1
UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO
Instalación de Servidor de seguridad con autenticación TACACS+
Memoria
Que como parte de los requisitos para obtener el titulo de
Ingeniero en Tecnologías de la Información y Comunicación
Presenta
José Alejandro Ávila Jiménez
M. en C. Raúl García Pérez M. en C. José Gonzalo Luego Pérez
Asesor de la UTEQ Asesor de la empresa
Santiago de Querétaro Qro, a de del 2011
In sta lació n d e se rvido r d e se g u ri d a d co n a u te n tica ción T A CA CS + Jo sé A leja n d ro Á vil a Jim é n e z 2011
Universidad
Tecnológica de
Querétaro
Firmado digitalmente por Universidad Tecnológica de Querétaro
Nombre de reconocimiento (DN): cn=Universidad Tecnológica de Querétaro, o=Universidad Tecnológica de Querétaro, ou,
[email protected], c=MX Fecha: 2011.05.20 15:22:56 -05'00'
RESUMEN
En la actualidad la seguridad de la información es esencial en cualquier organización. Con las tecnologías de la información se puede proteger la información vital para una empresa. Una forma de ingresar a los equipos de telecomunicaciones (conmutadores y ruteadores) es mediante la autenticación de usuarios por medio de los protocolos de seguridad RADIUS y TACACS+, éste último propietario de CISCO.
TACACS (acrónimo de Terminal Access Controller Access Control System) es un protocolo de autenticación remota, propietario de Cisco, que se usa para comunicarse con un servidor de permisos de usuarios comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene autorización para utilizar recursos en a la red.
El presente trabajo sirve como guía que permitirá montar servidores de seguridad con autenticación de usuarios utilizando el protocolo TACACS+, todo esto con el objetivo de implementar actividades en forma de prácticas para los alumnos que cursan la ingeniería en TI.
(Palabras clave: guía, servidor, CISCO, RADIUS, TACACS+, switch, protocolo, PPP, ISP, Internet, configuración)
3 ABSTRACT
Nowadays information is essential in any organization. Can protect vital information for an enterprise using information technologies. One way to enter the telecommunication equipment (switches and routers) is through user authentication using security protocols RADIUS and TACACS+, the last is owner from CISCO.
TACACS (an acronym for Terminal Access Controller Access Control System) is a remote authentication protocol, owner of Cisco, which is used to communicate with an authentication server commonly used on Unix networks. TACACS allows a remote access server to communicate with an authentication server to determine if the user has access to the network.
This document can be used as a guide that will help to students how to mount to security server’s user authentication using the TACACS + protocol, all with the goal
of implementing these activities in the form of practices for students studying IT engineering.
Índice
CAPÍTULO I ... 6
1.1 INTRODUCCIÓN ... 7 1.2 ANTECEDENTES... 9 1.3 JUSTIFICACIÓN ... 11 1.4 OBJETIVOS ... 12 1.5 ALCANCES ... 13CAPÍTULO II ... 15
2.1 RECURSOS MATERIALES Y HUMANOS ... 16
2.2 PLAN DE ACTIVIDADES ... 17
2.3 FUNDAMENTACION TEORICA... 19
2.3.1 Esquemas de autenticación a ruteadores ... 19
2.3.2 Funcionamiento de TACACS+... 20
2.3.3 Esquema de funcionamiento ... 21
2.3.4 Modelo Cliente Servidor ... 23
2.3.5 Mecanismos de autenticación ... 24
2.3.6 Ejemplo de tráfico en TACACS+ ... 26
CAPÍTULO III ... 27
3.1 DESARROLLO DEL PROYECTO ... 28
3.1.1 Ubicación y etapas de desarrollo del proyecto ... 28
3.1.2 Actividad con el servidor TACACS ... 29
3.1.3 Materiales ... 29
3.1.4 Diagrama de topología TACACS ... 30
3.1.5 Tabla de direcciones TACACS ... 30
3.1.6 Montando el servidor TACACS... 31
3.1.7 Instalación servidor TACACS ... 31
3.1.8 Configuración del ruteador TACACS ... 35
3.1.9 Prueba final de autenticación hacia el dispositivo ruteador... 38
CAPÍTULO IV ... 40
4.1 Resultados obtenidos ... 41 4.2 Análisis de riesgos ... 42CAPÍTULO V ... 43
5.1 Conclusiones ... 44 5.2 Referencias bibliográficas ... 455
Tabla de Ilustraciones
