PROTOCOLOS AAA

Protocolos AAA

 En seguridad informática, el
acrónimo AAA corresponde a un tipo de
protocolos que realizan tres funciones:
 Autenticación
 Autorización
 Contabilización
¿Qué es AAA?

 Conjunto de herramientas, procedimientos y

protocolos que garantizan un tratamiento
coherente de las tareas de autenticación,
autorización y registro de actividad de las
entidades que tienen acceso a un sistema de
información.
Autenticación

 La Autenticación es el proceso por el que una

entidad prueba su identidad ante otra.
 Normalmente la primera entidad es un
cliente (usuario, ordenador, etc) y la segunda
un servidor (ordenador)
 La Autenticación se consigue mediante la
presentación de una propuesta de identidad
(un nombre de usuario) y la demostración de
estar en posesión de las credenciales que
permiten comprobarla.
Autorización

 Autorización se refiere a la concesión de privilegios

específicos (incluyendo "ninguno") a una entidad o
usuario basándose en su identidad (autenticada) los
privilegios que solicita, y el estado actual del
sistema.
 Las autorizaciones pueden también estar basadas en
restricciones, tales como restricciones horarias,
sobre la localización de la entidad solicitante, la
prohibición de realizar logins múltiples simultáneos
del mismo usuario, etc.
 La mayor parte de las veces el privilegio concedido
consiste en el uso de un determinado tipo de
servicio.
Contabilidad (Accounting)

 Se refiere al seguimiento del consumo de los

recursos de red por los usuarios.
 Esta información puede usarse posteriormente para
la administración, planificación, facturación, u otros
propósitos.
 La contabilización en tiempo real es aquella en la
que los datos generados se entregan al mismo
tiempo que se produce el consumo de los recursos.
 La información típica que un proceso de
contabilización registra es la identidad del usuario, el
tipo de servicio que se le proporciona, cuando
comenzó a usarlo, y cuando terminó.
RADIUS

 Remote Authentication Dial-In User Service

 Protocolo de autenticación y autorización para
aplicaciones de acceso a la red o movilidad IP.
 Utiliza el puerto 1812 UDP para establecer sus
conexiones.
 Cuando se realiza la conexión con un ISP
mediante módem, DSL, cablemódem, Ethernet
o Wi-Fi, se envía una información que
generalmente es un nombre de usuario y una
contraseña.
RADIUS

 Esta información se transfiere a un

dispositivo Network Access Server (NAS) sobre el
protocolo PPP, quien redirige la petición a un
servidor RADIUS sobre el protocolo RADIUS.
 El servidor RADIUS comprueba que la
información es correcta utilizando esquemas de
autenticación.
 Si es aceptado, el servidor autorizará el acceso al
sistema del ISP y le asigna los recursos de red
como una dirección IP.
RADIUS

 Una de las características más importantes del

protocolo RADIUS es su capacidad de manejar
sesiones, notificando cuando comienza y
termina una conexión.
 Fué desarrollado originalmente por Livingston
Enterprises para la serie PortMaster de sus
Servidores de Acceso a la Red(NAS), más tarde
se publicó comoRFC 2138 y RFC 2139.
 Los servidores Proxy RADIUS se utilizan para una
administración centralizada y pueden reescribir
paquetes RADIUS al vuelo
TACACS (Terminal Access Controller
Access Control System)
 Protocolo de autenticación común de redes
UNIX .
 Permite un acceso remoto a un servidor para
reenviar usuario y contraseña a un servidor de
autenticación para determinar si se permite
acceso a un sistema.
 TACACS es un protocolo de encriptado y por
lo tanto menos seguro que TACACS+ y
Radius.
TACACS (Terminal Access Controller
Access Control System)
 Utiliza el Protocolo de Transmisión de Control
(TCP) y RADIUS usa el Protocolo de
Datagrama de Usuario (UDP).
 Mientras que RADIUS combina la
autenticación y autorización en un perfil de
usuario, TACACS+ separa las dos
operaciones.
RADIUS VS TACACS

 RADIUS encripta solamente la contraseña en

el paquete de respuesta al acceso (access-
request), desde el cliente hasta el servidor.
 TACACS cifra el cuerpo del mensaje para más
seguridad en las comunicaciones.
RADIUS VS TACACS

 RADIUS combina autenticación y

autorización en los paquetes de acceso
aceptado. Esto hace difícil desasociar
autenticación y autorización.
 TACACS usa la arquitectura AAA, que separa
AAA. Esto permite separar soluciones de
autenticación, permitiendo seguir utilizando
TACACS+ para la autorización y la
contabilidad.
RADIUS VS TACACS

 RADIUS no permite al usuario el control de

comando que pueden ser ejecutados en un
router y cuales no.
 TACACS+ proporciona dos métodos de
control de autorización de los comandos de
un router, uno por usuarios (per-user) o por
grupos (per-groups).
 RADIUS VS TACACS

PASOS DE LOGIN DE RADIUS

PASOS DE LOGIN DE TACACS

KERBEROS

 Es un sistema de inicio de sesión único.

 No es necesario que envíe la contraseña a través
de la red, donde puede ser interceptada, cada
vez que utiliza estos servicios.
 Objetivos:
 Impedir que las claves sean enviadas a través de la red,
con el consiguiente riesgo de su divulgación.
 Centralizar la autentificación de usuarios,
manteniendo una única base de datos de usuarios para
toda la red.
KERBEROS

 Usa una criptografía de claves simétricas, lo

que permite a dos computadores en una red
insegura, demostrar su identidad
mutuamente de manera segura
 Cada usuario dispone de una clave.
 Cada servidor dispone de una clave.
 Kerberos mantiene una base de datos que
contendrá a todas estas claves.
KERBEROS

 La clave de un usuario será derivada de su

contraseña y estará cifrada.
 La clave de un servidor se genera aleatoriamente.
 Los servicios de red que requieren autenticación, así
como los usuarios que requieran estos servicios, se
deben registrar con Kerberos.
 Las claves privadas se negocian cuando los usuarios
se registran.
 Kerberos, en conocimiento de todas las claves
privadas, crea mensajes para informar a un servidor
de la autenticidad de un usuario que requiere
servicios de éste.
KERBEROS

 Arquitectura cliente-servidor que proporciona

seguridad a las transacciones en las redes.
 Ofrece una sólida autenticación de usuario y
también integridad y privacidad.
 Basado en tres objetos de seguridad:
 Clave de Sesión
 Ticket
 Autenticación
KERBEROS

 La clave de sesión es una clave secreta generada

por Kerberos y expedida a un cliente para uso
con un servidor durante una sesión de trabajo.
 El ticket es un testigo expedido a un cliente del
servicio de tickets de Kerberos para solicitar los
servicios de un servidor. El ticket garantiza que el
cliente ha sido autenticado recientemente.
 El autenticador es un testigo construido por el
cliente y enviado a un servidor para probar su
identidad y la actualidad de la comunicación.
Sólo puede ser utilizado una vez.
Kerberos