Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Campus Ixtepec
Departamento de Licenciatura en Informtica
PROPUESTA DE IMPLEMENTACIN DE RED
INALMBRICA CON CONTROL DE USUARIOS
PARA LA UNIVERSIDAD DEL ISTMO, CAMPUS
IXTEPEC
Protocolo de tesis que presenta
Erwis Melchor Prez
para cumplir con los requisitos de titulacin
profesional en la carrera de
Licenciado en
Informtica
Director de tesis:
M. en C. Carlos Edgardo Cruz Prez
Ciudad Ixtepec, Oaxaca
Diciembre 2015
Resumen
En el presente trabajo se describe el desarrollo de una infraestructura de red inalmbrica
en la Universidad del Istmo campus Ixtepec, basada en mecanismos de autenticacin de
usuarios.
La propuesta de red inalmbrica local permitir a los alumnos y personal que labora en la
Universidad acceder a informacin y servicios en tiempo real sin la necesidad de estar conectados en un lugar estable dentro de la institucin. Eliminando el uso de cables y aumentando
la exibilidad de conexin por parte de los usuarios.
La propuesta se lleva a cabo dentro de las instalaciones de la Universidad, donde ser
utilizada por estudiantes, profesores, personal administrativo y visitantes, mediante el uso
de distintos dispositivos mviles.
Al nal del trabajo se presentan la conclusin en base a los resultados arrojadas en las
pruebas obtenidas en la evaluaciones realizadas al sistema, con la nalidad de corroborar los
objetivos denidos al principio de dicho trabajo de investigacin.
ndice general
1. Anteproyecto
13
1.1.
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2.
20
Objetivos
22
1.3.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1.
Objetivo general
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2.
Objetivos especicos
. . . . . . . . . . . . . . . . . . . . . . . . . . .
22
22
1.4.
Propuesta solucin
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
1.5.
Justicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
1.6.
Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
1.7.
Estructura de Tesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2. Conceptos y deniciones
2.1.
2.2.
2.3.
2.4.
29
2.1.1.
QNAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
2.1.2.
Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
Redes Inalmbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
2.2.1.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
34
2.6.
Denicin
2.3.1.
. . . . . . . . . . . . . . . . . . .
34
2.3.2.
UIT-T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
2.3.3.
El Estndar IEEE
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
2.3.4.
Topologas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
2.3.5.
Tcnicas de transmisin
. . . . . . . . . . . . . . . . . . . . . . . . .
45
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
Seguridad
2.4.1.
2.5.
29
Seguridad Informtica
Seguridad Inalmbrica
. . . . . . . . . . . . . . . . . . . . . . . . . .
51
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
2.5.1.
56
2.5.2.
59
IEEE802.11i Servicios
. . . . . . . . .
68
. . . . . . . . . . . . . . . . . . . . . . . . . .
69
2.7.
2.6.2.
69
2.6.3.
Fase descubrimiento
70
2.6.4.
Fase de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
2.6.5.
Fase de gestin
73
2.6.6.
. . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
74
2.7.1.
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
2.7.2.
TACACS+
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
2.7.3.
Diameter
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
2.7.4.
Metodologas de redes
. . . . . . . . . . . . . . . . . . . . . . . . . .
77
79
3.1.
Metodologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
3.2.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
3.3.
83
3.3.1.
. . . . . . . . . . . . . . . . . . . . . .
83
3.3.2.
Conguracin de la solucin . . . . . . . . . . . . . . . . . . . . . . .
84
3.4.
. . . . . . . . . . . . . .
88
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
3.4.1.
Instalacin Radius
3.4.2.
Conguracin de Freeradius
. . . . . . . . . . . . . . . . . . . . . . .
89
3.4.3.
91
3.4.4.
Instalacin OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
3.4.5.
Conguracin de OpenSSL . . . . . . . . . . . . . . . . . . . . . . . .
96
3.4.6.
3.4.7.
3.4.8.
3.4.9.
. . . . . . . . . . . . . . .
97
. . . . . . . . . . . . . . . . .
99
. . . . . . . . . . . . . .
100
. . . . . . . . . . . . . . . . .
101
122
131
135
5.1.
Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135
5.2.
Trabajos futuros
136
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6. Apendice A: radius.conf
137
ndice de guras
1.1.
. . . . . . . . . . . . . . . . . . . .
15
1.2.
25
2.1.
35
2.2.
44
2.3.
Infraestructura BSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
2.4.
47
2.5.
49
2.6.
50
2.7.
Diagrama seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
2.8.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
2.9.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
3.1.
. . . . . . . . . . . . . . . . .
83
3.2.
87
3.3.
. . . . . . . . . . . . . . . . . . .
88
3.4.
Lnea comentada
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
3.5.
Lnea descomentada
3.6.
Autenticacin de Usuarios
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
3.7.
Archivo clients.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
3.8.
Archivo eap.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
3.9.
92
92
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
. . . . . . . . . . . . . . . . . . . . .
104
. . . . . . . . . . . . . . . . . . . . .
109
114
120
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
122
123
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
123
124
. . . . . . . . . . . . . . . . . . . . . . . . . .
124
125
125
. . . . . . . . . . . . . . . . . . . . . . . . . .
126
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
126
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
128
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
129
129
Dedicatoria
Mi tesis la dedico con todo mi amor y cario:
A Dios:
Por se mi gua espiritual en todo comento, guiando mis pasos por el camino del
A mis padres:
10
Agradecimientos
Son numerosas las personas a las cuales debo de agradecer por el apoyo brindado a llegar
a concluir la etapa de la licenciatura. Ante todo primeramente Dios por darme la vida y
la sabidura para poder concluir esta meta. A mis padres por su apoyo incondicional en
cada momento de la universidad, cada desvelo que pasaban por las noches y ofrecerme su
comprensin y cario. A compaeros y amigos que me a compaarn es esta dcil trayectoria
de la licenciatura, en la que compartimos conocimientos y momento agradables. A todas esas
personas que me apoyaron para la culminacin de mis estudios, con las cuales compartir
momentos felices y tristes, hoy me doy cuenta que esos das de desvelos valieron la pena.
11
12
Captulo 1
Anteproyecto
1.1. Introduccin
Hoy en da con el avance de la tecnologa ante un entorno globalizado, se presenta una
manera de mantenerse comunicado por medio de distintas herramientas, como lo es la Internet, teniendo acceso a esta por medio de una red de comunicacin, la cul puede ser cableada
o inalmbrica.
La evolucin de las redes se ha presentado a pasos agigantados, con la generacin de dispositivos y la capacidad de manipulacin e instalacin de manera eciente de las redes
inalmbricas, estableciendo estricta administracin y control de la informacin transportada
en la red. [de la Computacin, 2014]
Tal como su nombre lo indica, las redes inalmbricas son aqullas que carecen de cables.
Esta tecnologa permite el acceso a recursos en lugares donde se imposibilita el acceso de
manera cableada.
13
La tecnologa inalmbrica es una de las ms utilizadas en los sectores empresariales y escolares, permitiendo la conectividad de los usuarios pertenecientes a dicha red, uno de los
puntos importantes a considerar es el gran nmero de dispositivos mviles que son usados
en la actualidad por parte de los usuarios.
Fcil instalacin
La tecnologa que se utiliza en las redes LAN cableadas, es Ethernet (tambin conocido como
IEEE 802.3) es un estndar de transmisin de datos en las redes de rea local. La norma
IEEE802.11 rige las redes inalmbricas, fue diseada con la nalidad de sustituir las capas
fsicas y MAC (Control de Acceso al Medio) de la norma 802.3, lo diferente entre las redes
inalmbricas y la tecnologa Ethernet son la manera en que se realiza la transmisin de los
datos, por tal motivo son compatibles los servicios con la red cableada. Con el paso de los
aos ha venido evolucionando mejorando la seguridad y la velocidad de transferencia de los
14
datos de las redes inalmbricas. En la siguiente gura se presenta una lnea de tiempo los
distintos estndares de la tecnologa inalmbrica de la familia 802.11.
Las redes inalmbricas se han plagado de muchos problemas, desde que se hizo popular
a nal de la dcada de 1990, como lo son: las interferencias, velocidad y seguridad.
Puntos de accesos vulnerables: Las redes inalmbricas son fciles de detectar, as que
15
cualquier usuario con una tarjeta inalmbrica puede tener acceso a la informacin
emitida en la red.
Puntos de accesos no autorizados: La implementacin de una red inalmbrica es relativamente sencilla, as que una vez logrado el acceso a la red, el usuario puede instalar
un punto de acceso sin advertir a los administradores de la red.
Para estos casos se presentan estrategias para el aseguramiento de la red, la administracin, la conexin en los puntos de acceso y el poder utilizar los recursos que se ofrecen en
la red inalmbrica, manteniendo la privacidad de los datos proporcionados por los usuarios.
WEP
como protocolo para redes inalmbricas, la cual permite cifrar la informacin que se
transmite. El protocolo WEP se basa en dos componentes para cifrar las tramas que
circulan por la red: el algoritmo de cifrado RC4 y el algoritmo de vericacin de integridad CRC. [Fernndez, 2009]
802.1x
16
Ventajas
Desventajas
WPA
Es un sistema para proteger las redes inalmbricas, creado para corregir las decien-
cias de los sistemas, consiste en un mecanismo de control de acceso a una red inalmbrica. El mtodo de encriptacin WPA implementa la parte del estndar IEEE802.11i,
siendo creado por La alianza Wi-Fi (The Wi-Fi Alliance).
WPA fue diseado para utilizar un servidor de autenticacin (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a travs del protocolo
802.1x); sin embargo, tambin se puede utilizar en un modo menos seguro de clave
pre-compartida ([PSK] - Pre-Shared Key) para usuarios de casa o pequea ocina.
La informacin es cifrada utilizando el algoritmo RC4, debido a que WPA no elimina
el proceso de cifrado WEP, slo fortalece este, dos de las mejoras sobre WEP son:
Implementacin del Protocolo de Integridad de Clave Temporal (TKIP Temporal Key Integrity Protocol), la cual consiste en cambiar las claves dinmicamente
a medida que el sistema es utilizado.
Autenticacin de los usuarios mediante EAP (Extendible Authentication Protocol), permitiendo controlar a todos y cada uno de los usuarios que se conectan a
la red. Siendo un protocolo de encargado del transporte, encapsulado y seguridad
17
de la autenticacin.
Vulnerabilidades
emplea WPA como mecanismo de seguridad los puntos de acceso nicamente aceptan
autenticacin y cifrado WPA, no permitindose conectarse a usuarios sin WPA. Por
otro lado un usuario congurado para utilizar WPA no se conecta a puntos de acceso
sin WPA. Presentando problemas por mantener el algoritmo de cifrado RC4.
WPA2
Son consideradas como las ms seguras. Est basada en el nuevo estndar 802.11i.
WPA, por ser una versin previa, que se podra considerar de "migracin", no incluye
todas las caractersticas del IEEE 802.11i.
El protocolo WPA2 utiliza el algoritmo de cifrado AES (Advanced Encryption Standard) es un cifrado de bloque simtrico que puede cifrar y descifrar informacin. El
cifrado convierte los datos a una forma inteligible denominado texto cifrado; mientras
que el descifrar el texto cifrado convierte los datos de nuevo a su forma original, llamado
texto plano.
Debilidades
los nodos de la red necesitan conocerlas, y un atacante que descubra una de las claves
puede espiar el intercambio de claves entre el punto de acceso y la estacin de trabajo
Las redes inalmbricas dentro de las instituciones educativa presentan una gran utilidad,
mejorando la calidad de los servicios educativos por medio de las tecnologas de la informacin y comunicacin, proporcionando el acceso a internet de manera gratuita en los espacios
educativos. Los principales objetivos son ofrecer el acceso a la informacin y comunicacin
a los centros educativos, permitiendo de esta manera un mejor desarrollo en el mbito escolar.
En estos das la universidad necesita de una red inalmbrica ya que actualmente la conexin a la red es a travs de cables, siendo est una desventaja competitiva en relacin con
18
Uno de los protocolos que su funcin principal es el de controlar el acceso de la infraestructura inalmbrica es el sistema de control de acceso AAA (Autenticacin, Autorizacin y
Arqueo), los cuales se describen a continuacin:
Autenticacin:
Autorizacin:
necesarios para acceder a un recurso, es decir otorgarle o denegarle permisos dependiendo del resultado de la evaluacin de autorizacin.
Arqueo:
19
En el mercado existen sistemas los cuales permiten el control de usuarios en redes inalmbricas, siendo estas de un costo elevado, por tal motivo se presenta un sistema basado en
tecnologas libres en la cual se presente que los usuarios que tenga la documentacin en mano
pueda realizar actualizaciones e incluso mejoras al sistema.
