Tecnologías Triple A

Actividades[pic 1]

Trabajo: Tecnologías «triple A»

Después de conocer RADIUS y Diameter y sus diferencias, es interesante hacer la comparación con TACACS+ (Terminal Access Controller Access Control System).

TACACS + proporciona servicios diferenciados de autenticación, autorización y contabilidad, a diferencia de los otros protocolos. Esta separación de funciones permite, por ejemplo, que la autenticación se haga mediante Kerberos, y después la autorización y auditoría mediante TACACS+, sin necesidad de autenticar de nuevo. Esto proporciona más flexibilidad en la selección de la mejor solución para una organización determinada.

Aunque a primera vista estos protocolos pueden parecer similares, es importante entender sus diferencias. Por ejemplo, TACACS+ cifra todo el cuerpo de los paquetes, mientras que RADIUS solo lo hace con las claves en los mensajes de acceso. El resto de la información, como el nombre de usuario o los datos de consumo, podrían ser comprometidos.

Esta actividad propone la búsqueda de información en Internet sobre los tres protocolos y la elaboración de un cuadro comparativo con diferencias, especificando cuáles son ventajas o inconvenientes sobre los otros.

Comparativa RADIUS, DIAMETER y TACACS+

Los tres protocolos se componen de estructuras base para comunicarse, bien estructuras cliente/ servidor o P2P (peer-to-peer), a la vez que integran protocolos de autenticación y autorización, además de medidas de contabilización para auditoría. Cada una de estos protocolos tienen una serie de ventajas e inconvenientes. A continuación, explicaremos separando en diferentes partes, las diferencias entre estos tres protocolos, y lo bueno y lo malo de estas características particulares.

En primer lugar, vamos a hablar de su despliegue, es decir, de cómo se forma la estructura de red. Tanto RADIUS como TACACS+ tienen una estructura cliente servidor mientras que DIAMETER utiliza una distribución en red P2P. La estructura cliente/servidor tiene la ventaja de que sólo se necesita intercambiar información entre los dos implicados en la comunicación, lo cual hace que solo tenga que preocuparse de la seguridad del servidor y el cliente que se conecte. También favorece el mantenimiento y la administración del ancho de banda. El punto débil que tiene en este aspecto RADIUS es que la simplicidad del esquema pone en peligro el sistema si el servidor NAS o el servidor RADIUS no están disponibles. TACATS+ mejora en parte este problema permitiendo que haya diferentes servidores NAS, sin embargo, el congestionamiento de la red es la principal desventaja de este modelo. Por otro lado, DIAMETER tiene la ventaja de ser una red de nodos “confiables”, los cuales aumentan el factor de disponibilidad mediante el descubrimiento de nodos vecinos, puesto que cada nodo puede hacer las funciones de servidor, cliente o agente, todo depende de su configuración, además de ser fácilmente instalable, pero presenta un problema relacionado con el crecimiento de la red, puesto que puede presentar problemas de congestión, además de ser difícilmente administrable por el carácter distribuido de la red, a la par que la seguridad se debilita por no estar toda centralizada.  

En segundo lugar, vamos a hablar acerca de los protocolos de comunicación que utilizan en la capa de transporte. RADIUS utiliza UDP mientras que TACACS+ y DIAMETER usan TCP. El protocolo TCP ofrece una serie de ventajas respecto a UDP como son el manejo de sesiones y la fiabilidad del intercambio de información, aunque es más lento. En este punto también vamos a considerar las políticas de encriptación que poseen para ocultar la información, ya que están relacionados con estos protocolos de comunicación. RADIUS tiene la política de cifrar solo las contraseñas intercambiadas entre cliente y servidor, dejando el resto del paquete en claro, algo que es bastante vulnerable puesto que cualquiera que se conecte a la red podría ver la información intercambiada. Esta falta de confidencialidad la han solventado tanto TACACS+ como DIAMETER, los cuales en el caso del primero cifra todo el paquete excepto las cabeceras estándar, y en el caso del segundo el paquete íntegro. Un inconveniente que se podría obtener en el protocolo DIAMETER es que obliga a que todos los nodos tengan implementado IPSEC lo cual puede limitar la disponibilidad de dispositivos que soportan, sobre todo si son antiguos. En este punto vamos a destacar también la gestión de dispositivos intermedios que se permiten tales como los routers. RADIUS no permite comandos de configuración de estos elementos, mientras que DIAMETER sólo ofrece comandos específicos de su marca. Por otro lado, TACACS+ proporciona mecanismos de autorización por usuarios y grupos, siendo un punto a favor para gestionar las redes.

En tercer lugar, los mecanismos de autenticación y autorización son los que permiten a los usuarios identificarse y obtener privilegios para realizar las acciones que tienen permitidas. En el caso de RADIUS la autorización y la autenticación van ligadas, es decir, en la misma petición se obtiene la verificación y el acceso a los recursos por lo que limita la utilización de mecanismos separados. En TACACS+ y DIAMETER se permiten sistemas independientes de autorización y autenticación por lo que para ingresar en el sistema se podría usar un login UNIX y una autorización a través de Kerberos. Esto favorece al sistema ya que le da un toque de escalabilidad que lo hace más atractivo al uso. En este punto destaca TACACS+ el cual soporta multitud de protocolos de autenticación como PPP, PAP y CHAP, también soportados por DIAMETER y RADIUS, pero los cuales están más limitados ya que no tiene tantos disponibles como podría ser ARA (Apple Talk  Remote Access protocol)  que TACACS+ si posee.

...