Autenticación, autorización y auditoria

Buenos días, en este post quería comentar de qué se trata el protocolo AAA (Autenticación, Autorización y Auditoría) y además adjuntar una pequeña práctica en la que se emplea este protocolo de forma sencilla.

 

¿Qué es el protocolo AAA?

Se trata de un conjunto de protocolos que satisfacen estas tres características: autenticación, autorización y auditoria. Entre estos protocolos se encuentran: TACACS+ y RADIUS.

TACACS+ (terminal Access control access control server plus)

Está soportado por Cisco, es multiprotocolo, TCP, tiene paquete completamente cifrado, separa autenticación y autorización (por tanto hay mayor modularidad), desafío bidireccional y autorización comandos del router a usuarios y grupos.

RADIUS (remote dial-in user services)

Es un estándar abierto IRFC, UDP, no soporta ARA ni NetBEVI, tiene contraseña cifrada, no autoriza comandos, combina autorización y autenticación pero separa auditoría (por tanto hay menor flexibilidad), desafío unidireccional y respuesta desde el servidor RADIUS al cliente RADIUS.

 

Autenticación

Los usuarios y administradores deben probar que son quienes dicen ser. La autenticación puede establecerse por medio de combinaciones de usuario y contraseña, preguntas de desafío y respuesta, tarjetas token y otros métodos. Se utilizan dos tipos de autenticación en los router Cisco:

  • Local: Usa una base de datos local para la autenticación. Este método almacena los nombres de usuario y sus correspondientes contraseñas localmente en el router Cisco, y los usuarios se autentican en la base de datos local. Es ideal para redes pequeñas.
  • Basada en Servidor: Usa un recurso externo de servidor de base de datos que utiliza los protocolos RADIUS o TACACS+. Este tipo de autenticación es preferible para redes grandes.

Autorización

Una vez el usuario ha sido autenticado, los servicios de autorización determinan los recursos y operaciones a los que el usuario tiene acceso.

Auditoria

Registran lo que el usuario hace, incluyendo los recursos a los que accede, la cantidad de tiempo que se mantiene y cualquier cambio que se haga. Recolecta y reporta datos (comandos, fecha, hora, nombre, número de paquetes, número de bytes).

 

Práctica: AAA

Captuasdfra

Primero vamos a configurar por consola a R1:

R1(config)# username Admin1 secret admin1pa55

R1(config)# aaa new-model

R1(config)# aaa authentication login default local

R1(config)# line console 0

R1(config-con)# login authentication default

R1(config-con)#exit

 Ahora voy a configurar el router R1 pero esta vez por telnet:

R1(config)# aaa authentication login TELNET local

R1(config)# line vty 0 4

R1(config-con)# login authentication TELNET

R1(config-con)#exit

 A continuación vamos a realizar que la autentificación sea a través de un servidor y por tanto no sea local, para ello vamos a probar con el servidor TACACS+ que se encuentra en la dirección 192.168.2.2:

R2(config)# username Admin secret adminpa55

R2(config)# tacacs-server host 192.168.2.2

R2(config)# tacacs-server key tacacspass

R2(config)# aaa new-model

R2(config)# aaa authentication login default group tacacs+ local

R2(config)# line console 0

R2(config-con)# login authentication default

 Finalmente, decir que del mismo modo que se ha operado para el servidor TACACS+ se podría hacer con el servidor RADIUS:

R3(config)# username Admin secret adminpa55

R3(config)# radius-server host 192.168.3.2

R3(config)# radius-server key radiuspass

R3(config)# aaa new-model

R3(config)# aaa authentication login default group radius local

R3(config)# line console 0

R3(config-con)# login authentication default

¿QUÉ ES LDAP?

¡Buenas tardes!

Esta semana he tratado la herramienta LDAP. LDAP viene de las siglas de “Lighweight Directory Access Protocol”, es una base de datos jerárquica orientada a objetos, dónde las clases no tienen métodos, sólo atributos, a la cual se realizan consultas de registros con usuarios y perfiles.

Las características de LDAP frente a otros servidores de directorios como X.500, son las siguientes:

  • Permite varias peticiones en curso
  • Existe un formato para exportar información entre servidores de directorios, conocida como LDIF
  • Tiene autenticación muy rápida, y se puede utilizar Kerberos en este proceso.
  • El acceso de LDAP mediante JAVA, se realiza por JNDI (“Java Naming Directory Interface”). Es una sintaxis propia, diferente a SQL.

