SEGURIDAD EN REDES AUTENTICACIÓN CON SERVIDORES AAA (originalmente, Authentication, Authorization y Accounting)

Tamaño: px

Comenzar la demostración a partir de la página:

Download "SEGURIDAD EN REDES AUTENTICACIÓN CON SERVIDORES AAA (originalmente, Authentication, Authorization y Accounting)"

Pilar Correa Murillo
hace 8 años
Vistas:

1 SEGURIDAD EN REDES AUTENTICACIÓN CON SERVIDORES AAA (originalmente, Authentication, Authorization y Accounting) Servicios AAA El estándar AAA (RFC 2903) proporciona un marco arquitectónico para configurar un sistema de seguridad de red, con tres funciones independientes y bien definidas: Autenticación, Autorización y Auditoria. AAA El estándar AAA (RFC 2903) proporciona un marco arquitectónico para configurar un sistema de seguridad de red, con tres funciones independientes y bien definidas: Autenticación, Autorización y Auditoria. SEGURIDAD EN REDES AUTENTICACIÓN CON SERVIDORES AAA De manera genérica podemos decir que un servicio AAA debe ser capaz de autenticar a los usuarios, dar una respuesta correcta a las solicitudes de autorización de los mismos así como de recolectar datos que permitan hacer una auditoria sobre los recursos a los que se ha tenido acceso. Para un proveedor de servicios es necesario el uso de uno o varios servidores que cumplan con estas características, para situarse como punto intermedio entre una aplicación (específicamente el módulo que se encarga de autorizar los accesos) y los posibles usuarios. 1

AAA El estándar AAA (RFC 2903) proporciona un marco arquitectónico para SEGURIDAD EN REDES AUTENTICACIÓN CON SERVIDORES AAA De manera genérica podemos decir que un servicio AAA debe ser capaz de

2 Autenticación Provee el método para identificar a los usuarios (usuario y contraseña, reto y repuesta, etc.) y, dependiendo del protocolo de seguridad seleccionado, el método de encriptación a utilizar. Es decir, autenticación es el servicio a través del cual se identifica a un usuario antes de determinar a que servicios de red o aplicaciones tiene acceso. Autorización El servicio de autorización se refiere a la concesión de acceso a determinadas aplicaciones o servicios de red para un usuario, basándose en su autenticación. La autorización también puede estar basada en restricciones, por ejemplo: de tiempo, de ubicación física, número de accesos con un mismo usuario, etc. Este servicio trabaja ensamblando una serie de atributos que describen que es lo que el usuario tiene permitido o no. Para conocer los atributos de cada usuario, se genera una consulta a una base de datos específica donde el resultado es reenviado al servicio AAA. Esta base de datos puede estar localizada localmente en el dispositivo de acceso a la red (Access Server, enrutador) o puede estar ubicada en un servidor remoto. 2

Es decir, autenticación es el servicio a través del cual se identifica a un usuario antes de determinar a que servicios de red o aplicaciones tiene acceso.

3 Auditoría El servicio de auditoria se refiere al seguimiento o monitoreo del consumo de los recursos de la red por cada uno de los usuarios autorizados. Esta información puede ser usada para propósitos de administración, planeación, facturación, etc. La auditoria en tiempo real se lleva a cabo entregando la información en el momento utilizando los recursos de la red o a través de una red dedicada para este propósito. La auditoria de respaldo se lleva acabo salvaguardando toda la información en un servidor específico para ser revisada más tarde. Protocolos AAA Los protocolos AAA más utilizados para proporcionar acceso a una red desde un sitio remoto son: Radius (Remote Authentication Dial-in User Service) TACACS+ (Terminal Access Controller Access Control System Plus) DIAMETER 3

La auditoria en tiempo real se lleva a cabo entregando la información en el momento utilizando los recursos de la red o a través de una red dedicada para este propósito.

RADIUS RADIUS es el acrónimo en inglés de Remote Authentication Dial-In User Server, y es quizás el más conocido. Utiliza el puerto UDP 1812 UDP y funciona como cliente-servidor.

4 RADIUS RADIUS es el acrónimo en inglés de Remote Authentication Dial-In User Server, y es quizás el más conocido. Utiliza el puerto UDP 1812 UDP y funciona como cliente-servidor. Su éxito residió, probablemente, en su implementación en proveedores de acceso a Internet (ISP), que fueron los que primero debieron incluir una instancia de autenticación remota a través de la red para validar las conexiones de sus clientes. DIAMETER Más adelante se creó DIAMETER, basado en el mismo concepto que RADIUS y tomando muchas de sus funcionalidades e ideas. De hecho, así como RADIUS equivale a la palabra radio en inglés (en referencia a la mitad del diámetro de un círculo), el nombre DIAMETER hace evidente referencia a el doble del radio, es decir, el doble de RADIUS. TACACS TACACS, acrónimo de Terminal Access Controller Access Control System, creado por Cisco y usado, normalmente, en sistemas UNIX y descrito en el RFC Posteriormente surgiótacacs+, que pese a su nombre similar, es muy diferente y no es compatible con este último. 4

para validar las conexiones de sus clientes. DIAMETER Más adelante se creó DIAMETER, basado en el mismo concepto que RADIUS y tomando muchas de sus funcionalidades e ideas.

5 5

Documentos relacionados

Aspectos Básicos de Networking. Sesión 12: Configuración y verificación de su red

Aspectos Básicos de Networking Sesión 12: Configuración y verificación de su red Contextualización Es útil verificar una red? Se puede configurar una red de forma automática? Los sistemas operativos son