Tema II SII: Servii t l í d iddicios y tecnologías de...

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONESArquitectura de redes de comunicaciones

Tema I: Arquitectura TCP/IPTema I: Arquitectura TCP/IP

T II S i i t l í d id dTema II: Servicios y tecnologías de seguridad en Internet

Seguridad-L31 C. F. del Val

ARQUITECTURA DE REDESLección 3. Protección de comunicaciones

ARQUITECTURA DE REDES DE COMUNICACIONES

3.1 Firewall (Cortafuegos de Internet)( g )3.2 Redes corporativas. RPV

3.3.1 IPSec3.3.2 túneles de N2 ( L2TP)

Bibliografía TCP/IP Tutorial and Technical Overview. Cap. 22. p

Apartados 22.3; 22.4; 22.5; 22.10; 22.13 y 22.14http://www.redbooks.ibm.com

Criptography and Network Security” Cap 16 y 20 Criptography and Network Security . Cap. 16 y 20.


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Firewall-cortafuegos

Red empresaInternet empresaInternet

• Un firewall ó cortafuegos es un sistema o conjunto de sistemas que implementan una política de seguridad entre la red de unaque implementan una política de seguridad entre la red de una organización e Internet

» O.P; Router, Estación de trabajo, O.C. etc. • Separa una red confiable de InternetSepara una red confiable de Internet• La política de seguridad define el comportamiento del firewall

» Todo lo no específicamente permitido es prohibido


» Todo lo no específicamente prohibido es permitido

ARQUITECTURA DE REDESTipos de Firewall por funcionalidadARQUITECTURA DE REDES DE COMUNICACIONES

Tipos de Firewall por funcionalidad • Filtros de paquetes

Filtro de paquetes sin estados (Stateless)– Filtro de paquetes sin estados (Stateless)» Filtrado de paquetes independientes

– Filtro de paquetes con estados (Stateful) » Nivel de red y transporte asociando cada paquete a su correspondiente

flujo– Filtro de paquetes con estados e inspección del nivel de aplicación

» Comportamiento del protocolo: CBAC (content Based Access Control): Protocolos más comunes (RFCs)

» Inspección del contenido (firmas de ataques): Deep Inspection

• Pasarela de nivel de aplicación (o servidor proxy)– Nivel de aplicación

Pasarela de nivel de circuito• Pasarela de nivel de circuito– Nivel de transporte (TCP-UDP)


ARQUITECTURA DE REDES Opciones de diseño de un FirewallARQUITECTURA DE REDES DE COMUNICACIONES

p

• Funcionalidad del S.O.– Firewall de Windows

• Routers– Funcionalidad incluidaFuncionalidad incluida

• Software– Aplicación para un S.O. de propósito general.– El vendedor del Firewall incluye parches del S.O. para

securizar la máquina.• Hardware

– Se utilizan dispositivos específicos optimizados (Appliance) y con S.O. al efecto.

I t d t f i lid d d id d• Integrado con otras funcionalidades de seguridad– RPV (VPN)– SDI


– SPI

ARQUITECTURA DE REDES Filtro de paquetesARQUITECTURA DE REDES DE COMUNICACIONES Filtro de paquetes.

Internet

Filtrado de paquetes en base a:

C t id b IP

Implementación

LCA li t d C t l d AContenido cabecera IP

Tipos de mensajes ICMP

LCA: listas de Control de Acceso

IP Tables

Seguridad-L36 C. F. del ValContenido cabecera TCP/UDP

ARQUITECTURA DE REDESFirewall de filtrado con estados


180.10.33.52

192.168.1.0/24 80.20.60.41

Internet

Protoc D. Origen P. Orig D. Desti P. destino Acción

Protoc D. Orig P. Origen D. Destino P. destino Conexión Acción

TCP 180.10.33.52 80 80.20.64.41 >1023 Establecida Allow

…. ….

