Transcript Punto6.ppt
Punto 6 – Servidores de Acceso Remoto Juan Luis Cano Servidor de acceso remoto (Remote Access Server/Services) es una combinación de hardware y software que permite el acceso remoto a herramientas o información que generalmente residen en una red de dispositivos. La autenticación de clientes de acceso remoto es una cuestión de gran importancia para la seguridad. Los métodos de autenticación normalmente utilizan un protocolo de autenticación que se negocia durante el proceso de establecimiento de la conexión. El protocolo PPP permite establecer una comunicación a nivel de la capa de enlace TCP/IP entre dos computadoras. Generalmente, se utiliza para establecer la conexión a Internet de un particular con su proveedor de acceso a través de un módem telefónico. También es utilizado sobre conexiones de banda ancha (como PPPoE y PPPoA). PPP consta de las siguientes fases: Establecimiento de conexión: Durante esta fase, una computadora contacta con la otra y negocian los parámetros relativos al enlace usando el protocolo LCP, el cual negocia el método de autenticación que se va a utilizar, el tamaño de los datagramas,... Autenticación: No es obligatorio. Existen dos protocolos de autenticación (PAP y CHAP). El más básico e inseguro es PAP, ya que manda el usuario y la contraseña en texto plano, al contrario que CHAP, donde todo va cifrado. Configuración de red: En esta fase se negocian parámetros dependientes del protocolo de red que se esté usando. PPP puede llevar muchos protocolos de red al mismo tiempo y es necesario configurar individualmente cada uno de estos protocolos. Transmisión: Durante esta fase se manda y recibe la información de red. LCP se encarga de comprobar que la línea está activa durante periodos de inactividad. Terminación: La conexión puede ser finalizada en cualquier momento y por cualquier motivo. PPPoE (Point-to-Point Protocol over Ethernet o Protocolo Punto a Punto sobre Ethernet) es un protocolo de red para la encapsulación PPP sobre una capa de Ethernet. Es utilizada mayoritariamente para proveer conexión de banda ancha mediante servicios de cable módem y DSL. Este ofrece las ventajas del protocolo PPP como son la autenticación, cifrado, mantención y compresión. Es un protocolo túnel, que permite implementar una capa IP sobre sobre una conexión entre dos puertos Ethernet, pero con las características de software del protocolo PPP. Por esto, es utilizado para virtualmente "marcar" a otra máquina dentro de la red Ethernet, logrando una conexión "serial" con ella, con la que se pueden transferir paquetes IP. El protocolo PPPoA es el Protocolo de Punto a Punto (PPP) sobre ATM . Es utilizado para realizar la encapsulación PPP en capas ATM AAL5. El protocolo PPPoA se utiliza principalmente en conexiones de banda ancha, como cable y DSL. Este ofrece las principales funciones PPP como autenticación, cifrado y compresión de datos. Actualmente tiene alguna ventaja sobre PPPoE debido a que reduce la pérdida de calidad en las transmisiones. Al igual que PPPoE, PPPoA puede usarse en los modos VC-MUX y LLC. PPP puede utilizar un sistema de autenticación mediante usuario y contraseña, de tal forma que aumenta en gran medida la seguridad entre las conexiones seriales de los routers. Hay dos tipos de autenticación utilizados por PPP, PAP y CHAP. La autenticación PAP es utilizada por muchos proveedores de Internet (ISP), funciona básicamente de la misma forma que el procedimiento normal de registro. El cliente se autentifica a sí mismo enviando un nombre de usuario y una contraseña (opcionalmente encriptada) al servidor, la cual es comparada por el servidor con su base de datos de claves o secrets. Esta técnica es vulnerable a los intrusos que pueden intentar obtener la contraseña escuchando en una línea serie y a otros que hagan sucesivos intentos de ataque por el método de prueba y error. En la autenticación CHAP, por el contrario, el autentificador envía una cadena de “reto” generada aleatoriamente al cliente, junto a su nombre de ordenador. El cliente utiliza el nombre del ordenador para buscar la clave apropiada, la combina con el reto, y encripta la cadena utilizando una función de codificación de un solo sentido. El resultado es devuelto al servidor junto con el nombre del ordenador cliente. El servidor realiza ahora la misma computación, y advierte al cliente si obtiene el mismo resultado. De esta manera, CHAP garantiza la autenticación empleando mayor seguridad que en PAP. Extensible Authentication Protocol (EAP) es una autenticación framework usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas. Recientemente los estándares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticación. 