MÉTODOS DE AUTENTICACIÓN
Enviado por Cesar Hernández • 22 de Noviembre de 2016 • Apuntes • 1.519 Palabras (7 Páginas) • 230 Visitas
MÉTODOS DE AUTENTICACIÓN
Los métodos de autenticación son paquetes de software o módulos de software sobres los que se basa el proceso de autenticación de usuario para una plataforma de RADIUS. Estos módulos son complejas cajas matemáticas encargadas de realizar el cifrado, descifrado y empaquetad de todos los procesos complejos de autenticación.
Cuando RADIUS recibe una solicitud de acceso, va pasándola por cada uno de los módulos de autenticación que tenga activados en sus configuraciones hasta que algunos de esos módulos reconozcan sus algoritmos o las credenciales del usuario y se encargue de validar la autenticación.
PAP (Password Authentication Protocol o protocolo e autenticación mediante contraseña). Es el sistema a mas senillo de autenticación, y por lo tanto el mas vulnerable. Se basa en la transmisión de nombre de usuario y contraseña almacenada en texto plano a ASCII. Poco más hay que decir sobre PAP. Por si algún no o ha notado, se debe usar si no es tunelado.
CHAP (Chanenge Hndshake Authentification Protocol o protocolo de desafío mutuo). Se le puso como una actualización de PAP, para incrementar la seguridad de este protocolo. Es un método del tipo de secreto compartido, ya que ambos sistemas comparten el conocimiento de una contraseña o hash. El suplicante o usuario conoce la contraseña en texto plano y el servidor tiene también que conocer la contraseña. En el momento de la autenticación el servidor envía una frase aleatoria (desafío) para que el suplicante la pasa junto con su contraseña por una función MD5 y se la reenvíe. Al recibirla el servidor, que ya conoce si valor calculado, la compara con su resultado recibid y, su es correcto, permite la entrada del suplicante a la red. Ese desafío se puede repetir n varias ocasiones durante la sesión del usuario, pero con frases de desafío diferentes.
MS.CHAPv1. Es la primera versión dl protocolo CHAP basado en desafío para sistemas Microsoft. Ya no está incluida en Windows Vista. La mejora de MS-CHAP sobre CHAP es que ningún servidor ni el cliente deben almacenas la contraseña de usuario en texto plano, ya que tanto al procesar el desafío por parte del cliente como por parte del servidor, ambos utilizan el valor de hash de la contraseña y no la contraseña en sí. Aunque hoy, romper una contraseña mediante algoritmo MD5 (y con poco de suerte) no es demasiado difícil.
MS.CHAPv2. es la versión actual de CHAP de Microsoft que tiene soporte para todos sus SO desde Windows 2000 y que es incompatible con la v1. Permite soporte para cambio de contraseña y mensajes de respuesta con estados.
Unix. Se puede utilizar simplemente los nombres de usuarios y contraseñas existentes en un sistema Unix/Linux en el fichero de password o mediante la función shadow.
HTTP Digest. Es también un protocolo de autenticación por desafío para clientes de servidores web con autenticación RADIUS; para evtar los ataques de repetición usa también frases pre computadas únicas. También utiliza MD5 como algoritmo, aunque maneja otros como SHA-1.
MÉTODOS EAP
EAP-MD5. Es un método simple e inseguro de autenticación que utiliza el algoritmo MD5 para calcular el hash de una contraseña. Este protocolo es fácilmente violable, ya que todo proceso circula en texto plano.
EAP-OTC. (One Time Passwrd). Es un método similar a MD5 paro basado en un sistema portátil de generación de claves instantáneas. Las opciones capaces de generar la contraseña de un solo uso con programas de software, llaveros con algoritmos programados, PDA con software apropiado, etc.
EAP-GTC. Generic Token Card. Es un sistema simple para el uso de algunas tarjetas Smart Card sobre protocolo EAP. Requiere que el usuario teclee su PIN para finalizar la autenticación. También utiliza este me método con dispositivos tipo token mediante interfaz USB, serial o paralelo.
EAP-MS-CHAP. Es la aplicación de la versión 1 del protocolo CHAP de Microsoft transportado por EAP, que es la versión de Microsoft del sistema de desafío de challenge de contraseña. Es vulnerable si no lleva cifrado o tunelamiento de las comunicaciones.
EAP-MS-CHAP v2: Vesión dos del protocolo MS-Chap. No es muy recomendado usarlo sin tuneado.
EAP-AKA: Authentication and Key Agreement (autenticación y aceptación de calve). Utilizada en servicios UMTS, se basa es el uso de la criptografía simétrica para canaliza la autenticación y la distribución de claves de sesión.
Métodos EAP propietarios de Cisco
EAP-LEAP: Similar a EA-MD5, utiliza un sistema de rotación dinámica de claves, es vulnerable.
EAP-FAST: Distribucion de claves de únicas de forma manual o automática a momento de la creación del usuario.
Autenticación simple u autenticación mutua
La autenticación simple se basa en que el sistema suplicante (usuario) solicita la autenticación al servidor, presuponiendo que este sea el servidor lícito al que quiere conectar, y por ello le entrega sus credenciales para ser autenticado.
Mediante la autenticación mutua, basada en la desconfianza
...