Tesis

Universidad del Istmo (UNISTMO)
Campus Ixtepec
Departamento de Licenciatura en Informtica
PROPUESTA DE IMPLEMENTACIN DE RED
INALMBRICA CON CONTROL DE USUARIOS
PARA LA UNIVERSIDAD DEL ISTMO, CAMPUS
IXTEPEC
Protocolo de tesis que presenta
Erwis Melchor Prez
para cumplir con los requisitos de titulacin
profesional en la carrera de
Licenciado en
Informtica
Director de tesis:
M. en C. Carlos Edgardo Cruz Prez
Ciudad Ixtepec, Oaxaca
Diciembre 2015
Resumen
En el presente trabajo se describe el desarrollo de una infraestructura de red inalmbrica
en la Universidad del Istmo campus Ixtepec, basada en mecanismos de autenticacin de
usuarios.
La propuesta de red inalmbrica local permitir a los alumnos y personal que labora en la
Universidad acceder a informacin y servicios en tiempo real sin la necesidad de estar conectados en un lugar estable dentro de la institucin. Eliminando el uso de cables y aumentando
la exibilidad de conexin por parte de los usuarios.
La propuesta se lleva a cabo dentro de las instalaciones de la Universidad, donde ser
utilizada por estudiantes, profesores, personal administrativo y visitantes, mediante el uso
de distintos dispositivos mviles.
Al nal del trabajo se presentan la conclusin en base a los resultados arrojadas en las
pruebas obtenidas en la evaluaciones realizadas al sistema, con la nalidad de corroborar los
objetivos denidos al principio de dicho trabajo de investigacin.
ndice general
1. Anteproyecto
13
1.1.
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2.
Descripcin del problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
Objetivos
22
1.3.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1.
Objetivo general
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2.
Objetivos especicos
. . . . . . . . . . . . . . . . . . . . . . . . . . .
22
22
1.4.
Propuesta solucin
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
1.5.
Justicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
1.6.
Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
1.7.
Estructura de Tesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2. Conceptos y deniciones
2.1.
2.2.
2.3.
2.4.
Estado del Arte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
2.1.1.
QNAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
2.1.2.
Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
Redes Inalmbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
2.2.1.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
Estndares (OSI, ITU-T, IEEE) . . . . . . . . . . . . . . . . . . . . . . . . .
34
2.6.
Denicin
2.3.1.
OSI (Open System Interconection)
. . . . . . . . . . . . . . . . . . .
34
2.3.2.
UIT-T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
2.3.3.
El Estndar IEEE
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
2.3.4.
Topologas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
2.3.5.
Tcnicas de transmisin
. . . . . . . . . . . . . . . . . . . . . . . . .
45
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
Seguridad
2.4.1.
2.5.
29
Seguridad Informtica
Seguridad Inalmbrica
. . . . . . . . . . . . . . . . . . . . . . . . . .
51
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
2.5.1.
Seguridad de redes inalmbricas . . . . . . . . . . . . . . . . . . . . .
56
2.5.2.
Estndares para la seguridad inalmbrica . . . . . . . . . . . . . . . .
59
IEEE802.11i Seguridad inalmbrica red de rea local (LAN)

2.6.1.
IEEE802.11i Servicios
. . . . . . . . .
68
. . . . . . . . . . . . . . . . . . . . . . . . . .
69
2.7.
2.6.2.
IEEE802.11i Fases de Operacin . . . . . . . . . . . . . . . . . . . . .
69
2.6.3.
Fase descubrimiento
70
2.6.4.
Fase de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
2.6.5.
Fase de gestin
73
2.6.6.
. . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fase de proteccin de la transferencia de datos . . . . . . . . . . . . .
73
RADIUS, DIAMETER, TACACS . . . . . . . . . . . . . . . . . . . . . . . .
74
2.7.1.
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
2.7.2.
TACACS+
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
2.7.3.
Diameter
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
2.7.4.
Metodologas de redes
. . . . . . . . . . . . . . . . . . . . . . . . . .
3. Diseo de la solucin hardware y software
77
79
3.1.
Metodologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
3.2.
Diseo del sistema
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
3.3.
Diseo de control de acceso con Radius . . . . . . . . . . . . . . . . . . . . .
83
3.3.1.
Arquitectura nal del sistema
. . . . . . . . . . . . . . . . . . . . . .
83
3.3.2.
Conguracin de la solucin . . . . . . . . . . . . . . . . . . . . . . .
84
3.4.
Desarrollo del sistema de autenticacin de usuarios
. . . . . . . . . . . . . .
88
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
3.4.1.
Instalacin Radius
3.4.2.
Conguracin de Freeradius
. . . . . . . . . . . . . . . . . . . . . . .
89
3.4.3.
Conguracin de RADIUS con MySQL . . . . . . . . . . . . . . . . .
91
3.4.4.
Instalacin OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
3.4.5.
Conguracin de OpenSSL . . . . . . . . . . . . . . . . . . . . . . . .
96
3.4.6.
Creacin de la autoridad certicadora raz
3.4.7.
Generacin del certicado del servidor
3.4.8.
Generacin de los certicados de los clientes
3.4.9.
Documentacin del sistema de Interfaz
. . . . . . . . . . . . . . .
97
. . . . . . . . . . . . . . . . .
99
. . . . . . . . . . . . . .
100
. . . . . . . . . . . . . . . . .
101
3.4.10. Interfaz creadas para el sistema de autenticacin de usuarios . . . . .
122
4. Pruebas de desempeo y seguridad
131
5. Conclusiones y trabajos futuros
135
5.1.
Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135
5.2.
Trabajos futuros
136
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6. Apendice A: radius.conf
137
ndice de guras
1.1.
Lnea de tiempo estndares IEEE 802.11
. . . . . . . . . . . . . . . . . . . .
15
1.2.
Diagrama de red propuesta . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
2.1.
El entorno del modelo OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
2.2.
Arquitectura de clientes en modo Ad-Hoc . . . . . . . . . . . . . . . . . . . .
44
2.3.
Infraestructura BSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
2.4.
Ejemplo de Espectro esparcido por salto de frecuencia (FHSS) . . . . . . . .
47
2.5.
Ejemplo de Espectro Esparcido de Secuencia Directa (DSSS) . . . . . . . . .
49
2.6.
OFDM diagrama a bloques . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
2.7.
Diagrama seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
2.8.
Cifrado de texto plano
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
2.9.
Cifrado de texto plano
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
3.1.
Diagrama de insfraestructura de la propuesta
. . . . . . . . . . . . . . . . .
83
3.2.
Infraestructura de alcance de la red . . . . . . . . . . . . . . . . . . . . . . .
87
3.3.
Instalacin de Freeradius y complementos
. . . . . . . . . . . . . . . . . . .
88
3.4.
Lnea comentada
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
3.5.
Lnea descomentada
3.6.
Autenticacin de Usuarios
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
3.7.
Archivo clients.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
3.8.
Archivo eap.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
3.9.
Comando para entrar al modo consola al gestor de base de datos . . . . . . .
92
3.10. Tablas creadas para el uso de RADIUS . . . . . . . . . . . . . . . . . . . . .
92
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
3.11. Caso de uso administracin de usuario
. . . . . . . . . . . . . . . . . . . . .
104
3.12. Casos de uso administracin de grupos
. . . . . . . . . . . . . . . . . . . . .
109
3.13. Casos de uso administracin de clientes radius . . . . . . . . . . . . . . . . .
114
3.14. Registro Logs del Sistema
120
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.15. Interfaz lista de usuarios en el sistema
. . . . . . . . . . . . . . . . . . . . .
122
3.16. Ventana de datos de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . .
123
3.17. Alta de nuevo usuario
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
123
3.18. Editar usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
3.19. Eliminar usuarios del sistema
. . . . . . . . . . . . . . . . . . . . . . . . . .
124
3.20. Lista de grupos Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
125
3.21. Alta grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
125
3.22. Edicin de grupos del sistema
. . . . . . . . . . . . . . . . . . . . . . . . . .
126
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
126
3.23. Eliminar grupo
3.24. Lista de clientes Radius
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
3.26. Modicar clientes Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
3.27. Eliminar clientes Radius
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
3.28. Intentos Fallidos de acceso al sistema . . . . . . . . . . . . . . . . . . . . . .
129
3.29. Intentos Autenticados de acceso al sistema . . . . . . . . . . . . . . . . . . .
129
3.25. Nuevo clientes Radius
Dedicatoria
Mi tesis la dedico con todo mi amor y cario:
A Dios:
Por se mi gua espiritual en todo comento, guiando mis pasos por el camino del
bien y el xito, llenando de bendiciones mi vida en cada momento.
A mis padres:
Quienes me dieron la vida y han estado presentes en todo momento de mi
vida, en las victorias y derrotas que me he presentado.
Sra. Gloria Rmirez:
Persona que me ha brindado su apoyo incondicionalmente desde
mis inicios como estudiante.
10
Agradecimientos
Son numerosas las personas a las cuales debo de agradecer por el apoyo brindado a llegar
a concluir la etapa de la licenciatura. Ante todo primeramente Dios por darme la vida y
la sabidura para poder concluir esta meta. A mis padres por su apoyo incondicional en
cada momento de la universidad, cada desvelo que pasaban por las noches y ofrecerme su
comprensin y cario. A compaeros y amigos que me a compaarn es esta dcil trayectoria
de la licenciatura, en la que compartimos conocimientos y momento agradables. A todas esas
personas que me apoyaron para la culminacin de mis estudios, con las cuales compartir
momentos felices y tristes, hoy me doy cuenta que esos das de desvelos valieron la pena.
11
12
Captulo 1
Anteproyecto
1.1. Introduccin
Hoy en da con el avance de la tecnologa ante un entorno globalizado, se presenta una
manera de mantenerse comunicado por medio de distintas herramientas, como lo es la Internet, teniendo acceso a esta por medio de una red de comunicacin, la cul puede ser cableada
o inalmbrica.
La evolucin de las redes se ha presentado a pasos agigantados, con la generacin de dispositivos y la capacidad de manipulacin e instalacin de manera eciente de las redes
inalmbricas, estableciendo estricta administracin y control de la informacin transportada
en la red. [de la Computacin, 2014]
Tal como su nombre lo indica, las redes inalmbricas son aqullas que carecen de cables.
Esta tecnologa permite el acceso a recursos en lugares donde se imposibilita el acceso de
manera cableada.
13
La tecnologa inalmbrica es una de las ms utilizadas en los sectores empresariales y escolares, permitiendo la conectividad de los usuarios pertenecientes a dicha red, uno de los
puntos importantes a considerar es el gran nmero de dispositivos mviles que son usados
en la actualidad por parte de los usuarios.
La principal ventaja de las redes inalmbricas es la movilidad, accediendo desde cualquier

punto a los servicios que se ofrecen, evitando el uso de los cables utilizados para la conexin.
Siendo esta implementacin en la actualidad un complemento para las redes jas, pero no
son el reemplazo de la tecnologa cableada por el momento.
Las instituciones educativas necesitan y dependen cada da de las redes inalmbricas, ya

que ests permiten que un mayor nmero de personas tengan acceso a los recursos necesarios para el aprendizaje de los alumnos, conectividad en distintos puntos de la institucin por
medio de los dispositivos mviles. Por mencionar algunas ventajas:
Fcil instalacin
Mayor nmero de dispositivos conectados
Acceso a los servicios e informacin por medio de sus dispositivos mviles
Escalabilidad para el futuro
La tecnologa que se utiliza en las redes LAN cableadas, es Ethernet (tambin conocido como
IEEE 802.3) es un estndar de transmisin de datos en las redes de rea local. La norma
IEEE802.11 rige las redes inalmbricas, fue diseada con la nalidad de sustituir las capas
fsicas y MAC (Control de Acceso al Medio) de la norma 802.3, lo diferente entre las redes
inalmbricas y la tecnologa Ethernet son la manera en que se realiza la transmisin de los
datos, por tal motivo son compatibles los servicios con la red cableada. Con el paso de los
aos ha venido evolucionando mejorando la seguridad y la velocidad de transferencia de los
14
datos de las redes inalmbricas. En la siguiente gura se presenta una lnea de tiempo los
distintos estndares de la tecnologa inalmbrica de la familia 802.11.
Figura 1.1: Lnea de tiempo estndares IEEE 802.11
Las redes inalmbricas se han plagado de muchos problemas, desde que se hizo popular
a nal de la dcada de 1990, como lo son: las interferencias, velocidad y seguridad.
La seguridad en las computadoras es la proteccin y la condencialidad de los datos del

usuario o de la misma computadora, los atacantes pueden ser individuos u organizaciones
con la nalidad de modicar, destruir o ser utilizada con nes maliciosos. [Fernndez, 2009]
Debido a los problemas de seguridad que se presenta en la infraestructura inalmbrica la

mayora de las organizaciones se ven obligados a implantar sistemas de control de acceso a la
red, protegiendo de esta manera la informacin de posibles ataques a la red e infraestructura
por personas ajenas a la organizacin, ya que el medio de transmisin y acceso es por medios
no guiados.
A continuacin se describen las principales vulnerabilidades que se presentan en una red

inalmbrica:
Puntos de accesos vulnerables: Las redes inalmbricas son fciles de detectar, as que
15
cualquier usuario con una tarjeta inalmbrica puede tener acceso a la informacin
emitida en la red.
Puntos de accesos no autorizados: La implementacin de una red inalmbrica es relativamente sencilla, as que una vez logrado el acceso a la red, el usuario puede instalar
un punto de acceso sin advertir a los administradores de la red.
Accesos a la red no autorizados: Acceso no autorizado de un usuario por medio de una

direccin MAC clonada o por medio de una direccin valida de la red.
Para estos casos se presentan estrategias para el aseguramiento de la red, la administracin, la conexin en los puntos de acceso y el poder utilizar los recursos que se ofrecen en
la red inalmbrica, manteniendo la privacidad de los datos proporcionados por los usuarios.
WEP
Es el sistema de cifrado incluido en el estndar IEEE802.11 en los aos de 1999
como protocolo para redes inalmbricas, la cual permite cifrar la informacin que se
transmite. El protocolo WEP se basa en dos componentes para cifrar las tramas que
circulan por la red: el algoritmo de cifrado RC4 y el algoritmo de vericacin de integridad CRC. [Fernndez, 2009]
Algoritmo de cifrado RC4
El algoritmo de cifrado RC4 funciona expandiendo una
semilla para generar una secuencia de nmeros aleatorios de mayor tamao.

Uno de los problemas de este tipo de algoritmo de cifrado es que no se debe de
usar la misma semilla para cifrar dos mensajes diferentes.
802.1x
Se basa en EAP (Extensible Authentication Protocol), el cual es un protocolo en-
cargado del transporte, encapsulado y seguridad de la autenticacin, y en su interior se

encuentran los mtodos de autenticacin que se desa utilizar. [HernndezM.Enrique,
2011] Su campo de actuacin es la capa de enlace en redes cableadas o inalmbricas,
para asegurar la conexin de dispositivos de infraestructura de red de una organizacin.
16
El procedimiento de conexin utilizado por este estndar se basa en la provisin de un

sistema de autenticacin por puertos en los que se establece un canal o puerto blindado de comunicacin entre el suplicante y el NAS (Network Access Server, Servidor de
Acceso a la Red) a n de permitir nicamente su autenticacin.
Ventajas
Permite negar directamente el acceso a puertos de red a cualquier otro
dispositivo que no complete correctamente el proceso de autenticacin.
Desventajas
Una vez realizada la autenticacin, el puerto es abierto completamente
al trco sin establecer demasiadas limitaciones. [HernndezM.Enrique, 2011]
WPA
Es un sistema para proteger las redes inalmbricas, creado para corregir las decien-
cias de los sistemas, consiste en un mecanismo de control de acceso a una red inalmbrica. El mtodo de encriptacin WPA implementa la parte del estndar IEEE802.11i,
siendo creado por La alianza Wi-Fi (The Wi-Fi Alliance).
WPA fue diseado para utilizar un servidor de autenticacin (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a travs del protocolo
802.1x); sin embargo, tambin se puede utilizar en un modo menos seguro de clave
pre-compartida ([PSK] - Pre-Shared Key) para usuarios de casa o pequea ocina.
La informacin es cifrada utilizando el algoritmo RC4, debido a que WPA no elimina
el proceso de cifrado WEP, slo fortalece este, dos de las mejoras sobre WEP son:
Implementacin del Protocolo de Integridad de Clave Temporal (TKIP Temporal Key Integrity Protocol), la cual consiste en cambiar las claves dinmicamente
a medida que el sistema es utilizado.
Autenticacin de los usuarios mediante EAP (Extendible Authentication Protocol), permitiendo controlar a todos y cada uno de los usuarios que se conectan a
la red. Siendo un protocolo de encargado del transporte, encapsulado y seguridad
17
de la autenticacin.
Vulnerabilidades
Una de las vulnerabilidades es el ataque contra las llaves PSK. Si se
emplea WPA como mecanismo de seguridad los puntos de acceso nicamente aceptan
autenticacin y cifrado WPA, no permitindose conectarse a usuarios sin WPA. Por
otro lado un usuario congurado para utilizar WPA no se conecta a puntos de acceso
sin WPA. Presentando problemas por mantener el algoritmo de cifrado RC4.
WPA2
Son consideradas como las ms seguras. Est basada en el nuevo estndar 802.11i.
WPA, por ser una versin previa, que se podra considerar de "migracin", no incluye
todas las caractersticas del IEEE 802.11i.
El protocolo WPA2 utiliza el algoritmo de cifrado AES (Advanced Encryption Standard) es un cifrado de bloque simtrico que puede cifrar y descifrar informacin. El
cifrado convierte los datos a una forma inteligible denominado texto cifrado; mientras
que el descifrar el texto cifrado convierte los datos de nuevo a su forma original, llamado
texto plano.
Debilidades
La difusin y multidifusin de claves representa otra vulnerabilidad. Todos
los nodos de la red necesitan conocerlas, y un atacante que descubra una de las claves
puede espiar el intercambio de claves entre el punto de acceso y la estacin de trabajo
Las redes inalmbricas dentro de las instituciones educativa presentan una gran utilidad,
mejorando la calidad de los servicios educativos por medio de las tecnologas de la informacin y comunicacin, proporcionando el acceso a internet de manera gratuita en los espacios
educativos. Los principales objetivos son ofrecer el acceso a la informacin y comunicacin
a los centros educativos, permitiendo de esta manera un mejor desarrollo en el mbito escolar.
En estos das la universidad necesita de una red inalmbrica ya que actualmente la conexin a la red es a travs de cables, siendo est una desventaja competitiva en relacin con
18
otras instituciones, la conexin inalmbrica estar permitiendo un mayor nmero de personas

conectadas por un periodo de tiempo mas prolongado y en cualquier punto accediendo de
esta manera a los recursos ofrecidos por la institucin, adems implementado un esquema
de seguridad que incluya de est manera la autenticacin, control de acceso, deteccin de
intrusos, brindando la integridad de la red y datos de los usuarios.
Uno de los protocolos que su funcin principal es el de controlar el acceso de la infraestructura inalmbrica es el sistema de control de acceso AAA (Autenticacin, Autorizacin y
Arqueo), los cuales se describen a continuacin:
Autenticacin:
Es un proceso llevado a cabo entre dos entidades, donde una da a conocer
su identidad y la otra verica su autenticidad.
Autorizacin:
Es el proceso de determinar si un usuario autenticado tiene los permisos
necesarios para acceder a un recurso, es decir otorgarle o denegarle permisos dependiendo del resultado de la evaluacin de autorizacin.
Arqueo:
Es el seguimiento que se hace a los recursos, cuando se ha autorizado el uso a un
usuario o grupo de usuarios.
RADIUS es un servicio que se ejecuta en una de mltiples plataformas como Unix,

GNU/Linux, Windows, Solaris, etc. y que permanece de forma pasiva a la escucha de solicitudes de autenticacin hasta que estas se producen. [Fernndez, 2009]
RADIUS se encuentra basado en un modelo cliente-servidor, ya que RADIUS escucha y

espera de forma pasiva las solicitudes de los clientes las cuales responder de manera inmediata, permitiendo implementar el estndar AAA.
19
En la implementacin de una red inalmbrica y la administracin de usuarios es utiliza

comunmente, siendo esta una alternativa libre que cumple y colabora con los estndares
dedicados a RADIUS, considerado como uno de los ms completos y verstiles en donde
puede ser implementado para dar soporte a cualquier plataforma que soporte los mltiples
mdulos que incluye. Operando en sistemas con recursos limitados as como con sistemas en
donde se atienden millones de peticiones de usuarios.
En el mercado existen sistemas los cuales permiten el control de usuarios en redes inalmbricas, siendo estas de un costo elevado, por tal motivo se presenta un sistema basado en
tecnologas libres en la cual se presente que los usuarios que tenga la documentacin en mano
pueda realizar actualizaciones e incluso mejoras al sistema.
En la implantacin de una red inalmbrica es necesario tener denido la infraestructura

a utilizar y mecanismos de seguridad brindados hacia los datos de los usuarios. RADIUS es
una de las herramientas utilizadas con los sistemas de control de usuarios y el monitoreo de
las actividades realizadas en la red.
1.2. Descripcin del problema

La universidad del Istmo cuenta con el acceso a Internet en sus estaciones de trabajo,
los edicios estn conformadas por una infraestructura de red mediante cables ubicados en
los distintos edicios: cubculos, laboratorios y ocinas. De tal manera que para acceder a
dichos nodos se requiere la conguracin de los equipos por parte del personal administrador
de redes, actualmente no se presenta la suciente exibilidad para acceder a los servicios de
la red por medio de dispositivos porttiles, requiriendo de esta manera la intervencin del
personal encargado del departamento de redes para realizar la conguracin de determinados
dispositivos.
20
Con el paso de los aos la utilizacin y adopcin de las nuevas tecnologas por un gran nmero
de personas, surgen amenazas y por ello que hoy en da es importante tener conocimientos
acerca de seguridad en cuanto a computacin y redes, por ejemplo: seguridad de los datos,
servicios. Con la nalidad de controlar el manejo y mantener seguro la informacin de los
usuarios y de los sistemas La problemtica no es el simple hecho de la identicacin de los
usuarios, si no identicar que el usuario que se esta identicando sea realmente quien dice
ser. Manteniendo de esta manera la seguridad de sus datos.
Las redes inalmbricas son las ms vulnerables a distintos tipos de ataques, debido a que el
medio en el que se encuentran es el de mayor acceso para cualquier persona que se encuentre
dentro de la cobertura de algn de acceso de la red, dejando de esta manera la disponibilidad
de llegar a capturar la transmisin de datos. Por tal motivo y con la nalidad de garantizar
la seguridad en este tipo de redes es necesario el cifrado de la informacin antes de ser enviada al receptor, as mismo como la autenticacin de los usuarios antes de tener acceso a la red.
La conectividad inalmbrica ofrece un gran benecio para las organizaciones para llevar
sus servicios a los distintos clientes mviles. La implementacin de las redes inalmbricas
ofrecen muchas ventajas dentro de las organizaciones en donde son empleadas, dentro de
esas ventajas se encuentran:
Implementacin de estndares y sistemas que permitan realizar el control de acceso al

medio
Conabilidad
Robusto
Escalabilidad
21
As mismo presenta ciertas desventajas como lo son:
Interferencias en el medio
La velocidad de transmisin (la red cableada alcanza una transmisin de datos de 100
Mbps mientras que la inalmbrica 54Mbps)
La seguridad
1.3. Objetivos
1.3.1. Objetivo general
Desarrollar un sistema que permita el registro e identicacin de usuarios en la red
inalmbrica de la Universidad del Istmo, manteniendo la seguridad de la informacin.
1.3.2. Objetivos especicos

Realizar la propuesta de infraestructura de la red inalmbrica
Implementar un sistema de control de acceso basado en servidores de autenticacin

bajo el estndar AAA (Autenticacin, autorizacin y arqueo).
Controlar el acceso de los usuarios por medio de la creacin de credenciales, las cuales
funcionan como identicacin para el usuario al momento de tener acceso a la red.
Monitoreo de las acciones realizadas por usuarios en la red, vericando las pginas a
las que tuvo acceso, tiempo de entrada y salida del usuario a la red.
Realizar pruebas al sistema de tal manera que se adapte las polticas establecidas en
la Universidad del Istmo.
22
1.4. Propuesta solucin

Se propone la implementacin de una infraestructura inalmbrica, como una extensin
de la red cableada de la universidad, utilizando los servicios de freeradius, puntos de acceso
y el servicio de internet.
A continuacin se describen cada una de las herramientas utilizadas en el desarrollo del
sistema:
FreeRADIUS:
incluye un servidor RADIUS, la cual es una herramienta de software libre
para implementar RADIUS. Permitiendo el uso el protocolo AAA para el control de

usuarios.
A continuacin se presentan las caractersticas de FreeRADIUS: [Fernndez, 2009]
Compatible con cualquier sistema operativo

Soporta una gran variedad de Base de Datos
Soporte para gran cantidad de mdulos de autenticacin como: PAP, CHAP, MSCHAPv1 y v2, SIP y la mayor parte de los tipos EAP
Soporte para la mayor parte de lenguajes de programacin
Totalmente compatible con una infraestructura basada en certicados PKI
Acceso basado en huntgroup (grupo de usuarios)
Tiempo real de usuarios autenticados
Sistema de prevencin de autenticacin doble
Puntos de Acceso:
ofrecern el servicio del internet inalmbrico adems de permitir la
conectividad de los usuarios de la institucin.

