Tipos de autenticación en seguridad informática y redes

La seguridad de las computadoras y las redes se basa en dos objetivos muy simples:

  1. Mantener a las personas no autorizadas fuera de los recursos
  2. Asegurar que las personas autorizadas puedan acceder a los recursos que necesitan

Hay varios componentes involucrados en lograr estos objetivos. Una forma de hacerlo es asignar permisos de acceso a los recursos que especifican qué usuarios pueden o no pueden acceder a esos recursos y en qué circunstancias. Por ejemplo, es posible que desee que un usuario específico o un grupo de usuarios tengan acceso cuando inicien sesión desde una computadora que esté físicamente en el sitio pero no desde una conexión de marcado remoto.

Los permisos de acceso, sin embargo, solo funcionan si puede verificar la identidad del usuario que intenta acceder a los recursos. Ahí es donde entra en juego la autenticación. En este artículo, analizaremos el papel que desempeña la autenticación en un plan de seguridad de redes, los tipos populares de autenticación, cómo funciona la autenticación y los métodos y protocolos de autenticación más utilizados.

Índice de Contenido
  1. La autenticación y la seguridad
  2. Autenticación vs. autorización
  3. Autenticación de inicio de sesión
  4. Autenticación de acceso a la red
  5. Autenticación de IPSec
  6. Autenticación remota
  7. Inicio de sesión único (SSO)
  8. Tipos de autenticación
  9. Autenticación por contraseña
  10. Autenticación por tarjeta inteligente
  11. Autenticación biométrica
  12. ¿Cómo funciona la autenticación?
  13. Métodos y protocolos de autenticación
  14. Kerberos
  15. Secure Sockets Layer (SSL)
  16. Microsoft NTLM (NT LAN Manager)
  17. PAP y SPAP
  18. CHAP y MS-CHAP
  19. EAP
  20. RADIUS
  21. Servicios de certificados
  22. Conclusión

La autenticación y la seguridad

La autenticación es un elemento absolutamente esencial de un modelo de seguridad típico. Es el proceso de confirmar la identificación de un usuario (o en algunos casos, una máquina) que intenta iniciar sesión o acceder a recursos. Existen varios mecanismos de autenticación diferentes, pero todos sirven para el mismo propósito.

Autenticación vs. autorización

Es fácil confundir la autenticación con otro elemento del plan de seguridad: la autorización. Mientras que la autenticación verifica la identidad del usuario, la autorización verifica que el usuario en cuestión tenga los permisos y derechos correctos para acceder al recurso solicitado. Como se puede ver, los dos trabajan juntos. La autenticación ocurre primero, luego la autorización.

Por ejemplo, cuando un usuario que pertenece a un dominio de Windows inicia sesión en la red, su identidad se verifica mediante uno de varios tipos de autenticación. Luego, al usuario se le emite un token de acceso que contiene información sobre los grupos de seguridad a los que pertenece el usuario. Cuando el usuario intenta acceder a un recurso de red (abrir un archivo, imprimir en una impresora, etc.), se verifica la lista de control de acceso (ACL) asociada con ese recurso con el token de acceso. Si la ACL muestra que los miembros del grupo de Gerentes tienen permiso para acceder al recurso y el token de acceso del usuario muestra que él o ella es miembro del grupo de Gerentes, se le concederá acceso (a menos que la cuenta del usuario o un grupo al que pertenece haya sido denegado explícitamente el acceso al recurso).

Cómo configurar un firewall en Linux de forma rápida y sencilla con Lokkit

Otro ejemplo de autorización es el Servicio de Identificación de Número Marcado (DNIS, por sus siglas en inglés), que autoriza una conexión de marcado en función del número llamado.

Autenticación de inicio de sesión

La mayoría de los sistemas operativos de red requieren que un usuario se autentique para iniciar sesión en la red. Esto se puede hacer ingresando una contraseña, insertando una tarjeta inteligente e ingresando el PIN asociado, proporcionando una huella digital, una muestra de patrón de voz o un escaneo de retina, o utilizando algún otro medio para demostrar al sistema que usted es quien dice ser.

