Kerberos

Es un protocolo de autenticación que fué creado por Instituto Tecnológico de Massachusetts (MIT), este protocolo permite a dos equipos identificarse de forma segura dentro de una red insegura, mediante el uso del modelo Cliente - Servidor para evitar ataques de suplantación de identidad principalmente.

Cabe destacar que la palabra kerberos hace referencia a Cerbero el gualdian del Hades de 3 cabezas y esto es así por que de hecho hace la autenticación pasando por un tercero que es confiable, evitando hacer esto directamente, a esto se le llama centro de distribución de claves, que a su vez se divide en 2 partes lógicas, el sevidor de autenticación conocido como "AS", el sevidor emisor de tiquets o "TGS", una vez que se cumple con estos dos requisitos el dispositivo se conecta al servidor de servicio o "SS" para hacer uso de la conexión segura que generó kerberos.

Esquema de funcionamiento de Kerberos

Referencias

MIT. (2015). Kerberos: The Network Authentication Protocol. 16/11/2015, de MIT Sitio web: http://web.mit.edu/kerberos/

Microsoft TechNet. (2003). What Is Kerberos Authentication?. 16/11/2015, de Microsoft Sitio web: https://technet.microsoft.com/en-us/library/cc780469%28v=ws.10%29.aspx

IEEE. (1994). Kerberos: An Authentication Service for Computer Networks. 16/11/2015, de IEEE Sitio web: http://gost.isi.edu/publications/kerberos-neuman-tso.html

TACACS

Acronimo de Terminal Access Controller Access Control System o en español conocido como: Sistema de Control de Acceso mediante Control de Acceso de Terminales. Este protocolo es comunmente usado con un servidor de acceso configurado en sistemas Unix ademas es un protocolo propieario de CISCO. Este protocolo establece una comunicación con un servidor de autenticación para comprobar si los usuarios tienen o nó acceso a la red este protocolo se abarca en el RFC 1492. (Nota: Cabe destacar que TACACS es practicamente la versión de CISCO del protocolo RADIUS)

Caracteristicas de TACAS en contraste con RADIUS

TACACS vs RADIUS

 Referencias

Search Security. (2007). TACACS (Terminal Access Controller Access Control System) definition. 16/11/2015, de Search Security Sitio web: http://searchsecurity.techtarget.com/definition/TACACS

C. Finseth, University of Minnesota. (1993). An Access Control Protocol, Sometimes Called TACACS. 16/11/2015, de Network Working Group Sitio web: https://tools.ietf.org/html/rfc1492

CISCO. (¿?). Configuring TACACS. 16/11/2015, de CISCO Sitio web: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_tacacs/configuration/xe-3s/sec-usr-tacacs-xe-3s-book/sec-cfg-tacacs.html

RADIUS

RADIUS es acronimo en inglés Remote Authentication Dial-In User Service. Es un protocolo de autenticación utilizado en aplicaciones con acceso a la red. Utiliza el puerto 1812 UDP. Desarrollado por Livingston Enterprises como seguridad para sus servidores, más tarde sería conocido como RFC 2138 y RFC 2139. Para explicar de manera rapida su funcionamiento, este protocolo pide una autenticación por un usuario y contraseña que va a ser revisado por el servidor RADIUS previamente configurado.

Ejemplo de RAIDUS

Las redes wifi WPA/WPA2 Enterprice utilizan un servidor RADIUS como mendio de autenticación, las redes gratuitas que existen en México por Telmex mejor conocidad como Infinitum Movil utilizan un servidor RADIUS que solicita usuario y contraseña para poder navegar gratuitamente.

Esquema de Servidor RADIUS

  

 Referencias

Free RADIUS. (2015). The FreeRADIUS Project. 16/11/2015, de Free RADIUS Sitio web: http://freeradius.org/doc/

C. Rigney, Livingston, A. Rubens, Merit, W. Simpson. (1997). Remote Authentication Dial In User Service (RADIUS). 16/11/2015, de Network Working Group Sitio web: https://tools.ietf.org/html/rfc2138

C. Rigney, Livingston. (1997). RADIUS Accounting. 16/11/2015, de Network Working Group Sitio web: https://tools.ietf.org/html/rfc2139

Protocolo AAA

AAA (Siglas en inglés de Authentication, Authorization, Accounting) corresponde a una serie de protocolos que realizan las funciones de: autenticación, autorización y contabilización. Cabe aclarar que aunque puede ser referida como un protocolo, en realidad es una familia de protocolos por las distintas funciones que realiza.

A continuación se explica mas a fondo los 3 pasos que realiza este protocolo o mejor dicho familia de protocolos de seguridad.

Autenticación

Es el proceso por el cual una entidad o alguien prueba su identidad ante otro.

Autorización

Es el proceso por el cual se le otorgan los privilegios necesarios a una entidad o alguien basandose en su identidad.

Contabilización

Es el proceso de contar los recusos de red consumidos por el usuario que se autenticó y autorizó anteriormente, con propositos de administración, planificación, etc.

Este protocolo es utilizado en servidores linux comunmente, en redes WiMAX y VPN, entre otros.

Referencias

Juan Esteban Gonzalez. (2009). Seguridad (AAA). 16/11/2015, de Redes WiMAX Sitio web: http://redeswimax.jimdo.com/wimax/acceso-al-medio/seguridad-aaa/

C. de Laat, Utrecht University, G. Gross, Lucent Technologies. (2000). RFC 2903 - Generic AAA Architecture. 16/11/2015, de Network Working Group Sitio web: https://tools.ietf.org/html/rfc2903

Ordenadores y Portatiles. (2014). Funcionamiento de una red privada VPN - 2 ª parte. 16/11/2015, de Ordenadores y Portatiles Sitio web: http://www.ordenadores-y-portatiles.com/red-privada-vpn-2.html

Certificados Digitales

¿Qué es?

El certificado digital es el medio que permite garantizar la autenticidad de un medio electronico o digital dentro de internet, ya que cifra el contenido, normalmente suele utilizarse para cifrar un documento, o bien una pagina web mediante el protocolo HTTPS.

Esquema de funcionamiento de certificado digital.

  

Usos

• Autenticar la identidad del usuario, de forma electrónica, ante terceros.
• Firmar electrónicamente para garantizar la integridad de los datos y su procedencia. (Nota: Un documento firmado no puede ser manipulado ya que la firma esta asociada al documento y al firmante).
• Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

¿Qué es una CA?

CA es un termino utilizado para referirce a una autoridad de certificación (AC) o por sus siglas en inglés Certification Authority. Es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en firma electrónica. Juridicamente se conoce como un caso particular de Prestador de Servicios de Certificación.

Entidades Certificadoras

A continuanción se muestran algunas entidades certificadoras:

En México:

• Advantage Security, S. de R.L de C.V
• PSC World, S.A de C.V
• CECOBAN
• Edicomunicaciones México S.A de C.V
• Seguridata S.A de C.V
• ACEDICOMMX (Autoridad de Certificación Edicom México)

En otros paises:

España:

• Agencia Notarial de Certificación (ANCERT)
• ANF Autoridad de Certificación (ANF AC)

Chile:

• Certinet

Colombia:

• GSE (Entidad de Digitalización Abierta)
• Certicámara(Validez y seguridad jurídica electrónica) 

Internacional

• VeriSign

Referencias

Camara Oficial de Comarcio Madrid. (2007). Certificación Digital para Empresas: identificación y firma electrónica. 16/11/2015, de Camara Madrid Sitio web: http://www.camaramadrid.es/asp/pub/docs/certificacion_digital_para_empresas.pdf

Gobierno de España. (¿?). Principales Autoridades de Certificación (AC). 16/11/2015, de Portal de Administración Electrónica Sitio web: http://firmaelectronica.gob.es/Home/Empresas/Autoridades-Certificacion.html

ACEDICOMMX. (2010). Edicom Autoridad de Certificación ACEDICOMMX. 16/11/2015, de ACEDICOMMX Sitio web: http://acedicom.edicomgroup.com/mx/

Viafirma. (2015). Soporte Autoridades de Certificación (CA's). 16/11/2015, de Viafirma Sitio web: https://www.viafirma.com/es/soporte-autoridades-de-certificacion-cas

 Certinet. (2006). Certinet Identidad Digital. 16/11/2015, de Certinet Sitio web: http://www.certinet.cl/

Siger. (23/05/2013). Prestadores de Servicios de Certificados habilitados. 16/11/2015, de Siger Sitio web: http://www.firmadigital.gob.mx/tabla.html

COCEMFE. (2010). Firma Digital. 16/11/2015, de COCEMFE Sitio web: http://www.cocemfeclm.org/documentos/FirmaDigital.pdf

Protocolo SSL/TLS

SSL y TSL con protocolos usados para certificar comunicaciones seguras a través de internet, proporcionando seguridad en la identificación del servidor y del cliente, así como el cifrado y la integridad de la información, en ambas partes de la comunicación.

Ambos protocolos cifran la información mediante un algoritmo de cifrado de clave simétrica o secreta, como IDEA o RC6, cifran la clave de la sesión que se establezca mediante un algoritmo de cifrado de clave asimétrica o pública como RSA. Utilizan una función resumen como MD5 para garantizar la integridad de la información transmitida.

SSL

SSL (Secure Sockets Layer) traducido al español significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a través de Internet. Es un protocolo estratificado, por lo que en cada capa se le agregan a los mensajes campos con distintos tipos de contenido, como el largo de los mismos, algún tipo de descripción y la información propiamente dicha.

Una sesión SSL posee diferentes estados y es responsabilidad del SSL Hanshake Protocol la coordinación de los mismos entre el cliente y el servidor para que ambos funcionen en forma consistente, a pesar del hecho que no estén exactamente en paralelo.

 

Fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación entre dos aplicaciones. Este se compone de dos capas:

SSL Record Protocol. Está ubicada sobre algún protocolo de transporte confiable (como por ejemplo TCP) y es usado para encapsular varios tipos de protocolos de mayor nivel.

SSL Handshake Protocol. Es uno de los posibles protocolos que pueden encapsularse sobre la capa anterior y permite al cliente y al servidor autenticarse mutuamente, negociar un algoritmo de cifrado e intercambiar llaves de acceso.

 

Una de las ventajas del SSL es que es independiente del protocolo de aplicación, ya que es posible ubicarlo por encima del mismo en forma transparente. 

• Puede ser aplciado en la práctica en las transacciones de comercio electrónico, los procesos de trabajo online y los servicios por Internet:
• Para proteger transacciones realizadas con tarjetas de banco.
• Para ofrecer protección online a los accesos al sistema, la información confidencial transmitida a través de formularios web o determinadas áreas protegidas de páginas web.
• Para proteger la transferencia de archivos sobre HTTPS y servicios de FTP, como podrían ser las actualizaciones de nuevas páginas por parte de un propietario de una página web o la transmisión de archivos pesados.
• Para proteger el tráfico en una intranet como es el caso de las redes internas, la función compartir archivos, las extranets o las conexiones a bases de datos.

 

Los objetivos del protocolo SSL son, en orden de prioridad:

                        

Seguridad Criptográfica. Debe ser usado para establecer una conexión segura entre dos partes.

Interoperatividad. Programadores independientes deben poder desarrollar aplicaciones que, utilizando SSL, permitan intercambiar en forma exitosa parámetros de cifrado sin tener conocimiento del código utilizado por el otro.

Flexibilidad. Debe ser una base sobre la cual puedan incorporarse nuevos métodos de cifrado. Esto trae aparejado dos objetivos más: evitar la creación de un protocolo nuevo y la implementación de una nueva biblioteca de seguridad

Eficiencia. Dado que las operaciones de cifrado consumen gran cantidad de recursos, en especial CPU, incorpora ciertas facilidades que permiten mejorar este aspecto, además de mejorar el uso de la red.

TLS

TLS (Transport Layer Security) está basado en SSL y son totalmente compatibles. Se asegura que los correos se transmitan en internet con una tecnología de cifrado estándar. Asegurar de esta manera los correos reduce el riesgo de que sean interceptados, leídos por partes no autorizadas o falsificados. 

Para que funcione, es necesario habilitar TLS en los servidores de correo tanto del remitente como del destinatario del mensaje. Cualquier información intercambiada entre los servidores está cifrada, lo que incluye el título puesto como asunto, el texto y los documentos adjuntos.  

Cuando se envían mensajes cifrados, el intercambio de correo funciona como a continuación:  

• Cuando el remitente se conecta con el destinatario, el sistema verifica automáticamente si está habilitado TLS en el servidor de correo del cliente.
• Si está habilitado TLS en ambos servidores, se establece una conexión TLS segura mediante un procedimiento de protocolo de intercambio conocido como "handshake" (apretón de manos).
• Durante este protocolo, se intercambian los certificados TLS. Si el servidor del remitente confía en el certificado del servidor de correo del cliente, inicia la sesión TLS y se envía el correo mediante una conexión de internet segura.

  

Un certificado TLS es un certificado digital de seguridad que se utiliza por el protocolo TLS (antes SSL). Este certificado es otorgado por una agencia independiente debidamente autorizada y es enviado por el servidor de la página web segura. De esta forma se valida que una página web es realmente la que dice ser, sin tener redirecciones o páginas personificando a otras (conocidas como páginas no seguras).

El navegador de internet recibe e interpreta el contenido de dicho certificado y, al verificar su autenticidad, indica que se está realizando una conexión segura; cada navegador de internet tiene diferentes formas de indicarlo, por ejemplo un candado cerrado.