A continuacin se presentan las caractersticas de los puntos de acceso:
Nivel de seal
23
Mayor rango de cobertura

Una de las arquitecturas empresariales ms comunes
Servidor DHCP
Funcin en modo repetidor, Bridge,
Funciones cliente o servidor VPN
Soporte QoS
Servicio de Internet:
servicio al cual se tendrn acceso los clientes inalmbricos, adems
de encontrarse bajo las polticas de la institucin.
802.11:
Se dene como una arquitectura de servicios incluyendo:
Autenticacin
Asociacin
Desautenticar usuarios
Desasociacin
Distribucin
Integridad
Condencialidad de los datos
A continuacin se presenta el diagrama de red propuesta:
24
Figura 1.2: Diagrama de red propuesta
1.5. Justicacin
Mediante el protocolo AAA se espera dotar de una red inalmbrica con la suciente
seguridad para la proteccin de los datos, as mismo desarrollar un sistema eciente para
el registro e identicacin de usuarios acorde a las necesidades actuales de los potenciales
usuarios de la Universidad del Istmo.
La nalidad del proyecto es la implementacin de la red inalmbrica para el acceso de los
usuarios. La red debera regirse por las polticas de la Universidad. En caso de las personas externas a la Universidad solo se permitir el acceso a Internet, sin poder tener acceso a ningn
servicio (por ejemplo: correo de la Universidad, archivos compartidos en las computadoras
de las salas de cmputo) con el que se cuente en la Universidad para el uso exclusivo de
alumnos, profesores y personal administrativo.
Los benecios en la implementacin de la red inalmbrica son:
Reduccin de costos
Flexibilidad
Capacidad de crecimiento
Relacin costo-benecio
Aprovechar al mximo todas las capacidades de la red
25
Debido a las cuestin de ancho de banda con la que se cuenta en la Universidad, slo se
permitir hacer uso de un dispositivo por usuario, en caso de tener registrado ms de un
dispositivo deber de cerrar sesin en el dispositivo actual para poder ingresar con un nuevo
dispositivo.
1.6. Limitaciones
No se podr controlar las cmaras, puertas de acceso, comunicacin remota con los
equipos de computo (Trabajo futuro).
La limitacin de infraestructura, como lo son las antenas y otros elementos indispensables para la implementacin de la red inalmbrica.
Los recursos limitados con lo que cuenta la red en la Universidad del Istmo(ancho de
banda).
1.7. Estructura de Tesis

El documento de la tesis se estructura de la siguiente forma:
Captulo 1:
Anteproyecto
Captulo 2:
Describe los fundamentos tericos que fueron necesarios para el desarrollo de
la presente tesis
Captulo 3:
Se describe la manera en que fue resuelta la solucin propuesta
Capitulo 4:
Se describe el diseo del sistema y herramientas utilizadas en el desarrollo de
propuesta del sistema que se realiz
26
Capitulo 5:
Se presenta la implementacin y las pruebas realizadas al sistema terminado
propuesto, as la conclusin del aprendizaje obtenido en el desarrollo del sistema
27
28
Captulo 2
Conceptos y deniciones
En el desarrollo de este captulo se presentan las bases tericas para el desarrollo de la
presente tesis. Se describe conceptos, ventajas, desventajas y vulnerabilidades de las redes
inalmbricas; deniendo los estndares ms comunes (ISO, ITU-IT, IEEE), las tcnicas de
transmisin, seguridad en general e inalmbrica, y protocolos que intervienen en las redes
inalmbricas.
De igual manera se presentan los tres principales servidores AAA (RADIUS, Diameter y
TACACS+), descripcin y funcionamiento de cada uno de los protocolos de control de acceso,
adems de distintos elementos que intervienen en los procesos de comunicacin.
2.1. Estado del Arte

Hoy en da existen mltiples soluciones de autenticacin de usuarios en una red inalmbrica, muchos de estos con herramientas de paga; caso contrario, los implementados bajo las
licencias de cdigo abierto (software libre). En este caso se presentan los diferentes usos de
la implementacin de Radius, una de ellas se realiza editando los archivos de conguracin
del servidor Radius, la otra alternativa es el uso de una base de datos local en la que se
29
encuentran guardados los datos de usuarios la cual permitir realizar el monitoreo de los
usuarios que tendrn acceso a la red inalmbrica.
Se pueden encontrar un gran nmero de soluciones las cuales implementan la autenticacin
de usuarios y seguridad en los datos.
En el artculo [Md. Hashmathur Rehman, 2010] describe RADIUS y sus debilidades, operacin y funcionamiento bsico, haciendo nfasis en los problemas de vulnerabilidad, la seguridad, el transporte de informacin y la implementacin. As mismo la manera de minimizar
o resolver las cuestiones del protocolo utilizando las mejores practicas de implementacin y
las ventajas que ofrece el servidor.
En el artculo [Nayyar, 2012] propone mtodos del protocolo para mantener la seguridad
y como objetivo principal garantizar la autenticacin en las redes inalmbricas 802.11. El
mtodo propuesto se llama autenticacin EAP-OTI, teniendo en cuenta la necesidad de proteger la identidad del cliente.
RADIUS funciona entre dos servidores; el primero se encarga de la autenticacin de los
usuarios mientras que el segundo se encuentra la lista de clientes validados para tener acceso a la red. El proceso consiste en registrar en una base de datos del cliente los datos del
usuario, asignando por cada uno un nombre y contrasea. Cada vez que un usuario tenga la
necesidad de acceder a la red, el servidor RADIUS vericar si es un cliente valido.
En la tesis de [HernndezM.Enrique, 2011] se realiza el diseo de una red inalmbrica en la
Universidad Nacional Autnoma de Mxico, como primer problema a solucionar es evitar
la conguracin de manera manual los equipos de cmputos de los usuarios que pretendan
tener acceso a la red. En donde la infraestructura de la red no tiene la exibilidad para
acceder a la red mediante el uso de equipos porttiles.
En la tesis de [Crdoba T. Anabel, 2010] describe la propuesta e implementacin del diseo
de un Sistema de Seguridad de Control de Acceso con RADIUS congurado en su Sistema
Operativo Linux para controlar la autenticacin de los usuarios en el acceso a una Red de
rea Local Inalmbrica.
30
En la tesis de [Garca, 2012] consiste en el diseo e implementacin de una red LAN y WLAN
con sistema de control de acceso AAA.
Actualmente no se cuenta con un sistema de interfaz grca libre, la cual permita la administracin de los usuarios conectados a una red dentro de una organizacin. Siendo esta
ausencia una de las bases para el desarrollo de un prototipo a construccin y entregable al
nalizar la tesis, permitiendo de esta manera un control ms estricto de los usuarios dentro
de una red.
2.1.1. QNAP
QNAP (Quality Nerwork Appliance Provider) Systems, Inc. (http://www.qnap.com/) es
una organizacin encargada del desarrollo de polticas de seguridad de la informacin, garantizando la condencialidad y disponibilidad de los datos, con la nalidad de proporcionar
rmeza en la continuidad de actividades. Adaptado a las polticas de la empresa, evitando de
alguna manera los ataques a la informacin por dentro o fuera de la organizacin, ejecutando
de manera ecaz el sistema con el objeto de lograr la seguridad de la informacin.
QNAP establece el Sistema de Gestin de Seguridad de la Informacin en una organizacin
para gestionar ecientemente la accesibilidad de la informacin, asegurando la condencialidad, integridad y disponibilidad de los mismos minimizando de esta manera los riesgos de
seguridad de la informacin.
QNAP (alternativa de solucin de paga) cuenta con un servidor RADIUS el cual centraliza
y consolida la autenticacin de los usuarios al mantener una lista de cuentas de usuarios
que estn autorizados para el acceso de manera remota a la red a travs de dispositivos de
conexin telefnica, puntos de acceso Wi-Fi o conexiones VPN.
31
2.1.2. Zentyal
Zentyal (http://www.zentyal.org/) es un servidor Linux para pymes con la nalidad de
aprovechar al mximo su capacidad como servidor de la empresa. Es una alternativa de
cdigo abierto basado en la distribucin Ubuntu.
Zentyal (alternativa de solucin de paga) permite gestionar todos los servicios de red como:
el acceso a internet, seguridad en las redes, intercambio de recursos, infraestructura de red,
etc.. Ofrece una interfaz intuitiva en un navegador web.
Gestiona la infraestructura de la red de manera local con servicios como DHCP, DNS, y
as sucesivamente, integrando el servidor FreeRADIUS, siendo este el servidor RADIUS ms
extentido en entornos Linux. Para realizar la conguracin se debe de especicar en los
Clientes RADIUS deniendo: NAS habilitado, nombre del NAS, direccin IP y la contrasea
compartida.
Zentyal ha tomado la decisin de eliminar una serie de mdulos con el n de centrarse en la
meta de Zentyal Servidor: Ofrece a las pymes un reemplazo nativo del abandono de Linux
para Windows Small Business Server y Microsoft Exchange Server. La fecha del lanzamiento
del nuevo Zentyal fue el 29 de octubre del 2014.
2.2. Redes Inalmbricas

En los ltimos aos el crecimiento de las redes inalmbricas ha tenido un gran auge,
debido a los avances tecnolgicos presentandos en la actualidad, se ha vuelto una necesidad
el mantenerse conectado a las redes de manera constante, con soporte de movilidad y una
mayor exibilidad en la infraestructura.
En los inicios para la realizacin de la comunicacin era requerida el uso de cables, como el
medio fsico para la transferencia y recepcin de datos.
32
Los sistemas cableados presentan distintos problemas como: viabilidad, saturacin de ductos,
crecimientos no planeados, edicios histricos o instalaciones temporales, debido a esto, una
solucin es la implementacin de una red inalmbrica.
Una de las caractersticas de las redes inalmbricas es la eliminacin de los cables para
realizar el envo y recepcin de datos. Una de las mayores ventajas que ofrecen las redes
inalmbricas es la movilidad, permitiendo a los usuarios conectarse por medio de dispositivos mviles, en la actualidad se ha convertido en una necesidad por parte de los usuarios
el mantenerse conectado y comunicado desde cualquier lugar, momento y dispositivo mvil.
Uno de los dispositivos ms utilizados por parte de los usuarios son los telfonos siendo una
de las herramientas ms utilizadas para la conexin y acceso a distintos servicios de manera
satisfactoria.
Las redes inalmbricas no sustituyen a las redes cableadas o jas, siendo estas una extensin
de las redes cableadas.
2.2.1. Denicin
Lo inalmbrico hace referencia a la tecnologa sin cables que nos permite conectar dispositivos entre s para formar una red. [Def1: redes Wi-Fi en entornos Windows / coordinado
por Gustavo Carballeiro. - 1a ed. - Buenos Aires : Fox Andina; Dalaga, 2012. v. 4, 192 p. ;
24x17 cm. - (Seriada)].
Las redes inalmbricas no sustituyen a las redes jas. Ya que las redes cableadas presentan sus ventajas sobre las redes inalmbricas como lo es: el uso de las paredes y pisos de los
edicios para una mayor proteccin de los datos. Las redes inalmbricas ofrecen la movilidad
de los usuarios, adems de permitir el uso de uno o ms equipos [Gast, 2002].
33
Con la aparicin de las redes inalmbricas, los usuarios pueden tener acceso a los servicios de una red sin tener que buscar algn lugar para conectarse. [Def. 3. Users Redes Cisco].
El termino inalmbrico hace referencia a la transmisin y comunicacin entre dispositivos
por medios no guiados.
2.3. Estndares (OSI, ITU-T, IEEE)

En este apartado se describe los estndares OSI, ITU-T e IEEE, que dan soporte a las
redes de datos.
Las Normas Internacionales ISO, garantizan que los productos y servicios sean seguros,
ables y de buena calidad para las organizaciones, las cuales son herramientas estratgicas
que reducen los costos al minimizar los residuos, errores y repercuten en la productividad,
presentando benecios tecnolgicos, econmicos y sociales.
UIT-IT pretende realizar trabajos en el rea de las tecnologas de la informacin con el
objetivo de que la mayor cantidad de usuarios puedan mantenerse comunicados de la mejor
manera posible y accesible para toda persona [UIT, ].
La IEEE es una asociacin dedicada promover la innovacin tecnolgica en el benecio de
la comunidad mundial [IEEE, ].
2.3.1. OSI (Open System Interconection)

Una tcnica de estructuracin muy utilizada, y elegida por ISO
(Organizacin Interna-
cional de Estandarizacin) como esquema de funciones para el intercambio de informacin por

medio de la comunicacin, es la jerarquizacin en capas. En esta tcnica, las funciones de comunicacin se distribuyen en un conjunto jerrquico de capas. Cada capa realiza un conjunto
de funciones relacionadas entre s, necesarias para comunicarse con otros sistemas [Stallings,
1 ISO
(International Organitation for Standardization) es una agencia internacional para el desarrollo de
normalizaciones
34
2000].
La especicacin de ISO consisti en denir el conjunto de capas y los servicios que cada
una de ellas debera de realizar.
Figura 2.1: El entorno del modelo OSI
2.3.1.1. Normalizacin dentro del modelo de referencia OSI

El modelo OSI proporciona un modelo de referencia para la normalizacin. El modelo
dene en trminos generales las funciones que se deben realizar en cada capa y simplica el
procedimiento de la normalizacin ya que:
Como las funciones de cada una de las capas se encuentran denidas, el establecimiento de normas o estndares se puede desarrollar independiente y simultneamente,
35
acelerando el proceso.
Los lmites entre capas se encuentran denidas, los cambios que se realicen en los
estndares para una capa dada no afecta a las otras. Haciendo ms fcil introducir
nuevas normalizaciones.
El termino protocolo se reere al conjunto de reglas o una serie de instrucciones que son
jadas en los acuerdos entre instituciones, las cuales indican la manera correcta de actuar
en determinados eventos.
Para la normas especicas de capa existen 3 elementos claves:
Especicacin del protocolo:
dos entidades en la misma capa en sistemas diferentes co-
operan e interactan por medio de el protocolo. El protocolo se debe de especicar con

precisin ya que estn implicados dos sistemas abiertos diferentes.
Denicin del servicio:
adems del protocolo o protocolos que operan en una capa dada,
se necesitan normalizaciones para los servicios que cada capa ofrece a la capa superior
contigua. Normalmente, la denicin de los servicios es equivalente a una descripcin
funcional que determina qu servicios se estn proporcionando, pero no cmo se estn
proporcionando.
Direccionamiento:
cada capa suministra servicios a las entidades en la capa superior ady-
acente. Las entidades se identican mediante un punto de acceso al servicio (SAP,

Service Access Point).
2.3.1.2. Las capas del modelo OSI

En esta seccin se describe brevemente cada una de las capas del modelo OSI el cual
fue desarrollado por la ISO como un arquitectura para llevar a cabo la comunicacin entre
computadoras, as mismo se presentan ejemplos de las normalizaciones para los protocolos
de dichas capas.
36
Capa fsica
Se encarga de la interfaz fsica entre los dispositivos, adems dene reglas que
rigen en la transmisin de los bits. Teniendo 4 caractersticas importantes [Stallings,

2000].
Mecnicas:
relacionadas con las propiedades fsicas de la interfaz y con el medio de
transmisin. Dentro de las caractersticas se incluye la especicacin del conector

que transmite las seales a travs de los conductores.
Elctricas:
especican cmo se representan los bits (por ejemplo, trminos de niveles
de tensin), as como su velocidad de transmisin.
Funcionales:
especican las funciones que realiza cada uno de los circuitos de la
interfaz fsica entre el sistema y el medio de transmisin.
De procedimiento:
especican la secuencia de eventos que se llevan a cabo en el
intercambio del ujo de bits a travs del medio fsico.
Capa enlace de datos
Intenta hacer que el enlace fsico sea seguro, disponiendo de un
protocolo completamente operativo, donde la capa adyacente superior puede suponer

que la transmisin se encuentra libre de errores, adems proporciona los medios para
activar, mantener y desactivar el enlace. El servicio principal proporcionado por la capa
de enlace de datos a las capas superiores es el de deteccin y control de errores.
Capa de red
Realiza la transferencia de informacin entre sistemas nales a travs de algn
tipo de red de comunicacin. Libera a las capas superiores de la necesidad de tener

conocimiento sobre la transmisin de datos subyacente y las tecnologas de conmutacin
utilizadas para conectar los sistemas.
En esta capa el conmutador (dispositivo que permite la intercomunicacin entre las
redes) establecer un dilogo con la red para especicar la direccin destino y solicitar
ciertas facilidades, como por ejemplo, la gestin de prioridades.
37
Capa de transporte
La capa de transporte garantiza que los mensajes se entregan sin
errores, en secuencia y sin prdidas o duplicaciones. Libera a los protocolos de capas superiores de cualquier cuestin relacionada con la transferencia de datos entre
ellos [Microsoft, 2013].
Proporciona un mecanismo para intercambiar datos entre sistemas nales. El servicio
de transporte orientado a conexin asegura que los datos se entregan libres de errores,
en orden y sin prdidas ni duplicaciones. La capa de transporte tambin puede estar
involucrada en la optimizacin del uso de los servicios de red, proporcionando la calidad del servicio solicitada.
En la arquitectura de protocolos TCP/IP, se han especicado dos protocolos para la
capa de transporte: el orientado a conexin TCP (protocolo de control de la transmisin, Transmission Control Protocol) y el no orientado a conexin UDP (protocolo
de datagrama de usuario, User Datagram Protocol).
La capa de transporte proporciona:
Segmentacin de mensajes
Conrmacin de mensajes
Control de trco de mensajes
Multiplexacin de sesin
Capa de Sesin
Otorga mecanismos para controlar el dilogo entre las aplicaciones de los
sistemas nales. En muchos casos los servicios de la capa de sesin son parcialmente, o
incluso totalmente prescindibles, no obstante en algunas aplicaciones su utilizacin es
ineludible, algunos ejemplos de su funcionamiento son: la programacin sincronizada o
bloqueante, es decir, mientras una entidad transmite o otra escucha, en este lapso de
tiempo no se puede realizar alguna otra actividad hasta que la transmisin se termine,
la sesin no bloqueante o asncrona, en esta modalidad las entidades transmiten sin
38
esperar a que el otro lado reciba la informacin.

La capa de sesin proporciona los siguientes servicios:
Control de dilogo:
ste puede ser simultneo en los dos sentidos (full duplex) o
alternando en ambos sentidos (half duplex).
Agrupamiento:
Recuperacin:
el ujo de datos se puede marcar para denir grupos de datos.

la capa de sesin puede proporcionar un procedimiento de puntos
de comprobacin, de forma que si ocurre algn tipo de fallo entre puntos de

comprobacin, la entidad de sesin puede retransmitir todos los datos desde el
ltimo punto de comprobacin.
Capa de presentacin
Dene el formato de los datos que se van a intercambiar entre
las aplicaciones y ofrece a los programas de aplicacin un conjunto de servicios de

transformacin de datos. La capa de presentacin dene la sintaxis utilizada entre
las entidades de aplicacin y proporciona los medios para seleccionar o modicar la
representacin utilizada.
Capa de aplicacin
Proporciona los programas de aplicacin un medio para accedan al
entorno OSI. Esta capa incluye a las funciones de administracin y en general a los
mecanismos necesarios en la implementacin de las aplicaciones distribuidas. A esta
capa pertenecen las aplicaciones de uso general como: transferencia de cheros, el correo
electrnico y el acceso desde terminales a equipos remotos, entre otras.
2.3.2. UIT-T
La UIT-T (Unin Internacional de Telecomunicaciones) es el organismo especializado de
las Naciones Unidas en el campo de las telecomunicaciones. El Sector de Normalizacin de
las Telecomunicaciones de la UIT (UIT-T) es un rgano permanente de la UIT.
Es un rgano permanente de la Unin Internacional de Telecomunicaciones (UIT), y una
39
agencia especializada de la Organizacin de las Naciones Unidas. El Objeto de UIT-T es

.estudiar y denir recomendaciones de cuestiones tcnicas, tecnolgicas, de operacin y taricacin para as normalizar las telecomunicaciones a escala mundial" [ONU, ]. Su objetivo
central es la estandarizacin, tanto como sea necesario, de tcnicas y de modos de operacin
en telecomunicaciones para llevar a cabo una compatibilidad extremo a extremo en las conexiones internacionales de telecomunicacin, independientemente de los pases origen y destino [Stallings, 2000].
La UTI-T fue creada el 1 de marzo de 1993, como consecuencia del proceso de reforma
dentro de la UIT. Este organismo sustituye al Comit Consultivo Internacional de Telefona
y Telgrafos (CCITT) que en esencia tena los mismos estatutos y objetivos que el nuevo
UIT-T.
La UIT-T se ha organizado en 14 grupos de estudio que establecen las siguientes recomendaciones [Stallings, 2000]:
1. Funcionamiento de la red y servicios
2. Taricacin y cuestiones econmicas
3. Red para la gestion de las telecomunicaciones y mantenimiento de la red
4. Preteccin contra interacciones electromagnticas
5. Equipamiento externo
6. Redes de datos y comunicaciones de sistemas abiertos
7. Caractersticas de los sistemas telemticos
8. Transmisin de televisin y sonido
9. Lenguajes y cuestiones generales de software para sistemas de telecomunicacin
40
10. Requerimientos de sealizacin y protocolos
11. Prestaciones de redes y terminales en la transmisin extremo a extremo
12. Aspectos generales de la red
13. Redes de transporte, sistemas y equipos
14. Equipos y sistemas de transmisin
2.3.3. El Estndar IEEE

En el campo de las telecomunicaciones, el Instituto de Ingenieros Elctricos y Electrnicos
(IEEE) es el lder en la promocin y desarrollo de estndares internacionales, promoviendo
la innovacin tecnolgica para el benecio de los usuarios.
La tecnologa que se utiliza en las redes de rea local cableada es el estndar IEEE 802.3,
la cual dene especicaciones acerca de las redes basadas en Ethernet, describiendo la serie
de bits digitales que viajan a travs de un cable. La norma IEEE802.11 (rige las comunicaciones inalmbricas) fue diseada con la nalidad de sustituir las capas fsicas y MAC (Media
Access Control, Control de Acceso al Medio) de la norma IEEE 802.3 (Ethernet), la gran
diferencia entre las redes cableadas o no cableadas es la manera en que realiza la transmisin
de los datos.
Con el paso de los aos los estndares que denen las redes inalmbricas ha venido evolucionando mejorando la seguridad y la velocidad de transferencia de los datos [Gast, 2002].
En la siguiente Tabla se presenta los distintos estndares de la tecnologa inalmbrica de la
familia 802.11.
El estndar IEEE 802.11 dene el uso de las capas fsica y enlace de datos de la arquitectura
OSI, en el intercambio de informacin entre los sistemas de red de rea local y metropolitana.
41
Estndar
IEEE
Descripcin
802.11
Primer estndar publicado en 1997, especicando la direccin MAC, el

salto de frecuencia lento y tcnicas de modulacin de secuencia directa.
Especica dos velocidades de transmisin tericas de 1 y 2 megabits por
segundo.
802.11a
Segundo estndar, publicado en 1999, opera en la banda de 5 Ghz con

una velocidad mxima de 54 Mbits, lo que lo hace un estndar prctico
para redes inalmbricas con velocidades reales de aproximadamente 20
Mbit/s. 802.11a tiene 12 canales sin solapar, 8 para red inalmbrica y 4
para conexiones punto a punto.
802.11b
Tercer estndar raticado en 1999, pero segundo como producto, ofrece

velocidad mxima de transmisin 11 Mbits/s, funciona en la banda de
2.4 Ghz, velocidad mxima de transmisin con este estndar es de aproximadamente 5.9 Mbits sobre TCP y 7.1 Mbit/s sobre UDP.
802.11i
Mejoras en la seguridad en la capa de enlace. Sus principales componentes

son dos nuevos protocolos de cifrado de capa de enlace. El primero es
Temporal Key Protocol (TKIP) diseado para mejorar la seguridad en
la mayor medida posible. El segundo Counter Mode with CBC-MAC
Protocol (CCMP), es un protocolo nuevo de encriptacin para obtener
el mximo nivel de seguridad posible.
802.11g
Se ratic en junio del 2003, utilizando 2.4, 485 Ghz a 36 o 54 Mbps. Utilizando OFDM (Multiplexacin por divisin en frecuencias ortogonales).
Aprobado para dar mayor velocidad con cierto grado de compatibilidad
a equipamiento 802.11b
42
802.11n
Es una propuesta de modicacin al estndar IEEE 802.11-2007, velocidad de 600 Mbps pudiendo emplear 2.4 o 5Ghz, agregando Multiple-
Input Multiple-Output (MIMO ) y la unin de interfaces de red, adems

de agregar tramas a la capa MAC.
802.11ac
Alcanza
una
velocidad
de
1Gbps
an
mayor,
adopta
muchas
propiedades del 802.11n, teniendo ancho de banda de 80MHz y 160MHz.

