Proyecto: Arquitectura AAA

3,473 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,473
On SlideShare
0
From Embeds
0
Number of Embeds
138
Actions
Shares
0
Downloads
155
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Proyecto: Arquitectura AAA

  1. 1. Arquitectura AAASeguridad RADIUS 07/06/2012 Tutor: Francesc Pérez Cristian Morín Pau Sabaté
  2. 2. Arquitectura AAA Cristian Morín Pau Sabaté Página 2
  3. 3. Arquitectura AAA Cristian Morín Pau Sabaté 1. Introducción ...................................................................................................................... 4 2. Objetivos ........................................................................................................................... 6 3. Arquitectura AAA .............................................................................................................. 7 3.1. Autentificación .............................................................................................................. 8 3.2. Autorización ................................................................................................................ 17 3.3. Accounting................................................................................................................... 19 3.4. Auditoria ...................................................................................................................... 20 3.5. ¿Qué es RADIUS?......................................................................................................... 21 3.6. ¿Qué Protocolos Usa? ................................................................................................. 23 3.6.1. Protocolos Radius .................................................................................................... 23 3.6.2. Protocolos de autentificación WIFI (EAP) ............................................................... 26 3.7. Arquitectura de red AAA ............................................................................................. 29 3.7.1. Configuración de la Red .......................................................................................... 32 3.7.1.1. Distribución Linux ................................................................................................ 33 3.7.1.2. Distribución Windows ......................................................................................... 41 3.7.1.3. Otros servicios ..................................................................................................... 62 3.8. Rivales (diferencias con TACACS+) .............................................................................. 67 4. Conclusiones.................................................................................................................... 69 5. Web grafía ....................................................................................................................... 70 6. Anexos ............................................................................................................................. 72 Página 3
  4. 4. Arquitectura AAA Cristian Morín Pau Sabaté1. IntroducciónSomos estudiantes de segundo de Grado Superior de Telecomunicaciones e Informática,venimos del Grado medio de ESI, estamos ya en el proyecto de fin de curso y para eso osqueremos demostrar nuestros conocimientos con este trabajo. Generalmente gran parte de las materias que hemos estudiado forman parte del estudio deredes, y por eso no centramos en analizar la seguridad en una red con una arquitecturapeculiar y con unos servidores que blindan la seguridad de esta red. La gran parte de losconocimientos que hemos conseguido para crear este tipo de arquitectura han sido en lasclases de CISCO impartiendo el curso de CCNA, y por otra parte las clases de sistemas(SIMOMU) que nos han enseñado los sistemas operativos tanto cómo clientes y servidores, yen basados en diferentes arquitecturas Windows, Linux..Por una parte en el Grado Medio de ESI adquirimos los conocimientos básicos de loscomputadores y de las redes en sí cogiendo una pequeña base dónde no sabíamos en queíbamos a seguir. Con esta base empezamos a entender cómo iba el mundo de las redes, ycómo llegaban los misteriosos datos a nuestra pantalla del ordenador.Por otra parte en el Grado Superior de STI a profundizamos nuestros conocimientos y verdiferentes tipos de redes, protocolos y tipos de sistemas de telecomunicaciones que existen. Ycon esto decidimos hacer el proyecto de una arquitectura segura aprendiendo sobre el sistemade seguridad Radius, desde cómo se implementa y sus protocolos, y su puesta en práctica en laarquitectura.La motivación que nos ha incitado a hacer este proyecto, ha sido que este durante estos cursoshemos aprendido diferentes tipologías de red y queríamos aplicar un recurso en ella. Por esto,hemos aplicado un recurso de seguridad en la que cumple el protocolo AAA.En este proyecto simularemos una pequeña empresa en la que tiene diferentes tipos deseguridad, una de ellas, basada principalmente en el servidor Radius. De hoy en día todas lasempresas cuentan con equipos informáticos dónde guardan gran cantidad de datosconfidenciales, por ello es importante la seguridad para guardar estos datos. Para que estos noestén a la mano de cualquiera, los equipos informáticos están protegidos mediante una redsegura y libre de espías Página 4
  5. 5. Arquitectura AAA Cristian Morín Pau SabatéEl proyecto que hemos ideado trata sobre la creación de una red interna empresarial, enconsecuencia haremos un estudio de los elementos necesarios para realizar dicha red comoprotocolos, distintos tipos de servidores y el software necesario para el correctofuncionamiento de nuestra topología de red en la cual los usuarios deberán identificarse paraser autenticados mediante un servidor Radius, de esta manera los distintos usuarios condiferente privilegios podrán acceder a las distintas áreas de la red interna y externa.Hemos estructurado el proyecto de la siguiente forma:Para comenzar explicaremos de forma teórica en qué consisten los protocolos AAA yexplicarlos uno a uno los términos y la seguridad que establece cada protocolo. Y cómo se basacada uno en respecto al servidor RADIUSPor una parte explicaremos que es el servidor RADIUS, que protocolos usa, y uno de los másimportantes en RADIUS, el protocolo EAP con todos los sub-protocolos que existen.Seguidamente hacemos una implementación práctica con dos tipologías y separadas pordistribuciones. Por una parte tenemos Linux y en que autentifica un servidor web apache y porotra Windows 2003 server que autentifica un punto de acceso.Finalmente explicaremos un servicio añadido llamado Wikid juntamente con RADIUS en queblinda la comunicación entre el cliente y el servidor web apache la cual encripta lacomunicación en el caso que hubiera algún espia en la red. Página 5
  6. 6. Arquitectura AAA Cristian Morín Pau Sabaté2. ObjetivosMínimos:En los objetivos mínimos que nos hemos planteado para este proyecto, es crear una red quecumpla los requisitos AAA (Autentificación, Autorización, Accounting) y distinguir por partescada uno de los protocolos i como se implementan. Una red que consista en autentificar unservidor web por una parte, y que los usuarios requieran de usuario y contraseña para entrar.Por otra parte crear un punto de acceso dónde los usuarios serán administrados por el Activedirectory.Aprender teórica y prácticamente como funciona especialmente el servidor de seguridadRADIUS y diferenciar las partes AAA.MáximosEn los objetivos máximos creemos que lo ideal sería completar la red creando una arquitecturacon autenticación para aplicaciones de acceso a recursos, de un modo que sea aplicable a unaempresa. Con diferentes servicios que se adapten al personal de la empresa o los clientes deella misma. De un principio tenemos pensado crear un servidor Radius, en el que autentifiquelos pc’s de la red y este, ampliarlo con diferentes recursos y seguridad. Como un mas a másañadir servidores cómo un servidor de Dominio, web, DHCP, DNS, y con estos implementaruna arquitectura de red específica. Página 6
