Unidad 3: Métodos de autenticación


        I.            Título:
Métodos de autenticación

      II.            Contenido

a.      Introducción
Este resumen cuenta con diversa información que hace referencia a los diversos métodos de autenticación que podemos encontrar en los diversos tipos de redes, se hablara de una investigación minuciosa de temas como: La configuración de servidores Radius, sus ventajas, así como TACACS y KERVEROS.
Se hablarán de algoritmos de cifrado como Hash MD5 y SHA-1, todo esto para tratar de dar pie a un tema muy esencial en el mundo profesional como los certificados digitales y las entidades certificadoras.

b.      Desarrollo
Elementos para la configuración de un servidor RADIUS

Cuando implementa un acceso cableado o inalámbrico 802.1X con el Servidor de directivas de redes (NPS) como servidor RADIUS (Servicio de autenticación remota telefónica de usuario), debe llevar a cabo los siguientes pasos:
  • Instale y configure los servidores de acceso a la red (NAS) como clientes RADIUS.
  • Implemente los componentes para los métodos de autenticación.
  • Configure NPS como servidor RADIUS.
Existen características de filtrado que los servidores de acceso a la red deben admitir para suministrar una seguridad mejorada a la red. Estas opciones de filtrado son:
  • Filtros DHCP. Los NAS deben filtrar por los puertos IP para evitar la transmisión de los mensajes de difusión del protocolo de configuración dinámica de host (DHCP) si el cliente es un servidor DHCP. Los servidores de acceso a la red deben bloquear el cliente en el envío de paquetes IP del puerto 68 a la red.
  • Filtros DNS. Los NAS deben filtrar en puertos IP para evitar que un cliente actúe como servidor DNS. Los NAS deben bloquear el cliente en el envío de paquetes IP del puerto 53 a la red.
Ventajas de utilizar un servidor RADIUS
1) Mejora la seguridad cuando es adecuadamente implementado.
2) Mejora en la presentación de informes (reporting) y en el seguimiento (tracking) basado en los nombres de usuarios de clientes, incluso más aún si está atado a un backend LDAP como Active Directory.
3) Posibilidad de aplicar restricciones a un usuario/perfil en particular.
4) Cuando un usuario se autentifica en una SSID usando 802.1X, esa sesión individual está encriptada únicamente entre el usuario y el punto de acceso. Esto significa que otro usuario conectado al mismo SSID no puede escuchar el tráfico ni robar información, dado que están utilizando diferentes key (claves) de encriptación para sus respectivas conexiones. En cambio, en una red PSK, cada dispositivo conectado al punto de acceso comparte la misma encriptación de conexión, por lo que otros usuarios podrían espiar en el tráfico si quisieran.
5) Es posible desconectar a un único usuario o dispositivo sin afectar al resto, sin cambiar la clave del resto.
6) Puedes asignar permisos individuales (para cada usuario). En cambio, en el método de clave compartida sólo puedes crear un único perfil de usuario que todos compartirán.

Ventajas de utilizar un servidor TACACS

Autenticación es el proceso de validar la identidad de un usuario. TACACS logra esto a través de un nombre de usuario y la contraseña proporcionada por el usuario. TACACS separa los procesos de autenticación, autorización y contabilidad, proporcionando un nivel de granularidad y flexibilidad que no se encuentra en radius. TACACS también cifra el nombre de usuario y contraseña, que proporciona un nivel de seguridad más alto.
TACACS proporciona una gestión centralizada de la autorización y la mayor seguridad por el control de cada mandato emitido en contra de la base de datos de configuración de autorización. esto asegura que el usuario sólo se le permite ejecutar comandos que esté autorizado a emitir. este método requiere más ancho de banda y, debido a TACACS utiliza el protocolo TCP, los gastos generales inherentes. esto podría causar problemas de rendimiento si se utiliza mucho TACACS.

