Servidor RADIUS

IES Gran Capitn
Departamento de Informtica
Ciclo Formativo de Grado Superior de
Administracin de Sistemas Informticos
Mdulo de Proyecto Integrado

Manuel Monzn Prez 2 ASIR
Proyecto: AUTENTICACIN CON RADIUS
Curso 2015/2016
ndice de contenido
1.- Introduccin.....................................................................................................................................................................2
2.- Objetivos y requisitos del proyecto.................................................................................................................................2
3.- Estudio previo.................................................................................................................................................................2
3.1.- Estado actual...........................................................................................................................................................2
3.2.- Estudio de soluciones existentes.............................................................................................................................3
Solucin elegida............................................................................................................................................................15
4.- Plan de trabajo...............................................................................................................................................................15
5.- Diseo............................................................................................................................................................................15
5.1.- Diseo general......................................................................................................................................................15
5.2.- Diseo detallado...................................................................................................................................................17
6.- Implantacin..................................................................................................................................................................18
7.- Recursos........................................................................................................................................................................22
7.1.- Herramientas hardware.........................................................................................................................................22
7.2.- Herramientas software..........................................................................................................................................22
7.3.- Personal................................................................................................................................................................22
7.4.- Presupuesto...........................................................................................................................................................22
8.- Conclusiones.................................................................................................................................................................23
8.1.- Grado de consecucin de objetivos......................................................................................................................23
8.2.- Problemas encontrados.........................................................................................................................................23
8.3.- Futuras mejoras.....................................................................................................................................................23
9.- Referencias / bibliografa..............................................................................................................................................23
10.- Anexos.........................................................................................................................................................................23
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
1.- Introduccin
Se quiere adoptar una mayor seguridad en la red WiFi de la que se dispone, para que solo se puedan conectar los
usuarios que nosotros deseemos.
2.- Objetivos y requisitos del proyecto

Implementar autenticacin en una red wifi
Red Wifi con requisitos mnimos de seguridad
Gestin de usuarios del sistema en una mquina virtual en Jpiter y/o en el propio titan
Soporte para clientes Windows y Linux
3.- Estudio previo

3.1.- Estado actual
Actualmente la red con la que contamos est compuesta por una red general dividida en varias subredes (clases) con las
que dividir el trfico de la red. Por lo que en cada subred tenemos un punto de acceso.
Como sistema de proteccin para las redes inalmbricas se usa WPA2 con la cual se corrigen vulnerabilidades
detectadas en WPA. El tipo de cifrado usado es el AES (Advanced Encryption Standard), es el ms seguro introducido
con WPA2 y adoptado por el gobierno de EEUU, y las principales debilidades sera mediante ataques de fuerza bruta,
que a su vez son evitadas por el uso de una fuerte contrasea. Por lo tanto, ese tipo de proteccin y cifrado es la ms
aconsejable.
En estos momentos existen dos tipos de puntos de acceso:
d-link dwl-2100ap (usado en las aulas 114, 115 y 116)
Rendimiento 15 veces superior que el de un producto Wireless 11b
Ancho de Banda de 108Mbps, en 2.4GHz
Compatible con productos que operen bajo el estndar 802.11b y 802.11g y todos los productos wireless de DLink
Cuatro modos de operacin. Access Point, Bridge PtP, Bridge PtMP y AP Cliente
Antena desmontable con conector RSMA
DHCP Server
Fcil Instalacin
Alto Rendimiento
Fcil integracin en la red
Slo entre equipos AirPlus Xtreme G y AirPremier AG operando en modalidad SuperG
asus rt-n12eB (usados en el Departamento de Informtica y en el aula 112)
Modos inalmbricos mltiple 3 en 1 router / Punto de acceso / Range Extender
Dos antenas 5dBi desmontable para una cobertura ms potente y ms amplia
4 SSID ayudan a gestionar la asignacin de ancho de banda y control de acceso
Potente multitarea en lnea de hasta 30.000 sesiones de datos
Ancho de banda de 300Mbps
De fcil instalacin y manejo
Aumenta drsticamente la cobertura de la seal inalmbrica y la calidad con un amplificador de seal

incorporado
3.2.- Estudio de soluciones existentes

Autenticacin de usuarios
Kerberos:
Es un protocolo de autenticacin de redes que permite a los equipos de una red insegura demostrar su identidad
de manera segura. Es un modelo cliente-servidor y tanto cliente como servidor verifican la identidad uno del
otro.
Kerberos se basa en una criptografa de clave asimtrica y requiere de un tercero de confianza (KDC) el cual
consiste de dos partes lgicas separadas: un servidor de autenticacin y un servidor emisor de tiquets.
Elementos
Un servidor Kerberos se denomina KDC (Kerberos Distribution Center), y provee de dos servicios
fundamentales: el de autenticacin (AS, Authentication Service) y el de tickets (TGS, Ticket Granting Service).
El primero tiene como funcin autenticar inicialmente a los clientes y proporcionarles un ticket para
comunicarse con el segundo, el servidor de tickets, que proporcionar a los clientes las credenciales necesarias
para comunicarse con un servidor final que es quien realmente ofrece un servicio. Adems, el servidor posee
una base de datos de sus clientes (usuarios o programas) con sus respectivas claves privadas, conocidads
nicamente por dicho servidor y por el cliente al que pertenece.
La arquitectura de Kerberos est basada en tres objetos de seguridad:
Clave de sesin: es una clave secreta generada por Kerberos y expedida a un cliente para uso con un servidor
durante una sesin; no es obligatorio utilizarla en la toda la comunicacin con el servidor, slo si el servidor lo
requiere o si el servidor es un servidor de autenticacin. Se suele denominar a esta clave KCS, para la
comunicacin entre un cliente C y un servidor S.
Ticket: es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de un
servidor; garantiza que el cliente ha sido autenticado recientemente. A un ticket de un cliente C para acceder a
un servicio S se le denomina {ticket (C, S)} KS = { C, S, t1, t2 }KS . Este ticket incluye el nombre del cliente
C, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesin KS
asociada para uso de cliente y servidor. Kerberos siempre proporciona el ticket ya cifrado con la clave secreta
del servidor al que se le entrega.
Autenticador: es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la
actualidad de la comunicacin; slo puede ser utilizado una vez. Un autenticador de un cliente C ante un
servidor S se denota por { auth ( C ) KCS = { C, t } KCS. Este autenticador contiene, cifrado con la clave de la
sesin, el nombre del cliente y un timestamp.
Ventajas:
Autenticacin mutua. El cliente puede validar la identidad de la entidad de seguirdad del servidor y el
servidor puede validar el cliente. Normalmente esta autenticacin se suele hacer entre un cliente y un
servidor aunque se podra hacer entre dos servidores.
Vales de autenticacin seguros. Slo se utilizan vales cifrados y las contraseas estn incluidas en el vale.
Autenticacin integrada. Una vez que el usuario haya iniciado sesin, no necesitar iniciar sesin
nuevamente para tener acceso a cualquiera de los servicios que admite la autenticacin Kerberos, siempre
y cuando el vale del cliente no haya expirado. Cada vale o ticket tiene una vigencia, que est determinada
por las directivas del dominio Kerberos que genera el vale.
Desventajas:
La migracin de las contraseas de usuarios desde una base de datos de contraseas estndar UNIX, tal
como /etc/passwd o /etc/shadow, a una base de datos de contraseas Kerberos, puede ser tediosa y no hay
un mecanismo rpido para realizar esta tarea.
Kerberos presupone que cada usuario es de confianza, pero que est utilizando una mquina no fiable en
una red no fiable. Su principal objetivo es el de prevenir que las contraseas no cifradas sean enviadas a
travs de la red. Sin emargo, si cualquier otro usuario, aparte del usuario adecuado, tiene acceso a la
mquina que emite tickets (KDC) para la autenticacin, Kerberos estar en riesgo.
Para que una aplicacin use Kerberos, el cdigo debe ser modificado para hacer las llamadas apropiadas a
las libreras de Kerberos. Las aplicaciones que son modificadas de esta forma son consideradas como
Kerberizadas. Para algunas aplicaciones, esto puede suponer un esfuerzo excesivo de programacin,
debido al tamao de la aplicacin o su diseo. Para otras aplicaciones incompatibles, los cambios se deben
realizar en el modo en el que el servidor de red y sus clientes se comunican; de nuevo, esto puede suponer
bastante programacin. En general, las aplicaciones de cdigo cerrado que no tienen soporte de Kerberos
son usualmente las ms problemticas.
Finalmente, si decide usar Kerberos en su red, debe darse cuenta de que es una eleccin de todo o nada, So
decide usar Kerberos en su red, debe recordar que si se transmite cualquier contrasea a un servicio que no
usa Kerberos para autentica, se corre el riesgo de que el paquete pueda ser interceptado. As, su red no
obtendr ningn beneficio de usar Kerberos. Para asegurar su red con Kerberos, solo debe utilizar las
versiones Kerberizadas de todas las aplicaciones cliente/servidor que enven contraseas sin cifrar o no
utilizar ninguna de estas aplicaciones en la red.
Servidor NPS:
El servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a la red en toda la
organizacin con fines de mantenimiento de clientes, autenticacin de solicitudes de conexin y autorizacin
de solicitudes de conexin.
NPS permite configurar y administrar de forma centralizada directivas de autenticacin de acceso a la red,
autorizacin y mantenimiento de clientes
Adems, puede usar NPS como un proxy RADIUS para reenviar solicitudes de conexin a servidores NPS u
otros servidores RADIUS que configure en grupos de servidores RADIUS remotos.
NPS contiene tambin componentes clave para implementar la Proteccin de Acceso a Redes (NAP) en la red,
y puede implementarse de su organizacin y sus equipos con conectividad de red a travs de servidores de
acceso de red, como servidores de red privada virtual (VPN), puntos de acceso inalmbricos y servidores de
mercado telefnico, puede usar NPS para crear, administrar e imponer las directivas de acceso de red que
determinan si los usuarios y equipos pueden o no se pueden acceder a la red. Durante este intento de conexin,
los usuarios y equipos suelen proporcionar las credenciales de cuenta en forma de un nombre de usuario y
contrasea o un certificado. NPS puede examinar estas credenciales y utilizarla para verificar la identidad o
autenticar el usuario o equipo antes de permitir el acceso a la red.
NPS tambin permite determinar si el usuario o el equipo tiene permiso para acceder a la red mediante la
autorizacin de la solicitud de conexin con propiedades de la cuenta de usuario, las directivas de red que haya
creado o ambos.
Ventajas:
Una de las ventajas que proporciona NPS es la configuracin de las directivas de red en un servidor (el
servidor que ejecuta NPS) que se aplican a muchos servidores. Por ejemplo, si tienen 10 puntos de acceso
inalmbrico y no utilizan NPS, debe configurar las directivas de acceso 10 veces; pero si usa NPS, debe
configurar cada directiva slo una vez
Por lo tanto, mediante el uso de NPS se puede administrar centralmente el acceso a la red para las
organizaciones de todos los tamaos, incluidas las PYMES, organizaciones empresariales e ISP
RADIUS
Es uno de los sistemas ms antiguos usados en Internet. RADIUS ejecuta un programa de software en un
servidor. Cuando un usuario intenta conectarse a la red, un programa cliente RADIUS dirige todos los datos de
usuario al servidor para la autenticacin. El servidor aloja los datos de autenticacin del usuario en un formato
encriptado y enva una respuesta de paso o rechazo.
Por lo tanto, es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad
IP. Utiliza el puerto 1812 UDP para establecer sus conexiones, por lo tanto tendr una comunicacin sin
conexin, o sea, best-effort.
RADIUS a diferencia de otros sistemas, est ms orientado al usuario final del servicio.
Cmo trabaja RADIUS?
RADIUS desempea tres funciones primarias explicadas a continuacin con un ejemplo:
Cuando se realiza la conexin con un ISP mediante mdem, Ethernet o Wi-Fi se enva una informacin que
generalmente es un nombre de usuario y una contrasea.
Esta informacin se transfiere a un dispositivo Network Access Server (NAS, Servidor de Acceso a la Red)
sobre el protocolo PPP, quien dirige la peticin a un servidor RADIUS sobre el protocolo RADIUS.
Autenticacin: El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de
autenticacin como PAP, CHAP, EAP.
Autorizacin: Indica si un usuario puede o no acceder a cierto recurso. Si es aceptado, el servidor autorizar el
acceso al sistema del ISP y le asigna los recursos de red como una IP y dems parmetros.
Auditora: Almacena datos sobre cuando y como se realizan peticiones (tanto aceptadas como rechazadas).
Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones,
notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y
facturar en consecuencia.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores
de Acceso a la Red (NAS), ms tarde se public como RFC 2138 y RFC2139. Actualmente existen muchos
servidores RADIUS, tanto comerciales como de cdigo abierto. Las prestaciones pueden varia, pero la mayora
pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se
utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una
administracin centralizada y pueden reescribir paquetes RADIUS al vuelo.
Algunas de sus caractersticas son:
Seguridad
Flexibilidad
Administracin simple
Capacidad extensiva de auditora
Ventajas:
Mejora considerable de la seguridad
Posibilidad de aplicar restricciones a un usuario/perfil en particular
Mejora en la presentacin de informes (reporting) y en el seguimiento (tracking) basado en los nombres de

usuarios, incluso ms an si est atado a un backend LDAP o AD
Cuando un usuario se autentifica en una SSID usando 802,1X, esa sesin individual est encriptada nicamente
entre el usuario y el punto de acceso. Esto significa que otro usuario conectado al mismo SSID no puede
escuchar el trfico ni robar informacin, dado que estn utilizando diferentes claves de encriptacin para sus
respectivas conexiones. En cambio en una red PSK, cada dispositivo conectado al punto de acceso comparte la
misma encriptacin de conexin, por lo que otros usuarios podran espiar en el trfico si quisieran.
Es posible desconectar a un nico usuario o dispositivo sin afectar al resto y sin cambiar la clave al resto
Puedes asignar permisos individuales para cada usuario. En cambio en el mtodo de clave compartida slo
puedes crear un nico perfil de usuario que todos compartirn
Desventajas:
Si los usuarios se conectan a la red inalmbrica con un dispositivo personal, 802,1X/RADIUS puede ser ms
complejo a la hora de configurar para los usuarios finales, especialmente quienes usen Windows
No soporta algunos protocolos como son ARA (Protocolo de Acceso Remoto AppleTalk), Protocolo de
Control de Tramas NetBIOS, NASI (Interfaz de Servicios Asncronos de Novell) y conexiones X.25 con PAD
Tampoco permite al usuario el control de los comandos que pueden ser ejecutados en un router y cuales no. Por
lo tanto, RADIUS no es tan til para la gestin del router o flexible para servicios de terminal
Slo encripta la contrasea, por lo tanto no encripta ni el nombre de usuario ni otros posibles datos asociados
TACACS+:
Acrnimo de Terminal Access Controller Access Control System (Sistema de Control de Acceso del
Controlador de Acceso a Terminales) fue desarrollado a partir de la experiencia de Cisco con RADIUS. Es un
protocolo de autenticacin remota que se usa para gestionar el acceso (proporciona servicios separados de
autenticacin, autorizacin y registro) a servidores y dispositivos de comunicaciones.
El Departamento de Defensa de Estados Unidos lo desarroll para resolver algunos de los problemas con los
servidores de acceso remoto de RADIUS. ste sistema est diseado para los administradores de red que deben
conectarse de forma remota a los dispositivos de la red.
Tambin usa el modelo Cliente-Servidor siendo el NAS el cliente. Usa como transporte el protocolo TCP, por
lo tanto el dilogo entra el NAS y el TACACS+ ser orientado a la conexin.
Funcionamiento
TCP provee un ACK separado de que un Access-Request ha sido recibido por el server TACACS+. Adems
TCP provee una indicacin inmediata de un server no disponible. An teniendo conexiones TCP con un timer
de expiracin de espera de ACK largo, podremos tener la certeza de un server que sale de servicio y luego
entra nuevamente en operacin. UDP no puede darnos esta certeza, ni siquiera puede discriminar entre un
server cado, un server lento o inexistente y por lo tanto RADIUS tampoco. Usando los keepalives de TCP
podemos detectar las cadas del servidor TACACS+ fuera de banda. Adems con TACACS+ podemos
establecer y mantener conexiones simultneas con varios server, de esa manera no se necesita requerir servicio
solo a server que conocemos que estn en servicio en cada momento.
TACACS+ encripta todo el paquete dejando solo un header standar TACACS+. En ese header existe un campo
que indica si el cuerpo del paquete ha sido encriptado o no. Normalmente es ms seguro optar por la total
encriptacin del cuerpo del paquete. Este protocolo usa una arquitectura modular llamada AAA
(Authentication, Authorization & Accounting), la cual separa las tres funciones: Autenticacin, Autorizacin y
Contabilizacin. Este flexibilidad le da ventaja sobre RADIUS, puesto que podemos usar TACACS+
para la autorizacin y contabilizacin y hacer la autenticacin por medio de Kerberos u otro sistema. Despus
de que un NAS autentica mediante un servidor Kerberos, proceder a requerir informacin de autorizacin y/o
perfil de usuario al server TACACS+ sin tener que volverse a autenticar en el TACACS+. El NAS informa al
TACACS+ de la exitosa autenticacin del usuario por Kerberos y entonces el server TACACS+ proveer la
informacin de autorizacin del usuario.
Como en otros sistemas ya explicados, TACACS+ desempea tres funciones:
Autenticacin: La autenticacin es el proceso de validacin de la identidad de un usuario. TACACS+ logra

