3. Autenticación, autorización y registro de auditoria CAPITULO 3. AUTENTICACIÓN, AUTORIZACIÓN Y REGISTRO DE AUDITORÍA

Transcripción

1 3. Autenticación, autorización y registro de auditoria

2 Debe diseñarse una red para controlar a quién se le permite conectarse a ella y qué se le permite hacer mientras está conectado. La política especifica cómo los administradores de red, usuarios corporativos, usuarios remotos, socios de negocios y clientes acceden a los recursos de la red. La política de seguridad de la red también puede demandar la implementación de un sistema de registro de auditoría que monitoree quién inicia sesión, cuándo y qué hace mientras está conectado. La administración del acceso a la red mediante el uso de los comandos del modo de usuario o del modo privilegiado es un recurso limitado y no escala mucho. En cambio, el uso del protocolo de Autenticación, Autorización y Registro de Auditoría (Authentication, Authorization, and Accounting - AAA) proporciona el marco necesario para habilitar una seguridad de acceso escalable. Los IOS de los routers Cisco pueden ser configurados para usar AAA para acceder a una base de datos local de usuario y contraseña. El uso de una base de datos local de usuario y contraseña proporciona mejor seguridad que una simple contraseña y es una solución de seguridad fácilmente implementable y relativamente barata. Los IOS de los routers Cisco también pueden ser configurados para usar AAA para acceder a un Servidor de Control de Acceso Seguro de Cisco (ACS). El uso de un ACS de Cisco es muy escalable porque todos los dispositivos de infraestructura acceden a un servidor central. La solución ACS segura de Cisco además es tolerante a fallas porque pueden configurarse varios servidores. La solución ACS segura de Cisco generalmente es implementada por grandes organizaciones.

3 Se pueden usar muchos tipos de métodos de autenticación en un dispositivo Cisco y cada método ofrece varios niveles de seguridad. Los inicios de sesión de sólo contraseña son muy vulnerables a ataques de fuerza bruta. Adicionalmente, este método no ofrece registros de auditoría de ningún tipo. Cualquiera que tenga la contraseña puede ganar acceso al dispositivo y alterar la configuración. Para ayudar a proporcionar registros de auditoría, puede Implementarse la autenticación de base de datos local usando uno de los siguientes comandos: username nombre-usuario password contraseña username nombre-usuario secret contraseña Se recomienda especialmente la combinación username secret porque proporciona cifrado de tipo MD-5. El método de base de datos local tiene algunas limitaciones. Las cuentas de usuario deben configurarse localmente en cada dispositivo. Adicionalmente, la configuración de base de datos local no proporciona métodos de autenticación de resguardo. Por ejemplo, qué pasaría si el administrador olvidara el nombre de usuario y contraseña de ese dispositivo? Una mejor solución es hacer que todos los dispositivos accedan a la misma base de datos de usuarios y contraseñas en un servidor central.

4 Autenticación - Los usuarios y administradores deben probar que son quienes dicen ser. La autenticación puede establecerse por medio de combinaciones de usuario y contraseña, preguntas de desafío y respuesta, tarjetas token y otros métodos. Por ejemplo: "Soy el usuario 'estudiante'. Conozco la contraseña para probar que soy el usuario 'estudiante'". Autorización - Una vez que el usuario ha sido autenticado, los servicios de autorización determinan los recursos y operaciones a los que el usuario tiene acceso. Por ejemplo, "El usuario 'estudiante' puede acceder al host server XYZ sólo usando Telnet". AAA es una manera de controlar a quién se le permite acceso a una red (autenticación) y qué pueden hacer mientras están allí (autorización), así como auditar qué acciones realizaron al acceder a la red (registro de auditoría). Registros de auditoría y auditabilidad - Los registros de auditoría registran lo que el usuario hace, incluyendo los recursos a los que accede, la cantidad de tiempo que se mantiene y cualquier cambio que se haga. El registro de auditoría monitorea el uso de los recursos. Un ejemplo es: "El usuario 'estudiante' accedió al host serverxyz usando Telnet por 15 minutos".

