1. Universidad Mariano Glvez de Guatemala Seguridad en Redes Dr. Orestes Febles 7 de julio de 2014 Grupo # 7 Carlos Daniel Garca Rodrguez 092-03-6352 Genner Orellana 092-07-7726 Nstor Sols 092-08-1186 Jorge Hidalgo 092-07-815 Luis Antonio Orellana Mayorga 092-07-1955 Enrique Toledo Ortiz 092-07-2241 Mara de los ngeles Reyes 092-05-14156 Eli Moreno 092-05-2684 Luis Alfredo Xalin Lorenzana 092-05-91

2. Qu es un sistema Single Sign On (SSO) ? Para los usuarios supone la comodidad de identificarse una sola vez y mantener la sesin vlida para el resto de aplicaciones que hacen uso del SSO. Adems le permite identificarse usando los siguientes mtodos de autenticacin: 3. Para los desarrolladores y administradores de aplicaciones es una manera de simplificar enormemente la lgica de sus aplicaciones, al poder delegar completamente la tarea de autenticar a los usuarios a un sistema independiente de las mismas. 4. Comprendiendo SSO 5. Tipos de SSO Integrado de Windows, De extranet De intranet. Estos tipos se describen a continuacin, el tercero de los cuales incluye el inicio de sesin nico (SSO) empresarial 6. Estos servicios permiten conectarse a varias aplicaciones de la red que utilizan un mecanismo de autenticacin comn, solicitan y comprueban las credenciales tras iniciar sesin en la red, utilizndolas para determinar lo que se puede llevar a cabo en funcin de los derechos del usuario. Por ejemplo, si las aplicaciones efectan la integracin utilizando Kerberos (protocolo de autenticacin de redes), se podr tener acceso a cualquier recurso de la red integrado con Kerberos despus de que el sistema lleve a cabo la autenticacin de las credenciales. 7. Estos servicios permiten el acceso a los recursos a travs de Internet utilizando un solo conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesin en diferentes sitios web pertenecientes a distintas organizaciones. Ejemplo: Windows Live ID para aplicaciones basadas en consumidores. Para escenarios federados, los Servicios de federacin de Active Directory habilitan SSO web. 8. Estos servicios le permiten integrar varios sistemas y aplicaciones heterogneos en el entorno empresarial. Permite a los usuarios de la empresa conectarse a las aplicaciones de servidor y a las aplicaciones para usuarios al utilizar nicamente un conjunto de credenciales. 9. Los sub servicios del servicio de inicio de sesin nico (SSO) empresarial son los siguientes: Asignacin: Este componente asigna la cuenta de usuario en el sistema de Windows a cuentas de usuarios de los sistemas de servidor. Bsqueda: Este componente busca las credenciales de usuario en la base de datos de SSO en el sistema de servidor. ste es el componente en tiempo de ejecucin de SSO. 10. Administracin: Este componente administra las aplicaciones afiliadas y las asignaciones para cada aplicacin afiliada. Secreto: Este componente genera el secreto principal y lo distribuye a los servidores de SSO del sistema. Solo est activo en el servidor de inicio de sesin nico (SSO) que acta como servidor secreto principal. Sincronizacin de contraseas: Este componente simplifica la administracin de la base de datos de SSO y sincroniza las contraseas en todos los directorios de usuario. 11. SIMPLE ID PW ID PW Recurso Servidor de Autentificacin BD de usuarios Primer Sign-On Intercambio de Autentificaci n ID | PW Token ID | PW Confianza Validacin 12. Etapas en la Solucin Simple: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contrasea que son enviados al servidor de autentificacin. 2. El servidor de autentificacin comprueba la validez de los datos introducidos, y genera un token de sesin para el cliente. 3. El cliente enva al servidor del recurso que quiere acceder el token recibido. 13. Etapas en la Solucin Simple: 4. El servidor del recurso valida este token contra el servidor de autentificacin (existe una relacin de confianza entre los recursos y el servidor de autentificacin). 5. Si el token es valido y se dispone de acceso al recurso, el cliente puede acceder l. En caso contrario, se deniega su acceso. 6. El usuario desea acceder a un nuevo recurso. De forma transparente a l, el cliente enva el token al servidor del recurso, repitiendo las etapas 4 y 5. 14. Basado en el paso de Token ID PW ID PW Autoridad de Autentificaci n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando Token Temporal ID | PW Token ID | PW Confianza BD Secundaria Token Tempora l Autoridad de Autentificaci n Secundaria 15. Etapas en la Solucin basada en Token: 1. El usuario desea acceder a un recurso. Se le pide un usuario y una contrasea que son enviados al servidor de autentificacin de ese recurso. 2. El servidor de autentificacin comprueba la validez de los datos introducidos, y genera un token de sesin para el cliente, que le permite acceder al recurso. 3. El usuario desea acceder a un nuevo recurso que pertenece a otra Autoridad de Autentificacin. El cliente de forma transparente enva el token recibido de la primera autoridad a esta segunda. 