Instituto Profesional Los Leones

Escuela De Tecnología
TSU En Cyber Seguridad

Ccna Security
Trabajo 2 de Laboratorio

Alumno: José León

Profesor: José Santibáñez Lucero

Fecha presentada: 24/09/2019

Fecha de entrega:27/09/2019

Sección: 62

Carrera: Ingeniería informática y Ciberseguridad

Contenido
Resumen........................................................................................................................................ 3
Introducción ................................................................................................................................... 3
Metodología ................................................................................................................................... 3
Resultados ..................................................................................................................................... 4
Discusiones y conclusiones ........................................................................................................ 5
Recomendación ............................................................................................................................ 6
Resumen
Se realizó la investigación del Servidor RADIUS para la seguridad en redes LAN
inalámbricas, con el objetivo de identificar los estándares, protocolos, conectividad,
funcionalidad y ventajas que ofrece este servidor.
Se utilizó el Sistema Operativo Windows 10 como plataforma de
instalación; Cisco Packet Tracer 7.2, como herramienta de implementación y pruebas de
la configuración del Servidor RADIUS, donde se demuestra que el servidor autentica,
autoriza y registra los usuarios que tienen permisos para utilizar los beneficios de la red.
Se evaluó de acuerdo a los indicadores viabilidad, confiabilidad, seguridad,
inconvenientes de red, problema de conexión, integridad de los datos, obteniendo como
resultados que la implementación del Servidor RADIUS como una política de seguridad
es eficiente y eficaz la cual mejora notablemente la seguridad de las redes LAN
inalámbricas.
Se concluyó que la implementación del Servidor RADIUS reúne los requisitos de ser
una implementación de uso simple desde el punto de vista del usuario, pero a la vez
reúne la complejidad suficiente dentro de sus procesos internos, para ser una solución lo
suficientemente segura, por lo que se recomienda la implementación de este Servidor
RADIUS.

Introducción
Este documento explica cómo configurar la autenticación, la autorización y la contabilidad
(AAA) en un enrutador Cisco utilizando los protocolos Radius o TACACS +. El objetivo de
este documento no es cubrir todas las características AAA, sino explicar los comandos
principales y proporcionar algunos ejemplos y pautas. Y dándole soluciones para dicho
problema en la red usando la configuración AAA

Metodología
Configuración del servidor AAA
En el servidor AAA, configuraremos los siguientes parámetros:
*El nombre del servidor de acceso
*la direcciones IP que utiliza el servidor de acceso para comunicarse con el servidor AAA.
*una clave <key>exacta configurada en el servidor de acceso.
*un protocolo utilizado por el servidor de acceso (TACACS+RADIUS).
En el documento del servidor AAA para conocer el procedimiento exacto utilizado para
configurar los parámetros, si el servidor AAA no esta configurado correctamente, el
servidor AAA ignorara las solicitudes AAA del NAS y las conexiones puede fallar.
El servidor AAA debe ser accesible por IP desde servidor de acceso (realizaremos una
prueba de pin para verificar la conectividad).
Configuraremos autenticación.
La autenticación verificara a los usuarios antes de que se les permita acceso a la red y a
los servicios de red.
Para configurar la autenticación AAA:
1. Primero definir una lista con nombre de los métodos de autenticación (en el modo
de configuración global).
2. Aplicar esa lista a una o más interfaces (en modo de configuración de interface).

Resultados
A continuación, revisaremos si hay conexión entre las computadoras, para dar certeza el
resultado con claridad que nos conlleva que la primera vez en hacer conexión fue fallida,
pero al intentar nos saldrá bien.

En Cada Uno del enrutador se colocará el usuario Como la Contraseña secreta, Que sería
nombre de usuario Admin1 en el router1, Admin2 router2 y Admin3 en el router3 y la
contraseña seria admin1pa55, admin2pa55 y admin3pa55

Ya a ver aclarado esto empezaremos a configurar aaa, haciendo que la mesma

configuración que hicimos el router 1 lo haremos en los demás.

*Después de esto entraremos un VTY En Donde configuraremos Para Que puedan

Encender Haciendo autenticación, Que: Además de Como Debe Tener Una encriptación
de debemos ponerla al Igual que La Contraseña IP que es La que se encripto que es el
Nombre del Dominio.

*Después de esto entraremos de nuevo un triple a, Donde volveremos una Configurar el

iniciar sesión.

*Después De Ello entraremos en VTY.

*Con pasaremos esto al enrutador 2 En Donde comenzaremos una Configurar las tacacs
y el nombre de usuario, colocando a si Seguridad aún mejor.
*Con pasaremos al esto aaa, colocando Un Nuevo Modelo a si daremos prendido El
Numero 1 Que Tiene Este enrutador, Dándole la autentificación Que necesita. Al Igual
Que Configurando la vty 0.

*Para Que Pueda estar mejor esto también activamos la Triple A, Como lo veníamos
Haciendo en los routers Anteriores, colocándolo De Igual Manera Que Los Demás La
línea vty 0, activándola Para Que Pueda para contactar la configuración Correspondiente

Discusiones y conclusiones

Se comprobó que el servidor RADIUS realiza un control de utilización de los recursos

de la red, ya que no únicamente permite tener un control de acceso al usuario, sino que
también permite realizar un control del tipo de autorizaciones que tiene y almacena los
datos de la petición realizada.
Mientras más mecanismos de seguridad se empleen en sistemas de control de acceso, el
sistema será más seguro, aun cuando un sistema con seguridad absoluta no exista, el
hecho de implementar un mayor número de mecanismos de control ayudará a que el
sistema sea menos vulnerable.