  7. 7. Arquitectura AAA Cristian Morín Pau Sabaté3. Arquitectura AAAEn el modelo de servidor Radius utiliza el concepto AAA para poder dar acceso a un usuario aun servicio/ red, cada uno dividido en diferentes procesos de: • Autenticación • Autorización • Accounting • AuditoríaA continuación explicaremos cada ellos: Página 7
  8. 8. Arquitectura AAA Cristian Morín Pau Sabaté 3.1. AutentificaciónEn términos de seguridad de redes de datos, se puede considerar uno de los tres pasosfundamentales de los sistemas de seguridad (AAA): • Autenticación: Es el proceso de detectar y comprobar la identidad de una entidad de seguridad mediante el examen de las credenciales del usuario y la validación de las mismas consultando a una autoridad determinada.Características de autenticación • Ha de ser fiable con una probabilidad muy elevada • Económicamente factible para la organización • Soportar con éxito cierto tipo de ataques • Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicenMecanismo general de autenticaciónLa autenticación de usuarios permite a estos sistemas asumir con una seguridad razonable quequien se está conectando es quien dice ser para que luego las acciones que se ejecuten en elsistema puedan ser referidas luego a esa identidad y aplicar los mecanismosde autorización y/o auditoría oportunos. El primer elemento necesario por tanto para laautenticación es la existencia de identidades identificadas con un identificador único. La formamás conocida es la sucesión de caracteres conocida comúnmente como login. Página 8
  9. 9. Arquitectura AAA Cristian Morín Pau SabatéEl proceso general de autenticación consta de los siguientes pasos: • El usuario solicita acceso a un sistema • El sistema solicita al usuario que se autentique • El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la identificación • El sistema valida según sus reglas si las credenciales aportadas son suficientes para dar acceso al usuario o noSistemas de autentificaciónFirma de Lamport-DiffieEsquema de firma digital propuesta por L. Lamport y W. Diffie y que está basadaen criptografía simétrica.La criptografía simétrica es un método criptográfico en el cual se usa una misma clave paracifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo deantemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifraun mensaje usándola, lo envía al destinatario, y éste lo descifra con la misma.Algunos ejemplos de algoritmos simétricos son: • DES (Data Encryption Standard): Es un algoritmo de cifrado. o DES es el algoritmo prototipo del cifrado por bloques: Algoritmo que toma un texto plano de una longitud fija de bits y lo transforma mediante una serie de operaciones básicas en otro texto cifrado de la misma longitud. o DES utiliza también una clave criptográfica: para modificar la transformación, de modo que el descifrado sólo puede ser realizado por aquellos que conozcan la clave concreta utilizada en el cifrado. o Generación de claves: Se escogen 56 bits de los 64 disponible para la generación de la clave, los bits restantes se pueden usar como bits de paridad o se pueden descartar. Se hacen 2 grupos con los 56 bits (28 y 28) y se tratan por separado. Ahora, cada grupo de 28 bits se desplaza a la izquierda un bit o 2 según el turno. Este proceso se realiza 16 veces (rondas). Página 9
  10. 10. Arquitectura AAA Cristian Morín Pau Sabaté o Seguridad: Desde sus principios se dijo que DES no era irrompible. Se consiguió romper la clave creado por DES en 1998 con un ataque de fuerza bruta. Otros ataques con menos complejidad para romper DES: Criptoanálisis diferencial: Para romper las 16 rondas completas, el criptoanálisis diferencial requiere 247 textos planos escogidos Criptoanálisis lineal múltiple: Necesita 243 textos planos conocidos Ataque mejorado de Davies: Es la forma más potente del ataque requiere 250 textos planos conocidos, tiene una complejidad computacional de 250, y tiene un 51% de probabilidad de éxito. Página 10
  11. 11. Arquitectura AAA Cristian Morín Pau Sabaté • 3DES (Triple Data Encryption Standard): Este método de encriptación hace un triple : cifrado del DES (IBM 1998). No llega a ser un encriptado múltiple, porque sus subclases no son independientes. La variante más simple del Triple DES funciona de la siguiente manera: Dónde M es el mensaje a cifrar y K1, K2, K3 las respectivas claves DES. • RC5 (Cifrado de Rivest): El nombre le viene de su creador Ronald Rivest. Es un sistema Cifrado Rivest): de cifrado por bloques que destaca por su simplicidad. Tiene un tamaño variable de bloques (56, 64 o 128 bits), un tamaño de claves (entre 0 y 2040 bits) y un número de rondas (entre 0 y 255). La combinación original es: bloques de 64 bits, claves de 128 bits y 12 vueltas. Página 11
  12. 12. Arquitectura AAA Cristian Morín Pau Sabaté • AES (Advance Encryption Standard): Tiene un esquema de cifrados por bloque. Desde el 2006 es de los algoritmos más populares y utilizados en la criptografía simétrica. AES opera con una matriz de 4x4 llamada ““state”. Este tipo de cifrado no está al alcance de . nuestros conocimientos actuales. Dentro del Pseudocódigo existen varias rondas: o SubBytes- Substitución de bits bits: o ShiftRows-Desplazar filas Desplazar filas: Página 12
  13. 13. Arquitectura AAA Cristian Morín Pau Sabaté o MixColumns- Mezclar columnas: - o AddRoundKey- AddRoundKey Cálculo de las subclaves: • BLOWFISH: Codificador de bloques simétrico. Usa bloques de 64 bits y claves que van entre 32 y 448 bits. Es un codificador de 14 rondas que depende de la Caja Caja-S. o S-Box: 8x32 bits basadas en funciones bent, rotaciones dependientes de c , clave, adición y sustracción modular y operaciones XOR. Página 13
  14. 14. Arquitectura AAA Cristian Morín Pau Sabaté • IDEA (International Data Encryption Algorithm): Es un sistema de cifrado por bloques. Algorithm): Opera con bloques de 64 bits usando una clave de 128 bits y consiste de ocho pera transformaciones idénticas (cada una llamada un ronda) y una transformación de salida (llamada media ronda ronda)LoginEn términos de seguridad informática, LOGIN es el proceso por el cual se controla el acceso deun usuario a un sistema informático mediante la identificación del usuario utilizando loscredenciales provistas por el usuario. enciales Página 14
  15. 15. Arquitectura AAA Cristian Morín Pau SabatéPre-Shared KeyEs una clave pre compartida o PSK. Es una clave secreta compartida con anterioridad entre lasdos partes usando algún canal seguro antes de que se utilice. Para crear una clave de secretocompartido, se debe utilizar la función de derivación de claves. Estos sistemas utilizan casisiempre algoritmos criptográficos de clave simétrica. El término PSK se utiliza en cifradoWi-Fi como WEP o WPA, donde tanto el punto de acceso inalámbrico (AP) como todos losclientes comparten la misma clave. • Wi-Fi: Nos referimos a una de las tecnologías de comunicación inalámbrica mediante ondas más utilizada hoy en día. WIFI, también llamada WLAN (wireless lan, red inalámbrica) o estándar IEEE 802.11. o Tipos de comunicación Wi-Fi: IEEE 802.11a: Funciona en la frecuencia de los 5 GHz esperando encontrar menos interferencia con dispositivos como teléfonos inalámbricos que usan la frecuencia de 2.4 GHz. La velocidad máxima de conexión es de 54 MB/s IEEE 802.11b: Funciona en la frecuencia de los 2.4 GHz. La velocidad de conexión es de 11 MB/s IEEE 802.11g: Trabaja en la frecuencia de los 2.4 GHz, pero con una velocidad máxima de 54 MB/s. A día de hoy se sigue utilizando este estándar, ya que la velocidad más que aceptable y es más barata que el estándar IEEE 802.11n. IEEE 802.11n: Es el estándar más reciente. Funciona en las frecuencias 2.4 y 5 GHz y puede llegar a velocidades alrededor de los 600 MB/s o Seguridad1: Exiten varias alternativas para garantizar la seguridad de las redes Wireless. Algunos métodos en Wi-Fi: WEP: Cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. WPA: presenta mejoras como generación dinámica de la clave de acceso. IPSEC (tunnel IP): Abreviatura de Internet Protocol Security. Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/ocifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. Página 15
  16. 16. Arquitectura AAA Cristian Morín Pau Sabaté Filtrado por MAC: Es la manera que sólo se permite acceso a la red a aquellos dispositivos autorizados. Ocultar el SSID: Para que no sea visible aquellos usuarios que no conozcan la red. WPA2: Mejora relativa del protocolo de seguridad WPA. • Punto de Acceso (AP): Es un dispositivo que interconecta dispositivos inalámbricos para formar una red inalámbrica. Generalmente un AP también puede conectarse a una red cableada para interconectar los dispositivos Wireless con los cableados para que puedan compartir recursos. Conectando muchos AP, permites la navegación en “roaming”. Página 16
  17. 17. Arquitectura AAA Cristian Morín Pau Sabaté 3.2. AutorizaciónEn seguridad informática es la parte del S.O que protege los recursos del sistema permitiendoque sólo puedan ser usados a aquellos usuarios que anteriormente hayan sido autenticados. • Autorización: Proceso por el cual la red de datos autoriza al usuario identificado a acceder a determinados recursos de la misma.Visión GeneralEl proceso de autorización sirve para decir si la persona o dispositivo tiene permisos paraacceder a los datos, funcionalidad o servicios del sistema.La mayoría de S.O multiusuario incluyen proceso de autorización. Previamente, se realiza elproceso de autenticación, para identificar a los usuarios.Cuando un usuario intenta usar un recurso, el proceso de autorización comprueba que alusuario le han sido concedidos permisos para usar ese recurso. Los permisos son definidos porel administrador de sistemas en la aplicación de políticas de seguridad, como una ACL. • Administrador del sistema: Es la persona responsable de mantener, asegurar, poner en funcionamiento la red informática. Algunos roles que desempeña un administrador del sistema: o Administrar BBDD o Analista del Sistema o Auditor del Sistema o Administrador de seguridad Página 17
  18. 18. Arquitectura AAA Cristian Morín Pau Sabaté • ACL (Access Control List): Una ACL (lista de control de acceso) es un concepto de seguridad informática usado para la separación de privilegios. Las ACL permiten controlar el tráfico en equipos de red, como routers o switches. o Router: Es un dispositivo de hardware usado para la interconexión de redes s informáticas que permite asegurar el direccionamiento de paquetes de datos entre ellas o determinar la mejor ruta que deben tomar. Trabaja en capa ellas tres del modelo OSI (Red). o Switch: Es un dispositivo de interconexión de redes informáticas que trabaja dispositivo en capa 2 del modelo OSI (enlace de datos). Los switches se utilizan cuando se quiere interconectar diferentes redes en una sola, pasando datos de una red a otra de acuerdo con la dirección MAC destino de la trama. No solo existen destino switches de capa 2, también existen switches de capa 3 y de capa 4 Redes Informáticas Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) conexión). Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un Firewall rante Firewall. Página 18
  19. 19. Arquitectura AAA Cristian Morín Pau Sabaté 3.3. AccountingEsta función es la que permite identificar los usuarios conectados y sus características. Se envía susun paquete cuando el usuario conecta y se envía otro cuando su conexión se cierra.El Accounting se refiere al seguimiento del consumo de los recursos de la red por un usuario.Los datos obtenidos pueden usarse para administración, planificación, facturación u otros administración,propósitos.Existen 2 tipos de Accounting: • En tiempo real: Aquella en la que los datos generados se entregan al mismo tiempo quella que se produce el consumo de los recursos • Por lotes: Consiste en la grabación de los datos de consumo para su entrega en algún onsiste datos momento posterior.En nuestro proyecto, se ha utilizado el Accountig, para mantener un control del tiempo decada usuario desde su inicio de sesión. Pero también existe el Accounting para facturar, que lo sesión.utilizan sobre todos las empresas encargadas de la telefonía móvil para cobrar al usuario final eel importe de su navegación, por ejemplo, 2G/3G. Algunos ejemplos: • Protocolo DIAMETER • Billing Página 19
  20. 20. Arquitectura AAA Cristian Morín Pau Sabaté 3.4. AuditoriaLa auditoría es un proceso que consiste en recoger toda la información agruparla y evaluarlapara así mantener un seguimiento de los datos y finalmente tenerlos organizados. Es unaforma de organizar sistemáticamente un uso de recursos que queden salvaguardados. En loque consiste principalmente es en una empresa poder guardar todo el control y todos losaccesos de los usuarios, para así en una futura incidencia poder detectar una recuperación odetección maliciosa o incluso poder prevenir o corregir errores de seguridad que se esténproduciendo. En una auditoria hay diferentes objetivos en los que hay que tener en cuenta: • Análisis de los sistemas informáticos • El cumplimento de la empresa • La revisión de los sistemas informáticosEsto hace que la empresa tenga mejores características a la hora de poder declarar o ver losseguimientos de seguridad. Actualmente hay una certificación ISACA para ser CISA CertifiedInformation Systems Auditor.Los auditores de seguridad pueden utilizar esta tarea periódicamente para comprobar si hahabido intentos de acceso no autorizado a la red inalámbrica. La directiva de seguridad internapuede indicar la necesidad de revisar periódicamente los sucesos de autenticación de RADIUSen el registro de sucesos para detectar intentos de autenticación o el uso de credenciales decertificados robadas. También puede utilizar una herramienta de administración, como MOM,para generar alertas cuando se registren sucesos sospechosos. Página 20
  21. 21. Arquitectura AAA Cristian Morín Pau Sabaté 3.5. ¿Qué es RADIUS?Radius es un servidor de Seguridad que blinda la seguridad de una red y protege diferentesservicios, usando protocolos. Normalmente son aplicaciones las cuales tienen acceso a la red otienen una movilidad IP.Estos servicios pueden estar protegidos de diferentes formas cómo usar un usuario ycontraseña para poder acceder a ellos (Autentificación), por otra parte una vez según elusuario lo autoriza a unos servicios o otros según el rol de ese (Autorización) y finalmente, unavez el usuario ha entrado lo “vigila” para hacer un seguimiento de todo lo que hace(Accounting).Dependiendo del servicio o aplicación que tenga que autentificar, Radius utiliza un protocolo uotro, estos protocolos que explicaremos a continuación y los que hemos aplicado según losdiferentes servicios que se han aplicado.Aquí podemos ver un ejemplo de Radius incorporado a una red simple que consta de tresusuarios y de dos servidores, uno web y Radius: Página 21
