PDF de programación - Servidor TACACS+ en Linux

Servidor TACACS+ en Linux

Table of Contents

Acerca de este Paper
Introducción
Qué es TACACS+?

Como funciona TACACS+?

Servidor TACACS+ en Linux con Tac_Plus

Configurando nuestro Servidor TACACS+

Configurando un Dispositivo Cisco para TACACS+
Cierre

0
1
2
2.1
3
3.1
4
5

2

Servidor TACACS+ en Linux

Acerca de Este Paper

En muchas organizaciones la manera en que se controlan los accesos a los dispositivos
de red no son los corrrectos. Se hacen uso de contraseñas únicas, protocolos inseguros y
no se lleva un registro de lo que sucede en los dispositivos de red que se admninistran.

En esta paper hablo de un acercamiento mas seguro cuando hablamos de control de
acceso y administración de dispositivos de redes en las organizaciones.

Que Veremos?

Situación actual de muchas organizaciones
Acercamiento mas seguro mediante AAA
Que es TACACS+
Como implementamos TACACS+ en Linux
Haciendo las Configuraciones

Es bueno mencionar que en este paper asumo que sus dispositivos de redes son Cisco,
pero el contenido puede ser aplicado a otros dispositivos.

Al finalizar podrán tener un control de acceso centralizados con posibilidades de llevar a
cabo auditorías.

Autor: Jason Soto

Mail: jason_soto[AT]jsitech[DOT]com

Twitter: @JsiTech

Acerca de este Paper

3

Servidor TACACS+ en Linux

Introducción

Uno de los retos que tienen los administradores de redes y los mismos encargados de
seguridad en las organizaciones, es la Seguridad de la red. Otro reto sería monitorear de
cerca cuando los equipos son accedidos por un operador o administrador y que ejecutaron
en esos dispositivos.

Esta necesidad de Seguridad coloca una carga mayor al administrador cuando la red
comienza a crecer y se torna mas descentralizada, con equipos en diferentes puntos.
Muchos de los controles que se le aplican a estos equipos de redes son las listas de
accesos limitando desde que IP los administradores tienen autorizados accesar, el único
detalle aquí es que si un malintencionado tiene acceso a este equipo o logra determinar la
IP pues igual, es posible que pueda tener acceso al dispositivo.

En muchos ambientes en los que he trabajado se utiliza lo que muchos de nosotros
estamos acostumbrado a ver. Tienen implementados Firewalls, Sistemas de Detección de
intrusos, Acceso VPN, y algunas políticas de control que no estan mal, el detalle reside en
que, en la mayoría de los casos administran los dispositivos via telnet, hacen uso de una
única contraseña, y no existe una manera de auditar lo que se hace en esos dispositivos.

Un acercamiento a la solución de esta problemática, no es crearle un usuario en la DB de
cada dispositivo ya que por igual la administración sería una pesadilla al momento de
trabajar en redes amplias, sino, crear un punto centralizado de control donde podamos
administrar los usuarios, sus permisos, y que hacen en los dispositivos, especificamente
estamos hablando de AAA, Autenticación-Autorización-Accounting, y esto lo vamos a
lograr con TACACS+.

Este paper se va a centrar en entender lo que es TACACS+ y como podemos
implementarlo en un servidor Linux.

Introducción

4

Servidor TACACS+ en Linux

Qué es TACACS+?

TACACS significa Terminal Access Control Access Control Server, (Servidor de
control de acceso a la terminal y control de acceso), y el objetivo principal es proveer un
punto de control centralizado para la autenticación, Autorización y contabilidad de las
actividades de los administradores en los dispositivos de redes.

Vamos a entender un poco a que se refiere esto de AAA.

Autenticación

Se refiere a quienes pueden acceder a los dispositivos de red. Se requiere que los usuarios
se identifiquen y prueben que realmente es el usuario que dice ser. Aquí deben proveer su
usuario y contraseña y puede hacer uso tambien de OTP o One Time Passwords. Ya que
hablamos de usar contraseña, debe existir una buena política de contraseñas en la
organización.

Autorización

Se refiere a lo que el usuario ya autenticado tiene derecho a hacer en el dispositivo.
Ejemplo de esto sería que comandos pueden ejecutar, etc.

Accounting (Contabilidad)

Lleva un registro de lo que el operador o usuario hacen en el dispositivo. Esto es de
extrema importancia al momento de realizar auditorías. Hace uso de mensajes de start y
stop para llevar un registro de que ha sido iniciado y cuando fue finalizado. Estos registros
pueden ser guardados localmente o enviado a otros servidor de Syslog.

Qué es TACACS+?

5

Servidor TACACS+ en Linux

Como funciona TACACS+?

