Exposición Seguridad Informática

Protocolos AAA
Los protocolos AAA (del inglés autenticación, autorización y contabilización) gestionan
las solicitudes de acceso de los usuarios a los recursos informáticos de la organización.
La combinación de estos procesos se considera importante para la gestión eficaz de la red
y la ciberseguridad.
Estos protocolos se encuentran definidos en la RFC 2865 y RFC 2866, los cuales se suelen
implementar como un servidor de alojamiento dedicado.

Los protocolos AAA se dividen en tres pasos

Los protocolos AAA se descomponen en tres procesos entrelazados:
1. Autenticación: El usuario debe introducir una ID y una contraseña válida. A
continuación, el servidor AAA compara las credenciales con otras almacenadas
en la base de datos. En caso de coincidir, se permite el acceso a la red.
2. Autorización: En este proceso se determina si el usuario tiene la autoridad para
emitir comandos en función de la política empresarial asignada. Algunos tipos de
autorizaciones son el filtrado de direcciones IP, la gestión del tráfico de ancho de
banda y el cifrado.
3. Contabilización: mide los recursos que un usuario consume durante el acceso.
Esto permite revisar fallos de seguridad y de acceso operativo que hayan tenido
lugar en el pasado.

Beneficios
Por otro lado, entre los beneficios de la utilización e implementación de estos protocolos
se encuentran:
• Garantizar que el acceso a los recursos de la red y de las aplicaciones de software
puedan restringirse a usuarios específicos y legítimos.
• Mayor capacidad de flexibilidad y control de la configuración de acceso.
• Escalabilidad.
• Uso de múltiples dispositivos de copia de seguridad.
El AAA puede ser implementado usando la base de datos local del dispositivo o un
servidor ACS (Administración de Configuración de Servidores), siendo este el más
común.

¿Como funciona?
La familia de protocolos AAA, acrónimo de Authentication, Authorization y
Accounting fueron diseñados como mecanismos de control de acceso remoto y provisión
de servicios de red originalmente a través modem y línea telefónica (dial-in), pero
se siguen implementando actualmente en múltiples arquitecturas.

Radius
RADIUS (Servidor de usuario de acceso telefónico de autenticación remota, servicio de
usuario de acceso telefónico de autenticación remota) es un protocolo de intercambio de
información estructurado C / S distribuido, que puede incluir la red sin interferencias de
acceso no autorizado, y se utiliza a menudo en aplicaciones de alta demanda. Seguridad
y permite a los usuarios remotos acceder a varios entornos de red.
El acuerdo define el formato de mensaje RADIUS UDP (Protocolo de datagramas de
usuario) y su mecanismo de transmisión, y especifica los puertos UDP 1812 y 1813 como
puertos de autenticación y contabilidad, respectivamente.
Si es un dispositivo Cisco: el puerto de autenticación y autorización es UDP1645 y el
puerto de facturación es 1646.
RADIUS era originalmente solo un protocolo AAA para usuarios de acceso telefónico,
pero luego, con el desarrollo diversificado de métodos de acceso de usuarios, RADIUS
también se adapta a múltiples métodos de acceso de usuarios, como el acceso Ethernet.
Proporciona servicios de acceso mediante autenticación y autorización, y recopila y
registra el uso de los recursos de la red por parte de los usuarios mediante el cobro.

Propiedades
Según sus diferentes RFC, establecemos que:
• Protocolo no orientado a conexión, que usa UDP y no emplea conexiones directas
• El modelo de seguridad es punto-a-punto
• Es stateless (no es consciente del estado de la conexión)
• Soporta mecanismos de autenticación PAP (Password Authentication Protocol) y
CHAP (Challenge Handshake Authentication Protocol) mediante PPP
• Usa MD5 para ocultar las credenciales transferidas
• Proporciona unos 50 atributos/valores diferentes, con la opción de definir otros
específicos de cada proveedor
• Implementa el modelo autenticación-autorización-auditoría
Además, RADIUS está soportado por absolutamente cualquier producto de tipo NA
(Network Access Server), lo que asegura un largo futuro para él. Incluyendo, por ejemplo,
servicios de autenticación fuerte o 2FA.

Autenticación y Autorización
El solicitante de acceso hace la petición enviando su información de usuario y contraseña
a un NAS con el cual establece comunicación punto a punto a nivel de enlace (PPP). El
NAS, que actúa como cliente RADIUS reenvía la solicitud al servidor RADIUS. En
esta solicitud se incluyen entre otros datos, un identificador de la petición, unos
atributos, así como la información del cliente final junto con su contraseña, que se cifra
usando una clave compartida con el servidor y se almacena en el campo
Authenticator. El servidor validará la autenticación mediante cualquiera de los
mecanismos soportados: PAP, CHAP, EAP, Unix login, LDAP, etc.
Contabilización
Adicionalmente, una vez autenticado y autorizado, el cliente puede enviar una petición
de contabilización para iniciar una sesión a la que el servidor RADIUS responderá,
iniciándose un registro de conexión con datos sobre inicio/fin de sesión, volumen de datos
transferidos, etc. La sesión finalizará con una petición por parte del servidor o del cliente
(Accounting Stop).

Arquitectura de Radius
Modelo cliente / servidor.
Cliente RADIUS: Generalmente se encuentra en el servidor de acceso a la red NAS
(Servidor de acceso a la red), que puede extenderse por toda la red y es responsable de
transmitir la información del usuario al servidor RADIUS designado, y luego el
procesamiento correspondiente (como aceptar / rechazar el acceso del usuario) basado en
la información devuelta por el servidor.
Como cliente del protocolo RADIUS, el dispositivo implementa las siguientes funciones:
• Admite el protocolo RADIUS estándar y atributos extendidos, incluidos RFC
(Solicitud de comentarios) 2865 y RFC 2866.
• Admite atributos privados extendidos de Huawei.
• Detección activa del estado del servidor RADIUS.
• Almacenamiento en búfer local y retransmisión de paquetes finales de
contabilidad.
• Función de conmutación automática del servidor RADIUS.
Servidor de radio: Generalmente se ejecuta en una computadora central o estación de
trabajo, mantiene la autenticación de usuario relacionada y la información de acceso al
servicio de red, y es responsable de recibir las solicitudes de conexión de los usuarios y
de autenticar a los usuarios, y luego devolver toda la información requerida al cliente
(como aceptar / rechazar solicitudes de autenticación). El servidor RADIUS generalmente
mantiene tres bases de datos.
Figura: Composición del servidor RADIUS
• Usuarios: se utiliza para almacenar información de usuario (como nombre de
usuario, contraseña e información de configuración, como el protocolo utilizado
y la dirección IP).
• Clientes: se utiliza para almacenar información del cliente RADIUS (como claves
compartidas y direcciones IP de dispositivos de acceso).
• Diccionario: se utiliza para almacenar el significado de atributos y valores de
atributos en el protocolo RADIUS.

Características de RADIUS:
• La seguridad cibernética
La interacción del mensaje de autenticación entre el cliente RADIUS y el servidor
RADIUS se completa mediante la participación de una clave compartida, y la clave
compartida no se puede transmitir a través de la red, lo que mejora la seguridad del
intercambio de información. Además, para evitar que se roben las contraseñas de los
usuarios durante la transmisión en redes inseguras, el protocolo RADIUS utiliza
claves compartidas para cifrar las contraseñas en los mensajes RADIUS.
• Buena escalabilidad
El mensaje RADIUS consta de un encabezado y un cierto número de atributos. La
adición de nuevos atributos no destruirá la implementación original del protocolo.

Formato de mensaje RADIUS:

El protocolo RADIUS utiliza paquetes UDP para transmitir mensajes.

La explicación de cada campo es la siguiente:

• Código: la longitud es de 1 byte, Se usa para describir el tipo de paquete RADIUS
。
• Identificador: 1 byte de longitud, utilizado para hacer coincidir los mensajes de
solicitud y los mensajes de respuesta, y para detectar mensajes de solicitud
retransmitidos dentro de un período de tiempo. Después de que el cliente envía el
mensaje de solicitud, el valor del identificador en el mensaje de respuesta devuelto
 por el servidor debe ser el mismo que el valor del identificador en el mensaje de
solicitud.
• Longitud: la longitud es de 2 bytes, que se utiliza para especificar la longitud del
paquete RADIUS. Los bytes que excedan el valor de Longitud se ignorarán como
caracteres de relleno. Si la longitud real del paquete recibido es menor que el valor
de Longitud, el paquete se descartará.
• Autenticador: La longitud es de 16 bytes, se utiliza para verificar el mensaje de
respuesta del servidor RADIUS y también se utiliza para cifrar la contraseña del
usuario.
• Atributo: longitud variable, es el cuerpo principal del mensaje, se utiliza para
llevar información especial de autenticación, autorización y contabilidad, y
proporciona detalles de configuración para mensajes de solicitud y respuesta. El
atributo puede incluir varios atributos, y cada atributo está representado por una
estructura triple (tipo, longitud, valor).

Tipos de paquetes RADIUS

Para controlar todas las fases del proceso de AAA, RADIUS dispone, entre otros, de los
siguientes mensajes:
• Access-Request.
Este tip de paquete se usa por parte del consumidor del servicio, cuando solicita
un servicio en una red. El cliente envía un paquete «request» al servidor RADIUS
junto a un listado del/los servicios requeridos. El campo código (1) es clave aquí,
siempre debe tener el valor 1, que es el establecido para este tipo de solicitud.

El payload o datos deberán incluir la dirección IP o CN (nombre canónico) del

equipo de red desde el que se solicita el acceso. También deberá incluir una
contraseña de usuario, o bien un identificador de estado, pero no ambas cosas.
El RFC especifica que el servidor RADIUS debe enviar una respuesta para cada
paquete válido, ya sea autorización o rechazo. También se deben crear nuevos
paquetes cada vez que cambie algún atributo, para que haya sincronía.

• Access-Accept.
El paquete de tipo Access-Accept es enviado por el servidor al cliente, para
confirmarle que se le ha concedido acceso. Si se cumplen los requisitos, el
servidor RADIUS deberá establecer el código de respuesta (1) como valor 2.
 Para garantizar que los paquetes request y accept se corresponden unos con otros
(y no a otras solicitudes concurrentes) se verifica el encabezado -header- del
paquete, que debe ser similar en los paquetes Access-request y Access-Accept.
Este paquete es muy flexible en cuanto a la cantidad y variedad de propiedades
que puede contener. Normalmente se detallan los tipos de servicios que se han
autenticado y autorizado, para que el «cliente» se asigne el uso de los mismos.

• Access-Reject.
Cuando el servidor debe denegar el uso/acceso a recursos, debe formular un
paquete como este de vuelta al cliente. El paquete Access-Reject puede darse a
causa de políticas de denegación, privilegios insuficientes o credenciales
inválidas.

Este paquete puede enviarse en cualquier momento de una sesión, algo que lo hace
recomendable para obligar a respetar límites de conexiones.
La carga de datos o «payload» incluye en este caso 2 atributos (oficialmente el
RFC no soporte otros):
o Reply-Message
o Proxy-Message

• Access-Challenge.
El Access-Challenge (reto de acceso) se puede enviar por parte del servidor, tras
haberse enviado un paquete RADIUS tipo 1 (recordemos, Access-Request) si este
precisa más información o quiere reducir el riesgo de fraude en la transacción.

Si esto pasa, se envía este paquete al cliente pidiéndole más información. Una vez
el cliente conteste de nuevo con otro Access-Request correcto (incluyendo la
prueba requerida, que podría ser un token), el servidor decide si acepta, rechaza o
pide nuevamente más datos.
 Igual que sucede con el paquete Access-Reject, existen solamente dos atributos
estándar aceptados, aunque se pueden incluir otros personalizados:
o State (estado)
o Reply-Message (mensaje de respuesta)

• Accounting-Request.
Enviado por un cliente RADIUS para especificar la información de la conexión
que le ha sido aceptada. Puede ser de tipo start o stop para iniciar o finalizar el
accounting.
• Accounting-Response.
Enviado por el servidor RADIUS server en respuesta a un mensaje Accounting-
Request. Este mensaje notifica la recepción correcta de la solicitud e inicia el
procesado de la sesión.

Formatos de paquete y puertos

El protocolo RADIUS emplea paquetes de tipo UDP (por diferentes motivos, uno de ellos
que UDP es stateless también) y se comunica en el puerto 1812, suponiendo un cambio
respecto al RFC original, que establecía el puerto 1645). Esto se acabó modificando
porque interfería con el servicio Datametrics.
Se emplea una estructura predecible de paquetes, basada en dos partes principales:
• Cabecera/header
o Código
o Identificador
o Longitud
o Autenticador
• Carga/datos
o Atributos
o Valores

Seguridad en RADIUS.
RADIUS adolece de una serie de debilidades que son:
• Los mensajes RADIUS no viajan cifrados, a excepción de aquellos datos
especialmente sensibles como las contraseñas.
• RADIUS utiliza MD5 como algoritmo criptográfico de hashing, lo que lo hace
vulnerable a ataques de colisión.
• La comunicación se realiza a través del protocolo UDP, lo que permite que las
direcciones IP puedan ser fácilmente falseadas y susceptible de suplantación de
identidad.

Evolución de RADIUS.
Para solventar muchas de las debilidades que RADIUS tiene como protocolo AAA,
aparece en escena DIAMETER que es una evolución de RADIUS (se decía que era
"el doble de buena" y por ello recibió su nombre) y que cuenta entre otras, con las
siguientes mejoras:
• Usa protocolos de transporte fiables (TCP o SCTP)
• Usa seguridad a nivel de transporte (IPSEC o TLS)
• Tiene un espacio de direcciones mayor para atributos (Attribute Value Pairs,
pares atributo-valor) e identificadores (32 bits en lugar de 8)
• Es un protocolo punto a punto en lugar de cliente-servidor. Por tanto, cualquier
nodo puede iniciar el intercambio de mensajes.