  22. 22. Arquitectura AAA Cristian Morín Pau SabatéEs un ejemplo de una red la cual un Servidor web esta autentificado por Radius y todo aquelque quiera entrar en la web tenga que ser autentificado por él. A continuación explicaremos elproceso que sigue el servidor Raidus para aceptar el acceso del usuario a la web. 1- Registro: El usuario quiere entrar en la web. 2- www- Autentificacion: La web le pide que para ver tiene que Autentificarse, 3- Registro + respuesta: El usuario se autentifica añadiéndole un usuario y contraseña. 4- Acces Request : El servidor web le pide con un usuario y contraseña si está en su base de datos 5- Acces Accept: Acepta el usuario que es correcto. 6- OK: El servidor web muestra el contenido al usuario.Según el tipo de Autentificación que se quiera hacer, la comunicación entre el usuario y elcliente Radius. Ya que usara diferentes tipos de protocolos que veremos a continuación. Página 22
  23. 23. Arquitectura AAA Cristian Morín Pau Sabaté 3.6. ¿Qué Protocolos Usa? 3.6.1. Protocolos RadiusRadius es un protocolo en la arquitectura de cliente – servidor, por lo que hace en las capas dela OSI, se ejecuta en la capa de aplicación, utilizando el protocolo UDP como transporte, másrápido que TCP. Toda la información que envía Radius lo envía como datagramas de usuario.Usa el protocolo UDP ya que tiene que ser una comunicación rápida contra el servidor, elpuerto que utiliza para la autentificación es el 1812, y para la administración de cuentas y delRadius usa el puerto 1813.Si vemos por capas inferiores y vemos los paquetes como están distribuidos, podemosobservar que radius establece una forma al paquete UDP. Establece una conexión con puertoorigen y puerto destino, es decir de ServidorRadius a ClienteRadius.Y dentro un tamaño donde se introduce el paquete Radius que explicaremos a continuación:El Código:Aparte él mismo tiene unos protocolos para la autentificación del mensaje, según el usuario elrol que tenga y si es aceptado o no, radius responde un mensaje u otro, son los siguientes: • Access-Request (solicitud de acceso) RADIUS Solicita la autenticación y autorización de un intento de conexión. • Access-Accept (aceptación de acceso) Informa al cliente Radius si ha sido autenticado y autorizado en la conexión • Access-Reject (rechazo de acceso) Página 23
  24. 24. Arquitectura AAA Cristian Morín Pau Sabaté Radius informa que el usuario ha sido denegado en el intento de conexión ya que las credenciales no son correctas. • Access-Challenge (desafío de acceso) Este mensaje es un desafío al cliente RADIUS que exige una respuesta. • Accounting-Request (solicitud de administración de cuentas) Enviado por un cliente RADIUS para especificar información de administración de cuentas de una conexión que se ha aceptado. • Accounting-Response (respuesta de administración de cuentas) Enviado por el servidor RADIUS como respuesta a un mensaje de Solicitud de administración de cuentas. En este mensaje se confirman la recepción y el procesamiento correctos del mensaje de Solicitud de administración de cuentas.Un ejemplo en la experimentación de nuestro trabajo ha sido analizar los paquetes cuando sehacia una autentificación contra un servidor web apache. Hemos analizado todos los paquetesque comunicaban ClienteRadius – ServidorRadius, y hemos visto los protocolos que sigueRadius,Vemos que por protocolo Radius, el Cliente pregunta por un usuario (Acces-Request), Radius loconsulta a la base de datos y vemos que le devuelve la Autentificación del usuario (Access-Accept). Página 24
  25. 25. Arquitectura AAA Cristian Morín Pau SabatéViendo el paquete con más zoom:Podemos observar que pregunta por el usuario Cristian, y que la contraseña va encriptado conel algoritmo RSA-MD5. Claramente vemos en este paquete El código (Access- Request) elidentificado de paquete (0x1f), el tamaño del paquete, en este caso son 71 y finalmente elautentificado de mensaje. Página 25
  26. 26. Arquitectura AAA Cristian Morín Pau Sabaté 3.6.2. Protocolos de autentificación WIFI (EAP)En Radius existen diferentes tipos de encriptación para los medios de conexión, eneste caso so protocolos orientados para puntos de acceso, es decir, orientados paraque viajen inalámbricamente. Por este hecho tienen que ser protocolos robustos y queestén encriptados con algoritmos para poder viajar de una forma segura por un medioinseguro. En el caso de las redes inalámbricas es fácil poder conseguir una clave parapoder acceder a la red, mediante diccionarios o fuerza bruta.Por esta razón es importante escoger bien el tipo de encriptación que escogeremos ennuestra red. Seguidamente veremos los tipos de encriptación que hay dentro de lasWPA y WPA2, con el protocolo EAP de Radius.WPA-EnterpriseWPA es un sistema para proteger las redes inalámbricas. Creado para encriptar lascontraseñas en claves de 128bit con cambios dinámicos de claves, así tener másrobustas las contraseñas que viajan cada dos por tres en los paquetes en que secomunican cliente y servidor.Enterprise o EAP es el protocolo de autentificación que usa Radius y se integra en elcifrado de WPA. Este cifrado existen diferentes tipos, según la configuración quequieras tener con tu servidor RadiusWPA 2 –EnterpriseWPA2 es muy parecido a WPA pero basada en el nuevo estándar 802.11i. Es unaversión certificada utilizando un algoritmo más robusto llamado AES. A diferencia deWPA tiene un nuevo algoritmo llamado CCMP la cual la unión de estos protocolos másTKIP es totalmente segura para establecer una comunicación.La versión Enterprise también muestra diferentes tipos de autentificación EAP, la cualexplicaremos a continuación: • Cisco LEAP • EAP-MD5 • EAP-PEAP • EAP-SIM • EAP-TLS • EAP-TTLS • EAP-IKEv2 • PEAPv0/EAP-MSCHAPv2 Página 26
  27. 27. Arquitectura AAA Cristian Morín Pau SabatéCisco LEAP: Es un protocolo extendido del EAP hecho por Cisco systems. Es unprotocolo la cual puedes estar seguro si le añades una contraseña robusta, es unprotocolo que no tiene soporte nativo y no hay soluciones si no es compatible.EAP-MD5: Es un protocolo de autentificación, está definido como RFC3748 (unestándar abierto). Este protocolo es vulnerable a los conocidos ataques de diccionarioo “fuerza bruta”. Es un protocolo que no admite la generación de claves. Utiliza unaautentificación equivalente a PPP CHAP.EAP-SIM: Es un protocolo que gestiona la distribución de la autentificación y la clavede la sesión mediante la conexión, está basado en el sistema global paracomunicaciones móviles.EAP-PEAP: Es un protocolo que ha sido generado mediante una propuesta conjunta deCisco Systems, Microsoft y RSA Security y lo nominaron como un estándar abierto. Esun protocolo que ofrece muy buena seguridad, muy similar al diseño de EAP-TTLS, loque solo requiere un servidor de certificados PKI para crear un túnel TLS entre cliente yservidor.EAP-IKEv2: Es un método de autenticación EAP basado en la versión de Internet KeyExchange Protocol2 ( IKEv2). Proporciona autenticación mutua y una sesión deestablecimiento de clave entre un EAP cliente y servidor EAP. Página 27
  28. 28. Arquitectura AAA Cristian Morín Pau SabatéEAP-TLS: Es un protocolo que esta definid en el RFC2716, es un estándar abierto,generalmente soportado por los puntos de acceso y ruters inalámbricos. Es unprotocolo seguro ya que utiliza el sucesor del estándar SSL. Utiliza PKI para asegurar lacomunicación con el servidor Radius. Requiere de certificados, eso hace una excelenteseguridad.EAP-TTLS: Llamado Túnel Transport Layer Security, es un protocolo que fie creado porFUNK software y Certicom. Admite todo tipo de plataformas y es mucho más seguroque TLS ya que usa certificados PKI solo en el servidor de autentificación. Este, crea untúnel en el medio de comunicación para poder comunicarse y que viaje la informaciónaltamente encriptada a diferencia de TLS.Aquí tenemos un ejemplo de EAP-TLS, PEAP y Cisco LEAP. Página 28
  29. 29. Arquitectura AAA Cristian Morín Pau Sabaté 3.7. Arquitectura de red AAANos hemos basado en una Arquitectura simulando una pequeña empresa la cual tienedos sedes, cada una de ellas (independiente) en seguridad generando diferentes tiposde servicios. Es una arquitectura enlazada por internet en la que comparten recursos einformación entre ellas. Esta empresa podría ser perfectamente una gestoría o agenciala cual trate datos de forma conjunta dónde todos los usuarios de la red requieren unabase de datos dónde se almacena la información (en este caso un servidor web) dóndetodos tratan diferentes apartados de la web.Es una empresa mediana en la cual requiera autentificaciones ya sea para acceder arecursos de servidor p.ej Web (Apache), recursos de usuario (Dominiocristian.stucom.local) y por último el uso más frecuente que tiene Radius, son lospuntos de acceso, en este caso hemos añadido un punto de acceso para que eldepartamento se pueda conectar mediante los portátiles o Smartphones. Dividimos lared en dos partes (por sedes): Página 29
  30. 30. Arquitectura AAA Cristian Morín Pau SabatéBarcelona:En el caso de Barcelona hemos diseñado una empresa la cual podría ser una agencia deviajes o cualquier otra empresa a través de una página web. La empresa consta de dosdepartamentos la cual aceden al departamento web Apache (con autentificación) paraactualizar todos los contenidos y añadir información a la página web, los usuarios desecretaria que están en un lugar donde corroe mucha gente y los ordenadores están ala vista de mucha gente están más protegidos con un Servidor Wikid, que paraautentificarse es necesario de un usuario y contraseña dentro de Radius.Por último cómo servidor dominante es el Radius, ya que sirve a los otros dos. Es el servidorque autentifica a todos los usuarios de la red y tengan un fin de poder entrar a la web paraconsultar privadamente todos los contenidos.La configuración en si de la red está constituida toda por Linux, ya que constan de un servidorRadius ( freeradius) uno Web ( Apache sobre Linux) y servidor Wikid ( Cent Os). Página 30
  31. 31. Arquitectura AAA Cristian Morín Pau SabatéMardid:Por otra parte tenemos la red de Madrid, es una red muy diferente y basada en Windows 2003server, por lo que hace es una red donde pueden acceder a contenidos de Barcelona pero quefísicamente está orientada a seguridad. Principalmente hay tres clientes (usuarios) que estándentro de un Dominio. Y tres usuarios conectados al punto de acceso.En este caso el servidor principal es un Windows Server 2003 con un Radius integrado y undominio creado. El dominio se encarga de la LAN dónde todos los equipos están en estedominio. Por otra parte tenemos el punto de acceso, que está configurado para que todos losusuarios que entren sean definidos por el domino. El punto de acceso está configurado con elprotocolo Radius, consta de una clave de encriptación WPA2- Enterprise, que todos losusuarios que se conecten a el deben tener usuario y clave de acceso, y para ello tienen queestar definidos en un grupo del dominio. Página 31
  32. 32. Arquitectura AAA Cristian Morín Pau Sabaté 3.7.1. Configuración de la RedVista y explicada la arquitectura diseñada procederemos a explicar su configuración servidorpor servidor, y explicando cada uno de los conceptos y viendo claramente los protocolos AAA.Primeramente como se distinguen y en qué pasos se establecen los protocolos deautentificación autorización y Accounting. Lo hemos distribuido por sedes y juntamente pordistribuciones, así también vemos una conclusión de pros y contras de cada una de lasdistribuciones tanto con Linux y con Windows 2003.La red que hemos diseñado con Paket Tracer, está dividida con las dos sedes aplicando unmodelo con el protocolo NAT. Es decir que traduce las ip’s internas a externas, así las dossedes se pueden comunicar sin conflicto de ip’s internas. En el Anexo hay las configuracionesde los ruters de tal forma que formen una DMZ para poder mejorar tanto la seguridad de losservidores como la seguridad de la red interna.La DMZ consiste en que la gente del exterior pueda acceder al servidor web, y que losservidores no puedan entrar a la LAN, pero la LAN si a los servidores. Para eso hemos aplicadoACL’s.Hemos creado una ACL que permite todo el tráfico que está establecido access-list 101 permit tcp 192.168.32.0 0.0.0.255 eq 1812 192.168.1.0 0.0.0.255 established access-list 101 permit tcp 192.168.32.0 0.0.0.255 eq www 192.168.1.0 0.0.0.255 established access-list 101 deny ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255 access-list 101 permit ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255 access-list 101 deny ip any any Página 32
  33. 33. Arquitectura AAA Cristian Morín Pau Sabaté 3.7.1.1. Distribución LinuxVamos a explicar el procedimiento de las principales configuraciones que hemos tocado paratener el servicio de daloradius y seguidamente que parámetros hemos tocado para poderestablecer como cliente un Servidor web Apache.Primero hemos instalado una versión de Ubuntu 10.04 dónde le hemos puesto una ip fija parapodernos comunicar con los otros servidores más fácilmente. Seguidamente procedemos a lainstalación de la última versión de freeRadius y una vez instalado procedemos a laconfiguración:Configuración del servidor: Radius que se respalda contra una base de datos Sql, con phpmyadmin.Autentificación: 1- Miramos que Radius acepte los paquetes y que autentifique bien: Y vemos que ha sido Aceptado ( Acces-Accept) 2- Seguidamente modificamos el archivo /etc/freeradius/radiusd.conf y desmarcamos el INCLUDE sql.conf esto hará que nos lea y almacene los datos que teniene en la base de datos ( en SQL) administado por (phpmyadmin) : Página 33
  34. 34. Arquitectura AAA Cristian Morín Pau Sabaté 3- Migración SQL. Instalamos phpmyadmin y vemos que todas las tablas y vemos que las tablas aun no están insertadas, por eso importamos las que tienen por defecto. Importamos las tablas: Y añadimos el usuarioy contraseña en el archivo /etc/freeradius/sql.conf para que pueda conectar con la base de datos Página 34
  35. 35. Arquitectura AAA Cristian Morín Pau Sabaté Entramos a phpmy admin Y ya vemos que tenemos todas las tablas insertadas. 4- Instalamos Daloradius Hacemos la instalación de daloradius para poder gestionar los servicios de una forma más sencilla y más atractiva para los usuarios, ya que para gestionarlos es mucho más fácil y no hay que entrar en ficheros y cambiar configuraciones manualmente. Una vez descargado daloradius, lo descomprimimos, lo copiamos al apartado web /var/www y lo instalamos: Añanimos las BBDD de daloradius al phpmyadmin Configuramos el fichero daloradius.conf.php y añadimos nuestro usuario y contraseña de la base de datos para que pueda enlazarse correctamente. Página 35
  36. 36. Arquitectura AAA Cristian Morín Pau Sabaté Añadiendo en el navegador http://localhost/daloradius podemos ver la administración de radius. Por defecto las credenciales que tiene daloradius son: Usuario: Administrador Pass: radius Página 36
