Professional Documents
Culture Documents
1.
INTRODUCCION
2.
MTODOS DE AUTENTICACIN
3.
CONTROL DE ACCESO
4.
SERVICIOS AAA
5.
ALGORITMOS
28
6.
CERTIFICADO DIGITAL
32
7.
CONCLUSION
38
8.
BIBLIOGRAFIA
39
1. INTRODUCCION
ESTE proyecto consiste en el anlisis, diseo e implementacin de una
arquitectura de conexin y seguridad denominada AAA. Para que AAA funcione
necesita configurar un protocolo base, el cual puede ser TACACS+ o RADIUS.
TACACS+ es un protocolo patentado por CISCO, por lo cual requiere: que todos
los equipos sena CISCO y pagar el precio que exigen para permitir la utilizacin de
este protocolo.
RADIUS es de libre uso y no tiene ninguna limitante con respecto al fabricante de
los equipos donde se vaya a instalar.
AAA
El estndar AAA (RFC 2903) proporciona un marco arquitectnico para configurar
un sistema de seguridad de red, con tres funciones independientes y bien
definidas: Autenticacin, Autorizacin y Auditoria.
De manera genrica podemos decir que un servicio AAA debe ser capaz de
autenticar a los usuarios, dar una respuesta correcta a las solicitudes de
autorizacin de los mismos as como de recolectar datos que permitan hacer una
auditoria sobre los recursos a los que se ha tenido acceso.
Para un proveedor de servicios es necesario el uso de uno o varios servidores que
cumplan con estas caractersticas, para situarse como punto intermedio entre una
aplicacin (especficamente el mdulo que se encarga de autorizar los accesos) y
los posibles usuarios.
Autenticacin
Provee el mtodo para identificar a los usuarios (usuario y contrasea, reto y
repuesta, etc.) y, dependiendo del protocolo de seguridad seleccionado, el mtodo
de encriptacin a utilizar.
Es decir, autenticacin es el servicio a travs del cual se identifica a un usuario
antes de determinar a qu servicios de red o aplicaciones tiene acceso.
Autorizacin
El servicio de autorizacin se refiere a la concesin de acceso a determinadas
aplicaciones o servicios de red para un usuario, basndose en su autenticacin.
La autorizacin tambin puede estar basada en restricciones, por ejemplo: de
tiempo, de ubicacin fsica, nmero de accesos con un mismo usuario, etc.
Este servicio trabaja ensamblando una serie de atributos que describen que es lo
que el usuario tiene permitido o no. Para conocer los atributos de cada usuario, se
genera una consulta a una base de datos especfica donde el resultado es
reenviado al servicio AAA. Esta base de datos puede estar localizada localmente
en el dispositivo de acceso a la red (Access Server, enrutador) o puede estar
ubicada en un servidor remoto.
Protocolos AAA
Los protocolos AAA ms utilizados para proporcionar acceso a una red desde un
sitio remoto son:
2. MTODOS DE AUTENTICACIN
Los mtodos de autenticacin estn en funcin de lo que utilizan para la
verificacin y estos se dividen en tres categoras:
Sistemas basados en algo conocido. Ejemplo, un password (Unix) o
passphrase (PGP).
Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una
tarjeta, inteligente(smartcard), dispositivo usb tipo epass token, smartcard o
dongle criptogrfico.
Sistemas basados en una caracterstica fsica del usuario o un acto
involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de
huellas, de patrones oculares.
CARACTERSTICAS DE AUTENTICACIN
Cualquier
sistema
de
identificacin
ha
de
poseer
unas
determinadas
3. CONTROL DE ACCESO
Un ejemplo familiar es el control de acceso. Un sistema informtico supuesto para
ser utilizado solamente por aquellos autorizados, debe procurar detectar y excluir
el desautorizado. El acceso a l por lo tanto es controlado generalmente
insistiendo en un procedimiento de la autentificacin para establecer con un cierto
grado establecido de confianza la identidad del usuario, por lo tanto concediendo
esos privilegios como puede ser autorizado a esa identidad. Los ejemplos
comunes del control de acceso que implican la autenticacin incluyen:
Retirar de dinero de un cajero automtico.
Control de un computador remoto sin Internet.
Uso de un sistema Internet banking.
