Authentication, Authorization y Accounting

© 2012 Cisco and/or its affiliates. All rights reserved. 1

Accounting

• Métodos:

– Solo contraseñas

– Base de datos local

– Autenticación Local AAA (AAA autónomo)

– AAA Basado en servidor

© 2012 Cisco and/or its affiliates. All rights reserved. 2

Internet

User Access Verification

Password: cisco

Password: cisco1

Password: cisco12

% Bad passwords

© 2012 Cisco and/or its affiliates. All rights reserved. 3

R1(config)# line vty 0 4

R1(config-line)# password cisco

R1(config-line)# login

• El acceso al modo Usuario o al modo Privilegiado es limitado y no son escalables.

Internet

Welcome to SPAN Engineering

User Access VerificationUsername adminPassword: cisco

User Access Verification

Username: Admin

Password: cisco1

% Login invalid

Username: Admin

Password: cisco12

% Login invalid

© 2012 Cisco and/or its affiliates. All rights reserved. 4

• Proporciona mayor seguridad que una simple contraseña.

• Es una solución de seguridad rentable y fácil de implementar.

R1(config)# username Admin secret Str0ng5rPa55w0rd

R1(config)# line vty 0 4

R1(config-line)# login local

• El problema es que esta base de datos local tiene que serreplicada en varios dispositivos…

© 2012 Cisco and/or its affiliates. All rights reserved. 5

• AAA es un marco arquitectónico para configurar:

¿A quien se le permite el acceso?

© 2012 Cisco and/or its affiliates. All rights reserved. 6

¿Qué se le permite hacer?

¿Qué hizo?

Authentication¿Quién eres?

Authorization¿Cuánto puede gastar?

© 2012 Cisco and/or its affiliates. All rights reserved. 7

Accounting¿En qué es lo que lo gastastés?

• Los Routers Cisco pueden implementar AAA utilizando:

Base de datos local username / password

Cisco Secure Access Control Server (ACS)

© 2012 Cisco and/or its affiliates. All rights reserved. 8

• Es el método predeterminado de autenticación:

– Los tipos de autenticación a realizar.

– La secuencia en la que se llevará.

• Debe ser aplicado a una interfaz específica antes de cualquiera de los métodos de autenticación definidos sea realizado.

© 2012 Cisco and/or its affiliates. All rights reserved. 9

• El cliente establece una conexión con el router.

• El router solicita las credenciales de AAA username/password.

• El router autentica el username/password usando la base dedatos local, luego el usuario es autorizado a acceder a la redbasado en la información contenida en la base de datos local.

© 2012 Cisco and/or its affiliates. All rights reserved. 10

1

23

RouterAAA

Cliente Remoto

• Implementando el Cisco Access Control Server (ACS) es masescalable porque el acceso a todos los dispositivos de lainfraestructura son validados por un Servidor Central.

– Se puede configurar la Tolerancia a Fallas, ya que se pueden configurarmúltiples ACS.

– Es una solución Empresarial.

• El servidor puede ser:

© 2012 Cisco and/or its affiliates. All rights reserved. 11

– Cisco Secure ACS para Windows Server:

• Los servicios de AAA en el router contacta a un ACS para la autenticación delusuario y del administrador.

– Cisco Secure ACS Solution Engine:

• Los servicios de AAA en el router o NAS (Network Access Server) contactan a unCisco Secure ACS Solution Engine externo para la autenticación del usuario y deladministrador.

1. El cliente establece una conexión con el router.

2. El router AAA solicita al usuario un nombre de usuario y contraseña.

3. El router autentica el nombre de usuario y la contraseña utilizando un servidor AAA a distancia.

4. El usuario está autorizado a acceder a la red basada en la información en el servidor AAA remoto.

© 2012 Cisco and/or its affiliates. All rights reserved. 12

1

24

Router AAA

Cliente RemotoCisco Secure ACS Server

3

• Proporciona el método de control de acceso remoto.

– Como la autorización de una sola vez o una autorización para cada servicio,lista de cuentas por usuario y perfil, admite grupos de usuarios, …

• Una vez que un usuario se ha autenticado, los servicios deautorización determinan:

– Recursos que el usuario puede tener acceso.

– Operaciones que el usuario está autorizado a realizar.

© 2012 Cisco and/or its affiliates. All rights reserved. 13

• Por ejemplo, el "Usuario" estudiante "puede acceder a serverxyz host medianteTelnet solamente.“

• Al igual que con la autenticación, la autorización AAA seconfigura mediante la definición de una lista de métodos deautorización “nombrada“ y aplicando luego esa lista a diversasinterfaces.

1.El usuario autenticado y una sesión se ha establecido con el

Cisco Secure ACS Server

1

2

3

Router AAA

Cliente Remoto

© 2012 Cisco and/or its affiliates. All rights reserved. 14

1.El usuario autenticado y una sesión se ha establecido con el

servidor AAA.

2.Cuando el usuario intenta introducir comandos del modo EXEC

privilegiado, el router solicita la autorización a un servidor AAA

para verificar que el usuario tiene el derecho de usarlo.

3.El servidor AAA devuelve un respuesta "PASS / FAIL”.

• Proporciona el método para la recogida y el envío de informaciónde seguridad del servidor.

• Se utiliza para el detalle, auditoría y presentación de informes,tales como las identidades de usuario, inicio y detención, órdenesejecutadas, el número de paquetes / bytes…

• Con AAA activado, el router informa de la actividad del usuario enel servidor TACACS+ de forma de registros contables.

© 2012 Cisco and/or its affiliates. All rights reserved. 15

el servidor TACACS+ de forma de registros contables.

• El accounting se configura mediante la definición de una lista demétodos “nombradas“ de contabilidad y luego se aplicar la lista adiversas interfaces.

1. Cuando un usuario se ha autenticado, el proceso de contabilidad

AAA genera un mensaje de inicio para iniciar el proceso de

Router AAA

ClienteRemoto

Cisco Secure ACS Server

2

1

© 2012 Cisco and/or its affiliates. All rights reserved. 16

AAA genera un mensaje de inicio para iniciar el proceso de

contabilidad.

2. Cuando el usuario cierra la sesión, un mensaje de detención se

registra y se termina el proceso de contabilidad.

• Incrementa la flexibilidad y controla el acceso a la configuracion

• Escalabilidad

• Múltiples sistemas de respaldo

• Métodos de autenticación estandarizados– RADIUS, TACACS+ y Kerberos

© 2012 Cisco and/or its affiliates. All rights reserved. 17

• AAA es típicamente implementado usando un ACS serverdedicado para almacenar usernames/passwords en una base dedatos centralizada.

• La información está centralizada “ingresado/actualizado” adiferencia de una base de datos local que se debe configurar encada router.

© 2012 Cisco and/or its affiliates. All rights reserved. 18

• La tolerancia a fallos se puede configurar en una secuenciarecurrente.

– Se consulta con un servidor de seguridad

– Si se produce un error, se consulta la base de datos local

© 2012 Cisco and/or its affiliates. All rights reserved. 19

• TACACS+

• Terminal Access Controller Access Control System Plus

• RADIUS

• Remote Authentication Dial-In User Service

© 2012 Cisco and/or its affiliates. All rights reserved. 20

Implementacion de Autenticacion

© 2012 Cisco and/or its affiliates. All rights reserved. 21

Implementacion de Autenticacion Local AAA

1. Habilitar AAA :– aaa new-model

2. Definir el método de autenticación:– aaa autenticación

3. Aplicar el método seleccionado a una interface o línea particular (si se requiere).

© 2012 Cisco and/or its affiliates. All rights reserved. 22

• El comando aaa new-model habilita la caracteristica de AAA.

