AAA

Es una familia de protocolos que provee servicios de autenticación, autorización y auditoria. Los cuales fueron diseñados como mecanismos de control de acceso remoto y provisión de servicios de red originalmente a través modem y línea telefónica (dial-in), pero se siguen implementando actualmente en múltiples arquitecturas.

La autenticación es el proceso por el que una entidad demuestra que es quien dice ser, probando así su identidad frente a un sistema u otra entidad. En general, una entidad es un cliente, y la otra es un servidor ante el cual se requiere autenticación.

El segundo elemento de los sistemas de triple A es la autorización, que se refiere a que, una vez que el usuario fue autenticado, pueda acceder a determinados recursos basado en los privilegios específicos que el sistema le provee.

Finalmente accounting, no se refiere a contabilidad en el sentido de lo que uno podría imaginarse (contadores realizando tareas de liquidación de sueldos o temas impositivos), ni a auditoría en el sentido de listas de verificación de cumplimiento de tareas realizada por un auditor. En este caso se refiere a la capacidad de un sistema de registrar eventos, normalmente soportada por los sistemas de logs, que no son más que registros secuenciales que permiten determinar las acciones realizadas por una entidad activa en una red (usuario, servicio, proceso, etcétera).

Radius

El protocolo de servicio de usuario de acceso telefónico de autenticación remota (RADIUS) fue desarrollado por Livingston Enterprises, Inc., como un protocolo de autenticación del servidor de acceso y de contabilidad.

Es un protocolo cliente/servidor. El cliente RADIUS es típicamente un NAS y el servidor de RADIUS es generalmente un proceso de daemon que se ejecuta en UNIX o una máquina del Windows NT.

El servidor RADIUS puede soportar varios métodos para autenticar un usuario. Cuando se proporciona el nombre de usuario y la contraseña original dados por el usuario, puede soportar el login PPP, PAP o de la GRIETA, de UNIX, y otros mecanismos de autenticación.

En RADIUS, la autenticación y la autorización están unidas. Si se encuentra el nombre de usuario y la contraseña es correcta, el servidor RADIUS devuelve una respuesta de Acceso-Aceptar e incluye una lista de pares de atributo-valor que describe los parámetros que deben usarse en esta sesión. Los parámetros comunes incluyen el tipo de servicio (shell o entramado), el tipo de protocolo, la dirección IP para asignar el usuario (estática o dinámica), la lista de acceso a aplicar o una ruta estática para instalar en la tabla de ruteo de NAS.

Tacacs

Es un  protocolo de autenticación remota, propietario de cisco, que se usa para comunicarse con un servidor de autenticación comúnmente usado en redes Unix. Permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene acceso a la red.

Utiliza como transporte TCP, el payload que transporta TACACS+ es cifrado, a excepción de unos campos de la cabecera. Soporta autorización de comandos por grupos y por usuarios.

Kerberos

Es un protocolo de seguridad el cual fue creado por MIT, usando criptografía de claves simétricas para validar usuarios con servicios de red, evitando así tener que enviar contraseñas a través de la red. Cuando se validan los usuarios para cualquier servicio de red por medio de kerberos, este frustra los intentos no autorizados que intentan interceptar contraseñas en la red.

El primer objetivo de kerberos es el de eliminar la transmisión a través de la red de información de autenticación. Un uso correcto de kerberos erradica la amenaza de analizadores de paquetes que intercepten contraseñas en su red.

A pesar de que kerberos elimina una amenaza de seguridad común, puede ser difícil de implementar por una variedad de razones:

·         Migración de contraseñas de usuarios desde una base de datos de contraseñasestándar UNIX.

·         Kerberos es sólo parcialmente compatible con los Pluggable Authentication Modules (PAM) usados por la mayoría de los servidores Red Hat Enterprise Linux.

·         Presupone que cada usuario es de confianza pero que está utilizando una máquina no fiable en una red no fiable. Su principal objetivo es el de prevenir que las contraseñas no encriptadas sean enviadas a través de la red.

·         Si decide usar kerberos en su red, debe recordar que si se transmite cualquier contraseña a un servicio que no usa kerberos para autenticar, se corre el riesgo de que el paquete pueda ser interceptado.

Certificados Digitales

Son ficheros informáticos los cuales son generados por una entidad de servicios de certificación la cual asocia datos de identidad a una persona física, organismo o empresa confirmándose de esta manera su identidad digital en internet. El certificado es válido principalmente para autenticar a un usuario o sitio web, por lo que necesita la colaboración de un tercero el cual sea de confianza para cualquiera de las partes que participe en la comunicación.

Tienen como función autenticar al poseedor aunque también sirven para cifrar comunicaciones  y firmar digitalmente. En algunas administraciones públicas y empresas privadas es requerido el certificado digital  para poder realizar ciertos trámites que involucren intercambio de información sensible entre ambas partes.

Las entidades que operan como Autoridades de Certificación emiten diferentes tipos de certificados electrónicos.

Según la expedición:

• Certificado electrónico que se ha emitido cumpliendo los requisitos establecidos por la Ley 59/2003, de 19 de diciembre, de firma electrónica.
• Certificado electrónico reconocido que son los certificados electrónicos que se han expedido cumpliendo requisitos cualificados en lo que se refiere a su contenido, a los procedimientos de comprobación de la identidad del firmante y a la fiabilidad y garantías de la actividad de certificación electrónica.

Entre los certificados que se emiten para las personas jurídicas destacan los siguientes:

• El certificado de persona jurídica identifica una empresa o sociedad. En general, para solicitar este certificado, puede actuar como solicitante: un representante legal de la empresa (administrador único, solidario o mancomunado, o un consejero delegado) o bien un representante voluntario (apoderado), en cuyo caso es necesario que se extienda un poder notarial específico que le faculte a solicitar dicho certificado en representación de la empresa.
• El certificado de pertenencia a empresa es un certificado de persona jurídica que, además de la identidad del titular, acredita su vinculación con la entidad para la que trabaja, en virtud del cargo que ocupa en la misma.
• El certificado de representante, además de la pertenencia a empresa, acredita también los poderes de representación que el titular tiene sobre la misma. Es decir, el titular del certificado se identifica no sólo como persona física perteneciente a una empresa, sino como administrador de la misma.
• El certificado de Factura Electrónica es un certificado reconocido de persona física con poderes de representación de una organización únicamente para firmar Facturas Electrónicas.

SSL / TLS

SSL

En los primeros días de la World Wide Web, claves de 40-bit se usaron muy poco. Cada bit puede contener un uno o un cero, lo que significaba que eran dos 40 claves diferentes disponibles. Eso es un poco más de un billón claves distintas.

Debido a la velocidad cada vez mayor de computadoras, se hizo evidente que una clave de 40 bits no era lo suficientemente seguro. Posiblemente, con los procesadores de gama alta que vendría en el futuro, los piratas informáticos podría llegar a probar todas las claves hasta encontrar el adecuado, lo que les permite descifrar y robar información privada. Lo cual toma algo de tiempo, pero es posible.

Las claves se alargaron a 128 bits. Eso es 2128 claves o códigos de cifrado. Se determinó que si las computadoras siguen avanzando en la velocidad como lo han hecho en el pasado, estos códigos de 128 bits que permanecen seguros durante por lo menos una década más, si no más.

El SSL (Security Socket Layer) es un método transparente para establecer una sesión segura que requiere una mínima intervención por parte del usuario final. El navegador alerta al usuario de la presencia de un certificado SSL cuando se muestra un candado o cuando la barra de dirección aparece en verde cuando se trata de un certificado EV SSL con validación ampliada.

Es un protocolo diseñado para permitir que las aplicaciones para transmitir información de ida y de manera segura hacia atrás. 

 TLS

Es la siguiente generación del Certificado SSL : permite y garantiza el intercambio de datos en un entorno securizado y privado entre dos entes, el usuario y el servidor, mediante aplicaciones como HTTP, POP3, IMAP, SSH, SMTP o NNTP. Es la evolución de SSL dado que está basado en éste último certificado y funciona de manera muy similar, básicamente: encripta la información compartida.

Encripta mediante dos protocolos en capas diferentes: 

• El protocolo de autenticación (llamado TLS Record Protocol)  
• El de mútuo acuerdo (también conocido como TLS Handshake Protocol)

Record: se lleva a cabo la autenticación para que la transmisión de datos sea mediante una conexión privada y fiable (se negocia la encriptación y la integridad del emisor-receptor).

Handshake: se negocia el mensaje de manera segura. En cada mensaje se especifica el protocolo en un campo (llamado content_type) y se cifra y empaqueta con un código de autentificación (o MAC).

El protocolo TLS se distingue por la seguridad con la interoperabilidad (las transmisiones de datos encriptados de diferentes aplicaciones como HTTP, que pasa a ser HTTPS). Se lleva a cabo mediante un canal seguro y cifrado entre cliente y servidor en donde se negocia la criptografía del mensaje, se autentifican las claves del cifrado y se realiza una transmisión segura.