Ilustración 1: Packet Tracert ... 9
Ilustración 2: Algoritmo de actividades... 14
Ilustración 3: Recursos materiales y humanos ... 16
Ilustración 4: Diagrama de Gantt ... 17
Ilustración 5: Tabla de actividades ... 18
Ilustración 6: Esquema de funcionamiento TACACS ... 22
Ilustración 7: Ejemplo de trafico TACACS ... 26
Ilustración 8: Topologia TACACS ... 30
Ilustración 9: Terminal de Ubuntu... 31
Ilustración 10: Configuración de usuarios ... 34
7 1.1 INTRODUCCIÓN
El presente proyecto servirá como guía a los estudiantes de ingeniería en TI para elaborar correctamente las prácticas de redes de acuerdo con la retícula vigente de la materia de Seguridad de la Información; así mismo se implementarán algunas metodologías vistas en clase para reforzar el conocimiento del estudiante próximo a graduarse como ingeniero en TI. Éste trabajo también puede ser de utilidad para cualquier profesional de TI como consulta de los procedimientos para montar servidores de seguridad utilizando el método de autenticación TACACS+.
El primer capítulo tratara los antecedentes del proyecto, ¿para qué fue desarrollado? y el estado previo al desarrollo del proyecto; se hará de manera muy breve la justificación y las motivaciones que llevaron al desarrollo el proyecto. También se tratarán los objetivos medibles y alcanzables, se enfatizaran las principales metas que debe cumplir el proyecto de manera sencilla y clara; que a su vez se hablará de los alcances del proyecto y cada una de las etapas del desarrollo del mismo de manera clara y concisa.
El capítulo II redacta los principales recursos materiales y humanos utilizados para el montaje del servidor de seguridad, así como el equipo especial utilizado, las personas involucradas en el proyecto; además se presentan las actividades a realizar de manera gráfica; elaborando un cronograma ampliamente conocido como diagrama de Gantt en honor a su diseñador el ingeniero Henrry Laurence Gantt en 1917. En adición se explicará la fundamentación teórica que es
prácticamente el sustento metodológico del desarrollo del proyecto; y que para éste caso se recopiló en su mayoría material de la empresa de telecomunicaciones Cisco Systems.
El contenido del capítulo III es de suma importancia porque es el momento de explicar el desarrollo del montaje del servidor de seguridad utilizando TACACS+ como método de autenticación de usuarios para acceder a diferentes equipos de telecomunicaciones.
En el capítulo IV se mostrarán los resultados obtenidos en el proyecto y que se reflejarán en las prácticas ya terminadas para los estudiantes. También es importante considerar el énfasis en plasmar un análisis de riesgos pertinente de los principales problemas que se pudieran presentar en el montaje de los servidores y también su mitigación.
Finalmente se tiene el capítulo V que habla de las conclusiones y recomendaciones del proyecto así como la bibliografía de consulta en la que está basado éste contenido.
9
Ilustración 1: Packet Tracert 1.2 ANTECEDENTES
Parte de la formación integral del ingeniero en TI, es tener dominio en los temas de redes y telecomunicaciones y a su vez cumplir con una curricula de diversas materias de la especialidad, entre ellas “Seguridad de la Información”; donde el
alumno aprenderá técnicas de seguridad para equipos de ruteo y switcheo.
El panorama antes de la elaboración del proyecto se centraba en que el profesor proponía diversas prácticas de seguridad, para que el alumno adquiriera y reforzara los conocimientos además de practicar las destrezas aprendidas referente a los equipos de redes propietarios de Cisco, según el plan de estudios. Antes del proyecto la herramienta para realizar todas éstas prácticas era el Packet Tracer (Ilustración 1), un software simulador de entornos de red propietario de CISCO y en ocasiones en equipo físico.
La principal motivación de la realización de éste proyecto, fue mejorar las habilidades del estudiante, ya que antes el acceso a equipo físico de telecomunicaciones era más restringido.