– Los comandos de AAA pueden ser configurados ahora.

– Para deshabilitar AAA, use el comando no aaa new-model.

• Precaución:

– No ejecute el comando a menos que esté preparado para configurar laautenticación AAA. Si lo hace, podría obligar a los usuarios de Telnet aautenticarse con un nombre de usuario, incluso si no hay base de datos denombre de usuario o método de autenticación.

© 2012 Cisco and/or its affiliates. All rights reserved. 23

nombre de usuario o método de autenticación.

R1(config)# aaa new-model

© 2012 Cisco and/or its affiliates. All rights reserved. 24

• Se debe especificar cual tipo de autenticación se desea configurar:

– Login – habilita AAA para TTY, VTYs y con 0.

– Enable - habilita AAA para los modos EXEC.

– PPP - habilita AAA para PPP.

© 2012 Cisco and/or its affiliates. All rights reserved. 25

• El método por Default es automáticamente aplicado a todas lasinterfaces, si no se define otro método.

• Las listas nombradas pueden ser aplicadas a una interface especificaantes que cualquier método autenticación sea automáticamenteaplicado.

© 2012 Cisco and/or its affiliates. All rights reserved. 26

• Los métodos enumeran los tipos de autenticación a realizar y la secuencia en la cual se ejecutaran, tales como:

– Contraseñas Pre-definidas (por ejem., local, enable, o line)

– Consultando un servidor TACACS+ / RADIUS / Kerberos.

Métodos Descripción

© 2012 Cisco and/or its affiliates. All rights reserved. 27

Métodos Descripción

enable Utiliza la contraseña de enable para la autenticación.

line Utiliza la contraseña de línea para la autenticación.

local Utiliza el nombre de usuario de base de datos local para la autenticación.

local-case Utiliza el nombre de usuario local case-sensitive para la autenticación

none No usa autenticación.

cache group-name Utiliza un grupo servidor de cache para la autenticación

group radius Utiliza la lista de los servidores RADIUS para la autenticación.

group tacacs+ Uses la lista de los servidores TACACS+ para la autenticación

group group-name Utiliza un subconjunto de servidores RADIUS o TACACS+ para la autenticación

según lo definido por el comando aaa group server radius o aaa group server tacacs+

.

– aaa local authentication attempts max-fail number-of-

unsuccessful-attempts

aaa local authentication attempts max-fail [number-of-unsuccessful-attempts]

Router(config)#

© 2012 Cisco and/or its affiliates. All rights reserved. 28

• Este comando bloquea la cuenta de usuario si falla laautenticación, la cuenta permanece bloqueada hasta que sedesbloquea a través de un administrador mediante el comando:

– clear aaa local user lockout {username username | all}

© 2012 Cisco and/or its affiliates. All rights reserved. 29

• Agregue los usernames / passwords en la base de datos local del router para que aquellos usuarios que necesitan acceso administrativo al router.

• Habilite AAA globalmente en el router.

• Configure los parámetros de AAA necesarios.

• Confirme y corrija la configuración de AAA de ser necesario.

© 2012 Cisco and/or its affiliates. All rights reserved. 30

• Confirme y corrija la configuración de AAA de ser necesario.

R1# conf t

R1(config)# username JR-ADMIN secret Str0ngPa55w0rd

R1(config)# username ADMIN secret Str0ng5rPa55w0rd

R1(config)# aaa new-model

R1(config)# aaa authentication login default local-case

R1(config)# aaa local authentication attempts max-fail 10

• Se puede usar la lista “default” o defina una lista nombrada.

– La lista default es automáticamente aplicada a todas las interfaces si no se define otro método.

– Debe aplicarse una lista nombrada a una interface especifica antes de que cualquier lista nombrada sea implementada como método de autenticación.

© 2012 Cisco and/or its affiliates. All rights reserved. 31

R1# conf t

R1(config)# username JR-ADMIN secret Str0ngPa55w0rd

R1(config)# username ADMIN secret Str0ng5rPa55w0rd

R1(config)# aaa new-model

R1(config)# aaa authentication login default local-case enable

R1(config)# aaa authentication login TELNET-LOGIN local-case

R1(config)# line vty 0 4

R1(config-line)# login authentication TELNET-LOGIN

R1# show aaa sessions

Total sessions since last reload: 4

R1# show aaa local user lockout

Local-user Lock time

JR-ADMIN 04:28:49 UTC Sat Dec 27 2008

© 2012 Cisco and/or its affiliates. All rights reserved. 32

Session Id: 1

Unique Id: 175

User Name: ADMIN

IP Address: 192.168.1.10

Idle Time: 0

CT Call Handle: 0

R1# debug aaa ?

accounting Accounting

administrative Administrative

api AAA api events

attr AAA Attr Manager

authentication Authentication

authorization Authorization

cache Cache activities

coa AAA CoA processing

db AAA DB Manager

dead-criteria AAA Dead-Criteria Info

id AAA Unique Id

ipc AAA IPC

mlist-ref-count Method list reference counts

© 2012 Cisco and/or its affiliates. All rights reserved. 33

mlist-ref-count Method list reference counts

mlist-state Information about AAA method list state change and

notification

per-user Per-user attributes

pod AAA POD processing

protocol AAA protocol processing

server-ref-count Server handle reference counts

sg-ref-count Server group handle reference counts

sg-server-selection Server Group Server Selection

subsys AAA Subsystem

testing Info. about AAA generated test packets

R1# debug aaa

R1# debug aaa authentication

113123: Feb 4 10:11:19.305 CST: AAA/MEMORY: create_user (0x619C4940) user=''

ruser='' port='tty1' rem_addr='async/81560' authen_type=ASCII service=LOGIN priv=1

113124: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): port='tty1' list=''

action=LOGIN service=LOGIN

113125: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): using "default" list

113126: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): Method=LOCAL

113127: Feb 4 10:11:19.305 CST: AAA/AUTHEN (2784097690): status = GETUSER

113128: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): continue_login

(user='(undef)')

113129: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETUSER

113130: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL

© 2012 Cisco and/or its affiliates. All rights reserved. 34

113130: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL

113131: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETPASS

113132: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): continue_login

(user='diallocal')

113133: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = GETPASS

113134: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL

113135: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = PASS

AAA esta

© 2012 Cisco and/or its affiliates. All rights reserved. 35

AAA esta desactivado por defecto en CCP.

© 2012 Cisco and/or its affiliates. All rights reserved. 36

© 2012 Cisco and/or its affiliates. All rights reserved. 37

Implementar autenticación AAA

© 2012 Cisco and/or its affiliates. All rights reserved. 38

Implementar autenticación AAAbasada en servidor

© 2012 Cisco and/or its affiliates. All rights reserved. 39

1. El cliente establece una conexión con el router.

2. El router AAA solicita al usuario un nombre de usuario y contraseña.

3. El router autentica el nombre de usuario y la contraseña utilizando el ACS.

4. El ACS autentica al usuario. El usuario está autorizado a acceder al router (acceso administrativo) o a la red, basado en la información encontrada en el ACS.

� La familia del Cisco ACS soporta:

– Terminal Access Control Access Control Server Plus (TACACS+)

– Remote Dial-in User Services (RADIUS)

© 2012 Cisco and/or its affiliates. All rights reserved. 40

• Ambos protocolos pueden ser usados para la comunicación entre el cliente y los servidores de AAA.

• TACACS+ es considerado el protocolo mas seguro porque todos los intercambios de datos se cifran.

• Radius solo encripta el password del usuario.

© 2012 Cisco and/or its affiliates. All rights reserved. 41

Connect Username prompt?

Username? Use ““““Username””””

JR-ADMIN JR-ADMIN

Password prompt?

© 2012 Cisco and/or its affiliates. All rights reserved. 42

Password?

Password prompt?

““““Str0ngPa55w0rd””””

Use ““““Password””””

Accept/Reject

““““Str0ngPa55w0rd””””

• RADIUS usa los puertos UDP 1645 o 1812 para autenticación y los puertos 1646 o 1813 para accounting.

Username?

JR-ADMIN

Access-Request(JR_ADMIN, ““““Str0ngPa55w0rd””””)

Access-Accept

© 2012 Cisco and/or its affiliates. All rights reserved. 43

JR-ADMIN

Password?

Str0ngPa55w0rd

Access-Accept

Feature TACACS+ RADIUS

FuncionalidadSepara AAA según la arquitectura AAA, lo

que permite la modularidad de la

implementación del servidor de seguridad

Combina la autenticación y la

autorización, pero se separa de

contabilidad, lo que permite menos

flexibilidad en la aplicación de TACACS+.

Estándar Mayormente soportado por Cisco Abierto / estándar RFC

Protocolos de Transporte TCP 49UDP 1645 o 1812 para autenticación

UDP 1646 o 1813 para accounting

© 2012 Cisco and/or its affiliates. All rights reserved. 44

CHAPReto bidireccional y respuestas tal como

lo usa CHAPReto unidireccional

Protocolos Soportados Soporte de Multiprotocolo No ARA, no NetBEUI

Confidencialidad Se cifra todo el paquete Solo se encriptan las contraseñas

CustomizaciónProporciona autorización de comandos

del router en una base por usuario o por

grupo.

No tiene opción de autorizar comandos

del router en una base por usuario o por

grupo.

Accounting Limitada Extensivo

Cisco Secure

© 2012 Cisco and/or its affiliates. All rights reserved. 45

Cisco Secure ACS

• Many enterprise-level authentication servers are on the market today including:

– Funk's Steel-Belted RADIUS server

– Livingston Enterprises' RADIUS Authentication Billing Manager

– Merit Networks' RADIUS

– Cisco Secure ACS for Windows Server (ACS)

• Cisco ACS is a single solution that offers AAA services using

© 2012 Cisco and/or its affiliates. All rights reserved. 46

• Cisco ACS is a single solution that offers AAA services using TACACS+ or RADIUS.

Ease of use• A web-based user interface simplifies the configuration for user profiles, group profiles, and

ACS configuration.

Scalability• ACS is built to provide large networked environments including redundant servers, remote

databases, and database replication and backup services.

Extensibility• Supports the authentication of user profiles that are stored in directories from leading

directory vendors, including Sun, Novell, and Microsoft.

Management • Active Directory support consolidates username and password management.

Administration• Ability to group network devices together make it easier and more flexible to control the

© 2012 Cisco and/or its affiliates. All rights reserved. 47

Administration• Ability to group network devices together make it easier and more flexible to control the

enforcement and changes for all devices in a network.

Product flexibility

• Cisco Secure ACS is available in three options: Cisco Secure ACS Solution Engine, Cisco

Secure ACS Express, and Cisco Secure ACS for Windows.

Integration • Tight coupling with Cisco IOS routers and VPN solutions.

Third-party support

• Cisco Secure ACS offers token server support for any one-time password (OTP) vendor that

provides an RFC-compliant RADIUS interface, such as RSA, PassGo, Secure Computing,

ActiveCard, Vasco, or CryptoCard.

Control• Provides dynamic quotas to restrict access based on the time of day, network use, number of

logged sessions, and the day of the week.

Cisco Secure ACS Express 5.0

– Nivel de entrada de ACS con un conjunto de características simplificadas

– Admite hasta 50 dispositivos AAA y hasta 350 conexiones únicas de

usuario en un periodo de 24 horas

Cisco Secure ACS for Windows puede ser instalado en:

– Windows 2000 Server con Service Pack 4

– Windows 2000 Advanced Server con Service Pack 4

© 2012 Cisco and/or its affiliates. All rights reserved. 48

– Windows 2000 Advanced Server con Service Pack 4

– Windows Server 2003 Standard o Enterprise Edition

– Windows Server 2008 Standard o Enterprise Edition

Cisco Secure ACS Solution Engine

– Una plataforma dedicada altamente escalable que sirve como un ACS de

alto rendimiento

– Montable en rack - 1RU

– Preinstalado con un software de seguridad en Windows, Cisco Secure

ACS

– Soporte para mas de 350 usuarios.

© 2012 Cisco and/or its affiliates. All rights reserved. 49

© 2012 Cisco and/or its affiliates. All rights reserved. 50

© 2012 Cisco and/or its affiliates. All rights reserved. 51

© 2012 Cisco and/or its affiliates. All rights reserved. 52

© 2012 Cisco and/or its affiliates. All rights reserved. 53

© 2012 Cisco and/or its affiliates. All rights reserved. 54

• ACSv5 Demo

– http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.html

© 2012 Cisco and/or its affiliates. All rights reserved. 55

Configuración de Autenticación

© 2012 Cisco and/or its affiliates. All rights reserved. 56

Configuración de Autenticación AAA Basada en Servidor

1. Habilite AAA de forma global:– aaa new-model

2. Configure los parámetros del protocolo de seguridad:– Server IP address and Key

3. Defina la lista de autenticación a usar:– aaa authentication

4. Aplique la lista a una interface particular o línea (si se requiere).

© 2012 Cisco and/or its affiliates. All rights reserved. 57

4. Aplique la lista a una interface particular o línea (si se requiere).

5. Si desea configurar la autorización:– aaa authorization

6. Opcionalmente, configure accounting usando el comando:– aaa accounting

R1

192.168.1.100

Cisco Secure ACS for Windows

using RADIUS

© 2012 Cisco and/or its affiliates. All rights reserved. 58

192.168.1.101

Cisco Secure ACS Solution Engine

using TACACS+

R1(config)# aaa new-model

R1(config)#

R1(config)# tacacs-server host 192.168.1.101 single-connection

R1(config)# tacacs-server key TACACS+Pa55w0rd

R1(config)#

R1(config)# radius-server host 192.168.1.100

R1(config)# radius-server key RADIUS-Pa55w0rd

R1(config)#

R1(config)# aaa authentication login default ?

enable Use enable password for authentication.

group Use Server-group

krb5 Use Kerberos 5 authentication.

krb5-telnet Allow logins only if already authenticated via Kerberos V

Telnet.

line Use line password for authentication.

local Use local username authentication.

local-case Use case-sensitive local username authentication.

none NO authentication.

passwd-expiry enable the login list to provide password aging support

© 2012 Cisco and/or its affiliates. All rights reserved. 59

R1(config)# aaa authentication login default group ?

WORD Server-group name

radius Use list of all Radius hosts.

tacacs+ Use list of all Tacacs+ hosts.

R1

192.168.1.100

Cisco Secure ACS for Windows

using RADIUS

© 2012 Cisco and/or its affiliates. All rights reserved. 60

192.168.1.101

Cisco Secure ACS Solution Engine

using TACACS+

R1(config)# aaa new-model

R1(config)#

R1(config)# tacacs-server host 192.168.1.101 single-connection

R1(config)# tacacs-server key TACACS+Pa55w0rd

R1(config)#

R1(config)# radius-server host 192.168.1.100

R1(config)# radius-server key RADIUS-Pa55w0rd

R1(config)#

R1(config)# aaa authentication login default group tacacs+ group radius local-case

R1(config)#

R1# debug aaa authentication

AAA Authentication debugging is on

R1#

14:01:17: AAA/AUTHEN (567936829): Method=TACACS+

14:01:17: TAC+: send AUTHEN/CONT packet

14:01:17: TAC+ (567936829): received authen response status = PASS

14:01:17: AAA/AUTHEN (567936829): status = PASS

© 2012 Cisco and/or its affiliates. All rights reserved. 61

R1# debug tacacs ?