Ventajas de utilizar un servidor KERVEROS

Protección por contraseña: La principal innovación del protocolo Kerberos es que las contraseñas de los usuarios no tienen que ser transmitidos a través de una red, ya sea en texto o en virtud de cifrado. El protocolo se basa en cambio en las claves secretas que se transmiten en un sistema de codificación que no puede ser interceptado. Si se compromete la seguridad de una red, todavía es posible para los delincuentes para interpretar el contenido de la red de comunicación. Servicios de autenticación y público objetivo de la fijación.
Autenticación de cliente / servidor: En Kerberos, el cliente y el servidor deben autenticarse mutuamente. Comunicación para si cada lado no es capaz de autenticar la otra parte.
La durabilidad y la reutilización: Autenticación mediante el protocolo Kerberos son duraderos y reutilizables. Una vez que un usuario se autentica mediante el protocolo de autenticación es reutilizable para la duración de su billete. En otras palabras, usted puede permanecer autenticado por el protocolo Kerberos sin tener que volver a introducir un nombre de usuario y contraseña a través de la red (hasta la autentificación caduca).
Normas de internet: El protocolo Kerberos se basa totalmente en estándares abiertos de Internet, y no se limita a los códigos de los mecanismos de propiedad o de autenticación. Esto permite a los desarrolladores confían en cualquier número de implementaciones de referencia a través del transporte público y abierto y libre. Además, las implementaciones comerciales de bajo costo se pueden adquirir o desarrollar de forma independiente.




Características del algoritmo HASH MD5

En criptografía, MD5 (Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. El código MD5 fue diseñado por Ronald Rivest en 1991.
El algoritmo MD5 es una función de cifrado tipo hash que acepta una cadena de texto como entrada, y devuelve un número de 128 bits. Las ventajas de este tipo de algoritmos son la imposibilidad (computacional) de reconstruir la cadena original a partir del resultado, y también la imposibilidad de encontrar dos cadenas de texto que generen el mismo resultado.
Esto nos permite usar el algoritmo para transmitir contraseñas a través de un medio inseguro. Simplemente se cifra la contraseña, y se envía de forma cifrada. En el punto de destino, para comprobar si el password es correcto, se cifra de la misma manera y se comparan las formas cifradas.

Características del algoritmo SHA-1

En general, SHA1 se considera el mejor algoritmo de la familia de Algoritmos HASH o de resumen y es el que se aplica en la mayoría de las aplicaciones de firma electrónica. Por lo tanto, es muy habitual aplicar SHA1 seguido de RSA para realizar una firma electrónica de un documento, o bien el algoritmo DSA específico para firma electrónica que también utiliza SHA1 internamente.

Ejemplo de hashes:
Estos son ejemplos de SHA-1 digiere. ASCII codificación se utiliza para todos los mensajes.
SHA1 (” El rápido zorro marrón salta sobre el perro perezoso “) = 2fd4e1c6 7a2d28fc ed849ee1 bb76e739 1b93eb12
Incluso un pequeño cambio en el mensaje, con una probabilidad abrumadora, resultando en un hash completamente diferente debido al efecto avalancha.

Que son los certificados digitales

El certificado digital es un archivo electrónico que contiene datos de una persona o institución, utilizados para comprobar su identidad. Este archivo puede estar almacenado en un ordenador o en otro sistema de almacenamiento, como un token o Smart Card.
Ejemplos semejantes a un certificado digital son el Documento, DNI o Pasaporte de una persona. Cada uno de ellos contiene un conjunto de información que identifican la institución o persona y la autoridad (para estos ejemplos, órganos públicos) que garantiza su validez.
Algunos de los principales datos encontrados en un certificado digital son:
·         Datos que identifican el dueño (nombre, número de identificación, estado, etc);
·         Nombre de la Autoridad Certificadora (AC) que emitió el certificado;
·         El número de serie y el periodo de validez del certificado;
·         La firma digital de AC.

El objetivo de la firma digital en el certificado es indicar que una autoridad (la Autoridad Certificadora) garantiza la veracidad de la información contenida.

Que son los las entidades certificadoras

La Autoridad de Certificación (CA) es una entidad de confianza, responsable de emitir y revocar los certificados digitales, utilizados en la firma electrónica.
Aparte de estas funciones básicas, la Autoridad de Certificación puede proporcionar otros servicios, como la publicación de certificados, publicación de listas de certificados revocados, servicios de comprobación de validez de los certificados, etc.