  37. 37. Arquitectura AAA Cristian Morín Pau Sabaté Ahora procedemos a la configuración de la autorización y del accounting, para que quede registrado todo el tráfico que establece el usuario. Autorización: Para que la autorización quede guardada en las bases de datos tenemos que des comentar el sql del archivo sites-available/default Así podremos ver que ahora en la tabla de radcheck se almacenan todos los usuarios que creamos. Y gráficamente con el daloradius podemos ver la lista de usuarios que se han creado. Página 37
  38. 38. Arquitectura AAA Cristian Morín Pau Sabaté Accounting: Para poder almacenar el accounting tenemos que repetir el proceso con el mismo archivo pero des comentando del apartado accounting la línea que aparece # sql y le quitamos la # El accounting se almacena en la tabla radacct Gráficamente vemos que todos los usuarios se quedan grabados en un reporte con el usuario contraseña y hora exacta en el momento que entró Página 38
  39. 39. Arquitectura AAA Cristian Morín Pau SabatéPor último configuramos un cliente (NAS) para que coja peticiones y sepa que de ese cliente hade comprobar la autentificación de los usuarios. Para eso editamos el clientes.confY añadimos la ip del cliente con la contraseña compartida. Y apartir de aquí aceptara todas laspeticiones que le lleguen de esta ip.Por último nos dirigimos al daloradius y en el apartado Management/ Nas y en la lista de nasagregamos un nuevo nas con los datos del servidor apache:Configuración del cliente (NAS)En este apartado nos encargamos de la configuración del servidor al cual se va a pedir laautentificación y se hará el seguimiento del usuario que quiere ver los contenidos. En este casohemos cogido un servidor web en una distribución Ubuntu 10.04 dónde le hemos instalado unApache, la cual hemos configurado para que al entrar a la web o carpeta de contenidos(privada) nos pida un usuario y contraseña que irá autentificado contra Radius.Una vez tenemos apache instalado, procedemos a su configuración:Primero de todo tenemos que insertar la web en /var/www/ para que muestre algúncontenido. Despues de esto configuraremos que el directorio /var/www/WEB ha de pedirautentificación y que se valide contra el servidor radius. Página 39
  40. 40. Arquitectura AAA Cristian Morín Pau SabatéUna vez añadido el directorio dónde nos pedirá contraseña, añadimos en el fichero httpd.confquien va a ser el servidor que nos autentifica, es decir el servidor Radius.Le decimos la ip del Radius y la contraseña compartida, que coincida con la contraseñadefinida en el archivo clients.conf del servidor Radius.Y ya tenemos el servidor apache configurado Página 40
  41. 41. Arquitectura AAA Cristian Morín Pau Sabaté 3.7.1.2. Distribución WindowsUna vez explicada la configuración que se ha hecho en la distribución Linux (Ubuntu), pasamosa explicar la configuración en Windows (Windows 2003 Server).Para realizar esta configuración, se ha instalado una máquina virtual Windows 2003 Server quela hemos obtenido de MSDN Academic Alliance de manera gratuita por ser estudiante deStucom Centre d’Estudis (licencia incluída).Material: Máquina virtual 2003 Server, D-Link 802.11g Access Point, varios dispositivoswireless. Página 41
  42. 42. Arquitectura AAA Cristian Morín Pau SabatéUna vez instalada la máquina virtual, le configuramos una @IP estática dentro del rango de lared cableado del centro y lo ponemos en “Bridge”.Al punto de acceso también se le configura una @IP dentro del rango de la red cableada, yaque queremos replicar la red cableada y hacerla Wi-Fi. Para que se vea con el servidor 2003, hade estar en el mismo rango.Requerimientos: • Instalación de Active Directory • Instalación del Servidor de Aplicaciones • Instalación del IAS (Internet Authentication Service) • Instalación de una entidad emisora de Certificados (CA) • Configuración del RADIUS • Configuración de Usuarios • Configuración del AP • Configuración del cliente Página 42
  43. 43. Arquitectura AAA Cristian Morín Pau Sabaté • 4.4.1.2.1 Instalación de Active DirectoryEmpezamos a instalar el AD. Para realizar esto, hemos de ir a Administre su servidor -> Agregaro quitar función -> Active Directory. Página 43
  44. 44. Arquitectura AAA Cristian Morín Pau SabatéDamos nombre a nuestro nuevo dominio. El NETBIOS por defecto es el nombre de la raíz deldominio, en este caso CRISTIAN.Una vez acabamos con la instalación, pasamos al siguiente punto. • 4.4.1.2.2 Instalación del Servidor de AplicacionesIgual que al instalar el AD, instalamos el Servidor de Aplicaciones (necesario para loscertificados) y también hay que instalarlo en Panel de Control -> Agregar o quitar programas ->Agregar o quitar componentes de Windows -> Servidor de Aplicaciones Página 44
  45. 45. Arquitectura AAA Cristian Morín Pau Sabaté • 4.4.1.2.3 Instalación del IAS (Internet Authentication Service)Empezamos con la Instalación del servicio de autenticación (IAS).Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows-> Servicios de Red -> DetallesAquí marcamos la opción: Servicio de auntenticación de InternetUna vez hecha la instalación, iniciamos el servicio.Inicio -> Herramientas administrativas -> Servicio de autenticación de Internet. Página 45
  46. 46. Arquitectura AAA Cristian Morín Pau Sabaté Página 46
  47. 47. Arquitectura AAA Cristian Morín Pau SabatéPodemos ver que al instalar el Servicio de autenticación de Internet, se instala el servidorRADIUS.Ahora vamos a proceder a habilitar el IAS para que pueda leer cuentas de usuario en ActiveDirectory. Tenemos varias opciones para realizar este proceso. Nosotros hemos escogido la .opción desde la consola de administración MMC de IAS.A continuación simplemente le has de dar a Aceptar y ya tendrás registrado tu servicio IAS conAD Página 47
  48. 48. Arquitectura AAA Cristian Morín Pau SabatéProcedemos a instalar las Directivas de Acceso Remoto.Dentro de la ventana de Servicio de Autenticación de Internet, en el apartado Directivas deAcceso Remoto, click secundario y se nos abre un desplegable. Una de las opciones es “NuevaDirectiva de Acceso Remoto”.Se nos abre la ventana pidiéndonos Configuración y nombre de la nueva directiva. Marcamosla opción Personalizada en el apartado configuración. Página 48
  49. 49. Arquitectura AAA Cristian Morín Pau SabatéUna vez hemos puesto el nombre, hacemos click en Siguiente y ahora nos pide que le demosatributos/condiciones para la nueva directiva.Al marcarle la opción “Authentication-Type”, nos pide ahora el tipo de autenticación. Página 49
  50. 50. Arquitectura AAA Cristian Morín Pau SabatéAl aceptar y darle siguiente, nos pregunta si a ese tipo de conexión le damos permisos o nopara conectarse. En nuestro caso le decimos que sí.Y finalizamos el proceso.Ahora procedemos a instalar las Políticas de Acceso Remoto.En Inicio -> Herramientas Administrativas -> Enrutamiento y acceso remoto. Página 50
  51. 51. Arquitectura AAA Cristian Morín Pau Sabaté • 4.4.1.2.4 Instalación de una entidad emisora de CertificadosIgual que el Servicio de autenticación de Internet y Servidor de Aplicaciones, se ha de instalar através de Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes deWindows -> Servicios de Certificate Server. Página 51
  52. 52. Arquitectura AAA Cristian Morín Pau SabatéPara agregar un certificado, realizamos lo siguiente: 1. En la barra de direcciones del navegador, ponemos nuestra @IP /certsrv. Indicamos nuestro usuario y contraseña y accedemos Página 52
  53. 53. Arquitectura AAA Cristian Morín Pau Sabaté 2. Solicitamos un certificado y elegimos la opción de “Solicitud avanzada de certificado”. Ahora escogemos la primera opción “Crear y enviar un solicitud a esta CA”. 3. Creamos el certificado CA y lo instalamos. Página 53
