Actividades

Trabajo: Tecnologas triple A

Despus de conocer RADIUS y Diameter y sus diferencias, es interesante hacer la

comparacin con TACACS+ (Terminal Access Controller Access Control System).

TACACS + proporciona servicios diferenciados de autenticacin, autorizacin y

contabilidad, a diferencia de los otros protocolos. Esta separacin de funciones permite,
por ejemplo, que la autenticacin se haga mediante Kerberos, y despus la autorizacin
y auditora mediante TACACS+, sin necesidad de autenticar de nuevo. Esto
proporciona ms flexibilidad en la seleccin de la mejor solucin para una organizacin
determinada.

Aunque a primera vista estos protocolos pueden parecer similares, es importante

entender sus diferencias. Por ejemplo, TACACS+ cifra todo el cuerpo de los paquetes,
mientras que RADIUS solo lo hace con las claves en los mensajes de acceso. El resto de
la informacin, como el nombre de usuario o los datos de consumo, podran ser
comprometidos.

Esta actividad propone la bsqueda de informacin en Internet sobre los tres

protocolos y la elaboracin de un cuadro comparativo con diferencias, especificando
cules son ventajas o inconvenientes sobre los otros.

TEMA 3 Actividades
 RADIUS Diameter TACACS+
Protocolo UDP TCP con TLS o IPSEC TCP
Soporte No. S. S.
multiprotocolo
Modelo Cliente/Servidor De Igual a Igual Cliente/Servidor
Mensaje Solicitud/Respuesta del
Solicitud/Respuesta del Solicitud/Respuesta de cliente al servidor.
cliente al servidor. una parte a otra.
Cifrado de los Todo el cuerpo del Todo el cuerpo del
paquetes Contraseas en las paquete. paquete excepto la
respuestas de acceso. cabecera estndar.
Algoritmo de Secreto compartido con Secreto compartido con Secreto compartido con
cifrado MD5. HMAC-MD5. MD5.
Administracin El usuario no tiene el Comandos especficos Usuarios y grupos.
de routers control del comando. del vendedor.
Autenticacin y Combinado. Los Independiente. Independiente.
Autorizacin paquetes contienen
ambas informaciones.
Notificacin de No. S. S.
errores

Protocolo, al utilizar RADIUS un servicio no fiable como es UDP en su capa de

transporte es una clara desventaja sobre los otros dos protocolos que utilizan TCP, que
es un servicio fiable. UDP requiere variables configurables como el nmero de intentos
de retransmisin, lo cual es una penalizacin. Diameter puede trabajar con TLS o
IPSEC, lo que ofrece ms ventajas frente a los otros protocolos.

Soporte multiprotocolo, RADIUS se encuentra limitado en el soporte multiprotocolo ya

que no soporta AppleTalk Remote Access (ARA), NetBIOS Frame Protocol Control,
Novell Asynchronous Services Interface (NASI) y conexiones X.25 con PAD por lo que
es una desventaja respecto de Diameter y TACACS+ que tienen soporte multiprotocolo.

Modelo, al emplear Diameter un modelo de Igual a Igual le permite utilizar mensajes

iniciados desde el servidor, es decir, cualquier nodo puede trabajar como Cliente o
como Servidor. Esto es una ventaja frente a los otros dos protocolos que trabajan con
un modelo Cliente/Servidor en el que cada nodo tiene su funcin y no la puede
cambiar. Adems Diameter tiene descubrimiento dinmico de iguales.

TEMA 3 Actividades
Mensaje, en RADIUS el mensaje de transaccin va desde el cliente RADIUS hasta el
servidor RADIUS. En Diameter cualquier nodo puede solicitar la comunicacin, al
poder actuar tanto como Cliente como Servidor, por lo que es una ventaja frente a los
otros dos protocolos. En TACACS+ el mensaje tambin se enva desde el cliente al
servidor.

Cifrado de los paquetes, RADIUS solo cifra la contrasea en el paquete de respuesta al

acceso, desde el cliente RADIUS (NAS) hasta el servidor RADIUS, yendo el resto de
paquetes sin cifrar. En Diameter se cifra todo el paquete. En TACACS+ se cifra todo el
cuerpo del paquete excepto la cabecera estndar. Tanto Diameter como TACACS+
muestran mayor seguridad, y por lo tanto es una clara ventaja, frente a RADIUS, ya que
puede ser foco de ataque a la integridad de informacin o confidencialidad en los
accesos y polticas de autorizacin.

Algoritmo de cifrado, el algoritmo utilizado por Diameter (HMAC-MD5) es ms seguro

que el empleado por los otros dos protocolos.

Administracin de routers, TACACS+ utiliza usuarios y grupos para la autorizacin de

comandos especficos segn el usuario, ofreciendo un registro detallado de los accesos
al dispositivo Cisco y los comandos ejecutados por lo que es una ventaja frente a
Diameter, en el que depende de la implementacin que se haga del protocolo y frente a
RADIUS en el que el usuario ni siquiera tiene el control del comando.

Autenticacin y Autorizacin, en RADIUS la autenticacin y la autorizacin son

enviadas combinadas por el servidor al cliente conteniendo la informacin de
autorizacin, esto es una clara desventaja ya que esta informacin debera ir separada
por capas. En Diameter y TACACS+ se realiza de manera independiente empleando la
arquitectura AAA.

Notificacin de errores, RADIUS no ofrece notificacin de errores, al contrario que

Diameter y TACACS+ que s lo ofrecen, por lo que es una desventaja de RADIUS frente
a los otros dos protocolos.

Referencias y Notas
Prez, P. G. (2013, 2014), Flu Project. Recuperado el 23 de Diciembre de 2015,
de http://www.flu-project.com/2013/12/las-tecnologias-triple-parte-i-de-
iii.html, http://www.flu-project.com/2013/12/las-tecnologias-triple-parte-ii-

TEMA 3 Actividades
 de-iii.html y http://www.flu-project.com/2014/01/las-tecnologias-triple-parte-
iii-de-iii.html
RFC2865, Remote Authentication Dial In User Service (RADIUS). Internet
Engineering Task Force, Network Working Group. Recuperado el 14 de Enero
de 2016, de https://tools.ietf.org/pdf/rfc2865
RFC2866, RADIUS Accounting. Internet Engineering Task Force, Network
Working Group. Recuperado el 14 de Enero de 2016, de
https://tools.ietf.org/pdf/rfc2866
RFC6733, Diameter Base Protocol. Internet Engineering Task Force, Network
Working Group. Recuperado el 14 de Enero de 2016, de
https://tools.ietf.org/pdf/rfc6733
RFC1492, An Access Control Protocol, Sometimes Called TACACS. Internet
Engineering Task Force, Network Working Group. Recuperado el 14 de Enero
de 2016, de https://tools.ietf.org/pdf/rfc1492
The TACACS+ Protocol, Internet Engineering Task Force, Network Working
Group. Recuperado el 14 de Enero de 2016, de https://tools.ietf.org/pdf/draft-
grant-tacacs-02.pdf

TEMA 3 Actividades