Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Departamento de Informtica
Ciclo Formativo de Grado Superior de
Administracin de Sistemas Informticos
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
1.- Introduccin
Se quiere adoptar una mayor seguridad en la red WiFi de la que se dispone, para que solo se puedan conectar los
usuarios que nosotros deseemos.
Gestin de usuarios del sistema en una mquina virtual en Jpiter y/o en el propio titan
Compatible con productos que operen bajo el estndar 802.11b y 802.11g y todos los productos wireless de DLink
Cuatro modos de operacin. Access Point, Bridge PtP, Bridge PtMP y AP Cliente
DHCP Server
Fcil Instalacin
Alto Rendimiento
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Kerberos:
Es un protocolo de autenticacin de redes que permite a los equipos de una red insegura demostrar su identidad
de manera segura. Es un modelo cliente-servidor y tanto cliente como servidor verifican la identidad uno del
otro.
Kerberos se basa en una criptografa de clave asimtrica y requiere de un tercero de confianza (KDC) el cual
consiste de dos partes lgicas separadas: un servidor de autenticacin y un servidor emisor de tiquets.
Elementos
Un servidor Kerberos se denomina KDC (Kerberos Distribution Center), y provee de dos servicios
fundamentales: el de autenticacin (AS, Authentication Service) y el de tickets (TGS, Ticket Granting Service).
El primero tiene como funcin autenticar inicialmente a los clientes y proporcionarles un ticket para
comunicarse con el segundo, el servidor de tickets, que proporcionar a los clientes las credenciales necesarias
para comunicarse con un servidor final que es quien realmente ofrece un servicio. Adems, el servidor posee
una base de datos de sus clientes (usuarios o programas) con sus respectivas claves privadas, conocidads
nicamente por dicho servidor y por el cliente al que pertenece.
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Clave de sesin: es una clave secreta generada por Kerberos y expedida a un cliente para uso con un servidor
durante una sesin; no es obligatorio utilizarla en la toda la comunicacin con el servidor, slo si el servidor lo
requiere o si el servidor es un servidor de autenticacin. Se suele denominar a esta clave KCS, para la
comunicacin entre un cliente C y un servidor S.
Ticket: es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de un
servidor; garantiza que el cliente ha sido autenticado recientemente. A un ticket de un cliente C para acceder a
un servicio S se le denomina {ticket (C, S)} KS = { C, S, t1, t2 }KS . Este ticket incluye el nombre del cliente
C, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesin KS
asociada para uso de cliente y servidor. Kerberos siempre proporciona el ticket ya cifrado con la clave secreta
del servidor al que se le entrega.
Autenticador: es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la
actualidad de la comunicacin; slo puede ser utilizado una vez. Un autenticador de un cliente C ante un
servidor S se denota por { auth ( C ) KCS = { C, t } KCS. Este autenticador contiene, cifrado con la clave de la
sesin, el nombre del cliente y un timestamp.
Ventajas:
Autenticacin mutua. El cliente puede validar la identidad de la entidad de seguirdad del servidor y el
servidor puede validar el cliente. Normalmente esta autenticacin se suele hacer entre un cliente y un
servidor aunque se podra hacer entre dos servidores.
Vales de autenticacin seguros. Slo se utilizan vales cifrados y las contraseas estn incluidas en el vale.
Autenticacin integrada. Una vez que el usuario haya iniciado sesin, no necesitar iniciar sesin
nuevamente para tener acceso a cualquiera de los servicios que admite la autenticacin Kerberos, siempre
y cuando el vale del cliente no haya expirado. Cada vale o ticket tiene una vigencia, que est determinada
por las directivas del dominio Kerberos que genera el vale.
Desventajas:
La migracin de las contraseas de usuarios desde una base de datos de contraseas estndar UNIX, tal
como /etc/passwd o /etc/shadow, a una base de datos de contraseas Kerberos, puede ser tediosa y no hay
un mecanismo rpido para realizar esta tarea.
Kerberos presupone que cada usuario es de confianza, pero que est utilizando una mquina no fiable en
una red no fiable. Su principal objetivo es el de prevenir que las contraseas no cifradas sean enviadas a
travs de la red. Sin emargo, si cualquier otro usuario, aparte del usuario adecuado, tiene acceso a la
mquina que emite tickets (KDC) para la autenticacin, Kerberos estar en riesgo.