Gracias al apoyo de la Universidad Tecnológica de Querétaro, de los tutores, asesores y al equipo brindado, es posible desarrollar éste proyecto que pretende integrar actividades 100% prácticas sobre servidores de seguridad y equipo de ruteo para que refuercen el aprendizaje de los candidatos a ingeniero en TI, cubriendo los perfiles del plan de estudios vigente.
11 1.3 JUSTIFICACIÓN
Las principales razones para el desarrollo del proyecto fueron el impulso por la innovación educativa y las técnicas de enseñanza; además también influyó mucho el deseo de aprender sobre las nuevas tecnologías de seguridad para servidores de autenticación en un entorno de telecomunicaciones. Las competencias que adquirirá el alumno al finalizar el desarrollo de éstas práctica serán:
A. Planear proyectos de seguridad en redes y telecomunicaciones para la implementación eficaz de soluciones, empleando los recursos disponibles en la organización, para contribuir a la productividad y logro de los objetivos estratégicos de las organizaciones utilizando las metodologías apropiadas. B. Construir proyectos de tecnologías de la información empleando estándares
y modelos de calidad para contribuir en la competitividad de las organizaciones.
C. Evaluar sistemas de tecnologías de información para establecer acciones de mejora e innovación en las organizaciones.
Los beneficios que se esperan al concluir el proyecto son un adecuado dominio sobre sistemas de seguridad para autenticar usuarios utilizando el método TACACS+.
1.4 OBJETIVOS
Los objetivos planteados para éste proyecto son los siguientes:
Concluir el diseño y desarrollo al 100% en tiempo y forma según el cronograma, de la actividad práctica sobre equipo físico y de la actividad en software Packet Tracer para probar el funcionamiento del protocolo de autenticación TACACS+.
Lograr un dominio claro del tema de servidores utilizando el protocolo de seguridad TACACS+.
Reforzar conocimientos, destrezas y habilidades de aprendizaje en un entorno práctico, resolviendo las actividades que involucran el montaje de servidores de seguridad utilizando el protocolo de autenticación de usuarios TACACS+.
13 1.5 ALCANCES
Los principales alcances del proyecto son a nivel institucional, donde se pretende finalizar las prácticas para que puedan ser aprovechadas por alumnos de la Universidad Tecnológica de Querétaro.
La delimitación del proyecto abarca desde investigar las técnicas y métodos para el desarrollo de un servidor TACACS+, aplicar software, configuraciones, realizar pruebas en equipo físico hasta la documentación, diseño, y elaboración de prácticas.
El diseño cronológico del proyecto es similar a un algoritmo trasladado a un diagrama de flujo, ya que es secuencial y una ó más de las actividades pueden ser repetitivas hasta encontrar los resultados esperados, tal y como lo muestra la figura 1.2. Donde el ciclo es el inicio de actividades, seguido por la investigación y recopilación de información de diversas fuentes como libros, artículos, revistas, videos, tutoriales, otros trabajos de investigación y guías. Posteriormente se pasa a la obtención de las herramientas investigadas tales como software necesario y hardware adecuado. Después se pasa a la etapa de pruebas en equipo físico para validar si todo el proceso fue exitoso, si la respuesta es positiva esto dará pauta a realizar la documentación de lo contrario se deberá volver al punto de investigación y recopilación de información.
