unidad 2. disponibilidad y confiabilidad

Administracin de redes Unidad 2. Disponibilidad y confiabilidad

Ciencias Exactas Ingeniera y Tecnologa |Ingeniera en Telemtica

Ingeniera en Telemtica

Programa de la asignatura:

Administracin de redes

Unidad 2. Disponibilidad y confiabilidad

Clave:

210930933

Universidad Abierta y a Distancia de Mxico


Ciencias Exactas Ingeniera y Tecnologa | Ingeniera en Telemtica 1

ndice

Unidad 2. Disponibilidad y confiabilidad ...............................................................................................................2

Presentacin de la unidad ..................................................................................................................................2

Propsitos .............................................................................................................................................................4

Competencia especfica .....................................................................................................................................4

2.1. Disponibilidad y autenticacin ....................................................................................................................5

2.1.1. Protocolo SNMP (Simple Network Manager Protocol) ...................................................................6

Actividad 1. Protocolo SNMP .......................................................................................................................... 14

2.1.2. Modelo de autenticacin, autorizacin y auditoria (AAA) ............................................................ 14

Actividad 2. Administracin local y remota ................................................................................................... 27

2.1.3. Introduccin a TACACS+ ................................................................................................................. 27

Actividad 3. Administracin de usuarios bajo el esquema AAA y TACACS+ ......................................... 32

2.2. Deteccin y mitigacin de ataques ........................................................................................................ 33

2.2.1. Analizadores de trfico (sniffers) ..................................................................................................... 33

2.2.2. Puerto SPAN ...................................................................................................................................... 41

2.2.3. Escenario de ataque ......................................................................................................................... 46

2.3. Proteccin (Hardening) ............................................................................................................................ 48

2.3.1. Servicios e interfaces potencialmente vulnerables (Hardening) ................................................ 48

2.3.2. Cisco Auto-Secure ............................................................................................................................. 50

2.3.3. Seguridad en redes inalmbricas .................................................................................................... 54

Actividad 4. Asegurando la red ....................................................................................................................... 65

Autoevaluacin .................................................................................................................................................. 66

Evidencia de aprendizaje. Identificacin bsica de la administracin de seguridad de un router ....... 66

Autorreflexin .................................................................................................................................................... 68

Cierre de la unidad ........................................................................................................................................... 68

Para saber ms ................................................................................................................................................. 69

Fuentes de consulta ......................................................................................................................................... 70



Unidad 2. Disponibilidad y confiabilidad

Presentacin de la unidad

Cada empresa tiene necesidades de comunicacin diferentes y stas son cada vez ms complejas, lo

que ha generado la creacin de distintos modelos de diseo y configuracin. Debido a que las

empresas generalmente tienen distintos sitios de operacin, se requiere un protocolo de enrutamiento

que permita la intercomunicacin de sus redes locales a travs de grandes distancias utilizando

tecnologas de enlaces de gran capacidad y complejidad. Mantener una red estable requiere de

diversas herramientas de monitoreo que permitan tener una visibilidad integral de la operacin de la

misma y reaccionar de acuerdo a un anlisis e interpretacin de la informacin por parte del

administrador de la red.

A grandes rasgos existen dos tipos de usuarios en la red, los usuarios finales y los administradores,

cada uno requiere acceso a ella de diferente forma, por lo tanto se crean mecanismos de acceso

adaptados a las necesidades de cada usuario, con el fin de que slo puedan realizar el mantenimiento

y modificaciones autorizadas para garantizar la seguridad y el performance de la misma. Por lo tanto el

acceso a los recursos debe de estar controlado por un mecanismo adecuado que estudiars en esta

unidad a travs de esquemas AAA, Autenticacin, Autorizacin y Contabilizacin (Authentication,

Authorization and Accounting) y servidor TACACS+, (en ingls Terminal Access Controller Access

Control System, que se refiere a sistema de control de acceso del controlador de acceso a terminales).

Para los usuarios, no slo la seguridad es importante, tambin se requiere el uso adecuado de los

recursos de la red, lo anterior en conjunto con el estado de los dispositivos, la disponibilidad de los

medios, la confiabilidad de la comunicacin y la integridad de la informacin hacen necesaria la

creacin de un mecanismos que satisfaga las necesidades en el manejo de informacin, es as que se

cre el protocolo SNMP el cual analizars ms adelante.

Gestionar lo anterior podra parecer mucho trabajo, sin embargo, es slo el principio de la

administracin de redes. Aunado a lo anterior, tambin es necesario cuidar el funcionamiento de los

dispositivos, asegurar la informacin que se transfiere, as como desarrollar proyectos de mejora.

Por otro lado, una vez que se encuentra construida la infraestructura, es necesario vigilar y proteger la

red celosamente contra ataques de entidades externas y/o actividades mal intencionadas de personal

interno. El activo ms valioso para cualquier empresa es su informacin por lo cual su proteccin est

regulada por organismos internacionales para asegurar que los datos de los clientes que posee dicha

organizacin no queden expuestos a los criminales, y no slo esto, tambin evitar actividades

deshonestas internas con los recursos de la red, es as que se crearon herramientas como Cisco Auto-

Secure y mtodos de anlisis como SPAN (the Switched Port Analyzer).

En la actualidad ya no se requiere una computadora o PC de escritorio para acceder a la red, telfonos

celulares, tabletas, automviles y hasta refrigeradores y lavadoras pueden acceder a ella. La seguridad

inalmbrica tambin es un aspecto de la red que requiere proteccin, para ello se te mostrarn los

diferentes estndares que coadyuvan con este objetivo. En el mundo de las redes, no existe red



segura, lo nico seguro en una red, es que alguien, en algn momento, cuando menos se lo espere; la

atacar.

Los elementos de configuracin que se usan en este contenido se presentan de forma similar a la

nomenclatura utilizada por Cisco: negritas comandos y cursivas opcin a rellenar por el usuario.

Tambin se usa {o|o|o} donde puedes elegir alguna de las tres opciones.



Propsitos

Al finalizar el estudio de esta unidad, podrs:

Identificar las funciones y procesos del

protocolo SNMP

Comparar las caractersticas y ventajas de

los esquemas AAA y TACACS+

Ubicar las caractersticas de la seguridad de

redes

Interpretar la informacin obtenida de las

herramientas de monitoreo y anlisis de

trfico

Identificar las vulnerabilidades de seguridad

de una red

Determinar estrategias de mitigacin de

riesgos y prevencin de ataques

Competencia especfica

Analizar la informacin obtenida del monitoreo de

una red para determinar las estrategias de

prevencin de riesgos y mitigacin de ataques,

identificando los protocolos de administracin, los

mecanismos de ataques y las herramientas de

monitoreo.



2.1. Disponibilidad y autenticacin

Las redes tienen una caracterstica muy importante a diferencia de otros dispositivos y reas

tecnolgicas, siempre deben de estar disponibles. Las PC y otros equipos pueden apagarse cuando

el usuario no requiere utilizarlos. Las telecomunicaciones como las carreteras de la informacin

siempre deben de estar disponibles para su utilizacin. Mantener disponibles y confiables estas

grandes vas de la informacin requiere de un trabajo constante y una vigilancia veinticuatro horas, con

el fin de que siempre se encuentren en ptimas condiciones para la transmisin de datos.

Carreteras de informacin siempre abiertas

Por lo tanto, es necesario emplear herramientas que permitan vigilar y monitorear las vas de

comunicacin todo el tiempo, inclusive cuando el administrador no se encuentra en horario laboral, con

el fin de garantizar la disponibilidad de la red. Un centinela que alerte al administrador de algn

problema que se haya presentado en la red, de lo que est sucediendo y avisar de lo que podra

suceder. Es exactamente este servicio el que proporciona SNMP (Simple Network Management

Protocol), el cual estudiars a continuacin.



2.1.1. Protocolo SNMP (Simple Network Manager Protocol)

Qu es SNMP

SNMP es el Protocolo Simple de Administracin de Red (Simple Network Management Protocol), es

un protocolo de la capa de aplicacin definido en el RFC 1157 para el intercambio de informacin de

administracin entre dispositivos de red. Es parte de la pila de protocolos TCP/IP. SNMP es uno de los

protocolos mayormente aceptados para la administracin y monitoreo de infraestructuras de red, la

mayora de los dispositivos de red utilizados a nivel profesional vienen instalados de fbrica con un

agente SNMP, estos agentes estn configurados y preparados para la comunicacin con un Sistema

de Administracin de Red (Network Management System, NMS).

SNMP permite a los administradores de red supervisar el funcionamiento de la misma, buscar y

resolver problemas relacionados a la transmisin de informacin y anlisis de tipos de datos y puertos,

adems de brindar la informacin necesaria para el crecimiento y mejora de la infraestructura de red.

Origen de SNMP

SNMP surge en la dcada de los 70. El Protocolo de Mensajes de Control de Internet (Internet Control

Message Protocol, ICMP) fue desarrollado para administrar la red de la Agencia de Proyectos de

Investigacin Avanzada (Advanced Research Project Agency NETwork, ARPANET). En esta poca se

crea ICMP que es un mecanismo para la transferencia de mensajes de control entre nodos, un claro

ejemplo del uso de ICMP es a travs de la herramienta PING (Packet Internet Groper), que forma parte

de la pila de protocolos TCP/IP. PING es una herramienta simple usada para investigar la

disponibilidad y la confiabilidad de un nodo (destino) desde otro nodo (origen). PING es una

herramienta fundamental para cualquier sistema de monitoreo de redes.

