Académique Documents
Professionnel Documents
Culture Documents
INFORMACIN
Empresa: LALA
(Ubicada en carretera Chilapa-Zitlala)
SEGUNDO PARCIAL
Equipo:
10 de noviembre de 2017
Contenido
COMPARACIN DE LOS METODOS DE AUTENTICACIN ................................................. 3
Introduccin ....................................................................................................................................... 3
PRERREQUISITOS ......................................................................................................................... 4
Segundo plano de RADIUS ............................................................................................................ 5
Modelo de cliente/servidor .............................................................................................................. 5
Seguridad de redes: ......................................................................................................................... 5
Mecanismo de autenticacin flexible ............................................................................................. 6
Disponibilidad del cdigo del servidor ........................................................................................... 6
Compare TACACS+ y RADIUS ..................................................................................................... 6
UDP y TCP ........................................................................................................................................ 6
Cifrado de Paquetes ........................................................................................................................ 7
Autenticacin y autorizacin ........................................................................................................... 7
Soporte multiprotocolo ..................................................................................................................... 8
Administracin del router................................................................................................................. 8
Interoperabilidad ............................................................................................................................... 8
Trfico................................................................................................................................................. 9
Ejemplo de trfico de TACACS+ .................................................................................................... 9
Ejemplo de Trfico de RADIUS .................................................................................................... 10
Soporte de dispositivo ................................................................................................................... 11
Notas de la tabla ........................................................................................................................... 12
QUE ES RADIUS Y COMO SE PUEDE IMPLEMENTAR? .................................................. 13
NAS................................................................................................................................................... 16
SEGURIDAD EN TECNOLOGAS DE RED INALMBRICA .................................................. 17
Servidor RADIUS para conexiones cableadas o inalmbricas 802.1X.................................. 19
Instalacin y configuracin de los servidores de acceso a la red (clientes RADIUS) . 19
Implementacin de los componentes para los mtodos de autenticacin .................... 21
Configuracin de NPS como servidor RADIUS ................................................................. 22
DESCRIPCIN DE LA IMPLEMENTACIN DE CERTIFICADOS DIGITALES .................. 23
Descripcin de los certificados digitales y la criptografa mediante claves pblicas ........... 23
Descripcin de cmo estn estructurados los certificados digitales ...................................... 24
Certificados digitales e infraestructura de claves pblicas ...................................................... 26
Funcionamiento de la PKI con la seguridad de los mensajes ................................................. 26
Uso conjunto de certificados digitales y la seguridad de los mensajes ................................. 28
Cmo se utilizan los certificados digitales para las firmas digitales ....................................... 28
Cmo se utilizan los certificados digitales para el cifrado de mensajes ................................ 30
Cmo se utilizan los certificados digitales para las firmas digitales y el cifrado de mensajes
........................................................................................................................................................... 31
RADIUS EN CEDIS LALA ............................................................................................................. 34
CARTIFICADOS DIGITALES EN LALA...................................................................................... 34
Introduccin
Muchas funciones fueron incluidas en el protocolo TACACS+ para que cumplan con
las necesidades del mercado de seguridad en continuo crecimiento. El protocolo fue
diseado para que se incremente a medida que aumentan las redes y para que se
adapte a la nueva tecnologa de seguridad segn la evolucin del mercado. La
arquitectura subyacente del protocolo TACACS+ complementa la arquitectura
independiente de autenticacin, autorizacin y contabilidad (AAA).
PRERREQUISITOS
Requisitos
Componentes Utilizados
Convenciones
Para obtener ms informacin sobre las convenciones del documento, consulte
Convenciones de Consejos Tcnicos de Cisco.
Un protocolo con un formato de trama que utiliza el User Datagram Protocol (UDP)
/IP.
Un servidor.
Un cliente.
Modelo de cliente/servidor
Seguridad de redes:
Las transacciones entre el cliente y el servidor RADIUS son autenticadas mediante
el uso de un secreto compartido, que nunca se enva por la red. Adems, cualquier
contrasea de usuario se enva cifrada entre el cliente y el servidor RADIUS. Esto
elimina la posibilidad de que una persona que hace snooping en una red no segura
pueda determinar la contrasea de un usuario.
UDP y TCP
RADIUS utiliza UDP mientras que TACACS+ utiliza TCP. El TCP ofrece varias
ventajas en comparacin con el UDP. TCP ofrece un transporte orientado por
conexin, mientras que UDP ofrece el mejor esfuerzo para entregar. RADIUS
necesita variables programables adicionales tales como los intentos de
retransmisin y tiempos de espera para compensar el transporte de producto de un
esfuerzo razonable, pero carece del nivel de soporte incluido que ofrece un
transporte TCP:
Cifrado de Paquetes
RADIUS slo cifra la contrasea en el paquete de solicitud de acceso, del cliente al
servidor. El resto del paquete no est cifrado. Otra informacin, tal como el nombre
de usuario, los servicios autorizados, y la cuenta, pueden capturarse a travs de
una tercera parte.
TACACS+ cifra todo el cuerpo del paquete pero deja un encabezado estndar de
TACACS+. Dentro del encabezado se encuentra un campo que indica si el cuerpo
se ha cifrado o no. Para facilitar el debugging, resulta til que el cuerpo de los
paquetes no est cifrado. Sin embargo, durante el funcionamiento normal, el cuerpo
del paquete se cifra completamente para lograr comunicaciones ms seguras.
Autenticacin y autorizacin
RADIUS combina autenticacin y autorizacin. Los paquetes access-accept
enviados por el servidor de RADIUS al cliente contienen la informacin de
autorizacin. Esto dificulta la tarea de desacoplar la autenticacin y autorizacin.
TACACS+ usa la arquitectura AAA, la que separa a AAA. Esto permite soluciones
de autenticacin separada que pueden todava usar TACACS+ para autorizacin y
conteo. Por ejemplo, con TACACS+, es posible utilizar la autenticacin de Kerberos
y la autorizacin TACACS+ y el conteo. Despus de que un NAS se autentique en
un servidor de Kerberos, solicita la informacin de autorizacin de un servidor
TACACS+ sin tener que volver a autenticarse. El NAS le informa al servidor
TACACS+ que se ha autenticado de manera exitosa en un servidor Kerberos y luego
el servidor le proporciona informacin de autorizacin.
Durante una sesin, si se requiere una verificacin de autorizacin adicional, el
servidor de acceso verifica con un servidor TACACS+ para determinar si el usuario
tiene permiso para utilizar un comando determinado. Esto permite un mayor control
de los comandos que pueden ejecutarse en el servidor de acceso mientras se
desconecta del mecanismo de autenticacin.
Soporte multiprotocolo
RADIUS no admite estos protocolos:
Interoperabilidad
Trfico
Debido a las diferencias previamente mencionadas entre TACACS+ y RADIUS, la
cantidad de trfico generada entre el cliente y el servidor difiere. Estos ejemplos
ilustran el trfico entre el cliente y el servidor para TACACS+ y RADIUS cuando se
usan para la administracin del router con autenticacin, autorizacin de exec,
autorizacin de comandos (la cual RADIUS no puede llevar a cabo), contabilizacin
de exec y contabilizacin de comandos (la cual RADIUS no puede llevar a cabo).
Cisco IOS
10.33 10.33 10.333 11.1.1 11.1.14 11.1.15
Software2
Cisco Cache
-- -- -- 1.5 1.56 --
Engine
Switches del
2.2 5.4.1 5.4.1 5.1 5.4.14 5.4.15
Cisco Catalyst
Cisco CSS
11000 Content 5.03 5.03 5.03 5.0 5.04 --
Services Switch
Cisco CSS
11500 Content 5.20 5.20 5.20 5.20 5.204 --
Services Switch
Cisco PIX
4.0 4.07 4.28,5 4.0 5.27 4.28,5
Firewall
Cisco Catalyst
1900/2820 8.x empresa9 -- -- -- -- --
switches
Cisco Catalyst
12.0(5)WC511,
2900XL/3500XL 11.2.(8)SA610 11.2.(8)SA610 11.2.(8)SA610 12.0(5)WC511 4 12.0(5)WC511, 5
switches
Concentrador
-- -- -- 5.2X12 5.2X12 5.2X12
Cisco VPN 5000
Notas de la tabla
1. Terminacin slo de clientes inalmbricos, no del trfico de administracin
en otra versin que no sea la del software 12.2(4) JA l posteriores del IOS de
Cisco. En la versin de Cisco IOS Software 12.2. (4)JA o posterior,
autenticacin para la terminacin de clientes inalmbricos y el trfico de
administracin es posible.
2. Verifique el Feature Navigator (ahora obsoleto por el Software Advisor
(clientes registrados solamente)) para conocer el Soporte de la plataforma
dentro de Cisco IOS Software.
3. La contabilidad del comando no se implementa hasta la Cisco IOS Software
Release 11.1.6.3.
4. Ninguna autorizacin de comando.
5. Ninguna contabilidad del comando.
6. Bloqueo de URL solamente, sin trfico administrativo.
7. Autorizacin para el trfico no VPN con PIX.
8. Nota: Versin 5.2 - Soporte de lista de acceso para Atributo especfico del
proveedor (VSA) de RADIUS con Lista de control de acceso (ACL) o
autorizacin TACACS+ para trfico VPN con terminacin de la versin 6.1de
PIX - soporte para autorizacin de atributo ACL RADIUS 11 para trfico VPN
con terminacin en la versin 6.2.2 de PIX - soporte para ACL descargable
con autorizacin RADIUS para trfico VPN con terminacin en la versin 6.2
de PIX - soporte para autorizacin de administracin del trfico PIX a travs
de TACACS+.
9. Contabilidad para el trfico no VPN con el PIX solamente, sin trfico de
administracin.
10. Nota: Versin 5.2 - Soporte para contabilidad de paquetes TCP de cliente
VPN mediante PIX.
11. Enterprise software solamente.
12. Requiere memoria Flash de 8 M para las imgenes.
13. Slo terminacin VPN.
NAS
Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS,
quien a su vez se conecta a un servidor de AAA (tpicamente RADIUS)
preguntando si los credenciales proporcionados por el cliente son vlidos.
Basndose en su respuesta, NAS le permitir acceder o no a este recurso
protegido. El sistema NAS no contiene ninguna informacin sobre los usuarios que
se pueden conectar ni sus credenciales, sino que utiliza esta informacin para
enviarla a RADIUS, y que ste le informe sobre los permisos del cliente.
Una ventaja del uso de RADIUS es que sus clientes tan slo tienen que implementar
el protocolo de comunicacin con RADIUS, y no todas las posibilidades de AAA
existentes (PAP, CHAP, LDAP, kerberos, mySQL, etc.). En el ejemplo del punto de
acceso, tan slo necesitamos implementar una solucin NAS que realice las
consultas a RADIUS.
Otra ventaja del protocolo RADIUS es que, en su comunicacin con NAS, nunca
transmite las contraseas directamente por la red (lo que se conoce como en
cleartext), ni siquiera al usar PAP, sino que usa algoritmos para ocultar las
contraseas como MD5. Sin embargo, al no ser considerado MD5 un sistema de
proteccin de credenciales demasiado seguro, es aconsejable utilizar sistemas
adicionales de proteccin para cifrar el trfico de RADIUS, como puede ser tneles
de IPsec.
WPA (Wi-Fi Protected Access) fue creado para corregir los mltiples
fallos detectados en el protocolo WEP. WPA fue diseado por el
consorcio Wi-Fi Alliance basndose en un borrador del estndar 802.11i
(es un subconjunto del mismo), y utiliza TKIP (Temporal Key Integrity
Protocol) como protocolo de cifrado que sustituye a WEP sin necesidad
de modificar el hardware existente (podra funcionar actualizando el
firmware).
En concreto, WPA sigue usando RC4 como algoritmo de cifrado con
claves de 128 bits, pero usa TKIP para cambiar dinmicamente estas
claves.
WPA fue diseado para ser usado junto a un servidor AAA (habitualmente
RADIUS), de manera que se le asignan claves distintas a cada uno de
los posibles usuarios. Sin embargo, para entornos domsticos o
pequeas oficinas tambin se puede usar, de forma menos segura, con
una nica clave compartida (pre-shared key, PSK). En este caso
hablamos de WPA-PSK.
WPA2 se basa en el nuevo estndar 802.11i, y el cambio ms significativo
respecto a WPA es que usa el protocolo de cifrado AES en lugar de RC4.
Mientras que WAP puede ejecutarse en el hardware que soporte WEP
(tras actualizar el firmware), WAP2 necesita un hardware ms nuevo
(posterior al 2004). Sin embargo, se sabe que WAP tambin terminar
siendo comprometido a medio plazo y por tanto slo se recomienda como
transicin a WAP2.
Importante
Los equipos cliente, como los equipos porttiles inalmbricos u otros equipos con
sistemas operativos cliente, no son clientes de RADIUS. Los clientes de RADIUS
son servidores de acceso a la red, como puntos de acceso inalmbrico,
conmutadores compatibles con 802.1X, servidores de red privada virtual (VPN) y
servidores de acceso telefnico. Esto se debe a que usan el protocolo RADIUS
para comunicarse con los servidores RADIUS, como los Servidores de directivas
de redes (NPS).
En ambos casos, estos servidores de acceso a la red deben cumplir los siguientes
requisitos:
Si usa redes de rea local virtuales (VLAN), los NAS deben admitir VLAN.
Para entornos de red de rea extensa (WAN), los servidores de acceso a la red
deben incluir:
Filtros DHCP. Los NAS deben filtrar por los puertos IP para evitar la
transmisin de los mensajes de difusin del protocolo de configuracin
dinmica de host (DHCP) si el cliente es un servidor DHCP. Los servidores
de acceso a la red deben bloquear el cliente en el envo de paquetes IP del
puerto 68 a la red.
Filtros DNS. Los NAS deben filtrar en puertos IP para evitar que un cliente
acte como servidor DNS. Los NAS deben bloquear el cliente en el envo de
paquetes IP del puerto 53 a la red.
Cuando configura NPS como servidor RADIUS, debe configurar clientes RADIUS,
directivas de redes y cuentas RADIUS.
Para S/MIME, el uso de certificados digitales aporta una solucin a este problema.
Los certificados digitales distinguen S/MIME de muchas de las soluciones de
seguridad de los mensajes de la competencia.
El estndar S/MIME especifica que los certificados digitales utilizados para S/MIME
se atienen al estndar X.509 de la Unin internacional de telecomunicaciones (ITU).
La versin 3 de S/MIME en concreto requiere que los certificados digitales cumplan
con la versin 3 de X.509. Como S/MIME confa en un estndar establecido y
reconocido para la estructura de los certificados digitales, el estndar S/MIME se
basa en el crecimiento de dicho estndar y, por tanto, aumenta su aceptacin.
Serial number Un nmero que identifica de manera nica al certificado y que est
emitido por la entidad emisora de certificados.
Como S/MIME requiere un certificado X.509 v3, esta informacin tambin describe
las caractersticas que S/MIME utiliza para sus certificados especficos.
Aunque los certificados digitales son electrnicos, tenga en cuenta que como estn
normalizados pueden utilizarse en numerosos dispositivos, no slo en equipos
personales. Los certificados digitales pueden utilizarse en dispositivos de mano, en
telfonos mviles y en tarjetas porttiles, llamadas tarjetas inteligentes. Las tarjetas
inteligentes pueden utilizarse en varios dispositivos diferentes y son, en muchos
casos, el uso ideal para los certificados digitales. Las tarjetas inteligentes permiten
que los certificados digitales sean tan porttiles y tan fciles de utilizar como el
permiso de conducir o el pasaporte tradicional.
La estandarizacin de los certificados S/MIME, gracias a las RFC de S/MIME y al
estndar X.509 versin 3, es un elemento clave para el xito de S/MIME, ya que
hace que cualquier aplicacin que se atenga al estndar pueda entender los
certificados digitales.
Debido al tamao y a la complejidad del tema, la PKI queda fuera del mbito de este
libro. La informacin aqu presentada se centra en el funcionamiento conjunto de la
PKI y los certificados digitales con la seguridad de los mensajes. Existen numerosos
recursos excelentes que tratan sobre la PKI. Puede obtener ms informacin acerca
de la PKI en la documentacin del proveedor de su PKI y en otras fuentes
especficas de PKI.
Como la PKI garantiza que los certificados digitales son fidedignos, la PKI forma
parte integral de los certificados digitales. No puede utilizar firmas digitales sin la
PKI. Como Exchange Server 2003 acepta certificados X.509 v3, la PKI especfica
que admita una instalacin de Exchange depender de los certificados digitales
utilizados con Exchange. Sin embargo, desde el punto de vista de la seguridad de
los mensajes, todas las PKI ofrecen estos servicios fundamentales como apoyo a
los certificados digitales. Las diferencias entre las distintas PKI estn relacionadas
con la implementacin y el diseo y son especficas de la implementacin de cada
PKI.
1. Se captura el mensaje.
2. Se calcula el valor de hash del mensaje.
3. Se recupera la clave privada del remitente del certificado digital del remitente.
4. Se cifra el valor de hash con la clave privada del remitente.
5. Se anexa al mensaje el valor de hash cifrado como una firma digital.
6. Se enva el mensaje.
1. Se recibe el mensaje.
2. Se recupera del mensaje la firma digital que contiene el valor de hash cifrado.
3. Se recupera el mensaje.
4. Se calcula el valor de hash del mensaje.
5. Se recupera la clave pblica del remitente del certificado digital del remitente.
6. Se descifra con la clave pblica del remitente el valor de hash cifrado.
7. Se compara el valor de hash descifrado con el valor de hash obtenido en la
recepcin.
8. Si los valores coinciden, el mensaje es vlido.
1. Se captura el mensaje.
2. Se recupera la clave pblica del certificado digital del destinatario.
3. Se genera la clave de sesin simtrica de un nico uso.
4. Se realiza la operacin de cifrado en el mensaje mediante la clave de sesin.
5. Se cifra la clave de sesin mediante la clave pblica del destinatario.
6. Se incluye la clave de sesin cifrada en el mensaje cifrado.
7. Se enva el mensaje.
1. Se recibe el mensaje.
2. Se recuperan del mensaje el mensaje cifrado y la clave de sesin cifrada.
3. Se recupera la clave privada del destinatario del certificado digital del
destinatario.
4. Se descifra la clave de sesin mediante la clave privada del destinatario
obtenida a partir del certificado digital del destinatario.
5. Se descifra el mensaje con la clave de sesin descifrada.
6. Se devuelve el mensaje sin cifrar al destinatario.
CONFIGURACIN Y CONFIGURACIN
OPCIN DESCRIPCIN
Nombre del sufijo Introduzca el ID del nombre que hace que View proporcione
del ID una experiencia True SSO
Una puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexin
segura a la red virtual desde un equipo cliente individual. Las conexiones VPN de
punto a sitio son tiles cuando desea conectarse a la red virtual desde una ubicacin
remota, como desde casa o desde una conferencia. Una VPN P2S tambin es una
solucin til en lugar de una VPN de sitio a sitio cuando hay solo unos pocos clientes
que necesitan conectarse a una red virtual.
Una conexin VPN de punto a sitio se inicia desde dispositivos Windows y Mac. Al
conectarse, los clientes pueden usar los siguientes mtodos de autenticacin:
Servidor RADIUS
Autenticacin mediante certificados nativos de puerta de enlace de VPN