3. Arquitectura AAA Cristian Morín
Pau Sabaté
1. Introducción ...................................................................................................................... 4
2. Objetivos ........................................................................................................................... 6
3. Arquitectura AAA .............................................................................................................. 7
3.1. Autentificación .............................................................................................................. 8
3.2. Autorización ................................................................................................................ 17
3.3. Accounting................................................................................................................... 19
3.4. Auditoria ...................................................................................................................... 20
3.5. ¿Qué es RADIUS?......................................................................................................... 21
3.6. ¿Qué Protocolos Usa? ................................................................................................. 23
3.6.1. Protocolos Radius .................................................................................................... 23
3.6.2. Protocolos de autentificación WIFI (EAP) ............................................................... 26
3.7. Arquitectura de red AAA ............................................................................................. 29
3.7.1. Configuración de la Red .......................................................................................... 32
3.7.1.1. Distribución Linux ................................................................................................ 33
3.7.1.2. Distribución Windows ......................................................................................... 41
3.7.1.3. Otros servicios ..................................................................................................... 62
3.8. Rivales (diferencias con TACACS+) .............................................................................. 67
4. Conclusiones.................................................................................................................... 69
5. Web grafía ....................................................................................................................... 70
6. Anexos ............................................................................................................................. 72
Página 3
4. Arquitectura AAA Cristian Morín
Pau Sabaté
1. Introducción
Somos estudiantes de segundo de Grado Superior de Telecomunicaciones e Informática,
venimos del Grado medio de ESI, estamos ya en el proyecto de fin de curso y para eso os
queremos demostrar nuestros conocimientos con este trabajo.
Generalmente gran parte de las materias que hemos estudiado forman parte del estudio de
redes, y por eso no centramos en analizar la seguridad en una red con una arquitectura
peculiar y con unos servidores que blindan la seguridad de esta red. La gran parte de los
conocimientos que hemos conseguido para crear este tipo de arquitectura han sido en las
clases de CISCO impartiendo el curso de CCNA, y por otra parte las clases de sistemas
(SIMOMU) que nos han enseñado los sistemas operativos tanto cómo clientes y servidores, y
en basados en diferentes arquitecturas Windows, Linux..
Por una parte en el Grado Medio de ESI adquirimos los conocimientos básicos de los
computadores y de las redes en sí cogiendo una pequeña base dónde no sabíamos en que
íbamos a seguir. Con esta base empezamos a entender cómo iba el mundo de las redes, y
cómo llegaban los misteriosos datos a nuestra pantalla del ordenador.
Por otra parte en el Grado Superior de STI a profundizamos nuestros conocimientos y ver
diferentes tipos de redes, protocolos y tipos de sistemas de telecomunicaciones que existen. Y
con esto decidimos hacer el proyecto de una arquitectura segura aprendiendo sobre el sistema
de seguridad Radius, desde cómo se implementa y sus protocolos, y su puesta en práctica en la
arquitectura.
La motivación que nos ha incitado a hacer este proyecto, ha sido que este durante estos cursos
hemos aprendido diferentes tipologías de red y queríamos aplicar un recurso en ella. Por esto,
hemos aplicado un recurso de seguridad en la que cumple el protocolo AAA.
En este proyecto simularemos una pequeña empresa en la que tiene diferentes tipos de
seguridad, una de ellas, basada principalmente en el servidor Radius. De hoy en día todas las
empresas cuentan con equipos informáticos dónde guardan gran cantidad de datos
confidenciales, por ello es importante la seguridad para guardar estos datos. Para que estos no
estén a la mano de cualquiera, los equipos informáticos están protegidos mediante una red
segura y libre de espías
Página 4
5. Arquitectura AAA Cristian Morín
Pau Sabaté
El proyecto que hemos ideado trata sobre la creación de una red interna empresarial, en
consecuencia haremos un estudio de los elementos necesarios para realizar dicha red como
protocolos, distintos tipos de servidores y el software necesario para el correcto
funcionamiento de nuestra topología de red en la cual los usuarios deberán identificarse para
ser autenticados mediante un servidor Radius, de esta manera los distintos usuarios con
diferente privilegios podrán acceder a las distintas áreas de la red interna y externa.
Hemos estructurado el proyecto de la siguiente forma:
Para comenzar explicaremos de forma teórica en qué consisten los protocolos AAA y
explicarlos uno a uno los términos y la seguridad que establece cada protocolo. Y cómo se basa
cada uno en respecto al servidor RADIUS
Por una parte explicaremos que es el servidor RADIUS, que protocolos usa, y uno de los más
importantes en RADIUS, el protocolo EAP con todos los sub-protocolos que existen.
Seguidamente hacemos una implementación práctica con dos tipologías y separadas por
distribuciones. Por una parte tenemos Linux y en que autentifica un servidor web apache y por
otra Windows 2003 server que autentifica un punto de acceso.
Finalmente explicaremos un servicio añadido llamado Wikid juntamente con RADIUS en que
blinda la comunicación entre el cliente y el servidor web apache la cual encripta la
comunicación en el caso que hubiera algún espia en la red.
Página 5
6. Arquitectura AAA Cristian Morín
Pau Sabaté
2. Objetivos
Mínimos:
En los objetivos mínimos que nos hemos planteado para este proyecto, es crear una red que
cumpla los requisitos AAA (Autentificación, Autorización, Accounting) y distinguir por partes
cada uno de los protocolos i como se implementan. Una red que consista en autentificar un
servidor web por una parte, y que los usuarios requieran de usuario y contraseña para entrar.
Por otra parte crear un punto de acceso dónde los usuarios serán administrados por el Active
directory.
Aprender teórica y prácticamente como funciona especialmente el servidor de seguridad
RADIUS y diferenciar las partes AAA.
Máximos
En los objetivos máximos creemos que lo ideal sería completar la red creando una arquitectura
con autenticación para aplicaciones de acceso a recursos, de un modo que sea aplicable a una
empresa. Con diferentes servicios que se adapten al personal de la empresa o los clientes de
ella misma. De un principio tenemos pensado crear un servidor Radius, en el que autentifique
los pc’s de la red y este, ampliarlo con diferentes recursos y seguridad. Como un mas a más
añadir servidores cómo un servidor de Dominio, web, DHCP, DNS, y con estos implementar
una arquitectura de red específica.
Página 6
7. Arquitectura AAA Cristian Morín
Pau Sabaté
3. Arquitectura AAA
En el modelo de servidor Radius utiliza el concepto AAA para poder dar acceso a un usuario a
un servicio/ red, cada uno dividido en diferentes procesos de:
• Autenticación
• Autorización
• Accounting
• Auditoría
A continuación explicaremos cada ellos:
Página 7
8. Arquitectura AAA Cristian Morín
Pau Sabaté
3.1. Autentificación
En términos de seguridad de redes de datos, se puede considerar uno de los tres pasos
fundamentales de los sistemas de seguridad (AAA):
• Autenticación: Es el proceso de detectar y comprobar la identidad de una
entidad de seguridad mediante el examen de las credenciales del usuario y la
validación de las mismas consultando a una autoridad determinada.
Características de autenticación
• Ha de ser fiable con una probabilidad muy elevada
• Económicamente factible para la organización
• Soportar con éxito cierto tipo de ataques
• Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen
Mecanismo general de autenticación
La autenticación de usuarios permite a estos sistemas asumir con una seguridad razonable que
quien se está conectando es quien dice ser para que luego las acciones que se ejecuten en el
sistema puedan ser referidas luego a esa identidad y aplicar los mecanismos
de autorización y/o auditoría oportunos. El primer elemento necesario por tanto para la
autenticación es la existencia de identidades identificadas con un identificador único. La forma
más conocida es la sucesión de caracteres conocida comúnmente como login.
Página 8
9. Arquitectura AAA Cristian Morín
Pau Sabaté
El proceso general de autenticación consta de los siguientes pasos:
• El usuario solicita acceso a un sistema
• El sistema solicita al usuario que se autentique
• El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad
de la identificación
• El sistema valida según sus reglas si las credenciales aportadas son suficientes para dar
acceso al usuario o no
Sistemas de autentificación
Firma de Lamport-Diffie
Esquema de firma digital propuesta por L. Lamport y W. Diffie y que está basada
en criptografía simétrica.
La criptografía simétrica es un método criptográfico en el cual se usa una misma clave para
cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de
antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra
un mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.
Algunos ejemplos de algoritmos simétricos son:
• DES (Data Encryption Standard): Es un algoritmo de cifrado.
o DES es el algoritmo prototipo del cifrado por bloques: Algoritmo que toma un
texto plano de una longitud fija de bits y lo transforma mediante una serie de
operaciones básicas en otro texto cifrado de la misma longitud.
o DES utiliza también una clave criptográfica: para modificar la transformación,
de modo que el descifrado sólo puede ser realizado por aquellos que conozcan
la clave concreta utilizada en el cifrado.
o Generación de claves:
Se escogen 56 bits de los 64 disponible para la generación de la clave,
los bits restantes se pueden usar como bits de paridad o se pueden
descartar.
Se hacen 2 grupos con los 56 bits (28 y 28) y se tratan por separado.
Ahora, cada grupo de 28 bits se desplaza a la izquierda un bit o 2
según el turno.
Este proceso se realiza 16 veces (rondas).
Página 9
10. Arquitectura AAA Cristian Morín
Pau Sabaté
o Seguridad: Desde sus principios se dijo que DES no era irrompible. Se consiguió
romper la clave creado por DES en 1998 con un ataque de fuerza bruta.
Otros ataques con menos complejidad para romper DES:
Criptoanálisis diferencial: Para romper las 16 rondas completas, el
criptoanálisis diferencial requiere 247 textos planos escogidos
Criptoanálisis lineal múltiple: Necesita 243 textos planos conocidos
Ataque mejorado de Davies: Es la forma más potente del ataque
requiere 250 textos planos conocidos, tiene una complejidad
computacional de 250, y tiene un 51% de probabilidad de éxito.
Página 10
11. Arquitectura AAA Cristian Morín
Pau Sabaté
• 3DES (Triple Data Encryption Standard): Este método de encriptación hace un triple
:
cifrado del DES (IBM 1998). No llega a ser un encriptado múltiple, porque sus subclases
no son independientes. La variante más simple del Triple DES funciona de la siguiente
manera:
Dónde M es el mensaje a cifrar y K1, K2, K3 las respectivas claves DES.
• RC5 (Cifrado de Rivest): El nombre le viene de su creador Ronald Rivest. Es un sistema
Cifrado Rivest):
de cifrado por bloques que destaca por su simplicidad. Tiene un tamaño variable de
bloques (56, 64 o 128 bits), un tamaño de claves (entre 0 y 2040 bits) y un número de
rondas (entre 0 y 255). La combinación original es: bloques de 64 bits, claves de 128
bits y 12 vueltas.
Página 11
12. Arquitectura AAA Cristian Morín
Pau Sabaté
• AES (Advance Encryption Standard): Tiene un esquema de cifrados por bloque. Desde
el 2006 es de los algoritmos más populares y utilizados en la criptografía simétrica. AES
opera con una matriz de 4x4 llamada ““state”. Este tipo de cifrado no está al alcance de
.
nuestros conocimientos actuales. Dentro del Pseudocódigo existen varias rondas:
o SubBytes- Substitución de bits
bits:
o ShiftRows-Desplazar filas
Desplazar filas:
Página 12
13. Arquitectura AAA Cristian Morín
Pau Sabaté
o MixColumns- Mezclar columnas:
-
o AddRoundKey-
AddRoundKey Cálculo de las subclaves:
• BLOWFISH: Codificador de bloques simétrico. Usa bloques de 64 bits y claves que van
entre 32 y 448 bits. Es un codificador de 14 rondas que depende de la Caja
Caja-S.
o S-Box: 8x32 bits basadas en funciones bent, rotaciones dependientes de c
, clave,
adición y sustracción modular y operaciones XOR.
Página 13
14. Arquitectura AAA Cristian Morín
Pau Sabaté
• IDEA (International Data Encryption Algorithm): Es un sistema de cifrado por bloques.
Algorithm):
Opera con bloques de 64 bits usando una clave de 128 bits y consiste de ocho
pera
transformaciones idénticas (cada una llamada un ronda) y una transformación de
salida (llamada media ronda
ronda)
Login
En términos de seguridad informática, LOGIN es el proceso por el cual se controla el acceso de
un usuario a un sistema informático mediante la identificación del usuario utilizando los
credenciales provistas por el usuario.
enciales
Página 14
15. Arquitectura AAA Cristian Morín
Pau Sabaté
Pre-Shared Key
Es una clave pre compartida o PSK. Es una clave secreta compartida con anterioridad entre las
dos partes usando algún canal seguro antes de que se utilice. Para crear una clave de secreto
compartido, se debe utilizar la función de derivación de claves. Estos sistemas utilizan casi
siempre algoritmos criptográficos de clave simétrica. El término PSK se utiliza en cifrado
Wi-Fi como WEP o WPA, donde tanto el punto de acceso inalámbrico (AP) como todos los
clientes comparten la misma clave.
• Wi-Fi: Nos referimos a una de las tecnologías de comunicación inalámbrica mediante
ondas más utilizada hoy en día. WIFI, también llamada WLAN (wireless lan, red
inalámbrica) o estándar IEEE 802.11.
o Tipos de comunicación Wi-Fi:
IEEE 802.11a: Funciona en la frecuencia de los 5 GHz esperando
encontrar menos interferencia con dispositivos como teléfonos
inalámbricos que usan la frecuencia de 2.4 GHz. La velocidad máxima
de conexión es de 54 MB/s
IEEE 802.11b: Funciona en la frecuencia de los 2.4 GHz. La velocidad
de conexión es de 11 MB/s
IEEE 802.11g: Trabaja en la frecuencia de los 2.4 GHz, pero con una
velocidad máxima de 54 MB/s. A día de hoy se sigue utilizando este
estándar, ya que la velocidad más que aceptable y es más barata que
el estándar IEEE 802.11n.
IEEE 802.11n: Es el estándar más reciente. Funciona en las frecuencias
2.4 y 5 GHz y puede llegar a velocidades alrededor de los 600 MB/s
o Seguridad1: Exiten varias alternativas para garantizar la seguridad de las redes
Wireless. Algunos métodos en Wi-Fi:
WEP: Cifra los datos en su red de forma que sólo el destinatario
deseado pueda acceder a ellos.
WPA: presenta mejoras como generación dinámica de la clave de
acceso.
IPSEC (tunnel IP): Abreviatura de Internet Protocol Security. Es un
conjunto de protocolos cuya función es asegurar las comunicaciones
sobre el Protocolo de
Internet (IP) autenticando y/ocifrando cada paquete IP en un flujo de
datos. IPsec también incluye protocolos para el establecimiento de
claves de cifrado.
Página 15
16. Arquitectura AAA Cristian Morín
Pau Sabaté
Filtrado por MAC: Es la manera que sólo se permite acceso a la red a
aquellos dispositivos autorizados.
Ocultar el SSID: Para que no sea visible aquellos usuarios que no
conozcan la red.
WPA2: Mejora relativa del protocolo de seguridad WPA.
• Punto de Acceso (AP): Es un dispositivo que interconecta dispositivos inalámbricos
para formar una red inalámbrica. Generalmente un AP también puede conectarse a
una red cableada para interconectar los dispositivos Wireless con los cableados para
que puedan compartir recursos. Conectando muchos AP, permites la navegación en
“roaming”.
Página 16
17. Arquitectura AAA Cristian Morín
Pau Sabaté
3.2. Autorización
En seguridad informática es la parte del S.O que protege los recursos del sistema permitiendo
que sólo puedan ser usados a aquellos usuarios que anteriormente hayan sido autenticados.
• Autorización: Proceso por el cual la red de datos autoriza al usuario identificado a
acceder a determinados recursos de la misma.
Visión General
El proceso de autorización sirve para decir si la persona o dispositivo tiene permisos para
acceder a los datos, funcionalidad o servicios del sistema.
La mayoría de S.O multiusuario incluyen proceso de autorización. Previamente, se realiza el
proceso de autenticación, para identificar a los usuarios.
Cuando un usuario intenta usar un recurso, el proceso de autorización comprueba que al
usuario le han sido concedidos permisos para usar ese recurso. Los permisos son definidos por
el administrador de sistemas en la aplicación de políticas de seguridad, como una ACL.
• Administrador del sistema: Es la persona responsable de mantener, asegurar, poner
en funcionamiento la red informática. Algunos roles que desempeña un administrador
del sistema:
o Administrar BBDD
o Analista del Sistema
o Auditor del Sistema
o Administrador de seguridad
Página 17
18. Arquitectura AAA Cristian Morín
Pau Sabaté
• ACL (Access Control List): Una ACL (lista de control de acceso) es un concepto de
seguridad informática usado para la separación de privilegios.
Las ACL permiten controlar el tráfico en equipos de red, como routers o switches.
o Router: Es un dispositivo de hardware usado para la interconexión de redes
s
informáticas que permite asegurar el direccionamiento de paquetes de
datos entre ellas o determinar la mejor ruta que deben tomar. Trabaja en capa
ellas
tres del modelo OSI (Red).
o Switch: Es un dispositivo de interconexión de redes informáticas que trabaja
dispositivo
en capa 2 del modelo OSI (enlace de datos). Los switches se utilizan cuando se
quiere interconectar diferentes redes en una sola, pasando datos de una red a
otra de acuerdo con la dirección MAC destino de la trama. No solo existen
destino
switches de capa 2, también existen switches de capa 3 y de capa 4
Redes Informáticas
Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de
acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por
ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como
para activar o mantener una conexión)
conexión).
Las listas de control de acceso pueden configurarse generalmente para controlar
tráfico entrante y saliente y en este contexto son similares a un Firewall
rante Firewall.
Página 18
19. Arquitectura AAA Cristian Morín
Pau Sabaté
3.3. Accounting
Esta función es la que permite identificar los usuarios conectados y sus características. Se envía
sus
un paquete cuando el usuario conecta y se envía otro cuando su conexión se cierra.
El Accounting se refiere al seguimiento del consumo de los recursos de la red por un usuario.
Los datos obtenidos pueden usarse para administración, planificación, facturación u otros
administración,
propósitos.
Existen 2 tipos de Accounting:
• En tiempo real: Aquella en la que los datos generados se entregan al mismo tiempo
quella
que se produce el consumo de los recursos
• Por lotes: Consiste en la grabación de los datos de consumo para su entrega en algún
onsiste datos
momento posterior.
En nuestro proyecto, se ha utilizado el Accountig, para mantener un control del tiempo de
cada usuario desde su inicio de sesión. Pero también existe el Accounting para facturar, que lo
sesión.
utilizan sobre todos las empresas encargadas de la telefonía móvil para cobrar al usuario final
e
el importe de su navegación, por ejemplo, 2G/3G. Algunos ejemplos:
• Protocolo DIAMETER
• Billing
Página 19
20. Arquitectura AAA Cristian Morín
Pau Sabaté
3.4. Auditoria
La auditoría es un proceso que consiste en recoger toda la información agruparla y evaluarla
para así mantener un seguimiento de los datos y finalmente tenerlos organizados. Es una
forma de organizar sistemáticamente un uso de recursos que queden salvaguardados. En lo
que consiste principalmente es en una empresa poder guardar todo el control y todos los
accesos de los usuarios, para así en una futura incidencia poder detectar una recuperación o
detección maliciosa o incluso poder prevenir o corregir errores de seguridad que se estén
produciendo. En una auditoria hay diferentes objetivos en los que hay que tener en cuenta:
• Análisis de los sistemas informáticos
• El cumplimento de la empresa
• La revisión de los sistemas informáticos
Esto hace que la empresa tenga mejores características a la hora de poder declarar o ver los
seguimientos de seguridad. Actualmente hay una certificación ISACA para ser CISA Certified
Information Systems Auditor.
Los auditores de seguridad pueden utilizar esta tarea periódicamente para comprobar si ha
habido intentos de acceso no autorizado a la red inalámbrica. La directiva de seguridad interna
puede indicar la necesidad de revisar periódicamente los sucesos de autenticación de RADIUS
en el registro de sucesos para detectar intentos de autenticación o el uso de credenciales de
certificados robadas. También puede utilizar una herramienta de administración, como MOM,
para generar alertas cuando se registren sucesos sospechosos.
Página 20
21. Arquitectura AAA Cristian Morín
Pau Sabaté
3.5. ¿Qué es RADIUS?
Radius es un servidor de Seguridad que blinda la seguridad de una red y protege diferentes
servicios, usando protocolos. Normalmente son aplicaciones las cuales tienen acceso a la red o
tienen una movilidad IP.
Estos servicios pueden estar protegidos de diferentes formas cómo usar un usuario y
contraseña para poder acceder a ellos (Autentificación), por otra parte una vez según el
usuario lo autoriza a unos servicios o otros según el rol de ese (Autorización) y finalmente, una
vez el usuario ha entrado lo “vigila” para hacer un seguimiento de todo lo que hace
(Accounting).
Dependiendo del servicio o aplicación que tenga que autentificar, Radius utiliza un protocolo u
otro, estos protocolos que explicaremos a continuación y los que hemos aplicado según los
diferentes servicios que se han aplicado.
Aquí podemos ver un ejemplo de Radius incorporado a una red simple que consta de tres
usuarios y de dos servidores, uno web y Radius:
Página 21
22. Arquitectura AAA Cristian Morín
Pau Sabaté
Es un ejemplo de una red la cual un Servidor web esta autentificado por Radius y todo aquel
que quiera entrar en la web tenga que ser autentificado por él. A continuación explicaremos el
proceso que sigue el servidor Raidus para aceptar el acceso del usuario a la web.
1- Registro: El usuario quiere entrar en la web.
2- www- Autentificacion: La web le pide que para ver tiene que Autentificarse,
3- Registro + respuesta: El usuario se autentifica añadiéndole un usuario y
contraseña.
4- Acces Request : El servidor web le pide con un usuario y contraseña si está en su
base de datos
5- Acces Accept: Acepta el usuario que es correcto.
6- OK: El servidor web muestra el contenido al usuario.
Según el tipo de Autentificación que se quiera hacer, la comunicación entre el usuario y el
cliente Radius. Ya que usara diferentes tipos de protocolos que veremos a continuación.
Página 22
23. Arquitectura AAA Cristian Morín
Pau Sabaté
3.6. ¿Qué Protocolos Usa?
3.6.1. Protocolos Radius
Radius es un protocolo en la arquitectura de cliente – servidor, por lo que hace en las capas de
la OSI, se ejecuta en la capa de aplicación, utilizando el protocolo UDP como transporte, más
rápido que TCP. Toda la información que envía Radius lo envía como datagramas de usuario.
Usa el protocolo UDP ya que tiene que ser una comunicación rápida contra el servidor, el
puerto que utiliza para la autentificación es el 1812, y para la administración de cuentas y del
Radius usa el puerto 1813.
Si vemos por capas inferiores y vemos los paquetes como están distribuidos, podemos
observar que radius establece una forma al paquete UDP. Establece una conexión con puerto
origen y puerto destino, es decir de ServidorRadius a ClienteRadius.
Y dentro un tamaño donde se introduce el paquete Radius que explicaremos a continuación:
El Código:
Aparte él mismo tiene unos protocolos para la autentificación del mensaje, según el usuario el
rol que tenga y si es aceptado o no, radius responde un mensaje u otro, son los siguientes:
• Access-Request (solicitud de acceso)
RADIUS Solicita la autenticación y autorización de un intento de conexión.
• Access-Accept (aceptación de acceso)
Informa al cliente Radius si ha sido autenticado y autorizado en la conexión
• Access-Reject (rechazo de acceso)
Página 23
24. Arquitectura AAA Cristian Morín
Pau Sabaté
Radius informa que el usuario ha sido denegado en el intento de conexión ya que las
credenciales no son correctas.
• Access-Challenge (desafío de acceso)
Este mensaje es un desafío al cliente RADIUS que exige una respuesta.
• Accounting-Request (solicitud de administración de cuentas)
Enviado por un cliente RADIUS para especificar información de administración de
cuentas de una conexión que se ha aceptado.
• Accounting-Response (respuesta de administración de cuentas)
Enviado por el servidor RADIUS como respuesta a un mensaje de Solicitud de
administración de cuentas. En este mensaje se confirman la recepción y el
procesamiento correctos del mensaje de Solicitud de administración de cuentas.
Un ejemplo en la experimentación de nuestro trabajo ha sido analizar los paquetes cuando se
hacia una autentificación contra un servidor web apache. Hemos analizado todos los paquetes
que comunicaban ClienteRadius – ServidorRadius, y hemos visto los protocolos que sigue
Radius,
Vemos que por protocolo Radius, el Cliente pregunta por un usuario (Acces-Request), Radius lo
consulta a la base de datos y vemos que le devuelve la Autentificación del usuario (Access-
Accept).
Página 24
25. Arquitectura AAA Cristian Morín
Pau Sabaté
Viendo el paquete con más zoom:
Podemos observar que pregunta por el usuario Cristian, y que la contraseña va encriptado con
el algoritmo RSA-MD5. Claramente vemos en este paquete El código (Access- Request) el
identificado de paquete (0x1f), el tamaño del paquete, en este caso son 71 y finalmente el
autentificado de mensaje.
Página 25
26. Arquitectura AAA Cristian Morín
Pau Sabaté
3.6.2. Protocolos de autentificación WIFI (EAP)
En Radius existen diferentes tipos de encriptación para los medios de conexión, en
este caso so protocolos orientados para puntos de acceso, es decir, orientados para
que viajen inalámbricamente. Por este hecho tienen que ser protocolos robustos y que
estén encriptados con algoritmos para poder viajar de una forma segura por un medio
inseguro. En el caso de las redes inalámbricas es fácil poder conseguir una clave para
poder acceder a la red, mediante diccionarios o fuerza bruta.
Por esta razón es importante escoger bien el tipo de encriptación que escogeremos en
nuestra red. Seguidamente veremos los tipos de encriptación que hay dentro de las
WPA y WPA2, con el protocolo EAP de Radius.
WPA-Enterprise
WPA es un sistema para proteger las redes inalámbricas. Creado para encriptar las
contraseñas en claves de 128bit con cambios dinámicos de claves, así tener más
robustas las contraseñas que viajan cada dos por tres en los paquetes en que se
comunican cliente y servidor.
Enterprise o EAP es el protocolo de autentificación que usa Radius y se integra en el
cifrado de WPA. Este cifrado existen diferentes tipos, según la configuración que
quieras tener con tu servidor Radius
WPA 2 –Enterprise
WPA2 es muy parecido a WPA pero basada en el nuevo estándar 802.11i. Es una
versión certificada utilizando un algoritmo más robusto llamado AES. A diferencia de
WPA tiene un nuevo algoritmo llamado CCMP la cual la unión de estos protocolos más
TKIP es totalmente segura para establecer una comunicación.
La versión Enterprise también muestra diferentes tipos de autentificación EAP, la cual
explicaremos a continuación:
• Cisco LEAP
• EAP-MD5
• EAP-PEAP
• EAP-SIM
• EAP-TLS
• EAP-TTLS
• EAP-IKEv2
• PEAPv0/EAP-MSCHAPv2
Página 26
27. Arquitectura AAA Cristian Morín
Pau Sabaté
Cisco LEAP: Es un protocolo extendido del EAP hecho por Cisco systems. Es un
protocolo la cual puedes estar seguro si le añades una contraseña robusta, es un
protocolo que no tiene soporte nativo y no hay soluciones si no es compatible.
EAP-MD5: Es un protocolo de autentificación, está definido como RFC3748 (un
estándar abierto). Este protocolo es vulnerable a los conocidos ataques de diccionario
o “fuerza bruta”. Es un protocolo que no admite la generación de claves. Utiliza una
autentificación equivalente a PPP CHAP.
EAP-SIM: Es un protocolo que gestiona la distribución de la autentificación y la clave
de la sesión mediante la conexión, está basado en el sistema global para
comunicaciones móviles.
EAP-PEAP: Es un protocolo que ha sido generado mediante una propuesta conjunta de
Cisco Systems, Microsoft y RSA Security y lo nominaron como un estándar abierto. Es
un protocolo que ofrece muy buena seguridad, muy similar al diseño de EAP-TTLS, lo
que solo requiere un servidor de certificados PKI para crear un túnel TLS entre cliente y
servidor.
EAP-IKEv2: Es un método de autenticación EAP basado en la versión de Internet Key
Exchange Protocol2 ( IKEv2). Proporciona autenticación mutua y una sesión de
establecimiento de clave entre un EAP cliente y servidor EAP.
Página 27
28. Arquitectura AAA Cristian Morín
Pau Sabaté
EAP-TLS: Es un protocolo que esta definid en el RFC2716, es un estándar abierto,
generalmente soportado por los puntos de acceso y ruters inalámbricos. Es un
protocolo seguro ya que utiliza el sucesor del estándar SSL. Utiliza PKI para asegurar la
comunicación con el servidor Radius. Requiere de certificados, eso hace una excelente
seguridad.
EAP-TTLS: Llamado Túnel Transport Layer Security, es un protocolo que fie creado por
FUNK software y Certicom. Admite todo tipo de plataformas y es mucho más seguro
que TLS ya que usa certificados PKI solo en el servidor de autentificación. Este, crea un
túnel en el medio de comunicación para poder comunicarse y que viaje la información
altamente encriptada a diferencia de TLS.
Aquí tenemos un ejemplo de EAP-TLS, PEAP y Cisco LEAP.
Página 28
29. Arquitectura AAA Cristian Morín
Pau Sabaté
3.7. Arquitectura de red AAA
Nos hemos basado en una Arquitectura simulando una pequeña empresa la cual tiene
dos sedes, cada una de ellas (independiente) en seguridad generando diferentes tipos
de servicios. Es una arquitectura enlazada por internet en la que comparten recursos e
información entre ellas. Esta empresa podría ser perfectamente una gestoría o agencia
la cual trate datos de forma conjunta dónde todos los usuarios de la red requieren una
base de datos dónde se almacena la información (en este caso un servidor web) dónde
todos tratan diferentes apartados de la web.
Es una empresa mediana en la cual requiera autentificaciones ya sea para acceder a
recursos de servidor p.ej Web (Apache), recursos de usuario (Dominio
cristian.stucom.local) y por último el uso más frecuente que tiene Radius, son los
puntos de acceso, en este caso hemos añadido un punto de acceso para que el
departamento se pueda conectar mediante los portátiles o Smartphones. Dividimos la
red en dos partes (por sedes):
Página 29
30. Arquitectura AAA Cristian Morín
Pau Sabaté
Barcelona:
En el caso de Barcelona hemos diseñado una empresa la cual podría ser una agencia de
viajes o cualquier otra empresa a través de una página web. La empresa consta de dos
departamentos la cual aceden al departamento web Apache (con autentificación) para
actualizar todos los contenidos y añadir información a la página web, los usuarios de
secretaria que están en un lugar donde corroe mucha gente y los ordenadores están a
la vista de mucha gente están más protegidos con un Servidor Wikid, que para
autentificarse es necesario de un usuario y contraseña dentro de Radius.
Por último cómo servidor dominante es el Radius, ya que sirve a los otros dos. Es el servidor
que autentifica a todos los usuarios de la red y tengan un fin de poder entrar a la web para
consultar privadamente todos los contenidos.
La configuración en si de la red está constituida toda por Linux, ya que constan de un servidor
Radius ( freeradius) uno Web ( Apache sobre Linux) y servidor Wikid ( Cent Os).
Página 30
31. Arquitectura AAA Cristian Morín
Pau Sabaté
Mardid:
Por otra parte tenemos la red de Madrid, es una red muy diferente y basada en Windows 2003
server, por lo que hace es una red donde pueden acceder a contenidos de Barcelona pero que
físicamente está orientada a seguridad. Principalmente hay tres clientes (usuarios) que están
dentro de un Dominio. Y tres usuarios conectados al punto de acceso.
En este caso el servidor principal es un Windows Server 2003 con un Radius integrado y un
dominio creado. El dominio se encarga de la LAN dónde todos los equipos están en este
dominio. Por otra parte tenemos el punto de acceso, que está configurado para que todos los
usuarios que entren sean definidos por el domino. El punto de acceso está configurado con el
protocolo Radius, consta de una clave de encriptación WPA2- Enterprise, que todos los
usuarios que se conecten a el deben tener usuario y clave de acceso, y para ello tienen que
estar definidos en un grupo del dominio.
Página 31
32. Arquitectura AAA Cristian Morín
Pau Sabaté
3.7.1. Configuración de la Red
Vista y explicada la arquitectura diseñada procederemos a explicar su configuración servidor
por servidor, y explicando cada uno de los conceptos y viendo claramente los protocolos AAA.
Primeramente como se distinguen y en qué pasos se establecen los protocolos de
autentificación autorización y Accounting. Lo hemos distribuido por sedes y juntamente por
distribuciones, así también vemos una conclusión de pros y contras de cada una de las
distribuciones tanto con Linux y con Windows 2003.
La red que hemos diseñado con Paket Tracer, está dividida con las dos sedes aplicando un
modelo con el protocolo NAT. Es decir que traduce las ip’s internas a externas, así las dos
sedes se pueden comunicar sin conflicto de ip’s internas. En el Anexo hay las configuraciones
de los ruters de tal forma que formen una DMZ para poder mejorar tanto la seguridad de los
servidores como la seguridad de la red interna.
La DMZ consiste en que la gente del exterior pueda acceder al servidor web, y que los
servidores no puedan entrar a la LAN, pero la LAN si a los servidores. Para eso hemos aplicado
ACL’s.
Hemos creado una ACL que permite todo el tráfico que está establecido
access-list 101 permit tcp 192.168.32.0 0.0.0.255 eq 1812 192.168.1.0 0.0.0.255
established
access-list 101 permit tcp 192.168.32.0 0.0.0.255 eq www 192.168.1.0 0.0.0.255
established
access-list 101 deny ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255
access-list 101 permit ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255
access-list 101 deny ip any any
Página 32
33. Arquitectura AAA Cristian Morín
Pau Sabaté
3.7.1.1. Distribución Linux
Vamos a explicar el procedimiento de las principales configuraciones que hemos tocado para
tener el servicio de daloradius y seguidamente que parámetros hemos tocado para poder
establecer como cliente un Servidor web Apache.
Primero hemos instalado una versión de Ubuntu 10.04 dónde le hemos puesto una ip fija para
podernos comunicar con los otros servidores más fácilmente. Seguidamente procedemos a la
instalación de la última versión de freeRadius y una vez instalado procedemos a la
configuración:
Configuración del servidor:
Radius que se respalda contra una base de datos Sql, con
phpmyadmin.
Autentificación:
1- Miramos que Radius acepte los paquetes y que autentifique bien:
Y vemos que ha sido Aceptado ( Acces-Accept)
2- Seguidamente modificamos el archivo /etc/freeradius/radiusd.conf y desmarcamos el
INCLUDE sql.conf esto hará que nos lea y almacene los datos que teniene en la base de
datos ( en SQL) administado por (phpmyadmin) :
Página 33
34. Arquitectura AAA Cristian Morín
Pau Sabaté
3- Migración SQL. Instalamos phpmyadmin y vemos que todas las tablas y vemos que las
tablas aun no están insertadas, por eso importamos las que tienen por defecto.
Importamos las tablas:
Y añadimos el usuarioy contraseña en el archivo /etc/freeradius/sql.conf para que
pueda conectar con la base de datos
Página 34
35. Arquitectura AAA Cristian Morín
Pau Sabaté
Entramos a phpmy admin
Y ya vemos que tenemos todas las tablas insertadas.
4- Instalamos Daloradius
Hacemos la instalación de daloradius para poder gestionar los servicios de una forma
más sencilla y más atractiva para los usuarios, ya que para gestionarlos es mucho más
fácil y no hay que entrar en ficheros y cambiar configuraciones manualmente. Una vez
descargado daloradius, lo descomprimimos, lo copiamos al apartado web /var/www y
lo instalamos:
Añanimos las BBDD de daloradius al phpmyadmin
Configuramos el fichero daloradius.conf.php y añadimos nuestro usuario y contraseña
de la base de datos para que pueda enlazarse correctamente.
Página 35
36. Arquitectura AAA Cristian Morín
Pau Sabaté
Añadiendo en el navegador http://localhost/daloradius podemos ver la
administración de radius.
Por defecto las credenciales que tiene daloradius son:
Usuario: Administrador
Pass: radius
Página 36
37. Arquitectura AAA Cristian Morín
Pau Sabaté
Ahora procedemos a la configuración de la autorización y del accounting, para que
quede registrado todo el tráfico que establece el usuario.
Autorización:
Para que la autorización quede guardada en las bases de datos tenemos que des
comentar el sql del archivo sites-available/default
Así podremos ver que ahora en la tabla de radcheck se almacenan todos los usuarios
que creamos.
Y gráficamente con el daloradius podemos ver la lista de usuarios que se han creado.
Página 37
38. Arquitectura AAA Cristian Morín
Pau Sabaté
Accounting:
Para poder almacenar el accounting tenemos que repetir el proceso con el mismo
archivo pero des comentando del apartado accounting la línea que aparece # sql y le
quitamos la #
El accounting se almacena en la tabla radacct
Gráficamente vemos que todos los usuarios se quedan grabados en un reporte con el
usuario contraseña y hora exacta en el momento que entró
Página 38
39. Arquitectura AAA Cristian Morín
Pau Sabaté
Por último configuramos un cliente (NAS) para que coja peticiones y sepa que de ese cliente ha
de comprobar la autentificación de los usuarios. Para eso editamos el clientes.conf
Y añadimos la ip del cliente con la contraseña compartida. Y apartir de aquí aceptara todas las
peticiones que le lleguen de esta ip.
Por último nos dirigimos al daloradius y en el apartado Management/ Nas y en la lista de nas
agregamos un nuevo nas con los datos del servidor apache:
Configuración del cliente (NAS)
En este apartado nos encargamos de la configuración del servidor al cual se va a pedir la
autentificación y se hará el seguimiento del usuario que quiere ver los contenidos. En este caso
hemos cogido un servidor web en una distribución Ubuntu 10.04 dónde le hemos instalado un
Apache, la cual hemos configurado para que al entrar a la web o carpeta de contenidos
(privada) nos pida un usuario y contraseña que irá autentificado contra Radius.
Una vez tenemos apache instalado, procedemos a su configuración:
Primero de todo tenemos que insertar la web en /var/www/ para que muestre algún
contenido. Despues de esto configuraremos que el directorio /var/www/WEB ha de pedir
autentificación y que se valide contra el servidor radius.
Página 39
40. Arquitectura AAA Cristian Morín
Pau Sabaté
Una vez añadido el directorio dónde nos pedirá contraseña, añadimos en el fichero httpd.conf
quien va a ser el servidor que nos autentifica, es decir el servidor Radius.
Le decimos la ip del Radius y la contraseña compartida, que coincida con la contraseña
definida en el archivo clients.conf del servidor Radius.
Y ya tenemos el servidor apache configurado
Página 40
41. Arquitectura AAA Cristian Morín
Pau Sabaté
3.7.1.2. Distribución Windows
Una vez explicada la configuración que se ha hecho en la distribución Linux (Ubuntu), pasamos
a explicar la configuración en Windows (Windows 2003 Server).
Para realizar esta configuración, se ha instalado una máquina virtual Windows 2003 Server que
la hemos obtenido de MSDN Academic Alliance de manera gratuita por ser estudiante de
Stucom Centre d’Estudis (licencia incluída).
Material: Máquina virtual 2003 Server, D-Link 802.11g Access Point, varios dispositivos
wireless.
Página 41
42. Arquitectura AAA Cristian Morín
Pau Sabaté
Una vez instalada la máquina virtual, le configuramos una @IP estática dentro del rango de la
red cableado del centro y lo ponemos en “Bridge”.
Al punto de acceso también se le configura una @IP dentro del rango de la red cableada, ya
que queremos replicar la red cableada y hacerla Wi-Fi. Para que se vea con el servidor 2003, ha
de estar en el mismo rango.
Requerimientos:
• Instalación de Active Directory
• Instalación del Servidor de Aplicaciones
• Instalación del IAS (Internet Authentication Service)
• Instalación de una entidad emisora de Certificados (CA)
• Configuración del RADIUS
• Configuración de Usuarios
• Configuración del AP
• Configuración del cliente
Página 42
43. Arquitectura AAA Cristian Morín
Pau Sabaté
• 4.4.1.2.1 Instalación de Active Directory
Empezamos a instalar el AD. Para realizar esto, hemos de ir a Administre su servidor -> Agregar
o quitar función -> Active Directory.
Página 43
44. Arquitectura AAA Cristian Morín
Pau Sabaté
Damos nombre a nuestro nuevo dominio. El NETBIOS por defecto es el nombre de la raíz del
dominio, en este caso CRISTIAN.
Una vez acabamos con la instalación, pasamos al siguiente punto.
• 4.4.1.2.2 Instalación del Servidor de Aplicaciones
Igual que al instalar el AD, instalamos el Servidor de Aplicaciones (necesario para los
certificados) y también hay que instalarlo en Panel de Control -> Agregar o quitar programas ->
Agregar o quitar componentes de Windows -> Servidor de Aplicaciones
Página 44
45. Arquitectura AAA Cristian Morín
Pau Sabaté
• 4.4.1.2.3 Instalación del IAS (Internet Authentication Service)
Empezamos con la Instalación del servicio de autenticación (IAS).
Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows
-> Servicios de Red -> Detalles
Aquí marcamos la opción: Servicio de auntenticación de Internet
Una vez hecha la instalación, iniciamos el servicio.
Inicio -> Herramientas administrativas -> Servicio de autenticación de Internet.
Página 45
47. Arquitectura AAA Cristian Morín
Pau Sabaté
Podemos ver que al instalar el Servicio de autenticación de Internet, se instala el servidor
RADIUS.
Ahora vamos a proceder a habilitar el IAS para que pueda leer cuentas de usuario en Active
Directory. Tenemos varias opciones para realizar este proceso. Nosotros hemos escogido la
.
opción desde la consola de administración MMC de IAS.
A continuación simplemente le has de dar a Aceptar y ya tendrás registrado tu servicio IAS con
AD
Página 47
48. Arquitectura AAA Cristian Morín
Pau Sabaté
Procedemos a instalar las Directivas de Acceso Remoto.
Dentro de la ventana de Servicio de Autenticación de Internet, en el apartado Directivas de
Acceso Remoto, click secundario y se nos abre un desplegable. Una de las opciones es “Nueva
Directiva de Acceso Remoto”.
Se nos abre la ventana pidiéndonos Configuración y nombre de la nueva directiva. Marcamos
la opción Personalizada en el apartado configuración.
Página 48
49. Arquitectura AAA Cristian Morín
Pau Sabaté
Una vez hemos puesto el nombre, hacemos click en Siguiente y ahora nos pide que le demos
atributos/condiciones para la nueva directiva.
Al marcarle la opción “Authentication-Type”, nos pide ahora el tipo de autenticación.
Página 49
50. Arquitectura AAA Cristian Morín
Pau Sabaté
Al aceptar y darle siguiente, nos pregunta si a ese tipo de conexión le damos permisos o no
para conectarse. En nuestro caso le decimos que sí.
Y finalizamos el proceso.
Ahora procedemos a instalar las Políticas de Acceso Remoto.
En Inicio -> Herramientas Administrativas -> Enrutamiento y acceso remoto.
Página 50
51. Arquitectura AAA Cristian Morín
Pau Sabaté
• 4.4.1.2.4 Instalación de una entidad emisora de Certificados
Igual que el Servicio de autenticación de Internet y Servidor de Aplicaciones, se ha de instalar a
través de Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de
Windows -> Servicios de Certificate Server.
