servidores de acceso remoto:

Click here to load reader

Download Servidores de acceso remoto:

Post on 19-Mar-2016

48 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

Servidores de acceso remoto:. - Protocolos de autenticación. - Configuración de parámetros de acceso. - Servidores de autenticación. Luis Villalta Márquez. Protocolos de autenticación:. Protocolos PPP, PPoE , PPPoA Autenticación de contraseña: PAP - PowerPoint PPT Presentation

TRANSCRIPT

Servidores de acceso remoto:

- Protocolos de autenticacin. - Configuracin de parmetros de acceso. - Servidores de autenticacin.Servidores de acceso remoto: Luis Villalta Mrquez Protocolos PPP, PPoE, PPPoA Autenticacin de contrasea: PAP Autenticacin por desafo mutuo: CHAP Autenticacin extensible: EAP. Mtodos. PEAP. Kerberos. Protocolos AAA: Radius TACACS+ Protocolos de autenticacin:2Protocolos de autenticacinUn protocolo de autentificacin (o autenticacin) es un tipo de protocolo criptogrfico que tiene el propsito de autentificar entidades que desean comunicarse de forma segura. Los protocolos de autenticacin se negocian inmediatamente despus de determinar la calidad del vinculo y antes de negociar el nivel de red.

Protocolos PPP, PPoE, PPPoAPPP: Point-to-Point Protocol: Es un protocolo de nivel de enlace, permite establecer una conexin entre dos computadoras. Se utiliza para establecer la conexin a Internet de un particular con su proveedor de acceso a travs de un mdem telefnico. Adems del simple transporte de datos, PPP facilita dos funciones importantes:PPOE: Protocolo Punto a Punto sobre Ethernet: Es un protocolo de red para la encapsulacin PPP sobre una capa de Ethernet, que permite implementar una capa IP sobre una conexin entre dos puertos Ethernet, lo que es utilizado para virtualmente "marcar" a otra mquina dentro de la red Ethernet, logrando una conexin "serial" con ella, con la que se pueden transferir paquetes IP, basado en las caractersticas del protocolo PPP.PPPOA: Protocolo de Punto a Punto (PPP) sobre ATM: Es un protocolo de red para la encapsulacin PPP en capas ATM AAL5, que se utiliza principalmente en conexiones de banda ancha sixto. Este ofrece las principales funciones PPP como autenticacin, cifrado y compresin de datos. Actualmente tiene alguna ventaja sobre PPPoE debido a que reduce la prdida de calidad en las transmisiones. Al igual que PPPoE, PPPoA puede usarse en los modosVC-MUXyLLC.Autenticacin de contrasea: PAPPAP es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea se envan al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseas pueden leerse fcilmente en los paquetes del PPP intercambiados durante el proceso de autenticacin. PAP suele utilizarse nicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten mtodos de autenticacin ms seguros.

Autenticacin por desafo mutuo: CHAPEs un mtodo de autenticacin muy utilizado en el que se enva una representacin de la contrasea del usuario, no la propia contrasea. Con CHAP, el servidor de acceso remoto enva un desafo al cliente de acceso remoto. El cliente de acceso remoto utiliza un algoritmo hash (tambin denominado funcin hash) para calcular un resultado hash de MD5 basado en el desafo y un resultado hash calculado con la contrasea del usuario.El cliente de acceso remoto enva el resultado hash MD5 al servidor de acceso remoto. El servidor de acceso remoto, que tambin tiene acceso al resultado hash de la contrasea del usuario, realiza el mismo clculo con el algoritmo hash y compara el resultado con el que envi el cliente.