Sin embargo, observar que mucha de la discusin sobre estos asuntos es
engaosa porque los trminos se utilizan sin la precisin. Parte de esta confusin
puede ser debido al tono de la aplicacin de ley de mucha de la discusin.
Ninguna computadora, programa de computadora, o poder del usuario de la
computadora confirman la identidad de otro partido. No es posible establece o
probar una identidad, cualquiera. Hay ediciones difciles que estn al acecho
debajo de qu aparece ser una superficie directa.
Es solamente posible aplicar una o ms pruebas que, si estn pasadas, se han
declarado previamente para ser suficientes proceder. El problema es determinarse
qu pruebas son suficientes, y muchos tales son inadecuadas. Tienen sido
muchos casos de tales pruebas que son spoofed con xito; tienen por su falta
demostrada, ineludible, ser inadecuadas. Mucha gente contina mirando las
pruebas -- y la decisin para mirar xito en pasar -como aceptable, y para culpar
4. SERVICIOS AAA
AAA es una arquitectura de sistema, la cual sirve para configurar un conjunto de
tres funciones de seguridad (Authentication, Authorization and Accountig, por sus
siglas en ingles) de una forma coherente. AAA ofrece una forma modular de
proveer los siguientes servicios:
Autenticacin: Proporciona el mtodo de identificacin de usuarios, incluyendo
nombre de usuario y contrasea, desafo y respuesta, soporte de mensajera, y,
segn el protocolo de seguridad que seleccione, puede ofrecer cifrado.
La autenticacin es la forma en que un usuario se identifica antes de poder
acceder a la red y los servicios que esta ofrece. Configurar la autenticacin AAA
mediante la definicin de una lista llamada mtodos de autenticacin, y luego
aplicando esa lista a varias interfaces. En la lista de mtodos se definen los tipos
de autenticacin a realizar y la secuencia en la que se llevar a cabo, esto debe
ser aplicado a una interfaz especfica antes de que cualquiera de los mtodos de
autenticacin definidos se utilicen. La nica excepcin es la lista mtodo por
defecto (que se denomina "default"). La lista mtodo por defecto es aplica
automticamente a todas las interfaces si ninguna lista de otro mtodo est
definida. Una lista de mtodo definida reemplaza automticamente la lista de
mtodo por defecto. Todos los mtodos de autenticacin, excepto local, line de
contrasea y habilitacin de la autenticacin, deben ser definidas a travs de AAA.
Autorizacin: Provee el mtodo de control de acceso remoto, incluyendo
autorizacin total o autorizacin para cada servicio, lista de cuentas y perfil por
usuario, soporte para grupos de usuarios, y soporte para IP, IPX, ARA y Telnet.
AAA Autorizacin trabaja agrupando un grupo de atributos que describen lo que el
usuario est habilitado a usar o acceder. Estos atributos son comparados con la
informacin contenida en una base de datos de un usuario determinado y el
resultado se devuelve a AAA para determinar las capacidades reales de los
usuarios y las restricciones. La base de datos se puede localizar de forma local en
el servidor de acceso o Router o puede ser alojado de forma remota en un
servidor de seguridad RADIUS o TACACS+. Los servidores remotos de seguridad,
tales como RADIUS y TACACS+, autorizan a los usuarios de los derechos
especficos mediante la asociacin de atributos de valor (AV) pares, que definen
los derechos con el usuario apropiado. Todos los mtodos de autorizacin deben
ser definidos a travs de AAA. As como en la autenticacin, configurar AAA
Autorizacin es definida por una lista llamada mtodos de autorizacin, y luego
aplicando esa lista a varias interfaces.
Este proceso contina hasta que haya una comunicacin exitosa con un mtodo
de autenticacin de la lista o la lista de mtodo de autenticacin se ha agotado, en
los que la autenticacin caso de falla.
Configurar AAA es relativamente simple despus de comprender el proceso
bsico. Para configurar la seguridad en un servidor de acceso o enrutador usando
AAA, se deben seguir los siguientes pasos:
1. Habilitar AAA utilizando el comando de configuracin global AAA New Model.
2. Si decide utilizar un servidor de seguridad independiente, configurar los
parmetros de protocolo de seguridad, tales como RADIUS, TACACS+, o
Kerberos.
