UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMTICA

ESCUELA ACADEMICO PROFESIONAL DE INGENIERA DE SISTEMAS E INFORMTICA

Ttulo de la tesina

IMPLEMENTACION DE UN SISTEMA DE CONTROL DE ACCESO PARA UNA WLAN CON EL ESTNDAR 802.1X: EL CASO CAMPUS UNIVERSITARIO
Tesina para optar el ttulo profesional de Ingeniero de Sistemas
Autor CARRASCO PALACIOS, Edward Pedro.

Asesor CARRASCO OR, Nilo. Lima Per 2014

FICHA CATALOGRFICA CARRASCO PALACIOS, Edward Pedro IMPLEMENTACION DE UN SISTEMA DE CONTROL DE ACCESO PARA UNA WLAN CON EL ESTNDAR 802.1X: EL CASO CAMPUS UNIVERSITARIO Redes de computadoras (Lima, Per 2014) Tesina, Facultad de Ingeniera de Sistemas, Pregrado, Universidad Nacional Mayor De San Marcos Formato 28 x 20 cm Paginas 102

ii

DEDICATORIA Este trabajo est dedicado a toda mi familia que siempre me apoyo en las diferentes profesional. etapas de mi desarrollo

iii

AGRADECIMIENTOS
Al Ingeniero Nilo Carrasco Ore, por su orientacin y dedicacin para que este trabajo cumpla con los objetivos trazados. A mis profesores del colegio y la universidad, quienes me brindaron de todos sus conocimientos y guiaron en mi formacin acadmica. Al Instituto de Ciencias y Humanidades, por su apoyo en este proyecto y las facilidades brindadas para su desarrollo e implementacin. A todos mis amigos de la vida, con quienes he compartido tantas alegras y penas; y siempre estuvieron all para brindarme sus consejos y apoyo. A Flor Cochachin, porque sin su apoyo y constante nimo no hubiera sido capaz de llegar hasta donde me encuentre ahora y en el futuro Y finalmente a todas aquellas personas que indirectamente me ayudaron para culminar este trabajo y que muchas veces constituyen un invalorable apoyo.

iv

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMTICA
ESCUELA ACADEMICO PROFESIONAL DE INGENIERA DE SISTEMAS E INFORMTICA TITULO DE LA TESINA

IMPLEMENTACION DE UN SISTEMA DE CONTROL DE ACCESO PARA UNA WLAN CON EL ESTNDAR 802.1X: EL CASO CAMPUS UNIVERSITARIO

Autor: Asesor: Ttulo: Fecha:

CARRASCO PALACIOS, Edward Pedro CARRASCO OR, Nilo Tesina, para optar el Ttulo Profesional de Ingeniero de Sistemas Abril 2014

RESUMEN
La presente tesina muestra el proceso seguido para implementar un sistema control de acceso en redes inalmbricas pblicas disponibles en bibliotecas, universidades, hoteles, aeropuertos, para la solucin nos basaremos en el estndar 802.1x como estndar para el control de acceso a red, manteniendo la facilidad de acceso para los usuarios y que pueda ser integrado a la infraestructura de red inalmbrica existente, tomando como caso de prueba el campus de la Universidad de Ciencias y Humanidades. Con esto se busca que los usuarios puedan utilizar la red inalmbrica de manera segura transmitiendo los datos de manera cifrada y el administrador de red puede tener el control y estadsticas de quienes acceder a su red inalmbrica. Se

presenta tambin un marco terico relevante al proyecto y el estado del arte donde se muestran diferentes soluciones libres y propietarias para el control de acceso.

