Acc t i v i d a d e s A Trabajo: Tecnologías «triple A» Después de conocer RADIUS y Diaeter y sus di!erencias" es interesante #acer la coparaci$n con TA%A%S& 'Terminal 'Terminal Access Controller Access Control System() System() TA%A%S TA%A%S & propor proporcio ciona na servic servicios ios di!ere di!erenci nciado adoss de auten autentic ticaci aci$n" $n" autori autori*ac *aci$n i$n y contabilidad" a di!erencia de los otros protocolos) +sta separaci$n de !unciones perite" por ejeplo" ,ue la autenticaci$n se #aga ediante -erberos" y después la autori*aci$n y auditoría ediante TA%A%S&" sin necesidad de autenticar de nuevo) +sto proporciona .s !le/ibilidad en la selecci$n de la ejor soluci$n para una organi*aci$n deterinada) Aun,ue a priera vista estos protocolos pueden parecer siilares" es iportante entender sus di!erencias) 0or ejeplo" TA%A%S& ci!ra todo el cuerpo de los pa,uetes" ientras ,ue RADIUS solo lo #ace con las claves en los ensajes de acceso) +l resto de la in!or in!oraci aci$n" $n" coo el nobre nobre de usuari usuario o o los datos de consu consuo" o" podría podrían n ser coproetidos) +sta +sta acti activi vida dad d prop propon onee la b1s, b1s,ue ueda da de in!o in!or rac aci$ i$n n en Inte Intern rnet et sobr sobree los los tres tres protocolos y la elaboraci$n de un cuadro coparativo con di!erencias" especi!icando cu.les son ventajas o inconvenientes inconvenientes sobre los otros)
TEMA 3 – Actividades
Protocolo Soporte multiprotocolo Modelo Mensaje
RADIUS UD0 3o)
Diaeter T%0 con T2S o I0S+% Sí)
TA%A%S& T%0 Sí)
%liente4Servidor
De Igual a Igual
%liente4Servidor Solicitud4Respuesta del
Solicitud4Respuesta del
Solicitud4Respuesta de
cliente al servidor)
cliente al servidor)
una parte a otra) Todo el cuerpo del
Todo el cuerpo del
pa,uete)
pa,uete e/cepto la
Cifrado de los paquetes
%ontrase5as en las respuestas de acceso)
Algoritmo de
Secreto copartido con
Secreto copartido con
cabecera est.ndar) Secreto copartido con
cifrado Administración
6D7) +l usuario no tiene el
86A%96D7) %oandos especí!icos
6D7) Usuarios y grupos)
de routers Autenticación y
control del coando) %obinado) 2os
del vendedor) Independiente)
Independiente)
Autoriación
pa,uetes contienen
!otificación de
abas in!oraciones) 3o)
Sí)
Sí)
errores Protocolo" al utili*ar RADIUS un servicio no !iable coo es UD0 en su capa de transporte es una clara desventaja sobre los otros dos protocolos ,ue utili*an T%0" ,ue es un servicio !iable) UD0 re,uiere variables con!igurables coo el n1ero de intentos de retransisi$n" lo cual es una penali*aci$n) Diaeter puede trabajar con T2S o I0S+%" lo ,ue o!rece .s ventajas !rente a los otros protocolos) Soporte multiprotocolo" RADIUS se encuentra liitado en el soporte ultiprotocolo ya ,ue no soporta AppleTalk Remote Access (ARA), 3etI;S Frame Protocol Control "
Novell Asynchronous Services Interface (3ASI( y cone/iones <)=7 con 0AD por lo ,ue es una desventaja respecto de Diaeter y TA%A%S& ,ue tienen soporte ultiprotocolo) Modelo" al eplear Diaeter un odelo de Igual a Igual le perite utili*ar ensajes iniciados desde el servidor" es decir" cual,uier nodo puede trabajar coo %liente o coo Servidor) +sto es una ventaja !rente a los otros dos protocolos ,ue trabajan con un odelo %liente4Servidor en el ,ue cada nodo tiene su !unci$n y no la puede cabiar) Ade.s Diaeter tiene descubriiento din.ico de iguales)