5 3.1.2 Características de AAA Puede utilizarse AAA para autenticar usuarios para acceso administrativo o para acceso remoto a una red. Estos dos métodos de acceso usan diferentes modos para solicitar los servicios de AAA: Modo carácter - El usuario envía una solicitud para establecer un proceso de modo EXEC con el router con fines administrativos. Modo paquete - El usuario envía una solicitud para establecer una conexión con un dispositivo en la red a través del router. Cisco proporciona dos métodos comunes para implementar los servicios AAA. Autenticación AAA local AAA local usa una base de datos local para la autenticación. Este método almacena los nombres de usuario y sus correspondientes contraseñas localmente en el router Cisco, y los usuarios se autentican en la base de datos local. Esta base de datos es la misma que se requiere para establecer una CLI basada en roles. AAA local es ideal para redes pequeñas. Autenticación AAA basada en servidor El método basado en servidor usa un recurso externo de servidor de base de datos que utiliza los protocolos RADIUS o TACACS+. Los ejemplos incluyen el Servidor de Control de Acceso Seguro de Cisco (ACS) para Windows Server, el Cisco Secure ACS Solution Engine o Cisco Secure ACS Express. Si hay más de un router, AAA basado en servidor será la opción más apropiada.

6

7 Autorización AAA Una vez que los usuarios han ido autenticados exitosamente contra la fuente de datos AAA seleccionada (ya sea local o basada en servidor), se les autoriza el acceso a recursos específicos en la red. La autorización consiste básicamente en lo que un usuario puede y no puede hacer en la red luego de que es autenticado, parecido a cómo los niveles de privilegios y la CLI basada en roles les dan a los usuarios derechos y privilegios específicos a ciertos comandos en el router. La autorización, que se implementa inmediatamente después de que el usuario se autentica, es automática: no se requiere participación de parte del usuario luego de la autenticación.

8 Registro de Auditoría AAA El registro de auditoría recolecta y reporta datos de uso para que puedan ser empleados para auditorías o emisión de facturas. Los datos recolectados pueden incluir el inicio y fin de conexiones, comandos ejecutados, números de paquetes y número de bytes. El registro de auditoría se implementa usando una solución AAA basada en servidor. Este servicio reporta estadísticas de uso al servidor ACS. Estas estadísticas pueden ser extraídas para crear reportes detallados sobre la configuración de la red. Los servidores AAA mantienen un registro detallado de absolutamente todo lo que hace el usuario una vez autenticado en el dispositivo. Esto incluye todos los comandos de configuración y EXEC emitidos por el usuario. El registro contiene varios campos de datos, incluyendo el nombre de usuario, la fecha y hora y el comando ingresado por el usuario. Esta información es útil al solucionar problemas en los dispositivos. También proporciona protección contra individuos malintencionados.

9 3.2.1 Configuración de autenticación AAA local con CLI El método de autenticación AAA local es similar al uso del comando login local con una excepción: AAA proporciona además una manera de configurar métodos de autenticación de respaldo. La configuración de los servicios AAA local para autenticar el acceso administrativo (acceso de modo carácter) requiere algunos pasos básicos. Paso 1. Agregar nombres de usuario y contraseñas a la base de datos local del router para los usuarios que requieren acceso administrativo al router. Paso 2. Habilitar AAA globalmente en el router. Paso 3. Configurar los parámetros AAA en el router. Paso 4. Confirmar la configuración AAA y buscar posibles problemas. Para habilitar AAA, use el comando de configuración global aaa new-model. Para deshabilitar AAA, use la forma no del comando. Una vez habilitado AAA, para configurar la autenticación en los puertos vty, líneas asíncronas (tty), el puerto auxiliar o el de consola, defina una lista nombrada de los métodos de autenticación y luego aplíquela a las interfaces. Para definir una lista nombrada de métodos de autenticación, use el comando aaa authentication login. Este comando requiere de un nombre de lista y los métodos de autenticación. 1. El nombre de la lista identifica la lista de métodos de autenticación activada cuando el usuario ingresa. 2. La lista de métodos es una lista secuencial que describe los métodos de autenticación que se consultarán al momento de autenticar al usuario. 3. Las listas de métodos permiten al administrador designar uno o más protocolos de seguridad para la autenticación. 4. El uso de más de un protocolo proporciona un sistema de autenticación de resguardo en caso de que falle el método inicial. Pueden usarse muchas palabras clave para indicar el método. Para habilitar la autenticación local usando una base de datos local preconfigurada, use la palabra clave local o local-case. La diferencia entre ambas opciones es que local acepta e nombre de usuario no es sensible a mayúsculas y minúsculas, mientras que local-case sí. Se puede implementar seguridad adicional en la línea usando el comando aaa local authentication attempts max-fail númerointentos-fallidos en el modo de configuración global. Este comando asegura las cuentas de usuario AAA bloqueando las cuentas que tienen un número excesivo de intentos fallidos de ingreso. Para eliminar el número de intentos fallidos establecido, use la forma no del comando.

