Guía de configuración de la Seguridad de Cisco IOS: Sujeción de los servicios de usuario, versión 12.2SR
Configuración del Proxy de Autenticación
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 437 KB | Inglés (19 Febrero 2008) | Comentarios

Contenidos

Configuración del Proxy de Autenticación

Encontrar la información de la característica

Contenido

Requisitos previos para configurar el Proxy de autenticación

Restricciones para configurar el Proxy de autenticación

Información sobre configurar el Proxy de autenticación

Cómo el Proxy de autenticación trabaja

Autenticación Segura

Funcionamiento con Javascript

Operación sin JavaScript

Usando el Proxy de autenticación

Cuándo Utilizar el Servidor Alterno de Autenticación

Aplicación del Proxy de autenticación

Funcionamiento con Contraseñas de Uso Único

Compatibilidad con otras Funciones de Seguridad

Compatibilidad de NAT

Compatibilidad de CBAC

Compatibilidad de Cliente de VPN

Compatibilidad con Contabilización AAA

Protección frente a los Ataques de Negación de Servicio

Riesgo de Suplantación con Proxy de Autenticación

Comparación con la Función Lock-and-Key

Cómo configurar el Proxy de autenticación

Configurar el AAA

Configurar el servidor HTTP para el Proxy de autenticación

Configuración del Proxy de Autenticación

Verificar el Proxy de autenticación

Marcar la configuración de servidor alterno de autenticación

Establecimiento de las conexiones del usuario con el Javascript

Establecimiento de las conexiones del usuario sin el Javascript

Monitoreando y mantener el Proxy de autenticación

Visualización de Entradas ACL Dinámicas

Eliminación de Entradas de la Memoria Caché del Servidor Alterno de Autenticación

Ejemplos de configuración para el Proxy de autenticación

Ejemplo de Configuración de Servidor Alterno de Autenticación

Configuración AAA: Ejemplo:

Configuración de servidor HTTP: Ejemplo:

Configuración de servidor alterno de autenticación: Ejemplo:

Configuración de la interfaz: Ejemplo:

Ejemplo de Configuración del Proxy de Autenticación, IPSec y CBAC

Configuración del router1: Ejemplo:

Configuración del router2: Ejemplo:

Ejemplo de Configuración del Proxy de Autenticación, IPSec, NAT y CBAC

Configuración del router1: Ejemplo:

Configuración del router2: Ejemplo:

Ejemplo del Perfil de Usuario del Servidor de AAA

CiscoSecure ACS 2.3 para Windows NT

CiscoSecure ACS 2.3 for UNIX

Servidor TACACS+

Servidor Livingston RADIUS

Servidor Radius de Ascend

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Proxy de la información para la autenticación de la característica


Configuración del Proxy de Autenticación


Primera publicación: De noviembre el 27 de 2000
Última actualización: 4 de agosto de 2009

La característica del Proxy de autenticación del Firewall Cisco IOS proporciona dinámico, autenticación por usuario y autorización, autenticando a los usuarios contra el estándar de la industria TACACS+ y los protocolos de autenticación de RADIUS. La autenticación y la autorización de las conexiones de los usuarios proporciona una protección más sólida contra los ataques a la red.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “la sección del proxy de la información para la autenticación de la característica”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en Cisco.com no se requiere.

Contenido

Requisitos previos para configurar el Proxy de autenticación

Restricciones para configurar el Proxy de autenticación

Información sobre configurar el Proxy de autenticación

Cómo configurar el Proxy de autenticación

Monitoreando y mantener el Proxy de autenticación

Ejemplos de configuración para el Proxy de autenticación

Referencias adicionales

Proxy de la información para la autenticación de la característica

Requisitos previos para configurar el Proxy de autenticación

Antes de configurar el Proxy de autenticación, revise el siguiente:

Para que el Proxy de autenticación trabaje correctamente, el host del cliente debe funcionar con el software del buscador siguiente:

– 3.0 de Microsoft Internet Explorer o más adelante

– 3.0 del navegador Netscape Navigator o más adelante

El Proxy de autenticación tiene una opción para utilizar las listas de acceso estándar. Usted debe tener los sólidos conocimientos de cómo las Listas de acceso se utilizan al filtrar tráfico antes de que usted intente configurar el Proxy de autenticación. Para una descripción de cómo utilizar las Listas de acceso con el Firewall Cisco IOS, refiera listas de control de acceso al capítulo las “: Información General y Pautas".

El Proxy de autenticación emplea la autenticación de usuario y la autorización según lo implementado en el paradigma del Authentication, Authorization, and Accounting (AAA) de Cisco. Usted debe entender cómo configurar la autenticación de usuario, la autorización, y las estadísticas AAA antes de que usted configure el Proxy de autenticación. La autenticación de usuario, la autorización, y las estadísticas se explican en el capítulo “Authentication, Authorization, and Accounting (AAA).”

Para ejecutar el Proxy de autenticación con éxito con el Firewall Cisco IOS, configuración CBAC en el Firewall. Para toda la información sobre la característica CBAC, refiera al capítulo el “que configura control de acceso basado en el contexto.”

Restricciones para configurar el Proxy de autenticación

Los activadores del Proxy de autenticación solamente en las conexiones HTTP.

Los servicios HTTP deben ejecutarse en el puerto (bien conocido) estándar, que es el puerto 80 para el HTTP.

Los buscadores del cliente deben habilitar el Javascript para la autenticación segura.

Las Listas de acceso del Proxy de autenticación se aplican para traficar el paso a través del router. El tráfico destinado al router es autenticado por los métodos de autentificación existentes proporcionados por el Cisco IOS Software.

El Proxy de autenticación no soporta el uso simultáneo; es decir, si dos usuarios intentan iniciar sesión del mismo host al mismo tiempo, la autenticación y autorización se aplica solamente al usuario que primero somete un nombre de usuario válido y una contraseña.

El Equilibrio de carga usando servidores de AAA múltiples o diversos no se soporta.

Información sobre configurar el Proxy de autenticación

La función Cisco IOS Firewall authentication proxy permite que los administradores de red apliquen políticas de seguridad específicas para cada usuario. Previamente, la Identificación del usuario y el acceso autorizado relacionado fueron asociados a una dirección IP del usuario, o una sola política de seguridad tuvo que ser aplicada a un grupo de usuarios o a un red secundario entero. Ahora, los usuarios pueden ser identificados y ser autorizados en base de su por usuario directiva. La adaptación de los privilegios de acceso en un caso por caso es posible, en comparación con la aplicación de una política general a través de los usuarios múltiples.

Con la característica del Proxy de autenticación, los usuarios pueden iniciar sesión a la red o acceder Internet vía el HTTP, y sus perfiles específicos del acceso se extraen y se aplican automáticamente del CiscoSecure ACS, o el otro RADIUS, o autenticación de TACACS+ servidor. Los perfiles del usuario son activos solamente cuando hay tráfico activo de los usuarios autenticados.

El Proxy de autenticación es compatible con otras funciones de seguridad del Cisco IOS tales como cifrado del Network Address Translation (NAT), del Control de acceso basado en el contexto (CBAC), de la seguridad IP (IPSec), y software del Cliente Cisco Secure VPN (cliente VPN).

Esta sección contiene las secciones siguientes:

Cómo el Proxy de autenticación trabaja

Autenticación Segura

Usando el Proxy de autenticación

Cuándo Utilizar el Servidor Alterno de Autenticación

Aplicación del Proxy de autenticación

Funcionamiento con Contraseñas de Uso Único

Compatibilidad con otras Funciones de Seguridad

Compatibilidad con Contabilización AAA

Protección frente a los Ataques de Negación de Servicio

Riesgo de Suplantación con Proxy de Autenticación

Comparación con la Función Lock-and-Key

Cómo el Proxy de autenticación trabaja

Cuando un usuario inicia HTTP session con el Firewall, se acciona el Proxy de autenticación. Las en primer lugar controles del Proxy de autenticación para ver si han autenticado al usuario. Si una entrada del Autenticación válido existe para el usuario, la conexión es completada sin la intervención adicional por el Proxy de autenticación. Si existe ninguna entrada, el Proxy de autenticación responde a la petición de conexión HTTP indicando al usuario para un nombre de usuario y contraseña.

El cuadro 1 ilustra las páginas de registro del Proxy de autenticación HTML.

Cuadro 1 páginas de registro del Proxy de autenticación

Los usuarios deben autenticarse con éxito con el servidor de autenticación ingresando un nombre de usuario válido y una contraseña.

