Pruebenos

Authentication, Authorization y Accounting (AAA): RADIUS o TACACS+

June 2, 2017
Telecomunicación
Authentication, Authorization y Accounting (AAA): RADIUS o TACACS+
Al construir y operar una red, es importante tener un control estricto sobre quién tiene acceso a sus dispositivos. Si su red es pequeña y el número de usuarios es reducido, supervisar el acceso y la seguridad no es difícil, y a menudo un administrador de red es responsable de ello. Sin embargo, si la organización tiene una gran red corporativa o se trata de la red de un operador de telecomunicaciones con un gran número de suscriptores, controlar manualmente quién tiene acceso a qué se vuelve imposible. En este caso, AAA viene al rescate: un mecanismo que permite la autenticación, autorización y registro de usuarios, es decir, controla el acceso y registra las acciones realizadas.

¿Para qué sirve AAA?

Para garantizar la seguridad de la red, es necesario asegurar el control del acceso de los usuarios a diversos elementos de la red. Estos elementos pueden ser dispositivos de red, servidores, ordenadores, aplicaciones o incluso segmentos de la propia red.

Los escenarios son diferentes, pero el principio es el mismo: Autenticación, Autorización y Contabilidad (AAA).

Existen dos tipos principales de AAA para redes:

  • Administración de dispositivos de red: Gestiona quién tiene acceso para iniciar sesión en la consola de un dispositivo de red, sesión Telnet, Secure Shell (sesión SSH) u otros medios.
  • Acceso a la red: Identifica a un usuario o dispositivo antes de que se le conceda acceso a la red.

Existen dos soluciones principales para AAA en las redes modernas: el Servicio de autenticación remota telefónica de usuario (RADIUS) y los protocolos TACACS+ (Sistema de control de acceso a terminales) de Cisco. Existe un tercer protocolo AAA, conocido como DIAMETER, pero normalmente solo lo utilizan los operadores móviles. Analizaremos y compararemos RADIUS y TACACS+ para ayudarle a determinar cuál es el más adecuado para su red.

Conceptos básicos de AAA

Antes de familiarizarnos con los protocolos RADIUS y TACACS+, comprendamos los conceptos básicos del mecanismo AAA. Por ejemplo, utilizaremos el proceso de acceso legal a una sala con control de acceso.

Autenticación: determinar la identidad de la persona que intenta acceder a la sala. En nuestro ejemplo, podría ser un escaneo de huellas dactilares, ya que cada persona tiene una huella dactilar única y puede garantizar la confirmación de la identidad. En el mundo interconectado, la autenticación estándar implica el uso de un nombre de usuario y una contraseña que se generan para cada usuario y que le permiten confirmar su identidad.

Autorización: el siguiente paso tras la autenticación exitosa. Consiste en verificar los derechos de acceso a la sala de la persona que ha superado la autenticación. Es posible que una persona tenga derecho a entrar en la primera sala, pero no a ir más allá. En los dispositivos de red, los derechos de acceso suelen definir una lista de comandos que un usuario autenticado puede ejecutar. Por ejemplo, un ingeniero de red con acceso de nivel 1 solo puede ver la configuración del dispositivo mediante el comando «show», mientras que un ingeniero con acceso de nivel 2 puede realizar cambios. En los servidores AAA de los operadores de telecomunicaciones, el derecho de acceso puede determinar la afiliación del suscriptor a un plan tarifario.

La contabilidad es una etapa paralela a la autenticación y la autorización, que registra en el registro el éxito o el fracaso de estos procesos, si una persona pudo acceder a las instalaciones, si el usuario accedió al dispositivo de red y, de ser así, qué acciones realizó en él. Este proceso es importante desde el punto de vista de la seguridad y el control de acceso, ya que permite identificar posibles amenazas y buscar vulnerabilidades en el sistema.

Subscribers Authorization on Stingray

En la práctica, el proceso AAA en las redes de operadores de telecomunicaciones se desarrolla así:

  1. El suscriptor se conecta al dispositivo de acceso AGW (Puerta de Acceso) o al Servidor de Acceso a la Red (NAS) e introduce su nombre de usuario y contraseña.
  2. El AGW (NAS) genera y envía una solicitud de autenticación al servidor AAA y espera la respuesta.
  3. El servidor AAA contacta con el sistema DPI o el servidor de facturación mediante el protocolo RADIUS para verificar el nombre de usuario y la contraseña del suscriptor.
  4. El servidor AAA genera una respuesta y la envía de vuelta al AGW (NAS).
  5. Si la autenticación es correcta, el AGW (NAS) permite al suscriptor acceder a la red, pero aún no le proporciona ningún servicio.
  6. Si el usuario intenta acceder a Internet (introduce una URL en la línea del navegador), el AGW (NAS) genera una nueva solicitud de autorización al servidor AAA.
  7. El servidor AAA contacta de nuevo con el sistema DPI o el servidor de facturación para obtener información sobre el plan tarifario y los servicios conectados al suscriptor.
  8. Después de recibir una respuesta positiva de la facturación, el servidor AAA envía una respuesta al AGW (NAS) y el suscriptor obtiene acceso a Internet de acuerdo con la configuración establecida para el plan tarifario.

RADIUS

El protocolo RADIUS es un estándar IETF para AAA. Se utiliza desde principios de la década de 1990 y se utilizó originalmente para conexiones de módem por acceso telefónico. Originalmente, se utilizaba para extender la Capa 2 del Protocolo Punto a Punto (PPP) entre un usuario final y un Servidor de Acceso a Red (NAS), transmitiendo el tráfico de autenticación del NAS al servidor AAA. La información de autenticación y autorización se entrega en un único tipo de paquete, y la contabilidad se gestiona mediante un proceso independiente. RADIUS es ampliamente utilizado y compatible con la mayoría de los fabricantes de dispositivos y desarrolladores de software.

Una implementación moderna de RADIUS utiliza los puertos 1812 (autenticación) y 1813 (contabilidad) del protocolo UDP (también se pueden utilizar los puertos 1645 y 1646). UDP es rápido, pero presenta una serie de desventajas que deben tenerse en cuenta al utilizarlo. Cuando se desarrolló RADIUS, los problemas de seguridad no eran tan apremiantes como ahora, por lo que admite un número bastante reducido de tipos de autenticación (texto sin cifrar y CHAP), cifra únicamente el campo de contraseña y, en general, ofrece un nivel de seguridad medio.

TACACS+

Este protocolo, desarrollado por Cisco, es una evolución de versiones anteriores de TACACS y XTACACS. A pesar de la similitud de nombres, TACACS+ ha sufrido importantes modificaciones y no es compatible con versiones anteriores de TACACS, que ahora casi no se utiliza. El principal uso de TACACS+ es la administración de dispositivos de red, pero puede utilizarse para algunos tipos de AAA al acceder a la red. TACACS+ utiliza el puerto 49 del Protocolo de Control de Transmisión (TCP), en lugar de UDP, ya que es más fiable y permite la recepción temprana de información sobre posibles errores gracias al paquete TCP-RST. TCP es un protocolo más lento, pero ofrece ventajas adicionales: la capacidad de separar la autenticación, la autorización y la contabilidad como funciones independientes, múltiples autorizaciones tras una autenticación y el cifrado de todo el contenido del paquete.

Para mayor claridad, combinaremos las principales características en una tabla:

RADIUS
TACACS+
Protocolos y puertos utilizados
UDP: 1812 & 1813 o UDP: 1645 & 1646
TCP: 49
Servicios
Combina autenticación y autorización
Diferentes procesos de autenticación, autorización y contabilidad
Cifrado
Solo se cifra la contraseña
Se cifra todo el cuerpo del paquete
Tipos de autenticación admitidos
Clear text (ASCII, PAP), CHAP
Clear text (ASCII, PAP), CHAP, ARAP
Posibilidad de redirección de solicitudes
No
Propósito principal
Acceso a la red
Administración de dispositivos

Principales diferencias entre RADIUS y TACACS+

Las principales diferencias radican en que TACACS+ cifra todo el contenido del paquete, dejando únicamente un encabezado simple. Este método protege contra atacantes que escuchan los mensajes enviados entre dispositivos. TACACS+ también implementa funciones AAA por separado, lo que permite que cada una se ubique en un servidor independiente o incluso utilice un protocolo diferente (diferente a TACACS+).

TACACS+ también ofrece una integración más estrecha con los dispositivos Cisco y permite una gestión detallada de los routers (el proceso de autorización). Con un servidor TACACS+, es posible implementar la gestión de comandos mediante niveles de acceso (que posteriormente se configuran en los propios dispositivos). RADIUS permite algunas de estas funciones, pero no con la misma calidad ni flexibilidad que TACACS+.

TACACS+ también admite otros protocolos (distintos de IP), como AppleTalk, NetBIOS, NetWare Asynchronous Service Interface (NASI) y X.25, pero su uso ha disminuido en las redes modernas.

Al usar el protocolo TACACS+, no puede haber firewall entre el cliente y el servidor, ya que el servidor debe recibir una solicitud del cliente con su dirección IP, no la dirección del firewall. Con RADIUS, la dirección IP del cliente también está incluida en el propio paquete, lo que permite al servidor AAA obtenerla.

Pero la mayor desventaja de TACACS+ es que Cisco desarrolló este protocolo para sus propias necesidades, por lo que sus dispositivos de red de esta compañía recibieron el mayor soporte. Sin embargo, la situación está cambiando gradualmente y otros fabricantes comenzaron a ofrecer soporte para TACACS+.

El protocolo a utilizar para el servidor AAA debe elegirse en función de la tarea. Si se trata de administración de dispositivos, TACACS+ será la mejor opción, y si se trata de acceso a la red, RADIUS es una opción más universal y rápida.

Subscriber Authorization on Stingray

A partir de Stingray Service Gateway 6.0, la autorización de sesiones IPoE en RADIUS está disponible, lo que ha ampliado las capacidades del operador de telecomunicaciones para controlar el acceso de los suscriptores a Internet y aplicar políticas de planes tarifarios y opciones de tarifas adicionales:

  • Asignación y modificación de políticas (planes y opciones tarifarias);
  • Redireccionamiento de usuarios al Portal Cautivo (bloqueo);
  • Trabajo a nivel L3;
  • Identificación de usuarios por IP o por etiqueta Q-in-Q.

Para obtener información más detallada sobre las ventajas de Stingray Service Gateway, su uso eficaz en las redes de operadores de telecomunicaciones y la migración desde otras plataformas, puede contactar con los especialistas de VAS Experts, desarrollador y proveedor del sistema de análisis de tráfico Stingray Service Gateway.

Vota:
5 de 5
Valoración media : 5
Valorado por: 1
La red de bots envía spam a través de routers VAS Experts refuerza su presencia en India con la alianza con XELE Labs LLP