1. El servidor de autenticación envía un Request (Solicitud) de Autenticación al cliente, el mensaje de Request tiene un campo de Tipo, en el cual el cliente debe responder que es lo que está solicitando. 2. El cliente envía un paquete Response (Respuesta) al servidor. Al igual que en el paquete Request, el paquete Response contiene un campo de Tipo, el cual corresponde al campo de Tipo en el paquete de Request. 3. El servidor de autenticación envía un paquete Request adicional al cual el cliente envía un Response. El servidor es responsable de transmitir las solicitudes de retrasmisión. Después de un número de retransmisiones, el Servidor PUEDE terminar la conversación EAP. El servidor no puede enviar un paquete de Success o Failure cuando se retransmite o cuando falla en recibir una respuesta a dichos paquetes por parte del cliente. 4. La conversación continúa hasta que el servidor no puede autenticar al cliente, y en dicho caso el servidor transmite un mensaje de Failure. Como alternativa, la conversación de autenticación puede continuar hasta que el servidor determina que se ha cumplido con una autenticación satisfactoriamente. En ese caso el servidor envía un paquete de Success. Es una estructura de soporte, no un mecanismo específico de autenticación. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticación escogidos. Estos mecanismos son llamados métodos EAP, de los cuales se conocen actualmente unos 40. Los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, y EAPAKA. Es un método de autenticación en dos fases. La primera establece una sesión de TLS con el servidor y permite que el cliente lleve a cabo la autenticación del mismo mediante el certificado digital del servidor. La segunda fase requiere un segundo método de EAP de túnel dentro de la sesión PEAP para llevar a cabo la autenticación del cliente con el servidor RADIUS. Esto ofrece a PEAP la posibilidad de utilizar métodos de autenticación de clientes diferentes, como contraseñas con la versión 2 del protocolo MS-CHAP (MS – CHAP v2) y certificados que usan EAP-TLS de túnel dentro de PEAP. Los métodos de EAP como MS-CHAP v2 no son lo suficientemente seguros como para usarse sin protección PEAP, pues quedarían susceptibles a ataques de diccionario sin conexión. Kerberos es un protocolo de autenticación de redes de ordenador creado por el MIT que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza. Además, existen extensiones del protocolo para poder utilizar criptografía de clave asimétrica. El acrónimo AAA corresponde a un tipo de protocolos que realizan tres funciones: Autenticación, Autorización y Contabilización (Authentication, Authorization and Accounting). AAA se combina a veces con auditoria, convirtiéndose entonces en AAAA. Autenticación: La Autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc.) y la segunda un servidor (ordenador). La Autenticación se consigue mediante la presentación de una propuesta de identidad y la demostración de estar en posesión de las credenciales que permiten comprobarla. Autorización: La Autorización se refiere a la concesión de privilegios específicos a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Contabilización: La Contabilización (Accounting) se refiere al seguimiento del consumo de los recursos de red por los usuarios. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. Algunos de los protocolos en los que se implementa la Triple A son: ◦ ◦ ◦ ◦ RADIUS DIAMETER TACACS TACACS+ Otros protocolos utilizados en combinación con los protocolos AAA: ◦ PPP ◦ EAP ◦ LDAP RADIUS (Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones. Cuando se realiza la conexión con un ISP mediante módem, DSL, cable módem, Ethernet o Wifi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asignan determinados parámetros como una dirección IP, L2TP, etc. Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos. TACACS+ (Terminal Access Controller Access Control System o ‘sistema de control de acceso del controlador de acceso a terminales’) es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados de autenticación, autorización y registro) a servidores y dispositivos de comunicaciones. TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS. El cliente del protocolo AAA deberá tener la misma configuración que la que viene dada por el servidor para poder conectarse a la red inalámbrica. Dependiendo de la configuración del servidor, se utilizarán protocolos como EAP, LEAP o PEAP.