La red basada en identidad ( IDN ) es el proceso de aplicar controles de red al acceso a un dispositivo de red en función de la identidad de un individuo o un grupo de individuos responsables u operadores del dispositivo. [1] Se identifica a los individuos y la red se ajusta para responder a su presencia según el contexto.
El modelo OSI proporciona un método para enviar tráfico de red , no solo al sistema sino también a la aplicación que solicitó o está escuchando los datos. Estas aplicaciones pueden funcionar como un proceso de usuario-demonio basado en el sistema o como una aplicación de usuario, como un navegador web .
La seguridad de Internet se basa en la idea de que la capacidad de solicitar o responder a solicitudes debe estar sujeta a cierto grado de autenticación , validación , autorización y aplicación de políticas . Las redes basadas en identidades intentan resolver las políticas basadas en usuarios y sistemas en un único paradigma de gestión .
Dado que Internet comprende una amplia gama de dispositivos y aplicaciones, también existen muchos límites y, por lo tanto, ideas sobre cómo resolver la conectividad con los usuarios dentro de esos límites. Un esfuerzo por superponer el sistema con un marco de identidad debe decidir primero qué es una identidad, determinarla y, solo entonces, utilizar los controles existentes para decidir qué se pretende con esta nueva información.
Una identidad digital representa la conexión entre lo real y alguna proyección de una identidad; y puede incorporar referencias a dispositivos, así como a recursos y políticas .
En algunos sistemas, las políticas establecen los derechos que una identidad puede reclamar en cualquier momento y espacio determinados. Por ejemplo, una persona puede tener derecho a ciertos privilegios mientras trabaja en su lugar de trabajo que pueden negársele si trabaja en su casa fuera del horario laboral .
Antes de que un usuario acceda a la red, suele haber algún tipo de autenticación de la máquina que probablemente verifique y configure el sistema para un nivel básico de acceso. A menos que se asigne un usuario a una dirección MAC antes o durante este proceso (802.1x), no es sencillo que los usuarios se autentiquen en este punto. Es más habitual que un usuario intente autenticarse una vez que se inician los procesos del sistema (daemons), y esto puede requerir que ya se haya realizado la configuración de la red.
De ello se desprende que, en principio, la identidad de red de un dispositivo debería establecerse antes de permitir la conectividad de red, por ejemplo, utilizando certificados digitales en lugar de direcciones de hardware que son fáciles de falsificar como identificadores de dispositivo. Además, un modelo de identidad coherente tiene que tener en cuenta los dispositivos de red típicos, como enrutadores y conmutadores, que no pueden depender de la identidad del usuario, ya que no hay ningún usuario distintivo asociado con el dispositivo. Sin embargo, si no se dispone de esta capacidad en la práctica, no se puede afirmar una identidad sólida a nivel de red.
La primera tarea que se debe realizar cuando se buscan aplicar controles de red basados en identidades comprende algún tipo de autenticación, si no a nivel de dispositivo, al menos en niveles superiores de la pila. Dado que la primera pieza de infraestructura que se coloca en una red suele ser un sistema operativo de red (NOS), a menudo habrá una autoridad de identidad que controle los recursos que contiene el NOS (normalmente impresoras y recursos compartidos de archivos). También habrá procedimientos para autenticar a los usuarios en él. Incorporar algún tipo de inicio de sesión único significa que el flujo de efectos hacia otros controles puede ser perfecto.
Es posible hacer que muchas capacidades de red dependan de tecnologías de autenticación para el suministro de una política de control de acceso.
Por ejemplo, el filtrado de paquetes ( firewalls) , el software de control de contenido , los sistemas de gestión de cuotas y los sistemas de calidad de servicio (QoS) son buenos ejemplos de casos en los que los controles pueden depender de la autenticación.
{{cite web}}: CS1 maint: multiple names: authors list (link)