10 Para especificar que el usuario se puede autenticar usando la contraseña enable, use la palabra clave enable. Para asegurarse de que la autenticación sea exitosa incluso si todos los métodos devuelven errores, especifique none como el último método. Por motivos de seguridad, solo use none para probar la configuración AAA. No debe aplicarse nunca en una red en uso. Por ejemplo, se puede configurar el método enable como mecanismo de apoyo si se olvidan el nombre de usuario o la contraseña. Los métodos de autenticación en la lista default se usan por defecto en todas las líneas si no se crea una lista de métodos de autenticación personalizada. Si la interfaz o línea tiene aplicada una lista de métodos de autenticación diferente de la lista por defecto, esa lista será la usada. Si la lista default no está establecida y no hay ninguna otra lista, solo se controla la base de datos de usuarios local. Esto tiene el mismo efecto que el comando aaa authentication login default local. En la consola, el ingreso ocurre sin ningún control de autenticación si no está establecida la lista default.

11 Cuando un usuario ingresa a un router Cisco y utiliza AAA, se asigna un ID único a la sesión. Durante el tiempo que persista la sesión se recolectan varios atributos relacionados con esta, que son almacenados internamente dentro de la base de datos AAA. Estos atributos pueden incluir la dirección IP del usuario, el protocolo que se usa para acceder al router, como PPP o SLIP (Serial Line Internet Protocol), la velocidad de la conexión y el número de paquetes o bytes recibidos y trasmitidos. El comando aaa local authentication attempts max-fail difiere del comando login delay en la manera de manejar los intentos fallidos. El comando aaa local authentication attempts max-fail bloquea la cuenta del usuario si la autenticación falla. Esta cuenta permanece bloqueada hasta que un administrador la blanquee. El comando login delay introduce un retraso entre intentos de ingreso fallidos sin bloquear la cuenta. Para ver una lista de todos los usuarios bloqueados, use el comando show aaa local user lockout en el modo EXEC privilegiado. Use el comando clear aaa local user lockout {username nombre-usuario all} en modo EXEC privilegiado para desbloquear a un usuario específico o para desbloquear a todos los usuarios bloqueados.

12 Puede usarse el comando show aaa sessions para visualizar el ID único de una sesión. Para ver los atributos recolectados en una sesión AAA, use el comando show aaa user {all unique id} en el modo EXEC privilegiado. Este comando no proporciona información sobre todos los usuarios que ingresan a un dispositivo, sino sobre aquellos que han sido autenticados o autorizados usando AAA o cuyas sesiones están siendo monitoreadas por el módulo de registro de auditoría de AAA. COMANDOS VISTOS EN ESTE TEMA Router(config)#aaa new-model Router(config)#aaa authentication login default local-case Router(config)#aaa authentication login TELNET local-case Router(config)#aaa local authentication attempts max-fail 3 Router(config)#line vty 0 4 Router(config-line)#login authentication TELNET Router(config-line)#exit Router(config)#exit Router#show aaa sessions Router#show aaa local user lockout Router#clear aaa local user lockout {username nombre-usuario all}

13 3.2.3 Resolución de problemas de autenticación AAA local El router Cisco tiene comandos de debugging que resultan útiles para la resolución de problemas en la autenticación. El comando debug aaa contiene muchas palabras clave que pueden ser usadas para este propósito. El comando debug aaa authentication es de un interés especial. 1. La mejor oportunidad para aprender a entender la salida de un proceso de debugging es cuando todo está funcionando con normalidad. 2. Saber qué muestra la salida del debugging cuando todo está bien ayuda a identificar problemas cuando las cosas andan mal. 3. Tenga precaución con el comando debug en un ambiente de producción, ya que estos comandos generan una carga significativa en los recursos del router y pueden afectar el comportamiento de la red.

