Please enable JavaScript.
Coggle requires JavaScript to display documents.
Mecanismos de Autenticación - Coggle Diagram
Mecanismos de Autenticación
PPP - Point to Point Protocol
Funciones:
Operación de ligación lógica
Encapsulamiento de paquetes de la camada de red sobre una ligación conmutada
Funcionamiento sobre varios tipos de ligaciones físicas (PSTN,RDIS, GSM, SDH, etc.)
Soporte de múltiplos protocolos de la camada de red (IP, IPX,SNA, DDP, etc.)
Operación de PPP
LAPM - Link Access Procedure for Modems
SABM - Set Asynchronous Balanced Mode
UA - Unnumbered Acknowledgment
LCP – Link Control Protocol
LCP – Link Control Protocol
IPCP - IP Control Protocol
Seguridad
Protocolos de autenticación
PAP
(Password Authentication Protocol)
Descrito en RFC 1334
Poco utilizado actualmente
Autenticación simple
por identificación/password
passwords no encriptados
nivel de seguridad semejante al del login remoto
CHAP
(Challenge-Handshake Authentication Protocol)
RADIUS
(Remote Dial-In User Service)
CHAP - Challenge Authentication Protocol
Descrito en el RFC 1994
Bastante usado en organizaciones de pequeña dimensión
Autenticación fuerte basada en un intercambio de “challenge /response” entre el cliente y el NAS
No hay passwords circulando en la linea
Método Challange / Response
El cliente repite el cálculo y confirma el resultado
La autenticación puede ser bidireccional
La autenticación puede ser repetida varias veces
El cliente envía al NAS un “challenge” (desafio) que es un númeroaleatório
RADIUS Remote Dial-In User Service
RFC 2138
Usado en organizaciones de gran dimensión (en ISPs, por ejemplo)
Permite autenticación centralizada en una organización conmúltiplos POPs
El servidor RADIUS puede dialogar con otros servidores pararealizar la autenticación (actúa como proxy de autenticación)
Funcionamiento
El usuario envía al NAS información de login(username / password)
El NAS envía al servidor RADIUS un paquete conteniendo una clave secreta compartida entre los dos sistemas
El servidor RADIUS envía al NAS un paquete conteniendo información que es usada para interrogar al usuario
En el dialogo entre el usuario y el NAS puede ser usado PAP o CHAP
El usuario responde al pedido de información
Después de obtener la respuesta de parte del usuario, el NAS envía nuevamente un paquete al servidor RADIUS conteniendo información sobre el usuario
El Servidor RADIUS verifica los elementos recibidos y envía un paquete autorizando/negando la conexión.
KERBEROS
Los usuarios desean acceder servicios sobre los servidores
Existen 3 amenzas
El usuario finge ser otro usuario
El usuario altera la dirección de red de una estación de trabajo.
El usuario escucha detrás de la puerta (eavesdrop) y usa unataque de replay.
Autenticación, Contabilización, Auditoria
permite el acceso de usuarios a los servicios distribuidos a través de la red
sin necesidad de confiar e todas las estaciones de trabajo
la identidad de los “principals” es verificada sin revelar la identidad en el sistema operacional nativo del cliente o servidor
La seguridad del sistema no presupone ninguna seguridad o protección en la red de comunicación.
Servicios de Autenticación
Seguro
Confiable
Transparente
Escalable
Configuración típica
1 servidor keberos
N clientes kerberos
M servicios autenticados
Esquema Kerberos
1.- Solicita un TGT
2.- Regresa el TGT
3.- Solicita el ticket específico para el servidor X
4.- Regresa el ticket para el servidor
5.- Usa el ticket para comunicarse con el servidor