Tecnologías «triple A»
Enviado por Natasha Kuri • 5 de Enero de 2017 • Ensayo • 1.529 Palabras (7 Páginas) • 227 Visitas
Tecnologías «triple A»
Introducción
En la seguridad de la Información son empleados diversas metodologías y protocolos que permiten la ejecución de un Sistema de Gestión de Seguridad de la Información que involucra las tres funciones básicas del buen funcionamiento de la información: autenticación, autorización y contabilización (en inglés, Authentication, Authorization and Accounting). La expresión tiple A no se refiere pues a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres servicios citados.
Autenticación
La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La Autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla. Ejemplos posibles de estas credenciales son las contraseñas, los testigos de un sólo uso (one-time tokens), los Certificados Digitales, ó los números de teléfono en la identificación de llamadas. Viene al caso mencionar que los protocolos de autenticación digital modernos permiten demostrar la posesión de las credenciales requeridas sin necesidad de transmitirlas por la red (véanse por ejemplo los protocolos de desafío-respuesta).
Autorización
Autorización se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin estar limitado a: filtrado de direcciones IP, asignación de direcciones, asignación de rutas, asignación de parámetros de Calidad de Servicio, asignación de Ancho de banda, y Cifrado.
Contabilización
La contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. En contraposición la contabilización por lotes (en inglés batch accounting) consiste en la grabación de los datos de consumo para su entrega en algún momento posterior. La información típica que un proceso de contabilización registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenzó a usarlo, y cuando terminó.[1]
Desarrollo del tema
En general los tres protocolos están formados de estructuras cliente/ servidor o P2P (peer-to-peer) sólidas para establecer su comunicación con bases bien definidas, que integran protocolos de autorización y autenticación, agregando reglas de contabilización para auditorias.
RADIUS. Este protocolo está definido por la estructura cliente/servidor teniendo ventaja sobre Diameter, ya que solo se necesita mantener la comunicación de dos, enfocándose en la seguridad del servidor y en la conexión del cliente. En ello muestra Radius su punto débil ya que la simpleza del modelo pone en riesgo el sistema si el servidor NAS o el servidor RADIUS no están disponibles.
Es indispensable hablar del protocolo que se utiliza en la capa de transporte en este protocolo, que sin duda implica una desventaja sobre los otros dos para Radius ya que utiliza el servicio no fiable UDP.
Al habla de las policitas que maneja RADIUS tiene la de cifrar solo las contraseñas intercambiadas entre cliente y servidor, permitiendo que el resto del paquete este en claro, lo que lo hace bastante vulnerable ya que cualquiera que se conecte a la red podría ver la información intercambiada. Si se habla de la gestión entre dispositivos intermedios RADIUS no permite comandos de configuración de estos.
En el caso de RADIUS para la autorización y la autenticación que permiten a los usuario identificarse y tener privilegios, estas van ligadas, es decir, en la misma petición se obtiene la verificación y el acceso a los recursos por lo que no soporta la utilización de mecanismos separados. El algoritmo de cifrado utilizado en el caso de RADIUS es de MD5.
DIAMETER. Basado en la estructura de P2P o par a par, teniendo la desventaja sobre los otros dos protocolos ya que en los otros solo se preocupan por dos en la conexión cliente y servidor, en está, puede haber muchos clientes y muchos servidores y estar transmitiendo y recibiendo al mismo tiempo lo que dificulta el mantenimiento y la administración del ancho de banda. DIAMETER al contar con nodos “confiables”, destaca, lo que hace que aumente el factor de disponibilidad de la información por el uso de nodos vecinos, ya que cualquier nodo puede hacer las funciones de servidor, cliente o agente, todo depende de su configuración, lo que facilita su instalación. Al ir creciendo la red, puede experimentar problemas de congestión, aunado a que es difícil administrar la red distribuida haciendo que la seguridad se vea debilitada por no estar centralizada.