Seguridad-L37 C. F. del ValRegla Temporal creada a partir del segmento SYN

ARQUITECTURA DE REDESPasarela (Proxy) de aplicación (HostARQUITECTURA DE REDES DE COMUNICACIONES

Pasarela (Proxy) de aplicación. (Host Bastion)

TELNET

HTTP

FTP

TELNET

INTERNET

Red confiable

FTP

• Permite implantar una política de seguridad más estricta que un firewall • Una comunicación está constituida por dos conexiones

No hay flujo directo de paquetes entre la red confiable e Internet• No hay flujo directo de paquetes entre la red confiable e Internet• Se implementa un código de propósito especial (servidor Proxy) por cada

aplicación (http; FTP; Telnet; etc.)C l i i i d i i ti t– Cualquier usuario que quiera acceder a un servicio se tiene que conectarse primero al “servidor proxy”

– Cada aplicación del Proxy se configura en función de la política de seguridadLos terminales de la red confiable solamente pueden utilizar los servicios


– Los terminales de la red confiable solamente pueden utilizar los servicios implementados en el proxy

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Pasarela de nivel de circuito

INTERNET

Red confiableRed confiable

•Actúa como un dispositivo intermedio a todas las conexiones TCP Similar a los Proxy•Actúa como un dispositivo intermedio a todas las conexiones TCP. Similar a los Proxy•No realiza procesamiento ni filtrado, simplemente retransmite segmentos de una conexión a otra.

•El cliente se conecta con el servidor y se autentica.•Se analiza la conexión en base a número de puerto, origen, destino, clave de usuario•En el caso, que sea admisible, puentea la conexión directamente

•La seguridad se basa en permitir o no las conexiones TCP.


•Pasarela de nivel de circuito estandarizada: SOCKS (v4; v5- RFC 1928)

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES DMZ con firewall de estados

LCA

Internet

LCA básicas

Servidores Web

El firewall no comprueba el t áfi d l DMZServidores Web

públicostráfico de la DMZ


ARQUITECTURA DE REDESDMZ y firewall de estados con tresARQUITECTURA DE REDES DE COMUNICACIONES

DMZ y firewall de estados con tres interfaces

Todo el tráfico pasa por el firewall

Internet

Servidores Web


públicos

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Esquema con dos Firewall

Internetet


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Firewall con varias DMZs

Internet

Servidores Web públicos en DMZ diferentes


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Múltiples Firewall

SPC

SPNC

Internet

SPSCSPSC


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Proxy en la red Interna

El administrador

Proxy

controla los usuarios que acceden a Internet

Red confiable

INTERNET


ARQUITECTURA DE REDES Proxy conectado al firewallARQUITECTURA DE REDES DE COMUNICACIONES

Proxy conectado al firewall

INTERNET

RedRed confiable


ARQUITECTURA DE REDES Proxy en la DMZARQUITECTURA DE REDES DE COMUNICACIONES

Proxy en la DMZ

Socks v5

INTERNET

RedRed confiable


ARQUITECTURA DE REDES Redes corporativas IntranetsARQUITECTURA DE REDES DE COMUNICACIONES Redes corporativas-Intranets

• Interconexión del material informático de la organización en red

» Hoy mediante tecnología TCP/IP» Conexión de dependencias remotas y acceso remoto de Co e ó de depe de c as e otas y acceso e oto de

empleados• Servicios de comunicaciones de Operadores• Internet y Tecnología de RPVInternet y Tecnología de RPV

» Intranet• Interconexión con Colaboradores, Suministradores, etc.

» Extranet • Tecnología de RPV

– ImplementaciónImplementación» Servicios de comunicaciones de Operadores

• Servicios de RPV


» Internet + Tecnología de RPV

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Tecnologías de RPV (VPN)

• Nivel 2: Protegen tramas PPP – PPTP (Point-to-Point Tunneling Protocol): Desarrollado por

Microsoft– L2F (Layer 2 Forwarding), Desarrollado por Cisco– L2TP (Layer Two Tunnel protocol) Norma IETF

» Mezcla de PPTP y de L2F• Nivel 3: Protegen paquetes IPNivel 3: Protegen paquetes IP

– IPSec: desarrollado para comunicaciones seguras a nivel IP • Nivel transporte:

– SSL/TLS: desarrollado por Netscape y estándar IETF• Aplicación

– SSH desarrollado por Tatu YlonenSSH desarrollado por Tatu Ylonen» Putty (Windows)» WinSCP» SFTP


