- control plane
- data plane
- management plane.
Podemos decir que el control plane es donde se toman las decisiones de envío y, en el data plane es donde se hace el envío propiamente.
El management plane se encarga de gestionar el telnet, el login, passwords...
SSH
SSH es igual que telnet pero encriptando el paquete y haciendo que no se pueda leer el password. Recuerda que telnet lo manda en texto plano.
Para configurar SSH:
- Configurar domain name -> la encritpación usa el nombre de dominio
(config)# ip domain-name laboratorio.com
2. Generar claves criptográficas ->1024 es el estándar. Cuánto más larga, más difícil de romper
(config)#
crypto key generate rsa X
3. Crear cuenta de usuario -> Username LAB privilege 15 secret LABPASSW
4. Habilitar puertos vty para shh -> (config)#line vty 0 4
(config-line)# login local
(config-line)# transport input ssh
Se pueden configurar varias opciones más como la versión, el timeout, los retries...
De esta manera evitamos que se pueda conectar a este equipo por telnet
(config)#access-list 10 permit 192.168.0.0 0.0.0.255
(config-line)#access-class 10 in
PASWORD ENCRIPTION
Aunque establezcamos ssh para las conexiones, el equipo almacena el usuario y password en la base de datos loca, y esta, si hacemos un show running-config la veremos en texto plano. Para solucionar esto, escribimos el comando service password-encrytion. Esto encriptará todas las contraseñas almacenadas localmente por el router y ya no se podrán ver en la configuración.
(config)#service password-encyrption
También podemos añadirle directamente encriptación al modo enable
(config)#enable secret LABPASSW - en la configuración aparecerá "enable secret 5 $1$h5ysqf8sh"
Ese 5 significa que la encriptación es MD5 (por defecto). Si le configuráramos un 4, sería SHA (256).
LINE PASSWORD
Se pueden establecer passwords directamente en los puertos (line) de consola, de vty y auxiliar.
(config)#line con 0
(config-line)#password LABPASS
(config-line)#login - sin esto, no se habilita el puerto
USERNAME
Crear cuenta de usuario -> Username LAB privilege 15 secret LABPASSW
El privilege 15 le da el máximo nivel de administración. Por debajo de 15 habrá tareas que no pueda hacer el usuario.
AAA - Authentication, Authorization and Accounting
Si tenemos muchos equipos y usuarios que puedan conectarse podemos utilizar un servidor central que almacena estos usuarios y donde podemos configurar la autenticación, autorización y la contabilidad de esos usuarios.
- Authentication - Pregunta ¿quién eres? Permite o no al usuario entrar al equipo.
- Authorization - Pregunta ¿qué puede hacer? - Permite las tareas al usuario, los comandos.
- Accounting - el registro de todas las actividades.
Para montar un servidor AAA tenemos 2 opciones: Tacacs (Cisco) y Radius (Standard)
TACACS+
|
RADIUS
|
Cisco
|
Standard
|
Separa autenticación y autorización
|
Combina autenticación y autorización
|
Encripta el paquete entero
|
Solo encripta el password
|
Configuración en equipo Cisco para que los usuarios se autentiquen en un AAA:
(config)# aaa
new-model -> habilita el servicio
(config)# aaa
authentication login ->
default -> WORD -> name list
-> WORD
(config)# aaa
authentication login USUARIOLAB group ->
radius local *
-> Tacacs+
(config)# tacacs-server
host A.B.C.D single-connection -> Se usa para crear una sola sesión tcp para todas las "queries". Si no, cada vez que lanza una query abrirá una nueva sesión.
(config)# tacacs-server
host A.B.C.D key PASSWORD -> password configurado en el AAA
Lo aplicamos a los vty:
(config-line)#
login authentication USUARIOLAB (name list)
Configuraremos este acceso en el laboratorio.
Un detalle importante es el orden de autenticación. Si tenemos la línea:
aaa authentication login default group radius line
Lo primero que hará el equipo será contactar con el radius. Si no está accesible el servidor radius, pedírá el password que hayamos configurado en la vty.
Pero si el servidor radius si está accesible pero no existe el usuario en la base de datos del radius, denegará el acceso. Esta vez no pide el password de la vty.
Para que se autentique en un RADIUS:
Pero si el servidor radius si está accesible pero no existe el usuario en la base de datos del radius, denegará el acceso. Esta vez no pide el password de la vty.
Para que se autentique en un RADIUS:
(config)#
radius-server host X.X.X.X key secret
No hay comentarios:
Publicar un comentario