Beamforming (tipo MIMO, la cual reconoce elementos que causan bajo
rendimiento e intenta evadirlos) para transmisin y recepcin, adems de
la tcnica de deteccin de errores avanzada.
Cuadro 2.1: Estndares 802.11
2.3.4. Topologas
Las topologas de red son utilizadas para describir la distribucin fsica y lgica de la
red, siendo esta la manera ms comn de conectar los equipos de cmputo permitiendo la
interconexin entre nodos de distintos equipos, mediante la combinacin de estndares y
protocolos.
2.3.4.1. Redes ad-hoc sin infraestructura (IBSS, Independent Basic Service Set)
Los clientes inalmbricos en modo ad-hoc forman un conjunto de servicios bsicos independientes (IBSS). El primer cliente inalmbrico en el IBSS se hace cargo de ciertas responsabilidades en el punto de acceso inalmbrico, una de estas responsabilidades en el proceso
de autenticacin de nuevos clientes.
2 MIMO:
es una tecnologa que usa mltiples antenas transmisoras y receptoras para mejorar el desempeo
del sistema
43
El modelo ad-hoc es utilizado para conectar clientes inalmbricos y los cuales deben de ser
congurados para poder utilizar el modo ad-hoc [Microsoft, 2003].
Figura 2.2: Arquitectura de clientes en modo Ad-Hoc
2.3.4.2. Redes con infraestructura (BSS, Basic Service Set)

Una arquitectura lgica contiene varios componentes como lo son: la estacin de trabajo (STA), el punto de acceso inalmbrico (AP), sistema independente de servicios bsicos
(IBSS), conjunto de servicios bsicos (BSS), sistemas de distribucin (DS) y el conjunto de
servicios extendidos (ESS).
Un BSS es una red inalmbrica que consta de un punto de acceso inalmbrico pudiendo tener
uno o mltiples clientes inalmbricos. Un ESS es un conjunto de dos o ms puntos de acceso
inalmbricos conectados a la misma red cableada que dene un solo segmento de la red lgica delimitada por un router (tamben conocido como una subred) [Microsoft, 2003]. El AP
(punto de acceso inalmbrico) proporciona conectividad a la LAN cableada y proporciona
funcionalidad de modo puente cuando una STA (estacin) inicia la comunicacin con otra
STA o a un nodo en la DS (res de distribucin) [Microsoft, 2003].
44
Figura 2.3: Infraestructura BSS
2.3.5. Tcnicas de transmisin

En el mundo de las Redes de rea Local Inalmbricas (WLAN) son necesarios los usos de
puntos de accesos (AP's) los cuales utilizan un rdio para la transmision (tx) y otra para la
recepcin (rx), en algunos casos dichos radios utilizan alguna de las tcnicas de transmisin
siguientes.
Salto de Frecuencia de Espectro Disperso (FHSS), que cambia las frecuencias portadoras
Secuencia Directa de Espectro Disperso (DSSS), que cambia patrones de datos
Las nuevas tecnologas han evolucionando en DSSS con el uso de Orthogonal Frecuency
Division Multiplexing (OFDM). OFDM es una tcnica de modulacin que distribuye los
datos a travs de un codicador de canal que son espaciados en frecuencias precisas para
evitar la interferencia de seal de diversos tipos.
2.3.5.1. Espectro esparcido por saltos de frecuencia (FHSS)

Es una tecnologa de radio, que constantemente altera el patrn de transmisin de datos
al cambiar de frecuencias portadoras o al cambiar constantemente el patrn de datos.
FHSS va saltando de bandas estrechas dentro de un espectro de frecuencias. Los radios FH
45
(salto de frecuencia) envan uno o ms paquetes de datos en una frecuencia durante un intervalo de tiempo llamada
dwell time
e inferior a 400 ms, pasado este tiempo cambia de
frecuencia de emisin y continua transmitiendo. El patrn de salto parece al azar, pero en

realidad es una secuencia peridica rastreada por el remitente y el receptor. Para el receptor
no deseado, FHSS parece ser un impulso de ruido de corta duracin [Ampere, ].
El algoritmo FHSS determina las frecuencias individuales que se utilizarn entre el emisor y
el receptor, conociendo a este paso como secuencia de salto [Harris, 2013].
La interferencia es uno de los puntos importantes a considerar en las transmisiones inalmbricas ya que se pueden encontrar seales corruptas en cuanto viajan. Estas interferencias
pueden ser causadas por otros dispositivos que se encuentran trabajando a la misma frecuencia, presentando distorsiones en los envos de datos afectando drsticamente la composicin
de los envos [Harris, 2013].
La siguiente gura presenta el diagrama a bloque de un sistema de comunicacin basado en
modulacin FHSS. Para la transmisin, una serie de datos binarios alimentan el modulador
usando algun esquema de codicacin anloga-digital como FSK (frecuency shift keying) o
BPSK (Binary Phase Shift Keying) [Andrs Mauricio Agudelo Ramrez, 2013].
2.3.5.1.1. Ventajas
Los sistemas propietarios pueden ajustar la seleccin de canales.
El ruido en el canal y la prdida de ancho de banda, degradarse poco a poco hasta no

tener ningn ancho de banda en FH.
Permitiendo viajar con mayor rapidez, cuando se ha detectado el canal.
Los datos pueden ser re-transmitidos por otro salto de frecuencia si es que han sido
corrompidos por interferencias durante su transmisin.
46
Figura 2.4: Ejemplo de Espectro esparcido por salto de frecuencia (FHSS)
2.3.5.1.2. Desventajas
FH puede ser susceptible al ruido durante cualquier salto.
Debido a que no se utiliza una frecuencia ja, la vigilancia ilegal de seales de espectro
disperso es extremadamente difcil, por no decir imposible dependiendo del mtodo
particular. Pero, si se utiliza el estndar 802.11FH, entonces todo tiene una gua, y se
puede conocer la secuencia de saltos y es bastante simple de obtener los datos.
Debido a que cada portador se trata independientemente de los otros, una banda de
guardia de frecuencia debe ser colocado alrededor de ella, disminuyendo la eciencia
de ancho de banda. En algunos sistemas hasta 50 por ciento de la anchura de banda
disponible se desperdicia.
Pocos proveedores de chips 802,11 FH.
No hay investigaciones nuevas, o productos en desarrollo sobre FH.
47
2.3.5.2. Espectro esparcido de secuencia directa (DSSS)

La norma IEEE802.11b establece la codicacin de los datos transmitidos utilizando la
tecnologa DSSS (Direct Sequence Spread Spectrum). Dicha codicacin trabaja tomando
la corriente de datos (ceros y unos) y modulndolos con un segundo patrn: la secuencia de
chipping. En el estndar 802.11 esta secuencia es conocida como cdigo Barker y consiste
en una secuencia de 11 bits [IEEE, ].
El ujo de la informacin a transmitir se divide en trozos pequeos, cada uno de los cuales se
asigna a un canal de frecuencia en el espectro. Una seal de datos en el punto de transmisin
es combinada con una secuencia de velocidad binaria de datos ms alta (tambin conocido
como un cdigo de chipping) que divide los datos de acuerdo con el radio de difusin. El
cdigo chipping redundante ayuda a resistir la interferencia de la seal y tambin permite a
los datos originales ser recuperados si los bits de datos estn daados durante la transmisin.
Para un receptor involuntario, DSSS aparece como el ruido de banda ancha de bajo consumo
y es ignorado por la mayora de los receptores de banda estrecha [Ampere, ].
2.3.5.2.1. Ventajas
Mayor velocidad de datos por punto de acceso (AP).
Adquisicin de la seal del AP ms rpido (slo 3 canales para probar vs 79 frecuencias

separadas para FH).
La gua y los saltos no deben sincronizarse para DS (sin saltos, secuencia directa), lo
cual permite la fcil conguracin de AP, especialmente cuando se compara la administracin de energa contra el tiempo de respuesta (un intervalo promedio corto de gua
para una mejor vida de la batera para los clientes inactivos).
48
Figura 2.5: Ejemplo de Espectro Esparcido de Secuencia Directa (DSSS)
DS soportarn el ruido en el canal con la prdida de ancho de banda, mientras que el

FH se empezar a degradar.
Incluso si uno o ms bits en el chip estn daados durante la transmisin, tcnicas de

estadstica incorporadas en la radio pueden recuperar los datos originales sin necesidad
de la retransmisin.
Conexiones de velocidad ms rpidas pueden permitir que los dispositivos de baja

potencia manden y reciban sus datos ms rpidamente y por lo tanto el esclavo puede
volver a modo dormido.
Muchos vendedores de circuitos integrados 802,11 DS, chips, NIC y APS.
2.3.5.2.2. Desventajas
El ruido en el canal y la prdida de ancho de banda, pueden de-
jar de trabajar abruptamente en DS, mientras que FH continuar a degradarse gradualmente

hasta llegar a tener un mnimo ancho de banda.
49
2.3.5.3. Multiplexacin por divisin en frecuencias ortogonales (OFDM)

OFDM es un caso especial de la transmisin multiportadora, donde un nico ujo de
datos es transmitido por un nmero de subportadoras de tasa inferior (Scs). Puede ser visto
como una tcnica de modulacin o multiplexacin.
Una de las principales razones para utilizar OFDM es con la nalidad de aumentar la robustez
contra el desvanecimiento de la frecuencia o la interferencia de ancho de banda [Prasad, 2004].
Figura 2.6: OFDM diagrama a bloques
2.4. Seguridad
a
Denicin RAE 23
edicin publicada 2014:
Seguridad: Que asegura algn buen funcionamiento, precaviendo que este falle, se frustre o se violente.
Informacin: Conjunto de datos sobre una materia determinada.
La seguridad es una de las caracterstica primordiales de cualquier sistema (informtico o no)

la cual indica que dicho sistema se encuentra libre de peligro, dao o riesgo y se encuentre
operando de la manera que se espera que funcione.
50
2.4.1. Seguridad Informtica

La seguridad informtica consiste en asegurar que los recursos del sistema de informacin
de una organizacin se tenga acceso y sean utilizados de la manera que se decidi, as mismo
la modicacin solo sea posible por el personal autorizado.
La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos,
mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y conable.
Un sistema de informacin, a pesar de las medidas de seguridad que se le aplique no dejar
de tener siempre un margen de riesgo.
De tal manera, el tema de seguridad abarca mltiples, temas entre los cuales se pueden
encontrar: mantenimientos de equipos, ocultacin y proteccin de datos por medio de claves
de acceso o protocolos de administracin de una red [Bertoln, 2008].
2.4.1.1. Principios Fundamentales de la seguridad

Los objetivos bsicos de la seguridad son: proporcionar disponibilidad, integridad y condencialidad de los datos e informacin. Los mecanismos de controles de seguridad se aplican
para proporcionar proteccin ante los riesgos, amenazas y vulnerabilidades [Harris, 2013].
La disponibilidad, integridad y condencialidad son los principios fundamentales de la seguridad de la informacin y pueden ser prestados por distintos mecanismos de seguridad y as
mismo con la ausencia de estos pueden presentarse problemas dentro de las organizaciones.
2.4.1.1.1. Disponibilidad
La disponibilidad de un sistema de seguridad garantiza la
abilidad y oportuno acceso a los datos o recursos a usuarios autorizados. Los dispositivos
indispensables para el acceso de la informacin debern de proporcionar una funcionalidad
adecuada para llevar a cabo de una manera aceptable las acciones permitidas.
El acceso de la informacin dentro de una red contiene un determinado nmero de elementos
indispensables para el correcto funcionamiento (routers, switches, servidores, proxy, corta
51
fuegos), en caso de elementos de software es necesario el correcto funcionamiento de los componentes y actualizaciones (sistemas operativos, aplicaciones).
Dentro de las organizaciones se encuentran eventos que pueden afectar de una manera negativa las operaciones de las mismas (incendios, desastres naturales, sismos, inundaciones,
problemas elctricos, robo).
Toda organizacin debe tener en consideracin su entorno operacional y as mismo la disponibilidad en caso de presentarse una eventualidad que pueda afectar el correcto funcionamiento
de la organizacin [Harris, 2013].
La informacin ha de ser disponible para los usuarios autorizados cuando la necesiten. El
programa MAGERIT(Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin) [Javier, 2005] dene la disponibilidad como grado en el que un dato est en el lugar,
momento y forma en que es requerido por el usuario autorizado. Situacin que se produce
cuando se puede acceder a un sistema de informacin en un periodo de tiempo considerado
aceptable. La disponibilidad est asociada a la abilidad tcnica de los componentes del
sistema de informacin. Se aplicarn medidas que protejan la informacin, as como crear
copias de seguridad y mecanismos para restaurar los datos que accidental o intencionadamente se hubiesen daado o destruido. La disponibilidad permitir al personal autorizado
pueda acceder a la informacin [Bertoln, 2008].
2.4.1.1.2. Integridad
La integridad se presenta cuando se mantiene estable la infor-
macin evitando cualquier modicacin o eliminacin de una manera no autorizada. Las

herramientas de hardware, software y protocolos de comunicacin deber de trabajar en
conjunto para el mantenimiento, procesamiento y movimiento de datos a distintos destinos
sin alteraciones no deseadas.
Los entornos dentro de un sistema debern de proporcionar atributos de seguridad, asegurando de est manera que los atacantes, errores de los usuarios y eventualidades, pongan en
peligro la integridad de los sistemas o datos.
52
Una de las maneras ms ecientes de combatir las amenazas dentro de un sistema son los
estrictos controles de acceso.
La seguridad implementada en los sistemas deberan de especicar las capacidades que tiene
cada usuario, reduciendo de est manera el acceso a determinados datos dentro del sistema
evitando de esta manera posibles errores o daos a la informacin por usuarios no autorizados
y con privilegios especcos [Harris, 2013].
2.4.1.1.3. Condencialidad
La condencialidad garantiza el nivel de proteccin al proce-
samiento de la informacin evitando la divulgacin no autorizada. La condencialidad se debe

mantener mientras los datos se mantengan en los sistemas y dispositivos de la organizacin.
Uno de los mecanismos utilizados para la proteccin de los datos es el cifrado de los mismo
a medida que se encuentran almacenados o son transmitidos entre equipos dentro de la red,
cumplir con los estrictos controles de acceso, clasicacin de datos y capacitacin del personal en los procedimientos de capacitacin de los datos [Harris, 2013].
La OCDE (Organizacin para la Cooperacin y el Desarrollo Econmico), en sus Directrices
para la Seguridad de los Sistemas de Informacin dene la condencialidad como el hecho
de que los datos o informacin estn nicamente al alcance del conocimiento de las personas, entidades o mecanismos autorizados, en los momentos autorizados y de una manera
autorizada. Para prevenir errores de condencialidad debe disearse un control de acceso
al sistema: quin puede acceder, a qu parte del sistema, en qu momento y para realizar
qu tipo de operaciones. La condencialidad deber permitir el acceso al sistema cuando sea
necesario [Bertoln, 2008].
2.4.1.1.4. Deniciones acerca de la seguridad
Las palabras vulnerabilidad, ame-
naza, riesgo y exposicin a menudo se intercambian a pesar de que cada una tiene diferentes
signicados.
53
Para el desarrollo de un sistema de seguridad se deben de tener en cuenta estas deniciones

ya que se encuentra interactuando constantemente con los sistemas dentro de una organizacin. De esta manera se pretende estar preparados para el momento en que se presente un
evento que pueda ocasionar alguna interferencia con el sistema.
Figura 2.7: Diagrama seguridad
Vulnerabilidad
Una vulnerabilidad es una falta de seguridad o debilidad en un sistema. En
algunos casos se presentan en servicios que se encuentran ejecutando en los servidores,

aplicaciones o sistemas sin actualizaciones, puntos de acceso inalmbricos sin restricciones de acceso, puertos abiertos en los servidores de seguridad o seguridad fsica como
lo puede ser el acceso a reas de personal autorizado o acceso a servidores sin usuario
y contrasea [Harris, 2013].
54
Amenaza
Una amenaza es cualquier peligro potencial que est asociada con la explotacin
de una vulnerabilidad. La amenaza es alguien o algo que ha identicado una vulnerabilidad especica y podra ser utilizada en contra de la organizacin [Harris, 2013].
En los sistemas de informacin se entiende por amenazas la presencia de uno o ms
factores de diversas ndoles que atacaran al sistema produciendo daos aprovechndose de su nivel de vulnerabilidad. Las diferentes amenazas que pueden presentar los
sistemas de informacin son por ejemplo: cortes elctricos, fallos de hardware, errores
intencionados o no de los usuarios, software malicioso.
Riesgo
Es la probabilidad que se presente una eventualidad, en este caso un agente de ame-
naza que aproveche una vulnerabilidad de una organizacin. Si no hay una capacitacin
constante de los usuarios hay una mayor probabilidad de que estos cometan errores y
se presenten perdidas de datos [Harris, 2013].
Exposicin
Es la instancia de estar expuesto a perdida de datos de las organizaciones. Una
de las exposiciones que se presentan en una organizacin es la posibilidad de tener

contraseas de usuarios utilizados de forma no autorizada [Harris, 2013].
Control
El control se pone en marcha con la nalidad de mitigar (reducir) la eventualidad de
que ocurra un riesgo. De esta manera se reduce las vulnerabilidades y la probabilidad de

que un agente de amenaza sea capaz de exportar una vulnerabilidad de la organizacin
o sistema [Harris, 2013].
2.5. Seguridad Inalmbrica

La seguridad es una de las principales preocupaciones en las empresas que estn interesadas en implementar y usar las redes inalmbricas, siendo esta uno de lo principales
objetivos a cubrir cuando se realice una implementacin de una red inalmbrica.
55
Debido a la cantidad de datos que se transmiten libre y abiertamente en el aire, es necesario

la proteccin de los mismos de manera adecuada para garantizar la privacidad de los datos.
Una solucin es la autenticacin, garantizando de est manera que solo usuarios autorizados
puedan pasar a travs de un punto de acceso inalmbrico.
2.5.1. Seguridad de redes inalmbricas

Para el aseguramiento de una red inalmbrica es necesario tomar encuentra los principales
componentes bsicos:
Proteccin de datos
La autenticacin, autorizacin y arqueo (AAA)
Segmentacin
Monitoreo
Poltica
2.5.1.1. Proteccin de datos

Debido a la gran cantidad de riesgos que existen en el intercambio de informacin, fueron
creados mtodos de cifrado o codicacin. La nalidad de realizar este proceso es con la
nalidad que los datos o mensajes sean legibles por la persona por quien fueron creados y a
quien se encuentra destinada.
Las tcnicas de necesarias de cifrado y descifrado de la informacin es llamada criptografa.
La criptografa se deriva del griego y se traduce como Palabra oculta. El objetivo principal
es tomar la informacin (rerindose a este texto plano), el uso de un algoritmo se utiliza
56
una clave para transformar el texto plano en un mensaje cifrado. En la
Figura 10 se muestra
el proceso de cifrado de un texto plano.
Figura 2.8: Cifrado de texto plano
En la
Figura 11 se muestra el descifrado de la informacin en este caso un texto plano.
Figura 2.9: Cifrado de texto plano
2.5.1.2. Autenticacin, Autorizacin y Arqueo

AAA es un estndar para el diseo de sistemas basados en la autenticacin. No es un
sistema en s, sino una coleccin y denicin de normas para la creacin de sistemas [Fernndez, 2009].
La autenticacin, autorizacin y arqueo es un concepto comn que dene la proteccin de
los recursos en una red [David D. Coleman, 2010].
La autenticacin es la vericacin de la identidad de los usuarios y sus credenciales. Los
usuarios deben de tener credenciales actuales como lo son nombre de usuario, contrasea o
certicados digitales.
La autenticacin debe dar una respuesta inequvoca a la pregunta: Quin o qu entidad
pretende acceder a los servicios que presto? [Fernndez, 2009].
57
La autorizacin implica conceder el acceso a los recursos y servicios de red. Antes de realizarse la autenticacin debe ocurrir de manera correcta.
La autorizacin contesta a la pregunta: A qu servicios voy a permitir acceder al solicitante,
una vez autenticado? y est intrnsecamente unida a la autenticacin. Otra denicin es el
acto de determinar si podemos conar un derecho a un solicitante [Fernndez, 2009].
La contabilidad o arqueo es el seguimiento del uso de los recursos de la red por parte de los
usuarios, manteniendo de esta manera un control de acceso a los recursos y en determinado
tiempo.
Una vez realizado el proceso de autorizacin se produce la fase de arqueo o Accounting.
sta es iniciada por el autenticador o NAS (Network Acces Server) tras autorizar el acceso
al suplicante. Es la fase estadstica y de recoleccin de datos sobre la conexin [Fernndez,
2009].
2.5.1.3. Segmentacin
La segmentacin es necesaria en redes de reas grandes para la creacin de subredes
ms pequeas, con lo que se crean grupos ms pequeos de dispositivos y servicios con los
siguientes nes:
Controlar el trco mediante la contencin del trco de broadcast dentro de la subred
Reducir el trco general de la red y mejorar el rendimiento de esta

Segmentar una red consiste en dividirla en subredes para poder aumentar el nmero de
usuarios conectados a ella y as aumentar el rendimiento, tomando en cuenta que existe una
nica topologa, un mismo protocolo de comunicacin y un solo entorno de trabajo.
2.5.1.4. Monitoreo
Despus de haber diseado e instalado una red inalmbrica, es importante realizar el
monitoreo de la misma. Adems de asegurarse que la red cumpla adecuadamente con la
58
expectativa de la organizacin y de los usuarios. Dentro de las funcionalidades del monitoreo

constante de la red permite la deteccin de problemas y posibles ataques constantes a la red.
El monitoreo de la disponibilidad de la red realiza la vericacin de que los servicios ofrecidos
estn funcionando correctamente y as mismo si se encuentran siendo utilizados por los
usuarios de la red.
2.5.1.5. Polticas
La poltica de seguridad es un conjunto de leyes, reglas y prcticas que regulan la manera
de dirigir, proteger y distribuir recursos en una organizacin para llevar a cabo los objetivos
de seguridad informtica dentro de la misma.
Las polticas de seguridad denen lo que est permitido y lo que est prohibido, permitiendo
denir los procedimientos y herramientas necesarias, expresan el consenso de los propietarios
y permiten adoptar una buena actitud dentro de la organizacin [de Redes y Seguridad UNAM, ].
Las polticas de seguridad deben de estar claramente denidas y aplicar medidas para la consolidacin de la ecacia de todas. Dentro las cuales se pueden pueden ser: administrativas,
tcnicas y fsicas.
Las administrativas se encuentran orientadas a la gestin, entre los cuales se presentan la
seguridad, riesgos y personal, los tcnicos se encuentran enfocados el los componentes de
software y hardware, mientras que los fsicos son las medidas de seguridad tomadas en el
acceso a los sistemas donde se encuentran almacenada los datos de los usuarios y sistemas.
2.5.2. Estndares para la seguridad inalmbrica

Para el desarrollo de sistemas de informacin y todo el mbito relacionado con la informtica y comunicaciones es muy comn el uso de estndares y protocolos. La nalidad de
hacer posible la correcta representacin, sealizacin, autenticacin y deteccin de errores.
59
Un protocolo denine un conjunto de reglas que permiten la representacin, sealizacin y

deteccin de errores a travs de los canales de comunicacin.
Un estndar es un conjunto de reglas que deben de cumplir los producto, procedimientos o
investigaciones que armen ser compatibles con el mismo producto, generando estabilidad,
madurez y calidad [UNAM, ].
2.5.2.1. Trusted Computer Security Evaluation Criteria. TCSEC.