20
Con el paso de los aos la utilizacin y adopcin de las nuevas tecnologas por un gran nmero
de personas, surgen amenazas y por ello que hoy en da es importante tener conocimientos
acerca de seguridad en cuanto a computacin y redes, por ejemplo: seguridad de los datos,
servicios. Con la nalidad de controlar el manejo y mantener seguro la informacin de los
usuarios y de los sistemas La problemtica no es el simple hecho de la identicacin de los
usuarios, si no identicar que el usuario que se esta identicando sea realmente quien dice
ser. Manteniendo de esta manera la seguridad de sus datos.
Las redes inalmbricas son las ms vulnerables a distintos tipos de ataques, debido a que el
medio en el que se encuentran es el de mayor acceso para cualquier persona que se encuentre
dentro de la cobertura de algn de acceso de la red, dejando de esta manera la disponibilidad
de llegar a capturar la transmisin de datos. Por tal motivo y con la nalidad de garantizar
la seguridad en este tipo de redes es necesario el cifrado de la informacin antes de ser enviada al receptor, as mismo como la autenticacin de los usuarios antes de tener acceso a la red.
La conectividad inalmbrica ofrece un gran benecio para las organizaciones para llevar
sus servicios a los distintos clientes mviles. La implementacin de las redes inalmbricas
ofrecen muchas ventajas dentro de las organizaciones en donde son empleadas, dentro de
esas ventajas se encuentran:
Conabilidad
Robusto
Escalabilidad
21
Interferencias en el medio
La velocidad de transmisin (la red cableada alcanza una transmisin de datos de 100
Mbps mientras que la inalmbrica 54Mbps)
La seguridad
1.3. Objetivos
1.3.1. Objetivo general
Desarrollar un sistema que permita el registro e identicacin de usuarios en la red
inalmbrica de la Universidad del Istmo, manteniendo la seguridad de la informacin.
Controlar el acceso de los usuarios por medio de la creacin de credenciales, las cuales
funcionan como identicacin para el usuario al momento de tener acceso a la red.
Monitoreo de las acciones realizadas por usuarios en la red, vericando las pginas a
las que tuvo acceso, tiempo de entrada y salida del usuario a la red.
Realizar pruebas al sistema de tal manera que se adapte las polticas establecidas en
la Universidad del Istmo.
22
FreeRADIUS:
Puntos de Acceso:
Nivel de seal
23
Servicio de Internet:
802.11:
Autenticacin
Asociacin
Desautenticar usuarios
Desasociacin
Distribucin
Integridad
Condencialidad de los datos
24
1.5. Justicacin
Mediante el protocolo AAA se espera dotar de una red inalmbrica con la suciente
seguridad para la proteccin de los datos, as mismo desarrollar un sistema eciente para
el registro e identicacin de usuarios acorde a las necesidades actuales de los potenciales
usuarios de la Universidad del Istmo.
La nalidad del proyecto es la implementacin de la red inalmbrica para el acceso de los
usuarios. La red debera regirse por las polticas de la Universidad. En caso de las personas externas a la Universidad solo se permitir el acceso a Internet, sin poder tener acceso a ningn
servicio (por ejemplo: correo de la Universidad, archivos compartidos en las computadoras
de las salas de cmputo) con el que se cuente en la Universidad para el uso exclusivo de
alumnos, profesores y personal administrativo.
Los benecios en la implementacin de la red inalmbrica son:
Reduccin de costos
Flexibilidad
Capacidad de crecimiento
Relacin costo-benecio
25
Debido a las cuestin de ancho de banda con la que se cuenta en la Universidad, slo se
permitir hacer uso de un dispositivo por usuario, en caso de tener registrado ms de un
dispositivo deber de cerrar sesin en el dispositivo actual para poder ingresar con un nuevo
dispositivo.
1.6. Limitaciones
No se podr controlar las cmaras, puertas de acceso, comunicacin remota con los
equipos de computo (Trabajo futuro).
La limitacin de infraestructura, como lo son las antenas y otros elementos indispensables para la implementacin de la red inalmbrica.
Los recursos limitados con lo que cuenta la red en la Universidad del Istmo(ancho de
banda).
Captulo 1:
Anteproyecto
Captulo 2:
la presente tesis
Captulo 3:
Capitulo 4:
26
Capitulo 5:
27
28
Captulo 2
Conceptos y deniciones
En el desarrollo de este captulo se presentan las bases tericas para el desarrollo de la
presente tesis. Se describe conceptos, ventajas, desventajas y vulnerabilidades de las redes
inalmbricas; deniendo los estndares ms comunes (ISO, ITU-IT, IEEE), las tcnicas de
transmisin, seguridad en general e inalmbrica, y protocolos que intervienen en las redes
inalmbricas.
De igual manera se presentan los tres principales servidores AAA (RADIUS, Diameter y
TACACS+), descripcin y funcionamiento de cada uno de los protocolos de control de acceso,
adems de distintos elementos que intervienen en los procesos de comunicacin.
29
encuentran guardados los datos de usuarios la cual permitir realizar el monitoreo de los
usuarios que tendrn acceso a la red inalmbrica.
Se pueden encontrar un gran nmero de soluciones las cuales implementan la autenticacin
de usuarios y seguridad en los datos.
En el artculo [Md. Hashmathur Rehman, 2010] describe RADIUS y sus debilidades, operacin y funcionamiento bsico, haciendo nfasis en los problemas de vulnerabilidad, la seguridad, el transporte de informacin y la implementacin. As mismo la manera de minimizar
o resolver las cuestiones del protocolo utilizando las mejores practicas de implementacin y
las ventajas que ofrece el servidor.
En el artculo [Nayyar, 2012] propone mtodos del protocolo para mantener la seguridad
y como objetivo principal garantizar la autenticacin en las redes inalmbricas 802.11. El
mtodo propuesto se llama autenticacin EAP-OTI, teniendo en cuenta la necesidad de proteger la identidad del cliente.
RADIUS funciona entre dos servidores; el primero se encarga de la autenticacin de los
usuarios mientras que el segundo se encuentra la lista de clientes validados para tener acceso a la red. El proceso consiste en registrar en una base de datos del cliente los datos del
usuario, asignando por cada uno un nombre y contrasea. Cada vez que un usuario tenga la
necesidad de acceder a la red, el servidor RADIUS vericar si es un cliente valido.
En la tesis de [HernndezM.Enrique, 2011] se realiza el diseo de una red inalmbrica en la
Universidad Nacional Autnoma de Mxico, como primer problema a solucionar es evitar
la conguracin de manera manual los equipos de cmputos de los usuarios que pretendan
tener acceso a la red. En donde la infraestructura de la red no tiene la exibilidad para
acceder a la red mediante el uso de equipos porttiles.
En la tesis de [Crdoba T. Anabel, 2010] describe la propuesta e implementacin del diseo
de un Sistema de Seguridad de Control de Acceso con RADIUS congurado en su Sistema
Operativo Linux para controlar la autenticacin de los usuarios en el acceso a una Red de
rea Local Inalmbrica.
30
En la tesis de [Garca, 2012] consiste en el diseo e implementacin de una red LAN y WLAN
con sistema de control de acceso AAA.
Actualmente no se cuenta con un sistema de interfaz grca libre, la cual permita la administracin de los usuarios conectados a una red dentro de una organizacin. Siendo esta
ausencia una de las bases para el desarrollo de un prototipo a construccin y entregable al
nalizar la tesis, permitiendo de esta manera un control ms estricto de los usuarios dentro
de una red.
2.1.1. QNAP
QNAP (Quality Nerwork Appliance Provider) Systems, Inc. (http://www.qnap.com/) es
una organizacin encargada del desarrollo de polticas de seguridad de la informacin, garantizando la condencialidad y disponibilidad de los datos, con la nalidad de proporcionar
rmeza en la continuidad de actividades. Adaptado a las polticas de la empresa, evitando de
alguna manera los ataques a la informacin por dentro o fuera de la organizacin, ejecutando
de manera ecaz el sistema con el objeto de lograr la seguridad de la informacin.
QNAP establece el Sistema de Gestin de Seguridad de la Informacin en una organizacin
para gestionar ecientemente la accesibilidad de la informacin, asegurando la condencialidad, integridad y disponibilidad de los mismos minimizando de esta manera los riesgos de
seguridad de la informacin.
QNAP (alternativa de solucin de paga) cuenta con un servidor RADIUS el cual centraliza
y consolida la autenticacin de los usuarios al mantener una lista de cuentas de usuarios
que estn autorizados para el acceso de manera remota a la red a travs de dispositivos de
conexin telefnica, puntos de acceso Wi-Fi o conexiones VPN.
31
2.1.2. Zentyal
Zentyal (http://www.zentyal.org/) es un servidor Linux para pymes con la nalidad de
aprovechar al mximo su capacidad como servidor de la empresa. Es una alternativa de
cdigo abierto basado en la distribucin Ubuntu.
Zentyal (alternativa de solucin de paga) permite gestionar todos los servicios de red como:
el acceso a internet, seguridad en las redes, intercambio de recursos, infraestructura de red,
etc.. Ofrece una interfaz intuitiva en un navegador web.
Gestiona la infraestructura de la red de manera local con servicios como DHCP, DNS, y
as sucesivamente, integrando el servidor FreeRADIUS, siendo este el servidor RADIUS ms
extentido en entornos Linux. Para realizar la conguracin se debe de especicar en los
Clientes RADIUS deniendo: NAS habilitado, nombre del NAS, direccin IP y la contrasea
compartida.
Zentyal ha tomado la decisin de eliminar una serie de mdulos con el n de centrarse en la
meta de Zentyal Servidor: Ofrece a las pymes un reemplazo nativo del abandono de Linux
para Windows Small Business Server y Microsoft Exchange Server. La fecha del lanzamiento
del nuevo Zentyal fue el 29 de octubre del 2014.
32
Los sistemas cableados presentan distintos problemas como: viabilidad, saturacin de ductos,
crecimientos no planeados, edicios histricos o instalaciones temporales, debido a esto, una
solucin es la implementacin de una red inalmbrica.
Una de las caractersticas de las redes inalmbricas es la eliminacin de los cables para
realizar el envo y recepcin de datos. Una de las mayores ventajas que ofrecen las redes
inalmbricas es la movilidad, permitiendo a los usuarios conectarse por medio de dispositivos mviles, en la actualidad se ha convertido en una necesidad por parte de los usuarios
el mantenerse conectado y comunicado desde cualquier lugar, momento y dispositivo mvil.
Uno de los dispositivos ms utilizados por parte de los usuarios son los telfonos siendo una
de las herramientas ms utilizadas para la conexin y acceso a distintos servicios de manera
satisfactoria.
Las redes inalmbricas no sustituyen a las redes cableadas o jas, siendo estas una extensin
de las redes cableadas.
2.2.1. Denicin
Lo inalmbrico hace referencia a la tecnologa sin cables que nos permite conectar dispositivos entre s para formar una red. [Def1: redes Wi-Fi en entornos Windows / coordinado
por Gustavo Carballeiro. - 1a ed. - Buenos Aires : Fox Andina; Dalaga, 2012. v. 4, 192 p. ;
24x17 cm. - (Seriada)].
Las redes inalmbricas no sustituyen a las redes jas. Ya que las redes cableadas presentan sus ventajas sobre las redes inalmbricas como lo es: el uso de las paredes y pisos de los
edicios para una mayor proteccin de los datos. Las redes inalmbricas ofrecen la movilidad
de los usuarios, adems de permitir el uso de uno o ms equipos [Gast, 2002].
33
Con la aparicin de las redes inalmbricas, los usuarios pueden tener acceso a los servicios de una red sin tener que buscar algn lugar para conectarse. [Def. 3. Users Redes Cisco].
El termino inalmbrico hace referencia a la transmisin y comunicacin entre dispositivos
por medios no guiados.
(Organizacin Interna-
1 ISO
normalizaciones
34
2000].
La especicacin de ISO consisti en denir el conjunto de capas y los servicios que cada
una de ellas debera de realizar.
Como las funciones de cada una de las capas se encuentran denidas, el establecimiento de normas o estndares se puede desarrollar independiente y simultneamente,
35
acelerando el proceso.
Los lmites entre capas se encuentran denidas, los cambios que se realicen en los
estndares para una capa dada no afecta a las otras. Haciendo ms fcil introducir
nuevas normalizaciones.
El termino protocolo se reere al conjunto de reglas o una serie de instrucciones que son
jadas en los acuerdos entre instituciones, las cuales indican la manera correcta de actuar
en determinados eventos.
