|
Determinar quien? o que? está autorizado al obtener acceso a la red es una cuestión que nace desde la concepción del internet, poder decidir quién tiene acceso es fundamental, la Autentificación, Autorización y el manejo de cuentas en ingles (Authentication, Authorization, Accounting, AAA) es una metodología que pretende resolver tres preguntas fundamentales de los accesos a la red; Quien o Que eres? Que tienes permitido hacer? y Que hiciste?
INTRODUCCIÓN
Determinar quien? o que está autorizado a obtener acceso a la red es una cuestión que nace desde la concepción del internet, poder decidir quién tiene acceso es fundamental, la Autentificación, Autorización y el manejo de cuentas en ingles (Authentication, Authorization, Accounting, AAA) es una metodología que pretende resolver tres preguntas fundamentales de los accesos a la red; Quien o Que eres? Que tienes permitido hacer? y Que hiciste? Estas preguntas de seguridad son fundamentales.
El termino AAA nace muy cerca del nacimiento de RADIUS (Remote Authentication Dial-In User Service) y actualmente es el protocolo AAA mas aceptado.
Existen otros protocolos y tecnologías que utilizan AAA para determinar los accesos a la red.
AAA permite la movilidad y la seguridad dinámica, ya que sin AAA la red seria estática, donde todos los accesos deberían estar previamente definidos.
Actualmente existen cada vez mas dispositivos móviles y diferentes ambientes de red que requieren la movilidad y el dinamismo que ofrece la AAA, el crecimiento de las redes inalámbricas, los hotspot que ofrecen servicios de red son el tipo de redes que requieren identificar quien ingresa, a que tiene privilegios y que hicieron.
Otro protocolo ampliamente aceptado es Terminal Access Controller Access (TACACS)?
I.Fundamentos
La AAA tiene diferentes componentes que son los que participan en todo el proceso, ver todos estos componentes es de gran importancia para comprender como funciona la AAA.
Cliente:
Es el dispositivo que está intentando conectarse a la red.
PEP (Policy Enforcement Point):
En algunas ocasiones es llamado el autentificador o servidor de acceso a la red, es el primer dispositivo que va a recibir la solicitud de acceso y es el responsable de hacer cumplir los permisos que tiene asignados generalmente pueden ser Firewalls, Routers, concentrador de VPN, servidores de marcado telefónico.
PIP (Policy Information Point):
Es un concentrador para tomar la decisión de acceso, puede ser la base de datos de los identificadores que tienen acceso, puede ser un LDAP (Lighweight Directory Access Protcol) o un OTP (One time Password).
PDP (Policy Decision Point):
Es el encargado de recolectar toda la información del PEP pasarla a el PIP, también recolecta cualquier detalle que se genere del acceso, es el principal encargado del AAA.
ARS (Accounting and Reporting System)
Sera quien tenga la información referente a los accesos y la actividad que tuvieron dentro de la red.
Todos estos componentes son procedimientos de operación y no necesariamente cada unot tendrá que estar en un equipo dedicado, un solo equipo puede realizar todas las acciones
II.Como funciona
Un cliente intenta conectarse a la red y le es solicitada su identificación de acceso.
El PEP recolecta esa información y la envía a el PDP el PEP no ve la información únicamente la reenvía al PDP
El PDP construye la consulta y envía la petición a el PIP que tiene configurado
El PIP recibe la solicitud revisa que sea válida, regresa la información del cliente, con la notificación si fue valida o incorrecta
EL PDP evalúa la información que recibió y agrega información contextual como puede ser la hora del dia, la compara con las políticas que tiene establecidas y basadas en esa información toma la decisión de acceso o no y es enviada al PEP
El PEP recibe la información y dependiendo de la decisión tomada permite el acceso o no a él cliente si es aceptado este verifica que el cliente cumpla con esas políticas.
También el PDP envía la información de acceso al servidor de registros
El cliente ingresa a la red a través del PEP.
La Figura 1 muestra de forma simplificada el proceso de la AAA.
III. Los elementos
Durante la autentificación se pueden encontrar tres elementos a grandes rasgos antes que el PDP tome la decisión de acceso, el principal es el dispositivo o servicio que requiere el ingreso, la credencial que es la identificación, puede ser un password, certificado, o credencial biométrica y por último la información contextual como puede ser el tiempo, lugar o estado.
El principal es la entidad que esta requiriendo el servicio y entre la información que puede tener, puede ser los generales en caso de ser un usuario, en caso de un servicio serán las características o detalles del servicio, si es una aplicación con mas detalle podría llevar toda la información que identifique a esa aplicación.
La credencial, esta es la información que el principal proporciona para identificarse, existen modelos de identificación que usa la AAA como puede ser el PAP (password Authentication protocol), CHAP (Challenge Authentication Protocol) estos para password también están los certificados digitales que llevan una encriptación, como las credenciales digitales que son combinaciones de certificados de identificación robustos junto con la utilización de un NIP, también existen los lectores biométricos que identifican alguna parte del cuerpo como puede ser la cara, los ojos o los dedos, estos representan la identificación del usuario.
El contexto este puede ser la fecha, el lugar, el tipo de acceso deseado, o los elementos desde donde fuese enviada la solicitud, con estos elementos es comparada la solicitud y se tomara en cuenta para determinar si tiene acceso o no dependiendo de las políticas establecidas.