3. Definir las listas mtodo para la autenticacin mediante el uso de un comando
de autenticacin AAA. 4. Aplicar el mtodo de listas para una interfaz especfica o
una lnea, si es necesario.
5. (Opcional) Configure la autorizacin con el comando Autorizacin AAA.
6. (Opcional) Configurar la contabilidad mediante el comando Contabilidad AAA.
SERVICIO RADIUS
RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos
permite gestionar la autenticacin, autorizacin y registro de usuarios remotos
sobre un determinado recurso. La tupla autenticacin, autorizacin y registro es
ms conocida como AAA, al ser ste su acrnimo de su denominacin original
inglesa Authentication, Authorization, and Accounting. Veamos a continuacin a
qu se refiere cada uno de estos trminos:
Autenticacin (authentication) hace referencia al proceso por el cual se
determina si un usuario tiene permiso para acceder a un determinado
servicio de red del que quiere hacer uso. El proceso de autenticacin se
NAS
Un Network Access Server (NAS) es un sistema que proporciona acceso a la red.
En algunos casos tambin se conoce como Remote Access Server (RAS) o
Terminal Server. En general, NAS es un elemento que controla el acceso a un
recurso protegido, que puede ser desde un sencillo telfono para VoIP o una
impresora, hasta el acceso a una red inalmbrica o a Internet (proporcionado por
un ISP).
Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS,
quien a su vez se conecta a un servidor de AAA (tpicamente RADIUS)
preguntando si los credenciales proporcionados por el cliente son vlidos.
Basndose en su respuesta, NAS le permitir acceder o no a este recurso
protegido. El sistema NAS no contiene ninguna informacin sobre los usuarios que
se pueden conectar ni sus credenciales, sino que utiliza esta informacin para
enviarla a RADIUS, y que ste le informe sobre los permisos del cliente.
Observa que nos encontramos en un escenario en el que hay dos niveles de la
arquitectura cliente-servidor. Desde un punto de vista ms global, tenemos la
VENTAJAS DE RADIUS
Una ventaja del uso de RADIUS es que sus clientes tan slo tienen que
implementar el protocolo de comunicacin con RADIUS, y no todas las
posibilidades de AAA existentes (PAP, CHAP, LDAP, kerberos, mySQL, etc.). En
el ejemplo del punto de acceso, tan slo necesitamos implementar una solucin
NAS que realice las consultas a RADIUS.
Otra ventaja del protocolo RADIUS es que, en su comunicacin con NAS, nunca
transmite las contraseas directamente por la red (lo que se conoce como en
cleartext), ni siquiera al usar PAP, sino que usa algoritmos para ocultar las
contraseas como MD5. Sin embargo, al no ser considerado MD5 un sistema de
proteccin de credenciales demasiado seguro, es aconsejable utilizar sistemas
adicionales de proteccin para cifrar el trfico de RADIUS, como puede ser tneles
de IPsec.
WPA (Wi-Fi Protected Access) fue creado para corregir los mltiples fallos
detectados en el protocolo WEP. WPA fue diseado por el consorcio Wi-Fi
Alliance basndose en un borrador del estndar 802.11i (es un
subconjunto del mismo), y utiliza TKIP (Temporal Key Integrity Protocol)
como protocolo de cifrado que sustituye a WEP sin necesidad de modificar
el hardware existente (podra funcionar actualizando el firmware). WPA
sigue usando RC4 como algoritmo de cifrado con claves de 128 bits, pero
usa TKIP para cambiar dinmicamente estas claves.
WPA fue diseado para ser usado junto a un servidor AAA (habitualmente
RADIUS), de manera que se le asignan claves distintas a cada uno de los posibles
usuarios. Sin embargo, para entornos domsticos o pequeas oficinas tambin se
puede usar, de forma menos segura, con una nica clave compartida (pre-shared
key, PSK). En este caso hablamos de WPA-PSK.
JRadius,
mod_auth_radius,
pam_auth_radius,
Pyrad,
Este
fichero
configura
directivas
relacionadas
con
el
Reply-Message =
Bienvenido.
Configuracin de un punto de acceso para autenticar con RADIUS
Se configurara un punto de acceso, con funciones de router y asignaciones de
direcciones privadas con NAT, como los clsicos routers inalmbricos domsticos.
La configuracin del punto de acceso de routers domsticos suele hacerse
mediante interfaz de Web. Adems, el punto de acceso esta en la misma red que
el servidor RADIUS, conectados ambos directamente por un cable de red. Por
estos dos motivos, se desconectara de la red de la UPV el ordenador con Debian
(si no lo hemos hecho ya) y se conectara a uno de los puertos del router
(habitualmente etiquetados como LANx). De esta forma, despus de unos
segundos el ordenador obtendr una nueva direccin IP asignada por el router
automticamente.
se accedera a la pantalla de configuracin del punto de acceso, usando un cliente
de Web (en Debian se puede usar el navegador Web Iceweasel), y conectrlo a
la direccin IP del router (por defecto ser 192.168.1.1), usando el usuario y
contrasea requeridos para la administracin (en muchos casos tanto el usuario
como la contrasea son admin).
En primer lugar, ve al apartado de configuracin wireless y pon un SSID a tu
punto de acceso (para diferenciarlo del resto de los puntos de acceso de tus
compaeros). UPV, por lo que como mtodo de autenticacin indicaremos WPA
(sin PSK) y usando encriptacin TKIP. Por ltimo, para indicar que estamos
usando un servidor RADIUS, acceder a la parte de configuracin RADIUS e
introduce la direccin IP de la mquina que ejecuta el servidor y la palabra secreta
(en nuestro caso, secretotra). Guarda esta configuracin y habremos terminado.
SERVICIO TACACS+
RADIUS utiliza UDP mientras TACACS+ utiliza TCP. TCP ofrece algunas ventajas
frente a UDP. TCP ofrece una comunicacin orientada a conexin, mientras que
UDP ofrece mejor esfuerzo en la entrega. RADIUS requiere adems de variables
programables, como el nmero de intentos en la re-transmisin o el tiempo de
espera para compensar la entrega, pero carece del nivel de built-in soportado con
lo que ofrece el transporte TCP:
TCP proporciona el uso de un identificador para las peticiones que sean
recibidas, dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT)
en la red, independientemente de la carga y del lento mecanismo de
autenticacin de respaldo (un reconocimiento TCP) podra ser.
TPC proporciona una marca inmediata cuando se rompe o no est
corriendo la comunicacin, gracias a un servidor de restablecimiento (RST).
Puedes determinar cuando se rompi la comunicacin y retorno el servicio
si usas conexiones TCP long-lived. UDP no puede mostrar las diferencias
entre estar caido, sufrir lentitud o que no exista servidor.
Usando los TCP Keepalives, las caidas de servidores pueden ser
detectadas out-of-band con peticiones reales. Conexiones a mltiples
servidores pueden ser mantenidas simultneamente, y solamente necesitas
enviar mensajes a los que se sabe que tienen que estar arriba y corriendo.
TCP es ms escalable y adaptable al crecimiento, as como la conguestin,
de las redes.
ENCRIPTACIN DE PAQUETES
RADIUS encripta solamente la contrasea en el paquete de respuesta al acceso
(access-request), desde el cliente hasta el servidor. El resto de paquetes est sin
encriptar. Otra informacin, como el nombre de usuario, los servicios autorizados,
y la contabilidad pueden ser capturadas por un tercero.
AUTENTICACIN Y AUTORIZACIN
RADIUS combina autenticacin y autorizacin. Los paquetes de acceso aceptado
(access-accept) que son enviados por el servidor RADIUS al cliente, contienen
informacin de autorizacin. Esto hace dificil desasociar autenticacin y
autorizacin.
TACACS+ usa la arquitectura AAA, que separa AAA. Esto perpite separar
soluciones de autenticacin, permitiendo seguir utilizando TACACS+ para la
autorizacin y la contabilidad. Por ejemplo, con TACACS+, es posible utilizar
autenticacin Kerberos y autorizacin y contabilidad TACACS+. Despus un NAS
de autenticacin sobre el servidor Kerberos, este solicita peticiones de
autorizacin del servidor TACACS+ sin tener que volver a autenticarse. El NAS
informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un
servidor Kerberos, y luego el servidor proporcionar la informacin de
autorizacin.
Durante una sesin, si adicionalmente la autorizacin de control es necesaria, los
accesos al servidor se comprueban con un servidor TACACS+ para determinar si
se le conceden permisos para ejecutar un comando en particular. Esto
proporciona mejor control sobre los comandos que pueden ser ejecutados en un
servidor de acceso mientras es separado con mecanismos de autenticacin.
ADMINISTRACIN DE ROUTERS
RADIUS no permite al usuario el control de comando que puede ser ejecutados en
un router y cules no. Por lo tanto, RADIUS no es tan util para la gestin de router
o flexible para servicios de terminal.
INTEROPERATIBILIDAD
Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs),
el cumplimiento de la RADIUS RFCs no garantiza la interoperabilidad. Cisco
implementa la mayora de los atributos de RADIUS y coherentemente aade ms.
Si el cliente usa solo los atributos de la norma RADIUS en sus servidores, ellos
podrn interoperar con varios proveedores siempre y cuando dichos proveedores
implementen los mismos atributos. Sin embargo, muchos de los proveedores
implementan extensiones de atributos propietarios. Si un cliente usa uno de esos
atributos extendidos especficos del proveedor, la interoperatibilidad no est
asegurada.
TRFICO
Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS, la
cantidad de trfico generado entre el cliente y el servidor es diferente. Estos
ejemplos ilustran el trfico entre el cliente y el servidor para TACACS+ y RADIUS
para ser usado para la gestin de routers con autenticacin, exec autorizacin,
autorizacin del comando (con RADIUS no se puede hacer), exec contabilidad, y
comandos de contabilidad (con RADIUS no se puede hacer).
SERVICIOS KERBEROS
La seguridad e integridad de sistemas dentro de una red puede ser complicada.
Puede ocupar el tiempo de varios administradores de sistemas slo para mantener
la pista de cules servicios se estan ejecutando en una red y la manera en que
QU ES KERBEROS
Kerberos es un protocolo de seguridad creado por MIT que usa una criptografa de
claves simtricas [1] para validar usuarios con los servicios de red evitando as
tener que enviar contraseas a travs de la red. Al validar los usuarios para los
servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no
autorizados que intentan interceptar contraseas en la red.
Ventajas de Kerberos
Los servicios de redes ms convencionales usan esquemas de autenticacin
basados en contraseas. Tales esquemas requieren que cuando un usuario
necesita una autenticacin en un servidor de red, debe proporcionar un nombre de
usuario y una contrasea. Lamentablemente, la informacin de autenticacin para
muchos servicios se transmite sin estar encriptada. Para que un esquema de este
tipo sea seguro, la red tiene que estar inaccequible a usuarios externos, y todos
los usuarios de la red deben ser de confianza.
An en este caso, una vez que la red se conecte a la Internet, ya no puede asumir
que la red es segura. Cualquier intruso del sistema con acceso a la red y un
analizador de paquetes puede interceptar cualquier contrasea enviada de este
modo, comprometiendo las cuentas de usuarios y la integridad de toda la
infraestructura de seguridad.
El primer objetivo de Kerberos es el de eliminar la transmisin a travs de la red
de informacin de autenticacin. Un uso correcto de Kerberos erradica la amenaza
de analizadores de paquetes que intercepten contraseas en su red.
DESVENTAJAS DE KERBEROS
A pesar de que Kerberos elimina una amenaza de seguridad comn, puede ser
difcil de implementar por una variedad de razones:
Para que una aplicacin use Kerberos, el cdigo debe ser modificado para
hacer las llamadas apropiadas a las libreras de Kerberos. Las aplicaciones
que son modificadas de esta forma son consideradas kerberizadas. Para
algunas aplicaciones, esto puede suponer un esfuerzo excesivo de
programacin, debido al tamao de la aplicacin o su diseo. Para otras
aplicaciones incompatibles, los cambios se deben realizar en el modo en
que el servidor de red y sus clientes se comunican; de nuevo, esto puede
suponer bastante programacin. En general, las aplicaciones de cdigo
cerrado que no tienen soporte de Kerberos son usualmente las ms
problemticas.
asegurar
su
red
con
Kerberos,
funcionen
con
solo
debe
Kerberos)
utilizar
las
de todas las
5. ALGORITMOS
ALGORTIMO DE HASH
sea cual sea la longitud del texto base A, la longitud de su hash resultante B
siempre va hacer la misma. Para cada entrada A, la funcin generara una salida B
nica. Dado un texto base, es fcil y rpido (para un ordenador) calcular su
nmero resumen. es imposible reconstruir el texto base a partir del nmero
resumen.
