La siguiente entrada es para compartir información acerca de 4 protocolos que pueden brindarnos dicha seguridad en la redes. AAA, KERBEROS,TACACS Y RADIUS
AAA
La sigla AAA puede traducirse en español como Autenticación, Autorización y Auditoría (originalmente, Authentication, Authorization y Accounting). Cuando hablamos de AAA (triple A), no nos estamos basando en un solo protocolo o en algunos en especial, sino en una familia de protocolos que proveen los servicios anteriormente mencionados. Si le adicionamos el concepto de Auditoría, tendríamos lo que a veces se conoce como AAAA, o cuádruple A. Para comprender mejor estos sistemas de autenticación, debemos recordar primero los conceptos que representan:
Autenticación
La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc.) y la segunda un servidor (ordenador). La Autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla. Ejemplos posibles de estas credenciales son las contraseñas, los testigos de un sólo uso (one-time tokens), los Certificados Digitales, ó los números de teléfono en la identificación de llamadas. Viene al caso mencionar que los protocolos de autenticación digital modernos permiten demostrar la posesión de las credenciales requeridas sin necesidad de transmitirlas por la red (véanse por ejemplo los protocolos de desafío-respuesta).
Autorización
Autorización se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin estar limitado a: filtrado de direcciones IP, asignación de direcciones, asignación de rutas, asignación de parámetros de Calidad de Servicio, asignación de Ancho de banda, y Cifrado.
Contabilización
La contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. En contraposición la contabilización por lotes (en inglés batch accounting) consiste en la grabación de los datos de consumo para su entrega en algún momento posterior. La información típica que un proceso de contabilización registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenzó a usarlo, y cuando terminó.
RADIUS
El Protocolo de servicio de usuario de acceso telefónico de autenticación remota (RADIUS) fue desarrollado por Livingston Enterprises, Inc., como un protocolo de autenticación del servidor de acceso y de contabilidad. La especificación RADIUS RFC 2865 sustituye a la RFC 2138. El estándar de contabilidad RADIUS RFC 2866 sustituye al RFC 2139
RADIUS surgió inicialmente con una solución para la administración en el control de acceso para usuarios que soportaban su conexión mediante enlaces seriales y módems, facilitando el control y supervisión de la seguridad, la autorización, la auditoria, verificación de nombres de usuarios y contraseñas, así como una detallada información de configuración sobre el tipo de servicio que se pretendía entregar al usuario.
-Flujo de mensajes en un proceso de autenticación/autorización Radius
RADIUS es un protocolo estándar de seguridad para Internet, desarrollado por Livingston Enterprises y que la IETF (Internet Engineering Task Force) ha recogido en los RFCs 2865 y 2866. Fue diseñado como un protocolo de servicio para TCP/IP con funcionalidad de autenticación de acceso a servidores para autentificar usuarios.
Los elementos característicos que posee RADIUS le han permitido guardar un alto grado de compatibilidad con la arquitectura dispuesta por las redes inalámbricas IEEE 802.11, una razón primordial por la cual es éste el servidor recomendado, según la norma, para prestar los servicios de autenticación en redes inalámbricas.
El servicio RADIUS comprende tres componentes:
- Protocolo: Sobre la base de la UDP, RFC 2865 y 2866 define el formato de trama RADIUS y el mecanismo de transferencia de mensajes, y usa 1812 como el puerto de autenticación y 1813 como el puerto de auditoria.
- Servidor: El servidor RADIUS se ejecuta en el ordenador o estación de trabajo en el centro, y mantiene la información para la autenticación de usuarios y servicio de de acceso red.
- Cliente: El cliente RADIUS se ejecuta en el NASS situado en toda la red.
TACACS
Abreviatura de erminal Access Controller Access Control System T ERMINAL A cceso C ontroller A cceso C ontrol Sistema, una autenticación de protocolo que se utiliza comúnmente en UNIX redes. TACACS permite a un servidor de acceso remoto para comunicarse con una autenticación del servidor con el fin de determinar si el usuario tiene acceso a la red.
TACACS está ahora un poco anticuado y no se utiliza con tanta frecuencia como lo era antes. Una versión posterior de TACACS fue llamado XTACACS (E x tendía). Estas dos versiones generalmente han sido sustituidos por TACACS + y RADIUS en las redes nuevas o actualizadas. TACACS + es un nuevo protocolo y, por tanto, no es compatible con TACACS o XTACACS.
TACACS se detalla en el RFC 1492.
KERBEROS
Es un protocolo de seguridad muy difundido en entornos Unix, aunque adoptado también por otros sistemas operativos como Windows 2000. Kerberos es un sistema de autentificación de usuarios, que posee un doble objetivo:
Impedir que las claves sean enviadas a través de la red, con el consiguiente riesgo de su divulgación.
Centralizar la autentificación de usuarios, manteniendo una única base de datos de usuarios para toda la red.
Operación de Kerberos
Kerberos, como protocolo de seguridad, usa una criptografía de claves simétricas, lo que significa que la clave utilizada para cifrar es la misma clave utilizada para descifrar o autenticar usuarios. Esto permite a dos computadores en una red insegura, demostrar su identidad mutuamente de manera segura.
Kerberos entonces restringe los accesos sólo a usuarios autorizados y autentica los requerimientos a servicios, asumiendo un entorno distribuido abierto, en el cual usuarios ubicados en estaciones de trabajo acceden a estos servicios en servidores distribuidos a través de una red.
No hay comentarios:
Publicar un comentario