Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre I 2005
Notas del profesor Fasciculo No 6
La autenticacion
La autenticidad es una de las 4 categorias principales de riesgos y amenazas existentes para la
seguridad de la informacién en nuestros dias, Dada la gran cantidad de usuarios en servidores,
sitios web y en general en los grandes sistemas y redes, los riesgos de suplantacién de
personalidad, repudio de transaccionalidad, perdida de identidad, violacién de autoria y demas
son de aparicién diaria en los ambientes del manejo de la informacién. Por esta razén los
hombres y mujeres de Ia tecnologia tanto en las empresas dedicadas a la seguridad como en
los entes gubemamentales ¢ instituciones no gubemamentales que conformas comunidades
virtuales de seguridad el tema ha impulsado al fabricacién, disefio © implementacién de
‘mecanismos de proteccién que permitan identificar al usuario realmente sin menoscabo de las
funciones clisicas de control de acceso seguro y manejo de la administracién de este tema,
Este tiltimo factor (la administracién del control de acceso y | autenticidad) se ha convertide
fen un elemento decisorio es el manejo de la seguridad. Los métodos deben tratar de ser
sencillos y féciles de administrar pues en grandes redes y sistemas de 10000 y mas usuarios si
‘el método no es facil la administracién es inalcanzable.
Que es un sistema o protocolo de autenticacién y control de acceso
Es un método basado en procesos operaciones y algoritmos de encripeidn o no encripeién que
tienen 2 objetivos fundamentales:
trolar el acceso a un software, servidor, aplicacién o sistema informatica en red 0
icar que el usuario que desee el acceso a un software, servidor, aplicacién o
sistema informitico en red o sin ella sea quien realmente clama ser o posa de ser.
Protocolos de autenticacién y control de acceso
Un protocolo de autenticacién es el intercambio programado de mensajes entre un objeto
usuario y un objeto servidor teniendo como finalidad la autemticacién, autorizacién de uso de
recursos informaticos a los que tiene derecho y contabilizacién del uso de los mismos (en
Ingles AAA) para propdsitos de rendimiento o facturacién.
Definamos algunos conceptos importantes del anterior marco de referencia,
Objeto usuario es un clementos representative del mundo real del usuario que accede a un
sistema y como tal puede ser:
Una identidad (generalmente un elemento 0 ente real (una persona usuario) o virtual (una
identidad de usuario ficticia de un sistema operativos que entrega una funcionalidad especial
al mismo: usuario del servidor de correo, usuario de administracién de archivos, usuario de
manejo de redes ete.)
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina |
Usuario persona finalmente es un ser humano accediendo un sistema,
Todo ellos objetos usuarios a final son implementados en a informatica mediante objetos de
programacién otientada a objetos y como tal clases, métodos, atributos y mensaje son
inherentes a todo y cada uno de sus tipos.
Los protocolos de autenticacién, autorizacién y contabilizacién son la herramienta tecnolégica
fundamental para la organizacién de las politicas de seguridad ISO17799 ( Control de
Acceso).
Este curso trataré someramente los mis importantes protocolos de autenticacién a
saber: PAP, CHAP, TACACS+, SECURE/KEY, RADIUS y KERBEROS
Un amplio rango de tecnologias de seguridad existen hoy en dia dentro de la estructura de
seguridad en la red corporativa las cuales proveen soluciones acceso seguro @ la red y
mecanismos de transporte seguro de los datos, Muchas de elas se sobreponen y son
redundantes en el catalogo de soluciones teenoldgicas para asegurar identidad, control de
‘acceso e integridad asi como una muy alta funcionalidad.
Nota,
‘Autenticacin es un proceso de validacién de una reclamada identidad de un usuario final 0
dispositivo (PC cliente, servidores, enrutadores, firewalls y demas)
Autorizaciin es el proceso de garantizar acceso a usuarios o grupos de ellos, o a un sistema
especifico@ los recursos de la red
Control de acceso cs limitar cl fujo de informacién en la red a dnicamente la persona 0
sistema autorizado a este acceso.