Esta funcin hash del ejemplo lo que hace es traducir cada carcter del texto A de
entrada en su equivalente codigo ASCII, los agrupa de 3 en 3 y les aplica la
funcin matemtica (1-2)*3. funcionamiento
ALGORITMO MD5
El algoritmo toma como entrada mensajes de longitud mxima de 264 bits que son
procesados en bloques de 512 bits; el resultado que produce es de 160 bits. La
figura muestra de manera general el algoritmo.
D= 10325476
E= C3D2E1F0
Se procesa el mensaje por bloques de 512 bits, cada uno pasa por un mdulo que
consta de 4 rondas de procesamiento de 20 pasos cada una. Las rondas tienen
una estructura similar, con la excepcin de que cada una ocupa una funcin lgica
primitiva diferente (f1, f2, f3 y f4). Esta parte del algoritmo se muestra en la figura
las cuatro rondas. Los valores para dicha constante se muestran en la tabla de la
figura
6. CERTIFICADO DIGITAL
El Certificado Digital es un Documento Digital que nos permite : Identificarnos.
Fecha de validez.
Nmero de serie.
Un ejemplo sera:
issuer: C=ES
ST=L=Barcelona
de
(1024
bit):
00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b:
51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2:
ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44:
5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13:
97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d:
09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6:
39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4:
b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54:
Exponent:
65537
(0x10001)
Signature
9b:e5:e3:00:e2:4f:e3:14:47
Algorithm:
md5WithRSAEncryption
3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09:
b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de:
62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63:
ac:b8:93:f9:dc:9c:cf:ef:fd:45
-
-----BEGIN
CERTIFICATE-----
MIICOzCCAeUCARUwDQYJKoZIhvcNAQEEBQAwgaYxCzAJBgNVBAYTAkVTM
RIwEAYD
VQQIEwlDYXRhbHVueWExDDAKBgNVBAcTA0JjbjEVMBMGA1UEChMMU0VDV
VJJVFkg
QkNOMRowGAYDVQQLExFzZWNjaW8gZCdlbXByZXNlczEdMBsGA1UEAxMUR
GF2aWQg
R3VlcnJlcm8gVmlkYWwxIzAhBgkqhkiG9w0BCQEWFGd1ZXJyZXJvQGdyZWMud
XBj
LmVzMB4XDTk4MTExODE1MTUzMVoXDTk5MTExMzE1MTUzMVowZjELMAkG
A1UEBhMC
RVMxCTAHBgNVBAgTADEJMAcGA1UEChMAMQkwBwYDVQQLEwAxGDAWBg
NVBAMUD0Nh
bHZpbiAmIEhvYmJlczEcMBoGCSqGSIb3DQEJARYNY2FsdmluQGhvYmJlczCBn
zAN
BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAnnTeyRpr9P7RBDBYfotRepgj6UWpw
qd8
+Pi1mqLqwZlouvfD2AYFG2pHoURcLKbgS2/OAsQGMiA0vhOXOaOqby9Bp7wUy
PMM
rZ0JY4r162BbBqYB+xoHssY5SLu3AFZOIG2HP2cLL/SwX3R/kGu0R29WGrXFQl
Sb
5eMA4k/jFEcCAwEAATANBgkqhkiG9w0BAQQFAANBADsr6f9ISDWrMFzi0YjJKY
u8 CbJYgBec5wgKfYpeRqiDO+6E3mLj6lHLkrz625C9zZ8l1EpIY6y4k/ncnM/v/UU=
- -----END CERTIFICATE----Este es un certificado, vlido durante un ao, emitido por la autoridad certificadora
SECURITY ZUTANEZ para el usuario Jaimito cuya clave pblica RSA es:
exponente: 65537
modulo:
11127195552971827497702000105328725497115357432563948646524265
42649114539614030882310105443040321585401884991855044788817550
61645893205889184340440484177173313682979482908132499473623983
65177107544610936519826706567881109010715263259238888910151015
7610404623906744451048525264576885364836810773621503974118471
Todos los datos estn firmados por la AC usando la funcin hash MD5 y su clave
privada RSA.
