Protocolo AAA

Autenticación 

La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). 

La Autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla. 

          Ejemplos posibles de estas credenciales son:

las contraseñas.
los testigos de un sólo uso (one-time tokens). 
los Certificados Digitales.
los números de teléfono en la identificación de llamadas. 

Autorización 

Autorización se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. 

          Ejemplos de tipos de servicio son, pero sin estar limitado a: 

filtrado de direcciones IP, 
asignación de direcciones, 
asignación de rutas,
asignación de parámetros de Calidad de Servicio, 
asignación de Ancho de banda, y 
Cifrado.

Contabilización 

La contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. 

En contraposición la contabilización por lotes (en inglés batch accounting) consiste en la grabación de los datos de consumo para su entrega en algún momento posterior. 

La información típica que un proceso de contabilización registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenzó a usarlo, y cuando terminó.

Estándares

RADIUS: (Remote Authentication Dial-In User Service). 

Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.

Fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se publicó como RFC 213 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administración centralizada y pueden reescribir paquetes RADIUS al vuelo.

       Especificación:

Cuando se realiza la conexión conun ISP mediante módem,DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc.

       Características:

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

TACACS (Terminal Access Controller Access Control System) 

Es un protocolo de autenticación remota.

Especificación:

propiedad de cisco, que se usa para comunicarse con un servidor de autenticación comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene acceso a la red. TACACS está documentado en el RFC 1492.

      TACACS+ (Terminal Access Controller Access Control System) 

       Es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona              servicios separados de autenticación, autorización y registro) a servidores y dispositivos de                    comunicaciones.

       TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente        nuevo e incompatible con las versiones anteriores de TACACS.

KERBEROS:

Single sign-on (SSO) 

Es un procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación.

      Hay cinco tipos principales de SSO, también se les llama reduced sign on systems.

• Enterprise single sign-on (E-SSO), también llamado legacy single sign-on, funciona para una autenticación primaria, interceptando los requisitos de login presentados por las aplicaciones secundarias para completar los mismos con el usuario y contraseña. Los sistemas E-SSO permiten interactuar con sistemas que pueden deshabilitar la presentación de la pantalla de login.

• Web single sign-on (Web-SSO), también llamado Web access management (Web-AM) trabaja sólo con aplicaciones y recursos accedidos vía web. El objetivo es permitir autenticar a los usuarios en diversas aplicaciones, sin necesidad de volver a autenticar. Los accesos son interceptados con la ayuda de un servidor proxy o de un componente instalado en el servidor web o en la aplicación web destino. Los usuarios no autenticados que tratan de acceder son redirigidos a un servidor o servicio web de autenticación y regresan solo después de haber logrado un acceso exitoso o con un TOKEN de autencación para la aplicación destino. Se utilizan cookies, parámetros por GET (más inseguro) o POST para reconocer aquellos usuarios que acceden y su estado de autenticación.

• Kerberos es un método popular de externalizar la autenticación de los usuarios. Los usuarios se registran en el servidor Kerberos y reciben un "ticket", luego las aplicaciones-cliente lo presentan para obtener acceso.

• Identidad federada es una nueva manera de concebir este tema, también para aplicaciones Web. Utiliza protocolos basados en estándares para habilitar que las aplicaciones puedan identificar los clientes sin necesidad de autenticación redundante.

• OpenID es un proceso de SSO distribuido y descentralizado donde la identidad se compila en una url que cualquier aplicación o servidor puede verificar.

Martin Edward Hellman

Aportes:

• Hellman es famoso por ser el inventor junto a Diffie de la criptografía de clave pública junto con Ralph Merkle. Ambos publicaron en 1976 New Directions in Criptografhy que introducía un cambio radical, un nuevo método de distribución de claves que solucionó uno de los mayores problemas de la criptografía hasta entonces, la distribución de claves.

• En su última visita a España en el año 2007 aseguró que la criptografía cuántica está aún en estado embrionario y hasta dentro de 30 años no se verán sus primeras aplicaciones prácticas, que romperán con facilidad los actuales sistemas de cifrado.

•  La Criptografía Cuántica se encargará de que su descifrado sea un juego de niños, susceptible de caer en manos de terroristas o criminales, para Hellman la mejor forma de que la información este segura es que no exista, que no se guarden los datos.

Lo que ha hecho:

• Estudió en el Instituto de Ciencias del Bronx y obtuvo su título en Ingeniería Eléctrica por la Universidad de Nueva York en 1966. 

• Realizó un Master PostGrado en la Universidad de Stanford. 

• Uno de sus primeros empleos fue en IBM. 

• Ha sido profesor en MIT(Instituto Tecnológico de Massachusetts).

• Stanford donde ha sido nombrado profesor emérito en 1996.

Whitfield Diffie

Aportes:

• Es un criptografo y un pionero en la Criptografia asimetrica.

• En 1965 se graduó  en matematicas en el IT de Massachusetts.

• En 1976 publicó junto a Martin Hellman, que presentaba un nuevo método de distribución de claves criptográficas para solucionar uno de los problemas fundamentales de la criptografía: la distribución de la clave. Dicha publicación trataba de un protocolo criptografico, que despues se dio a conocer como el protocolo de Diffie-Hellman.

Lo que Ha hecho:

• Diffie fue gerente de investigación en sistemas de seguridad para la Northern Telecom, donde diseñó la arquitectura de gestión de claves para el sistema de seguridad PDSO para redes x.25.

• En 1991 se incorporó a Sun Microsistems Laboratories, como ingeniero distinguido y trabajó principalmente en los aspectos de política pública de la criptografía. En mayo de 2007 Diffie ascendió a jefe oficial de seguridad y vicepresidente de Sun Microsistems.

• En 1992 le fue otorgado el doctorado honoris causa en Technical Sciences por laEscuela Politecnica de Zurich.

• En 1998 se publicó el libro de Diffie y Susan Landau (Privacidad En Linea) que trata sobre la política de las escuchas telefónicas y la criptografía. En 2007 se publicó una versión actualizada y ampliada.

Historia de la Criptografía

La Criptografía nace debido a que el hombre a lo largo del tiempo se ha visto en la necesidad de comunicar información confidencial a otras personas ya sea por cualquier motivo, en donde mantener la información en secreto es la pauta para conservar la integridad de un individuo o en ocasiones de una comunidad completa.

Una de las primeras formas utilizadas para ocultar la información son:

1. una técnica que consistía en realizar orificios sobre las letras del mensaje secreto para pasar sobre ellos un tipo de tejido que servía para ocultar dicho mensaje.
2. los comerciantes asirios utilizaban tablillas de arcilla en donde tallaban escritos y algunas imágenes que establecían la forma de llevar a cabo sus transacciones comerciales.
3. los griegos crearon un instrumento para cifrar mensajes. Dicho instrumento es conocido como Scítala de los Lacedemonios y consistía en un cilindro de madera en el cual se enrrollaba una cinta de papiro o tela. 
4. Los hebreos utilizaban un alfabeto al revés (como ejemplo está el Libro de Jeremías), es decir cuando querían escribir la primera letra del alfabeto escribían la última y cuando querían escribir la última utilizaban la primera y así sucesivamente con todo el alfabeto, a esta forma de escribir se le llama código espejo o Atbash.
5. Cifrado atribuido al historiador griego Polybios, este procedimiento de cifrado consistía en la sustitución de un carácter por un par de caracteres que le correspondían según una tabla que se diseñaba con este propósito. En el siguiente capítulo (Técnicas clásicas de cifrado) se explica a detalle este método.
6. Cifrador del César, debido a que era usado por el militar y político romano Julio César. Este método consistía en sustituir cada carácter del mensaje original por otro situado tres posiciones después de él en un determinado alfabeto.