Protocolos de Seguridad

Hola, hoy les voy hablar acerca de los protocolos de seguridad de la información, primero hay que saber que es un protocolo de seguridad.

Ahora hablaremos, de algunos de los protocolos de seguridad que existen:

AAA

La sigla AAA puede traducirse en español como Autenticación, Autorización y Contabilización (originalmente, Authentication, Authorization y Accounting). Cuando hablamos de AAA (triple A), no nos estamos basando en un solo protocolo o en algunos en especial, sino en una familia de protocolos que proveen los servicios anteriormente mencionados. Si le adicionamos el concepto deAuditoría, tendríamos lo que a veces se conoce como AAAA, o cuádruple A. Para comprender mejor estos sistemas de autenticación, debemos recordar primero los conceptos que representan.

¿Cómo Funciona?

Autenticación 

La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc.) y la segunda un servidor (ordenador). La Autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla. Ejemplos posibles de estas credenciales son las contraseñas, los testigos de un sólo uso (one-time tokens), los Certificados Digitales, ó los números de teléfono en la identificación de llamadas. Viene al caso mencionar que los protocolos de autenticación digital modernos permiten demostrar la posesión de las credenciales requeridas sin necesidad de transmitirlas por la red (véanse por ejemplo los protocolos de desafío-respuesta).

Autorización 

Autorización se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin estar limitado a: filtrado de direcciones IP, asignación de direcciones, asignación de rutas, asignación de parámetros de Calidad de Servicio, asignación de Ancho de banda, y Cifrado.

Contabilización 

La contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. En contraposición la contabilización por lotes (en inglés batch accounting) consiste en la grabación de los datos de consumo para su entrega en algún momento posterior. La información típica que un proceso de contabilización registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenzó a usarlo, y cuando terminó.

Kerberos

El protocolo de autenticación Kerberos está entre los más usados en entornos de red. El sistema Kerberos identifica usuarios implementando una biblioteca grande y compleja de “claves” encriptadas que sólo asigna la plataforma Kerberos. Estas claves no pueden ser leídas o exportadas fuera del sistema. Los usuarios humanos y los servicios de red que requieren acceso a un dominio, son autenticados por Kerberos de la misma forma. Cuando Kerberos verifica que una contraseña de usuario se corresponde con una clave almacenada, autentica al usuario. Cuando el usuario intenta acceder a otro servicio de red, puede ser necesaria otra autenticación. Sin embargo, todos los servicios de red en este sistema interactúan directamente con Kerberos, no con el usuario. La eficiencia del entorno de Kerberos permite a los usuarios autenticarse una vez, y el acceso se concede seguidamente a otros servicios a través de la compartición de claves. Una vez autenticado, juega el rol de una autoridad para ese usuario y administra el proceso del archivo clave para el resto de todos los servicios. El sistema usa estas claves para convencer al resto de servicios de red para los que el usuario ya se ha autenticado. Para el usuario, la experiencia es perfecta. Detrás del escenario, los procesos de autenticación múltiples pueden dar como resultado que el usuario pase sólo la primera etapa.

TACACS

(acrónimo de Terminal Access Controller Access Control System , en inglés ‘sistema de control de acceso mediante control del acceso desde terminales’) es un protocolo de autenticación remota, propietario de cisco, que se usa para comunicarse con un servidor de autenticación comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene acceso a la red. TACACS está documentado en el RFC 1492.

TACACS + utiliza Transmission Control Protocol (TCP) Puerto 49 para la comunicación entre el cliente TACACS + y el servidor TACACS +. Un ejemplo es un switch Cisco autenticar y autorizar el acceso administrativo al del interruptor de IOS CLI. El interruptor es el cliente de TACACS + y Cisco Secure ACS es el servidor.

Uno de los diferenciadores clave de TACACS + es su capacidad para separar la autenticación, autorización y contabilidad como funciones separadas e independientes. Esta es la razón por TACACS + se utiliza tan comúnmente para la administración del dispositivo, a pesar de que todavía RADIUS es sin duda capaz de proporcionar AAA administración del dispositivo.

Administración de dispositivos puede ser muy interactiva en la naturaleza, con la necesidad de autenticarse una vez, pero autorizar muchas veces durante una sola sesión administrativa en la línea de comandos de un dispositivo. Un router o switch puede ser necesario para autorizar la actividad de un usuario en función de cada comando. TACACS + está diseñado para dar cabida a ese tipo de necesidad de autorización. Como su nombre lo describe, TACACS + fue diseñado para AAA administración de dispositivos, para autenticar y autorizar a los usuarios en mainframe y terminales de Unix, y otros terminales o consolas.

o en toda la red.