Ilustración 2: Algoritmo de actividades Investigación y recopilación de información Obtención de herramientas de hardware y software Pruebas en equipo físico Documentar Inicio de actividades Entregar ¿Proceso exitoso? Fin de actividades NO SI
15
Ilustración 3: Recursos materiales y humanos 2.1 RECURSOS MATERIALES Y HUMANOS
A continuación se presentará la lista de recursos necesarios para el desarrollo del proyecto, contemplando recursos humanos y materiales (Ilustración 3). Más adelante se plantea el cronograma seguido para la elaboración del proyecto (Ilustración 4), en conjunto con la lista de actividades a realizar (Ilustración 5)
RECURSOS HUMANOS Profesores y tutores de la UTEQ
RECURSOS MATERIALES
RECURSO CANTIDAD
Ruteadores Cisco 2800 2
Sitches Catalyst 2
Cable consola Rollover 1
Cable de red Straight 7
Adaptador DB-9 a USB 1
Cable de corriente 4
Cable de conexión serial RS-232 1
Computadora portátil 3
Conexión a Internet 1
Libros, revistas y trabajos 1
17
Ilustración 4: Diagrama de Gantt 2.2 PLAN DE ACTIVIDADES
Ilustración 5: Tabla de actividades Tabla 2.2
TAREAS DURACION COMIENZO FIN
INICIAR ACTIVIDADES 1 día? 21/02/2011 09:00 21/02/2011 19:00 PRIMERA INVESTIGACION Y RECOPILACION
DE LA INFORMACION 11 días? 22/02/2011 09:00 04/03/2011 19:00 PRIMERA OBTENCION DE HERRAMIENTAS
DE HARDWARE Y SOFTWARE 7 días? 05/03/2011 09:00 11/03/2011 19:00 PRIMERAS PRUEBAS EN EQUIPO FISCO 12 días? 07/03/2011 09:00 18/03/2011 19:00 SEGUNDA INVESTIGACION Y RECOPILACION
DE LA INFORMACION 5 días? 21/03/2011 09:00 25/03/2011 19:00 SEGUNDA OBTENCION DE HERRAMIENTAS
DE HARDWARE Y SOFTWARE 1 día? 27/03/2011 09:00 27/03/2011 19:00 SEGUNDAS PRUEBAS EN EQUIPO FISCO 5 días? 28/03/2011 09:00 01/04/2011 19:00 TERCERA INVESTIGACION Y RECOPILACION
DE LA INFORMACION 5 días? 04/04/2011 09:00 08/04/2011 19:00 TERCERA OBTENCION DE HERRAMIENTAS
DE HARDWARE Y SOFTWARE 2 días? 09/04/2011 09:00 10/04/2011 19:00 TERCERAS PRUEBAS EN EQUIPO FISCO 5 días? 11/04/2011 09:00 15/04/2011 19:00 DOCUMENTACION 46 días? 01/03/2011 09:00 15/04/2011 19:00 ELABORACION DE TUTORIALES Y VIDEOS 4 días? 16/04/2011 09:00 19/04/2011 19:00 ENTREGA DEL PROYECTO 1 día? 20/04/2011 09:00 20/04/2011 19:00
19 2.3 FUNDAMENTACION TEORICA
2.3.1 Esquemas de autenticación a ruteadores
Cuando se requiere administrar un ruteador de forma remota, se necesita cumplir tres condiciones importantes: Autenticación que es la identificación del acceso, Autorización que son los recursos disponibles en la conexión y el Accounting que es el historial de movimientos en dicha cuenta.
Los tres métodos de conexión para administrar a un ruteador son: por medio de consola, por medio de la conexión auxiliar y por terminales vty.
Los medios y la infraestructura de red que más se utilizan son:
Por medio de marcación (dial up) A través del protocolo PPP,
Por medio de una red privada virtual (VPN).
Los tipos de autenticación de acuerdo a la ubicación, son local y remota. Las autenticaciones locales se validan utilizando una base de datos local, que generalmente está alojada en el ruteador ó en el dispositivo de red al cuál se quiere acceder, y las autenticaciones remotas utilizan normalmente un servidor aledaño que puede estar en cualquier ubicación dentro de la red.
Para las autenticaciones remotas existen dos tipos de servidores de seguridad que son: TACACS+ y RADIUS.
2.3.2 Funcionamiento de TACACS+
TACACS es el acrónimo de Terminal Access Controller Access Control System, en inglés “sistema de control de acceso del controlador de acceso a terminales”; y es
un protocolo de autenticación remota que se usa para gestionar el acceso, además de proporcionar servicios separados de autenticación, autorización y registro a servidores y dispositivos de comunicaciones. TACACS es propietario de Cisco, y es muy usado para comunicarse con un servidor de autenticación comúnmente usado en redes Unix.
TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar los permisos de un usuario, además éste protocolo está documentado en el estándar RFC 1492
TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS.
21 2.3.3 Esquema de funcionamiento
El software Cisco IOS soporta actualmente tres versiones para la Terminal Access Controller Access:
TACACS +: Un reciente protocolo que provee la información de cuentas de usuario detallada y flexible, además de tener control administrativo sobre los procesos de autenticación y autorización. TACACS+ se da gracias a la AAA, y sólo se puede activar a través de comandos AAA.
TACACS: es un protocolo de acceso más viejo e incompatible con el nuevo protocolo TACACS +, que está ahora en uso por Cisco. TACACS Proporciona la comprobación de contraseñas y autenticación, y la notificación de las acciones del usuario con fines de administración y seguridad de cuentas.
TACACS Extendido: es una extensión del viejo protocolo TACACS. TACACS Extendido proporciona información acerca de conversión de protocolos y el uso del router. Esta información se utiliza en auditoría UNIX y archivos de cuentas de usuario.
Básicamente el esquema de funcionamiento de TACACS+ (Ilustración 6) es muy similar al de RADIUS; la diferencia a simple vista es que TACACS+ está diseñado para ejecutarse en servidores Linux.
23 2.3.4 Modelo Cliente Servidor
TACACS+ es una aplicación de seguridad que proporciona la validación centralizada de los usuarios que intentan acceder a un router o un servidor de acceso a la red. Los servicios TACACS+ se mantienen en una base de datos que se ejecuta por lo general, en una estación de trabajo UNIX o Windows NT. Se debe configurar el servidor TACACS+, de preferencia antes de dar de alta los servicios en el ruteador.
TACACS+ proporciona una autenticación independiente y modular, autorización y facilidades de administración de cuentas. TACACS+ permite a un servidor de control de acceso único proveer servicio de autenticación, autorización y manejo de cuentas independientemente.
Cada servicio puede ser inicializado en su propia base de datos para aprovechar de otros servicios disponibles en ese servidor o en la red, dependiendo de las capacidades. El objetivo de TACACS+ es proporcionar una metodología para la gestión desde múltiples puntos de acceso a la red.
2.3.5 Mecanismos de autenticación
TACACS+ opera básicamente al igual que RADIUS con tres elementos fundamentales:
Autenticación: proporciona un control completo de autenticación mediante nombre de usuario y contraseña. La facilidad de autenticación proporciona la capacidad para llevar a cabo un diálogo con el usuario (por ejemplo, después de un inicio de sesión y contraseña se proporcionan características muy particulares para validar a un usuario como por ejemplo una serie de cuestiones, como domicilio, número de seguridad social, etc. Además, el servicio de autenticación TACACS+ admite el envío de mensajes a los usuarios a través de cuadros de diálogo. Por ejemplo, un mensaje podría notificar a los usuarios de que sus contraseñas se deben cambiar, porque la política de caducidad de contraseñas de la empresa ha caducado.
Autorización: proporciona un control detallado sobre las capacidades del usuario para la duración de la sesión del usuario, incluyendo auto-comandos, control de acceso, duración de la sesión, ó el apoyo del protocolo. También se pueden imponer restricciones sobre los comandos que un usuario puede ejecutar; todo esto con características de autorización de TACACS+.
Accounting: recoge y envía la información utilizada para la facturación, auditoría y presentación de informes a la TACACS+. Los administradores de red pueden utilizar la función de cuentas para rastrear la actividad del usuario para una
25
auditoría de seguridad o para proporcionar información para la facturación del usuario. Los registros de cuentas incluyen las identidades de usuario, inicio y finalización, los comandos ejecutados (tales como PPP), el número de paquetes, y el número de bytes.
El protocolo TACACS+ proporciona la autenticación entre el servidor de acceso a la red y TACACS+, y se asegura la confidencialidad ya que todos los intercambios de protocolo entre un servidor de acceso a la red y TACACS+ se cifran.
Ilustración 7: Ejemplo de trafico TACACS 2.3.6 Ejemplo de tráfico en TACACS+
Este ejemplo (Ilustración 7) asume el login de autenticación, exec autorización, comando autorizado, iniciar-parar exec accounting, y comandos de accounting que pueden ser utilizados por un usuario cuando hace telnet a un router, realiza el comando y sale del router:
27
3.1 DESARROLLO DEL PROYECTO
3.1.1 Ubicación y etapas de desarrollo del proyecto
El proyecto se desarrolló en varios puntos, según el desglose cíclico de actividades la investigación y recopilación de información y datos se realizó en bibliotecas, Internet y otras instituciones educativas con el apoyo de profesionales en el área incluyendo en ésta etapa también a la Universidad Tecnológica de Querétaro.
La etapa de búsqueda de herramientas y software adecuado para montar el servidor Tacacs+, se realizó de manera local en el lugar de trabajo de la preferencia del investigador, ya que se requería contar con un área de confort para mayor comodidad y concentración que favoreciera el avance de los procesos involucrados en el desarrollo del proyecto.
Las pruebas de software y hardware, ya con la información recopilada, un documento sólido y bien estructurado y con las herramientas de software necesarias para la actividad, se llevaron a cabo en la Universidad Tecnológica de Querétaro con equipo de los laboratorios de Cisco, específicamente se estuvo trabajando en el laboratorio de Cisco II.
29 3.1.2 Actividad con el servidor TACACS
La topología (figura 3.1) muestra que los ruteadores R1 y R2 actualmente están siendo administrados bajo un entorno basado en el “secret passsword” sin ningún tipo de autenticación aplicada a los usuarios que se conectan local y remotamente a ellos.
El reto es montar y configurar un servidor bajo la plataforma Ubuntu que utilice autenticación TACACS para que verifique las conexiones locales y remotas que los administradores realicen cuando intenten gestionar la configuración del ruteador R1 desde cualquier computadora de la RED_1 ó la RED_2. Además de configurar correctamente el ruteador R1 bajo el esquema TACACS y las configuraciones básicas para el R2.
3.1.3 Materiales
A continuación se dispondrá de los siguientes equipos y dispositivos:
EQUIPO / DISPOSITIVOS CANTIDAD
Computadoras personales / Laptops 6
Router Cisco 2800 2
Switch Cisco Catalyst 2960 2
Cable de consola RollOver 1
Adaptador DB-9 a USB 1
Cable de corriente 4
Cable de conexión serial RS-232 2
Ilustración 8: Topologia TACACS 3.1.4 Diagrama de topología TACACS
Con los dispositivos se deberá formar la siguiente topología.
3.1.5 Tabla de direcciones TACACS
DISPOSITIVO INTERFACE DIRECCION IP MASCARA DE SUBRED
R1 Fa0/0 192.168.1.1 255.255.255.0
Se0/0/0 10.1.1.1 255.255.255.252
R2 Fa0/0 192.168.2.1 255.255.255.0
Se0/0/0 10.1.1.2 255.255.255.252
SERVIDOR RADIUS NIC 192.168.1.2 255.255.255.0
SWITCH 1 PUERTOS N/A N/A
CLIENTE_1_RED_1 NIC 192.168.1.3 255.255.255.0
CLIENTE_2_RED_1 NIC 192.168.1.4 255.255.255.0
SWITCH 2 PUERTOS N/A N/A
CLIENTE_1_RED_2 NIC 192.168.2.1 255.255.255.0
31
Ilustración 9: Terminal de Ubuntu 3.1.6 Montando el servidor TACACS
Para la ejecución e instalación del servidor TACACS fue necesario contar con dos elementos muy importantes, el primero de ellos es una PC con una plataforma Ubuntu la cual es una distribución GNU/Linux que proporciona un sistema operativo actualizado y estable para el usuario medio. Ubuntu es gratuito y se puede descargar directamente de su web oficial:
http://www.ubuntu.com/desktop/get-ubuntu/download.
El segundo elemento fue la última versión del paquete TACACS+ la cual está disponible al público en la siguiente liga: http://www.shrubbery.net/tac_plus/.
3.1.7 Instalación servidor TACACS
Para la instalación del servidor TACACS fue necesario ejecutar una serie de comandos desde la Terminal de Ubuntu a la cual se puede acceder desde el menú superior izquierdo Aplicaciones/Accesorios/Terminal (Ilustración 9).
La ejecución de los comandos se introdujo de la siguiente manera:
1. Se instaló TCP wrappers. El propósito de esta herramienta es establecer un mejor control sobre los servicios de una red local y sobre los host que tienen permitido acceder a ella.
2. Se realizó una copia del archivo de la versión TACACS+ descargada previamente al directorio /src.
3. Se accedió al directorio /src y previamente se descomprimió el archivo
tacacs+-F4.0.4.19.tar.gz.
