Universidad Autnoma de Nuevo Len

Facultad de Ciencias Fsico Matemticas Divisin Posgrado

Sistemas de Control de Accesos

AAA (Autenticacin, Autorizacin y Accounting)

Alumno: Carlos Ibarra

Matricula: 1577687

Maestro: Israel Sotelo

Julio de 2013

AAA (Autenticacin, Autorizacin y Accounting)

Autenticacin Autorizacin y Accounting. Definicin: Protocolo para manejar polticas de seguridad, controlar recursos, administrar y rastrear usuarios. Autenticacin: Proceso de identificacin del usuario. Se identifica el usuario en el sistema. Usualmente por medio de login y password. Autorizacin: El proceso de asignar o no asignar recursos segn el tipo de usuario, basado en la etapa de autenticacin. Accounting: Proceso de rastrear todo tipo de actividad de los usuarios. Por ejemplo que tipo de recursos esta usando, el tiempo de uso, informacin extrada o incluida en el sistema. Caractersticas Usualmente se desarrollan aplicaciones servidor, para el manejo de los requerimientos de AAA. Generalmente funcionan sobre internet aunque puede ser utilizado en cualquier tipo de red. Comnmente utilizada para IP mviles. Se suelen hacer Auditorias basadas en AAA, usualmente conocido como AAAA.

Protocolos Radius: Protocolo para aplicaciones de tipo Cliente - Servidor. Diseado principalmente para aplicaciones que acceden a redes o de IP movil. Basado en UDP. Diameter: Protocolo de tipo P2P. Diseado principalmente para aplicaciones que acceden a redes o de IP movil. TACACS: Protocolo para desarrollo de servidores. Usado comnmente para servidores Unix. TACACAS+: Basado en TACACS pero se redefini totalmente el protocolo. Provee los servicios de AAA por separado. Basado en TCP.

Identificacin - Autenticacin
Single Sign On (SSO) Los usuarios para identificarse ante varias aplicaciones informticas son forzados a recordar numerosas contraseas por lo que en la mayora de los casos eligen contraseas sencillas poniendo potencialmente en riesgo la seguridad del sistema. La utilizacin de una arquitectura SOA tiene como objetivo de dar acceso a los usuarios a mltiples servicios Web y/o 1

AAA (Autenticacin, Autorizacin y Accounting)

aplicaciones. En la mayora de los casos se encuentra que cada uno de los servicios o aplicaciones cuenta con su propio componente o mecanismo de seguridad, lo que puede comprometer la seguridad de todo el sistema. El nivel de seguridad de todo un sistema es igual al nivel de seguridad del componente ms inseguro que lo compone. No es ms que es un proceso de autenticacin de sesin/usuario; que permite mediante un solo conjunto de credenciales acceder a diferentes aplicaciones, esto es principalmente utilizado en ambientes distribuidos. El proceso autentica al usuario para todas las aplicaciones a los que les han dado derechos y elimina todos los mensajes de autenticacin que se generan cuando se cambia de interfaz durante una sesin particular.

Token Device Un token de seguridad (tambin token de autenticacin o token criptogrfico) es un dispositivo electrnico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticacin. Los tokens electrnicos se usan para almacenar claves criptogrficas como firmas digitales o datos biomtricos, como las huellas digitales. Algunos diseos se hacen a prueba de alteraciones, otros pueden incluir teclados para la entrada de un PIN. Existe ms de una clase de token. Estn los bien conocidos generadores de contraseas dinmicas "OTP" (One Time Password) y la que comnmente denominamos tokens USB, los cuales no solo permiten almacenar contraseas y certificados, sino que permiten llevar la identidad digital de la persona.

Cryptographic Keys Passphrase Memory Cards Samrt Cards

Autorizacin Integracin con servidores LDAP Generalmente los organismos o instituciones tienen su propia red informtica, para la comunicacin de los diferentes servicios que pudieran brindar o consumir, as como sus propios usuarios ya establecidos con una estructura jerrquica definida. Para acceder a los datos de los usuarios utilizan un servidor LDAP, que puede ser utilizado desde distintas plataformas, debido a que su implementacin esta basada en estndares internacionales y hace que los procesos de bsqueda, y de autenticacin sean mucho mas rpidos y eficientes que un SGBD convencional.

AAA (Autenticacin, Autorizacin y Accounting)

Active Directory (AD): Es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...). Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso. Active Directory permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory almacena informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequea hasta directorios con millones de objetos.

Novell Directory Services (NDS) es un producto de software popular para la gestin del acceso a los recursos informticos y de hacer el seguimiento de los usuarios de una red , como la de una empresa intranet , desde un nico punto de administracin. Usando NDS, un administrador de red puede configurar y controlar una base de datos de los usuarios y administrarlos mediante un directorio con un fcil de usar interfaz grfica de usuario ( GUI ). Los usuarios de computadoras en lugares remotos se pueden aadir, actualizar y gestionar de forma centralizada. Las aplicaciones pueden ser distribuidos electrnicamente y mantenidos centralmente. NDS puede ser instalado para ejecutarse bajo Windows NT , de Sun Microsystems Solaris, y de IBM OS/390 , as como bajo la propia de Novell NetWare de modo que se puede utilizar para controlar una red multi-plataforma. NDS es generalmente considerado como una industria de referencia contra el que otros productos, como Active Directory de Microsoft, deben competir. Lucent Technologies planea integrar NDS en su propio producto de proyectos de efecto rpido, que mantiene automticamente la informacin del directorio acerca de la red de protocolo de Internet (IP) de nombres de dominio y la direccin IP y el protocolo de configuracin dinmica de host ( DHCP informacin). Los administradores podrn crear directorios primarios y secundarios y automatizar la conversin inmediata en el directorio de copia de seguridad en caso de un fallo del servidor.

Kerberos es un protocolo de autenticacin de redes de ordenador creado por el MIT que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticacin mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticacin estn protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen extensiones del protocolo para poder utilizar criptografa de clave asimtrica.

AAA (Autenticacin, Autorizacin y Accounting)

Referencias http://en.wikipedia.org/wiki/AAA_protocol http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci514544,00.html RFC 2903 AAA authorization framework RFC 2904 AAA authorization Requirements RFC 2905 AAA authorization application examples Qu es LDAP?, 10 de diciembre de 2004. Disponible en: http://www.ldapes.org/contenido/04/12/1.-%C2%BFque-es-ldap%3F