Implementación del Modelo AAA

Servicios de autenticación.

Servicios de autenticación: Local, LDAP, Kerberos.

En cuanto a los servicios de autenticación, existen diversos enfoques. La autenticación local es el método más básico y consiste en almacenar las credenciales directamente en el sistema que las valida, como ocurre en los archivos /etc/shadow de Linux o la base de datos SAM en Windows. Este método es sencillo y no requiere infraestructura adicional, pero no es escalable en entornos con muchos equipos y dificulta la gestión centralizada de usuarios.

 

Ilustración 1. Proceso de autenticación local, donde el usuario valida sus credenciales contra el archivo de contraseñas almacenado en el sistema operativo (/etc/shadow en Linux o SAM en Windows).

Para escenarios más complejos, se utiliza LDAP (Lightweight Directory Access Protocol), un protocolo abierto que permite acceder y administrar servicios de directorio. A través de un servidor LDAP (como OpenLDAP, 389 Directory Server o Active Directory), las credenciales y atributos de los usuarios se almacenan y administran de forma centralizada. Esto facilita la gestión de accesos en redes corporativas y la integración con múltiples aplicaciones, aunque requiere medidas de seguridad adicionales como cifrado TLS/SSL.

Ilustración 2. Esquema de autenticación mediante LDAP, donde el usuario se autentica a través de una aplicación cliente que consulta un servidor LDAP conectado a una base de datos centralizada.

Otro protocolo ampliamente utilizado es Kerberos, diseñado para proporcionar autenticación segura en redes mediante un sistema de tickets y cifrado simétrico. Con Kerberos, el usuario se autentica ante un servidor denominado Key Distribution Center (KDC), que le entrega un ticket inicial (TGT). Este ticket se utiliza para obtener tickets de servicio adicionales sin necesidad de reenviar la contraseña, lo que mejora la seguridad y habilita el inicio de sesión único (Single Sign-On).

Ilustración 3. Proceso de autenticación con Kerberos, en el que el usuario obtiene un Ticket Granting Ticket (TGT) del Key Distribution Center (KDC) para acceder a un servicio sin reenviar credenciales.

Servicios de autenticación: RADIUS/TACACS+.

Entre los protocolos más utilizados para implementar el modelo AAA destacan RADIUS y TACACS+. RADIUS es un estándar IETF que funciona bajo el protocolo UDP y es ampliamente utilizado para autenticar accesos a redes, como en conexiones Wi-Fi corporativas o VPN. Cifra únicamente la contraseña en tránsito, lo que lo hace rápido, pero con menor nivel de protección que TACACS+. Este último, desarrollado por Cisco, utiliza TCP y cifra todo el contenido del paquete, permitiendo además separar claramente las fases de autenticación, autorización y contabilidad. TACACS+ es ideal para la gestión de dispositivos de red, ya que permite un control granular de los comandos que puede ejecutar cada usuario.

Ilustración 4. Esquema de autenticación mediante TACACS+, donde el usuario accede a un dispositivo de red que valida las credenciales con un servidor TACACS+ conectado a una base de datos o directorio.

Ilustración 5. Proceso de autenticación mediante RADIUS, donde el usuario se conecta a un NAS o cliente RADIUS que valida las credenciales con un servidor RADIUS vinculado a una base de datos o directorio.

Servicios de autenticación: OAuth2 y SAML.

En el ámbito de aplicaciones web y servicios en la nube, se emplean marcos y protocolos más modernos como OAuth2 y SAML. OAuth2 es un marco de autorización que permite a las aplicaciones obtener acceso limitado a recursos protegidos sin necesidad de almacenar o procesar las credenciales del usuario. Su funcionamiento se basa en la emisión de tokens de acceso por parte de un servidor de autorización. Por su parte, SAML es un estándar basado en XML que intercambia de forma segura datos de autenticación y autorización entre un proveedor de identidad (Identity Provider) y un proveedor de servicios (Service Provider), lo que facilita el inicio de sesión único entre diferentes aplicaciones corporativas.

Ilustración 6. Flujo de autenticación basado en SAML, donde el usuario interactúa con un proveedor de servicios (SP) que delega la autenticación en un proveedor de identidad (IdP) para acceder a una aplicación corporativa.

Ilustración 7. Arquitectura de autenticación y autorización en OAuth2, donde el usuario interactúa con una aplicación cliente que obtiene permisos a través de un servidor de autorización para acceder a los recursos protegidos en un servidor de recursos.

 

Servicios de autenticación: SSO y Federación de Identidades.

Precisamente, el Single Sign-On (SSO) es una tecnología que permite a los usuarios autenticarse una sola vez para acceder a múltiples sistemas o aplicaciones sin necesidad de introducir repetidamente sus credenciales. Esto se logra gracias a la confianza establecida entre los servicios y el proveedor de identidad, mediante protocolos como SAML, OAuth2 con OpenID Connect o Kerberos. Cuando esta confianza se extiende más allá de una sola organización, hablamos de federación de identidades, un mecanismo que permite a usuarios autenticados en su dominio de origen acceder a recursos en otros dominios federados, algo muy común en colaboraciones interempresariales o académicas.

En conjunto, estas tecnologías y protocolos forman un ecosistema robusto de autenticación, que va desde los métodos más simples y locales hasta complejas arquitecturas distribuidas con gestión centralizada de identidades, siempre con el objetivo de garantizar la seguridad, la eficiencia operativa y una experiencia de usuario optimizada.

Ilustración 8. Federación de identidades, donde un usuario se autentica ante el IdP de su organización para acceder a aplicaciones federadas en otra organización mediante confianza establecida entre ambos IdP.

Ilustración 9. Proceso de inicio de sesión único (SSO), donde el usuario se autentica ante un Proveedor de Identidad (IdP) para obtener acceso a múltiples aplicaciones confiables sin necesidad de autenticarse nuevamente.



Comentarios

Publicar un comentario

Entradas populares de este blog

Simulaciones para dos tipos de vulneribilidades A03:Cross-Site Scripting (XSS) y A04: Insecure Direct Object References (IDOR) del OWASP Top Ten.

Imagen
El presente taller tiene como finalidad proporcionar una comprensión práctica y teórica sobre la realización de pruebas de penetración en un entorno organizacional. A través de ejercicios prácticos y el uso de herramientas especializadas, se busca fortalecer las habilidades necesarias para identificar, evaluar y mitigar vulnerabilidades de seguridad. La Open Web Application Security Project (OWASP) es una organización sin fines de lucro dedicada a mejorar la seguridad del software. OWASP proporciona recursos, metodologías y herramientas para evaluar y mitigar riesgos en aplicaciones web, siendo una referencia esencial en la ciberseguridad. Uno de sus principales aportes es el OWASP Top Ten, una lista de las diez vulnerabilidades de seguridad más críticas en aplicaciones web, que incluye problemas como: Inyección de código (SQL, NoSQL, OS, LDAP, etc.) Autenticación rota Exposición de datos sensibles Entidades externas XML (XXE) Control de acceso defectuoso Configuraciones de seguridad i...
Leer más

Representación de la Cadena de Custodia y DFD según ISO/IEC 27037

Imagen
  INTRODUCCIÓN La cadena de custodia con base en la ISO/IEC 27037 es un concepto crucial en la gestión de evidencia digital, especialmente en el contexto de incidentes relacionados con delitos cibernéticos, investigaciones forenses y procedimientos judiciales. En el mundo actual los delitos cibernéticos, como el robo de datos, el fraude en línea, el acceso no autorizado a sistemas y el sabotaje informático, se han vuelto cada vez más comunes, lo que ha incrementado la necesidad de métodos eficientes y seguros para manejar la evidencia digital. La cadena de custodia en este ámbito tiene como objetivo principal preservar la integridad de los datos y garantizar que no hayan sido alterados, contaminados o manipulados de ninguna forma a lo largo de su proceso de recolección, análisis y presentación. El manejo adecuado de la evidencia digital requiere un enfoque minucioso debido a las características específicas de los datos cibernéticos, como su volatilidad, la facilidad de modificación...
Leer más