d i e c t o i os ( ) a u t ent ica ció n y a u t o r iz a ció n d el u ......d i e c t o i os ( )...
Transcript of d i e c t o i os ( ) a u t ent ica ció n y a u t o r iz a ció n d el u ......d i e c t o i os ( )...
CAPITULO 19Servicios de identidad yaccesoEn este capítulo, lo harás
• Aprenda a instalar y configurar servicios de identidad y
acceso
• Comprender cómo comparar y contrastar los diferentes
servicios de identidad y acceso
Para usar un sistema, uno debe identificarse con el sistema
de alguna forma o forma. Este capítulo examina los
servicios de identidad y acceso empleados por los sistemas
ANTERIORCapítulo 18 Identidad, acceso y cuentas⏮
PRÓXIMOCapítulo 20 Controles de gestión de identidad y acceso ⏭🔎
CompTIA Security + All-in-One Exam Guide, quinta edición (examen SY0-501), quinta edición
Translated to: Spanish Show original Options ▼
para determinar si un usuario tiene acceso o no. Los
servicios de identidad y acceso se componen de elementos
de hardware, software y protocolo que trabajan juntos para
administrar las funciones de identidad y acceso en toda la
empresa.
Objetivo de certificación Este capítulo cubre el
objetivo 4.2 del examen CompTIA Security +, dado un
escenario, instalar y configurar servicios de identidad y
acceso.
El objetivo 4.2 es un buen candidato para preguntas
basadas en el rendimiento, lo que significa que debe esperar
preguntas en las que debe aplicar su conocimiento del tema
a un escenario. La mejor respuesta a una pregunta
dependerá de detalles específicos en el escenario que
precede a la pregunta, no solo la pregunta. Las preguntas
también pueden involucrar otras tareas además de elegir la
mejor respuesta de una lista. En su lugar, se le puede
indicar que ordene cosas en un diagrama, coloque las
opciones en orden de clasificación, combine dos columnas
de elementos o realice una tarea similar.
LDAPUn directorio es un mecanismo de almacenamiento de
datos similar a una base de datos, pero tiene varias
diferencias distintas diseñadas para proporcionar servicios
eficientes de recuperación de datos en comparación con los
mecanismos de base de datos estándar. Un directorio está
diseñado y optimizado para leer datos, ofreciendo
operaciones de búsqueda y recuperación muy rápidas. Los
tipos de información almacenados en un directorio tienden
a ser datos de atributos descriptivos. Un directorio ofrece
una vista estática de los datos que se pueden cambiar sin
una transacción de actualización compleja. Los datos se
describen jerárquicamente en una estructura en forma de
árbol, y una interfaz de red para lectura es típica. Los usos
comunes de los directorios incluyen listas de direcciones de
correo electrónico, datos de servidor de dominio y mapas de
recursos de recursos de red.El Protocolo ligero de acceso adirectorios (LDAP) se usa comúnmente para manejar la
di ecto ios ( ) se usa co ú e te pa a a eja a
autenticación y autorización del usuario y para controlar el
acceso a los objetos de Active Directory.
Para permitir la interoperabilidad, el estándar X.500 se
creó como un estándar para los servicios de directorio. El
método principal para acceder a un directorio X.500 es a
través del Protocolo de acceso a directorios (DAP), un
protocolo pesado que es difícil de implementar por
completo, especialmente en PC y plataformas más
restringidas. Esto condujo a LDAP, que contiene la
funcionalidad más utilizada. LDAP puede interactuar con
los servicios X.500 y, lo más importante, puede usarse
sobre TCP con significativamente menos recursos
informáticos que una implementación completa de X.500.
LDAP ofrece todas las funcionalidades que la mayoría de los
directorios necesitan y es más fácil y económico de
implementar, por lo tanto, LDAP se ha convertido en el
estándar de Internet para los servicios de directorio. Las
normas LDAP se rigen por dos entidades separadas según el
uso: la Unión Internacional de Telecomunicaciones (UIT)
rige la X. 500 estándar, y LDAP se rige para el uso de
Internet por Internet Engineering Task Force (IETF).
Muchas RFC se aplican a la funcionalidad LDAP, pero
algunas de las más importantes son las RFC 4510 a 4519.
CONSEJO DE EXAMEN Un cliente inicia
una sesión LDAP conectándose a un servidor
LDAP, llamado Agente de sistema de directorio
(DSA), de forma predeterminada en el puerto TCP
y UDP 389, o en el puerto 636 para LDAPS (LDAP
sobre SSL).
KERBEROSDesarrollado como parte del proyecto Athena del MIT,
Kerberos es un protocolo de autenticación de red diseñado
para un entorno cliente / servidor. La versión actual en el
momento de la redacción es Kerberos Versión 5 versión
1.15.2 y es compatible con todos los principales sistemas
operativos. Kerberos pasa de manera segura una clave
simétrica a través de una red insegura utilizando el
protocolo de clave simétrica Needham-Schroeder. Kerberos
se basa en la idea de un tercero confiable, denominado
centro de distribución de claves (KDC) , que consta de dos
partes lógicamente separadas: un servidor de autenticación
(AS) y un servidor de concesión de tickets (TGS). Kerberos
se comunica a través de "tickets" que sirven para demostrar
la identidad de los usuarios.
Tomando su nombre del perro de tres cabezas de la
mitología griega, Kerberos está diseñado para funcionar en
Internet, un entorno inherentemente inseguro. Kerberos
utiliza un cifrado seguro para que un cliente pueda
demostrar su identidad a un servidor y el servidor a su vez
pueda autenticarse ante el cliente. Un entorno Kerberos
completo se denomina reino Kerberos. El servidor Kerberos
contiene ID de usuario y contraseñas hash para todos los
usuarios que tendrán autorizaciones para servicios de
dominio. El servidor Kerberos también ha compartido
claves secretas con cada servidor al que otorgará tickets de
acceso.
La base para la autenticación en un entorno Kerberos es el
ticket. Los tickets se utilizan en un proceso de dos pasos con
el cliente. El primer ticket es un ticket de otorgamiento de
tickets (TGT) emitido por el AS a un cliente solicitante. El
cliente puede presentar este ticket al servidor Kerberos con
una solicitud de un ticket para acceder a un servidor
específico. Este ticket de cliente a servidor se utiliza para
obtener acceso al servicio de un servidor en el ámbito.
Como toda la sesión se puede cifrar, esto eliminará la
transmisión inherentemente insegura de elementos como
una contraseña que puede ser interceptada en la red. Los
tickets tienen una marca de tiempo y tienen una vida útil,
por lo que intentar reutilizar un ticket no tendrá éxito.
Los pasos involucrados en la autenticación Kerberos son
1. El usuario presenta credenciales y solicita un ticket del
servidor de distribución de claves (KDS).
2. El KDS verifica las credenciales y emite un TGT.
3. El usuario presenta un TGT y una solicitud de servicio al
KDS.
4. El KDS verifica la autorización y emite un ticket de
cliente a servidor.
5. El usuario presenta una solicitud y un ticket de cliente a
servidor para el servicio deseado.
6. Si el ticket de cliente a servidor es válido, el servicio se
otorga al cliente.
Para ilustrar cómo funciona el servicio de autenticación
Kerberos, piense en la licencia de conducir común. Ha
recibido una licencia que puede presentar a otras entidades
para demostrar que es quien dice ser. Debido a que otras
entidades confían en el estado en el que se emitió la
licencia, aceptarán su licencia como prueba de su identidad.
El estado en el que se emitió la licencia es análogo al
dominio del servicio de autenticación Kerberos, y la licencia
actúa como un ticket de cliente a servidor. Es la entidad
confiable en la que ambas partes confían para proporcionar
identificaciones válidas. Esta analogía no es perfecta,
porque probablemente todos hemos oído hablar de
personas que obtuvieron una licencia de conducir falsa,
pero sirve para ilustrar la idea básica detrás de Kerberos.
CONSEJO DE EXAMEN Kerberos es un
servicio de autenticación de terceros que utiliza
una serie de tickets como tokens para autenticar a
los usuarios. Los pasos involucrados están
protegidos mediante una criptografía sólida.
p g p g
TACACS +El protocolo Terminal Access Controller Access ControlSystem + (TACACS +) es la generación actual de la familia
TACACS. TACACS + ha ampliado el control de atributos y
los procesos contables.
Uno de los aspectos fundamentales del diseño es la
separación de autenticación, autorización y contabilidad en
este protocolo. Aunque existe un linaje directo de estos
protocolos del TACACS original, TACACS + es una revisión
importante y no es compatible con versiones anteriores de
la serie de protocolos.
TACACS + usa TCP como su protocolo de transporte,
normalmente opera a través del puerto TCP 49. Este puerto
se usa para el proceso de inicio de sesión. Los puertos UDP
y TCP 49 están reservados para el protocolo de host de
inicio de sesión TACACS +.
TACACS + es un protocolo cliente / servidor, en el que el
cliente suele ser un servidor de acceso a la red (NAS) y el
servidor es un proceso demonio en un servidor UNIX,
Linux o Windows. Es importante tener en cuenta que si la
máquina del usuario (usualmente una PC) no es el cliente
(usualmente un NAS), entonces las comunicaciones entre la
PC y el NAS generalmente no están encriptadas y se pasan
de forma clara. Las comunicaciones entre un cliente
TACACS + y un servidor TACACS + se cifran utilizando un
secreto compartido que se configura manualmente en cada
entidad y no se comparte a través de una conexión. Por lo
tanto, las comunicaciones entreun cliente TACACS +
(generalmente un NAS) y un servidor TACACS + son
seguros, pero las comunicaciones entre un usuario
(generalmente una PC) y el cliente TACACS + están sujetas
a compromiso.
TACACS + AutenticaciónTACACS + permite la longitud arbitraria y el contenido en
la secuencia de intercambio de autenticación, lo que
permite utilizar muchos mecanismos de autenticación
permite utilizar muchos mecanismos de autenticación
diferentes con los clientes TACACS +. La autenticación es
opcional y se determina como una opción configurable en el
sitio. Cuando se utiliza la autenticación, los formularios
comunes incluyen la autenticación del Protocolo punto a
punto (PPP) con el Protocolo de autenticación de
contraseña (PAP), el Protocolo de autenticación de desafío
de apretón de manos (CHAP) o el Protocolo de
autenticación extensible (EAP), tarjetas de token y
Kerberos. El proceso de autenticación se realiza utilizando
tres tipos de paquetes diferentes: INICIAR, CONTINUAR y
RESPONDER. Los paquetes START y CONTINUE se
originan en el cliente y se dirigen al servidor TACACS +. El
paquete REPLY se usa para comunicarse desde el servidor
TACACS + al cliente.
El proceso de autenticación se ilustra en la Figura 19-1 , y
comienza con un mensaje de INICIO del cliente al servidor.
Este mensaje puede ser en respuesta a un inicio desde una
PC conectada al cliente TACACS +. El mensaje de INICIO
describe el tipo de autenticación que se solicita (contraseña
de texto sin formato simple, PAP, CHAP, etc.). Este mensaje
de INICIO también puede contener datos de autenticación
adicionales, como nombre de usuario y contraseña.
También se envía un mensaje de INICIO como respuesta a
una solicitud de reinicio del servidor en un mensaje de
RESPUESTA. Un mensaje de INICIO siempre tiene su
número de secuencia establecido en 1.
Figura 19-1 TACACS + secuencia de comunicación
Cuando un servidor TACACS + recibe un mensaje de
INICIO, envía un mensaje de RESPUESTA. Este mensaje de
RESPUESTA indicará si la autenticación está completa o si
necesita continuar. Si el proceso necesita continuar, el
mensaje RESPUESTA también especifica qué información
adicional se necesita. La respuesta de un cliente a un
mensaje de RESPUESTA que solicita datos adicionales es
un mensaje CONTINUAR. Este proceso continúa hasta que
el servidor tenga toda la información necesaria y el proceso
de autenticación concluya con éxito o fracaso.
Autorización TACACS +La autorización TACACS + se define como la acción
asociada con la determinación del permiso asociado con
una acción del usuario. Esto generalmente ocurre después
de la autenticación, como se muestra en la Figura 19-1 ,
pero este no es un requisito firme. Existe un estado
predeterminado de "usuario desconocido" antes de que un
usuario se autentique, y se pueden determinar los permisos
para un usuario desconocido. Al igual que con la
autenticación, la autorización es un proceso opcional y
puede o no ser parte de una operación específica del sitio.
Cuando la autorización se usa junto con la autenticación, el
proceso de autorización sigue el proceso de autenticación y
usa la identidad de usuario confirmada como entrada en el
proceso de decisión.
El proceso de autorización se realiza utilizando dos tipos de
mensajes: SOLICITUD y RESPUESTA. El proceso de
autorización se realiza mediante una sesión de autorización
que consta de un solo par de mensajes SOLICITUD y
RESPUESTA. El cliente emite un mensaje de SOLICITUD
de autorización que contiene un conjunto fijo de campos
que enumeran elautenticidad del usuario o proceso que
solicita permiso y un conjunto variable de campos que
enumeran los servicios u opciones para los que se solicita
autorización.
El mensaje de RESPUESTA en TACACS + no es un simple
sí o no; También puede incluir información de calificación,
como un límite de tiempo de usuario o restricciones de IP.
Estas limitaciones tienen usos importantes, como imponer
límites de tiempo en el acceso de shell o restricciones de la
lista de acceso IP para cuentas de usuario específicas.
TACACS + ContabilidadAl igual que con los dos servicios anteriores, la contabilidad
también es una función opcional de TACACS +. Cuando se
utiliza, generalmente sigue a los otros servicios. La
contabilidad en TACACS + se define como el proceso de
registrar lo que un usuario o proceso ha hecho. La
contabilidad puede servir para dos propósitos importantes:
• Se puede utilizar para contabilizar los servicios que se
utilizan, posiblemente con fines de facturación.
• Se puede utilizar para generar pistas de auditoría de
seguridad.
Los registros contables de TACACS + contienen varios
Los registros contables de TACACS + contienen varios
datos para respaldar estas tareas. El proceso de
contabilidad tiene la información revelada en los procesos
de autorización y autenticación, por lo que puede registrar
solicitudes específicas por usuario o proceso. Para admitir
esta funcionalidad, TACACS + tiene tres tipos de registros
contables: START, STOP y UPDATE. Tenga en cuenta que
estos son tipos de registros, no tipos de mensajes como se
discutió anteriormente.
Los registros de INICIO indican el tiempo y el usuario o
proceso que comenzó un proceso autorizado. Los registros
de DETENCIÓN enumeran la misma información sobre los
tiempos de detención para acciones específicas. Los
registros de ACTUALIZACIÓN actúan como avisos
intermedios de que una tarea en particular todavía se está
realizando. Juntos, estos tres tipos de mensajes permiten la
creación de registros que delinean la actividad de un
usuario o proceso en un sistema.
