Tema: Despliegue de portal de servicios cautivos con autenticación proxy

Texto completo

(1)

Materiales y Equipo

Tema: Despliegue de portal de servicios cautivos con autenticación

proxy

 Servicios AAA

 Servicios cautivos con autenticación proxy

Troubleshooting de autenticación proxy

 Desarrollar habilidades para la implementación de servicios de autenticación proxy.

 Comprender el funcionamiento de los servicios AAA.

Desarrollar habilidades para la implementación de portales de servicio.

 PC.

 Aplicativo GNS3.

IOS con soporte para seguridad de enrutadores Cisco.

Una de las funciones de los firewalls, es la capacidad para validar a usuarios y autorizar el despliegue de servicios, así muchos de los firewalls perimetrales implementan políticas relativas al acceso que tienen los usuarios a los recursos externos.

Por otro lado muchas políticas de seguridad se fundamentan en la auditoría de los accesos que hacen los usuarios de los recursos externos, con el propósito de proteger los recursos internos, tanto tangibles como intangibles.

Los portales cautivos son mecanismos que se interponen entre los usuarios y los recursos con el propósito de autorizar y contabilizar el alcance que tienen los usuarios de estos, además de permitir un mejor control de todas las transacciones que se hacen en la red y de optimizar el uso de los recursos.

El despliegue de los portales cautivos se basa en una técnica conocida como autenticación proxy, con la cual se aplica una política al tráfico que atraviesa el firewalls con el propósito de validar y

Facultad: Ingeniería Escuela: Electrónica

Asignatura: Seguridad en redes

Objetivos Específicos

Introducción Teórica

Bibliografía

Guía 1

(2)

autorizar a los usuarios por medio de una ventana http, telnet o ftp, usando los servicios AAA para la implementación de la ventana de validación.

Parte I. Implementación de la topología de trabajo

1. Lance el aplicativo GNS3 e implemente la topología que muestra en la figura 1, utilice el router modelo 3700; recuerde reducir el uso del CPU buscando un Idle PC.

Figura 1. Topología de trabajo.

La máquina “TestMachine” representa a los usuarios que desean acceder a servicios

externos en este caso ubicado en el enrutador “Server”, los servicios de validación y

autorización los proveerá el enrutador “Validador” que es el que tendrá configurada la

política de acceso con la autenticación proxy.

El nodo puede ser implementado con una máquina virtual o como una interfaz directa

como se desarrolló en guías anteriores.

2.

Abra las consolas de cada uno de los enrutadores y desarrolle la configuración

para garantizar su completa conectividad, una vez completo este paso debe existir

conectividad entre todas las direcciones representadas en la topología incluyendo

el nodo.

Procedimiento

Bibliografía

Guía 1

(3)

Para este paso puede usar las habilidades desarrolladas en el curso de comunicación de

datos I o bien usar las configuraciones propuestas en la siguiente tabla:

Validador

R2

hostname Validador interface FastEthernet0/0 ip address 200.0.0.1 255.255.255.0 duplex auto speed auto no shutdown ! interface FastEthernet0/1 ip address 11.1.1.2 255.255.255.252 duplex auto speed auto no shutdown ! router rip version 2 network 200.0.0.0 network 11.1.1.0 end hostname R2 interface FastEthernet0/0 ip address 11.1.1.1 255.255.255.252 duplex auto speed auto no shutdown ! interface FastEthernet0/1 ip address 11.1.1.5 255.255.255.252 duplex auto speed auto no shutdown ! router rip version 2 network 11.1.1.0 end R3 Server hostname R3 interface FastEthernet0/0 ip address 11.1.1.6 255.255.255.252 duplex auto speed auto no shutdown ! interface FastEthernet0/1 ip address 199.1.1.1 255.255.255.0 duplex auto speed auto no shutdown ! router rip version 2 network 11.1.1.0 network 199.1.1.0 end hostname Server interface FastEthernet0/0 ip address 199.1.1.10 255.255.255.0 duplex auto speed auto no shutdown exit ! ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 end

3. Configure el servicio http en el enrutador Server para que pueda ser accedido como desde un navegador y nos permita emular un servidor web, además de la configuración del servicio de telnet para representar otro servicio disponible en este caso no web:

Server(config)# enable secret router123

Server(config)# ip http server

Server(config)# line vty 0 4

Server(config-line)# password credencial123

Server(config-line)# login

4. Pruebe la conectividad de todos los nodos y desde el nodo “TestMachine” pruebe que pueda acceder al servidor web además de al servicio de telnet que brinda el enrutador “Server”

 En el navegador web: //199.1.1.10

(4)

En el cmd: telnet 199.1.1.10

(utilice las credenciales del router para acceder)

Garantice que las pruebas propuestas en el paso 4 sean exitosas antes de continuar Parte II. Implementación del modelo AAA.

Ahora es necesario desplegar los servicios de autenticación, autorización y contabilización, para que este sea el modelo con el que se maneje la seguridad en el enrutador “Validador”, para nuestro caso la base de datos de credenciales serán alojadas localmente, sin embargo AAA posibilita usar un servidor de acceso para un volumen mayor de usuarios.