En la mayoria de los casos hablaremos de autorizacién y control de acceso como palabras
similes pero que juntas conforman o tienen como consecuencia una exitosa autenticacién
Este panfleto describir’ teenologias de seguridad cominmente usadas para establecer
identidad (autenticacién y control de acceso) las cuales a su ves como consecuencia nos.
proven ademés algiin grado de proteceién contra amenazas de integridad, confidencialidad y
isponibilidad de los datos
Integridad de los datos asegura que ellos (los datos) no han sido alterados destruidos y
reemplazados excepto por la gente que explicitamente se les ha identificado como autorizados
para acceder a ellos
Confidencialidad asegura que solo la “entidad identficada” a la que se le ha permitido ver
los datos, los ve en un formato de uso. Asimismo la “identidad identficada” se supone que si
se le ha permitido el acceso es porque no va a dafiar Ia disponibilidad de uso de los recursos
informaticos dado el grado de confianza que se le ha conferido al darle una autorizacién de
acceso, Intentamos desarrollar un entendimiento basco de como se puede implementar en
redes corporativas este tipo de métodos, identificar sus debilidades y fortalezas y sus
‘mecanismos de manejo.
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 2
‘Comentario GHRRA: &
onpiamaie tearpedor ene
Spe ee Rowe
‘in is erence de
‘ois wae dela se
te uta pina gun dapat
(Cospeone odipostive sa
‘eed itis rues
abides separa cet dela
Feds pet el ecto aes
resns bare logue ie
‘om Fs ec clan que ene
tos pu eto coon
‘Geta potest a en Se
‘cacti pron macho
SSS
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre I 2005
Notas del profesor Fasciculo No 6
Primero describamos las tecnologias usadas para establecer la identidad de una méquina
‘computadora cliente o servidora, un usuario final o ambos.
Autenticacién es un elemento extremadamente critico debido a que todos sus elementos estén
basados en Io que la persona es, lo que a identifica o lo que la distinguc. En muchas redes
corporativas ud. no puede garantizar el acceso @ una parte especifica de la red antes de
cstablecer quien esta tratando de ganar el acceso a los recursos restringidos. Que tan seguro es
el método de autenticacién? Todo depende de a tecnologia que se haya usada, Nosotros
podemos categorizar los métodos en aquellos donde el control es local y en aquellos donde se
prove verificacién de autenticacién por medio de terceros confiables 0 servidores. control de
acceso (SCA),
Una de la debilidades potenciales en algunos métodos es que “Ud eree”; es decir se basan en
una confianza por defecto.. La fortaleza de la verificacién en autenticacién es el factor
limitante en la fortaleza de la identificacién Cuando usamos un tercero para autenticar a un
usuario final o dispositive pregintese asi mismo “Cual es la probabilidad de que el tercero
{que estoy usando para mi verificacién de autenticidad este comprometido en su seguridad?
Las tecnologias discutidas en esta seccién incluyen variantes del método de contraschias
seguras que proporcionan varios grados de seguridad y se offece por la mayoria de los
proveedores hoy. Muchos protocolos autorizaran alguna forma de establecimiento de conexién
después de que la aulenticacién se verifica con éxito. En ambientes de llamada telefinica
conmutada un enlace de par-apar a nivel de la conexién se establece; a veces, los
mecanismos de control de acceso adicionales pueden emplearse a los niveles mis altos de la
pila de protocolos, como permitir el acceso a los servidores con cierta direccién IP que sirve a
aplicaciones especificas. Nosotros miraremos protocolos diferentes a que a menudo usan un
proceso de autenticacién inicial y después viene la concesién de la autorizacién_y el control
de acceso. Nota,
Asegurabilidad. Es la funcién de autoproteccién y contraataque que poseen algunos
protocolos de autenticacion. Ej: Kerberos
Las Contrasefias seguras
Aunque se usan a menudo las contrasefias como la prucba para autenticar a un usuario
dispositive, las contrasefias pueden ser ficilmente violadas si ellas son faciles suponer, si ellas
zo se cambian bastante a menudo, y si ellas se transmiten en texto transparente sobre una red.
Para hacer las contrasefias mas seguras se requieren los métodos mis robustos se ofrecen tales
‘como eneriptat la contrasefa o modificar la encriptacién para que el valor encriptado cambie
‘con el tiempo, o cada ves que se use.
