CAPITULO 19Servicios de identidad yaccesoEn este capítulo, lo harás

• Aprenda a instalar y configurar servicios de identidad y

acceso

• Comprender cómo comparar y contrastar los diferentes

servicios de identidad y acceso

Para usar un sistema, uno debe identificarse con el sistema

de alguna forma o forma. Este capítulo examina los

servicios de identidad y acceso empleados por los sistemas

ANTERIORCapítulo 18 Identidad, acceso y cuentas⏮

PRÓXIMOCapítulo 20 Controles de gestión de identidad y acceso ⏭🔎

CompTIA Security + All-in-One Exam Guide, quinta edición (examen SY0-501), quinta edición

Translated to: Spanish Show original Options ▼

para determinar si un usuario tiene acceso o no. Los

servicios de identidad y acceso se componen de elementos

de hardware, software y protocolo que trabajan juntos para

administrar las funciones de identidad y acceso en toda la

empresa.

Objetivo de certificación Este capítulo cubre el

objetivo 4.2 del examen CompTIA Security +, dado un

escenario, instalar y configurar servicios de identidad y

acceso.

El objetivo 4.2 es un buen candidato para preguntas

basadas en el rendimiento, lo que significa que debe esperar

preguntas en las que debe aplicar su conocimiento del tema

a un escenario. La mejor respuesta a una pregunta

dependerá de detalles específicos en el escenario que

precede a la pregunta, no solo la pregunta. Las preguntas

también pueden involucrar otras tareas además de elegir la

mejor respuesta de una lista. En su lugar, se le puede

indicar que ordene cosas en un diagrama, coloque las

opciones en orden de clasificación, combine dos columnas

de elementos o realice una tarea similar.

LDAPUn directorio es un mecanismo de almacenamiento de

datos similar a una base de datos, pero tiene varias

diferencias distintas diseñadas para proporcionar servicios

eficientes de recuperación de datos en comparación con los

mecanismos de base de datos estándar. Un directorio está

diseñado y optimizado para leer datos, ofreciendo

operaciones de búsqueda y recuperación muy rápidas. Los

tipos de información almacenados en un directorio tienden

a ser datos de atributos descriptivos. Un directorio ofrece

una vista estática de los datos que se pueden cambiar sin

una transacción de actualización compleja. Los datos se

describen jerárquicamente en una estructura en forma de

árbol, y una interfaz de red para lectura es típica. Los usos

comunes de los directorios incluyen listas de direcciones de

correo electrónico, datos de servidor de dominio y mapas de

recursos de recursos de red.El Protocolo ligero de acceso adirectorios (LDAP) se usa comúnmente para manejar la

di ecto ios ( ) se usa co ú e te pa a a eja a

autenticación y autorización del usuario y para controlar el

acceso a los objetos de Active Directory.

Para permitir la interoperabilidad, el estándar X.500 se

creó como un estándar para los servicios de directorio. El

método principal para acceder a un directorio X.500 es a

través del Protocolo de acceso a directorios (DAP), un

protocolo pesado que es difícil de implementar por

completo, especialmente en PC y plataformas más

restringidas. Esto condujo a LDAP, que contiene la

funcionalidad más utilizada. LDAP puede interactuar con

los servicios X.500 y, lo más importante, puede usarse

sobre TCP con significativamente menos recursos

informáticos que una implementación completa de X.500.

LDAP ofrece todas las funcionalidades que la mayoría de los

directorios necesitan y es más fácil y económico de

implementar, por lo tanto, LDAP se ha convertido en el

estándar de Internet para los servicios de directorio. Las

normas LDAP se rigen por dos entidades separadas según el

uso: la Unión Internacional de Telecomunicaciones (UIT)

rige la X. 500 estándar, y LDAP se rige para el uso de

Internet por Internet Engineering Task Force (IETF).

Muchas RFC se aplican a la funcionalidad LDAP, pero

algunas de las más importantes son las RFC 4510 a 4519.

CONSEJO DE EXAMEN Un cliente inicia

una sesión LDAP conectándose a un servidor

LDAP, llamado Agente de sistema de directorio

(DSA), de forma predeterminada en el puerto TCP

y UDP 389, o en el puerto 636 para LDAPS (LDAP

sobre SSL).

KERBEROSDesarrollado como parte del proyecto Athena del MIT,

Kerberos es un protocolo de autenticación de red diseñado

para un entorno cliente / servidor. La versión actual en el

momento de la redacción es Kerberos Versión 5 versión

1.15.2 y es compatible con todos los principales sistemas

operativos. Kerberos pasa de manera segura una clave

simétrica a través de una red insegura utilizando el

protocolo de clave simétrica Needham-Schroeder. Kerberos

se basa en la idea de un tercero confiable, denominado

centro de distribución de claves (KDC) , que consta de dos

partes lógicamente separadas: un servidor de autenticación

(AS) y un servidor de concesión de tickets (TGS). Kerberos

se comunica a través de "tickets" que sirven para demostrar

la identidad de los usuarios.

