Documentos de Académico
Documentos de Profesional
Documentos de Cultura
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 1 de 18
Instrumento: Reporte
Alumno: Fecha: 04 – 03 – 18
Carrera: Grupo:
Profesor:
II. Introducción
III. Objetivo
Elabora un reporte con los siguientes puntos:
1. Comparación de métodos de autenticación.
2. Configuración de autenticación con RADIUS.
3. Descripción de la implementación de certificados digitales.
IV. Desarrollo
Fecha de emisión:
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 2 de 18
RADIUS
El protocolo RADIUS para autenticar usuarios es uno de los sistemas más antiguos usados
en Internet. El protocolo ha sido una plataforma estándar desde la era de las conexiones de
marcado a Internet. RADIUS ejecuta un programa de software en un servidor. El servidor
suele utilizarse exclusivamente para la autenticación RADIUS. Cuando un usuario intenta
conectarse a la red, un programa cliente de RADIUS dirige todos los datos de usuario al
servidor RADIUS para la autenticación. El servidor aloja los datos de autenticación del
usuario en un formato encriptado y envía una respuesta de paso o rechazo de nuevo a la
plataforma de conexión. Por tanto, la autenticación se establece o se rechaza. Si se rechaza,
el usuario simplemente intenta de nuevo. Cuando se haya establecido, la interacción
RADIUS termina. Las servicios de red adicionales que requieren autenticación son
manejados por otros protocolos, si es necesario.
Objetivos
Las funciones de un servidor RADIUS se resumen con las siglas "AAA" que significan:
Autenticación, Autorización y Anotación. Los hacedores de servidores no reciben
conexiones directas de los clientes sino que interactúan con las aplicaciones del cliente en
otros equipos de la red.
El Early Deployment del RADIUS fue hecho usando el número del puerto 1645 UDP, que
está en conflicto con el servicio del “datametrics”. Debido a este conflicto, el RFC 2865
asignó oficialmente el número del puerto 1812 para el RADIUS. La mayoría de los
dispositivos de Cisco y de las aplicaciones ofrecen el soporte para cualquier números del
conjunto de puertos. El formato del pedido proporciona asimismo información sobre el tipo
de sesión que el usuario desea iniciar. Por ejemplo, si la interrogación se presenta en el
modo de carácter, la inferencia es “tipo de servicio = EXEC-usuario,” pero si la petición se
presenta en el PPP en modo de paquete, la inferencia es “tipo de servicio = Usuario
entramado” y el “tipo de Framed =PPP.”
Cuando el servidor de RADIUS recibe el pedido de acceso del NAS, busca una base de
datos para el nombre de usuario enumerado. Si el nombre de usuario no existe en la base de
datos, se carga un perfil predeterminado o el servidor RADIUS inmediatamente envía un
mensaje Access-Reject (acceso denegado). Este mensaje de acceso rechazado puede estar
acompañado de un mensaje de texto que indique el motivo del rechazo.
Contabilidad
La funciones de contabilidad del protocolo RADIUS pueden emplearse
independientemente de la autenticación o autorización de RADIUS. Las funciones de
Fecha de emisión:
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 4 de 18
contabilidad de RADIUS permiten que los datos sean enviados al inicio y al final de las
sesiones, indicando la cantidad de recursos (por ejemplo, tiempo, paquetes, bytes y otros)
utilizados durante la sesión. Un Proveedor de servicios de Internet (ISP) puede usar
RADIUS para el control de acceso y un software de contabilidad para satisfacer
necesidades especiales de seguridad y facturación. El puerto de contabilidad para el
RADIUS para la mayoría de los dispositivos de Cisco es 1646, pero puede también ser
1813 (debido al cambio en los puertos como se especifica en el RFC 2139 ).
Las transacciones entre el cliente y el servidor RADIUS son autenticadas mediante el uso
de un secreto compartido, que nunca se envía por la red. Además, las contraseñas del
usuario se envían cifradas entre el cliente y el servidor de RADIUS para eliminar la
posibilidad que alguien snooping en una red insegura podría determinar una contraseña de
usuario.
TACACS
El protocolo de autenticación TACACS+ fue desarrollado a partir de la experiencia Cisco
con RADIUS. Muchas de las características efectivas de RADIUS se conservaron en
TACACS+, mientras que los mecanismos más robustos fueron creados para manejar los
nuevos niveles de seguridad que demandaban las redes modernas. Una mejora clave en el
diseño TACACS+ es la encriptación completa de todos los parámetros usados en el proceso
de autenticación. RADIUS sólo encripta la contraseña, mientras que TACACS+ también
encripta el nombre de usuario y otros datos asociados. Además, RADIUS es un protocolo
de autenticación independiente, mientras que TACACS+ es escalable. Es posible aislar sólo
determinados aspectos de autenticación de TACACS+ mientras implementa otros
protocolos para capas adicionales del servicio de autenticación. Por tanto, Se suele
combinar con Kerberos para sistemas de autenticación particularmente fuertes.
Kerberos
El servicio Kerberos es una arquitectura cliente-servidor que proporciona seguridad a las
transacciones en las redes. El servicio ofrece una sólida autenticación de usuario y también
integridad y privacidad. La autenticación garantiza que las identidades del remitente y del
destinatario de las transacciones de la red sean verdaderas. El servicio también puede
verificar la validez de los datos que se transfieren de un lugar a otro (integridad) y cifrar los
datos durante la transmisión (privacidad). Con el servicio Kerberos, puede iniciar sesión en
otros equipos, ejecutar comandos, intercambiar datos y transferir archivos de manera
segura. Además, Kerberos proporciona servicios de autorización, que permiten a los
administradores restringir el acceso a los servicios y los equipos. Asimismo, como usuario
de Kerberos, puede regular el acceso de otras personas a su cuenta.
El servicio Kerberos es un sistema de inicio de sesión único. Esto significa que sólo debe
autenticarse con el servicio una vez por sesión, y todas las transacciones realizadas
posteriormente durante la sesión se aseguran de manera automática. Una vez que el servicio
lo autenticó, no necesita volver a autenticarse cada vez que utiliza un comando basado en
Kerberos, como ftp o rsh, o accede a datos en un sistema de archivos NFS. Por lo tanto, no
es necesario que envíe la contraseña a través de la red, donde puede ser interceptada, cada
vez que utiliza estos servicios.
AS = Authentication Server
TGS = Ticket Granting Server
SS = Service Server
En resumen el funcionamiento es el siguiente: el cliente se autentica a sí mismo contra el
AS, así demuestra al TGS que está autorizado para recibir un ticket de servicio (y lo recibe)
y ya puede demostrar al SS que ha sido aprobado para hacer uso del servicio kerberizado.
En más detalle:
Fecha de emisión:
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 6 de 18
UDP y TCP
RADIUS utiliza UDP mientras que TACACS+ utiliza TCP. El TCP ofrece varias ventajas
en comparación con el UDP. TCP ofrece un transporte orientado por conexión, mientras
que UDP ofrece el mejor esfuerzo para entregar. RADIUS necesita variables programables
adicionales tales como los intentos de retransmisión y tiempos de espera para compensar el
transporte de producto de un esfuerzo razonable, pero carece del nivel de soporte incluido
que ofrece un transporte TCP:
El uso del TCP proporciona un reconocimiento independiente acerca de que se ha
recibido una solicitud, dentro (aproximadamente) del trayecto de ida y vuelta (RTT),
independientemente de la carga que soporte el mecanismo de autenticación de segundo
plano y de su velocidad (un reconocimiento de TCP).
TCP proporciona una indicación inmediata de un servidor caído o que no funciona a
través de un reinicio (RST). Puede determinar cuando un servidor falla y vuelve a estar
en servicio si utiliza las conexiones TCP de larga duración. UDP no puede indicar la
diferencia entre un servidor desactivado, uno lento y uno inexistente.
Mediante las señales de mantenimiento de TCP, las caídas del servidor pueden ser
detectadas fuera de banda con peticiones actuales. Se pueden mantener conexiones a
servidores múltiples simultáneamente, y sólo debe enviar mensajes a los que están
activos y en funcionamiento.
TCP permite mayor ampliación y se adapta a las redes en crecimiento y congestionadas.
Cifrado de Paquetes
RADIUS sólo cifra la contraseña en el paquete de solicitud de acceso, del cliente al
servidor. El resto del paquete no está cifrado. Otra información, tal como el nombre de
usuario, los servicios autorizados, y la cuenta, pueden capturarse a través de una tercera
parte.
TACACS+ cifra todo el cuerpo del paquete pero deja un encabezado estándar de
TACACS+. Dentro del encabezado se encuentra un campo que indica si el cuerpo se ha
cifrado o no. Para facilitar el debugging, resulta útil que el cuerpo de los paquetes no esté
cifrado. Sin embargo, durante el funcionamiento normal, el cuerpo del paquete se cifra
completamente para lograr comunicaciones más seguras.
Autenticación y autorización
Fecha de emisión:
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 8 de 18
KERBEROS
Protección por contraseña
La principal innovación del protocolo Kerberos es que las contraseñas de los usuarios no
tienen que ser transmitidos a través de una red, ya sea en texto o en virtud de cifrado. El
protocolo se basa en cambio en las claves secretas que se transmiten en un sistema de
codificación que no puede ser interceptado. Si se compromete la seguridad de una red,
todavía es posible para los delincuentes para interpretar el contenido de la red de
comunicación. Servicios de autenticación y público objetivo de la fijación.
Además de vale de autenticación mutua pasado desde el servidor al cliente, y viceversa, que
su fecha e incluir información de duración. Por consiguiente, la duración de la
autenticación es limitada. La duración de una aplicación de usuario puede ser modificado
por el dibujo, pero el límite es generalmente lo suficientemente bajo para asegurar que los
ataques de repetición (y ataques de fuerza bruta) no son factibles. Si lo hace, que la
duración es menor que teóricamente posible en cualquier momento a la fisuración de
cifrado, la comunicación permanece completamente seguro.
La durabilidad y la reutilización
Autenticación mediante el protocolo Kerberos son duraderos y reutilizables. Una vez que
un usuario se autentica mediante el protocolo de autenticación es reutilizable para la
duración de su billete. En otras palabras, usted puede permanecer autenticado por el
protocolo Kerberos sin tener que volver a introducir un nombre de usuario y contraseña a
través de la red (hasta la autentificación caduca).
Fecha de emisión:
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 12 de 18
Normas de internet
El protocolo Kerberos se basa totalmente en estándares abiertos de Internet, y no se limita a
los códigos de los mecanismos de propiedad o de autenticación. Esto permite a los
desarrolladores confían en cualquier número de implementaciones de referencia a través del
transporte público y abierto y libre. Además, las implementaciones comerciales de bajo
costo se pueden adquirir o desarrollar de forma independiente.
Ubicuidad
Tal vez la mayor fortaleza de Kerberos " unión hace la fuerza". Porque Kerberos se ha
vuelto tan generalizado y la confianza de los mejores desarrolladores, expertos en seguridad
y criptógrafos, las nuevas deficiencias y las violaciones son susceptibles de ser
identificadas y superar de inmediato. A diferencia de un sistema de propiedad inusual, no
hay suficiente inversión en Kerberos que su seguridad ha alcanzado una masa crítica que
sería casi imposible de superar.
Fecha de emisión:
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 13 de 18
CERTIFICACIONES DIGITALES
El Certificado Digital es el único medio que permite garantizar técnica y legalmente la
identidad de una persona en Internet. Se trata de un requisito indispensable para que las
instituciones puedan ofrecer servicios seguros a través de Internet. Además:
El certificado digital permite la firma electrónica de documentos El receptor de un
documento firmado puede tener la seguridad de que éste es el original y no ha sido
manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.
El certificado digital permitecifrar las comunicaciones. Solamente el destinatario de la
información podrá acceder al contenido de la misma.
En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y
dinero al realizar trámites administrativos en Internet, a cualquier hora y desde cualquier
lugar.
Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una
privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con
una de las claves sólo se puede descifrar con su clave pareja.
El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es
sustraída, el sustractor podría suplantar la identidad del titular en la red. En este caso el
titular debe revocar el certificado lo antes posible, igual que se anula una tarjeta de crédito
sustraída.
La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un
documento digital que contiene la clave pública junto con los datos del titular, todo ello
firmado electrónicamente por una Autoridad de Certificación, que es una tercera entidad
de confianza que asegura que la clave pública se corresponde con los datos del titular.
La Firma Electrónica sólo puede realizarse con la clave privada. Puedes encontrar más
información sobre el proceso de firma digital en la sección “¿Qué es una firma digital?”
La Autoridad de Certificación se encarga de emitir los certificados para los titulares tras
comprobar su identidad.
El formato de los Certificados Digitales está definido por el estándar internacional ITU-T
X.509. De esta forma, los certificados pueden ser leídos o escritos por cualquier aplicación
que cumpla con el mencionado estándar.
Fecha de emisión:
REPORTE 10/01/2013
Sistema de Gestión de la Calidad Revisión: 01
Página 18 de 18
ENTIDADES CERTIFICADORAS
La Entidad de Certificación, es aquella organización privada, que tiene como
función evaluar la conformidad y certificar el cumplimiento de una norma de
referencia, ya sea del producto, del servicio, o del sistema de gestión de una
organización. En particular, es la responsable de la auditoría realizada a las
organizaciones interesadas en obtener una certificación de su sistema de gestión de
la calidad según ISO 9001:2008, su sistema de gestión ambiental según ISO
14001:2004, etc. Estas entidades deben ser independiente de la organización que
audita, y no haber realizado otros trabajos para ella, como por ejemplo, consultoría
para implementar el sistema que se certifica.
V. Resultados
El proceso de autenticación es un componente crítico en la actividad de la
computadora. Los usuarios no pueden realizar muchas funciones en una red de
computadoras o en Internet sin autenticarse antes en el servidor. Acceder a una
computadora individual o a un sitio web requiere un protocolo de autenticación
confiable para ejecutar un proceso de fondo para establecer la verificación del
usuario. Una variedad de protocolos están en uso activo por parte de muchos
servidores por el mundo.
VI. Conclusiones
La información en este documento nos ayuda a entender que la mayoría de las redes
inalámbricas utilizan algún tipo de configuración de seguridad. Estas
configuraciones de seguridad definen la autentificación (el modo en que el
dispositivo en si se identifica en la red) y la encriptación (el modo en que los datos
se cifran a medida que se envían por la red)
VII. Bibliografía