Para que una aplicacin use Kerberos, el cdigo debe ser modificado para hacer las llamadas apropiadas a
las libreras de Kerberos. Las aplicaciones que son modificadas de esta forma son consideradas como
Kerberizadas. Para algunas aplicaciones, esto puede suponer un esfuerzo excesivo de programacin,
debido al tamao de la aplicacin o su diseo. Para otras aplicaciones incompatibles, los cambios se deben
realizar en el modo en el que el servidor de red y sus clientes se comunican; de nuevo, esto puede suponer
bastante programacin. En general, las aplicaciones de cdigo cerrado que no tienen soporte de Kerberos
son usualmente las ms problemticas.
Finalmente, si decide usar Kerberos en su red, debe darse cuenta de que es una eleccin de todo o nada, So
decide usar Kerberos en su red, debe recordar que si se transmite cualquier contrasea a un servicio que no
usa Kerberos para autentica, se corre el riesgo de que el paquete pueda ser interceptado. As, su red no
obtendr ningn beneficio de usar Kerberos. Para asegurar su red con Kerberos, solo debe utilizar las
versiones Kerberizadas de todas las aplicaciones cliente/servidor que enven contraseas sin cifrar o no
utilizar ninguna de estas aplicaciones en la red.
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Servidor NPS:
El servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a la red en toda la
organizacin con fines de mantenimiento de clientes, autenticacin de solicitudes de conexin y autorizacin
de solicitudes de conexin.
NPS permite configurar y administrar de forma centralizada directivas de autenticacin de acceso a la red,
autorizacin y mantenimiento de clientes
Adems, puede usar NPS como un proxy RADIUS para reenviar solicitudes de conexin a servidores NPS u
otros servidores RADIUS que configure en grupos de servidores RADIUS remotos.
NPS contiene tambin componentes clave para implementar la Proteccin de Acceso a Redes (NAP) en la red,
y puede implementarse de su organizacin y sus equipos con conectividad de red a travs de servidores de
acceso de red, como servidores de red privada virtual (VPN), puntos de acceso inalmbricos y servidores de
mercado telefnico, puede usar NPS para crear, administrar e imponer las directivas de acceso de red que
determinan si los usuarios y equipos pueden o no se pueden acceder a la red. Durante este intento de conexin,
los usuarios y equipos suelen proporcionar las credenciales de cuenta en forma de un nombre de usuario y
contrasea o un certificado. NPS puede examinar estas credenciales y utilizarla para verificar la identidad o
autenticar el usuario o equipo antes de permitir el acceso a la red.
NPS tambin permite determinar si el usuario o el equipo tiene permiso para acceder a la red mediante la
autorizacin de la solicitud de conexin con propiedades de la cuenta de usuario, las directivas de red que haya
creado o ambos.
Ventajas:
Una de las ventajas que proporciona NPS es la configuracin de las directivas de red en un servidor (el
servidor que ejecuta NPS) que se aplican a muchos servidores. Por ejemplo, si tienen 10 puntos de acceso
inalmbrico y no utilizan NPS, debe configurar las directivas de acceso 10 veces; pero si usa NPS, debe
configurar cada directiva slo una vez
Por lo tanto, mediante el uso de NPS se puede administrar centralmente el acceso a la red para las
organizaciones de todos los tamaos, incluidas las PYMES, organizaciones empresariales e ISP
RADIUS
Es uno de los sistemas ms antiguos usados en Internet. RADIUS ejecuta un programa de software en un
servidor. Cuando un usuario intenta conectarse a la red, un programa cliente RADIUS dirige todos los datos de
usuario al servidor para la autenticacin. El servidor aloja los datos de autenticacin del usuario en un formato
encriptado y enva una respuesta de paso o rechazo.
Por lo tanto, es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad
IP. Utiliza el puerto 1812 UDP para establecer sus conexiones, por lo tanto tendr una comunicacin sin
conexin, o sea, best-effort.
RADIUS a diferencia de otros sistemas, est ms orientado al usuario final del servicio.
Cmo trabaja RADIUS?
RADIUS desempea tres funciones primarias explicadas a continuacin con un ejemplo:
Cuando se realiza la conexin con un ISP mediante mdem, Ethernet o Wi-Fi se enva una informacin que
generalmente es un nombre de usuario y una contrasea.
Esta informacin se transfiere a un dispositivo Network Access Server (NAS, Servidor de Acceso a la Red)
sobre el protocolo PPP, quien dirige la peticin a un servidor RADIUS sobre el protocolo RADIUS.
Autenticacin: El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de
autenticacin como PAP, CHAP, EAP.
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Autorizacin: Indica si un usuario puede o no acceder a cierto recurso. Si es aceptado, el servidor autorizar el
acceso al sistema del ISP y le asigna los recursos de red como una IP y dems parmetros.
Auditora: Almacena datos sobre cuando y como se realizan peticiones (tanto aceptadas como rechazadas).
Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones,
notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y
facturar en consecuencia.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores
de Acceso a la Red (NAS), ms tarde se public como RFC 2138 y RFC2139. Actualmente existen muchos
servidores RADIUS, tanto comerciales como de cdigo abierto. Las prestaciones pueden varia, pero la mayora
pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se
utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una
administracin centralizada y pueden reescribir paquetes RADIUS al vuelo.
Algunas de sus caractersticas son:
Seguridad
Flexibilidad
Administracin simple
Ventajas:
Cuando un usuario se autentifica en una SSID usando 802,1X, esa sesin individual est encriptada nicamente
entre el usuario y el punto de acceso. Esto significa que otro usuario conectado al mismo SSID no puede
escuchar el trfico ni robar informacin, dado que estn utilizando diferentes claves de encriptacin para sus
respectivas conexiones. En cambio en una red PSK, cada dispositivo conectado al punto de acceso comparte la
misma encriptacin de conexin, por lo que otros usuarios podran espiar en el trfico si quisieran.
Es posible desconectar a un nico usuario o dispositivo sin afectar al resto y sin cambiar la clave al resto
Puedes asignar permisos individuales para cada usuario. En cambio en el mtodo de clave compartida slo
puedes crear un nico perfil de usuario que todos compartirn
Desventajas:
Si los usuarios se conectan a la red inalmbrica con un dispositivo personal, 802,1X/RADIUS puede ser ms
complejo a la hora de configurar para los usuarios finales, especialmente quienes usen Windows
No soporta algunos protocolos como son ARA (Protocolo de Acceso Remoto AppleTalk), Protocolo de
Control de Tramas NetBIOS, NASI (Interfaz de Servicios Asncronos de Novell) y conexiones X.25 con PAD
Tampoco permite al usuario el control de los comandos que pueden ser ejecutados en un router y cuales no. Por
lo tanto, RADIUS no es tan til para la gestin del router o flexible para servicios de terminal
Slo encripta la contrasea, por lo tanto no encripta ni el nombre de usuario ni otros posibles datos asociados
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
TACACS+:
Acrnimo de Terminal Access Controller Access Control System (Sistema de Control de Acceso del
Controlador de Acceso a Terminales) fue desarrollado a partir de la experiencia de Cisco con RADIUS. Es un
protocolo de autenticacin remota que se usa para gestionar el acceso (proporciona servicios separados de
autenticacin, autorizacin y registro) a servidores y dispositivos de comunicaciones.
El Departamento de Defensa de Estados Unidos lo desarroll para resolver algunos de los problemas con los
servidores de acceso remoto de RADIUS. ste sistema est diseado para los administradores de red que deben
conectarse de forma remota a los dispositivos de la red.
Tambin usa el modelo Cliente-Servidor siendo el NAS el cliente. Usa como transporte el protocolo TCP, por
lo tanto el dilogo entra el NAS y el TACACS+ ser orientado a la conexin.
Funcionamiento
TCP provee un ACK separado de que un Access-Request ha sido recibido por el server TACACS+. Adems
TCP provee una indicacin inmediata de un server no disponible. An teniendo conexiones TCP con un timer
de expiracin de espera de ACK largo, podremos tener la certeza de un server que sale de servicio y luego
entra nuevamente en operacin. UDP no puede darnos esta certeza, ni siquiera puede discriminar entre un
server cado, un server lento o inexistente y por lo tanto RADIUS tampoco. Usando los keepalives de TCP
podemos detectar las cadas del servidor TACACS+ fuera de banda. Adems con TACACS+ podemos
establecer y mantener conexiones simultneas con varios server, de esa manera no se necesita requerir servicio
solo a server que conocemos que estn en servicio en cada momento.
TACACS+ encripta todo el paquete dejando solo un header standar TACACS+. En ese header existe un campo
que indica si el cuerpo del paquete ha sido encriptado o no. Normalmente es ms seguro optar por la total
encriptacin del cuerpo del paquete. Este protocolo usa una arquitectura modular llamada AAA
(Authentication, Authorization & Accounting), la cual separa las tres funciones: Autenticacin, Autorizacin y
Contabilizacin. Este flexibilidad le da ventaja sobre RADIUS, puesto que podemos usar TACACS+
para la autorizacin y contabilizacin y hacer la autenticacin por medio de Kerberos u otro sistema. Despus
de que un NAS autentica mediante un servidor Kerberos, proceder a requerir informacin de autorizacin y/o
perfil de usuario al server TACACS+ sin tener que volverse a autenticar en el TACACS+. El NAS informa al
TACACS+ de la exitosa autenticacin del usuario por Kerberos y entonces el server TACACS+ proveer la
informacin de autorizacin del usuario.
Como en otros sistemas ya explicados, TACACS+ desempea tres funciones:
Contabilidad: Los auditores de red requieren de actividad para hacer su trabajo correctamente, lo que significa
que necesitan los registros de actividad.
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Ventajas:
No necesita variables extras como RADIUS para controlar intentos de retransmisin y timers, puesto que el
protocolo de transporte se encarga de lograr un canal de comunicaciones seguro, transparente y libre de errores
Ofrece soporte multiprotocolo. Soporta de forma nativa su funcionamiento sobre familias de protocolos
distintos de TCP/IP como ARA, NetBIOS, NASI y PAD (gran ventajas sobre RADIUS)
Desventajas:
Necesita mucho ms ancho de banda que otros sistemas, por lo que podra causar problemas de rendimiento si
se usa con mucha asiduidad
Debido a que la base de datos del usuario no reside en el servidor TACACS+, el rendimiento puede ser lento
Dominio:
La unidad central de la estructura lgica de AD es el dominio, que puede almacenar millones de objetos. Los
objetos que se almacenan en un dominio son aquellos que se consideran interesantes para la red
Usuarios, Grupos, OU
OU:
Es un contenedor que se utiliza para organizar objetos dentro de un dominio en grupos administrativos lgicos
que reflejan la estructura funcional y de negocios de una organizacin
rbol:
Un rbol es una agrupacin o una ordenacin jerrquica de uno o ms dominios que se pueden crear aadiendo
uno o ms dominios secundarios a un dominio principal existente
Bosque:
Un bosque es una agrupacin o configuracin jerrquica de uno o ms rboles de dominio distintos y
completamente independientes entre s
Ventajas:
Es una implementacin de servicio de directorio centralizado en una red distribuida que facilita el control, la
administracin y la consulta de todos los elementos lgicos de una red
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Desventajas
Requerimiento de memoria
No es software libre
Es caro
Servidor OpenLDAP
Se trata de una implementacin libre del protocolo que soporta mltiples esquemas por lo que puede utilizarse para
conectarse a cualquier otro LDAP. Tiene su propia licencia, la Open Ldap Public License. Al ser un protocolo
independiente de la plataforma, varias distribuciones Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac Os X,
Windows.
LDAP son las siglas de Protocolo Ligero/Simplificado de Acceso a Directorios, que hacen referencia a un protocolo a
nivel de aplicacin que permite a un servicio de directorio ordenador y distribuido para buscar diversa informacin en
un entorno de red. LDAP tambin se considera una base de datos a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lgica y jerrquica. El ejemplo ms
comn es el directorio telefnico, que consiste en una serie de nombres que estn ordenados alfabticamente, con cada
nombre teniendo una direccin y un nmero de telfono adjuntos. Para entender mejor, es un libro o carpeta, en la cual
se escribe nombres de personas, telfonos y direcciones, y se ordena alfabticamente
Un rbol de directorio LDAP a veces refleja varios lmites polticos, geogrficos u organizaciones, dependiendo del
modelo elegido. Los despliegues actuales de LDAP tienden a usar nombres de DNS para estructurar los niveles ms
altos de la jerarqua. Conforme se desciende en el directorio pueden aparecer entradas que presentan personas, OU,
impresoras, documentos, grupos de personas o cualquier cosa que presenta una entrada dad en el rbol.
Habitualmente, almacena la informacin de autenticacin (usuario y contrasea) y es utilizado para autenticarse aunque
es posible almacenar otra informacin (datos de contacto del usuario, ubicacin de diversos recursos de la red,
permisos, certificados, etc). A manera de sntesis, LDAP es un protocolo de acceso unificado a un conjunto de
informacin sobre una red.
ESTRUCTURA
El protocolo accede a directorios LDAP:
Cada entrada tiene un identificador nico: Su Nombre Distinguido (DN). Este consta de su Relative
Distinguished Name (RDN) construido por algunos atributos en la entrada, seguidos del DN de la entrada del
padre. Pensar en el DN como un completo nombre de archivo y el RDN como el nombre de archivo relativo es
un folder.
Se debe tener cuidado con el hecho de que un nombre distinguido puede cambiar en el tiempo de vida de una entrada,
por ejemplo, cuando las entradas son movidas en el rbol. Para hacer ms confiables e identifica de manera no ambigua
las entradas un UUID podra ser proporcionado en el conjunto de los atributos operacionales de la entrada.
Una entrada puede tener este formato cuando es representada en el formato LDIF (LDAP por s mismo es un protocolo
binario):
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Ventajas:
Gran facilidad para implementar y la coherencia de sus API. Lo cual significa que el nmero de aplicaciones y
de gateways que disfruta LDAP puede crecer en el futuro
Muchas aplicaciones de todo tipo tienen interfaces de conexin a LDAP y se pueden integrar fcilmente
Dispone de un modelo de nombres globales que asegura que todas las entradas son nicas
Es de software libre
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Desventajas:
Si deseamos usar LDAP lo debemos de hacer mediante un cliente LDAP-enabled o bien pasar a travs de mi
gateway LDAP
Sus principales beneficios se ven materializados al usar sistemas donde se guarda gran cantidad de registros y
se requiere un uso constante de los mismos
PfSense
Es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de
cdigo abierto, puede ser instalado en cualquier ordenador que cuente con un mnimo de dos tarjetas de red, y adems
cuenta con una interfaz web sencilla para su configuracin. El proyecto es sostenido comercialmente por BSD Perimeter
LLC y es usado para servicios de redes LAN y WAN tales como firewall, enrutador, balanceo de carga, etc.
El portal de administracin est basado en PHP y tericamente todas las coniguraciones y administracin se pueden
hacer realizar desde all, por lo tanto no es indispensable contar con conocimientos avanzados sobre la lnea de
comandos UNIX para su manejo
Cuenta con un gestor de paquetes desde su interfaz grfica accedida remotamente para ampliar sus funcionalidades, al
elegir el paquete deseado el sistema lo descarga y lo instala automticamente.
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Ventajas:
Es verstil y prctico ya que puede ser usado directamente desde un CD player y puede ofrecer una versin
para MV
Interfaz intuitiva
Package Manager. Posee actualmente decenas de paquetes adicionales que le premiten acceder al puesto de
UTM (Unified Threat Management)
Desventajas:
Mquina virtual
La MV estar alojada el PROXMOX, que es una plataforma de virtualizacin basada en cdigo abierto que permite la
virtualizacin tanto sobre OpenVZ como KVM.
Contenedor (OpenVZ)
Se denomina contenedor a la creacin de una mquina virtual en un ambiente 'chroot' directamente en el sistema de
archivos del servidor base.
Lo que nos da una serie de ventajas:
Administracin de recursos de forma directa: Ejemplo, podemos incrementar la RAM, SWAP, CPU, disco, etc.