14 El comando debug aaa authentication es útil para la resolución de problemas en AAA. Para deshabilitar este comando use la forma no o la sentencia general undebug all. Busque específicamente los mensajes de estado GETUSER y GETPASS. El mensaje Method también es útil para identificar la lista de métodos a la que se está haciendo referencia.

15 3.3.1 Características de AAA basado en servidor

16 La familia de productos de ACS de Cisco soporta tanto TACACS+ (Terminal Access Control Access Control Server Plus) como RADIUS (Remote Dial-in User Services), que son los dos protocolos predominantes usados por los dispositivos de seguridad, routers y switches de Cisco para la implementación de AAA. Aunque ambos protocolos pueden ser usados para la comunicación entre clientes y servidores AAA, TACACS+ es considerado el más seguro entre ambos. Esto es porque todos los intercambios de TACACS+ son cifrados: RADIUS sólo cifra la contraseña de usuario. No cifra nombres de usuario, información del registro de auditoría o cualquier otra información que se transmita en el mensaje RADIUS.

17 3.3.2 Protocolos de comunicación de AAA basado en servidor Los factores críticos de TACACS+ incluyen: 1. Es incompatible con TACACS y XTACACS. 2. Separa la autenticación y la autorización. 3. Cifra todas las comunicaciones 4. Usa el puerto TCP 49 Los factores críticos de RADIUS incluyen: 1. Usa servidores proxy RADIUS para escalabilidad. 2. Combina la autenticación y la autorización RADIUS en un solo proceso. 3. Cifra sólo la contraseña. 4. Usa UDP. 5. Soporta tecnologías de acceso remoto, 802.1X y SIP. TACACS+ proporciona servicios AAA separados. Separar los servicios AAA proporciona flexibilidad en la implementación, ya que es posible usar TACACS+ para autorización y registros de auditoría mientras se usa otro método para la autenticación.

18 3.4.1 Configuración de la autenticación de AAA basado en servidor con CLI A diferencia de la autenticación AAA local, AAA basado en servidor debe identificar varios servidores TACACS+ y RADIUS que el servicio AAA debe consultar al autenticar y autorizar usuarios. Hay algunos pasos básicos requeridos para configurgar la autenticación basada en servidor: Paso 1. Habilite AAA globalmente para permitir el uso de todos los elementos AAA. Este paso es un prerequisito de todos los otros comandos AAA. Paso 2. Especifique el ACS Seguro de Cisco que proporcionará servicios AAA al router. Este puede ser un servidor TACACS+ o RADIUS. Paso 3. Configure la clave de cifrado necesaria para cifrar la transferencia de datos entre el servidor de acceso a la red y el ACS Seguro de Cisco. Paso 4. Configure la lista de métodos de autenticación AAA para referirse al servidor TACACS+ o RADIUS. Para redundancia, es posible configurar más de un servidor.

19 Configuración de un servidor TACACS+ y clave de cifrado 1. Para configurar un servidor TACACS+, use el comando tacacs-server host dirección-ip single-connection. La palabra clave single-connection mejora el rendimiento de TCP al mantener una sola conexión TCP durante el tiempo que dura la sesión. De otra manera, por defecto, se abre y cierra una conexión TCP por cada sesión. Si se solicita, se pueden identificar múltiples servidores TACACS+ por medio de sus respectivas direcciones IP usando el comando tacacs-server host. 2. A continuación, use el comando tacacs-server key clave para configurar la clave secreta compartida para cifrar la transferencia de datos entre el servidor TACACS+ y el router habilitado para AAA. Esta clave debe ser configurada exactamente igual en el router y el servidor TACACS+. Configuración de un servidor RADIUS y clave de cifrado 1. Para configurar un servidor RADIUS, use el comando radius-server host dirección-ip. Como RADIUS usa UDP, no hay palabra clave equivalente a single-connection. Si se solicita, se pueden indentificar múltiples servidores RADIUS con el comando radiusserver host para cada servidor. 2. Para configurar la clave secreta compartida para el cifrado de la contraseña, use el comando radius-server key clave. Esta clave debe ser configurada exactamente igual en el router y en el servidor RADIUS. Los servidores AAA se identifican por medio de las palabras clave group tacacs+ o group radius. Por ejemplo, para configurar una lista de métodos para el ingreso por defecto para autenticar usando un servidor RADIUS, un servidor TACACS+o una base de datos de nombres de usuario local, use el comando aaa authentication login default group radius group tacacs+ local-case.

