El estándar AAA es un marco arquitectónico para configurar un sistema de seguridad de red.Este debe ser capaz de autenticar a los usuarios, dar una respuesta correcta a las solicitudes de autorización de los mismos así como de recolectar datos que permitan hacer una auditoria sobre los recursos a los que se ha tenido acceso.
Autenticacion
identifica a los usuarios y dependiendo del protocolo de seguridad seleccionado(encriptacion).
Autorización
Es el acceso a determinadas aplicaciones o servicios de una red para un usuario, basándose en la autenticacíon,esta basada en restricciones.
Auditoria
Es el seguimiento o monitoreo del consumo de recursos del usuario para cada usuario tiene definido,
Protocolos AAA
Los protocolos AAA más utilizados para proporcionar acceso a una red desde un sitio remoto son:
Radius (Remote Authentication Dial-in User Service)
TACACS+ (Terminal Access Controller Access Control System Plus)
Radius
Gestiona el acceso a las redes. Se utiliza principalmente por los proveedores de servicios de Internet para gestionar acceso a Internet a sus clientes. El nombre RADIUS es en realidad un acrónimo de "Remote Authentication Dial In User Service" (Dial de autenticación remoto para acceso a servicios). El protocolo no sólo logra acceso a la red, sino también a la gestión de cuentas del usuario.Pero tambien es un protocolo de autentificación comúnmente utilizado por el estándar de seguridad del 802.1x.
Caracteristics de Radius
- Capacidad de manejar sesiones
- Notificando cuando comienza y termina una conexión
- Determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.
Seguridad en RADIUS.
RADIUS adolece de una serie de debilidades que son:
RADIUS adolece de una serie de debilidades que son:
- Los mensajes RADIUS no viajan cifrados, a excepción de aquellos datos especialmente sensibles como las contraseñas
- RADIUS utiliza MD5 como algoritmo criptográfico de hashing, lo que lo hace vulnerable a ataques de colisión.
- La comunicación se realiza a través del protocolo UDP , lo que permite que las direcciones IP puedan ser fácilmente falseadas y susceptible de suplantación de identidad.
- Las especificaciones para la clave compartida no son lo suficientemente robustas y es reutilizada por el servidor con los clientes. Por tanto, es vulnerable a ataques de fuerza bruta. Una vez obtenida la clave, el campo "Autenticator" utilizado en mensajes de autenticación (Access-Request) es fácilmente generado.
TACACS+
Es un protocolo de autenticacion remota que se usa para gestionar el acceso a servidores y dispositivos de comunicaciones.
TACACS+ también encripta el nombre de usuario y otros datos asociados. Además, RADIUS es un protocolo de autenticación independiente, mientras que TACACS+ es escalable. Es posible aislar sólo determinados aspectos de autenticación de TACACS+ mientras implementa otros protocolos para capas adicionales del servicio de autenticación. Por tanto, Se suele combinar con Kerberos para sistemas de autenticación particularmente fuertes.
KERBEROS
Es un protocolo de autenticacion es uno de los mas usados en la red.Identifica usuarios implementando una biblioteca grande y compleja de "claves" encriptadas que sólo asigna la plataforma Kerberos. Estas claves no pueden ser leídas o exportadas fuera del sistema. Los usuarios humanos y los servicios de red que requieren acceso a un dominio, son autenticados por Kerberos de la misma forma. Verifica que una contraseña de usuario se corresponde con una clave almacenada, autentica al usuario.
Cuando el usuario intenta acceder a otro servicio de red, puede ser necesaria otra autenticación. Sin embargo, todos los servicios de red en este sistema interactúan directamente con Kerberos, no con el usuario.
La eficiencia del entorno de Kerberos permite a los usuarios autenticarse una vez, y el acceso se concede seguidamente a otros servicios a través de la compartición de claves. Una vez autenticado, juega el rol de una autoridad para ese usuario y administra el proceso del archivo clave para el resto de todos los servicios.
Algoritmos hash md5 y sha-1
No hay comentarios.:
Publicar un comentario