Vous êtes sur la page 1sur 24

Configuracin de las reglas de AAA para acceso a la red

Alfredo Acosta Valverde

AAA Rendimiento
Los dispositivos ASA usan el Proxy cut-through para mejorar significativamente el rendimiento. Los Proxys tradicionales analizan paquete por paquete en la capa de aplicacin. El Proxy cut-through del dispositivo ASA, desafa al usuario en la capa de aplicacin y luego se autentica al usuario, cambia el flujo de sesin y todo el trfico fluye directa y rpida entre el origen y el destino, mientras que el mantenimiento de la informacin de estado de sesin.

Requisitos para la licencia de Reglas de la AAA

Informacin Sobre Autenticacin

One-Time Authentication
Un usuario en una determinada direccin IP slo tiene que autenticarse una sola vez para todas las reglas y tipos, hasta que la sesin caduca. Por ejemplo, si configura el ASA para autenticar Telnet y FTP, y un usuario se autentica con xito por Telnet primeramente, entonces mientras exista la sesin de autenticacin , el usuario no tendr que autenticarse para FTP tambin.

Autenticacin ASA por Prompt


TELNET y FTP:ASA genera un mensaje de autenticacin. HTTP: ASA utiliza la autenticacin http por defecto y ofrece un mensaje de autenticacin.

(Opcional: Se puede redirigir a los usuarios a una pgina web interna donde se le pida al usuario introducir su usuario y contrasea)
HTTPS: ASA genera una pantalla de inicio de sesin personalizado. La redireccin es una mejora sobre el mtodo bsico, y proporciona una experiencia de uso mejorada cuando se autentica. Razones por las que se deben seguir las autenticaciones bsicas para HTTP: Si no se desea que ASA abra puertos Se utiliza NAT en un router y no se desea crear una regla de traduccin servida por ASA La autenticacin bsica funciona mejor en la red

Configurando la Autenticacin del Acceso a la Red

Autenticacin de Conexiones HTTP(S) con un Servidor Virtual


Cuando se utiliza la autenticacin HTTP en el ASA, el ASA utiliza la autenticacin bsica HTTP por defecto. Para continuar utilizando la autenticacin HTTP bsica, y para habilitar la autenticacin directa para HTTP y HTTPS, se usa el siguiente comando:

Si el servidor HTTP de destino requiere autenticacin, adems de la ASA, a continuacin, para autenticar por separado con el ASA (a travs de un servidor AAA) y con el servidor HTTP, se debe usar el siguiente comando:

Autenticando Conexiones TELNET con un Servidor Virtual


Aunque se puede configurar la autenticacin de acceso a la red para cualquier protocolo o servicio, se puede autenticar directamente con HTTP, Telnet o FTP solamente. Si no se desea permitir el trfico HTTP, Telnet o FTP a travs de la ASA, pero se desea autenticar otros tipos de trfico, puede configurar Telnet virtual; los usuarios Telnets a una determinada direccin IP configurada en el ASA y el ASA emite un aviso de Telnet. Para configurar un servidor Telnet virtual, usamos el siguiente comando:

Configuracin de Autorizacin de Acceso a la Red

Configuracin de Autorizacin mediante TACACS+


Se puede configurar el ASA para realizar la autorizacin de acceso de red con TACACS +. Se identifica el trfico que se autoriz mediante la especificacin de las listas de acceso que las reglas de autorizacin debe coincidir. Si se prefiere, se puede identificar el trfico directamente en la autorizacin de las propias reglas.

Configurando Autorizacin con RADIUS


Cuando la autenticacin se realiza correctamente, el protocolo RADIUS devuelve derechos de usuario en el mensaje de aceptacin de acceso que enva un servidor RADIUS Al configurar el ASA para autenticar a los usuarios para el acceso a la red, tambin se est habilitando implcitamente autorizaciones RADIUS. Se puede configurar un servidor RADIUS para descargar una lista de acceso al ASA o a un nombre de la lista de acceso en el momento de la autenticacin. El usuario est autorizado a hacer slo lo que est permitido en la lista de acceso especfica del usuario.

Configuracin de Cisco Secure ACS para listas de acceso descargable


Puede configurar las listas de acceso descargables en Cisco Secure ACS como un componente perfil compartido y luego asignar la lista de acceso a un grupo o a un usuario individual.

En el ASA, la lista de acceso descargable tiene el siguiente nombre #ACSACL#-ip-acl_name-number El argumento acs_ten_acl y un nmero que es un identificador nico generado por la versin de Cisco Secure ACS

Configuracin de Contabilizacin de Acceso a la Red


El ASA puede enviar la informacin contable a un RADIUS o TACACS + server sobre cualquier trfico TCP o UDP que pasa por el ASA. Si ese trfico tambin est autenticado, el servidor AAA puede mantener la informacin contable por nombre de usuario. Si el trfico no est autenticado, el servidor AAA puede mantener la informacin de la contabilidad de las direcciones IP. La informacin contable que incluye inicio de la sesin y los tiempos de parada, nombre de usuario, el nmero de bytes que pasan a travs de la ASA para la sesin, el servicio utilizado, y la duracin de cada sesin.

Ejemplo donde se autentica, autoriza y representa el trfico de Telnet en el interior. El trfico de Telnet a servidores distintos de 209.165.201.5 puede autenticar solo, pero el trfico a 209.165.201.5 requiere autorizacin y contabilidad.

El uso de direcciones MAC para eximir de trfico de autenticacin y autorizacin


Para utilizar las direcciones MAC para eximir el trfico de autenticacin y autorizacin, realice los siguientes pasos:

El siguiente ejemplo se omite la autenticacin para una nica direccin MAC: hostname(config)# mac-list abc permit 00a0.c95d.0282 ffff.ffff.ffff hostname(config)# aaa mac-exempt match abc

El siguiente ejemplo se omite la autenticacin para todos los telfonos IP de Cisco, que tienen el hardware ID 0003.E3:
hostname(config)# mac-list acd permit 0003.E300.0000 FFFF.FF00.0000 hostname(config)# aaa mac-exempt match acd

Gracias por su atencin.