HCIP Seguridad H12 723 Tecnología de Autenticación de Usuarios IX Portal de Autenticación

Última respuesta en. 14, 2020 12:57:08 28 1 0 0

Buenas noches a todos. Continuando con el tema, esta publicacion es la parte 9 de 12, e iniciamos con el subtema Portal de Autenticación.
En los siguientes enlaces podras consultar informacion referente a los otros 8 subtemas:


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios/thread/593566-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-ii/thread/593818-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iii/thread/593990-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iv/thread/594002-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-v/thread/594264-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-vi-tecnología-sacg/thread/594696-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-vii-tecnología-sacg/thread/594702-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-viii-tecnología-sacg/thread/595236-100233



TECNOLOGÍA DE AUTENTICACIÓN DE USUARIOS IX—Autenticación por Portal

Principios de Autenticación por Portal

 

Introducción a la Autenticación por Portal

·        La autenticación por portal también se llama autenticación web. Generalmente, los portales de autenticación vía web son llamados simplemente portales de sitios WEB. Antes de que un usuario pueda acceder a internet, le usuario debe ser autenticado por el portal, esto es, solo los usuarios autenticados pueden acceder a los recursos de la red

INTRODUCCION


·        Un usuario puede acceder a un portal de autenticación conocido e ingresar su nombre de usuario y su contraseña. Este modo se llama autenticación activa. Si un usuario intenta acceder a otras redes externas a través de HTTP, el dispositivo re direcciona de manera forzada al usuario al portal de autenticación. Este modo de autenticación se llama autenticación forzada.

·        El sistema del portal de autenticación consiste en las siguientes partes:

§  Cliente: tiene un buscador ejecutando http

 

§  Dispositivo de Acceso: incluye switches y routers, provee las siguientes funciones

Ø Antes de la autenticación, re direcciona todas las peticiones http de los usuarios en las subredes de autenticación hacia el servidor del portal

Ø Durante la autenticación, se interactúa con el servidor del portal y el servidor RADIUS para implementar AAA

 

·        Servidor del Portal: recibe las peticiones de autenticación de los clientes, provee servicios libres del portal y páginas de autenticación, e intercambia información de autenticación del cliente con el dispositivo de acceso. Las funciones del servidor del Portal están integradas en la Service Controller de la Agile Controller-Campus.

 

·        Servidor RADIUS: interactúa con el dispositivo de acceso para implementar el servicio de AAA en los usuarios. Las funciones del servidor RADIUS están integradas en la Service Controller de la Agile Controller-Campus.

 

·        Servidor de Autenticación: si los usuarios finales usan Web Agent o AnyOffice para iniciar la autenticación por portal, los usuarios se conectan al servidor de autenticación para ser autenticados. Después de que los usuarios finales pasan la autenticación, el servidor envía una petición de autenticación vía portal hacia el servidor donde se aloja el portal de autenticación. Si los usuarios usan un buscador web para iniciar la autenticación por el portal, el servidor de autenticación no se ve involucrado.

 

 

Escenario del Portal de Autenticación

·        Escenario de aplicación del portal de autenticación.

§  El portal de autenticación no necesita software cliente y es fácil de implementar. De usa ampliamente en redes campus.

§  Si los usuarios implementan la administración de los componentes de seguridad, el software cliente necesita ser instalado. En este caso, se puede usar la autenticación cliente-portal.

ESCENARIO


Modo de Autenticación por Portal

MODO


·        Autenticación de capa 2: el cliente y el dispositivo de acceso están directamente conectados (o solo hay dispositivos de capa 2 entre ellos). El dispositivo puede aprender las direccionas MAC e identificar a los usuarios basándose en sus direcciones MAC e IP. En una red con esta configuración, se necesita usar la autenticación por capa 2.

§  La autenticación por capa 2 es simple y altamente segura. Se cualquier modo, se requiere que los usuarios residen en el mismo segmento de red como un dispositivo de acceso, el cual hace la intercomunicación inflexible.

 

·        Autenticación de Capa3: si el dispositivo está implementado en la capa de agregación o en la capa core, existen dispositivos de capa 3 entre el dispositivo de autenticación y el cliente. El dispositivo podría no obtener la dirección MAC de los clientes a autenticar y por consiguiente solo usan la dirección IP para identificar usuarios. En una red con esta configuración, se utiliza la autenticación de capa 3.

 

§  El proceso de autenticación de capa 3 es el mismo que el que se emplea en la capa 2. Le estructura de la autenticación de capa 3 es flexible, facilitando el control remoto. De cualquier modo, los usuarios solo pueden ser identificados usando su dirección IP, lo que conlleva a una seguridad pobre

 

 

Ingreso de Usuarios a través del Portal de Autenticación

INGRESO DE USUARIOS


·        El proceso en el cual los usuarios entran a modo en línea a través del portal de autenticación es el siguiente:

1.   El cliente inicia una petición de conexión a través de HTTP

 

2.   El dispositivo de acceso permite que los paquetes HTTP accedan al portal del servidor o a los recursos pre configurados de la red en un esquema de autenticación libre para que estos puedan ingresar. El dispositivo de acceso re direcciona los paquetes HTTP para acceder a otras direcciones hacia la página del portal de autenticación.

 

3.   El usuario ingresa sus credenciales en la página del portal de autenticación e inicia una petición de autenticación en el servidor del portal.

 

4.   El servidor del portal intercambia información con el dispositivo de acceso e implementa la autenticación CHAP. el servidor del portal envía a un paquete de petición de desafío (challenge/REQ_CHALLENGE) hacia el dispositivo de acceso. si se usa el protocolo PAP, el servidor del portal ejecuta directamente el paso 6 sin intercambiar información con el dispositivo de acceso.


5.   El dispositivo de acceso envía un paquete de respuesta (ACK_CHALLENGE) al paquete de petición de desafío hacia el servidor del portal.

 

6.   El servidor del portal encapsula las credenciales en un paquete de petición de autenticación (REQ_AUTH) y envía el paquete hacia el dispositivo de acceso

 

7.   El dispositivo de acceso envía un paquete de petición de autenticación (ACCESS-REQUEST) hacia el servidor RADIUS basado en las credenciales obtenidas. La contraseña está encriptada usando una llave compartida.

 

8.   El servidor RADIUS autentica el nombre de usuario y la contraseña. Se la autenticación es exitosa, el servidor RADIUS envía una paquete de autenticación aceptada (ACCESS-ACCEPT) hacia el cliente RADIUS. Si la autenticación falla, el servidor RDIUS envía un paquete de autenticación rechazada (ACCESS-REJECT) hacia el cliente RADIUS. El protocolo RADIUS integra la autenticación y la autorización. Por consiguiente, un paquete RADIUS ACCESS-ACCEPT también contiene información de autorización.

 

9.   El dispositivo de acceso permite o rechaza el acceso a los usuarios de acuerdo al resultado de la autenticación. Si se permite el acceso, el dispositivo de acceso envía un paquete de solicitud de inicio de contabilidad (ACCOUNTING-REQUEST) hacia el servidor RADIUS.

 

10.              El servidor RADIUS envía un paquete de inicio de contabilidad (ACCOUNTING-RESPONSE), inicia la contabilidad y agrega al usuario a la lista local de usuarios en línea. si se habilita  MAC address-priorized Portal Authentication, el servidor RADIUS también agrega la dirección MAC de la terminal hacia el caché del servidor y a la base de datos.

 

11.              El dispositivo de acceso envía un paquete del resultado del portal de autenticación (ACK_AUTH) hacia el servidor del portal y agrega al usuario a la lista local de usuarios en línea.

 

12.              El servidor del portal envía el resultado de la autenticación hacia el cliente para informarle que la autenticación ha sido exitosa y agrega al usuario a la lista local de usuarios en línea.

 

13.              El servidor del portal envía una un paquete de respuesta a la autenticación (AFF_ACK_AUTH) hacia el dispositivo de acceso.

 

Usuarios Saliendo de la Sesión de Manera Activa a Través del Portal de Autenticación

LOGOUT


1.   Un cliente envía una petición de des registro de autenticación.

 

2.   El servidor del portal encía un paquete de notificación de cierre de sesión (REQ_LOGOUT) hacia el dispositivo de acceso.

 

3.   El dispositivo de acceso envía un paquete de solicitud de petición para detener la contabilidad (ACCOUNTING-REQUEST) hacia el servidor RADIUS y elimina al usuario de la lista de usuarios en línea. Adicionalmente, el dispositivo de acceso envía una respuesta al paquete de cierre de sesión (ACK_LOGOUT) hacia el servidor del portal.


4.   El servidor RADIUS envía una respuesta a la petición para detener la contabilidad (ACCOUNTING-RESPONSE) y elimina al usuario de la lista de usuarios en línea.


NOTAS:

Si la habilita  MAC address-priorized Portal Authentication está habilitada, el des registro activo de la autenticación cierra solo la sesión actual. El servidor RADIUS no elimina la dirección MAC de la terminal de la caché del servidor y de la base de datos, y la MAC address-priorized Portal Authentication ES AÚN EFECTIVA.


Si el dispositivo de acceso no recibe un paquete de respuesta para detener la contabilidad que provenga del servidor RADIUS dentro de un periodo especifico (5 segundos por defecto), reenvía nuevamente el paquete para solicitando detener la contabilidad. Si el dispositivo de acceso no recibe un paquete de respuesta  al petición después de tres (valor por defecto) intentos, el dispositivo de acceso considera que el servidor RADIUS no responde.

§  El servidor del portal elimina al usuario de la lista de usuarios en línea y cierra la sesión.



Terminamos aqui con la parte 9 del subtema general, y la pruemra patrte del portal de autenticacion. No olvides visitar los otros temas de seguridad, dejar tus comentarios y dar clic en ♥

  • x
  • convención:

JTX
Publicado 2020-1-14 12:57:08 Útil(0) Útil(0)
Gracias por la info.
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión