Control de acceso basado en roles – Part 1

Posted on by Rudeus Greyrat

Solo el administrador debe tener acceso completo a la red, mientras que los demás empleados, como el ingeniero de redes junior, no necesitan acceso completo al dispositivo de red. Un ingeniero de nivel junior generalmente requiere solo verificar la configuración del dispositivo, no agregar o eliminar ninguna configuración, entonces, ¿por qué debería otorgar acceso completo a ese empleado?
Para este tipo de escenarios, el administrador define el acceso a los dispositivos según los roles del usuario.

Control de acceso basado en roles:
el concepto de control de acceso basado en roles es crear un conjunto de permisos y asignar estos permisos a un usuario o grupo. Con la ayuda de estos permisos, solo se puede proporcionar un acceso limitado a los usuarios, por lo que se incrementa el nivel de seguridad.
Hay diferentes formas de realizar RBAC, como crear niveles de privilegio personalizados o crear vistas.

Privilegio de nivel personalizado:
cuando tomamos una consola del enrutador, ingresamos al modo de nivel de usuario. El modo de nivel de usuario tiene el nivel de privilegio 1. Al escribir habilitar, ingresamos en un modo privilegiado donde el nivel de privilegio es 15. Un usuario con el nivel de privilegio 15 puede acceder a todos los comandos que están en el nivel 15 o inferior.
Al crear un nivel de privilegio personalizado (entre 2 y 14) y asignarle comandos, el administrador puede proporcionar un subconjunto de comandos al usuario.

Configuración:
primero agregaremos un comando a nuestro nivel de privilegio, digamos 8, y le asignaremos una contraseña.

R1(config)#privilege exec level 8 configure terminal
R1(config)#enable secret level 8 0 saurabh

Aquí, hemos asignado la contraseña como saurabh. También tenga en cuenta que 0 aquí significa que la contraseña seguida es texto claro (sin hash).
Ahora, crearemos un nombre de usuario local saurabh y asociaremos este usuario con el nivel configurado. Habilite el modelo aaa y asigne la lista predeterminada a varias líneas.

R1(config)#username saurabh privilege 8 secret cisco123
R1(config)#aaa new-model
R1(config)#line vty 0 4
R1(config)#login local

Ahora, siempre que el nombre de usuario Saurabh tenga acceso remoto a través de líneas vty, se le asignará el nivel de privilegio 8.

Creación de vistas:
el acceso CLI basado en roles permite al administrador crear diferentes vistas del dispositivo para diferentes usuarios. Cada vista define los comandos a los que puede acceder un usuario. Es similar a los niveles de privilegio. La CLI basada en roles proporciona 2 tipos de vistas:

  1. Vista raíz: la vista raíz tiene el mismo nivel de privilegio de acceso que el usuario que tiene el nivel 15. El administrador debe estar en la vista raíz, ya que la vista se puede agregar, editar o eliminar en la vista raíz.

    Configuración:
    para ingresar a la vista raíz, primero debemos habilitar aaa en el dispositivo y luego configurar la contraseña de habilitación o la contraseña secreta que se usará cuando cualquier usuario ingrese a la vista raíz.

    Para habilitar aaa en el dispositivo y aplicar una contraseña secreta, el comando es:

    R1(config)#aaa new-model
R1(config)#enable secret geeksforgeeks

    Ahora, ingresaremos a la vista raíz mediante el comando:

    R1#enable view

    Al escribir esto, ingresaremos al nivel raíz donde podemos agregar, eliminar o editar vistas.

  2. Super vista: una super vista consta de 2 o más vistas CLI. Un administrador de red puede asignar a un usuario o grupo de usuarios una supervista que consta de varias vistas. Una supervista puede constar de más de una vista, por lo que tiene acceso a todos los comandos que se proporcionan en otras vistas.

    Configuración:
    como la supervista consta de más de una vista, primero crearemos 2 vistas denominadas, Cisco e IBM. Ahora, a la vista de Cisco, permitiremos todos los comandos show en el modo exec y los comandos int e0/0 en el modo de configuración global.

    R1(config)#parser view cisco
R1(config-view)#secret geeksforgeeks1
R1(config-view)#commands exec include all show
R1(config-view)#commands configure include int e0/0

    Ahora, crearemos una vista de IBM en la que permitiremos hacer ping y configurar el terminal en el modo ejecutivo y la dirección IP en el modo de configuración.

    R1(config)#parser View ibm
R1(config-view)#secret geeksforgeeks1
R1(config-view)#commands exec include ping
R1(config-view)#commands exec include config terminal
R1(config-view)#commands configure include ip address

    Ahora crearemos una supervista y la nombraremos como sup_user. Habilitaremos una contraseña secreta de superusuario para superview sup_user y le agregaremos vistas Cisco e IBM, por lo tanto, tiene todos los privilegios para ejecutar comandos que se incluyen solo en las vistas Cisco e IBM.

    R1(config)#parser view sup_user superuser
R1(config-view)#secret superuser
R1(config-view)#view cisco
R1(config-view)#view ibm

Nota: es necesario aplicar una contraseña a cualquier vista antes de configurarla. Además, aquí, en lugar de una contraseña secreta, se puede usar la contraseña habilitada, pero es menos segura ya que no está encriptada.
Podemos comprobar la configuración mediante:

R1#show running-configuration

Publicación traducida automáticamente

Artículo escrito por saurabhsharma56 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *