Punto 6 Servidores de Acceso. Remoto. Juan Luis Cano

Documentos relacionados
SERVIDORES DE ACCESO REMOTO

Servidores de acceso remoto:

INTRODUCCIÓN A RADIUS

Protocolos PPP, PAP y CHAP

Servidores de acceso remoto

Luis Villalta Márquez

Versión 28/02/11 aplicación transporte red Redes Privadas enlace física

RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementan sus propios dialectos.

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP, PAP, CHAP. NOTAS: Jorge García Delgado PPP:

REDES PRIVADAS VIRTUALES. VPN.

FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales. Tema 4. Tunneling y Redes Privadas Virtuales. Segunda parte

Punto 4 Redes Privadas. Virtuales (VPN) Juan Luis Cano

Leonardo Bernal Bueno

VIRTUAL PRIVATE NETWORK (VPN)

TEMA 2 Protocolos de Autenticación en redes

Redes privadas virtuales VPN

Seguridad 101. Daniel

TEMA 5 Protocolo d e de encapsulamiento punto a punto: PPP 1

Introducción. Introducción. Seguridad y Alta Disponibilidad Virtual Private Networks. Definición:

Clave Pública y Clave Privada

REDES INALÁMBRICAS, CONECTIVIDAD EN LAS AIP Y CRT DE LAS IIEE

UD 3: Implantación de técnicas de acceso remoto. Seguridad perimetral SAD

Seguridad en WiFi. Introducción a la Seguridad WiFi 05/06/2013

Bloque III Seguridad en la Internet

Seguridad y Alta Disponibilidad

Diseño e Implementación de un HotSpot-In-a-Box

SEGURIDAD EN REDES AUTENTICACIÓN CON SERVIDORES AAA (originalmente, Authentication, Authorization y Accounting)

Interfaz de Acceso Conmutado a Red IP HISTÓRICO DE CAMBIOS DEL DOCUMENTO. V 1.1 Primera publicación de la Interfaz Todas

UD 3: Implantación de técnicas de acceso remoto. Seguridad perimetral SAD

Introducción a las redes informáticas

CUESTIONARIO. 5. Qué nombre reciben los paquetes de información en el protocolo TCP/IP? a. Distagramas b. Datagramas c. Segmentos d.

Prueba de ping sobre DSL: Una verificación integral del servicio.

Red Inalámbrica segura: WPA x/EAP-TTLS + FreeRADIUS + OpenLDAP. Alejandro Valdés Jimenez Universidad de Talca

LINEAMIENTOS DE (REDES DE ÁREA LOCAL INALÁMBRICA) WLAN S

Tema 2 Redes e Internet

Contenido. Introducción

Redes inalámbricas. red inalámbrica

Ingeniería. ol) (Point to. Pablo

Estudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez

Configure a un router VoIP de la Pequeña empresa de Cisco que utilizaba el servicio de Internet DSL

La pila TCP/IP es la familia de protocolos que dirige el internet actual. Mientras otros protocolos también se usa en redes de computador, TCP/IP es

Conceptos básicos de redes TCP/IP. LANs

Ingeniería en Informática (plan 2001)

Seguridad del protocolo HTTP

Diagrama de Flujo de Solución de Problemas de PPP

Autenticación de PPP utilizando los comandos ppp chap hostname y ppp authentication chap callin

WPA+EAP-TLS+FreeRADIUS

Tornado 840 / 841 ADSL Router - 4 port Ethernet switch - Wireless G - Access Point - Firewall - USB printer server

Red WiFi Enterprise con LliureX. Ramón Onrubia Pérez

EQUIPO DE INTERCONEXION ROUTER

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

Modelo OSI y TCP/IP. Teleprocesamiento Ing. Zoila Marquez.

Introducción a las redes informáticas

Wireless WPA2 EAP en Mikrotik

Configuración de AAA básico en un servidor de acceso

Guía de configuración de la versión 1.02 del EAP-FAST

Configuración de AAA básico en un servidor de acceso

INTRODUCCIÓN A LA ADMINISTRACIÓN DE REDES I N G. M O I S É S A L V A R E Z H U A M Á N

Seguridad del protocolo HTTP:

Comunicación a través de la red

Unidad II Modelos de Referencias TCP/IP

Cómo funciona y se configura la autenticación PPP CHAP

Protocolos de Telecomunicaciones Capa Física y Capa de Enlace de datos. Semana 2

Redes Privadas. :: Redes :: transporte. red. enlace. física. aplicación. Versión 28/02/11

SEGURIDAD EN LA RED CORPORATIVA:

TEMA2: REDES INFORMÁTICAS

EL64E REDES DE COMPUTADORES. Redes WAN. Introducción. HDLC High-Level Data Link Control. PPP Point-to-Point Protocol.

Unidad Didáctica Redes 4º ESO

CONFIAR EN LA SEGURIDAD DE REDES WLAN

Ingeniería en Automática Industrial Software para Aplicaciones Industriales I

PROCEDIMIENTO MANTENIMIENTO INSTALACION Y MANTENIMIENTO DE RED INALAMBRICA

Entienda la solución del iwag para los datos del móvil 3G

RADIUS AUTENTICACIÓN, AUTORIZACIÓN Y CONTABILIDAD. Carlos Pallardó Ávila Pablo Dafonte Iglesias

Tema 2 LA SEGURIDAD EN LOS ELEMENTOS FÍSICOS EXISTENTES EN UNA RED

WPA vs WPA2. Ana Hernández Rabal

ESTE proyecto consiste en el análisis, diseño e implementación

PROTOCOLO FTP PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS ING. RAUL BAREÑO GUTIERREZ RAUL BAREÑO GUTIERREZ 1

WLC con los ejemplos de configuración de la autenticación Idap para el 802.1x y el Red-auth WLAN

Qué es VoIP. VoIP basado en el estándar H.323

4.4. TCP/IP - Configuración Parte 2 SIRL

Sistemas operativos en red. Conrado Perea

Tecnologías Wi-Fi (y 2)

UNIVERSIDAD NACIONAL DEL COMAHUE

Comparación de TACACS+ y RADIUS

Comparación de TACACS+ y RADIUS

Seguridad en Sistemas Informáticos Seguridad del canal de comunicaciones Redes privadas virtuales (VPN)

2. Fundamentos de Tecnologías de Información. 2.5 Telecomunicaciones y Redes

Modulo 1: Modelos de Referencia

Tics. Conceptos básicos de redes. Equipo #4. Andrea Hernández Díaz. María de Lourdes Samano Ornelas. Karen Ortiz Navarro. Melissa Cano Ángeles

Uso y acceso a la red WIFI del Gobierno de Canarias

BANCO DE REACTIVOS DE OPCIÓN MÚLTIPLE CON MATRIZ DE RESPUESTAS

Sistemas de información globales: Comunicaciones y conectividad en sistemas de información

El Modelo. Aplicación. Presentación. Sesión. Transporte. Red. Enlace. Físico

Las redes de ordenadores. Tipos. Comunicación en la Red Modelo OSI. Arquitectura TCP/IP. Luis Villalta Márquez

ACS 5.x: Ejemplo de configuración del servidor LDAP

Nota de Autentificación de aplicaciones de Web

Habilitación del Secure Shell (SSH) en un punto de acceso

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL.

Session Initiation Protocol (SIP o Protocolo de Inicialización de Sesiones) es un protocol de señalización simple, utilizado para telefonía y

REDES DE DATOS Modelo OSI. Angélica Flórez Abril, MSc.

Transcripción:

Punto 6 Servidores de Acceso Remoto Juan Luis Cano

Servidor de acceso remoto (Remote Access Server/Services) es una combinación de hardware y software que permite el acceso remoto a herramientas o información que generalmente residen en una red de dispositivos.

La autenticación de clientes de acceso remoto es una cuestión de gran importancia para la seguridad. Los métodos de autenticación normalmente utilizan un protocolo de autenticación que se negocia durante el proceso de establecimiento de la conexión.

El protocolo PPP permite establecer una comunicación a nivel de la capa de enlace TCP/IP entre dos computadoras. Generalmente, se utiliza para establecer la conexión a Internet de un particular con su proveedor de acceso a través de un módem telefónico. También es utilizado sobre conexiones de banda ancha (como PPPoE y PPPoA).

PPP consta de las siguientes fases: Establecimiento de conexión: Durante esta fase, una computadora contacta con la otra y negocian los parámetros relativos al enlace usando el protocolo LCP, el cual negocia el método de autenticación que se va a utilizar, el tamaño de los datagramas,... Autenticación: No es obligatorio. Existen dos protocolos de autenticación (PAP y CHAP). El más básico e inseguro es PAP, ya que manda el usuario y la contraseña en texto plano, al contrario que CHAP, donde todo va cifrado. Configuración de red: En esta fase se negocian parámetros dependientes del protocolo de red que se esté usando. PPP puede llevar muchos protocolos de red al mismo tiempo y es necesario configurar individualmente cada uno de estos protocolos. Transmisión: Durante esta fase se manda y recibe la información de red. LCP se encarga de comprobar que la línea está activa durante periodos de inactividad. Terminación: La conexión puede ser finalizada en cualquier momento y por cualquier motivo.

PPPoE (Point-to-Point Protocol over Ethernet o Protocolo Punto a Punto sobre Ethernet) es un protocolo de red para la encapsulación PPP sobre una capa de Ethernet. Es utilizada mayoritariamente para proveer conexión de banda ancha mediante servicios de cable módem y DSL. Este ofrece las ventajas del protocolo PPP como son la autenticación, cifrado, mantención y compresión. Es un protocolo túnel, que permite implementar una capa IP sobre sobre una conexión entre dos puertos Ethernet, pero con las características de software del protocolo PPP. Por esto, es utilizado para virtualmente "marcar" a otra máquina dentro de la red Ethernet, logrando una conexión "serial" con ella, con la que se pueden transferir paquetes IP.

El protocolo PPPoA es el Protocolo de Punto a Punto (PPP) sobre ATM. Es utilizado para realizar la encapsulación PPP en capas ATM AAL5. El protocolo PPPoA se utiliza principalmente en conexiones de banda ancha, como cable y DSL. Este ofrece las principales funciones PPP como autenticación, cifrado y compresión de datos. Actualmente tiene alguna ventaja sobre PPPoE debido a que reduce la pérdida de calidad en las transmisiones. Al igual que PPPoE, PPPoA puede usarse en los modos VC-MUX y LLC.

PPP puede utilizar un sistema de autenticación mediante usuario y contraseña, de tal forma que aumenta en gran medida la seguridad entre las conexiones seriales de los routers. Hay dos tipos de autenticación utilizados por PPP, PAP y CHAP.

La autenticación PAP es utilizada por muchos proveedores de Internet (ISP), funciona básicamente de la misma forma que el procedimiento normal de registro. El cliente se autentifica a sí mismo enviando un nombre de usuario y una contraseña (opcionalmente encriptada) al servidor, la cual es comparada por el servidor con su base de datos de claves o secrets. Esta técnica es vulnerable a los intrusos que pueden intentar obtener la contraseña escuchando en una línea serie y a otros que hagan sucesivos intentos de ataque por el método de prueba y error.

En la autenticación CHAP, por el contrario, el autentificador envía una cadena de reto generada aleatoriamente al cliente, junto a su nombre de ordenador. El cliente utiliza el nombre del ordenador para buscar la clave apropiada, la combina con el reto, y encripta la cadena utilizando una función de codificación de un solo sentido. El resultado es devuelto al servidor junto con el nombre del ordenador cliente. El servidor realiza ahora la misma computación, y advierte al cliente si obtiene el mismo resultado. De esta manera, CHAP garantiza la autenticación empleando mayor seguridad que en PAP.