Y los cambios son aplicados al instante en el servidor virtual
El uso del mismo sistema de ficheros para todas las mquinas virtuales no 'sobrecarga' al sistema base
La velocidad de las aplicaciones que tenemos corriendo en el contenedor es casi la misma que si se tratara del
servidor base
Solo permite trabajar bajo esta modalidad a ambientes que corran en Linux y no Windows
Menos seguros, porque el aislamiento es mejor. Ya que tericamente es posible que un usuario de un
contenedor acceda a otros de la mquina
Al compartir kernel todas las mquinas, un error en una MV puede tirar las otras mquinas
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Cada mquina virtual tiene su propio hardware virtualizado (tarjeta de red, discos duros, tarjeta grfica, etc)
SS.OO.
Windows Server 2008 R2
Componente
Requisito
Procesador
Recomendado de 2GHz
Recomendado 2 GB
Memoria
Espacio en Disco
Requisito
Procesador
Memoria
Espacio en Disco
Mnimo de 32 GB
Debian 8
Tipo de Instalacin
RAM (mnimo)
RAM (recomendado)
Disco Duro
Sin escritorio
128 MB
512 MB
2 GB
Con escritorio
256 MB
1 GB
10 GB
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Solucin elegida
Despus del estudio realizado de las varias opciones posibles para este proyecto, he decidido optar por:
Autenticacin de Usuarios
RADIUS
Active Directory
Mquina Virtual
Sistema Operativo
Tarea
21/09/15
Introduccin
28/10/15
05/10/15
Estudio previo
12/10/15
Estado Actual
19/10/15
Soluciones existentes
26/10/15
02/11/15
09/11/15
Implantacin
16/11/15
Implantacin
23/11/15
Recursos
30/11/15
Conclusiones
07/12/15
Bibliografa y Anexos
5.- Diseo
5.1.- Diseo general
2.
Dicho usuario y contrasea debe de estar almacenado en el AD dentro del grupo al que le hayamos dado acceso
para la conexin
3.
Una vez introducido los datos de acceso, el servidor RADIUS comprobar si son correctos
4.
Si lo son, nos dar una direccin IP, mscara de red, y otros datos ms para poder tener acceso a la red y
navegar correctamente
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
1.
Servidor RADIUS: Estar alojado en una MV en nuestro servidor Jpiter. La cual, dispondr de una tarjeta de
red en modo puente y cuya IP ser la 192.168.12.150 para poder tener acceso a Internet
2.
Punto de Acceso: Se ha creado una red WiFi para que los clientes puedan conectarse a travs de dicho punto
de acceso. La IP fija del AP ser la 192.168.112.9, pero como nuestro AP cuelga bajo el cortafuegos Titn,
todas las IP que salen de dicho cortafuegos lo hacen a travs de la 192.168.12.4 (para que pueda estar en la
misma red del servidor), por lo tanto, esa ser la IP que debemos de indicar en la configuracin del cliente
RADIUS (el AP).
3.
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
1,5GB RAM
Compatible con los estndares IEEE 802.11g, IEEE 802.11b, IEEE 802.11n
Soporta mltiples modos de operacin(Access Point, WPS, Client, Repeater universal, Point to Point,
Point to Multi-point)
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
6.- Implantacin
1.
2.
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
En AD, creamos una OU y un Grupo para los usuarios a los que deseemos dar acceso.
- Configuracin de los nuevos clientes RADIUS y conexiones cableadas e inalmbricas seguras IEEE 802.1X
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Despus de instalar todos los servicios, debemos de crear los certificados para que el servidor y el cliente pueda
comunicarse. Para ello nos vamos a ejecutar e introducimos mmc para abrir una consola de la Entidad de Certificacin.
Certificado
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
Y pasamos a la comprobacin...
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
7.- Recursos
7.1.- Herramientas hardware
Cable de red
7.3.- Personal
Para la consecucin de dicho proyecto slo ser necesario a un empleado, Manuel Monzn Prez
7.4.- Presupuesto
TOTAL: 769,35
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
8.- Conclusiones
8.1.- Grado de consecucin de objetivos
Gestin de usuarios del sistema en una mquina virtual en Jpiter (TOTALMENTE TERMINADO)
10.- Anexos
Manual del punto de acceso (http://connectionnc.com/web/index.php?id_product=324&controller=product)
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org