Autenticacin extensible: EAP, Mtodos Extensible AuthenticationProtocol (EAP) es una autenticacin framework usada habitualmente en redes WLANPoint-to-Point Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede ser usado para autenticacin en redes cableadas, es ms frecuentemente su uso en las primeras. Recientemente los estndares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticacin. Es una estructura de soporte, no un mecanismo especfico de autenticacin. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticacin escogidos. Estos mecanismos son llamados mtodos EAP, de los cuales se conocen actualmente unos 40. Adems de algunos especficos de proveedores comerciales, los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, y EAP-AKA. Autenticacin extensible: EAP, Mtodos Los mtodos modernos capaces de operar en ambientes inalmbricos incluyen EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP y EAP-TTLS. Cuando EAP es invocada por un dispositivo NAS (Network Access Server) capacitado para 802.1X, como por ejemplo un punto de acceso 802.11 a/b/g, los mtodos modernos de EAP proveen un mecanismo seguro de autenticacin y negocian un PMK (Pair-wise Master Key) entre el dispositivo cliente y el NAS. En esas circunstancias, la PMK puede ser usada para abrir una sesin inalmbrica cifrada que usa cifrado TKIP o AES. EAP fue diseado para utilizarse en la autenticacin para acceso a la red, donde la conectividad de la capa IP puede no encontrase disponible. Dado a que EAP no requiere conectividad IP, solamente provee el suficiente soporte para el transporte confiable de protocolos de autenticacin y nada ms. EAP es un protocolo lock-step, el cual solamente soporta un solo paquete en transmisin. Como resultado, EAP no pude transportar eficientemente datos robustos, a diferencia de protocolos de capas superiores como TCP. Proceso de Intercambio de Autenticacin EAPEl Servidor de Autenticacin enva un Request (Solicitud) de Autenticacin al cliente, el mensaje de Request tiene un campo de Tipo, en el cual el cliente debe responder que es lo que est solicitando. El Cliente enva un paquete Response (Respuesta) al Servidor. Al igual que en el paquete Request, el paquete Response contiene un campo de Tipo, el cual corresponde al campo de Tipo en el paquete de Request. El Servidor de autenticacin enva un paquete Request adicional, al cual el cliente enva un Response. La secuencia de Request y Response continua segn sea necesario. Como se mencion, EAP es un protocolo lock-step, por lo que no se puede enviar el siguiente paquete sin haber recibido uno vlido antes. Despus de un nmero de retransmisiones, el Servidor PUEDE terminar la conversacin EAP. El Servidor NO PUEDE enviar un paquete de Success o Failure cuando se retransmite o cuando falla en recibir una respuesta a dichos paquetes por parte del cliente. La conversacin contina hasta que el Servidor no puede autenticar al cliente, y en dicho caso el Servidor DEBE trasmitir un mensaje de Failure. Como alternativa, la conversacin de autenticacin puede continuar hasta que el Servidor determina que se ha cumplido con una autenticacin satisfactoriamente, para dicho caso, el Servidor DEBE enviar un paquete de Success.Proceso de Intercambio de Autenticacin EAP

PEAPEl Protocolo de autenticacin extensible protegido (PEAP) es un nuevo miembro de la familia de protocolos de Protocolo de autenticacin extensible (EAP). PEAP utiliza Seguridad de nivel de transporte (TLS) para crear un canal cifrado entre un cliente de autenticacin PEAP, como un equipo inalmbrico, y un autenticador PEAP, como un Servicio de autenticacin de Internet (IAS) o un servidor del Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS). PEAP no especifica un mtodo de autenticacin, sino que proporciona seguridad adicional para otros protocolos de autenticacin de EAP, como EAP-MSCHAPv2, que pueden operar a travs del canal cifrado de TLS que proporciona PEAP. PEAP se utiliza como mtodo de autenticacin para los equipos cliente inalmbricos 802.11, pero no se admite en clientes de red privada virtual (VPN) u otros clientes de acceso remoto.PEAPPara mejorar los protocolos EAP y la seguridad de red, PEAP proporciona: Proteccin de la negociacin del mtodo EAP que se produce entre el cliente y el servidor mediante un canal TLS. Compatibilidad con la fragmentacin y el reensamble de mensajes. Clientes inalmbricos con la capacidad de autenticar el servidor IAS o RADIUS. Proteccin contra la implementacin de un punto de acceso inalmbrico (WAP) no autorizado cuando el cliente EAP autentica el certificado que proporciona el servidor IAS. Reconexin rpida de PEAP, que reduce el tiempo de retraso entre la solicitud de autenticacin de un cliente y la respuesta del servidor IAS o RADIUS, y que permite a los clientes inalmbricos moverse entre puntos de acceso sin solicitudes de autenticacin repetidas.

KerberosKerberos es un protocolo de autenticacin de redes de ordenador que permite a dos ordenadores en una red insegura demostrar su identidad mutuamente de manera segura. Los mensajes de autenticacin estn protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen extensiones del protocolo para poder utilizar criptografa de clave asimtrica. Funcionamiento de KerberosUn usuario ingresa su nombre de usuario y password en el cliente El cliente genera una clave hash a partir de la password y la usar como la clave secreta del cliente. El cliente enva un mensaje en texto plano al AS solicitando servicio en nombre del usuario. El AS comprueba si el cliente est en su base de datos. Si es as, el AS enva dos mensajes al cliente: Mensaje A: Client/TGS session key cifrada usando la clave secreta del usuario Mensaje B: Ticket-Granting Ticket (que incluye el ID de cliente, la direccin de red del cliente, el perodo de validez y el Client/TGS session key) cifrado usando la clave secreta del TGS. Funcionamiento de KerberosUna vez que el cliente ha recibido los mensajes, descifra el mensaje A para obtener el client/TGS session key. Esta session key se usa para las posteriores comunicaciones con el TGS. (El cliente no puede descifrar el mensaje B pues para cifrar ste se ha usado la clave del TGS). En este momento el cliente ya se puede autenticar contra el TGS. Cuando solicita un servicio el cliente enva los siguientes mensajes: Mensaje C: Compuesto del Ticket-Granting Ticket del mensaje B y el ID del servicio solicitado. Mensaje D: Autenticador (compuesto por el ID de cliente y una marca de tiempo), cifrando usando el client/TGS session key. Cuando recibe los mensajes anteriores, el