Cuando ARPANET comenz operaciones en 1969, se convirti en la Internet en la dcada de los 80

con la llegada del sistema UNIX y la popularizacin de la arquitectura cliente-servidor. Las redes

basadas en TCP/IP crecieron rpidamente, especialmente en ambientes militares, de gobierno y

acadmicos. Algunas empresas comenzaron a utilizar el desarrollo de los medios electrnicos para

compartir informacin. La NSF Fundacin Nacional de Ciencia (National Science Foundation) en 1984

cambia el nombre de ARPANET a Internet.

Para fines de homologacin cuando se menciona a la Internet, puedes hacerlo con un

artculo masculino o femenino, esto depende el contexto en el cual te encuentres.

Debido a que la Internet se compone de diferentes redes interconectadas formando una

gran nube, al querer inferir la nube se escribe antecediendo el artculo femenino la

Internet. Cuando se hace referencia a un servicio de conexin hacia la nube puedes

utilizar nicamente Internet, por ejemplo cuento con el servicio de Internet o



cuando se expresa en un argumento existen numerosos protocolos en Internet . Por

lo tanto es incorrecto escribir o mencionar el Internet.

Tambin es importante mencionar que la palabra Internet en cualquier contexto se

escribe con la letra inicial en mayscula.

Con el crecimiento de la Internet, se hizo necesario y esencial contar con la capacidad de supervisar y

monitorear los dispositivos de red de manera remota, por lo cual se gener el Protocolo de Monitoreo

de Router Simple (Simple Gateway Monitoring Protocol, SGMP) el cual fue desarrollado con ste

propsito de manera provisional en lo que se creaba un protocolo mejor. Para alcanzar este objetivo se

form el Consejo Asesor de Internet (Internet Advisory Board, IAB) encargado de administrar las

actividades de la red; este organismo recomienda mejorar el protocolo de monitoreo existe SGMP

convirtindose en SNMP, incluso ste ltimo protocolo tambin pretenda ser una solucin temporal,

sin embargo, debido a la enorme simplicidad de SNMP y su extensiva implementacin, se convirti en

el estndar de facto en la actualidad para la administracin de redes.

En lo sucesivo fueron desarrolladas las siguientes versiones de ste protocolo, como la SNMPv2 (v2

refiere a versin2); con la intencin de incluir ms caractersticas, esta nueva versin slo super

parcialmente algunas limitaciones de la versin anterior, posteriormente la versin final de SNMPv2 fue

liberada sin una de sus principales caractersticas para lo que fue pensada, la seguridad, esto por

discrepancias de opinin de sus desarrolladores.

SNMPv3 incorpora caractersticas de seguridad a la versin anterior, logrando posicionar esta versin

como el estndar de monitoreo seguro para redes de computadoras, dichas caractersticas se

mencionan a continuacin:

Integridad: Usando algoritmos hash, SNMPv3 puede asegurar que los mensajes SNMP no

sean modificados durante su transmisin

Autenticacin: El hash valida la autenticidad de la fuente de un mensaje SNMP

Encriptacin: Usando el algoritmo de encriptacin CBC- DES (DES-56), SNMP provee

privacidad en sus mensajes, hacindolos ilegibles si algn atacante captura un

paquete SNMP

Organizaciones de Internet y estndares

Como se ha mencionado la IAB promovi la creacin de SNMP. La IAB se fund en 1983 de manera

informal por investigadores acadmicos durante el desarrollo de redes basadas en TCP/IP. Despus

cambi su nombre a Consejo Asesor del Consejo de Arquitectura de Internet (Advisory Board to the

Internet Architecture Board) en 1989 y se le design la responsabilidad de administrar dos grandes

fuerzas de tarea, el Grupo de Trabajo de Ingeniera de Internet (Internet Engineering Task Force, IETF)

y el Grupo de Investigacin de Internet (Internet Research Task Force, IRTF).



El IRTF se encarga de desarrollar los proyectos de investigacin a largo plazo para la Internet, se

compone de pequeos grupos de investigacin que trabajan en temas relacionados con los protocolos

de Internet, aplicaciones, arquitectura y tecnologa. El crecimiento de la gran nube ayud al

posicionamiento de ETF hasta convertirse en la ingeniera de protocolos, desarrollo y estandarizacin

de la IAB.

El Centro de Informacin de Internet (Internet Network Information Center, InterNIC) es una

organizacin que almacena una gran cantidad de documentos relacionados a la Internet y a las

actividades del IETF. Estos incluyen, entre otros documentos, Solicitud de Comentarios del Documento

(Request for Comments, RFC), Estndar RFC (STD), y Para su Informacin RFC (FYI). Los dos

ltimos son subseries de RFC.

La Autoridad para la Asignacin de Nmeros en la Internet (Internet Assigned Numbers Authority,

IANA) es el coordinador central para la asignacin de valores de parmetros nicos para los protocolos

de Internet. El conjunto de protocolos de Internet contiene numerosos parmetros, como las

direcciones de Internet, nombres de dominio, nmeros de sistemas autnomos (usados en protocolos

de enrutamiento), nmeros de protocolo, nmeros de puerto, identificadores de objetos MIB

(Management Information Base), entre muchos otros. El uso comn de estos protocolos por parte de la

comunidad de Internet requiere que estos valores se asignen de forma exclusiva. Esta es la tarea de la

IANA, realizar la asignacin de direcciones para la Internet y mantener un registro de los valores

otorgados.

Un principiante en la administracin podra confundirse fcilmente con el gran nmero de RFC que

estn relacionados con la gestin de redes, en concreto, SMI (Structure of Management Information)

(consulta el siguiente subtema 2.1.2.), MIB y SNMP, adems estos documentos estn en continua

evolucin, por lo cual es importante estar al tanto de las ltimas versiones.

Las RFC son notas sobre Internet y sobre sistemas que se conectan a Internet, cada

una de ellas individualmente es un documento cuyo contenido es una propuesta

oficial para un nuevo protocolo de Internet, que se explica con todo detalle para que,

en caso de ser aceptado, se pueda implementar sin ambigedades. Si el IETF

aprueba la propuesta se convierte en un RFC. Si resulta suficientemente importante,

se desarrolla y se convierte en un estndar de Internet. Cada RFC tiene un ttulo y

un nmero asignado que no puede repetirse o eliminarse si el documento queda

obsoleto.

Puedes consultar estas notas en el vnculo: http://www.rfc-es.org/



Componentes de SNMP

Los componentes presentados a continuacin, trabajan en conjunto para permitir la funcionalidad de

SNMP.

Componentes:

a) SMI (Structure of Management Information)

La SMI define el tipo de datos que son permitidos dentro de la MIB. Se establece una nica

estructura para cada objeto administrado. La RFC 1155 define cmo los objetos administrados

se guardan en la MIB. Bsicamente los objetos administrados tienen seis atributos, por

ejemplo, un nombre, un identificador de objeto, un campo de sintaxis, un campo de acceso, un

campo de estado y una texto con su descripcin.

La SMI define la estructura de la base de datos del agente SNMP. Cuando se construye la

base de datos, lo primero que se hace es decidir la estructura que llevar esta base. La

estructura define el nmero de campos de cada entrada, as como su tamao y el tipo de datos

que podr contener cada uno.

b) MIB (Management Information Base)

Es una coleccin de datos sobre informacin de los elementos de la red. Esta informacin es

almacenada en una base de datos de objetos administrados que puede ser accedida a travs

de un protocolo de administracin de red como SNMP. La RFC 1156 define los objetos

administrados que contiene la MIB.

Un objeto administrado puede representar una caracterstica de un dispositivo administrado,

por ejemplo, el valor asociado con el nmero de paquetes que ha recibido el equipo a travs de

una interfaz desde el ltimo reinicio del mismo o el tiempo que ha permanecido encendido

desde la ltima vez que se encendi, entre otros.

El protocolo MIB describe los objetos, o las entradas, que deben ser incluidas en la base de

datos del agente SNMP. Por esta razn, los agentes SNMP son referidos algunas veces como

MIB. Los objetos en una MIB deben estar definidos de la manera en que los desarrolladores del

software del dispositivo conocen los nombres de los objetos y sus valores correspondientes.

Esta informacin se incluye en la especificacin MIB.

Existen tres categoras de la especificacin MIB:

Estndar Incluye un conjunto comn de objetos aceptados y ratificados

por el grupo de estndares de la Internet.

Experimental

Incluye informacin especfica relacionada con otros aspectos

de la red. Una vez que la especificacin experimental de MIB

sea refinada y llevada a niveles competitivos de eficiencia,

ser reclasificada como estndar.

Privada (o de Empresa) Se ha diseado para uso individual de compaas que



requieren colectar datos particulares de sus propios

dispositivos de red. Permite que se definan objetos propios.

Que pueden ser especficos y no estar definidos en la

categora estndar.

c) Agentes SNMP

Todo dispositivo de red que pretende ser administrado, debe de contener un agente que

ejecute todos los objetos MIB que son relevantes para su monitoreo y administracin. El agente

provee la informacin que es requerida por la aplicacin de administracin.

Un Administrador SNMP realiza solicitudes (de poleo). Por solicitud de poleo se entiende a una

manera informal de nombrar a la solicitud de traps, el cual entrega la informacin que se encuentra

almacenada la MIB. Las interrupciones (traps). Son mensajes que alertan al gestor SNMP de cierta

condicin en la red.

Componentes bsicos y sus funciones

SNMP se compone de:

Administrador SNMP

Dispositivos administrados

Agente SNMP

Base de datos de Informacin de Administracin

Administrador SNMP

Un Sistema de Administracin SNMP es una entidad separada responsable de la comunicacin

con el Agente SNMP implementado por los dispositivos de red. Por lo general es un servidor en el

cual corren uno o ms sistemas de administracin de red.

Sus funciones clave son:

Consultar a Agentes

Interpretar respuestas de los Agentes

Configurar variables en los Agentes

Reconocer eventos asncronos desde los Agentes

Dispositivos administrados

Es un elemento de la red que requiere ser monitoreado y administrado, por ejemplo, routers,

switches, servidores, estaciones de trabajo, impresoras, UPS, etc.



Agente SNMP

Un Agente es un software que viene instalado desde fbrica en el dispositivos de red, una vez que

se activa este agente recopila toda la informacin del dispositivo en una base de datos de

informacin de administracin mantenindola disponible para un sistema de administracin de red

o un sistema de administracin SNMP. Estos agentes pueden ser estndares como Net-SNMP o

especficos del fabricante, por ejemplo, de Hewlett Packard HP insight agent.

Sus funciones clave son:

Recopilacin de informacin de administracin de todo el entorno del dispositivo

Almacena y recupera la informacin de administracin almacenada en la MIB

Envo de seales al producirse un evento hacia el sistema administrador

Acta como proxy para los dispositivos de red que no corren SNMP

Diagrama de comunicacin SNMP

Base de Datos de Informacin de Administracin

La Base de Datos de Informacin de Administracin (Management Information Base, MIB) es

una coleccin de informacin que est organizada jerrquicamente. Cada Agente SNMP



mantiene una base de datos de informacin que describe los parmetros del dispositivo

administrado. El Administrador SNMP usa esta base de datos para obtener informacin

especfica del estado del dispositivo, la cual ser interpretada por el Sistema de Administracin

de Red (Network Management System, NMS). La MIB se intercambia en repetidas ocasiones

con el Administrador SNMP.

Fundamentalmente esta MIB contiene informacin estndar sobre valores estadsticos y de

control definidos para los dispositivos de red. SNMP tambin permite el complemento de estos

valores estndares con valores especficos para un agente en particular a travs del uso de

MIB privadas.

Resumiendo, los archivos MIB son el conjunto de preguntas que un Administrador SNMP puede

solicitar a un Agente SNMP sobre el estado de un dispositivo de red. El agente recopila estos datos de

forma local y los almacena tal como se define en la MIB. Por lo tanto, el Administrador SNMP debe

estar al tanto de estas preguntas, estndares y privadas, para cada tipo de agente.

Estructura de la MIB y el identificador de objeto

La MIB es una coleccin de informacin para la gestin de los elementos que conforman una red. La

MIB se compone de objetos administrados los cuales poseen un identificador, llamado identificador

de objeto (Object ID u OID). Cada identificador es nico y denota caractersticas especficas de un

dispositivo gestionado, los objetos administrados estn compuestos de una o ms instancias de objeto,

que son esencialmente variables, como por ejemplo, texto, nmero, contador, etc.

Hay dos tipos de objetos administrados o ID de objeto: escalares y tabulares. Los objetos escalares

definen una simple instancia de objeto. Los objetos tabulares definen mltiples instancias de objeto

relacionadas que estn agrupadas conjuntamente en tablas MIB.

Un ejemplo de un valor escalar puede ser: nombre del fabricante del dispositivo, un ejemplo de un

valor tabular puede ser: la utilizacin de un procesador de 4 ncleos, lo que implicara 4 resultados,

uno por cada ncleo del procesador. Cada ID de objeto se organiza jerrquicamente dentro de la MIB.

La jerarqua de la MIB puede ser representada en una estructura de rbol con identificador variable

individual.

Funcionamiento de SNMP

Como has estudiado, una red administrada va SNMP incluye aplicaciones de administracin

(servidores de administracin) y elementos de la red (dispositivos de red). Los servidores de

administracin ejecutan aplicaciones que utilizan datos SNMP para monitorear el performance de la

red. Los agentes de la red son los responsables de mantener los datos estadsticos y de estado de los

dispositivos administrados que se enviarn como insumos para la interpretacin de la informacin por

los servidores de administracin que ejecutan un Administrador SNMP.



Comandos SNMP

SNMP es una aplicacin de administracin de red. Esta aplicacin contiene varios comandos bsicos

como: read, write, trap, y operaciones de recorrido, a continuacin se explica dada una:

El comando read activa el administrador de sistema para monitorear los dispositivos

administrados. Esto permite el anlisis de diferentes variables que el dispositivo de red entrega

El comando write permite al sistema administrador controlar los dispositivos administrados.

Esto permite que los valores almacenados en las variables se modifiquen

El comando trap es utilizado por los dispositivos administrados para enviar actualizaciones al

sistema administrador. Este comando es utilizado por el dispositivo administrador si necesita

notificar algn evento significativo de acuerdo a su estatus en la red

Las operaciones de recorrido permite al sistema administrador recuperar informacin de la

tabla de variables. Esto permite al sistema administrador ordenar la informacin paso a paso

Beneficios

Administrar una red con la ayuda de SNMP ofrece significativos beneficios. Estos beneficios permiten

al administrador de red tomar el control para garantizar una red saludable y eficiente, los ms

importantes son:

Control

Prevencin, deteccin y solucin de problemas relacionados con la red. SNMP facilita las

tareas del administrador al tomar el control necesario para mantener la red saludable,

proveyndole un mecanismo de monitoreo eficiente del performance de la red

Estandarizacin

SNMP es un protocolo soportado por la mayora de los dispositivos de los diferentes

fabricantes alrededor del mundo. La administracin centralizada es extremadamente efectiva y

una solucin extensa para la administracin de redes

Eficiencia

SNMP utiliza UDP para la entrega de paquetes llamados Unidades de Datos de Protocolo

(Protocol Data Units, PDUs). UDP es un mtodo rpido de transmisin de informacin a

diferencia de TCP. UDP carece de las caractersticas de proteccin contra la prdida de la

trasmisin de los datos, adems los constantes mensajes de status de la red que enva SNMP

a travs de UDP demandan un bajo procesamiento y evitan la congestin de la misma

Seguridad

SNMPv3 fue diseado para contrarrestar las siguientes vulnerabilidades de seguridad:

- Modificacin de la informacin: Alteracin del mensaje por un agente externo durante su

transmisin

- Enmascaramiento: Alguna entidad podra enmascararse y hacerse pasar por otra entidad

- Modificacin del flujo de mensaje: Reordenamiento o reenvo de mensajes

- Observacin de informacin de acceso: Revelacin de contraseas



Actividad 1. Protocolo SNMP

Bienvenido(a) a la primer actividad de la Unidad 2!

El propsito de esta actividad es que identificar las caractersticas, componentes y funciones del

protocolo de administracin de redes SNMP, as como relacionar sus elementos con base en la

funcin que cada uno de ellos realiza dentro del proceso SNMP.

Considera la teora previamente estudiada y realiza lo siguiente:

1. Para iniciar consulta el(los) listado(s) que te enviar tu Facilitador(a).

2. Crea un archivo en el procesador de palabras de tu preferencia.

3. Ubica detenidamente los elementos de SNMP y separa los que no intervengan en l.

4. Realiza oraciones de acuerdo a la funcin o trabajo que realiza el protocolo SNMP, de

acuerdo el listado proporcionado, el cual puede variar en relacin a las instrucciones de tu

Facilitador(a).

5. Identifica y/o propn un verbo que ayude a relacionar cada elementos entre s de acuerdo

al papel que cada uno realiza en el proceso SNMP.

6. Vincula los elementos con cada verbo que identificaste conservando una relacin lgica

basada en la teora estudiada hasta el momento.

7. Conjunta cada oracin entre el concepto verbo y su complemento.

8. Guarda tu actividad en un archivo con el nombre KADR_U2_ACT1_XXYZ.

9. Envalo a la base de datos para hacer esta actividad colaborativa.

10. Realizar una retroalimentacin a uno(a) de tus compaeros(as) que realmente aporte a su

trabajo presentado y considera que debe de cumplir con el propsito de la actividad.

*Todos los integrantes del grupo debern tener un comentario de otro de sus compaeros(as) y de tu Facilitador(a).

*Revisa los criterios de evaluacin para esta actividad.