4. Se accedió al nuevo directorio creado.
Comando:
apt-get install libwrap0-dev gcc make libc6-dev
Comando:
cp tacacs+-F4.0.4.19.tar.gz /usr/src
Comando:
cd /usr/src
sudo tar xvfz tacacs+-F4.0.4.19.tar.gz
Comando:
33
5. Se ejecuto el script configure que se encuentra dentro del directorio
tacacs+-F4.0.4.19 el cual comprueba que se cuenta con los requerimientos
de hardware y software para la instalación de este paquete. En caso contrario este advertirá en pantalla los elementos faltantes.
6. Se ejecuto el script Makefile.in que se encuentra dentro del directorio
tacacs+-F4.0.4.19 que realiza el proceso de instalación del paquete.
Comando:
sudo ./configure
Comando:
Ilustración 10: Configuración de usuarios
Terminado el proceso de instalación se creó un archivo de texto con el nombre
tac_plus.conf en el directorio /usr para generar la configuración de los usuarios que tendrán acceso al router (Ilustración 10).
Se estableció la key que debe ser la misma configurada en el router y dos usuarios alex y raul con sus respectivos passwords para acceder al dispositivo y acceder a modo privilegiado.
Realizado esto el servidor TACACS está listo para ser ejecutado desde la terminal con el siguiente comando tac_plus -C /etc/tac_plus.conf.
35 3.1.8 Configuración del ruteador TACACS
Paso 1: Primero se accede al modo privilegiado y se restablece la configuración de ambos ruteadores y de los switches con el siguiente comando.
R1#erase startup-config
Paso 2: Después de levantar todas las interfaces seriales y de Ethernet de ambos ruteadores, hacer las conexiones pertinentes y las configuraciones básicas; entonces se procederá a configurar la autenticación AAA.
Establecer la contraseña “enable secret” como Cisco, para establecer niveles de
seguridad locales.
R1(config)#enable secret cisco
Paso 3: Configurar un usuario local como respaldo para acceder al ruteador en caso de emergencia, el usuario se llamará Admin y su secret password será
adminpassword. En dado caso que el servidor TACACS no responda se podrá
accesar al sistema con éste usuario inclusive de manera remota si está activado el modo de acceso remoto vty.
R1(config)# username Admin password adminpassword
Paso 4: Configurar la autenticación AAA para el acceso a la consola en R1, todo esto para poder usar TACACS+, configurando la línea de consola.
R1(config)# aaa new-model
R1(config)# aaa authentication login CONSOLA group tacacs+ local R1(config)# line console 0
R1(config-line)# login authentication CONSOLA
Paso 5: Si se quisiera accesar al ruteador de forma remota no se podría accesar con autenticación TACACS sino únicamente con el usuario de respaldo que se creo en el paso 2 que fue Admin y su contraseña adminpassword, éste procedimiento es muy útil cuando un servidor es hackeado ó simplemente está “caído”. Para poder accesar al ruteador de forma remota se debe habilitar el
acceso remoto por las terminales VTYS usando autenticación TACACS se deben habilitar las terminales virtuales aplicando los siguientes comandos.
R1(config)# aaa new-model
R1(config)# aaa authentication login VTYS group TACACS local R1(config)# line vty 0 4
R1(config-line)# login authentication VTYS
Paso 6: Configurar la autenticación de usuario en el login vía TACACS y si en su defecto el servidor no está accesible, el ruteador usará las credenciales de acceso local.
37
Paso 7: Configurar la parte de TACACS en el ruteador, asignando la dirección IP del servidor TACACS.
R1(config)# tacacs-server host 192.168.1.2 single-connection port 49
Paso 8: Configurar la clave secreta (secret key) como radiuspassword.
R1(config)# tacacs-server key password
Paso 9: Dar de alta el ruteo estático en R1 y R2 para que ambas redes puedan verse entre sí; además de no olvidar sincronizar la interface de reloj en R2.