Para la normas especicas de capa existen 3 elementos claves:
se necesitan normalizaciones para los servicios que cada capa ofrece a la capa superior
contigua. Normalmente, la denicin de los servicios es equivalente a una descripcin
funcional que determina qu servicios se estn proporcionando, pero no cmo se estn
proporcionando.
Direccionamiento:
36
Capa fsica
Se encarga de la interfaz fsica entre los dispositivos, adems dene reglas que
Mecnicas:
Elctricas:
Funcionales:
De procedimiento:
Capa de red
37
Capa de transporte
errores, en secuencia y sin prdidas o duplicaciones. Libera a los protocolos de capas superiores de cualquier cuestin relacionada con la transferencia de datos entre
ellos [Microsoft, 2013].
Proporciona un mecanismo para intercambiar datos entre sistemas nales. El servicio
de transporte orientado a conexin asegura que los datos se entregan libres de errores,
en orden y sin prdidas ni duplicaciones. La capa de transporte tambin puede estar
involucrada en la optimizacin del uso de los servicios de red, proporcionando la calidad del servicio solicitada.
En la arquitectura de protocolos TCP/IP, se han especicado dos protocolos para la
capa de transporte: el orientado a conexin TCP (protocolo de control de la transmisin, Transmission Control Protocol) y el no orientado a conexin UDP (protocolo
de datagrama de usuario, User Datagram Protocol).
La capa de transporte proporciona:
Segmentacin de mensajes
Conrmacin de mensajes
Control de trco de mensajes
Multiplexacin de sesin
Capa de Sesin
sistemas nales. En muchos casos los servicios de la capa de sesin son parcialmente, o
incluso totalmente prescindibles, no obstante en algunas aplicaciones su utilizacin es
ineludible, algunos ejemplos de su funcionamiento son: la programacin sincronizada o
bloqueante, es decir, mientras una entidad transmite o otra escucha, en este lapso de
tiempo no se puede realizar alguna otra actividad hasta que la transmisin se termine,
la sesin no bloqueante o asncrona, en esta modalidad las entidades transmiten sin
38
Control de dilogo:
Agrupamiento:
Recuperacin:
Capa de presentacin
Capa de aplicacin
entorno OSI. Esta capa incluye a las funciones de administracin y en general a los
mecanismos necesarios en la implementacin de las aplicaciones distribuidas. A esta
capa pertenecen las aplicaciones de uso general como: transferencia de cheros, el correo
electrnico y el acceso desde terminales a equipos remotos, entre otras.
2.3.2. UIT-T
La UIT-T (Unin Internacional de Telecomunicaciones) es el organismo especializado de
las Naciones Unidas en el campo de las telecomunicaciones. El Sector de Normalizacin de
las Telecomunicaciones de la UIT (UIT-T) es un rgano permanente de la UIT.
Es un rgano permanente de la Unin Internacional de Telecomunicaciones (UIT), y una
39
5. Equipamiento externo
40
41
Estndar
IEEE
Descripcin
802.11
802.11a
802.11b
802.11i
802.11g
Se ratic en junio del 2003, utilizando 2.4, 485 Ghz a 36 o 54 Mbps. Utilizando OFDM (Multiplexacin por divisin en frecuencias ortogonales).
Aprobado para dar mayor velocidad con cierto grado de compatibilidad
a equipamiento 802.11b
42
802.11n
Es una propuesta de modicacin al estndar IEEE 802.11-2007, velocidad de 600 Mbps pudiendo emplear 2.4 o 5Ghz, agregando Multiple-
Alcanza
una
velocidad
de
1Gbps
an
mayor,
adopta
muchas
2.3.4. Topologas
Las topologas de red son utilizadas para describir la distribucin fsica y lgica de la
red, siendo esta la manera ms comn de conectar los equipos de cmputo permitiendo la
interconexin entre nodos de distintos equipos, mediante la combinacin de estndares y
protocolos.
2.3.4.1. Redes ad-hoc sin infraestructura (IBSS, Independent Basic Service Set)
Los clientes inalmbricos en modo ad-hoc forman un conjunto de servicios bsicos independientes (IBSS). El primer cliente inalmbrico en el IBSS se hace cargo de ciertas responsabilidades en el punto de acceso inalmbrico, una de estas responsabilidades en el proceso
de autenticacin de nuevos clientes.
2 MIMO:
es una tecnologa que usa mltiples antenas transmisoras y receptoras para mejorar el desempeo
del sistema
43
El modelo ad-hoc es utilizado para conectar clientes inalmbricos y los cuales deben de ser
congurados para poder utilizar el modo ad-hoc [Microsoft, 2003].
44
Salto de Frecuencia de Espectro Disperso (FHSS), que cambia las frecuencias portadoras
Las nuevas tecnologas han evolucionando en DSSS con el uso de Orthogonal Frecuency
Division Multiplexing (OFDM). OFDM es una tcnica de modulacin que distribuye los
datos a travs de un codicador de canal que son espaciados en frecuencias precisas para
evitar la interferencia de seal de diversos tipos.
45
(salto de frecuencia) envan uno o ms paquetes de datos en una frecuencia durante un intervalo de tiempo llamada
dwell time
2.3.5.1.1. Ventajas
Los sistemas propietarios pueden ajustar la seleccin de canales.
Los datos pueden ser re-transmitidos por otro salto de frecuencia si es que han sido
corrompidos por interferencias durante su transmisin.
46
2.3.5.1.2. Desventajas
FH puede ser susceptible al ruido durante cualquier salto.
Debido a que no se utiliza una frecuencia ja, la vigilancia ilegal de seales de espectro
disperso es extremadamente difcil, por no decir imposible dependiendo del mtodo
particular. Pero, si se utiliza el estndar 802.11FH, entonces todo tiene una gua, y se
puede conocer la secuencia de saltos y es bastante simple de obtener los datos.
Debido a que cada portador se trata independientemente de los otros, una banda de
guardia de frecuencia debe ser colocado alrededor de ella, disminuyendo la eciencia
de ancho de banda. En algunos sistemas hasta 50 por ciento de la anchura de banda
disponible se desperdicia.
47
El ujo de la informacin a transmitir se divide en trozos pequeos, cada uno de los cuales se
asigna a un canal de frecuencia en el espectro. Una seal de datos en el punto de transmisin
es combinada con una secuencia de velocidad binaria de datos ms alta (tambin conocido
como un cdigo de chipping) que divide los datos de acuerdo con el radio de difusin. El
cdigo chipping redundante ayuda a resistir la interferencia de la seal y tambin permite a
los datos originales ser recuperados si los bits de datos estn daados durante la transmisin.
Para un receptor involuntario, DSSS aparece como el ruido de banda ancha de bajo consumo
y es ignorado por la mayora de los receptores de banda estrecha [Ampere, ].
2.3.5.2.1. Ventajas
Mayor velocidad de datos por punto de acceso (AP).
La gua y los saltos no deben sincronizarse para DS (sin saltos, secuencia directa), lo
cual permite la fcil conguracin de AP, especialmente cuando se compara la administracin de energa contra el tiempo de respuesta (un intervalo promedio corto de gua
para una mejor vida de la batera para los clientes inactivos).
48
2.3.5.2.2. Desventajas
49
2.4. Seguridad
a
Denicin RAE 23
Seguridad: Que asegura algn buen funcionamiento, precaviendo que este falle, se frustre o se violente.
50
2.4.1.1.1. Disponibilidad
abilidad y oportuno acceso a los datos o recursos a usuarios autorizados. Los dispositivos
indispensables para el acceso de la informacin debern de proporcionar una funcionalidad
adecuada para llevar a cabo de una manera aceptable las acciones permitidas.
El acceso de la informacin dentro de una red contiene un determinado nmero de elementos
indispensables para el correcto funcionamiento (routers, switches, servidores, proxy, corta
51
fuegos), en caso de elementos de software es necesario el correcto funcionamiento de los componentes y actualizaciones (sistemas operativos, aplicaciones).
Dentro de las organizaciones se encuentran eventos que pueden afectar de una manera negativa las operaciones de las mismas (incendios, desastres naturales, sismos, inundaciones,
problemas elctricos, robo).
Toda organizacin debe tener en consideracin su entorno operacional y as mismo la disponibilidad en caso de presentarse una eventualidad que pueda afectar el correcto funcionamiento
de la organizacin [Harris, 2013].
La informacin ha de ser disponible para los usuarios autorizados cuando la necesiten. El
programa MAGERIT(Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin) [Javier, 2005] dene la disponibilidad como grado en el que un dato est en el lugar,
momento y forma en que es requerido por el usuario autorizado. Situacin que se produce
cuando se puede acceder a un sistema de informacin en un periodo de tiempo considerado
aceptable. La disponibilidad est asociada a la abilidad tcnica de los componentes del
sistema de informacin. Se aplicarn medidas que protejan la informacin, as como crear
copias de seguridad y mecanismos para restaurar los datos que accidental o intencionadamente se hubiesen daado o destruido. La disponibilidad permitir al personal autorizado
pueda acceder a la informacin [Bertoln, 2008].
2.4.1.1.2. Integridad
52
Una de las maneras ms ecientes de combatir las amenazas dentro de un sistema son los
estrictos controles de acceso.
La seguridad implementada en los sistemas deberan de especicar las capacidades que tiene
cada usuario, reduciendo de est manera el acceso a determinados datos dentro del sistema
evitando de esta manera posibles errores o daos a la informacin por usuarios no autorizados
y con privilegios especcos [Harris, 2013].
2.4.1.1.3. Condencialidad
naza, riesgo y exposicin a menudo se intercambian a pesar de que cada una tiene diferentes
signicados.
53
Vulnerabilidad
54
Amenaza
Una amenaza es cualquier peligro potencial que est asociada con la explotacin
de una vulnerabilidad. La amenaza es alguien o algo que ha identicado una vulnerabilidad especica y podra ser utilizada en contra de la organizacin [Harris, 2013].
En los sistemas de informacin se entiende por amenazas la presencia de uno o ms
factores de diversas ndoles que atacaran al sistema produciendo daos aprovechndose de su nivel de vulnerabilidad. Las diferentes amenazas que pueden presentar los
sistemas de informacin son por ejemplo: cortes elctricos, fallos de hardware, errores
intencionados o no de los usuarios, software malicioso.
Riesgo
naza que aproveche una vulnerabilidad de una organizacin. Si no hay una capacitacin
constante de los usuarios hay una mayor probabilidad de que estos cometan errores y
se presenten perdidas de datos [Harris, 2013].
Exposicin
Control
55
Proteccin de datos
Segmentacin
Monitoreo
Poltica
56
Figura 10 se muestra
En la
57
La autorizacin implica conceder el acceso a los recursos y servicios de red. Antes de realizarse la autenticacin debe ocurrir de manera correcta.
La autorizacin contesta a la pregunta: A qu servicios voy a permitir acceder al solicitante,
una vez autenticado? y est intrnsecamente unida a la autenticacin. Otra denicin es el
acto de determinar si podemos conar un derecho a un solicitante [Fernndez, 2009].
La contabilidad o arqueo es el seguimiento del uso de los recursos de la red por parte de los
usuarios, manteniendo de esta manera un control de acceso a los recursos y en determinado
tiempo.
Una vez realizado el proceso de autorizacin se produce la fase de arqueo o Accounting.
sta es iniciada por el autenticador o NAS (Network Acces Server) tras autorizar el acceso
al suplicante. Es la fase estadstica y de recoleccin de datos sobre la conexin [Fernndez,
2009].
2.5.1.3. Segmentacin
La segmentacin es necesaria en redes de reas grandes para la creacin de subredes
ms pequeas, con lo que se crean grupos ms pequeos de dispositivos y servicios con los
siguientes nes:
Controlar el trco mediante la contencin del trco de broadcast dentro de la subred
2.5.1.4. Monitoreo
Despus de haber diseado e instalado una red inalmbrica, es importante realizar el
monitoreo de la misma. Adems de asegurarse que la red cumpla adecuadamente con la
58
2.5.1.5. Polticas
La poltica de seguridad es un conjunto de leyes, reglas y prcticas que regulan la manera
de dirigir, proteger y distribuir recursos en una organizacin para llevar a cabo los objetivos
de seguridad informtica dentro de la misma.
Las polticas de seguridad denen lo que est permitido y lo que est prohibido, permitiendo
denir los procedimientos y herramientas necesarias, expresan el consenso de los propietarios
y permiten adoptar una buena actitud dentro de la organizacin [de Redes y Seguridad UNAM, ].
Las polticas de seguridad deben de estar claramente denidas y aplicar medidas para la consolidacin de la ecacia de todas. Dentro las cuales se pueden pueden ser: administrativas,
tcnicas y fsicas.
Las administrativas se encuentran orientadas a la gestin, entre los cuales se presentan la
seguridad, riesgos y personal, los tcnicos se encuentran enfocados el los componentes de
software y hardware, mientras que los fsicos son las medidas de seguridad tomadas en el
acceso a los sistemas donde se encuentran almacenada los datos de los usuarios y sistemas.
59
2.5.2.1.1. Clases
clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de
la evaluacin: poltica de seguridad, imputabilidad, aseguramiento y documentacin.
A continuacin se describen los puntos primordiales a evaluar en cada uno de los niveles:
D. Proteccin mmina
No contiene caractersticas de seguridad
60
Aseguramiento mnimo
Requerimiento de privilegios
Capas
Abstraccin
Ocultamiento de la informacin
Documentacin
61
Condencialidad
E0
E1
Se encuentra un objetivo de seguridad y una descripcin informal del diseo arquitectnico del TOE (Target of Evaluation, Objetivo de la Evaluacin). Las pruebas funcionales
aplicables satisfacen los objetivos de la seguridad
E2
Descripcin informal del diseo detallado, evaluando la evidencia de las pruebas funcionales, as como un sistema de control
E3
62
E4
E5
E6
63
5. Requisitos de aseguramiento de la seguridad (SAR). Son las descripciones de las medidas tomadas durante el desarrollo del producto para asegurar el cumplimiento con la
funcionalidad de seguridad especicada.
EAL1:
EAL2:
Aplicable en aquellos casos donde los desarrolladores o los usuarios necesitan un nivel
EAL3:
Se aplica en caso de que los desarrolladores o los usuarios necesitan un nivel moder-
ado de seguridad implantada de forma independiente y cuando se requiere una investigacin a fondo del TOE y ste se desarrolla sin una reingeniera demasiado avanzada.
EAL4:
Aplicable en caso de que los desarrolladores o los usuarios necesiten un nivel moder-
ado alto de seguridad, implementada de forma independiente en los TOE de conformidad convencional y siempre que estn preparados para hacer frente a costes adicionales
especcos de ingeniera de seguridad.
64
EAL5:
Se aplica cuando los desarrolladores o los usuarios necesitan un alto nivel de seguri-
dad, garantizada de forma independente en un desarrollo planicado y cuando se necesite un enfoque de desarrollo riguroso, sin incurrir en costes no razonables, atribuibles
a tcnicas de ingeniera de seguridad muy especializada.
EAL6:
elevado riesgo, donde el valor de los activos protegidos justique los costes adicionales.
EAL7:
tren en situaciones de extremado alto riesgo y/o donde el elevado valor de los activos
justique los costes ms elevados.
Identicacin y autenticacin
Camino conable
Auditora de seguridad
Entrada al TOE
Proteccin fsica
Privacidad
Comunicaciones
65
BS7799-2:1999 Information Security Management. Specication for Information Security Management Systems. Establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certicable por una entidad independiente.
La norma BS7799 establece una ampla gama de temas, de las cuales se describen algunas
a continuacin [Harris, 2013]:
66
Seguridad personal
Control de acceso
ISO/IEC 27001
ISO/IEC 27002
cin
ISO/IEC 27004
ISO/IEC 27005
67
ISO/IEC 27006
ISO/IEC 27011
organizaciones de telecomunicaciones
ISO/IEC 27031
caciones
ISO/IEC 27033-1
La norma ISO/IEC 27000 funciona como las mejores prcticas para la gestin de los controles
de seguridad de manera integral dentro de las organizaciones.
Para la transmisin en una red cableada LAN la estacin debe de estar conectada
sicamente a la red. Mientras que para una red inalmbrica cualquier dispositivo
perteneciente a la misma gama de los dispositivos que pueda realizar la transmisin.
Con la nalidad de recibir una transmisin en una red LAN, la estacin receptora
tambin debe de estar conectada a la misma red para poder recibir seal de transmisin.
Mientras que los dispositivos inalmbricos se encuentren en el rango de radio de alcance
de la seal estos pueden tener acceso a la red.
Las redes cableadas ofrecen un mayor grado de privacidad al acceso de la red ya que
los dispositivo deben de encontrarse directamente conectadas a la red LAN.
68
Estas diferencias entre las redes LAN cabledas e inalmbricas sugieren el aumento de la
necesidad de creacin de mecanismos de seguridad robustos para las redes inalmbricas.
El origen de 802.11 incluye un conjunto de caracteristcas de seguridad para la privacidad
y la autenticacin de los cuales eran muy debiles, una mejora fue el desarrollo de Wired
Equipement Provacy (WEP). El grupo de trabajo 802.11i ha desarrollado un conjunto de
capacidades para hacer frente a los problemas deseguridad de WLAN, entre ellas esta Wi-Fi
Protected Access (WPA) siendo este un conjunto de mecanismo de seguridad la cual elimina
la mayora de los problemas de seguridad de 802.11i [Stallings, 2011].
Autenticacin:
Control de acceso:
69
Una estacin inalmbrica se comunica con su estacin nal en una red cableada a travs
de sus sistemas de distribucin y puntos de acceso.
Descubrimiento:
Un STA utiliza mensajes para identicar una AP para una WLAN con
Autenticacin:
Terminacin de conexin:
70
Habilidad de Seguridad:
reas:
Condencialidad e integridad
Mtodos de autenticacin
Gestin de claves de criptografa
WEP
TKIP
CCMP
Mtodos especicos de los fabricantes
Intercambio:
existencia de una red con la que van a comunicarse. Mientas a que el AP difunde
peridicamente la seal.
71
dad.
Asociacin:
en donde la STA enva un conjunto de claves para ser evaludas por los AP, en caso
de no presentarse ninguna conincidencia el AP niega la peticin de asosiacin a
la red.
Peticin:
las peticiones realizadas por los usuarios que son evaluados por los AP.
72
El servidor AAA responde con un mensaje que es transmitido a la STA. Siendo esta
la solicitud apropiada para el tipo de autenticacin
EAPOL: protege la condencialidad de claves y otros datos brindados por los usuarios
TIKP
Esta diseado para requerir slo cambios de software a los dispositivos que son imple-
mentado con el enfoque de seguridad (WEP) los cuales ofrecen los siguientes servicios:
73
CCMP
Esta dirigido a los nuevos dispositivos IEEE802.11 ofreciendo los siguientes servi-
cios:
Integridad el mensaje
Condencialidad de los datos
RADIUS
DIAMETER
TACACS
2.7.1. RADIUS
RADIUS es un servicio o demonio que se ejecuta en una de las mltiples plataformas
que permite (Unix, GNU/Linux, Windows, Solaris...) y que permanece de forma pasiva a la
escucha de solicitudes de autenticacin hasta que estas se producen [Fernndez, 2009]. Para
ello utiliza el protocolo UDP y permanece a la escucha en los puertos 1812 o 1645 para la
autenticacin y 1813 o 1646 para el arqueo.
RADIUS est basado en un modelo cliente-servidor, ya que RADIUS escucha y espera de
74
forma pasiva las solicitudes de sus clientes o NAS, a las que responder de forma inmediata.
Para ello utiliza el protocolo UDP y permanece a la escucha en los puertos 1812 o 1645 para
la autenticacin y 1813 o 1646 para el arqueo.
RADIUS est basado en un modelo cliente-servidor, ya que RADIUS escucha y espera de
forma pasiva las solicitudes de sus clientes o NAS, a las que responder de forma inmediata
[Microsoft, ].
75
2.7.2. TACACS+
Es un protocolo de segunda generacin basado en AAA, y se aloja principalmente en
equipos CISCO, ya que es un protocolo propietario de CISCO y no est abierto a otros
fabricantes [Fernndez, 2009]. Algunas caractersticas de TACACS+ son:
2.7.3. Diameter
Es un protocolo de segunda generacin, cien por ciento basado en AAA, que como posible sucesor de RADIUS pretenda mejorar todas sus carencias y puntos dbiles. Una de sus
premisas ms importantes en su diseo fue que tena que ser compatible con RADIUS para
que pudiera asumir todas las instalaciones en forma de migracin [Fernndez, 2009]. Diameter
mejora RADIUS en muchos aspectos como la gestin de las comunicaciones mediante SCTP
(Stream Control Transmission Protocol), previendo de una forma muy adecuada el timeout
en los envos de mensaje y en la bsqueda de rutas alternativas hacia el servdor o servidores.
Diameter rma los mensajes mediante un cdigo de tiempo, que impide duplicidades en la
76
Equipos utilizados
Gestin de la red
Alcance de la seal
La metodologa Top-Down Network Desing se compone de 4 Fases, para el diseo de redes:
Analisis de Negocios Objetivos y limitaciones: identicando objetivos y necesidades de
los clientes
Diseo lgico: se lleva a cabo el diseo de la topologa de red, modelo de direccionamiento y nombramiento, as mismo seleccin de protocolos a utilizar
Diseo Fsico: seleccin de las tecnologas y dispositvos especicos que darn satisfaccin a los requerimientos tcnicos
77
La metodologa de desarrollo con CISCO utiliza el llamado ciclo de vida de redes PDIOO
(Planicacin Diseo Implementacin Operacin Optimizacin).
78
Captulo 3
Diseo de la solucin hardware y
software
La Universidad del Istmo presenta la necesidad de extender la infraestructura de red con
la que cuenta, la cual permitir el mantener un mayor nmero de usuarios de la Internet
conectados con la nalidad de realizar sus actividades escolares.
Las limitaciones de presupuesto limitan a la Universidad a realizar la implantacin de una
infraestructura inalmbrica para mantener conectados a los usuarios de la Red.
Para la Universidad se presenta la propuesta de implementacin de una red inalmbrica que
ofrezca los servicios de Internet, controlando el acceso de los usuarios a la red por medio
de la autenticacin para el control de acceso y monitoreo de la red, tomando en cuenta y
desarrollada bajo las polticas denidas por la misma institucin educativa.
Para la implementacin de la infraestructura inalmbrica se recurrieron a las metodologas
Top-Down Network Desing y la metodologa de desarrollo con CISCO, estas metodologas
permitirn el desarrollo de la infraestructura y topologa de la red inalmbrica.
El Top-down Network Design es una disciplina que surgi del xito que se tuvo con la
programacin estructurada de software y el anlisis de sistemas estructurados. El objetivo
79
principal es representar con una mayor precisin las necesidades de los usuarios, los cuales
en la mayora de los casos estos se encuentran mal-interpretados o ignorados. El objetivo
de realizar un proyecto o sistema a realizar sea manejable dividindolo en mdulos que se
puedan mantener y realizar modicaciones con mayor facilidad [Oppenheimer, 2011].
3.1. Metodologa
La metodologa a utilizar para el desarrollo de la red inalmbrica es una hbrida, ya que
se toma parte de dos metodologas la cuales son: Top-Down Network Design y la metodologa
de desarrollo con CISCO, en la cual se toman puntos sobresalientes de estas.
Se identicar los
Fase de diseo
Diseo lgico
80
Diseo Fsico
Diseo Interfaz
Implementacin de prototipo
Fase de pruebas
Durante esta fase, los errores son detectados y corregidos, antes que
81
82
Las credenciales vinculadas con un equipo no podrn ser utilizadas por otro alternativo,
ya que para cada uno de los equipos registrados se crea una credencial especica.
83
Concurrent Access Point (Punto de Acceso Concurrente) siendo estos los dispositivos que
permitirn el acceso a internet a los usuarios registrados en la red.
Los 4 puntos estratgicos en donde estarn colocadas las antenas para una mayor cobertura
son:
Edicio 1:
Sala Audiovisual:
Centro de Idiomas:
Edicio Habitacionales:
Dentro del objetivo que persigue el sistema de red inalmbrica es el abarcar el mayor rea
posible dentro de la Universidad del Istmo. Para la implementacin de la red inalmbrica
en la Universidad se recure a la metodologa de ad-hoc en la particularidad de punto a
multipunto ya que se cuenta con 4 antenas con las cuales se estar realizando la propagacin
de la red inalmbrica. Los dispositivos utilizados para la implementacin de la red fueron
necesarios ser congurados con los mismos datos para poder realizar la comunicacin entre
ellos.
84
Antena 1 (Principal):
Latitud: 95 7 21.89 O, a 15 metros de altura y su orientacin ser los 30 . La conexin a su dispositivo POE (Power Over Ethernet) se realizar con 30 metros de cables
UTP, el cual estar ubicado en el interior del departamento de redes, que se encuentra
ubicada a 8.3 metros de distancia, mismo lugar donde se har la conexin del cable de
red principal y la conexin a la energa elctrica.
