AAA (Authentication, Authorization y Accounting).
Nos estamos basando en un solo protocolo o en algunos en especial, sino en una familia de protocolos que proveen los servicios anteriormente mencionados. Si le adicionamos el concepto de Auditoría, tendríamos lo que a veces se conoce como AAAA, o cuádruple A. Para comprender mejor estos sistemas de autenticación, debemos recordar primero los conceptos que representan
Authentication.
La autenticación es el proceso por el que una entidad demuestra que es quien dice ser, probando así su identidad frente a un sistema u otra entidad, al presentar alguno de los factores de autenticación ya conocidos algo que uno tiene por ejemplo, un token o algo que uno sabe por ejemplo, un password.
También puede darse el requisito de la presentación de dos de los tres tipos de factores, para obtener lo que se denomina autenticación Two Factors. Vale la pena destacar que, en muchos casos, no es indispensable enviar por la red las credenciales de autenticación.
Authorization.
Se refiere a la concesión de privilegios específicos (ninguno) a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario.
Accounting.
Se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos.Consiste en la grabación de los datos de consumo para su entrega en algún momento posterior.
TACACS.
El TACACS es un protocolo cliente, servidor que proporciona la Seguridad centralizada para los usuarios que intentan tener el Acceso de administración a un router o a un servidor de acceso a la red.
El TACACS+ proporciona estos servicios del Authentication, Authorization, and Accounting (AAA):
- Autenticación de los usuarios que intentan iniciar sesión al equipo de red
- Autorización de determinar qué nivel de usuarios del acceso debe tener
- El considerar para no perder de vista todos los cambios el usuario hace
Contribuido por Surendra BG, ingeniero de Cisco TAC.
Ejemplo:
RADIUS.
RADIUS es el acrónimo en inglés de Remote Authentication Dial-In User Server, y es quizás el más conocido. Utiliza el puerto UDP 1812 UDP y funciona como cliente-servidor. Su éxito residió, probablemente, en su implementación en proveedores de acceso a Internet (ISP), que fueron los que primero debieron incluir una instancia de autenticación remota a través de la red para validar las conexiones de sus clientes.
Estas conexiones pueden ser tanto inalámbricas como por medio de cablemódems, líneas ADSL o accesos dial-up. RADIUS recibe la información de credenciales de acceso por medio del protocolo PPP a través de un servidor conocido como Network Access Server, que redirige el pedido a un servidor RADIUS con el propio protocolo RADIUS. Este comprueba que la información sea correcta mediante otros mecanismos de autenticación (PAP, CHAP o EAP) y, en caso de ser aceptada, autoriza al cliente a acceder al sistema y le provee los recursos necesarios, como una dirección IP. RADIUS permite manejar sesiones, lo cual es útil para la medición de tiempo para facturación, como en hoteles o ISPs.
KERBEROS.
Kerberos es un protocolo de seguridad creado por MIT que usa una criptografía de claves simétricas para validar usuarios con los servicios de red evitando así tener que enviar contraseñas a través de la red. Al validar los usuarios para los servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no autorizados que intentan interceptar contraseñas en la red.
- Cada usuario dispone de una clave.
- Cada servidor dispone de una clave.
- Kerberos mantiene una base de datos que contendrá a todas estas claves.
- La clave e un usuario será derivada de su contraseña y estará cifrada.
- La clave de un servidor se genera aleatoriamente.
- Los servicios de red que requieren autenticación, así como los usuarios que requieran estos servicios, se deben registrar con Kerberos.
- Las claves privadas se negocian cuando los usuarios se registran.
- Kerberos, en conocimiento de todas las claves privadas, crea mensajes para informar a un servidor de la autenticidad de un usuario que requiere servicios de éste.
NIVELES DE PROTECCIÓN DE KERBEROS
- Autenticación: Prueba que el usuario es quien dice ser. Puede ser que la autenticidad se establezca al inicio de la conexión de red y luego se asuma que los siguientes mensajes de una dirección de red determinada se originan desde la parte autenticada.
- Integridad de datos:Asegura que los datos no se modifican en tránsito. Se requiere autenticación de cada mensaje, sin importar el contenido del mismo. Esto se denomina mensaje seguros.
- Privacidad de datos:Asegura que los datos no son leídos en tránsito. En este caso, no sólo se autentica cada mensaje, sino que también se cifra. Éstos mensajes son privados.
No hay comentarios:
Publicar un comentario