Trabajo: Tecnologías «triple A»
Enviado por carcatrepillo • 10 de Abril de 2016 • Trabajos • 1.495 Palabras (6 Páginas) • 701 Visitas
Trabajo: Tecnologías «triple A»
Después de conocer RADIUS y Diameter y sus diferencias, es interesante hacer la comparación con TACACS+ (Terminal Access Controller Access Control System).
TACACS + proporciona servicios diferenciados de autenticación, autorización y contabilidad, a diferencia de los otros protocolos. Esta separación de funciones permite, por ejemplo, que la autenticación se haga mediante Kerberos, y después la autorización y auditoría mediante TACACS+, sin necesidad de autenticar de nuevo. Esto proporciona más flexibilidad en la selección de la mejor solución para una organización determinada.
Aunque a primera vista estos protocolos pueden parecer similares, es importante entender sus diferencias. Por ejemplo, TACACS+ cifra todo el cuerpo de los paquetes, mientras que RADIUS solo lo hace con las claves en los mensajes de acceso. El resto de la información, como el nombre de usuario o los datos de consumo, podrían ser comprometidos.
Esta actividad propone la búsqueda de información en Internet sobre los tres protocolos y la elaboración de un cuadro comparativo con diferencias, especificando cuáles son ventajas o inconvenientes sobre los otros.
- Introducción.
RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que proporciona autenticación centralizada, autorización y contabilización para los equipos de un sistema de red.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se publicó como RFC 2138 y RFC 2139. El protocolo RADIUS actualmente está definido en los RFC 2865 (autenticación y autorización) y RFC 2866 (contabilización).
Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Es extensible, la mayoría de fabricantes de software y hardware RADIUS implementan sus propios dialectos.
DIAMETER es una evolución mejorada de RADIUS (Remote Authentication Dial-In User Service), no compatible con versiones anteriores, que incluye numerosas mejoras sobre éste.
DIAMETER fue diseñado para suministrar un marco de trabajo que ofrezca servicios AAA para aplicaciones que involucran acceso a redes o aplicaciones IP Móvil. Su desarrollo se basó en el protocolo RADIUS y está estandarizado de acuerdo con el RFC 6733.
TACACS+ (Terminal Access Controller Access Control System) es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados de autenticación, autorización y contabilización) a servidores y dispositivos de comunicaciones. Es un protocolo que provee las AAA para dispositivos CISCO. Es, por tanto, un protocolo propietario de la marca.
TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS.
- Comparativa.
RADIUS | DIAMETER | TACACS+ | |
Protocolo de transporte | UDP | TCP (TLS o IPSEC) | TCP |
Definición | RFC (IETF) | RFC (IETF) | Propietario (CISCO) |
Arquitectura de modelo | Cliente/Servidor | Peer to Peer | Cliente/Servidor |
Características | AAA consolidado | Evolución de RADIUS | AAA como funciones separadas |
Autenticación y Autorización | Los paquetes contienen ambas informaciones | Independiente | Independiente |
Mensaje | Solicitud/Respuesta del cliente al servidor | Solicitud/Respuesta de una parte a otra | Solicitud/Respuesta del cliente al servidor |
Cifrado de paquetes | Sólo contraseñas en las respuestas de acceso | Todo el cuerpo del paquete | Todo el cuerpo del paquete, excepto la cabecera estándar |
Algoritmo de cifrado | Secreto compartido con MD5 | Secreto compartido con HMAC-MD5 | Secreto compartido con MD5 |
Soporte multiprotocolo | Limitado | Si | Si |
Administración de routers | No útil, ya que el usuario no tiene el control del comando | Comandos específicos del vendedor | Dos métodos de control de autorización (Usuarios y grupos) |
- Protocolo de transporte.
Las mejoras de DIAMETER respecto de Radius en el protocolo de transporte son:
- Utilización del protocolo de transporte TCP, protocolo fiable en la capa de transporte, frente a UDP de RADIUS.
- Utilización de seguridad a través de TLS o IPSEC, frente a la carencia de sistema en RADIUS.
Mientras RADIUS utiliza UDP, TACACS+ utiliza TCP, lo que ofrece varias ventajas:
- TCP ofrece un transporte orientado a la conexión, mientras que UDP ofrece la entrega de mejor esfuerzo.
- RADIUS requiere las variables programables adicionales, tales como los intentos de re-transmisión y los tiempos de espera para compensar el transporte de mejor esfuerzo, pero le falta el nivel de soporte integrado que ofrece un transporte TCP.
En la propia definición técnica de RADIUS (RFC2865) se especifica el porqué la implementación de UDP en lugar de TCP, argumentando que se elige UDP por razones estrictamente técnicas:
- Si falla la solicitud a un servidor de autenticación primaria, un servidor secundario debe ser consultado.
- Los requisitos de tiempo de UDP en particular son significativamente diferentes de los que proporciona TCP.
- Por la naturaleza de este protocolo, se simplifica el uso con UDP. Cada cliente y servidor pueden abrir su transporte UDP sólo una vez y dejarlo abierto a través de todo tipo de eventos de fallo en la red.
- UDP simplifica la implementación del servidor.
Por otra parte, RADIUS no define los mecanismos de conmutación por error y, como consecuencia, el comportamiento de conmutación por error difiere entre implementaciones. Con el fin de proporcionar un comportamiento de conmutación por error bien definido. DIAMETER, sin embargo, apoya reconocimientos a nivel de aplicaciones y define los algoritmos de conmutación por error y la máquina de estado asociado.
...