Introducción

El Protocolo de servicio de usuario de acceso telefónico de autenticación remota

(RADIUS) fue desarrollado por Livingston Enterprises, Inc., como un protocolo de
autenticación del servidor de acceso y de contabilidad.
Prerrequisitos
Requisitos
No hay requisitos previos específicos para este documento.
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y
de hardware.
Convenciones
Para obtener más información sobre las convenciones del documento, consulte
Convenciones de Consejos Técnicos de Cisco.
Antecedentes
La comunicación entre un servidor de acceso de red (NAS) y el servidor RADIUS se
basa en el protocolo de datagrama de usuario (UPD). Generalmente, el protocolo
RADIUS se considera un Servicio sin conexión. Los problemas relacionados con la
disponibilidad de los servidores, la retransmisión y los tiempos de espera son tratados
por los dispositivos activados por RADIUS en lugar del protocolo de transmisión.
El RADIUS es un protocolo cliente/servidor. El cliente RADIUS es típicamente un
NAS y el servidor de RADIUS es generalmente un proceso de daemon que se ejecuta en
UNIX o una máquina del Windows NT. El cliente pasa la información del usuario a los
servidores RADIUS designados y a los actos en la respuesta se vuelve que. Los
servidores de RADIUS reciben las peticiones de conexión del usuario, autentican al
usuario, y después devuelven la información de la configuración necesaria para que el
cliente entregue el servicio al usuario. Un servidor RADIUS puede funcionar como
cliente proxy para otros servidores RADIUS u otro tipo de servidores de autenticación.

Esta figura muestra la interacción entre un usuario de marcación de entrada y el servidor

y cliente RADIUS.
 1. El usuario inicia la autenticación PPP al NAS.

2. NAS le pedirá que ingrese el nombre de usuario y la contraseña (en caso de

Protocolo de autenticación de contraseña [PAP]) o la integración (en caso de
Protocolo de confirmación de aceptación de la contraseña [CHAP]).

3. Contestaciones del usuario.

4. El cliente RADIUS envía el nombre de usuario y la contraseña encriptada al

servidor de RADIUS.

5. El servidor RADIUS responde con Aceptar, Rechazar o Impugnar.

6. El cliente RADIUS actúa dependiendo de los servicios y de los parámetros de

servicios agrupados con Aceptar o Rechazar.

Autenticación y autorización
El servidor RADIUS puede soportar varios métodos para autenticar un usuario. Cuando
se proporciona el nombre de usuario y la contraseña original dados por el usuario, puede
soportar el login PPP, PAP o de la GRIETA, de UNIX, y otros mecanismos de
autenticación.
Comúnmente, el ingreso de un usuario al sistema consiste en un pedido (Solicitud de
acceso) desde el NAS hacia el servidor RADIUS y de una correspondiente respuesta
(Aceptación de acceso o Rechazo de acceso) desde el servidor. El paquete access-
request contiene el nombre de usuario, la contraseña encriptada, la dirección IP NAS, y
el puerto. El Early Deployment del RADIUS fue hecho usando el número del puerto
1645 UDP, que está en conflicto con el servicio del “datametrics”. Debido a este
conflicto, el RFC 2865 asignó oficialmente el número del puerto 1812 para el RADIUS.
La mayoría de los dispositivos de Cisco y de las aplicaciones ofrecen el soporte para
cualquier números del conjunto de puertos. El formato del pedido proporciona
asimismo información sobre el tipo de sesión que el usuario desea iniciar. Por ejemplo,
si la interrogación se presenta en el modo de carácter, la inferencia es “tipo de servicio =
EXEC-usuario,” pero si la petición se presenta en el PPP en modo de paquete, la
inferencia es “tipo de servicio = Usuario entramado” y el “tipo de Framed =PPP.”

