2 ene 2014

Las tecnologías Triple A (Parte III de III)

En artículos anteriores de la serie parte I y parte II, vimos los distintos protocolos que se pueden utilizar para cumplir con la triple A. Hablamos de RADIUS, DIAMETER y TACACS+. Hoy trataremos de la comparación de los protocolos y haremos un resumen de la serie con los puntos fuertes de unos y de otros. 

Comparativa RADIUS , TACACS+, y DIAMETER

La capa de transporte es la primera de las diferencias que podemos encontrar, ya que como se ha mencionado anteriormente, RADIUS utiliza UDP, mientras que DIAMETER y TACACS+ utilizan TCP. TCP ofrece ventajas frente a UDP, por ejemplo la fiabilidad. RADIUS requiere variables programables o configurables como el número de intentos de retransmisión, esto es una penalización del protocolo UDP. Además, DIAMETER puede funcionar con TLS o IPSEC lo cual es algo más ventajoso frente a los otros protocolos.

Por otro lado también debemos tener en cuenta el cifrado de paquetes y como se cifran éstos. RADIUS cifra solo la contraseña en el paquete de respuesta al acceso, desde el cliente RADIUS (NAS) hasta el servidor RADIUS, yendo el resto de paquetes sin cifrar. Esto hace que pueda ser foco de ataque a la integridad de cierta información o confidencialidad en los accesos y políticas de autorización. Información como el nombre de usuario o servicios autorizados pueden ser capturados por un tercero. Por el contrario, TACACS+ cifra el cuerpo entero de paquete salvando la cabecera estándar. En DIAMETER se cifra todo el paquete. Tanto TACACS+ como DIAMETER muestran mayor seguridad en este aspecto siendo una ventaja frente a RADIUS. 

La autenticación y la autorización en el protocolo RADIUS son enviados por el servidor al cliente, conteniendo la información de autorización. Esto no es una buena práctica ya que deberían ir separados por capas. Por otro lado TACACS+ hace la autorización y la autenticación de manera independiente, empleando la arquitectura AAA. En DIAMETER son independientes. Se ve claramente como DIAMETER y TACACS+ realizan dicha tarea de manera correcta. Por ejemplo, con TACACS+, es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Después un NAS de autenticación sobre el servidor Kerberos, solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos, y luego el servidor proporcionará la información de autorización.

El algoritmo de cifrado utilizado en el caso de RADIUS y TACACS+ es de MD5, mientras que en DIAMETER es HMAC-MD5, siendo éste último mejor para la seguridad. RADIUS no permite al usuario el control de comando que pueden ejecutar en un router, por lo que RADIUS no es útil para la gestión de routers. TACACS+ + proporciona dos métodos de control de autorización de los comandos de un router, uno por usuarios o por grupos. Por otro lado, DIAMETER ofrece soporte para los comandos específicos del vendedor.

Debido a las anteriormente citadas ventajas e inconvenientes entre TACACS+, DIAMETER y RADIUS, la cantidad de tráfico generado entre el cliente y el servidor es diferente. La cantidad de tráfico que se genera en TACACS+ es mayor que en el resto de protocolos siendo este un posible inconveniente.

En resumen os presento el siguiente cuadro (el cual se puede ir analizando en las primeras partes de la serie):

Comparación
RADIUS
DIAMETER
TACACS+
Protocolo de transporte
UDP
TCP con TLS o IPSEC
TCP
Tipo de modelo
Cliente/Servidor
Peer To Peer
Cliente/Servidor
Mensaje
Solicitud/Respuesta del cliente al servidor
Solicitud/Respuesta de una parte a otra
Solicitud/Respuesta del cliente al servidor
Cifrado de paquetes
Solo contraseñas en las respuestas de acceso. El resto de información puede ser vulnerada.
Todo el cuerpo del paquete
Todo el cuerpo del paquete excepto la cabecera estándar
Algoritmo de cifrado
Secreto compartido con MD5
Secreto compartido con HMAC-MD5
Secreto compartido con MD5
Administración de routers
No útil, ya que el usuario no tiene el control del comando
Comandos específicos del vendedor
Dos métodos de control de autorización  (Usuarios y grupos)
Autenticación y Autorización
Combinado en el mismo perfil. Los paquetes contienen ambas informaciones
Independiente
Independiente

No hay comentarios:

Publicar un comentario