accounting TACACS+ protocol accounting

authentication TACACS+ protocol authentication

authorization TACACS+ protocol authorization

events TACACS+ protocol events

packet TACACS+ packets

<cr>

R1# debug radius ?

accounting RADIUS accounting packets only

© 2012 Cisco and/or its affiliates. All rights reserved. 62

authentication RADIUS authentication packets only

brief Only I/O transactions are recorded

elog RADIUS event logging

failover Packets sent upon fail-over

local-server Local RADIUS server

retransmit Retransmission of packets

verbose Include non essential RADIUS debugs

<cr>

R1# debug radius

R1# debug tacacs

TACACS access control debugging is on

R1#

13:53:35: TAC+: Opening TCP/IP connection to 192.168.1.101 using source 192.48.0.79

13:53:35: TAC+: Sending TCP/IP packet number 416942312-1 to 192.168.1.101

(AUTHEN/START)

13:53:35: TAC+: Receiving TCP/IP packet number 416942312-2 from 192.168.60.15

13:53:35: TAC+ (416942312): received authen response status = GETUSER

13:53:37: TAC+: send AUTHEN/CONT packet

13:53:37: TAC+: Sending TCP/IP packet number 416942312-3 to 192.168.1.101

(AUTHEN/CONT)

13:53:37: TAC+: Receiving TCP/IP packet number 416942312-4 from 192.168.60.15

© 2012 Cisco and/or its affiliates. All rights reserved. 63

13:53:37: TAC+ (416942312): received authen response status = GETPASS

13:53:38: TAC+: send AUTHEN/CONT packet

13:53:38: TAC+: Sending TCP/IP packet number 416942312-5 to 192.168.1.101

(AUTHEN/CONT)

13:53:38: TAC+: Receiving TCP/IP packet number 416942312-6 from 192.168.60.15

13:53:38: TAC+ (416942312): received authen response status = FAIL

13:53:40: TAC+: Closing TCP/IP connection to 192.168.60.15

© 2012 Cisco and/or its affiliates. All rights reserved. 64

© 2012 Cisco and/or its affiliates. All rights reserved. 65

© 2012 Cisco and/or its affiliates. All rights reserved. 66

Autorizacion basado en Servidor

© 2012 Cisco and/or its affiliates. All rights reserved. 67

Autorizacion basado en Servidor

• Si usa para limitar los servicios disponibles para un usuario.

• El router utiliza la información del perfil del usuario, que se encuentra ya sea en la base de datos local o en el servidor de seguridad, para configurar la sesión del usuario.

• El usuario tiene acceso a un servicio solicitado, si la información en el perfil de usuario lo permite.

© 2012 Cisco and/or its affiliates. All rights reserved. 68

aaa authorization type { default | list-name } method1 … [method4]

Router(config)#

show version

Command authorization for user JR-ADMIN, command “show version”?

Accept

JR-ADMIN

Display “show version” output

configure terminal

Command authorization for user JR-ADMIN, command “config terminal”?

Do not permit

© 2012 Cisco and/or its affiliates. All rights reserved. 69

RejectDo not permit

“configure terminal”

R1(config)# aaa authorization ?

auth-proxy For Authentication Proxy Services

cache For AAA cache configuration

commands For exec (shell) commands.

config-commands For configuration mode commands.

configuration For downloading configurations from AAA server

console For enabling console authorization

exec For starting an exec (shell).

ipmobile For Mobile IP services.

multicast For downloading Multicast configurations from an AAA server

network For network services. (PPP, SLIP, ARAP)

prepaid For diameter prepaid services.

reverse-access For reverse access connections

template Enable template authorization

© 2012 Cisco and/or its affiliates. All rights reserved. 70

template Enable template authorization

R1(config)# aaa authorization exec ?

WORD Named authorization list.

default The default authorization list.

R1(config)# aaa authorization exec default ?

group Use server-group.

if-authenticated Succeed if user has authenticated.

krb5-instance Use Kerberos instance privilege maps.

local Use local database.

none No authorization (always succeeds).

R1(config)# aaa authorization exec default group ?

WORD Server-group name

radius Use list of all Radius hosts.

tacacs+ Use list of all Tacacs+ hosts.

R1# conf t

R1(config)# username JR-ADMIN secret Str0ngPa55w0rd

R1(config)# username ADMIN secret Str0ng5rPa55w0rd

R1(config)# aaa new-model

R1(config)# aaa authentication login default group tacacs+

R1(config)# aaa authentication login TELNET-LOGIN local-case

R1(config)# aaa authorization exec default group tacacs+

R1(config)# aaa authorization network default group tacacs+

R1(config)# line vty 0 4

R1(config-line)# login authentication TELNET-LOGIN

R1(config-line)# ^Z

© 2012 Cisco and/or its affiliates. All rights reserved. 71

R1(config-line)# ^Z

© 2012 Cisco and/or its affiliates. All rights reserved. 72

© 2012 Cisco and/or its affiliates. All rights reserved. 73

Accounting basada en servidor

© 2012 Cisco and/or its affiliates. All rights reserved. 74

Accounting basada en servidor

• Define el modo de contabilidad que se realiza y la secuencia en la que se realizan.

• Las listas con nombre permiten designar un protocolo de seguridad especial para ser utilizado en líneas específicas o interfaces para los servicios de contabilidad.Router(config)#

aaa accounting type { default | list-name } record-type method1 … [method2]

© 2012 Cisco and/or its affiliates. All rights reserved. 75

R1(config)# aaa accounting ?

auth-proxy For authentication proxy events.

commands For exec (shell) commands.

connection For outbound connections. (telnet, rlogin)

delay-start Delay PPP Network start record until peer IP address is known.

exec For starting an exec (shell).

gigawords 64 bit interface counters to support Radius attributes 52 & 53.

multicast For multicast accounting.

nested When starting PPP from EXEC, generate NETWORK records before EXEC-STOP

record.

network For network services. (PPP, SLIP, ARAP)

resource For resource events.

send Send records to accounting server.

session-duration Set the preference for calculating session durations

suppress Do not generate accounting records for a specific type of user.

© 2012 Cisco and/or its affiliates. All rights reserved. 76

system For system events.

update Enable accounting update records.

R1(config)# aaa accounting exec ?

WORD Named Accounting list.

default The default accounting list.

R1(config)# aaa accounting exec default ?

none No accounting.

start-stop Record start and stop without waiting

stop-only Record stop when service terminates.

R1(config)# aaa accounting exec default start-stop?

broadcast Use Broadcast for Accounting

group Use Server-group

R1(config)# aaa accounting exec default start-stop group ?

WORD Server-group name

radius Use list of all Radius hosts.

tacacs+ Use list of all Tacacs+ hosts.

R1# conf t

R1(config)# username JR-ADMIN secret Str0ngPa55w0rd

R1(config)# username ADMIN secret Str0ng5rPa55w0rd

R1(config)# aaa new-model

R1(config)# aaa authentication login default group tacacs+

R1(config)# aaa authentication login TELNET-LOGIN local-case

R1(config)# aaa authorization exec group tacacs+

R1(config)# aaa authorization network group tacacs+

R1(config)# aaa accounting exec start-stop group tacacs+

R1(config)# aaa accounting network start-stop group tacacs+

R1(config)# line vty 0 4

R1(config-line)# login authentication TELNET-LOGIN

R1(config-line)# ^Z

© 2012 Cisco and/or its affiliates. All rights reserved. 77

R1(config-line)# ^Z