esto a travs de un nombre de usuario y la contrasea suministrada por el usuario. TACACS+ separa los
procesos de autenticacin, autorizacin y contabilidad, proporcionando un nivel de granularidad y flexibilidad
que no se encuentra en RADIUS.
Autorizacin: Proporciona una gestin centralizada de autorizacin y seguridad ms estricta comprobando

cada comando emitido en contra de la base de datos de configuracin de autorizacin. Esto garantiza que el
usuario slo se le permite ejecutar comandos que est autorizado a emitir.
Contabilidad: Los auditores de red requieren de actividad para hacer su trabajo correctamente, lo que significa
que necesitan los registros de actividad.
Ventajas:
Encripta tanto el nombre de usuario, contrasea y otros datos asociados
TACACS+ aade la funcin de Contabilidad que no tenan en versiones anteriores
No necesita variables extras como RADIUS para controlar intentos de retransmisin y timers, puesto que el
protocolo de transporte se encarga de lograr un canal de comunicaciones seguro, transparente y libre de errores
Ofrece soporte multiprotocolo. Soporta de forma nativa su funcionamiento sobre familias de protocolos
distintos de TCP/IP como ARA, NetBIOS, NASI y PAD (gran ventajas sobre RADIUS)
Flexibilidad para poder separar las tres funciones bsicas
Desventajas:
Incompatible con las versiones anteriores de TACACS
Necesita mucho ms ancho de banda que otros sistemas, por lo que podra causar problemas de rendimiento si
se usa con mucha asiduidad
Debido a que la base de datos del usuario no reside en el servidor TACACS+, el rendimiento puede ser lento
Gestin de usuarios del sistema
Servidor Active Directory

Es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de
computadoras. Utiliza distintos protocolos como LDAP, DNS, DHCP, Kerberos, etc.
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetos
tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesin en los equipos conectadas a la
red, as como tambin la administracin de polticas en toda la red.
Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como
usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso.
AD permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores
y aplicar actualizaciones crticas a una organizacin entera. Un AD almacena informacin de una organizacin en una
base de datos central organizada y accesible. Puede encontrarse desde directorios con cientos de objetos para una red
pequea hasta directorios con millos de objetos.
Caractersticas
Administracin simplificada de usuarios y recursos de red

Puede utilizar AD para crear estructuras de informacin jerrquicas, que simplifican el control de las
credenciales administrativas y otras opciones de seguridad y permiten a los usuarios localizar recursos de red,
como archivos e impresoras con mayor facilidad
Infraestructura y aplicaciones habilitadas parpa el uso de directorios

Las caractersticas de AD facilitan la configuracin y administracin de las aplicaciones y otros componentes
de red habilitados para el uso de directorios
Escalabilidad sin complejidad

AD puede escalarse hasta llegar a tener millones de objetos por cada dominio y utiliza tecnologa de indizacin
y tcnicas de replicacin avanzadas para aumentar el rendimiento
Uso de los estndares de Internet

Proporciona acceso mediante LDAP y utiliza un espacio de nombres basado en el DNS
Un entorno de desarrollo eficaz

Ofrece un entorno de desarrollo eficaz mediante las interfaces de servicio de AD (ADSI), que le proporciona
una interfaz orientada a objetos
Replicacin y supervisin de confianza

AD proporciona clases de Instrumental de administracin de Windows (WMI) que supervisan si los
controladores de dominio replican correctamente la informacin de AD y si las relaciones de confianza
funcionan adecuadamente
Componentes de Active Directory