20

21 3.4.3 Resolución de problemas en la autenticación AAA basada en servidor El comando debug aaa authentication es útil para la resolución de problemas porque proporciona una vista de alto nivel de la actividad de inicios de sesión. Otros dos comandos muy útiles al resolver problemas en AAA basado en servidor son el comando debug tacacs y el comando debug radius. Estos comandos pueden ser usados para proporcionar información de debugging de AAA más detallada.

22

23

24 3.5.1 Configuración de autorización de AAA basado en servidor Mientras que la autenticación se ocupa de asegurarse de que el dispositivo o usuario final sea el que dice ser, la autorización se ocupa de permitir y prohibir acceso a ciertas áreas y programas de la red a los usuarios autenticados. El protocolo TACACS+ permite la separación de la autenticación de la autorización. Puede configurarse el router para no permitir al usuario realizar ciertas funciones luego de una autenticación exitosa. La autorización puede configurarse tanto para el modo carácter (autorización exec) como para el modo paquete (autorización de red). Tenga en consideración que RADIUS no separa los procesos de autenticación y autorización. Otro aspecto importante de la autorización es la habilidad de controlar el acceso de los usuarios a servicios específicos. El control del acceso a comandos de configuración simplifica enormemente la seguridad de la infraestructura en grandes redes empresariales. Los permisos por usuario en el ACS Seguro de Cisco simplifican la configuración de los dispositivos de red. Por ejemplo, puede permitirse a un usuario autorizado acceder al comando show version pero no al comando configure terminal. El router pide permiso al ACS para ejecutar los comandos en nombre del usuario. Cuando el usuario emite el comando show version, el ACS envía una respuesta ACCEPT. Si el usuario emite el comando configure terminal, el ACS envía una respuesta REJECT. Para configurar la autorización de los comandos, use el comando aaa authorization {network exec commands nivel} {default nombre-lista} método1...[método4]. El tipo de servicio puede especificar los tipos de comandos o servicios: 1. commands nivel para comandos exec (shell) 2. exec para comenzar un exec (shell) 3. network para servicios de red (PPP, SLIP, ARAP)

25 Cuando la autorización AAA no está habilitada, se permite acceso sin restricciones a todos los usuarios. Luego de que inicia la autenticación, por defecto no se permite acceso a nadie. Esto significa que el administrador debe crear un usuario con derechos de acceso sin restricciones antes de que se habilite la autorización: no hacerlo deja al administrador sin forma de ingresar al sistema al momento en que ingresa el comando aaa authorization. La única manera de recuperarse de esto es reiniciar el router. Si es un router de producción, reiniciarlo puede no ser una opción. Asegúrese de que al menos un usuario tiene derechos de acceso sin restricciones.

26 Para configurar el router para que use el servidor ACS Seguro de Cisco para autorización, cree una lista de métodos de autorización definida por el usuario o edite la lista de métodos de autorización por defecto. La lista de métodos de autorización por defecto se aplica automáticamente a todas las interfaces excepto aquéllas que tengan una lista de métodos de autorización definida por el usuario explícitamente aplicada. La lista de métodos de autorización definida por el usuario invalida la lista de métodos de autorización por defecto Configuración del registro de auditoria de AAA basado en servidor Un problema de seguridad que solucionan los registros de auditoría es la creación de una lista de usuarios y la hora del día en la que se conectaron con el sistema. Si, por ejemplo, el administrador se entera de que un empleado se conecta con el sistema a la medianoche, esta información puede ser usada para investigar el propósito de la sesión.

27 Para configurar el registro de auditoría de AAA, utilice el comando aaa accounting { network exec connection} {default nombrelista} {start-stop stop-only none} [broadcast] método1...[método4] en el modo de configuración global. Los parámetros network, exec y connection son palabras claves comúnmente utilizadas. Por ejemplo, para registrar el uso de sesiones EXEC y conexiones de red, use los comandos de configuración global. R1(config)# aaa accounting exec default start-stop group tacacs+ R1(config)# aaa accounting network default start-stop group tacacs+

28