Autenticación de acceso a la red

La autenticación de acceso a la red verifica la identidad del usuario ante cada servicio de red al que el usuario intenta acceder. Es diferente en el sentido de que este proceso de autenticación es, en la mayoría de los casos, transparente para el usuario una vez que haya iniciado sesión. De lo contrario, el usuario tendría que volver a ingresar la contraseña o proporcionar otras credenciales cada vez que desee acceder a otro servicio o recurso de red.

Autenticación de IPSec

IP Security (IPSec) proporciona un medio para que los usuarios cifren y/o firmen mensajes que se envían a través de la red para garantizar la confidencialidad, integridad y autenticidad. Las transmisiones de IPSec pueden utilizar una variedad de métodos de autenticación, incluido el protocolo Kerberos, certificados de clave pública emitidos por una autoridad de certificación confiable (CA, por sus siglas en inglés) o una clave secreta precompartida (una cadena de caracteres conocida tanto por el remitente como por el receptor).

Una consideración importante es que tanto las computadoras de envío como las computadoras de recepción deben estar configuradas para utilizar un método de autenticación común o no podrán establecer comunicaciones seguras.

Autenticación remota

Existen varios métodos de autenticación que se pueden utilizar para confirmar la identidad de los usuarios que se conectan a la red a través de una conexión remota, como la marcación o una VPN. Estos incluyen:

Comparación de técnicas de seguridad para servicios web seguros
  • El Protocolo de Autenticación de Contraseña (PAP, por sus siglas en inglés)
  • El PAP de Shiva (SPAP, por sus siglas en inglés)
  • El Protocolo de Autenticación de Sacudida de Desafío (CHAP, por sus siglas en inglés)
  • El CHAP de Microsoft (MS-CHAP, por sus siglas en inglés)
  • El Protocolo de Autenticación Extensible (EAP, por sus siglas en inglés)

Los usuarios remotos pueden ser autenticados a través de un Servicio de Usuario de Acceso Remoto (RADIUS, por sus siglas en inglés) o el Servicio de Autenticación de Internet (IAS, por sus siglas en inglés). Cada uno de estos se discutirá en más detalle en la sección titulada Métodos y Protocolos de Autenticación.

Es especialmente importante que los usuarios remotos sean autenticados correctamente, ya que generalmente representan un mayor riesgo de seguridad que los usuarios presenciales.

Inicio de sesión único (SSO)

El inicio de sesión único (SSO) es una función que permite a un usuario utilizar una sola contraseña (o tarjeta inteligente) para autenticarse en varios servidores en una red sin tener que volver a ingresar las credenciales. Esto es una comodidad evidente para los usuarios, quienes no tienen que recordar varias contraseñas o tener que pasar por el proceso de autenticación una y otra vez para acceder a diferentes recursos.

Existen varios productos de SSO en el mercado que permiten el inicio de sesión único en un entorno mixto (híbrido) que incorpora, por ejemplo, servidores Microsoft Windows, Novell NetWare y UNIX.

Tipos de autenticación

Existen varios medios físicos mediante los cuales puede proporcionar sus credenciales de autenticación al sistema. La forma más común, pero no la más segura, es la autenticación por contraseña. El entorno empresarial competitivo actual exige opciones que ofrecen una mayor protección cuando los recursos de red incluyen datos altamente sensibles. Las tarjetas inteligentes y los tipos de autenticación biométrica proporcionan esta protección adicional.

Autenticación por contraseña

La mayoría de nosotros estamos familiarizados con la autenticación por contraseña. Para iniciar sesión en una computadora o red, ingresas el nombre de la cuenta de usuario y la contraseña asignada a esa cuenta. Esta contraseña se verifica con una base de datos que contiene todos los usuarios autorizados y sus contraseñas. En una red de Windows 2000, por ejemplo, esta información se encuentra en Active Directory.

Los diferentes tipos de firewalls y cómo evolucionaron para proteger las redes corporativas

Para preservar la seguridad de la red, las contraseñas deben ser "fuertes", es decir, deben contener una combinación de caracteres alfabéticos y numéricos y símbolos, no deben ser palabras que se encuentren en un diccionario y deben ser relativamente largas (ocho caracteres o más). En resumen, no deben ser fáciles de adivinar.

La autenticación por contraseña es vulnerable a un "rompecontraseñas" que utiliza un ataque de fuerza bruta (probando todas las combinaciones posibles hasta encontrar la correcta) o que utiliza un "sniffer" de protocolo para capturar paquetes si las contraseñas no están cifradas cuando se envían a través de la red.

Autenticación por tarjeta inteligente

Las tarjetas inteligentes son dispositivos del tamaño de una tarjeta de crédito que tienen un pequeño chip informático, que se utiliza para almacenar claves públicas y privadas y otra información personal utilizada para identificar a una persona y autenticarla en el sistema. Para iniciar sesión en la red con una tarjeta inteligente, debe insertar físicamente la tarjeta en un lector y luego ingresar un Número de Identificación Personal (PIN) de manera similar a como usa una tarjeta de cajero automático para acceder a un cajero automático.

Las tarjetas inteligentes utilizan autenticación basada en criptografía y brindan una seguridad más sólida que una contraseña porque, para obtener acceso, el usuario debe tener físicamente en su posesión la tarjeta y también debe conocer el PIN.

Para obtener información más detallada sobre cómo funcionan las tarjetas inteligentes, consulte mi artículo "Mejorando la seguridad con el uso de tarjetas inteligentes".

Autenticación biométrica

Un tipo de autenticación aún más segura que las tarjetas inteligentes es la autenticación biométrica, que implica el uso de estadísticas biológicas que muestran que la probabilidad de que dos personas tengan características biológicas idénticas, como las huellas dactilares, es infinitesimalmente pequeña; por lo tanto, estas características biológicas se pueden utilizar para identificar positivamente a una persona.

Cómo solucionar problemas de políticas de grupo con RSoP

Además de las huellas dactilares, los patrones de voz, retina e iris son virtualmente únicos para cada individuo y se pueden utilizar con fines de autenticación. Este método de comprobar la identidad de una persona es muy difícil de falsificar, aunque requiere equipos costosos para ingresar la huella dactilar, muestra de voz o escaneo ocular. Otra ventaja sobre las tarjetas inteligentes es que el usuario no tiene que recordar llevar consigo un dispositivo; sus credenciales biológicas nunca se quedan en casa.

¿Cómo funciona la autenticación?

En teoría, la autenticación es relativamente sencilla: un usuario proporciona algún tipo de credencial, como una contraseña, una tarjeta inteligente, una huella digital o un certificado digital, que identifique al usuario como la persona autorizada para acceder al sistema. Sin embargo, existen múltiples métodos y protocolos que se pueden utilizar para lograr esto. Independientemente del método, el proceso básico de autenticación sigue siendo el mismo.

En la mayoría de los casos, un usuario debe tener una cuenta de usuario válida configurada por el administrador de red que especifique los permisos y derechos del usuario. Las credenciales de usuario deben estar asociadas con esta cuenta; se asigna una contraseña, se emite un certificado de tarjeta inteligente o se ingresa un escaneo biométrico en la base de datos con la que se compararán las lecturas futuras.

Cuando el usuario desea iniciar sesión, proporciona las credenciales y el sistema verifica la base de datos en busca de la entrada original y realiza la comparación. Si las credenciales proporcionadas por el usuario coinciden con las de la base de datos, se otorga acceso.

En un entorno de alta seguridad, la autenticación multinivel agrega protección adicional. En otras palabras, se puede requerir que el usuario proporcione más de un tipo de credencial, como una huella dactilar y una contraseña de inicio de sesión. Esto disminuye aún más las posibilidades de que una persona no autorizada eluda el sistema de seguridad.

Métodos y protocolos de autenticación

Existen numerosos métodos y protocolos de autenticación que se pueden utilizar, según la aplicación y los requisitos de seguridad. En las siguientes secciones, discutiremos:

Por qué los firewalls no son suficientes para asegurar tu empresa
  • Kerberos
  • SSL
  • Microsoft NTLM
  • PAP y SPAP
  • CHAP y MS-CHAP
  • EAP
  • RADIUS
  • Servicios de certificados

Estos no son los únicos métodos de autenticación que existen, pero son algunos de los más comunes.