CAPEl Protocolo de autenticación por desafío mutuo (CHAP) se
utiliza para proporcionar autenticación a través de un
enlace punto a punto utilizando PPP. En este protocolo, la
autenticación después de que se haya establecido el enlace
no es obligatoria. CHAP está diseñado para proporcionar
autenticación periódicamente mediante el uso de un
sistema de desafío / respuesta, a veces descrito como un
apretón de manos de tres vías, como se ilustra en la Figura
19-2. El desafío inicial (un número generado
aleatoriamente) se envía al cliente. El cliente utiliza una
función de hashing unidireccional para calcular cuál
debería ser la respuesta y luego la envía de vuelta. El
servidor compara la respuesta con lo que calculó que
debería ser la respuesta. Si coinciden, la comunicación
continúa. Si los dos valores no coinciden, la conexión
finaliza. Este mecanismo se basa en un secreto compartido
entre las dos entidades para poder calcular los valores
correctos.
Figura 19-2 La secuencia de desafío / respuesta CHAP
EXAM TIP CHAP utiliza PPP, que admite tres
funciones:
- Encapsular datagramas a través de enlaces seriales
—Establecer, configurar y probar enlaces utilizando LCP
(Protocolo de control de enlaces)
—Establecer y configurar diferentes protocolos de red
utilizando NCP (Protocolo de control de red)
PPP admite dos protocolos de autenticación:
- Protocolo de autenticación de contraseña (PAP)
—Protocolo de autenticación de protocolo de desafío
(CHAP)
PAPILLALa autenticación del Protocolo de autenticación decontraseña (PAP) implica un protocolo de enlace
bidireccional en el que el nombre de usuario y la contraseña
se envían a través del enlace en texto sin cifrar. La
autenticación PAP no proporciona ninguna protección
contra la reproducción y el rastreo de línea. PAP ahora es
un estándar obsoleto.
EXAM TIP PAP es un protocolo de
autenticación de texto sin formato y, por lo tanto,
está sujeto a intercepción. CHAP usa un protocolo
de reconocimiento de respuesta de desafío para
asegurar el canal.
MSCHAPProtocolo de autenticación por desafío mutuo Microsoft(MSCHAP) es la variante de Microsoft CHAP. Microsoft ha
creado dos versiones de CHAP, modificadas para aumentar
su usabilidad en toda su línea de productos. MSCHAPv1,
definido en RFC 2433, ha sido desaprobado y eliminado en
Windows Vista. El estándar actual es MSCHAPv2, RFC
2759, que se introdujo con Windows 2000. MSCHAPv2
ofrece autenticación mutua, verificando a ambos usuarios
en un intercambio. También ofrece soporte criptográfico
mejorado que incluye claves criptográficas separadas para
los datos transmitidos y recibidos.
RADIOEl Servicio de usuario de marcación de autenticaciónremota (RADIUS) es un protocolo que se desarrolló como
un protocolo AAA. Se presentó al IETF como una serie de
RFC: RFC 2058 (especificación RADIUS), RFC 2059
(estándar de contabilidad RADIUS), y los RFC actualizados
2865–2869 y 3579 son ahora protocolos estándar. El Grupo
de trabajo IETF AAA ha propuesto extensiones a RADIUS
(RFC 2882) y un protocolo de reemplazo llamado Diameter
(RFC 7075).
RADIUS está diseñado como un protocolo sin conexión que
utiliza el Protocolo de datagramas de usuario (UDP) como
su protocolo de nivel de transporte. Los problemas de tipo
de conexión como los tiempos de espera son manejados
de conexión, como los tiempos de espera, son manejados
por la aplicación RADIUS en lugar de la capa de transporte.
RADIUS utiliza los puertos UDP 1812 para autenticación y
autorización y 1813 para funciones de contabilidad.
RADIUS es un protocolo cliente / servidor. El cliente
RADIUS suele ser un servidor de acceso a la red (NAS). El
servidor RADIUS es un proceso o demonio que se ejecuta
en una máquina UNIX o Windows Server. Las
comunicaciones entre un cliente RADIUS y un servidor
RADIUS se cifran mediante un secreto compartido que se
configura manualmente en cada entidad y no se comparte a
través de una conexión. Por lo tanto, las comunicaciones
entre un cliente RADIUS (generalmente un NAS) y un
servidor RADIUS son seguras, pero las comunicaciones
entre un usuario (generalmente una PC) y el cliente
RADIUS están sujetas a compromiso. Es importante tener
en cuenta que si la máquina del usuario (la PC) no es el
cliente RADIUS (el NAS), las comunicaciones entre la PC y
el NAS generalmente no están encriptadas y se pasan de
forma clara.
Autenticación RADIUS
El protocolo RADIUS está diseñado para permitir que un
servidor RADIUS admita una amplia variedad de métodos
para autenticar a un usuario. Cuando el servidor recibe un
nombre de usuario y contraseña, puede admitir el inicio de
sesión PPP, PAP, CHAP, UNIX y otros mecanismos,
dependiendo de lo que se estableció cuando se configuró el
servidor. Una autenticación de inicio de sesión de usuario
consiste en una consulta (solicitud de acceso) del cliente
RADIUS y una respuesta correspondiente (aceptación de
acceso o rechazo de acceso) del servidor RADIUS, como
puede ver en la Figura 19-3 .