Antena 2:
(en el techo) del Centro de Idiomas y ajustada en tubo conduit de 1.5 de 2 metros de
longitud con la nalidad de tener una mayor altura y evitar interferencia con los rboles
que se encuentran alrededor en los reas verdes. Dicha antena deber ser ubicada en las
coordenadas Longitud: 16 33 40.41 N, Latitud: 95 7 20.85 O, teniendo una altura total
de 8 metros y su orientacin ser de 240 absolutos. La conexin a su dispositivo POE
(Power Over Ethernet) se har con 12 metros de cable UTP, el cual estar ubicado
en el interior del cubculo anexo a la enfermera, mismo lugar de donde se la conexin
a la energa elctrica. La antena estar congurado en modo Bridge a 2.4 GHz de
frecuencia, para hacer un enlace con la Antena3, por cuestiones de larga distancia.
Antena 3:
Antena 4:
85
(techo) del Edicio de aulas y ajustada al concreto del edicio, el cual deber ser
instalado en las coordenadas Longitud: 16 33 41.18 N, Latitud: 95 7 24.51 O, teniendo
una altura total de 10 metros y su orientacin ser de 100 absolutos. La conexin a
su dispositivo POE (Power Over Ethernet) se har con 23 metros de cable UTP, el
cual estar ubicado en el interior del edicio, mismo lugar de donde se la conexin a
la energa elctrica.
AP1/C1 :
Concurrent Access Point marca EnGenius. Estar ubicada en el interior del Lab-
AP2/C2 :
Concurrent Access Point marca EnGenius. Estar ubicada en el interior del Edi-
86
SSID: Red_Unistmo
AP3/C3 :
Concurrent Access Point marca EnGenius. Estar ubicada en el interior del aula
87
88
radius.conf
include.
Es necesario, editar el archivo que se encuentra en /etc/raddb/radiusd.conf, y descomentar la lina $INCLUDE sql.conf,para permitir la conexin del servidor con el gestor
de base de datos MySQL, como se puede ver en la Figura 15 y Figura 16.
Users
89
clients.conf
eap.conf
90
Para el uso del gestor es necesario crear una base de datos de Radius, sus tablas y campos
relacionados. Una de las ventajas que ofrece Freeradius es la incorporacin de los scripts SQL
necesarios para poder automatizar la tarea.
En la Figura 20, se puede observar la linea de comando para acceder al gestor de base de
datos de manera consola para poder realizar la creacin de la base de datos con la sentencia:
CREATE DATABASE
radius ;
91
Figura 3.9: Comando para entrar al modo consola al gestor de base de datos
mysql
u r a d i u s p r o o t
radius
<
/ e t c / raddb / s q l / mysql / c u i . s q l ;
mysql
u r a d i u s p r o o t
radius
<
/ e t c / raddb / s q l / mysql / i p p o o l . s q l ;
mysql
u r a d i u s p r o o t
radius
<
mysql
u r a d i u s p r o o t
radius
<
mysql
u r a d i u s p r o o t
radius
<
/ e t c / r a d d b / s q l / m y s q l / wimax . s q l ;
En la Figura 21, se puede observar las tablas creadas con los comandos anteriores.
92
Una vez teniendo las tablas en la base de datos el siguiente paso es editar el archivo de
conguracin el cual nos permitir realizar la conexin con el servidor MySQL.
Connection
server
info :
#p o r t
3306
login
password
Set
Clients
# and
# be
to
to
ONLY
security
done
read
be
reasons ,
while
radius
read
clients
on
server
finding
the
from
startup .
clients
server
is
the
via
SQL
database
For
table )
performance
queries
CANNOT
running .
#
#r e a d c l i e n t s
Table
Set
Clients
# and
# be
to
to
yes
keep
to
read
ONLY
security
done
radius
be
reasons ,
while
client
info
radius
clients
read
on
server
finding
the
from
startup .
clients
server
is
the
via
SQL
database
For
table )
performance
queries
CANNOT
running .
#
readclients
Table
to
yes
keep
radius
client
info
Opcionalmente se puede congurar el servidor Radius para que cree un registro en la base
de datos cada vez que se produzca un intento fallido de autenticacin por parte los usuarios.
93
De esta manera permite realizar una auditora de los intentos de acceso ilcito a la red de la
Universidad. Para realizarlo de manera satisfactoria se debe de aadir lneas de conguracin
de sentencias SQL que necesita interpretar Freeradius, de tal manera que se produzca una
entrada a la base de datos cada vez que se produzca un evento de este tipo. Las lneas de
conguracin son agregadas al nal del archivo
{
path
" $ { r a d a c c t d i r }/ s q l
acct_table
r e l a y "
postauth_table
sql_user_name
= " %{ %{U s e r
#
#
Setting
this
written
to
as
being
to
the
will
file .
potentially
allow
UTF
Otherwise ,
characters
they
are
to
be
escaped
invalid .
#
utf8
Start
no
"INSERT INTO
NASIPAddress ,
FramedIPAddress ,
AcctSessionTime ,
' %{ U s e r
' ,
Stop
'0 ' ,
Name } ' ,
'0 ' ,
' %S ' ,
Alive
Name } ' ,
' %{ A c c t
A d d r e s s } ' ,
' %{NAS IP
VALUES
UserName ,
AcctStopTime ,
( ' %{ A c c t
S e s s i o n I d } ' ,
IPA d d r e s s } ' ,
' %{Framed
${ acct_table }
( AcctSessionId ,
' %S
AcctStartTime ,
AcctTerminateCause )
VALUES
UserName ,
AcctStopTime ,
( ' %{ A c c t
S e s s i o n I d } ' ,
' %{NAS IP
"INSERT INTO
NASIPAddress ,
AcctStartTime ,
AcctTerminateCause )
FramedIPAddress ,
AcctSessionTime ,
' %{ U s e r
( AcctSessionId ,
"INSERT INTO
NASIPAddress ,
${ acct_table }
${ acct_table }
FramedIPAddress ,
94
( AcctSessionId ,
AcctStartTime ,
UserName ,
AcctStopTime ,
'0 ' ,
AcctSessionTime ,
' %{ U s e r
'0 ' ,
Post
Name } ' ,
' %{ A c c t
Auth
A d d r e s s } ' ,
' %{NAS IP
VALUES
( ' %{ A c c t
S e s s i o n I d } ' ,
IPA d d r e s s } ' ,
' %{Framed
'0 ' ,
"INSERT INTO
authdate )
} ' ,
AcctTerminateCause )
VALUES
${ postauth_table }
( ' %{ U s e r
' %{ r e p l y : P a c k e t
Name } ' ,
Type } ' ,
( username ,
' %{ U s e r
pass ,
reply ,
P a s s w o r d : ChapP a s s w o r d
Para que se produzca la entrada a la base de datos se debe de ingresar la orden que
ser ejecutado por MySQL cada vez que se presente una autenticacin fallida, el archivo
a modicar se encuentra ubicado en
AuthType
log
failed
REJET{
authentications
in
SQL ,
too
sql
attr_filter . access_reject
}
95
openssl.conf
almacenado en el directorio
/etc/pki/tls.
####################################################################
[
ca
default_ca
CA_default
# The
default
ca
section
####################################################################
[
CA_default
dir
/ e t c / p k i /CA
# Where
everything
is
certs
$dir / certs
# Where
the
issued
certs
crl_dir
$dir / crl
# Where
the
issued
crl
database
database
no
Set
several
#u n i q u e _ s u b j e c t
to
index
' no '
to
kept
are
are
kept
kept
file .
allow
ctificates
creation
with
same
.
new_certs_dir
$dir / newcerts
certificate
$ d i r / c a c e r t . pem
# The CA
96
default
place
for
certificate
new
certs .
of
subject
serial
$dir / s e r i a l
# The
current
serial
crlnumber
$ d i r / crlnumber
current
crl
the
# must
be
number
number
commented
out
to
leave
V1
CRL
crl
$ d i r / c r l . pem
# The
current
CRL
private_key
$ d i r / p r i v a t e / c a k e y . pem# The
private
key
RANDFILE
$ d i r / p r i v a t e / . rand
x509_extensions
usr_cert
# The
# Comment
#
( and
out
highly
the
following
broken )
two
lines
for
private
the
random
extentions
number
file
to
to
add
the
cert
format .
name_opt
ca_default
Subject
Name
cert_opt
ca_default
Certificate
options
field
options
97
req
prompt
no
distinguished_name
certificate_authority
default_bits
2048
input_password
whatever
output_password
whatever
x509_extensions
= v3_ca
[ certificate_authority ]
countryName
= FR
stateOrProvinceName
Radius
localityName
Somewhere
organizationName
Example
emailAddress
admin@example . com
commonName
" Example
subjectKeyIdentifier
hash
authorityKeyIdentifier
k e y i d : always , i s s u e r : always
basicConstraints
= CA : t r u e
Inc .
Certificate
Authority "
[ v3_ca ]
98
make ca.der.
input_password
req
prompt
no
distinguished_name
server
default_bits
2048
input_password
whatever
output_password
whatever
[ server ]
countryName
= FR
stateOrProvinceName
Radius
localityName
Somewhere
organizationName
Example
emailAddress
bob@example . com
commonName
" Example
Inc .
Server
Certificate "
make serv-
er.pem. En caso de necesitarse la autenticacin de usuarios con equipos con sistema operativo Windows XP es neceario realizar la siguiente instruccinmake server.csr.
99
client.cnf
se realiza la conguracin de los datos del nuevo usuario que tendr acceso a la
red inalmbrica.
Los datos a ingresar son:
input_password
output_password
emailAddress
commonName
[
req
prompt
no
distinguished_name
client
default_bits
2048
input_password
bob
output_password
bob
[ client ]
countryName
= FR
stateOrProvinceName
Radius
localityName
Somewhere
organizationName
Example
emailAddress
bob@example . com
commonName
bob
Inc .
100
Una vez teniendo congurado estos parmetros dentro el archivo se realiza la contruccin del
certicado mediante la sentencia
certicado a la mquina del usuario para que este pueda tener acceso a la red inalmbrica.
Actores
Casos de uso
Adminitrador de redes
Registro usuarios
Eliminacin de usuarios
Modicacin de usuarios
Lista de usuarios
Registro de grupos
101
Eliminacin de grupos
Modicacin de grupos
Lista de grupos
Actores
Descripcin
Adminitrador de redes
Es la persona encargada de llevar a cabo el control del departamento de redes, siendo esta la encargada de realizar la
administracin de los usuarios del sistema propuesto
102
Caso de uso
Descripcin
Registro usuarios
Eliminacin de usuarios
Modicacin de usuarios
El sistema permitir modicar a los usuarios que se encuentran utilizando el sistema de internet inalmbrico
Lista de usuarios
Registro de grupos
El
sistema
permitir
la
creacin
de
grupos
los
que
Modicacin de usuarios
Lista de grupos
DIUS
103
DIUS
dos
dos fallidos
Caso de uso
Lista Usuarios
Actor
Disparador
Pre-condiciones
104
Flujo principal
El
administrador
deber
de
presionar
sobre
el
enlace
Usuarios->Lista de Usuarios
Flujo alternativo
Post-condiciones
Excepciones
Caso de uso
Nuevo Usuario
Actor
Disparador
Pre-condiciones
Flujo principal
105
Flujo alternativo
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para registrar los datos del nuevo usuario a crear
En caso de ya existir el usuario el sistema no realizar la alta
del mismo
En caso de no existir el nuevo usuario el sistema realizar la
alta del nuevo usuario
Excepciones
Caso de uso
Edicin de Usuarios
Actor
Disparador
Pre-condiciones
106
Flujo principal
Flujo alternativo
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para la bsqueda del usuario, as mismo el formulario
para la modicacin del mismo.
