WEBVTT 00:00.090 --> 00:00.930 Instructor: En esta 00:00.930 --> 00:03.360 lección, vamos a hablar de los servidores AAA, que son las 00:03.360 --> 00:06.210 siglas en inglés de autenticación, autorización y contabilidad, y 00:06.210 --> 00:09.000 para entender los servidores AAA, lo primero que tenemos que hacer 00:09.000 --> 00:12.327 es entender cómo funciona 802.XSI. 1X funciona como un marco. 00:12.327 --> 00:15.240 Instructor: 802. 1X es un marco estandarizado que 00:15.240 --> 00:17.040 se utiliza para la autenticación basada 00:17.040 --> 00:19.650 en puertos tanto en redes cableadas como inalámbricas. 00:19.650 --> 00:22.800 Ahora, desde 802. 1X es sólo el marco, en realidad 00:22.800 --> 00:24.840 va a utilizar otros mecanismos para hacer 00:24.840 --> 00:27.210 la autenticación real para nosotros. 00:27.210 --> 00:28.140 Por ejemplo, tanto el 00:28.140 --> 00:30.690 Remote Authentication Dial-In User Service, conocido 00:30.690 --> 00:31.800 como RADIUS, como el Terminal 00:31.800 --> 00:33.510 Access Controller Access-Control System 00:33.510 --> 00:36.510 Plus, o TACACS+, pueden utilizarse para llevar a cabo la autenticación 00:36.510 --> 00:41.700 mediante el protocolo 802.XSI. 00:41.700 --> 00:41.700 Protocolo 1X. 00:41.700 --> 00:43.410 Hay tres roles que son necesarios para que 00:43.410 --> 00:46.920 se produzca una autenticación bajo 802. 1X. 00:46.920 --> 00:49.830 El primero es el suplicante, que es el dispositivo 00:49.830 --> 00:51.660 o usuario que solicita acceso 00:51.660 --> 00:54.030 a la red, como PC1 en esta imagen. 00:54.030 --> 00:56.430 Luego hay un autenticador, que es el dispositivo 00:56.430 --> 00:58.080 a través del cual el solicitante intenta 00:58.080 --> 00:59.370 acceder a la red. 00:59.370 --> 01:01.620 Normalmente, será algo como un conmutador, 01:01.620 --> 01:04.860 un punto de acceso inalámbrico o un concentrador VPN. 01:04.860 --> 01:07.230 Por último, está el servidor de autenticación, 01:07.230 --> 01:08.760 que será el dispositivo centralizado 01:08.760 --> 01:10.350 que realiza la autenticación, 01:10.350 --> 01:11.970 que normalmente será tu servidor 01:11.970 --> 01:13.920 RADIUS o TACACS+. 01:13.920 --> 01:16.230 La autenticación se produce cuando la identidad de 01:16.230 --> 01:19.500 una persona se establece con pruebas y es confirmada por el sistema. 01:19.500 --> 01:21.180 Lo haces todos los días. 01:21.180 --> 01:23.850 De hecho, lo has hecho al iniciar sesión en este curso. 01:23.850 --> 01:26.340 Al introducir su dirección de correo electrónico 01:26.340 --> 01:28.380 y su contraseña, está afirmando que es usted 01:28.380 --> 01:30.660 el alumno que ha pagado este curso y, al hacerlo, 01:30.660 --> 01:33.150 el sistema lo comprueba y le concede acceso. 01:33.150 --> 01:36.330 Ahora bien, hay diferentes maneras de autenticar quién eres. 01:36.330 --> 01:38.700 En el mundo real, por ejemplo, si un policía 01:38.700 --> 01:40.380 te para por exceso de velocidad, 01:40.380 --> 01:42.000 puedes sacar tu carné de conducir 01:42.000 --> 01:43.860 y demostrarles que eres tú y que eres 01:43.860 --> 01:45.780 quien dices ser. 01:45.780 --> 01:47.220 Esta es su prueba. 01:47.220 --> 01:48.600 Ahora, en el mundo digital, 01:48.600 --> 01:51.000 tenemos cinco métodos de autenticación. 