16. Etapas en la Solucin basada en Token: 4. La segunda Autoridad Autentificadora mantiene una relacin de confianza con la primera Autoridad, con la que comprueba la validez del token (o ticket). 5. El usuario tiene acceso a los recursos que pertenecen a la segunda autoridad autentificadora gracias al token y a la confianza establecida con el generador de ese token. 6. Ejemplos: Kerberos, Passport, 17. Basado en uso de PKI ID PW ID PW Autoridad de Autentificaci n Primaria BD Registro del Usuario Segundo Sign-On transparente usando Llave Pblica como Credencial (Certificado y Clave privada) ID | PW Confianza Emisin Certificado Autoridad de Autentificaci n Secundaria Certificado CA Certificado CA Certificad o Usuario Certificado CA Clave Privada 18. Etapas en la Solucin basada en PKI: 1. El usuario se da de alta en un centro de autentificacin (autoridad certificadora primaria) y recibe un certificado que consta de una clave privada, otra publica e informacin sobre la Autoridad certificadora y del usuario. 2. Cuando el usuario desea acceder a un servicio, ste le pide autentificacin. El servidor usa el certificado pblico como credencial para comprobar la autentificacin del cliente. 19. Autentificacin Centralizada Basado en Ventajas Desventajas Token Tiene un nico conjunto de credenciales simplifica la vida al administrador y al usuario. El software normalmente viene incorporado con el Sistema. Requiere una infraestructura de autentificacin homognea. Se basa en criptografa simtrica. PKI Tiene un nico conjunto de credenciales simplifica la vida al administrador y al usuario. El software normalmente viene incorporado con el Sistema. Se basa en criptografa asimtrica. Solo puede trabajar con un nico conjunto de credenciales. Algoritmo complejo de validacin de certificado. Requiere mucho clculo en el lado del cliente. Requiere una infraestructura de autentificacin homognea (todos los servicios deben tener activado el mecanismo PKI) 20. Autentificacin Mltiple y Basado en Cach Cliente: ID PW ID PW Autoridad de Autentificaci n Primaria BD Primaria Primer Sign-On Segundo Sign-On transparente usando credenciales almacenadas en cliente ID | PW Token Confianza BD Secundaria Autoridad de Autentificaci n Secundaria ID | PW Cach Cliente Segura ID | PW ID | PW Token PW 21. Etapas en la Solucin Cach en el Cliente: 1. El usuario introduce una contrasea para acceder a su base de datos (almacenada en su ordenador). 2. En la base de datos se encuentran almacenadas las credenciales (usuario y contrasea) de los dominios a los cuales tiene acceso. 3. Cada vez que accedemos a un recurso de un dominio en el que no estamos autentificados, el cliente enva de forma transparente la credencial a la autoridad de autentificacin, y esta le devuelve un token de sesin para los recursos del dominio. 22. Etapas en la Solucin Cach en el Cliente: 4. Cuando el usuario accede aun recurso del cual no tiene la credencial almacenada, el usuario introduce el nombre de usuario y contrasea, y esta credencial queda almacenada en la cach del cliente. 5. Existe una relacin de confianza desde las autoridades de autentificacin secundarias con la primaria. Ejemplos: Windows XP, Windows .NET, Entrust Entellingence, 23. Reduccin de costos de administracin de la seguridad Disminucin de la operatividad asociada con la administracin de contraseas. Incremento en los niveles de seguridad existentes. Control centralizado de autenticacin para las aplicaciones corporativas. Mayor comodidad y facilidad de uso de las aplicaciones corporativas para los usuarios finales 24. Sistema de autenticacin creado para proveer una forma segura en que una aplicacin pueda autenticar a un usuario. Fue creado por estndares abiertos para poder integrarse a muchas aplicaciones y sistemas. 25. Provee una solucin empresarial para SSO y es un muy bien documentado, protocolo. Provee una solucin centralizada de inicio de sesin para mltiples servicios empresariales, por lo que permite proteger la proliferacin de credenciales y de contraseas. 26. Clientes para: Java .NET PHP Perl Apache Uportal 27. El protocolo CAS esta compuesto de tres partes las cuales son: 1.) Un navegador Web. 2.) Una aplicacin Web que requiere autenticacin. 3) El servidor Cas. Tambin puede incluir un servidor de BD para consultas. 28. El usuario utilizando un Navegador hace la conexin hacia la aplicacin o sitio web sin tener un ticket valido. Cuando un cliente visita la aplicacin deseada y debe autenticarse, la aplicacin lo enviara hacia CAS e incluir la direccin hacia donde el usuario se dirige luego de su autenticacin. 29. Cas validar al cliente usualmente por su usuario y contrasea a una BD (como kerberos o Active Directory utilizando SSO). Si la autenticacin es exitosa CAS retornara el cliente a la aplicacin junto a un ticket de seguridad. 30. La aplicacin valida, el ticket comunicndose al servidor CAS, utilizando un canal seguro para que CAS compruebe su identificacin y el ticket. CAS retorna a la aplicacin, informacin segura sobre que un usuario en particular ha sido correctamente autenticado validando el ticket. Estos tickets son de un solo uso y solo funcionaran una vez. 31. Muchas Gracias