continuación aaa servicios y servidores de autenticación
TRANSCRIPT
Continuación AAAContinuación AAAServicios y Servidores de Servicios y Servidores de AutenticaciónAutenticación
Implementación AAAImplementación AAA
A nivel de red dependiendo del tamaño de las A nivel de red dependiendo del tamaño de las redes y los recursos disponibles AAA puede redes y los recursos disponibles AAA puede Implementarse:Implementarse:
De forma local ( en los dispositivos ).De forma local ( en los dispositivos ).
O a través de un servidor central que ejecute O a través de un servidor central que ejecute protocolos como RADIUS o TACACS.protocolos como RADIUS o TACACS.
Ejemplos: Usos de Servidores Ejemplos: Usos de Servidores
AAAAAA
Protocolos de AutenticaciónProtocolos de Autenticación))
Hoy en día se utilizan Hoy en día se utilizan principalmente 2 protocolos principalmente 2 protocolos soportar AAA:soportar AAA:
TACACSTACACS RADIUSRADIUS
TACACSTACACS((Terminal Access Controller Access Control System Plus )Terminal Access Controller Access Control System Plus )
Es un protocolo de autenticación remota que se Es un protocolo de autenticación remota que se utiliza para comunicarse con un servidor utiliza para comunicarse con un servidor centralizado. centralizado.
TACACS permite que un servidor de acceso TACACS permite que un servidor de acceso remoto se comunique con un servidor de remoto se comunique con un servidor de autenticación, para verificar la información de autenticación, para verificar la información de usuario.usuario.
TACACS permite que un cliente acepte un TACACS permite que un cliente acepte un usuario y contraseña y envía una consulta al usuario y contraseña y envía una consulta al servidor de autenticación TACACS, en algunos servidor de autenticación TACACS, en algunos sistemas existen unos servicios (Windows) o sistemas existen unos servicios (Windows) o demonios (en el caso de Unix). demonios (en el caso de Unix).
TACACSTACACS((Terminal Access Controller Access Control System Plus )Terminal Access Controller Access Control System Plus )
La última versión de TACACS fue introducida en La última versión de TACACS fue introducida en 1990 y fue llamada XTACACS ( Extended 1990 y fue llamada XTACACS ( Extended TACACS ).TACACS ).
Este protocolo está definido en el RFC 1492. Este protocolo está definido en el RFC 1492.
Implementaciones de Implementaciones de TACACSTACACS
Hoy en día existen algunas Hoy en día existen algunas implementaciones de TACACS, entre ellas implementaciones de TACACS, entre ellas tenemos: tenemos:
TACACSTACACS. . la versión original está definida en la versión original está definida en el RFC 1492, esta versión se utiliza para el RFC 1492, esta versión se utiliza para enviar usuario y contraseña a un servidor enviar usuario y contraseña a un servidor centralizado, este puede disponer de una centralizado, este puede disponer de una base de datos TACACS o una base de datos base de datos TACACS o una base de datos como el archivo de contraseñas de UNIX.como el archivo de contraseñas de UNIX.
Implementaciones de Implementaciones de TACACSTACACS
XTACACSXTACACS . . Define las extensiones que Cisco Define las extensiones que Cisco agregó al protocolo de TACACS para apoyar agregó al protocolo de TACACS para apoyar nuevas y avanzadas características. XTACACS es nuevas y avanzadas características. XTACACS es multi-protocol y puede autorizar conexiones con multi-protocol y puede autorizar conexiones con SLIP, PPP IP o IPX, EXEC, y telnet.SLIP, PPP IP o IPX, EXEC, y telnet.
XTACACS soporta múltiples servidores TACACS, y XTACACS soporta múltiples servidores TACACS, y syslog para enviar información de auditoría a un syslog para enviar información de auditoría a un equipo Unix o cualquier equipo que tenga equipo Unix o cualquier equipo que tenga disponible un syslog serverdisponible un syslog server..
Implementaciones de Implementaciones de TACACSTACACS
TACACS+TACACS+ . . A pesar que el nombre es similar A pesar que el nombre es similar TACACS+ es un protocolo nuevo y continuamente TACACS+ es un protocolo nuevo y continuamente mejorado. mejorado.
Un servidor TACACS+ proporciona los servicios de AAA Un servidor TACACS+ proporciona los servicios de AAA de forma independientemente. Cada servicio se puede de forma independientemente. Cada servicio se puede ejecutarse unido a su propia base de datos o se puede ejecutarse unido a su propia base de datos o se puede utilizarse con otros servicios disponibles en el servidor utilizarse con otros servicios disponibles en el servidor o en la red.o en la red.