01:51.000 --> 01:52.800 Tenemos algo que usted conoce, que sería 01:52.800 --> 01:55.050 algo así como una contraseña o un nombre de usuario, 01:55.050 --> 01:57.150 tenemos algo que usted es, que sería algo así como 01:57.150 --> 02:00.390 su huella dactilar o un escáner ocular o un escáner de retina, tenemos 02:00.390 --> 02:02.280 algo que usted tiene, esto sería algo así 02:02.280 --> 02:05.430 como una ficha, un permiso de conducir o una tarjeta de crédito, podría 02:05.430 --> 02:07.410 ser algo que usted hace, que es la forma en que 02:07.410 --> 02:10.020 habla o la forma en que firma con su nombre, y puede ser algún 02:10.020 --> 02:12.540 lugar en el que se encuentre, que conocemos como su factor 02:12.540 --> 02:15.930 de localización basado en su ubicación GPS. 02:15.930 --> 02:19.080 LDAP es el Protocolo Ligero de Acceso a Directorios. 02:19.080 --> 02:21.630 Se trata de una base de datos que se utiliza para centralizar 02:21.630 --> 02:24.510 la información sobre tus clientes y tus objetos en la red. 02:24.510 --> 02:28.050 LDAP es esencialmente una versión simplificada de X. 500, que es un servicio de directorio, 02:28.050 --> 02:29.490 y contiene una organización 02:29.490 --> 02:32.460 jerárquica de los usuarios, grupos, servidores 02:32.460 --> 02:36.360 y sistemas dentro de su red. 02:36.360 --> 02:39.000 LDAP se comunica a través del puerto 02:39.000 --> 02:41.400 389 cuando lo hace sin cifrar, y 02:41.400 --> 02:46.290 si decides cifrarlo usando SSL o TLS, usará el puerto 636. 02:46.290 --> 02:48.960 Ahora bien, aunque LDAP se considera multiplataforma, 02:48.960 --> 02:51.390 Microsoft creó su propia implementación de éste, 02:51.390 --> 02:54.060 conocida como AD o Active Directory. 02:54.060 --> 02:56.370 En el dominio de Windows, Active Directory se 02:56.370 --> 02:58.710 utiliza para organizar y gestionar todo en la red, 02:58.710 --> 03:00.570 incluidos los clientes, servidores, 03:00.570 --> 03:02.730 dispositivos, usuarios y grupos. 03:02.730 --> 03:04.650 Ahora, Active Directory también puede utilizarse 03:04.650 --> 03:07.410 como parte de sus políticas de seguridad o control de acceso a través 03:07.410 --> 03:08.883 de sus políticas de grupo. 03:09.990 --> 03:13.770 RADIUS es el Servicio de Autenticación Remota de Acceso Telefónico de Usuarios. 03:13.770 --> 03:17.130 Proporciona administración centralizada de autenticación telefónica, 03:17.130 --> 03:18.750 VPN e inalámbrica, de modo que puede 03:18.750 --> 03:21.660 utilizarla tanto con 802. 1X y el Protocolo 03:21.660 --> 03:25.350 de Autenticación Extensible, o EAP. 03:25.350 --> 03:27.870 RADIUS es un protocolo cliente-servidor que se 03:27.870 --> 03:29.940 ejecuta sobre la séptima capa del modelo 03:29.940 --> 03:31.470 OSI, la capa de aplicación. 03:31.470 --> 03:34.470 RADIUS suele configurarse para ejecutarse en un servidor independiente, 03:34.470 --> 03:36.810 pero también puede cargarse en un servidor Windows en 03:36.810 --> 03:38.880 entornos de dominio más pequeños. 03:38.880 --> 03:40.950 RADIUS se utiliza para autenticar a los usuarios, 03:40.950 --> 03:42.390 autorizarlos a los servicios y 03:42.390 --> 03:44.970 contabilizar el uso que hacen de esos servicios. 03:44.970 --> 03:48.120 RADIUS también utiliza UDP para realizar sus conexiones, por 03:48.120 --> 03:49.470 lo que es bastante rápido durante 03:49.470 --> 03:52.380 sus funciones de autenticación y autorización. 03:52.380 --> 03:55.140 Ahora bien, mientras que RADIUS es un estándar multiplataforma, 03:55.140 --> 03:58.590 existe un protocolo propietario de Cisco llamado TACACS+. 