Página 51
52. Arquitectura AAA Cristian Morín
Pau Sabaté
Para agregar un certificado, realizamos lo siguiente:
1. En la barra de direcciones del navegador, ponemos nuestra @IP /certsrv. Indicamos
nuestro usuario y contraseña y accedemos
Página 52
53. Arquitectura AAA Cristian Morín
Pau Sabaté
2. Solicitamos un certificado y elegimos la opción de “Solicitud avanzada de certificado”.
Ahora escogemos la primera opción “Crear y enviar un solicitud a esta CA”.
3. Creamos el certificado CA y lo instalamos.
Página 53
54. Arquitectura AAA Cristian Morín
Pau Sabaté
4. Procedemos a descargar el certificado para tenerlo en local. En la primera ventana que
nos ha aparecido, nos da la opción de descargar el certificado.
Página 54
55. Arquitectura AAA Cristian Morín
Pau Sabaté
• 4.4.1.2.5 Configuración del RADIUS
Una vez instalados los certificados que hayamos querido crear, pasamos a la configuración del
RADIUS: clientes, directivas y políticas de acceso remoto.
1. En la ventana de Servidor de Autenticación de Internet, en Clientes Radius, agregamos
un nuevo cliente.
2. Ahora pasamos a darle un nombre al nuevo cliente y le especificamos su @IP
Página 55
56. Arquitectura AAA Cristian Morín
Pau Sabaté
3. Escogemos ahora el tipo de Cliente Proveedor y hemos de poner un secreto
compartido, que ha de coincidir con la clave secreta del punto de acceso que
configuraremos más adelante.
4. Y ahora, finalizamos. Ya se ha añadido nuestro cliente al servidor RADIUS.
Así, se han de agregar todos los usuarios de manera.
A parte de agregar nuevos clientes en el servidor RAIDUS, también se han de crear directivas y
políticas de acceso remoto. Toda la instalación y configuración de estos apartados ya se ha
realizado en los apartados anteriores.
Página 56
57. Arquitectura AAA Cristian Morín
Pau Sabaté
• 4.4.1.2.6 Configuración de Usuarios
Pasamos a la configuración de los usuarios en Windows 2003 Server.
1. Hacemos click en Inicio -> Herramientas Administrativas -> Usuarios y equipos de
Active Directory -> Users . Aquí encontramos todos los usuarios y grupos del Server
2003.
2. Click derecho en la parte de los usuarios y grupos. Nuevo -> Usuario
Página 57
58. Arquitectura AAA Cristian Morín
Pau Sabaté
3. Una vez creado el cliente, creamos un grupo, Clientes AP que es el grupo que tiene
tanto las directivas y las Políticas de Acceso Remoto y el grupo al que le hemos puesto
los privilegios del certificado creado y que es el que tendrá privilegios para
autenticarse una vez se establezca conexión entre el punto de acceso y el RADIUS
Una vez creado el grupo, añadimos el usuario creado al grupo.
Para poder encontrar el grupo, es necesario que se marque en la opción “Ámbito de
grupo” la opción Universal
Página 58
59. Arquitectura AAA Cristian Morín
Pau Sabaté
4. En las propiedades del usuario creado, en el apartado “Marcado”, en la opción
Permiso de Acceso Remoto se ha de marcar “Controlar acceso a través de la directiva
de acceso remoto”. Sin embargo, para poder marcar esta opción, previamente has de
haber elevado el nivel funcinal de tu Servidor, porqué sino no podrás marcarlo.
Página 59
60. Arquitectura AAA Cristian Morín
Pau Sabaté
• 4.4.1.2.7 Configuración del AP
Una vez configurados los usuarios y los grupos que se van a poder autenticar contra el RADIUS,
vamos a pasar a la configuración del punto de acceso.
1. En el navegador del Servidor, nos conectamos a la @IP del punto de acceso. Nos pide
usuario y contraseña.
2. Vamos a “Wireless”. Ahora os describimos brevemente cada ajuste.
a. Mode: El modo en el cual se va a utilizar el punto de acceso
b. SSID: Nombre de nuestro red Wi-Fi
c. SSID Broadcast: Si quieres que sea visible a todos los dispositivos Wireless
d. Authentication (IMPORTANTE): Escoges el tipo de autenticación que vas a
utilizar. En nuestro caso lo ponemos como WPA2-EAP, ya que antes, en las
directivas de acceso remoto, le hemos puesto el modo de autenticación EAP.
Página 60
61. Arquitectura AAA Cristian Morín
Pau Sabaté
Ahora pasamos a explicar los ajustes del Servidor Radius:
a. Radius Server: Especificas al @IP del servidor RADIUS. En nuestro caso el coincide
con el servidor de AD.
b. Radius Port: Radius utiliza por defecto el puerto 1812. En caso de administración
utiliza el 1813.
c. Radius Secret (IMPORTANTE): Es la contraseña que se ha especificado al crear un
nuevo cliente RADIUS.
Ahora simplemente se le da a “Apply”, se reiniciará el AP y ya se tendrá configurado el punto
de acceso.
Página 61
62. Arquitectura AAA Cristian Morín
Pau Sabaté
3.7.1.3. Otros servicios
En la arquitectura AAA hemos introducido un servidor Wikid, es un servidor de autentificación
muy segura que establece una conexión encriptada entre el servidor y el cliente (con una clave
publica) asi, simulando una VPN. Lo que hace exactamente es que un cliente selecciona un
dominio creado por el servidor y entra un PIN establecido entre el servidor-cliente, asegurando
que solo puede ser descifrada por el servidor con su clave privada. Una vez la comunicación
cifrada el servidor pide un usuario y contraseña autentificada por Radius.
Procederemos a la configuración de las interfaces para poder entrar al menú de configuración:
Configuraremos el dominio y la interfaz eth0 con una ip y añadiremos el router i los DNS :
Una vez hecha toda la configuración iremos al navegador y pondremos la ip del servidor wikid,
para entrar a la configuración mediante web con la interfaz de wikid:
Dentro de la configuración lo primero que tenemos que hacer es crear una identidad al
certificado, para ello tenemos que añadir todas las credenciales y una contraseña.
Página 62
63. Arquitectura AAA Cristian Morín
Pau Sabaté
Una vez creado el certificado tenemos que validarlo para generar la clave pivada y publica,
prara eso tenemos que copiar el certificado creado (1) validarlo (2), la cual genera otro
código(3) y pegarlo para protegerlo con una contraseña(4). Este certificado será el cual se
enviara al cliente para poder establecer la conexión
1
2
4
3
Página 63
64. Arquitectura AAA Cristian Morín
Pau Sabaté
Y con esto ya tenemos el certificado creado
El siguiente paso es enlazar el servidor Wikid con el servidor radius para poder validar los
usuarios de radius con el servidor Wikid. Para ello añadimos la ip del servidor radius y la
autentificación:
Una vez enlazado el radius y añadido en el archivo clients.conf (del servidro radius) creamos el
dominio donde los clientes se conectaran. Dominio Radius
Página 64
65. Arquitectura AAA Cristian Morín
Pau Sabaté
Y ya tenemos el dominio creado:
Ahora los clientes sólo tienen que descargarse el cliente wikid para poder loguearse contra el
servidor y establecer una comunicación encriptada. Añadimos las credenciales del servidor en
el cliente:
Página 65
66. Arquitectura AAA Cristian Morín
Pau Sabaté
Y ahora para poder entrar en la web del servidor aparche (192.168.32.167) estableceremos
una comunicación encriptada, y con el usuario y contraseña protegido por radius.