Kerberos

Kerberos fue desarrollado en MIT para proporcionar una autenticación segura para redes UNIX. Se ha convertido en un estándar de Internet y es compatible con el último sistema operativo de red de Microsoft, Windows 2000. Kerberos utiliza certificados temporales llamados tickets, que contienen las credenciales que identifican al usuario ante los servidores de la red. En la versión actual de Kerberos, v5, los datos contenidos en los tickets están cifrados, incluida la contraseña del usuario.

Un centro de distribución de claves (KDC, por sus siglas en inglés) es un servicio que se ejecuta en un servidor de red, que emite un ticket llamado Ticket de Concesión de Ticket (TGT, por sus siglas en inglés) a los clientes que se autentican en el Servicio de Concesión de Tickets (TGS, por sus siglas en inglés). El cliente utiliza este TGT para acceder al TGS (que puede ejecutarse en la misma computadora que el KDC). El TGS emite un ticket de servicio o de sesión, que se utiliza para acceder a un servicio o recurso de red.

Secure Sockets Layer (SSL)

El protocolo SSL es otro estándar de Internet que se utiliza con frecuencia para proporcionar acceso seguro a sitios web, utilizando una combinación de tecnología de clave pública y tecnología de clave secreta. El cifrado de clave secreta (también llamado cifrado simétrico) es más rápido, pero el cifrado asimétrico de clave pública proporciona una mejor autenticación, por lo que SSL está diseñado para beneficiarse de las ventajas de ambos. Es compatible con Microsoft, Netscape y otros navegadores principales, y con la mayoría del software de servidor web, como IIS y Apache.

SSL funciona en la capa de aplicación del modelo de red DoD. Esto significa que las aplicaciones deben estar escritas para usarlo, a diferencia de otros protocolos de seguridad (como IPSec) que operan en capas inferiores. El estándar de Internet Transport Layer Security (TLS) se basa en SSL.

La autenticación de SSL se basa en certificados digitales que permiten a los servidores y clientes web verificar las identidades de cada uno antes de establecer una conexión. (Esto se llama autenticación mutua). Por lo tanto, se utilizan dos tipos de certificados: certificados del cliente y certificados del servidor.

Todo lo que necesitas saber sobre los identificadores de seguridad (SIDs) en Windows

Microsoft NTLM (NT LAN Manager)

La autenticación NTLM se utiliza en los servidores de Windows NT para autenticar a los clientes en un dominio de NT. Windows 2000 utiliza la autenticación Kerberos de forma predeterminada, pero conserva el soporte de NTLM para la autenticación de servidores y clientes de Microsoft anteriores a Windows 2000 en la red. Las máquinas UNIX que se conectan a redes de Microsoft a través de un cliente SMB también utilizan NTLM para la autenticación.

NTLM utiliza un método llamado desafío/respuesta, utilizando las credenciales que se proporcionaron cuando el usuario inició sesión cada vez que el usuario intenta acceder a un recurso. Esto significa que las credenciales del usuario no se transfieren a través de la red cuando se accede a los recursos, lo que aumenta la seguridad. El cliente y el servidor deben residir en el mismo dominio o debe establecerse una relación de confianza entre sus dominios para que la autenticación tenga éxito.

PAP y SPAP

PAP se utiliza para autenticar a un usuario en un control de acceso remoto. Una característica importante de PAP es que envía las contraseñas de usuario por la red al servidor de autenticación en texto plano. Esto plantea un riesgo significativo de seguridad, ya que un usuario no autorizado podría capturar los paquetes de datos usando un analizador de protocolo y obtener la contraseña.

La ventaja de PAP es que es compatible con muchos tipos de servidores que ejecutan diferentes sistemas operativos. PAP debe usarse solo cuando sea necesario por razones de compatibilidad.

SPAP es una mejora de PAP en términos de nivel de seguridad, ya que utiliza un método de cifrado (utilizado por los servidores de acceso remoto de Shiva, de ahí el nombre).

El cliente envía el nombre de usuario junto con la contraseña cifrada, y el servidor remoto descifra la contraseña. Si el nombre de usuario y la contraseña coinciden con la información en la base de datos del servidor, el servidor remoto envía un mensaje de Aprobación (ACK) y permite la conexión. Si no, se envía una Notificación de No Aprobación (NAK) y se rechaza la conexión.

Los pasos esenciales para una gestión de seguridad efectiva

CHAP y MS-CHAP

CHAP es otro protocolo de autenticación utilizado para la seguridad de acceso remoto. Es un estándar de Internet que utiliza MD5, un método de encriptación unidireccional, que ejecuta una operación hash en la contraseña y transmite el resultado del hash (en lugar de la contraseña en sí) a través de la red.

Esto tiene ventajas de seguridad obvias sobre PAP/SPAP, ya que la contraseña no se envía a través de la red y no se puede capturar.

El algoritmo de hash garantiza que la operación no se pueda revertir para obtener la contraseña original a partir de los resultados del hash. Sin embargo, CHAP es vulnerable a la suplantación del servidor remoto.

MS-CHAP es la versión de Microsoft de CHAP. MS-CHAPv2 utiliza autenticación bidireccional para verificar tanto la identidad del servidor como la del cliente. Esto protege contra la suplantación del servidor. MS-CHAP también aumenta la seguridad mediante el uso de claves criptográficas separadas para los datos transmitidos y recibidos.

EAP

EAP es un medio de autenticar una conexión de Protocolo de Punto a Punto (PPP) que permite que las computadoras que se comunican negocien un esquema de autenticación específico (llamado tipo EAP).

Una característica clave de EAP es su capacidad de extensibilidad, como indica su nombre. Se pueden agregar módulos complementarios en el lado del cliente y del servidor para admitir nuevos tipos de EAP.

Configuración y monitoreo de IPCop: una guía completa para administrar tu firewall Linux

EAP se puede utilizar con TLS (llamado EAP-TLS) para proporcionar autenticación mutua mediante el intercambio de certificados de usuario y de máquina.

RADIUS

RADIUS se utiliza con frecuencia por los proveedores de servicios de Internet (ISP) para autenticar y autorizar a los usuarios de acceso telefónico o VPN. Los estándares para RADIUS se definen en las RFC 2138 y 2139. Un servidor RADIUS recibe las credenciales de usuario e información de conexión de los clientes de acceso telefónico y los autentica en la red.

RADIUS también puede realizar servicios de contabilidad y los mensajes de EAP se pueden enviar a un servidor RADIUS para la autenticación. EAP solo necesita estar instalado en el servidor RADIUS; no es necesario en la máquina cliente.

El servidor Windows 2000 incluye un servicio de servidor RADIUS llamado Servicios de Autenticación de Internet (IAS), que implementa los estándares RADIUS y permite el uso de PAP, CHAP o MS-CHAP, así como EAP.

Servicios de certificados

Los certificados digitales consisten en datos que se utilizan para la autenticación y seguridad de las comunicaciones, especialmente en redes no seguras (por ejemplo, Internet). Los certificados asocian una clave pública con un usuario u otra entidad (una computadora o un servicio) que tiene la clave privada correspondiente.

Los certificados son emitidos por autoridades de certificación (CAs), que son entidades de confianza que "respaldan" la identidad del usuario o la computadora. El CA firma digitalmente los certificados que emite, utilizando su clave privada. Los certificados solo son válidos durante un período de tiempo especificado; cuando un certificado expira, se debe emitir uno nuevo. La autoridad emisora también puede revocar certificados.

Guía para principiantes sobre la infraestructura de clave pública (PKI)

Los servicios de certificación forman parte de la Infraestructura de Clave Pública (PKI) de una red. Los estándares para los certificados más utilizados se basan en las especificaciones X.509.

Conclusión

La autenticación es una parte vital del esquema de seguridad de una red, ya que es el mecanismo para garantizar que la identidad de un usuario, computadora o servicio sea válida. Hay varias formas en que se puede lograr la autenticación, según el sistema operativo de la red y el tipo de conexión. En este artículo, hemos proporcionado una descripción general de algunos de los métodos de autenticación más comunes, en qué circunstancias se utiliza cada uno y cómo funcionan.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Tipos de autenticación en seguridad informática y redes , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.