Figura 19-3 Secuencia de comunicación RADIUS
El mensaje de solicitud de acceso contiene el nombre de
usuario, la contraseña cifrada, la dirección IP de NAS y el
puerto. El mensaje también contiene información sobre el
tipo de sesión que el usuario desea iniciar. Una vez que el
servidor RADIUS recibe esta información, busca en su base
de datos una coincidencia con el nombre de usuario. Si no
se encuentra una coincidencia, se carga un perfil
predeterminado o se envía una respuesta de rechazo de
acceso. Si se encuentra la entrada o se usa el perfil
predeterminado, la siguiente fase implica autorización, ya
que en RADIUS, estos pasos se realizan en secuencia. La
Figura 19-3 muestra la interacción entre un usuario y el
cliente RADIUS y el servidor RADIUS y los pasos dados
para establecer una conexión:
1. Un usuario inicia la autenticación PPP en el NAS.
2. El NAS solicita
b d i t ñ ( i PAP)
• nombre de usuario y contraseña (si es PAP), o
• desafío (si CHAP).
3. El usuario responde con credenciales.
4. El cliente RADIUS envía el nombre de usuario y la
contraseña cifrada al servidor RADIUS.
5. El servidor RADIUS responde con Aceptar, Rechazar o
Desafiar.
6. El cliente RADIUS actúa sobre los servicios solicitados
por el usuario.
Autorización RADIUS
En el protocolo RADIUS, los pasos de autenticación y
autorización se realizan juntos en respuesta a un solo
mensaje de solicitud de acceso, aunque son pasos
secuenciales, como se muestra en la Figura 19-3 . Una vez
que se ha establecido una identidad, ya sea conocida o
predeterminada, el proceso de autorización determina qué
parámetros se devuelven al cliente. Los parámetros de
autorización típicos incluyen el tipo de servicio permitido
(shell o enmarcado), los protocolos permitidos, la dirección
IP para asignar al usuario (estático o dinámico) y la lista de
acceso para aplicar o la ruta estática para colocar en la tabla
de enrutamiento NAS. Estos parámetros son todosdefinido
en la información de configuración en el cliente y servidor
RADIUS durante la instalación. Con esta información, el
servidor RADIUS devuelve un mensaje de aceptación de
acceso con estos parámetros al cliente RADIUS.
Contabilidad RADIUS
La función de contabilidad RADIUS se realiza
independientemente de la autenticación y autorización
RADIUS. La función de contabilidad utiliza un puerto UDP
separado, 1813. La funcionalidad principal de la
contabilidad RADIUS se estableció para admitir ISP ensu
contabilidad de usuario, y admite funciones de contabilidad
típicas para facturación de tiempo y registro de seguridad.
Las funciones de contabilidad RADIUS están diseñadas
para permitir que los datos se transmitan al principio y al
final de una sesión, y puede indicar la utilización de
recursos, como el tiempo, el ancho de banda, etc.
Cuando RADIUS se diseñó por primera vez a mediados de
la década de 1990, el papel de los ISP NAS era
relativamente simple. Permitir y denegar el acceso a una
red y el uso del tiempo fueron las principales
preocupaciones. Hoy, Internet y sus métodos de acceso han
cambiado drásticamente, y también los requisitos de AAA.
SAMLEl lenguaje de marcado de aserción de seguridad (SAML)es una capacidad de inicio de sesión único (SSO) utilizada
para aplicaciones web para garantizar que las identidades
de los usuarios se puedan compartir y proteger. Define
estándares para el intercambio de datos de autenticación y
autorización entre dominios de seguridad. Cada vez es más
importante con las soluciones basadas en la nube y con las
aplicaciones de software como servicio (SaaS), ya que
garantiza la interoperabilidad entre los proveedores de
identidad.
SAML es un protocolo basado en XML que utiliza tokens de
seguridad y aserciones para pasar información sobre un
"principal" (generalmente un usuario final) con una
autoridad SAML (un "proveedor de identidad" o IdP) y el
proveedor de servicios (SP). El director solicita un servicio
del SP, que luego solicita y obtiene una afirmación de
identidad del IdP. El SP puede otorgar acceso o realizar el
servicio solicitado para el director.
OPENID CONNECTOpenID Connect es una capa de identidad simple sobre el
protocolo OAuth 2.0, que se analiza a continuación.
OpenID Connect permite a clientes de todo tipo, incluidos
dispositivos móviles, JavaScript y clientes basados en web,
solicitar y recibir información sobre sesiones autenticadas y
usuarios finales. OpenID está destinado a hacer que el
proceso de demostrar quién es usted sea el primer paso en
proceso de demostrar quién es usted sea el primer paso en
la escalera de autenticación-autorización. Para hacer la
autorización, se necesita un segundo proceso, y OpenID
generalmente se combina con OAuth 2.0. OpenID se creó
para la autenticación federada que permite a un tercero,
como Google o Facebook, autenticar a sus usuarios por
usted, utilizando cuentas que los usuarios ya tienen.
OAUTHOAuth (Open Authorization) es un protocolo abierto que
permite la autorización segura basada en tokens en Internet
desde aplicaciones web, móviles y de escritorio a través de
un método simple y estándar. OAuth es utilizado por
compañías como Google, Facebook, Microsoft y Twitter
para permitir a los usuarios compartir información sobre
sus cuentas con aplicaciones o sitios web de terceros. OAuth
1.0 fue desarrollado por un ingeniero de Twitter como parte
de la implementación de Twitter OpenID. OAuth 2.0 (no
compatible con versiones anteriores) ha despegado con el
soporte de la mayoría de las principales plataformas web.
La principal fortaleza de OAuth es que puede ser utilizado
por un sitio externo asociado para permitir el acceso a datos
protegidos sin tener que volver a autenticar al usuario.
OAuth se creó para eliminar la necesidad de que los
usuarios compartan sus contraseñas con aplicaciones de
terceros, en lugar de sustituir un token. OAuth 2.0 amplió
esto para proporcionar también servicios de autenticación,
por lo que puede eliminar la necesidad de OpenID.
CONSEJO DE EXAMEN OpenID y OAuth se
usan generalmente juntos, pero tienen diferentes
propósitos. OpenID se usa para la autenticación,
mientras que OAuth se usa para la autorización.
SANTO Y SEÑA
SANTO Y SEÑA
Shibboleth es un servicio diseñado para permitir el inicio de
sesión único y la autenticación y autorización basada en
identidad federada en todas las redes. Comenzó en 2000,
ha pasado por varias revisiones y versiones, pero aún no ha
recibido una aceptación generalizada. Shibboleth es una
tecnología basada en la web que se construye utilizando
tecnologías SAML. Shibboleth utiliza los perfiles de
inserción HTTP / POST, artefactos y atributos de SAML,
incluidos los componentes de proveedor de identidad (IdP)
y proveedor de servicio (SP) para lograr sus objetivos.
Como tal, está incluido en muchos servicios que usan SAML
para la gestión de identidad.
TOKEN SEGURODentro de un marco de identidad basado en notificaciones,
como OASIS WS-Trust, se utilizan tokens de seguridad. Un
servicio de token seguro es responsable de emitir, validar,
renovar y cancelar estos tokens de seguridad. Los tokens
emitidos se pueden usar para identificar a los titulares de
los tokens de cualquier servicio que cumpla con el estándar
WS-Trust. Los tokens seguros resuelven el problema de
autenticación en plataformas sin estado, ya que la identidad
del usuario debe establecerse con cada solicitud. El proceso
básico de cinco pasos para usar tokens es el siguiente:
1. El usuario solicita acceso con nombre de usuario /
contraseña.
2. El servicio de token seguro valida las credenciales.
3. El servicio de token seguro proporciona un token
firmado al cliente.
4. El cliente almacena ese token y lo envía junto con cada
solicitud.
5. El servidor verifica el token y responde con datos.
Estos pasos son altamente escalables y pueden distribuirse
ampliamente e incluso compartirse. Una aplicación de
usuario puede usar un token para acceder a través de otra
usuario puede usar un token para acceder a través de otra
aplicación, lo que le permite a alguien validar un inicio de
sesión en Twitter a través de Facebook, ya que los tokens
son transportables.
NTLMNT LAN Manager (NTLM) , también conocido como
Windows Challenge / Response, es un conjunto de
protocolos de seguridad de Microsoft que proporciona
autenticación, integridad y confidencialidad a los usuarios.
NTLM es el sucesor del protocolo de autenticación en
Microsoft LAN Manager (LANMAN), un producto anterior
de Microsoft. Ambas suites han sido
ampliamentereemplazado por la implementación Kerberos
de Microsoft, aunque NTLM todavía se usa para la
autenticación de inicio de sesión en máquinas Windows
independientes. NTLM utiliza un protocolo de desafío /
respuesta encriptado para autenticar a un usuario sin
enviar la contraseña del usuario a través del cable, pero la
criptografía utilizada para esto, MD4, se considera débil y
obsoleta según los estándares actuales.
REVISIÓN DE CAPÍTULOSEn este capítulo, se familiarizó con los principios detrás de
los servicios de identidad y acceso. El capítulo se abrió con
una exploración del protocolo LDAP y luego se trasladó a
Kerberos. A continuación, se exploró TACACS +, incluida la
forma en que realiza la autenticación, la autorización y la
contabilidad. Luego, el capítulo examinó los protocolos
CHAP, PAP y MSCHAP. Luego regresó a los servicios
integrados, esta vez mirando RADIUS, incluida la forma en
que realiza la autenticación, la autorización y la
contabilidad.
Luego, el capítulo exploró métodos distribuidos y federados
como SAML, OpenID Connect, OAuth y Shibboleth. El
capítulo siguiente introdujo el uso de tokens seguros,
seguido de un examen de NTLM, un servicio antiguo pero
esencial.
Preguntas
Para ayudarlo a prepararse más para el examen CompTIA
Security +, y para evaluar su nivel de preparación, responda
las siguientes preguntas y luego compare sus respuestas con
las respuestas correctas al final del capítulo.
1 . Está trabajando con un grupo de desarrollo en una
nueva aplicación web que se alojará en la nube. Necesitan la
capacidad de inicio de sesión único para intercambiar datos
de autenticación y autorización entre múltiples dominios de
seguridad y prefieren trabajar con XML. ¿Qué sugieres que
usen?
A. PAP
B. RADIO
C. SAML
D. SecureID
2 . Se le ha encomendado a un colega la tarea de actualizar
los protocolos de autenticación para una aplicación muy
antigua basada en Windows que se ejecuta en un sistema
autónomo: todavía utiliza LANMAN y se ejecuta en
Windows XP. El colega preferiría seguir usando algo de
Microsoft, pero no puede actualizar el sistema operativo
más allá de Windows 7 durante este esfuerzo. ¿Cuál de las
siguientes sugerencias sugeriría que use?
A. TACACS +
B. NTLM
C. RADIO
D. LDAP
3 . ¿Cuál de los siguientes protocolos utiliza un centro de
distribución de claves y puede pasar de manera segura una
clave simétrica a través de una red insegura?
A. CHAP
B. PAP
C. LDAP
D. Kerberos
4 4 . Su colega está preparando una charla sobre la
autenticación TACACS + y la secuencia de intercambio.
Tiene problemas para recordar los tres tipos de paquetes
diferentes utilizados en el proceso de autenticación. ¿Cuál
de los siguientes no es uno de los tres tipos de paquetes
utilizados en la autenticación TACACS +?
A. RESPUESTA
B. INICIAR
C. CONTINUAR
D. INICIAR
5 5 . Mientras ayuda a catalogar servidores más antiguos
en su centro de datos, se encuentra con un servidor de
contabilidad RADIUS. Su supervisor le pregunta para qué
se usaba típicamente la contabilidad RADIUS. ¿Le dice que
se usó principalmente para cuál de los siguientes?
A. Direcciones IP de origen y destino del tráfico de red.
B. Aplicaciones utilizadas por los usuarios.
C. facturación de tiempo y registro de seguridad
D. Seguimiento del acceso a archivos
6 6 . Su equipo de desarrollo necesita una solución de
autenticación que admita la autenticación en plataformas
sin estado. Quieren que explique cómo otras aplicaciones
usan los inicios de sesión de Facebook o Goggle para la
autenticación. En su explicación, ¿cuál de los siguientes
conceptos definitivamente necesitaría mencionar?
A. Fichas seguras
B. Entradas seguras
C. solicitudes XML
D. Solicitar paquetes
7 7 . Está estableciendo un enlace punto a punto y necesita
proporcionar autenticación utilizando PPP. ¿Cuál de los
siguientes protocolos considerarías?
A. CHAP
B. RADIO
C. SAML
D. autenticación TCP
8 . ¿Qué significa la "A" en RADIUS?
A. Solicitud
B. Autorización
C. Autenticación
D. Auditoría
9 . ¿Cuál de las siguientes afirmaciones sobre TACACS +
es verdadera?
A. Las comunicaciones entre un cliente TACACS +
(generalmente un NAS) y un servidor TACACS + no son
seguras.
B. Las comunicaciones entre un usuario (generalmente
una PC) y el cliente TACACS + están sujetas a compromiso
ya que las comunicaciones generalmente no están
encriptadas.
C. TACACS + es una extensión de TACACS y es compatible
con versiones anteriores.
D. TACACS + usa UDP para su protocolo de transporte.
10 . ¿Cuál de los siguientes protocolos implica un protocolo
de enlace bidireccional y envía el nombre de usuario y la
contraseña en texto claro?
A. SAML
B. LDAP
C. PAP
D. NTLM
11 . OpenID Connect permite ¿cuál de los siguientes?
R. Un tercero puede autenticar a sus usuarios por usted
usando las cuentas que los usuarios ya tienen.
B. Las claves simétricas se pueden compartir a través de
redes no seguras.
C. La identidad se puede confirmar con un solo paquete
UDP.
D. Las direcciones IP confiables se pueden usar para
mitigar los ataques de fuerza bruta.
12 . Su grupo de TI está reelaborando sus capacidades de
autenticación y autorización de usuarios. Necesitan algo
que se pueda usar para controlar el acceso a los objetos, así
como para manejar la autenticación y autorización del
usuario. ¿Cuál de los siguientes protocolos sugeriría que
usen?
A. MSCHAP
B. TACACS
C. PPP
D. LDAP
13 . ¿Cuál de los siguientes es un servicio diseñado para
3 g p
habilitar el inicio de sesión único y la autenticación y
autorización basadas en identidad federada en todas las
redes?
A. PAP
B. Shibboleth
C. XAML
D. OASIS
14 . ¿Cuál de las siguientes es una declaración verdadera
sobre el protocolo NTLM?
A. Utiliza un protocolo de desafío / respuesta encriptado
para autenticar a un usuario.
B. Pasa las credenciales del usuario solo en texto claro.
C. Se utiliza comúnmente para integrar servicios UNIX en
una red.
D. Se usa típicamente en sistemas independientes.
15 . ¿Cuál de los siguientes es un protocolo abierto que
permite la autenticación segura y basada en tokens y la
autorización de aplicaciones web, de escritorio y móviles y
es utilizado por compañías como Google y Microsoft para
permitir a los usuarios compartir información sobre sus
cuentas con aplicaciones de terceros? ?
A. TKIP
B. OAuth
C. SAML
D. RADIO
Respuestas
1 . C. El Lenguaje de marcado de aserción de seguridad
(SAML) es una capacidad de inicio de sesión único utilizada
para aplicaciones web para garantizar que las identidades
de los usuarios se puedan compartir y proteger. Define
estándares para el intercambio de datos de autenticación y
autorización entre dominios de seguridad. Cada vez es más
importante con las soluciones basadas en la nube y con las
aplicaciones de software como servicio (SaaS), ya que
garantiza la interoperabilidad entre los proveedores de
identidad.
2 . B. NT LAN Manager (NTLM) es un conjunto de
protocolos de seguridad de Microsoft que proporciona
autenticación, integridad y confidencialidad a los usuarios y
sería la opción más probable de la lista de opciones. NTLM
es el sucesor del protocolo de autenticación en Microsoft
LAN Manager (LANMAN).
3 . D. Kerberos pasa de manera segura una clave simétrica
a través de una red insegura utilizando el protocolo de clave
simétrica Needham-Schroeder. Kerberos se basa en la idea
de un tercero confiable, denominado centro de distribuciónde claves (KDC) , que consta de dos partes lógicamente
separadas: un servidor de autenticación (AS) y un servidor
de concesión de tickets (TGS). Kerberos se comunica a
través de "tickets" que sirven para demostrar la identidad
de los usuarios.
4 4 . D. El proceso de autenticación TACACS + se realiza
utilizando tres tipos de paquetes diferentes: INICIAR,
CONTINUAR y RESPONDER. Los paquetes START y
CONTINUE se originan en el cliente y se dirigen al servidor
TACACS +. El paquete REPLY se usa para comunicarse
desde el servidor TACACS + al cliente.
5 5 . C. La funcionalidad principal de la contabilidad
RADIUS se estableció para admitir los ISP en la
contabilidad de sus usuarios, y es compatible con las
funciones de contabilidad típicas para la facturación del
tiempo y el registro de seguridad.
6 6 . R. Los tokens seguros proporcionan autenticación a
g p p
través de plataformas sin estado y se pueden usar para
identificar al titular del token para cualquier servicio que
cumpla con el estándar WS-Trust. Los tokens seguros son
transportables, que es lo que permite a los usuarios iniciar
sesión en Twitter u otras aplicaciones a través de Facebook.
7 7 . A. El Protocolo de autenticación por desafío mutuo
(CHAP) se utiliza para proporcionar autenticación a través
de un enlace punto a punto utilizando PPP.
8 . C. La "A" significa Autenticación: Servicio de usuario
de marcación de autenticación remota (RADIUS).
9 . B. Las comunicaciones entre un usuario
(generalmente una PC) y el cliente TACACS + están sujetas
a compromiso, ya que generalmente no están encriptadas.
10 . C. La autenticación del Protocolo de autenticación de
contraseña (PAP) implica un protocolo de enlace
bidireccional en el que el nombre de usuario y la contraseña
se envían a través del enlace en texto claro. La autenticación
PAP no proporciona ninguna protección contra la
reproducción y el rastreo de línea.
11 . R. OpenID se creó para la autenticación federada que
permite a un tercero autenticar a sus usuarios por usted,
utilizando cuentas que los usuarios ya tienen.
12 . D. LDAP es un protocolo que se usa comúnmente para
manejar la autenticación / autorización del usuario, así
como para controlar el acceso a los objetos de Active
Directory.
13 . B. Shibboleth es un servicio diseñado para permitir el
inicio de sesión único y la autenticación y autorización
basadas en identidad federada en todas las redes.
Shibboleth es una tecnología basada en la web que se
construye utilizando tecnologías SAML.
14 . R. NTLM utiliza un protocolo de desafío / respuesta
encriptado para autenticar a un usuario sin enviar la
Configuraciones / Apoyo / Desconectar© 2020 O'Reilly Media, Inc . Términos de servicio / Política de privacidad
contraseña del usuario por cable, pero la criptografía se
considera débil e ineficaz según los estándares actuales.
15 . B. OAuth (Open Authorization) es un protocolo abierto
que permite la autorización segura basada en tokens en
Internet desde aplicaciones web, móviles y de escritorio a
través de un método simple y estándar. OAuth es utilizado
por compañías como Google, Facebook, Microsoft y Twitter
para permitir a los usuarios compartir información sobre
sus cuentas con aplicaciones o sitios web de terceros.
ANTERIORCapítulo 18 Identidad, acceso y cuentas⏮
PRÓXIMOCapítulo 20 Controles de gestión de identidad y acceso ⏭