TEMA 3 – Actividades
Mensaje" en RADIUS el ensaje de transacci$n va desde el cliente RADIUS #asta el servidor RADIUS) +n Diaeter cual,uier nodo puede solicitar la counicaci$n" al poder actuar tanto coo %liente coo Servidor" por lo ,ue es una ventaja !rente a los otros dos protocolos) +n TA%A%S& el ensaje tabién se envía desde el cliente al servidor) Cifrado de los paquetes" RADIUS solo ci!ra la contrase5a en el pa,uete de respuesta al acceso" desde el cliente RADIUS '3AS( #asta el servidor RADIUS" yendo el resto de pa,uetes sin ci!rar) +n Diaeter se ci!ra todo el pa,uete) +n TA%A%S& se ci!ra todo el cuerpo del pa,uete e/cepto la cabecera est.ndar) Tanto Diaeter coo TA%A%S& uestran ayor seguridad" y por lo tanto es una clara ventaja" !rente a RADIUS" ya ,ue puede ser !oco de ata,ue a la integridad de in!oraci$n o con!idencialidad en los accesos y políticas de autori*aci$n) Algoritmo de cifrado" el algorito utili*ado por Diaeter '86A%96D7( es .s seguro ,ue el epleado por los otros dos protocolos) Administración de routers" TA%A%S& utili*a usuarios y grupos para la autori*aci$n de coandos especí!icos seg1n el usuario" o!reciendo un registro detallado de los accesos al dispositivo %isco y los coandos ejecutados por lo ,ue es una ventaja !rente a Diaeter" en el ,ue depende de la ipleentaci$n ,ue se #aga del protocolo y !rente a RADIUS en el ,ue el usuario ni si,uiera tiene el control del coando) Autenticación y Autorización" en RADIUS la autenticaci$n y la autori*aci$n son enviadas cobinadas por el servidor al cliente conteniendo la in!oraci$n de autori*aci$n" esto es una clara desventaja ya ,ue esta in!oraci$n debería ir separada por capas) +n Diaeter y TA%A%S& se reali*a de anera independiente epleando la ar,uitectura AAA) Notificación de errores" RADIUS no o!rece noti!icaci$n de errores" al contrario ,ue Diaeter y TA%A%S& ,ue sí lo o!recen" por lo ,ue es una desventaja de RADIUS !rente a los otros dos protocolos)
Referencias y Notas •
0ére*" 0) >) '=?@" =?@B(" Clu 0roject) Recuperado el = de Diciebre de =?@7" de #ttp:44)!lu9project)co4=?@4@=4las9tecnologias9triple9parte9i9de9 iii)#tl" #ttp:44)!lu9project)co4=?@4@=4las9tecnologias9triple9parte9ii9
TEMA 3 – Actividades
de9iii)#tl y #ttp:44)!lu9project)co4=?@B4?@4las9tecnologias9triple9parte9 iii9de9iii)#tl •
RC%=EF7" Remote Authentication ial !n "ser Ser#ice $RA!"S%) Internet +ngineering TasG Corce" 3etorG HorGing >roup) Recuperado el @B de +nero de =?@F" de #ttps:44tools)iet!)org4pd!4r!c=EF7
•
RC%=EFF" RA!"S Accounting) Internet +ngineering TasG Corce" 3etorG HorGing >roup) Recuperado el @B de +nero de =?@F" de #ttps:44tools)iet!)org4pd!4r!c=EFF
•
RC%F" iameter &ase Protocol ) Internet +ngineering TasG Corce" 3etorG HorGing >roup) Recuperado el @B de +nero de =?@F" de #ttps:44tools)iet!)org4pd!4r!cF
•
RC%@BJ=" An Access Control Protocol' Sometimes Called TACACS ) Internet +ngineering TasG Corce" 3etorG HorGing >roup) Recuperado el @B de +nero de =?@F" de #ttps:44tools)iet!)org4pd!4r!c@BJ=
•
The TACACS( Protocol " Internet +ngineering TasG Corce" 3etorG HorGing >roup) Recuperado el @B de +nero de =?@F" de #ttps:44tools)iet!)org4pd!4dra!t9 grant9tacacs9?=)pd!
TEMA 3 – Actividades