03:58.590 --> 04:00.300 Se trata del sistema de control de acceso Terminal 04:00.300 --> 04:03.060 Access Controller Access-Control System Plus, que puede desempeñar la función 04:03.060 --> 04:06.300 de autenticador en una red 802. Red 1X. 04:06.300 --> 04:08.640 Ahora le toca a usted determinar cuál es la mejor para 04:08.640 --> 04:10.500 las necesidades de su organización. 04:10.500 --> 04:12.810 Personalmente, he utilizado RADIUS casi exclusivamente 04:12.810 --> 04:14.370 en mis organizaciones. 04:14.370 --> 04:17.490 Descubrí que TACACS+ es un poco más lento de operar 04:17.490 --> 04:20.100 porque depende de TCP en lugar de UDP, pero 04:20.100 --> 04:22.620 TACACS+ tiene algunos beneficios. 04:22.620 --> 04:24.090 Le proporciona cierta seguridad 04:24.090 --> 04:26.550 adicional y lleva a cabo de forma independiente sus procesos 04:26.550 --> 04:29.070 de autenticación, autorización y contabilidad. 04:29.070 --> 04:31.560 TACACS+ admite todos los protocolos de red, 04:31.560 --> 04:32.880 pero RADIUS, en cambio, 04:32.880 --> 04:35.070 no admite el protocolo de acceso remoto, 04:35.070 --> 04:38.850 NetBIOS Frame protocol, X. 25 conexiones con clavijas, y 04:38.850 --> 04:39.840 algunas otras. 04:39.840 --> 04:42.480 En general, TACACS+ es una excelente opción, pero sólo 04:42.480 --> 04:44.490 si vas a utilizar dispositivos Cisco en toda 04:44.490 --> 04:45.630 tu red, porque si quieres 04:45.630 --> 04:48.270 tener esa capacidad multiplataforma, entonces vas a 04:48.270 --> 04:49.770 tener que pasar con RADIUS, la forma 04:49.770 --> 04:51.840 que he elegido en el pasado. 04:51.840 --> 04:54.360 La segunda A es la autorización. 04:54.360 --> 04:57.000 La autorización se produce cuando se da acceso a 04:57.000 --> 05:00.990 un usuario a determinados datos o a determinadas zonas del edificio. 05:00.990 --> 05:03.120 ¿Alguna vez ha entrado en un edificio y ha visto 05:03.120 --> 05:06.570 un cartel que ponía acceso restringido, sólo personal autorizado? 05:06.570 --> 05:09.180 Bueno, eso significa que no puedes entrar en esa zona. 05:09.180 --> 05:11.100 Puede ser algo así como una sala de mantenimiento 05:11.100 --> 05:12.840 o algún lugar donde tengan generadores 05:12.840 --> 05:14.790 y sólo puedan entrar los mecánicos. 05:14.790 --> 05:16.650 Tienen llaves especiales o insignias especiales 05:16.650 --> 05:18.450 que les permiten entrar en esas zonas. 05:18.450 --> 05:21.900 Esa zona es un lugar al que no estás autorizado a ir. 05:21.900 --> 05:25.170 Kerberos se centra en la autenticación y la autorización. 05:25.170 --> 05:27.570 Esto se realiza a través de nuestro sistema de tickets 05:27.570 --> 05:29.280 Kerberos en un dominio Windows. 05:29.280 --> 05:31.860 Kerberos es un protocolo de autenticación que permite 05:31.860 --> 05:34.350 la autenticación bidireccional o mutua. 05:34.350 --> 05:36.330 Cuando el usuario se conecta al dominio, 05:36.330 --> 05:38.400 primero se pone en contacto con el controlador 05:38.400 --> 05:42.120 de dominio, que actúa como centro de distribución de claves, o KDC. 05:42.120 --> 05:44.550 Este KDC tiene dos funciones básicas, la autenticación 05:44.550 --> 05:46.980 y la concesión de tickets. 05:46.980 --> 05:49.410 Por tanto, si el cliente se autentica correctamente, 05:49.410 --> 05:51.990 el centro de distribución de claves le emitirá un vale 05:51.990 --> 05:54.570 TGT, que se denomina Ticket Granting Ticket. 05:54.570 --> 05:56.520 Este Ticket Granting Ticket se proporciona entonces 05:56.520 --> 05:58.740 al controlador de dominio cada vez que ese usuario quiere 05:58.740 --> 06:00.060 acceder a un recurso, y entonces 06:00.060 --> 06:02.460 el controlador de dominio puede proporcionar a ese usuario 06:02.460 --> 06:04.920 un ticket de servicio o una clave de sesión para usar, lo que 06:04.920 --> 06:07.260 sea apropiado para sus necesidades. 06:07.260 --> 06:09.150 Estos tickets se presentan al recurso, y entonces 06:09.150 --> 06:10.680 se concede el acceso porque el recurso 06:10.680 --> 06:12.180 siempre confía en los tickets proporcionados 06:12.180 --> 06:14.580 por los controladores de dominio. 06:14.580 --> 06:16.860 Ahora, debido a que Kerberos depende del controlador 06:16.860 --> 06:19.080 de dominio para servir como ese centro de distribución 06:19.080 --> 06:21.840 de claves, este es un único punto de fallo en el dominio. 06:21.840 --> 06:23.550 Si el controlador de dominio está fuera de servicio, 06:23.550 --> 06:26.190 los servicios de concesión de tickets también están fuera de servicio. 06:26.190 --> 06:28.350 Para evitarlo, la mayoría de la gente tiene 06:28.350 --> 06:31.530 un controlador de dominio activo principal y otro secundario. 06:31.530 --> 06:33.330 Eso te dará esta forma de redundancia 06:33.330 --> 06:36.900 para asegurarte de que Kerberos está activo y LDAP sigue funcionando. 06:36.900 --> 06:38.790 La tercera A es la contabilidad. 06:38.790 --> 06:40.980 La contabilidad garantiza el seguimiento 06:40.980 --> 06:44.220 de los datos, el uso de ordenadores y los recursos de red. 06:44.220 --> 06:46.170 Ahora, cuando hacemos eso, por lo general se 06:46.170 --> 06:48.150 pone en algo llamado un archivo de registro. 06:48.150 --> 06:49.680 Se trata de un archivo en un ordenador 06:49.680 --> 06:51.930 que es esencialmente un documento de texto de gran 06:51.930 --> 06:54.450 tamaño, y mantiene un registro de todo tipo de cosas. 06:54.450 --> 06:56.340 Puede tratarse de todas las conexiones a 06:56.340 --> 06:58.980 Internet que están saliendo de la red, como se muestra aquí 06:58.980 --> 07:01.140 en la pantalla, o puede ser una lista de todas las 07:01.140 --> 07:04.680 personas que intentaron entrar en un archivo o sitio web en particular. 07:04.680 --> 07:07.320 En el ordenador se guardan todo tipo de registros diferentes 07:07.320 --> 07:09.180 para hacer un seguimiento de todas las 07:09.180 --> 07:11.100 cosas que se hacen, y todo ello para garantizar 07:11.100 --> 07:14.250 que se utilizan buenas prácticas contables, ya que si se produce 07:14.250 --> 07:16.170 una violación de datos o algún tipo de amenaza 07:16.170 --> 07:18.270 interna, se puede volver atrás y consultar 07:18.270 --> 07:21.090 los datos de los archivos de registro para averiguar quién 07:21.090 --> 07:23.880 hizo qué y cuándo. 07:23.880 --> 07:26.310 Eso es lo que te permite hacer la contabilidad. 07:26.310 --> 07:29.130 Ahora bien, si tienes pruebas de que alguien hizo 07:29.130 --> 07:32.850 algo, de que realizó una acción, a esto lo llamamos no repudio. 07:32.850 --> 07:35.790 El no repudio simplemente significa que el usuario no puede decir 07:35.790 --> 07:39.060 que no realizó la acción porque usted tiene pruebas de que sí lo hizo. 07:39.060 --> 07:41.160 Por ejemplo, si me enviaste un correo electrónico 07:41.160 --> 07:43.200 y lo firmaste con una firma digital, eres 07:43.200 --> 07:45.360 la única persona en todo el mundo que tiene 07:45.360 --> 07:47.910 esa clave privada de firma digital. 07:47.910 --> 07:50.400 Sé con certeza que enviaste ese correo electrónico. 07:50.400 --> 07:52.350 No puedes decirme después que no lo enviaste 07:52.350 --> 07:54.060 porque ahora tengo pruebas. 07:54.060 --> 07:55.593 Eso es no repudio.