Es un estndar perteneciente al Departamento de Defensa del Gobierno de Estados
Unidos el cual establece requisitos bsicos para la evaluacin de la ecacia de la seguridad informtica.
El TCSEC se utiliz para evaluar, clasicar y seleccionar los sistemas informticos considerados para el procesamiento, almacenamiento y recuperacin de la informacin sensible [de Defensa del Gobierno de EE.UU., 1980].
2.5.2.1.1. Clases
Se denen siete conjuntos de criterios de evaluacin denominados
clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de
la evaluacin: poltica de seguridad, imputabilidad, aseguramiento y documentacin.
A continuacin se describen los puntos primordiales a evaluar en cada uno de los niveles:
D. Proteccin mmina
No contiene caractersticas de seguridad
No contiene evaluacin para los niveles superiores
C1.- Proteccin discrecional

DAC
Requerimientos de identicacin y autenticacin
60
Aseguramiento mnimo
C2.- Proteccin al control de acceso

Auditora capaz identicar cada acceso
Realizacin de pruebas de seguridad ms estrictas
B1.- Etiquetas de la proteccin de seguridad

Especicaciones por medio de MAC
Etiquetado por los niveles se seguridad para el control de acceso
B2.- Preoteccin estructurada

Registro por medio de MAC para cada uno de los objetos
Condencialidad para el inicio de sesin
Requerimiento de privilegios
Canal encubierto para la transferencia de informacin
B3.- Dominios de la seguridad

Diseo de alto niveles
Capas
Abstraccin
Ocultamiento de la informacin
Funciones de seguridad a prueba de alteraciones
Documentacin
61
Formulacin de gua para el administrador
A1.- Proteccin vericada

Garanta
Canal encubierto para transferencia de informacin
Condencialidad
Documentacin formal acerca de pruebas y diseo
Diseo, control y vericacin
2.5.2.2. Information Technology Security Evaluation Criteria. ITSEC

Los Criterios de Evaluacin de Seguridad en Tecnologas de la Informacin (ITSEC, Information Technology Security Evaluation Criteria) son un conjunto de criterios para evaluar
la seguridad informtica de productos y sistemas [the Netherlands the United Kingdom (ITSEC), 1991].
Contiene siete niveles de evaluacin donde E0 designa el nivel ms bajo y E6 el ms alto.
Los siete niveles de evaluacin se pueden caracterizar de la siguiente manera:
E0
En este nivel se encuentra el aseguramiento insuciente
E1
Se encuentra un objetivo de seguridad y una descripcin informal del diseo arquitectnico del TOE (Target of Evaluation, Objetivo de la Evaluacin). Las pruebas funcionales
aplicables satisfacen los objetivos de la seguridad
E2
Descripcin informal del diseo detallado, evaluando la evidencia de las pruebas funcionales, as como un sistema de control
E3
Evaluacin de cdigo fuente y/o hardware
62
E4
Funciones de aplicacin dela seguridad, diseos arquitectnicos y diseo detallado
E5
Correspondencia en un diseo detallado de cdigo fuente y/o hardware
E6
Modelo formal a la poltica de seguridad
2.5.2.3. ISO 15408 Criterios Comunes (CC)

CC o ISO1/IEC-15408 unica todas las ventajas contenidas, tanto en el ITSEC como en
TCSEC. EL CC introduce seis conceptos clave [Bertoln, 2008]:
1. Perl de proteccin (PP). Un PP contiene cinco secciones:
Elementos descriptivos, como una descripcin del problema de seguridad a resolver

Razonamiento, con la justicacin del perl de proteccin, incluyendo amenazas,
entorno, e hiptesis de utilizacin, as como descripcin del problema de seguridad
a resolver y gua sobre polticas de seguridad.
Requisitos funcionales, que se reeren al lmite de proteccin proporcionando por
el producto, incluyendo amenazas esperadas.
Requisitos de garanta de desarrollo, resaltando desde el diseo inicial a la implementacin, pasando por el proceso de desarrollo, entorno de desarrollo y soporte
operacional.
Requisitos de garanta de evaluacin, especican el tipo e intensidad de la evaluacin
2. Objetivo de la seguridad (ST). Documento en el que se identican las capacidades de

seguridad y forma la base para la evaluacin del producto.
3. Objetivos de evaluacin (TOE). Es el producto descrito en el ST sobre el que se hacen

las especicaciones de seguridad (el sistema real a evaluar).
63
4. Requisitos funcionales de seguridad (SFR). Son descripciones de funciones de seguridad

individuales que puede proporcionar un producto.
5. Requisitos de aseguramiento de la seguridad (SAR). Son las descripciones de las medidas tomadas durante el desarrollo del producto para asegurar el cumplimiento con la
funcionalidad de seguridad especicada.
6. Nivel de garanta o aseguramiento de la evaluacin (EAL). Conjunto de requisitos de

aseguramiento que cubre el desarrollo completo del producto con un nivel dado de
exactitud y rigurosidad. El CC dene siete niveles, siendo el EAL1 el ms bsico y el
EAL7 es el ms riguroso. Los niveles ms altos del EAL, no necesariamente suponen
mejor seguridad, lo que signica es que el aseguramiento especicado del TOE ha sido
validado con mayor profundidad.
EAL1:
Es aplicable donde se precisa cierta conanza en el funcionamiento correcto, pero
las amenazas a la seguridad no son vistas como serias.
EAL2:
Aplicable en aquellos casos donde los desarrolladores o los usuarios necesitan un nivel
de bajo o moderado de seguridad, aanzada de forma independiente de la disponibilidad

del registro del desarrollo completo, o donde el acceso al desarrollador est limitado.
EAL3:
Se aplica en caso de que los desarrolladores o los usuarios necesitan un nivel moder-
ado de seguridad implantada de forma independiente y cuando se requiere una investigacin a fondo del TOE y ste se desarrolla sin una reingeniera demasiado avanzada.
EAL4:
Aplicable en caso de que los desarrolladores o los usuarios necesiten un nivel moder-
ado alto de seguridad, implementada de forma independiente en los TOE de conformidad convencional y siempre que estn preparados para hacer frente a costes adicionales
especcos de ingeniera de seguridad.
64
EAL5:
Se aplica cuando los desarrolladores o los usuarios necesitan un alto nivel de seguri-
dad, garantizada de forma independente en un desarrollo planicado y cuando se necesite un enfoque de desarrollo riguroso, sin incurrir en costes no razonables, atribuibles
a tcnicas de ingeniera de seguridad muy especializada.
EAL6:
Se aplica al desarrollo de los TOE de seguridad para aplicaciones en situaciones de
elevado riesgo, donde el valor de los activos protegidos justique los costes adicionales.
EAL7:
Se aplica al desarrollo de los TOE de seguridad para aplicaciones que se encuen-
tren en situaciones de extremado alto riesgo y/o donde el elevado valor de los activos
justique los costes ms elevados.
EL CC dene diez conjuntos de clases funcionales:
Identicacin y autenticacin
Camino conable
Auditora de seguridad
Entrada al TOE
Proteccin de datos de usuario
Utilizacin y disponibilidad de recursos
Proteccin de las funciones del TOE
Proteccin fsica
Privacidad
Comunicaciones
65
El CC abandona la total exibilidad de ITSEC y utiliza perles de proteccin y clases

de seguridad predenidas. El CC cubre los siguientes aspectos:
La seguridad de las tecnologas de informacin, en cuanto a la reduccin de los riesgos

asociados con las amenazas a la informacin
El anlisis de amenazas descubrimiento las que son concebibles
2.5.2.4. BS 7799 (Reino Unido)

La norma BS 7799 fue desarrollado por el Reino Unido por el Departamento de Ccomercio
e Industria del Gobierno y publicado por el British Stan-Institucion (BSI) en 1995, con
objeto de proporcionar a las organizaciones un conjunto de buenas prcticas sobre el diseo,
implementacin y mantener las polticas, procesos y tecnologas para el gestionar los riesgos
de su informacin sensible [Harris, 2013].
El estndar britnico BS 7799 es un estndar aceptado ampliamente que ha sido utilizado
como base para elaborar otros estndares de seguridad de la informacin incluyendo el ISO
17799 [de Redes y Seguridad UNAM, ].
La versin actual de estndar tiene dos partes:
BS7799-1:1999 Information Security Management. Code of Practice for Information

Security Management. Es la gua de buenas prcticas, para el cumplimiento de sus
objetivos.
BS7799-2:1999 Information Security Management. Specication for Information Security Management Systems. Establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certicable por una entidad independiente.
La norma BS7799 establece una ampla gama de temas, de las cuales se describen algunas
a continuacin [Harris, 2013]:
66
Creacin de la infraestructura de seguridad de la informacin
Clasicacin y control de activos
Seguridad personal
Seguridad fsica y ambiental
Gestin de las comunicaciones y operaciones
Control de acceso
Desarrollo y mantenimiento de sistemas
Continuidad del negocio
Controles tcnicos, auditora de sistemas y jurdicos
2.5.2.5. Normas ISO/IEC 27000

La norma ISO/IEC 27000 contiene las mejores prcticas recomendables en seguridad
de la informacin para desarrollar, implementar y mantener especicaciones para los SGSI
(Sistema de Gestin de la Seguridad de la Informacin) [de Redes y Seguridad UNAM, ]:
ISO/IEC 27001
especica los requisitos para la implantacin del SGSI, adoptando un
enfoque de gestin de riesgos y promueve la mejora continua de los procesos
ISO/IEC 27002
es cdigo de buenas prcticas para la gestin de seguridad de la informa-
cin
ISO/IEC 27004
son mtricas para la gestin de riesgos de la seguridad de la informacin
ISO/IEC 27005
trata de la gestin de riesgos en seguridad de la informacin
67
ISO/IEC 27006
especica los requisitos para la acreditacin de entidades de auditora y
certicacin de sistemas de gestin de seguridad de la informacin
ISO/IEC 27011
especicaciones sobre la gestin de seguridad de la informacin para las
organizaciones de telecomunicaciones
ISO/IEC 27031
continuidad del negocio para las tecnologas de la informacin y comuni-
caciones
ISO/IEC 27033-1
gua para la seguridad de la red
La norma ISO/IEC 27000 funciona como las mejores prcticas para la gestin de los controles
de seguridad de manera integral dentro de las organizaciones.
2.6. IEEE802.11i Seguridad inalmbrica red de rea local

(LAN)
En las redes inalmbricas hay dos caracteristcas de las redes cableadas que no pueden
ser inherentes.
Para la transmisin en una red cableada LAN la estacin debe de estar conectada
sicamente a la red. Mientras que para una red inalmbrica cualquier dispositivo
perteneciente a la misma gama de los dispositivos que pueda realizar la transmisin.
Con la nalidad de recibir una transmisin en una red LAN, la estacin receptora
tambin debe de estar conectada a la misma red para poder recibir seal de transmisin.
Mientras que los dispositivos inalmbricos se encuentren en el rango de radio de alcance
de la seal estos pueden tener acceso a la red.
Las redes cableadas ofrecen un mayor grado de privacidad al acceso de la red ya que
los dispositivo deben de encontrarse directamente conectadas a la red LAN.
68
Estas diferencias entre las redes LAN cabledas e inalmbricas sugieren el aumento de la
necesidad de creacin de mecanismos de seguridad robustos para las redes inalmbricas.
El origen de 802.11 incluye un conjunto de caracteristcas de seguridad para la privacidad
y la autenticacin de los cuales eran muy debiles, una mejora fue el desarrollo de Wired
Equipement Provacy (WEP). El grupo de trabajo 802.11i ha desarrollado un conjunto de
capacidades para hacer frente a los problemas deseguridad de WLAN, entre ellas esta Wi-Fi
Protected Access (WPA) siendo este un conjunto de mecanismo de seguridad la cual elimina
la mayora de los problemas de seguridad de 802.11i [Stallings, 2011].
2.6.1. IEEE802.11i Servicios

La especicacin de seguridad RNS (Robust Security Network) 802.11i denelos siguientes servicios:
Autenticacin:
Protocolo utilizado para la denicin de un intercambio entre un usuario
y un AS que proporciona autenticacin y realizacin de claves temporales que sern

utilizados por los cientes y los AP a travs del enlace inalmbrico.
Control de acceso:
Esta funcin hace cumplir el uso de la funcin de autenticacin, men-
sajes correctos e intercambio de claves.
Privacidad con el mensaje de integridad:
cifrado de los mensajes asegurando de que
los datos no hayan sido alterados.
2.6.2. IEEE802.11i Fases de Operacin

El funcionamiento de un RSN IEEE802.11i se divide en cinco fases distintas de operacin
[Stallings, 2011]:
Dos estaciones de inalmbricas en el mismo BSS se comunica a travs del punto de
acceso (AP) para ese BSS.
69
Dos estaciones inalmbricas(STA)en el mismo BSS mantienen comunicacin directa

con cada uno.
Dos estaciones inalmbricas con diferentes BSS mantienen comunicacin a travs de

sus respectivos puntos de acceso en su sistema de distribucin.
Una estacin inalmbrica se comunica con su estacin nal en una red cableada a travs
de sus sistemas de distribucin y puntos de acceso.
La seguridad IEEE802.11i se reere nicamente a la comunicacin segura entre las estaciones

inalmbricas y los puntos de acceso.
A continuacin se denen las 5 fases de operacin de IEEE802.11i:
Descubrimiento:
Un STA utiliza mensajes para identicar una AP para una WLAN con
la que desea tener comunicacin.
Autenticacin:
Durante esta fase la STA y el servidor de autenticacin demuestran su
identidad el uno al otro.
Generacin y distribucin de clave:
El AP y la STA realizan operaciones en la que las
llaves se generen y se han intercambiados entre ellos.
Transferencia de datos protegidos:
La transferencia y comunicacin entre una STA y
un AP se realiza de manera protegida de tal manera presentando la informacin cifrada.
Terminacin de conexin:
El AP y la STA se asegura la terminacin de de la conexin,
dejando de esta manera la conexin en estado incial.
2.6.3. Fase descubrimiento

El proposito de esta fase es que un STA y un AP puedan conectarse entre si, manteniendo
una comunicacin segura [Stallings, 2011].
70
Habilidad de Seguridad:
La STA y AP denen tcnicas de seguridad en las siguientes
reas:
Condencialidad e integridad
Mtodos de autenticacin
Gestin de claves de criptografa
Los protocolos de condencialidad e integridad se encuentran dictadas por los AP, ya

que estos y los grupos de STA debn de utilizar los mismos protocolos y sistemas de
cifrado. Las especicaciones de un protocolo junto con la longitud de la clave elegida
es conocida como un conjunto de cifrado.
Las opciones para la condencialidad y conjunto de cifrado son:
WEP
TKIP
CCMP
Mtodos especicos de los fabricantes
La autenticacin es el medio por el cual los STA y AP se menatienen conectadas por

medio de:
Clave: Pre-compartida, en donde STA y AP comparten una nica clave secreta.

Mtodos especicos de los fabricantes
Intercambio:
se encuentra dividido en 4 fases:
Deteccin de redes y capacidad de seguridad:
en est fase las STA descubren la
existencia de una red con la que van a comunicarse. Mientas a que el AP difunde
peridicamente la seal.
71
La autenticacin de sistema abierto:
este sistema no proporciona ninguna seguri-
dad.
Asociacin:
Identicar los lazos que van a ser utilizados en la seguridad inalmbrica,
en donde la STA enva un conjunto de claves para ser evaludas por los AP, en caso
de no presentarse ninguna conincidencia el AP niega la peticin de asosiacin a
la red.
Peticin:
las peticiones realizadas por los usuarios que son evaluados por los AP.
2.6.4. Fase de autenticacin

La fase de autenticacin permite la autenticacin mutua entre una STA y un servidor
de autenticacin. La autenticacin es diseado para permitir a las STA utilizar la red y
proporcionar la seguridad con la que se esta realizando la comunicacin [Stallings, 2011].
La fase autenticacin consiste en las siguientes tres fases, tpicamente son el ujo de mensaje
entre las STA, los AP y el AS:
Conectar a AS (servidor de autenticacin): La STA enva una solicitud al AP y esta a
la vez una solicitud al AS.
Cambio de EAP: se realiza el intercambio de autenticacin de STA y la AS y viceversa.
Asegurar la entrega de llaves: una vez establecida la autenticacin, el AS genera una

clave de sesin, conocida esta como la autenticacin, autorizacin y la clave de AAA,
los cuales son enviados a las STA
Resumen intercambio de autenticacin utilizando EAP y RADIUS
Se inicia cuando la AP emite un mensaje de identidad a la STA
El STA responde al AP y este se transmite al servidor RADIUS como una solicitud de

acceso de paquetes
72
El servidor AAA responde con un mensaje que es transmitido a la STA. Siendo esta
la solicitud apropiada para el tipo de autenticacin
La STA responde por medio de un mensaje al AS
La AAA realiza la autorizacin y el usuario puede comenzar a acceder a la red
2.6.5. Fase de gestin

Se realiza la gestin de las llaves, que estas son utilizadas para la comunicacin entre una
STA y un AP. Una llave pre-compartida es una clave secreta compartida entre la AP y la
STA.
Los mtodos parra la generacin de las llaves depende de los detalles del protocolo de autenticacin utilizado, en los cuales estas son unas claves nicas compartidas por el AP y la
STA con la que se mantiene la comunicacin.
Las 3 partes de la llave son las siguientes:
EAP Over LAN: brinda apoyo a la integridad y el origen de los datos
EAPOL: protege la condencialidad de claves y otros datos brindados por los usuarios
Clave temporal (TK): proporciona la proteccin real para el trco de la conexin de

los usuarios a la red
2.6.6. Fase de proteccin de la transferencia de datos

IEEE802.11i dene dos esquemas para la proteccin de los datos que son transmitidos
los cuales son: Protocolo de integridad de clave temporal (TKIP), y e Contador Modo-CBC
protocolo de MAC (CCMP).
TIKP
Esta diseado para requerir slo cambios de software a los dispositivos que son imple-
mentado con el enfoque de seguridad (WEP) los cuales ofrecen los siguientes servicios:
73
Integridad del mensaje

CCMP
Esta dirigido a los nuevos dispositivos IEEE802.11 ofreciendo los siguientes servi-
cios:
Integridad el mensaje
2.7. RADIUS, DIAMETER, TACACS

RADIUS, DIAMETER y TACACS son tres protocolos para la implementacin de autenticacin, autorizacin y contabilidad (AAA) de informacin entre un Network Access Server
(NAS) y un servidor de autenticacin compartida.
Los protocolos de seguridad ms utilizados para el control de acceso a redes son:
RADIUS
DIAMETER
TACACS
2.7.1. RADIUS
RADIUS es un servicio o demonio que se ejecuta en una de las mltiples plataformas
que permite (Unix, GNU/Linux, Windows, Solaris...) y que permanece de forma pasiva a la
escucha de solicitudes de autenticacin hasta que estas se producen [Fernndez, 2009]. Para
ello utiliza el protocolo UDP y permanece a la escucha en los puertos 1812 o 1645 para la
autenticacin y 1813 o 1646 para el arqueo.
RADIUS est basado en un modelo cliente-servidor, ya que RADIUS escucha y espera de
74
forma pasiva las solicitudes de sus clientes o NAS, a las que responder de forma inmediata.
Para ello utiliza el protocolo UDP y permanece a la escucha en los puertos 1812 o 1645 para
la autenticacin y 1813 o 1646 para el arqueo.
RADIUS est basado en un modelo cliente-servidor, ya que RADIUS escucha y espera de
forma pasiva las solicitudes de sus clientes o NAS, a las que responder de forma inmediata
[Microsoft, ].
2.7.1.1. Cliente RADIUS

Los clientes RADIUS son equipos que proporcionan el acceso a una red de datos TCP/IP.
El cliente RADIUS acta como un intermediario entre el servidor RADIUS y un usuario o
dispositivo que intenta tener acceso a la red.
La respuesta del servidor RADIUS no solo determina si se permite la autenticacin de los
usuarios en la red, sino que tambin permite imponer ciertas restricciones en la autorizacin
de acceso, como lo pueden ser el tiempo limite de sesin o el limite de velocidad de conexin
[HernndezM.Enrique, 2011].
2.7.1.2. Servidor RADIUS

El servidor RADIUS utiliza los puertos UDP 1812 y 1813 para la escucha de peticiones.
Siendo este el encargado de la administracin de acceso, recibe la autenticacin y despus
de realizar la comparacin con sus registros enva un mensaje permitiendo o negando el
acceso [HernndezM.Enrique, 2011]. En la comunicacin con los clientes se intercambian los
siguientes mensajes:
Access Request: Solicitud de atencin para la autenticacin
Access Accept: Acepta la autenticacin
Access Reject: No se acepta la autenticacin
75
Accounting Request: Registro de eventos
Accounting Response: Conrmacin de eventos registrados
2.7.2. TACACS+
Es un protocolo de segunda generacin basado en AAA, y se aloja principalmente en
equipos CISCO, ya que es un protocolo propietario de CISCO y no est abierto a otros
fabricantes [Fernndez, 2009]. Algunas caractersticas de TACACS+ son:
Usa TCP como protocolo de transporte.
Encripta el cuerpo entero del mensaje.
Separa el proceso de autenticacin de forma independente. De esta manera solo puede

utilizar otros protocolos de autenticacin como Kerberos.
Da soporte a los siguientes protocolos: Netbios, x25, Appletalk, Novell NASI.
Controla la conguracin de seguridad del acceso a routers.
2.7.3. Diameter
Es un protocolo de segunda generacin, cien por ciento basado en AAA, que como posible sucesor de RADIUS pretenda mejorar todas sus carencias y puntos dbiles. Una de sus
premisas ms importantes en su diseo fue que tena que ser compatible con RADIUS para
que pudiera asumir todas las instalaciones en forma de migracin [Fernndez, 2009]. Diameter
mejora RADIUS en muchos aspectos como la gestin de las comunicaciones mediante SCTP
(Stream Control Transmission Protocol), previendo de una forma muy adecuada el timeout
en los envos de mensaje y en la bsqueda de rutas alternativas hacia el servdor o servidores.
Diameter rma los mensajes mediante un cdigo de tiempo, que impide duplicidades en la
76
recepcin de respuestas simultneas, adems de usar cifrado basado en certicados y rma

digital. Diameter se apoya en un mdulo criptogrco llamado CMS (Criptograpic Message
Sintax) integrado en su plataforma, que se encarga del cifrado de todos los mensajes. Diameter da soporte al nuevo estndar de gestin de NAS llamado NASREQ [HernndezM.Enrique,
2011].
2.7.4. Metodologas de redes

La implementacin de metodologas para redes es una propuesta con gran importancia
en la implementacin en el diseo de las mismas, contemplado aspectos como lo son:
Especicaciones de la red
Equipos utilizados
Gestin de la red
Alcance de la seal
La metodologa Top-Down Network Desing se compone de 4 Fases, para el diseo de redes:
Analisis de Negocios Objetivos y limitaciones: identicando objetivos y necesidades de
los clientes
Diseo lgico: se lleva a cabo el diseo de la topologa de red, modelo de direccionamiento y nombramiento, as mismo seleccin de protocolos a utilizar
Diseo Fsico: seleccin de las tecnologas y dispositvos especicos que darn satisfaccin a los requerimientos tcnicos
Pruebas, Optimizacin y Documentacin de la red: seleccin de mtodos y herramientas

de prueba correctos, requiere creatividad, ingeniosidad y un completo entendimiento
del sistema a ser evaluado
77
La metodologa de desarrollo con CISCO utiliza el llamado ciclo de vida de redes PDIOO
(Planicacin Diseo Implementacin Operacin Optimizacin).
78
Captulo 3
Diseo de la solucin hardware y
software
La Universidad del Istmo presenta la necesidad de extender la infraestructura de red con
la que cuenta, la cual permitir el mantener un mayor nmero de usuarios de la Internet
conectados con la nalidad de realizar sus actividades escolares.
Las limitaciones de presupuesto limitan a la Universidad a realizar la implantacin de una
infraestructura inalmbrica para mantener conectados a los usuarios de la Red.
Para la Universidad se presenta la propuesta de implementacin de una red inalmbrica que
ofrezca los servicios de Internet, controlando el acceso de los usuarios a la red por medio
de la autenticacin para el control de acceso y monitoreo de la red, tomando en cuenta y
desarrollada bajo las polticas denidas por la misma institucin educativa.
Para la implementacin de la infraestructura inalmbrica se recurrieron a las metodologas
Top-Down Network Desing y la metodologa de desarrollo con CISCO, estas metodologas
permitirn el desarrollo de la infraestructura y topologa de la red inalmbrica.
El Top-down Network Design es una disciplina que surgi del xito que se tuvo con la
programacin estructurada de software y el anlisis de sistemas estructurados. El objetivo
79
principal es representar con una mayor precisin las necesidades de los usuarios, los cuales
en la mayora de los casos estos se encuentran mal-interpretados o ignorados. El objetivo
de realizar un proyecto o sistema a realizar sea manejable dividindolo en mdulos que se
puedan mantener y realizar modicaciones con mayor facilidad [Oppenheimer, 2011].
3.1. Metodologa
La metodologa a utilizar para el desarrollo de la red inalmbrica es una hbrida, ya que
se toma parte de dos metodologas la cuales son: Top-Down Network Design y la metodologa
de desarrollo con CISCO, en la cual se toman puntos sobresalientes de estas.
Fase de identicacin de necesidades y objetivos de los clientes
Se identicar los
objetivos y necesidades de la organizacin y as mismo de los usuarios.
Fase de diseo
La red es diseada de acuerdo a los requerimientos iniciales y datos adi-
cionales recogidos durante el anlisis de la red existente. El diseo es renado con el

cliente.
Diseo lgico
En esta fase se disear la topologa de red, el modelo de direc-
cionamiento y se seleccionar los protocolos de bridging, switching y routing para

los dispositivos de interconexin. El diseo lgico tambin incluye la seguridad y
administracin de la red.
Diseo de la Topologa de red
Diseo de Modelo de Direccionamiento y Nombramiento
Seleccin de Protocolos de Switching y Routing
Desarrollo de estrategias de seguridad de la red
Desarrollo de estrategias de Gestin de la red
80
Diseo Fsico
Esta fase implica en seleccionar las tecnologas y dispositivos espec-
cos que darn satisfaccin a los requerimientos tcnicos de acuerdo al diseo

lgico propuesto (LAN / WAN).
Seleccin de Tecnologas y dispositivos para la red del Campus
Seleccin de Tecnologas y dispositivos para la red
Diseo Interfaz
En est fase se realiza el desarrollo de la interfaz grca la cual
permitir la administracin de los usuarios en la red, a travs del personal del

departamento de redes.
Para el desarrollo del sistema se recurri a la metodologa de desarrollo de software
llamado modelo en cascada [Sommerville, 2005]:
Anlisis y denicin de requerimientos: inicio del proyecto y la recoleccin de
requisitos
Diseo del sistema y del software: el proceso de diseo del sistema divide los
requerimientos en sistemas de hardware y software
Implementacin y prueba de unidades: implica vericar que cada cumpla sus
especicaciones
Integracin y prueba del sistema: los programas o las unidades individuales
de programas se integran y se prueban como un solo sistema para asegurar
que se cumplan los requerimientos del sistema
Funcionamiento y mantenimiento: el sistema de instala y se pone en funcionamiento prctico, implicando corregir errores no descubiertos en etapas
anteriores
Implementacin de prototipo
Durante esta etapa se implementar el software dis-
eado para la administracin de los usuarios en la red.
Fase de pruebas
Durante esta fase, los errores son detectados y corregidos, antes que
81
los problemas surjan o, si no se encuentran problemas, despus de que ocurra una

falla. Si existen demasiados problemas, puede ser necesario re-disear la red.
3.2. Diseo del sistema

Para el desarrollo del sistema es necesario montar un escenario con los elementos propuestos y agentes externos.
Se utiliza el entorno de trabajo Linux facilitando la integracin de los componentes usados
para el desarrollo del sistema, entre ellos se encuentra el servidor Radius y sus distintos
archivos de conguracin adaptado a las necesidades de la Universidad, diseo de una infraestructura de la manera en que se encontrar ubicadas los puntos de accesos y antenas
repetidoras.
El sistema propuesto funcionar de la siguiente manera:
Los usuarios con dispositivos mviles debern de ser registrados en el departamento de

redes en la cual se les proporcionar un usuario y contrasea para el acceso a la red.
El usuario deber de ingresar el usuario y contrasea proporcionado por el encargado

del departamento de redes para el acceso a la red.
Si el usuario y contrasea son correctas se le permitir el acceso a la red inalmbrica,

caso contrario se rechazar el proceso de autenticacin del usuario, dichas actividades
se llevar el registro en el sistema.
En la siguiente imagen se presenta el esquema de la solucin propuesta.

Cada uno de los usuarios que necesiten utilizar el servicio de internet deber de registrar
un usuario y contrasea nico correspondiente a equipo al cual registrar en el departamento
de redes. Ofreciendo las siguientes ventajas:
82
Figura 3.1: Diagrama de insfraestructura de la propuesta
Las credenciales vinculadas con un equipo no podrn ser utilizadas por otro alternativo,
ya que para cada uno de los equipos registrados se crea una credencial especica.
Seguridad en la red solo equipos registrados en el departamento de redes podrn tener

acceso a los servicios de la red.
3.3. Diseo de control de acceso con Radius

En el presente apartado se describe el diseo del control de acceso a usuarios en una red
inalmbrica en la Universidad del Istmo.
3.3.1. Arquitectura nal del sistema

La arquitectura se deni en el apartado de Diseo del sistema propuesto del anlisis de
requerimiento del diseo y desarrollo del sistema de autenticacin de usuarios.
La realizacin de la conguracin de los dispositivos utilizados presenta una de las actividades
a realizar. En este caso se estarn utilizando 4 antenas con la nalidad de cubrir la mayor
rea posible dentro del rea correspondiente a la Universidad, as mismo se requiere de 3
83
Concurrent Access Point (Punto de Acceso Concurrente) siendo estos los dispositivos que
permitirn el acceso a internet a los usuarios registrados en la red.
Los 4 puntos estratgicos en donde estarn colocadas las antenas para una mayor cobertura
son:
Edicio 1:
Edicio en el cual se encuentran ubicados los cubculos de los profesores de las
carreras de las Licenciaturas en Ciencias Empresariales e Informtica.
Sala Audiovisual:
Sala de usos mltiples dentro de la universidad.
Centro de Idiomas:
Edicio en el cual se encuentras ubicados los profesores que imparten
la clase de lengua extranjera (Ingles) en sus cinco niveles.
Edicio Habitacionales:
Edicios en los que se encuentran ubicados las casas habitacin
de los profesores que se encuentran viviendo dentro de la Universidad.
Dentro del objetivo que persigue el sistema de red inalmbrica es el abarcar el mayor rea
posible dentro de la Universidad del Istmo. Para la implementacin de la red inalmbrica
en la Universidad se recure a la metodologa de ad-hoc en la particularidad de punto a
multipunto ya que se cuenta con 4 antenas con las cuales se estar realizando la propagacin
de la red inalmbrica. Los dispositivos utilizados para la implementacin de la red fueron
necesarios ser congurados con los mismos datos para poder realizar la comunicacin entre
ellos.
3.3.2. Conguracin de la solucin

A continuacin se describe la ubicacin y conexin de las distintas antenas utilizadas y
los puntos de acceso y Bridge, tomas de corriente y ajustes para el correcto funcionamiento
de la infraestructura de la red inalmbrica a realizar.
84
Antena 1 (Principal):
Marca TP-LINK, modelo TL-WA7210N. Estar ubicada y ajus-
tada en la torre de telecomunicaciones en las coordenadas Longitud: 16 33 36.65 N,
Latitud: 95 7 21.89 O, a 15 metros de altura y su orientacin ser los 30 . La conexin a su dispositivo POE (Power Over Ethernet) se realizar con 30 metros de cables
UTP, el cual estar ubicado en el interior del departamento de redes, que se encuentra
ubicada a 8.3 metros de distancia, mismo lugar donde se har la conexin del cable de
red principal y la conexin a la energa elctrica.
Antena 2:
Marca TP-LINK, modelo TL-WA7210N. Estar ubicada en la parte superior
(en el techo) del Centro de Idiomas y ajustada en tubo conduit de 1.5 de 2 metros de
longitud con la nalidad de tener una mayor altura y evitar interferencia con los rboles
que se encuentran alrededor en los reas verdes. Dicha antena deber ser ubicada en las
coordenadas Longitud: 16 33 40.41 N, Latitud: 95 7 20.85 O, teniendo una altura total
de 8 metros y su orientacin ser de 240 absolutos. La conexin a su dispositivo POE
(Power Over Ethernet) se har con 12 metros de cable UTP, el cual estar ubicado
en el interior del cubculo anexo a la enfermera, mismo lugar de donde se la conexin
a la energa elctrica. La antena estar congurado en modo Bridge a 2.4 GHz de
frecuencia, para hacer un enlace con la Antena3, por cuestiones de larga distancia.
Antena 3:
(techo) del Edicio habitacional (departamentos y ajustada al concreto del edicio, el

cual deber ser instalado en las coordenadas Longitud: 16 33 47.16 N, Latitud: 95 7
23.68 O, teniendo una altura total de 8 metros y su orientacin ser de 158 absolutos.
La conexin a su dispositivo POE (Power Over Ethernet) se har con 15 metros de
cable UTP, el cual estar ubicado en el interior del edicio, mismo lugar de donde se
la conexin a la energa elctrica.
Antena 4:
85
(techo) del Edicio de aulas y ajustada al concreto del edicio, el cual deber ser
instalado en las coordenadas Longitud: 16 33 41.18 N, Latitud: 95 7 24.51 O, teniendo
una altura total de 10 metros y su orientacin ser de 100 absolutos. La conexin a
su dispositivo POE (Power Over Ethernet) se har con 23 metros de cable UTP, el
cual estar ubicado en el interior del edicio, mismo lugar de donde se la conexin a
la energa elctrica.
AP1/C1 :
Concurrent Access Point marca EnGenius. Estar ubicada en el interior del Lab-
oratorio de Fsica, ajustada a la pared de concreto, coordenadas Longitud: 16 33 44.50

N, Latitud: 95 7 20.02 O. La conexin a la energa elctrica ser dentro del Laboratorio.
La conguracin de las propiedades de red se muestra a continuacin:
Direccin IPv4: 192.168.10.10

Mscara de Red: 255.255.255.0
Gateway: 192.168.10.10
Servidor Radius: 192.168.10.2
SSID: Red_Unistmo
AP2/C2 :
Concurrent Access Point marca EnGenius. Estar ubicada en el interior del Edi-
cio de Salas de Cmputo, ajustada a la pared de concreto, coordenadas Longitud: 16

33 43.26 N, Latitud: 95 7 19.53 O. La conexin a la energa elctrica ser dentro del
aula. La conguracin de las propiedades de red se muestra a continuacin:
Direccin IPv4: 192.168.10.20

Mscara de Red: 255.255.255.0
Gateway: 192.168.10.20
86
SSID: Red_Unistmo
AP3/C3 :
Concurrent Access Point marca EnGenius. Estar ubicada en el interior del aula
12, Modulo III, ajustada a la pared de concreto, coordenadas Longitud: 16 33 40.04

N, Latitud: 95 7 22.80 O. La conexin a la energa elctrica ser dentro del aula. La
conguracin de las propiedades de red se muestra a continuacin:
Direccin IPv4: 192.168.10.40

Mscara de Red: 255.255.255.0
Gateway: 192.168.10.40
SSID: Red_Unistmo
Figura 3.2: Infraestructura de alcance de la red
87
3.4. Desarrollo del sistema de autenticacin de usuarios

Las redes inalmbricas son un punto de ataque por parte de los usuarios, de tal manera
debe ser protegido y controlado el acceso de los usuarios en una organizacin.
El presente trabajo de investigacin se desarrollo bajo las polticas del departamento de
redes de la Universidad del Istmo con la nalidad de controlar el acceso de los usuarios a los
servicios de red en dicha institucin.
3.4.1. Instalacin Radius

En el desarrollo del sistema propuesto se utiliza la plataforma GNU/Linux, con la nalidad de fomentar el cdigo libre, y crear aplicaciones innovadoras que permitan un fuerte
impulso al desarrollo. El sistema operativo elegido es Centos 6.3 por denirse como un sistema robusto, estable y facil de usar e instalar.
El principal motivo por el cual se eligue freeradius como servidor de autenticacin es su
relacin costo-calidad, que ofrece un rendimiento y potencia elevada, colaborando con los
estndares dedicados a Radius, por lo que es un servidor Radius estndar que puede ser
implementado para dar soporte a cualquier plataforma que soporte multiples mdulos.
Uno de los pasos siguientes al tener instalado la mquina virtual con el sistema operativo
Centos 6.3, es realizar la instalacn del servidor Freeradius el cual nos permitr realizar el
control de acceso a usuarios en la red inalmbrica dentro de la Universidad del Istmo.
Se realiza la instalacin del servidor Freeradius, utilidades de Freeradius y la conexin

con la base de datos mysql, como se muestra en la Figura 14:
Figura 3.3: Instalacin de Freeradius y complementos
88
3.4.2. Conguracin de Freeradius

Para la realizacin de la conguracin del servidor radius se cuenta con varios archivos
de conguracin que han sido modicados para el funcionamiento acorde con las polticas de
la Universidad y una breve descripcin de su funcin de cada uno de ellos [Fernndez, 2009].
radius.conf
Es el archivo principal de conguracin de Radius. En el se encuentran la may-
or parte de conguraciones y directivas importantes para el correcto funcionamiento

del servidor Radius. Los complementos de los dems archivos son ledos por parte de
Freeradius por medio de la sentencia
include.
Es necesario, editar el archivo que se encuentra en /etc/raddb/radiusd.conf, y descomentar la lina $INCLUDE sql.conf,para permitir la conexin del servidor con el gestor
de base de datos MySQL, como se puede ver en la Figura 15 y Figura 16.
Figura 3.4: Lnea comentada
Figura 3.5: Lnea descomentada
Users
Editar el archivo /etc/raddb/users, en el cual se denen los nombres de los usuarios
y el mtodo de autenticacin que estos utilizarn.

El archivo original dene distintos parmetros como: direcciones IP utilizadas por los
usuarios. Para el caso de los usuarios declarados tendrn la posibilidad de autenticarse
con un certicado valido para su usuario.
89
A continuacin en la Figura 17 se puede observar una prueba de conectividad del

usuario bob y si todo esta bien nos regresa un mensaje de Access-Acceptasegurando
que la autenticacin se ha llevado a cabo de manera correcta.
Figura 3.6: Autenticacin de Usuarios
clients.conf
En este archivo de conguracin se denen los clientes a quienes se realizar
la peticin de la conrmacin de autenticacin de los usuarios, es decir los puntos de

acceso. La denicin de este tendr una direccin IP ja para cada uno de los puntos
de acceso, clave de acceso al punto de acceso, direccin IP del servidor Radius y as
mismo el nombre del punto de acceso. En la Figura 18 se puede observar parte de la
conguracin del cliente por default en la realizacin de las pruebas de autenticacin
en el servidor.
Figura 3.7: Archivo clients.conf
eap.conf
El archivo de conguracin eap.conf, es utilizado para congurar los procesos de
autenticacin basados en los mtodos EAP, tanto tunelados como no-tunelados.
90
Figura 3.8: Archivo eap.conf
3.4.3. Conguracin de RADIUS con MySQL

En el siguiente apartado se realiza la conguracin del gestor de base de datos MySQL
para que se tenga la capacidad de gestionar los requerimientos de Freeradius, entre los cuales
se describen [Fernndez, 2009]:
Registro de usuarios y credenciales
Registro de grupos de usuarios
Registro de los clientes o NAS para el almacenamiento de la conguracin de los clientes

que permitirn la autenticacin de los usuarios
Registro de los datos de arqueo o contabilidad de las sesiones de usuarios
Registro del log (bitcora o registro de actividades) de autenticaciones al servidor,

tanto correctas como fallidas
Para el uso del gestor es necesario crear una base de datos de Radius, sus tablas y campos
relacionados. Una de las ventajas que ofrece Freeradius es la incorporacin de los scripts SQL
necesarios para poder automatizar la tarea.
En la Figura 20, se puede observar la linea de comando para acceder al gestor de base de
datos de manera consola para poder realizar la creacin de la base de datos con la sentencia:
CREATE DATABASE
radius ;
91
Figura 3.9: Comando para entrar al modo consola al gestor de base de datos
Se realiza la creacin de un nuevo usuario en la base de datos llamado radius y de la

misma manera usuario radius y contrasea root.
A continuacin se realiza la creacin de las tablas de la base de datos.
mysql
u r a d i u s p r o o t
radius
<
/ e t c / raddb / s q l / mysql / c u i . s q l ;
mysql
radius
<
/ e t c / raddb / s q l / mysql / i p p o o l . s q l ;
mysql
radius
<
/ e t c / raddb / s q l / mysql / nas . s q l ;
mysql
radius
<
/ e t c / raddb / s q l / mysql / schema . s q l ;
mysql
radius
<
/ e t c / r a d d b / s q l / m y s q l / wimax . s q l ;
En la Figura 21, se puede observar las tablas creadas con los comandos anteriores.
Figura 3.10: Tablas creadas para el uso de RADIUS
92
Una vez teniendo las tablas en la base de datos el siguiente paso es editar el archivo de
conguracin el cual nos permitir realizar la conexin con el servidor MySQL.
Connection
server
info :
" localhost "
#p o r t
3306
login
" radius "
password
" root "
Luego se procede a descomentar la linea readclients=yes como se ve en el siguiente bloque

de cdigo:
#
Set
Clients
# and
# be
to
' yes '

will
to
ONLY
security
done
read
be
reasons ,
" live "
while
radius
read
clients
on
server
finding
the
from
startup .
clients
server
is
the
via
SQL
database
For
( ' nas '
table )
performance
queries
CANNOT
running .
#
#r e a d c l i e n t s
Table
Set
Clients
# and
# be
to
to
yes
keep
' yes '

will
to
read
ONLY
security
done
radius
be
reasons ,
" live "
while
client
info
radius
clients
read
on
server
finding
the
from
startup .
clients
server
is
the
via
SQL
database
For
( ' nas '
table )
performance
queries
CANNOT
running .
#
readclients
Table
to
yes
keep
radius
client
info
Opcionalmente se puede congurar el servidor Radius para que cree un registro en la base
de datos cada vez que se produzca un intento fallido de autenticacin por parte los usuarios.
93
De esta manera permite realizar una auditora de los intentos de acceso ilcito a la red de la
Universidad. Para realizarlo de manera satisfactoria se debe de aadir lneas de conguracin
de sentencias SQL que necesita interpretar Freeradius, de tal manera que se produzca una
entrada a la base de datos cada vez que se produzca un evento de este tipo. Las lneas de
conguracin son agregadas al nal del archivo
etcraddbmodulessql_log como se puede
observar en el siguiente bloque de cdigo:

sql_log
{
path
" $ { r a d a c c t d i r }/ s q l
acct_table
r e l a y "
" radacct "
postauth_table
sql_user_name
" radpostauth "
= " %{ %{U s e r
Name}: DEFAULT} "
#
#
Setting
this
written
to
as
being
to
the
" yes "

log
will
file .
potentially
allow
UTF
Otherwise ,
characters
they
are
to
be
escaped
invalid .
#
utf8
Start
no
"INSERT INTO
NASIPAddress ,
FramedIPAddress ,
AcctSessionTime ,
' %{ U s e r
' ,
Stop
'0 ' ,
Name } ' ,
'0 ' ,
' %S ' ,
Alive
Name } ' ,
' %{ A c c t
A d d r e s s } ' ,
' %{NAS IP
VALUES
UserName ,
AcctStopTime ,
( ' %{ A c c t
S e s s i o n I d } ' ,
IPA d d r e s s } ' ,
' %{Framed
${ acct_table }
( AcctSessionId ,
' %S
AcctStartTime ,
AcctTerminateCause )
VALUES
UserName ,
AcctStopTime ,
( ' %{ A c c t
S e s s i o n I d } ' ,
A d d r e s s } ' , ' % { FramedIPA d d r e s s } ' ,
' %{NAS IP
S e s s i o n Time } ' , ' % { A c c t T e r m i n a t e C a u s e } ' ) ; "
"INSERT INTO
NASIPAddress ,
AcctStartTime ,
FramedIPAddress ,
AcctSessionTime ,
' %{ U s e r
( AcctSessionId ,
' ') ;"
"INSERT INTO
NASIPAddress ,
${ acct_table }
${ acct_table }
FramedIPAddress ,
94
( AcctSessionId ,
AcctStartTime ,
UserName ,
AcctStopTime ,
'0 ' ,
AcctSessionTime ,
' %{ U s e r
'0 ' ,
Post
Name } ' ,
' %{ A c c t
Auth
A d d r e s s } ' ,
' %{NAS IP
VALUES
( ' %{ A c c t
S e s s i o n I d } ' ,
IPA d d r e s s } ' ,
' %{Framed
'0 ' ,
S e s s i o n Time } ' , ' ' ) ; "
"INSERT INTO
authdate )
} ' ,
VALUES
${ postauth_table }
( ' %{ U s e r
' %{ r e p l y : P a c k e t
Name } ' ,
Type } ' ,
( username ,
' %{ U s e r
pass ,
reply ,
P a s s w o r d : ChapP a s s w o r d
' %S ' ) ; "
Para que se produzca la entrada a la base de datos se debe de ingresar la orden que
ser ejecutado por MySQL cada vez que se presente una autenticacin fallida, el archivo
a modicar se encuentra ubicado en
etcraddbsites-enableddefault, las modicaciones a
realizar es el descomentar la lnea sql como se muestra en el siguiente bloque:

Post
#
AuthType
log
failed
REJET{
authentications
in
SQL ,
too
sql
attr_filter . access_reject
}
3.4.4. Instalacin OpenSSL

OpenSSl es uno de los proyectos de software libre de la comunidad Open Source, ms
interesantes para la implantacin de una infraestructura PKI sobre linux. OpenSSL es ms
que una autoridad certicadora (CA, Certicate Authority), es adems un potente motor
criptogrco que provee de las funciones necesarias para el uso de protocolos como SSL y
TLS [Fernndez, 2009].
En la mayor parte de las distribuciones basadas en Linux, se debe de instalar OpenSSL para
poder hacer uso de este programa y de sus libreras asociadas.
Se recurri a OpenSSL para ser utilizado en las tcnicas de cifrado y tunelamiento en las
95
comunicaciones entre el servidor y los clientes. Proporcionando los procesos de autenticacin,

encriptacin e integridad de la comunicacin.
3.4.5. Conguracin de OpenSSL

Antes de utilizar OpenSSL para realizar la gestin de certicados, conviene congurar
los parmetros por defecto para la creacin de los nuevos certicados que vayamos a emitir.
De esta manera se evita el tener que introducir los datos jos relacionados de la organizacin,
cada vez que se realice una nueva operacin de relacionada con los certicados. Adems de
poder realizar la conguracin de valores como la validez en das de los certicados emitidos,
o las rutas donde se guardarn todos los archivos generados, as como los nombres de archivos
que se van a utilizar durante todo el proceso.
Se edita el archivo
openssl.conf
almacenado en el directorio
/etc/pki/tls.
####################################################################
[
ca
default_ca
CA_default
# The
default
ca
section
####################################################################
[
CA_default
dir
/ e t c / p k i /CA
# Where
everything
is
certs
$dir / certs
# Where
the
issued
certs
crl_dir
$dir / crl
# Where
the
issued
crl
database
$dir / index . txt
database
no
Set
several
#u n i q u e _ s u b j e c t
to
index
' no '
to
kept
are
are
kept
kept
file .
allow
ctificates
creation
with
same
.
new_certs_dir
$dir / newcerts
certificate
$ d i r / c a c e r t . pem
# The CA
96
default
place
for
certificate
new
certs .
of
subject
serial
$dir / s e r i a l
# The
current
serial
crlnumber
$ d i r / crlnumber
current
crl
the
# must
be
number
number
commented
out
to
leave
V1
CRL
crl
$ d i r / c r l . pem
# The
current
CRL
private_key
$ d i r / p r i v a t e / c a k e y . pem# The
private
key
RANDFILE
$ d i r / p r i v a t e / . rand
x509_extensions
usr_cert
# The
# Comment
#
( and
out
highly
the
following
broken )
two
lines
for
private
the
random
extentions
number
file
to
to
add
the
cert
" traditional "
format .
name_opt
ca_default
Subject
Name
cert_opt
ca_default
Certificate
options
field
options
3.4.6. Creacin de la autoridad certicadora raz

En esta seccin se realizar la creacin de la Autoridad Certicadora raz de la Universidad del Istmo, para poder emitir y gestionar todo el sistema de certicados que se va a
administrar desde el departamento de redes.
Se podr gestionar los propios certicados del servidor y de clientes para cualquier comunicacin cifrada que se vaya a utilizar en la Universidad.
Para la conexin a la red se deber de introducir manualmente los certicados de nuestra
CA en cada uno de los equipos que requieran conexin a la red inalmbrica.
La parte pblica del certicado, el propio certicado de CA raz sin su clave privada asociada, ser posteriormente utilizada para su instalacin en los repositorios de certicados de
todos los clientes, que deseemos que confen en nuestra CA [Fernndez, 2009]. A continuacin
se crea el certicado raz de la Autoridad Certicadora como se muestra en los siguientes
bloques de guras.
97
req
prompt
no
distinguished_name
certificate_authority
default_bits
2048
input_password
whatever
output_password
whatever
x509_extensions
= v3_ca
[ certificate_authority ]
countryName
= FR
stateOrProvinceName
Radius
localityName
Somewhere
organizationName
Example
emailAddress
admin@example . com
commonName
" Example
subjectKeyIdentifier
hash
authorityKeyIdentifier
k e y i d : always , i s s u e r : always
basicConstraints
= CA : t r u e
Inc .
Certificate
Authority "
[ v3_ca ]
emailAddress, input_password y output_password.

La manera en que se realiza la generacin de dichos certicados es make ca.pem, de esta
Los campos importantes a rellenar con
manera se esta creando la CA (Autoridad Certicadora).

El siguiente paso es crear los certicados en formato DER con la nalidad de poder ser
importado al sistema operativo Windows de la siguiente manera
98
make ca.der.
3.4.7. Generacin del certicado del servidor

Una vez que se ha convertido en una entidad emisora raz de certicados, ahora se podr
emitir certicados de todo tipo, entre los que se destaca el cliente y los del servidor, que van
a ser los que se van a utilizar para la autenticacin de usuarios y servidores.
Se realiza la solicitud a la Autoridad Certicadora un nuevo certicado de servidor para la
propia mquina, y en especial para su uso para el servidor Radius.
Siempre se deber de generar una solicitud de certicado (CSR) antes de proceder a rmar
el certicado denitivo.
server.cnf en donde se indica el emailAddress del servidor,

output_password con el que se realizar la autenticacin de los
La conguracin del archivo
input_password
usuarios con el servidor.

[
req
prompt
no
distinguished_name
server
default_bits
2048
input_password
whatever
output_password
whatever
[ server ]
countryName
= FR
stateOrProvinceName
Radius
localityName
Somewhere
organizationName
Example
emailAddress
bob@example . com
commonName
" Example
Inc .
Server
Certificate "
Con la siguiente instruccin se realiza la contruccin del certicado del servidor
make serv-
er.pem. En caso de necesitarse la autenticacin de usuarios con equipos con sistema operativo Windows XP es neceario realizar la siguiente instruccinmake server.csr.
99
3.4.8. Generacin de los certicados de los clientes

Una vez dado de alta un usuario nuevo en el sistema se deber de realizar la construccin
del certicado de est, con la nalidad de que este pueda tener acceso a la red inalmbrica, y
sea reconocido por el servidor RADIUS. A continuacin en el siguiente fragmento del archivo
client.cnf
se realiza la conguracin de los datos del nuevo usuario que tendr acceso a la
red inalmbrica.
Los datos a ingresar son:
input_password
: es el password con el que fue dado de alta el usuario en el sistema,
siendo est la que le permitir tener acceso a la red inalmbrica
output_password
emailAddress
: email de identicacin de usario en caso de tenerlo
commonName
[
req
: password con el que fue dado de alta el usuario en el sistema
: el nombre de usuario con el que se fue dado de alta en el sistema
prompt
no
distinguished_name
client
default_bits
2048
input_password
bob
output_password
bob
[ client ]
countryName
= FR
stateOrProvinceName
Radius
localityName
Somewhere
organizationName
Example
emailAddress
bob@example . com
commonName
bob
Inc .
100
Una vez teniendo congurado estos parmetros dentro el archivo se realiza la contruccin del
certicado mediante la sentencia
make client.pem. Con esto slo qued copiar e instalar el
certicado a la mquina del usuario para que este pueda tener acceso a la red inalmbrica.
3.4.9. Documentacin del sistema de Interfaz

En la presente seccin del documento de desarrollo de la tesis se presenta la documentacin detallada de los casos de uso presentes en el sistema de autenticacin de usuarios.
A continuacin se realiza la identicacin de los casos de uso y de los actores participantes
en el sistema de gestin de usuarios.
Actores
Casos de uso
Adminitrador de redes
Registro usuarios
Eliminacin de usuarios
Modicacin de usuarios
Lista de usuarios
Registro de grupos
101
Eliminacin de grupos
Modicacin de grupos
Lista de grupos
Registro de cliente Radius
Eliminacin de cliente Radius
Modicacin de cliente Radius
Lista de clientes Radius
Lista de usuarios autenticados
Lista de usuarios autenticados fallidos
Cuadro 3.1: Actores y casos de uso identicados en el

sistema gestin de usuarios
Actores
Descripcin
Adminitrador de redes
Es la persona encargada de llevar a cabo el control del departamento de redes, siendo esta la encargada de realizar la
administracin de los usuarios del sistema propuesto
Cuadro 3.2: Descripcin de los actores que intervienen en

el sistema
102
Caso de uso
Descripcin
Registro usuarios
El sistema permitir el registro de los usuarios a utilizar el

servicio de internet inalmbrico
Eliminacin de usuarios
El sistema permitir eliminar a los usuarios que han utilizado

el servicio de internet inalmbrico
El sistema permitir modicar a los usuarios que se encuentran utilizando el sistema de internet inalmbrico
Lista de usuarios
El sistema permitir listar a los usuarios que se encuentran

utilizando el sistema de internet inalmbrico
Registro de grupos
El
sistema
permitir
la
creacin
de
grupos
los
que
pertenecen los usuarios que utilizan el sistema de internet inalmbrico

Eliminacin de grupos
El sistema permitir la eliminacin de un grupo al que

pertenecen usuarios que utilizan el sistema de internet inalmbrico
El sistema permitir realizar la modicacin de grupos a los

cuales pertenecen los usuarios del sistema de internet inalmbrico
Lista de grupos
El sistema permitir listar los grupos existentes en el sistema

de internet inalmbrico
Registro cliente RADIUS
El sistema permitir realizar el registro de un nuevo cliente

RADIUS en el sistema de internet inalmbrico
Eliminacin de cliente RA-
El sistema permitir realizar la eliminacin de un cliente RA-
DIUS
DIUS en el sistema de internet inalmbrico
103
Modicicacin de cliente RA-
El sistema permitir realizar la modicacin de un cliente
DIUS
RADIUS en el sistema de internet inalmbrico
Lista de cliente RADIUS
El sistema permitir listar los clientes RADIUS existentes en

el sistema de internet inalmbrico
Lista de usuarios autentica-
El sistema permitir mostrar la lista de los usuarios autenti-
dos
cados correctamente en el sistema de internet inalmbrico
Lista de usuarios autentica-
El sistema permitir mostrar la lista de los usuarios autenti-
dos fallidos
cados fallidos en el sistema de internet inalmbrico

Cuadro 3.3: Descripcin de los casos de uso
Figura 3.11: Caso de uso administracin de usuario
En la siguiente tabla se escribe el caso de uso administracin de usuario.
Caso de uso
Lista Usuarios
Actor
Administrador del departamento de redes
Disparador
Se ejecutar cuando el administrador de redes presione sobre

el link Usuarios->Lista de Usuarios
Pre-condiciones
Antes de realizar el caso de uso el usuario no puede observar

la lista de todos los usuarios dados de alta en el sistema
104
Flujo principal
El
administrador
deber
de
presionar
sobre
el
enlace
Usuarios->Lista de Usuarios
Flujo alternativo
En caso de no haber presionado sobre el enlace del sistema

quedar en la pantalla principal del sistema
Post-condiciones
Una vez presionado sobre el enlace del sistema mostrar en

forma de lista los datos de los usuarios registrados en el sistema
Excepciones
El sistema no podr mostrar la lista de usuarios registrados

en el sistema sin antes no haber presionado sobre el enlace
Cuadro 3.4: Lista de usuarios
Caso de uso
Nuevo Usuario
Actor
Administrador departamento de redes
Disparador

el link Usuarios->Nuevo Usuarios
Pre-condiciones
Antes de realizar el caso de uso el usuario no se encuentra

registrado en el sistema
Flujo principal
El administrador deber de presionar sobre el link Usuarios>Nuevo Usuarios

El administrador deber de ingresar los datos requeridos por
el sistema para la creacin de un nuevo usuario
Una vez ingresado los datos requeridos por el sistema el administrador de redes deber de presionar sobre el botn de
Agregar para dar de alta al nuevo usuario
105
Flujo alternativo
En caso de no haber presionado sobre el link el sistema

quedar en la pantalla en la que se encuentre el sistema
En caso de que el usuario a ingresar se encuentre registrado
el sistema mostrar un mensaje Usuario ya existe, ingresar
otro
En caso de no existir el usuario el sistema realizar la alta
correctamente
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para registrar los datos del nuevo usuario a crear
En caso de ya existir el usuario el sistema no realizar la alta
del mismo
En caso de no existir el nuevo usuario el sistema realizar la
alta del nuevo usuario
Excepciones
El sistema no podr dar de alta un usuario ya existente en el

sistema
Cuadro 3.5: Alta nuevo usuario
Caso de uso
Edicin de Usuarios
Actor
Disparador

el link Usuarios->Edicin Usuarios
Pre-condiciones
Antes de realizar el caso de uso el usuario no ha sido modicado
106
Flujo principal
El administrador deber de presionar sobre el link Usuarios>Edicin Usuarios

El administrador deber de ingresar el nombre del usuario a
modicar para realizar su existencia en el sistema
Una vez ingresado el usuario a modicar el administrador deber de presionar sobre el botn Buscar
En caso de existir el usuario el sistema mostrar los datos en
el formulario en la parte inferior de la pantalla
Una vez modicado los datos del usuario en el sistema el administrador de redes deber de presionar sobre el botn de
Guardar para modicar los datos del usuario
Flujo alternativo

En caso de que el usuario a buscar no existe, el sistema
mostrar un mensaje de Usuario no existente
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para la bsqueda del usuario, as mismo el formulario
para la modicacin del mismo.
En caso de existir el usuario el sistema mostrar los datos de
los usuarios para la modicacin
En caso de no existir el usuario el sistema mostrar un mensaje de Usuario no existe
Una vez modicado los datos del usuario el administrador
deber de presionar el botn Guardar
107
Excepciones
El sistema no existir el usuario no se podr realizar la modicacin

Cuadro 3.6: Modicacin del usuario del sistema
Caso de uso
Eliminar Usuarios
Actor
Disparador

el link Usuarios->Eliminar Usuarios
Pre-condiciones
Antes de realizar el caso de uso el usuario no ha sido eliminado
Flujo principal
El administrador deber de presionar sobre el link Usuarios>Eliminar Usuarios

El administrador deber de ingresar el nombre del usuario a
eliminar para realizar su existencia en el sistema
Una vez ingresado el usuario a eliminar el administrador deber de presionar sobre el botn Buscar
En caso de existir el usuario el sistema mostrar los datos en
Una vez vericado los datos del usuario en el sistema el administrador de redes deber de presionar sobre el botn de
Eliminar para poder dar de baja al usuario
Flujo alternativo

108
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para la bsqueda del usuario, as mismo el formulario
para la vericacin de los datos de los mismos
En caso de existir el usuario el sistema mostrar los datos de
los usuarios para la vericacin antes de la eliminacin
En caso de no existir el usuario el sistema mostrar un mensaje de Usuario no existe
Una vez vericado los datos del usuario el administrador deber de presionar el botn Eliminar
Excepciones
El sistema no existir el usuario no se podr realizar la eliminacin

Cuadro 3.7: Eliminacin del usuario del sistema
Figura 3.12: Casos de uso administracin de grupos
Caso de uso
Lista de Grupos
Actor
Disparador

el link Grupos->Lista de Grupos
Pre-condiciones
Antes de realizar el caso de uso el administrador no puede

observar la lista de todos los grupos existentes en el sistema
109
Flujo principal
El administrador deber de presionar sobre el enlace Grupos>Lista de Grupos
Flujo alternativo

Post-condiciones

forma de lista los datos de los grupos registrados en el sistema
Excepciones
El sistema no podr mostrar la lista de grupos registrados en

el sistema sin antes no haber presionado sobre el enlace
Cuadro 3.8: Lista grupos en el Sistema
Caso de uso
Nuevo Grupo
Actor
Disparador

el link Grupos->Nuevo Grupo
Pre-condiciones
Antes de realizar el caso de uso el grupo no se encuentra registrado en el sistema
Flujo principal
El administrador deber de presionar sobre el link Grupos>Nuevo Grupo

el sistema para la creacin de un nuevo grupo
Una vez ingresado los datos requeridos por el sistema el administrador de redes deber de presionar sobre el botn
110
de Agregar para dar de al-
ta al nuevo grupo Flujo al-
ternativo
En caso de que el grupo a ingresar se encuentre registrado el

sistema mostrar un mensaje Grupo ya existe, ingresar otro
En caso de no existir el grupo el sistema realizar la alta
correctamente
Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar el formulario para registrar los datos del nuevo grupo a crear
En caso de ya existir el grupo el sistema no realizar la alta
del mismo
En caso de no existir el nuevo grupo el sistema realizar la
alta del nuevo grupo
Excepciones
El sistema no podr dar de alta un grupo ya existente en el

sistema
Cuadro 3.9: Nuevo grupo
Caso de uso
Modicacin Grupo
Actor
Disparador

el link Grupo->Edicin Grupos
Pre-condiciones
Antes de realizar el caso de uso el grupo no ha sido modicado
111
Flujo principal
El administrador deber de presionar sobre el enlace Grupos>Edicin Grupo

El administrador deber de ingresar el nombre del grupo a
modicar para realizar su existencia en el sistema
Una vez ingresado el grupo a modicar el administrador deber de presionar sobre el botn Buscar
En caso de existir el grupo el sistema mostrar los datos en
Una vez modicado los datos del grupo en el sistema el administrador de redes deber de presionar sobre el botn de
Guardar para modicar los datos del grupo
Flujo alternativo

Post-condiciones
Una vez presionado sobre el enlace del sistema mostrar el

formulario para la bsqueda del grupo, as mismo el formulario para la modicacin del mismo.
En caso de existir el grupo el sistema mostrar los datos de
los usuarios para la modicacin
En caso de no existir el grupo el sistema mostrar un mensaje
de Grupo no existe
Una vez modicado los datos del grupo el administrador deber de presionar el botn Guardar
112
Excepciones
El sistema no existir el grupo no se podr realizar la modicacin

Cuadro 3.10: Modicacin de Grupo
Caso de uso
Eliminar Grupo
Actor
Disparador

el link Grupos->Eliminar Grupos
Pre-condiciones
Antes de realizar el caso de uso el grupo no ha sido eliminado
Flujo principal
El administrador deber de presionar sobre el enlace Grupos>Eliminar Grupos

El administrador deber de ingresar el nombre del grupo a
eliminar para realizar su existencia en el sistema
Una vez ingresado el grupo a eliminar el administrador deber
de presionar sobre el botn Buscar
En caso de existir el grupo el sistema mostrar los datos en
Una vez vericado los datos del grupo en el sistema el administrador de redes deber de presionar sobre el botn de
Eliminar para poder dar de baja al grupo
Flujo alternativo

En caso de que el grupo a buscar no existe, el sistema mostrar
un mensaje de Grupo no existente
113
Post-condiciones
Una vez presionado sobre el enlace del sistema mostrar el

formulario para la bsqueda del grupo, as mismo el formulario
para la vericacin de los datos del mismo
En caso de existir el grupo el sistema mostrar los datos del
grupo para la vericacin antes de la eliminacin
En caso de no existir el grupo el sistema mostrar un mensaje
de Grupo no existe
Una vez vericado los datos del grupo el administrador deber
de presionar el botn Eliminar
Excepciones
Si no existe el grupo en el sistema no se podr realizar la

eliminacin
Cuadro 3.11: Modicacin de Grupo
Figura 3.13: Casos de uso administracin de clientes radius
Caso de uso
Lista cliente RADIUS
Actor
Disparador

el link Cliente Radius->Lista de Cliente Radius
114
Pre-condiciones
Antes de realizar el caso de uso el administrador no puede

observar la lista de todos los clientes Radius existentes en el
sistema
Flujo principa
El administrador deber de presionar sobre el enlace Cliente

Radius->Lista de Cliente Radius
Flujo alternativo

Post-condiciones

forma de lista los datos de los cliente Radius registrados en el
sistema
Excepciones
El sistema no podr mostrar la lista de clientes Radius registrados en el sistema sin antes no haber presionado sobre el
enlace
Cuadro 3.12: Lista cliente RADIUS
Caso de uso
Nuevo cliente RADIUS
Actor
Disparador

el enlace Cliente Radius->Nuevo Cliente Radius
Pre-condiciones
Antes de realizar el caso de uso el cliente Radius no se encuentra registrado en el sistema
115
Flujo principal

Radius->Nuevo Cliente Radius
el sistema para la creacin de un nuevo cliente Radius
Una vez ingresado los datos requeridos por el sistema el administrador de redes deber de presionar sobre el botn de
Agregar para dar de alta al nuevo cliente Radius
Flujo alternativo

En caso de que el cliente Radius a ingresar se encuentre registrado el sistema mostrar un mensaje Cliente Radius ya
existe, ingresar otro
En caso de no existir el cliente Radius el sistema realizar la
alta correctamente
Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar el formulario para registrar los datos del nuevo cliente Radius a
crear
En caso de ya existir el cliente Radius el sistema no realizar
la alta del mismo
En caso de no existir el nuevo cliente Radius el sistema realizar la alta del nuevo cliente Radius
Excepciones
El sistema no podr dar de alta un cliente Radius ya existente

en el sistema
Cuadro 3.13: Nuevo cliente RADIUS
116
Caso de uso
Modicacin cliente RADIUS
Actor
Disparador

el enlace Cliente Radius->Edicin cliente Radius
Pre-condiciones
Antes de realizar el caso de uso el cliente Radius no ha sido

modicado
Flujo principal

Radius->Edicin Cliente Radius
El administrador deber de ingresar la direccin ip del cliente
Radius a modicar para realizar su existencia en el sistema
Una vez ingresado el cliente Radius a modicar el administrador deber de presionar sobre el botn Buscar
En caso de existir el cliente Radius el sistema mostrar los
datos en el formulario en la parte inferior de la pantalla
Una vez modicado los datos del cliente Radius en el sistema
el administrador de redes deber de presionar sobre el botn
de Guardar para modicar los datos del cliente Radius
Flujo alternativo

En caso de que el cliente Radius a buscar no existe, el sistema
mostrar un mensaje de Cliente Radius no existente
117
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para la bsqueda del cliente Radius, as mismo el
formulario para la modicacin del mismo.
datos de los usuarios para la modicacin
En caso de no exitir el cliente Radius el sistema mostrar un
mensaje de Grupo no existe
Una vez modicado los datos del cliente Radius el administrador deber de precionar el botn Guardar
Excepciones
El sistema no existir el cliente Radius no se podr realizar la

modicacin
Cuadro 3.14: Modicacin cliente RADIUS
Caso de uso
Eliminar cliente RADIUS
Actor
Disparador

el enlace Cliente Radius->Eliminar Cliente Radius
Pre-condiciones
Antes de realizar el caso de uso el cliente Radius no ha sido

eliminado
118
Flujo principal

Radius->Eliminar Cliente Radius
El administrador deber de ingresar la direccin ip del cliente
Radius a eliminar para realizar su existencia en el sistema
Una vez ingresado la direccin ip del cliente Radius a eliminar
el administrador deber de presionar sobre el botn Buscar
datos en el formulario en la parte inferior de la pantalla
Una vez vericado los datos del cliente Radius en el sistema
el administrador de redes deber de presionar sobre el botn
de Eliminar para poder dar de baja al cliente Radius
Flujo alternativo
En caso de no haber presionado sobre el enlace el sistema

En caso de que el cliente Radius a buscar no existe, el sistema
mostrar un mensaje de Cliente Radius no existente
Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar el formulario para la bsqueda del cliente Radius, as mismo el
formulario para la vericacin de los datos del mismo
datos para la vericacin antes de la eliminacin'newline En
caso de no existir el cliente Radius el sistema mostrar un
mensaje de Cliente Radius no existe
Una vez vericado los datos del cliente Radius el administrador deber de presionar el botn Eliminar
119
Excepciones
El sistema no existir el cliente Radius no se podr realizar la

eliminacin
Cuadro 3.15: Eliminar cliente RADIUS
Figura 3.14: Registro Logs del Sistema
Caso de uso
Intentos Fallidos
Actor
Disparador

el enlace Registro Logs ->Intentos Fallidos
Pre-condiciones
Antes de realizar el caso de uso el administrador de redes no

puede observar la lista de los intentos fallidos de autenticacin
por parte de los usuarios
Flujo principal
El administrador deber de presionar sobre el enlace Registro

