Hoy seguimos con las tecnologías Triple A (Authentication, Authorization and Accounting), donde en el post anterior hablamos de RADIUS y como éste funciona. En el post de hoy hablaremos de DIAMETER y TACACS+, y veremos como han mejorado puntos débiles de RADIUS.
DIAMETER
Diameter nace como la evolución de Radius y las mejoras que presenta se pueden visualizar rápidamente en la siguiente lista:
- Utilización de un protocolo fiable en la capa de transporte como es TCP, frente a UDP de RADIUS.
- Se utiliza seguridad a través de TLS o IPSEC.
- La arquitectura del modelo cambia, ya no es cliente-servidor como RADIUS, y si es Peer to Peer. Además, permite mensajes iniciados desde el servidor y tiene descubrimiento dinámico de peers.
- Mejora la compatibilidad del roaming y la notificación de errores.
TACACS+
Este protocolo provee las AAA (Authentication, Authorization y Accounting) para dispositivos Cisco. Es un protocolo propietario de la marca. La Autentificación de los usuarios se puede realizar de 2 maneras: Con la base de datos local del dispositivo o con el servidor TACACS+. El modelo TACACS+ provee funcionalidades adicionales tales como la autorización de comandos específicos según el usuario, además de un registro histórico detallado de los accesos a los dispositivos y los comandos ejecutados.
Si visualizamos en una tabla resumen los tres protocolos podemos ver rápidamente las distintas características de cada uno y sus puntos débiles.
|
Comparación
|
RADIUS
|
DIAMETER
|
TACACS+
|
|
Protocolo de
transporte
|
UDP
|
TCP con TLS o IPSEC
|
TCP
|
|
Tipo de modelo
|
Cliente/Servidor
|
Peer To Peer
|
Cliente/Servidor
|
|
Mensaje
|
Solicitud/Respuesta del cliente
al servidor
|
Solicitud/Respuesta de una
parte a otra
|
Solicitud/Respuesta del cliente
al servidor
|
|
Cifrado de paquetes
|
Solo contraseñas en las
respuestas de acceso. El resto de información puede ser vulnerada.
|
Todo el cuerpo del paquete
|
Todo el cuerpo del paquete
excepto la cabecera estándar
|
|
Algoritmo de
cifrado
|
Secreto compartido con MD5
|
Secreto compartido con HMAC-MD5
|
Secreto compartido con MD5
|
|
Soporte
multiprotocolo
|
Limitado
|
Si
|
Si
|
|
Administración de
routers
|
No útil, ya que el usuario no
tiene el control del comando
|
Comandos específicos del
vendedor
|
Dos métodos de control de
autorización (Usuarios y grupos)
|
|
Autenticación y
Autorización
|
Combinado en el mismo perfil.
Los paquetes contienen ambas informaciones
|
Independiente
|
Independiente
|