HERRAMIENTAS Y DISEÑO DE REDES SEGURAS

MÉTODOS DE AUTENTIFICACIÓN

La autenticación o autentificación es el acto o proceso de confirmar que algo (o alguien) es quien

dice ser. A la parte que se identifica se le llama probador. A la parte que verifica la identidad se
la llama verificador. Es habitual que el probador sea un usuario que quiere acceder a ciertos
recursos y el verificador sea un sistema que protege el acceso a dichos recursos y tiene que
verificar que el que accede sea un usuario que tiene permisos para acceder a esos recursos. Para
poder tener autenticación es necesaria, como condición previa, la existencia de identidades
biunívocamente identificadas de tal forma que se permita su identificación.

I. TIPOS DE AUTENTICACIÓN
Los métodos de autenticación están en función de lo que utilizan para la verificación y estos
se dividen en tres categorías:

- Sistemas basados en algo conocido. Ejemplo, un password (Unix) o passphrase (PGP).

- Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una tarjeta
inteligente(smartcard), dispositivo usb tipo epass token, Tarjeta de coordenadas,
smartcard o dongle criptográfico.
- Sistemas basados en una característica física delante usuario o un acto involuntario del
mismo: Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares.

II. CARACTERÍSTICAS DE AUTENTICACIÓN

Cualquier sistema de identificación ha de poseer unas determinadas características para ser
viable:

• Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo
de en los sistemas menos seguros)....
• Económicamente factible para la organización (si su precio es superior al valor de lo
que se intenta proteger, tenemos un sistema incorrecto).
• Soportar con éxito cierto tipo de ataques.
• Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen.
• Respuesta inmediata, directa, inteligente, sencilla, ante cada situación.

III. MECANISMO DE AUTENTICACIÓN

Para autenticar es necesario establecer un protocolo de comunicación entre las partes de
forma que la parte verificadora (normalmente) prueba verificar que la parte que se identifica
(normalmente un usuario) efectivamente es quien dice que es. En general el proceso de
autenticación consta de los siguientes pasos:

1. El probador solicita acceso a un sistema.

2. El verificador solicita al usuario que se autentique.
3. El probador aporta las credenciales que le identifican y permiten verificar la
autenticidad de la identificación.
4. El verificador valida según sus reglas si las credenciales aportadas son suficientes
para dar acceso al usuario o no.
IV. PROTOCOLOS DE SERVICIO DE AUTENTIFICACION

4.1 AAA (Authentication, Authorization y Accounting):

Nos estamos basando en un solo protocolo o en algunos en especial, sino en una familia
de protocolos que proveen los servicios anteriormente mencionados. Si le adicionamos
el concepto de Auditoría, tendríamos lo que a veces se conoce como AAAA, o cuádruple
A. Para comprender mejor estos sistemas de autenticación, debemos recordar primero
los conceptos que representan

Authentication.
La autenticación es el proceso por el que una entidad demuestra que es quien dice ser,
probando así su identidad frente a un sistema u otra entidad, al presentar alguno de los
factores de autenticación ya conocidos algo que uno tiene por ejemplo, un token o algo
que uno sabe por ejemplo, un password.

También puede darse el requisito de la presentación de dos de los tres tipos de factores,
para obtener lo que se denomina autenticación Two Factors. Vale la pena destacar que,
en muchos casos, no es indispensable enviar por la red las credenciales de autenticación.

Authorization.
Se refiere a la concesión de privilegios específicos (ninguno) a una entidad o usuario
basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual
del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales
como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición
de realizar logins múltiples simultáneos del mismo usuario.

Accounting.
Se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta
información puede usarse posteriormente para la administración, planificación,
facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que
los datos generados se entregan al mismo tiempo que se produce el consumo de los
recursos.Consiste en la grabación de los datos de consumo para su entrega en algún
momento posterior.

4.2 RADIUS:
RADIUS es el acrónimo en inglés de Remote Authentication Dial-In User Server, y es
quizás el más conocido. Utiliza el puerto UDP 1812 UDP y funciona como cliente-
servidor. Su éxito residió, probablemente, en su implementación en proveedores de
acceso a Internet (ISP), que fueron los que primero debieron incluir una instancia de
autenticación remota a través de la red para validar las conexiones de sus clientes.
 Estas conexiones pueden ser tanto inalámbricas como por medio de cablemódems,
líneas ADSL o accesos dial-up. RADIUS recibe la información de credenciales de acceso
por medio del protocolo PPP a través de un servidor conocido como Network Access
Server, que redirige el pedido a un servidor RADIUS con el propio protocolo RADIUS.
Este comprueba que la información sea correcta mediante otros mecanismos de
autenticación (PAP, CHAP o EAP) y, en caso de ser aceptada, autoriza al cliente a acceder
al sistema y le provee los recursos necesarios, como una dirección IP. RADIUS permite
manejar sesiones, lo cual es útil para la medición de tiempo para facturación, como en
hoteles o ISPs.

4.3 TACACS
El TACACS es un protocolo cliente, servidor que proporciona la Seguridad centralizada
para los usuarios que intentan tener el Acceso de administración a un router o a un
servidor de acceso a la red.
El TACACS+ proporciona estos servicios del Authentication, Authorization, and
Accounting (AAA):
Autenticación de los usuarios que intentan iniciar sesión al equipo de red
Autorización de determinar qué nivel de usuarios del acceso debe tener
El considerar para no perder de vista todos los cambios el usuario hace

Contribuido por Surendra BG, ingeniero de Cisco TAC.

Ejemplo:
4.4 KERBEROS
Kerberos es un protocolo de seguridad creado por MIT que usa una criptografía de
claves simétricas para validar usuarios con los servicios de red evitando así tener que
enviar contraseñas a través de la red. Al validar los usuarios para los servicios de la red
por medio de Kerberos, se frustran los intentos de usuarios no autorizados que intentan
interceptar contraseñas en la red.

FUNCIONAMIENTO GENERAL DE KERBEROS.

Cada usuario dispone de una clave.

Cada servidor dispone de una clave.
Kerberos mantiene una base de datos que contendrá a todas estas claves.
La clave e un usuario será derivada de su contraseña y estará cifrada.
La clave de un servidor se genera aleatoriamente.
Los servicios de red que requieren autenticación, así como los usuarios que requieran
estos servicios, se deben registrar con Kerberos.
Las claves privadas se negocian cuando los usuarios se registran.
Kerberos, en conocimiento de todas las claves privadas, crea mensajes para informar a
un servidor de la autenticidad de un usuario que requiere servicios de éste.

NIVELES DE PROTECCIÓN DE KERBEROS

Autenticación: Prueba que el usuario es quien dice ser. Puede ser que la autenticidad se
establezca al inicio de la conexión de red y luego se asuma que los siguientes mensajes
de una dirección de red determinada se originan desde la parte autenticada.
Integridad de datos:Asegura que los datos no se modifican en tránsito. Se requiere
autenticación de cada mensaje, sin importar el contenido del mismo. Esto se denomina
mensaje seguros.
Privacidad de datos:Asegura que los datos no son leídos en tránsito. En este caso, no
sólo se autentica cada mensaje, sino que también se cifra. Éstos mensajes son privados.
V. SERVIDOR DE AUTENTICACION
Se refiere a una arquitectura de seguridad para los sistemas distribuidos, este servidor
trabaja mediante protocolos para la autentificación, como los desarrollados anteriormente,

Su FUNCION, es la que permite controlar que los usuarios puedan acceder a los servicios, y
la cantidad de recursos que han utilizado.

Ejemplos de Implementaciones:

Active Directory
Active Directory es el nombre utilizado por Microsoft (desde Windows 2000) como almacén
centralizado de información de uno de sus dominios de administración.

Novell Directory Services

También conocido como eDirectory es la implementación de Novell utilizada para manejar el
acceso a recursos en diferentes servidores y computadoras de una red.

iPlanet - Sun ONE Directory Server

Basado en la antigua implementación de Netscape, iPlanet se desarrolló cuando AOL adquirió
Netscape Communications Corporation y luego conjuntamente con Sun Microsystems
comercializaron software para servidores.

OpenLDAP
Se trata de una implementación libre del protocolo que soporta múltiples esquemas por lo
que puede utilizarse para conectarse a cualquier otro LDAP.

Red Hat Directory Server

Directory Server es un servidor basado en LDAP que centraliza configuración de aplicaciones,
perfiles de usuarios, información de grupos, políticas así como información de control de
acceso dentro de un sistema operativo independiente de la plataforma.

Apache Directory Server

Apache Directory Server (ApacheDS), es un servidor de directorio escrito completamente en
Java por Alex Karasulu y disponible bajo la licencia de Apache Software, es compatible con
LDAPv3 certificado por el Open Group, soporta otros protocolos de red tal como Kerberos y
NTP, además provee Procedimientos Almacenados, triggers y vistas; características que
están presente en las Base de Datos Relacionales pero que no estaban presentes en el mundo
LDAP.