Esto sucede con la mayoria de esquemas de contrasefia de uso por una ves; siendo ef método
mis comin el protocolo S/Key y_ los esquemas de autenticacién por contrasefia token.
Protocolo de contrasefia SiKey
El método S/Key One-Time Password System, liberada por Bellcore y definido en el IETF
RFC 1760, es un esquema de generacién de contrasefia por una vez basado en los algoritmos
de encripcién MD4 y MDS. El protocole de S/Key esta disefta con un contador de ataque
repetidos para detectar cuando un usuario esta intentando entrar en/a un sistema. Un ataque de
repeticidn en el contexto del login es cuando alguien ha escuchado o detectado una conexién
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 3
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fasciculo No 6
de la red para hacer ID y contrasefa a los login de un usuario legitimo y los usa mas tarde 1
para ganar el acceso ala red
El funcionamiento del protocolo de S/Key es client/server: el cliente es tipicamente un PC, y
cl servidor es alguna versién de UNIX. Inicialmente, deben configurarse el cliente y el
servidor con la. misma “frase contrasefia” y una cuenta de la iteracién. La cuenta de iteracién
‘specifica cuantas veces se le aplicara la funcién hash a una entrada dada. El cliente inicia el
intercambio S/Key enviando un paquete de la inicializacion; el servidor responde con un
‘mimero secuencial y una semilla, como se muestra en Figura 1 @ continuacién
The India! SiKey Kxeharge
hitaized wits
Iritalized with peseword ‘vcore pv*
password "secret pv?
Server
Client Networe
‘Access Server
Intinizad Packet
Reply
(eed=6, sec # =98)
Figure 1: El Intercambio de S/Key Inicial
El cliente calcula la contraseBia a usar por unas ves, un proceso que involucra tres pasos
distntos, as
un paso preparatorio,
un paso de gencracién, y
una funcién de sada (vea Figura 2)
Expliquemos esta secuencia:
1. en el paso preparatoro, el eliente entra_una frase contraseflasecreta, Esta frase del paso se
encadena con la semilla que se reibié desde el servidor en texto transparente y a pasa al paso
de gencracién,
2. el paso de generacién aplica la funcién hash segura miltiples veces, mientras produce un
bloque de 64 bits para la funcién de salida
3. la fumcién de salida toma la contrascfia concatenada y con la funcién hash splicada
ultiples veces del blogue de 64 bitsy la desplicga en una forma (ventana) leble.
La iltima fase es para que el cliente apruebe y envié la contrasefa de uso tinico dénde puede
verificarse (vea Figura 3).
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 4
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fasciculo No 6
‘Server
Client a
Network
| Access Server
Y
6+ secret password
Hash
Function
J 98 times
Hash
Function
‘
e-word cutput
(HARD BITE LOAD HURT SAVE DEAD)
Figura 2: Computando la contrasefia S/Key para uso de solo una vez.
EI servidor Unix tiene un archivo (en la aplicacién de referencia, / el ete/skeykeys)
conteniendo, para cada uno de los usuarios la contrasefia de uso dnico inicial, extraida del
liltimo login exitoso.
Para verificar un esfuerzo de la autenticacién, el servidor de autenticacién pasa la contrasefia
de uso finico recibida una ve7, a través de la funcién de hash segura. Si el resultado de este
fancionamiento empareja la contrasefia de uso tinico anterior guardada, la autenticacién tiene
cl éxito y la contrasefia de uso tinico aceptada se guarda para en la siguiente iteracién de
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 5
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fasciculo No 6
# Password
qa BOAT HIDE LOVE HOME HELP WHAT]
ae
Network
Client Access Server
HARD BITE LOAD HURT SAVE DEAD
(HARD BITE LOAD HURT SAVE DEAD) |
Hash
Function
|
v
RAAT HIDE LOVE HOME HELP WHAT
Figure 3: Verificando la Contrasetia de S/Key
Debido a que el nimero de veces que se aplica la funcién hash es ejecutada por el cliente
ddisminuye en 1 en cada generacién se asegura una tinica sucesién de contrasefias generadas,
Sin embargo, en algiin punto, el usuario debe reinicializar el sistema para evitar que en
algin momento no pueda dar login otra ves, Bl sistema se reinicializa usando el comando
kkeyinit, qué permite el cambio de la frase de contrasefta de uso tinico inicialmente generada,
cl contador de iteraciones y la semilla, Cuando se calcula la contrasefia secreta S/Key en el
lado cliente la frase contraseia debe ser de mas de 8 caracteres alfanuméricos. El USO DE
SEMILLA NO SECRETA permite al usuario usar la misma frase contraseia en cualquier
‘maquina usando diferentes semillas y reciclar la frase cambiando las semillas.
Nota
Razones de Interoperabilidad requieren que todo el sistema de S/Key servidores y las
calculadoras usan el mismo diccionario
SiKey es una altemativa a las contrasefias simples, Existe en formato libre ast como las
aplicaciones comerciales.
Esquemas de autenticacién Token Password
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 6
“Comentario HRA]: vost
Sipeteneionee rue
‘wo dou procera Seat
Spe pu na acon
Ete ince anbin oa fre
et eee
nce Tae
Scacumanon
eae,
‘Sara cnt ae ice
eae
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre I 2005
Notas del profesor Fasciculo No 6
EI Sistemas de autenticacién por Token generalmente requieren el uso de una tarjeta
clectrénica especial (llamada tarjeta inteligente o roken card), aunque algunas
implementaciones se hacen usando software para aliviar el problema e perdida de los token.
Este tipo de mecanismo de autenticacién esta basado en una de altemnativas de esquema:
challenge-response y time-synchronous authentication. Normalmente antes que set
considerado un protocolo de autenticacién es un arfilugio de tecnologia que puede ser
‘compatible con otros
El esquema challenge-response se muestra en la Figura 4, Las siguientes etapas se eruzan
para llevar a cabo el intercambio de autenticacién:
1 El usuario accede a un servidor de autenticacién el cual emite un requerimiento
por un ID de usuario
2B] usuario provee el ID al servidor, el cual entonces emite un challenge (reto)
‘nimero aleatorio que aparece en la pantalla del usuario,
3 El usuario entra el niimero de reto en el token o smart card, un dispositive del
tamatio de una tarjeta de crédito pero activo ¢ intcligente, el cual entonces en cripta el
niimero de reto w con la clave de encripcién del usuario y desplicga una respuesta,
4 Elusuario digita esta respuesta y la envia al servidor de autenticacién. Mientras el
usuario obtiene una respuesta desde el token, el SCA. calcula cual debe ser la respuesta
apropiada basado en su base de datos de claves,
'5 Cuando el SCA recibe la respuesta del usuario, la compara con la que ha caleulado.
Si las 2 respuestas coinciden, el usuario le es garantizado el acceso a la red. Si no
ccoinciden se niega el acceso,
El esquema de autenticacién “time-synchronous” se muestra en la Figura 5. En este esquema
un algoritmo propictario ejecutado en el token y en SCA genera mimeros idénticos que
‘cambia segundo a segundo.
El usuario que accede a una SCA, se le requiere un cédigo de acceso. El usuario entra un
“personal identification number (PIN)” en la tarjeta token, resultando un nimero de_digitos
esplegado en ese momento en el token. Esos digitos son una contrasefia de uso tinico y se
‘envian al SCA. EL servidor compara la entrada con la secuencia generada en el, si coincide
‘garantiza el aceeso sino deniega el acceso,
ESPACIO DEJADO INTENCIONALMENTE EN BLANCO
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 7
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fasciculo No 6
Client Authentication
User Server
a -a
dial into server
)
prompt for PIN or user ID.
Client Authentication
User Server
an _
PIN= 1246785
Challenge= 7968895
User enters ‘Token displays
challenge into response
token card ®
Client ‘Authentication
User Server
875HD98
Figura 4: Autenticacién por token de respuesta al reto
Password Authentication Protocol PAP
El método Password Authentication Protocol (PAP) provee una manera simple para que un
usuario establezca su identidad a un autenticador en un intercambio de 2 vias.
