26 dic 2013

Las tecnologías Triple A (Parte II de III)

Hoy seguimos con las tecnologías Triple A (Authentication, Authorization and Accounting), donde en el post anterior hablamos de RADIUS y como éste funciona. En el post de hoy hablaremos de DIAMETER y TACACS+, y veremos como han mejorado puntos débiles de RADIUS.

DIAMETER

Diameter nace como la evolución de Radius y las mejoras que presenta se pueden visualizar rápidamente en la siguiente lista: 
  • Utilización de un protocolo fiable en la capa de transporte como es TCP, frente a UDP de RADIUS. 
  • Se utiliza seguridad a través de TLS o IPSEC. 
  • La arquitectura del modelo cambia, ya no es cliente-servidor como RADIUS, y si es Peer to Peer. Además, permite mensajes iniciados desde el servidor y tiene descubrimiento dinámico de peers. 
  • Mejora la compatibilidad del roaming y la notificación de errores.
TACACS+

Este protocolo provee las AAA (Authentication, Authorization y Accounting) para dispositivos Cisco. Es un protocolo propietario de la marca. La Autentificación de los usuarios se puede realizar de 2 maneras: Con la base de datos local del dispositivo o con el servidor TACACS+. El modelo TACACS+ provee funcionalidades adicionales tales como la autorización de comandos específicos según el usuario, además de un registro histórico detallado de los accesos a los dispositivos y los comandos ejecutados.

Si visualizamos en una tabla resumen los tres protocolos podemos ver rápidamente las distintas características de cada uno y sus puntos débiles. 

Comparación
RADIUS
DIAMETER
TACACS+
Protocolo de transporte
UDP
TCP con TLS o IPSEC
TCP
Tipo de modelo
Cliente/Servidor
Peer To Peer
Cliente/Servidor
Mensaje
Solicitud/Respuesta del cliente al servidor
Solicitud/Respuesta de una parte a otra
Solicitud/Respuesta del cliente al servidor
Cifrado de paquetes
Solo contraseñas en las respuestas de acceso. El resto de información puede ser vulnerada.
Todo el cuerpo del paquete
Todo el cuerpo del paquete excepto la cabecera estándar
Algoritmo de cifrado
Secreto compartido con MD5
Secreto compartido con HMAC-MD5
Secreto compartido con MD5
Soporte multiprotocolo
Limitado
Si
Si
Administración de routers
No útil, ya que el usuario no tiene el control del comando
Comandos específicos del vendedor
Dos métodos de control de autorización  (Usuarios y grupos)
Autenticación y Autorización
Combinado en el mismo perfil. Los paquetes contienen ambas informaciones
Independiente
Independiente

No hay comentarios:

Publicar un comentario