Tomando su nombre del perro de tres cabezas de la

mitología griega, Kerberos está diseñado para funcionar en

Internet, un entorno inherentemente inseguro. Kerberos

utiliza un cifrado seguro para que un cliente pueda

demostrar su identidad a un servidor y el servidor a su vez

pueda autenticarse ante el cliente. Un entorno Kerberos

completo se denomina reino Kerberos. El servidor Kerberos

contiene ID de usuario y contraseñas hash para todos los

usuarios que tendrán autorizaciones para servicios de

dominio. El servidor Kerberos también ha compartido

claves secretas con cada servidor al que otorgará tickets de

acceso.

La base para la autenticación en un entorno Kerberos es el

ticket. Los tickets se utilizan en un proceso de dos pasos con

el cliente. El primer ticket es un ticket de otorgamiento de

tickets (TGT) emitido por el AS a un cliente solicitante. El

cliente puede presentar este ticket al servidor Kerberos con

una solicitud de un ticket para acceder a un servidor

específico. Este ticket de cliente a servidor se utiliza para

obtener acceso al servicio de un servidor en el ámbito.

Como toda la sesión se puede cifrar, esto eliminará la

transmisión inherentemente insegura de elementos como

una contraseña que puede ser interceptada en la red. Los

tickets tienen una marca de tiempo y tienen una vida útil,

por lo que intentar reutilizar un ticket no tendrá éxito.

Los pasos involucrados en la autenticación Kerberos son

1. El usuario presenta credenciales y solicita un ticket del

servidor de distribución de claves (KDS).

2. El KDS verifica las credenciales y emite un TGT.

3. El usuario presenta un TGT y una solicitud de servicio al

KDS.

4. El KDS verifica la autorización y emite un ticket de

cliente a servidor.

5. El usuario presenta una solicitud y un ticket de cliente a

servidor para el servicio deseado.

6. Si el ticket de cliente a servidor es válido, el servicio se

otorga al cliente.

Para ilustrar cómo funciona el servicio de autenticación

Kerberos, piense en la licencia de conducir común. Ha

recibido una licencia que puede presentar a otras entidades

para demostrar que es quien dice ser. Debido a que otras

entidades confían en el estado en el que se emitió la

licencia, aceptarán su licencia como prueba de su identidad.

El estado en el que se emitió la licencia es análogo al

dominio del servicio de autenticación Kerberos, y la licencia

actúa como un ticket de cliente a servidor. Es la entidad

confiable en la que ambas partes confían para proporcionar

identificaciones válidas. Esta analogía no es perfecta,

porque probablemente todos hemos oído hablar de

personas que obtuvieron una licencia de conducir falsa,

pero sirve para ilustrar la idea básica detrás de Kerberos.

CONSEJO DE EXAMEN Kerberos es un

servicio de autenticación de terceros que utiliza

una serie de tickets como tokens para autenticar a

los usuarios. Los pasos involucrados están

protegidos mediante una criptografía sólida.

p g p g

TACACS +El protocolo Terminal Access Controller Access ControlSystem + (TACACS +) es la generación actual de la familia

TACACS. TACACS + ha ampliado el control de atributos y

los procesos contables.

Uno de los aspectos fundamentales del diseño es la

separación de autenticación, autorización y contabilidad en

este protocolo. Aunque existe un linaje directo de estos

protocolos del TACACS original, TACACS + es una revisión

importante y no es compatible con versiones anteriores de

la serie de protocolos.

TACACS + usa TCP como su protocolo de transporte,

normalmente opera a través del puerto TCP 49. Este puerto

se usa para el proceso de inicio de sesión. Los puertos UDP

y TCP 49 están reservados para el protocolo de host de

inicio de sesión TACACS +.

TACACS + es un protocolo cliente / servidor, en el que el

cliente suele ser un servidor de acceso a la red (NAS) y el

servidor es un proceso demonio en un servidor UNIX,

Linux o Windows. Es importante tener en cuenta que si la

máquina del usuario (usualmente una PC) no es el cliente

(usualmente un NAS), entonces las comunicaciones entre la

PC y el NAS generalmente no están encriptadas y se pasan

de forma clara. Las comunicaciones entre un cliente

TACACS + y un servidor TACACS + se cifran utilizando un

secreto compartido que se configura manualmente en cada

entidad y no se comparte a través de una conexión. Por lo

tanto, las comunicaciones entreun cliente TACACS +

(generalmente un NAS) y un servidor TACACS + son

seguros, pero las comunicaciones entre un usuario

(generalmente una PC) y el cliente TACACS + están sujetas

a compromiso.

TACACS + AutenticaciónTACACS + permite la longitud arbitraria y el contenido en

la secuencia de intercambio de autenticación, lo que

permite utilizar muchos mecanismos de autenticación

permite utilizar muchos mecanismos de autenticación

diferentes con los clientes TACACS +. La autenticación es

opcional y se determina como una opción configurable en el

sitio. Cuando se utiliza la autenticación, los formularios

comunes incluyen la autenticación del Protocolo punto a

punto (PPP) con el Protocolo de autenticación de

contraseña (PAP), el Protocolo de autenticación de desafío

de apretón de manos (CHAP) o el Protocolo de

autenticación extensible (EAP), tarjetas de token y

Kerberos. El proceso de autenticación se realiza utilizando

tres tipos de paquetes diferentes: INICIAR, CONTINUAR y

RESPONDER. Los paquetes START y CONTINUE se

originan en el cliente y se dirigen al servidor TACACS +. El

paquete REPLY se usa para comunicarse desde el servidor

TACACS + al cliente.