AD utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organizacin. Las
estructuras lgicas de la organizacin se representan en los siguientes componentes de AD:
Dominio:
La unidad central de la estructura lgica de AD es el dominio, que puede almacenar millones de objetos. Los
objetos que se almacenan en un dominio son aquellos que se consideran interesantes para la red
Recursos (impresoras, escner, etc)
Servicios (correo, impresin, etc)
Usuarios, Grupos, OU
OU:
Es un contenedor que se utiliza para organizar objetos dentro de un dominio en grupos administrativos lgicos
que reflejan la estructura funcional y de negocios de una organizacin
rbol:
Un rbol es una agrupacin o una ordenacin jerrquica de uno o ms dominios que se pueden crear aadiendo
uno o ms dominios secundarios a un dominio principal existente
Bosque:
Un bosque es una agrupacin o configuracin jerrquica de uno o ms rboles de dominio distintos y
completamente independientes entre s
Ventajas:
Mayor seguridad frente a los servidores NT
Control sobre las instalaciones que tienen los usuarios
Control sobre el tipo de acceso que tendr cada usuario
Seguridad en los datos
Mejores en el rendimiento y la confiabilidad
Sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio
Es una implementacin de servicio de directorio centralizado en una red distribuida que facilita el control, la
administracin y la consulta de todos los elementos lgicos de una red
Desventajas
Mayor tamao de disco duro
Requerimiento de memoria
No es software libre
Es caro
Servidor OpenLDAP
Se trata de una implementacin libre del protocolo que soporta mltiples esquemas por lo que puede utilizarse para
conectarse a cualquier otro LDAP. Tiene su propia licencia, la Open Ldap Public License. Al ser un protocolo
independiente de la plataforma, varias distribuciones Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac Os X,
Windows.
LDAP son las siglas de Protocolo Ligero/Simplificado de Acceso a Directorios, que hacen referencia a un protocolo a
nivel de aplicacin que permite a un servicio de directorio ordenador y distribuido para buscar diversa informacin en
un entorno de red. LDAP tambin se considera una base de datos a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lgica y jerrquica. El ejemplo ms
comn es el directorio telefnico, que consiste en una serie de nombres que estn ordenados alfabticamente, con cada
nombre teniendo una direccin y un nmero de telfono adjuntos. Para entender mejor, es un libro o carpeta, en la cual
se escribe nombres de personas, telfonos y direcciones, y se ordena alfabticamente
Un rbol de directorio LDAP a veces refleja varios lmites polticos, geogrficos u organizaciones, dependiendo del
modelo elegido. Los despliegues actuales de LDAP tienden a usar nombres de DNS para estructurar los niveles ms
altos de la jerarqua. Conforme se desciende en el directorio pueden aparecer entradas que presentan personas, OU,
impresoras, documentos, grupos de personas o cualquier cosa que presenta una entrada dad en el rbol.
Habitualmente, almacena la informacin de autenticacin (usuario y contrasea) y es utilizado para autenticarse aunque
es posible almacenar otra informacin (datos de contacto del usuario, ubicacin de diversos recursos de la red,
permisos, certificados, etc). A manera de sntesis, LDAP es un protocolo de acceso unificado a un conjunto de
informacin sobre una red.
ESTRUCTURA
El protocolo accede a directorios LDAP:
Un directorio es un rbol de entradas de directorio
Una entrada consta de un conjunto de atributos
Un atributo tiene un nombre (tipo de atributo o descripcin de atributo)
Cada entrada tiene un identificador nico: Su Nombre Distinguido (DN). Este consta de su Relative
Distinguished Name (RDN) construido por algunos atributos en la entrada, seguidos del DN de la entrada del
padre. Pensar en el DN como un completo nombre de archivo y el RDN como el nombre de archivo relativo es
un folder.
Se debe tener cuidado con el hecho de que un nombre distinguido puede cambiar en el tiempo de vida de una entrada,
por ejemplo, cuando las entradas son movidas en el rbol. Para hacer ms confiables e identifica de manera no ambigua
las entradas un UUID podra ser proporcionado en el conjunto de los atributos operacionales de la entrada.
Una entrada puede tener este formato cuando es representada en el formato LDIF (LDAP por s mismo es un protocolo
binario):
dn es el nombre de la entrada; no es un atributo ni tampoco parte de la entrada. cn=John Doe es el nombre

distinguido relativo, y dc=example,dc=com es el nombre distinguido de la entrada del padre, donde dc indica domain
component (componente de dominio). Las otras lneas presentan los atributos en la entrada. Los nombres de atributos
son generalmente cadenas mnemotcnicas, como cn para common name (nombre comn), dc para domain
component (componente de dominio), mail para direccin de correo electrnico y sn para surname (apellido).
Un servidor aloja un subrbol comenzando por una entrada especfica, por ejemplo dc=example,dc=com y sus hijos.
Los servidores tambin pueden almacenar referencias a otros servidores, con los cual un intento de acceso a
ou=department,dc=example,dc=com puede retornar una referencia o continuacin de referencia a un servidor que
aloja esa parte del rbol de directorio. El cliente luego puede contactar al otro servidor. Algunos servidores tambin
soportan encadenamiento (chaining), que implica que el servidor contacta al otro servidor y devuelve el resultado al
cliente.
LDAP raramente define un ordenamiento: el servidor puede devolver los valores de un atributo, los atributos en una
entrada y las entradas encontradas por una operacin de bsqueda en cualquier orden. Esto sigue la definicin formal una entrada es definida como un conjunto de atributos, y un atributo es un conjunto de valores, y los conjuntos no
necesitan estar ordenados.
Ventajas:
La ventaja principal de usar LDAP es la consolidacin de cierto tipo de informacin en el interior de su