Si la autenticación tiene éxito, el perfil de la autorización del usuario se extrae del servidor de AAA. El Proxy de autenticación utiliza la información en este perfil para crear las entradas del control de acceso dinámico (ACE) y para agregarlas al Access Control List entrante (de la entrada) (ACL) de una interfaz de entrada y (salida) al ACL saliente de una interfaz de salida, si un ACL de salida existe en la interfaz. Este proceso permite al Firewall para permitir el acceso de usuarios autenticados a la red según lo permitido por el perfil de la autorización. Por ejemplo, un usuario puede iniciar una conexión Telnet con el Firewall si Telnet se permite en el perfil de usuario.

Si la autenticación falla, el proxy de autenticación se lo notifica al usuario y le solicita varios reintentos. Si el usuario no puede autenticar después de que cinco tentativas, el usuario deban esperar dos minutos e iniciar otros HTTP session para accionar el Proxy de autenticación.

Se restauran las páginas de registro cada vez que el usuario hace las peticiones a la información de acceso de un servidor Web.

El Proxy de autenticación personaliza cada uno de las entradas de lista de acceso en el perfil del usuario substituyendo las dirección IP de origen en la lista de acceso descargada por la dirección IP de origen del host autenticado.

A la vez que los ACE dinámicos se agregan a la configuración de la interfaz, el Proxy de autenticación envía un mensaje al usuario que confirma que el login era acertado. El cuadro 2 ilustra el estatus del login en las páginas HTML.

Cuadro 2 mensaje de estado del login del Proxy de autenticación

El Proxy de autenticación configura un temporizador (ocioso) de la inactividad para cada perfil del usuario. Mientras haya actividad con el Firewall, el nuevo tráfico iniciado del host del usuario no acciona el Proxy de autenticación, y el tráfico del usuario autorizado es acceso permitido con el Firewall.

Si expira el temporizador de inactividad, el Proxy de autenticación quita la información del perfil del usuario y las entradas de listas de acceso dinámicas. Cuando sucede esto, el tráfico del host del cliente se bloquea. El usuario debe iniciar otra conexión HTTP para accionar el Proxy de autenticación.

Autenticación Segura

El Javascript de las aplicaciones del Proxy de autenticación a ayudar a alcanzar la autenticación segura usando el buscador del cliente. La autenticación segura evita que un cliente someta equivocadamente un nombre de usuario y contraseña a un servidor Web de la red con excepción del router del Proxy de autenticación.

Esta sección contiene las secciones siguientes:

Funcionamiento con Javascript

Operación sin JavaScript

Funcionamiento con Javascript

Los usuarios deben habilitar el Javascript en el navegador antes de iniciar una conexión HTTP. Con el Javascript habilitado en el navegador, la autenticación segura se hace automáticamente, y el usuario ve el mensaje de autenticación mostrado en el cuadro 2. La conexión HTTP se completa automáticamente para el usuario.

Operación sin JavaScript

Si el buscador del cliente no soporta el Javascript, o si la política de seguridad del sitio evita que los usuarios habiliten el Javascript, cualquier intento de inicio de sesión genera una ventana emergente con las instrucciones para manualmente completar la conexión. El cuadro 3 ilustra el mensaje de estado del login del Proxy de autenticación con el Javascript inhabilitado en el navegador.

Cuadro 3 mensaje de estado del login del Proxy de autenticación con el Javascript inhabilitado

Para cerrar esta ventana, cierre del tecleo en el menú de archivos del navegador.

Después de cerrar la ventana emergente, el usuario debe hacer clic la recarga (restaure para el Internet Explorer) en la ventana del buscador en la cual se visualiza la página de la conexión con el sistema de autenticación. Si el intento de autenticación más reciente del usuario tiene éxito, hacer clic la recarga saca a colación el Web page que el usuario está intentando extraer. Si la tentativa más reciente del usuario falla, hacer clic la recarga hace el Proxy de autenticación interceptar el tráfico HTTP del cliente otra vez, indicando al usuario con otras páginas de registro que soliciten el nombre de usuario y contraseña.

Si el Javascript no se habilita, se recomienda fuertemente que los administradores del sitio aconsejan a los usuarios del procedimiento correcto para cerrar la ventana emergente según lo descrito en la sección las “que establecen conexiones del usuario sin el Javascript.”

Usando el Proxy de autenticación

A diferencia de algunas características del Firewall Cisco IOS que actúen transparente al usuario, la característica del Proxy de autenticación requiere una cierta interacción del usuario en el host del cliente. El cuadro 1 describe la interacción del Proxy de autenticación con el host del cliente.

Interacción del Proxy de autenticación del cuadro 1 con el host del cliente 

Acción del Proxy de autenticación con el cliente
Descripción

El accionar en las conexiones HTTP

Si no autentican a un usuario actualmente en el router de escudo de protección, cualquier conexión HTTP inició por el usuario acciona el Proxy de autenticación. Si autentican al usuario ya, el Proxy de autenticación es transparente al usuario.

Apertura de sesión usando las páginas de registro

Accionar el Proxy de autenticación genera las páginas de registro basado en HTML. El usuario debe ingresar un nombre de usuario y contraseña que se autenticará con el servidor de AAA. El cuadro 1 ilustra las páginas de registro del Proxy de autenticación.

Autenticidad del usuario en el cliente

Después del intento de inicio de sesión, la acción del Proxy de autenticación puede variar dependiendo de si el Javascript está habilitado en el navegador. Si se habilita el Javascript, y la autenticación es acertada, el Proxy de autenticación visualiza un mensaje que indica el estatus de la autenticación tal y como se muestra en del cuadro 2. Después de que visualicen al estado de autenticación, el proxy completa automáticamente la conexión HTTP.

Si se inhabilita el Javascript, y la autenticación es acertada, el Proxy de autenticación genera una ventana emergente con las instrucciones adicionales para completar la conexión. Vea la figura 3.

Si la autenticación es fracasada en todo caso, el usuario debe iniciar sesión otra vez de las páginas de registro.


Cuándo Utilizar el Servidor Alterno de Autenticación

Aquí están los ejemplos de las situaciones en las cuales usted puede ser que utilice el Proxy de autenticación:

Usted quiere manejar los privilegios de acceso sobre (por usuario) una base individual usando los servicios proporcionados por los servidores de autenticación en vez de configurar el control de acceso basado en la dirección IP del host o las políticas de acceso globales. La autenticidad y autorizar a los usuarios de cualquier dirección IP del host también permite que los administradores de la red configuren los IP Addresses del host usando el DHCP.

Usted quiere autenticar y autorizar a los usuarios locales antes de permitir el acceso al intranet o los servicios de Internet o los hosts con el Firewall.

Usted quiere autenticar y autorizar a los usuarios remotos antes de permitir el acceso a los servicios locales o a los hosts con el Firewall.

Usted quiere controlar el acceso para los usuarios específicos del extranet. Por ejemplo, usted puede ser que quiera autenticar y autorizar al director financiero de un partner corporativo con un conjunto de los privilegios de acceso mientras que autorizaba al oficial de la tecnología para que ese mismo partner utilice otro conjunto de los privilegios de acceso.

Usted quiere utilizar el Proxy de autenticación conjuntamente con el software cliente VPN para validar a los usuarios y para asignar los privilegios de acceso específicos.

Usted quiere utilizar el Proxy de autenticación conjuntamente con las estadísticas AAA para generar el “comienzo” y “pare” los registros de contabilidad que se pueden utilizar para cargar en cuenta, la Seguridad, o los propósitos de la asignación del recurso, de tal modo permitiendo que los usuarios sigan el tráfico de los hosts autenticados.

Aplicación del Proxy de autenticación

Aplique el Proxy de autenticación en la dirección entrante en cualquier interfaz en el router donde usted quiere la autenticación por usuario y la autorización. La aplicación del Proxy de autenticación entrante en una interfaz la hace interceptar la petición de la conexión inicial de un usuario antes que la petición es sujetada a cualquier otra que procesa por el Firewall. Si el usuario no puede ganar la autenticación con el servidor de AAA, se cae el pedido de conexión.

Cómo usted se aplica el Proxy de autenticación depende de su política de seguridad. Por ejemplo, usted puede bloquear todo el tráfico a través de una interfaz y permitir a la característica del Proxy de autenticación para requerir la autenticación y autorización para todas las conexiones HTTP iniciadas usuario. Autorizan a los usuarios para los servicios sólo después de la autenticación satisfactoria con el servidor de AAA.

La característica del Proxy de autenticación también permite que usted utilice las listas de acceso estándar para especificar un host o a un grupo de hosts cuyo tráfico HTTP inicial accione el proxy.

El cuadro 4 muestra el Proxy de autenticación aplicado en la interfaz LAN con todos los usuarios de la red requeridos ser autenticado sobre la conexión inicial (todo el tráfico se bloquea en cada interfaz).

Cuadro 4 que aplica el Proxy de autenticación en la interfaz local

El cuadro 5 muestra el Proxy de autenticación aplicado en la interfaz del dial-in con todo el tráfico de la red bloqueado en cada interfaz.