El proceso de autenticación se ilustra en la Figura 19-1 , y

comienza con un mensaje de INICIO del cliente al servidor.

Este mensaje puede ser en respuesta a un inicio desde una

PC conectada al cliente TACACS +. El mensaje de INICIO

describe el tipo de autenticación que se solicita (contraseña

de texto sin formato simple, PAP, CHAP, etc.). Este mensaje

de INICIO también puede contener datos de autenticación

adicionales, como nombre de usuario y contraseña.

También se envía un mensaje de INICIO como respuesta a

una solicitud de reinicio del servidor en un mensaje de

RESPUESTA. Un mensaje de INICIO siempre tiene su

número de secuencia establecido en 1.

Figura 19-1 TACACS + secuencia de comunicación

Cuando un servidor TACACS + recibe un mensaje de

INICIO, envía un mensaje de RESPUESTA. Este mensaje de

RESPUESTA indicará si la autenticación está completa o si

necesita continuar. Si el proceso necesita continuar, el

mensaje RESPUESTA también especifica qué información

adicional se necesita. La respuesta de un cliente a un

mensaje de RESPUESTA que solicita datos adicionales es

un mensaje CONTINUAR. Este proceso continúa hasta que

el servidor tenga toda la información necesaria y el proceso

de autenticación concluya con éxito o fracaso.

Autorización TACACS +La autorización TACACS + se define como la acción

asociada con la determinación del permiso asociado con

una acción del usuario. Esto generalmente ocurre después

de la autenticación, como se muestra en la Figura 19-1 ,

pero este no es un requisito firme. Existe un estado

predeterminado de "usuario desconocido" antes de que un

usuario se autentique, y se pueden determinar los permisos

para un usuario desconocido. Al igual que con la

autenticación, la autorización es un proceso opcional y

puede o no ser parte de una operación específica del sitio.

Cuando la autorización se usa junto con la autenticación, el

proceso de autorización sigue el proceso de autenticación y

usa la identidad de usuario confirmada como entrada en el

proceso de decisión.

El proceso de autorización se realiza utilizando dos tipos de

mensajes: SOLICITUD y RESPUESTA. El proceso de

autorización se realiza mediante una sesión de autorización

que consta de un solo par de mensajes SOLICITUD y

RESPUESTA. El cliente emite un mensaje de SOLICITUD

de autorización que contiene un conjunto fijo de campos

que enumeran elautenticidad del usuario o proceso que

solicita permiso y un conjunto variable de campos que

enumeran los servicios u opciones para los que se solicita

autorización.

El mensaje de RESPUESTA en TACACS + no es un simple

sí o no; También puede incluir información de calificación,

como un límite de tiempo de usuario o restricciones de IP.

Estas limitaciones tienen usos importantes, como imponer

límites de tiempo en el acceso de shell o restricciones de la

lista de acceso IP para cuentas de usuario específicas.

TACACS + ContabilidadAl igual que con los dos servicios anteriores, la contabilidad

también es una función opcional de TACACS +. Cuando se

utiliza, generalmente sigue a los otros servicios. La

contabilidad en TACACS + se define como el proceso de

registrar lo que un usuario o proceso ha hecho. La

contabilidad puede servir para dos propósitos importantes:

• Se puede utilizar para contabilizar los servicios que se

utilizan, posiblemente con fines de facturación.

• Se puede utilizar para generar pistas de auditoría de

seguridad.

Los registros contables de TACACS + contienen varios

Los registros contables de TACACS + contienen varios

datos para respaldar estas tareas. El proceso de

contabilidad tiene la información revelada en los procesos

de autorización y autenticación, por lo que puede registrar

solicitudes específicas por usuario o proceso. Para admitir

esta funcionalidad, TACACS + tiene tres tipos de registros

contables: START, STOP y UPDATE. Tenga en cuenta que

estos son tipos de registros, no tipos de mensajes como se

discutió anteriormente.

Los registros de INICIO indican el tiempo y el usuario o

proceso que comenzó un proceso autorizado. Los registros

de DETENCIÓN enumeran la misma información sobre los

tiempos de detención para acciones específicas. Los

registros de ACTUALIZACIÓN actúan como avisos

intermedios de que una tarea en particular todavía se está

realizando. Juntos, estos tres tipos de mensajes permiten la

creación de registros que delinean la actividad de un

usuario o proceso en un sistema.

CAPEl Protocolo de autenticación por desafío mutuo (CHAP) se

utiliza para proporcionar autenticación a través de un

enlace punto a punto utilizando PPP. En este protocolo, la

autenticación después de que se haya establecido el enlace

no es obligatoria. CHAP está diseñado para proporcionar

autenticación periódicamente mediante el uso de un

sistema de desafío / respuesta, a veces descrito como un

apretón de manos de tres vías, como se ilustra en la Figura

19-2. El desafío inicial (un número generado

aleatoriamente) se envía al cliente. El cliente utiliza una

función de hashing unidireccional para calcular cuál

debería ser la respuesta y luego la envía de vuelta. El

servidor compara la respuesta con lo que calculó que

debería ser la respuesta. Si coinciden, la comunicación

continúa. Si los dos valores no coinciden, la conexión

finaliza. Este mecanismo se basa en un secreto compartido

entre las dos entidades para poder calcular los valores

correctos.

Figura 19-2 La secuencia de desafío / respuesta CHAP

EXAM TIP CHAP utiliza PPP, que admite tres

funciones:

- Encapsular datagramas a través de enlaces seriales

—Establecer, configurar y probar enlaces utilizando LCP

(Protocolo de control de enlaces)

—Establecer y configurar diferentes protocolos de red

utilizando NCP (Protocolo de control de red)

PPP admite dos protocolos de autenticación:

- Protocolo de autenticación de contraseña (PAP)

—Protocolo de autenticación de protocolo de desafío

(CHAP)

PAPILLALa autenticación del Protocolo de autenticación decontraseña (PAP) implica un protocolo de enlace

bidireccional en el que el nombre de usuario y la contraseña

se envían a través del enlace en texto sin cifrar. La

autenticación PAP no proporciona ninguna protección

contra la reproducción y el rastreo de línea. PAP ahora es

un estándar obsoleto.

EXAM TIP PAP es un protocolo de

autenticación de texto sin formato y, por lo tanto,

está sujeto a intercepción. CHAP usa un protocolo

de reconocimiento de respuesta de desafío para

asegurar el canal.

MSCHAPProtocolo de autenticación por desafío mutuo Microsoft(MSCHAP) es la variante de Microsoft CHAP. Microsoft ha

creado dos versiones de CHAP, modificadas para aumentar

su usabilidad en toda su línea de productos. MSCHAPv1,

definido en RFC 2433, ha sido desaprobado y eliminado en

Windows Vista. El estándar actual es MSCHAPv2, RFC

2759, que se introdujo con Windows 2000. MSCHAPv2

ofrece autenticación mutua, verificando a ambos usuarios

en un intercambio. También ofrece soporte criptográfico

mejorado que incluye claves criptográficas separadas para

los datos transmitidos y recibidos.

RADIOEl Servicio de usuario de marcación de autenticaciónremota (RADIUS) es un protocolo que se desarrolló como

un protocolo AAA. Se presentó al IETF como una serie de

RFC: RFC 2058 (especificación RADIUS), RFC 2059

(estándar de contabilidad RADIUS), y los RFC actualizados

2865–2869 y 3579 son ahora protocolos estándar. El Grupo

de trabajo IETF AAA ha propuesto extensiones a RADIUS

(RFC 2882) y un protocolo de reemplazo llamado Diameter

(RFC 7075).

RADIUS está diseñado como un protocolo sin conexión que

utiliza el Protocolo de datagramas de usuario (UDP) como

su protocolo de nivel de transporte. Los problemas de tipo

de conexión como los tiempos de espera son manejados

de conexión, como los tiempos de espera, son manejados

por la aplicación RADIUS en lugar de la capa de transporte.

RADIUS utiliza los puertos UDP 1812 para autenticación y

autorización y 1813 para funciones de contabilidad.

RADIUS es un protocolo cliente / servidor. El cliente

RADIUS suele ser un servidor de acceso a la red (NAS). El

servidor RADIUS es un proceso o demonio que se ejecuta

en una máquina UNIX o Windows Server. Las

comunicaciones entre un cliente RADIUS y un servidor

RADIUS se cifran mediante un secreto compartido que se

configura manualmente en cada entidad y no se comparte a

través de una conexión. Por lo tanto, las comunicaciones

entre un cliente RADIUS (generalmente un NAS) y un

servidor RADIUS son seguras, pero las comunicaciones

entre un usuario (generalmente una PC) y el cliente

RADIUS están sujetas a compromiso. Es importante tener

en cuenta que si la máquina del usuario (la PC) no es el

cliente RADIUS (el NAS), las comunicaciones entre la PC y

el NAS generalmente no están encriptadas y se pasan de

forma clara.

Autenticación RADIUS

El protocolo RADIUS está diseñado para permitir que un

servidor RADIUS admita una amplia variedad de métodos

para autenticar a un usuario. Cuando el servidor recibe un

nombre de usuario y contraseña, puede admitir el inicio de

sesión PPP, PAP, CHAP, UNIX y otros mecanismos,

dependiendo de lo que se estableció cuando se configuró el

servidor. Una autenticación de inicio de sesión de usuario

consiste en una consulta (solicitud de acceso) del cliente

RADIUS y una respuesta correspondiente (aceptación de

acceso o rechazo de acceso) del servidor RADIUS, como

puede ver en la Figura 19-3 .