Protocolo de autenticacién por reto
FI Challenge-Handshake Authentication Protocol (CHAP) es muy usado como herramienta de
verificacién de identidad de un host o de un usuario final usendo un intercambio de 3
mensaje. CHAP normalmente se ejecuta al inicio de una conexién y puede repetirse en
‘cualquier momento de ella, La siguiente secuencia de proceso se leva a cabo:
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 8
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fasciculo No 6
1 Después de establecida Ia conexién, cl autenticador envia un mensaje de reto al
usuario. El reto consiste de un identificador (ID), un nimero aleatorio, y ya sea el
nombre del servidor o del dispositive remoto pidiendo accedo,
2 El receptor usuario calcula un valor usando una funcién hash de una via:
‘entrada a la funcidn es secret
3 Elusuario entonces envia la respuesta al reto, la cual consiste de:
Una versién encriptada del ID, una contrasefa secreta (el valor hash caleulado en el
paso anterior),el_nimero aleatorio, el nombre del servidor 0 del dispositive
remoto,
4 Cuando el autenticador recibe la respuesta al teto, verifica el seereto mediante la
bbasqueda del nombre en la respuesta y realizando la misma operacién de eneripcién,
EI autenticador chequea la respuesta contra sus eéleulo usando el mismo hash.
§ Si el valor coincide el autenticador reconoce al remoto y envia un mensaje exitoso
de acceso estableciendo la conexién
al
<___Shutonge messeae 4
WO. random a, Tenuta)
® 10. ransom 4, Testu
¥
¥ Fencon
(exdroon)
> “Generypie ID, BADFOOD,
10, random #, rastme
random #, Twiggy) M
¥
Success Message (eabFB0D)
Figura 5: Autenticacién CHAP
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 9
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre I 2005
Notas del profesor Fasciculo No 6
Las contrasefias secretas deben ser idénticas en el lado remoto y en el local, generadas ¢
intercambiades fuera de linea de una manera segura, sccreta_y nunca transmitida. Si la
respuesta no cs apropiada el dispositivo remoto no puede conectarse al dispositive local.
CHAP provee proteccién contra ataques “playback” mediante el uso de cambios
incrementales en el identificador y el valor de la variable de reto. El uso de retos repetidos se
centiende como recurso para limitar el tiempo de exposicién a ataques simples. El SCA
ccontrola la frecuencia de cambio y el tiempo de los retos.
Nota
Protocolos que usan mecanismos de Autei n
Muchos protocolos requieren la comprobacién de la autenticacién antes de proporcionar
autorizacién y derechos de acceso al usuario o dispositive, TACACS+, RADIUS, Kerberos,
DCE, y FORTEZZA son ejemplos de tales protocolos.
TACACS= y RADIUS se usan casi siempre en ambientes de control de acceso por linea
telefénica conmutada para proporcionar una base de datos de la autenticacién escalable y que
puede incorporar una variedad de métodos de la autenticacién,
Kerberos es un protocolo usado en algunos ambientes del campus pata verificar primero que
los usuarios y los servicios que ellos usan realmente son quién dice ser_y lo que ellos exigen
esta autorizado antes de conceder los privilegios de acceso, Para completar el panorama hay
‘que mencionar protocols como (Ambiente de la Informética Distribuida) (DCE) y
autenticacién de FORTEZZA. Estos tltimos mecanismos no son muy usados,
El Protocolo TACACS+ “Terminal Access Controller Access Control System”
El protocolo de autenticacién TACACS+* es la tltima generacién de TACACS. TACACS es
un acceso basado en simple UDP originalmente desarrollado por BBN para la red MILNET.