Cuadro 5 que aplica el Proxy de autenticación en una interfaz exterior

Funcionamiento con Contraseñas de Uso Único

Dado una contraseña de USO único, el usuario ingresa el nombre de usuario y la contraseña de USO único en las páginas de registro HTML como de costumbre.

El usuario debe ingresar la contraseña simbólica correcta dentro de las primeras tres tentativas. Después de tres entradas incorrectas, el usuario debe ingresar dos contraseñas simbólicas válidas en la sucesión antes de que la autenticación sea concedida por el servidor de AAA.

Compatibilidad con otras Funciones de Seguridad

El Proxy de autenticación es compatible con el Cisco IOS Software y con las funciones de seguridad del Cisco IOS:

Sistema de la detección de intrusos del Firewall Cisco IOS (IDS)

NAT

CBAC

Encripción de IPSec

Software cliente VPN

El Proxy de autenticación trabaja transparente con las características del Firewall Cisco IOS IDS y de la encripción de IPSec. Las secciones siguientes describen la relación del NAT, del CBAC, y de las características del software cliente VPN con el Proxy de autenticación:

Compatibilidad de NAT

Compatibilidad de CBAC

Compatibilidad de Cliente de VPN

Compatibilidad de NAT

La característica del Proxy de autenticación es compatible con el NAT solamente si el ACL y la autenticación se completan antes de la traducción de NAT. Aunque el NAT sea compatible con la característica del Proxy de autenticación, el NAT no es un requisito de la característica.

Compatibilidad de CBAC

Aunque el Proxy de autenticación sea compatible con las funciones de la Seguridad CBAC, el CBAC no se requiere para utilizar la característica del Proxy de autenticación.

La autorización del Proxy de autenticación vuelve las entradas de control de acceso (ACE) que prepended dinámicamente en un ACL manualmente creado. Después de eso, aplique el ACL a la interfaz de entrada “lateral” protegida, permitiendo o rechazando el acceso de la dirección IP de origen de un usuario autorizado a las redes remotas.

Compatibilidad de Cliente de VPN

Usando el Proxy de autenticación, los administradores de la red pueden aplicar una capa adicional de Seguridad y de control de acceso para el tráfico del cliente VPN. Si un cliente VPN inicia una conexión HTTP, las en primer lugar controles del Proxy de autenticación para la autenticación de cliente anterior. Si autentican al cliente, se permite el tráfico autorizado. Si no autentican al cliente, el pedido de HTTP acciona el Proxy de autenticación, y indican al usuario para un nombre de usuario y contraseña.

Si la autenticación de usuario es acertada, el Proxy de autenticación extrae el perfil del usuario del servidor de AAA. Substituyen a la dirección de origen en las entradas del perfil del usuario por la dirección IP del cliente del VPN autenticado del paquete descifrado.

Compatibilidad con Contabilización AAA

Usando el Proxy de autenticación, usted puede generar el “comienzo” y “pare” los registros de contabilidad con bastante información que se utilizará para los propósitos el cargar en cuenta y de la auditoría de seguridad. Así, usted puede monitorear las acciones de los hosts autenticados que utilizan el servicio del Proxy de autenticación.

Cuando se crean un caché del Proxy de autenticación y las listas de control de acceso dinámico asociadas, el Proxy de autenticación comenzará a seguir el tráfico del host autenticado. Las estadísticas guardan los datos sobre este evento en una estructura de datos salvada con los datos de otros usuarios. Si se habilita la opción de comienzo de las estadísticas, usted puede generar un registro de contabilidad (un expediente del “comienzo”) ahora. El tráfico subsiguiente del host autenticado será registrado cuando el ACL dinámico creado por el Proxy de autenticación recibe los paquetes.

Cuando un caché del Proxy de autenticación expira y se borra, los datos adicionales, tales como tiempo transcurrido, se agregan a la información de la cuenta y un expediente de la “parada” se envía al servidor. En este momento, la información se borra de la estructura de datos.

Los registros de contabilidad para la sesión del usuario del Proxy de autenticación se relacionan con el caché y el uso de ACL dinámico.


Observelos registros de contabilidad debe incluir los atributos de RADIUS 42, 46, y 47 para el RADIUS y el TACACS+.


Para más información sobre los atributos de RADIUS, refiera al apéndice “atributos de RADIUS.”

Protección frente a los Ataques de Negación de Servicio

El Proxy de autenticación monitorea el nivel de pedidos de HTTP entrantes. Para cada petición, el Proxy de autenticación indica al usuario para las credenciales del login. Un número alto de peticiones abiertas podría indicar que el router es el tema de un ataque de Negación de servicio (DoS). El Proxy de autenticación limita el nivel de peticiones abiertas y de peticiones adicionales de los descensos hasta que el número de peticiones abiertas haya caído debajo de 40.

Si el Firewall está experimentando un nivel elevado de pedidos de conexión que requieren la autenticación, los usuarios de la red legítimos pueden experimentar los retardos al hacer las conexiones, o la conexión puede ser rechazada y el usuario debe intentar la conexión otra vez.

Riesgo de Suplantación con Proxy de Autenticación

Cuando se acciona el Proxy de autenticación, crea una apertura dinámica en el Firewall temporalmente configurando de nuevo una interfaz con los privilegios de acceso del usuario. Mientras que existe esta apertura, otro host pudo spoof que los usuarios autenticados dirigen para acceder detrás del Firewall. El Proxy de autenticación no causa el problema de la simulación de dirección; el problema se identifica solamente aquí como cuestión de preocupación al usuario. El spoofing es un problema inherente a todas las Listas de acceso, y el Proxy de autenticación no aborda específicamente este problema.

Comparación con la Función Lock-and-Key

El Cerrojo y llave es otra característica del Firewall Cisco IOS que utiliza la autenticación y la lista de acceso dinámica para proporcionar el acceso del usuario con el Firewall. El cuadro 2 compara el Proxy de autenticación y las características del Cerrojo y llave.

Comparación del cuadro 2 del Proxy de autenticación y de las características Cerrojo y Llaves 

Cerrojo y Llave
Proxy de Autenticación

Activadores en las peticiones de conexión Telnet.

Activadores en las peticiones de conexión HTTP.

TACACS+, RADIUS, o autenticación local.

TACACS+ o autenticación de RADIUS y autorización.

Las Listas de acceso se configuran en el router solamente.

Las Listas de acceso se extraen del servidor de AAA solamente.

Los privilegios de acceso se conceden en base de la dirección IP del host del usuario.

Los privilegios de acceso se conceden en por usuario y reciben la base de la dirección IP.

Las Listas de acceso se limitan a una entrada para cada dirección IP del host.

Las Listas de acceso pueden tener entradas múltiples según lo definido por los perfiles del usuario en el servidor de AAA.

Asocia los IP Address fijos a un usuario específico. Los usuarios deben iniciar sesión del host con esa dirección IP.

Permite los IP Addresses basado en DHCP del host, significando que los usuarios puedan iniciar sesión de cualquier ubicación del host y obtener la autenticación y autorización.


Utilice el Proxy de autenticación en cualquier entorno de red que proporcione por usuario una política de seguridad. Utilice el Cerrojo y llave en los entornos de red que pudieron beneficiarse de la autenticación local y de un número limitado de directivas basadas en el router del control de acceso basadas en las direcciones de host. Utilice el Cerrojo y llave en los entornos no usando el Cisco Secure Integrated Software.

Cómo configurar el Proxy de autenticación

Para configurar la característica del Proxy de autenticación, realice las tareas siguientes:

Configurando el AAA (requerido)

Configurando el servidor HTTP para el Proxy de autenticación (requerido)

Configurando el Proxy de autenticación (requerido)

Verificando el Proxy de autenticación (opcional)

Por los ejemplos de la configuración de servidor alterno de autenticación usando los comandos en este capítulo, refiera a la sección “ejemplos de configuración para el Proxy de autenticación” en el final de este capítulo.

Configurar el AAA

Usted debe configurar el Proxy de autenticación para los servicios AAA. Utilice los siguientes comandos en el modo de configuración global de habilitar la autorización y de definir los métodos de autorización:

 
Comando
Propósito

Paso 1 

router(config)# aaa new-model

Habilita las funciones AAA en el router.

Paso 2 

router(config)# aaa authentication login default TACACS+ RADIUS

Define la lista de métodos de autentificación en el login.

Paso 3 

router(config)# aaa authorization auth-proxy default [method1 [method2...]]

Utiliza auth-proxy la palabra clave para habilitar el Proxy de autenticación para los métodos AAA.

Paso 4 

router(config)# aaa accounting auth-proxy default start-stop group tacacs+

Utiliza auth-proxy la palabra clave para configurar la directiva de la autorización como ACL dinámicos que puedan ser descargados. Este comando activa las estadísticas del Proxy de autenticación.

