Seguridad PPP


PPP permite conexiones TCP-IP, IPX/SPX y NetBEUI sobre líneas serie (las cuales pueden estar conectadas a módems, por supuesto). Este es el método principal que utiliza la gente para conectarse a Internet (prácticamente todas las cuentas de dial-up son PPP). La esencia de una conexión PPP consiste en dos dispositivos informáticos (un ordenador, un Palm Pilot, un servidor de terminales, etc.) conectados sobre enlaces de serie (generalmente vía módems). Ambos extremos llaman al PPP, se negocia la autentificación (mediante uno de entre varios métodos), y se establece el enlace. PPP no tiene soporte real para cifrado, de modo que si se necesita un enlace seguro hay que invertir en algún tipo de software VPN.

La mayoría de los sistemas llaman a PPP de una forma bastante cutre, se hace un login al equipo (servidor de terminales, etc.) y luego se invoca al login shell del PPP. Por supuesto que esto significa que el nombre de usuario y contraseña se envían en texto claro sobre la línea, y que hay que tener una cuenta en ese tipo de equipo. En este caso el PPP no negocia la autentificación en absoluto. Un método algo más seguro de gestionarlo es utilizar PAP (Password Authentification Protocol, Protocolo de Autentificación de Contraseñas). Mediante PAP, la autentificación se hacer internamente mediante PPP, de modo que no se requiere una cuenta "real" en el servidor. Sin embargo el nombre de usuario y la contraseña se siguen enviando en texto claro, pero al menos el sistema es algo más seguro dada la inexistencia de cuentas de usuario "reales".

El tercer (y mejor) método para la autentificación es utilizar CHAP (Challenge Handshake Authentication Protocol, Protocolo de Autentificación Desafío-Respuesta). Ambas partes se intercambian llaves públicas y las utilizan para cifrar los datos que se envían durante la secuencia de autentificación. De modo que el nombre de usuario y la contraseña están relativamente a salvo de fisgones, y sin embargo las transmisiones de datos se hacen con normalidad. Una advertencia con CHAP: La implementación de Microsoft utiliza DES en lugar de MD5, lo cual lo hace fallar si se conecta con un cliente Linux. Sin embargo existen parches para arreglarlo. PPP viene con cada distribución de Linux como parte del núcleo del SO, el Linux PPP-HOWTO se encuentra disponible en http://www.interweft.com.au/other/ppp-howto/ppp-howto.html


Volver


Copyright © 1999, Kurt Seifried, José Antonio Revilla

Todos los derechos reservados.