Seguridad de la información: Protocolos de autenticación

DEFINICIÓN

Un protocolo de autentificación (o autenticación) es un tipo de protocolo criptográfico que tiene el propósito de autentificar entidades que desean comunicarse de forma segura. Los protocolos de autenticación se negocian inmediatamente después de determinar la calidad del vínculo y antes de negociar el nivel de red.

Algunos protocolos de autentificación son:

PAP: Protocolo de autentificación de contraseña
CHAP: Protocolo de autentificación por desafío mutuo
SPAP: Protocolo de autentificación de contraseña de Shiva
MS-CHAP y MS-CHAP v2: Protocolo de autentificación por desafío mutuo de Microsoft (variantes de CHAP) * EAP: Protocolo de autentificación extensible
Diameter
Kerberos
NTLM (también conocido como NT LAN Manager)
PEAP: Protocolo de autenticación extensible protegido
RADIUS
TACACS y TACACS+

En seguridad informática, el acrónimo AAA corresponde a un tipo de protocolos que realizan tres funciones: autenticación, autorización y contabilización (en inglés, Authentication, Authorization and Accounting). La expresión protocolo AAA no se refiere pues a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres servicios citados.

PROTOCOLO AAA

AAA se combina a veces con auditoria, convirtiéndose entonces en AAAA.

Autenticación: La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La Autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla.

Autorización: se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc...

La contabilización: se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos.

TACACS y TACACS+

TACASCS:

(Acrónimo de Terminal Access Controller Access Control System, en inglés ‘sistema de control de acceso mediante control del acceso desde terminales’) es un protocolo de autenticación remota, propietario de cisco, que se usa para comunicarse con un servidor de autenticación comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene acceso a la red. TACACS está documentado en el RFC 1492

TACACS +:

(Acrónimo de Terminal Access Controller Access Control System, en inglés ‘sistema de control de acceso del controlador de acceso a terminales’) es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados de autenticación, autorización y registro) a servidores y dispositivos de comunicaciones.

TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS.

ejemplo de trafico de TACACS

RADIUS

Radius es un protocolo para transportar información relacionada con la autentificación y autorización, y es una configuración entre un servidor de acceso de red que quiere autenticar sus enlaces, y un servidor de autenticación compartido. Antes de empezar a ver lo que es un Radius en más profundidad, es importante entender dos conceptos que son importantes, y son AAA y NAS. Las tres letras “A” definen autentificación, autorización y contabilidad. La autentificación se refiere a la confirmación de que un usuario que está pidiendo un servicio, es realmente un usuario válido. Lo hace por medio de la presentación de su identidad y unas credenciales asociadas. Estas credenciales pueden ser contraseñas, certificaciones digitales, o cualquier medio de validación que sea viable. Este es el primero paso para acceder a un área que no es pública y necesita tener controlado el acceso.

Más información de Radius y TACACS:

http://brixtoncat.esdebian.org/27318/comparativa-tacacs-radius

KERBEROS

Kerberos es un protocolo de autenticación de redes de ordenador creado por el MIT que permite a dos ordenadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdropping y ataques de Replay.

Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza. Además, existen extensiones del protocolo para poder utilizar criptografía de clave asimétrica.

CERTIFICADOS DIGITALES

El certificado digital permite cifrar las comunicaciones. Solamente el destinatario de la información podrá acceder al contenido de la misma.

En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar trámites administrativos en Internet, a cualquier hora y desde cualquier lugar.

Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede descifrar con su clave pareja.

CERTIFICADOS SSL

Un certificado SSL (Secure Socket Layer Certificado) es un certificado virtual que se asigna a un dominio o cuenta de alojamiento y permite que la información que se ha entrado en el sitio web por un usuario (por ejemplo información de tarjeta de crédito) que se codifican antes de ser enviada al extremo de recepción para ser procesado. Estos son comúnmente instalados en el sitio web de comercio electrónico que permiten a sus clientes a entrar en sus detalles de tarjetas en la propia página web y no en la pasarela de pago sitio web de los proveedores. El uso de este método permite una experiencia sin fisuras cuando los clientes están comprando artículos de un sitio web, ya que nunca salen del sitio de los comerciantes.

TIPOS DE CERTIFICADOS SSL

Certificados OV SSL con validación de organización: la Autoridad de Certificación comprueba el derecho del solicitante a usar un nombre de dominio específico y somete a la organización a una inspección. La información corporativa inspeccionada se muestra al cliente final con un simple clic de ratón sobre el Sello de Página Segura. Este método aumenta la visibilidad de la empresa responsable del sitio web y mejora la fiabilidad.

Certificados DV SSL con validación de dominio: la Autoridad de Certificación comprueba el derecho del solicitante a usar un nombre de dominio específico. No se inspecciona la identidad de la empresa y únicamente se muestra la información encriptada al hacer clic sobre el Sello de Página Segura.

EV SSL: Extended SSL, El último, y posiblemente más importante, avance en SSL desde la aparición de esta tecnología. Los navegadores seguros son capaces de identificar los certificados EV SSL con validación ampliada y de activar la barra de navegación verde. Extended SSL constituye la solución ideal para los clientes que deseen contar con el máximo nivel de autenticidad.