Protocolo AAA

Autenticación 

La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). 

La Autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla. 

          Ejemplos posibles de estas credenciales son:

las contraseñas.
los testigos de un sólo uso (one-time tokens). 
los Certificados Digitales.
los números de teléfono en la identificación de llamadas. 

Autorización 

Autorización se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. 

          Ejemplos de tipos de servicio son, pero sin estar limitado a: 

filtrado de direcciones IP, 
asignación de direcciones, 
asignación de rutas,
asignación de parámetros de Calidad de Servicio, 
asignación de Ancho de banda, y 
Cifrado.

Contabilización 

La contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. 

En contraposición la contabilización por lotes (en inglés batch accounting) consiste en la grabación de los datos de consumo para su entrega en algún momento posterior. 

La información típica que un proceso de contabilización registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenzó a usarlo, y cuando terminó.

Estándares

RADIUS: (Remote Authentication Dial-In User Service). 

Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.

Fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se publicó como RFC 213 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administración centralizada y pueden reescribir paquetes RADIUS al vuelo.

       Especificación:

Cuando se realiza la conexión conun ISP mediante módem,DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc.

       Características:

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

TACACS (Terminal Access Controller Access Control System) 

Es un protocolo de autenticación remota.

Especificación:

propiedad de cisco, que se usa para comunicarse con un servidor de autenticación comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene acceso a la red. TACACS está documentado en el RFC 1492.

      TACACS+ (Terminal Access Controller Access Control System) 

       Es un protocolo de autenticación remota que se usa para gestionar el acceso (proporciona              servicios separados de autenticación, autorización y registro) a servidores y dispositivos de                    comunicaciones.

       TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente        nuevo e incompatible con las versiones anteriores de TACACS.

KERBEROS:

Single sign-on (SSO) 

Es un procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación.

      Hay cinco tipos principales de SSO, también se les llama reduced sign on systems.

• Enterprise single sign-on (E-SSO), también llamado legacy single sign-on, funciona para una autenticación primaria, interceptando los requisitos de login presentados por las aplicaciones secundarias para completar los mismos con el usuario y contraseña. Los sistemas E-SSO permiten interactuar con sistemas que pueden deshabilitar la presentación de la pantalla de login.

• Web single sign-on (Web-SSO), también llamado Web access management (Web-AM) trabaja sólo con aplicaciones y recursos accedidos vía web. El objetivo es permitir autenticar a los usuarios en diversas aplicaciones, sin necesidad de volver a autenticar. Los accesos son interceptados con la ayuda de un servidor proxy o de un componente instalado en el servidor web o en la aplicación web destino. Los usuarios no autenticados que tratan de acceder son redirigidos a un servidor o servicio web de autenticación y regresan solo después de haber logrado un acceso exitoso o con un TOKEN de autencación para la aplicación destino. Se utilizan cookies, parámetros por GET (más inseguro) o POST para reconocer aquellos usuarios que acceden y su estado de autenticación.

• Kerberos es un método popular de externalizar la autenticación de los usuarios. Los usuarios se registran en el servidor Kerberos y reciben un "ticket", luego las aplicaciones-cliente lo presentan para obtener acceso.

• Identidad federada es una nueva manera de concebir este tema, también para aplicaciones Web. Utiliza protocolos basados en estándares para habilitar que las aplicaciones puedan identificar los clientes sin necesidad de autenticación redundante.

• OpenID es un proceso de SSO distribuido y descentralizado donde la identidad se compila en una url que cualquier aplicación o servidor puede verificar.