1. RADIUS (Remote Authentication Dial-In User Service)
Es un protocolo destinado a la gestión de Acceso a la Red. Es el estándar de facto para entornos donde los usuarios se conectan desde el exterior o a través de redes inalámbricas.
- Modelo Cliente/Servidor:
- Cliente (NAS – Network Access Server): Es el dispositivo que recibe la conexión del usuario (un router, un punto de acceso Wi-Fi o un servidor VPN).
- Servidor RADIUS: Es el que tiene la base de datos (o consulta a un LDAP) para decidir si deja pasar al usuario.
- Protocolo de Transporte: Utiliza UDP (normalmente puertos 1812 para autenticación y 1813 para contabilidad/accounting).
- Triple A (AAA): RADIUS es el ejemplo perfecto de un sistema AAA:
- Authentication: ¿Quién eres? (Password).
- Authorization: ¿A qué red puedes entrar? (VLAN, filtros IP).
- Accounting: ¿Cuánto tiempo has estado conectado? (Estadísticas para auditoría).
- Seguridad: Solo cifra la contraseña en el paquete de solicitud; el resto del paquete viaja en claro. Para solventar esto, hoy se usa Diameter (su sucesor) o RADIUS sobre TLS.
2. KERBEROS
Kerberos es un protocolo de autenticación de redes de confianza mutua. Es el corazón del Active Directory de Microsoft. Su nombre viene del perro de tres cabezas de la mitología griega, porque tiene tres partes fundamentales.
- El concepto de «Tickets»: Kerberos no envía contraseñas por la red. En su lugar, utiliza «tickets» cifrados que demuestran la identidad del usuario ante los servicios.
Las tres cabezas (Componentes): Todo reside en el KDC (Key Distribution Center):
- AS (Authentication Service): Te identifica al principio del día.
- TGS (Ticket Granting Service): Te da tickets para servicios específicos (impresoras, archivos).
- Base de Datos: Donde están las claves de todos.
- El flujo (Simplificado para examen):
- Pides permiso al AS y recibes un TGT (Ticket Granting Ticket).
- Con ese TGT, pides al TGS un ticket para un servidor de archivos.
- Le presentas el ticket al servidor de archivos y este te deja entrar sin que hayas tenido que reintroducir tu contraseña (Single Sign-On).
- Requisito Crítico: Los relojes de todos los equipos deben estar sincronizados (margen típico de 5 minutos). Si no, los tickets se consideran inválidos (para evitar ataques de denegación por reenvío).
| Característica | RADIUS | KERBEROS |
| Uso principal | Acceso a red (Wi-Fi, VPN, Dial-up) | Acceso a recursos de dominio (SSO) |
| Transporte | UDP (1812/1813) | TCP/UDP (Puerto 88) |
| Confidencialidad | Solo cifra la contraseña | Cifra todo el intercambio |
| Punto fuerte | Gestión de sesiones (Accounting) | No viaja la contraseña por la red |
| Implementación | FreeRADIUS, Cisco ISE | Microsoft Active Directory, MIT Kerberos |