empresa o para el uso que le queramos dar
Gran facilidad para implementar y la coherencia de sus API. Lo cual significa que el nmero de aplicaciones y
de gateways que disfruta LDAP puede crecer en el futuro
Al estar basado en un sistema de directorios, es muy rpido en la lectura de registros
Permite replicar el servidor de forma muy sencilla y econmica
Muchas aplicaciones de todo tipo tienen interfaces de conexin a LDAP y se pueden integrar fcilmente
Dispone de un modelo de nombres globales que asegura que todas las entradas son nicas
Usa un sistema jerrquico de almacenamiento de informacin
Permite mltiples directorios independientes
Funciona sobre TCP/IP y SSL
La mayora de aplicaciones disponen de soporte para LDAP
La mayora de servidores LDAP son fciles de instalar, mantener y optimizar
Es de software libre
Desventajas:
Protocolo de manejo de dato poco intuitivo
Si deseamos usar LDAP lo debemos de hacer mediante un cliente LDAP-enabled o bien pasar a travs de mi
gateway LDAP
Sus principales beneficios se ven materializados al usar sistemas donde se guarda gran cantidad de registros y
se requiere un uso constante de los mismos
PfSense
Es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de
cdigo abierto, puede ser instalado en cualquier ordenador que cuente con un mnimo de dos tarjetas de red, y adems
cuenta con una interfaz web sencilla para su configuracin. El proyecto es sostenido comercialmente por BSD Perimeter
LLC y es usado para servicios de redes LAN y WAN tales como firewall, enrutador, balanceo de carga, etc.
El portal de administracin est basado en PHP y tericamente todas las coniguraciones y administracin se pueden
hacer realizar desde all, por lo tanto no es indispensable contar con conocimientos avanzados sobre la lnea de
comandos UNIX para su manejo
Cuenta con un gestor de paquetes desde su interfaz grfica accedida remotamente para ampliar sus funcionalidades, al
elegir el paquete deseado el sistema lo descarga y lo instala automticamente.
Ventajas:
Es Open Source con licencia FreeBSD.
Es verstil y prctico ya que puede ser usado directamente desde un CD player y puede ofrecer una versin
para MV
Interfaz intuitiva
Comunidad PfSense y centro de informacin
Package Manager. Posee actualmente decenas de paquetes adicionales que le premiten acceder al puesto de
UTM (Unified Threat Management)
Desventajas:
No es compatible con todos los navegadores
La mayor parte de la documentacin que existe es de usuarios avanzados y no es oficial
Mquina virtual
La MV estar alojada el PROXMOX, que es una plataforma de virtualizacin basada en cdigo abierto que permite la
virtualizacin tanto sobre OpenVZ como KVM.
Contenedor (OpenVZ)
Se denomina contenedor a la creacin de una mquina virtual en un ambiente 'chroot' directamente en el sistema de
archivos del servidor base.
Lo que nos da una serie de ventajas:
Administracin de recursos de forma directa: Ejemplo, podemos incrementar la RAM, SWAP, CPU, disco, etc.
Y los cambios son aplicados al instante en el servidor virtual
El uso del mismo sistema de ficheros para todas las mquinas virtuales no 'sobrecarga' al sistema base
La creacin y borrado de mquinas virtuales es casi instantneo
La velocidad de las aplicaciones que tenemos corriendo en el contenedor es casi la misma que si se tratara del
servidor base
Acceso directo al kernel del servicio base
Y una serie de inconvenientes:
Solo permite trabajar bajo esta modalidad a ambientes que corran en Linux y no Windows
Menos seguros, porque el aislamiento es mejor. Ya que tericamente es posible que un usuario de un
contenedor acceda a otros de la mquina
Al compartir kernel todas las mquinas, un error en una MV puede tirar las otras mquinas
Mquina virtual (KVM)

El sistema Linux KVM realiza una virtualizacin completa (full virtualisation) y necesita un procesador con los flags de
virtualizacin (VMX).
Ventajas:
Permite instalar cualquier Sistema Operativo
Cada mquina virtual tiene su propio hardware virtualizado (tarjeta de red, discos duros, tarjeta grfica, etc)
SS.OO.
Windows Server 2008 R2
Componente
Requisito
Procesador
Mnimo de 1.4 Ghz de 64bits
Recomendado de 2GHz
No hay lmites de mximo
Mnimo de 512 MB de RAM
Recomendado 2 GB
Mximo de 32 GB en la versin Standar y 2 TB

en la versin Enterprise y Datacenter
Mnimo de 32 GB en las versiones FULL
Recomendado 40 GB en versiones FULL y 10

GB en las versiones Core
No hay lmites de mximo
Memoria
Espacio en Disco
Windows Server 2012 R2