Paso 5 

router(config)# tacacs-server host hostname

Especifica un servidor de AAA. Para los servidores de RADIUS, utilice radius server host el comando.

Paso 6 

router(config)# tacacs-server key key

Fija la autenticación y la clave de encripción para las comunicaciones entre el router y el servidor de AAA. Para los servidores de RADIUS utilice radius server key el comando.

Paso 7 

router(config)# access-list access-list-number

permit tcp host source eq tacacs host destination

Crea una entrada ACL para permitir el servidor de AAA al tráfico de retorno al Firewall. La dirección de origen es la dirección IP del servidor de AAA, y el destino es la dirección IP de la interfaz del router donde reside el servidor de AAA.

Además de configurar el AAA en el router de escudo de protección, el Proxy de autenticación requiere por usuario una configuración del perfil del acceso en el servidor de AAA. Para soportar el Proxy de autenticación, configure el servicio de la autorización AAA auth-proxy en el servidor de AAA según lo delineado aquí:

Defina una sección aparte de autorización para que auth-proxy la palabra clave especifique los perfiles del usuario transferibles. Esta palabra clave no interfiere con el otro tipo de servicio, tal como EXEC. El siguiente ejemplo muestra un perfil del usuario en un servidor TACACS:

default authorization = permit
key = cisco
user = newuser1 {
login = cleartext cisco
service = auth-proxy
{
priv-lvl=15
proxyacl#1="permit tcp any any eq 26"
proxyacl#2="permit icmp any host 60.0.0.2"
proxyacl#3="permit tcp any any eq ftp"
proxyacl#4="permit tcp any any eq ftp-data"
proxyacl#5="permit tcp any any eq smtp"
proxyacl#6="permit tcp any any eq telnet"
}
}

El único atributo soportado en la configuración de usuario del servidor de AAA es proxyacl#n. Utilice el atributo del proxyacl#n al configurar las Listas de acceso en el perfil. El proxyacl#n del atributo está para los pares del valor de atributo RADIUS y TACACS+ (AV).

El nivel de privilegio se debe fijar a 15 para todos los usuarios.

Las Listas de acceso en el perfil del usuario en el servidor de AAA deben tener comandos del acceso que contengan solamente permit la palabra clave.

Fije a la dirección de origen any a la palabra clave en cada uno de las entradas de lista de acceso del perfil del usuario. Substituyen a la dirección de origen en las Listas de acceso por la dirección de origen del host que hace la petición del Proxy de autenticación cuando el perfil del usuario se descarga al Firewall.

Los servidores de AAA soportados son:

– CiscoSecure ACS 2.1.x para el Windows NT

– CiscoSecure ACS 2,3 para Windows NT

– CiscoSecure ACS 2.2.4 para UNIX

– CiscoSecure ACS 2,3 para UNIX

– Servidor TACACS+ (vF4.02.alpha)

– Asciende el servidor de RADIUS radius-980618 (la corrección requerida de las pares de valor de atributo)

– Servidor Livingston RADIUS (v1.16)

Refiera a la sección “ejemplo del perfil del usuario del servidor de AAA” para las configuraciones de servidor AAA de la muestra.

Configurar el servidor HTTP para el Proxy de autenticación

Se utiliza esta tarea para habilitar el servidor HTTP en el Firewall y de configurar el proxy del método de autenticación de la autenticación AAA del servidor HTTP.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip http server

4.ip http access-class access-list-number

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip http server

Example:

Router# ip http server

Habilita el servidor HTTP en el router. El Proxy de autenticación utiliza el servidor HTTP para comunicar con el cliente para la autenticación de usuario.

Paso 4 

ip http access-class access-list-number

Example:

router(config)# configure terminal

Especifica la lista de acceso para el servidor HTTP. Utilice el número de lista del acceso estándar configurado en configuración de la interfaz de la sección “: Ejemplo.”

Configuración del Proxy de Autenticación

Utilice los siguientes comandos de configurar el Proxy de autenticación:

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip auth-proxy auth-cache-time min

4. ip auth-proxy auth-proxy-banner

5.ip auth-proxy name auth-proxy-name http []auth-cache-time min[list {acl |acl-name}]

6. interface type

7. ip auth-proxy auth-proxy-name

PASOS DETALLADOS

 
Comando
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip auth-proxy auth-cache-time min

Example:

Router(config)# ip auth-proxy auth-cache-time 5

(Opcional) fija el valor de agotamiento del tiempo inactivo del proxy de la autenticación global en los minutos. Si expira el descanso, las entradas de la autenticación de usuario se quitan, junto con cualquier lista de acceso dinámica asociada. El valor predeterminado es 60 minutos.

Observeel uso esta opción para cualquier regla del Proxy de autenticación a un valor más alto que el valor de agotamiento del tiempo inactivo para cualquier regla de la inspección de CBAC. Cuando el Proxy de autenticación quita un caché de la autenticación junto con su usuario dinámico asociado ACL, puede haber algunas conexiones inactivas monitoreadas por el CBAC, y el retiro de los ACL específicos del usuario podría hacer esas conexiones inactivas colgar. Si el CBAC tiene un tiempo de inactividad más corto, el CBAC reajusta estas conexiones cuando expira el tiempo de inactividad; es decir, antes del Proxy de autenticación quita el perfil del usuario.

Paso 4 

ip auth-proxy auth-proxy-banner

Example:

Router(config)# configure terminal

(Opcional) visualiza el nombre del router de escudo de protección en las páginas de registro del Proxy de autenticación. El banner se inhabilita por abandono.

Paso 5 

ip auth-proxy name auth-proxy-name http [auth-cache-time min] [list {acl |acl-name}]

Example:

Router(config)# ip auth-proxy name HQ_users http

Crea las reglas del Proxy de autenticación. Las reglas definen cómo usted aplica el Proxy de autenticación. Este comando asocia las conexiones que inician el tráfico del protocolo HTTP con un nombre del Proxy de autenticación. Usted puede asociar la regla Nombrada a un Access Control List (ACL), proporcionando al control sobre las cuales los hosts utilizan la característica del Proxy de autenticación. Si no se define ninguna lista de acceso estándar, la regla Nombrada del Proxy de autenticación intercepta el tráfico HTTP de todos los hosts cuya conexión que inicia los paquetes se reciban en la interfaz configurada.

(Opcional) auth-cache-time la opción reemplaza el temporizador de la autenticación global caché del proxy. Esta opción proporciona más control sobre los valores de agotamiento del tiempo para una regla específica del Proxy de autenticación. Si no se especifica ningún valor, la regla del proxy asume el valor establecidovalor establecido con ip auth-proxy auth-cache-time el comando.

(Opcional) list la opción permite que usted aplique un estándar, extendido (1-199), o la lista de acceso denominada a una regla Nombrada del Proxy de autenticación. Las conexiones HTTP iniciadas por los hosts en la lista de acceso son interceptadas por el Proxy de autenticación.

Paso 6 

interface type

Example:

Router(config)# interface Ethernet0/0

Ingresa al modo de configuración de la interfaz especificando el tipo de interfaz en quien aplicar el Proxy de autenticación.

Paso 7 

ip auth-proxy auth-proxy-name

Example:

Router(config-if)# ip auth-proxy HQ_users http

En el modo de configuración de la interfaz, aplica la regla Nombrada del Proxy de autenticación en la interfaz. Este comando habilita la regla del Proxy de autenticación con ese nombre.

Verificar el Proxy de autenticación

Verificar la configuración de servidor alterno de autenticación puede tener varios componentes:

Marcando la configuración de servidor alterno de autenticación (opcional)

Estableciendo las conexiones del usuario con el Javascript (opcional)

Estableciendo las conexiones del usuario sin el Javascript (opcional)

Marcar la configuración de servidor alterno de autenticación

Para marcar la configuración de servidor alterno de autenticación actual, utilice show ip auth-proxy configuration el comando en el modo EXEC privilegiado:

Comando
Propósito

router# show ip auth-proxy configuration

Visualiza la configuración de servidor alterno de autenticación.


En el siguiente ejemplo, el valor de agotamiento del tiempo inactivo del proxy de la autenticación global se fija a 60 minutos, la regla Nombrada del Proxy de autenticación es “pxy”, y el valor de agotamiento del tiempo inactivo para esta regla Nombrada es un minuto. La visualización muestra que no se especifica ninguna lista del host, significando que todas las conexiones que inician el tráfico HTTP en la interfaz están conforme a la regla del Proxy de autenticación.

router# show ip auth-proxy configuration
Authentication cache time is 60 minutes
Authentication Proxy Rule Configuration
Auth-proxy name pxy
http list not specified auth-cache-time 1 minutes

Para verificar que el Proxy de autenticación esté configurado con éxito en el router, pida que un usuario inicie una conexión HTTP a través del router. El usuario debe tener autenticación y autorización configurada en el servidor de AAA. Si la autenticación de usuario es acertada, el Firewall completa la conexión HTTP para el usuario. Si la autenticación es fracasada, marque la lista de acceso y las configuraciones de servidor AAA.

Visualice las entradas de la autenticación de usuario usando show ip auth-proxy cache el comando en el modo EXEC privilegiado:

Comando
Propósito

router# show ip auth-proxy cache

Visualiza la lista de entradas de la autenticación de usuario.


El caché del Proxy de autenticación enumera la dirección IP del host, el número del puerto de origen, el valor de agotamiento del tiempo para el Proxy de autenticación, y el estado de la conexión. Si el estado del Proxy de autenticación está HTTP_ESTAB, la autenticación de usuario era acertada.

router# show ip auth-proxy cache
Authentication Proxy Cache
 Client IP 192.168.25.215 Port 57882, timeout 1, state HTTP_ESTAB

Espere un minuto, que es el valor de agotamiento del tiempo para esta regla Nombrada, y pida que el usuario intente la conexión otra vez. Después de un minuto, se niega la conexión del usuario porque el Proxy de autenticación ha quitado el cualquier ACL dinámico asociado del usuario la entrada de autenticación y. Presentan con una nueva página de la conexión con el sistema de autenticación y debe iniciar sesión el usuario otra vez para acceder con el Firewall.

Establecimiento de las conexiones del usuario con el Javascript

Para verificar las conexiones cliente usando el Proxy de autenticación con el Javascript habilitado en el buscador del cliente, siga este procedimiento:


Paso 1De un host del cliente, inicie una conexión HTTP con el Firewall. Esto genera la página de inicio de sesión en el proxy de autenticación.

Paso 2En las páginas de registro del Proxy de autenticación, ingrese un nombre de usuario y contraseña.

Paso 3Haga clic OK para someter el nombre de usuario y contraseña al servidor de AAA.

Aparece una ventana pop-up que indica si el intento de login ha tenido éxito o ha fallado. Si la autenticación es acertada, la conexión se completa automáticamente. Si la autenticación falla, el proxy de autenticación se lo notifica al usuario y le solicita varios reintentos.



Observesi el intento de autenticación es fracasado después de que cinco tentativas, el usuario deban esperar dos minutos e iniciar otros HTTP session para accionar el Proxy de autenticación.


Establecimiento de las conexiones del usuario sin el Javascript

Para asegurar la autenticación segura, el diseño del Proxy de autenticación requiere el Javascript. Usted puede utilizar el Proxy de autenticación sin habilitar el Javascript en el navegador, pero éste plantea un riesgo de seguridad potencial si los usuarios no establecen correctamente las conexiones de red. El siguiente procedimiento proporciona los pasos para establecer correctamente una conexión con el Javascript inhabilitado. Aconsejan los administradores de la red fuertemente dar instrucciones a los usuarios en cómo establecer correctamente las conexiones usando el procedimiento en esta sección.


El errorde la nota seguir este procedimiento puede hacer los credenciales de usuario ser pasado a un servidor Web de la red con excepción del Proxy de autenticación o puede hacer el Proxy de autenticación rechazar el intento de inicio de sesión.


Para verificar las conexiones cliente usando el Proxy de autenticación cuando el Javascript no se habilita en el buscador del cliente, siga este procedimiento:


Paso 1Inicie una conexión HTTP con el Firewall.

Esto genera la página de inicio de sesión en el proxy de autenticación.

Paso 2De las páginas de registro del Proxy de autenticación en el cliente, ingrese el nombre de usuario y contraseña.

Paso 3Haga Click en OK para someter el nombre de usuario y contraseña al servidor de AAA.

Aparece una ventana pop-up que indica si el intento de login ha tenido éxito o ha fallado. Si la ventana emergente indica la autenticación satisfactoria, vaya al paso 7.

Paso 4Si la ventana emergente visualiza un mensaje de la autenticación fallida, cierre del tecleo en el menú de archivos del navegador.


La notano hace clic la recarga (restaure para el Internet Explorer) para cerrar la ventana emergente.


Paso 5De la página original de la conexión con el sistema de autenticación, recarga del tecleo (restaure para el Internet Explorer) en la barra de herramientas del navegador. Las credenciales de los ingresos del usuario al sistema se borran de la forma.


La notano hace clic la AUTORIZACIÓN. Usted debe hacer clic la recarga o restaurarla para borrar el nombre de usuario y contraseña y para recargar la forma antes de intentar iniciar sesión otra vez.


Paso 6Ingrese el nombre de usuario y contraseña otra vez.

Si la autenticación es acertada, una ventana aparece que visualiza un mensaje de la autenticación satisfactoria. Si la ventana visualiza un mensaje de la autenticación fallida, vaya al paso 4.

Paso 7Cierre del tecleo en el menú de archivos del navegador.

Paso 8De las páginas de registro originales del Proxy de autenticación, recarga del tecleo (restaure para el Internet Explorer) en la barra de herramientas del navegador.

El Proxy de autenticación completa la conexión autenticada con el servidor Web.


Monitoreando y mantener el Proxy de autenticación

Esta sección describe cómo ver las entradas de lista de acceso dinámico y cómo quitar manualmente las entradas de autenticación. Esta sección contiene las secciones siguientes:

Visualización de Entradas ACL Dinámicas

Eliminación de Entradas de la Memoria Caché del Servidor Alterno de Autenticación

Visualización de Entradas ACL Dinámicas

Usted puede visualizar las entradas de lista de acceso dinámico cuando son funcionando. Después de que una entrada del Proxy de autenticación sea borrada por usted o por el parámetro de tiempo de inactividad, usted puede visualizarlo no más. El número de coincidencias mostradas indica el número de veces que se consultó la entrada de la lista de acceso.

Para ver las listas de acceso dinámicas y cualquier entrada temporaria de la lista de acceso que sean establecidas actualmente por el Proxy de autenticación, utilice show ip access-lists el comando en el modo EXEC privilegiado:

Comando
Propósito

router# show ip access-lists

Visualiza el estándar y las listas de acceso ampliadas configurados en el Firewall, incluyendo las entradas ACL dinámicas.


Considere el siguiente ejemplo donde está entrante el ACL 105 aplicado en la interfaz de entrada donde usted configura el Proxy de autenticación. La visualización inicial muestra el contenido de los ACL antes de la autenticación. La segunda visualización muestra las mismas visualizaciones después de la autenticación de usuario con el servidor de AAA.


Observesi NAT se configura, show ip access list el comando pudo visualizar la dirección IP traducida del host para la entrada ACL dinámica o la dirección IP del host que iniciaba la conexión. Si el ACL se aplica en la interfaz exterior NAT, visualizan a la dirección traducida. Si el ACL se aplica en la interfaz interior NAT, la dirección IP del host que inicia la conexión se visualiza. show ip auth-proxy cache El comando always visualiza la dirección IP del host que inicia la conexión.


Por ejemplo, lo que sigue es una lista de entradas ACL antes del Proxy de autenticación:

Router# show ip access-lists
    .
    .
    .
Extended IP access list 105
 deny tcp any any eq telnet
 deny udp any any
 permit tcp any any (28 matches)
 permit ip any any

La salida de muestra siguiente muestra una lista de entradas ACL después de la autenticación de usuario:

Router# show ip access-lists
    .
    .
    .
Extended IP access list 105
! The ACL entries following user authentication are shown below.
 permit tcp host 192.168.25.215 any eq 26
 permit icmp host 192.168.25.215 host 60.0.0.2
 permit tcp host 192.168.25.215 any eq telnet
 permit tcp host 192.168.25.215 any eq ftp
 permit tcp host 192.168.25.215 any eq ftp-data
 permit tcp host 192.168.25.215 any eq smtp
 deny tcp any any eq telnet
 deny udp any any
 permit tcp any any (76 matches)
 permit ip any any

Eliminación de Entradas de la Memoria Caché del Servidor Alterno de Autenticación

Cuando el Proxy de autenticación es funcionando, las listas de acceso dinámicas crecen y se encogen dinámicamente mientras que se agregan y se borran las entradas de autenticación. Para visualizar la lista de entradas de autenticación, utilice show ip auth-proxy cache el comando. Para borrar manualmente una entrada de autenticación, utilice clear ip auth-proxy cache el comando en el modo EXEC privilegiado:

Comando
Propósito

router# clear ip auth-proxy cache

{* | host ip address}

Borra las entradas del Proxy de autenticación del Firewall antes de que midan el tiempo hacia fuera. Utilice un asterisco para borrar todas las entradas del caché de la autenticación. Ingrese un IP Address específico para borrar una entrada para un solo host.


