miércoles, 7 de mayo de 2025

ISE - 01 - Fundamentals of AAA

 

Este resumen se centra en los conceptos clave de AAA, los dos tipos principales abordados en el examen SISE 300-715, y los protocolos TACACS+ y RADIUS, que son fundamentales para comprender cómo se implementa AAA en redes.

Fundamentos de AAA

El principio de Autenticación, Autorización y Accounting(AAA) es esencial en seguridad tecnológica. Se refiere a los controles necesarios para garantizar que solo las entidades correctas utilicen los dispositivos tecnológicos. Este concepto se aplica a diversas interacciones, como la interacción humana con un ordenador o red, o la interacción de una aplicación con datos.

  • Autenticación: Consiste en validar una identidad o una credencial. Es el primer paso para el control de acceso seguro. Un ejemplo es verificar la identificación de una persona al usar una tarjeta de crédito y asegurar que coincide con el nombre en la tarjeta.
  • Autorización: Determina qué acciones está permitida a realizar una entidad autenticada. Siguiendo el ejemplo de la tarjeta de crédito, incluso si la identidad de la persona es clara, si el nombre en la tarjeta no coincide con la identificación, la transacción no debe ser autorizada.
  • Accounting: Implica mantener registros precisos de las acciones realizadas. Es crucial para informes, auditorías y seguridad. Los registros pueden aparecer en archivos de registro de sistemas, como puntos de venta o sistemas de videovigilancia.

Entender las diferencias y propósitos de los tres componentes (Authentication, Authorization, Accounting) es primordial para un profesional de la seguridad, especialmente para el examen SISE 300-715.

Tipos de AAA en el Examen SISE 300-715

El examen SISE 300-715 y el material de estudio se centran en dos aspectos principales de AAA relacionados con redes:

  1. Administración de Dispositivos (Device Administration AAA):

    • Implica controlar el acceso a la consola, sesiones Telnet o SSH, o al sistema operativo de un dispositivo de red para fines de configuración.
    • Permite un control granular sobre qué usuarios (por ejemplo, miembros de un grupo "Cisco Administrators" vs "Cisco Operators") pueden realizar ciertas acciones o ejecutar comandos específicos.
    • La administración de dispositivos puede ser muy interactiva, requiriendo autenticación una vez pero autorización múltiples veces durante una sola sesión administrativa. Esto se presta bien al uso de TACACS+.
    • Se puede configurar para permitir o denegar la ejecución de comandos individuales mediante "command sets" (conjuntos de comandos) en sistemas como Cisco ISE.

  2. Acceso a la Red (Network Access AAA):

    • Se trata de asegurar el acceso a la red al garantizar la identidad del dispositivo o usuario antes de permitir la comunicación dentro de la red.
    • Históricamente, esto se desarrolló con la necesidad de autenticar a los usuarios antes de permitirles marcar a las redes de la compañía a través de módems y acceso telefónico (dial-up).
    • Ha evolucionado con tecnologías como VPN, Wi-Fi y el estándar IEEE 802.1X, que utiliza RADIUS para transportar el tráfico de autenticación.
    • Protocolos Clave: TACACS+ y RADIUS

Dos protocolos son fundamentales para implementar AAA en redes:

TACACS+ (Terminal Access Controller Access Control System Plus)

  • Originalmente diseñado para la administración de dispositivos, autenticando y autorizando a usuarios en terminales UNIX y consolas.
  • Es un protocolo distinto y no compatible hacia atrás con el TACACS original.
  • Utiliza TCP puerto 49 para la comunicación entre el cliente (el dispositivo de red) y el servidor (el servidor AAA, como Cisco ISE).
  • Una de sus principales características diferenciadoras es su capacidad para separar la autenticación, la autorización y el accounting como funciones independientes. Esto es lo que lo hace ideal para la administración de dispositivos, donde la autorización puede ocurrir varias veces por sesión.
  • TACACS+ cifra todo el paquete de comunicación entre el cliente y el servidor.
  • Aunque se usa principalmente para administración de dispositivos, es posible usarlo para algunos tipos de acceso a la red.

Mensajes de TACACS+:

  • Autenticación: Utiliza tres tipos de mensajes:
    • START: Iniciado por el cliente para comenzar la solicitud de autenticación.
    • REPLY: Enviado por el servidor al cliente, a menudo solicitando nombre de usuario o contraseña, o indicando el resultado final (ACCEPT, REJECT, ERROR, CONTINUE).
    • CONTINUE: Enviado por el cliente en respuesta a una solicitud del servidor para proporcionar información como nombre de usuario o contraseña.
    • Resultados posibles de un mensaje REPLY final: ACCEPT (autenticación exitosa, puede proceder la autorización), REJECT (autenticación fallida), ERROR (error durante la autenticación), CONTINUE (se requiere información adicional).


