AAA con RADIUS y TACACS+
Para evitar que usuarios malintencionados obtengan acceso a equipos de red y servicios sensibles, los administradores deben habilitar el control de acceso. El control de acceso limita a las personas o los dispositivos que pueden utilizar recursos específicos. También limita los servicios o las opciones que están disponibles después de que se concede el acceso.
El control de acceso básico en los dispositivos de red se activa mediante la autenticación. Existen diferentes métodos para implementar la autenticación en un dispositivo Cisco, y cada método ofrece varios niveles de seguridad. A continuación, se describen dos métodos comunes:
- Autenticación de contraseña simple: Esto implica el uso de los comandos de configuración password y login para proteger la consola, las líneas vty, y los puertos auxiliares. Lamentablemente, este método es también el método más débil y menos seguro porque no proporciona ninguna responsabilidad. Por ejemplo, cualquier persona que tenga la contraseña puede obtener acceso al dispositivo y modificar la configuración.
- Autenticación local de bases de datos: Esto implica la creación de las cuentas de usuario local con el comando de configuración global username name secret password y luego configurar el comando de configuración de línea login local en la consola, el VTY y los puertos auxiliares. Esto proporciona seguridad adicional, ya que un atacante necesita saber un nombre de usuario y una contraseña. También proporciona más responsabilidad porque el nombre de usuario queda registrado cuando un usuario inicia sesión.
Sin embargo, el método de la base de datos local no escala mucho más allá de algunos dispositivos de red porque las cuentas de usuario deben configurarse localmente en cada dispositivo. Esto no es adecuado en un entorno empresarial grande con varios routers y switches para administrar. Además, la configuración de la base de datos local no proporciona ningún método de autenticación de reserva. Por ejemplo, ¿qué sucede si el administrador olvida el nombre de usuario y la contraseña para ese dispositivo? Sin el método de respaldo disponible para la autenticación, la recuperación de la contraseña se convierte en la única opción.
Una solución mejor y más escalable es lograr que todos los dispositivos remitan a una base de datos de nombres de usuario y contraseñas alojados en un servidor central. Para admitir esto, los dispositivos Cisco admiten el marco de trabajo de autenticación, autorización y auditoría (AAA) que ayuda a asegurar el acceso de los dispositivos. En los dispositivos Cisco, se utilizan dos protocolos de autenticación AAA:
- Terminal Access Controller Access-Control System Plus (TACACS+, sistema de control de acceso mediante control del acceso desde terminales [se pronuncia como “tack-axe plus”])
- Remote Authentication Dial-In User Service (RADIUS, servicio de usuario de acceso telefónico de autenticación remota)
Un dispositivo compatible con AAA se puede configurar para remitir a una base de datos de usuarios externa para la autenticación de usuarios, licencias y contabilización. El dispositivo se comunica con el servidor AAA mediante el protocolo TACACS+ o RADIUS. Cada protocolo admite capacidades y funcionalidades diferentes. La selección de TACACS+ o RADIUS depende de las necesidades de la organización. Por ejemplo, un ISP grande puede seleccionar RADIUS porque admite la contabilización detallada necesaria para la facturación de los usuarios. Una organización con varios grupos de usuarios puede seleccionar TACACS+ porque requiere políticas de autorización que se aplican por usuario o por grupo.
Es importante comprender las diferencias entre los protocolos TACACS+ y RADIUS.
Estos son tres factores cruciales para TACACS+:
- Separa la autenticación y la autorización.
- Cifra todas las comunicaciones.
- Utiliza el puerto TCP 49.
A continuación, se enumeran cuatro factores cruciales para RADIUS:
- Combina la autenticación de RADIUS y autorización como un solo proceso.
- Cifra solamente la contraseña.
- Utiliza UDP.
- Admite tecnologías de acceso remoto, 802.1x y el protocolo SIP (Session Initiation Protocol).
Mientras ambos protocolos pueden usarse para la comunicación entre un router y los servidores AAA, TACACS+ se considera el protocolo más seguro. Esto se debe a que se cifran todos los intercambios de protocolos TACACS+, mientras que RADIUS solo cifra la contraseña del usuario. RADIUS no cifra nombres de usuario, información de la cuenta, o cualquier otra información que contenga el mensaje de RADIUS.
Blogs relacionados
Si te gusto este articulo comenta y comparte sigue en tu pagina Redes Five.
visitanos en nuestra pagina sobre sistemas operativos y mas Sistemastube.