El proceso de configuración que he seguido para instalar el servicio OpenLDAP es siguiendo una serie de pasos:

Comenzamos instalando el servidor LDAP en nuestra máquina servidora con: apt-get install slapd ldap-utils.

Cuando hayamos puesto la clave que deseemos, configuramos el servidor LDAP con: dpkg-reconfigure slapd Cuando nos pregunten si deseamos omitir la configuración de OpenLDAP, decimos que NO, después introduciremos el dominio DNS que deseemos (por ejemplo micasa.edu), el motor de base de datos yo he seleccionado el que está por defecto el HDB porque es totalmente jerárquica, al pedirnos si puede borrar la base de datos al ser la primera vez le podemos dar que (aunque habría que dar que NO si ya está hecha, ya que sino se elimina).

Cuando nos pide si queremos mover otra base de datos, en caso de tener otra dar que sí, en mi caso como quiero empezar una desde cero, pues le doy a NO. Finalmente, dejamos la utlima opción por defecto, ya que NO queremos utilizar el protocolo LDAPv2, vamos a utilizar el protocolo LDAPv3.

Creamos un archivo ldif para crear usuarios y grupos: por ejemplo usergroup.ldif

dn: ou=personas,dc=casa,dc=edu
objectClass: organizationalUnit
ou: personas

dn: ou=grupos,dc=cum,dc=edu
objectClass: organizationalUnit
ou: grupos

* en dc ponemos casa y edu, porque se trata del dominio DNS: miequipo.casa.edu

A continuación, introducimos el comando en el terminal: ldapadd -x -D cn=admin,dc=casa,dc=edu -W -f usergroup.ldif  Nos pedirá una contraseña y si la introducimos correctamente, aparecerán añadidas 2 nuevas entradas en el directorio LDAP.

CONFIGURACIÓN VISORES LDAP

Tenemos dos importantes visores, a saber:

PHPLDAPADMIN

Instalamos el paquete siguiente: apt-get install phpldapadmin

Trae como servidor por defecto “example.com”, para cambiarlo nos metemos en el archivo de configuración y cambiamos las líneas “dc=example,dc=com” por “dc=cum,dc=edu”. Para modificar el archivo introducimos: nano /etc/phpldapadmin/config.php

JXPLORER

Nos descargamos de la página oficial de JXplorer, y cuando tengamos el paquete en nuestra carpeta, le damos permisos y ejecutamos del siguiente modo:

  • ls -l jxplorer-3.3.02-linux-installer.run
  • chmod a+x jxplorer-3.3.02-linux-installer.run
  • ./jxplorer-3.3.02-linux-installer.run
  • cd /opt/jxplorer/
  • ./jxplorer.sh

CONFIGURACIÓN FRAME-RELAY

Frame-Relay es una técnica de comunicación mediante retransmisión de tramas para redes de circuito virtual. Se diseñó a finales de los 80 y principios de los 90. Opera en el nivel físico y de enlace, ofrece mayores velocidades y no es tan cara como otras tecnologías WAN. Sólo tiene detección de errores en el nivel de enlace, no hay control de flujo ni control de errores. Tiene un tamaño de trama de 9000 bytes. Se diseñó para ofrecer una rápida transmisión para medios fiables y además, ofrece control de congestión y calidad de servicio (QoS).

A continuación vamos a ver como configurar esta tecnología en una red de tres maneras distintas:

  •  Configuración de Frame Relay como una red Broadcast.

Para este ejemplo he utilizado dos routers con un conmutador Frame-Relay. El primer paso es configurar este dispositivo. Por el puerto 1 de entrada tenemos el camino DLCI 102, y como salida por el puerto 2 el camino DLCI 201.

