Story Transcript
Configuración del Proxy de Autenticación Descargue este capítulo Configuración del Proxy de Autenticación Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Asegurando los servicios de usuario, versión 12.2SR (PDF - 6 MB) Feedback
Contenidos Configuración del Proxy de Autenticación Encontrar la información de la característica Contenido Requisitos previos para configurar el Proxy de autenticación Restricciones para configurar el Proxy de autenticación Información sobre configurar el Proxy de autenticación Cómo el Proxy de autenticación trabaja Autenticación Segura Funcionamiento con Javascript Operación sin JavaScript Usando el Proxy de autenticación Cuándo Utilizar el Servidor Alterno de Autenticación Aplicación del Proxy de autenticación Funcionamiento con Contraseñas de Uso Único Compatibilidad con otras Funciones de Seguridad Compatibilidad de NAT Compatibilidad de CBAC Compatibilidad de Cliente de VPN Compatibilidad con Contabilización AAA Protección frente a los Ataques de Negación de Servicio Riesgo de Suplantación con Proxy de Autenticación Comparación con la Función Lock-and-Key Cómo configurar el Proxy de autenticación Configurar el AAA Configurar el servidor HTTP para el Proxy de autenticación Configuración del Proxy de Autenticación Verificar el Proxy de autenticación Marcar la configuración de servidor alterno de autenticación Establecimiento de las conexiones del usuario con el Javascript Establecimiento de las conexiones del usuario sin el Javascript Monitoreando y mantener el Proxy de autenticación Visualización de Entradas ACL Dinámicas Eliminación de Entradas de la Memoria Caché del Servidor Alterno de Autenticación Ejemplos de configuración para el Proxy de autenticación Ejemplo de Configuración de Servidor Alterno de Autenticación Configuración AAA: Ejemplo: Configuración de servidor HTTP: Ejemplo: Configuración de servidor alterno de autenticación: Ejemplo: Configuración de la interfaz: Ejemplo: Ejemplo de Configuración del Proxy de Autenticación, IPSec y CBAC Configuración del router1: Ejemplo: Configuración del router2: Ejemplo: Ejemplo de Configuración del Proxy de Autenticación, IPSec, NAT y CBAC Configuración del router1: Ejemplo: Configuración del router2: Ejemplo: Ejemplo del Perfil de Usuario del Servidor de AAA CiscoSecure ACS 2.3 para Windows NT CiscoSecure ACS 2.3 for UNIX Servidor TACACS+ Servidor Livingston RADIUS Servidor Radius de Ascend Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica
Proxy de la información para la autenticación de la característica
Configuración del Proxy de Autenticación Primera publicación: De noviembre el 27 de 2000 Última actualización: 4 de agosto de 2009 La característica del Proxy de autenticación del Firewall Cisco IOS proporciona dinámico, autenticación por usuario y autorización, autenticando a los usuarios contra el estándar de la industria TACACS+ y los protocolos de autenticación de RADIUS. La autenticación y la autorización de las conexiones de los usuarios proporciona una protección más sólida contra los ataques a la red.
Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “la sección del proxy de la información para la autenticación de la característica”. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en Cisco.com no se requiere.
Contenido •
Requisitos previos para configurar el Proxy de autenticación
•
Restricciones para configurar el Proxy de autenticación
•
Información sobre configurar el Proxy de autenticación
•
Cómo configurar el Proxy de autenticación
•
Monitoreando y mantener el Proxy de autenticación
•
Ejemplos de configuración para el Proxy de autenticación
•
Referencias adicionales
•
Proxy de la información para la autenticación de la característica
Requisitos previos para configurar el Proxy de autenticación Antes de configurar el Proxy de autenticación, revise el siguiente: • Para que el Proxy de autenticación trabaje correctamente, el host del cliente debe funcionar con el software del buscador siguiente: – 3.0 de Microsoft Internet Explorer o más adelante – 3.0 del navegador Netscape Navigator o más adelante • El Proxy de autenticación tiene una opción para utilizar las listas de acceso estándar. Usted debe tener los sólidos conocimientos de cómo las Listas de acceso se utilizan al filtrar tráfico antes de que usted intente configurar el Proxy de autenticación. Para una descripción de cómo utilizar las Listas de acceso con el Firewall Cisco IOS, refiera listas de control de acceso al capítulo las “: Información General y Pautas". • El Proxy de autenticación emplea la autenticación de usuario y la autorización según lo implementado en el paradigma del Authentication, Authorization, and Accounting (AAA) de Cisco. Usted debe entender cómo configurar la autenticación de usuario, la autorización, y las estadísticas AAA antes de que usted configure el Proxy de autenticación. La autenticación de usuario, la autorización, y las estadísticas se explican en el capítulo “Authentication, Authorization, and Accounting (AAA).” • Para ejecutar el Proxy de autenticación con éxito con el Firewall Cisco IOS, configuración CBAC en el Firewall. Para toda la información sobre la característica CBAC, refiera al capítulo el “que configura control de acceso basado en el contexto.”
Restricciones para configurar el Proxy de autenticación •
Los activadores del Proxy de autenticación solamente en las conexiones HTTP.
•
Los servicios HTTP deben ejecutarse en el puerto (bien conocido) estándar, que es el puerto 80 para el HTTP.
•
Los buscadores del cliente deben habilitar el Javascript para la autenticación segura.
• Las Listas de acceso del Proxy de autenticación se aplican para traficar el paso a través del router. El tráfico destinado al router es autenticado por los métodos de autentificación existentes proporcionados por el Cisco IOS Software. • El Proxy de autenticación no soporta el uso simultáneo; es decir, si dos usuarios intentan iniciar sesión del mismo host al mismo tiempo, la autenticación y autorización se aplica solamente al usuario que primero somete un nombre de usuario válido y una contraseña. •
El Equilibrio de carga usando servidores de AAA múltiples o diversos no se soporta.
Información sobre configurar el Proxy de autenticación La función Cisco IOS Firewall authentication proxy permite que los administradores de red apliquen políticas de seguridad específicas para cada usuario. Previamente, la Identificación del usuario y el acceso autorizado relacionado fueron asociados a una dirección IP del usuario, o una sola política de seguridad tuvo que ser aplicada a un grupo de usuarios o a un red
secundario entero. Ahora, los usuarios pueden ser identificados y ser autorizados en base de su por usuario directiva. La adaptación de los privilegios de acceso en un caso por caso es posible, en comparación con la aplicación de una política general a través de los usuarios múltiples. Con la característica del Proxy de autenticación, los usuarios pueden iniciar sesión a la red o acceder Internet vía el HTTP, y sus perfiles específicos del acceso se extraen y se aplican automáticamente del CiscoSecure ACS, o el otro RADIUS, o autenticación de TACACS+ servidor. Los perfiles del usuario son activos solamente cuando hay tráfico activo de los usuarios autenticados. El Proxy de autenticación es compatible con otras funciones de seguridad del Cisco IOS tales como cifrado del Network Address Translation (NAT), del Control de acceso basado en el contexto (CBAC), de la seguridad IP (IPSec), y software del Cliente Cisco Secure VPN (cliente VPN). Esta sección contiene las secciones siguientes: •
Cómo el Proxy de autenticación trabaja
•
Autenticación Segura
•
Usando el Proxy de autenticación
•
Cuándo Utilizar el Servidor Alterno de Autenticación
•
Aplicación del Proxy de autenticación
•
Funcionamiento con Contraseñas de Uso Único
•
Compatibilidad con otras Funciones de Seguridad
•
Compatibilidad con Contabilización AAA
•
Protección frente a los Ataques de Negación de Servicio
•
Riesgo de Suplantación con Proxy de Autenticación
•
Comparación con la Función Lock-and-Key
Cómo el Proxy de autenticación trabaja Cuando un usuario inicia HTTP session con el Firewall, se acciona el Proxy de autenticación. Las en primer lugar controles del Proxy de autenticación para ver si han autenticado al usuario. Si una entrada del Autenticación válido existe para el usuario, la conexión es completada sin la intervención adicional por el Proxy de autenticación. Si existe ninguna entrada, el Proxy de autenticación responde a la petición de conexión HTTP indicando al usuario para un nombre de usuario y contraseña. El cuadro 1 ilustra las páginas de registro del Proxy de autenticación HTML. Cuadro 1 páginas de registro del Proxy de autenticación
Los usuarios deben autenticarse con éxito con el servidor de autenticación ingresando un nombre de usuario válido y una contraseña. Si la autenticación tiene éxito, el perfil de la autorización del usuario se extrae del servidor de AAA. El Proxy de autenticación utiliza la información en este perfil para crear las entradas del control de acceso dinámico (ACE) y para agregarlas al Access Control List entrante (de la entrada) (ACL) de una interfaz de entrada y (salida) al ACL saliente de una interfaz de salida, si un ACL de salida existe en la interfaz. Este proceso permite al Firewall para permitir el acceso de usuarios autenticados a la red según lo permitido por el perfil de la autorización. Por ejemplo, un usuario puede iniciar una conexión Telnet con el Firewall si Telnet se permite en el perfil de usuario. Si la autenticación falla, el proxy de autenticación se lo notifica al usuario y le solicita varios reintentos. Si el usuario no puede autenticar después de que cinco tentativas, el usuario deban esperar dos minutos e iniciar otros HTTP session para accionar el Proxy de autenticación. Se restauran las páginas de registro cada vez que el usuario hace las peticiones a la información de acceso de un servidor Web. El Proxy de autenticación personaliza cada uno de las entradas de lista de acceso en el perfil del usuario substituyendo las dirección IP de origen en la lista de acceso descargada por la dirección IP de origen del host autenticado. A la vez que los ACE dinámicos se agregan a la configuración de la interfaz, el Proxy de autenticación envía un mensaje al usuario que confirma que el login era acertado. El cuadro 2 ilustra el estatus del login en las páginas HTML.
Cuadro 2 mensaje de estado del login del Proxy de autenticación
El Proxy de autenticación configura un temporizador (ocioso) de la inactividad para cada perfil del usuario. Mientras haya actividad con el Firewall, el nuevo tráfico iniciado del host del usuario no acciona el Proxy de autenticación, y el tráfico del usuario autorizado es acceso permitido con el Firewall. Si expira el temporizador de inactividad, el Proxy de autenticación quita la información del perfil del usuario y las entradas de listas de acceso dinámicas. Cuando sucede esto, el tráfico del host del cliente se bloquea. El usuario debe iniciar otra conexión HTTP para accionar el Proxy de autenticación.
Autenticación Segura El Javascript de las aplicaciones del Proxy de autenticación a ayudar a alcanzar la autenticación segura usando el buscador del cliente. La autenticación segura evita que un cliente someta equivocadamente un nombre de usuario y contraseña a un servidor Web de la red con excepción del router del Proxy de autenticación. Esta sección contiene las secciones siguientes: •
Funcionamiento con Javascript
•
Operación sin JavaScript
Funcionamiento con Javascript Los usuarios deben habilitar el Javascript en el navegador antes de iniciar una conexión HTTP. Con el Javascript habilitado en el navegador, la autenticación segura se hace automáticamente, y el usuario ve el mensaje de autenticación mostrado en el cuadro 2. La conexión HTTP se completa automáticamente para el usuario.
Operación sin JavaScript Si el buscador del cliente no soporta el Javascript, o si la política de seguridad del sitio evita que los usuarios habiliten el Javascript, cualquier intento de inicio de sesión genera una ventana emergente con las instrucciones para manualmente completar la conexión. El cuadro 3 ilustra el mensaje de estado del login del Proxy de autenticación con el Javascript inhabilitado en el navegador. Cuadro 3 mensaje de estado del login del Proxy de autenticación con el Javascript inhabilitado
Para cerrar esta ventana, cierre del tecleo en el menú de archivos del navegador. Después de cerrar la ventana emergente, el usuario debe hacer clic la recarga (restaure para el Internet Explorer) en la ventana
del buscador en la cual se visualiza la página de la conexión con el sistema de autenticación. Si el intento de autenticación más reciente del usuario tiene éxito, hacer clic la recarga saca a colación el Web page que el usuario está intentando extraer. Si la tentativa más reciente del usuario falla, hacer clic la recarga hace el Proxy de autenticación interceptar el tráfico HTTP del cliente otra vez, indicando al usuario con otras páginas de registro que soliciten el nombre de usuario y contraseña. Si el Javascript no se habilita, se recomienda fuertemente que los administradores del sitio aconsejan a los usuarios del procedimiento correcto para cerrar la ventana emergente según lo descrito en la sección las “que establecen conexiones del usuario sin el Javascript.”
Usando el Proxy de autenticación A diferencia de algunas características del Firewall Cisco IOS que actúen transparente al usuario, la característica del Proxy de autenticación requiere una cierta interacción del usuario en el host del cliente. El cuadro 1 describe la interacción del Proxy de autenticación con el host del cliente.
Acción del Proxy de autenticación con el cliente
Descripción
El accionar en las conexiones HTTP
Si no autentican a un usuario actualmente en el router de escudo de protección, cualquier conexión HTTP inició por el usuario acciona el Proxy de autenticación. Si autentican al usuario ya, el Proxy de autenticación es transparente al usuario.
Apertura de sesión usando las páginas de registro
Accionar el Proxy de autenticación genera las páginas de registro basado en HTML. El usuario debe ingresar un nombre de usuario y contraseña que se autenticará con el servidor de AAA. El cuadro 1 ilustra las páginas de registro del Proxy de autenticación.
Autenticidad del Después del intento de inicio de sesión, la acción del Proxy de autenticación usuario en el cliente puede variar dependiendo de si el Javascript está habilitado en el navegador. Si se habilita el Javascript, y la autenticación es acertada, el Proxy de autenticación visualiza un mensaje que indica el estatus de la autenticación tal y como se muestra en del cuadro 2. Después de que visualicen al estado de autenticación, el proxy completa automáticamente la conexión HTTP. Si se inhabilita el Javascript, y la autenticación es acertada, el Proxy de autenticación genera una ventana emergente con las instrucciones adicionales para completar la conexión. Vea la figura 3. Si la autenticación es fracasada en todo caso, el usuario debe iniciar sesión otra vez de las páginas de registro.
Cuándo Utilizar el Servidor Alterno de Autenticación Aquí están los ejemplos de las situaciones en las cuales usted puede ser que utilice el Proxy de autenticación: • Usted quiere manejar los privilegios de acceso sobre (por usuario) una base individual usando los servicios proporcionados por los servidores de autenticación en vez de configurar el control de acceso basado en la dirección IP del host o las políticas de acceso globales. La autenticidad y autorizar a los usuarios de cualquier dirección IP del host también permite que los administradores de la red configuren los IP Addresses del host usando el DHCP. • Usted quiere autenticar y autorizar a los usuarios locales antes de permitir el acceso al intranet o los servicios de Internet o los hosts con el Firewall. • Usted quiere autenticar y autorizar a los usuarios remotos antes de permitir el acceso a los servicios locales o a los hosts con el Firewall. • Usted quiere controlar el acceso para los usuarios específicos del extranet. Por ejemplo, usted puede ser que quiera autenticar y autorizar al director financiero de un partner corporativo con un conjunto de los privilegios de acceso mientras que autorizaba al oficial de la tecnología para que ese mismo partner utilice otro conjunto de los privilegios de acceso. • Usted quiere utilizar el Proxy de autenticación conjuntamente con el software cliente VPN para validar a los usuarios y para asignar los privilegios de acceso específicos. • Usted quiere utilizar el Proxy de autenticación conjuntamente con las estadísticas AAA para generar el “comienzo” y “pare” los registros de contabilidad que se pueden utilizar para cargar en cuenta, la Seguridad, o los propósitos de la asignación del recurso, de tal modo permitiendo que los usuarios sigan el tráfico de los hosts autenticados.
Aplicación del Proxy de autenticación Aplique el Proxy de autenticación en la dirección entrante en cualquier interfaz en el router donde usted quiere la autenticación por usuario y la autorización. La aplicación del Proxy de autenticación entrante en una interfaz la hace interceptar la petición de la conexión inicial de un usuario antes que la petición es sujetada a cualquier otra que procesa por el Firewall. Si el usuario no puede ganar la autenticación con el servidor de AAA, se cae el pedido de conexión. Cómo usted se aplica el Proxy de autenticación depende de su política de seguridad. Por ejemplo, usted puede bloquear todo el tráfico a través de una interfaz y permitir a la característica del Proxy de autenticación para requerir la autenticación y autorización para todas las conexiones HTTP iniciadas usuario. Autorizan a los usuarios para los servicios sólo después de la autenticación satisfactoria con el servidor de AAA.
La característica del Proxy de autenticación también permite que usted utilice las listas de acceso estándar para especificar un host o a un grupo de hosts cuyo tráfico HTTP inicial accione el proxy. El cuadro 4 muestra el Proxy de autenticación aplicado en la interfaz LAN con todos los usuarios de la red requeridos ser autenticado sobre la conexión inicial (todo el tráfico se bloquea en cada interfaz). Cuadro 4 que aplica el Proxy de autenticación en la interfaz local
El cuadro 5 muestra el Proxy de autenticación aplicado en la interfaz del dial-in con todo el tráfico de la red bloqueado en cada interfaz. Cuadro 5 que aplica el Proxy de autenticación en una interfaz exterior
Funcionamiento con Contraseñas de Uso Único Dado una contraseña de USO único, el usuario ingresa el nombre de usuario y la contraseña de USO único en las páginas de registro HTML como de costumbre. El usuario debe ingresar la contraseña simbólica correcta dentro de las primeras tres tentativas. Después de tres entradas incorrectas, el usuario debe ingresar dos contraseñas simbólicas válidas en la sucesión antes de que la autenticación sea concedida por el servidor de AAA.
