Autenticación del sistema
El protocolo PPP define dos tipos de autenticación que los sistemas similares pueden utilizar para
identificarse mutuamente:
La autenticación de sistema local especifica el protocolo de autenticación y el nombre de usuario y la
contraseña asociados a un perfil de conexión PPP. Cuando se establece una conexión con el sistema
remoto y este solicita la autenticación, para la petición de identificación pertinente se utiliza el nombre de
usuario, la contraseña y el protocolo especificados para la autenticación del sistema local.
La autenticación del sistema remoto especifica el protocolo de autenticación y la lista de validación que
deben usarse para autenticar los nombres de usuarios remotos y las contraseñas asociados a un perfil de
conexión PPP.
Las opciones para la autenticación del sistema son:
v El protocolo de autenticación de reconocimiento de identificación (CHAP)
v El protocolo de autenticación de contraseñas (PAP)
v El protocolo de autenticación extensible (EAP)
v Métodos de validación de sistema remoto
– RADIUS (Remote Authentication Dial In User Service)
– Lista de validación
CHAP
El protocolo de autenticación de reconocimiento de identificación (CHAP) emplea un algoritmo
(MD-5) para calcular un valor que solo conocen el sistema que autentica y el dispositivo remoto. Con
CHAP, el ID de usuario y la contraseña siempre están cifrados, lo que lo convierte en un protocolo más
seguro que PAP. Este protocolo es eficaz contra los intentos de acceder mediante técnicas de
reproducción o de ensayo y error. La autenticación CHAP puede realizar más de una petición de
identificación durante una misma conexión.
El sistema que autentica envía una petición de identificación al dispositivo remoto que intenta conectarse
a la red. El dispositivo remoto responde enviando un valor calculado mediante un algoritmo (MD-5) que
conocen ambos dispositivos. El sistema que autentica compara la respuesta con la que ha calculado él.
Se reconoce la autenticidad si los valores coinciden; en caso contrario, se finaliza la conexión.
PAP
El protocolo de autenticación de contraseñas (PAP) utiliza un reconocimiento de dos vías que ofrece
al sistema similar un método simple de establecer su identidad. El reconocimiento se realiza al establecer
un enlace. Después de establecer el enlace, el dispositivo remoto envía el ID de usuario y la contraseña
al sistema que autentica. En función de si los valores son correctos o no, el sistema que autentica
continúa o finaliza la conexión.
Para la autenticación por PAP, hay que enviar el nombre de usuario y la contraseña al sistema remoto en
forma de texto sin cifrar. Con PAP, el ID de usuario y la contraseña nunca se cifran, lo que permite
capturarlos si se rastrean y los hace vulnerables al ataque de piratas informáticos. Por esta razón,
conviene utilizar el protocolo CHAP siempre que sea posible.
EAP
El protocolo de autenticación extensible (EAP) permite a los módulos de autenticación de terceros
interaccionar con la implementación de PPP. EAP amplía PPP proporcionando un mecanismo de soporte
estándar para esquemas de autenticación como las tarjetas testigo (inteligentes), Kerberos, clave pública
y S/Key. EAP surge como respuesta a la demanda incesante de incrementar la autenticación RAS con
20
iSeries: Servicios de acceso remoto: conexiones PPP