Implementación básica de servidor TACACS+ en Routers CISCO


Una de las tareas mas comunes en el hardening de las redes que debemos de administrar es el uso de un servidor remoto que controle el proceso de autenticación de usuarios, en esta ocasión quiero mostrarles como utilizar un servidor TACACS+ para administrar el proceso de autenticación al establecer una conexión vía telnet, no vamos a utilizar SSH para no volverlo complicado pero el proceso es similar y en otra ocasión demostraremos como implementar este mismo esquema con SSH.

Para ello haremos uso de una herramienta que es muy práctica para implementar un servidor TACACS+ en ambiente Windows, es software libre que podemos descargar del link: http://www.tacacs.net/default.asp

La topología para esta practica es sencilla, consta de un cliente ejecutando el servidor TACACS+ y una maquina que utilizaremos para iniciar una sesión vía telnet a nuestro router.

Paso 1: Configurar las interfaces de red para asignar las direcciones IP, en nuestro servidor TACACS+ hemos asignado la ip 10.1.1.2 /24 y en nuestro cliente Windows la IP 172.16.1.2 /24, para el router se muestra la configuración a continuación.

C3700(config)#interface f0/0

C3700(config-if)#ip add 10.1.1.1 255.255.255.0

C3700(config-if)#no sh

C3700(config)#interface f0/1

C3700(config-if)#ip add 172.16.1.1 255.255.255.0

C3700(config-if)#no sh

Paso 2:
Habilitar el servicio AAA en nuestro router para poder configurar el método de autenticación mediante el servidor TACACS+

C3700(config)#aaa new-model

Paso 3: Configurar en el router la dirección de nuestro servidor TACACS+ y configurar los parámetros en el archivo de configuración del programa Free TACACS+ (clients.xml) que se encuentra ubicado en la carpeta Configuration del programa.

Para el Router:

C3700(config)#tacacs-server host 10.1.1.2 key tecnosystem

Archivo de configuración clients.xml

    <ClientGroup Name=”INTERNAL”>

            <Secret ClearText=”tecnosystem” DES=””></Secret>

            <Client>10.1.1.0/24</Client>

Paso 4:
Modificar el archivo de configuración del programa Free TACACS+ (authentication.xml y tacplus.xml) con los siguientes parámetros

Authenticacion.xml

             <Name>noc_admin</Name>

             <LoginPassword ClearText=”12345” DES=””> </LoginPassword>

             <EnablePassword ClearText=”67890” DES=””></EnablePassword>

             <Name>noc_admin2</Name>

             <LoginPassword ClearText=”12345” DES=””> </LoginPassword>

             <EnablePassword ClearText=”67890” DES=””></EnablePassword>

Tacplus.xml

<Port>49</Port>

            <LocalIP>10.1.1.2</LocalIP>

Paso 5: Establecer el usuario de autenticación local en caso se pierda la conexión al servidor TACACS+ y asignar el método de autenticación en el router

C3700(config)#username admin privilege 15 password 12345

C3700(config)#aaa authentication login default group tacacs+ local

 

Paso 6: Validar que nuestro servidor TACACS+ esta respondiendo a las peticiones de autenticación

Luego de verificar que nuestro servidor TACACS+ esta respondiendo a las peticiones de autenticación, procederemos a desconectar directamente el servidor, para validar que cuando no hay conexión, el router resuelve las peticiones de autenticación con el detalle de usuarios configurados localmente.

Una respuesta a “Implementación básica de servidor TACACS+ en Routers CISCO

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s