Compatibilidad con otras Funciones de Seguridad El Proxy de autenticación es compatible con el Cisco IOS Software y con las funciones de seguridad del Cisco IOS: •
Sistema de la detección de intrusos del Firewall Cisco IOS (IDS)
•
NAT
•
CBAC
•
Encripción de IPSec
•
Software cliente VPN
El Proxy de autenticación trabaja transparente con las características del Firewall Cisco IOS IDS y de la encripción de IPSec. Las secciones siguientes describen la relación del NAT, del CBAC, y de las características del software cliente VPN con el Proxy de autenticación: •
Compatibilidad de NAT
•
Compatibilidad de CBAC
•
Compatibilidad de Cliente de VPN
Compatibilidad de NAT La característica del Proxy de autenticación es compatible con el NAT solamente si el ACL y la autenticación se completan antes de la traducción de NAT. Aunque el NAT sea compatible con la característica del Proxy de autenticación, el NAT no es un requisito de la característica.
Compatibilidad de CBAC Aunque el Proxy de autenticación sea compatible con las funciones de la Seguridad CBAC, el CBAC no se requiere para utilizar la característica del Proxy de autenticación. La autorización del Proxy de autenticación vuelve las entradas de control de acceso (ACE) que prepended dinámicamente en un ACL manualmente creado. Después de eso, aplique el ACL a la interfaz de entrada “lateral” protegida, permitiendo o rechazando el acceso de la dirección IP de origen de un usuario autorizado a las redes remotas.
Compatibilidad de Cliente de VPN Usando el Proxy de autenticación, los administradores de la red pueden aplicar una capa adicional de Seguridad y de control de acceso para el tráfico del cliente VPN. Si un cliente VPN inicia una conexión HTTP, las en primer lugar controles del Proxy de autenticación para la autenticación de cliente anterior. Si autentican al cliente, se permite el tráfico autorizado. Si no autentican al cliente, el pedido de HTTP acciona el Proxy de autenticación, y indican al usuario para un nombre de usuario y contraseña. Si la autenticación de usuario es acertada, el Proxy de autenticación extrae el perfil del usuario del servidor de AAA. Substituyen a la dirección de origen en las entradas del perfil del usuario por la dirección IP del cliente del VPN autenticado del paquete descifrado.
Compatibilidad con Contabilización AAA Usando el Proxy de autenticación, usted puede generar el “comienzo” y “pare” los registros de contabilidad con bastante información que se utilizará para los propósitos el cargar en cuenta y de la auditoría de seguridad. Así, usted puede monitorear las acciones de los hosts autenticados que utilizan el servicio del Proxy de autenticación. Cuando se crean un caché del Proxy de autenticación y las listas de control de acceso dinámico asociadas, el Proxy de autenticación comenzará a seguir el tráfico del host autenticado. Las estadísticas guardan los datos sobre este evento en una estructura de datos salvada con los datos de otros usuarios. Si se habilita la opción de comienzo de las estadísticas, usted puede generar un registro de contabilidad (un expediente del “comienzo”) ahora. El tráfico subsiguiente del host autenticado será registrado cuando el ACL dinámico creado por el Proxy de autenticación recibe los paquetes. Cuando un caché del Proxy de autenticación expira y se borra, los datos adicionales, tales como tiempo transcurrido, se agregan a la información de la cuenta y un expediente de la “parada” se envía al servidor. En este momento, la información se borra de la estructura de datos. Los registros de contabilidad para la sesión del usuario del Proxy de autenticación se relacionan con el caché y el uso de ACL dinámico.
Observelos registros de contabilidad debe incluir los atributos de RADIUS 42, 46, y 47 para el RADIUS y el TACACS+. Para más información sobre los atributos de RADIUS, refiera al apéndice “atributos de RADIUS.”
Protección frente a los Ataques de Negación de Servicio El Proxy de autenticación monitorea el nivel de pedidos de HTTP entrantes. Para cada petición, el Proxy de autenticación indica al usuario para las credenciales del login. Un número alto de peticiones abiertas podría indicar que el router es el tema de un ataque de Negación de servicio (DoS). El Proxy de autenticación limita el nivel de peticiones abiertas y de peticiones adicionales de los descensos hasta que el número de peticiones abiertas haya caído debajo de 40. Si el Firewall está experimentando un nivel elevado de pedidos de conexión que requieren la autenticación, los usuarios de la red legítimos pueden experimentar los retardos al hacer las conexiones, o la conexión puede ser rechazada y el usuario debe intentar la conexión otra vez.
Riesgo de Suplantación con Proxy de Autenticación Cuando se acciona el Proxy de autenticación, crea una apertura dinámica en el Firewall temporalmente configurando de nuevo una interfaz con los privilegios de acceso del usuario. Mientras que existe esta apertura, otro host pudo spoof que los usuarios autenticados dirigen para acceder detrás del Firewall. El Proxy de autenticación no causa el problema de la simulación de dirección; el problema se identifica solamente aquí como cuestión de preocupación al usuario. El spoofing es un problema inherente a todas las Listas de acceso, y el Proxy de autenticación no aborda específicamente este problema.
Comparación con la Función Lock-and-Key El Cerrojo y llave es otra característica del Firewall Cisco IOS que utiliza la autenticación y la lista de acceso dinámica para proporcionar el acceso del usuario con el Firewall. El cuadro 2 compara el Proxy de autenticación y las características del Cerrojo y llave.
Cerrojo y Llave
Proxy de Autenticación
Activadores en las peticiones de conexión Telnet.
Activadores en las peticiones de conexión HTTP.
TACACS+, RADIUS, o autenticación local.
TACACS+ o autenticación de RADIUS y autorización.
Las Listas de acceso se configuran en el router solamente.
Las Listas de acceso se extraen del servidor de AAA solamente.
Los privilegios de acceso se conceden en base de la dirección IP del host del usuario.
Los privilegios de acceso se conceden en por usuario y reciben la base de la dirección IP.
Las Listas de acceso se limitan a una Las Listas de acceso pueden tener entradas múltiples entrada para cada dirección IP del host. según lo definido por los perfiles del usuario en el servidor de AAA. Asocia los IP Address fijos a un usuario Permite los IP Addresses basado en DHCP del host,
específico. Los usuarios deben iniciar sesión del host con esa dirección IP.
significando que los usuarios puedan iniciar sesión de cualquier ubicación del host y obtener la autenticación y autorización.
Utilice el Proxy de autenticación en cualquier entorno de red que proporcione por usuario una política de seguridad. Utilice el Cerrojo y llave en los entornos de red que pudieron beneficiarse de la autenticación local y de un número limitado de directivas basadas en el router del control de acceso basadas en las direcciones de host. Utilice el Cerrojo y llave en los entornos no usando el Cisco Secure Integrated Software.
Cómo configurar el Proxy de autenticación Para configurar la característica del Proxy de autenticación, realice las tareas siguientes: •
Configurando el AAA (requerido)
•
Configurando el servidor HTTP para el Proxy de autenticación (requerido)
•
Configurando el Proxy de autenticación (requerido)
•
Verificando el Proxy de autenticación (opcional)
Por los ejemplos de la configuración de servidor alterno de autenticación usando los comandos en este capítulo, refiera a la sección “ejemplos de configuración para el Proxy de autenticación” en el final de este capítulo.
Configurar el AAA Usted debe configurar el Proxy de autenticación para los servicios AAA. Utilice los siguientes comandos en el modo de configuración global de habilitar la autorización y de definir los métodos de autorización:
Comando
Propósito
Paso router(config)# aaa newmodel 1
Habilita las funciones AAA en el router.
Paso router(config)# aaa authentication login 2
Define la lista de métodos de autentificación en el login.
Paso router(config)# aaa authorization auth-proxy 3
Utiliza auth-proxy la palabra clave para habilitar el Proxy de autenticación para los métodos AAA.
Paso router(config)# aaa accounting auth-proxy 4
Utiliza auth-proxy la palabra clave para configurar la directiva de la autorización como ACL dinámicos que puedan ser descargados. Este comando activa las estadísticas del Proxy de autenticación.
Paso router(config)# tacacsserver host hostname 5
Especifica un servidor de AAA. Para los servidores de RADIUS, utilice radius server host el comando.
Paso router(config)# tacacsserver key key 6
Fija la autenticación y la clave de encripción para las comunicaciones entre el router y el servidor de AAA. Para los servidores de RADIUS utilice radius server key el comando.
Paso router(config)# accesslist access-list-number 7
Crea una entrada ACL para permitir el servidor de AAA al tráfico de retorno al Firewall. La dirección de origen es la dirección IP del servidor de AAA, y el destino es la dirección IP de la interfaz del router donde reside el servidor de AAA.
default TACACS+ RADIUS
default [method1 [method2 ...]]
default start-stop group tacacs+
permit tcp host source eq tacacs host destination
Además de configurar el AAA en el router de escudo de protección, el Proxy de autenticación requiere por usuario una configuración del perfil del acceso en el servidor de AAA. Para soportar el Proxy de autenticación, configure el servicio de la autorización AAA auth-proxy en el servidor de AAA según lo delineado aquí: • Defina una sección aparte de autorización para que auth-proxy la palabra clave especifique los perfiles del usuario transferibles. Esta palabra clave no interfiere con el otro tipo de servicio, tal como EXEC. El siguiente ejemplo muestra un perfil del usuario en un servidor TACACS: default authorization = permit key = cisco user = newuser1 { login = cleartext cisco service = auth-proxy {
priv-lvl=15 proxyacl#1="permit tcp any any eq 26" proxyacl#2="permit icmp any host 60.0.0.2" proxyacl#3="permit tcp any any eq ftp" proxyacl#4="permit tcp any any eq ftp-data" proxyacl#5="permit tcp any any eq smtp" proxyacl#6="permit tcp any any eq telnet" } }
• El único atributo soportado en la configuración de usuario del servidor de AAA es proxyacl#n. Utilice el atributo del proxyacl#n al configurar las Listas de acceso en el perfil. El proxyacl#n del atributo está para los pares del valor de atributo RADIUS y TACACS+ (AV). •
El nivel de privilegio se debe fijar a 15 para todos los usuarios.
• Las Listas de acceso en el perfil del usuario en el servidor de AAA deben tener comandos del acceso que contengan solamente permit la palabra clave. • Fije a la dirección de origen any a la palabra clave en cada uno de las entradas de lista de acceso del perfil del usuario. Substituyen a la dirección de origen en las Listas de acceso por la dirección de origen del host que hace la petición del Proxy de autenticación cuando el perfil del usuario se descarga al Firewall. •
Los servidores de AAA soportados son: – CiscoSecure ACS 2.1.x para el Windows NT – CiscoSecure ACS 2,3 para Windows NT – CiscoSecure ACS 2.2.4 para UNIX – CiscoSecure ACS 2,3 para UNIX – Servidor TACACS+ (vF4.02.alpha) – Asciende el servidor de RADIUS radius-980618 (la corrección requerida de las pares de valor de atributo) – Servidor Livingston RADIUS (v1.16)
Refiera a la sección “ejemplo del perfil del usuario del servidor de AAA” para las configuraciones de servidor AAA de la muestra.
Configurar el servidor HTTP para el Proxy de autenticación Se utiliza esta tarea para habilitar el servidor HTTP en el Firewall y de configurar el proxy del método de autenticación de la autenticación AAA del servidor HTTP. PASOS SUMARIOS 1. enable 2. configure terminal 3. ip http server 4. ip http access-class access-list-number PASOS DETALLADOS
Comando
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Paso ip http server 3
Habilita el servidor HTTP en el router. El Proxy de autenticación utiliza el servidor HTTP para comunicar con el cliente para la autenticación de usuario.
Paso ip http access-class access-list-number 4
Especifica la lista de acceso para el servidor HTTP. Utilice el número de lista del acceso estándar configurado en configuración de la interfaz de la sección “: Ejemplo.”
Example: Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal Example: Router# ip http server
Example: router(config)# configure terminal
Configuración del Proxy de Autenticación Utilice los siguientes comandos de configurar el Proxy de autenticación: PASOS SUMARIOS 1. enable 2. configure terminal 3. ip auth-proxy auth-cache-time min 4. ip auth-proxy auth-proxy-banner 5. ip auth-proxy name auth-proxy-name http []auth-cache-time min[list {acl |acl-name}] 6. interface type 7. ip auth-proxy auth-proxy-name PASOS DETALLADOS
Comando
Propósito
Paso enable 1
Habilita el modo EXEC privilegiado.
Paso configure terminal 2
Ingresa en el modo de configuración global.
Example: Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Example: Router# configure terminal
Paso ip auth-proxy auth- (Opcional) fija el valor de agotamiento del tiempo inactivo del cache-time min 3 proxy de la autenticación global en los minutos. Si expira el descanso, las entradas de la autenticación de usuario se Example: Router(config)# ip quitan, junto con cualquier lista de acceso dinámica asociada. El valor predeterminado es 60 minutos. auth-proxy authcache-time 5
Observeel uso esta opción para cualquier regla del Proxy de autenticación a un valor más alto que el valor de agotamiento del tiempo inactivo para cualquier regla de la inspección de CBAC. Cuando el Proxy de autenticación quita un caché de la autenticación junto con su usuario dinámico asociado ACL, puede haber algunas conexiones inactivas monitoreadas por el CBAC, y el retiro de los ACL específicos del usuario podría hacer esas conexiones inactivas colgar. Si el CBAC tiene un tiempo de inactividad más corto, el CBAC reajusta estas conexiones cuando expira el tiempo de inactividad; es decir, antes del Proxy de autenticación quita el perfil del usuario.
Paso ip auth-proxy auth- (Opcional) visualiza el nombre del router de escudo de proxy-banner 4 protección en las páginas de registro del Proxy de autenticación. El banner se inhabilita por abandono. Example: Router(config)# configure terminal
Paso ip auth-proxy name auth-proxy-name 5 http [auth-cachetime min] [list { acl |acl-name}]
Example: Router(config)# ip auth-proxy name HQ_users http
Crea las reglas del Proxy de autenticación. Las reglas definen cómo usted aplica el Proxy de autenticación. Este comando asocia las conexiones que inician el tráfico del protocolo HTTP con un nombre del Proxy de autenticación. Usted puede asociar la regla Nombrada a un Access Control List (ACL), proporcionando al control sobre las cuales los hosts utilizan la característica del Proxy de autenticación. Si no se define ninguna lista de acceso estándar, la regla Nombrada del Proxy de autenticación intercepta el tráfico HTTP de todos los hosts cuya conexión que inicia los paquetes se reciban en la interfaz configurada. (Opcional) auth-cache-time la opción reemplaza el temporizador de la autenticación global caché del proxy. Esta opción proporciona más control sobre los valores de agotamiento del tiempo para una regla específica del Proxy de autenticación. Si no se especifica ningún valor, la regla del
proxy asume el valor establecidovalor establecido con ip auth-proxy auth-cache-time el comando. (Opcional) list la opción permite que usted aplique un estándar, extendido (1-199), o la lista de acceso denominada a una regla Nombrada del Proxy de autenticación. Las conexiones HTTP iniciadas por los hosts en la lista de acceso son interceptadas por el Proxy de autenticación. Paso interface type 6
Example: Router(config)# interface Ethernet0/0
Ingresa al modo de configuración de la interfaz especificando el tipo de interfaz en quien aplicar el Proxy de autenticación.
Paso ip auth-proxy auth- En el modo de configuración de la interfaz, aplica la regla proxy-name 7 Nombrada del Proxy de autenticación en la interfaz. Este comando habilita la regla del Proxy de autenticación con ese Example: Router(config-if)# nombre. ip auth-proxy HQ_users http
Verificar el Proxy de autenticación Verificar la configuración de servidor alterno de autenticación puede tener varios componentes: •
Marcando la configuración de servidor alterno de autenticación (opcional)
•
Estableciendo las conexiones del usuario con el Javascript (opcional)
•
Estableciendo las conexiones del usuario sin el Javascript (opcional)
Marcar la configuración de servidor alterno de autenticación Para marcar la configuración de servidor alterno de autenticación actual, utilice show ip auth-proxy configuration el comando en el modo EXEC privilegiado:
Comando
Propósito
router# show ip auth-proxy configuration
Visualiza la configuración de servidor alterno de autenticación.
En el siguiente ejemplo, el valor de agotamiento del tiempo inactivo del proxy de la autenticación global se fija a 60 minutos, la regla Nombrada del Proxy de autenticación es “pxy”, y el valor de agotamiento del tiempo inactivo para esta regla Nombrada es un minuto. La visualización muestra que no se especifica ninguna lista del host, significando que todas las conexiones que inician el tráfico HTTP en la interfaz están conforme a la regla del Proxy de autenticación. router# show ip auth-proxy configuration Authentication cache time is 60 minutes Authentication Proxy Rule Configuration Auth-proxy name pxy http list not specified auth-cache-time 1 minutes
Para verificar que el Proxy de autenticación esté configurado con éxito en el router, pida que un usuario inicie una conexión HTTP a través del router. El usuario debe tener autenticación y autorización configurada en el servidor de AAA. Si la autenticación de usuario es acertada, el Firewall completa la conexión HTTP para el usuario. Si la autenticación es fracasada, marque la lista de acceso y las configuraciones de servidor AAA. Visualice las entradas de la autenticación de usuario usando show ip auth-proxy cache el comando en el modo EXEC privilegiado:
Comando
Propósito
router# show ip auth-proxy cache Visualiza la lista de entradas de la autenticación de usuario.
El caché del Proxy de autenticación enumera la dirección IP del host, el número del puerto de origen, el valor de agotamiento del tiempo para el Proxy de autenticación, y el estado de la conexión. Si el estado del Proxy de autenticación está HTTP_ESTAB, la autenticación de usuario era acertada. router# show ip auth-proxy cache
Authentication Proxy Cache Client IP 192.168.25.215 Port 57882, timeout 1, state HTTP_ESTAB
Espere un minuto, que es el valor de agotamiento del tiempo para esta regla Nombrada, y pida que el usuario intente la conexión otra vez. Después de un minuto, se niega la conexión del usuario porque el Proxy de autenticación ha quitado el cualquier ACL dinámico asociado del usuario la entrada de autenticación y. Presentan con una nueva página de la conexión con el sistema de autenticación y debe iniciar sesión el usuario otra vez para acceder con el Firewall.
Establecimiento de las conexiones del usuario con el Javascript Para verificar las conexiones cliente usando el Proxy de autenticación con el Javascript habilitado en el buscador del cliente, siga este procedimiento: Paso 1 De un host del cliente, inicie una conexión HTTP con el Firewall. Esto genera la página de inicio de sesión en el proxy de autenticación. Paso 2 En las páginas de registro del Proxy de autenticación, ingrese un nombre de usuario y contraseña. Paso 3 Haga clic OK para someter el nombre de usuario y contraseña al servidor de AAA. Aparece una ventana pop-up que indica si el intento de login ha tenido éxito o ha fallado. Si la autenticación es acertada, la conexión se completa automáticamente. Si la autenticación falla, el proxy de autenticación se lo notifica al usuario y le solicita varios reintentos.
Observe si el intento de autenticación es fracasado después de que cinco tentativas, el usuario deban esperar dos minutos e iniciar otros HTTP session para accionar el Proxy de autenticación.
Establecimiento de las conexiones del usuario sin el Javascript Para asegurar la autenticación segura, el diseño del Proxy de autenticación requiere el Javascript. Usted puede utilizar el Proxy de autenticación sin habilitar el Javascript en el navegador, pero éste plantea un riesgo de seguridad potencial si los usuarios no establecen correctamente las conexiones de red. El siguiente procedimiento proporciona los pasos para establecer correctamente una conexión con el Javascript inhabilitado. Aconsejan los administradores de la red fuertemente dar instrucciones a los usuarios en cómo establecer correctamente las conexiones usando el procedimiento en esta sección.
El errorde la nota seguir este procedimiento puede hacer los credenciales de usuario ser pasado a un servidor Web de la red con excepción del Proxy de autenticación o puede hacer el Proxy de autenticación rechazar el intento de inicio de sesión. Para verificar las conexiones cliente usando el Proxy de autenticación cuando el Javascript no se habilita en el buscador del cliente, siga este procedimiento: Paso 1 Inicie una conexión HTTP con el Firewall. Esto genera la página de inicio de sesión en el proxy de autenticación. Paso 2 De las páginas de registro del Proxy de autenticación en el cliente, ingrese el nombre de usuario y contraseña. Paso 3 Haga Click en OK para someter el nombre de usuario y contraseña al servidor de AAA. Aparece una ventana pop-up que indica si el intento de login ha tenido éxito o ha fallado. Si la ventana emergente indica la autenticación satisfactoria, vaya al paso 7. Paso 4 Si la ventana emergente visualiza un mensaje de la autenticación fallida, cierre del tecleo en el menú de archivos del navegador.
La nota no hace clic la recarga (restaure para el Internet Explorer) para cerrar la ventana emergente. Paso 5 De la página original de la conexión con el sistema de autenticación, recarga del tecleo (restaure para el Internet Explorer) en la barra de herramientas del navegador. Las credenciales de los ingresos del usuario al sistema se borran de la forma.
La nota no hace clic la AUTORIZACIÓN. Usted debe hacer clic la recarga o restaurarla para borrar el nombre de usuario y contraseña y para recargar la forma antes de intentar iniciar sesión otra vez. Paso 6 Ingrese el nombre de usuario y contraseña otra vez.
Si la autenticación es acertada, una ventana aparece que visualiza un mensaje de la autenticación satisfactoria. Si la ventana visualiza un mensaje de la autenticación fallida, vaya al paso 4. Paso 7 Cierre del tecleo en el menú de archivos del navegador. Paso 8 De las páginas de registro originales del Proxy de autenticación, recarga del tecleo (restaure para el Internet Explorer) en la barra de herramientas del navegador. El Proxy de autenticación completa la conexión autenticada con el servidor Web.
Monitoreando y mantener el Proxy de autenticación Esta sección describe cómo ver las entradas de lista de acceso dinámico y cómo quitar manualmente las entradas de autenticación. Esta sección contiene las secciones siguientes: •
Visualización de Entradas ACL Dinámicas
•
Eliminación de Entradas de la Memoria Caché del Servidor Alterno de Autenticación
Visualización de Entradas ACL Dinámicas Usted puede visualizar las entradas de lista de acceso dinámico cuando son funcionando. Después de que una entrada del Proxy de autenticación sea borrada por usted o por el parámetro de tiempo de inactividad, usted puede visualizarlo no más. El número de coincidencias mostradas indica el número de veces que se consultó la entrada de la lista de acceso. Para ver las listas de acceso dinámicas y cualquier entrada temporaria de la lista de acceso que sean establecidas actualmente por el Proxy de autenticación, utilice show ip access-lists el comando en el modo EXEC privilegiado:
Comando
Propósito
router# show ip access-lists
Visualiza el estándar y las listas de acceso ampliadas configurados en el Firewall, incluyendo las entradas ACL dinámicas.
Considere el siguiente ejemplo donde está entrante el ACL 105 aplicado en la interfaz de entrada donde usted configura el Proxy de autenticación. La visualización inicial muestra el contenido de los ACL antes de la autenticación. La segunda visualización muestra las mismas visualizaciones después de la autenticación de usuario con el servidor de AAA.
Observesi NAT se configura, show ip access list el comando pudo visualizar la dirección IP traducida del host para la entrada ACL dinámica o la dirección IP del host que iniciaba la conexión. Si el ACL se aplica en la interfaz exterior NAT, visualizan a la dirección traducida. Si el ACL se aplica en la interfaz interior NAT, la dirección IP del host que inicia la conexión se visualiza. show ip auth-proxy cache El comando always visualiza la dirección IP del host que inicia la conexión. Por ejemplo, lo que sigue es una lista de entradas ACL antes del Proxy de autenticación: Router# show ip access-lists . . . Extended IP access list 105 deny tcp any any eq telnet deny udp any any permit tcp any any (28 matches) permit ip any any
La salida de muestra siguiente muestra una lista de entradas ACL después de la autenticación de usuario: Router# show ip access-lists . . . Extended IP access list 105
! The ACL entries following user authentication are shown below. permit tcp host 192.168.25.215 any eq 26 permit icmp host 192.168.25.215 host 60.0.0.2 permit tcp host 192.168.25.215 any eq telnet permit tcp host 192.168.25.215 any eq ftp permit tcp host 192.168.25.215 any eq ftp-data permit tcp host 192.168.25.215 any eq smtp deny tcp any any eq telnet deny udp any any permit tcp any any (76 matches) permit ip any any
Eliminación de Entradas de la Memoria Caché del Servidor Alterno de Autenticación Cuando el Proxy de autenticación es funcionando, las listas de acceso dinámicas crecen y se encogen dinámicamente mientras que se agregan y se borran las entradas de autenticación. Para visualizar la lista de entradas de autenticación, utilice show ip auth-proxy cache el comando. Para borrar manualmente una entrada de autenticación, utilice clear ip auth-proxy cache el comando en el modo EXEC privilegiado:
Comando
Propósito
router# clear ip auth-proxy cache {* | host ip address}
Borra las entradas del Proxy de autenticación del Firewall antes de que midan el tiempo hacia fuera. Utilice un asterisco para borrar todas las entradas del caché de la autenticación. Ingrese un IP Address específico para borrar una entrada para un solo host.
Ejemplos de configuración para el Proxy de autenticación Configurar la característica del Proxy de autenticación requiere los cambios de configuración en el router y el servidor de AAA. Las secciones siguientes proporcionan los ejemplos de la configuración de servidor alterno de autenticación: •
Ejemplo de Configuración de Servidor Alterno de Autenticación
•
Ejemplo de Configuración del Proxy de Autenticación, IPSec y CBAC
•
Ejemplo de Configuración del Proxy de Autenticación, IPSec, NAT y CBAC
•
Ejemplo del Perfil de Usuario del Servidor de AAA
En estos ejemplos, el signo de exclamación (!) indica una línea de comentarios. Las líneas de comentarios preceden las entradas de configuración que son descritas.
Ejemplo de Configuración de Servidor Alterno de Autenticación Los siguientes ejemplos resaltan las entradas específicas de la configuración de servidor alterno de autenticación. Estos ejemplos no representan una configuración del router completa. Las configuraciones del router completas usando el Proxy de autenticación se incluyen más adelante en este capítulo. Esta sección contiene los ejemplos siguientes: •
Configuración AAA: Ejemplo:
•
Configuración de servidor HTTP: Ejemplo:
•
Configuración de servidor alterno de autenticación: Ejemplo:
•
Configuración de la interfaz: Ejemplo:
Configuración AAA: Ejemplo: aaa new-model aaa authentication login default group tacacs group radius ! Set up the aaa new model to use the authentication proxy. aaa authorization auth-proxy default group tacacs group radius ! Define the AAA servers used by the router.
aaa accounting auth-proxy default start-stop group tacacs+ ! Set up authentication proxy with accounting. tacacs-server host 172.31.54.143 tacacs-server key cisco radius-server host 172.31.54.143 radius-server key cisco
Configuración de servidor HTTP: Ejemplo: ! Enable the HTTP server on the router. ip http server ! Set the HTTP server authentication method to AAA. ip http authentication aaa ! Define standard access list 61 to deny any host. access-list 61 deny any ! Use ACL 61 to deny connections from any host to the HTTP server. ip http access-class 61
Configuración de servidor alterno de autenticación: Ejemplo: ! Set the global authentication proxy timeout value. ip auth-proxy auth-cache-time 60 ! Apply a name to the authentication proxy configuration rule. ip auth-proxy name HQ_users http
Configuración de la interfaz: Ejemplo: ! Apply the authentication proxy rule at an interface. interface e0 ip address 10.1.1.210 255.255.255.0 ip auth-proxy HQ_users
Ejemplo de Configuración del Proxy de Autenticación, IPSec y CBAC El siguiente ejemplo muestra una configuración del router con el Proxy de autenticación, el IPSec, y las características CBAC. El cuadro 6 ilustra la configuración.
Observesi usted están utilizando esta característica con el Cisco IOS Software Release 12.3(8)T o Posterior, vea la verificación de acceso Crypto en el documento de los paquetes del texto claro. Cuadro 6 Proxy de autenticación, IPSec, y ejemplo de la configuración CBAC
En este ejemplo, el host A inicia una conexión HTTP con el servidor Web (WWW). El tráfico HTTP entre el router1 y el router2 se cifra usando el IPSec. El Proxy de autenticación, el IPSec, y el CBAC se configuran en el serial0 de la interfaz en el router2, que está actuando como el Firewall. El ACL 105 bloquea todo el tráfico en el serial0 de la interfaz. El ACL 102 es aplicado en el interface ethernet0 en el router2 bloquear todo el tráfico en esa interfaz excepto el tráfico del servidor de AAA. Cuando el host A inicia una conexión HTTP con el servidor Web, el Proxy de autenticación indica al usuario en el host A para un nombre de usuario y contraseña. Estas credenciales se verifican con el servidor de AAA para la autenticación y autorización. Si la autenticación es exitosa, las ACLs por usuario se descargan en el firewall para permitir los servicios. Los siguientes ejemplos proporcionan las configuraciones del router1 y del router2 para lo completo: •
Configuración del router1: Ejemplo:
•
Configuración del router2: Ejemplo:
Configuración del router1: Ejemplo: ! Configure Router 1 for IPSec. version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router1 ! logging buffered 4096 debugging no logging console enable secret 5 $1$E0OB$AQF1vFZM3fLr3LQAOsudL/ enable password junk ! username Router2 password 0 welcome crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco1234 address 10.0.0.2 ! crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac ! ! crypto map testtag 10 ipsec-isakmp set peer 10.0.0.2 set transform-set rule_1
match address 155 ! interface Ethernet0/0 ip address 192.168.23.2 255.255.255.0 no ip directed-broadcast no ip route-cache no ip mroute-cache ! interface Serial3/1 ip address 10.0.0.1 255.0.0.0 no ip directed-broadcast encapsulation PPP ip route-cache no ip mroute-cache no keepalive no fair-queue clockrate 56000 crypto map testtag ! ! ip classless ip route 192.168.123.0 255.255.255.0 10.0.0.2 ! Identify the IPSec specific traffic. access-list 155 permit tcp host 192.168.23.13 host 192.168.123.14 eq www access-list 155 permit tcp host 192.168.23.13 eq www host 192.168.123.14
Configuración del router2: Ejemplo: ! Configure Router 2 as the firewall, using the authentication proxy, IPSec, and CBAC. version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router2 ! logging buffered 4096 debugging aaa new-model aaa authentication login default group tacacs
aaa authentication login console_line none aaa authentication login special none aaa authentication ppp default group tacacs aaa authorization exec default group tacacs ! Configure AAA for the authentication proxy. aaa authorization auth-proxy default group tacacs+ enable password junk ! ! Create the CBAC inspection rule HTTP_TEST. ip inspect name rule22 http ip inspect name rule22 tcp ip inspect name rule22 ftp ip inspect name rule22 smtp ! ! Create the authentication proxy rule PXY. ip auth-proxy name pxy http ! Turn on display of the router name in the authentication proxy login page. ip auth-proxy auth-proxy-banner ip audit notify log ip audit po max-events 100 ! ! Configure IPSec. crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco1234 address 10.0.0.1 ! crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac ! crypto map testtag 10 ipsec-isakmp set peer 10.0.0.1 set transform-set rule_1 match address 155 ! ! Apply the CBAC inspection rule and the authentication proxy rule at interface ! Serial0/0. interface Serial0/0 ip address 10.0.0.2 255.0.0.0 ip access-group 105 in
no ip directed-broadcast ip inspect rule22 in ip auth-proxy pxy encapsulation ppp no ip route-cache no ip mroute-cache no keepalive no fair-queue crypto map testtag ! interface Ethernet0/1 ip address 192.168.123.2 255.255.255.0 ip access-group 102 in no ip directed-broadcast ip route-cache no ip mroute-cache ! no ip classless ip route 192.168.23.0 255.255.255.0 10.0.0.1 ip route 192.168.50.0 255.255.255.0 16.0.0.1 ! Configure the HTTP server. ip http server ip http access-class 15 ip http authentication aaa ! ! Create ACL 15 to block all traffic for the http server. access-list 15 deny any ! Create ACL 102 to block all traffic inbound on interface Ethernet0/1 except for ! traffic from the AAA server. access-list 102 permit tcp host 192.168.123.20 eq tacacs host 192.168.123.2 access-list 102 deny
tcp any any
access-list 102 deny
udp any any
access-list 102 permit ip any any ! Create ACL 105 to block all traffic inbound on interface Serial0/0. Permit only IP ! protocol traffic. access-list 105 deny
tcp any any
access-list 105 deny
udp any any
access-list 105 permit ip any any ! Identify the IPSec specific traffic. access-list 155 permit tcp host 192.168.123.14 host 192.168.23.13 eq www access-list 155 permit tcp host 192.168.123.14 eq www host 192.168.23.13 ! ! Define the AAA server host and encryption key. tacacs-server host 192.168.123.14 tacacs-server key cisco ! line con 0 exec-timeout 0 0 login authentication special transport input none line aux 0 transport input all speed 38400 flowcontrol hardware line vty 0 4 password lab
Ejemplo de Configuración del Proxy de Autenticación, IPSec, NAT y CBAC El siguiente ejemplo proporciona una configuración del router con el Proxy de autenticación, las características del IPSec, NAT, y CBAC. El cuadro 7 ilustra la configuración. Cuadro 7 Proxy de autenticación, IPSec, y ejemplo de la configuración CBAC
En este ejemplo, el host A inicia una conexión HTTP con el servidor Web (WWW). El tráfico HTTP entre el router1 (interfaz BRI0) y el router2 (Serial2 de la interfaz) se cifra usando el IPSec. El Proxy de autenticación se configura en el router2, que está actuando como el Firewall. El Proxy de autenticación, el NAT, y el CBAC se configuran en el Serial2 de la interfaz, que está actuando como el Firewall. El ACL 105 bloquea todo el tráfico en el Serial2 de la interfaz. El ACL 102 es aplicado en el interface ethernet0 en el router2 bloquear todo el tráfico en esa interfaz excepto el tráfico del servidor de AAA. En este ejemplo, el Proxy de autenticación utiliza ACL estándar 10 para especificar los hosts usando la característica del Proxy de autenticación. Cuando cualquier host en ACL 10 inicia una conexión HTTP con el servidor Web, el Proxy de autenticación indica al usuario en ese host para un nombre de usuario y contraseña. Estas credenciales se verifican con el servidor de AAA para la autenticación y autorización. Si la autenticación es exitosa, las ACLs por usuario se descargan en el firewall para permitir los servicios. Los siguientes ejemplos proporcionan el router1 y las configuraciones del router2 para lo completo: •
Configuración del router1: Ejemplo:
•
Configuración del router2: Ejemplo:
Configuración del router1: Ejemplo:
! Configure router 1 for IPSec. version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router1 ! logging buffered 4096 debugging no logging console ! isdn switch-type basic-5ess ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco1234 address 16.0.0.2 crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac ! ! crypto map testtag 10 ipsec-isakmp set peer 16.0.0.2 set transform-set rule_1 match address 155 ! ! process-max-time 200 ! interface BRI0 ip address 16.0.0.1 255.0.0.0 no ip directed-broadcast encapsulation ppp dialer idle-timeout 5000 dialer map ip 16.0.0.2 name router2 broadcast 50006 dialer-group 1 isdn switch-type basic-5ess crypto map testtag !
interface FastEthernet0 ip address 192.168.50.2 255.255.255.0 no ip directed-broadcast ! ip classless ip route 192.168.150.0 255.255.255.0 16.0.0.2 no ip http server ! Identify the IPSec specific traffic. access-list 155 permit tcp host 192.168.50.13 host 192.168.150.100 eq www access-list 155 permit tcp host 192.168.50.13 eq www host 192.168.150.100 dialer-list 1 protocol ip permit ! line con 0 exec-timeout 0 0 transport input none line aux 0 line vty 0 4 password lab login
Configuración del router2: Ejemplo: ! Configure router 2 as the firewall, using the authentication proxy, IPSec, NAT, and ! CBAC. version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname router2 ! logging buffered 4096 debugging aaa new-model aaa authentication login default group tacacs+ aaa authentication login console_line none aaa authorization exec default group tacacs+ ! Configure AAA for the authentication proxy. aaa authorization auth-proxy default group tacacs+ !
! Create the CBAC inspection rule "rule44." ip inspect name rule44 http java-list 5 ip inspect name rule44 tcp ip inspect name rule44 ftp ip inspect name rule44 smtp ! ! Create the authentication proxy rule "pxy." Set the timeout value for rule ! pxy to three minutes. Standard ACL 10 is applied to the rule. ip auth-proxy name pxy http list 10 auth-cache-time 3 isdn switch-type primary-5ess ! ! Configure IPSec. crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco1234 address 16.0.0.1 ! ! crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac ! ! crypto map testtag 10 ipsec-isakmp set peer 16.0.0.1 set transform-set rule_1 match address 155 ! controller T1 2/0 framing esf linecode b8zs pri-group timeslots 1-24 ! ! Apply ACL 102 inbound at interface Ethernet0/1 and configure NAT. interface Ethernet0/1 ip address 192.168.150.2 255.255.255.0 ip access-group 102 in no ip directed-broadcast ip nat inside no ip mroute-cache !
! Apply the authentication proxy rule PXY, CBAC inspection rule HTTP_TEST, NAT, and ! and ACL 105 at interface Serial2/0:23. interface Serial2/0:23 ip address 16.0.0.2 255.0.0.0 ip access-group 105 in no ip directed-broadcast ip nat outside ip inspect rule44 in ip auth-proxy pxy encapsulation ppp ip mroute-cache dialer idle-timeout 5000 dialer map ip 16.0.0.1 name router1 broadcast 71011 dialer-group 1 isdn switch-type primary-5ess fair-queue 64 256 0 crypto map testtag ! ! Use NAT to translate the Web server address. ip nat inside source static 192.168.150.14 192.168.150.100 ip classless ip route 192.168.50.0 255.255.255.0 16.0.0.1 ! Configure the HTTP server. ip http server ip http access-class 15 ip http authentication aaa ! ! Create standard ACL 5 to specify the list of hosts from which to accept java applets. ! ACL 5 is used to block Java applets in the CBAC inspection rule named "rule44," which ! is applied at interface Serial2/0:23. access-list 5 permit any ! Create standard ACL 10 to specify the hosts using the authentication proxy. This ACL ! used in the authentication proxy rule named "PXY", which is applied at interface ! Serial2/0:23. access-list 10 permit any ! Create ACL 15 to block all traffic for the http server. access-list 15 deny any
! Create extended ACL 102 to block all traffic inbound on interface Ethernet0/1 ! except for traffic from the AAA server. access-list 102 permit tcp host 192.168.150.20 eq tacacs 192.168.150.2 access-list 102 deny
tcp any any
access-list 102 deny
udp any any
access-list 102 permit ip any any ! Create extended ACL 105 to block all TCP and UDP traffic inbound on interface ! Serial2/0:23. access-list 105 deny
tcp any any
access-list 105 deny
udp any any
access-list 105 permit ip any any ! Identify the IPSec specific traffic. access-list 155 permit tcp host 192.168.150.100 host 192.168.50.13 eq www access-list 155 permit tcp host 192.168.150.100 eq www host 192.168.50.13 dialer-list 1 protocol ip permit ! Define the AAA server host and encryption key. tacacs-server host 192.168.126.14 tacacs-server key cisco ! line con 0 exec-timeout 0 0 ! Define the AAA server host and encryption key. login authentication console_line transport input none line aux 0 line vty 0 4 password lab ! ! end
Ejemplo del Perfil de Usuario del Servidor de AAA Esta sección incluye los ejemplos de las entradas del perfil del usuario del Proxy de autenticación en los servidores de AAA. Las entradas del “proxyacl” definen los privilegios de acceso del usuario. Después de que el usuario haya utilizado con éxito el Proxy de autenticación para iniciar sesión, estas entradas se transfieren al router de escudo de protección. Cada entrada en el perfil debe especificar el acceso del “permiso” para el servicio o la aplicación. Fijan a la dirección de origen en cada entrada a “ninguno”, que se substituya por la dirección IP del host de autenticidad cuando el perfil se descarga al Firewall. El nivel de privilegio se debe fijar a 15 para todos los usuarios AAA. Esta sección contiene las secciones siguientes: •
CiscoSecure ACS 2.3 para Windows NT
•
CiscoSecure ACS 2.3 for UNIX
•
Servidor TACACS+
•
Servidor Livingston RADIUS
•
Servidor Radius de Ascend
CiscoSecure ACS 2.3 para Windows NT Esta sección describe cómo configurar el Proxy de autenticación en el CiscoSecure ACS 2,3 para el Windows NT. Para información detallada sobre el CiscoSecure ACS, refiera a la documentación para ese producto. El siguiente ejemplo está para el servicio TACACS+ del CiscoSecure ACS para el Windows NT. Paso 1 Haga clic el icono de la configuración de la interfaz y haga clic TACACS+ (Cisco). a. Navegue hacia abajo a los nuevos servicios. b. Agregue un nuevo servicio, “auténtico-proxy”, en el campo del servicio. Deje el campo del protocolo vacío. c. Seleccione los cuadros del usuario y de casilla del grupo para el nuevo servicio. d. Navegue hacia abajo para avanzar la opción de configuración y para marcar las características por usuario anticipadas TACACS+. e. El tecleo somete. Paso 2 Haga clic el icono de la configuración de red. a. Haga clic el icono de la entrada del agregar para los servidores de acceso a la red y complete el nombre de la computadora principal del Network Access Server, la dirección IP, y los campos de la clave (la clave configurada en el router). b. Seleccione TACACS+ (Cisco) para la autenticidad usando la opción. c. Haga clic Submit + Restart el icono. Paso 3 Haga clic el icono de la configuración de grupo. a. Seleccione a un grupo de usuarios del menú desplegable. b. Seleccione a los usuarios en el cuadro de casilla del grupo. c. Seleccione a un usuario de la lista de usuario. d. En la lista de la configuración de usuario, navegue hacia abajo a las configuraciones TACACS+ y seleccione la casilla de verificación del “auténtico-proxy”. e. Seleccione la casilla de verificación de los atributos personalizados. f. Agregue las entradas del perfil (no utilice las citas simples o dobles alrededor de las entradas) y fije el nivel de privilegio a 15. priv-lvl=15 proxyacl#1=permit tcp any any eq 26 proxyacl#2=permit icmp any host 60.0.0.2 proxyacl#3=permit tcp any any eq ftp proxyacl#4=permit tcp any any eq ftp-data proxyacl#5=permit tcp any any eq smtp proxyacl#6=permit tcp any any eq telnet
g. El tecleo somete. Paso 4 Haga clic el icono de la configuración de usuario. a. Haga clic la lista todos los usuarios. b. Agregue un nombre de usuario. c. Navegue hacia abajo a la autenticación de contraseña de la configuración de usuario. d. Seleccione la placa Token del SecurID del SDI del menú desplegable de la autenticación de contraseña.
e. Seleccione el grupo de usuarios configurado anterior 1. f. El tecleo somete. Paso 5 Icono de la configuración de grupo del tecleo otra vez. a. Seleccione el grupo de usuarios 1. b. Haga clic a los usuarios en el grupo. c. El tecleo edita las configuraciones. d. Haga clic Submit + Restart el icono para aseegurar configuración más posterior es actualizado y enviado al servidor de AAA.
