Protocolos

AAA (Autenticación, Autorización, Auditoría)

“Este método crea cuentas de usuario individuales en cada dispositivo con una

contraseña específica asignada a cada usuario. El método de base de datos local

proporciona seguridad adicional, ya que el atacante debe conocer tanto nombre de usuario

como contraseña.”

AAA genera un fichero de auditoria donde guarda las veces en el que el usuario intenta ingresar sea correcta o incorrecta la contraseña.

KERBEROS

Fue creado por MIT y es un protocolo de seguridad que usa criptografia de claves simétricas para poder validar usuarios con los servicios de red, evitando tener que enviar contraseñas atreves de la red. Esto ayuda a que los intentos de usuarios no autorizados que intenten interceptar contraseñas en la red.

El sistema usa estas claves para convencer al resto de servicios de red para los que el usuario ya se ha autenticado. Para el usuario, la experiencia es perfecta. 

RADIUS

RADIUS es un protocolo estándar descrito en la solicitud de comentarios (RFC) 2865, "Servicio autenticación remota telefónica de usuario (RADIUS)" de Internet Engineering Task Force (IETF) y RFC 2866, "RADIUS Accounting". RADIUS se utiliza para proporcionar autenticación, autorización y servicios de Contabilidad.

 El servidor suele utilizarse exclusivamente para la autenticación RADIUS. Cuando un usuario intenta conectarse a la red, un programa cliente de RADIUS dirige todos los datos de usuario al servidor RADIUS para la autenticación. El servidor aloja los datos de autenticación del usuario en un formato encriptado y envía una respuesta de paso o rechazo de nuevo a la plataforma de conexión. Por tanto, la autenticación se establece o se rechaza. 

TACACS+

El protocolo de autenticación TACACS+ fue desarrollado a partir de la experiencia Cisco con RADIUS. Muchas de las características efectivas de RADIUS se conservaron en TACACS+, mientras que los mecanismos más robustos fueron creados para manejar los nuevos niveles de seguridad que demandaban las redes modernas. Una mejora clave en el diseño TACACS+ es la encriptación completa de todos los parámetros usados en el proceso de autenticación. RADIUS sólo encripta la contraseña, mientras que TACACS+ también encripta el nombre de usuario y otros datos asociados. Además, RADIUS es un protocolo de autenticación independiente, mientras que TACACS+ es escalable. Es posible aislar sólo determinados aspectos de autenticación de TACACS+ mientras implementa otros protocolos para capas adicionales del servicio de autenticación. Por tanto, Se suele combinar con Kerberos para sistemas de autenticación particularmente fuertes.

PROVEEDORES DE CERTIFICACIONES DIGITALES

Acepta.com
E-CertChile
E-Sign
Certinet

SSL y TSL

SSL (Secure Sockets Layer) 

Es un protocolo diseñado para permitir que las aplicaciones para transmitir información de ida y de manera segura hacia atrás. Las aplicaciones que utilizan el protocolo Secure Sockets Layer sí sabe cómo dar y recibir claves de cifrado con otras aplicaciones, así como la manera de cifrar y descifrar los datos enviados entre los dos.

HISTORIA DE SSL

Cuando recien comenzaba la World Wide Web, abia claves de 40-bit y se usaban muy poco. Cada bit puede contener un uno o un cero - lo que significaba que eran dos, solo habia 40 claves diferentes disponibles un poco más de un billón claves deferentes y por esto no era lo suficientemente seguro. Posiblemente, con los procesadores de gama alta que vendría en el futuro, los piratas informáticos podría llegar a probar todas las claves hasta encontrar el adecuado, lo que les permite descifrar y robar información privada. Que tomaría algún tiempo, pero era posible.

Las claves se alargaron a 128 bits. Eso es 2128 claves, códigos de cifrado o 340.282.366.920.938.463.463.374.607.431.768.211.456 único. Se determinó que si las computadoras siguió avanzando en la velocidad como lo han hecho en el pasado, estos códigos de 128 bits que permanecen seguros durante por lo menos una década más, si no más. Certificados DigiCert no se detienen allí, sin embargo. Los certificados SSL DigiCert también son compatibles con el nuevo estándar de RSA 2048-bit de encriptación.

TLS (Transport Layer Security)

Tanto SSL y TLS son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando2, y para intercambiar una llave simétrica. 

Esta sesión es luego usada para cifrar el flujo de datos entre las partes. Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, autenticación del mensaje.Varias versiones del protocolo están en aplicaciones ampliamente utilizadas como navegación web, correo electrónico, fax por Internet, mensajería instantánea, y voice-sobre-IP (VoIP). Una propiedad importante en este contexto es forward secrecy, para que la clave de corta vida de la sesión no pueda ser descubierta a partir de la clave asimétrica de largo plazo.

HISTORIA DE TLS

TLS 1.0

TLS 1.0 fue definido en el RFC 2246 en enero de 1999 y es una actualización de SSL versión 3.0. Como dice el RFC, "las diferencias entre este protocolo y SSL 3.0 no son dramáticas, pero son significativas en impedir la interoperabilidad entre TLS 1.0 y SSL 3.0". TLS 1.0 incluye una forma en la cual la implementación puede conectarse en SSL 3.0, debilitando la seguridad.

TLS 1.1

TLS 1.1 fue definido en el RFC 4346 en abril de 2006.8 Es una actualización de TLS 1.0. Las diferencias más significativas incluyen:

• Agrega protección contra ataques de CBC.
• El vector de inicialización (IV) implícito fue reemplazado por un IV explícito.
• Cambio en el manejo de los errores de relleno.
• Soporte para el registro de parámetros de IANA.

TLS 1.2

TLS 1.2 fue definido en el RFC 5246 en agosto del 2008. Se basa en una especificación posterior de TLS 1.1. Las mayores diferencias son:

• la combinación MD5-SHA-1 en la función pseudoaleatoria (PRF) fue reemplazada por SHA-256, con la opción de usar PRFs especificados en la cipher-suite.
• la combinación MD5-SHA-1 en el mensaje terminado fue reemplazada por SHA-256, sin la opción de usar algoritmos de hash específicos para la cipher-suite. Sin embargo, el tamaño del hash en el mensaje terminado es truncado a 96 bits.
• la combinación MD5-SHA-1 en el elemento digitalmente firmado fue reemplazada por un hash simple negociado durante el handshake, que por defecto es SHA-1.
• Mejoras en la habilidad de clientes y servidores para especificar que algoritmos de hash y de firma van a aceptar.
• Expansión del soporte de cifras de cifrado autenticadas, usadas mayormente para modo Galois/Counter (GCM) y modo CCM del cifrado con Advanced Encryption Standard (o estándar de cifrado avanzado) (AES).
• Se agregaron definición de Extensiones de TLS y de Ciphersuites de AES.
• TLS 1.2 fue después redefinido en el RFC 6176 de marzo de 2011 redactando su retrocompatibilidad con SSL y TLS para que dichas sesiones jamás negocien el uso de SSL versión 2.0.

TLS 1.3 (borrador)

Hasta mayo de 2015, TLS 1.3 es un borrador, y los detalles no se han fijado todavía.9 10 Se basa en la especificación anterior TLS 1.1 y 1.2. Las principales diferencias con TLS 1.2 incluyen:

• Retiro de la hora GMT.
• Fusiona soporte de ECC del RFC 4492 pero sin curvas explícitas.
• Retira el campo de longitud innecesaria de la entrada de AD a cifras AEAD.
• Cambiar el nombre de {Cliente, Servidor} KeyExchange a {Cliente, Servidor} KeyShare
• Añade un HelloRetryRequest explícita para rechazar el del cliente
• Apretón de manos revisado a fin de proporcionar el modo 1-RTT.
• Retiro de grupos DHE personalizados.
• Eliminado el soporte para la compresión.
• Eliminado el soporte para el intercambio de claves RSA estática y DH.
• Eliminado el soporte para sistemas de cifrado no AEAD.

REFERENCIAS

https://www.digicert.com/es/ssl.htm

https://es.wikipedia.org/wiki/Transport_Layer_Security

https://www.instantssl.com/ssl.html