  • Autorización: Utiliza dos tipos de mensajes:
    • REQUEST: Enviado por el cliente al servidor para solicitar autorización (ej: acceso a la shell CLI o a un comando específico). La función solicitada se conoce como "service", y se pueden usar pares atributo/valor (AV).
    • RESPONSE: Enviado por el servidor al cliente con el resultado de la solicitud de autorización, incluyendo detalles como el nivel de privilegio. Respuestas posibles: FAIL (acceso denegado), PASS_ADD (autorización exitosa, usar información adicional), PASS_REPL (autorización exitosa, reemplazar información solicitada con la del servidor), FOLLOW (redirigir a otro servidor), ERROR (problema en el servidor).
  • Accounting: Utiliza dos tipos de mensajes:
    • REQUEST: Enviado por el cliente al servidor para notificar una actividad. Puede ser START (servicio iniciado), STOP (servicio finalizado), o CONTINUE (información actualizada de un servicio en progreso).
    • RESPONSE: Enviado por el servidor al cliente como acuse de recibo del mensaje REQUEST. Respuestas posibles: SUCCESS (registro recibido), ERROR (error al almacenar el registro), FOLLOW (redirigir a otro servidor).


RADIUS (Remote Access Dial-In User Service)

  • Un estándar IETF diseñado originalmente para acceso remoto telefónico (dial-in).
  • Es el protocolo de elección para acceso a la red. Se utiliza comúnmente con redes inalámbricas seguras y es el protocolo de transporte para EAP (Extensible Authentication Protocol).
  • Utiliza UDP para la transmisión. Los puertos estándar son UDP 1812 para autenticación y 1813 para accounting. Cisco también soporta puertos antiguos: UDP 1645 para autenticación y 1646 para accounting.
  • A diferencia de TACACS+, RADIUS combina la autenticación y la autorización en una única transacción. Cuando un cliente RADIUS envía una solicitud de autenticación, espera que el resultado de la autorización sea devuelto en la respuesta.
  • RADIUS cifra solo el campo de la contraseña en los mensajes.
  • IEEE 802.1X debe usar RADIUS; no puede usar TACACS.

Mensajes de RADIUS:

  • Autenticación y Autorización: Utiliza algunos tipos de mensajes:
    • Access-Request: Enviado por el cliente al servidor para solicitar autenticación y autorización. Incluye un campo Service-Type que especifica el tipo de acción solicitada (ej: Framed para 802.1X, Login para solicitudes de login, Call-Check para MAB).
    • Access-Accept: Enviado por el servidor al cliente para indicar una autenticación exitosa. La información de autorización se incluye como pares atributo/valor (AV pairs), como VLAN asignada, dACL o SGT.
    • Access-Reject: Enviado por el servidor al cliente para indicar una autenticación fallida y que no se ha concedido autorización.
    • Access-Challenge: Mensaje opcional enviado por el servidor para solicitar información adicional (ej: segundo factor de autenticación).
  • Accounting: Utiliza dos tipos de mensajes:
    • Accounting-Request: Enviado por el cliente al servidor para incluir información contable (tiempo, paquetes, etc.). Puede ser un mensaje START (servicio iniciado) o STOP (servicio finalizado).
    • Accounting-Response: Actúa como un acuse de recibo, confirmando que el servidor recibió el mensaje Accounting-Request.

Pares Atributo/Valor (AV Pairs)

  • Cuando se comunican con un protocolo AAA, se utilizan pares atributo/valor para indicar claramente respuestas o resultados.
  • Un atributo es un marcador (ej: VLAN), y el valor es la asignación específica para ese atributo (ej: número de VLAN).
  • Se utilizan para transmitir información de autorización, como VLAN asignada o dACLs.

Cambio de Autorización (Change of Authorization - CoA)

  • Una extensión a RADIUS definida en RFC 3576 y RFC 5176.
  • Permite que el servidor RADIUS inicie una conversación con un dispositivo de red (el cliente AAA).
  • Esto es crucial para funcionalidades avanzadas, permitiendo al servidor AAA (como Cisco ISE) tomar acciones dinámicas sobre sesiones existentes, como desconectar un usuario, reiniciar un puerto (shut/no-shut) o forzar una reautenticación.

Comparativa Rápida RADIUS vs. TACACS+

CaracterísticaRADIUSTACACS+
Protocolo y Puerto(s)UDP: 1812/1813 o 1645/1646TCP: 49
SeguridadCifra solo el campo de contraseñaCifra todo el paquete
Autenticación/AutorizaciónCombina autenticación y autorizaciónSepara autenticación y autorización
Uso PrimarioAcceso a la redAdministración de dispositivos


at
Labels: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

ISE - 14 - Profiling

Introducción al Profiling El profiling es la tecnología utilizada para determinar qué aparenta ser un dispositivo desde una perspectiva e...