2.1.2. Modelo de autenticacin, autorizacin y auditoria (AAA)

Una de las tareas del administrador, es proveer acceso a la red, sin embargo, se debe slo permitir el

acceso a usuarios autorizados como proteccin contra ataques. El modelo de Autenticacin,

Autorizacin y Auditora (Authentication, Authorization, and Accounting, AAA) permite definir quin

accede y qu puede hacer dentro de la red, adems de llevar un registro del comportamiento dentro de

la misma.

AAA es parte de una serie de servicios de seguridad que juntos proveen un marco de trabajo que

define el Control de Acceso a la Red (Network Access Control, NAC).



A continuacin se examinar la naturaleza modular de AAA y se estudiar cmo este modelo provee

servicios de autenticacin, autorizacin y auditora al igual que examinars como resolver problemas

relacionados a AAA en routers Cisco.

Configurar AAA usando la base de datos de usuario local

El acceso no autorizado a una red compromete la operacin, los dispositivos, los servicios y la

informacin que transporta, por ello la arquitectura AAA provee un mecanismo de proteccin al acceso

de intrusos a la red. Sin embargo, no slo usuarios e intrusos puede intentar ingresar a la red, tambin

los administradores requieren acceso a los diferentes equipos que comprende, el esquema AAA

provee un ingreso seguro, tambin para ellos.

Autenticacin, Autorizacin y Auditora

El acceso seguro a una red basada en plataformas Cisco utilizando el esquema de seguridad AAA

implica la utilizacin de una arquitectura modular que se compone de tres componentes funcionales:

Definicin del esquema AAA



AAA para routers Cisco

Cisco provee tres formas de implementar servicios AAA para routers Cisco:

Formas de proveer servicios AAA

La autenticacin AAA local utiliza una base de datos local para la autenticacin. Este mtodo

almacena los nombres de usuario y contrasea localmente en el dispositivo. Sin embargo, por diversas

razones que vers ms adelante, se recomienda la autenticacin basada en servidor.

El control de acceso por AAA es soportado por los equipos de red de Cisco ya sea a travs de una

base de datos de nombre de usuario y contrasea (username-password) o por una base de datos de

un servidor de seguridad remoto (AAA Server). Para permitir el acceso a un grupo reducido de

usuarios, conviene utilizar una base de datos local tipo username-password, la cual se puede crear

mediante el comando username xyz password contrasea-fuerte.

Si requieres mayor seguridad para el acceso, puedes utilizar el comando username secret para

configurar un nombre de usuario y una contrasea asociada a una encriptacin de nivel MD5.

Cuando se hace referencia a una contrasea-fuerte, implica asignar una cadena de por lo menos 8 caracteres en la cual se incluya mnimo una letra en mayscula, un nmero y un signo, por ejemplo, el de pesos $.

Un servidor de seguridad remoto puede ser otra opcin. Esta implementacin utiliza una base de datos

de seguridad remota y provee servicios AAA para mltiples dispositivos de red y un gran nmero de

usuarios o administradores de red.



El mtodo basado en servidor utiliza un recurso externo de servidor de base de datos a travs de los

protocolos RADIUS (Remote Dial-in User Services) o TACACS+ (Terminal Access Control Access

Control Server Plus). La familia de productos ACS (Access Control Server) de Cisco soporta tanto

TACACS+ como RADIUS, que son los dos protocolos predominantes usados por los dispositivos de

seguridad para la implementacin de AAA.

Autenticacin AAA

Son tres pasos los necesarios para configurar en un router Cisco un esquema AAA usando una base

de datos local para la autenticacin. Es muy importante que protejas las interfaces de todos los routers

que se tienen en una infraestructura de red, con mayor razn los routers perimetrales o de borde ya

que estos proporcionan en la mayora de los casos acceso a Internet. Los comandos AAA son usados

para garantizar un acceso seguro a la red local. La tabla siguiente compara los modos de acceso al

router, tipos de puertos y los elementos de los comandos AAA.

AAA tiene dos modos de acceso (caracter y paquete) que se resumen en la siguiente tabla:

Interfaz Modo Descripcin

AUX Carcter Puerto auxiliar DTE

Consola Carcter Puerto de consola

TTY Carcter Puerto asncrono

VTY Carcter Terminales virtuales

PPP Paquete Interfaces PPP, serial o ISDN

Arap Paquete AppleTalk Remote Access (ARA)

NASI Paquete NetWare Access Server Interface o interfaz serie

Modos de acceso AAA. Autor: Ariganello, E. (2013)

Se requieren seis pasos para configurar un router Cisco para una autenticacin loca:

Paso 1 Proteger el acceso al modo privilegiado o modo EXEC

Paso 2 Usar el comando aaa new-model para habilitar el esquema AAA globalmente en el

router de borde

Paso 3 Configurar las listas de autenticacin AAA

Paso 4 Configurar el nivel de autorizacin AAA a asignar despus de que el usuario ha sido

autenticado

Paso 5 Configurar las opciones de registro de usuarios AAA

Paso 6 Verificar la configuracin

Configurar la base de datos de autenticacin local para los usuarios usando AAA

Para configurar en un router la utilizacin del esquema AAA, se debe ingresar primero el comando aaa

new-model. Este comando es crtico debido a que establece una cuenta de autenticacin de usuarios

utilizando AAA. Para habilitar el mtodo de autenticacin local, se debe restablecer la sesin Telnet o

de consola y utilizar la lista de autenticacin definida localmente para accesar al router debido a que se



perder la conexin durante la configuracin AAA. Si se pierde la conexin remota se requerir acceso

fsico al equipo mediante el puerto de consola y realizar una recuperacin de contrasea. En casos

muy extremos, la configuracin salvada en la NVRAM se perder.

Los comandos mnimos requeridos son los siguientes y deben ingresarse en este orden:

Router(config)# aaa new-model Router(config)# username nombre-de-usuario password contrasea Router(config)# aaa authentication login default local

La siguiente es una lista complete de comandos aaa authentication para IOS Cisco 12.2 y

posteriores:

Comando Descripcin

aaa authentication arap

AppleTalk Remote Access Protocol (ARAP) para

usuarios que utilizan RADIUS o TACACS+.

Ingresar el comando aaa authentication arap para

habilitar el esquema AAA.

aaa authentication banner Usar este comando para crear un login banner

personalizado.

aaa authentication enable

default

Utilizar este comando en modo de configuracin

global para habilitar el esquema AAA y determinar

si el usuario puede ejecutar comandos de nivel

privilegiado.

aaa authentication fail-

message

Este comando crea el banner que se desplegar en

pantalla cuando falla el acceso para un usuario.

aaa authentication local-

override

Este comando se utiliza para indicar al IOS de

Cisco que busque primeramente en la base de

datos local para autenticar a un usuario, antes de

intentar con algn otro mtodo. La forma no del

comando deshabilita esta accin.

aaa authentication login Este comando se utiliza para habilitar el esquema

AAA para autenticacin.

aaa authentication nasi

Especifica la autenticacin AAA para clientes

NetWare Access Server Interface (NASI) que se

conectan usando un servidor de acceso. La forma

no del comando deshabilita esta accin.

aaa authentication

password-prompt

Se utiliza para cambiar el texto que se despliega

cuando los usuarios ingresan la contrasea. La

forma no del comando regresa al texto por default

del nombre de usuario.

aaa authentication ppp Se utiliza para especificar uno o ms mtodos de

autenticacin AAA para su uso en interfaces



seriales que corren PPP. La forma no del comando

deshabilita esta accin.

aaa authentication

username-prompt

Se utiliza para cambiar el texto mostrado cuando se

requiere que los usuarios ingresen su nombre de

usuario. La forma no de este comando regresa el

texto default del prompt.

Diferentes tipos de comandos de autenticacin AAA. Watkins, M. & Wallace (2008)

Tambin es importante que estudies la funcin de estos tres comandos y como se utilizan en un

ambiente AAA:

El comando aaa authentication login

El comando aaa authentication ppp

El comando aaa authentication enable default

Despus de activar AAA globalmente en el servidor de acceso, se requiere definir las listas de

mtodos de autenticacin y aplicarlas en las lneas o interfaces. Estos son perfiles de seguridad para

PPP, dot1x o login y mtodo de autenticacin. Tambin se debe especificar hasta cinco mtodos de

autenticacin (local, grupo TACACS+, grupo RADIUS, lnea, o activacin de autenticacin) para aplicar

a una lnea o interfaz. El objetivo de esta seccin se centra en la base de datos de usuario local, si se

desea trabajar con varios mtodos de autenticacin, es una best practice tener activada la

autenticacin local como ltima opcin en una lista de autenticacin para acceder al equipo debido a

que si falla el enlace hacia el servidor de autenticacin se pueda ingresar al mismo.

Definir una lista de mtodos

Para definir una lista de mtodos de autenticacin usando el comando aaa authentication, se requiere

seguir los siguientes pasos.

Paso 1 En Modo de configuracin global, ingresar el comando aaa authentication para

configurar una lista de mtodos de autenticacin AAA:

Indicar el servicio (PPP, dot1x, etc.) o autenticacin login

Usar una lista de mtodos de autenticacin o especificar un nombre de lista de

mtodos. Asegurarse que la lista de mtodos definida sobrescriba la existente

despus de aplicarse sobre una interfaz. De no ser aplicada sobre la interfaz, la

lista de mtodos por default entrar en funcin

Una lista puede ser cualquier cadena de caracteres alfanumrica que desees.

