ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Actividad: Tecnologías «triple A»


Enviado por   •  20 de Agosto de 2020  •  Tareas  •  1.040 Palabras (5 Páginas)  •  307 Visitas

Página 1 de 5

Actividades[pic 1]

Actividad: Tecnologías «triple A»

Después de conocer RADIUS y Diameter y sus diferencias, es interesante hacer la comparación con TACACS+ (Terminal Access Controller Access Control System).

TACACS + proporciona servicios diferenciados de autenticación, autorización y contabilidad, a diferencia de los otros protocolos. Esta separación de funciones permite, por ejemplo, que la autenticación se haga mediante Kerberos, y después la autorización y auditoría mediante TACACS+, sin necesidad de autenticar de nuevo. Esto proporciona más flexibilidad en la selección de la mejor solución para una organización determinada.

Aunque a primera vista estos protocolos pueden parecer similares, es importante entender sus diferencias. Por ejemplo, TACACS+ cifra todo el cuerpo de los paquetes, mientras que RADIUS solo lo hace con las claves en los mensajes de acceso. El resto de la información, como el nombre de usuario o los datos de consumo, podrían ser comprometidos.

Esta actividad propone la búsqueda de información en Internet sobre los tres protocolos y la elaboración de un cuadro comparativo con diferencias, especificando cuáles son ventajas o inconvenientes sobre los otros.

INTRODUCCION

La familia de protocolos “AAA” fueron diseñados como mecanismos de control de acceso remoto y provisión de servicios de red.

“AAA” es el acrónimo de Authentication, Authorization and Accounting.

  • Authentication (Autenticación), se refiere al proceso mediante el cual un usuario es acreditado para operar en la red. Para poder ser autenticado, se suelen implementar diversos métodos como contraseñas, tokens RSA, certificados digitales, etc.
  • Authorization (Autorización), es un proceso que ocurre normalmente luego de la autenticación. En este proceso se contempla el requerimiento de utilización de algún recurso por parte del usuario. El servidor autorizará el requerimiento dependiendo de los parámetros del mismo.
  • Accounting (Contabilidad), es el proceso mediante el cual el servidor registra cualquier actividad que se considere importante sobre la utilización de recursos, pedidos de autenticación y autorización, estadísticas, etc.

El control de acceso, actualmente, es uno de los principales temas en materia de seguridad, ya que no solo es limitar el acceso de usuarios a los recursos del  sistema, también debe considerar el cómo esos usuarios interactúan con dichos recursos al interior del mismo.

Los protocolos más utilizados en la actualidad para llevar a cabo este control de acceso son 3:

  • RADIUS
  • DIAMETER
  • TACACS +

A continuación mostramos un cuadro comparativo entre los 3.

CUADRO COMPARATIVO

RADIUS

DIAMETER

TACACS+

CARACTERÍSTICAS

(Remote Authentication Dial In User Service)

  • Utiliza encapsulado en paquetes UDP
  • Utiliza Puerto 1812
  • Capacidad de manejar sesiones
  • Utiliza “MD5” como algoritmo criptográfico de hashing.
  • Soporta PPP, PAP, CHAP, EAP, Unix Login, LDAP
  • Estructura paquete RADIUS incluye: Code (1 octeto), Identifier (1 octeto), Lenght (2 octetos), Authenticator (16 octetos).
  • Manejo del proceso mediante mensajes (Access-Request, Access-Accept, Access-Reject, Access-Challenge, Accounting-Request, Accounting-Response)
  • Protocolo Cliente - Servidor
  • Incialmente diseñado como una mejora del protocol Radius.
  • Su nombre es un juego de palabras al describirse como doblemente mejor que Radius.
  • La meta era maximizar compatibilidad y facilitar migración desde Radius.
  • Protocolo Peer-to-Peer
  • Utiliza encapsulado TCP o SCTP
  • Utiliza puerto 3868
  • Diseñado para trabajar de manera local y en estado de alerta, sondeo y captura.
  • Definido en términos de un protocolo base y un grupo de aplicaciones.
  • El paquete de Diameter tiene una longitud fija de 20 octetos.

(Terminal Access Controller Access Control System)

  • Protocolo Cliente Servidor
  • Diseñado y desarrollado por CISCO para el Depto. De Defensa de los EUA.
  • Existen 2 versiones: LA simple y la extendida.
  • Soporta múltiples sesiones en forma simultánea sobre una única conexión.
  • La cabecera de los paquetes no incluyen cifrado.
  • Los valores son especificados en Hexadecimal aunque también soporta Sistema Decimal.
  •  Codificación es a través de la concatenación de una serie de hashes MD5  cada 16 bytes de longitud y truncando esta longitud con los datos de entrada.
  • El proceso de autenticación cuenta c con tres tipos de paquetes: iniciar, continuar y respuesta.
  • Puede usar TCP y UDP

VENTAJAS

  • Ayuda a mejorar la seguridad.
  • Mejora en la presentación de informes y en el seguimiento basado en los nombres de usuarios.
  • Permite aplicar restricciones por usuario/perfil.
  • Posibilidad de desconectar a un único usuario o dispositivo sin afectar al resto.
  • Usa protocolos de transporte fiables (TCP / SCTP).
  • Implementa seguridad a nivel de transporte (IPSEC / TLS).
  • Al ser peer to peer cualquier nodo puede iniciar el intercambio de los mensajes.
  • Tiene un espacio de direcciones mayor para atributos (Attribute Value Pairs, pares atributo-valor) e identificadores (32 bits en lugar de 8)
  • Cifrado basado en certificados y firma digital
  • Los procesos de Autenticación, Autorización y Contabilidad están separados, con lo cual no es obligatorio el uso de los 3.
  • Cifrado de información completa excepto el encabezado.
  • Cuenta con notificación de errores.
  • Provee métodos de control de autorización por usuarios o por grupos

DESVENTAJAS

  • Mensajes no viajan cifrados, a excepción de las contraseñas.
  • Vulnerable a ataques de colisión por el uso de MD5.
  • Susceptible a suplantación de identidad al usar UDP.
  • Vulnerable a ataques de fuerza bruta, ya que las especificaciones para la clave compartida no es robusta y es reutilizada por el servidor con los clientes.
  • Complejidad al implantarlo
  • Rendimiento lento pues la BD de los usuarios no reside en el servidor Tacacs+

CONCLUSIONES

  • Estos protocolos están orientados a conexiones de red.
  • Generalmente funcionan sobre internet pero pueden ser implementados en cualquier red
  • RADIUS es un protocolo de fácil implantación pero con un nivel de seguridad bajo
  • DIAMETER y TACACS+ ofrecen mayor robustez y seguridad

BIBLIOGRAFÍA

  • User, S. (s. f.). AAA. Auben Networks. Recuperado 9 de agosto de 2020, de http://www.auben.net/index.php/tecnologias/servicios-y-aplicaciones/aaa
  • López, A. (2019, 2 diciembre). Protocolos AAA y control de acceso a red: Radius. INCIBE-CERT. https://www.incibe-cert.es/blog/protocolos-aaa-radius
  • ALONSO QUINTERO, I. V. Á. N. D. A. R. Í. O. (2013). ANALISIS COMPARATIVO DE DOS PROTOCOLOS PARA CONTROL DE ACCESO Y ADMINISTRACION DE EQUIPOS DE TELECOMUNICACIONES. Universidad Católica. https://repository.ucatolica.edu.co/bitstream/10983/812/2/ANALISIS%20COMPARATIVO%20DE%20DOS%20PROTOCOLOS%20PARA%20CONTROL%20DE%20ACCESO%20Y%20ADMINISTRACION%20DE%20EQUIPOS%20DE%20TELECOMUNICACIONES%20Final.pdf
  • ¿Qué ventajas o desventajas tiene configurar un servidor RADIUS? (2014, 21 julio). Alegsa.com.ar. https://www.alegsa.com.ar/Diccionario/C/25018.php
  • colaboradores de Wikipedia. (2019, 10 octubre). Diameter (protocolo). Wikipedia, la enciclopedia libre. https://es.wikipedia.org/wiki/Diameter_(protocolo)
  • Dafonte Iglesias, P., & Pallardó Ávila, C. (s. f.). Microsoft Word - RADIUS.doc. Sabia-Group. Recuperado 9 de agosto de 2020, de http://sabia.tic.udc.es/docencia/ssi/old/2006-2007/docs/trabajos/11%20-%20Radius.pdf
  • Forero Saboya, N. G. (2009, 13 diciembre). Taxonomia-de-los-Servidores-AAA-Radius-Diameter-y-TACACS. Unilibre. http://www.unilibre.edu.co/revistaingeniolibre/revista9/articulos/Taxonomia-de-los-Servidores-AAA-Radius-Diameter-y-TACACS.pdf

...

Descargar como (para miembros actualizados)  txt (8 Kb)   pdf (107 Kb)   docx (18 Kb)  
Leer 4 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com