El administrador puede acceder a un enrutador o un dispositivo a través de una consola, pero es muy inconveniente si está sentado lejos del lugar de ese dispositivo. Entonces, eventualmente, tiene que tener acceso remoto a ese dispositivo.
Pero como el acceso remoto estará disponible mediante el uso de una dirección IP, por lo tanto, es posible que un usuario no autorizado pueda acceder utilizando esa misma dirección IP, por lo tanto, por medidas de seguridad, debemos autenticar. Además, los paquetes intercambiados entre el dispositivo deben estar encriptados para que ninguna otra persona pueda capturar esa información confidencial. Por lo tanto, se utiliza un marco llamado AAA para proporcionar ese nivel adicional de seguridad.
En esta publicación te explicamos qué es AAA en ciberseguridad, cómo implementarlo y los protocolos existentes. AAA es un tema importante en el control de acceso a la red, por eso analizamos brevemente los conceptos principales y los ejemplos de los protocolos AAA.
Indice
¿Qué es AAA en Ciberseguridad?
AAA significa Autenticación, Autorización y Contabilidad en Seguridad Cibernética. La autenticación se usa para verificar la identidad de una persona, la autorización se usa para verificar que la persona tiene los permisos correctos para acceder a algo y la contabilidad implica registrar el acceso de las personas, registrando sus actividades.
Los AAA son principios importantes en la seguridad cibernética, ya que permiten controlar el acceso a activos como la información, protegiéndola así. Las personas adecuadas de información (así como otros sistemas) solo podrán acceder a esta si se les ha dado permiso para hacerlo.
La autenticación, la autorización y la contabilidad, denominadas AAA o Triple-A, son conjuntos de servicios y protocolos que permiten el control de acceso granular en las redes informáticas. Antes de la popularidad de los principales protocolos de autenticación basados en HTTP, como OAuth y SAML, los protocolos AAA eran la forma principal de autenticar usuarios o máquinas en los servicios de red. Los protocolos AAA todavía se encuentran comúnmente en redes LAN y WAN corporativas, ISP, redes móviles y dispositivos de red como firewalls, enrutadores y conmutadores.
Diferencia entre autenticación, autorización y contabilidad
La autenticación implica comprobar que la identidad que se está utilizando está siendo utilizada por el propietario correcto de la identidad. La autorización verifica para qué tiene permisos (derechos de acceso) la identidad y Contabilidad registra lo que hace la identidad.
Al trabajar juntos, la autenticación, la autorización y la contabilidad brindaron un mecanismo más sólido para la protección de la información y otros activos corporativos.
Autenticación
La autenticación es el proceso de tomar una identidad y usar alguna forma de verificación, la identidad puede verificarse como legítima. La identidad podría ser una identificación, como un nombre de usuario, siendo la verificación una contraseña correspondiente, que en conjunto respaldan la verificación.
¿Cuáles son los tres tipos de autenticación? Hay tres tipos de autenticación, estos incluyen:
Algo que una persona sabe
Algo que una persona sabe se conoce normalmente como autenticación por conocimiento. Los diferentes tipos de ejemplos de algo que una persona sabe incluyen:
- una contraseña
- un PIN
- números de combinación (por ejemplo, para un candado)
- respuestas secretas (por ejemplo, el apellido de soltera de la madre).
Autenticar a una persona por algo que sabe se logra fácilmente y es probablemente el método de autenticación menos costoso, pero si se usa solo, en realidad no proporciona los métodos más seguros para garantizar que la identidad involucrada sea quien dice ser.
Como la información involucrada, como las contraseñas, por ejemplo, podría ser fácilmente pirateada y utilizada por otra persona para hacerse pasar por el usuario legítimo. En una era en la que los hackeos y las filtraciones de datos son comunes, junto con personas que usan contraseñas que en sí mismas pueden adivinarse fácilmente, se requiere una mejor forma de autenticación.
Algo que tiene una persona
Algo que una persona tiene se conoce como autenticación por propiedad. Los diferentes tipos de algo que una persona tiene incluyen:
- deslizar tarjetas
- fichas únicas
- Llaves
El ejemplo más común de algo que una persona tiene es una llave, todos usamos llaves en nuestras vidas para entrar a nuestros hogares, abrir las puertas de nuestros coches, encender los motores de nuestros coches, etc. Esta pieza de metal prueba que tenemos algo a mano que podemos usar para verificar que tenemos permiso para acceder o usar algo.
Los tokens únicos son generados por pequeños dispositivos que utilizan inteligentemente la hora actual y una referencia (número inicial de una fuente central), para elaborar un token único para la persona en ese momento en particular.
Las tarjetas de deslizamiento se pueden usar para facilitar la prueba de la identidad del titular de la tarjeta, de modo que la persona que tenga la tarjeta de acceso pueda usarla para deslizar en un punto de entrada como una barrera para obtener acceso. No necesitan demostrar seguridad cada vez que quieren acceder a quiénes son, ya que la tarjeta magnética en sí es suficiente para probar su identidad.
Usados solos, estos métodos de autenticación no significarán, no obstante, que la persona tenga acceso legítimo, ya que es posible que no sea el propietario real de estos elementos de autenticación. Es posible que hayan robado un juego de llaves del automóvil o las hayan encontrado, si el propietario legítimo las hubiera perdido. Armados con las llaves, ahora pueden abrir las puertas del automóvil y entrar para arrancar el motor usando la llave.
Del mismo modo, con las tarjetas de acceso, la mayoría de estas tendrán algún tipo de chip en el interior con una referencia a la persona de quien es la tarjeta, pero si la tarjeta está en las manos equivocadas, la tarjeta de acceso no es lo suficientemente inteligente como para saberlo. Por lo tanto, cualquiera que tenga la tarjeta magnética puede usarla para obtener acceso y muchas personas pueden ser culpables de prestar sus tarjetas magnéticas, especialmente cuando los colegas pueden haber dejado las suyas en casa.
Lo mismo se aplica a los dispositivos de token único, ya que al tener el token generado por el tiempo que es válido, significa que se otorga acceso.
Algo que es una persona
Algo a lo que normalmente se hace referencia a una persona como autenticación por característica. La característica es una característica física que es única para la persona, de esa manera. Los diferentes tipos de algo que una persona es incluyen:
- huellas dactilares
- exploración de retina
- Identificación facial (Face Id en teléfonos inteligentes)
Las huellas dactilares, los escaneos de retina para la identificación facial pueden ser únicos para todas las personas, por lo que al usarlos, se podría verificar la identidad de la persona. Este tipo de verificación de características físicas se conoce como biometría.
Muchos sistemas de acceso en estos días utilizan el acceso mediante huellas dactilares. Si bien es innegable que las huellas dactilares y los escaneos de retina son difíciles de suplantar, verificarlos puede ser costoso ya que la tecnología involucrada no es barata, por lo que muchas organizaciones simplemente no lo harán.
La desventaja es que la tecnología en sí misma utilizada para la verificación no puede ser infalible, un criptógrafo japonés, Tsutomu Matsumoto, puso un dedo falso usando gelatina para engañar a los detectores de huellas dactilares. Pudo engañarlos en 4 de cada 5 intentos, logrando una tasa de éxito del 80%.
La tecnología involucrada en la verificación biométrica también es costosa, por lo que muchas organizaciones simplemente no usarán esta forma de autenticación.
Autenticación fuerte
Para poder realizar una autenticación fuerte, se deben usar al menos dos o los tres métodos de autenticación de algo que una persona sabe, algo que una persona tiene y algo que una persona es.
Cada método de autenticación solo prueba la identidad de la persona en la medida en que tenga el elemento de autenticación correcto, ya sea una contraseña, una tarjeta magnética o una huella digital (impresión robada utilizando técnicas engañosas), pero pueden estar tratando de hacerse pasar por otra persona.
Por lo tanto, para que cualquier forma de autenticación sea fuerte, se deben usar múltiples factores, por lo que una persona no solo debe ingresar su contraseña para probar su identidad, sino que también debe ingresar el token único en el dispositivo de token inteligente que se le asigna. De este modo, usen algo que saben, la contraseña y algo que tienen, el token inteligente, para proporcionar un caso más sólido para la autenticación.
Todo usando los tres métodos, donde la persona usa una tarjeta magnética que se le asigna para ingresar a un edificio de oficinas, luego usa su contraseña junto con una huella digital para iniciar sesión en un sistema informático.
Entonces, incluso si otra persona usó la tarjeta magnética, esta persona no podría obtener acceso al sistema informático porque le faltaban dos formas adicionales de autenticación, la contraseña (conocida solo por la persona correcta) y la huella digital (una característica de la persona correcta).
La autenticación fuerte también se conoce como autenticación multifactor (MFA), lo que significa que la verificación de identidad se ha realizado utilizando dos o más métodos de autenticación.
Cuando se usan dos métodos de autenticación, el término de autenticación de dos factores (2FA) se usa comúnmente en lugar de MFA, aunque todavía es una forma de MFA.
Autorización
La autorización implica verificar a qué tiene acceso la identidad que ha sido autenticada, determinando así qué pueden hacer.
Mi identidad está autorizada para ingresar al lugar de trabajo, el edificio de oficinas principal en el centro financiero, pero mi identidad no está autorizada para ingresar a ningún otro edificio que use mi empleador.
Cuando accedo al edificio de la oficina principal de mi empleado, trabajo en el séptimo piso y estoy autorizado a ingresar a este piso, deslizando mi tarjeta en la barrera de deslizamiento, lo que permite que el sistema informático que controla la barrera verifique mi identidad por mi tarjeta con su lista de identidades permitidas.
Cuando me siento en mi escritorio e inicio sesión en mi computadora, usando mi identificación de usuario, mi contraseña y mi huella digital para verificar mi identidad, los sistemas informáticos me permitirán acceder a la información a la que he sido autorizado.
Cualquier otra información no estará disponible para mí, a menos que tenga otra identidad que pueda usar. También tengo una cuenta de sistemas, que me da acceso a sistemas informáticos a los que un usuario normal no podrá acceder, como parte de mi trabajo.
Entonces, en mi vida laboral diaria, hay una serie de autorizaciones que se realizan en función de mi identidad y siempre que pueda verificar que la identidad me pertenece, mediante el uso de varios métodos de autenticación como contraseñas, huellas dactilares para deslizar tarjetas. Termino siendo autorizado para acceder a los sistemas en cuestión.
Contabilidad
La contabilidad es rendir cuentas por las acciones que una persona realiza y la forma más fácil de hacer es asegurarse de que sus actividades se registren.
Si inicio sesión en un sistema informático en el trabajo, la hora en que inicié sesión se registra en la computadora. Cuando accedo a los archivos, la hora de acceso se registra junto con el nombre del archivo y mi identidad. Este registro de mis actividades generalmente involucra sistemas informáticos que escriben información en archivos conocidos como registros.
Estos registros se pueden usar para determinar lo que he estado haciendo si sucede algo fuera de lo común. Digamos que decido hacer algo malicioso y eliminar archivos importantes de la empresa. La operación de borrado permanecerá registrada con la hora en que se realizarán las eliminaciones del archivo junto con mi identidad.
La empresa descubre que sus archivos importantes han sido eliminados y deciden investigar quién fue el responsable. Su técnico de TI examina los registros y comprueba cuándo se eliminaron los archivos y quién lo hizo. Ven los nombres de los archivos enumerados en los registros, junto con las palabras «archivo eliminado» y ven mi identidad como la identidad que completó la operación de eliminación del archivo.
Esto por sí solo sería suficiente para incriminarme y probar que yo era el responsable, lo que llevaría a una audiencia disciplinaria de la empresa y, como resultado, me despedirían si no pudiera probar que mi acción de eliminación fue accidental y no maliciosa. Independientemente de que los archivos se restauren fácilmente a partir de una copia de seguridad, la intención de mis acciones, como se muestra en los registros, sería suficiente para probar lo que hice y yo era responsable de mis acciones.
CCTV es otro ejemplo de contabilidad, ya que estas cámaras registrarán lo que está sucediendo y esto puede usarse más tarde para investigación e incluso evidencia.
Ejemplos
Los siguientes ejemplos de autenticación, autorización y contabilidad muestran cómo cada una de estas formas de conceptos de gestión de acceso e identidad funcionan en la vida real. He incluido respuestas junto con los ejemplos.
Ejemplo 1
Pedro llega a casa del trabajo y se da cuenta de un aviso de entrega enviado de la oficina de correos. Han intentado entregar un paquete pero no había nadie en casa, ya que Pedro estaba en el trabajo.
El empleado de la oficina de correos llevará el paquete de regreso al depósito local e intentará entregar el paquete nuevamente al día siguiente. En la tarjeta de entrega, Pedro ve que hay una opción para recoger el paquete en persona en el depósito de la oficina de correos.
Entonces, cuando aún queda una hora antes de que cierre la oficina de clasificación, decide conducir hasta el depósito. Cuando llega allí, se dirige al mostrador y le muestra al asistente la tarjeta de entrega que recibió.
El asistente le pregunta a Pedro si tiene algún tipo de identificación con él y Pedro les muestra su licencia de conducir. Verifica la licencia y puede ver la foto de Pedro y la dirección correspondiente, que coincide con la identidad del sistema informático en la tarjeta de entrega que Pedro le mostró antes.
El asistente entra en el depósito y después de un par de minutos regresa con un paquete. Pedro firma el formulario que le da el asistente para demostrar que ha recogido el paquete.
¿Qué categoría describe lo que hizo el asistente de la oficina de correos con la licencia de Pedro?
Autenticación, ya que la tarjeta de Pedro tiene su identidad escrita, ese es su nombre y ahora necesita proporcionar algo para demostrar que la identidad es realmente él. La licencia de conducir de Pedro verifica su identidad.
Ejemplo 2
María comienza un nuevo trabajo en la compañía farmacéutica local y, como parte del proceso de incorporación, pasa su primer día tomándose una foto, configurando sus cuentas de usuario para los sistemas informáticos y conociendo a sus compañeros de trabajo. Al final del primer día, recibe su tarjeta de identidad con fotografía y ahora puede usarla para deslizar e ingresar a los edificios.
Para salir del edificio, accidentalmente toma el giro equivocado, ya que todos los pasillos se ven iguales. Al final de este corredor en particular, ve una puerta con un registro de salida arriba. Junto a la puerta hay un punto de deslizamiento y ella desliza su tarjeta, pero la luz en el punto de deslizamiento en lugar de ponerse verde y abrir la puerta, se vuelve roja y hace un sonido sordo.
Después de varios intentos fallidos, decide regresar en la dirección por la que vino y pedirle a alguien en el camino que le indique cómo llegar a la recepción. Una vez que finalmente llega a la recepción después de que uno de los limpiadores le haya dicho cómo llegar allí, le pregunta a la recepcionista por qué no pudo salir por la puerta antes.
Se trata de Autorización, ya que a María no se le permitió salir de la oficina por la puerta de salida que probó. Podía salir por las puertas de la recepción porque estaba autorizado para hacerlo.
Ejemplo 3
Mega Forensics fue contactado por un cliente que quería ayuda para averiguar quién de sus empleados estaba robando dinero de su empresa. Con el tiempo, varios miles de euros habían desaparecido y la empresa no sabía quién podría estar robando este dinero entre su personal.
Mega Forensics solicitó la siguiente información a la empresa:
- Grabaciones de circuito cerrado de television
- Registros de acceso a la oficina (tarjetas magnéticas)
- Registros de acceso a la computadora
Armado con esta información, Mega Forensics comenzó a analizar las grabaciones de CCTV y los registros de acceso para ver si podría determinar quién era el culpable. ¿En qué categoría de seguridad podría clasificarse este tipo de información?
Contabilidad, ya que la información solicitada por Mega Forensics es un registro de actividades desde grabaciones de circuito cerrado de televisión del movimiento de personas, registros de acceso a oficinas (archivos registrados) hasta registros de acceso a computadoras (conocidos como información de auditoría).
¿Qué son los protocolos AAA?
Los protocolos AAA se utilizan principalmente para el control de acceso a la red (LAN, recursos WAN) y la administración de dispositivos de red (cortafuegos, conmutadores de enrutadores). Los protocolos AAA se diseñaron como una forma centralizada de implementar el control de acceso que cubre las capacidades de autenticación, autorización y contabilidad.
A continuación se muestra cómo los protocolos AAA agregan valor a los usuarios, administradores y proveedores de servicios de red.
- Para proveedores de servicios de red: los métodos de control de acceso ricos en funciones pueden estar fuera del alcance de los proveedores de servicios de red o los fabricantes de dispositivos de red. El soporte de protocolos estandarizados transfiere la funcionalidad y la seguridad a protocolos bien definidos y aclamados.
- Para los administradores: puede ser un desafío diseñar soluciones de control de acceso adecuadas en una red que comprende dispositivos de diferentes proveedores. La implementación de controles de acceso basados en protocolos estándar ayuda a integrar los mejores productos de diferentes proveedores.
- Para los usuarios: rápidamente puede volverse poco práctico para los usuarios tener una cuenta individual para cada dispositivo y servicio de red diferente. En una red centralizada implementada por AAA, los administradores suelen implementar el inicio de sesión único (SSO), lo que permite a los usuarios acceder a los recursos de la red con una única identidad y credencial.
Los protocolos AAA ayudan a implementar controles de acceso seguros y uniformes a los recursos y dispositivos de la red a escala. RADIUS, TACACS+ y Diameter son los tres protocolos AAA más populares y ampliamente implementados. Estos protocolos también suelen denominarse servidores AAA. Exploremos su aplicabilidad, junto con los pros y los contras, brevemente a continuación:
RADIUS
El servicio de usuario de acceso telefónico de autenticación remota, o RADIUS, es un protocolo AAA ampliamente utilizado. RADIUS es popular entre los proveedores de servicios de Internet y las LAN y WAN corporativas tradicionales. RADIUS se basa en el protocolo UDP y es el más adecuado para el acceso a la red.
Ventajas:
- Ampliamente apoyado. RADIUS es una apuesta segura para integrar y centralizar el control de acceso sobre dispositivos de red de diferentes proveedores.
- Lo suficientemente simple para muchos casos de uso de acceso a la red.
Contras:
- Carece de cifrado de paquetes. Solo las contraseñas se cifran en los paquetes de solicitud de acceso.
- Poco fiable ya que el protocolo se basa en UDP. UDP también puede afectar la funcionalidad de contabilidad porque la pérdida de paquetes sin funcionalidad de retransmisión significa la pérdida permanente de los datos de contabilidad.
- Los procesos de autenticación y autorización se combinan, lo que dificulta la implementación de una autorización granular.
TACACS+
Terminal Access Controller Access-Control System Plus, o TACACS+, es uno de los protocolos AAA más capaces y flexibles y ofrece beneficios de seguridad sobre RADIUS, como el cifrado de paquetes, y admite una gama más amplia de extensibilidad. TACACS+ fue desarrollado inicialmente por Cisco y finalmente se lanzó al dominio abierto. Pero al ser un protocolo propietario, no es tan ampliamente compatible fuera del ecosistema de redes de Cisco con la aceptación de solo algunos otros proveedores, como Juniper Networks.
Ventajas:
- Conexión fiable basada en TCP.
- La compatibilidad con la gestión de privilegios en los comandos de configuración significa que TACACS+ es el más adecuado para la administración de dispositivos.
- Soporta transmisión de paquetes encriptados.
- La separación de las funciones de autenticación, autorización y contabilidad facilita la integración con sistemas externos de autenticación, autorización o contabilidad.
Contras:
- Propietario y no ampliamente compatible fuera del ecosistema de Cisco.
Diameter
Es un protocolo AAA desarrollado para reemplazar el protocolo RADIUS. De hecho, el nombre Diámetro se deriva de RADIUS como «el diámetro es el doble del radio». Diameter es compatible con los requisitos de acceso a la red moderna a través de redes LTE y dispositivos móviles.
Ventajas:
- Conexión confiable (admite TCP y SCTP) y tiene un mecanismo de conmutación por error incorporado.
- Soporta TLS.
- Soporte de roaming a través de encadenamiento de proxy.
- Soporte para control de acceso sobre redes LTE.
- Negociación de capacidades entre cliente y servidores.
Contras:
- No es tan popular ni tan ampliamente compatible como RADIUS y TACACS+.
Protocolos AAA frente a protocolos de autenticación
Existen protocolos de autenticación de red ampliamente utilizados que a menudo se confunden con los protocolos AAA. Estos protocolos de autenticación incluyen el Protocolo de autenticación de contraseña (PAP), el Protocolo de autenticación por desafío mutuo (CHAP), el Protocolo de autenticación extensible (EAP), Kerberos, etc. Aunque los protocolos de autenticación son populares entre los protocolos punto a punto (PPP), muchos protocolos de autenticación modernos comparten o derivan esquemas de estos protocolos de autenticación.
A diferencia de los protocolos AAA, los protocolos de autenticación solo se enfocan en proporcionar mecanismos de autenticación a clientes y servidores. Incluso se pueden utilizar como método de autenticación para los protocolos AAA.
Protocolos AAA frente a servicios de directorio
Es un desafío catalogar los recursos de la red y su relación con los usuarios, las máquinas y los servicios en una red informática. Los servicios de directorio permiten un fácil catálogo de esta información que ayuda a implementar estructuralmente la autenticación y autorización en una red corporativa. El protocolo ligero de acceso a directorios (LDAP) es el protocolo más utilizado para los servicios de directorio, y OpenLDAP y Microsoft Active Directory son servicios populares basados en LDAP.
Los servidores AAA pueden utilizar servidores LDAP para almacenar usuarios y datos de recursos de red que pueden utilizarse para información de autenticación y autorización.
Conclusión
AAA, es decir, Autenticación, Autorización y Contabilidad son facetas importantes de la seguridad, que permiten que la información y otros activos permanezcan seguros y solo puedan acceder aquellos con permiso de acceso. Todos los accesos se registran a través del registro para asegurarse de que haya un rastro de evidencia disponible si se necesita más adelante para la investigación.
Cuando se implementa un nuevo sistema en la nube, se necesita establecer cómo se autenticarán los usuarios del nuevo sistema, es decir, ¿qué servicio de identidad (por ejemplo, Microsoft Active Directory) usarán? ¿Qué autorización tendrá lugar (por ejemplo, controles de acceso basados en roles RBAC)? ¿Cómo se implementarán los aspectos contables de autenticación y autorización (por ejemplo, auditoría de Microsoft Active Directory)?
Los protocolos de autenticación, autorización, contabilidad o AAA centralizan los controles de acceso para el acceso a la red y la administración de dispositivos de red. Los protocolos AAA ampliamente utilizados incluyen RADIUS, TACACS+ y DIAMETER, y admiten una amplia gama de protocolos de autenticación y autorización para ampliar la funcionalidad de seguridad. Si bien estos protocolos AAA ofrecen control de acceso estandarizado, carecen de soporte para componentes seguros modernos y se quedan cortos en las redes heterogéneas modernas que comprenden muchos servicios de red diferentes. Por lo tanto, estos protocolos AAA rara vez se ven en la gestión de acceso a la infraestructura moderna.