Configurar la Autenticacin Local usando AAA Titulo

1 Agregar nombres de usuario y contraseas a la base de datos local del router para los usuarios que requieren acceso administrativo al router. Habilitar AAA globalmente en el router.

Comando
R3(config)# username Admin01 privilege 15 secret Admin01pas

Descripcin
Crea una cuenta de usuario local con algoritmo MD5 para encriptar la contrasea. Activa los servicios AAA. Para desactivar usar el "no" delante del comando.

R3(config)# aaa new-model

Nota: Se activa la lista default en todas las interfaces y lneas, pero no tiene mtodos definidos. aaa authentication login : Para crear un nombre de lista y los mtodos de autenticacin.

Configurar la lista de autenticacin por defecto.

Mtodos (min 1, max 4): local-case: autenticacion local mediante BD local - usuario sensible a R3(config)# aaa authentication login default (lista) local (mtodo1) none maysculas. (mtodo2) enable: para autenticarse con la contrasea enable. none: no usa autenticacin. Nota: Si tu sesin en la consola se termina (times-out), se tendr que hacer login con la lista por defecto.

Crear una lista para las lneas vty.

R3(config)# aaa authentication login TELNET_LINES local R3(config)# line vty 0 4

Crea una lista llamada "TELNET_LINES" con el mtodo "local". Entra en el modo de configuracin de las 5 lneas vty. Indica que el login se haga mediante la lista TELNET-LINES.

Aplicar la lista vty a una interfaz.

R3(config-line)# login authentication TELNET_LINES Comprobacin: haciendo un telnet desde un host hacia el router. Nos debera dejar hacer login con el usuario y pass local.

Monitorizar la autenticacin AAA

1 2 3 4 5 Verificar si la fecha y hora que est configurada en el router es la correcta. Configurar fecha y hora si no es correcta. Verificar que la informacin de fecha y hora (timestamps) est disponible para la salida debug. Si el comando "service timestamps debug" no est presente, introducirlo en el modo de config global. Usar el comando debug. R3# show clock R3# clock set 14:15:00 26 December 2008 R3# show run | include timestamps R3# service timestamps debug datetime msec R3# debug aaa authentication Visualiza fecha y hora. Pone el reloj en la hora y fecha especificadas. Muestra todas las lneas de la configuracin en ejecucin (running config) que incluyen el texto "timestamps". Activa la fecha y hora (timestamp) para el debug. Activa la monitorizacin de intentos de autenticacin fallidos y con xito.

Implementar seguridad adicional

Bloquea la cuenta del usuario si la autenticacin es fallida 4 veces. La cuenta permanecer bloqueada hasta que el admin lo cambie. Para desactivar usar el "no" delante del comando. Nota: La diferencia con el comando login delay es que este ltimo introduce un retraso entre intentos fallidos sin bloquear la cuenta. Muestra una lista de usuarios bloqueados con la fecha y hora en que se bloque. Desbloquea a un usuario en concreto o a todos.

Configurar bloqueo para autenticaciones fallidas.

R3(config)# aaa local authentication attemps max-fail 4

2 3

Ver una lista de los usuarios bloqueados. Desbloquear usuarios.

R3# show aaa local user lockout R3# clear aaa local user lockout (username nombreUsuario | all)

Atributos de la sesin AAA

Visualiza los atributos de los usuarios que se han autenticado con AAA. Cuando un usuario utiliza AAA, se asigna un ID nico a la sesin. Mientras dure la sesin se recolectarn atributos como: Nombre de usuario, ID, direccin ip, protocolo que se usa para acceder al router, la velocidad de la conexin y el nmero de bytes recibidos y transmitidos.

Ver los atributos recolectados en una sesin AAA.

R3# show aaa user (all | unique id)