Extensible Authentication Protocol (EAP) es una autenticación framework usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas. Recientemente los estándares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticación.

1. El servidor de autenticación envía un Request (Solicitud) de Autenticación al cliente, el mensaje de Request tiene un campo de Tipo, en el cual el cliente debe responder que es lo que está solicitando. 2. El cliente envía un paquete Response (Respuesta) al servidor. Al igual que en el paquete Request, el paquete Response contiene un campo de Tipo, el cual corresponde al campo de Tipo en el paquete de Request. 3. El servidor de autenticación envía un paquete Request adicional al cual el cliente envía un Response. El servidor es responsable de transmitir las solicitudes de retrasmisión. Después de un número de retransmisiones, el Servidor PUEDE terminar la conversación EAP. El servidor no puede enviar un paquete de Success o Failure cuando se retransmite o cuando falla en recibir una respuesta a dichos paquetes por parte del cliente. 4. La conversación continúa hasta que el servidor no puede autenticar al cliente, y en dicho caso el servidor transmite un mensaje de Failure. Como alternativa, la conversación de autenticación puede continuar hasta que el servidor determina que se ha cumplido con una autenticación satisfactoriamente. En ese caso el servidor envía un paquete de Success.

Es una estructura de soporte, no un mecanismo específico de autenticación. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticación escogidos. Estos mecanismos son llamados métodos EAP, de los cuales se conocen actualmente unos 40. Los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, y EAP- AKA.

Es un método de autenticación en dos fases. La primera establece una sesión de TLS con el servidor y permite que el cliente lleve a cabo la autenticación del mismo mediante el certificado digital del servidor. La segunda fase requiere un segundo método de EAP de túnel dentro de la sesión PEAP para llevar a cabo la autenticación del cliente con el servidor RADIUS. Esto ofrece a PEAP la posibilidad de utilizar métodos de autenticación de clientes diferentes, como contraseñas con la versión 2 del protocolo MS-CHAP (MS CHAP v2) y certificados que usan EAP-TLS de túnel dentro de PEAP. Los métodos de EAP como MS-CHAP v2 no son lo suficientemente seguros como para usarse sin protección PEAP, pues quedarían susceptibles a ataques de diccionario sin conexión.

Kerberos es un protocolo de autenticación de redes de ordenador creado por el MIT que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza. Además, existen extensiones del protocolo para poder utilizar criptografía de clave asimétrica.

El acrónimo AAA corresponde a un tipo de protocolos que realizan tres funciones: Autenticación, Autorización y Contabilización (Authentication, Authorization and Accounting). AAA se combina a veces con auditoria, convirtiéndose entonces en AAAA.

Autenticación: La Autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc.) y la segunda un servidor (ordenador). La Autenticación se consigue mediante la presentación de una propuesta de identidad y la demostración de estar en posesión de las credenciales que permiten comprobarla. Autorización: La Autorización se refiere a la concesión de privilegios específicos a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Contabilización: La Contabilización (Accounting) se refiere al seguimiento del consumo de los recursos de red por los usuarios. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos.

Algunos de los protocolos en los que se implementa la Triple A son: RADIUS DIAMETER TACACS TACACS+ Otros protocolos utilizados en combinación con los protocolos AAA: PPP EAP LDAP

RADIUS (Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones. Cuando se realiza la conexión con un ISP mediante módem, DSL, cable módem, Ethernet o Wifi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asignan determinados parámetros como una dirección IP, L2TP, etc. Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

TACACS+ (Terminal Access Controller Access Control System o sistema de control de acceso del controlador de acceso a terminales ) es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados de autenticación, autorización y registro) a servidores y dispositivos de comunicaciones. TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS.

El cliente del protocolo AAA deberá tener la misma configuración que la que viene dada por el servidor para poder conectarse a la red inalámbrica. Dependiendo de la configuración del servidor, se utilizarán protocolos como EAP, LEAP o PEAP.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback