Please enable JavaScript.
Coggle requires JavaScript to display documents.
Mecanismos de autenticación - Coggle Diagram
Mecanismos de autenticación
PPP
Función
Operación en la camada de ligación lógica
• Encapsulamiento de paquetes de la camada de red sobre una ligación conmutada
• Funcionamiento sobre vários tipos de ligaciones físicas (PSTN, RDIS, GSM, SDH, etc.)
• Soporte de múltiplos protocolos de la camada de red (IP, IPX, SNA, DDP, etc.)
Point-to-Point Protocol
Objetivos
Autenticación de los intervinientes en la comunicación
Encriptación de las conexiones
Encriptación de las conexiones
Garantía de privacidad
CHAD
Challenge Authentication Protocol
Descripcion
Descrito en el RFC 1994
• Bastante usado en organizaciones de pequeña dimensión
• Autenticación fuerte basada en un intercambio de “challenge / response” entre el cliente y el NAS
• No hay passwords circulando en la linea
Método “challenge / response
El cliente y el NAS comparten un “secreto”
• El cliente envía al NAS un “challenge” (desafio) que es un número aleatório
• El NAS calcula una “resposta” al “challenge” aplicando una función de Hash (función irreversible) al par “secreto”, “challenge”
• El NAS envía la “respuesta” al cliente
El cliente repite el cálculo y confirma el resultado
• La autenticación puede ser bidireccional
• La autenticación puede ser repetida varias veces
• Como función Hash es normalmente usado el algoritmo MD5 (Message Digest), aunque pueda ser negociado un algoritmo diferente
RADIUS
Remote Dial-In User Service
Descripción
Descrito en el RFC 2138
• Usado en organizaciones de gran dimensión (en ISPs, por ejemplo)
• Permite autenticación centralizada en una organización con múltiplos POPs
• El servidor RADIUS puede dialogar con otros servidores para realizar la autenticación (actúa como proxy de autenticación)
Funcionamiento
El usuario envía al NAS (cliente RADIUS) información de login (i.e. username / password)
El NAS envía al servidor RADIUS un paquete “Access Request” conteniendo una chave secreta compartida entre los dos sistemas;
El servidor RADIUS envía al NAS un paquete “Access Challenge” conteniendo información que es usada para interrogar al usuario
En el dialogo entre el usuario y el NAS puede ser usado PAP o CHAP
El usuario responde al pedido de información
Después de obtener la respuesta de parte del usuario, el NAS envía nuevamente un paquete “Access Request” al servidor RADIUS conteniendo información sobre el usuario(atributos) Los atributos pueden incluir otros elementos además del username/password (ex. direcciones) y pueden ser encriptados
El Servidor RADIUS verifica los elementos recibidos y envía un paquete “Access Accept/Reject” autorizando/negando la conexión
KERBEROS
El sistema Kerberos es uno de los esquemas de seguridad más difundidos de la actualidad.
Los usuarios desean acceder servicios sobre los servidores
Existen tres amenazas
• El usuario finge ser otro usuario.
• El usuario altera la dirección de red de una estación de trabajo.
• El usuario escucha detrás de la puerta (eavesdrop) y usa un ataque de replay.
Can de tres cabezas que cuida la entrada del reino de Hades
Tres cabezas
Autenticación
Contabilización (no implementada)
Auditoria (no implementada)
Desarrollado por el MIT