Figura 19-3 Secuencia de comunicación RADIUS

El mensaje de solicitud de acceso contiene el nombre de

usuario, la contraseña cifrada, la dirección IP de NAS y el

puerto. El mensaje también contiene información sobre el

tipo de sesión que el usuario desea iniciar. Una vez que el

servidor RADIUS recibe esta información, busca en su base

de datos una coincidencia con el nombre de usuario. Si no

se encuentra una coincidencia, se carga un perfil

predeterminado o se envía una respuesta de rechazo de

acceso. Si se encuentra la entrada o se usa el perfil

predeterminado, la siguiente fase implica autorización, ya

que en RADIUS, estos pasos se realizan en secuencia. La

Figura 19-3 muestra la interacción entre un usuario y el

cliente RADIUS y el servidor RADIUS y los pasos dados

para establecer una conexión:

1. Un usuario inicia la autenticación PPP en el NAS.

2. El NAS solicita

b d i t ñ ( i PAP)

• nombre de usuario y contraseña (si es PAP), o

• desafío (si CHAP).

3. El usuario responde con credenciales.

4. El cliente RADIUS envía el nombre de usuario y la

contraseña cifrada al servidor RADIUS.

5. El servidor RADIUS responde con Aceptar, Rechazar o

Desafiar.

6. El cliente RADIUS actúa sobre los servicios solicitados

por el usuario.

Autorización RADIUS

En el protocolo RADIUS, los pasos de autenticación y

autorización se realizan juntos en respuesta a un solo

mensaje de solicitud de acceso, aunque son pasos

secuenciales, como se muestra en la Figura 19-3 . Una vez

que se ha establecido una identidad, ya sea conocida o

predeterminada, el proceso de autorización determina qué

parámetros se devuelven al cliente. Los parámetros de

autorización típicos incluyen el tipo de servicio permitido

(shell o enmarcado), los protocolos permitidos, la dirección

IP para asignar al usuario (estático o dinámico) y la lista de

acceso para aplicar o la ruta estática para colocar en la tabla

de enrutamiento NAS. Estos parámetros son todosdefinido

en la información de configuración en el cliente y servidor

RADIUS durante la instalación. Con esta información, el

servidor RADIUS devuelve un mensaje de aceptación de

acceso con estos parámetros al cliente RADIUS.

Contabilidad RADIUS

La función de contabilidad RADIUS se realiza

independientemente de la autenticación y autorización

RADIUS. La función de contabilidad utiliza un puerto UDP

separado, 1813. La funcionalidad principal de la

contabilidad RADIUS se estableció para admitir ISP ensu

contabilidad de usuario, y admite funciones de contabilidad

típicas para facturación de tiempo y registro de seguridad.

Las funciones de contabilidad RADIUS están diseñadas

para permitir que los datos se transmitan al principio y al

final de una sesión, y puede indicar la utilización de

recursos, como el tiempo, el ancho de banda, etc.

Cuando RADIUS se diseñó por primera vez a mediados de

la década de 1990, el papel de los ISP NAS era

relativamente simple. Permitir y denegar el acceso a una

red y el uso del tiempo fueron las principales

preocupaciones. Hoy, Internet y sus métodos de acceso han

cambiado drásticamente, y también los requisitos de AAA.

SAMLEl lenguaje de marcado de aserción de seguridad (SAML)es una capacidad de inicio de sesión único (SSO) utilizada

para aplicaciones web para garantizar que las identidades

de los usuarios se puedan compartir y proteger. Define

estándares para el intercambio de datos de autenticación y

autorización entre dominios de seguridad. Cada vez es más

importante con las soluciones basadas en la nube y con las

aplicaciones de software como servicio (SaaS), ya que

garantiza la interoperabilidad entre los proveedores de

identidad.

SAML es un protocolo basado en XML que utiliza tokens de

seguridad y aserciones para pasar información sobre un

"principal" (generalmente un usuario final) con una

autoridad SAML (un "proveedor de identidad" o IdP) y el

proveedor de servicios (SP). El director solicita un servicio

del SP, que luego solicita y obtiene una afirmación de

identidad del IdP. El SP puede otorgar acceso o realizar el

servicio solicitado para el director.

OPENID CONNECTOpenID Connect es una capa de identidad simple sobre el

protocolo OAuth 2.0, que se analiza a continuación.

OpenID Connect permite a clientes de todo tipo, incluidos

dispositivos móviles, JavaScript y clientes basados en web,

solicitar y recibir información sobre sesiones autenticadas y

usuarios finales. OpenID está destinado a hacer que el

proceso de demostrar quién es usted sea el primer paso en

proceso de demostrar quién es usted sea el primer paso en

la escalera de autenticación-autorización. Para hacer la

autorización, se necesita un segundo proceso, y OpenID

generalmente se combina con OAuth 2.0. OpenID se creó

para la autenticación federada que permite a un tercero,

como Google o Facebook, autenticar a sus usuarios por

usted, utilizando cuentas que los usuarios ya tienen.