Cuando el servidor de RADIUS recibe el pedido de acceso del NAS, busca una base de
datos para el nombre de usuario enumerado. Si el nombre de usuario no existe en la
base de datos, se carga un perfil predeterminado o el servidor RADIUS inmediatamente
envía un mensaje Access-Reject (acceso denegado). Este mensaje de acceso rechazado
puede estar acompañado de un mensaje de texto que indique el motivo del rechazo.

En RADIUS, la autenticación y la autorización están unidas. Si se encuentra el nombre

de usuario y la contraseña es correcta, el servidor RADIUS devuelve una respuesta de
Acceso-Aceptar e incluye una lista de pares de atributo-valor que describe los
parámetros que deben usarse en esta sesión. Los parámetros comunes incluyen el tipo de
servicio (shell o entramado), el tipo de protocolo, la dirección IP para asignar el usuario
(estática o dinámica), la lista de acceso a aplicar o una ruta estática para instalar en la
tabla de ruteo de NAS. La información de configuración en el servidor RADIUS define
qué se instalará en el NAS. La siguiente figura ilustra la secuencia de autenticación y
autorización de RADIUS.

Contabilidad
La funciones de contabilidad del protocolo RADIUS pueden emplearse
independientemente de la autenticación o autorización de RADIUS. Las funciones de
contabilidad de RADIUS permiten que los datos sean enviados al inicio y al final de las
sesiones, indicando la cantidad de recursos (por ejemplo, tiempo, paquetes, bytes y
otros) utilizados durante la sesión. Un Proveedor de servicios de Internet (ISP) puede
usar RADIUS para el control de acceso y un software de contabilidad para satisfacer
necesidades especiales de seguridad y facturación. El puerto de contabilidad para el
RADIUS para la mayoría de los dispositivos de Cisco es 1646, pero puede también ser
1813.

Las transacciones entre el cliente y el servidor RADIUS son autenticadas mediante el

uso de un secreto compartido, que nunca se envía por la red. Además, las contraseñas
del usuario se envían cifradas entre el cliente y el servidor de RADIUS para eliminar la
posibilidad que alguien snooping en una red insegura podría determinar una contraseña
de usuario.
https://www.cisco.com/c/es_mx/support/docs/security-vpn/remote-authentication-dial-
user-service-radius/12433-32.html
 Introducción a syslog

Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos
de confianza para notificar mensajes detallados del sistema al administrador. Estos
mensajes pueden ser importantes o no.

Los administradores de red tienen una variedad de opciones para almacenar, interpretar
y mostrar estos mensajes, así como para recibir esos mensajes que podrían tener el
mayor impacto en la infraestructura de la red.

El método más común para acceder a los mensajes del sistema que proporcionan los
dispositivos de red es utilizar un protocolo denominado “syslog“.

Imagen 1: Introducción a syslog

Syslog usa el puerto UDP 514 para enviar mensajes de notificación de eventos a través
de redes IP a recopiladores de mensajes de eventos.
El término “syslog” se utiliza para describir un estándar. También se utiliza para
describir el protocolo desarrollado para ese estándar. El protocolo syslog se desarrolló
para los sistemas UNIX en la década de los ochenta, pero la IETF lo registró por
primera vez como RFC 3164 en 2001.

Muchos dispositivos de red admiten syslog, incluidos routers, switches, servidores de

aplicación, firewalls y otros dispositivos de red. El protocolo syslog permite que los
dispositivos de red envíen los mensajes del sistema a servidores de syslog a través de la
red. Es posible armar una red especial fuera de banda (OOB) para este propósito.

Existen varios paquetes de software diferentes de servidores de syslog para Windows y

UNIX. Muchos de ellos son freeware.

El servicio de registro de syslog proporciona tres funciones principales:

● La capacidad de recopilar información de registro para el control y la resolución de

problemas
● Capacidad de seleccionar el tipo de información de registro que se captura
● La capacidad de especificar los destinos de los mensajes de syslog capturados
2. Funcionamiento de syslog

En los dispositivos de red Cisco, el protocolo syslog comienza enviando los mensajes
del sistema y el resultado del comando debug a un proceso de registro local interno del
dispositivo. La forma en que el proceso de registro administra estos mensajes y
resultados se basa en las configuraciones del dispositivo.

Por ejemplo, los mensajes de syslog se pueden enviar a través de la red a un servidor de
syslog externo. Estos mensajes se pueden recuperar sin necesidad de acceder al
dispositivo propiamente dicho. Los resultados y los mensajes de registro almacenados
en el servidor externo se pueden incluir en varios informes para facilitar la lectura.

Por otra parte, los mensajes de syslog se pueden enviar a un búfer interno. Los mensajes
enviados al búfer interno solo se pueden ver mediante la CLI del dispositivo.

Imagen 2: Opciones de destino de mensajes de syslog

Por último, el administrador de red puede especificar que solo se envíen determinados
tipos de mensajes del sistema a varios destinos. Por ejemplo, se puede configurar el
dispositivo para que reenvíe todos los mensajes del sistema a un servidor de syslog
externo. Sin embargo, los mensajes del nivel de depuración se reenvían al búfer interno,
y solo el administrador puede acceder a ellos desde la CLI.

Como se muestra en la ilustración, los destinos comunes para los mensajes de syslog
incluyen lo siguiente:

● Búfer de registro (RAM dentro de un router o switch)

● Línea de consola
● Línea de terminal
● Servidor de syslog

Es posible controlar los mensajes del sistema de manera remota viendo los registros en
un servidor de syslog o accediendo al dispositivo mediante Telnet, SSH o a través del
puerto de consola.
https://ccnadesdecero.es/syslog-funcionamiento-y-configuracion/

¿Qué es un SIEM?

SIEM o Gestión de Eventos e Información de Seguridad (Security Information and

Event Management) es una categoría de software que tiene como objetivo otorgar a las
organizaciones información útil sobre potenciales amenazas de seguridad de sus redes
críticas de negocio, a través de la estandarización de datos y priorización de amenazas.
Esto es posible mediante un análisis centralizado de datos de seguridad, obtenidos desde
múltiples sistemas, que incluyen aplicaciones antivirus, firewalls y soluciones de
prevención de intrusiones.
El software SIEM trabaja con inteligencia procesable para que usted pueda gestionar de
forma proactiva las potenciales vulnerabilidades, protegiendo a su empresa y a sus
clientes de devastadoras filtraciones de datos. Piénselo como un lente que agudiza su
visión sobre la situación general, para ayudarlo a enfocar los esfuerzos de su equipo
hacia donde puedan tener mayor impacto.

Una breve historia sobre SIEM

Gartner acuñó el término “SIEM" en un reporte de 2005 titulado “Mejore la Seguridad
de IT con la Gestión de Vulnerabilidades”. El término reúne los conceptos de Gestión
de Eventos de Seguridad (SEM) con el de Gestión de Información de Seguridad (SIM),
para obtener lo mejor de ambos mundos. SEM cubre la monitorización y correlación de
eventos en tiempo real, al mismo tiempo que alerta la configuración y vistas de consola
relacionadas con esas actividades. Por su parte, SIM lleva estos datos a una siguiente
fase que incluye el almacenamiento, análisis y generación de reportes de los resultados.

¿Por qué es importante tener un SIEM?

No es un secreto que las amenazas de seguridad aumentan continuamente, y que pueden
provenir tanto de fuentes internas como externas. Una preocupación que crece es la
posibilidad de que, accidentalmente, los empleados configuren erróneamente los ajustes
de seguridad, dejando los datos vulnerables a un ataque. Para prevenir estos problemas,
las organizaciones de IT han incorporado varios sistemas para protegerse de intrusiones
y de una gran cantidad de amenazas diversas.