Componente
Requisito
Procesador
Mnimo de 1.4 Ghz de 64bits
Memoria
Mnimo de 512 MG de RAM
Espacio en Disco
Mnimo de 32 GB
Debian 8
Tipo de Instalacin
RAM (mnimo)
RAM (recomendado)
Disco Duro
Sin escritorio
128 MB
512 MB
2 GB
Con escritorio
256 MB
1 GB
10 GB
Solucin elegida
Despus del estudio realizado de las varias opciones posibles para este proyecto, he decidido optar por:
Autenticacin de Usuarios
RADIUS
Gestin de Usuarios del Sistema
Active Directory
Tipo de Mquina Virtual
Mquina Virtual
Sistema Operativo
Windows Server 2008
4.- Plan de trabajo

Semana
Tarea
21/09/15
Introduccin
28/10/15
Objetivos y requisitos del proyecto
05/10/15
Estudio previo
12/10/15
Estado Actual
19/10/15
Soluciones existentes
26/10/15
Establecimiento plan de trabajo
02/11/15
Diseo general y detallado
09/11/15
Implantacin
16/11/15
Implantacin
23/11/15
Recursos
30/11/15
Conclusiones
07/12/15
Bibliografa y Anexos
5.- Diseo
5.1.- Diseo general
Para que la conexin a Internet se realice con xito debemos de:

1.
El cliente se autenticar con un usuario y contrasea
2.
Dicho usuario y contrasea debe de estar almacenado en el AD dentro del grupo al que le hayamos dado acceso
para la conexin
3.
Una vez introducido los datos de acceso, el servidor RADIUS comprobar si son correctos
4.
Si lo son, nos dar una direccin IP, mscara de red, y otros datos ms para poder tener acceso a la red y
navegar correctamente
1.
Servidor RADIUS: Estar alojado en una MV en nuestro servidor Jpiter. La cual, dispondr de una tarjeta de
red en modo puente y cuya IP ser la 192.168.12.150 para poder tener acceso a Internet
2.
Punto de Acceso: Se ha creado una red WiFi para que los clientes puedan conectarse a travs de dicho punto
de acceso. La IP fija del AP ser la 192.168.112.9, pero como nuestro AP cuelga bajo el cortafuegos Titn,
todas las IP que salen de dicho cortafuegos lo hacen a travs de la 192.168.12.4 (para que pueda estar en la
misma red del servidor), por lo tanto, esa ser la IP que debemos de indicar en la configuracin del cliente
RADIUS (el AP).
3.
Red de Internet: Ser suministrada por nuestro ISP
5.2.- Diseo detallado

5.2.1.- Hardware del Servidor (virtualizado)
Una tarjeta de Red en modo puente
Intel Pentium 4 CPU 3,20GHz
1,5GB RAM
1 disco duro de 40GB
5.2.2.- Punto de Acceso
Punto de acceso para la conexin WiFi
Connection N&C WAP150
Compatible con los estndares IEEE 802.11g, IEEE 802.11b, IEEE 802.11n
Soporta velocidades de 108/54/48/36/24/18/12/9/6Mbps 0 11/5.5/2/1Mbps. Y hasta 150 Mbps en wireless
Soporta seguridad WEP de 64/128 bit WEP encryption security
Soporta WPA/WPA2 y WPA-PSK/WPA2-PSK con servidor Radius integrado
Soporta WPS ( WiFi Protected Setup)
Servidor de DHCP server, soportando dynamic IP address
Soporta filtrado de direcciones MAC.
Soporta mltiples modos de operacin(Access Point, WPS, Client, Repeater universal, Point to Point,
Point to Multi-point)
Soporta TCP/IP, DHCP
Soporta ocultacin de SSID y hasta 4 grupos de SSID diferentes
Soporta actualizacin de firmware
Soporta configuracin Web y remota
Cambiar el SSID con el nombre que deseemos
Usar el canal 11 para una menor interferencia
Usar contrasea tipo WPA2(AES)
Aadir secreto compartido
5.2.3 Windows Server 2008 Enterprise
Instalacin y configuracin de los servicios:
6.- Implantacin
1.
Instalacin y configuracin del Punto de Acceso
2.
Instalacin y configuracin de Windows Server 2008 R2 en Jpiter

- Instalacin del servicio de acceso y directivas de redes y el Servicio de certificados de Active Directory
En AD, creamos una OU y un Grupo para los usuarios a los que deseemos dar acceso.
- Configuracin de los nuevos clientes RADIUS y conexiones cableadas e inalmbricas seguras IEEE 802.1X
Despus de instalar todos los servicios, debemos de crear los certificados para que el servidor y el cliente pueda
comunicarse. Para ello nos vamos a ejecutar e introducimos mmc para abrir una consola de la Entidad de Certificacin.
Certificado
Y pasamos a la comprobacin...
7.- Recursos
7.1.- Herramientas hardware
Un equipo servidor (en nuestro caso tenemos la MV en Jpiter)
Un Punto de Acceso (AP)
Cable de red
7.2.- Herramientas software
Windows Server 2008, Enterprise
7.3.- Personal
Para la consecucin de dicho proyecto slo ser necesario a un empleado, Manuel Monzn Prez
7.4.- Presupuesto
Licencia Windows Server 2008, Standard

430
Punto de Acceso Connection WAP-150

30,61
Cable de red RJ45 CAT5 de 1,5m

2,99
Equipo Servidor (pulsa aqu para ms caractersticas)