En caso de existir el usuario el sistema mostrar los datos de
los usuarios para la modicacin
En caso de no existir el usuario el sistema mostrar un mensaje de Usuario no existe
Una vez modicado los datos del usuario el administrador
deber de presionar el botn Guardar
107
Excepciones
Caso de uso
Eliminar Usuarios
Actor
Disparador
Pre-condiciones
Flujo principal
Flujo alternativo
108
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para la bsqueda del usuario, as mismo el formulario
para la vericacin de los datos de los mismos
En caso de existir el usuario el sistema mostrar los datos de
los usuarios para la vericacin antes de la eliminacin
En caso de no existir el usuario el sistema mostrar un mensaje de Usuario no existe
Una vez vericado los datos del usuario el administrador deber de presionar el botn Eliminar
Excepciones
Caso de uso
Lista de Grupos
Actor
Disparador
Pre-condiciones
109
Flujo principal
Flujo alternativo
Post-condiciones
Excepciones
Caso de uso
Nuevo Grupo
Actor
Disparador
Pre-condiciones
Flujo principal
110
ternativo
Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar el formulario para registrar los datos del nuevo grupo a crear
En caso de ya existir el grupo el sistema no realizar la alta
del mismo
En caso de no existir el nuevo grupo el sistema realizar la
alta del nuevo grupo
Excepciones
Caso de uso
Modicacin Grupo
Actor
Disparador
Pre-condiciones
111
Flujo principal
Flujo alternativo
Post-condiciones
112
Excepciones
Caso de uso
Eliminar Grupo
Actor
Disparador
Pre-condiciones
Flujo principal
Flujo alternativo
113
Post-condiciones
Excepciones
Caso de uso
Actor
Disparador
114
Pre-condiciones
Flujo principa
Flujo alternativo
Post-condiciones
Excepciones
El sistema no podr mostrar la lista de clientes Radius registrados en el sistema sin antes no haber presionado sobre el
enlace
Cuadro 3.12: Lista cliente RADIUS
Caso de uso
Actor
Disparador
Pre-condiciones
115
Flujo principal
Flujo alternativo
Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar el formulario para registrar los datos del nuevo cliente Radius a
crear
En caso de ya existir el cliente Radius el sistema no realizar
la alta del mismo
En caso de no existir el nuevo cliente Radius el sistema realizar la alta del nuevo cliente Radius
Excepciones
116
Caso de uso
Actor
Disparador
Pre-condiciones
Flujo principal
Flujo alternativo
117
Post-condiciones
Una vez presionado sobre el link el sistema mostrar el formulario para la bsqueda del cliente Radius, as mismo el
formulario para la modicacin del mismo.
En caso de existir el cliente Radius el sistema mostrar los
datos de los usuarios para la modicacin
En caso de no exitir el cliente Radius el sistema mostrar un
mensaje de Grupo no existe
Una vez modicado los datos del cliente Radius el administrador deber de precionar el botn Guardar
Excepciones
Caso de uso
Actor
Disparador
Pre-condiciones
118
Flujo principal
Flujo alternativo
Post-condiciones
Una vez presionado sobre el enlace el sistema mostrar el formulario para la bsqueda del cliente Radius, as mismo el
formulario para la vericacin de los datos del mismo
En caso de existir el cliente Radius el sistema mostrar los
datos para la vericacin antes de la eliminacin'newline En
caso de no existir el cliente Radius el sistema mostrar un
mensaje de Cliente Radius no existe
Una vez vericado los datos del cliente Radius el administrador deber de presionar el botn Eliminar
119
Excepciones
Caso de uso
Intentos Fallidos
Actor
Disparador
Pre-condiciones
Flujo principal
Flujo alternativo
Post-condiciones
Excepciones
Caso de uso
Intentos Autenticados
Actor
Disparador
Pre-condiciones
Flujo principal
Flujo alternativo
Post-condiciones
Excepciones
121
122
123
124
125
126
127
128
129
130
Captulo 4
Pruebas de desempeo y seguridad
El Protocolo de Autenticacin Extendible Protegido (PEAP) utiliza certicados del lado
del servidor para la validacin del Servidor Radius, de esta manera cuando se presenta un
ataque al servidor, realiza la una validacin de manera interna con la nalidad de realizar la
validacin de los certicados del servidor y cliente.
Con la nalidad de identicar los posibles ataques con certicados de clientes falsos.
En Tunel-EAP Transport Layer Security (EAP-TTLS) el servidor realiza la autenticacin
de los certicados con los clientes. Existen multiples opciones de autenticacin que pueden
ser utilizados por estemtodo de autenticacin.
A continuacin se presentan unos puntos importantes a considerar en la creacin de una red
inalmbrica.
131
Si se pretende utilizar PEAP o EAP-TTLS con WPA2-Enterprise, se debe de asegurar que se realice la validacin de los certicados, siendo el servidor quin realiza la
certicacin de los clientes que intenten autenticarse.
Una de las diferencias de la metodologa que se utiliza para las pruebas de penetracin inalmbrica, son las actividades que se realizan en cada una de las fases. En terminos generales
se puede realizar el ejercicio en las siguientes fases [Ramachandran, 2011]:
Planicacin
Profundidad de las pruebas teniendo esta su base en los requisitos del sistema
Descubrimiento
132
Ataque
Clientes no autorizados
Infraestructura
Presentacin de informes
Se realiza el informe de todas las vulnerabilidades de seguridad encontradas, teniendo en consideracin los siguientes puntos:
Descripcin de la vulnerabilidad
Gravedad
Dispositivos afectados
Soluciones provisionales
Recomendaciones
133
134
Captulo 5
Conclusiones y trabajos futuros
5.1. Conclusiones
Con la realizacin de este proyecto de tesis se desarrollaron los siguientes puntos en
relacin a las redes inalmbricas:
Conceptos y deniciones
135
El tener una identidad que te diferenca de los dems y gracias a esa diferencia se permite
tomar desiciones en diferentes roles dentro de las sociedades.
Todo se presenta en la vida fsica, mientras que el medio virtual como lo es la Internet
que se encuentra presente en gran parte de nuestras vidas, presentandose de est manera la
PROPUESTA DE IMPLEMENTACIN DE RED INALMBRICA CON CONTROL DE
USUARIOS PARA LA UNIVERSIDAD DEL ISTMO, CAMPUS IXTEPEC.
Linux junto con FreeRADIUS son dos herramientas que permiten est implementaci de
manera efectiva y segura para los usuarios que se encontrarn utilizando el sistema.
136
Captulo 6
Apendice A: radius.conf
#
text
##
##
radiusd . conf
FreeRADIUS
server
configuration
file .
##
##
h t t p : / /www . f r e e r a d i u s . o r g /
##
$Id$
##
######################################################################
#
#
Read
"man
titled
obtain
trouble .
radiusd "
before
DEBUGGING .
the
It
editing
outlines
configuration
you
this
method
want ,
file .
where
without
See
the
section
you
can
quickly
running
into
#
#
Run
the
server
in
debugging
mode ,
and READ
the
output .
#
#
radiusd
#
#
We
cannot
emphasize
this
point
strongly
137
enough .
The
vast
majority
of
debugging
and
problems
output ,
suggestions
can
which
for
how
be
solved
by
carefully
includes
warnings
they
be
may
reading
about
common
the
issues ,
fixed .
#
#
There
may
be
will
lot
of
usually
be
output ,
but
"reject ",
enough
to
or
guide
look
carefully
to
for
The
words
messages
solution .
the
mailing
like :
there
#
#
If
you
are
explain
debugging
of
the
to
" post
going
what
you
mode
ask
are
to
of
to
X) .
your
output
question
trying
( radiusd
responses
the
to
on
do ,
and
Failure
question
radiusd
include
to
will
do
be
list ,
the
so
output
means
people
then
from
that
telling
all
you
X " .
######################################################################
#
#
The
in
location
this
of
other
config
files
and
logfiles
are
declared
file .
#
#
Also
general
file ,
it .
it
is
configuration
exported
for
through
modules
the
API
can
to
be
done
modules
in
that
this
ask
for
#
#
See
"man
file .
documented
in
the
As
of
in
the
See
Note
that
in
the
that
for
documentation
individual
"man"
page .
on
the
format
configuration
items
They
documented
are
only
are
of
this
NOT
here ,
comments .
#
2.0.0 ,
FreeRADIUS
"man
unlang "
for
supports
138
simple
processing
language
etc .
sections .
prefix
/ usr
exec_prefix
sysconfdir
=
=
/ etc
localstatedir
sbindir
logdir
=
=
/ usr
/ var
/ usr / sbin
$ { l o c a l s t a t e d i r }/ l o g / r a d i u s
raddbdir
radacctdir
$ { s y s c o n f d i r }/ raddb
=
$ { l o g d i r }/ r a d a c c t
#
#
name
name =
of
the
running
server .
See
also
Location
of
config
and
l i n e
command
option .
logfiles .
${ raddbdir }
run_dir
$ { l o c a l s t a t e d i r } / r u n / $ { name }
Should
db_dir
n "
"
radiusd
confdir
the
likely
be
$ { l o c a l s t a t e d i r }/ l i b / r a d i u s d
${ raddbdir }
#
#
libdir :
Where
to
find
the
rlm_
should
be
automatically
modules .
#
#
This
set
at
configuration
time .
#
#
If
the
with
directive
to
work
The
is
usually
system
an
server
builds
' undefined
and
installs ,
symbol '
around
error ,
the
but
then
fails
you
at
can
execution
use
the
time
libdir
problem .
#
cause
in
place
that
where
library
has
the
dynamic
linker
139
been
installed
CANNOT
find
on
it .
your
When
executing
as
root
be
up
to
allow
executing
as
personalized
set
( or
another
the
user ) ,
dynamic
daemon ,
your
linker
personal
to
find
the
have
e n v i r o n m e n t MAY
library .
the
When
same
configuration .
#
#
To
work
and
around
add
the
with
colon
e .g.
libdir
the
problem ,
directory
find
out
containing
separating
the
which
that
directory
library
library
names .
to
contains
the
NO
end
spaces
of
are
that
#
#
#
#
You
can
in
If
that
server
also
script
try
which
setting
the
starts
the
LD_LIBRARY_PATH
environment
variable
server .
#
does
to
not
NOT
work ,
use
then
shared
you
can
libraries ,
re
c o n f i g u r e
and
re
b u i l d
via :
#
#
./ configure
make
make
d i s a b l e s h a r e d
install
#
libdir
/ usr / l i b / f r e e r a d i u s
pidfile :
Where
to
place
the
be
signalled
PID
of
the
RADIUS
server .
#
#
#
The
server
may
while
it ' s
running
by
using
file .
#
#
This
file
is
written
when ONLY
running
in
daemon
mode .
#
#
e .g .:
kill
HUP
` cat
140
this
symbol ,
the
pidfile
$ { r u n _ d i r } / $ { name } . p i d
chroot :
directory
where
the
server
does
#
#
The
chroot
is
done
After
the
below
( which
to
that
in
chroot
has
MUST
group ,
very
early
been
be
in
the
performed
specified ) .
process
it
If
of
switches
too .
Any
other
groups
are
also
added
as
starting
is
listed
part
of
to
the
server .
specified ,
for
this
the
the
listed
it
switchs
specified
process .
#
#
The
current
chroot
the
modules
means
working
until
all
of
the
directory
have
that
directory
been
it
( chdir
modules
to
be
should
be
have
left
initialized ,
cd )
been
outside
it
does
impossible
to
is
initialized .
of
outside
left
the
chroot .
break
out
This
to
of
of
the
allows
Once
the
${ l o g d i r } .
the
This
chroot .
#
#
If
you
then
end
are
worried
simply
be
sure
about
ensure
to
do
that
" cd
security
the
issues
raddb "
BEFORE
related
directory
to
is
this
inside
starting
the
then
only
use
of
of
the
chdir ,
chroot ,
server .
#
#
If
the
server
to
exist
" cd
inside
in
raddb "
of
is
the
as
the
statically
chroot
are
discussed
chroot
linked ,
${ run_dir }
above ,
then
directory ,
the
and
files
${ l o g d i r } .
the
the
u s e r / group
that
If
you
directory
has
have
do
the
to
be
too .
#
#c h r o o t
/ path / t o / c h r o o t / d i r e c t o r y
u s e r / group :
The
name
( or
#number )
of
to
run
radiusd
as .
#
#
If
these
that
MUST
are
commented
started
it .
In
be
have
root
or
out ,
order
root
the
to
server
change
privleges
141
will
to
)
a
to
run
as
the
different
start
the
u s e r / group
u s e r / group ,
server .
you
#
#
We STRONGLY recommend
as
possible .
user
and
That
group
that
is ,
items
if
you
run
you ' r e
below
the
not
should
server
using
be
set
with
shadow
to
as
few
permissions
passwords ,
the
radius ' .
#
#
#
NOTE
that
some
kernels
( u ns i g n ed ) group
is
On
shadow
refuse
above
to
60000;
s e t g i d ( group )
don ' t
use
when
group
the
nobody
value
on
of
these
systems !
#
#
systems
the
with
for
server
authenticate
that
shadow
the
to
be
users
and
able
while
debugging
info ,
passwords ,
mode
the
to
in
read
debug
server
user
might
the
shadow
mode ,
is
listed
you
but
running
below
have
set
password
' group
file .
not
in
daemon
user
that
as
can
to
If
mode ,
can
shadow '
you
it
read
can
may
be
the
not .
#
#
The
It
for
server
will
will
join
some
also
all
finer
try
groups
g r a i n e d
to
use
where
access
is
to
read
member .
/ e t c / groups .
This
can
allow
controls .
#
user
group
radiusd
radiusd
max_request_time :
The
maximum
time
( in
than
this
seconds )
to
handle
request .
may
killed ,
#
#
Requests
which
message
REJECT
take
more
is
time
to
process
be
and
returned .
#
#
WARNING:
If
then
this
used
to
This
problem
more
than
you
notice
MAY INDICATE
handle
that
a
requests
take
in
time
one
of
to
be
bug
in
the
OR
in
your
local
configuration .
seen
when
using
an
request ,
server ,
long
the
handled ,
modules
is
most
second
or
often
two
to
receive
an
142
answer
SQL
database .
from
the
SQL
If
it
takes
database ,
then
SQL
it
probably
server
means
that
documentation
you
for
haven ' t
more
indexed
the
database .
See
your
information .
#
#
Useful
range
of
values :
to
120
#
max_request_time
cleanup_delay :
reply
which
30
The
was
time
sent
to
to
wait
the
( in
seconds )
before
cleaning
up
NAS .
#
#
The
RADIUS
of
lost
re
cached
time ,
request
after
is
the
normally
reply
is
cached
sent
to
NAS
internally
the
in
the
network ,
and
the
will
s e n d
the
request ,
and
the
set
too
low ,
then
detected ,
and
will
instead
too
high ,
server
NAS .
not
will
see
for
short
The
reply
it .
The
respond
period
packet
NAS
quickly
may
will
with
be
then
the
reply .
#
#
#
If
this
value
MAY NOT b e
is
duplicate
be
requests
handled
as
from
the
seperate
NAS
requests .
#
#
If
this
value
requests ,
is
and
set
some
new
then
the
server
may
get
blocked .
requests
will
cache
( See
too
many
#
#
Useful
range
of
values :
to
10
#
cleanup_delay
max_requests :
track
e .g.
of .
With
The
This
4
maximum
should
clients ,
be
this
number
256
of
requests
multiplied
number
should
by
be
which
the
the
number
server
of
keeps
clients .
1024.
#
#
If
this
number
it
will
not
is
too
respond
to
low ,
any
then
new
when
the
requests ,
143
server
until
becomes
the
busy ,
time
has
passed ,
and
it
has
removed
the
old
requests .
#
#
#
If
this
memory
number
for
is
set
too
high ,
no
real
benefit .
aren ' t
sure
what
then
the
server
set
to ,
will
use
bit
more
#
#
If
you
too
high
the
highest
than
too
it
it
low .
should
should
Setting
be
it
to
1000
it ' s
per
better
client
to
is
set
it
probably
be .
#
#
Useful
range
of
values :
256
to
infinity
#
max_requests
1024
listen :
Make
replies
out
hosts
with
the
server
from
that
multiple
listen
address .
IP
on
This
particular
directive
IP
is
addresses
on
one
to
on
additional
address ,
most
and
useful
send
for
interface .
#
#
If
you
want
additionnal
the
server
ports ,
you
listen
can
use
multiple
addresses ,
or
sections .
for
only
one
type
accounting
have
to
on
#
#
Each
section
make
the
server
therefore
authentication
different
sections .
and
listen
be
of
packet ,
configured
in
#
#
The
on
server
the
ignore
command
all
section
if
you
are
using
line .
#
listen
{
#
Type
of
Allowed
packets
values
to
listen
for .
are :
auth
listen
for
authentication
acct
listen
for
accounting
144
packets
packets
'
'
and
'
p '
proxy
IP
detail
Read
to
use
for
sending
from
the
detail
raddb / s i t e s
status
listen
see
coa
file .
Status
raddb / s i t e s
S e r v e r
CoA
packets .
raddb / s i t e s
For
examples ,
see
For
packets .
For
examples ,
a v a i l a b l e / s t a t u s
R e q u e s t
for
packets
a v a i l a b l e / c o p y a c c t t o home s e r v e r
for
listen
proxied
and
examples ,
Disconnect
see
the
R e q u e s t
file
a v a i l a b l e / c o as e r v e r
#
type
auth
Note :
" type
proxy "
proxying
lets
packets ,
you
with
control
some
the
source
IP
used
for
limitations :
#
#
You
should
Any
proxy
listener
CANNOT b e
probably
set
used
" port
configuration
in
virtual
server
section .
0".
will
be
ignored .
#
#
See
also
in
source
proxy
IP
Allowed
the
proxy . conf ,
sample
IP
listeners
on
the
address
address
and
for
are
section .
packets
sent
automatically
which
values
to
to
hostname
( r a d i u s . e x a m p l e . com )
wildcard
OR,
at
quad
(1.2.3.4)
you
the
home
are :
you
listen .
dotted
When
created .
ipaddr
configuration
can
same
use
an
IPv6
address ,
time .
145
but
not
both
specify
server ,
entry
the
the
ipv6addr
Port
Allowed
::
on
# any .
which
to
values
::1
==
localhost
listen .
are :
integer
port
number
" use
/ etc / services
port
means
(1812)
for
the
proper
port "
Some
to
but
it ' s
systems
the
IP
for
support
address .
sites
useful
with
to
say
binding
This
many
to
an
feature
IP
interface ,
isn ' t
addresses
" listen
on
all
in
strictly
on
one
addition
necessary ,
interface ,
addresses
for
eth0 " .
#
#
If
your
get
an
system
error
does
not
support
you
try
to
if
use
this
feature ,
you
will
it .
#
#
interface
Per
eth0
s o c k e t
lists
of
clients .
This
is
very
useful
feature .
#
#
The
name
here
is
radiusd . conf ,
or
c l i e n t s . conf .
set
reference
of
allows
reference
multiple
to
section
Having
sockets
to
elsewhere
the
name
use
the
in
as
same
clients .
#
#
If
this
is
this
client
configuration
IGNORED
for
feature ,
you
this
to
is
used ,
ensure
you
then
the
section .
don ' t
global
Take
list
care
accidentally
of
clients
configuring
disable
need .
#
#
See
c l i e n t s . conf
for
the
configuration
146
of
clients
per_socket_clients
This
second
port ,
section
is
for
listening
on
the
accounting
too .
#
listen
{
ipaddr
ipv6addr
::
port
type
acct
interface
clients
eth0
per_socket_clients
hostname_lookups :
e .g. ,
Log
the
www . f r e e r a d i u s . o r g
names
( on )
of
or
clients
or
just
206.47.27.232
their
IP
addresses
( off ) .
#
#
The
default
if
people
means
request
mean
to
to
each
to
time ,
had
that
that
is
the
knowingly
client
server
the
DNS
it
request
may
would
turn
nameserver .
your
if
because
this
will
be
feature
result
Enabling
stop
requests
overall
on ,
in
better
since
take
too
also
means
IP
address
for
AT LEAST
30
the
enabling
hostname_lookups
randomly
for
seconds
one
net
it
lookup
will
also
from
time
long .
#
#
Turning
for
with
30
hostname
seconds ,
lookups
if
it
off
sees
an
it .
#
#
allowed
values :
{ no ,
yes }
#
hostname_lookups
no
147
that
the
which
server
has
no
won ' t
name
block
associated
Core
if
dumps
you ' r e
are
bad
debugging
thing .
a
This
problem
should
with
the
only
be
set
to
server .
#
#
allowed
values :
{ no ,
yes }
#
allow_core_dumps
Regular
no
expressions
#
#
These
then
items
are
setting
set
them
at
to
configure
" no "
turns
time .
off
If
they ' r e
regular
set
expression
to
support .
#
#
#
If
they ' r e
set
to
" no "
It
at
will
configure
give
you
time ,
an
then
setting
them
to
error .
#
regular_expressions
yes
extended_expressions
yes
#
#
Logging
will
section .
eventually
The
be
various
moved
" log_
"
configuration
items
here .
#
log
{
#
#
Destination
for
log
messages .
This
can
defined
be
one
of :
files
log
to
syslog
to
stdout
standard
output
stderr
standard
error .
syslog
as
( see
also
148
the
below .
" syslog_facility ",
below .
The
logging
l i n e
option
go
stdout .
command
to
to
X"
"
over
r i d e s
this
option ,
and
forces
#
destination
files
#
#
#
The
logging
tail
of
messages
this
file
server
is
for
if
the
server
destination
are
appended
to
the
== " f i l e s "
#
#
#
If
the
NOT
running
in
debugging
mode ,
this
file
is
used .
#
file
$ { l o g d i r }/ r a d i u s . l o g
#
#
If
this
configuration
request
go
to
parameter
this
is
set ,
file ,
rather
per
request ,
then
than
to
log
messages
for
radius . log .
#
#
i . e .
This
is
the
request
not
associated
Not
all
this
go
as
log
file
being
with
from
a
valid
request
once
the
client .
s t i l l
go
server
Messages
to
has
accepted
that
are
radius . log .
#
log
new
to
messages
internal
in
API .
radius . log .
the
As
Please
server
a
core
result ,
submit
have
some
patches
been
updated
messages
to
fix
will
this
to
use
s t i l l
behavior .
#
#
The
file
name
server
Using
especially
expansion
s i d e
this
is
expanded
attributes
feature
if
of
you
the
MAY
do
dynamically .
for
the
filename
also
slow
down
thinks
like
SQL
filename .
149
You
should
(e .g.
the
calls
things
server
as
ONLY
user
you
control ) .
substantially ,
part
of
the
The
name
over
Virtual
messages
of
the
the
log
lifetime
S e r v e r
will
of
or
be
file
a
should
use
request ,
Packet
attributes
such
as
User
S r c IPA d d r e s s .
distributed
over
that
don ' t
Name ,
Otherwise ,
multiple
change
the
log
files .
#
#
Logging
can
dynamic
expansion
for
this
be
enabled
request
for
macro :
is
set
an
individual
%{d e b u g :
to
'1 '
1} ,
( or
request
where
2,
3,
the
etc . ) .
by
special
debug
level
e .g.
#
#
. . .
update
control
S t r i n g 0
Tmp
. . .
#
#
The
attribute
that
and
should
be
the
value
" throw
away "
is
assigned
attribute
to
is
unimportant ,
with
no
side
effects .
#
#r e q u e s t s
$ { l o g d i r }/ r a d i u s d
%{ %{V i r t u a l S e r v e r }: DEFAULT} %Y %
m%
d . log
#
#
Which
syslog
facility
to
use ,
if
$ { d e s t i n a t i o n } == " s y s l o g "
#
#
The
exact
don ' t
want
values
to
permitted
change
here
are
d e p e n d e n t .
OS
You
probably
this .
#
syslog_facility
Log
the
full
= daemon
User
Name
attribute ,
#
#
allowed
values :
{ no ,
yes }
150
as
it
was
found
in
the
request .
stripped_names
Log
no
authentication
requests
to
the
log
file .
#
#
allowed
values :
{ no ,
yes }
#
auth
no
Log
passwords
with
the
authentication
requests .
auth_badpass
logs
password
if
it ' s
rejected
auth_goodpass
logs
password
if
it ' s
correct
{ no ,
yes }
#
#
allowed
values :
#
auth_badpass
auth_goodpass
no
no
Log
additional
for
these
configurations
to
text
work ,
at
the
above
the
end
have
to
of
and
be
the
" Login
OK"
set
to
messages .
or
#
#
The
strings
below
you
can
anything
this
performance .
put
expansion
are
can
be
dynamically
you
want
slow ,
in
and
expanded ,
them .
can
msg_goodpass
msg_badpass
""
""
The
program
checkrad
to
execute
to
do
concurrency
$ { s b i n d i r }/ c h e c k r a d
151
However ,
negatively
#
#
which
checks .
means
note
impact
that
that
server
# SECURITY CONFIGURATION
#
#
There
may
section
of
those
be
multiple
holds
the
methods
of
configuration
attacking
items
on
which
the
server .
minimize
the
This
impact
attacks
#
security
{
#
#
max_attributes :
permitted
in
than
number
this
The
maximum
RADIUS
of
number
packet .
attributes
of
attributes
Packets
which
in
will
them
h a v e MORE
be
dropped .
#
#
If
this
will
be
number
is
set
too
low ,
then
set
too
high ,
no
RADIUS
packets
accepted .
#
#
If
this
able
the
to
number
is
send
small
server
to
use
number
all
of
then
an
packets
available
memory
attacker
which
on
may
will
the
be
cause
machine .
#
#
Setting
this
max_attributes
number
=
to
means
" allow
any
number
of
attributes "
200
#
#
reject_delay :
When
delayed
for
few
attack .
It
crack
also
users
sending
an
seconds .
helps
to
Access
This
slow
R e j e c t
may
down
help
people
it
slow
can
be
down
trying
to
DoS
brute
f o r c e
password .
#
#
Setting
this
number
If
number
to
means
" send
rejects
immediately "
#
#
this
is
set
higher
than
152
then
the
rejects
is
will
deleted
be
sent
from
the
at
internal
cache
of
time ,
when
the
request
requests .
#
#
Useful
ranges :
reject_delay
to
#
#
status_server :
to
Status
Whether
S e r v e r
or
not
the
server
will
respond
requests .
#
#
When
an
sent
Access
Status
A c c e p t
S e r v e r
or
message ,
Accounting
the
server
R e s p o n s e
responds
with
packet .
#
#
This
is
mainly
the
accounting
server ,
useful
without
for
administrators
adding
test
users ,
who
or
want
creating
to
fake
packets .
#
#
It ' s
The
packet .
also
NAS
useful
can
If
NAS
can
See
also
when
NAS
periodically
the
start
server
using
it
marks
responds ,
for
real
the
it
RADIUS
server
must
server
with
Status
be
alive ,
and
S e r v e r
the
requests .
#
#
raddb / s i t e s
a v a i l a b l e / s t a t u s
#
status_server
yes
# PROXY CONFIGURATION
#
#
proxy_requests :
Turns
proxying
of
RADIUS
on
by
requests
on
or
off .
#
#
The
server
has
proxying
turned
default .
153
If
your
system
is
NOT
set
up
to
proxy
off
here .
This
requests
will
to
save
another
small
server ,
amount
of
then
you
can
resources
turn
on
the
proxying
server .
#
#
If
you
have
to
proxy
To
disable
$INCLUDE
proxying
request ,
turned
then
an
off ,
and
error
your
message
configuration
will
be
files
say
logged .
#
proxying ,
change
the
to
" no " ,
and
comment
the
line .
#
#
allowed
values :
{ no ,
yes }
#
proxy_requests
$INCLUDE
yes
proxy . c o n f
# CLIENTS CONFIGURATION
#
#
Client
configuration
is
defined
in
#
#
The
and
do NOT
use
supported .
file
contains
all
of
configuration
or
the
files .
although
information
from
We recommend
they
are
the
that
s t i l l
#
#
Anything
listed
information
from
in
the
old
s t y l e
will
configuration
#
$INCLUDE
take
c l i e n t s . conf
154
precedence
files .
over
the
old
you
#
#
The
thread
take
pool
turns
is
( round
long
l i v e d
r o b i n )
group
handling
of
any
threads
incoming
which
requests .
#
#
You
probably
so
don ' t
be
that
high
have
want
l o a d
any
delayed
to
few
situations
spare
while
have
can
threads ,
new
spare
be
then
thread
is
threads
handled
the
around ,
immediately .
request
created ,
and
handling
added
to
If
you
will
the
pool .
#
#
You
probably
don ' t
otherwise
they ' l l
not
doing
anything
The
numbers
want
be
too
many
sitting
spare
there
threads
taking
up
around ,
resources ,
and
productive .
#
#
given
below
should
be
adequate
for
most
situations .
#
thread
pool
Number
of
ballpark
servers
Limit
on
start
initially
should
be
reasonable
figure .
start_servers
to
the
total
number
of
servers
running .
#
#
If
this
should
keep
down . . .
limit
is
ever
reached ,
runaway
server
from
clients
It
is
will
intended
taking
the
be
LOCKED OUT,
mainly
system
with
as
it
as
brake
it
#
#
You
may
find
that
the
number
doesn ' t
server
of
is
threads ,
seem
to
regularly
and
make
reaching
that
much
the
increasing
difference .
#
#
If
this
is
the
case ,
then
the
155
problem
is
MOST LIKELY
so
that
it
to
spirals
back
e n d
your
databases
are
preventing
The
solution
value ,
problem :
slow
For
information ,
the
are
server
taking
from
too
long
responding
to
in
respond ,
timely
and
manner .
but
is
NOT do
instead
to
keep
fix
database ,
increasing
the
or
the
underlying
cause
of
the
#
#
more
see
above .
#
max_servers
32
p o o l
Server
size
regulation .
how
many
servers
the
load
it
servers
to
handle
the
servers
to
handle
transient
It
this
waiting
min_spare_servers ,
more
The
you
sees ,
need ,
that
Rather
than
FreeRADIUS
is ,
you
dynamically
it
tries
to
current
load ,
plus
load
making
maintain
a
few
guess
adapts
to
enough
spare
spikes .
#
does
for
than
by
a
periodically
request .
it
If
there
creates
max_spare_servers ,
default
values
checking
are
are
new
some
probably
many
fewer
the
for
servers
are
than
spare .
of
OK
how
If
spares
most
there
die
are
off .
sites .
#
min_spare_servers
max_spare_servers
10
When
the
server
receives
internal
queue ,
where
pick
is
it
given
up
for
the
packet ,
worker
it
places
threads
it
onto
( configured
an
above )
processing .
The
maximum
size
of
that
queue
is
new
packets
will
be
silently
here .
#
#
When
the
queue
full ,
any
156
discarded .
#
#
The
most
server
very
receives
handle
common
is
large
cause
dependent
little
you
less
the
of
of
on
the
queue
slow
traffic .
can
do
other
traffic ,
or
being
database ,
full
and
is
it
that
has
received
When
that
happens ,
there
than
make
sure
server
make
sure
that
the
the
the
database
is
can
load .
#
#
max_queue_size
There
may
the
resources
be
65536
memory
server .
If
will
so ,
be
leaks
set
or
this
cleaned
up
resource
allocation
problems
value
300
so
to
or
so ,
that
with
the
periodically .
#
#
This
should
server
which
'0 '
exit '
only
have
be
necessary
not
yet
if
been
there
are
serious
bugs
in
or
servers
the
fixed .
#
is
special
value
max_requests_per_server
meaning
' the
never
# MODULE CONFIGURATION
#
#
The
names
and
configuration
of
each
module
is
located
in
this
section .
#
#
After
in
the
other
modules
sections
are
of
defined
this
here ,
they
configuration
#
modules
{
#
157
may
file .
be
referred
to
by
name ,
Each
module
has
configuration
name
instance
as
follows :
#
#
config_item
. . .
value
#
#
The
which
is
used
implements
to
the
load
the
functionality
of
the
library
module .
#
#
The
of
The
inventing
module ,
is
it
different
optional .
first
copies
two
must
of
To
be
the
have
two
referred
module
names ,
are
e .g.
different
to
by
then
instances
by
and
#
#
The
INSTEAD
for
instance
an
of
names
the
can
then
original
be
used
in
See
later
the
configuration
configuration
example .
#
#
As
of
2.0.5 ,
most
sub
are
referenced
authenticate ,
d i r e c t o r y
loaded .
the
Files
The
in
of
module
matching
modules
are
processing
accounting ,
configurations
the
#
$INCLUDE
$ { c o n f d i r }/ modules /
Extensible
Authentication
Protocol
#
#
For
all
EAP
related
authentications .
158
ONLY
such
p r o x y
/[a
initialized
pre / post
in
zAZ09_. ] + /
regex
section ,
are
as
,
if
they
authorize ,
etc .
are
Now
in
another
file ,
because
it
is
very
large .
#
$INCLUDE
eap . c o n f
Include
another
file
that
has
This
another
file
only
because
is
the
r e l a t e d
SQL
it
tends
configuration .
to
be
big .
#
$INCLUDE
sql . conf
#
#
This
module
is
an
SQL
enabled
version
of
the
counter
module .
#
#
Rather
than
accounting
stored
module
totally
packets .
in
maintaining
info
the
NEVER
for
each
raddacct
does
dependent
seperate
any
on
(GDBM)
counter ,
table
by
database
the
SQL
this
the
sql
INSERTs
module
to
databases
module
uses
modules .
or
of
$INCLUDE
s q l / mysql / c o u n t e r . c o n f
#
#
IP
addresses
managed
in
an
SQL
table .
loading
of
the
modules .
the
later
#
#
$INCLUDE
sqlippool . conf
Instantiation
#
#
This
section
listed
authorize ,
here
orders
will
get
the
loaded
authenticate ,
BEFORE
etc .
get
examined .
159
Modules
sections
It
is
Accounting
#
#
data
This
UPDATEs .
process
the
like
#
#
This
section
authorize
initialized .
of
the
is
not
refers
strictly
to
module ,
However ,
following
needed .
some
sections ,
it ' s
they
section
automatically
modules
so
When
may
can
not
be
be
like
loaded
listed
listed
and
in
any
here .
#
#
Also ,
listing
the
something
defined
here ,
ensure
order
in
and
modules
which
here
they
by
ensures
are
that
you
initalized .
If
another
that
the
module ,
you
configuration
have
one
can
will
control
module
list
over
needs
them
in
order
into
253
b e OK.
#
instantiate
#
#
Allows
The
the
execution
entire
command
of
line
external
( and
scripts .
output )
must
fit
#
#
e .g.
P o o l
Framed
= ` %{ e x e c : / b i n / e c h o
foo } `
exec
#
#
The
expression
module
authentication ,
or
translation ,
the
of
doesn ' t
do
accounting .
authorization ,
It
only
does
dynamic
form :
#
#
Session
T i m e o u t
= ` %{ e x p r : 2
3} `
#
#
So
the
listed
more
module
needs
to
in
other
section .
any
be
instantiated ,
information .
#
expr
160
See
b u t CANNOT b e
for
bytes .
#
# We
#
the
it
add
the
check
counter
name
module
attribute
here
so
before
that
any
it
registers
module
which
sets
#d a i l y
expiration
logintime
subsections
here
can
be
thought
e .g.
have
two
redundant
use
place
exact
same
lines ,
accounting
of
as
modules .
#
If
you
them
in
the
authorize
and
list
block
Or ,
you
and
in
SQL
servers ,
accounting
each
could
in
the
you
sections ,
section ,
uncomment
and
want
you
containing
the
to
could
the
following
authorize
and
sections .
#
#r e d u n d a n t
redundant_sql
sql1
sql2
#}
}
######################################################################
#
#
Policies
globally .
to
that
can
That
multiple
be
way ,
applied
they
can
in
multiple
be
defined
places
once ,
are
and
listed
referred
times .
#
######################################################################
$INCLUDE
policy . conf
161
######################################################################
#
#
Load
virtual
This
next
match
servers .
#
$INCLUDE
the
regular
line
loads
files
in
the
directory
that
zAZ09_. ] + /
expression :
/[a
#
#
It
allows
file
you
into
to
the
define
new
raddb / s i t e s
virtual
servers
e n a b l e d /
simply
by
placing
directory .
#
$INCLUDE
sites
e n a b l e d /
######################################################################
#
#
All
of
the
other
" authenticate
the
configuration
{}" ,
" accounting
sections
{}" ,
like
have
" authorize
been
moved
to
{}" ,
the
file :
#
#
raddb / s i t e s
a v a i l a b l e / d e f a u l t
#
#
This
is
configuration
installation
edit
it
the
to
in
version
enables
create
virtual
this
policies
server
1.0.x
virtual
for
that
and
1.1.x.
server .
your
has
local
the
same
The
default
You
should
site .
#
#
For
more
documentation
on
virtual
servers ,
see :
#
#
raddb / s i t e s
a v a i l a b l e /README
#
######################################################################
162
Bibliografa
[Ampere, ] Ampere. Comunicaciones.
[Andrs Mauricio Agudelo Ramrez, 2013] Andrs Mauricio Agudelo Ramrez, Pablo Csar
Bernal Gallo, E. A. Q. S. (Abril 2013). Espectro ensanchado por saltos de frecuencia para
la transmisin de informacin por lneas de potencia.
18:9.
sistemas de informacin.
[Crdoba T. Anabel, 2010] Crdoba T. Anabel, Durn M. Gricel, F. S. V. (2010). Diseo
de un sistema de seguridad de control de acceso con radius congurado en un sistema
operativo linux para una lan inalmbrica. Master's thesis, Instituto Poltecnico Nacional.
[de Defensa del Gobierno de EE.UU., 1980] de Defensa del Gobierno de EE.UU., D. (1980).
Trusted computer system evaluation criteria (tcsec).
[de Redes y Seguridad UNAM, ] de Redes y Seguridad UNAM, L. Fundamentos de seguridad informtica.
163
AAA/RADIUS/802.1x Sis-
edicin edition.
CISSP.
O'Reilly.
Sixth Edition.
[HernndezM.Enrique, 2011] HernndezM.Enrique, Romero B. Adrian, T. C. U. (2011). Implementacin y automatizacin de la red inalmbrica en las bibliotecas de la facultad de
ingeniera. Master's thesis, Universidad Nacional Autonma de Mxico.
Grupos A y B de Informtica.
Global Journal
[Microsoft, 2013] Microsoft (2013). Denicin de las siete capas del modelo osi y explicacin
de las funciones.
Cisco Systems,
Inc.
ing.
Pearson Educacin, S.
A.goo.
William
Stallings.
Prentice Hall.
[the Netherlands the United Kingdom (ITSEC), 1991] the Netherlands the United Kingdom (ITSEC), F. G. (1991). Information technology security evaluation criteria (itsec).
165