Cisco lo ha reforzado (extendido)TACACS varios veces, y la aplicacién de Cisco, basado en
el TACACS original, es llamada XTACACS. Las diferencias fundamentales entre TACACS,
XTACAGS, y TACACS+ son
TACACS+ es un protocolo cliente’servidor; el cliente de TACACS* es tipicamente un RAS y
el servidor de TACACS+ normalmente es un proceso daemon que corre en algin UNIX 0
servidor Microsoft. Windows, Una caracteristica fundamental de TACACS* es la separacién
‘que hace de autenticacién, autorizacién, y contabilidad,
La Autenticacién de TACACS+
TACACS* permite que el contenido del intercambio de autenticacién sea de longitud
arbitraria y por tanto pudiera usar mecanismos de autenticacién diferentes a los originales del
protocolo tales como PPP, CHAP, EAP, token chap, y Kerberos). La autenticacién no es
‘obligatoria; es una opcién configurada en sitio
Algunos los sitios no lo requieren en absoluto; otros sélo lo requieren con toda la seguridad
para el acceso a servicios,
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 10
Comentario RRA) Tri
Seca cant
Chaya neal semen
Socata
Aeteneeps de buses ce doe
Pieri
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre I 2005
Notas del profesor Fasciculo No 6
La autenticacién de TACACS+ tiene tres tipos de paquete:
START que siempre se envia por el cliente inicialmente
CONTINUE que siempre se envia por el cliente 1
REPLY que siempre se envia por el servidor
La autenticacién empieza con el eliente que envia un mensaje de START al servidor.
El mensaje describe el tipo de autenticacién a ser usada (por ejemplo, CHAP, contrasefia de
cleartext simple, PAP, CHAP), y puede contener el nombre de usuario y algunos datos de la
autenticacién. El paquete de START sélo se envia como el primer mensaje en una sesién de
autenticacién TACACS+ , 0 como el paquete que sigue inmediatamente después de un
Un reinicio puede pedirse por el servidor en un paquete de REPLY. Un paquete de START
siempre tiene un nimero de secuencia igual a 1
En la contestacién a un paquete de START, el servidor envia un REPLY. El mensaje de
REPLY indica si la autenticacién esté terminada, o si debe continuar. Si el REPLY indica
‘que la esa autenticacién debe continuar, et mensaje también indica qué nueva informacion se
necesita, El cliente consigue esa informacién y la responde con un mensaje CONTINUE. Este
proceso se repite hasta toda la informacién para autenticacién recoge, y el proceso de
autenticacién coneluye.
Diferencia entre las diferentes modalidades de TACAC
TACACS: Combina procesos de autenticacién y autorizacién
XTACACS: Separa autenticacién, autorizacién y contabilizacién
TACACS+: Es los mismo que XTACACS pero con atributos extendidos y
contabilidad mas importante
TACACS* usa TCP para su transporte, El demonio del servidor usualmente escucha en el
puerto 49, el puerto asignado para el LOGIN del TACACS. Este puerto era de naturaleza
reservada en la asignacién de nimeros de los RFC de UDP y TCP. TACACS también usa el
puerto 49.
Autorizacién TACACS+
Autorizacién es la accién de determinar lo que se le permite hace a cada usuario
Generalmente autenticacién precede a autorizacién, pero no obligatoriamente no se requicre
‘ese orden, Un requerimiento de autorizacién puede indicar que el usuario no esta autenticado
(es decir, nosotros no sabemos quign es el usuario). En este caso, es al agente de autorizacién
quien Ie compete determinar si a un usuario no autenticado se Ie permite acceso a los
servicios en cuestion,
‘Cuando la autenticacién se completa (si la autenticacién se usa), el cliente puede empezar el
proceso de autorizacién, si la autorizacidn se requiete. Una sesién de la autorizacién se define
‘como un solo par de mensajes: un mensaje de REQUEST seguido por un RESPONSE El
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 11
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre I 2005
Notas del profesor Fasciculo No 6
mensaje REQUEST de autorizacién contiene un juego fijo de campos que describen y
procesan Ia autenticidad del usuario, y un juego no constante de argumentos que describen los
servicios y opciones para la autorizacién que se pide.
Notat
Aqui son algunos ejemplos de cuando la autorizacién se realizaria
‘Cuando un usuario hace login y quiere iniciar un shell; cuando un usuatio empieza PPP y
‘quiere usar IP encima de PPP con una direecién de IP particular. En los servidores TAC,
un daemon podrian responder a estas demandas permitiendo el servicio, © poniendo una
restriccién de tiempo en el login al shell, o requiriendo listas de acceso IP en la conexién del
pp,
Contabilidad TACACS+
La contabilidad cs tipicamente la tercera accién después de la autenticacién y autorizacién, La
conabilidad es la accién de grabar lo que un usuario esta haciendo © ha hecho. La
ccontabilidad en TACACS+ puede servir a dos propésitos:
Puede usarse para responder por el pago de los servicios que us6, como en un ambiente de
facturacién,
Puede usarse como una herramienta de_intervencién para los servicios de seguridad. Es
decir como una herramienta de deteccién de uso no correcto o violatorio de la normas del
Con este fin, TACACS+ soporta tres tipos de registros de contabilidad:
Los registros START que indican que un servicio esté a punto de empezar.
Los registros STOP que indican_que un servicio simplemente ha terminado,
Los registros UPDATE son avisos del intermedio que indican que un servicio todavia esta
realizindose,
Los registros TACACS+ de contabilidad contienen toda la informacién usada en Tos archivos
de la autorizacién y también contienen la informacién de contabilidad especifica como
tiempos de inicio y parada de un (cuando es apropiada) y la informacién del uso del mismo,
‘Transacciones TACACS+
Las transacciones entre el cliente de TACACS+ y el servider de TACACS+ se autentican a
través del uso de una contrasetia sccreta compartida que nunca se envia sobre la red,
Tipicamente, la contrasefia secreta se configura en ambas_entidades. TACACS* encripta todo
cl trafico entre el cliente de TACACS+ y el servidor daemon TACACS+
La Figura 6 muestra la interaccién entre un usuario dial-en el y el cliente de TACACS* y
servidor.
Autor: Ingeniero Jaime Hernando Rubio Rincén pagina 12
‘Comentario BHRRS]: Ha
rootint erat ous
fo cmble puede posal
Ise pas un sti ce
panes
Escuela Colombiana de Ingenieria Julio Garavito
SYPI Semestre I 2005
Notas del profesor Fasciculo No 6
TACACS:
TACACS+ Server
Giient a
Figure 6: Un intereambio TACACS+
El usuario inicia una autenticacién sobre PPP al RAS
ELRAS le pide al usuario nombre de usuario y contrasefia
El usuario replica con su contrasefia y nombre de usuario
EL cliente TACACS+ que generalmente es el mismo RAS envia en un paquete
encriptado con la informacién del usuario al servidor TACACS+
EL SCA TACACS¢+ responde con Ia autenticacién o la negacién
EL servidor TACACS¢ y el RAS intercambian mensajes de autorizacién
Sila autorizacién fue positiva el RAS deja entrar al usuat
EL protocolo RADIUS
El protocolo Remote Address Dial-In User Service (RADIUS) fue desarrollado por Livingston
Enterprises, Inc., como un protocolo de servicio para TCP/IP con funcionalidad de
autenticacién de acceso a servidores y contabitidad de uso de recursos. En Junio de 1996, la
especificacién del protocolo e RADIUS fue enviada al IETF. La especificacién es ahora una
norma en 2 partes: “The RADIUS specification (RFC 2058) y “RADIUS accounting standard
(RFC 2059)", RADIUS usa UDP como su protocolo de transporte. Generalmente, el
protocolo se considera un servicio sin conexién. Los temas de disponibilidad del servicio,
retransmisién y timeouts son manejados por el habilitador del servicio RADIUS que por el
mismo protocolo RADIUS. El cliente RADIUS es tipicamente un NAS; el servidor RADIUS
‘es un proceso daemon corriendo en Linux 0 WNT. El cliente responde por pasar informacién
You might also like
- Reglamento Tecnico de Instalaciones ElectricasDocument164 pagesReglamento Tecnico de Instalaciones Electricasaparraj84% (32)
- Retilap 2013 PDFDocument229 pagesRetilap 2013 PDFTony BrownNo ratings yet
- Luminotecnia 1Document48 pagesLuminotecnia 1Gabriel SantiagoNo ratings yet
- Las Peculiaridades Del 3er ArmónicoDocument20 pagesLas Peculiaridades Del 3er ArmónicoManuelNo ratings yet
- Termarust Technologies - Es PDFDocument4 pagesTermarust Technologies - Es PDFGabriel SantiagoNo ratings yet
- Bombasdearietehidrualicoenespanol 090325160111 Phpapp01Document47 pagesBombasdearietehidrualicoenespanol 090325160111 Phpapp01Gabriel SantiagoNo ratings yet