239
Disco Duro (pulsa aqu para ms caractersticas)

66,75
TOTAL: 769,35
8.- Conclusiones
8.1.- Grado de consecucin de objetivos
Red Wifi con requisitos mnimos de seguridad (TOTALMENTE TERMINADO)
Gestin de usuarios del sistema en una mquina virtual en Jpiter (TOTALMENTE TERMINADO)
Soporte para clientes Windows y Linux (TOTALMENTE TERMINADO)
8.2.- Problemas encontrados

El principal problema encontrado ha sido relacionado con los certificados. Ya que, la versin de Windows Server 2008
R2 que usaba no era compatible con los certificados que necesitaba, por lo que tuve que usar la version 2008 Enterprise.
8.3.- Futuras mejoras

Una posible mejora sera la instalacin de la directiva de Kerberos, ya que se aadira otro nivel ms de seguridad a la
conexin de red.
9.- Referencias / bibliografa

https://es.wikipedia.org/wiki/Kerberos
https://es.wikipedia.org/wiki/RADIUS
https://es.wikipedia.org/wiki/TACACS%2B
http://social.technet.microsoft.com/wiki/contents/articles/17164.ventajas-y-desventajas-lepide-active-directory-managerpart-2-es-es.aspx
https://es.wikipedia.org/wiki/Active_Directory
https://es.wikipedia.org/wiki/Protocolo_Ligero_de_Acceso_a_Directorios
http://archive.download.redhat.com/pub/redhat/linux/7.0/tc/doc/RH-DOCS/rhl-rg-es-7.0/s1-ldap-procon.html
https://hopemedia.es/5-ventajas-firewall-pfsense/
https://es.wikipedia.org/wiki/PfSense
10.- Anexos
Manual del punto de acceso (http://connectionnc.com/web/index.php?id_product=324&controller=product)

Servidor RADIUS

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Servidor RADIUS

Cargado por

Copyright:

Formatos disponibles

IES Gran Capitn

Mdulo de Proyecto Integrado

2.- Objetivos y requisitos del proyecto

Red Wifi con requisitos mnimos de seguridad

Soporte para clientes Windows y Linux

3.- Estudio previo

Rendimiento 15 veces superior que el de un producto Wireless 11b

Ancho de Banda de 108Mbps, en 2.4GHz

Antena desmontable con conector RSMA

Fcil integracin en la red

Slo entre equipos AirPlus Xtreme G y AirPremier AG operando en modalidad SuperG

asus rt-n12eB (usados en el Departamento de Informtica y en el aula 112)

Modos inalmbricos mltiple 3 en 1 router / Punto de acceso / Range Extender

Dos antenas 5dBi desmontable para una cobertura ms potente y ms amplia

4 SSID ayudan a gestionar la asignacin de ancho de banda y control de acceso

Potente multitarea en lnea de hasta 30.000 sesiones de datos

Ancho de banda de 300Mbps

De fcil instalacin y manejo

Aumenta drsticamente la cobertura de la seal inalmbrica y la calidad con un amplificador de seal

3.2.- Estudio de soluciones existentes

La arquitectura de Kerberos est basada en tres objetos de seguridad:

Capacidad extensiva de auditora

Mejora considerable de la seguridad

Posibilidad de aplicar restricciones a un usuario/perfil en particular

Mejora en la presentacin de informes (reporting) y en el seguimiento (tracking) basado en los nombres de

Autenticacin: La autenticacin es el proceso de validacin de la identidad de un usuario. TACACS+ logra

Autorizacin: Proporciona una gestin centralizada de autorizacin y seguridad ms estricta comprobando

Encripta tanto el nombre de usuario, contrasea y otros datos asociados

TACACS+ aade la funcin de Contabilidad que no tenan en versiones anteriores

Flexibilidad para poder separar las tres funciones bsicas

Incompatible con las versiones anteriores de TACACS

Gestin de usuarios del sistema

Servidor Active Directory

Administracin simplificada de usuarios y recursos de red

Infraestructura y aplicaciones habilitadas parpa el uso de directorios

Escalabilidad sin complejidad

Uso de los estndares de Internet

Un entorno de desarrollo eficaz

Replicacin y supervisin de confianza

Componentes de Active Directory

Recursos (impresoras, escner, etc)

Servicios (correo, impresin, etc)

Mayor seguridad frente a los servidores NT

Control sobre las instalaciones que tienen los usuarios

Control sobre el tipo de acceso que tendr cada usuario

Seguridad en los datos

Mejores en el rendimiento y la confiabilidad

Sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio

Mayor tamao de disco duro

Un directorio es un rbol de entradas de directorio

Una entrada consta de un conjunto de atributos

Un atributo tiene un nombre (tipo de atributo o descripcin de atributo)

dn es el nombre de la entrada; no es un atributo ni tampoco parte de la entrada. cn=John Doe es el nombre

La ventaja principal de usar LDAP es la consolidacin de cierto tipo de informacin en el interior de su

Al estar basado en un sistema de directorios, es muy rpido en la lectura de registros

Permite replicar el servidor de forma muy sencilla y econmica

Usa un sistema jerrquico de almacenamiento de informacin

Permite mltiples directorios independientes

Funciona sobre TCP/IP y SSL

La mayora de aplicaciones disponen de soporte para LDAP

La mayora de servidores LDAP son fciles de instalar, mantener y optimizar

Protocolo de manejo de dato poco intuitivo

Es Open Source con licencia FreeBSD.

Comunidad PfSense y centro de informacin