Una firma digital es el equivalente de la firma convencional, en el sentido de que
es un aadido al final del mensaje conforme se est de acuerdo con lo que all se
dice. Formalmente, una firma digital es una transformacin de un mensaje de
forma que cualquier persona con conocimiento del mensaje y de la clave pblica
del firmante pueda comprobar que dicha transformacin ha sido realizada
realmente por el firmante.
Para verificar que el certificado es correcto deberamos hacernos con el certificado
digital emitido para dicha AC por una segunda AC. Para verificar la veracidad de
este segundo certificado deberamos obtener el certificado digital emitido para
segunda AC por una tercera AC. Como este proceso podra eternizarse, existen
las llamadas autoridades raz que firman sus propios certificados, un ejemplo de
autoridad raz es Verisign.
Aparte de los datos del emisor y del propietario del certificado ste puede contener
informacin referente a las limitaciones que se hayan establecido para su uso: email, www, etc...
Como puede observarse en el certificado del ejemplo, no existe ninguna referencia
a algoritmos de clave secreta. Cuando navegamos con Netscape y recibimos un
certificado de un servidor web 'seguro' aparece la ventana:
New Site Certificate
Here is the Certificate that is being presented:
Certificate for: UPC Signed by: UPC Encryption: Highest Grade (RC4 with 128-bit
secret key)
The signer of the Certificate promises you that the holder of this Certificate is who
they say they are. The encryption level is an indication of how difficult it would be
for someone to eavesdrop on any information exchanged between you and this
web site.
La informacin ''Encryption: Highest Grade (RC4 with 128-bit secret key)'' no tiene
nada que ver con el certificado presentado por el servidor, slo depende del
navegador utilizado y del servidor, a distinto navegador distinto grado de cifrado.
Aunque desde un punto de vista tcnico cualquiera puede erigirse en AC (slo es
necesario disponer de un par de claves pblica-privada para firmar y verificar la
firma, y todo aquel que desee obtener un certificado las tiene), una AC, adems de
emitir certificados, debera ofrecer los servicios siguientes:
Estado del certificado: Las personas a las que se les presenta un certificado
deben de poder comprobar que no ha sido revocado o suspendido.
7. CONCLUSION
Principalmente hemos conocido toda la teora de los 4 principios de seguridad
(Autenticacin, autorizacin, accounting y Auditoria). Todos los protocolos, en qu
consisten cada uno y su funcionamiento en casos prcticos. Por otra parte con
esta arquitectura hemos aprendido a disear una red con seguridad para usuarios
definidos en un servidor Radius. Hemos visto que tiene diferentes funciones para
los usuarios haciendo un seguimiento punto por punto. Esto hace que puedas
saber todo de un usuario.
Por otra parte, debajo, en capas inferiores hemos visto cmo funciona a niveles de
capa fsica, cmo los protocolos que usa, los paquetes que enva, la codificacin
de las contraseas y los protocolos que hay en cada una de las partes que se
envan. Lo ms importante ha sido aprender en mayor parte la diferencia entre las
tres AAA, y aplicarlas en modo prctico y terico para distinguir qu y cmo hace
cada una de los procedimientos.
La creacin del dominio de Windows y dnde los usuarios se pueden autentificar a
un punto de acceso con los mismos usuarios que acceden a Windows. Por otra
parte un sistema web con contenidos dnde los usuarios se autentifican por un
RADIUS creado en Linux y los usuarios se guardan en una base de datos en SQL.
Unos de los mayores conocimientos que hemos adquirido han sido conocer los
distintos protocolos de seguridad que hay en las redes WiFi.
8. BIBLIOGRAFIA
http://www.certificadodigital.com.ar/download/GUsuario.pdf
Cristian Morn, Pau Sabat. (2012). Arquitectura AAA.
www.fpnetzone.com
http://technet.microsoft.com/es-es/library/cc757473%28v=ws.10%29
http://freeradius.org/
http://www.daloradius.com/
http://es.scribd.com/doc/80563891/Radius
http://repositorio.utn.edu.ec/bitstream/123456789/593/3/CAPITULO%20III.pdf
http://technet.microsoft.com/es-es/library/aa996120(v=exchg.65).aspx
http://seguridadensistemascomputacionales.zonalibre.org/Sistemas%20de%20Aut
enticaci%C3%B3n.pdf