» SFTP

ARQUITECTURA DE REDESUtilización de tecnologías de RPV


Tecnología que utilizando Internet permite

• (O-O) Constituir la red Oficina de• (O-O) Constituir la red corporativa interconectando las oficinas (Ipsec)

Oficina de Otra empresa

INTERNET

OFICINA B

• (AR) Utilizar la red corporativa desde localizaciones remotas (sede, casa, hotel, etc.) (sede, casa, ote , etc )( SSL, L2TP)

• Extranet

OFICINA A

VIAJEDOMICILIO

Seguridad-L320 C. F. del ValOFICINAS CENTRALES

DOMICILIO

ARQUITECTURA DE REDES IPsecARQUITECTURA DE REDES DE COMUNICACIONES IPsec

• Proporciona comunicaciones seguras a nivel IPE li ió d l f i lid d d IP– Es una ampliación de la funcionalidad de IP

– Opcional en IPv4» Protocolos AH (Authentication Header) y ESP (Encapsulation

Security Payload)– Obligatorio en IPv6? Cabeceras de extensión (AH y ESP)

• Servicios de seguridadServicios de seguridad– Confidencialidad– Autenticación

I t id d» Integridad » Autenticación de origen

– Control de acceso– Protección contra repeticiones

• Gestión de claves– Configuración


Configuración– Automático (IKE)

ARQUITECTURA DE REDESComponentes de IPsec


INTERNETRA RB

p

INTRANETOFICINA B

INTRANETOFICINA A

B de D de Política de seguridad

B de D de Asociaciones de seguridad


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Operativa del protocolo AH

Datos y campos de la cabecera

Paquete original

Paquete recibido

de la cabecera inmutables y predecibles

Hash Clave CAM

IP AH Datos IP AH Datos Clave CAMINTERNET Hash

MAC

Si son iguales Paquete autenticado

CAMrecibido

CAMcalculadoMD5-HMAC-96

SHA HMAC 96Si no son iguales Paquete alterado

SHA-HMAC-96

AES-XCBD-MAC-96


ARQUITECTURA DE REDESEstructura del protocolo AH

ARQUITECTURA DE REDES DE COMUNICACIONES (Autentication Header)• Añade al paquete IP una cabecera de autenticación (Nº 51)

G ti l d t f i d l t i l i h id• Garantiza que el datagrama fue enviado por el terminal origen y que no ha sido alterado durante el trayecto.

0 7 15 23 31Cabecera sig. Long. Datos Reservado

SPI (Security Parameters Index)( y )Número de secuencia

Datos de autenticación (l it d i bl )

D t d t ti ió CAM l l d l d l l it

(longitud variable)

•Datos de autenticación: CAM calculado con alguno de los algoritmosKMD5; KSHA-1; HMAC-MD5-96 , HMAC-SHA-1-96, AES-XCBD-MAC-96


ARQUITECTURA DE REDES Operativa del protocolo ESPARQUITECTURA DE REDES DE COMUNICACIONES

Operativa del protocolo ESP (confidencialidad)

Paquete original

Paquete recibido

AlgoritmoClave ESP IP ESP IP Algoritmocriptográfico

Clave ESPDatos DatosESPINTERNET

original recibido

criptográfico criptográficocriptográfico

Paquetecifrado

Paquetedescifrado

DES3DESAES


AES

ARQUITECTURA DE REDES

Estructura del protocolo ESP (E l ti S it P l d) ( º 50)ARQUITECTURA DE REDES

DE COMUNICACIONES (Ecapsulating Security Payload) (nº 50)• Cifra el paquete

•Garantiza que el contenido no pueda ser examinado por terceros (o que siGarantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado).

•Incluye una cabecera (SPI y Nº seq) y una cola •Opcionalmente puede incluir la función de autentificación (AUT)Opcionalmente puede incluir la función de autentificación (AUT)

•Primero se cifra y después se autentica•Los datos AUT se añaden después de la cola ESP

0 7 15 23 31SPI (Security Parameters Index)

BITS

Carga de Datos (Payload data): Longitud variable

CIF

AU

TEN

TIC

( y )Número de secuencia

Longitud variableRelleno (padding): 0 a 255 octetos

Long. relleno Cabecera Sig.

RA

DO

Datos de autenticación

CA

DO


Datos de autenticación (longitud variable)

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Asociación de Seguridad

Definición• Definición– Relación unidireccional y para cada protocolo entre un

emisor y un receptor que liga los servicios de seguridad al tráfico llevado sobre la misma

• Identificación ASSPI (Índice de Parámetros de Seguridad)– SPI (Índice de Parámetros de Seguridad)

– Dirección IP destino– Protocolo

• Parámetros AS– En cada implementación IPsec debe haber una Base de

Datos de Asociaciones de Seguridad que define losDatos de Asociaciones de Seguridad que define los parámetros asociados con cada SA.


ARQUITECTURA DE REDESParámetros de Asociación de seguridadARQUITECTURA DE REDES DE COMUNICACIONES

Parámetros de Asociación de seguridad (SA)

• Nº de secuencia– Un valor de 32 bit utilizado para generar el Número de Secuencia en las cabeceras AH

o ESP.

• Flag de desbordamiento de nº de secuenciaI di i t dit bl i t i i b j t AS– Indica si es evento auditable y prevenir transmisiones bajo esta AS.

• Ventana de anti-replay– Activado no permite repeticiones por rotación

• Algoritmo para AH y sus claves– Algoritmo, claves, tiempo de duración de los mismos, y parámetros relacionados.

• Algoritmo para ESP y sus claves– Algoritmos, claves, valores de inicialización, tiempo de duración de las claves, etc..

• Tiempo de vida de la asociación– Intervalo de tiempo ó contador, para acabar y/o reemplazar una AS

• Modo del protocolo– Transporte o túnel

• MTU


– Máximo tamaño que puede ser transmitido sin fragmentación

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Proceso de cada paquete• Proceso independiente en entrada y salida consultando las

SPD, SAD y la propia AS• Salida

– Tirar el paqueteTirar el paquete– No aplicar IPsec– Aplicar IPsec

E t d• Entrada– Existe cabecera IPsec

» Se procesa la cabecera» Se consulta la SPD para ver si se puede admitir.

– No existe cabecera IPsec» Se consulta la SPDSe consulta la SPD» Si debía tener cabecera IPsec se tira


ARQUITECTURA DE REDES Gestión de claves AutomáticoARQUITECTURA DE REDES DE COMUNICACIONES Gestión de claves Automático

• El protocolo de gestión de claves es IKE: Internet Key p g yInterchange (ISAKMP/Oakley)

– OaKley: Protocolo de Intercambio de claves basado en el método de distribución de claves de Diffie-Hellman con seguridadde distribución de claves de Diffie-Hellman con seguridad añadida

– ISAKMP (Internet Security Association and Key Management Protocol)Protocol)

» Define procedimientos y formato de paquetes para establecer, negociar, modificar y borrar asociaciones de seguridad

» Utilización de UDP como protocolo de transporte (puerto 500)» Utilización de UDP como protocolo de transporte (puerto 500)• IKEv1• IKEv2

– Mejora la eficiencia


ARQUITECTURA DE REDES IKEARQUITECTURA DE REDES DE COMUNICACIONES

IKEIKEIKE

Establecer una Asociación AS IKE

IPSecIPSec--IKEIKE

Establecer dos asociaciones de seguridad AS IPSecIPSec

Datosatos

Dos Comunicaciones seguras


seguras

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES IKEv2

En claro

Protegido con IPseccon IPsec AS-IKE

Protegido con IPsec AS-IKEAS IKE


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Túneles IP

10.100.10.110.20.1.120

Destino: 10.20.1.120 Destino: 10.100.10.1

INTERNET

RED CORPORATIVA

Origen: 10.100.10.1 Origen: 10.20.1.120RED CORPORATIVA

INTERNET

152.22.58.5 132.10.11.3

Dest: 131.10.11.3Src: 62.22.58.5

Dest: 172.20.1.120Src: 172.24.1.253

Destino: 132.10.11.3Origen: 152.22.58.5

Destino: 10 20 1 120


Src: 172.24.1.253 Destino: 10.20.1.120Origen: 10.100.10.1

ARQUITECTURA DE REDESModos de utilización IPsec


M d t t• Modo transporte: – Comunicación segura extremo a extremo. Requiere

implementación de IPSec en ambos terminales. p• Modo túnel:

– Comunicación segura entre routers únicamente. » Permite incorporar IPSec sin tener que modificar los terminales

– Comunicación segura entre terminal y router (servidor de túneles


ARQUITECTURA DE REDES Modos de utilización IPsec (II)ARQUITECTURA DE REDES DE COMUNICACIONES

Modos de utilización IPsec (II)

Cab.externa Cab.interna

Direcciones IP

Cab.externa Cab.interna

Direcciones IP1 B ESP ó AH 1 3 Datos

Terminal 3

MODO TÚNEL

A B ESP ó AH 1 2 Datos Router A Router BTerminal 3

INTERNET

MODO TRANSPORTE

Terminal 1 Terminal 21 2 ESP ó AH Datos

Direcciones IP


Direcciones IPOrigen-Destino

ARQUITECTURA DE REDESFormato del paquete AH (IPv4).

ARQUITECTURA DE REDES DE COMUNICACIONES Modo transporte

DatosCabecera IP

Cabecera AH DatosCabecera IP

•Cabecera IP (excepto campos variables impredecibles)•TOS•TTL•CRC•Desplazamiento•Desplazamiento•Flags

•Datos


•Se puede fragmentar el paquete. El destino ensambla los fragmentos antes de aplicar AH.

ARQUITECTURA DE REDESFormato del paquete AH (IPv4).

ARQUITECTURA DE REDES DE COMUNICACIONES Modo túnel

DatosCabeceraIP

CabeceraAH

CabeceraIP Túnel DatosCabecera

IP

• Paquete original

•Cabecera y datosy

• Cabecera IP túnel (excepto campos variables impredecibles)•TOS•TTLTTL•CRC•Desplazamiento•Flags


ARQUITECTURA DE REDESFormato del paquete AH (IPV6)


p q ( )

MODO TRANSPORTE

CABECERAIP

SALTO CABECERAAH

DEST.,OPT (1)

TCP DATOSIP A SALTO... AH OPT.(1)

(1)PUEDEN IR ANTES Y/O DESPUÉSDE AH

MODO TÚNEL

CABECERAIP EXTERNA

CABECERASDE EXTENS.

CABECERAAH

CAB.IPORIGINAL

TCP DATOSCABECERASDE EXTENSDE EXTENS.

.


ARQUITECTURA DE REDESFormato del paquete ESP (Pv4)ARQUITECTURA DE REDES DE COMUNICACIONES

Formato del paquete ESP (Pv4).Modo transporte

DatosCabecera IP

Cabecera ESP DatosCabecera IP Cola

ESPESPaut


ARQUITECTURA DE REDESFormato del paquete ESP (Pv4)ARQUITECTURA DE REDES DE COMUNICACIONES

Formato del paquete ESP (Pv4).Modo túnel

DatosCabeceraIP

CabeceraCabecera DatosCabecera Cola ESPESPIP Túnel DatosIP ESP aut


ARQUITECTURA DE REDESFormato del paquete ESP (IPv6)ARQUITECTURA DE REDES DE COMUNICACIONES

Formato del paquete ESP (IPv6)

MODO TRANSPORTEMODO TRANSPORTE

CABECERA SALTO CABECERA DEST., TCP DATOS COLA AUTENTIC.

(1) PUEDEN IR ANTES Y/O DESPUÉSDE ESP

IP A SALTO... ESP OPT.(1) ESP ESP

MODO TÚNEL

CABECERA

IP INTERNA

CABECERAS

DE EXTENSCABECERA TCP DATOSCABECERA

IP EXTERNA

CABECERAS

DE EXTENSCOLA AUTENTIC.

IP INTERNA DE EXTENS.ESPIP EXTERNA DE EXTENS. ESP ESP

.


ARQUITECTURA DE REDESIPsec NAT-Transversal


OFICINA 4OFICINA 1

Los puertos TCP y UDP van autenticados y cifrados por lo que no se pueden cambiar en el router

INTERNET

Solución : se encapsula IPsec en

OFICINA 2 OFICINA 3UDP (puerto 4500)


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES L2TP

• Entorno Norma IETF– Norma IETF

– Sucesor del PPTP y del L2F• Características:

– Encapsula /túnel) tramas PPP en paquetes IP y utiliza UDP como protocolo de encapsulado.

– Permite cifrado PPP (MPPE/ECP) o IPsec (L2TP/Ipsec)Permite cifrado PPP (MPPE/ECP) o IPsec (L2TP/Ipsec)– Permite conexiones PPP multienlace– Se pueden utilizar los esquemas de autenticación de PPP

o de IPseco de IPsec» PAP y CHAP

– El control del túnel se realiza mediante UDP (puerto 1701)I l t ió• Implementación

– L2TPv2 para PPP– L2TPv3, para cualquier protocolo


, p q p– Clientes L2TP/IPsec en los S.O. más comunes

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES L2TP sobre IP

Paquete TCP/IPIPHeader

TCPHeader

PayloadData

Paquete TCP/IP

L2TP

EncapsuladoPPP

IP TCP PayloadPPPL2TP

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPInterface

UDPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeaderInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPHeader

IPInteface

Ehernet


ARQUITECTURA DE REDESEncapsulado L2TP/IPSec sobre IPARQUITECTURA DE REDES DE COMUNICACIONES

Encapsulado L2TP/IPSec sobre IP

Paquete TCP/IP

Encapsulado IP TCP PayloadPPP

IPHeader

TCPHeader

PayloadData

L2TPInterface

PPP

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

Header Header DataHeader

UDPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPSec ESPHeader

IPSecInteface

IP

IPSec ESPTrailer

IPSecAUTHTrailer

S

Ehernet

IPInteface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPSec ESPHeader

IPHeader

IPSec ESPTrailer

IPSecAUTHTrailer


e et

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Protocolos de autenticación PPP

• La fase de establecimiento del enlace puede ser seguida de una f i l d t ti iófase opcional de autenticación– PAP (Password Authentication Protocol)

» Envía el nombre de usuario y la contraseña en claro» Envía el nombre de usuario y la contraseña en claro– CHAP (Challenge Handshake Authentication Protocol)

» Se comparte una clave secreta que se utiliza como entrada a la función Hash junto con la información de prueba de identidad

» Las contraseñas se envían cifradas pero se almacena en claro– MS-CHAPv1/v2(Microsoft Challenge Handshake AuthenticationMS CHAPv1/v2(Microsoft Challenge Handshake Authentication

Protocol).» Variante de Microsoft de CHAP

Al l l if d• Almacena las claves cifradas– EAP (Extensible Authentication Protocol).

» Soporta múltiples métodos y mecanismos (tarjetas inteligentes,


p p y ( j g ,etc.) de autenticación que se seleccionan en la fase de autenticación

ARQUITECTURA DE REDES RADIUS (Remote Access Dial-In UserARQUITECTURA DE REDES DE COMUNICACIONES

RADIUS (Remote Access Dial In User Service)

NAS(SERVIDOR RADIUS)

NAS

PROTOCOLO PPPPROTOCOLO UDP

NAS(CLIENTE RADIUS)

RTC/RDSI

GSMRED IP

PROTOCOLO PPP

•Solución de autenticación escalable

INTERNET

APLICACIONES

Solución de autenticación escalable•Define dos cosas, en primer lugar un conjunto de funcionalidades que deberían ser comunes a los servidores de autenticación y un protocolo para acceder a dicha funcionalidadpara acceder a dicha funcionalidad.

•El motivo de su desarrollo fue tener un servidor centralizado de autenticación que tiene toda la información sobre los usuarios y permitir reali ar el control de acceso de forma remota en la entrada a la red (Pool


realizar el control de acceso de forma remota en la entrada a la red (Pool de modems, servidores de acceso, etc).

ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Bibliografía (I)

htt // illi t lli /C t h /http://williamstallings.com/Cryptography/


ARQUITECTURA DE REDESARQUITECTURA DE REDES DE COMUNICACIONES Bibliografía (II)

Capítulo 22


http://www.redbooks.ibm.com

Tema II SII: Servii t l í d iddicios y tecnologías de...

Documents

Transcript of Tema II SII: Servii t l í d iddicios y tecnologías de...