Configuración Frame-Relay Broadcast

Configuración Frame-Relay Broadcast

A continuación, configuramos los dos routers de la siguiente manera:

ROUTER R1

interface Serial1/0

  • ip address 10.10.10.1 255.255.255.0
  • encapsulation frame-relay
  • frame-relay lmi-type ansi
  • ip ospf network broadcast
  • frame-relay map ip 10.10.10.2 102 broadcast
  • frame-relay interface-dlci 102

router ospf 1

  • network 10.10.10.0 0.0.0.255 area 0

ROUTER R2

interface Serial1/0

  • ip address 10.10.10.2 255.255.255.0
  • encapsulation frame-relay
  • frame-relay lmi-type ansi
  • ip ospf network broadcast
  • frame-relay map ip 10.10.10.1 201 broadcast
  • frame-relay interface-dlci 201

router ospf 1

  • network 10.10.10.0 0.0.0.255 area 0

Como vemos, hemos configurado OSPF para el encaminamiento, y dentro del Serial correspondiente añadimos los comandos para Frame-Relay. Una forma de probar que funciona correctamente es con el comando:

#debug frame-relay packet interface Serial1/0

  • Configuración a través de subinterfaces punto a punto 

Utilizamos la misma configuración que en broadcast, y los mismos caminos en el conmutador Frame-Relay. Pero varía los comandos introducidos en los routers R1 y R2, que ahora serían de la siguiente manera:

ROUTER R1

interface Serial1/0

  • encapsulation frame-relay
  • frame-relay lmi-type ansi

interface Serial1/0.1 point-to-point

  • ip address 10.10.10.1 255.255.255.0
  • frame-relay interface-dlci 102

router ospf 1

  • network 10.10.10.0 0.0.0.255 area 0

ROUTER R2

interface Serial1/0

  • encapsulation frame-relay
  • frame-relay lmi-type ansi

interface Serial1/0.1 point-to-point

  • ip address 10.10.10.2 255.255.255.0
  • frame-relay interface-dlci 201

router ospf 1

  • network 10.10.10.0 0.0.0.255 area 0
  • Configuración a través de subinterfaces punto-multipunto

En este ejemplo vamos a utilizar 3 routers en lugar de 2. Y la configuración del conmutador Frame-Relay cambia con respecto al anterior. Por el puerto 11 de entrada tenemos el camino DLCI 102, y como salida por el puerto 22 el camino DLCI 201. Por el mismo puerto 11 tambien tenemos el camino de entrada DLCI 103, y como salida el puerto 33 con camino DLCI 301.

Configuración Frame-Relay Punto-Multipunto

Configuración Frame-Relay Punto-Multipunto

La configuración de los routers también varía, siendo ahora de la siguiente manera:

ROUTER R1

interface Serial1/0

  • encapsulation frame-relay
  • frame-relay lmi-type ansi

interface Serial1/0.1 multipoint

  • ip address 10.10.10.1 255.255.255.0
  • ip ospf network broadcast
  • frame-relay map ip 10.10.10.2 102 broadcast

interface Serial1/0.2 multipoint

  • ip address 11.11.11.1 255.255.255.0
  • ip ospf network broadcast
  • frame-relay map ip 11.11.11.2 103 broadcast

router ospf 1

  • network 10.10.10.0 0.0.0.255 area 0
  • network 11.11.11.0 0.0.0.255 area 0

ROUTER R2

interface Serial1/0

  • ip address 10.10.10.2 255.255.255.0
  • encapsulation frame-relay
  • ip ospf network broadcast
  • frame-relay map ip 10.10.10.1 201 broadcast
  • frame-relay lmi-type ansi

router ospf 1

  • network 10.10.10.0 0.0.0.255 area 0

ROUTER R3

interface Serial1/0

  • ip address 11.11.11.2 255.255.255.0
  • encapsulation frame-relay
  • ip ospf network broadcast
  • frame-relay map ip 11.11.11.1 301 broadcast
  • frame-relay lmi-type ansi

router ospf 1

  • network 11.11.11.0 0.0.0.255 area 0

LTE “LONG TERM EVOLUTION”

Las siglas LTE significan Long Term Evolution” y se podría decir que esta tecnología es el principio de una nueva forma para prestar servicios en el área de Internet Móvil. 

La especificación LTE ofrece 100Mbits/s de bajada y 50Mbits/s de subida. Soporta frecuencias de 1.4 MHz a 20 MHz, proporciona un alto rendimiento para velocidades de 0 a 15km/h y la conexión está en velocidades constantes de entre 300 a 500km/h. LTE utiliza la conmutación por paquetes IP (PS) a diferencia de todas las tecnologías anteriores que usa la conmutación de circuito (CS).

