AAA Flashcards
TACACS
TACACS (Terminal Access Controller Access-Control System) - 1984:
Creado para red DARPA. Autenticación centralizada para el acceso a la red
Opera en TCP o UDP.
TACACS+
TACACS+ - 1993:
Mayor granularidad sobre la autorización y separa autenticación de autorización y accounting.(Se separa las 3 AAA)
Típicamente usado en redes grandes de empresas, especialmente para gestionar acceso administrativo a dispositivos de la red.
Usa TCP, siendo más seguro y confiable que RADIUS y permite la full packet encryption.
RADIUS
RADIUS (Remote Authentication Dial-In User Service) - 1991:
Autenticación, autorización y accounting centralizado.
Se usa comúnmente en redes wireless, VPNs y en otros entornos red para autenticación y registro (tracking).
Extensible para que los proveedores puedan implementar sus propios Vendor-Specific Attributes (VSAs)
Opera en UDP o TCP en el puerto 1812
Autenticación y autorización: el usuario envía credenciales al NAS (Network Access Server), este solicita al servidor RADIUS, que responde con Access Reject, Access Challenge (manda un mensaje al cliente, si este no sabe cómo responder, lo rechaza) o Access Accept (incluyendo atributos de autorización como IP, tiempo máximo, QoS, etc.).
Accounting: el NAS envía Accounting Start al servidor RADIUS, luego envía actualizaciones periódicas (Interim Update), y al finalizar envía Accounting Stop.
Roaming: Eduroam usa RADIUS para el roaming de usuarios mediante realms, que pueden ser prefijos (mondragon\usuario), sufijos (usuario@mondragon) o ambos (mondragon\igaritano@eps)
Seguridad: RADIUS ofusca contraseñas con un secreto compartido y MD5. Se recomienda protección adicional entre el NAS y los servidores RADIUS.
Diameter
Diameter - 1998:
Protocolo evolucionado de RADIUS diseñado para soportar necesidades más complejas en la autenticación y autorización.
Soporta servicios más robustos como redes móviles y comunicación basada en IPs.
Opera en TCP o Stream Control Transmission Protocol (SCTP), proporcionando mayor seguridad y fiabilidad que su predecesor.
No es compatible con versiones anteriores.
No usa encriptación.
Se puede proteger mediante TLS o IPSec.
tabla protocolos: tipo de AAA / Comunicxaciones (tcp/udp…) / RED
AAA Comunicaciones Red
TACACS centralizada TCP/UDP DARPA
TACACS+ descentralizada TCP Grandes redes
RADIUS centralizada TCP/UDP Wireless
DIAMETER centralizada TCP/SCTP Redes móviles o basados en IPs
PAP
PAP (Password Authentication Protocol): Protocolo antiguo basado en usuario y contraseña; envía credenciales en claro y repetidamente, siendo vulnerable a espionaje y ataques MITM.
CHAP
CHAP (Challenge-Handshake Authentication Protocol): Basado en desafíos aleatorios, el secreto nunca se envía. El cliente envía usuario y hash MD5 (contraseña + desafío), y el servidor válida comparando su propio hash.
MS-CHAP
MS-CHAP (CHAP de Microsoft): Versión de CHAP de Microsoft con dos variantes, MS-CHAPv1 y MS-CHAPv2; no requiere conocer la contraseña en texto plano, pero ambas han sido vulneradas.
EAP
EAP (Extensible Authentication Protocol): Es un framework, no un protocolo. Solo define el formato de los mensajes.
Kerberos
Kerberos: Basado en tickets. El principal beneficio es que permite probar la identidad sobre redes no seguras de manera segura. El servidor y el cliente se verifican el uno al otro. Da protección contra Eavesdropping y replay attacks.
IEEE 802.1X Que es?
Estándar para el control de acceso en redes, diseñado para proporcionar un framework de autenticación para dispositivos que intentan conectarse a la red.
Su propósito principal es asegurar que sólo los dispositivos autorizados o usuarios puedan acceder a la red, tanto con Ethernet como con WLAN.
Autenticación: se asegura que solo pueden conectarse a la red usuarios y dispositivos legitimos a través de un sistema centralizado (comúnmente usa el protocolo EAP)
Autorización: se asegura de dar el nivel de acceso apropiado de acuerdo a las politicas de la red.
Network Access Control: controla el acceso a la red bloqueando el tráfico de dispositivos no autorizados hasta que se autentican.
EAPOL (Extensible Authentication Protocol Over LAN): protocolo que se utiliza para facilitar la comunicación entre el supplicant (dispositivo que intenta conectarse a la red) y el autenticador (switch o access point)
Actores IEEE 802.1X
Como se muestra en la figura hay tres actores:
Supplicant
El dispositivo intentando acceder a la red
Inicia el proceso de autenticación enviado mensajes al autenticador
Authenticator
El switch o punto de acceso
Envía los mensajes encapsulandos en paquetes radius del supplicant al servidor autenticator, bloqueando el acceso a internet primero.
Authenticator Server
Normalmente el servidor RADIUS
Decider si permitir o denegar el acceso.
Dolos cloak
Dolos Cloak: herramienta basada en python para evitar las soluciones de access control a la red IEEE 802.1X . Funciona haciendo spoofing de las direcciones MAC e IP del dispositivo víctima para mezclarse en el tráfico de red y eludir el proceso de autenticación 802.1X sin interrumpir el acceso a la red de la víctima. Usa iptables, arptables y estables para realizar las NAT necesarias.