Página 66
67. Arquitectura AAA Cristian Morín
Pau Sabaté
3.8. Rivales (diferencias con TACACS+)
Radius tiene varios rivales, uno de los más famosos implantado por cisco es TACACS+, no se ha
creado para competir con radius si no para contribuir con él, ya que cisco soporta Radius desde
que saco la “IOS release 11.1” y por ello continua apoyando y mejorando radius en muchas
características. Vamos a comparar los dos protocolos en diferentes características, entre
protocolos, encriptaciones, Autentificación y Autorización:
Protocolos que usan:
Radius utiliza UDP a diferencia de TACACS+ que utiliza TCP. TCP orientado a conexión
establece más seguridad a la hora de la entrega de los paquetes mientras que radius al utilizar
UDP garantiza la rapidez de los paquetes al llegar al destino. A continuación veremos un
ejemplo de una comunicación en el login de autentificación:
Tráfico de TACACS+ al loguearse(TCP):
Página 67
68. Arquitectura AAA Cristian Morín
Pau Sabaté
Tráfico de RADIUS al loguearse(UDP):
Viendo todo la comunicación que utilizan los dos protocolos vemos que en TCP necesita más
del doble de tráfico para hacer login y en cambio con UDP deducimos que será mucho más
rápido.
Encriptación de paquetes:
- Radius cómo hemos visto en los paquetes UDP que envía tal y cómo hemos visto solo
encripta la contraseña en MD5
- TACACS+, a diferencia de radius encripta todo el cuerpo del paquete esto hace que sea
muy pesado a la hora de la comunicación.
Autenticación y autorización
- Radius combina la autenticación y la autorización conjunta creando un paquete como
Acces-Acept, que son enviados por el servidor radius.
- TACACS+ usa la arquitectura AAA, separa todos los procesos para la autenticación,
autorización y el accounting.
Página 68
69. Arquitectura AAA Cristian Morín
Pau Sabaté
4. Conclusiones
En este trabajo hemos aprendido a crear una red segura con una arquitectura en concreto, en
este caso es la arquitectura AAA. Principalmente hemos conocido toda la teoría de los 4
principios de seguridad (Autenticación, autorización, accounting y Auditoria). Todos los
protocolos, en qué consisten cada uno y su funcionamiento en casos prácticos. Por otra parte
con esta arquitectura hemos aprendido a diseñar una red con seguridad para usuarios
definidos en un servidor Radius. Hemos visto que tiene diferentes funciones para los usuarios
haciendo un seguimiento punto por punto. Esto hace que puedas saber todo de un usuario.
Por otra parte, debajo, en capas inferiores hemos visto cómo funciona a niveles de capa física,
cómo los protocolos que usa, los paquetes que envía, la codificación de las contraseñas y los
protocolos que hay en cada una de las partes que se envían. Lo más importante ha sido
aprender en mayor parte la diferencia entre las tres AAA, y aplicarlas en modo práctico y
teórico para distinguir qué y cómo hace cada una de los procedimientos.
Por lo que hace los objetivos que hemos creado a lo largo del proyecto hemos podido
conseguirlos, uno de los más exitosos ha sido la creación del dominio de Windows y dónde los
usuarios se pueden autentificar a un punto de acceso con los mismos usuarios que acceden a
Windows. Por otra parte un sistema web con contenidos dónde los usuarios se autentifican
por un RADIUS creado en Linux y los usuarios se guardan en una base de datos en SQL. Unos
de los mayores conocimientos que hemos adquirido han sido conocer los distintos protocolos
de seguridad que hay en las redes WiFi con el protocolo 802.1x junto con el protocolo EAP de
RADIUS.
Durante el proyecto lo que nos ha sido de gran ayuda ha sido poder tener todo los servidores
virtualizados con VmWare y así poder tener más de un servidor en una máquina. Esto nos ha
hecho que pudiéramos tener copias de seguridad en todo momento. Aprendimos de esto ya
que modificando configuraciones tuvimos un problema de configuración la cual nos obligo a
reinstalar de nuevo el servidor radius con la distribución de Linux. Creo que con Vmware nos
ha realizado una experiencia que nos ha servido de ayuda para poder simular los servidores en
este proyecto.
Página 69
70. Arquitectura AAA Cristian Morín
Pau Sabaté
5. Líneas Futuras
Hemos enfocado este proyecto cómo una simulación de una empresa. Como todas las
empresas pueden generar un crecimiento y poder aumentar los departamentos y lugares de
trabajo. Con esto significa que con una ampliación de la empresa habría que aumentar la
seguridad en la red o incluso integrar diferentes servicios.
A un futuro si quisiéramos ampliar la red, recomendaríamos añadir un sistema de hotspot en
el punto de acceso, para así contabilizar el tráfico de los usuarios.
Por otra parte, en el caso de que fuera una empresa de telecomunicaciones o de móviles
aplicar otros protocolos aparte de RADIUS y así poder contabilizar la tarificación online (
tarificación in situ) o la tarificación por lotes ( mensual trimestral..) de los móviles un ejemplo
de protocolos podría ser Diameter o Billing.
Página 70
72. Arquitectura AAA Cristian Morín
Pau Sabaté
7. Anexos
Antes de poner en práctica todo el sistema lo hemos simulado con packet tracert y aquí
tenemos la simulación
Configuración de los Ruters
Sh Run de los routers
Ruter 0
hostname Router
!
aaa new-model
!
aaa authentication login TELNET-LOGIN local
aaa authentication login default local enable
!
username admin secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
username radius secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
spanning-tree mode pvst
!
interface FastEthernet0/0
ip address 192.168.32.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
ip address 20.20.20.1 255.255.255.0
ip nat outside
clock rate 64000
!
interface Serial0/0/1
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 1 interface Serial0/0/0 overload
Página 72
73. Arquitectura AAA Cristian Morín
Pau Sabaté
ip nat inside source static tcp 192.168.32.166 1812 20.20.20.2 1812
ip nat inside source static tcp 192.168.32.167 80 20.20.20.2 80
ip nat inside source static tcp 192.168.32.168 8388 20.20.20.2 8388
ip classless
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.32.0 0.0.0.255
access-list 101 permit tcp 192.168.32.0 0.0.0.255 eq 1812 192.168.1.0 0.0.0.255 established
access-list 101 permit tcp 192.168.32.0 0.0.0.255 eq www 192.168.1.0 0.0.0.255 established
access-list 101 deny ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255
access-list 101 permit ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255
access-list 101 deny ip any any
!
line con 0
line vty 0 4
login authentication TELNET-LOGIN
!
end
Router 1
hostname Router
!
aaa new-model
!
aaa authentication login TELNET-LOGIN local
aaa authentication login default local enable
!
username admin secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
username radius secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
spanning-tree mode pvst
!
interface FastEthernet0/0
ip address 192.168.32.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/0/0
ip address 20.20.20.2 255.255.255.0
ip nat outside
!
Página 73
74. Arquitectura AAA Cristian Morín
Pau Sabaté
interface Serial0/0/1
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 1 interface Serial0/0/0 overload
ip nat inside source static tcp 192.168.32.191 1812 20.20.20.2 1812
ip classless
!
access-list 1 permit 192.168.32.0 0.0.0.255
!
line con 0
line vty 0 4
login authentication TELNET-LOGIN
!
end
Simulación de la comunicación Radius en packet tracet
Página 74
75. Arquitectura AAA Cristian Morín
Pau Sabaté
Configuramos el acces point (Linksys)
Página 75
76. Arquitectura AAA Cristian Morín
Pau Sabaté
Conectamos el portátil al Linksys
Página 76