Actividades Trabajo: Tecnologías «triple A»

...

un modelo Cliente/Servidor en el que cada nodo tiene su función y no la puede cambiar. Además Diameter tiene descubrimiento dinámico de iguales.

Mensaje, en RADIUS el mensaje de transacción va desde el cliente RADIUS hasta el servidor RADIUS. En Diameter cualquier nodo puede solicitar la comunicación, al poder actuar tanto como Cliente como Servidor, por lo que es una ventaja frente a los otros dos protocolos. En TACACS+ el mensaje también se envía desde el cliente al servidor.

Cifrado de los paquetes, RADIUS solo cifra la contraseña en el paquete de respuesta al acceso, desde el cliente RADIUS (NAS) hasta el servidor RADIUS, yendo el resto de paquetes sin cifrar. En Diameter se cifra todo el paquete. En TACACS+ se cifra todo el cuerpo del paquete excepto la cabecera estándar. Tanto Diameter como TACACS+ muestran mayor seguridad, y por lo tanto es una clara ventaja, frente a RADIUS, ya que puede ser foco de ataque a la integridad de información o confidencialidad en los accesos y políticas de autorización.

Algoritmo de cifrado, el algoritmo utilizado por Diameter (HMAC-MD5) es más seguro que el empleado por los otros dos protocolos.

Administración de routers, TACACS+ utiliza usuarios y grupos para la autorización de comandos específicos según el usuario, ofreciendo un registro detallado de los accesos al dispositivo Cisco y los comandos ejecutados por lo que es una ventaja frente a Diameter, en el que depende de la implementación que se haga del protocolo y frente a RADIUS en el que el usuario ni siquiera tiene el control del comando.

Autenticación y Autorización, en RADIUS la autenticación y la autorización son enviadas combinadas por el servidor al cliente conteniendo la información de autorización, esto es una clara desventaja ya que esta información debería ir separada por capas. En Diameter y TACACS+ se realiza de manera independiente empleando la arquitectura AAA.

Notificación de errores, RADIUS no ofrece notificación de errores, al contrario que Diameter y TACACS+ que sí lo ofrecen, por lo que es una desventaja de RADIUS frente a los otros dos protocolos.

Referencias y Notas

• Pérez, P. G. (2013, 2014), Flu Project. Recuperado el 23 de Diciembre de 2015, de http://www.flu-project.com/2013/12/las-tecnologias-triple-parte-i-de-iii.html, http://www.flu-project.com/2013/12/las-tecnologias-triple-parte-ii-de-iii.html y http://www.flu-project.com/2014/01/las-tecnologias-triple-parte-iii-de-iii.html

• RFC2865, Remote Authentication Dial In User Service (RADIUS). Internet Engineering Task Force, Network Working Group. Recuperado el 14 de Enero de 2016, de https://tools.ietf.org/pdf/rfc2865

• RFC2866, RADIUS Accounting. Internet Engineering Task Force, Network Working Group. Recuperado el 14 de Enero de 2016, de https://tools.ietf.org/pdf/rfc2866

• RFC6733, Diameter Base Protocol. Internet Engineering Task Force, Network Working Group. Recuperado el 14 de Enero de 2016, de https://tools.ietf.org/pdf/rfc6733

• RFC1492, An Access Control Protocol, Sometimes Called TACACS. Internet Engineering Task Force, Network Working Group. Recuperado el 14 de Enero de 2016, de https://tools.ietf.org/pdf/rfc1492

• The TACACS+ Protocol, Internet Engineering Task Force, Network Working Group. Recuperado el 14 de Enero de 2016, de https://tools.ietf.org/pdf/draft-grant-tacacs-02.pdf