Los servidores AAA (Autorizacin, Autenticacin y Accounting)

(Registro de logs)

Se utilizan para una mayor seguridad en el acceso dentro de una red VPN (Virtual Private
Network) remota.

Cuando se hace una peticin para poder establecer una sesin desde un cliente externo, dicha
peticin es enviada al servidor AAA y hace las siguientes tareas:

Pregunta quin eres (autenticacin)

Qu es lo que puedes hacer (autorizacin)
Qu es lo que haces mientras ests conectado (accounting)

Se utiliza para hacer un seguimiento de clientes y poder realizar auditoras de seguridad,

facturacin y anlisis de uso.

Una vez que se han identificado los servidores de seguridad AAA, los servidores deben ser
incluidos en la lista de mtodos del comando aaa authentication login. Los servidores AAA se
identifican por medio de las palabras clave group tacacs+ o group radius.

TACACS+ (acrnimo de Terminal Access Controller Access Control System, sistema de control
de acceso del controlador de acceso a terminales) es un protocolo de autenticacin remota que se
usa para gestionar el acceso (proporciona servicios separados de autenticacin, autorizacin y
registro) a servidores y dispositivos de comunicaciones.

TACACS+ est basado en TACACS, es un protocolo nuevo e incompatible con las versiones
anteriores de TACACS.
 Ejemplo de configuracin servidor AAA

1, CONFIGURACIN DEL SERVIDOR AAA

Se aaden los dispositivos que

ser cliente del servidor aaa. Con
servidor tipo tacacs, que es un
protocolo de cisco.

Se crea una base de datos, con

los usuarios, que podrn
autenticar.

2. CONFIGURACIN DEL ROUTER

conf t
aaa new-model Se inicia que se va a crear un nuevo modelo de
autenticacin
aaa authentication login modelo1 group tacacs+ local Se configura el login, se pueden crear varios modelos
aaa authentication login modelo2 local de autenticacin, poniendo el nombre del modelo,
 indicando que estar vinculado con el grupo tacacs+,
adems se indica que si falla el servidor AAA se
loguee mediante la base de datos local.
aaa authentication enable default group tacacs+ Configuracin modo privilegiado, enable con default y
tacacs*, para respaldar si cae el AAA
aaa authorization exec modelo1 if-authenticated Se autorizan los comandos execute en cada modelo
aaa authorization exec modelo2 if-authenticated para que se pueda ejecutar comandos una vez
autenticado
tacacs-server host 172.17.0.10 key cisco Indicar al router donde se encuentra el servidor
informando la key compartida que se introdujo en el
server
username local password cisco Se crea un usuario para la base de datos local
line vty 0 4 Se indica a la vty el modelo para autenticar
login authentication modelo1
session-limit 3 Se limitan los intentos de sesin y tiempo de conexin
exec-timeout 30 inactiva
exit
line console 0 Se indica a la consola el modelo para autenticar
login authentication modelo1
exit
ctrl z
SE CONFIGURA SSH
conf t
hostname router0
ip domain-name aaa.com
crypto key generate rsa
ip ssh version 2
line vty 0 4
transport input ssh
exit
end
SE GUARDA LA CONFIGURACIN
copy run start
PRUEBA EN PC
ssh -l admin 172.16.0.1

Referencias Bibliogrficas

Autenticacin de usuarios mediante un servidor AAA con packet tracer 5.3

http://www.youtube.com/watch?v=mweuI-qAgXI