Ejemplos de configuración para el Proxy de autenticación

Configurar la característica del Proxy de autenticación requiere los cambios de configuración en el router y el servidor de AAA. Las secciones siguientes proporcionan los ejemplos de la configuración de servidor alterno de autenticación:

Ejemplo de Configuración de Servidor Alterno de Autenticación

Ejemplo de Configuración del Proxy de Autenticación, IPSec y CBAC

Ejemplo de Configuración del Proxy de Autenticación, IPSec, NAT y CBAC

Ejemplo del Perfil de Usuario del Servidor de AAA

En estos ejemplos, el signo de exclamación (!) indica una línea de comentarios. Las líneas de comentarios preceden las entradas de configuración que son descritas.

Ejemplo de Configuración de Servidor Alterno de Autenticación

Los siguientes ejemplos resaltan las entradas específicas de la configuración de servidor alterno de autenticación. Estos ejemplos no representan una configuración del router completa. Las configuraciones del router completas usando el Proxy de autenticación se incluyen más adelante en este capítulo.

Esta sección contiene los ejemplos siguientes:

Configuración AAA: Ejemplo:

Configuración de servidor HTTP: Ejemplo:

Configuración de servidor alterno de autenticación: Ejemplo:

Configuración de la interfaz: Ejemplo:

Configuración AAA: Ejemplo:

aaa new-model
aaa authentication login default group tacacs group radius
! Set up the aaa new model to use the authentication proxy.
aaa authorization auth-proxy default group tacacs group radius
! Define the AAA servers used by the router.
aaa accounting auth-proxy default start-stop group tacacs+
! Set up authentication proxy with accounting.
tacacs-server host 172.31.54.143 
tacacs-server key cisco
radius-server host 172.31.54.143
radius-server key cisco

Configuración de servidor HTTP: Ejemplo:

! Enable the HTTP server on the router.
ip http server
! Set the HTTP server authentication method to AAA.
ip http authentication aaa
! Define standard access list 61 to deny any host.
access-list 61 deny any 
! Use ACL 61 to deny connections from any host to the HTTP server.
ip http access-class 61

Configuración de servidor alterno de autenticación: Ejemplo:

! Set the global authentication proxy timeout value.
ip auth-proxy auth-cache-time 60
! Apply a name to the authentication proxy configuration rule.
ip auth-proxy name HQ_users http

Configuración de la interfaz: Ejemplo:

! Apply the authentication proxy rule at an interface.
interface e0 
ip address 10.1.1.210 255.255.255.0
ip auth-proxy HQ_users

Ejemplo de Configuración del Proxy de Autenticación, IPSec y CBAC

El siguiente ejemplo muestra una configuración del router con el Proxy de autenticación, el IPSec, y las características CBAC. El cuadro 6 ilustra la configuración.


Observesi usted están utilizando esta característica con el Cisco IOS Software Release 12.3(8)T o Posterior, vea la verificación de acceso Crypto en el documento de los paquetes del texto claro.


Cuadro 6 Proxy de autenticación, IPSec, y ejemplo de la configuración CBAC

En este ejemplo, el host A inicia una conexión HTTP con el servidor Web (WWW). El tráfico HTTP entre el router1 y el router2 se cifra usando el IPSec. El Proxy de autenticación, el IPSec, y el CBAC se configuran en el serial0 de la interfaz en el router2, que está actuando como el Firewall. El ACL 105 bloquea todo el tráfico en el serial0 de la interfaz. El ACL 102 es aplicado en el interface ethernet0 en el router2 bloquear todo el tráfico en esa interfaz excepto el tráfico del servidor de AAA.

Cuando el host A inicia una conexión HTTP con el servidor Web, el Proxy de autenticación indica al usuario en el host A para un nombre de usuario y contraseña. Estas credenciales se verifican con el servidor de AAA para la autenticación y autorización. Si la autenticación es exitosa, las ACLs por usuario se descargan en el firewall para permitir los servicios.

Los siguientes ejemplos proporcionan las configuraciones del router1 y del router2 para lo completo:

Configuración del router1: Ejemplo:

Configuración del router2: Ejemplo:

Configuración del router1: Ejemplo:

! Configure Router 1 for IPSec.
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router1
!
logging buffered 4096 debugging
no logging console
enable secret 5 $1$E0OB$AQF1vFZM3fLr3LQAOsudL/
enable password junk
!
username Router2 password 0 welcome
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco1234 address 10.0.0.2       
!
crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac 
!
!
 crypto map testtag 10 ipsec-isakmp   
 set peer 10.0.0.2
 set transform-set rule_1 
 match address 155
!
interface Ethernet0/0
 ip address 192.168.23.2 255.255.255.0
 no ip directed-broadcast
 no ip route-cache
 no ip mroute-cache
!
interface Serial3/1
 ip address 10.0.0.1 255.0.0.0
 no ip directed-broadcast
 encapsulation PPP
 ip route-cache
 no ip mroute-cache
 no keepalive
 no fair-queue
 clockrate 56000
 crypto map testtag
!
!
ip classless
ip route 192.168.123.0 255.255.255.0 10.0.0.2
! Identify the IPSec specific traffic.
access-list 155 permit tcp host 192.168.23.13 host 192.168.123.14 eq www
access-list 155 permit tcp host 192.168.23.13 eq www host 192.168.123.14

Configuración del router2: Ejemplo:

! Configure Router 2 as the firewall, using the authentication proxy, IPSec, and CBAC.
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router2
!
logging buffered 4096 debugging
aaa new-model
aaa authentication login default group tacacs
aaa authentication login console_line none
aaa authentication login special none
aaa authentication ppp default group tacacs
aaa authorization exec default group tacacs
! Configure AAA for the authentication proxy.
aaa authorization auth-proxy default group tacacs+
enable password junk
!
! Create the CBAC inspection rule HTTP_TEST.
ip inspect name rule22 http
ip inspect name rule22 tcp
ip inspect name rule22 ftp
ip inspect name rule22 smtp
!
! Create the authentication proxy rule PXY.
ip auth-proxy name pxy http
! Turn on display of the router name in the authentication proxy login page.
ip auth-proxy auth-proxy-banner
ip audit notify log
ip audit po max-events 100
!
! Configure IPSec.
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco1234 address 10.0.0.1       
!
crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac 
!
 crypto map testtag 10 ipsec-isakmp   
 set peer 10.0.0.1
 set transform-set rule_1 
 match address 155
!
! Apply the CBAC inspection rule and the authentication proxy rule at interface
! Serial0/0.
interface Serial0/0
 ip address 10.0.0.2 255.0.0.0
 ip access-group 105 in
 no ip directed-broadcast
 ip inspect rule22 in
 ip auth-proxy pxy
 encapsulation ppp
 no ip route-cache
 no ip mroute-cache
 no keepalive
 no fair-queue
crypto map testtag
!
interface Ethernet0/1
 ip address 192.168.123.2 255.255.255.0
 ip access-group 102 in
 no ip directed-broadcast
 ip route-cache
 no ip mroute-cache
!
no ip classless
ip route 192.168.23.0 255.255.255.0 10.0.0.1
ip route 192.168.50.0 255.255.255.0 16.0.0.1
! Configure the HTTP server.
ip http server
ip http access-class 15
ip http authentication aaa
!
! Create ACL 15 to block all traffic for the http server.
access-list 15 deny any
! Create ACL 102 to block all traffic inbound on interface Ethernet0/1 except for 
! traffic from the AAA server.
access-list 102 permit tcp host 192.168.123.20 eq tacacs host 192.168.123.2
access-list 102 deny   tcp any any
access-list 102 deny   udp any any
access-list 102 permit ip any any
! Create ACL 105 to block all traffic inbound on interface Serial0/0. Permit only IP
! protocol traffic.
access-list 105 deny   tcp any any
access-list 105 deny   udp any any
access-list 105 permit ip any any
! Identify the IPSec specific traffic.
access-list 155 permit tcp host 192.168.123.14 host 192.168.23.13 eq www
access-list 155 permit tcp host 192.168.123.14 eq www host 192.168.23.13
!
! Define the AAA server host and encryption key.
tacacs-server host 192.168.123.14
tacacs-server key cisco
!
line con 0
 exec-timeout 0 0
 login authentication special
 transport input none
line aux 0
 transport input all
 speed 38400
 flowcontrol hardware
line vty 0 4
 password lab

Ejemplo de Configuración del Proxy de Autenticación, IPSec, NAT y CBAC

El siguiente ejemplo proporciona una configuración del router con el Proxy de autenticación, las características del IPSec, NAT, y CBAC. El cuadro 7 ilustra la configuración.

