23 dic 2013

Las tecnologías Triple A (Parte I de III)

Hoy hablaremos de las tecnologías triple A, y las diferencias entre algunas de ellas. En primer lugar, y en este post hablaremos de Radius. Mientras que en sucesivos posts trataremos a Diameter y Tacacs+, para finalizar con una comparativa. 

Radius

Este protocolo permite distribuir el acceso remoto seguro a redes y a servicios de red que no tienen autorización de acceso. El protocolo se divide en tres componentes diferenciados:

-      Utiliza un servicio no fiable UDP en su capa de transporte. Este hecho es una desventaja clara respecto a los otros protocolos que estudiamos en este ejercicio.
-         Un servidor.
-         Un cliente.

El servidor se ejecuta en un ordenador central, mientras que los clientes se encuentran distribuidos por la red. Un NAS, Network Access Server opera como un cliente RADIUS. El cliente es responsable de pasarle la información de usuario al servidor, y después actuar sobre la respuesta que le proporciona el servidor. El servidor se encarga de recibir las peticiones de usuarios, autenticar a los usuarios y devolver la información de configuración para ofrecer el servicio al usuario final.

Las transacciones entre el cliente y el servidor RADIUS (no confundir con los clientes finales, al cliente NAS) deben ir autenticadas usadas una clave compartida o secreto, el cual no es enviado nunca por la red. Las contraseñas de usuario son cifradas entre el cliente y el servidor RADIUS. De este modo se evita que se pueda hacer snooping o sniffing en una red insegura.

Los servidores RADIUS soportan bastantes métodos de autenticación de usuarios. Por ejemplo, PPP, PAP, CHAP, Login UNIX, etcétera. El dar tanto soporte a este tipo de métodos es algo a favor de RADIUS.

El resumen de RADIUS es el siguiente:

RADIUS
UDP
Cliente/Servidor
Solicitud/Respuesta del cliente al servidor
Solo contraseñas en las respuestas de acceso. El resto de información puede ser vulnerada.
Secreto compartido con MD5
Limitado
No útil, ya que el usuario no tiene el control del comando
Combinado en el mismo perfil. Los paquetes contienen ambas informaciones

En el próximo artículo trataremos de DIAMETER y TACACS+, interesantes soluciones para quienes quieran mejorar RADIUS.

1 comentario: