Please enable JavaScript.
Coggle requires JavaScript to display documents.
Mecanismos de autenticación - Coggle Diagram
Mecanismos de autenticación
Point to Point Protocol
Función
Operación en la camada de ligación lógica.
Encapsulamiento de paquetes de la camada de red sobre una ligación conmutada.
Funcionamiento sobre varios tipos de ligaciones físicas(PSTN, RDIS, GSM, SDH,etc.).
Soporte de múltiplos protocolos de la camada red(IP, IPX, SNA, DDP, etc)
Detección y recuperación de errores en la conexión.
Soporte de compresión de datos.
Soporte de autenticación entre clientes dial-up y el NAS(Network Access Server)
Soporte de multilink.
Negociación de parametros
Mecanismos de autenticación
Mecanismos de encriptación
Mecanismos de compresión
Mecanismos de monitorización de la conexión
Mecanismos de control de errores
Operación
Link Access Procedure for Modems
Set Asynchronos Balanced Mode
Unnumbered Acknowledgement
Link Control Protocol
Network Control Protocol
IP Control Protocol
Seguridad
Autenticación de los intervinientes en la comunicación
Encriptación de las conexiones
Protocolos de autenticación
PAP:Password Authentication Protocol, Descrito en RFC 1334, Poco usado actualmente, Autenticación simple por identificación/password, passwords no encriptados, nivel de seguridad semejante al del login remoto.
CHAP: Challenge Authentication Protocol, Descrito en el RFC 1994 Bastante usado en organizaciones de pequeña dimensión, Autenticación fuerte basada en un intercambio de “challenge /response” entre el cliente y el NAS, No hay passwords circulando en la linea.
RADIUS:Remote Dial-In User Service, Descrito en el RFC 2138, Usado en organizaciones de gran dimensión (en ISPs, porejemplo), Permite autenticación centralizada en una organización conmúltiplos POPs, El servidor RADIUS puede dialogar con otros servidores pararealizar la autenticación (actúa como proxy de autenticación)
Kerberos
Proporciona autenticación third-party centralizada de llave privada en una red distribuida
Esquema
Solicita un ticket específico para el servidor X
Regresa el ticket para el servidor
Regresa el TGT
Usa el ticket específico para comunicarse con el servidor
Solicita un TGT (ticket genérico)
La identidad de los “principals” es verificada sin revelar la identidad en elsistema operacional nativo del cliente o servidor.
Permite el acceso de usuarios a los servicios distribuidos a través de la red, sin necesidad de confiar e todas las estaciones de trabajo, todos confían en un servidor central de autenticación.
La seguridad del sistema no presupone ninguna seguridad o protección en la red de comunicación. Utiliza el principio de autenticación Trusted third-party, con KDC
Limitaciones
Kerberos necesita que los relojes internos de los clientes estensincronizados con el suyo. Los Tickets tienen un tiempo de vida, y si el relojdel cliente no está sincronizado con el del servidor, la autenticación irá afallar.
El cambio de passwords no fue estandarizada, y difiere entre lasimplementaciones existentes del servidor.
Punto de falla único: Cuando el servidor do Kerberos está indisponible nadie mas puede ser autenticado en la red, utilizar diversos servidores
La autenticación es controlada y centralizada por el KDC, comprometiendo la infraestructura de autenticación. Permitirá a un atacante personificar cualquier usuario.
Para usar Kerberos
Es necesario tener un KDC en la red
Es necesario tener aplicaciones de Kerberos funcionando en todos los sistemasparticipantes
Kerberos no puede directamente ser distribuido fuera de los E. U. El formato dela fuente (& versiones binarias deben obscurecer puntos de entrada rutineroscrypto y no tener ninguna encriptación)