Cuadro 7 Proxy de autenticación, IPSec, y ejemplo de la configuración CBAC

En este ejemplo, el host A inicia una conexión HTTP con el servidor Web (WWW). El tráfico HTTP entre el router1 (interfaz BRI0) y el router2 (Serial2 de la interfaz) se cifra usando el IPSec. El Proxy de autenticación se configura en el router2, que está actuando como el Firewall. El Proxy de autenticación, el NAT, y el CBAC se configuran en el Serial2 de la interfaz, que está actuando como el Firewall. El ACL 105 bloquea todo el tráfico en el Serial2 de la interfaz. El ACL 102 es aplicado en el interface ethernet0 en el router2 bloquear todo el tráfico en esa interfaz excepto el tráfico del servidor de AAA. En este ejemplo, el Proxy de autenticación utiliza ACL estándar 10 para especificar los hosts usando la característica del Proxy de autenticación.

Cuando cualquier host en ACL 10 inicia una conexión HTTP con el servidor Web, el Proxy de autenticación indica al usuario en ese host para un nombre de usuario y contraseña. Estas credenciales se verifican con el servidor de AAA para la autenticación y autorización. Si la autenticación es exitosa, las ACLs por usuario se descargan en el firewall para permitir los servicios.

Los siguientes ejemplos proporcionan el router1 y las configuraciones del router2 para lo completo:

Configuración del router1: Ejemplo:

Configuración del router2: Ejemplo:

Configuración del router1: Ejemplo:

! Configure router 1 for IPSec.
version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname Router1
 !
 logging buffered 4096 debugging
 no logging console
 !
isdn switch-type basic-5ess
 !
 crypto isakmp policy 1
  authentication pre-share
 crypto isakmp key cisco1234 address 16.0.0.2       
 crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac 
 !
  !
  crypto map testtag 10 ipsec-isakmp   
  set peer 16.0.0.2
  set transform-set rule_1 
  match address 155
 !
 !
 process-max-time 200
 !
 interface BRI0
  ip address 16.0.0.1 255.0.0.0
  no ip directed-broadcast
  encapsulation ppp
  dialer idle-timeout 5000
  dialer map ip 16.0.0.2 name router2 broadcast 50006
  dialer-group 1
  isdn switch-type basic-5ess
  crypto map testtag
 ! 
 interface FastEthernet0
  ip address 192.168.50.2 255.255.255.0
  no ip directed-broadcast
 !
 ip classless
 ip route 192.168.150.0 255.255.255.0 16.0.0.2
 no ip http server
! Identify the IPSec specific traffic.
 access-list 155 permit tcp host 192.168.50.13 host 192.168.150.100 eq www
 access-list 155 permit tcp host 192.168.50.13 eq www host 192.168.150.100
 dialer-list 1 protocol ip permit
 !
 line con 0
  exec-timeout 0 0
  transport input none
 line aux 0
 line vty 0 4
  password lab
  login

Configuración del router2: Ejemplo:

! Configure router 2 as the firewall, using the authentication proxy, IPSec, NAT, and
! CBAC.
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname router2
 !
 logging buffered 4096 debugging
 aaa new-model
 aaa authentication login default group tacacs+
 aaa authentication login console_line none
 aaa authorization exec default group tacacs+
 ! Configure AAA for the authentication proxy.
 aaa authorization auth-proxy default group tacacs+
!
 ! Create the CBAC inspection rule "rule44."
 ip inspect name rule44 http java-list 5
 ip inspect name rule44 tcp
 ip inspect name rule44 ftp
 ip inspect name rule44 smtp
 !
 ! Create the authentication proxy rule "pxy." Set the timeout value for rule
 ! pxy to three minutes. Standard ACL 10 is applied to the rule.
 ip auth-proxy name pxy http list 10 auth-cache-time 3
 isdn switch-type primary-5ess
 !
 ! Configure IPSec.
 crypto isakmp policy 1
  authentication pre-share
 crypto isakmp key cisco1234 address 16.0.0.1       
 !
 !
 crypto ipsec transform-set rule_1 ah-sha-hmac esp-des esp-sha-hmac 
 !
  !        
  crypto map testtag 10 ipsec-isakmp   
  set peer 16.0.0.1
  set transform-set rule_1 
  match address 155
!         
 controller T1 2/0
  framing esf
  linecode b8zs
  pri-group timeslots 1-24
!         
! Apply ACL 102 inbound at interface Ethernet0/1 and configure NAT.
interface Ethernet0/1
 ip address 192.168.150.2 255.255.255.0
 ip access-group 102 in
 no ip directed-broadcast
 ip nat inside
 no ip mroute-cache
!         
! Apply the authentication proxy rule PXY, CBAC inspection rule HTTP_TEST, NAT, and
! and ACL 105 at interface Serial2/0:23.
interface Serial2/0:23
 ip address 16.0.0.2 255.0.0.0
 ip access-group 105 in
 no ip directed-broadcast
 ip nat outside
 ip inspect rule44 in
 ip auth-proxy pxy
 encapsulation ppp
 ip mroute-cache
 dialer idle-timeout 5000
 dialer map ip 16.0.0.1 name router1 broadcast 71011
 dialer-group 1
 isdn switch-type primary-5ess
 fair-queue 64 256 0
 crypto map testtag
!         
! Use NAT to translate the Web server address.
ip nat inside source static 192.168.150.14 192.168.150.100
ip classless
ip route 192.168.50.0 255.255.255.0 16.0.0.1
! Configure the HTTP server.
ip http server
ip http access-class 15
ip http authentication aaa
!
! Create standard ACL 5 to specify the list of hosts from which to accept java applets.
! ACL 5 is used to block Java applets in the CBAC inspection rule named "rule44," which
! is applied at interface Serial2/0:23.
access-list 5 permit any
! Create standard ACL 10 to specify the hosts using the authentication proxy. This ACL
! used in the authentication proxy rule named "PXY", which is applied at interface
! Serial2/0:23.
access-list 10 permit any
! Create ACL 15 to block all traffic for the http server.
access-list 15 deny any
! Create extended ACL 102 to block all traffic inbound on interface Ethernet0/1
! except for traffic from the AAA server.
access-list 102 permit tcp host 192.168.150.20 eq tacacs 192.168.150.2
access-list 102 deny   tcp any any
access-list 102 deny   udp any any
access-list 102 permit ip any any
! Create extended ACL 105 to block all TCP and UDP traffic inbound on interface
! Serial2/0:23.
access-list 105 deny   tcp any any
access-list 105 deny   udp any any
access-list 105 permit ip any any
! Identify the IPSec specific traffic.
access-list 155 permit tcp host 192.168.150.100 host 192.168.50.13 eq www
access-list 155 permit tcp host 192.168.150.100 eq www host 192.168.50.13
dialer-list 1 protocol ip permit
! Define the AAA server host and encryption key.
tacacs-server host 192.168.126.14 
tacacs-server key cisco
!
line con 0
 exec-timeout 0 0
! Define the AAA server host and encryption key.
 login authentication console_line
 transport input none
 line aux 0
 line vty 0 4
 password lab
!
!
 end

Ejemplo del Perfil de Usuario del Servidor de AAA

Esta sección incluye los ejemplos de las entradas del perfil del usuario del Proxy de autenticación en los servidores de AAA. Las entradas del “proxyacl” definen los privilegios de acceso del usuario. Después de que el usuario haya utilizado con éxito el Proxy de autenticación para iniciar sesión, estas entradas se transfieren al router de escudo de protección. Cada entrada en el perfil debe especificar el acceso del “permiso” para el servicio o la aplicación. Fijan a la dirección de origen en cada entrada a “ninguno”, que se substituya por la dirección IP del host de autenticidad cuando el perfil se descarga al Firewall. El nivel de privilegio se debe fijar a 15 para todos los usuarios AAA.

Esta sección contiene las secciones siguientes:

CiscoSecure ACS 2.3 para Windows NT

CiscoSecure ACS 2.3 for UNIX

Servidor TACACS+

Servidor Livingston RADIUS

Servidor Radius de Ascend

CiscoSecure ACS 2.3 para Windows NT

Esta sección describe cómo configurar el Proxy de autenticación en el CiscoSecure ACS 2,3 para el Windows NT. Para información detallada sobre el CiscoSecure ACS, refiera a la documentación para ese producto.

El siguiente ejemplo está para el servicio TACACS+ del CiscoSecure ACS para el Windows NT.


Paso 1Haga clic el icono de la configuración de la interfaz y haga clic TACACS+ (Cisco).

a.Navegue hacia abajo a los nuevos servicios.

b.Agregue un nuevo servicio, “auténtico-proxy”, en el campo del servicio. Deje el campo del protocolo vacío.

c.Seleccione los cuadros del usuario y de casilla del grupo para el nuevo servicio.

d.Navegue hacia abajo para avanzar la opción de configuración y para marcar las características por usuario anticipadas TACACS+.

e.El tecleo somete.

Paso 2Haga clic el icono de la configuración de red.

a.Haga clic el icono de la entrada del agregar para los servidores de acceso a la red y complete el nombre de la computadora principal del Network Access Server, la dirección IP, y los campos de la clave (la clave configurada en el router).

b.Seleccione TACACS+ (Cisco) para la autenticidad usando la opción.

c.Haga clic Submit + Restart el icono.

Paso 3Haga clic el icono de la configuración de grupo.

a.Seleccione a un grupo de usuarios del menú desplegable.

b.Seleccione a los usuarios en el cuadro de casilla del grupo.

c.Seleccione a un usuario de la lista de usuario.

d. En la lista de la configuración de usuario, navegue hacia abajo a las configuraciones TACACS+ y seleccione la casilla de verificación del “auténtico-proxy”.

e.Seleccione la casilla de verificación de los atributos personalizados.

f.Agregue las entradas del perfil (no utilice las citas simples o dobles alrededor de las entradas) y fije el nivel de privilegio a 15.

priv-lvl=15
proxyacl#1=permit tcp any any eq 26 
proxyacl#2=permit icmp any host 60.0.0.2 
proxyacl#3=permit tcp any any eq ftp
proxyacl#4=permit tcp any any eq ftp-data 
proxyacl#5=permit tcp any any eq smtp
proxyacl#6=permit tcp any any eq telnet

g.El tecleo somete.

Paso 4Haga clic el icono de la configuración de usuario.

a.Haga clic la lista todos los usuarios.

b.Agregue un nombre de usuario.

c.Navegue hacia abajo a la autenticación de contraseña de la configuración de usuario.

d.Seleccione la placa Token del SecurID del SDI del menú desplegable de la autenticación de contraseña.

e.Seleccione el grupo de usuarios configurado anterior 1.

f.El tecleo somete.

Paso 5Icono de la configuración de grupo del tecleo otra vez.

a.Seleccione el grupo de usuarios 1.

b.Haga clic a los usuarios en el grupo.

c.El tecleo edita las configuraciones.

d.Haga clic Submit + Restart el icono para aseegurar configuración más posterior es actualizado y enviado al servidor de AAA.


CiscoSecure ACS 2.3 for UNIX

Esta sección describe cómo configurar el Proxy de autenticación en el CiscoSecure ACS 2,3 para UNIX. Para información detallada sobre el CiscoSecure ACS, refiera a la documentación para ese producto.

Para manejar el CiscoSecure ACS usando el programa del administrador, usted necesita a un buscador Web que soporte las Javas y el Javascript. Usted debe habilitar las Javas en la aplicación del buscador. Usted puede encender el programa de configuración avanzada del administrador del CiscoSecure de la Java basada de los Web pages uces de los del administrador del CiscoSecure ACS.

El procedimiento de siguiente ejemplo está para el servicio TACACS+ del CiscoSecure ACS 2,3 para UNIX.


Paso 1En la barra de menú de la red del CiscoSecure ACS de la interfaz Web del CiscoSecure ACS, el tecleo avanzado y entonces hace clic avanzado otra vez.

El programa de configuración avanzada del administrador del CiscoSecure de la Java basada aparece. Puede ser que requiera algunos minutos para cargar.

Paso 2En el programa de configuración avanzada del administrador del CiscoSecure, localice y no reelija como candidato hojean en el panel Navigator (Navegador) de la página tabulada de los miembros.

Esto visualiza el nuevo icono del perfil del crear.

Paso 3En el panel Navigator (Navegador), haga uno del siguiente:

Localice y haga clic al grupo a quien el usuario pertenecerá.

Si usted no quisiera que el usuario perteneciera a un grupo, haga clic el icono de la carpeta del [Root].

Paso 4El tecleo crea el perfil para visualizar el nuevo cuadro de diálogo del perfil.

Paso 5Aseegure el cuadro de casilla del grupo se borra.

Paso 6Ingrese el nombre del usuario que usted quiere crear y hacer clic la AUTORIZACIÓN. El usuario nuevo aparece en el árbol.

Paso 7Haga clic el icono para el grupo o perfil de usuario en el árbol que se visualiza en el panel Navigator (Navegador) de la página tabulada de los miembros.

Paso 8En caso necesario, en el cristal del perfil, haga clic el icono del perfil para ampliarlo.

Una lista o un cuadro de diálogo que contienen los atributos aplicables al perfil o al servicio seleccionado aparece en la ventana en la inferior derecha de la pantalla. La información en esta ventana cambia dependiendo de lo que usted ha seleccionado en el cristal del perfil.

Paso 9Servicio-cadena del tecleo.

Paso 10Haga clic la cadena, ingrese auth-proxy en el campo de texto, y el tecleo se aplica.

Paso 11Seleccione el menú de la opción.

Paso 12En el menú de la opción, haga clic los atributos predeterminados.

Paso 13Cambie el atributo del niegan para permitir.

Paso 14El tecleo se aplica.

Paso 15En el menú de la opción, haga clic el atributo y ingrese el nivel de privilegio en el campo de texto:

priv-lvl=15

Paso 16En el menú de la opción, haga clic el atributo y ingrese las entradas del proxyacl en el campo de texto:

proxyacl#1="permit tcp any any eq 26" 

Relance este paso para cada servicio adicional o protocolo para agregar:

proxyacl#2="permit icmp any host 60.0.0.2" 
proxyacl#3="permit tcp any any eq ftp" 
proxyacl#4="permit tcp any any eq ftp-data" 
proxyacl#5="permit tcp any any eq smtp" 
proxyacl#6="permit tcp any any eq telnet" 

Paso 17Cuando usted ha acabado de realizar todos sus cambios, el tecleo somete.


Servidor TACACS+

default authorization = permit
key = cisco
user = Brian {
login = cleartext cisco
service = auth-proxy
 {
  priv-lvl=15
  proxyacl#1="permit tcp any any eq 26"
  proxyacl#2="permit icmp any host 60.0.0.2
  proxyacl#3="permit tcp any any eq ftp"
  proxyacl#4="permit tcp any any eq ftp-data"
  proxyacl#5="permit tcp any any eq smtp"
  proxyacl#6="permit tcp any any eq telnet"
 }
}

Servidor Livingston RADIUS

Bob Password = "cisco" User-Service-Type=Outbound-User
cisco-avpair = "auth-proxy:priv-lvl=15",
cisco-avpair = "auth-proxy:proxyacl#1=permit tcp any any eq 26",
cisco-avpair = "auth-proxy:proxyacl#2=permit icmp any host 60.0.0.2",
cisco-avpair = "auth-proxy:proxyacl#3=permit tcp any any eq ftp",
cisco-avpair = "auth-proxy:proxyacl#4=permit tcp any any eq ftp-data",
cisco-avpair = "auth-proxy:proxyacl#5=permit tcp any any eq smtp",
cisco-avpair = "auth-proxy:proxyacl#6=permit tcp any any eq telnet"

Servidor Radius de Ascend

Alice Password = "cisco" User-Service = Dialout-Framed-User
cisco-avpair = "auth-proxy:priv-lvl=15",
cisco-avpair = "auth-proxy:proxyacl#1=permit tcp any any eq 26",
cisco-avpair = "auth-proxy:proxyacl#2=permit icmp any host 60.0.0.2",
cisco-avpair = "auth-proxy:proxyacl#3=permit tcp any any eq ftp",
cisco-avpair = "auth-proxy:proxyacl#4=permit tcp any any eq ftp-data",
cisco-avpair = "auth-proxy:proxyacl#5=permit tcp any any eq smtp",
cisco-avpair = "auth-proxy:proxyacl#6=permit tcp any any eq telnet"

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con la característica del Proxy de autenticación.

Documentos Relacionados

Tema relacionado
Título del documento

Autorización

"Configuración de la autorización"

Autenticación

"Configuración de la Autenticación"

Contabilidad

Configurando las estadísticas

RADIUS

Configurando el RADIUS

TACACS+

Configurando el TACACS+


Estándares

Estándar
Título

Esta función no soporta estándares nuevos o modificados, y el soporte de los estándares existentes no ha sido modificado por ella.


MIB

MIB
Link del MIB

Esta función no soporta MIBs nuevas o modificadas, y el soporte para las MIBs existentes no ha sido modificado por esta función.

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Esta función no soporta RFCs nuevos o modificados.


Asistencia Técnica

Descripción
Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html



Proxy de la información para la autenticación de la característica

El cuadro 3 enumera el historial de la versión para esta característica.

Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para la información de versión sobre un comando específico, vea la documentación de referencia de comandos.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 3 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 3 para configurar la autenticación  

Nombre de la función
Versiones
Información sobre la Función

Proxy de Autenticación

12.1(5)T

La característica del Proxy de autenticación del Firewall Cisco IOS proporciona dinámico, autenticación por usuario y autorización, autenticando a los usuarios contra el estándar de la industria TACACS+ y los protocolos de autenticación de RADIUS. La autenticación y la autorización de las conexiones de los usuarios proporciona una protección más sólida contra los ataques a la red.

En 12.1(5)T, esta característica fue introducida en el Cisco IOS.