprobar que no se haya omitido algún elemento o proceso importante que pudiera estar afectando a la autenticación del usuario, pero no se logró identificar algún error aparente dentro de esta. Debido a la falta de tiempo para realizar más pruebas no se pudo determinar la falla existente pero se propuso lo siguiente: Hacer uso del software Wireshark el cual es un analizador de protocolos (sniffer), que permite la captura de tramas de paquetes que pasan a través de la interfaz de red. Esto con el fin de capturar el tráfico generado al momento de realizar la petición de autenticación al router para determinar si realmente el servidor está generando alguna respuesta hacia el ruteador. 39