TACACS y XTACACS carecen de muchas características TACACS y XTACACS carecen de muchas características de TACACS+ y otros protocolos como RADIUS, de TACACS+ y otros protocolos como RADIUS, actualmente estos dos están fuera de mantenimiento.actualmente estos dos están fuera de mantenimiento...
Características Importantes Características Importantes de TACACS+:de TACACS+:
Servicios independientes de AAAServicios independientes de AAA Las comunicaciones se realizan Las comunicaciones se realizan
utilizando el Protocolo TCP de Capa de utilizando el Protocolo TCP de Capa de TransporteTransporte
Soporte Multi-protocolo (PAP, CHAP, Soporte Multi-protocolo (PAP, CHAP, MS-CHAP ) MS-CHAP )
Encriptación en todos los paquetes.Encriptación en todos los paquetes.
Es un protocolo de control de accesos desarrollado Es un protocolo de control de accesos desarrollado por Livingston Enterprises y que la IETF ha por Livingston Enterprises y que la IETF ha recogido en los RFCs 2865 y 2866. recogido en los RFCs 2865 y 2866.
Fue diseñado para autenticar usuarios y utiliza una Fue diseñado para autenticar usuarios y utiliza una arquitectura cliente/servidor. arquitectura cliente/servidor.
El servidor contiene información de los usuarios, El servidor contiene información de los usuarios, almacenando sus contraseñas y sus perfiles, y el almacenando sus contraseñas y sus perfiles, y el cliente es el encargado de pasar las peticiones de cliente es el encargado de pasar las peticiones de conexión de los usuarios al servidor para que éste conexión de los usuarios al servidor para que éste las autentique y responda al cliente indicando si el las autentique y responda al cliente indicando si el usuario está o no registrado y con permisos de usuario está o no registrado y con permisos de accesoacceso
RADIUS RADIUS ((Remote Authentication Dial In User ServiceRemote Authentication Dial In User Service ))
RADIUS está compuesto de 3 ElementosRADIUS está compuesto de 3 Elementos
El Protocolo (utiliza los formatos de UDP/IP)El Protocolo (utiliza los formatos de UDP/IP) ServidorServidor ClienteCliente
RADIUS RADIUS
Tres versiones importantes del RADIUS están Tres versiones importantes del RADIUS están disponibles hoy en día:disponibles hoy en día:
IETFIETF con aproximadamente 63 atributos - desarrolladas y con aproximadamente 63 atributos - desarrolladas y propuestas a IETF por Livingston Enterprises, ahora una división propuestas a IETF por Livingston Enterprises, ahora una división de Lucent Technologies. El protocolo del RADIUS se especifica en de Lucent Technologies. El protocolo del RADIUS se especifica en
contabilidad del RFC 2138, y del RADIO en RFC 2139.contabilidad del RFC 2138, y del RADIO en RFC 2139.
Implementación de CiscoImplementación de Cisco que apoya aproximadamente 58 que apoya aproximadamente 58 atributos - comenzando en el lanzamiento 11.2 del IOS de Cisco, atributos - comenzando en el lanzamiento 11.2 del IOS de Cisco, un número de mayor de atributos y funcionalidades se incluyen un número de mayor de atributos y funcionalidades se incluyen en cada lanzamiento del software y de Cisco ACS del IOS de en cada lanzamiento del software y de Cisco ACS del IOS de Cisco. Cisco.
Implementaciones de Implementaciones de RADIUSRADIUS
Lucent Lucent que apoya sobre 254 atributos - Lucent que apoya sobre 254 atributos - Lucent esta constantemente cambiando y de agregando esta constantemente cambiando y de agregando de atributos de vendedores específicos. Un interfaz de atributos de vendedores específicos. Un interfaz de programación (API) permite el desarrollo rápido de programación (API) permite el desarrollo rápido de nuevas extensiones.de nuevas extensiones.
Implementaciones de Implementaciones de RADIUSRADIUS
Esquemas de Autenticación de RadiusEsquemas de Autenticación de Radius
Base de datos de SistemaBase de datos de Sistema Las claves y logins almacenados en /etc/passwd on the server, Las claves y logins almacenados en /etc/passwd on the server,
ejemplo "normal" usuario de sistema UNIX, en Windows la información ejemplo "normal" usuario de sistema UNIX, en Windows la información se puede obterner del AD. se puede obterner del AD.