Logs ->Intentos Fallidos
El administrador deber presionar sobre el enlace para poder
observar el registro de intentos fallidos de autenticacin
Flujo alternativo

Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar la lista

de los usuarios autenticados fallidos
120
Excepciones
El administrador no podr observar la lista de los usuarios

con autenticacin fallida si no ha presionado sobre el enlace
Cuadro 3.16: Intentos Fallidos
Caso de uso
Intentos Autenticados
Actor
Disparador

el enlace Registro Logs ->Intentos Autenticados
Pre-condiciones
Antes de realizar el caso de uso el administrador de redes no

puede observar la lista de los intentos autenticados por parte
de los usuarios
Flujo principal
El administrador deber de presionar sobre el enlace Registro

Logs ->Intentos Autenticados
El administrador deber presionar sobre el enlace para poder
observar el registro de intentos fallidos de autenticacin
Flujo alternativo

Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar la lista

de los usuarios autenticados correctamente
Excepciones
El administrador no podr observar la lista de los usuarios

con autenticacin correcta si no ha presionado sobre el enlace
Cuadro 3.17: Intentos AUtenticados
121
3.4.10. Interfaz creadas para el sistema de autenticacin de usuarios
Figura 3.15: Interfaz lista de usuarios en el sistema
122
Figura 3.16: Ventana de datos de usuario
Figura 3.17: Alta de nuevo usuario
123
Figura 3.18: Editar usuario
Figura 3.19: Eliminar usuarios del sistema
124
Figura 3.20: Lista de grupos Radius
Figura 3.21: Alta grupo
125
Figura 3.22: Edicin de grupos del sistema
Figura 3.23: Eliminar grupo
126
Figura 3.24: Lista de clientes Radius
Figura 3.25: Nuevo clientes Radius
127
Figura 3.26: Modicar clientes Radius
Figura 3.27: Eliminar clientes Radius
128
Figura 3.28: Intentos Fallidos de acceso al sistema
Figura 3.29: Intentos Autenticados de acceso al sistema
129
130
Captulo 4
Pruebas de desempeo y seguridad
El Protocolo de Autenticacin Extendible Protegido (PEAP) utiliza certicados del lado
del servidor para la validacin del Servidor Radius, de esta manera cuando se presenta un
ataque al servidor, realiza la una validacin de manera interna con la nalidad de realizar la
validacin de los certicados del servidor y cliente.
Con la nalidad de identicar los posibles ataques con certicados de clientes falsos.
En Tunel-EAP Transport Layer Security (EAP-TTLS) el servidor realiza la autenticacin
de los certicados con los clientes. Existen multiples opciones de autenticacin que pueden
ser utilizados por estemtodo de autenticacin.
A continuacin se presentan unos puntos importantes a considerar en la creacin de una red
inalmbrica.
Para el uso en pequeas y medianas empresas es recomendable utilizar WPA2-PSK,

la cual contiene una fuerte contrasea, con un mximo de 63 carcteres como en composicin de las misma.
Para grandes empresas se recomienda utilizar WPA2-Enterprise con EAP-TLS, ya que

este se encuentra utilizando certicados por lado del servidor y por lado del cliente
para la autenticacin, siendo este en la actualidad irrompible.
131
Si se pretende utilizar PEAP o EAP-TTLS con WPA2-Enterprise, se debe de asegurar que se realice la validacin de los certicados, siendo el servidor quin realiza la
certicacin de los clientes que intenten autenticarse.
Una de las diferencias de la metodologa que se utiliza para las pruebas de penetracin inalmbrica, son las actividades que se realizan en cada una de las fases. En terminos generales
se puede realizar el ejercicio en las siguientes fases [Ramachandran, 2011]:
Planicacin
mbito de la evaluacin: se dene el alcance de la evaluacin
Localizacin de las pruebas de penetracin
rea total de la cobertura de los locales
Nmero aproximado de puntos de acceso y nmero de clientes
Realizando las pruebas completas acerca de la vulnerabilidad del sistema de red

inalmbrico
Esfuerzo estimacin: esfuerzo en la realizacin de cada una de las actividades
Nmero de das en los que se realizarn las pruebas
Nmero de horas de trabajo
Profundidad de las pruebas teniendo esta su base en los requisitos del sistema
Legalidad: se pueden presentar problemas e inconvenientes en la realizacin de las

pruebas, siendo recomendable un acuerdo de condencialidad para el aseguramiento
de los datos y los resultados de las pruebas.
Descubrimiento
Se realiza el exploramiento del espacio ereo y la ubicacin de los distintos puntos

de acceso y los clientes.
132
Ataque
Encontrar puntos de acceso no autorizados
Clientes no autorizados
Descifrando el cifrado de los certicados emitidos
Infraestructura
Presentacin de informes
Se realiza el informe de todas las vulnerabilidades de seguridad encontradas, teniendo en consideracin los siguientes puntos:
Descripcin de la vulnerabilidad
Gravedad
Dispositivos afectados
Vulnerabilidades de tipo hardware/software/conguracin
Soluciones provisionales
Recomendaciones
133
134
Captulo 5
Conclusiones y trabajos futuros
5.1. Conclusiones
Con la realizacin de este proyecto de tesis se desarrollaron los siguientes puntos en
relacin a las redes inalmbricas:
Conceptos y deniciones
Seguridad en este tipo de redes
Conceptos relacionados con el protocolo RADIUS
Se propuso un sistema de seguridad, por medio de la autenticacin de usuarios para

tener acceso a la red
La propuesta de control de acceso a la red inalmbrica de la Universidad, permitir
contar con un sistema de seguridad en la que solo los usuarios registrados y autenticados
podrn tener acceso a la red, manteniendo de esta manera restringido el acceso a personas
no autorizadas.
La identicacin y autenticacin de las personas como individuos nicos dentro de la
sociedad a lo largo de los aos ha sido fundamental en el desarrollo de la vida cotidiana.
135
El tener una identidad que te diferenca de los dems y gracias a esa diferencia se permite
tomar desiciones en diferentes roles dentro de las sociedades.
Todo se presenta en la vida fsica, mientras que el medio virtual como lo es la Internet
que se encuentra presente en gran parte de nuestras vidas, presentandose de est manera la
PROPUESTA DE IMPLEMENTACIN DE RED INALMBRICA CON CONTROL DE
USUARIOS PARA LA UNIVERSIDAD DEL ISTMO, CAMPUS IXTEPEC.
Linux junto con FreeRADIUS son dos herramientas que permiten est implementaci de
manera efectiva y segura para los usuarios que se encontrarn utilizando el sistema.
5.2. Trabajos futuros

El presente trabajo de tesis desarrollado pretende ser una base de conocimientos para el
desarrollo de nuevos trabajos a personas o grupos de personas interesadas en el tema.
Con el avance de la tecnologa sera bueno aadir cada vez mas un desarrollo de nuevas
tecnologas y lograr un mayor impacto en el rea de seguridad de la informacin.
Una vez vericada el funcionamiento esperado esta propuesta de tesis podra ser de gran
utilidad para el desarrollo de sistemas similares en distintos ambientes educativos.
136
Captulo 6
Apendice A: radius.conf
#
text
##
##
radiusd . conf
FreeRADIUS
server
configuration
file .
##
##
h t t p : / /www . f r e e r a d i u s . o r g /
##
$Id$
##
######################################################################
#
#
Read
"man
titled
obtain
trouble .
radiusd "
before
DEBUGGING .
the
It
editing
outlines
configuration
you
this
method
want ,
file .
where
without
See
the
section
you
can
quickly
running
into
#
#
Run
the
server
in
debugging
mode ,
and READ
the
output .
#
#
radiusd
#
#
We
cannot
emphasize
this
point
strongly
137
enough .
The
vast
majority
of
debugging
and
problems
output ,
suggestions
can
which
for
how
be
solved
by
carefully
includes
warnings
they
be
may
reading
about
common
the
issues ,
fixed .
#
#
There
may
be
" warning " ,
will
lot
of
" error " ,
usually
be
output ,
but
"reject ",
enough
to
or
guide
look
carefully
" failure ".

you
to
for
The
words
messages
solution .
the
mailing
like :
there
#
#
If
you
are
explain
debugging
of
the
to
" post
going
what
you
mode
ask
are
to
of
to
X) .
your
output
question
trying
( radiusd
responses
the
to
on
do ,
and
Failure
question
radiusd
include
to
will
do
be
list ,
the
so
output
means
people
then
from
that
telling
all
you
X " .
######################################################################
#
#
The
in
location
this
of
other
config
files
and
logfiles
are
declared
file .
#
#
Also
general
file ,
it .
it
is
configuration
exported
for
through
modules
the
API
can
to
be
done
modules
in
that
this
ask
for
#
#
See
"man
radiusd . conf "
file .
documented
in
the
As
of
in
the
See
Note
that
in
the
that
for
documentation
individual
"man"
page .
on
the
format
configuration
items
They
documented
are
only
are
of
this
NOT
here ,
comments .
#
2.0.0 ,
FreeRADIUS
" authorize " ,
"man
unlang "
for
supports
" authenticate " ,

details .
138
simple
processing
" accounting " ,
language
etc .
sections .
prefix
/ usr
exec_prefix
sysconfdir
=
=
/ etc
localstatedir
sbindir
logdir
=
=
/ usr
/ var
/ usr / sbin
$ { l o c a l s t a t e d i r }/ l o g / r a d i u s
raddbdir
radacctdir
$ { s y s c o n f d i r }/ raddb
=
$ { l o g d i r }/ r a d a c c t
#
#
name
name =
of
the
running
server .
See
also
Location
of
config
and
l i n e
command
option .
logfiles .
${ raddbdir }
run_dir
$ { l o c a l s t a t e d i r } / r u n / $ { name }
Should
db_dir
n "
"
radiusd
confdir
the
likely
be
$ { l o c a l s t a t e d i r }/ l i b / r a d i u s d
${ raddbdir }
#
#
libdir :
Where
to
find
the
rlm_
should
be
automatically
modules .
#
#
This
set
at
configuration
time .
#
#
If
the
with
directive
to
work
The
is
usually
system
an
server
builds
' undefined
and
installs ,
symbol '
around
error ,
the
but
then
fails
you
at
can
execution
use
the
time
libdir
problem .
#
cause
in
place
that
where
library
has
the
dynamic
linker
139
been
installed
CANNOT
find
on
it .
your
When
executing
as
root
be
up
to
allow
executing
as
personalized
set
( or
another
the
user ) ,
dynamic
daemon ,
your
linker
personal
to
find
FreeRADIUS MAY NOT
the
have
e n v i r o n m e n t MAY
library .
the
When
same
configuration .
#
#
To
work
and
around
add
the
with
colon
e .g.
libdir
the
problem ,
directory
find
out
containing
separating
the
which
that
directory
library
library
names .
to
contains
the
NO
end
spaces
of
are
that
' libdir ' ,

allowed .
#
#
/ usr / l o c a l / l i b : / opt / package / l i b
#
#
You
can
in
If
that
server
also
script
try
which
setting
the
starts
the
LD_LIBRARY_PATH
environment
variable
server .
#
does
to
not
NOT
work ,
use
then
shared
you
can
libraries ,
re
c o n f i g u r e
and
re
b u i l d
via :
#
#
./ configure
make
make
d i s a b l e s h a r e d
install
#
libdir
/ usr / l i b / f r e e r a d i u s
pidfile :
Where
to
place
the
be
signalled
PID
of
the
RADIUS
server .
#
#
#
The
server
may
while
it ' s
running
by
using
file .
#
#
This
file
is
written
when ONLY
running
in
daemon
mode .
#
#
e .g .:
kill
HUP
` cat
/ var / run / r a d i u s d / r a d i u s d . pid `
140
this
symbol ,
the
pidfile
$ { r u n _ d i r } / $ { name } . p i d
chroot :
directory
where
the
server
does
" chroot ".
#
#
The
chroot
is
done
After
the
below
( which
to
that
in
"/ e t c / group "
chroot
has
MUST
group ,
very
early
been
be
in
the
performed
specified ) .
process
it
If
of
switches
" group "
too .
Any
other
groups
are
also
added
as
starting
is
listed
part
of
to
the
server .
" user "
specified ,
for
this
the
the
listed
it
switchs
specified
" user "
process .
#
#
The
current
chroot
the
modules
means
working
until
" raddb "
all
of
the
directory
have
that
directory
been
it
( chdir
modules
to
be
should
be
have
left
initialized ,
cd )
been
outside
it
does
impossible
to
is
initialized .
of
outside
left
the
chroot .
" chdir "
break
out
This
to
of
of
the
allows
Once
the
${ l o g d i r } .
the
This
chroot .
#
#
If
you
then
end
are
worried
simply
be
sure
about
ensure
to
do
that
" cd
security
the
issues
" raddb "
raddb "
BEFORE
related
directory
to
is
this
inside
starting
the
then
only
use
of
of
the
chdir ,
chroot ,
server .
#
#
If
the
server
to
exist
" cd
inside
in
raddb "
of
is
the
as
the
statically
chroot
are
discussed
chroot
linked ,
${ run_dir }
above ,
then
directory ,
the
and
files
${ l o g d i r } .
the
" raddb "
the
u s e r / group
that
If
you
directory
has
have
do
the
to
be
too .
#
#c h r o o t
/ path / t o / c h r o o t / d i r e c t o r y
u s e r / group :
The
name
( or
#number )
of
to
run
radiusd
as .
#
#
If
these
that
MUST
are
commented
started
it .
In
be
have
root
or
out ,
order
root
the
to
server
change
privleges
141
will
to
)
a
to
run
as
the
different
start
the
u s e r / group
u s e r / group ,
server .
you
#
#
We STRONGLY recommend
as
possible .
user
and
That
group
that
is ,
items
if
you
run
you ' r e
below
the
not
should
server
using
be
set
with
shadow
to
as
few
permissions
passwords ,
the
radius ' .
#
#
#
NOTE
that
some
kernels
( u ns i g n ed ) group
is
On
shadow
refuse
above
to
60000;
s e t g i d ( group )
don ' t
use
when
group
the
nobody
value
on
of
these
systems !
#
#
systems
the
with
for
server
authenticate
that
shadow
the
to
be
users
and
able
while
debugging
info ,
passwords ,
mode
the
to
in
read
debug
server
user
might
the
shadow
mode ,
is
listed
you
but
running
below
have
set
password
' group
file .
not
in
daemon
user
that
as
can
to
If
mode ,
can
shadow '
you
it
read
can
may
be
the
not .
#
#
The
It
for
server
will
will
join
some
also
all
finer
try
groups
g r a i n e d
to
use
where
access
" initgroups "
" user "
is
to
read
member .
/ e t c / groups .
This
can
allow
controls .
#
user
group
radiusd
radiusd
max_request_time :
The
maximum
time
( in
than
this
seconds )
to
handle
request .
may
killed ,
#
#
Requests
which
message
REJECT
take
more
is
time
to
process
be
and
returned .
#
#
WARNING:
If
then
this
used
to
This
problem
more
than
you
notice
MAY INDICATE
handle
that
a
requests
take
in
time
one
of
to
be
bug
in
the
OR
in
your
local
configuration .
seen
when
using
an
request ,
server ,
long
the
handled ,
modules
is
most
second
or
often
two
to
receive
an
142
answer
SQL
database .
from
the
SQL
If
it
takes
database ,
then
SQL
it
probably
server
means
that
documentation
you
for
haven ' t
more
indexed
the
database .
See
your
information .
#
#
Useful
range
of
values :
to
120
#
max_request_time
cleanup_delay :
reply
which
30
The
was
time
sent
to
to
wait
the
( in
seconds )
before
cleaning
up
NAS .
#
#
The
RADIUS
of
lost
re
cached
time ,
request
after
is
the
normally
reply
is
cached
sent
to
NAS
internally
the
in
the
network ,
and
the
will
s e n d
the
request ,
and
the
set
too
low ,
then
detected ,
and
will
instead
too
high ,
server
NAS .
not
will
see
for
short
The
reply
it .
The
respond
period
packet
NAS
quickly
may
will
with
be
then
the
reply .
#
#
#
If
this
value
MAY NOT b e
is
duplicate
be
requests
handled
as
from
the
seperate
NAS
requests .
#
#
If
this
value
requests ,
is
and
set
some
new
then
the
server
may
get
blocked .
requests
will
cache
( See
too
many
' max_requests ' . )
#
#
Useful
range
of
values :
to
10
#
cleanup_delay
max_requests :
track
e .g.
of .
With
The
This
4
maximum
should
clients ,
be
this
number
256
of
requests
multiplied
number
should
by
be
which
the
the
number
server
of
keeps
clients .
1024.
#
#
If
this
number
it
will
not
is
too
respond
to
low ,
any
then
new
when
the
requests ,
143
server
until
becomes
the
busy ,
' cleanup_delay '
time
has
passed ,
and
it
has
removed
the
old
requests .
#
#
#
If
this
memory
number
for
is
set
too
high ,
no
real
benefit .
aren ' t
sure
what
then
the
server
set
to ,
will
use
bit
more
#
#
If
you
too
high
the
highest
than
too
it
it
low .
should
should
Setting
be
it
to
1000
it ' s
per
better
client
to
is
set
it
probably
be .
#
#
Useful
range
of
values :
256
to
infinity
#
max_requests
1024
listen :
Make
replies
out
hosts
with
the
server
from
that
multiple
listen
address .
IP
on
This
particular
directive
IP
is
addresses
on
one
to
on
additional
address ,
most
and
useful
send
for
interface .
#
#
If
you
want
additionnal
the
server
ports ,
you
listen
can
use
multiple
addresses ,
or
" listen "
sections .
for
only
one
type
accounting
have
to
on
#
#
Each
section
make
the
server
therefore
authentication
different
sections .
and
listen
be
of
packet ,
configured
in
#
#
The
on
server
the
ignore
command
all
" listen "
section
if
you
are
using
line .
#
listen
{
#
Type
of
Allowed
packets
values
to
listen
for .
are :
auth
listen
for
authentication
acct
listen
for
accounting
144
packets
packets
'
'
and
'
p '
proxy
IP
detail
Read
to
use
for
sending
from
the
detail
raddb / s i t e s
status
listen
see
coa
file .
Status
raddb / s i t e s
S e r v e r
CoA
packets .
raddb / s i t e s
For
examples ,
see
For
packets .
For
examples ,
a v a i l a b l e / s t a t u s
R e q u e s t
for
packets
a v a i l a b l e / c o p y a c c t t o home s e r v e r
for
listen
proxied
and
examples ,
Disconnect
see
the
R e q u e s t
file
a v a i l a b l e / c o as e r v e r
#
type
auth
Note :
" type
proxy "
proxying
lets
packets ,
you
with
control
some
the
source
IP
used
for
limitations :
#
#
You
should
Any
" clients "
proxy
listener
CANNOT b e
probably
set
used
" port
configuration
in
virtual
server
section .
0".
will
be
ignored .
#
#
See
also
in
source
proxy
IP
Allowed
the
proxy . conf ,
sample
IP
listeners
on
the
" home_server "
address
address
and
for
are
section .
packets
sent
automatically
which
values
" src_ipaddr "
to
to
hostname
( r a d i u s . e x a m p l e . com )
wildcard
OR,
at
quad
(1.2.3.4)
you
the
home
are :
you
listen .
dotted
When
created .
ipaddr
configuration
can
same
use
an
IPv6
address ,
time .
145
but
not
both
specify
server ,
entry
the
the
ipv6addr
Port
Allowed
::
on
# any .
which
to
values
::1
==
localhost
listen .
are :
integer
port
number
" use
/ etc / services
port
means
(1812)
for
the
proper
port "
Some
to
but
it ' s
systems
the
IP
for
support
address .
sites
useful
with
to
say
binding
This
many
to
an
feature
IP
interface ,
isn ' t
addresses
" listen
on
all
in
strictly
on
one
addition
necessary ,
interface ,
addresses
for
eth0 " .
#
#
If
your
get
an
system
error
does
not
support
you
try
to
if
use
this
feature ,
you
will
it .
#
#
interface
Per
eth0
s o c k e t
lists
of
clients .
This
is
very
useful
feature .
#
#
The
name
here
is
radiusd . conf ,
or
c l i e n t s . conf .
set
reference
of
allows
reference
multiple
to
section
Having
sockets
to
elsewhere
the
name
use
the
in
as
same
clients .
#
#
If
this
is
this
client
configuration
IGNORED
for
feature ,
you
this
to
is
used ,
" listen "
ensure
you
then
the
section .
don ' t
global
Take
list
care
accidentally
of
clients
configuring
disable
need .
#
#
See
c l i e n t s . conf
for
the
configuration
146
of
" per_socket_clients ".
clients
per_socket_clients
This
second
port ,
" listen "
section
is
for
listening
on
the
accounting
too .
#
listen
{
ipaddr
ipv6addr
::
port
type
acct
interface
clients
eth0
per_socket_clients
hostname_lookups :
e .g. ,
Log
the
www . f r e e r a d i u s . o r g
names
( on )
of
or
clients
or
just
206.47.27.232
their
IP
addresses
( off ) .
#
#
The
default
if
people
means
request
mean
to
to
each
to
time ,
' off '
had
that
that
is
the
knowingly
client
server
the
DNS
it
request
may
would
turn
nameserver .
your
if
because
this
will
be
feature
result
Enabling
stop
requests
overall
on ,
in
better
since
take
too
also
means
IP
address
for
AT LEAST
30
the
enabling
hostname_lookups
randomly
for
seconds
one
net
it
lookup
will
also
from
time
long .
#
#
Turning
for
with
30
hostname
seconds ,
lookups
if
it
off
sees
an
it .
#
#
allowed
values :
{ no ,
yes }
#
hostname_lookups
no
147
that
the
which
server
has
no
won ' t
name
block
associated
Core
if
dumps
you ' r e
are
bad
debugging
thing .
a
This
problem
should
with
the
only
be
set
to
' yes '
server .
#
#
allowed
values :
{ no ,
yes }
#
allow_core_dumps
Regular
no
expressions
#
#
These
then
items
are
setting
set
them
at
to
configure
" no "
turns
time .
off
If
they ' r e
regular
set
expression
to
" yes " ,
support .
#
#
#
If
they ' r e
set
to
WILL NOT WORK.
" no "
It
at
will
configure
give
you
time ,
an
then
setting
them
to
" yes "
error .
#
regular_expressions
yes
extended_expressions
yes
#
#
Logging
will
section .
eventually
The
be
various
moved
" log_
"
configuration
items
here .
#
log
{
#
#
Destination
for
log
messages .
This
can
" file ",
defined
be
one
of :
files
log
to
syslog
to
stdout
standard
output
stderr
standard
error .
syslog
as
( see
also
148
the
below .
" syslog_facility ",
below .
The
logging
l i n e
option
go
stdout .
command
to
to
X"
"
over
r i d e s
this
option ,
and
forces
#
destination
files
#
#
#
The
logging
tail
of
messages
this
file
server
is
for
if
the
server
destination
are
appended
to
the
== " f i l e s "
#
#
#
If
the
NOT
running
in
debugging
mode ,
this
file
is
used .
#
file
$ { l o g d i r }/ r a d i u s . l o g
#
#
If
this
configuration
request
go
to
parameter
this
is
set ,
file ,
rather
per
request ,
then
than
to
log
messages
for
radius . log .
#
#
i . e .
This
is
the
request
not
associated
Not
all
this
go
as
log
file
being
with
from
a
valid
request
once
the
client .
s t i l l
go
server
Messages
to
has
accepted
that
are
radius . log .
#
log
new
to
messages
internal
in
API .
radius . log .
the
As
Please
server
a
core
result ,
submit
have
some
patches
been
updated
messages
to
fix
will
this
to
use
s t i l l
behavior .
#
#
The
file
name
server
Using
especially
expansion
s i d e
this
is
expanded
attributes
feature
if
of
you
the
MAY
do
dynamically .
for
the
filename
also
slow
down
thinks
like
SQL
filename .
149
You
should
(e .g.
the
calls
things
server
as
ONLY
user
you
control ) .
substantially ,
part
of
the
The
name
over
Virtual
messages
of
the
the
log
lifetime
S e r v e r
will
of
or
be
file
a
should
use
request ,
Packet
attributes
such
as
User
S r c IPA d d r e s s .
distributed
over
that
don ' t
Name ,
Otherwise ,
multiple
change
the
log
files .
#
#
Logging
can
dynamic
expansion
for
this
be
enabled
request
for
macro :
is
set
an
individual
%{d e b u g :
to
'1 '
1} ,
( or
request
where
2,
3,
the
etc . ) .
by
special
debug
level
e .g.
#
#
. . .
update
control
S t r i n g 0
Tmp
= " %{d e b u g : 1 } "
. . .
#
#
The
attribute
that
and
should
be
the
value
" throw
away "
is
assigned
attribute
to
is
unimportant ,
with
no
side
effects .
#
#r e q u e s t s
$ { l o g d i r }/ r a d i u s d
%{ %{V i r t u a l S e r v e r }: DEFAULT} %Y %
m%
d . log
#
#
Which
syslog
facility
to
use ,
if
$ { d e s t i n a t i o n } == " s y s l o g "
#
#
The
exact
don ' t
want
values
to
permitted
change
here
are
d e p e n d e n t .
OS
You
probably
this .
#
syslog_facility
Log
the
full
= daemon
User
Name
attribute ,
#
#
allowed
values :
{ no ,
yes }
150
as
it
was
found
in
the
request .
stripped_names
Log
no
authentication
requests
to
the
log
file .
#
#
allowed
values :
{ no ,
yes }
#
auth
no
Log
passwords
with
the
authentication
requests .
auth_badpass
logs
password
if
it ' s
rejected
auth_goodpass
logs
password
if
it ' s
correct
{ no ,
yes }
#
#
allowed
values :
#
auth_badpass
auth_goodpass
no
no
Log
additional
for
these
configurations
to
text
work ,
at
the
above
the
end
" auth "
have
to
of
and
be
the
" Login
OK"
" auth_goopass "
set
to
messages .
or
" auth_badpass "
" yes ".
#
#
The
strings
below
you
can
anything
this
performance .
put
expansion
are
can
be
dynamically
you
want
slow ,
in
and
expanded ,
them .
can
msg_goodpass
msg_badpass
""
""
The
program
checkrad
to
execute
to
do
concurrency
$ { s b i n d i r }/ c h e c k r a d
151
However ,
negatively
#
#
which
checks .
means
note
impact
that
that
server
# SECURITY CONFIGURATION
#
#
There
may
section
of
those
be
multiple
holds
the
methods
of
configuration
attacking
items
on
which
the
server .
minimize
the
This
impact
attacks
#
security
{
#
#
max_attributes :
permitted
in
than
number
this
The
maximum
RADIUS
of
number
packet .
attributes
of
attributes
Packets
which
in
will
them
h a v e MORE
be
dropped .
#
#
If
this
will
be
number
is
set
too
low ,
then
set
too
high ,
no
RADIUS
packets
accepted .
#
#
If
this
able
the
to
number
is
send
small
server
to
use
number
all
of
then
an
packets
available
memory
attacker
which
on
may
will
the
be
cause
machine .
#
#
Setting
this
max_attributes
number
=
to
means
" allow
any
number
of
attributes "
200
#
#
reject_delay :
When
delayed
for
few
attack .
It
crack
also
users
sending
an
seconds .
helps
to
Access
This
slow
R e j e c t
may
down
help
people
it
slow
can
be
down
trying
to
DoS
brute
f o r c e
password .
#
#
Setting
this
number
If
number
to
means
" send
rejects
immediately "
#
#
this
is
set
higher
than
152
' cleanup_delay ' ,
then
the
rejects
is
will
deleted
be
sent
from
the
at
' cleanup_delay '
internal
cache
of
time ,
when
the
request
requests .
#
#
Useful
ranges :
reject_delay
to
#
#
status_server :
to
Status
Whether
S e r v e r
or
not
the
server
will
respond
requests .
#
#
When
an
sent
Access
Status
A c c e p t
S e r v e r
or
message ,
Accounting
the
server
R e s p o n s e
responds
with
packet .
#
#
This
is
mainly
the
accounting
server ,
useful
without
for
administrators
adding
test
users ,
who
or
want
creating
to
" ping "
fake
packets .
#
#
It ' s
The
packet .
also
NAS
useful
can
If
NAS
can
See
also
when
NAS
periodically
the
start
server
using
it
marks
" ping "
responds ,
for
real
the
it
RADIUS
server
must
server
" dead " .
with
Status
be
alive ,
and
S e r v e r
the
requests .
#
#
raddb / s i t e s
a v a i l a b l e / s t a t u s
#
status_server
yes
# PROXY CONFIGURATION
#
#
proxy_requests :
Turns
proxying
of
RADIUS
on
by
requests
on
or
off .
#
#
The
server
has
proxying
turned
default .
153
If
your
system
is
NOT
set
up
to
proxy
off
here .
This
requests
will
to
save
another
small
server ,
amount
of
then
you
can
resources
turn
on
the
proxying
server .
#
#
If
you
have
to
proxy
To
disable
$INCLUDE
proxying
request ,
turned
then
an
off ,
and
error
your
message
configuration
will
be
files
say
logged .
#
proxying ,
change
the
" yes "
to
" no " ,
and
comment
the
line .
#
#
allowed
values :
{ no ,
yes }
#
proxy_requests
$INCLUDE
yes
proxy . c o n f
# CLIENTS CONFIGURATION
#
#
Client
configuration
is
defined
in
" c l i e n t s . conf ".
#
#
The
' c l i e n t s . conf '
' clients '
and
do NOT
use
supported .
file
contains
' naslist '
' client ' s
all
of
configuration
or
' naslist ' ,
the
files .
although
information
from
We recommend
they
are
the
that
s t i l l
#
#
Anything
listed
information
from
in
' c l i e n t s . conf '
the
old
s t y l e
will
configuration
#
$INCLUDE
take
c l i e n t s . conf
# THREAD POOL CONFIGURATION
154
precedence
files .
over
the
old
you
#
#
The
thread
take
pool
turns
is
( round
long
l i v e d
r o b i n )
group
handling
of
any
threads
incoming
which
requests .
#
#
You
probably
so
don ' t
be
that
high
have
want
l o a d
any
delayed
to
few
situations
spare
while
have
can
threads ,
new
spare
be
then
thread
is
threads
handled
the
around ,
immediately .
request
created ,
and
handling
added
to
If
you
will
the
pool .
#
#
You
probably
don ' t
otherwise
they ' l l
not
doing
anything
The
numbers
want
be
too
many
sitting
spare
there
threads
taking
up
around ,
resources ,
and
productive .
#
#
given
below
should
be
adequate
for
most
situations .
#
thread
pool
Number
of
ballpark
servers
Limit
on
start
initially
should
be
reasonable
figure .
start_servers
to
the
total
number
of
servers
running .
#
#
If
this
should
keep
down . . .
limit
is
ever
reached ,
NOT BE SET TOO LOW.
runaway
server
from
clients
It
is
will
intended
taking
the
be
LOCKED OUT,
mainly
system
with
as
it
as
brake
it
#
#
You
may
find
that
the
' max_servers '
number
' max_servers '
doesn ' t
server
of
is
threads ,
seem
to
regularly
and
make
reaching
that
much
the
increasing
difference .
#
#
If
this
is
the
case ,
then
the
155
problem
is
MOST LIKELY
so
that
it
to
spirals
back
e n d
your
databases
are
preventing
The
solution
value ,
problem :
slow
For
information ,
the
are
server
taking
from
too
long
responding
to
in
respond ,
timely
and
manner .
but
is
NOT do
instead
to
keep
fix
database ,
increasing
the
or
the
underlying
' max_servers '
cause
of
the
' h o s t n a m e _ l o o k u p s=y e s ' .
#
#
more
see
' max_request_time ' ,
above .
#
max_servers
32
p o o l
Server
size
regulation .
how
many
servers
the
load
it
servers
to
handle
the
servers
to
handle
transient
It
this
waiting
min_spare_servers ,
more
The
you
sees ,
need ,
that
Rather
than
FreeRADIUS
is ,
you
dynamically
it
tries
to
current
load ,
plus
load
making
maintain
a
few
guess
adapts
to
enough
spare
spikes .
#
does
for
than
by
a
periodically
request .
it
If
there
creates
max_spare_servers ,
default
values
checking
are
are
new
some
probably
many
fewer
the
for
servers
are
than
spare .
of
OK
how
If
spares
most
there
die
are
off .
sites .
#
min_spare_servers
max_spare_servers
10
When
the
server
receives
internal
queue ,
where
pick
is
it
given
up
for
the
packet ,
worker
it
places
threads
it
onto
( configured
an
above )
processing .
The
maximum
size
of
that
queue
is
new
packets
will
be
silently
here .
#
#
When
the
queue
full ,
any
156
discarded .
#
#
The
most
server
very
receives
handle
common
is
large
cause
dependent
" spike "
little
you
less
the
of
of
on
the
queue
slow
traffic .
can
do
other
traffic ,
or
being
database ,
full
and
is
it
that
has
received
When
that
happens ,
there
than
make
sure
server
make
sure
that
the
the
the
database
is
can
load .
#
#
max_queue_size
There
may
the
resources
be
65536
memory
server .
If
will
so ,
be
leaks
set
or
this
cleaned
up
resource
allocation
problems
value
300
so
to
or
so ,
that
with
the
periodically .
#
#
This
should
server
which
'0 '
exit '
only
have
be
necessary
not
yet
if
been
there
are
serious
bugs
in
or
servers
the
fixed .
#
is
special
value
max_requests_per_server
meaning
' infinity ' ,
' the
never
# MODULE CONFIGURATION
#
#
The
names
and
configuration
of
each
module
is
located
in
this
section .
#
#
After
in
the
other
modules
sections
are
of
defined
this
here ,
they
configuration
#
modules
{
#
157
may
file .
be
referred
to
by
name ,
Each
module
has
configuration
name
instance
as
follows :
#
#
config_item
. . .
value
#
#
The
' name '
which
is
used
implements
to
the
load
the
' rlm_name '
functionality
of
the
library
module .
#
#
The
' instance '
of
The
inventing
module ,
is
it
different
optional .
first
copies
two
must
of
To
be
the
' instance '
have
two
referred
module
names ,
are
e .g.
different
to
by
then
instances
' name ' .

created
' instance1 '
by
and
' instance2 '
#
#
The
INSTEAD
for
instance
an
of
names
the
can
then
original
be
' name ' .
used
in
See
later
the
configuration
' radutmp '
configuration
example .
#
#
As
of
2.0.5 ,
most
sub
are
referenced
authenticate ,
d i r e c t o r y
loaded .
the
Files
The
in
of
module
matching
modules
are
processing
accounting ,
configurations
the
#
$INCLUDE
$ { c o n f d i r }/ modules /
Extensible
Authentication
Protocol
#
#
For
all
EAP
related
authentications .
158
ONLY
such
p r o x y
/[a
initialized
pre / post
in
zAZ09_. ] + /
regex
section ,
are
as
,
if
they
authorize ,
etc .
are
Now
in
another
file ,
because
it
is
very
large .
#
$INCLUDE
eap . c o n f
Include
another
file
that
has
This
another
file
only
because
is
the
r e l a t e d
SQL
it
tends
configuration .
to
be
big .
#
$INCLUDE
sql . conf
#
#
This
module
is
an
SQL
enabled
version
of
the
counter
module .
#
#
Rather
than
accounting
stored
module
totally
packets .
in
maintaining
info
the
NEVER
for
each
raddacct
does
dependent
seperate
any
on
(GDBM)
counter ,
table
by
database
the
SQL
this
the
sql
INSERTs
module
to
databases
module
uses
modules .
or
of
$INCLUDE
s q l / mysql / c o u n t e r . c o n f
#
#
IP
addresses
managed
in
an
SQL
table .
loading
of
the
modules .
the
later
#
#
$INCLUDE
sqlippool . conf
Instantiation
#
#
This
section
listed
authorize ,
here
orders
will
get
the
loaded
authenticate ,
BEFORE
etc .
get
examined .
159
Modules
sections
It
is
Accounting
#
#
data
This
UPDATEs .
process
the
like
#
#
This
section
authorize
initialized .
of
the
is
not
refers
strictly
to
module ,
However ,
following
needed .
some
sections ,
it ' s
they
section
automatically
modules
so
When
may
can
not
be
be
like
loaded
listed
listed
and
in
any
here .
#
#
Also ,
listing
the
something
defined
here ,
ensure
order
in
and
modules
which
here
they
by
ensures
are
that
you
initalized .
If
another
that
the
module ,
you
configuration
have
one
can
will
control
module
list
over
needs
them
in
order
into
253
b e OK.
#
instantiate
#
#
Allows
The
the
execution
entire
command
of
line
external
( and
scripts .
output )
must
fit
#
#
e .g.
P o o l
Framed
= ` %{ e x e c : / b i n / e c h o
foo } `
exec
#
#
The
expression
module
authentication ,
or
translation ,
the
of
doesn ' t
do
accounting .
authorization ,
It
only
does
dynamic
form :
#
#
Session
T i m e o u t
= ` %{ e x p r : 2
3} `
#
#
So
the
listed
more
module
needs
to
in
other
section .
any
be
instantiated ,
information .
#
expr
160
See
b u t CANNOT b e
' doc / rlm_expr '
for
bytes .
#
# We
#
the
it
add
the
check
counter
name
module
attribute
here
so
before
that
any
it
registers
module
which
sets
#d a i l y
expiration
logintime
subsections
here
can
be
thought
e .g.
have
two
redundant
use
place
exact
same
lines ,
accounting
of
as
" virtual "
modules .
#
If
you
them
in
the
authorize
" redundant "

text .
and
list
block
Or ,
you
and
in
SQL
servers ,
accounting
each
could
" redundant_sql "
in
the
you
sections ,
section ,
uncomment
and
want
you
containing
the
to
could
the
following
authorize
and
sections .
#
#r e d u n d a n t
redundant_sql
sql1
sql2
#}
}
######################################################################
#
#
Policies
globally .
to
that
can
That
multiple
be
way ,
applied
they
can
in
multiple
be
defined
places
once ,
are
and
listed
referred
times .
#
######################################################################
$INCLUDE
policy . conf
161
######################################################################
#
#
Load
virtual
This
next
match
servers .
#
$INCLUDE
the
regular
line
loads
files
in
the
directory
that
zAZ09_. ] + /
expression :
/[a
#
#
It
allows
file
you
into
to
the
define
new
raddb / s i t e s
virtual
servers
e n a b l e d /
simply
by
placing
directory .
#
$INCLUDE
sites
e n a b l e d /
######################################################################
#
#
All
of
the
other
" authenticate
the
configuration
{}" ,
" accounting
sections
{}" ,
like
have
" authorize
been
moved
to
{}" ,
the
file :
#
#
raddb / s i t e s
a v a i l a b l e / d e f a u l t
#
#
This
is
configuration
installation
edit
it
the
to
" default "

as
in
version
enables
create
virtual
this
policies
server
1.0.x
virtual
for
that
and
1.1.x.
server .
your
has
local
the
same
The
default
You
should
site .
#
#
For
more
documentation
on
virtual
servers ,
see :
#
#
raddb / s i t e s
a v a i l a b l e /README
#
######################################################################
162
Bibliografa
[Ampere, ] Ampere. Comunicaciones.
[Andrs Mauricio Agudelo Ramrez, 2013] Andrs Mauricio Agudelo Ramrez, Pablo Csar
Bernal Gallo, E. A. Q. S. (Abril 2013). Espectro ensanchado por saltos de frecuencia para
la transmisin de informacin por lneas de potencia.
Scientia et Technica Ao XVIII,
18:9.
[Bertoln, 2008] Bertoln, J. A. (2008).
Seguridad de la Informacin. Redes, informtica y
sistemas de informacin.
[Crdoba T. Anabel, 2010] Crdoba T. Anabel, Durn M. Gricel, F. S. V. (2010). Diseo
de un sistema de seguridad de control de acceso con radius congurado en un sistema
operativo linux para una lan inalmbrica. Master's thesis, Instituto Poltecnico Nacional.
[David D. Coleman, 2010] David D. Coleman, David A. Westcoot, B. E. H. S. M. J. (2010).

Certied wireless security professional.
Ocial Study Guide, page 703.
[de Defensa del Gobierno de EE.UU., 1980] de Defensa del Gobierno de EE.UU., D. (1980).
Trusted computer system evaluation criteria (tcsec).
[de la Computacin, 2014] de la Computacin, B. (2014). Boletn de la computacin.
[de Redes y Seguridad UNAM, ] de Redes y Seguridad UNAM, L. Fundamentos de seguridad informtica.
163
[Fernndez, 2009] Fernndez, Yago; Ramos, A. G.-M. J. (2009).
AAA/RADIUS/802.1x Sis-
temas basados en la autenticacin en Windows y Linux/GNU.
Alfaomega Ra-Ma, primera
edicin edition.
[Garca, 2012] Garca, N. A. L. (2012).
Diseo e implementacin de una red lan y wlan
con sistema de control de acceso mediante servidores aaa.
Master's thesis, Ponticia
Universidad Catlica de Per.
[Gast, 2002] Gast, M. (2002).
802.11 Wireless Networks: The Denitive Guide.
[Harris, 2013] Harris, S. (2013).
CISSP.
O'Reilly.
Sixth Edition.
[HernndezM.Enrique, 2011] HernndezM.Enrique, Romero B. Adrian, T. C. U. (2011). Implementacin y automatizacin de la red inalmbrica en las bibliotecas de la facultad de
ingeniera. Master's thesis, Universidad Nacional Autonma de Mxico.
[IEEE, ] IEEE. Ieee standard.
[Javier, 2005] Javier, M. L. F. (2005).
Grupos A y B de Informtica.
Editorial Mad. S.L.
[Md. Hashmathur Rehman, 2010] Md. Hashmathur Rehman, Dr. A. Govardhan, T. V. N. R.

(2010). Design and implementation of radius - an network security protocol.
Global Journal
of Computer Science and Technology, 10:48.

[Microsoft, ] Microsoft. Autenticacin y acceso a la red y certicados.
[Microsoft, 2003] Microsoft (2003). How 802.11 wireless works.
[Microsoft, 2013] Microsoft (2013). Denicin de las siete capas del modelo osi y explicacin
de las funciones.
[Nayyar, 2012] Nayyar, A. (2012).
One time identication in wireless networks via eap
(extensible authentication method).
International Journal of Computer Application, 5:8.

164
[ONU, ] ONU. Itu-t.
[Oppenheimer, 2011] Oppenheimer, P. (2011).
Top-Down Network Design.
Cisco Systems,
Inc.
[Prasad, 2004] Prasad, R. (2004).
OFDM for wireless communications systems.
[Ramachandran, 2011] Ramachandran, V. (2011).
ing.
BackTrack 5 Wireless Penetration Test-
Published by Packt Publishing Ltd.
[Sommerville, 2005] Sommerville, I. (2005).
Ingeniera del Software.
Pearson Educacin, S.
A.goo.
[Stallings, 2000] Stallings, W. (2000).
Comunicaciones y Redes de Computadores.
William
Stallings.
[Stallings, 2011] Stallings, W. (2011).
TIONS AND STANDARDS.
NETWORK SECURITY ESSENTIALS: APPLICA-
Prentice Hall.
[the Netherlands the United Kingdom (ITSEC), 1991] the Netherlands the United Kingdom (ITSEC), F. G. (1991). Information technology security evaluation criteria (itsec).
[UIT, ] UIT. Uti-it.
[UNAM, ] UNAM. Estndares.
165

Tesis

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis

Cargado por

Copyright:

Formatos disponibles

Universidad del Istmo (UNISTMO)

Descripcin del problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Estado del Arte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Estndares (OSI, ITU-T, IEEE) . . . . . . . . . . . . . . . . . . . . . . . . .

OSI (Open System Interconection)

Seguridad de redes inalmbricas . . . . . . . . . . . . . . . . . . . . .

Estndares para la seguridad inalmbrica . . . . . . . . . . . . . . . .

IEEE802.11i Seguridad inalmbrica red de rea local (LAN)

IEEE802.11i Fases de Operacin . . . . . . . . . . . . . . . . . . . . .

Fase de proteccin de la transferencia de datos . . . . . . . . . . . . .

RADIUS, DIAMETER, TACACS . . . . . . . . . . . . . . . . . . . . . . . .

3. Diseo de la solucin hardware y software

Diseo del sistema

Diseo de control de acceso con Radius . . . . . . . . . . . . . . . . . . . . .

Arquitectura nal del sistema

Desarrollo del sistema de autenticacin de usuarios

Conguracin de RADIUS con MySQL . . . . . . . . . . . . . . . . .

Creacin de la autoridad certicadora raz

Generacin del certicado del servidor

Generacin de los certicados de los clientes

Documentacin del sistema de Interfaz

3.4.10. Interfaz creadas para el sistema de autenticacin de usuarios . . . . .

4. Pruebas de desempeo y seguridad

5. Conclusiones y trabajos futuros

Lnea de tiempo estndares IEEE 802.11

Diagrama de red propuesta . . . . . . . . . . . . . . . . . . . . . . . . . . . .

El entorno del modelo OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Arquitectura de clientes en modo Ad-Hoc . . . . . . . . . . . . . . . . . . . .

Ejemplo de Espectro esparcido por salto de frecuencia (FHSS) . . . . . . . .

Ejemplo de Espectro Esparcido de Secuencia Directa (DSSS) . . . . . . . . .

OFDM diagrama a bloques . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Cifrado de texto plano

Cifrado de texto plano

Diagrama de insfraestructura de la propuesta

Infraestructura de alcance de la red . . . . . . . . . . . . . . . . . . . . . . .

Instalacin de Freeradius y complementos

Comando para entrar al modo consola al gestor de base de datos . . . . . . .

3.10. Tablas creadas para el uso de RADIUS . . . . . . . . . . . . . . . . . . . . .

3.11. Caso de uso administracin de usuario

3.12. Casos de uso administracin de grupos

3.13. Casos de uso administracin de clientes radius . . . . . . . . . . . . . . . . .

3.14. Registro Logs del Sistema

3.15. Interfaz lista de usuarios en el sistema

3.16. Ventana de datos de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.17. Alta de nuevo usuario

3.18. Editar usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.19. Eliminar usuarios del sistema

3.20. Lista de grupos Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.21. Alta grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.22. Edicin de grupos del sistema

3.23. Eliminar grupo

3.24. Lista de clientes Radius

3.26. Modicar clientes Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.27. Eliminar clientes Radius

3.28. Intentos Fallidos de acceso al sistema . . . . . . . . . . . . . . . . . . . . . .

3.29. Intentos Autenticados de acceso al sistema . . . . . . . . . . . . . . . . . . .

3.25. Nuevo clientes Radius

bien y el xito, llenando de bendiciones mi vida en cada momento.

Quienes me dieron la vida y han estado presentes en todo momento de mi

vida, en las victorias y derrotas que me he presentado.

Sra. Gloria Rmirez:

Persona que me ha brindado su apoyo incondicionalmente desde

Arquitectura nal del sistema

Conguracin de RADIUS con MySQL . . . . . . . . . . . . . . . . .

Creacin de la autoridad certicadora raz

Generacin del certicado del servidor

Generacin de los certicados de los clientes

3.26. Modicar clientes Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

La seguridad en las computadoras es la proteccin y la condencialidad de los datos del

al trco sin establecer demasiadas limitaciones. [HernndezM.Enrique, 2011]

su identidad y la otra verica su autenticidad.

En la implantacin de una red inalmbrica es necesario tener denido la infraestructura

1.3.2. Objetivos especicos

Se dene como una arquitectura de servicios incluyendo:

Especicacin del protocolo:

operan e interactan por medio de el protocolo. El protocolo se debe de especicar con