2011

Protocolos LDAP, TACACS+, RADIUS

INVESTIGACION ADMINISTRACION Y APLICACIONES DE REDES

Tulio F. Zern Ch. UNITEC UNIVERSIDAD TECNOLOGICA CENTROAMERICANA 28/07/2011

Resumen ejecutivo Los protocolos que estamos analizando tienen como fin la

administracin del acesso a recursos sea de forma directa o remota. Entre lo que mas cabe resaltar es que brindan un servicio de alta fiabilidad y dependiente de los resursos con que se suentan para su perfecto funcionamiento. Estos protocolos son el resultado de una constante evoluvion por parte de las ofertas de seguridad por parte de los que ofertan servicios atravez de la red esto con el fin de dar un servicio de completa confianza y mayor seguridad. No se puede negar que la evolucin en estos temas es continua y podemos esperar que este sea solo un pequeo paso en la gran carrera por conquistar el mercado atraves de la red.

Indice

Resumen ejecutivo.......................................................................... 2 Indice ............................................................................................... 3 LDAP ................................................................................................ 4 TACACS+ .......................................................................................... 6 RADIUS ............................................................................................ 7 Conclusiones ................................................................................... 8 Bibliografa ...................................................................................... 9

LDAP
(Protocolo compacto de acceso a directorios) es un protocolo estndar que permite administrar directorios es decir acceder a bases de datos de usuarios de una red mediante protocolos TCP/IP. El objetivo del protocolo LDAP, desarrollado en 1993 en la Universidad de Michigan, fue reemplazar al protocolo DAP (utilizado para acceder a los servicios de directorio X.500 por OSI) integrndolo al TCP/IP. Desde 1995, DAP se convirti en LDAP independiente, con lo cual se dej de utilizar slo para acceder a los directorios tipo X500. LDAP es una versin ms simple del protocolo DAP, de all deriva su nombre Protocolo compacto de acceso a directorios. Las bases de de datos generalmente estn relacionadas con los usuarios, pero, algunas veces, se utilizan con otros propsitos, como el de administrar el hardware de una compaa. El protocolo LDAP define el mtodo para acceder a datos en el servidor a nivel cliente pero no la manera en la que se almacena la informacin. El protocolo LDAP actualmente se encuentra en su 3era versin y el IETF (Grupo de Trabajo de Ingeniera de Internet) lo ha estandarizado. Por lo tanto, existe una RFC (peticin de comentarios) para cada versin de LDAP que constituye un documento de referencia: RFC 1777 para LDAP v.2 RFC 2251 para LDAP v.3 LDAP le brinda al usuario mtodos que le permiten: Conectarse Desconectarse Buscar informacin Comparar informacin Insertar entradas Cambiar entradas Eliminar entradas

Asimismo, el protocolo LDAP (en versin 3) ofrece mecanismos de cifrado (tales como SSL) y autenticacin para permitir el acceso seguro a la informacin almacenada en la base. LDAP presenta la informacin bajo la forma de una estructura jerrquica de rbol denominada DIT (rbol de informacin de directorio), en la cual la informacin, denominada entradas (o incluso DSE, Directory Service Entry), es representada por bifurcaciones. Una bifurcacin ubicada en la raz de una bifurcacin se denomina entrada raz. Cada entrada en el directorio LDAP corresponde a un objeto abstracto o real (por ejemplo, una persona, un objeto material, parmetros, etc.). Cada entrada est conformada denominados atributos. por un conjunto de pares clave/valor

LDAP brinda un conjunto de funciones (procedimientos) para llevar a cabo solicitudes en los datos para buscar, cambiar y eliminar entradas en los directorios. A continuacin encontrar una lista de las principales operaciones que puede realizar LDPA: Funcionamiento Abandon (Abandonar) Add (Agregar) Bind (Enlazar) Compare (Comparar) Delete (Eliminar) Extended (Extendido) Descripcin Cancela la operacin previa enviada al servidor Agrega una entrada en el directorio Inicia una nueva sesin en el servidor LDAP Compara las entradas en un directorio segn los criterios Elimina una entrada de un directorio Realiza operaciones extendidas

Rename (Cambiar nombre) Cambia el nombre de una entrada Search (Buscar) Unbind (Desenlazar) Busca entradas en un directorio Finaliza una sesin en el servidor LDAP

TACACS+
Es un protocolo que permite aceso controlado a servidores de red, acceso a routers, y a otros dispositivos de red via uno o mas servidores centralizados, provee servicios de autenticacin y concesin de privilegios administrativos adems de creacin de cuentas de usuario de manera controlada.
TACACS + (Terminal Access Controller System Access Control) es un protocolo sofisticado desarrollado por Cisco Systems. Este protocolo es un poco diferente de TACACS y XTACACS, las versiones anteriores del protocolo que se han quedado obsoletas. El servidor TACACS + para autenticar la solicitud, y autorizar a los servicios en la conexin. El servidor TACACS + hace coincidir los datos de la solicitud del NAS con las entradas de algunos conocidos, la base de datos de confianza. El modelo de seguridad AAA, en la que TACACS + protocolo se basa, afirma una distincin exacta entre las tres fases distintas de un acceso de los usuarios de la red: Autenticacin, Autorizacin y Contabilidad. La activacin de cada una de estas tres fases se puede configurar de forma independiente en el NAS. Lo que el NAS se enva al servidor TACACS + depende estrictamente de la configuracin del propio NAS.

TACACS + servidor puede aceptar la autenticacin del usuario o la autorizacin o rechazo del usuario. Con base en esta respuesta del servidor TACACS +, el NAS decidir la conveniencia de establecer la conexin del usuario ("aceptar de usuario" o "aceptar paquete") o finalizar intento de conexin del usuario ("rechazo de usuario" o "rechazar paquetes"). Finalmente, los datos NAS cuestiones contables que el servidor TACACS + para documentar la transaccin. Estos comportamientos, junto con los componentes bsicos descritos anteriormente son similares a los conceptos de RADIUS .

RADIUS
Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones. Cuando se realiza la conexin con un ISP mediante mdem , DSL , cablemdem, Ethernet o Wi-Fi, se enva una informacin que generalmente es un nombre de usuario y una contrasea. Esta informacin se transfiere a un dispositivo Network Access Server (NAS)sobre el protocolo PPP, quien redirige la peticin a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de red como una direccin IP, y otros parmetros como L2TP, etc. Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propsitos estadsticos. RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red(NAS), ms tarde se public como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto. Las prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracin centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes).... RADIUS es extensible; la mayora de fabricantes de software y hardware RADIUS implementan sus propios dialectos.

Conclusiones 1. Los protocolos que aqu analizamos son protocolos de seguridad que se enfocan en el prstamo de servicios tales como crear cuentas de usuario para restringir el acceso a ciertos servicios lo que proporciona una seguridad un tanto efectiva y no tan costosa.

2. Tambin controlan la parte de acceso a los recursos sean estos datos de una base local o informacin almacenada en un servidor remoto.

3. Es de mucha importancia el hecho que estos protocolos permiten llevar acabo un control y una seguridad que pueden ser tiles para evitar fugas de informacin y tambin es ms fcil de manejar un respaldo.

4. La parte peligrosa es lo costoso que se vuelve manejar grandes volmenes de datos.

Bibliografa
Referencia principal de LDAP http://es.kioskea.net/contents/internet/ldap.php3 Referencias secundarias de LDAP http://es.wikipedia.org/wiki/LDAP http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/21d23294-03c1-410eb328-25ccc6ff0414/ Referencia principal de TACACS+ http://www.javvin.com/protocolTACACS.html Referencias secundarias de TACACS+ http://es.wikipedia.org/wiki/TACACS%2B http://es.wikipedia.org/wiki/TACACS%2B Referencia principal de RADIUS http://technet.microsoft.com/es-es/library/cc781821(WS.10).aspx Referencias secundarias de RADIUS http://es.wikipedia.org/wiki/RADIUS http://www.esdebian.org/foro/34418/servidor-radius