IV.Modelos de autorización y manejo de cuentas
Null Authorization o solo Autentificacion, es el método mas utilizado en cuestiones de autentificación y el mas simple, ya que una vez realizada la autentificación todos los permisos son entregados.
Segmentación de capa 2, esta funciona dividiendo la red en redes virtuales, y de esta forma limitar el acceso desde ciertos puntos de la red hacia otros.
Capa 3, se autorizan los accesos a través de firewalls, routers o gateways, mediante listas de acceso ACL’s, puede filtrar los dispositivos que se van a conectar o a los servicios que van a tener acceso.
Capa 7 estas autorizaciones se basan en el tipo de servicio y el tipo de acceso que solicita, es una definición fina de los privilegios que un usuario o servicio requiere.
El manejo de las cuentas, es el control que tienen acerca de las actividades realizadas por esa cuenta dentro de la red y el tiempo que se encuentra conectado.
Se puede llevar a cabo mediante sistemas de monitoreo y aprendizaje de la red, conocer las actividades regulares de un usuario o servicio para conocer el momento donde este se comporta de manera diferente, el administrador puede tener una idea acerca de lo que hizo dentro de la red mediante estos sistemas de monitoreo
V.Protocolos
Cada una de las comunicaciones dentro del proceso de la AAA es llevada a cabo por diferentes protocolos.
Los protocolos más utilizados en los pasos
Cliente a él PEP
Esta comunicación se realiza principalmente sobre la capa 2 del modelo OSI por lo que los protocolos tienen que ser de capa 2; Point to Point Protocol (PPP) PPP sobre Ethernet PPPoE, IEEE 802.1X, IP Security (IPsec), Secuer Socket Layer (SSL) y HTTP
PEP y el PDP
En este paso se utilizan principalmente 3 protocolos que son,
TACAS+ desarrollado por CISCO y es un protocolo propietario, RADIUS que es el principal protocolo utilizado para este tipo de comunicaciones y Diameter que es la siguiente generación de RADIUS, su seguridad es mayor, y su fortaleza mayor es el tamaño que puede soportar y es llamado de tercera generación 3G para redes móviles.
El Cliente hacia el PDP
Aunque no es un paso común, también se pueden necesitar este tipo de comunicaciones directas, por lo que el protocolo es EAP y puede utilizar como métodos de transporte, IKEv2, 802.1x y NAC
PDP hacia el PIP
El último paso que es el más fundamental para la AAA ya que quien se comunica con el repositorio de usuario principalmente utiliza LDAP este es utilizado también por las redes Microsoft desde su implementación de Active Directory, RADIUS, Kerberos otra opción es el SQL (Structured Query Language) y el NIS (Network Information Service).
VI.Aplicaciones
Las aplicaciones de la AAA pueden ser cualquiera que requiera acceso a una red o un servicio, de red.
Aunque la mayoría de las implementación es únicamente utilizan el paso por contraseña también existen otras que llevan a cabo el proceso completo como pueden ser los accesos remotos a una red wireless o una red VoIP, también las redes móviles celulares como GSM.
Por ejemplo un usuario conectándose remotamente a una VPN mediante un acceso Dial-up.
Una conexión a una red inalámbrica corporativa donde los usuarios tendrán que estar registrados en las bases de empleados de la organización
Las redes VoIP requieren del SIP (Session Initiation Protocol) este es utilizado para verificar la cuenta tras cada llamada que se realiza.
Otra aplicación puede ser la de invitado, donde solo ciertos privilegios deberán de ser entregados de manera temporal donde se concederá dependiendo el tiempo de inicio, y este requiere de un repositorio de invitados donde cada uno se identificara para conocer su estado actual y de esta manera determinar cuándo deberá vencer la sesión.
También es utilizada para convivencia de dos diferentes tipos de usuarios aquellos que son invitados y los permanentes los cuales pueden estar identificados por sus roles dentro de la red.
La mayoría de las aplicaciones puede utilizar diferentes protocolos de comunicación así como diferentes métodos de aplicación del AAA
Las aplicaciones que pueden darse a través de los proveedores de servicios de internet, como pueden ser las conexiones Dial-up (marcado telefónico) DSL, cable, 3G, wireless o metro wireless
VII.conclusión
La AAA como tecnología, o metodología de identificación de usuarios o servicios que requieren acceso a una red a sido y es implementada desde que los servicios de red tuvieron su éxito de manera global, y cada uno de los fabricantes de dispositivos a buscado la manera de implementar el suyo propio por lo que establecer un estándar que defina la AAA no es ni ha sido tarea fácil sin embargo se puede llevar a cabo gracias a los protocolos de transporte entre cada etapa de la autentificación, la AAA ofrece una amplia gama de aplicaciones de acuerdo a las necesidades propias de una red la cual puede ser muy diversa o estática pero siempre con la capacidad de cambiar.
La AAA involucra una gran cantidad de protocolos y no es una tarea fácil la comunicación entre cada uno de los pasos de la AAA por lo que utilizar los dispositivos que cumplan con los protocolos de comunicación es de vital importancia para una correcta implementación de la AAA.
Referencias
1.The Internet Protocol Journal Volumen 10, Numero 1 Marzo 2007 www.cisco.com/ipj
2.The Internet Protocol Journal Volumen 10, Numero 2 Junio 2007 www.cisco.com/ipj
Documento hecho el 10 de Junio de 2008
|