Puedes configurar mltiples cadenas en un router, sin embargo, cada cadena

tiene que tener un nico nombre

Las listas de mtodos son listas secuenciales que describen los mtodos de

autenticacin que deberan preguntarse cuando un usuario desea autenticarse.

Esto permite al administrador de la red designar uno o ms protocolos de

seguridad a usarse en la autenticacin, habilitando un sistema de respaldo por si

el mtodo inicial tiene algn error, no est disponible o no es alcanzable



Paso 2 Especificar el mtodo de autenticacin (local, grupo TACACS+, grupo RADIUS o

lnea), y cmo el router manejar las solicitudes cuando un mtodo no est disponible.

Por ejemplo, si un servidor AAA est fuera? Se pueden especificar hasta cuatro

mtodos.

Paso 3 Aplicar una lista de mtodos de autenticacin para cada uno de los siguientes:

a. Lneas. TTY, vty, consola, auxiliar, y lneas asncronas, o el puerto de consola

para login o lneas asncronas (en la mayora de los casos) para ARAP.

b. Interfaces. Interfaces sncronas, asncronas, y virtuales configuradas para PPP,

Protocolos de Interfaz de lnea serial (SLIP), NASI, o ARAP.

Configurar la autenticacin AAA para login

El comando aaa authentication login es usado en modo de configuracin global para configurar la

autenticacin AAA con el objeto de iniciar sesin en un puerto de administracin del router. La

siguiente es una lista de estos comandos:

aaa authentication login default enable este comando es utilizado para indicar un mtodo de

autenticacin por default de inicio de sesin usando enable password

aaa authentication login console-in local especifica la lista de mtodos de autenticacin de

inicio de sesin llamada console-in usando el nombre de usuario y password de la base de

datos local del router

aaa authentication login tty-in este comando es usado para especificar una lista de

autenticacin de inicio de sesin llamada tty-in usando la contrasea de lnea configurada en el

router

La sintaxis empleada para el comando aaa authentication es la siguiente:

aaa authenticacion login {default | list-name} method1 [method2]

A continuacin se describen los elementos del comando:

Elemento de comando Descripcin

Default Especifica la lista por default de mtodos de autenticacin que se utilizar cuando un usuario inicia sesin con base en los mtodos que siguen a este argumento.

list-name Utilizado para nombrar la lista de mtodos de autenticaciones activa cuando un usuario inicia sesin

Method

Una palabra clave debe ser especificada. Para usar la base de datos local, usar la palabra clave local. enable: El enable password es usado para la autenticacin. krb5: Kerberos 5 es usado para la autenticacin. krb5-telnet: El protocolo de autenticacin Kerberos 5 es utilizado cuando se intenta conectarse al router por Telnet.



line: El line password es utilizado para la autenticacin. local: El nombre de usuario local es utilizado para la autenticacin. local-case: Activa la deteccin de maysculas y minsculas para la autenticacin local de nombre de usuario. none: No es utilizada la autenticacin. group radius: La lista de todos los servidores RADIUS es utilizada para la autenticacin. group tacacs+: La lista de todos los servidores TACACS+ es utilizada para la autenticacin. group group-name: Utiliza ya sea un subconjunto de servidores RADIUS o TACACS+ para la autenticacin como es definido por el comando aaa group server radius o aaa group server tacacs+.

Tonado de: Watkins, M. & Wallace (2008)

Configurar la autenticacin AAA en interfaces seriales corriendo PPP

Se puede especificar uno o ms mtodos de autenticacin para ser empleados en interfaces seriales

utilizando PPP. Para hacer esto, se debe de ingresar el comando aaa authentication ppp en modo de

configuracin global. A continuacin algunas opciones:

aaa authentication ppp default local: Este comando es usado para especificar una lista de

mtodos de autenticacin PPP por default usando la base de datos nombre de usuario y

contrasea local en el router

aaa authentication ppp dial-in local none: Este comando se usa para especificar una lista de

mtodos de autenticacin PPP llamada dial-in. Debe de usarse al iniciar sesin, usando la base

de datos local de nombre de usuario y contrasea en el router. Si el nombre de usuario local no

es definido, la autenticacin falla

Usando el comando aaa authentication enable default

Para habilitar la autenticacin AAA con el fin de determinar si un usuario puede ingresar a un nivel

privilegiado de comandos, ingresar aaa authentication enable default en modo de configuracin

global.

La sintaxis de este comando es la siguiente:

aaa authentication enable default method1 [method2]

Los comandos de autenticacin pueden ser aplicados en lneas e interfaces de los routers. Como una

mejor prctica, siempre se debe de definir una lista por default para proveer los medios de



autenticacin de ltimo recurso en todas las lneas o interfaces protegidas por AAA. El siguiente

ejemplo muestra la aplicacin de los comandos de autenticacin para las lneas e interfaces de un

router.

Router(config)# line console 0 Router(config-line)# login authentication console-in Router(config)# int s3/0 Router(config-if)# ppp authentication chap dial-in

Ahora se presenta el significado de estos comandos:

line console 0 es usado para al modo de lnea de consola

login authentication console-in especifica una lista de autenticacin llamada console-in para

la autenticacin de inicio de sesin sobre el puerto de consola 0

int s3/0 se utiliza para ingresar al modo de configuracin del puerto 0 de la interfaz serial del

slot nmero 3

ppp authentication chap dial-in especifica una liste de mtodos de autenticacin llamada dial-

in para utilizarse junto con la autenticacin PPP CHAP sobre la interfaz serial 3/0

Autorizacin AAA

Una vez que los usuarios han sido autenticados exitosamente a travs de una base de datos local o de

un servidor, se les autoriza el acceso a recursos especficos de la red. El nivel de autorizacin

determina que comandos o modificaciones puede ejecutar el usuario.

Por lo general la mayora de infraestructuras de red que utilizan este esquema lo hacen a travs de un

servidor utilizando un grupo de atributos creado que describe el acceso del usuario a la red. Estos

atributos son comparados con la informacin contenida dentro de la base de datos AAA y se

determinan las restricciones para ese usuario, que son enviadas al router local donde el usuario intenta

ingresar. La autorizacin se otorga inmediatamente despus de que el usuario se autentica, por lo

general es transparente ya que no se requiere participacin de l.

Para configurar parmetros que restringirn el acceso al modo de configuracin global hacia los

routers o usuarios que deseen acceder a la red, se requiere ingresar el comando aaa authorization

desde el modo de configuracin global del equipo. La sintaxis de este comando se describe a

continuacin:

aaa authorization {network | exec | commands level | reverse-access | configuration} {default |

list-name} method 1 [method2]



La siguiente tabla explica la sintaxis de los comandos aaa authorization:

Elemento de comando Descripcin

network

Se utiliza para autorizar todas las solicitudes de

servicio relacionadas con la red, como son SLIP, PPP

Network Control Protocol (NCP) y ARAP.

exec

Para implementar la autorizacin con el fin de

determinar si un usuario tiene autorizado ingresar al

modo Exec.

commands Se utiliza para implementar la autorizacin de todos

los comandos para un nivel especfico de privilegios.

level

Para determinar el nivel de comandos que deber

autorizarse. Los valores se encuentran en un rango

de 0 a 15.

reverse-access Se emplea para conexiones de acceso reverso, como

Telnet reverso.

configuration Utilizado para descargar la configuracin desde un

servidor AAA.

default

Se utiliza para mostrar los mtodos de autenticacin,

list-name y method como la lista por default de

mtodos para autorizacin.

list-name Provee una cadena de caracteres usada para nombre

la lista de mtodos de autorizacin.

method

Especifica el mtodo a utilizar para la autenticacin

usando una de las siguientes palabras clave:

group group-name: Especifica un subconjunto de

servidores RADIUS o TACACS+ usados para la

autenticacin. Estos se define con los comandos aaa

group server RADIUS o aaa group server tacacs+.

if-authenticated: Autoriza al usuario a accesar a la

funcin solicitada si l o ella han sido vlidamente

autenticados.

krb5-instance: Es utilizado en conjuncin con el

comando para especificar la instancia a utilizarse.

local: Especifica el uso de la base de datos local para

autorizacin.

none: No se lleva a cabo la autorizacin.

Tomado de: Watkins, M. & Wallace (2008)



A continuacin se muestran algunos ejemplos del comando aaa authorization:

Router(config)#aaa authorization commands 15 default local Router(config)#aaa authorization commands 1 juan local Router(config)#aaa authorization commands 15 luis local Router(config)#aaa authorization network carlos local none Router(config)#aaa authorization exec donald if-authenticated

A continuacin se explican los comandos anteriores:

aaa authorization commands 15 default local: La base de datos de usuario local es

empleada para autorizar el uso de todos los comandos de nivel 15 para la lista de mtodo por

default

aaa authorization commands 1 juan local: La base de datos de usuario local es utilizada

para autorizar todos los comandos de nivel 1 para la lista de mtodo Juan

aaa authorization commands 15 luis local: La base de datos de usuario local es empleada

para autorizar el uso de todos los comandos de nivel 15 para la lista de mtodo Luis

aaa authorization network carlos local none: La base de datos de usuario local es empleada

para autorizar todos los servicios de red, como son SLIP, PPP y ARAP, para la lista de mtodo

llamada Carlos. Si el nombre de usuario local no es definido, este comando no implementa una

autorizacin, y el usuario puede utilizar todos los servicios de red

aaa authorization exec luis if-authenticated: Si el usuario se ha autenticado, este comando

le permite correr procesos EXEC

Auditora AAA

Adems de la autenticacin y la autorizacin, AAA provee servicio de auditora para diferentes fines, el

principal es la seguridad. El registro de auditora recolecta y reporta datos de uso para fines de

auditoria de redes inclusive emisin de facturas. Los datos recolectados pueden incluir el inicio y fin de

conexiones, comandos ejecutados, nmeros de paquetes y nmero de bytes. El registro de auditoria

proporciona un valor agregado a la autenticacin. Los servidores AAA mantienen un registro detallado

de absolutamente todo lo que hace el usuario una vez autenticado en el dispositivo. Esto incluye todos

los comandos de configuracin EXEC emitidos por el usuario. El registro contiene varios campos de

datos, incluyendo en nombre de usuario, la fecha y hora y el comando ingresado por el usuario. Esta

informacin es til, al solucionar problemas en la red. Tambin proporciona proteccin contra ataques.

Para habilitar la auditoria AAA de una peticin de servicio cuando se trabaja con servidores RADIUS o

TACACS+, se debe ingresar el comando aaa accounting desde el modo de configuracin global. La

sintaxis de este comando se describe a continuacin:

aaa accounting {auth-proxy | system | network | exec | connection | commands level} {default |

list-name} [vrf vrf-name] {start-stop | stop-only | none} [broadcast] group group-name



A continuacin se describen cada uno de los elementos anteriores:

Elemento de Comando Descripcin

auth-proxy Provee informacin acerca de todos los eventos de

autenticacin de usuarios a travs de proxy.

system Realiza auditorias de los eventos de los niveles de

sistema que no estn asociados con los usuarios.

network

Realiza auditorias para todas las peticiones de

servicio relacionadas con la red, incluyendo SLIP,

PPP, PPP NCP y ARAP.

exec Realiza auditoria para las sesiones EXEC.

connection Provee informacin acerca de todas las conexiones

salientes hechas desde el NAS.

commands level

Realiza auditorias para todos los comandos del nivel

especfico de privilegios. Los niveles de privilegios

se asignan dentro del rango de 0 al 15.

default

Configura la lista predeterminada de mtodos de

auditoria basada en los mtodos listados de

auditoria especificado por la lista de nombres.

list-name La lista de al menos uno de los mtodos de

auditoria.

vrf vrf-name Especifica una configuracin para VRF.

start-stop Enva un aviso de inicio al iniciar un proceso y un

aviso de alto al finalizar el proceso.

stop-only Enva un evento de auditoria de parada al finalizar el

proceso solicitado por el usuario.

none Deshabilita los servicios de auditoria en este lnea o

interfaz.

broadcast

Se trata de un comando opcional, el cual permite el

envo de los registros de auditoria hacia mltiple

servidores AAA. Los registros de auditoria son

enviados simultneamente al primer servidor de

cada grupo. Si el primer servidor no responde, se

utiliza el servidor de respaldo definido para este

grupo.

group group-name Define la cadena de caracteres usada para nombrar

el grupo de mtodos de auditoria.

Tomado de: Watkins, M. & Wallace (2008)

Los siguientes son un par de ejemplos de la implementacin de este comando:

Router(config)#aaa accounting commands 15 default stop-only group tacacs+ Router(config)#aaa accounting auth-proxy default start-stop group tacacs+



El primer ejemplo define un comando para una lista de mtodos de auditora predeterminada. Los

servicios de auditoria en este caso son proporcionados por un servidor de seguridad TACACS+ y se

ha establecido para comandos del nivel privilegiado 15. La restriccin stop-only se ha configurado en

este ejemplo.

El segundo ejemplo define una lista de mtodos de auditoria predeterminada a travs de una

autenticacin proxy, en la cual los servicios de auditoria son otorgados por el servidor de seguridad

TACACS+ para los eventos de autenticacin va proxy con una restriccin start-stop. El comando auth-

proxy es utilizado para autenticar usuarios de entrada o de salida, o ambos.

Resolucin de problemas AAA a travs de CLI para routers Cisco

El primer comando usado para resolver problemas AAA en routers Cisco es debug. Tres comandos

debug separados puedes ser utilizados para este fin:

debug aaa authentication: Se utiliza para desplegar en pantalla mensajes debugging para el

proceso de autenticacin AAA

debug aaa authorization: Utilizar este comando para desplegar mensajes debugging para el

proceso de autorizacin AAA

debug aaa accounting: Utilizar este comando para desplegar mensajes debugging para el

proceso de auditora AAA

Cada uno de los comandos anteriores debe ser ejecutado en el modo privilegiado o modo EXEC. Para

deshabilitar debugging para cualquiera de las tres funciones anteriores, usar la forma no del comando,

por ejemplo, no debug aaa authentication.

Un router Cisco puede utilizar diferentes tipos de autenticacin, ofreciendo cada uno diferentes niveles

de seguridad. La forma bsica de autenticacin son las contraseas, sin embargo, este mtodo posee

gran vulnerabilidad a ataques o algoritmos de fuerza bruta. Adems, al utilizar este mtodo, no se

cuenta con registros de auditoria de ningn tipo. Cualquier individuo que posea la contrasea puede

ingresar al equipo de manera privilegiada y alterar la configuracin.

Para mitigar esto, el esquema de seguridad AAA provee una mejor solucin al hacer que todos los

dispositivos accedan a la misma base de datos de usuarios y contraseas a travs de un servidor

centralizado.

Bsicamente el proceso AAA puede resumirse en estas tres preguntas:

1) Quin es usted? Autenticacin

2) Qu se le permitir ejecutar? Autorizacin

3) Qu ha estado haciendo en la red? Auditora



Cmo has estudiado en este tema, administrar una red no es sencillo, se requiere tener el control de

distintos aspectos, uno de los ms importantes es la seguridad. El esquema AAA nos permite tener la

flexibilidad de utilizar esquemas de seguridad de acuerdo a las necesidades del administrador, ya sea

utilizando una base de datos local o recurriendo a un servidor de seguridad centralizado. Dada la gran

cantidad de tipos de usuario que deben de acceder a la red y a los dispositivos, se requiere habilitar

distintos perfiles basados en el rol que cada usuario tiene en relacin a la red. El rea de la seguridad

de redes es muy amplia, hay distintos dispositivos que se emplean para asegurar la red, sin embargo,

en el presente tema se tocan dos tipos de servidores muy importantes para la administracin del

esquema AAA, los cuales son TACACS+ y RADIUS, que a continuacin se estudiarn.

Actividad 2. Administracin local y remota

El propsito de esta actividad es que compares las caractersticas y componentes del esquema AAA,

as como indicar las ventajas y desventajas que ste ofrece en la administracin del acceso a los

dispositivos de una infraestructura corporativa.

Con base en la teora previamente estudiada, realiza lo siguiente:

1. De acuerdo a la pregunta o situacin planteada por tu Facilitador(a) identifica del grupo de

conceptos relacionados con cada uno de los tres elementos: Autenticacin, Autorizacin y

Auditoria.

2. Entra al foro y participa retroalimentando a dos de tus compaeros(as) con aportes que enriquezcan el contenido expuesto.


2.1.3. Introduccin a TACACS+

Cmo has estudiado en la seccin anterior el esquema AAA brinda una autenticacin basada en

perfiles la cual tiene relacin al rol de cada usuario respecto a lo que tienen autorizado ejecutar en la

red. Tambin estudiaste que existe una autenticacin local y una basada en servidor, las dos tienen

ventajas, la decisin de utilizar una u otra depende del administrador y del diseo de la red. Es

importante tener como ltimo recurso una autenticacin y autorizacin local, en caso de que falle el

servidor remoto, por lo cual se considera importante que tengas un panorama general de los dos tipos

de servidores que se mencion en la seccin anterior.



Las ventajas de TACACS+ para la administracin de la autenticacin

Como administrador de la red, necesitas mantener completo control sobre los dispositivos de la red

como routers, switches and firewalls. Tambin es necesario comprender el valor de Single Sing-On

(SSO) como una mtrica para facilitar la administracin de la red e incrementar la seguridad de la

misma. Los recientes acuerdos legales como PCI, HIPAA, SOX, y algunas otras que se exigen a las

grandes organizaciones el cumplimiento de ciertos estndares que definen las mejores prcticas

actuales (Best Current Practices, BCP) en la seguridad de redes para satisfacer los requerimientos

Regulatorios. Incluso si una empresa no requiere cumplir con estas regulaciones, sus clientes o socios

de negocio podran si requerirlo, al igual que ellos podran exigirlo de sus proveedores y partners.

