Trabajo: Tecnologías «triple A»
Enviado por Sara • 22 de Enero de 2018 • 1.466 Palabras (6 Páginas) • 362 Visitas
...
- Definición.
Tanto RADIUS como DIAMETER están definidos como estándares por la IETF como RFCs, mientras que TACACS+ es propietario de la empresa CISCO.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se publicó como RFC 2138 y RFC 2139. El protocolo RADIUS actualmente está definido en los RFC 2865 (autenticación y autorización) y RFC 2866 (contabilización).
Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Es extensible, la mayoría de fabricantes de software y hardware RADIUS implementan sus propios dialectos.
DIAMETER fue diseñado para suministrar un marco de trabajo que ofrezca servicios AAA para aplicaciones que involucran acceso a redes o aplicaciones IP Móvil. Su desarrollo se basó en el protocolo RADIUS y está estandarizado de acuerdo con el RFC 6733.
TACACS+ (Terminal Access Controller Access Control System) es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados de autenticación, autorización y contabilización) a servidores y dispositivos de comunicaciones. Es un protocolo que provee las AAA para dispositivos CISCO. Es, por tanto, un protocolo propietario de la marca.
---------------------------------------------------------------
- Arquitectura del modelo.
La arquitectura de funcionamiento del protocolo RADIUS es un modelo cliente-servidor, siguiendo el siguiente esquema.
[pic 1]
En DIAMETER la arquitectura del modelo cambia, ya no es cliente-servidor y pasa a Peer to Peer. Además, permite mensajes iniciados desde el servidor y tiene descubrimiento dinámico de peers. Mejora la compatibilidad del roaming y la notificación de errores.
TACACS+ vuelve a la arquitectura cliente-servidor, pero con retorno de información por la implementación de TCP, a diferencia de RADIUS en la implementación de UDP.
En este ejemplo se refleja: la autenticación de inicio de sesión, la autorización ejecutivo, la autorización de comandos, start-stop contable ejecutivo, y la contabilidad de comandos se ejecuta con TACACS + cuando un usuario Telnets a un router, realiza una orden, y sale del router.
[pic 2]
- Autenticación y autorización.
RADIUS combina autenticación y autorización. Los paquetes de aceptación de acceso enviados por el servidor RADIUS para el cliente contienen información de autorización. Esto hace que sea difícil desacoplar autenticación y autorización.
Respecto a la autenticación y autorización, DIAMETER se usa de manera diferente dependiendo de la aplicación.
TACACS + utiliza la arquitectura AAA, que separa AAA. Esto permite que las soluciones de autenticación independientes que todavía puede utilizar TACACS+ para la autorización y contabilización. Por ejemplo, con TACACS+, es posible utilizar la autenticación Kerberos y TACACS+ autorización y contabilidad.
- Cifrado de paquetes.
RADIUS encripta sólo la contraseña en el paquete de solicitud de acceso, desde el cliente al servidor. El resto del paquete no está cifrado. Otros datos, como nombre de usuario, servicios autorizados, y la contabilidad, pueden ser capturado por un tercero.
En DIAMETER se cifra todo el paquete. TACACS + encripta todo el cuerpo del paquete. Por tanto, TACACS+ y DIAMETER muestran mayor seguridad en este aspecto, siendo una ventaja frente a RADIUS.
---------------------------------------------------------------
- Algoritmo de cifrado.
En RADIUS y TACACS+ utilizan el algoritmo de cifrado MD5, algoritmo de hash de 128 bits. Este algoritmo fue desarrollado por Ronald Rivest en 1995 y está basado en dos algoritmos anteriores MD2 y MD4.
Mientras que DIAMETER utiliza HMAC-MD5, que puede ser utilizado para verificar simultáneamente la integridad de los datos y la autentificación de un mensaje, siendo mejor para la seguridad.
- Administración de routers.
RADIUS no permite al usuario el control de comando que pueden ejecutar en un router, por lo que RADIUS no es útil para la gestión de routers.
TACACS+ proporciona dos métodos de control de autorización de los comandos de un router, uno por usuarios o por grupos. El primer método consiste en asignar niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está autorizado a nivel de privilegio especificado. El segundo método es especificar explícitamente en el servidor TACACS+, por usuario o en función de cada grupo, los comandos que están permitidos.
Por otro lado, DIAMETER ofrece soporte para los comandos específicos del vendedor.
---------------------------------------------------------------
- Referencias.
IETF – RFC2865. Remote Authentication Dial In User Service (RADIUS).
https://tools.ietf.org/html/rfc2865
IETF – RFC6733. Diameter Base Protocol.
https://tools.ietf.org/html/rfc6733
IETF – RFC3539. Authentication, Authorization and Accounting (AAA) Transport Profile.
https://tools.ietf.org/html/rfc3539
Flu Project: Tecnologías Triple A.
http://www.flu-project.com/2013/12/las-tecnologias-triple-parte-i-de-iii.html
CISCO: TACACS+.
http://www.cisco.com/c/en/us/tech/security-vpn/terminal-access-controller-access-control-system-tacacs/index.html?referring_site=bodynav
CISCO: TACACS+ and RADIUS Comparison.
http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13838-10.html
Wikipedia:
...