Protocolo AAA
Introducción
En la actualidad, hay una gran
variedad de tecnologías, para garantizar la seguridad de datos, se da a conocer el protocolo AAA.
Se refiere a una familia de
protocolos que ofrecen 3 servicios: Autenticación,
Autorización y Contabilización.
Autenticación: Se consigue mediante la presentación de una
propuesta de identidad que es el nombre de usuario y la contraseña para estar seguros que no haya robo de identidad.
Ejemplos: Las contraseñas, los Certificados Digitales o los
números de teléfono en la identificación de llamadas.
Autorización: Conceder privilegios específicos (incluyendo
"ninguno") a una entidad o usuario basándose en su identidad
(autenticada), los privilegios que solicita y el estado actual del sistema.
Ejemplos: Filtrado de direcciones
IP, asignación de direcciones, asignación de rutas, asignación de Ancho de banda, y Cifrado.
Contabilización: Seguimiento que se le da al consumo de los recursos de red
por los usuarios. Esta información puede usarse posteriormente para la
administración, planificación, facturación y
otros propósitos requeridos.
Protocolo RADIUS
Protocolo de autenticación y
autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el
puerto 1812 UDP para establecer sus conexiones.
Función
Cuando se realiza la conexión con un ISP
mediante módem, DSL, cable módem, Ethernet o Wi-Fi, se envía una información
que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un
dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige
la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS
comprueba que la información es correcta utilizando esquemas de autenticación
como PAP, CHAP o EAP; si es aceptado, el servidor autorizará el acceso al
sistema del ISP y le asigna los recursos de red como una dirección IP, y otros
parámetros como L2TP.
Formato de mensaje RADIUS
La siguiente sección proporciona
información que podría ser útil para lo siguiente:
Ø Descripción
de una captura de Monitor de red.
Ø Descripción
de los formatos de mensaje diferente para analizar el registro de cuentas.
Ø Introducir
números de atributos específicos del proveedor (VSA).
Estructura de paquete general
Proporciona un resumen de la
estructura de datos de un paquete RADIUS. El cliente RADIUS o el servidor envía
los campos de arriba a abajo, o desde el campo de código en orden vertical para
el campo de atributos.
Estructura general de paquete
RADIUS
Campo de código
El campo de código es la longitud
de 1 byte y indica el tipo de mensaje RADIUS. Se descarta un mensaje con un
campo de código que no es válido.
La siguiente tabla muestra los valores
definidos para el campo código de RADIUS
|
Códigos (Decimal)
|
Paquetes
|
|
1
|
Solicitud
de acceso
|
|
2
|
Aceptación
de acceso
|
|
3
|
Rechazo
de acceso
|
|
4
|
Solicitud
de administración de cuentas
|
|
5
|
Respuesta
de cuenta
|
|
11
|
Desafío
de acceso
|
|
12
|
Servidor
de estado (experimental)
|
|
13
|
Estado de
cliente (experimental)
|
|
255
|
Reservados
|
Campo de identificador
El campo de identificador es la
longitud de 1 byte y se utiliza para asociar una solicitud con su
correspondiente respuesta.
Campo de longitud
El campo Longitud dos octetos
indica y toda la longitud del mensaje RADIUS, incluidos los campos de código,
identificador, longitud y el autenticador aso como los atributos RADIUS. El campo longitud puede
variar de 20 a 4.096 bytes.
Campo autenticador
El campo autenticador es 16
octetos largas y contiene la información que el cliente RADIUS y el servidor
que se utilizan para comprobar que el mensaje procede de un equipo que está
configurado con un secreto compartido común.
Sección de atributos
La sección atributos de mensaje
RADIUS contiene uno o más atributos RADIUS, que contienen los detalles
específicos de autenticación, autorización, información y configuración para
los mensajes RADIUS.
Componentes
de la infraestructura RADIUS
Los siguientes componentes forman
parte de la infraestructura de autenticación, autorización y cuentas RADIUS:
Ø Clientes
de acceso
Ø Servidores
de acceso (clientes RADIUS)
Ø Proxy
RADIUS
Ø Servidores
RADIUS
Ø Bases
de datos de cuentas de usuario
Protocolo TACACS
Sistema de control de acceso
mediante control del acceso desde terminales, es un protocolo
de autenticación remota, se usa para comunicarse con un servidor de
autenticación comúnmente usado en redes Unix.
