MANUAL UNIDAD 4. Sistemas de Autentificación

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 54

4.

Sistemas de autentificación
Proceso

57%
Índice
4.1 Tecnologías de Identificación
4.2 PAP y CHAP
4.3 RADIUS
4.4 El protocolo 802. IX
4.5 La suite de protocolos EAP: LEAP, PEAP, EAP-TLS
4.6 Sistemas biométricos
4.1 TECNOLOGÍAS DE IDENTIFICACIÓN
En un momento dado, se debe definir quién tendrá acceso
a los sistemas informáticos específicos y a sus recursos.
En esto consiste el control de acceso y consta de 3 pasos:
¿Qué es el
1.IDENTIFICACIÓN
2.AUTENTICACIÓN
CONTROL DE
3.AUTORIZACIÓN
ACCESO
1.IDENTIFICACIÓN
Es la forma en la que nos presentamos ante un
sistema, siendo lo más común con un nombre de
usuario o login,
medio por el cual un usuario del sistema identifica
¿Qué es el
quién es. Este paso se realiza generalmente al iniciar CONTROL DE
sesión.
ACCESO
2.AUTENTICACIÓN
Con el objetivo de verificar la identidad del usuario
se hace la autenticación. De esta manera, se constata
que alguien es quien dice ser, es decir, quien tiene
autorización para acceder al sistema o recurso.
Se utilizan contraseñas, escáneres biométricos,
¿Qué es el
reconocimiento de voz… siendo lo más común la
contraseña o password.
CONTROL DE
ACCESO
3.AUTORIZACIÓN
La autorización para utilizar el sistema se produce
después de la autenticación. Generalmente, el usuario
solo tendrá autorización para usar o acceder a una
parte de los recursos del sistema, dependiendo del
papel que tenga en la organización o en su hogar.
El proceso de autorización podrá utilizarse para
decidir si una persona, programa o dispositivo
puede tener acceso a archivos, datos,
¿Qué es el
funcionalidades o servicios específicos.
Los privilegios son las acciones que se le permite CONTROL DE
realizar a un usuario como, por ejemplo: leer en
una base de datos o archivo o escribir en dicha
base de datos o archivo.
ACCESO
Impedir el acceso no autorizado a los sistemas de
información, bases de datos y servicios de información.

Instaurar medidas de seguridad en los accesos de usuarios

Objetivos del mediante técnicas de autenticación y autorización.

Control de las conexiones entre redes.

CONTROL DE Revisión y control de las actividades


llevadas a cabo por los usuarios en los

ACCESO sistemas.
Concienciación de los usuarios frente a su
responsabilidad en la utilización de contraseñas y
equipos.
Garantizar la seguridad de la información en la
utilización de dispositivos móviles y trabajo remoto.
A co nt i n u a c i ó n , va m o s a co n o c e r q u é
e s l a a u te nt i ca c i ó n .
https://player.vimeo.com/video/319494921?h=e137171dd9
¡Recuerda!
La autenticación confirma una identidad de usuario comparando las
credenciales recogidas en una base de datos.

Algunos métodos muy recomendables para la autenticación son:

Uso de El certificado Ta r j e t a Factores


contraseñas digital inteligente biométricos
Antes de nada, deberíamos comprender las
diferencias entre:

Autenticación Autentificación
Verifica si algo es auténtico. Proceso por el que se comprueba que la persona

El sistema autentica al usuario en el con la que estamos manteniendo la

momento de la conexión comunicación es la que debería ser y que no se

comprobando que la contraseña trata de alguien haciéndose pasar por ella.

proporcionada es correcta. Basándose en un elemento de prueba como una


clave secreta o pública, lo que permite asegurarse
con un nivel de confianza razonable de la
identidad del usuario.

Al contrario de lo que podría parecer a simple


vista, este tipo de validación es bastante
compleja y necesita de protocolos complicados
basados en la criptografía.
Imagina

Un usuario empieza generando una


comunicación con otro usuario o con un centro
de distribución de claves, tras lo que surge un
intercambio de mensajes.

Sin embargo, un intruso decide entrar en la


comunicación para romperla desde dentro,
modificando mensajes y engañando a los Un protocolo de autenticación
usuarios. impediría al intruso entrar dentro de
la comunicación, lo que generaría y/o
mejoraría la seguridad y fiabilidad en
la misma.
No es extraño pensar que una tercera persona se pueda
intentar meter en una comunicación ajena. Cuando una
plataforma está diseñada para que varios usuarios hagan uso
de ella de forma bidireccional, aumenta la posibilidad de que
personas ajenas traten de acceder para extraer beneficios de
ella.

