Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA 2
Protocolos de Autenticación
en redes
José M. Sierra 1
Aspectos de seguridad
o La autenticación remota supone un reto para la
seguridad
Seguridad en Sistemas Distribuidos
José M. Sierra 2
KERBEROS
Seguridad en Sistemas Distribuidos
oFiabilidad
oSeguridad
oEscalabilidad
oTransparencia
José M. Sierra 3
KERBEROS
o Diseñado para permitir el acceso de
usuarios a servicios.
Seguridad en Sistemas Distribuidos
o Red Distribuida
o Existen tres amenazas principales:
o Suplantación .
o Ip-spoofing.
o Ataques de repetición.
José M. Sierra 4
KERBEROS
o Su funcinamiento se base en el empleo de
un servidor de autenticación (AS) que
Seguridad en Sistemas Distribuidos
José M. Sierra 5
Kerberos Version 4
o Terminología empleada:
Seguridad en Sistemas Distribuidos
o C = Client
o AS = authentication server
o V = server
o IDc = identifier of user on C
o IDv = identifier of V
o Pc = password of user on C
o ADc = network address of C
o Kv = secret encryption key shared by AS an V
o TS = timestamp
o || = concatenation
José M. Sierra 6
Autenticación básica
1) C AS: IDc || Pc || IDv
2) AS C: Ticket
Seguridad en Sistemas Distribuidos
3) C V: IDc || Ticket
◦ Problemas:
José M. Sierra 7
Autenticación básica mejorada
o Protocolo en tres fases
Seguridad en Sistemas Distribuidos
José M. Sierra 8
Autenticación básica mejorada
Obtención del Ticket-Granting Ticket
(1) C AS: IDc || IDtgs
Seguridad en Sistemas Distribuidos
José M. Sierra 9
Autenticación básica mejorada
o Problemas:
o Tiempo de vida asociado al ticket-granting ticket
Seguridad en Sistemas Distribuidos
José M. Sierra 10
Autenticación en Kerberos v4
Obtención del Ticket-Granting Ticket
(1) C AS: IDc || IDtgs||TS1
Seguridad en Sistemas Distribuidos
José M. Sierra 11
Seguridad en Sistemas Distribuidos
TEMA 2. Parte 2
Protocolos Seguros de Acceso
José M. Sierra 12
Introducción
o Túneles de encapsulación de protocolos
Seguridad en Sistemas Distribuidos
(Tunneling)
o La transmisión de paquetes de datos de un
determinado protocolo encapsulados en otro, de
manera que el contenido del paquete original
puede llegar inalterado a su destino, creando
una conexión virtual extremo a extremo a través
de una red.
o En distintos niveles de la pila de red:
o Nivel 2 (Enlace):, PPP, PPTP, L2F, L2TP, MPLS, ...
o Nivel 3 (Red): L2TP, MPLS, IPSEC, GRE, ...
José M. Sierra 13
Introducción
o Repaso al protocolo PPP
o Es un protocolo para encapsular IP por línea
Seguridad en Sistemas Distribuidos
José M. Sierra 14
Protocolos de nivel 2
o Incluyen servicios de seguridad previos al
establecimiento de la comunicación
Seguridad en Sistemas Distribuidos
IP
PPP
IP
Protocol (L2TP) (L2F) Protocol (PPTP)
José M. Sierra 15
Protocolos de nivel 2
o PPTP (Point-to-Point Tunneling Protocol):
Seguridad en Sistemas Distribuidos
José M. Sierra 16
Protocolos de nivel 2
o L2TP (Layer 2 Tunneling Protocol):
Seguridad en Sistemas Distribuidos
José M. Sierra 17
Seguridad en el protocolo PPTP
o PPTP proporciona dos servicios de
seguridad básicos:
Seguridad en Sistemas Distribuidos
o Autenticación
o Confidencialidad
o PPTP Utiliza la seguridad de PPP para
asegurar las comunicación sobre el túnel
o Autenticación de usuario PPP (PAP, CHAP, MS-
CHAP, MS-CHAPv2, EAP).
o Confidencialidad y cifrado PPP (MPPE). RC4 con
claves de 40 o 128 bits.
José M. Sierra 18
Seguridad en el protocolo PPTP
o Comunicación en PPTP de dos tipos
o Control
Seguridad en Sistemas Distribuidos
o Datos
o Encapsulado y transmisión de datos PPP mediante (GRE).
Generic Routing Encapsulation
José M. Sierra 19
Seguridad en el protocolo PPTP
o Autenticación
Seguridad en Sistemas Distribuidos
José M. Sierra 20
Seguridad en el protocolo PPTP
o Autenticación
o MS-CHAP v1
Seguridad en Sistemas Distribuidos
o A Tener en cuenta
o Conversión a mayúsculas
o Ausencia de condimento (SALT) en el almacenamiento de claves
José M. Sierra 21
Seguridad en el protocolo PPTP
o Proceso de autenticación en MS-CHAP
o El cliente solicita un reto
Seguridad en Sistemas Distribuidos
Encryption)
o Cifrado de flujo a través del algoritmo RC4
o 128 bits de semilla tomados de la aplicación de
SHA1 sobre el hash (Windows NT) de la contraseña
de usuario y 64 generados durante la negociación
MS-CHAP
o Cada 256 paquetes PPTP, se recalcula una semilla
nueva a través de la clave antigua y la clave original.
o Siguen existiendo debilidades en MPPE
o P.e.: puede evitarse el cambio de clave cada 256
paquetes
José M. Sierra 23
Seguridad en el protocolo L2TP
o El estándar permite que se pueda utilizar la seguridad de
PPP para asegurar las comunicación sobre el túnel.
Seguridad en Sistemas Distribuidos
José M. Sierra 24