La autenticación, autorización y contabilidad, también conocida como AAA, son esenciales para administrar la seguridad de inicio de sesión en routers e switches. Muchas personas que implementaaa pueden no entender completamente los comandos que usan en la configuración del router. En su lugar, a menudo copian configuraciones AAA desde otro dispositivo de trabajo sin mucho pensamiento. Sin embargo, es importante entender el propósito de estos comandos y considerar si AAA es necesario y cómo implementarlo de manera efectiva. En este artículo exploraremos algunas buenas prácticas para la configuración AAA.

Si trabaja en un entorno que utiliza AAA, lo más probable es que tenga un servidor TACACS+ o ACS en su lugar para la gestión de inicio de sesión en sus dispositivos. AAA trabaja junto con TACACS+ para manejar la seguridad de acceso. Determina quién puede iniciar sesión (autentic), qué acciones están autorizados a realizar (autorización), y realiza un seguimiento de los comandos utilizados (contabilidad).

Recientemente colaboré con Cisco para establecer las mejores prácticas para configurar AAA en un router. Esto es lo que se nos ocurrió:

Nuevo modelo AAA

Autenticaaa autenticación AAA grupo por defecto de inicio de sesión tacacs+ local

Autenticaaa habilidel grupo por defecto tacacs+ enable

AAA authorization config-commands (en inglés)

AAA authorization exec default Group tacacs+ local if-authenticated

AAA authorization commands 1 default Group tacacs+ if-authenticated

AAA authorization commands 15 default Group tacacs+ local if-authenticated

AAA accounting exec default start-stop Group tacacs+

AAA accounting commands 1 default start-stop Group tacacs+

15 default start-stop Group tacacs+

Algunas configuraciones de router pueden parecer más intimidantes que otras, y AAA es definitivamente una de ellas. Pero don't worry, we' lo romperé y tú#39; ver que it' no es tan difícil como parece.

El presidente#39;s echa un vistazo a cada línea una por una...

Nuevo modelo AAA

Esta línea simplemente activa AAA en el router.

Autenticaaa autenticación AAA grupo por defecto de inicio de sesión tacacs+ local

Aquí, we're diciendo que para autenticación de login, debemos utilizar el grupo por defecto, que es tacacs+. Si tacacs+ falla, entonces we' utilizará la cuenta de usuario local configurada en el router. (en inglés)#39;s why it's importante tener un usuario local configurado en su router.)

Autenticaaa habilidel grupo por defecto tacacs+ enable

Para habilitar autenticde modo, we're usando el grupo por defecto tacacs+ (nótese que we' no está usando la palabra clave local aquí). Esto se debe a que un usuario definido localmente habrá especificado el nivel de autorización que requieren. Por ejemplo, el nivel 15 obtiene el modo de activación.

AAA authorization config-commands (en inglés)

Esta línea nos dice que queremos comprobar con TACACS+ para autorizar entrar en modo de configuración.

AAA authorization exec default Group tacacs+ local if-authenticated

Nota el "if-autenticado" Palabra clave al final de esta línea. Esto significa que si estamos autenticados, inmediatamente caeremos en modo exec (enable).

AAA authorization commands 1 default Group tacacs+ if-authenticated

Como una buena práctica, Cisco recomienda configurar la autorización para cada nivel de acceso de los usuarios a los dispositivos de red. En este comando, estamos autorizando usuarios de nivel 1, que es equivalente al modo no-enable. Debe configurarse un método alternativo, como un usuario local. Esto también requiere el uso de tacacs+.

AAA authorization commands 15 default Group tacacs+ local if-authenticated

Aquí, estamos autorizando usuarios de nivel 15 contra tacacs+. Si tacacs+ no está disponible, entonces se utiliza la cuenta de usuario local. Si se autentifica, el usuario será inmediatamente colocado en el modo exec/enable.

AAA accounting exec default start-stop Group tacacs+

Habilitar la contabilidad AAA para cada nivel de comandos asegura la responsabilidad por el uso de comandos privilegiados en el router. Los niveles de privilegio van de 1 a 15, siendo 15 el nivel más alto. Algunas organizaciones pueden querer implementar niveles adicionales de comandos, donde el nivel 1 puede ser para un help desk y el nivel 15 para administradores de red.

AAA accounting commands 1 default start-stop Group tacacs+

Este es un comando opcional en términos de mejores prácticas, pero proporciona rendición de cuentas o seguimiento de la actividad del usuario, incluso si sólo han iniciado sesión (no en modo exec/enable).

15 default start-stop Group tacacs+

Este comando proporciona la contabilidad para los administradores o los usuarios con el nivel de privilegio 15.

... Y que y#39;s it! ¿Ves? Una vez que pasa por cada línea, it' no es tan difícil. El mayor desafío es entender la compleja estructura de comando de Cisco.

Espero que este desglose haya ayudado a aclarar las cosas un poco.

Hasta la próxima vez - ¡FREAK!