Los elementos de validación de identidad y el control de


accesos, por lo tanto, se convierten en alternativas clave para
maximizar la seguridad del sistema y la información que en él
se maneja.
El Single Sign-On o
Inicio de Sesión Único

Se ha convertido en uno de los mejores métodos de


autenticación, que permite acceder a varios sistemas
identificándote una sola vez. Esto logra que una autenticación
contra el mismo se extienda inmediatamente al resto de
aplicaciones.

Características

Haz clic sobre el botón


Características

Cuenta con un sistema de confianza que le otorga


las identidades y gestiona la información.

Tiene un proveedor de servicios que aprueba las


credenciales.

El propietario del recurso gestiona los permisos de


acceso.

Un agente usuario representado por una identidad


del sistema.

Atrás
Clave secreta (cifrado simétrico)

1
Resaltar que la validación es el paso previo a la conexión entre dos
partes para establecer una clave de sesión.

Validación de identificación basada en clave


secreta compartida: protocolo

Se usa sobre todo cuando dos usuarios comparten una clave secreta,
que ha de ser detallada a través de cualquier modo que no sea a través
de internet. Es decir, esta información debería ser intercambiada en
persona o por teléfono.

¿Cómo funciona?

Haz clic sobre el botón


1
A

2
¿Cómo funciona? RB
¿Eres A?
3
En este caso, el protocolo actúa a
modo de reto-respuesta, que significa
A KAB(RB) B
¿Eres B?
que un usuario envía un número de 4
forma totalmente aleatoria, mientras RA
que el otro lo transforma y devuelve el 5
resultado al primer usuario. KAB(RA)

R son números aleatorios grandes lanzados desde cada extremo como reto.
El paso 4 y 5 es para que A se asegure de que le contesta B. Tras esta
identificación, A puede indicar una K, para la sesión.
Este protocolo funciona, pero se puede simplificar el número de mensajes.
Destacar que con el mensaje 2 y 3 se podría tratar de intentar forzar la
clave.
Atrás
Clave secreta (cifrado simétrico)

2 Establecimiento de una clave compartida:


intercambio de claves Diffie-Hellman
¿Qué pasaría si se estableciese una clave secreta
de forma pública?

Esto se explica con el protocolo de intercambio de Diffie-Hellman.


Este se trata de un algoritmo de clave pública que no da opción a la
autenticación.

En este sistema, dos usuarios generan una clave compartida sin que
ningún intruso pueda obtenerla aunque se encuentre en ese
momento pendiente de la comunicación en sí.

¿Cómo se pone en marcha?

Haz clic sobre el botón


¿Cómo se pone en marcha?

Se eligen dos números de forma pública y cada interlocutor


escoge un número secreto. En base a una fórmula, cada uno
de los usuarios (con dos números públicos y su propio
número secreto) realiza unas operaciones concretas. Tras
ellas, los interlocutores ponen en común sus conclusiones de
forma pública.

Después, los usuarios usan, cada uno por su parte, una


fórmula que lo que hace es compaginar los números que han
sido transformados junto con su número secreto. Cuando
ambos llegan al final, el resultado siempre es el mismo
Ejemplo
número que se convertirá así en la clave compartida.

Haz clic sobre el botón de ejemplo

Atrás
Carlos y Alicia saben y tienen lo siguiente:
p=23 (número primo) g=11 (un generador)
K = g ab m o d

Alicia elige un Carlos elige un


número cualquiera número cualquiera
a=6 b=5

Alicia calcula: Carlos calcula:


A=ga mod p B=gb mod p
A= 116 mod 23= 9 B= 115 mod 23=5
Alicia recibe B=5 de Carlos Carlos recibe B=9 de Alicia

Llave secreta: Llave secreta:


K = B am o d p K= Ab mod p
K=56 mod 23 K=95 mod 23
K=8 La clave conjunta secreta será 8 K=8

Atrás
Clave secreta (cifrado simétrico)

3 Validación de identificación usando


un centro de distribución de claves:
KDC (Key Distribution Center)

También existe la posibilidad de usar un centro de distribución de claves fiables,


reconocido por sus siglas KDC (Key Distribution Center). En este protocolo,
cada usuario tiene una clave que comparte con el centro, por el que ha de
pasar la validación de identificación y administración de claves.

Característica principal Objetivo

La característica principal de la KDC es Su principal objetivo es el de reducir de


que crea una clave secreta para cada forma considerable los riesgos que
uno de los miembros, pero que solo suelen generarse debido al intercambio
puede ser utilizada entre el miembro y de claves.
el centro, no entre los miembros.
KDC. Utilizar técnicas criptográficas

Verificar si pueden
Autenticar a Ver si cumplen con
o no acceder a lo
los usuarios las condiciones
que solicitan

Esto significa que el KDC se encarga de verificar que los usuarios cuentan con
el derecho a acceder a la comunicación y determina su paso.

Los KDC son, la mayoría de las veces, de cifrado simétrico y comparten clave con las otras partes.

¿Cómo se utiliza?

Haz clic el botón


Alicia Carlos

Gustavo Andrea

KDC
Ana José

Cada uno de los usuarios cuenta con una clave única que comparten con
el KDC, el cual se encarga de validarla.
Atrás
Clave secreta (cifrado simétrico)

4
Protocolo de autenticación de Kerberos

El Protocolo de Autenticación de Kerberos es un servicio de validación de


identificación desarrollado en el MIT (Massachusetts Institute of Technology).

Este da la opción a dos ordenadores de mostrar su identidad de forma


segura en una red insegura. Su origen lo encontramos en el modelo
cliente-servidor, que ofrece una autenticación mutua, en la que el
cliente y el servidor verifican la identidad del otro.

Necesita a un tercero que le ofrezca seguridad. Vendría a ser algo así


como un árbitro en el que recae la confianza de los usuarios y que
ofrece a cada uno de ellos una clave secreta diferente. El hecho de
conocer la clave es usado como una prueba de identificación.
¿Cómo funciona?

Haz clic sobre el botón


E
A G
AS B H
SS
t(0) t(n)
C D E F

TGS
AS -> Authentication Server (Servidor de Autenticación)
TGS -> Ticket Granting Server (Servidor de concesión de tickets)
SS -> Service Server (Servidor de Servicio)

El objetivo principal de este protocolo es autenticar al cliente contra el “Servidor de Autenticación” (AS), de forma que
así lo pueda demostrar frente al “Servidor de concesión de tickets” (TGS) y recibir un ticket de servicio. Una vez
finalizado este proceso, podrá demostrar al “Servidor de Servicio” (SS) que ha pasado las “pruebas” y que está aprobado
para utilizar el servicio de Kerberos. Atrás
Clave pública (cifrado asimétrico)

1
Va l i d a c i ó n d e i d e n t i f i c a c i ó n
de clave pública.

En el supuesto de que los usuarios A y B conozcan previamente las claves públicas del
otro, establecerán una sesión en la que hagan uso de la criptografía de clave secreta, la
cual es considerablemente más rápida.

En un primer lugar, tendrán que validar la identificación de ambos usuarios con claves
públicas que sirvan para comunicarse y las privadas para descifrar. Tras ello, se acuerda
una clave secreta compartida.

En este caso, un intruso no podría entrar en la comunicación, a no ser que haya algún
problema en el proceso de intercambio de las claves públicas.
Si los usuarios A y B, por el contrario, no conocen la clave pública del otro, el primer
usuario tendría que mandar su clave pública al segundo y solicitarle la suya.

Sin embargo, esto tiene un inconveniente y es que la comunicación podría ser


interceptada por un tercero en un ataque de brigada de cubetas.

Este método permite al “interceptor” coger el mensaje y devolver su clave al primer


usuario, para que este piense que está hablando con el segundo usuario, cuando
realmente lo está haciendo con el intermediario.

De esta forma, el “tercero” puede leer los mensajes cifrados.


Clave pública (cifrado asimétrico)

2
Protocolo de interbloqueo

Anteriormente hablábamos del “ataque de brigada de cubetas” como una forma de


interceptar el mensaje y devolver una clave al primer usuario para que piense que está
hablando con el usuario al que mandó su mensaje.

Pues bien, Rivest y Shamir, del RSA (sistema criptográfico de clave pública desarrollado
en 1979), diseñaron un protocolo que impedía este ataque. En este caso, se realiza un
especie de “interbloqueo”, en el que el primer usuario solo manda la mitad del mensaje
al segundo, que responde con el resto de bits del mensaje encriptado. Acto seguido, el
primero manda el resto de bits y el segundo los suyos hasta completar los bits por
ambas partes.
Todo esto significa que, en el caso de que alguno de los usuarios no realice
correctamente la entrega de sus bits, el protocolo automáticamente fallará.

Además, si el intermediario recibe alguna de las tandas de los bits no podrá


hacer nada con ellos, puesto que le faltará la otra mitad para entender algo y
poder descifrarlo. Esto quiere decir que no podrá volver a cifrarlo usando la
clave pública del segundo usuario y que si prueba a mandar algo lo más
probable es que no tenga sentido y que el engaño sea fácilmente reconocible.
4.2 PAP Y CHAP
PROTOCOLO PAP Y CHAP

PAP y CHAP son unos métodos de autenticación que funciona entre dispositivos con el objetivo de
que las conexiones que se realicen entre ellos ganen en seguridad.

¡Recuerda!
Cuando hablamos de dispositivos, estos abarcan un amplio abanico que van desde
ordenadores o teléfonos móviles hasta routers o firewalls. Sin embargo, la
seguridad que ofrecen y la forma que tienen de autenticarse es diferente.

Va m o s a c o n o c e r a m b o s m é t o d o s
Método PAP

PAP, cuyas siglas se corresponden con “Password Authentication Protocol” o


“Protocolo de Autenticación por Contraseña”, establece conexiones entre dos
equipos cuando uno de ellos envía una cierta información con una contraseña con
la intención de iniciar la comunicación.

Cuando se autentica al usuario, se procede a establecer la conexión.

¿Cuál es su principal riesgo?

El hecho de enviar el usuario y la contraseña en texto plano, a través de


una red, puede convertirse en un problema si alguien intercepta el
mensaje en la red.
Método CHAP
CHAP responde a las siglas de “Challenge Handshake Authentication Protocol” o
Protocolo de autenticación por intercambio de señales por desafío. Es utilizado
cuando dos dispositivos tienen la necesidad de establecer conexión entre ellos.

Cuando uno de los dispositivos establece la conexión, el otro


necesita autentificarse. Para ello manda su nombre de usuario, un
ID y un número escogido totalmente al azar, lo que es denominado
como una “cadena de desafío”.

Este método (también denominado método de tres vías) es el más


seguro, ya que no se envía la contraseña como tal, sino que se realiza
un intercambio de usuario con una serie de número aleatorios en una
información completamente encriptada.
4.3 RADIUS
PROTOCOLO RADIUS

RADIUS (Remote Authentication Dial-In User Service) se trata de un protocolo de autenticación y autorización para
aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.

¿Qué funciones ¿Cuáles son sus


¿Para qué se utiliza?
tiene? características?

Haz clic sobre los botones


¿Para qué se utiliza?
Utiliza el modelo cliente-servidor, en el que un usuario tiene unas
credenciales de acceso con las que se conecta al servidor que se
encargará de verificar la autenticidad de la información. Este,
más tarde, decide si el usuario accede o no al recurso compartido.

Muy utilizado en operadores de red y en las redes WiFi de


establecimientos, como por ejemplo hoteles, restaurantes, bibliotecas
o colegios.

La particularidad de estas redes es que los responsables de su


administración ofrecen unas credenciales que solo están
disponibles durante un determinado periodo de tiempo, tras el que
dejarán de tener vigencia y, por lo tanto, el RADIUS no validará su
utilización.

Atrás
¿Qué funciones tiene?

El servidor RADIUS analiza y comprueba que toda la información recibida es correcta,


y lo hace a través de esquemas de autenticación como pueden ser PAP, CHAP o EAP.

Si es aceptado, el servidor autorizará el


acceso al sistema del ISP y le asignará los
r e c u r s o s d e r e d , t a l e s c o m o u n a d i r e c c i ó n I P.
Sus funciones son:

Un mecanismo de autenticación de usuario que permite


acceder a un recurso compartido.

La autorización de un usuario a dicho recurso.

El Accounting, entendido como un análisis del tiempo de la


sesión y un registro de las estadísticas que más tarde se podrán
utilizar para llevar a cabo los cobros o reportes informativos.
Atrás
¿Cuáles son sus características?
Una de sus características más importantes es su capacidad de controlar las
diferentes sesiones mostrando: dónde comienza y dónde termina la conexión.

Esto permite que al usuario se le pueda determinar cuál ha sido su consumo y


los datos además se podrán utilizar para fines estadísticos.

Cuenta, además, con los siguientes beneficios:

Seguridad

Flexibilidad

Capacidad de extensión

Administración simplificada para el acceso

Atrás
4.4 EL PROTOCOLO 802.IX
PROTOCOLO 802. IX
Se trata de una norma que permite el control de acceso a red basado en la
arquitectura cliente/servidor que es compatible con muchos de los puntos de
acceso que se están fabricando actualmente.

Permite la restricción de la conexión de los equipos


que no están autorizados y su proceso cuenta con
tres participantes:

El cliente que quiere conectarse a la red.

El servidor de la autenticación, que tiene la información


necesaria para autorizar el acceso o no.

El autenticador, que recibe la conexión y actúa como intermediario


entre el usuario que quiere acceder y el servidor de autenticación.

¿Para qué sirve? ¿Cómo se utiliza?

Haz clic sobre los botones


¿Para qué sirve?
Su principal función es autenticar los
dispositivos conectados a un puerto LAN, lo
que propicia una buena conexión y previene el
acceso en caso de que fallase la autenticación.

Atrás
¿Cuándo se utiliza?

Sobre todo en puntos de acceso inalámbricos


cerrados.

Está disponible en ciertos interruptores de red


y se puede configurar de modo que se puedan
autenticar nodos equipados con software
suplicante. De esta forma, se elimina todo el
acceso que no esté autorizado a la red.
Atrás
4.5 LA SUITE DE PROTOCOLOS EAP: LEAP,
PAP, EAP-TLS
PROTOCOLO EAP-LEAP

EAP-LEAP es un método que hace uso de un usuario y una contraseña para


realizar el proceso de autenticación. Además, la contraseña se transmite cifrada
por algoritmo.

Al ser propietaria de la empresa de equipos de telecomunicaciones Cisco, necesita


que los equipos pertenezcan a esta organización. También requiere que el servidor
RADIUS sea compatible con LEAP.

El nivel de protección no es demasiado alto, ya que se


expone constantemente a la posibilidad de sufrir ataques
de “diccionario” que es el proceso por el que el atacante
prueba con varias contraseñas hasta que da con la
correcta.
PROTOCOLO PEAP

Se trata de un “Protocolo de Autenticación Extensible Protegido”. Encapsula


el Protocolo EAP de autenticación extensible dentro de un túnel de Seguridad
de la capa TLS encriptado y autenticado.

Se creó con el objetivo de eliminar las deficiencias que tenía el protocolo EAP.
PROTOCOLO EAP-TSL
El Protocolo de Autenticación Extensible TLS fue desarrollado por
Microsoft. Necesita instalar certificados de seguridad entre el
servidor y los clientes.

La autenticación que realiza el servidor del cliente se


realiza una vez establecida la sesión TLS utilizando
otro método como pueden ser por ejemplo los ya
estudiados PAP y CHAP.

De la misma forma que el servidor facilita la


autenticación del cliente, el cliente también autentica
al servidor, a través del protocolo TLS, siglas que
responden a “Transparent Layer Substrate”.
4.6 SISTEMAS BIOMÉTRICOS
SISTEMA BIOMÉTRICO

Se trata de una tecnología que utiliza características biofísicas de la


persona para proceder a identificarla. Es decir, se encarga de
identificar a los individuos a través de aquellas peculiaridades que le
hacen único como ser vivo.

¿Qué utilizan para conseguir esta


identificación?

El procedimiento se suele llevar a cabo a través


de dispositivos, lectores o terminales creados y
adaptados para esta finalidad.

¿Cómo se realiza
Tipos
el proceso?

Haz clic sobre los botones


¿Cómo se realiza el proceso?

1 Se registra a la persona en el lector biométrico.

2 Se comparan los datos con los memorizados en el registro

Para el proceso de reconocimiento, el


sistema biométrico cuenta con:

Hardware Software
*El hardware recoge todos los sensores que
detectan las características que queremos extraer.

Atrás
Tipos

Dinámica
Es aquella que recoge las características del comportamiento
de las personas.

Por ejemplo: el reconocimiento de voz, la dinámica del


tecleo o la conducta gestual, etc.

Estática

Se trata del tipo de biometría que recoge medidas de


características físicas de las personas.

Por ejemplo: la geometría de la mano, la huella dactilar o


el iris y la retina, etc.

Atrás
Aunque ningún sistema a día de hoy
puede ser considerado como infalible,
los sistemas biométricos son
considerados muy fiables.

Sin embargo, siempre habrá que tener


en cuenta que los engaños y ataques
pueden ocurrir, por lo que estar atento a
ellos y tratar de frenarlos será clave
para un buen proceso de autenticación.
¡Enhorabuena!
Has conseguido superar la cuarta unidad. Continúa con el
curso para… ¡Ser el mejor en la planificación de la
seguridad informática en tu empresa!

También podría gustarte