El mecanismo empleado para la autenticación de los usuarios inalámbricos en la red es

bastante seguro y eficiente, pero conlleva de un procedimiento de instalación adicional
en cada usuario, que debe ser considerado en los tiempos de implementación.
La identificación de cada uno de los procesos y las tareas asociadas a cada organización,
permitirán que se pueda realizar una implementación, reduciendo los riesgos de
interrupciones de la organización y ayudando en una más rápida adopción de nuevas
soluciones de seguridad.

El Servidor RADIUS podrá ser implementado en cualquier ambiente que se lo pueda

aplicar, realizando pequeñas modificaciones, siendo la principal idea que el presente
sistema provea de una fácil implementación.
Recomendación

El software Cisco IOS utiliza el primer método enumerado para autenticar a los
usuarios. Si ese método no responde (indicado por un ERROR), el software Cisco IOS
selecciona el siguiente método de autenticación que figura en la lista de métodos. Este
proceso continúa hasta que haya una comunicación exitosa con un método de
autenticación listado, o todos los métodos definidos en la lista de métodos estén
agotados.

Es importante tener en cuenta que el software Cisco IOS intenta la autenticación con el
siguiente método de autenticación enumerado solo cuando no hay respuesta del método
anterior. Si la autenticación falla en algún momento de este ciclo, lo que significa que el
servidor AAA o la base de datos de nombre de usuario local responde negando el acceso
del usuario (indicado por un FALLO), el proceso de autenticación se detiene y no se
intentan otros métodos de autenticación.

Para permitir la autenticación de un usuario, debe configurar el nombre de usuario y la

contraseña en el servidor AAA.

Autenticación de inicio de sesión

Puede utilizar el comando de inicio de sesión de autenticación aaa para autenticar a los
usuarios que desean acceso ejecutivo al servidor de acceso (vty y consola).
Router (config) # aaa autenticación inicio de sesión grupo predeterminado radio local
En el comando anterior:
• la lista nombrada es la predeterminada (predeterminada).
• Hay dos métodos de autenticación (radio de grupo y local).
Todos los usuarios se autentican utilizando el servidor Radius (el primer método). Si el
servidor Radius no responde, se utiliza la base de datos local del enrutador (el segundo
método). Para la autenticación local, defina el nombre de usuario y la contraseña eso se
hará en los 3 router:
Router1 (config) # nombre de usuario Admin1 contraseña admin1pa55

Debido a que estamos usando la lista predeterminada en el comando de inicio de sesión

de autenticación AAA, la autenticación de inicio de sesión se aplica automáticamente para
todas las conexiones de inicio de sesión (como vty y console).
El servidor (Radius o TACACS +) no responderá a una solicitud de autenticación aaa
enviada por el servidor de acceso si no hay conectividad IP, si el servidor de acceso no
está definido correctamente en el servidor AAA o el servidor AAA no está definido
correctamente en El servidor de acceso. Eso se hace en los 3 router

Router1 (config) # aaa authentication login default group tacacs+ loca

Si el servidor AAA no responde a la solicitud de autenticación, la autenticación fallará (ya

que el enrutador no tiene un método alternativo para probar).

Expandamos la configuración del Ejemplo 1 para que el inicio de sesión de la consola solo
se autentique mediante la contraseña establecida en la línea con 0.

La lista CONSOLE se define y luego se aplica a la línea con 0.

Configuramos:
Router (config) # aaa autenticación iniciar sesión CONSOLA línea
En el comando anterior:

la lista nombrada es CONSOLA.

solo hay un método de autenticación (línea).

Una vez que se crea una lista con nombre (en este ejemplo, CONSOLA), debe aplicarse a
una línea o interfaz para que entre en vigencia. Esto se hace usando el comando login
authentication list_name:

Router (config) # línea con 0

Enrutador (config-line) # exec-timeout 0 4
Router (config-line) # contraseña ciscoenpa55
Router (config-line) # autenticación de inicio de sesión CONSOLA

La lista CONSOLA anula la lista de métodos predeterminada predeterminada en la línea

con 0. Debe ingresar la contraseña "cisco" (configurada en la línea con 0) para obtener
acceso a la consola. La lista predeterminada todavía se usa en tty, vty y aux.
Para que el acceso a la consola se autentique con un nombre de usuario y contraseña
locales, use:

Router (config) # aaa autenticación inicio de sesión CONSOLA local

En este caso, se debe configurar un nombre de usuario y una contraseña en la base de

datos local del enrutador. La lista también debe aplicarse a la línea o interfaz.
para no tener autenticación, use

Router (config) # aaa autenticación inicio de sesión CONSOLA ninguno

En este caso, no hay autenticación para acceder a la consola. La lista también debe
aplicarse a la línea o interfaz.

Al habilite el acceso en modo usando un servidor externo AAA

Puede emitir autenticación para activar el modo (privilegio 15).
Configuramos:
Router (config) # aaa autenticación habilitar habilitación de radio de grupo predeterminado
Solo se solicitará la contraseña, el nombre de usuario es Admin1, Admin2 y Admin3. Por
lo tanto, el nombre de usuario enable debe definirse en el servidor AAA.

Si el servidor Radius no responde, se deberá ingresar la contraseña de habilitación

configurada localmente en el enrutador.