OAUTHOAuth (Open Authorization) es un protocolo abierto que

permite la autorización segura basada en tokens en Internet

desde aplicaciones web, móviles y de escritorio a través de

un método simple y estándar. OAuth es utilizado por

compañías como Google, Facebook, Microsoft y Twitter

para permitir a los usuarios compartir información sobre

sus cuentas con aplicaciones o sitios web de terceros. OAuth

1.0 fue desarrollado por un ingeniero de Twitter como parte

de la implementación de Twitter OpenID. OAuth 2.0 (no

compatible con versiones anteriores) ha despegado con el

soporte de la mayoría de las principales plataformas web.

La principal fortaleza de OAuth es que puede ser utilizado

por un sitio externo asociado para permitir el acceso a datos

protegidos sin tener que volver a autenticar al usuario.

OAuth se creó para eliminar la necesidad de que los

usuarios compartan sus contraseñas con aplicaciones de

terceros, en lugar de sustituir un token. OAuth 2.0 amplió

esto para proporcionar también servicios de autenticación,

por lo que puede eliminar la necesidad de OpenID.

CONSEJO DE EXAMEN OpenID y OAuth se

usan generalmente juntos, pero tienen diferentes

propósitos. OpenID se usa para la autenticación,

mientras que OAuth se usa para la autorización.

SANTO Y SEÑA

SANTO Y SEÑA

Shibboleth es un servicio diseñado para permitir el inicio de

sesión único y la autenticación y autorización basada en

identidad federada en todas las redes. Comenzó en 2000,

ha pasado por varias revisiones y versiones, pero aún no ha

recibido una aceptación generalizada. Shibboleth es una

tecnología basada en la web que se construye utilizando

tecnologías SAML. Shibboleth utiliza los perfiles de

inserción HTTP / POST, artefactos y atributos de SAML,

incluidos los componentes de proveedor de identidad (IdP)

y proveedor de servicio (SP) para lograr sus objetivos.

Como tal, está incluido en muchos servicios que usan SAML

para la gestión de identidad.

TOKEN SEGURODentro de un marco de identidad basado en notificaciones,

como OASIS WS-Trust, se utilizan tokens de seguridad. Un

servicio de token seguro es responsable de emitir, validar,

renovar y cancelar estos tokens de seguridad. Los tokens

emitidos se pueden usar para identificar a los titulares de

los tokens de cualquier servicio que cumpla con el estándar

WS-Trust. Los tokens seguros resuelven el problema de

autenticación en plataformas sin estado, ya que la identidad

del usuario debe establecerse con cada solicitud. El proceso

básico de cinco pasos para usar tokens es el siguiente:

1. El usuario solicita acceso con nombre de usuario /

contraseña.

2. El servicio de token seguro valida las credenciales.

3. El servicio de token seguro proporciona un token

firmado al cliente.

4. El cliente almacena ese token y lo envía junto con cada

solicitud.

5. El servidor verifica el token y responde con datos.

Estos pasos son altamente escalables y pueden distribuirse

ampliamente e incluso compartirse. Una aplicación de

usuario puede usar un token para acceder a través de otra

usuario puede usar un token para acceder a través de otra

aplicación, lo que le permite a alguien validar un inicio de

sesión en Twitter a través de Facebook, ya que los tokens

son transportables.

NTLMNT LAN Manager (NTLM) , también conocido como

Windows Challenge / Response, es un conjunto de

protocolos de seguridad de Microsoft que proporciona

autenticación, integridad y confidencialidad a los usuarios.

NTLM es el sucesor del protocolo de autenticación en

Microsoft LAN Manager (LANMAN), un producto anterior

de Microsoft. Ambas suites han sido

ampliamentereemplazado por la implementación Kerberos

de Microsoft, aunque NTLM todavía se usa para la

autenticación de inicio de sesión en máquinas Windows

independientes. NTLM utiliza un protocolo de desafío /

respuesta encriptado para autenticar a un usuario sin

enviar la contraseña del usuario a través del cable, pero la

criptografía utilizada para esto, MD4, se considera débil y

obsoleta según los estándares actuales.

REVISIÓN DE CAPÍTULOSEn este capítulo, se familiarizó con los principios detrás de

los servicios de identidad y acceso. El capítulo se abrió con

una exploración del protocolo LDAP y luego se trasladó a

Kerberos. A continuación, se exploró TACACS +, incluida la

forma en que realiza la autenticación, la autorización y la

contabilidad. Luego, el capítulo examinó los protocolos

CHAP, PAP y MSCHAP. Luego regresó a los servicios

integrados, esta vez mirando RADIUS, incluida la forma en

que realiza la autenticación, la autorización y la

contabilidad.

Luego, el capítulo exploró métodos distribuidos y federados

como SAML, OpenID Connect, OAuth y Shibboleth. El

capítulo siguiente introdujo el uso de tokens seguros,

seguido de un examen de NTLM, un servicio antiguo pero

esencial.

Preguntas

Para ayudarlo a prepararse más para el examen CompTIA

Security +, y para evaluar su nivel de preparación, responda

las siguientes preguntas y luego compare sus respuestas con

las respuestas correctas al final del capítulo.