1. Activar el modelo AAA en el enrutador validador para contar con los servicios de Autenticación y Autorización

Validador(config)# aaa new-model

2. Activar los servicios de autenticación y autorización, remitirlos a la base datos local para el manejo de las credenciales

Validador(config)# aaa authentication login default local

Validador(config)# aaa authorization auth-proxy default local Formato:

[Comando] [Parámetro] [Servicio] [Grupo] [Base de datos] Dónde:

Comando: Representa la opción de comando aaa.

Parámetro: Establece cuales de los tres parámetros de servicio del modelo aaa se quiere implementar.

Servicio: Define el servicio que protegerá el parámetro del modelo.

Grupo: Clasificación particular de usuarios a los que se aplicara el modelo, puede ser el nombre de un grupo en particular o el grupo por defecto “default”

Base de datos: Indica donde estarán alojadas las credenciales, para nuestro caso será el mismo enrutador

3. Ahora crearemos un conjunto de credenciales de usuarios que servirán para poblar la base de datos local del grupo “default”, crearemos tres usuarios para las pruebas.

(5)

Validador(config)# username usuario1 password contrasenauser1

Validador(config)# username usuario2 password contrasenauser2

Validador(config)# username usuario3 password contrasenauser3

Parte III. Implementación de la autenticación proxy

1. Ahora estableceremos la política de acceso usando como discriminador una lista de control de acceso que permita a los usuarios acceder a los servicios http y ftp como mecanismo de validación del portal cautivo.

Validador(config)# access-list 101 permit tcp 200.0.0.0 0.0.0.255 any eq ftp Validador(config)# access-list 101 permit tcp 200.0.0.0 0.0.0.255 any eq www Validador(config)# access-list 101 deny ip any any

Esto indica que se hará uso de cualquiera de los dos protocolos ftp o http para autorizar el acceso a los servicios externos de los usuarios descritos en la base de datos local

2. Es necesario activar las ventanas para la autenticación de las credenciales, para ello se usara el servidor http empotrado en el enrutador

Validador(config)# ip http server

Validador(config)# ip http authentication aaa

3. Establecer las reglas del conjunto de autenticación proxy y el protocolo que se usara para autenticar, el nombre de la regla se llamara “APRULE” el protocolo para autenticar http y el tiempo que se mantendrá activa la sesión en el cache será de 5 minutos

Validador(config)# ip auth-proxy name APRULE http auth-cache-time 5

4. Es posible establecer otros parámetros para el proceso de autenticación proxy, use el comando de ayuda de la consola para observarlos, active un mensaje de banner para la ventana de autenticación

Validador(config)# ip auth-proxy auth-proxy-banner http c INDIQUE CREDENCIAL c Las letras “c” que aparecen al inicio y al final representan marcadores de inicio/fin para el mensaje por lo que no aparecerán en el mensaje.

5. Por último es necesario activar la regla y la lista de control de acceso, es importante tener claro el sentido de la aplicación, para este caso se quiere controlar el acceso a servicios externos por lo que el tráfico se origina en la red interna conectada a la interfaz fastEthernet 0/0, por lo que la aplicación debe ser para el tráfico entrante a esta interfaz.

(6)

Validador(config)# interface fastethernet 0/0

Validador(config-if)# ip auth-proxy APRULE

Validador(config-if)# ip access-group 101 in

Parte IV. Pruebas y verificación.

1. Para probar el sistema hagamos ping desde la maquina “TestMachine” a la interfaz del enrutador “Server”, se observara que no será exitoso el ping, indique porque este tráfico es filtrado:

_______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ _______________________________________________________________________________ Use el comando “show access-list” y anote sus observaciones, pruebe el acceso con el servicio Telnet y observe que sucede.

2. Ahora lance un navegador en la maquina “TestMachine” y acceda al enrutador “Server” con la siguiente URL http://199.1.1.10, observe que obtendrá como respuesta una ventana de validación donde se solicitaran las credenciales para poder acceder a este servicio, use las credenciales de cualquiera de las tres cuentas configuradas en la base de datos local, ellas le deberían permitir el acceso.

Una vez hecho esto vuelva a probar la conectividad con ping y telnet y anote sus observaciones Puede usar el comando “show ip auth-proxy cache” para observar las conexiones que mantiene activas el portal cautivo, para hacer más pruebas puede eliminar las entradas del cache con el comando “clear ip auth-proxy cache * “

Considerando la topología utilizada y eliminando todas las configuraciones a excepto las relativas a la conectividad definidas en el paso 2 de la configuración de la topología de trabajo para hacer lo siguiente:

1. En el enrutador “Validador” establezca una autenticación proxy para proteger un servicio ubicado en el nodo “TestMachine” que solo deberá poder ser accesible desde 7 direcciones 177.7.7.1/24 – .7/24 ubicadas en el enrutador “Server” con 7 cuentas una para cada estación, las direcciones serán simuladas como direcciones de loopback

Desafío

corto

(7)

2. Para este caso ya que las direcciones dispararan los servicios desde la consola del enrutador originadas desde las loopback investigue como implementar el portal cautivo con sesiones de telnet.

3. Ningún otro tráfico debería de poder ser afectado por la configuración de la autenticación proxy.

Evaluación Asistencia 20%

Desarrollo de la práctica completa 40% Desarrollo del desafío cortó 40%

1. Cisco System; Cisco IOS Security Configuration Guide, release 12.4, Cisco Press, 2008.

Bibliografía

Guía 3

Guía 4

fía

Figure

Actualización...

Referencias

  1. http://199.1.1.10,