    III.            Bibliografía:

Certificado Digital. Seguridad Informatica
 N.d.    https://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Certificado-Digital-Seguridad-informatica.php, accessed November 15, 2017.

¿Cuáles Son Las Ventajas de Kerberos?
 N.d.    http://letras-diferentes.info/computadoras/seguridad-en-redes/cuales-son-las-ventajas-de-kerberos.php, accessed November 14, 2017.

Medina, Alejandro
 2009   Seguridad En Redes: MD5.- Definición Y Aplicaciones. Seguridad En Redes. http://seguridadredesmedina.blogspot.com/2009/10/md5-definicion-y-aplicaciones.html.

¿Qué Es Una Autoridad de Certificación? | Developers.viafirma.com
 N.d.    https://developers.viafirma.com/%C2%BFque-es-una-autoridad-de-certificacion, accessed November 15, 2017.

¿Qué Ventajas O Desventajas Tiene Configurar Un Servidor RADIUS?
 2014   Alegsa.com.ar. http://www.alegsa.com.ar/Diccionario/C/25018.php, accessed November 14, 2017.

Servidor RADIUS Para Conexiones Cableadas O Inalámbricas 802.1X
 N.d.    https://technet.microsoft.com/es-es/library/cc731853(v=ws.11).aspx, accessed November 14, 2017.

SHA – 1
 2013   Seguridad En Redes. https://statusexcessu.wordpress.com/2013/04/18/sha-1/, accessed November 14, 2017.

Ventajas Y Desventajas de TACACS
 N.d.    http://www.ordenador.online/Redes/Seguridad-de-Red/Ventajas-y-desventajas-de-TACACS-.html, accessed November 14, 2017.


Comentarios

Publicar un comentario

Entradas populares de este blog

Practica 1: Packet Tracer - Layer 2 Security

Imagen
Packet Tracer - Layer 2 Security   Topology Objectives ·          Assign the Central switch as the root bridge. ·          Secure spanning-tree parameters to prevent STP manipulation attacks. ·          Enable port security to prevent CAM table overflow attacks. Background / Scenario There have been a number of attacks on the network recently. For this reason, the network administrator has assigned you the task of configuring Layer 2 security. For optimum performance and security, the administrator would like to ensure that the root bridge is the 3560 Central switch. To prevent spanning-tree manipulation attacks, the administrator wants to ensure that the STP parameters are secure. To prevent against CAM table overflow attacks, the network administrator has decided to configure port se...
Leer más

Practica 2: Packet Tracer - Layer 2 VLAN Security

Imagen
Packet Tracer - Layer 2 VLAN Security Topology Objectives ·          Connect a new redundant link between SW-1 and SW-2. ·          Enable trunking and configure security on the new trunk link between SW-1 and SW-2. ·          Create a new management VLAN (VLAN 20) and attach a management PC to that VLAN. ·          Implement an ACL to prevent outside users from accessing the management VLAN. Background / Scenario A company’s network is currently set up using two separate VLANs: VLAN 5 and VLAN 10. In addition, all trunk ports are configured with native VLAN 15. A network administrator wants to add a redundant link between switch SW-1 and SW-2. The link must have trunking enabled and all security requirements should be in place. In addition, the network administrator wants to connect a management PC to...
Leer más

Ataques de capa 2

Imagen
¿Qué son los ataques de capa 2? y ¿Cómo mitigarlos? Antes que nada, es necesario identificar cual es la capa #2.              En la capa 2 del modelo de OSI se encuentran dispositivos como: HUB: Dispositivo que permite centralizar el cableado de una red y poder ampliarla, lo que significa que dicho dispositivo recibe una señal y repite esta señal emitiéndola por sus diferentes puertos. Bridges: Su función es ser un puente, el cual cuenta con dos conexiones a dos redes distintas, cuando el puente recibe una trama en una de sus interfaces, analiza la dirección MAC del emisor y del destinatario, en caso de que un puente no reconociese al emisor, almacena su dirección en una tabla para poder recordar en qué lado de la red se encuentra el emisor. Switches: Se le conoce por ser un componente de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos). Un conmutador interconecta dos o más segmen...
Leer más