1 . Está trabajando con un grupo de desarrollo en una

nueva aplicación web que se alojará en la nube. Necesitan la

capacidad de inicio de sesión único para intercambiar datos

de autenticación y autorización entre múltiples dominios de

seguridad y prefieren trabajar con XML. ¿Qué sugieres que

usen?

A. PAP

B. RADIO

C. SAML

D. SecureID

2 . Se le ha encomendado a un colega la tarea de actualizar

los protocolos de autenticación para una aplicación muy

antigua basada en Windows que se ejecuta en un sistema

autónomo: todavía utiliza LANMAN y se ejecuta en

Windows XP. El colega preferiría seguir usando algo de

Microsoft, pero no puede actualizar el sistema operativo

más allá de Windows 7 durante este esfuerzo. ¿Cuál de las

siguientes sugerencias sugeriría que use?

A. TACACS +

B. NTLM

C. RADIO

D. LDAP

3 . ¿Cuál de los siguientes protocolos utiliza un centro de

distribución de claves y puede pasar de manera segura una

clave simétrica a través de una red insegura?

A. CHAP

B. PAP

C. LDAP

D. Kerberos

4 4 . Su colega está preparando una charla sobre la

autenticación TACACS + y la secuencia de intercambio.

Tiene problemas para recordar los tres tipos de paquetes

diferentes utilizados en el proceso de autenticación. ¿Cuál

de los siguientes no es uno de los tres tipos de paquetes

utilizados en la autenticación TACACS +?

A. RESPUESTA

B. INICIAR

C. CONTINUAR

D. INICIAR

5 5 . Mientras ayuda a catalogar servidores más antiguos

en su centro de datos, se encuentra con un servidor de

contabilidad RADIUS. Su supervisor le pregunta para qué

se usaba típicamente la contabilidad RADIUS. ¿Le dice que

se usó principalmente para cuál de los siguientes?

A. Direcciones IP de origen y destino del tráfico de red.

B. Aplicaciones utilizadas por los usuarios.

C. facturación de tiempo y registro de seguridad

D. Seguimiento del acceso a archivos

6 6 . Su equipo de desarrollo necesita una solución de

autenticación que admita la autenticación en plataformas

sin estado. Quieren que explique cómo otras aplicaciones

usan los inicios de sesión de Facebook o Goggle para la

autenticación. En su explicación, ¿cuál de los siguientes

conceptos definitivamente necesitaría mencionar?

A. Fichas seguras

B. Entradas seguras

C. solicitudes XML

D. Solicitar paquetes

7 7 . Está estableciendo un enlace punto a punto y necesita

proporcionar autenticación utilizando PPP. ¿Cuál de los

siguientes protocolos considerarías?

A. CHAP

B. RADIO

C. SAML

D. autenticación TCP

8 . ¿Qué significa la "A" en RADIUS?

A. Solicitud

B. Autorización

C. Autenticación

D. Auditoría

9 . ¿Cuál de las siguientes afirmaciones sobre TACACS +

es verdadera?

A. Las comunicaciones entre un cliente TACACS +

(generalmente un NAS) y un servidor TACACS + no son

seguras.

B. Las comunicaciones entre un usuario (generalmente

una PC) y el cliente TACACS + están sujetas a compromiso

ya que las comunicaciones generalmente no están

encriptadas.

C. TACACS + es una extensión de TACACS y es compatible

con versiones anteriores.

D. TACACS + usa UDP para su protocolo de transporte.

10 . ¿Cuál de los siguientes protocolos implica un protocolo

de enlace bidireccional y envía el nombre de usuario y la

contraseña en texto claro?

A. SAML

B. LDAP

C. PAP

D. NTLM

11 . OpenID Connect permite ¿cuál de los siguientes?

R. Un tercero puede autenticar a sus usuarios por usted

usando las cuentas que los usuarios ya tienen.

B. Las claves simétricas se pueden compartir a través de

redes no seguras.

C. La identidad se puede confirmar con un solo paquete

UDP.

D. Las direcciones IP confiables se pueden usar para

mitigar los ataques de fuerza bruta.

12 . Su grupo de TI está reelaborando sus capacidades de

autenticación y autorización de usuarios. Necesitan algo

que se pueda usar para controlar el acceso a los objetos, así

como para manejar la autenticación y autorización del

usuario. ¿Cuál de los siguientes protocolos sugeriría que

usen?

A. MSCHAP

B. TACACS

C. PPP

D. LDAP

13 . ¿Cuál de los siguientes es un servicio diseñado para

3 g p

habilitar el inicio de sesión único y la autenticación y

autorización basadas en identidad federada en todas las

redes?

A. PAP

B. Shibboleth

C. XAML

D. OASIS

14 . ¿Cuál de las siguientes es una declaración verdadera

sobre el protocolo NTLM?

A. Utiliza un protocolo de desafío / respuesta encriptado

para autenticar a un usuario.

