Académique Documents
Professionnel Documents
Culture Documents
Nombre y
Texto cifrado
Desafo
KERBEROS
Protocolo diseado para proveer autenticacin sobre un canal inseguro, desarrollado por el MIT.
Utiliza criptografa simtrica y requiere de un tercero confiable (con quien todas las partes
involucradas comparten un secreto).
Provee autenticacin mutua, y los mensajes empleados por el protocolo se encuentran
protegidos contra ataques de replay y de eavesdropping
Sntesis del protocolo de comunicacin
a. Solicitud de un ticket de acceso
b. Ticket + clave de sesin
c. Solicitud de un ticket de acceso al servicio
d. Ticket + clave de sesin
e. Solicitud de servicio
f.
KERVEROS
2
a
Servidor de
autentificacin
b
Servidor de ticketgranting
3
5
f
Uno por sesin
de servicio
PROTOCOLOS DE AUTENTICACIN
PROTOCOLO DE AUTENTICACIN DE CONTRASEA (PAP, PASSWORD AUTHENTICATION
PROTOCOL).
El PAP es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea
se envan al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar
PAP, ya que las contraseas pueden leerse fcilmente a partir de los paquetes de PPP
intercambiados durante el proceso de autenticacin. PAP suele utilizarse nicamente al
conectarse a servidores de acceso remoto antiguos basados en UNIX que no admiten otros
mtodos de autenticacin.
EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques fsicos o
de diccionario, y de investigacin de contraseas, que otros mtodos de autenticacin basados en
contrasea, como CHAP o MS-CHAP.
Existen dos tipos de EAP:
EAP-MD5
EAP-TLS
EAP-MD5 es un protocolo de autenticacin que es semejante en su funcionamiento a CHAP
EAP-TLS es utilizado para autenticacin basada en certificados de usuario. Se trata de un mtodo
de autenticacin mutua, lo que significa que tanto el cliente como el servidor deben demostrar sus
identidades uno a otro. Durante el intercambio EAP-TLS, el cliente de acceso remoto enva su
certificado de usuario y el servidor de acceso remoto enva su certificado de equipo. Si el
certificado no se enva o no es vlido, se termina la conexin
PPTP
PPP
PPTP nos permite separar las funciones de un NAS utilizando una arquitectura cliente-servidor,
estas funciones se dividen entre el PAC y el PNS
NAS
PAC
Estructura de PPTP
PAC
Dispositivo conectado a una o ms lneas PSTN o ISDN con la capacidad de operar con PPP y
manejo del protocolo PPTP. El PAC solo necesita implementar TCP/IP para el paso del trfico hacia
una o ms PNS. Tambin puede trabajar con tneles en protocolos no IP.
PNS
Un PNS est preparado para operar en un servidor de propsito general. El PNS maneja del lado
del servidor el protocolo PPTP. Como el PPTP cuenta con TCP/IP y es independiente de la interfaz
de hardware utilizada, el PNS puede utilizar cualquier combinacin de interfaces IP incluyendo
perifricos de LAN y WAN. La conexin con el servidor de VPN se puede realizar por medio de un
Protocolo de servicio de internet (ISP) o bien una red con soporte TCP/IP las funciones bsicas son
las siguientes:
Un Protocolo de control de conexin (LCP) que se encarga de establecer, configurar y
testear la conexin.
cabecera de ocho octetos fija. Dicha cabecera contiene la longitud total del mensaje, el indicador
del tipo de mensaje PPTP y una constante conocida como Magic Cookie. La Magic Cookie es
siempre enviada como la constante 0x1A2B3C4D. Su propsito es permitirle al receptor
asegurarse de que est sincronizado adecuadamente con el flujo de datos TCP
Los mensajes utilizados para mantener el control de las conexiones PPTP se muestran en la tabla
1.
Cdigo Nombre
Start-Control-Connection-Request
2.
Start-Control-Connection-Reply
3.
Stop-Control-Connection-Request
4.
Stop-Control-Connection-Reply
5.
Echo-Request
6.
Echo-Reply
7.
Outgoing-Call-Request
8.
Outgoing-Call-Reply
9.
Incoming-Call-Request
10.
Incoming-Call-Reply
11.
Incoming-Call-Connected
12.
Call-Clear-Request
13.
Call-Disconnect-Notify
Descripcin
Inicia el establecimiento de la sesin PPTP
Es la respuesta al mensaje 1. Contiene un
cdigo resultante que indica el xito o el
fracaso del establecimiento de la sesin as
como el nmero de la versin del protocolo
Es una peticin para cerrar el conexin de
control
Es la respuesta al mensaje 3. Contiene el
cdigo resultante que indica el xito o
fracaso del cierre de la conexin
Enviado peridicamente tanto por el
cliente como por el servidor para mantener
activa la conexin
Es la respuesta al mensaje 5 para indicar
que la conexin sigue activa
Es una peticin enviada por el cliente para
crear un tnel
Es la respuesta al mensaje 7, la cual
contiene un identificador nico para ese
tnel
Es una peticin del cliente para recibir una
llamada entrante por parte del servidor
Es la respuesta al mensaje 9. Esta indica si
la llamada entrante debera ser contestada
Es la respuesta al mensaje 10. Provee
parmetros de llamada adicionales al
servidor
Es una peticin para desconectar o una
llamada entrante
o saliente, enviada del servidor al cliente
Es una respuesta al mensaje 12 para indicar
que se realizar la desconexin y las
razones para hacerlo
14.
WAN-Error-Notify
15.
Set-Link-Info
CDIGOS DE ERROR. Los cdigos de error determinan si ocurri un error en la conexin PPTP. En
la tabla se muestra cules pueden ser estos errores
Cdigo
0
1
Nombre
None
Not-connected
Descripcin
No hay error
Todava no existe un conexin de control para
este par PAC-PNS
Bad-Format
Bad-Value
No-Resource
Bad-Call-ID
PAC-Error
TNELES EN PPTP
PPTP requiere del establecimiento de un tnel para la comunicacin entre una pareja PAC-PNS.
Los datos de usuario que transporta PPTP son tramas PPP, las cuales son encapsuladas utilizando
GRE. El tnel es utilizado para transportar todas las tramas PPP que pertenecen a una sesin entre
una pareja PAC-PNS. Una clave presente en la cabecera GRE indica a cual sesin pertenece una
determinada trama PPP. De esta manera, Las tramas PPP son transportadas por rutas distintas
pero dentro de un nico tnel. El proceso de ensamblado de un paquete PPTP al momento de ser
transmitido se muestra en la figura.
Como se puede observar en la figura, el cliente crea los datos a enviar a los cuales se les asigna
una direccin IP privada. Posteriormente, el software PPTP utiliza la cabecera GRE mejorada para
permitir el transporte de la cabecera PPP privada y adems encapsular el paquete dentro de otra
cabecera IP la cual es pblica. Finalmente, el controlador PPP aade la cabecera PPP pblica la cual
permitir al paquete viajar al otro extremo del tnel. Tratndose de una VPN, la informacin debe
ser cifrada para evitar que sea utilizada por usuarios no autorizados