En artículos anteriores de la serie parte I y parte II, vimos los distintos protocolos que se pueden utilizar para cumplir con la triple A. Hablamos de RADIUS, DIAMETER y TACACS+. Hoy trataremos de la comparación de los protocolos y haremos un resumen de la serie con los puntos fuertes de unos y de otros.
Comparativa RADIUS , TACACS+, y DIAMETER
La capa de transporte es la primera de las diferencias que podemos encontrar, ya que como se ha mencionado anteriormente, RADIUS utiliza UDP, mientras que DIAMETER y TACACS+ utilizan TCP. TCP ofrece ventajas frente a UDP, por ejemplo la fiabilidad. RADIUS requiere variables programables o configurables como el número de intentos de retransmisión, esto es una penalización del protocolo UDP. Además, DIAMETER puede funcionar con TLS o IPSEC lo cual es algo más ventajoso frente a los otros protocolos.
Por otro lado también debemos tener en cuenta el cifrado de paquetes y como se cifran éstos. RADIUS cifra solo la contraseña en el paquete de respuesta al acceso, desde el cliente RADIUS (NAS) hasta el servidor RADIUS, yendo el resto de paquetes sin cifrar. Esto hace que pueda ser foco de ataque a la integridad de cierta información o confidencialidad en los accesos y políticas de autorización. Información como el nombre de usuario o servicios autorizados pueden ser capturados por un tercero. Por el contrario, TACACS+ cifra el cuerpo entero de paquete salvando la cabecera estándar. En DIAMETER se cifra todo el paquete. Tanto TACACS+ como DIAMETER muestran mayor seguridad en este aspecto siendo una ventaja frente a RADIUS.
La autenticación y la autorización en el protocolo RADIUS son enviados por el servidor al cliente, conteniendo la información de autorización. Esto no es una buena práctica ya que deberían ir separados por capas. Por otro lado TACACS+ hace la autorización y la autenticación de manera independiente, empleando la arquitectura AAA. En DIAMETER son independientes. Se ve claramente como DIAMETER y TACACS+ realizan dicha tarea de manera correcta. Por ejemplo, con TACACS+, es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Después un NAS de autenticación sobre el servidor Kerberos, solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos, y luego el servidor proporcionará la información de autorización.
El algoritmo de cifrado utilizado en el caso de RADIUS y TACACS+ es de MD5, mientras que en DIAMETER es HMAC-MD5, siendo éste último mejor para la seguridad. RADIUS no permite al usuario el control de comando que pueden ejecutar en un router, por lo que RADIUS no es útil para la gestión de routers. TACACS+ + proporciona dos métodos de control de autorización de los comandos de un router, uno por usuarios o por grupos. Por otro lado, DIAMETER ofrece soporte para los comandos específicos del vendedor.
Debido a las anteriormente citadas ventajas e inconvenientes entre TACACS+, DIAMETER y RADIUS, la cantidad de tráfico generado entre el cliente y el servidor es diferente. La cantidad de tráfico que se genera en TACACS+ es mayor que en el resto de protocolos siendo este un posible inconveniente.
En resumen os presento el siguiente cuadro (el cual se puede ir analizando en las primeras partes de la serie):
|
Comparación
|
RADIUS
|
DIAMETER
|
TACACS+
|
|
Protocolo de
transporte
|
UDP
|
TCP con TLS o IPSEC
|
TCP
|
|
Tipo de modelo
|
Cliente/Servidor
|
Peer To Peer
|
Cliente/Servidor
|
|
Mensaje
|
Solicitud/Respuesta del cliente
al servidor
|
Solicitud/Respuesta de una
parte a otra
|
Solicitud/Respuesta del cliente
al servidor
|
|
Cifrado de paquetes
|
Solo contraseñas en las
respuestas de acceso. El resto de información puede ser vulnerada.
|
Todo el cuerpo del paquete
|
Todo el cuerpo del paquete
excepto la cabecera estándar
|
|
Algoritmo de
cifrado
|
Secreto compartido con MD5
|
Secreto compartido con HMAC-MD5
|
Secreto compartido con MD5
|
|
Administración de
routers
|
No útil, ya que el usuario no
tiene el control del comando
|
Comandos específicos del
vendedor
|
Dos métodos de control de
autorización (Usuarios y grupos)
|
|
Autenticación y
Autorización
|
Combinado en el mismo perfil.
Los paquetes contienen ambas informaciones
|
Independiente
|
Independiente
|