B. Pasa las credenciales del usuario solo en texto claro.

C. Se utiliza comúnmente para integrar servicios UNIX en

una red.

D. Se usa típicamente en sistemas independientes.

15 . ¿Cuál de los siguientes es un protocolo abierto que

permite la autenticación segura y basada en tokens y la

autorización de aplicaciones web, de escritorio y móviles y

es utilizado por compañías como Google y Microsoft para

permitir a los usuarios compartir información sobre sus

cuentas con aplicaciones de terceros? ?

A. TKIP

B. OAuth

C. SAML

D. RADIO

Respuestas

1 . C. El Lenguaje de marcado de aserción de seguridad

(SAML) es una capacidad de inicio de sesión único utilizada

para aplicaciones web para garantizar que las identidades

de los usuarios se puedan compartir y proteger. Define

estándares para el intercambio de datos de autenticación y

autorización entre dominios de seguridad. Cada vez es más

importante con las soluciones basadas en la nube y con las

aplicaciones de software como servicio (SaaS), ya que

garantiza la interoperabilidad entre los proveedores de

identidad.

2 . B. NT LAN Manager (NTLM) es un conjunto de

protocolos de seguridad de Microsoft que proporciona

autenticación, integridad y confidencialidad a los usuarios y

sería la opción más probable de la lista de opciones. NTLM

es el sucesor del protocolo de autenticación en Microsoft

LAN Manager (LANMAN).

3 . D. Kerberos pasa de manera segura una clave simétrica

a través de una red insegura utilizando el protocolo de clave

simétrica Needham-Schroeder. Kerberos se basa en la idea

de un tercero confiable, denominado centro de distribuciónde claves (KDC) , que consta de dos partes lógicamente

separadas: un servidor de autenticación (AS) y un servidor

de concesión de tickets (TGS). Kerberos se comunica a

través de "tickets" que sirven para demostrar la identidad

de los usuarios.

4 4 . D. El proceso de autenticación TACACS + se realiza

utilizando tres tipos de paquetes diferentes: INICIAR,

CONTINUAR y RESPONDER. Los paquetes START y

CONTINUE se originan en el cliente y se dirigen al servidor

TACACS +. El paquete REPLY se usa para comunicarse

desde el servidor TACACS + al cliente.

5 5 . C. La funcionalidad principal de la contabilidad

RADIUS se estableció para admitir los ISP en la

contabilidad de sus usuarios, y es compatible con las

funciones de contabilidad típicas para la facturación del

tiempo y el registro de seguridad.

6 6 . R. Los tokens seguros proporcionan autenticación a

g p p

través de plataformas sin estado y se pueden usar para

identificar al titular del token para cualquier servicio que

cumpla con el estándar WS-Trust. Los tokens seguros son

transportables, que es lo que permite a los usuarios iniciar

sesión en Twitter u otras aplicaciones a través de Facebook.

7 7 . A. El Protocolo de autenticación por desafío mutuo

(CHAP) se utiliza para proporcionar autenticación a través

de un enlace punto a punto utilizando PPP.

8 . C. La "A" significa Autenticación: Servicio de usuario

de marcación de autenticación remota (RADIUS).

9 . B. Las comunicaciones entre un usuario

(generalmente una PC) y el cliente TACACS + están sujetas

a compromiso, ya que generalmente no están encriptadas.

10 . C. La autenticación del Protocolo de autenticación de

contraseña (PAP) implica un protocolo de enlace

bidireccional en el que el nombre de usuario y la contraseña

se envían a través del enlace en texto claro. La autenticación

PAP no proporciona ninguna protección contra la

reproducción y el rastreo de línea.

11 . R. OpenID se creó para la autenticación federada que

permite a un tercero autenticar a sus usuarios por usted,

utilizando cuentas que los usuarios ya tienen.

12 . D. LDAP es un protocolo que se usa comúnmente para

manejar la autenticación / autorización del usuario, así

como para controlar el acceso a los objetos de Active

Directory.

13 . B. Shibboleth es un servicio diseñado para permitir el

inicio de sesión único y la autenticación y autorización

basadas en identidad federada en todas las redes.

Shibboleth es una tecnología basada en la web que se

construye utilizando tecnologías SAML.

14 . R. NTLM utiliza un protocolo de desafío / respuesta

encriptado para autenticar a un usuario sin enviar la

Configuraciones / Apoyo / Desconectar© 2020 O'Reilly Media, Inc . Términos de servicio / Política de privacidad

contraseña del usuario por cable, pero la criptografía se

considera débil e ineficaz según los estándares actuales.

15 . B. OAuth (Open Authorization) es un protocolo abierto

que permite la autorización segura basada en tokens en

Internet desde aplicaciones web, móviles y de escritorio a

través de un método simple y estándar. OAuth es utilizado

por compañías como Google, Facebook, Microsoft y Twitter

para permitir a los usuarios compartir información sobre

sus cuentas con aplicaciones o sitios web de terceros.

ANTERIORCapítulo 18 Identidad, acceso y cuentas⏮

PRÓXIMOCapítulo 20 Controles de gestión de identidad y acceso ⏭