  54. 54. Arquitectura AAA Cristian Morín Pau Sabaté 4. Procedemos a descargar el certificado para tenerlo en local. En la primera ventana que nos ha aparecido, nos da la opción de descargar el certificado. Página 54
  55. 55. Arquitectura AAA Cristian Morín Pau Sabaté • 4.4.1.2.5 Configuración del RADIUSUna vez instalados los certificados que hayamos querido crear, pasamos a la configuración delRADIUS: clientes, directivas y políticas de acceso remoto. 1. En la ventana de Servidor de Autenticación de Internet, en Clientes Radius, agregamos un nuevo cliente. 2. Ahora pasamos a darle un nombre al nuevo cliente y le especificamos su @IP Página 55
  56. 56. Arquitectura AAA Cristian Morín Pau Sabaté 3. Escogemos ahora el tipo de Cliente Proveedor y hemos de poner un secreto compartido, que ha de coincidir con la clave secreta del punto de acceso que configuraremos más adelante. 4. Y ahora, finalizamos. Ya se ha añadido nuestro cliente al servidor RADIUS.Así, se han de agregar todos los usuarios de manera.A parte de agregar nuevos clientes en el servidor RAIDUS, también se han de crear directivas ypolíticas de acceso remoto. Toda la instalación y configuración de estos apartados ya se harealizado en los apartados anteriores. Página 56
  57. 57. Arquitectura AAA Cristian Morín Pau Sabaté • 4.4.1.2.6 Configuración de UsuariosPasamos a la configuración de los usuarios en Windows 2003 Server. 1. Hacemos click en Inicio -> Herramientas Administrativas -> Usuarios y equipos de Active Directory -> Users . Aquí encontramos todos los usuarios y grupos del Server 2003. 2. Click derecho en la parte de los usuarios y grupos. Nuevo -> Usuario Página 57
  58. 58. Arquitectura AAA Cristian Morín Pau Sabaté 3. Una vez creado el cliente, creamos un grupo, Clientes AP que es el grupo que tiene tanto las directivas y las Políticas de Acceso Remoto y el grupo al que le hemos puesto los privilegios del certificado creado y que es el que tendrá privilegios para autenticarse una vez se establezca conexión entre el punto de acceso y el RADIUS Una vez creado el grupo, añadimos el usuario creado al grupo. Para poder encontrar el grupo, es necesario que se marque en la opción “Ámbito de grupo” la opción Universal Página 58
  59. 59. Arquitectura AAA Cristian Morín Pau Sabaté 4. En las propiedades del usuario creado, en el apartado “Marcado”, en la opción Permiso de Acceso Remoto se ha de marcar “Controlar acceso a través de la directiva de acceso remoto”. Sin embargo, para poder marcar esta opción, previamente has de haber elevado el nivel funcinal de tu Servidor, porqué sino no podrás marcarlo. Página 59
  60. 60. Arquitectura AAA Cristian Morín Pau Sabaté • 4.4.1.2.7 Configuración del APUna vez configurados los usuarios y los grupos que se van a poder autenticar contra el RADIUS,vamos a pasar a la configuración del punto de acceso. 1. En el navegador del Servidor, nos conectamos a la @IP del punto de acceso. Nos pide usuario y contraseña. 2. Vamos a “Wireless”. Ahora os describimos brevemente cada ajuste. a. Mode: El modo en el cual se va a utilizar el punto de acceso b. SSID: Nombre de nuestro red Wi-Fi c. SSID Broadcast: Si quieres que sea visible a todos los dispositivos Wireless d. Authentication (IMPORTANTE): Escoges el tipo de autenticación que vas a utilizar. En nuestro caso lo ponemos como WPA2-EAP, ya que antes, en las directivas de acceso remoto, le hemos puesto el modo de autenticación EAP. Página 60
  61. 61. Arquitectura AAA Cristian Morín Pau SabatéAhora pasamos a explicar los ajustes del Servidor Radius: a. Radius Server: Especificas al @IP del servidor RADIUS. En nuestro caso el coincide con el servidor de AD. b. Radius Port: Radius utiliza por defecto el puerto 1812. En caso de administración utiliza el 1813. c. Radius Secret (IMPORTANTE): Es la contraseña que se ha especificado al crear un nuevo cliente RADIUS.Ahora simplemente se le da a “Apply”, se reiniciará el AP y ya se tendrá configurado el puntode acceso. Página 61
  62. 62. Arquitectura AAA Cristian Morín Pau Sabaté 3.7.1.3. Otros serviciosEn la arquitectura AAA hemos introducido un servidor Wikid, es un servidor de autentificaciónmuy segura que establece una conexión encriptada entre el servidor y el cliente (con una clavepublica) asi, simulando una VPN. Lo que hace exactamente es que un cliente selecciona undominio creado por el servidor y entra un PIN establecido entre el servidor-cliente, asegurandoque solo puede ser descifrada por el servidor con su clave privada. Una vez la comunicacióncifrada el servidor pide un usuario y contraseña autentificada por Radius.Procederemos a la configuración de las interfaces para poder entrar al menú de configuración:Configuraremos el dominio y la interfaz eth0 con una ip y añadiremos el router i los DNS :Una vez hecha toda la configuración iremos al navegador y pondremos la ip del servidor wikid,para entrar a la configuración mediante web con la interfaz de wikid:Dentro de la configuración lo primero que tenemos que hacer es crear una identidad alcertificado, para ello tenemos que añadir todas las credenciales y una contraseña. Página 62
  63. 63. Arquitectura AAA Cristian Morín Pau Sabaté Una vez creado el certificado tenemos que validarlo para generar la clave pivada y publica, prara eso tenemos que copiar el certificado creado (1) validarlo (2), la cual genera otro código(3) y pegarlo para protegerlo con una contraseña(4). Este certificado será el cual se enviara al cliente para poder establecer la conexión1 2 43 Página 63
  64. 64. Arquitectura AAA Cristian Morín Pau SabatéY con esto ya tenemos el certificado creadoEl siguiente paso es enlazar el servidor Wikid con el servidor radius para poder validar losusuarios de radius con el servidor Wikid. Para ello añadimos la ip del servidor radius y laautentificación:Una vez enlazado el radius y añadido en el archivo clients.conf (del servidro radius) creamos eldominio donde los clientes se conectaran. Dominio Radius Página 64
  65. 65. Arquitectura AAA Cristian Morín Pau SabatéY ya tenemos el dominio creado:Ahora los clientes sólo tienen que descargarse el cliente wikid para poder loguearse contra elservidor y establecer una comunicación encriptada. Añadimos las credenciales del servidor enel cliente: Página 65
  66. 66. Arquitectura AAA Cristian Morín Pau SabatéY ahora para poder entrar en la web del servidor aparche (192.168.32.167) estableceremosuna comunicación encriptada, y con el usuario y contraseña protegido por radius. Página 66
  67. 67. Arquitectura AAA Cristian Morín Pau Sabaté 3.8. Rivales (diferencias con TACACS+)Radius tiene varios rivales, uno de los más famosos implantado por cisco es TACACS+, no se hacreado para competir con radius si no para contribuir con él, ya que cisco soporta Radius desdeque saco la “IOS release 11.1” y por ello continua apoyando y mejorando radius en muchascaracterísticas. Vamos a comparar los dos protocolos en diferentes características, entreprotocolos, encriptaciones, Autentificación y Autorización:Protocolos que usan:Radius utiliza UDP a diferencia de TACACS+ que utiliza TCP. TCP orientado a conexiónestablece más seguridad a la hora de la entrega de los paquetes mientras que radius al utilizarUDP garantiza la rapidez de los paquetes al llegar al destino. A continuación veremos unejemplo de una comunicación en el login de autentificación:Tráfico de TACACS+ al loguearse(TCP): Página 67
  68. 68. Arquitectura AAA Cristian Morín Pau SabatéTráfico de RADIUS al loguearse(UDP):Viendo todo la comunicación que utilizan los dos protocolos vemos que en TCP necesita másdel doble de tráfico para hacer login y en cambio con UDP deducimos que será mucho másrápido.Encriptación de paquetes: - Radius cómo hemos visto en los paquetes UDP que envía tal y cómo hemos visto solo encripta la contraseña en MD5 - TACACS+, a diferencia de radius encripta todo el cuerpo del paquete esto hace que sea muy pesado a la hora de la comunicación.Autenticación y autorización - Radius combina la autenticación y la autorización conjunta creando un paquete como Acces-Acept, que son enviados por el servidor radius. - TACACS+ usa la arquitectura AAA, separa todos los procesos para la autenticación, autorización y el accounting. Página 68
  69. 69. Arquitectura AAA Cristian Morín Pau Sabaté4. ConclusionesEn este trabajo hemos aprendido a crear una red segura con una arquitectura en concreto, eneste caso es la arquitectura AAA. Principalmente hemos conocido toda la teoría de los 4principios de seguridad (Autenticación, autorización, accounting y Auditoria). Todos losprotocolos, en qué consisten cada uno y su funcionamiento en casos prácticos. Por otra partecon esta arquitectura hemos aprendido a diseñar una red con seguridad para usuariosdefinidos en un servidor Radius. Hemos visto que tiene diferentes funciones para los usuarioshaciendo un seguimiento punto por punto. Esto hace que puedas saber todo de un usuario.Por otra parte, debajo, en capas inferiores hemos visto cómo funciona a niveles de capa física,cómo los protocolos que usa, los paquetes que envía, la codificación de las contraseñas y losprotocolos que hay en cada una de las partes que se envían. Lo más importante ha sidoaprender en mayor parte la diferencia entre las tres AAA, y aplicarlas en modo práctico yteórico para distinguir qué y cómo hace cada una de los procedimientos.Por lo que hace los objetivos que hemos creado a lo largo del proyecto hemos podidoconseguirlos, uno de los más exitosos ha sido la creación del dominio de Windows y dónde losusuarios se pueden autentificar a un punto de acceso con los mismos usuarios que acceden aWindows. Por otra parte un sistema web con contenidos dónde los usuarios se autentificanpor un RADIUS creado en Linux y los usuarios se guardan en una base de datos en SQL. Unosde los mayores conocimientos que hemos adquirido han sido conocer los distintos protocolosde seguridad que hay en las redes WiFi con el protocolo 802.1x junto con el protocolo EAP deRADIUS.Durante el proyecto lo que nos ha sido de gran ayuda ha sido poder tener todo los servidoresvirtualizados con VmWare y así poder tener más de un servidor en una máquina. Esto nos hahecho que pudiéramos tener copias de seguridad en todo momento. Aprendimos de esto yaque modificando configuraciones tuvimos un problema de configuración la cual nos obligo areinstalar de nuevo el servidor radius con la distribución de Linux. Creo que con Vmware nosha realizado una experiencia que nos ha servido de ayuda para poder simular los servidores eneste proyecto. Página 69
  70. 70. Arquitectura AAA Cristian Morín Pau Sabaté5. Líneas FuturasHemos enfocado este proyecto cómo una simulación de una empresa. Como todas lasempresas pueden generar un crecimiento y poder aumentar los departamentos y lugares detrabajo. Con esto significa que con una ampliación de la empresa habría que aumentar laseguridad en la red o incluso integrar diferentes servicios.A un futuro si quisiéramos ampliar la red, recomendaríamos añadir un sistema de hotspot enel punto de acceso, para así contabilizar el tráfico de los usuarios.Por otra parte, en el caso de que fuera una empresa de telecomunicaciones o de móvilesaplicar otros protocolos aparte de RADIUS y así poder contabilizar la tarificación online (tarificación in situ) o la tarificación por lotes ( mensual trimestral..) de los móviles un ejemplode protocolos podría ser Diameter o Billing. Página 70
  71. 71. Arquitectura AAA Cristian Morín Pau Sabaté6. Web grafía • www.fpnetzone.com • http://technet.microsoft.com/es-es/library/cc757473%28v=ws.10%29 • http://freeradius.org/ • http://www.daloradius.com/ • http://es.scribd.com/doc/80563891/Radius • http://brixtoncat.esdebian.org/27318/comparativa-tacacs-radius • http://repositorio.utn.edu.ec/bitstream/123456789/593/3/CAPITULO%20III.pdf • http://www.elladodelmal.com/2007/01/proteger-una-red-wireless-iii-de-iii.html • http://technet.microsoft.com/es-es/library/aa996120(v=exchg.65).aspx • http://www.windowsnetworking.com/kbase/WindowsTips/Windows2003/AdminTips/ Applications/InstallingtheWindowsServer2003NetworkMonitor.html • http://www.elladodelmal.com/2007/01/proteger-una-red-wireless-iii-de-iii.html Página 71
  72. 72. Arquitectura AAA Cristian Morín Pau Sabaté7. AnexosAntes de poner en práctica todo el sistema lo hemos simulado con packet tracert y aquítenemos la simulaciónConfiguración de los RutersSh Run de los routersRuter 0hostname Router!aaa new-model!aaa authentication login TELNET-LOGIN localaaa authentication login default local enable!username admin secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0username radius secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0!spanning-tree mode pvst!interface FastEthernet0/0 ip address 192.168.32.1 255.255.255.0 ip nat inside duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside duplex auto speed auto!interface Serial0/0/0 ip address 20.20.20.1 255.255.255.0 ip nat outside clock rate 64000!interface Serial0/0/1 no ip address clock rate 2000000 shutdown!interface Vlan1 no ip address shutdown!ip nat inside source list 1 interface Serial0/0/0 overload Página 72
  73. 73. Arquitectura AAA Cristian Morín Pau Sabatéip nat inside source static tcp 192.168.32.166 1812 20.20.20.2 1812ip nat inside source static tcp 192.168.32.167 80 20.20.20.2 80ip nat inside source static tcp 192.168.32.168 8388 20.20.20.2 8388ip classless!access-list 1 permit 192.168.1.0 0.0.0.255access-list 1 permit 192.168.32.0 0.0.0.255access-list 101 permit tcp 192.168.32.0 0.0.0.255 eq 1812 192.168.1.0 0.0.0.255 establishedaccess-list 101 permit tcp 192.168.32.0 0.0.0.255 eq www 192.168.1.0 0.0.0.255 establishedaccess-list 101 deny ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255access-list 101 permit ip 20.20.20.0 0.0.0.3 192.168.1.0 0.0.0.255access-list 101 deny ip any any!line con 0line vty 0 4 login authentication TELNET-LOGIN!endRouter 1hostname Router!aaa new-model!aaa authentication login TELNET-LOGIN localaaa authentication login default local enable!username admin secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0username radius secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0!spanning-tree mode pvst!interface FastEthernet0/0 ip address 192.168.32.1 255.255.255.0 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/0/0 ip address 20.20.20.2 255.255.255.0 ip nat outside! Página 73
  74. 74. Arquitectura AAA Cristian Morín Pau Sabatéinterface Serial0/0/1 no ip address clock rate 2000000 shutdown!interface Vlan1 no ip address shutdown!ip nat inside source list 1 interface Serial0/0/0 overloadip nat inside source static tcp 192.168.32.191 1812 20.20.20.2 1812ip classless!access-list 1 permit 192.168.32.0 0.0.0.255!line con 0line vty 0 4 login authentication TELNET-LOGIN!endSimulación de la comunicación Radius en packet tracet Página 74
  75. 75. Arquitectura AAA Cristian Morín Pau SabatéConfiguramos el acces point (Linksys) Página 75
  76. 76. Arquitectura AAA Cristian Morín Pau SabatéConectamos el portátil al Linksys Página 76
  77. 77. Arquitectura AAA Cristian Morín Pau Sabaté Página 77

×