TACACS
permite a un servidor de acceso remoto comunicarse con un servidor de
autenticación para determinar si el usuario tiene acceso a la red; permite
combinar múltiples NAS en total proporcionar el sistema de autenticación dentro
de la seguridad de la red la seguridad, el funcionamiento en dos modos:
1. Llevar a cabo la autenticación
mediante centralizado de las cuentas de usuario de base de datos.
2. La mediación de los sistemas
de autenticación externos.
Una característica clave del
protocolo TACACS es que permite separar la autenticación, autorización y
contabilidad (AAA - Autenticación, Autorización, Contabilidad) e implementarlas
en servidores independiente.
Función
Encriptación de paquetes
TACACS encripta el cuerpo entero
del paquete pero salvando la cabecera standar TACACS+, dentro de la cabecera hay
un campo donde se indica si el cuerpo está encriptado o no. Para propósitos de
depuración, es más útil tener el cuerpo de los paquetes sin encriptar.
Autenticación y
autorización
Los accesos al servidor se
comprueban con un servidor TACACS+ para determinar si se le conceden permisos
para ejecutar un comando en particular. Esto proporciona mejor control sobre
los comandos que pueden ser ejecutados en un servidor de acceso mientras es
separado con mecanismos de autenticación.
Retornos
La protección del servidor TACACS
+ red de paquete de servidor de acceso RESPUESTA, que contiene conjunto variable
de respuesta argumentos; estos son pares basado en un conjunto previamente los
permisos para un usuario determinado, almacenado en el archivo de configuración
de TACACS +.
Ejemplos de tales pares.
servicio=ppp - inicialmente
disponible servicio
=protocolo ip - Protocolo
disponible para su uso con este servicio
addr=172.16.10.1 - autorizados
dirección de red
timeout=12 - el temporizador
absoluta limitación de la duración del número de minutos
Servidor de acceso a la red
utiliza un par de atributo/valor de con el fin de prohibir o permitir la
posibilidad de modificar Utilice los comandos y servicios solicitados por el
usuario.
Ejemplo de tráfico en
TACACS+
Asume el login de autenticación,
exec autorización, comando autorizado, iniciar-parar exec contabilidad, y
comandos de contabilidad que pueden ser utilizados por un usuario cuando hace
telnet a un router, realiza el comando y sale del router:
Protocolo KERBEROS
Protocolo de seguridad que
autentifica usuarios implementando una biblioteca grande y compleja de
"claves" encriptadas que sólo asigna la plataforma Kerberos.
Posee un doble objetivo:
Ø Impedir
que las claves sean enviadas a través de la red, con el consiguiente riesgo de
su divulgación.
Ø Centralizar
la autentificación de usuarios, manteniendo una única base de datos de usuarios
para toda la red.
Función
Kerberos, como protocolo de
seguridad, usa una criptografía de claves simétricas, lo que significa que la
clave utilizada para cifrar es la misma clave utilizada para descifrar o
autenticar usuarios. Esto permite a dos computadores en una red insegura,
demostrar su identidad mutuamente de manera segura.
Kerberos restringe los accesos
sólo a usuarios autorizados y autentica los requerimientos a servicios,
asumiendo un entorno distribuido abierto, en el cual usuarios ubicados en
estaciones de trabajo acceden a estos servicios en servidores distribuidos a
través de una red.
El proceso de autenticación
El proceso de autenticación
incluye los siguientes pasos principales:
1.- El cliente solicita
credenciales. Los dos métodos para obtener credenciales, el intercambio de
ticket inicial y el intercambio de ticket que otorga tickets, utilizan
protocolos algo distintos y requieren rutinas de interfaz de programación de
aplicaciones (API) diferentes.
2.- La respuesta del servidor
Kerberos consiste en un ticket y una clave de sesión, cifrados en la clave
secreta del usuario o la clave de sesión del TGT. La combinación de un ticket y
una clave de sesión se conocen como juego de credenciales. Un cliente de aplicaciones
puede utilizar estas credenciales para autenticarse en el servidor de
aplicaciones enviando el ticket y un autenticador al servidor.
3.- Para verificar la
autenticación, el servidor de aplicaciones descifra el ticket utilizando su
clave de servicio que sólo conoce el servidor de aplicaciones y el servidor
Kerberos. Dentro del ticket, el servidor Kerberos ha incorporado el nombre del
cliente, el nombre del servidor, una clave de sesión asociada con el ticket y
cierta información adicional.
4.- A continuación, el servidor
de aplicaciones utiliza la clave de sesión del ticket para descifrar el
autenticador y comprueba que la información del autenticador concuerda con la
información del ticket.
Bibliografía
No comments:
Post a Comment