La desventaja de estos sistemas de protección es que generan tanta información para

monitorizar, que los equipos de IT se enfrentan al problema de tener que interpretarla en
su totalidad para poder reconocer los problemas reales. De hecho, el volumen de datos
de Seguridad que fluyen a los equipos de Seguridad de IT con poco personal, es más
que nada inútil, a menos que pueda ser rápidamente analizado y filtrado en alertas
procesables. Teniendo en cuenta la cantidad de datos que pueden llegar a ser, para las
organizaciones ya no es posible hacer este análisis en forma manual. Es aquí donde
aparece el software SIEM.
Con un SIEM, los profesionales de IT cuentan con un método efectivo para automatizar
sus procesos y centralizar la gestión de Seguridad de una forma que ayude a simplificar
la difícil tarea de proteger información sensible. Un SIEM proporciona a los expertos
una ventaja para comprender la diferencia entre una amenaza de bajo riesgo y una que
puede ser determinante para su negocio.

La estandarización de datos es fundamental

La posibilidad de contar con datos de Seguridad que fluyen en una vista centralizada de
su infraestructura es efectiva solo si esos datos pueden ser estandarizados. Esto significa
que, a pesar de las miles o millones de entradas provenientes de los distintos sistemas y
fuentes, todo puede ser colocado en un formato común, listo para que la solución SIEM
pueda ejecutar su análisis y correlación. Esto reduce la carga de trabajo de su equipo y
le permite aprovechar una vista optimizada de la actividad y las potenciales
preocupaciones.

Funcionalidades claves de una solución SIEM

Las soluciones SIEM disponibles comparten puntos en común que son importantes para
sus operaciones. Usted querrá contar con la capacidad de:

● Centralizar la vista de potenciales amenazas

● Determinar qué amenazas requieren resolución y cuáles son solamente ruido
● Escalar temas a los analistas de Seguridad apropiados, para que puedan tomar
una acción rápida
● Incluir el contexto de los eventos de Seguridad para permitir resoluciones bien
informadas
● Documentar, en un registro de auditoría, los eventos detectados y cómo fueron
resueltos
● Cumplir con las regulaciones de la industria en un formato de reporte sencillo

El rol de SIEM en el cumplimiento regulatorio

Los SIEM ganaron popularidad entre las grandes compañías que deben cumplir con PCI
DSS (el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago). Además,
dispone de aplicaciones muy útiles que ayudan al cumplimiento de normativas como la
Regulación General de Protección de Datos (GDPR), y Sarbanes-Oxley (SOX), entre
otras. Estas leyes obligan a las empresas a contar con mecanismos instalados que les
permitan detectar amenazas y resolverlas rápidamente. Esto significa que debe saber lo
que está sucediendo en un amplio espectro de su infraestructura de IT, ya sea en
entornos locales, en la nube, o híbridos.
Una solución SIEM es fundamental para obtener la información necesaria para
monitorizar datos y actuar rápidamente sobre las amenazas que están determinadas a ser
una causa de alarma. Cuando toda esta actividad está capturada en un registro de
auditoría detallado, los auditores pueden ver que su compañía está tomando los pasos
necesarios para proteger su datos.

Ejemplos de SIEM en acción

Un SIEM puede ser utilizado para detectar cualquier número de amenazas de Seguridad,
incluso la presencia de ransomware, accesos no autorizados a datos, intentos de log-in
fallidos que no coinciden con los problemas estándares de log-in, y picos inusuales en el
ancho de banda. Ya sea que estas amenazas provengan de fuentes internas o externas, el
software es capaz de enviar un alerta priorizada que notifique a su equipo del problema
potencial para que sea investigado de inmediato.
A medida que las amenazas de Seguridad evolucionan, las soluciones SIEM se
convierten en un componente crítico para proporcionar a las organizaciones un entorno
seguro para sus datos.

https://www.helpsystems.com/es/blog/que-es-un-siem