Un protocolo de autentificacin (o autenticacin) es un tipo de protocolo criptogrfico que tiene el propsito de autentificar entidades que desean comunicarse de forma

segura. Los protocolos de autenticacin se negocian inmediatamente despus de determinar la calidad del vnculo y antes de negociar el nivel de red. Algunos protocolos de autentificacin son: * PAP: Protocolo de autentificacin de contrasea * CHAP: Protocolo de autentificacin por desafo mutuo * SPAP: Protocolo de autentificacin de contrasea de Shiva * MS-CHAP y MS-CHAP v2: Protocolo de autentificacin por desafo mutuo de Microsoft (variantes de CHAP) * EAP: Protocolo de autentificacin extensible * Diameter * Kerberos * NTLM (tambin conocido como NT LAN Manager) * PEAP:P rotocolo de autenticacin extensible protegido * RADIUS * TACACS y TACACS+ 1. Verificacin de la identidad de una persona, usuario o proceso, para as acceder a determinados recursos o poder realizar determinadas tareas. 2. Verificacin de identidad de cualquier mensaje.

Protocolo de autenticacin de contrasea (PAP) Protocolo de autenticacin de contrasea (PAP) El Protocolo de autenticacin de contrasea (PAP, Password Authentication Protocol) es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea se envan al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseas pueden leerse fcilmente en los paquetes del Protocolo punto a punto (PPP, Point-toPoint Protocol) intercambiados durante el proceso de autenticacin. PAP suele utilizarse nicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten mtodos de autenticacin ms seguros. Protocolo de autenticacin por desafo mutuo (CHAP) Protocolo de autenticacin por desafo mutuo (CHAP) El Protocolo de autenticacin por desafo mutuo (CHAP, Challenge Handshake Authentication Protocol) es un mtodo de autenticacin muy utilizado en el que se enva una representacin de la contrasea del usuario, no la propia contrasea. Con CHAP, el servidor de acceso remoto enva un desafo al cliente de acceso remoto. El cliente de acceso remoto utiliza un algoritmo hash (tambin denominado funcin hash) para calcular un resultado hash de Message Digest-5 (MD5) basado en el desafo y un resultado hash calculado con la contrasea del usuario. El cliente de acceso remoto enva el resultado hash MD5 al servidor de acceso remoto. El servidor de acceso remoto, que tambin tiene acceso al resultado hash de la contrasea del usuario, realiza el mismo clculo con el algoritmo hash y compara el resultado con el que envi el cliente. Si los resultados coinciden, las credenciales del cliente de acceso remoto se consideran autnticas. El algoritmo hash proporciona cifrado unidireccional, lo que significa que es sencillo calcular el resultado hash para un bloque de datos, pero resulta matemticamente imposible determinar el bloque de datos original a partir del resultado hash.

Protocolo de autenticacin de contrasea de Shiva (SPAP) Protocolo de autenticacin de contrasea de Shiva (SPAP) El Protocolo de autenticacin de contrasea de Shiva (SPAP, Shiva Password Authentication Protocol) es un protocolo de autenticacin simple de contrasea cifrada compatible con servidores de acceso remoto de Shiva. Con SPAP, el cliente de acceso remoto enva una contrasea cifrada al servidor de acceso remoto. SPAP utiliza un algoritmo de cifrado bidireccional. El servidor de acceso remoto descifra la contrasea y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto. MS-CHAP v2 Se aplica a: Windows Server 2008 El Protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP v2) es un proceso de autenticacin mutua unidireccional mediante contrasea cifrada que funciona de la siguiente manera: El autenticador (el servidor de acceso remoto o el servidor NPS) enva al cliente de acceso remoto un desafo que consiste en un identificador de sesin y una cadena de desafo arbitraria. El cliente de acceso remoto enva una respuesta que contiene: y y y El nombre de usuario Una cadena de desafo arbitraria del mismo nivel La cadena de desafo recibida, la cadena de desafo del mismo nivel, el identificador de sesin y la contrasea de usuario cifrados de forma unidireccional El autenticador comprueba la respuesta del cliente y enva otra respuesta que contiene: y y Una indicacin de si el intento de conexin ha sido correcto o incorrecto. Una respuesta autenticada basada en la cadena de desafo enviada, la cadena de desafo del mismo nivel, la respuesta cifrada del cliente y la contrasea de usuario. El cliente de acceso remoto comprueba la respuesta de autenticacin y, si es correcta, usa la conexin. Si la respuesta de autenticacin no es correcta, el cliente de acceso remoto termina la conexin. MS-CHAP MS-CHAP La familia Windows Server 2003 incluye compatibilidad con el Protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol), tambin conocido como MS-CHAP versin 1. MS-CHAP es un protocolo de autenticacin de contraseas de cifrado no reversible. El proceso de desafo mutuo funciona de la manera siguiente:

1. El autenticador (el servidor de acceso remoto o el servidor IAS) enva al cliente de acceso remoto un desafo formado por un identificador de sesin y una cadena de desafo arbitraria. 2. El cliente de acceso remoto enva una respuesta que contiene el nombre de usuario y un cifrado no reversible de la cadena de desafo, el identificador de sesin y la contrasea. 3. El autenticador comprueba la respuesta y, si es vlida, se autentican las credenciales del usuario. Si utiliza MS-CHAP como protocolo de autenticacin, puede utilizar el Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption) para cifrar los datos enviados por la conexin PPP o PPTP. Protocolo de autenticacin extensible (EAP) Protocolo de autenticacin extensible (EAP) El Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol) es una extensin del Protocolo punto a punto (PPP) que admite mtodos de autenticacin arbitrarios que utilizan intercambios de credenciales e informacin de longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda de mtodos de autenticacin que utilizan dispositivos de seguridad, como las tarjetas inteligentes, tarjetas de identificacin y calculadoras de cifrado. EAP proporciona una arquitectura estndar para aceptar mtodos de autenticacin adicionales junto con PPP. Mediante EAP, se pueden admitir esquemas de autenticacin adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificacin, contraseas de un solo uso, autenticacin por clave pblica mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnolgico crtico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques fsicos o de diccionario, y de investigacin de contraseas, que otros mtodos de autenticacin basados en contrasea, como CHAP o MS-CHAP. DIAMETER es un protocolo de red para la autenticacin de los usuarios que se conectan remotamente a Internet a travs de la conexin por lnea conmutada o TLC, tambin provee de servicios de autorizacin y auditora para aplicaciones tales como acceso de red o movilidad IP. El concepto bsico del protocolo DIAMETER, cuyo desarrollo se ha basado en el protocolo RADIUS, es de proporcionar un protocolo base que pueda ser extendido para proporcionar servicios de autenticacin, autorizacin y auditora, (denominados por los expertos por sus siglas AAA) a nuevas tecnologas de acceso. DIAMETER est diseado para trabajar tanto de una manera local como en un estado de alerta, sondeo y captura, que en ingls se le denomina roaming de AAA, que le permite ofrecer servicios sumamente mviles, dinmicos, flexibles y verstiles. Kerberos es un protocolo de autenticacin de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticacin mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticacin estn protegidos para evitar eavesdropping y ataques de Replay. Kerberos se basa en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen extensiones del protocolo para poder utilizar criptografa de clave asimtrica. La criptografa (del griego krypto, oculto, y graphos, escribir, literalmente escritura oculta) es la tcnica, bien sea aplicada al arte o la ciencia, que altera las representaciones lingsticas de un mensaje.

Eavesdropping, termino ingls que traducido al espaol significa escuchar secretamente, se ha utilizado tradicionalmente en mbitos relacionados con la seguridad, como escuchas telefnicas. Un ataque de REPLAY (comunmente llamados "ataques de reinyeccin") es una forma de ataque de red, en el cual una transmisin de datos vlida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la informacin y la retransmite, posiblemente como parte de un ataque enmascarado. RADIUS (acrnimo en ingls de Remote Authentication Dial-In User Server). Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones. Cuando se realiza la conexin con un ISP mediante mdem, DSL, cablemdem, Ethernet o Wi-Fi, se enva una informacin que generalmente es un nombre de usuario y una contrasea. Esta informacin se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la peticin a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de red como una direccin IP, y otros parmetros como L2TP, etc. Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propsitos estadsticos. RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red(NAS), ms tarde se public como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto. Las prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracin centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes).... RADIUS es extensible; la mayora de fabricantes de software y hardware RADIUS implementan sus propios dialectos. TACACS (acrnimo de Terminal Access Controller Access Control System , en ingls sistema de control de acceso mediante control del acceso desde terminales) es un protocolo de autenticacin remota, propietario de cisco, que se usa para comunicarse con un servidor de autenticacin comnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticacin para determinar si el usuario tiene acceso a la red. Unix (registrado oficialmente como UNIX) es un sistema operativo portable, multitarea y multiusuario; desarrollado, en principio, en 1969 por un grupo de empleados de los laboratorios Bell de AT&T, entre los que figuran Ken Thompson, Dennis Ritchie y Douglas McIlroy.

Autenticacin por tarjeta inteligente y otros certificados Autenticacin por tarjeta inteligente y otros certificados Si tiene un certificado de usuario instalado en el almacn de certificados del equipo o en una tarjeta inteligente, el Protocolo de autenticacin extensible (EAP) est habilitado y el tipo EAP (EAP-TLS) Tarjeta inteligente u otro certificado est seleccionado, puede utilizar autenticacin basada en certificados en un nico proceso de inicio de sesin en la red, lo que proporciona un almacenamiento resistente a intrusos para la informacin de autenticacin.

Un certificado es un conjunto de credenciales de autenticacin cifradas. El certificado incluye una firma digital de la entidad emisora de certificados que ha emitido el certificado. En el proceso de autenticacin mediante certificados de EAP-TLS, el equipo presenta su certificado de usuario al servidor de acceso remoto y el servidor presenta al equipo su certificado de equipo; por tanto, la autenticacin es mutua. Los certificados se autentican mediante una clave pblica que comprueba la firma digital incluida. La firma digital est contenida en un certificado de una emisora de certificados raz de confianza almacenado en el equipo. Estos certificados raz de confianza son la base de la comprobacin de certificados. En la familia Windows Server 2003 se proporcionan muchos certificados raz de confianza. Slo debe agregar o quitar certificados raz en los que se confa si se lo aconseja el administrador del sistema. Los certificados pueden residir en el almacn de certificados del equipo o en una tarjeta inteligente. Una tarjeta inteligente es un dispositivo del tamao de una tarjeta de crdito que se inserta en lector de tarjetas inteligentes, que puede estar instalado internamente en el equipo o conectado de forma externa. Si configura las opciones avanzadas de seguridad de una conexin, puede optar por utilizar una tarjeta inteligente u otro certificado, y puede especificar ciertos requisitos de los certificados. Por ejemplo, puede especificar que debe validarse el certificado de equipo del servidor, que el nombre del servidor debe terminar en un valor especfico y que el certificado de equipo del servidor debe ser emitido por una entidad emisora de certificados raz de confianza especfica.