El TCP servicio utilizado en su capa de transporte por Diameter, ofrece mayores ventajas que el UDP, utilizando administración de sesiones y confiabilidad al intercambiar de información.
Anotándose otro punto a favor Diameter en el uso de políticas de encriptación ya que cifra todo el paquete íntegro, lo que se puede ver como una desventaja es que obliga a todos los nodos a que tengan implementado IPSEC, lo que puede limitar la disponibilidad de los dispositivos que soportan, más aun si son antiguos, lo que puede ocasionar una denegación de servicio. En la gestión de dispositivos intermedios DIAMETER sólo ofrece comandos específicos de su propia marca.
Al mencionar los mecanismos de autenticación y autorización que a través de estos se permiten a los usuarios identificarse y obtener privilegios para realizar las acciones o denegarlas, en DIAMETER se permiten sistemas separados de autorización y autenticación por lo que para ingresar en el sistema se podría utilizar por ejemplo un login UNIX y una autorización mediante de Kerberos, lo que facilita al sistema ya que le da un toque de escalabilidad que lo hace más atractivo al uso. Mientras los otros dos utilizan como algoritmo de cifrado MD5, este utiliza HMAC-MD5, siendo este más confiable en la seguridad.
TACACS+. Por ultimo este protocolo basado en la estructura cliente/servidor al igual que Radius, contando con el atributo de que además de que solo son dos para establecer la conexión esto favorece el mantenimiento y la administración del ancho de banda. Por lo que TACATS+ saca ventaja de RADIUS atendiendo esa parte del problema autorizando que sean diferentes los servidores NAS, pero esto no evita que el congestionamiento de la red sea su principal desventaja.
Este protocolo provee las tiple A (Authentication, Authorization y Accounting) para dispositivos Cisco, es un protocolo propietario de la marca. Destaca TACACS+ sobre Radius por el servicio TCP que utiliza en su capa de transporte lo que hace una conexión más confiable aunque más lenta. Por su parte TACACS+ ha solventado las políticas de encriptación por lo que cifra todo el paquete excepto las cabeceras estándar. Sin embargo TACACS+ se anota un punto a favor para gestionar las redes proporcionando mecanismos de autorización por usuarios y grupos, en la gestión de dispositivos intermedios. El algoritmo de cifrado que utiliza al igual que Radius es MD5.
Para los mecanismos de autenticación y autorización, TACACS+ permite el uso de sistemas independientes o separados, destacándose entre los otros dos por soportar multitud de protocolos de autenticación como PPP, PAP y CHAP, soportados también por DIAMETER y RADIUS, encontrándose más limitados, ya que no cuentan con tantos disponibles como podría ser ARA (Apple Talk Remote Access protocol) que TACACS+ si lo tiene.
COMPARACION ENTRE PROTOCOLOS RADIUS, DIAMETER y TACACS+
COMPARATIVA | RADIUS | DIAMETER | TACACS+ |
Estructura | Cliente/Servidor | P2P (PEER-TO-PEER) | Cliente/Servidor |
Protocolo | UDP | TCP | TCP |
Políticas de Encriptación | Solo cifra las contraseñas intercambiadas entre cliente y servidor | Cifra todo el paquete integro. | cifra todo el paquete excepto las cabeceras estándar |
Comunicación | Solicitud/Respuesta del cliente al servidor | Solicitud/Respuesta de una parte a otra | Solicitud/Respuesta del cliente al servidor |
Gestión de dispositivos intermedios | No permite comandos de configuración de estos. | Ofrece comandos específicos de su marca. | Proporcionando mecanismos de autorización por usuarios y grupos. |
Mecanismos de autenticación y autorización | Van ligadas, es decir Combinado en el mismo perfil ambos. | Independiente o separados. | Independiente o separados. |
Algoritmo de cifrado. | Secreto compartido con MD5 | Secreto compartido con HMAC-MD5 | Secreto compartido con MD5 |
Soporte multiprotocolo | Limitado | Lo soporta. | Lo soporta. |
...