R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2 R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 R2(config-if)#clock rate 56000
Ilustración 11: Telnet al dispositivo ruteador 3.1.9 Prueba final de autenticación hacia el dispositivo ruteador
Teniendo instalado el servidor y las configuraciones pertinentes en el router se dio paso a realizar la prueba de autenticación hacia el dispositivo routeador vía Telnet
de la siguiente manera:
Se accedió al Hyper Terminal de una de las PC’s dentro de la red seleccionando
el medio de conexión TCP/IP utilizando el puerto número 23 con petición hacia el host 192.168.1.1 que es la interfaz fastethernet del router (Ilustracion 11).
Una vez realizada la petición se accedió al router el cual requirio que se introdujera el nombre de usuario y password, se introdujo el usuario alex y su password alexpass configurados previamente en el servidor, desafortunadamente el acceso no resultó de manera satisfactoria, se realizó lo mismo con el segundo usuario obteniendo el mismo resultado.
39
Al percatarse de este problema se procedió a tratar de acceder con el usuario local Admin configurado en el ruteador pero el acceso fue denegado nuevamente. Esto llevó a la conclusión de que el servidor posiblemente estaba trabajando, así que se decidió desconectar la interfazethernet del servidor para eliminarlo de la red y nuevamente intentar acceder con el usuario local, esta vez el resultado del acceso al routeador fue positivo, confirmando la posibilidad de que el servidor estaba realizando su función con algún problema en la autenticación de los usuarios.
Transcurrido esto se verificó nuevamente la metodología de investigación para revisar la instalación del servidor y su configuración con el fin de comprobar que no se haya omitido algún elemento o proceso importante que pudiera estar afectando a la autenticación del usuario, pero no se logró identificar algún error aparente dentro de esta. Debido a la falta de tiempo para realizar más pruebas no se pudo determinar la falla existente pero se propuso lo siguiente:
Hacer uso del software Wireshark el cual es un analizador de protocolos (sniffer), que permite la captura de tramas de paquetes que pasan a través de la interfaz de red. Esto con el fin de capturar el tráfico generado al momento de realizar la petición de autenticación al router para determinar si realmente el servidor está generando alguna respuesta hacia el ruteador.
41 4.1 Resultados obtenidos
De acuerdo con los objetivos planeados al inicio del proyecto, se logró concluir con el diseño y desarrollo de las prácticas planteadas para el funcionamiento del servidor de seguridad TACACS según el cronograma.
Adicionalmente se obtuvo un dominio considerable del uso del protocolo de autenticación remota TACACS haciendo uso de este de manera práctica en los equipos físicos de la universidad.
Finalmente se obtuvo la documentación del desarrollo e implementación de un servidor de seguridad. Aunque esta no fuera del toda satisfactoria.
4.2 Análisis de riesgos Cuantificación de riesgos Riesgo - > Consecuencia Responsables Acciones de mitigación
Baja Falta de equipo
disponible para trabajar Laboratorios de la universidad Verificar con el encargado de laboratorios que exista el equipo requerido. Baja Desperfectos en el
equipo por el uso de otros estudiantes Laboratorios de la universidad Procurar solicitar al encargado de laboratorio el mismo equipo utilizado en sesiones anteriores si es que está disponible
Media No poder acceder al
laboratorio por cuestiones de mantenimiento Laboratorios de la universidad Solicitar al profesor y encargado de laboratorio que se avise de manera previa de ser posible.
Media Ausencia del
profesor por cuestiones institucionales
Profesor Raúl García Pérez
Solicitar al profesor previo aviso de los días que no sea posible contar con su presencia para poder acceder al laboratorio.
43
5.1 Conclusiones
Aunque la implementación del servidor de seguridad descrito en la presente documentación no haya culminado del todo satisfactoria, aporta una fuente de información bien establecida que los estudiantes pueden retomar, permitiéndoles así tener una base con la cual llevar a cabo el desarrollo de este protocolo sobre el equipo físico que ofrece la universidad.
45 5.2 Referencias bibliográficas
Cisco, Configure a cisco router with TACACS+ authentication
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0 0800946a3.shtml
Debian&comunicacion
http://brixtoncat.esdebian.org/27318/comparativa-tacacs-radius
Pymaunier, Network administration: Installation of Tacacs+ http://www.debianadministration.org/article/Network_Administration__ Installation_of_Tacacs_Rancid_Cvsweb/print
Tac_plus re: libtacacs.so.1 Error
http://www.shrubbery.net/pipermail/tac_plus/2009-September/000523.html