Base de datos interna Base de datos interna El login y el usuario es almacenado en una base de datos interna del El login y el usuario es almacenado en una base de datos interna del
servidor RADIUS.El password es almacenado utilizandor MD5 o DES servidor RADIUS.El password es almacenado utilizandor MD5 o DES hash, whichever is appropriate. En algunos casos dependiendo de la hash, whichever is appropriate. En algunos casos dependiendo de la alternativa también podría guardarse en texto plano.alternativa también podría guardarse en texto plano.
Autenticación SQLAutenticación SQL La información detallada del usuario se guarda en una base de datos La información detallada del usuario se guarda en una base de datos
SQL.La estructura de la base de datos es determinada por el SQL.La estructura de la base de datos es determinada por el administrador.administrador.
. .
En cuales servicios se puede implementar En cuales servicios se puede implementar RADIUS:RADIUS:
Acceso inalámbrico. Acceso inalámbrico.
Es posible configurar puntos de acceso Es posible configurar puntos de acceso inalámbricos compatibles con 802.1X y inalámbricos compatibles con 802.1X y aprovechar los servicios AAA para el control aprovechar los servicios AAA para el control de acceso a WLAN basada en 802.11, así de acceso a WLAN basada en 802.11, así como para proporcionar la administración de como para proporcionar la administración de claves.claves.
RADIUS RADIUS
En cuales servicios se puede implementar En cuales servicios se puede implementar RADIUS:RADIUS:
Acceso a VPN. Acceso a VPN.
Los servidores VPN como RRAS basado Los servidores VPN como RRAS basado en Windows pueden utilizar los en Windows pueden utilizar los servicios AAA de IAS para el control de servicios AAA de IAS para el control de acceso a la red corporativa, así como acceso a la red corporativa, así como para proporcionar la administración de para proporcionar la administración de clavesclaves
RADIUS RADIUS
En cuales servicios se puede implementar En cuales servicios se puede implementar RADIUS:RADIUS:
Acceso telefónico. Acceso telefónico.
Los servidores de acceso telefónico Los servidores de acceso telefónico como RRAS basado en Windows como RRAS basado en Windows pueden usar los servicios AAA RADIUS pueden usar los servicios AAA RADIUS para el control de acceso a la red para el control de acceso a la red corporativacorporativa
RADIUS RADIUS
En cuales servicios se puede implementar En cuales servicios se puede implementar RADIUS:RADIUS:
Acceso a la extranet. Acceso a la extranet.
Los servidores de acceso a la Los servidores de acceso a la extranet pueden aprovechar los extranet pueden aprovechar los servicios AAA de RADIUS cuando servicios AAA de RADIUS cuando se proporciona acceso restringido se proporciona acceso restringido a los recursos compartidosa los recursos compartidos
RADIUS RADIUS
En cuales servicios se puede implementar RADIUS:En cuales servicios se puede implementar RADIUS:
Acceso a Internet. Acceso a Internet.
Los proveedores de servicios de Internet Los proveedores de servicios de Internet (ISP) pueden aprovechar los servicios AAA de (ISP) pueden aprovechar los servicios AAA de RADIUS para proporcionar acceso a Internet RADIUS para proporcionar acceso a Internet telefónico y de alta velocidad mientras telefónico y de alta velocidad mientras emplean las bases de datos de cuentas y las emplean las bases de datos de cuentas y las directivas de control de acceso organizativas directivas de control de acceso organizativas individuales.individuales.
RADIUS RADIUS
Servidores RADIUSServidores RADIUS
Productos comerciales - appliancesProductos comerciales - appliances Infoblox RADIUSoneInfoblox RADIUSone Cisco Secure Access Control ServerCisco Secure Access Control Server Identity Engines IgnitionIdentity Engines Ignition. .
Servidores RADIUSServidores RADIUS
Software Open sourceSoftware Open source FreeRADIUSFreeRADIUS GNU RadiusGNU Radius JRadiusJRadius OpenRADIUSOpenRADIUS Cistron RADIUSCistron RADIUS XTRadiusXTRadius YardRadiusYardRadius BSDRadiusBSDRadius. .
Servidores RADIUSServidores RADIUS
Software ComercialesSoftware Comerciales Internet Authentication Service, included with Internet Authentication Service, included with
server editions of Microsoft Windows.server editions of Microsoft Windows. Cisco Secure Access Control ServerCisco Secure Access Control Server Interlink Networks RAD-Series RADIUS ServerInterlink Networks RAD-Series RADIUS Server Alepo Radius ServerAlepo Radius Server Steel-Belted RadiusSteel-Belted Radius RadiusNTRadiusNT
Servidores RADIUSServidores RADIUS
Software ComercialesSoftware Comerciales