Diferencias entre protocolos

RADIUS and TACACS+ son los dos principales protocolos utilizados para la Autenticacin,

Autorizacin y Auditora de los dispositivos de red de una organizacin. RADIUS fue diseado para la

autenticacin y conexin remota de usuarios a travs de dial-up. TACACS+ es usando principalmente

para el acceso de administradores a los dispositivos de su infraestructura. Esto es evidente en el

nombre de los protocolos. RADIUS significa Remote Access Dial-In User Service, and TACACS+ es

la contraccin de Terminal Access Controller Access Control Service Plus.

La diferencia funcional bsica entre RADUIS y TACACS+ es que TACACS+ separa la funcin de

Autorizacin, y RADIUS combina la Autenticacin con la Autorizacin. Aunque podra parecer un

contraste simple, a nivel operativo implica una diferencia significativa en la implementacin del AAA en

un entorno de redes corporativas.

RADUIS puede incluir informacin privilegiada en la respuesta a la solicitud de autenticacin, sin

embargo, este protocolo slo puede asignar el nivel privilegiado de acceso, lo cual puede generar

confusiones e inconsistencia en los resultados para el administrador, al tratar con dispositivos de

diferentes marcas y proveedores ya que cada uno puede inferir un nivel privilegiado distinto, debido a

que no existe un estndar entre proveedores para la asignacin de privilegios al utilizar RADIUS.

RADIUS no almacena la bitcora de comandos ingresados por el administrador de red o

por los usuarios. ste slo registra el ingreso al dispositivo, la salida y algunos datos de

la sesin. Esto significa que si existe ms de un usuario dentro del equipo ejecutando

comandos al mismo tiempo, no hay forma de distinguir que comandos ejecut cada

usuario.

El protocolo TACACS+ fue diseado para solucionar las limitaciones de RADIUS. TACACS+ es un

protocolo estandarizado desarrollado por el Departamento de Defensa de los Estados Unidos, y

posteriormente mejorado por Cisco Systems. TACACS+ separa el proceso de autenticacin,



proporcionando flexibilidad y controles de acceso granular sobre quin puede ejecutar determinados

comandos en ciertos dispositivos de la red. Cada comando ingresado bajo un proceso TACACS+

corriendo, es enviado al servidor central se seguridad TACACS+ para la autorizacin de la ejecucin

del mismo, el cual busca el comando dentro de una lista predefinida para cada usuario o grupo de

usuarios, si lo encuentra permite su ejecucin, de lo contrario la deniega.

TACACS+ define polticas de autorizacin basadas en el usuario o administrador, tipo y ubicacin del

dispositivo, inclusive, fecha y horario. El servicio TACACS+ puede ejecutarse sobre Windows Domain

Controller o una PC, utilizando los grupos o usuarios configurados localmente para controlar el acceso

a los distintos dispositivos de la red.

RADUIS fue diseado para autenticar el ingreso a usuarios a la red. TACACS+ fue diseado para

permitir el ingreso a administradores a la red bajo un esquema AAA. Sin embargo, RADIUS todava

puede ser utilizado para administrar redes pequeas, bajo la salvedad de no requerir autorizacin o si

esta es una red homognea, es decir, que los equipos sean del mismo fabricante. En cualquier

escenario donde exista un entorno de red heterogneo y/o la necesidad de polticas para el ingreso a

los dispositivos bajo diferentes roles del personal, TACACS+ es la mejor opcin.

Comparacin del proceso AAA en RADIUS y TACACS+

RADIUS vs TACACS+

Combina autenticacin y autorizacin. Separa los 3 elementos de AAA brindando flexibilidad en la configuracin.

Encripta slo la contrasea. Encripta el nombre de usuario y la contrasea.

Requiere que cada dispositivo de red tenga una Administracin central para la configuracin de la



configuracin de autorizacin individual. autorizacin hacia todos los equipos de la red.

No guarda registros de los comandos ingresados. Guarda todos los registros de todos los comandos ejecutados.

Soporte mnimo por parte del fabricante para el proceso de autorizacin.

Es soportado por la mayora de los fabricantes de dispositivos de red.

UDP Sin conexin

UDP puertos 1645/1646, 1812/1813

TCP Orientada a la conexin.

TCP puerto 49.

Diseado para usuarios AAA Diseado para administradores AAA

Comparacin de los protocolos AAA en RADIUS y TACACS+

Consideraciones de implementacin

Por lo general no se implementa el protocolo RADIUS y el TACACS+ en el mismo servidor, puede

percibirse como una ventaja en instalarlos en la misma mquina debido a que los dos implementan el

esquema AAA, sin embargo, fueron desarrollados para diferentes propsitos, por lo que utilizan los

recursos de diferente manera. Combinar estos servicios puede traer costos altos en licencias

innecesariamente adems de comprometer la seguridad. En una red empresarial, se puede crear un

grupo asignado a los usuarios que se conectan remotamente y requieren un nivel de privilegios menor,

y otro grupo para los usuarios administradores que requieren un nivel privilegiado alto.

Los servidores TACACS+ deben de implementarse en una red interna segura y de plena confianza. No

deberan tener ningn contacto directo con redes no seguras o semi-confiables. RADIUS comnmente

se implementa en redes semi-confiables.



Ambientes de implementacin de servidores RADIUS y TACACS+

Si se implementa un servidor TACACS+ en una red semi-segura con una conexin hacia los Windows

Domain Controllers, se tienen que abrir varios puertos para LDAP, SMB, Kerberos, etc. Tambin se

tendrn que abrir puertos para DNS y NTP. Si se mantienen el servicio de TACACS+ dentro de una

red segura, slo se requerir abrir un puerto, TCP 49. Esto es facilita la administracin e incrementa

considerablemente la seguridad.

El servicio de TACACS+ debe implementarse lo ms cerca posible de la base de datos de usuario,

preferentemente en el mismo servidor. Si se intenta utilizar Windows Active Directory como la base

de datos de usuario, el mejor lugar para instalar el servidor TACACS+ es directamente en los Windows

Domain Controllers. TACACS+ requiere de una constante sincronizacin con el Dominio y cualquier

problema de conexin de la red. Los problemas con DNS en relacin a las diferencias de tiempo

pueden causar un fallo crtico del servicio. Al instalar TACACS+ en el mismo servidor que la base de

datos de usuario puede incrementar significativamente el performance del servicio.



Implementacin de TACACS+ en un ambiente no confiable y confiable

Por ltimo se destacan las caractersticas principales de TACACS+:

RADIUS est orientado a usuarios AAA, TACACS+ est orientado a administradores AAA

TACACS+ implementa la autorizacin y el registro por comando

TACACS+ te permite configurar polticas de acceso por usuario, dispositivo, ubicacin,

inclusive fecha y hora

TACACS+ es soportado por la mayora de dispositivos de red de diferentes fabricantes

El servidor TACACS+ y RADIUS no debes de instalarse en el mismo servidor debido a que

pueden reducir la seguridad de la red e incrementar los costos de licencias

TACACS+ debe ser implementado en un entorno de red seguro

TACACS+ debe ser instalado lo ms cercano posible a la base de datos de usuario,

preferentemente en el mismo servidor para minimizar los puntos de falla e incrementar el

performance

Actividad 3. Administracin de usuarios bajo el esquema AAA y TACACS+

El propsito de esta actividad es que identifiques los comandos bsicos para la implementacin del

esquema AAA, as como determinar los comandos necesarios para configurar la comunicacin hacia



un servidor TACACS+ en el router. Esta prctica es muy importante como antecedente para realizar

satisfactoriamente la Evidencia de aprendizaje.

Con base en la teora previamente estudiada, realiza lo siguiente:

1. Lee cuidadosamente el documento e identifica los conceptos y consulta a tu Facilitador(a) si

existen dudas en los que se te solicita.

2. Escribe en un borrador cada uno de los comandos que se solicitan en la actividad.

3. Utiliza un simulador de redes para corroborar que los comandos a configurar son correctos.

4. Crea y escribe en un documento cada uno de los comandos que se te solicitan a manera de

pregunta y respuesta e incluye las impresiones de pantalla del proceso de configuracin

(CLI).

5. En el mismo documento redacta una conclusin de media cuartilla. Cuida la ortografa.

6. Guarda tu actividad en una carpeta comprimida .ZIP que incluya el archivo del procesador

de palabras y el del simular con el nombre KADR_U2_ACT3_XXYZ y envalo para su

revisin.


2.2. Deteccin y mitigacin de ataques

Las grandes redes corporativas transfieren grandes cantidades de trfico entre sus sitios a nivel

nacional e incluso alrededor del mundo, gran parte de este trfico contiene datos personales de sus

clientes informacin de la empresa e inclusive transacciones financieras, por lo cual es necesario

vigilar con diversas herramientas y mecanismos que dicha informacin no se publique, intercepte o

altere por entidades criminales durante su transmisin los distintos medios.

A continuacin estudiars diversas herramientas y procesos que te permitirn identificar alguna posible

infiltracin a la red o amenaza, adems de la eliminacin de vulnerabilidades que permiten la

infiltracin y ataque a la misma.

2.2.1. Analizadores de trfico (sniffers)

El trfico en Internet crece constantemente en cantidad, diversidad y complejidad, lo que implica un

reto constante para la infraestructura global, los hosts en la Internet crecen en nmero y sofisticacin

demandando cada vez mayores recursos de telecomunicaciones .Los ataques a la red varan en

diversidad y sofisticacin. Por lo que identificar patrones de comportamiento normal y anormal de

trfico, no es una tarea sencilla, utilizar estos patrones para monitorear trfico imperceptible es, por lo

tanto, de primordial importancia.



Nuevas aplicaciones son introducidas constantemente, algunas sin especificaciones claras de su

comportamiento sobre la red o incluso tratando de ocultar su presencia, generando nuevos esquemas

de comportamiento y trfico de contenido. Esta avalancha de transmisiones sobre la Internet permite la

infiltracin de gran cantidad de trfico malicioso en las comunicaciones que se realizan diariamente

alrededor del mundo, lo que permite una amplia gama de ataques subsecuentes como denegaciones

de servicio y la generacin de envos masivos de correos electrnicos, en el mejor de los casos. En

casos extremos, mas no aislados, provocan la prdida de informacin, generando prdidas millonarias

a empresas de todos los tamaos y en algunos casos la quiebra de las mismas.

Por tanto, es de suma importancia la evolucin a la par del monitoreo del trfico sobre la red,

bsicamente por dos razones:

La primera, el monitoreo es necesario para identificar la actividad cotidiana en una red, por

ejemplo, con el fin de realizar el anlisis del comportamiento o consumo de ancho de banda de

una aplicacin determinada, identificar los puertos TCP o UDP utilizados en la transmisin de

datos, la cantidad de usuarios que acceden a un servidor en un data center, solicitud o envo de

informacin no permitida, puertos abiertos, el uso de aplicaciones no deseadas o restringidas

por polticas de la empresa o negocio, volumen excesivo de trfico desde o hacia una IP

determinada inclusive para identificar el funcionamiento correcto de determinados servicios

La segunda, identificar trfico intrusivo, gusanos, virus, procesos de ataque, comportamiento de

escaneo agresivo y actividad maliciosa en general

Inicialmente te adentrars en algunos aspectos de la seguridad de redes para dar paso posteriormente

a los analizadores de trfico enfocados a la primera razn del monitoreo.

Seguridad en la red

Actualmente existen tcnicas prestablecidas para la seguridad de las redes, sin embargo, con la

evolucin constante de la tecnologa nuevos paradigmas para el monitoreo de redes tienen que ser

generados para ayudar a los administradores a mantener sus redes libres de trfico malicioso. Un

requerimiento esencial para este escenario es la automatizacin, por una parte se requiere gran

inversin de tiempo para analizar la informacin que arrojan las herramientas de monitoreo por parte

de administrador, lo que sera imposible analizar completamente por l toda la informacin que

atraviesa la red permanentemente y detectar amenazas. Por lo tanto se requiere de un sistema

automatizado que analice la informacin que viaja en la red en tiempo real y de manera constate, por

lo cual se crearon dispositivos capaces de hacer esta tarea llamados firewalls, IDS (Intrusion Detection

System) e IPS (Intrusion Prevention System) que permiten analizar la gran cantidad de informacin

que cruza la red en tiempo real y eliminar trfico malicioso.

Una Intranet es una red interna o privada basada en TCP/IP que permite el uso de navegadores web

para el acceso a su informacin, slo pueden ingresar dispositivos configurados dentro de la LAN,

adems puede utilizar recursos de la www para interconectar segmentos LAN ubicados en diferentes

zonas geogrficas. Su direccionamiento es privado y por lo general tiene acceso a Internet.

Isela MorenoResaltado



La informacin se ha convertido en uno de los activos ms importantes en nuestra sociedad.

Demasiada informacin se genera cada da en la gran nube de redes y la cual debe ser accesible para

cualquier persona y en otros casos slo a personas autorizadas, para esto se requiere una figura de

centinela que garantice la proteccin al acceso a informacin confidencial.

La seguridad de red se refiere a todas las funciones de hardware y software, es decir;

caractersticas, procedimientos operativos, medidas de responsabilidad, controles de acceso,

polticas de gestin y administracin requeridas para proveer un nivel aceptable de proteccin del

hardware, software y de la informacin que viaja sobre la red.

Los objetivos de la seguridad de redes estn relacionados con tres puntos bsicos:

Disponibilidad. Garantiza que la informacin siempre est disponible cuando se requiere

Confidencialidad. Restriccin del acceso a la informacin para personas no autorizadas

Integridad. Asegurar que la informacin no sufra alteraciones durante su transmisin

Los ataques a las vas de telecomunicaciones intentan comprometer algunos de los tres puntos

anteriores.

El lmite entre los gusanos, virus y dems actividades maliciosas es cada vez ms borroso, los ataques

cada vez son ms sofisticados e involucran diferentes acciones que dificultan su identificacin y

mitigacin. A manera de expresar de manera global los diferentes ataques hacia los sistemas se cre

el concepto de Malware que se refiere a todo tipo de software malicioso.

Cada da se crean y se insertan a la red gran cantidad de malware, algunos han llegado a ser famosos

por los efectos devastadores en algunas corporaciones. Por mencionar algunos de estos: Sadmind,

CodeRed, CodeRed II, Nimda, Slammer, Blaster y Sober; que utilizando tcnicas como DoS (Denials

of Service) afectaron las operaciones de varios sistemas alrededor del mundo.

Los diferentes tipos de malware pusieron en la mesa de los expertos en seguridad que no slo la

seguridad perimetral es necesaria para evitar ataques, ya que una vez que los gusanos estn dentro

de la red, la seguridad desde y hacia el exterior pierde sentido. Ten en cuenta que los diferentes

dispositivos con los que cuentan los usuarios como USB, disco duros porttiles, telfonos celulares y

dems equipos que pueden tener interaccin con las computadoras comprometen la seguridad desde

adentro, por lo cual es necesario tambin el anlisis de trfico interno que viaja por la Intranet.

Aun protegiendo el permetro de la red y analizando el trfico interno, existe otra forma de ataque que

por su repeticin y utilizacin lo han conceptualizado como hacking social que implica ya no

corromper sistemas sino a las personas que los usan, lo que ha llevado a definir nuevas estrategias

de combate y prevencin para esta nueva forma de ataque.



Hacking Social es el arte de obtener informacin confidencial a travs de la

manipulacin de usuarios legtimos. Es una tcnica usada por delincuentes informticos

para persuadir a la vctima y obtener informacin privada, acceso o privilegios en

sistemas de informacin, que les permita realizar algn acto que perjudique, exponga o

comprometa al usuario o alguna institucin, causndole perjuicio.

Luchando por la seguridad de la red

La constante batalla que se ha llevado por la seguridad de las redes durante dcadas ha generado una

carrera armamentista. Con los intrusos adoptando nuevas estrategias de ataque, los diseadores

de la seguridad crean estrategias de mitigacin, lo que se ha convertido en una carrera sin fin.

Considera que tambin esta carrera es un negocio de las grandes corporaciones al disear costosos

dispositivos de seguridad de redes para contrarrestar estos ataques.

Inicialmente se crearon los IPS al desarrollar mecanismos de prevencin de infiltraciones que en lo

posterior fueron mejorados por los algoritmos implementados por los IDS al permitir la distincin del

trfico malicioso del que no lo es, aun viajando dentro de la red interna de la empresa. Sin embargo,

no importa lo sofisticados que sean estos dispositivos y lo grande o compleja que sea la Internet, habr

personas que siempre intentarn violar la seguridad, la cuestin es qu tan fcil ser para ellos poder

hacerlo. Desde un punto de vista tcnico, la carrera armamentista es un factor constante que impulsa

el desarrollo de ataques ms sofisticados y mejores tcnicas de defensa.

Esta batalla est aqu para quedarse, a pesar de las mejoras tecnolgicas que depara el futuro. Esta

evolucin no se rige exclusivamente por la tecnologa, los requisitos legales tratan de proteger los

derechos de los usuarios a la privacidad de los datos. Lo que obliga a toda institucin o corporacin

de cualquier pas del mundo a proteger su informacin y la de sus clientes, con dispositivos

analizadores de trfico automatizados y sniffers, aunado a un constante monitoreo. Algo que los

atacantes siempre intentarn evadir.

Componentes de un analizador de paquetes

La evolucin natural se refleja a travs de la creacin de nuevos tipos de trfico malicioso. Ataques

automatizados vuelven locas a miles de computadoras a la vez, lo que permite ataques

subsecuentes. Por consiguiente es necesario distinguir el trfico malicioso del benigno. Con esta

premisa en mente se pueden tomar varios pasos para lograr este objetivo

Un sniffer, mejor conocido como analizador de trfico es un programa que puede observar el trfico

que pasa a travs de una red, decodificarlo y ofrecer informacin til al administrador de la red para su

interpretacin y toma de decisiones. En algunas ocasiones son tambin utilizados maliciosamente para

conocer las contraseas que viajan por la red como texto plano, sin encriptacin. Existen diversos



analizadores de trfico en e

unidad 2. disponibilidad y confiabilidad

Documents