Como objetivos de LTE podemos destacar el aumento de la eficiencia, la reducción de los costes, la ampliación y mejora de los servicios ya prestados y una mayor integración con los protocolos ya existentes.

La primera publicación de LTE era 3.9G, la que no cumplía por completo los requisitos de 4G. LTE es la interfaz radioeléctrica basada en OFDMA. Las diferentes tecnologías de antenas (MIMO), en el estándar 3GPP, hace que tengan una mayor facilidad de implementación, esto quiere decir que LTE puede implementarse fácilmente en el 3GPP ya existente y sustituirla, lo que favorecerá según el medio de hasta cuadruplicar la eficacia de transmisión de datos.

 

ARQUITECTURA DE RED LTE

 LTE sigue la misma arquitectura de red que los anteriores sistemas especificados por el 3GPP. Esta arquitectura consta de un equipo de usuario (UE) y una infraestructura de red, que se divide en una red troncal y una red de acceso. E-UTRAN es la red de acceso especificada para LTE, utiliza OFDMA (acceso múltiple por división de frecuencia octogonal) para comunicarse con los equipos de usuario. Y para la red troncal se usa Envolved Packet Core (EPC).

Ambas tecnologías combinadas proporcionan servicios de transferencia de paquetes IP entre los equipos de usuario y redes de paquetes externas, como por ejemplo IPMS (“IP Multimedia Subsystem”) o Internet.

La interconexión de diferentes equipos físicos dónde se están las funciones tanto en la red troncal EPC como de la red de acceso E-UTRAN, se realiza mediante tecnologías de red basadas en IP. La infraestructura de una red LTE, además de los equipos que tienen las funciones del estándar 3GPP, también incluye otros elementes propios de la redes IP como son los routers, servidores DHCP, servidores DNS…

Las prestaciones de calidad de servicio, como por ejemplo la tasa de datos en bits/s, retardos y pérdidas, pueden configurarse conforme a las necesidades de los servicios finales que lo utilicen. Su establecimiento se lleva a cabo a través de plataformas de servicios externas (por ejemplo, IPMS) y de forma transparente para la red troncal EPC.

 

ARQUITECTURA E-UTRAN

 La descripción de esta arquitectura E-UTRAN está disponible en las especificaciones del 3GPP TS 36.300 y TS 36.401. Se compone de una única entidad de red denominada “evolved NodeB (eNodeB)” que constituye la estación base de E-UTRAN. La estación base incluye toda la funcionalidad de la red de acceso, a diferencia de las redes de acceso GSM y UMTS compuestas por estaciones base y equipos controladores.

La red de acceso E-UTRAN está formada por el eNodeB que hacen posible la conectividad entre los equipos de usuario y la red troncal EPC. Un eNodeB se comunica con el resto de elementos del Sistema mediante 3 interfaces: E-UTRAN Uu, S1 y X2.

  • La interfaz E-UTRAN Uu, permite la transferencia de información por el canal de radio entre el eNodeB, y los equipos de usuario. Todas las funciones y protocolos necesarios para realizar el envío de datos.
  • El eNodeB se conecta a la red troncal EPC a través de la interfaz S1. Ésta se encuentra desdoblada en dos interfaces diferentes: S1-MME para sustentar el plano de control y S1-U como soporte del plano de usuario.
  • Mediante la interfaz S1-MME (“Mobility Management Entity”), el eNodeB se comunica con una entidad de red de la EPC encargada únicamente de sustentar las funciones relacionadas con el plano de control.
  • Mediante la interfaz S1-U, el eNodeB  se comunica con otra entidad de red encargada de procesar el plano de usuario (“Serving Gateway”, S-GW).

Esta separación entre entidades de red dedicadas a sustentar el plano de control o bien el plano de usuario es una característica importante de la red LTE que permite dimensionar los recursos de transmisión necesarios para el soporte de la señalización del sistema y para el envío del tráfico de los usuarios.

Los eNodeBs pueden conectarse entre sí mediante la interfaz X2. A través de esta interfaz, los eNodeB se intercambian tanto mensajes de señalización destinados a permitir una gestión más eficiente del uso de los recursos radio, así como tráfico de los usuarios del sistema cuando estos se desplazan de un eNodeB a otro, lo que denominamos como proceso de “handover”.