CiscoSecure ACS 2.3 for UNIX Esta sección describe cómo configurar el Proxy de autenticación en el CiscoSecure ACS 2,3 para UNIX. Para información detallada sobre el CiscoSecure ACS, refiera a la documentación para ese producto. Para manejar el CiscoSecure ACS usando el programa del administrador, usted necesita a un buscador Web que soporte las Javas y el Javascript. Usted debe habilitar las Javas en la aplicación del buscador. Usted puede encender el programa de configuración avanzada del administrador del CiscoSecure de la Java basada de los Web pages uces de los del administrador del CiscoSecure ACS. El procedimiento de siguiente ejemplo está para el servicio TACACS+ del CiscoSecure ACS 2,3 para UNIX. Paso 1 En la barra de menú de la red del CiscoSecure ACS de la interfaz Web del CiscoSecure ACS, el tecleo avanzado y entonces hace clic avanzado otra vez. El programa de configuración avanzada del administrador del CiscoSecure de la Java basada aparece. Puede ser que requiera algunos minutos para cargar. Paso 2 En el programa de configuración avanzada del administrador del CiscoSecure, localice y no reelija como candidato hojean en el panel Navigator (Navegador) de la página tabulada de los miembros. Esto visualiza el nuevo icono del perfil del crear. Paso 3 En el panel Navigator (Navegador), haga uno del siguiente: •
Localice y haga clic al grupo a quien el usuario pertenecerá.
•
Si usted no quisiera que el usuario perteneciera a un grupo, haga clic el icono de la carpeta del [Root]. Paso 4 El tecleo crea el perfil para visualizar el nuevo cuadro de diálogo del perfil. Paso 5 Aseegure el cuadro de casilla del grupo se borra. Paso 6 Ingrese el nombre del usuario que usted quiere crear y hacer clic la AUTORIZACIÓN. El usuario nuevo aparece en el árbol. Paso 7 Haga clic el icono para el grupo o perfil de usuario en el árbol que se visualiza en el panel Navigator (Navegador) de la página tabulada de los miembros. Paso 8 En caso necesario, en el cristal del perfil, haga clic el icono del perfil para ampliarlo.
Una lista o un cuadro de diálogo que contienen los atributos aplicables al perfil o al servicio seleccionado aparece en la ventana en la inferior derecha de la pantalla. La información en esta ventana cambia dependiendo de lo que usted ha seleccionado en el cristal del perfil. Paso 9 Servicio-cadena del tecleo. Paso 10 Haga clic la cadena, ingrese auth-proxy en el campo de texto, y el tecleo se aplica. Paso 11 Seleccione el menú de la opción. Paso 12 En el menú de la opción, haga clic los atributos predeterminados. Paso 13 Cambie el atributo del niegan para permitir. Paso 14 El tecleo se aplica. Paso 15 En el menú de la opción, haga clic el atributo y ingrese el nivel de privilegio en el campo de texto: priv-lvl=15
Paso 16 En el menú de la opción, haga clic el atributo y ingrese las entradas del proxyacl en el campo de texto: proxyacl#1="permit tcp any any eq 26"
Relance este paso para cada servicio adicional o protocolo para agregar: proxyacl#2="permit icmp any host 60.0.0.2" proxyacl#3="permit tcp any any eq ftp" proxyacl#4="permit tcp any any eq ftp-data" proxyacl#5="permit tcp any any eq smtp" proxyacl#6="permit tcp any any eq telnet"
Paso 17 Cuando usted ha acabado de realizar todos sus cambios, el tecleo somete.
Servidor TACACS+ default authorization = permit key = cisco user = Brian { login = cleartext cisco service = auth-proxy { priv-lvl=15 proxyacl#1="permit tcp any any eq 26" proxyacl#2="permit icmp any host 60.0.0.2 proxyacl#3="permit tcp any any eq ftp" proxyacl#4="permit tcp any any eq ftp-data" proxyacl#5="permit tcp any any eq smtp" proxyacl#6="permit tcp any any eq telnet" } }
Servidor Livingston RADIUS Bob Password = "cisco" User-Service-Type=Outbound-User cisco-avpair = "auth-proxy:priv-lvl=15", cisco-avpair = "auth-proxy:proxyacl#1=permit tcp any any eq 26", cisco-avpair = "auth-proxy:proxyacl#2=permit icmp any host 60.0.0.2", cisco-avpair = "auth-proxy:proxyacl#3=permit tcp any any eq ftp", cisco-avpair = "auth-proxy:proxyacl#4=permit tcp any any eq ftp-data", cisco-avpair = "auth-proxy:proxyacl#5=permit tcp any any eq smtp", cisco-avpair = "auth-proxy:proxyacl#6=permit tcp any any eq telnet"
Servidor Radius de Ascend Alice Password = "cisco" User-Service = Dialout-Framed-User
cisco-avpair = "auth-proxy:priv-lvl=15", cisco-avpair = "auth-proxy:proxyacl#1=permit tcp any any eq 26", cisco-avpair = "auth-proxy:proxyacl#2=permit icmp any host 60.0.0.2", cisco-avpair = "auth-proxy:proxyacl#3=permit tcp any any eq ftp", cisco-avpair = "auth-proxy:proxyacl#4=permit tcp any any eq ftp-data", cisco-avpair = "auth-proxy:proxyacl#5=permit tcp any any eq smtp", cisco-avpair = "auth-proxy:proxyacl#6=permit tcp any any eq telnet"
Referencias adicionales Las secciones siguientes proporcionan las referencias relacionadas con la característica del Proxy de autenticación.
Documentos Relacionados Tema relacionado
Título del documento
Autorización
"Configuración de la autorización"
Autenticación
"Configuración de la Autenticación"
Contabilidad
“Configurando las estadísticas”
RADIUS
“Configurando el RADIUS”
TACACS+
“Configurando el TACACS+”
Estándares Estándar
Título
Esta función no soporta estándares nuevos o modificados, y el soporte de los estándares existentes no ha sido modificado por ella.
—
MIB MIB
Link del MIB
Esta función no soporta MIBs nuevas o modificadas, y el soporte para las MIBs existentes no ha sido modificado por esta función.
Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL: http://www.cisco.com/cisco/web/LA/support/index.html
RFC RFC
Título
Esta función no soporta RFCs nuevos o modificados.
—
Asistencia Técnica Descripción
Link
El sitio Web de soporte técnico de Cisco http://www.cisco.com/cisco/web/LA/support/index.html proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías. Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida
de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS). El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.
Proxy de la información para la autenticación de la característica El cuadro 3 enumera el historial de la versión para esta característica. Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para la información de versión sobre un comando específico, vea la documentación de referencia de comandos. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 3 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.
Nombre de la función Versiones Información sobre la Función Proxy de Autenticación
12.1(5)T
La característica del Proxy de autenticación del Firewall Cisco IOS proporciona dinámico, autenticación por usuario y autorización, autenticando a los usuarios contra el estándar de la industria TACACS+ y los protocolos de autenticación de RADIUS. La autenticación y la autorización de las conexiones de los usuarios proporciona una protección más sólida contra los ataques a la red. En 12.1(5)T, esta característica fue introducida en el Cisco IOS.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses used in this document are not intended to be actual addresses. Any examples, command display output, and figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses in illustrative content is unintentional and coincidental. © 2000-2009 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013 http://www.cisco.com/cisco/web/support/LA/107/1074/1074119_sec_cfg_authen_prxy_ps6922_TSD_Products_Configuration_Guide_Chapter.html