El Servidor TACACS+ es consultado por el cliente y el servidor responde si el usuario pasó
o falló la autenticación. Es bueno mencionar aquí que cuando hablamos de cliente, no
necesariamente es la máquina desde donde se está intentando autenticar el usuario, sino,
el dispositivo al que quiere acceder, por ejemplo el Switch o Router.

Cuando un usuario hace una conexión exitosa al dispostivo, este le pedirá sus
credenciales, el dispositivo de red luego toma estas credenciales y la valida con el servidor
TACACS+, Este servidor luego responde indicando si el usuario tiene acceso o no al
dispositivo.

Que ventajas tenemos con esto?

La contraseña se envía cifrada al servidor
Las credenciales no son guardadas en los dispositivos de red
Todos los dispositivos apuntan a un servidor central, esto nos ayuda al momento de
administrar redes amplias donde tenemos un gran número de dispositivos de red.
Todos los comandos ejecutados son registrados
Mas protección contra ataque de fuerza bruta
Tenemos un punto centralizado con administrar los niveles de acceso de forma granular

Veamoslo un poco gráfico

RADIUS vs TACACS+

Como funciona TACACS+?

6

Servidor TACACS+ en Linux

Vamos a ver un breve comparación entre RADIUS y TACACS+ para darnos cuenta porque
es un acercamiento mas seguro.

Protocolos y Puertos

Cifrado

Autenticación y
Autorización
Uso Primario

RADIUS
UDP: 1812 y 1813
Cifra solo el campo de
Contraseña
Combina Autenticación y
Autorización
Acceso a la red

TACACS+

TCP:49

Cifra todo el mensaje

Separa Autenticación y
Autorización
Administración

Como funciona TACACS+?

7

Servidor TACACS+ en Linux

Servidor TACACS+ en Linux con Tac_Plus

Nuestra implementación la vamos a realizar en un servidor con Linux CentOS 6 haciendo
uso de tac_plus. Esta implementación ha probado ser robusta en ambientes de Producción
y redes amplias.

Vamos a proceder con la instalación

$ cd /etc/yum.repos.d/

$ vi nux-misc.repo

Agregamos esto al archivo

[nux-misc]
name=Nux Misc
baseurl=http://li.nux.ro/download/nux/misc/el6/x86_64/
enabled=0
gpgcheck=1
gpgkey=http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro

Guardamos el archivo y hacemos la instalación mediante yum

$ yum --enablerepo=nux-misc install tac_plus

Servidor TACACS+ en Linux con Tac_Plus

8

Servidor TACACS+ en Linux

Configurando nuestro Servidor TACACS+

Una vez finalizada la instalación vamos a ver la configuración

$ vim /etc/tac_plus.conf

Tendremos algunos campos que debemos configurar.

key = "prueba"
accounting file = /var/log/tac.acct
# authentication users not appearing elsewhere via
# the file /etc/passwd
#default authentication = file /etc/passwd

acl = default {
#permit = 192\.168\.0\.
permit = 192\.168\.100\.
permit = 192\.168\.3\.
}

# Example of host-specific configuration:
host = 192.168.3.190 {
prompt = "Enter your Unix Username and password, Username: "
# Enable password for the router, generate a new one with tac_pwd
#enable = des 4P8MBRmulyloo
}

# Group that is allowed to do most configuration on all interfaces etc.
group = admin {
# group members who don't have their own login password will be
# looked up in /etc/passwd
#login = file /etc/passwd
login = PAM

# group members who have no expiry date set will use this one
#expires = "Jan 1 1997"

# only allow access to specific routers
acl = default

# Needed for the router to make commands available to user (subject
# to authorization if so configured on the router
service = exec {
priv-lvl = 15
#default service = permit

Configurando nuestro Servidor TACACS+

9

Servidor TACACS+ en Linux

}

cmd = username {
permit .*
}
cmd = enable {
permit .*
}
cmd = show {
permit .*
}
cmd = exit {
permit .*
}
cmd = configure {
permit .*
}
cmd = interface {
permit .*
}
cmd = switchport {
permit .*
}
cmd = description {
permit .*
}
cmd = no {
deny .*
}
cmd = copy {
deny .*
}
cmd = do {
permit .*
}
cmd = tacacs {
deny .*
}
cmd = aaa {
deny .*
}

}

# A group that can change some limited configuration on switchports
# related to host-side network configuration
group = sysadmin {
# group members who don't have their own login password will be
# looked up in /etc/passwd:
#login = file /etc/passwd
# or authenticated via PAM:
login = PAM
acl = default

Configurando nuestro Servidor TACACS+

10

Servidor TACACS+ en Linux

# Needed for the router to make commands available to user (subject
# to authorization if so configured on the router
service = exec {
priv-lvl = 15
}
cmd = enable {
deny .*
}
cmd = show {
permit .*
}
cmd = exit {
permit .*
}
cmd = configure {
deny .*
}
cmd = interface {
permit FastEthernet.*
permit Gigabit