Palabras Claves: Control de acceso, RADIUS, WIFI, WLAN, Autenticacin, Seguridad.

vi

NATIONAL UNIVERSITY OF SAN MARCOS

FACULTY OF ENGINEERING AND COMPUTER SYSTEMS
SCHOOL ACADEMIC PROFESSIONAL SYSTEMS ENGINEERING E COMPUTERS TITLE OF THESIS

IMPLEMENTACION DE UN SISTEMA DE CONTROL DE ACCESO PARA UNA WLAN CON EL ESTNDAR 802.1X: EL CASO CAMPUS UNIVERSITARIO
Author : Adviser: Title Date : : CARRASCO PALACIOS, Edward Pedro CARRASCO OR, Nilo Tesina, para optar el Ttulo Profesional de Ingeniero de Sistemas Abril 2014

ABSTRACT
The present work shows the process used to implement access control in wireless networks available in public libraries, universities, hotels, airports, for the solution we will build on the 802.1x standard for network access control system, maintaining the ease of access for users and can be integrated into existing wireless network infrastructure, taking as a test case the campus of the Universidad de Ciencias y Humanidades. This seeks to allow users to use the wireless network securely transmitting data in encrypted form and the network administrator can take control and statistics who access your wireless network. A relevant theoretical framework for the project and the state of the art where different free and proprietary solutions for access control sample is also presented.

vii

Keywords: Access control, RADIUS, WIFI, WLAN, Authentication, Security.

viii

INDICE DE CONTENIDOS

Lista de Figuras ................................................................................................................. xiii Lista de tablas .................................................................................................................... xiv INTRODUCCION .............................................................................................................. xv Captulo 1: PLANTEAMIENTO METODOLGICO ................................................... 1
1.1 1.2 1.3 Antecedentes del problema ...................................................................................................... 1 Definicin o formulacin del problema ................................................................................... 3 Objetivos .................................................................................................................................. 3 Objetivos generales .......................................................................................................... 3 Objetivos especficos........................................................................................................ 3

1.3.1 1.3.2 1.4 1.5

Justificacin.............................................................................................................................. 3 Organizacin de la tesina ......................................................................................................... 5

Captulo 2: MARCO TERICO ....................................................................................... 6

2.1 Seguridad en redes inalmbricas .............................................................................................. 6 Los objetivos de seguridad en redes inalmbricas ........................................................... 7 Amenazas y vulnerabilidad en las redes inalmbricas ..................................................... 8 Estndar IEEE 802.11 ...................................................................................................... 9 Dispositivos 802.11 ........................................................................................................ 10 Tarjetas inalmbricas.................................................................................................. 10 Puntos de acceso (AP) ................................................................................................ 10 Protocolos de seguridad ................................................................................................. 11 WEP (Wired Equivalent Privacy) .............................................................................. 11 WPA (Wi-Fi Protected Access) ................................................................................. 12 WPA2 (Wi-Fi Protected Access 2) ............................................................................ 13 2.1.1 2.1.2 2.1.3 2.1.4 2.1.4.1 2.1.4.2 2.1.5 2.1.5.1 2.1.5.2 2.1.5.3 2.2

Estndar 802.1X ..................................................................................................................... 13 Mtodos de autenticacin EAP ...................................................................................... 16 LEAP .......................................................................................................................... 16 ix

2.2.1 2.2.1.1

2.2.1.2 2.2.1.3 2.2.1.4 2.2.1.5 2.2.2 2.2.2.1 2.2.2.2 2.2.2.3 2.3

EAP-TLS .................................................................................................................... 17 EAP-MD5................................................................................................................... 17 EAP- PEAP ................................................................................................................ 18 EAP-TTLS ................................................................................................................. 19 protocolos de autenticacin ............................................................................................ 19 PAP ............................................................................................................................ 19 CHAP ......................................................................................................................... 20 MSCHAP / MSCHAPv2 ............................................................................................ 20

Arquitectura de control de acceso .......................................................................................... 20 Arquitectura AAA .......................................................................................................... 20 Autenticacin ............................................................................................................. 22 Autorizacin ............................................................................................................... 23 Contabilidad ............................................................................................................... 24 Protocolos AAA ............................................................................................................. 25 TACACS .................................................................................................................... 25 TACACS+ .................................................................................................................. 26 RADIUS ..................................................................................................................... 26 DIAMETER ............................................................................................................... 34

2.3.1 2.3.1.1 2.3.1.2 2.3.1.3 2.3.2 2.3.2.1 2.3.2.2 2.3.2.3 2.3.2.4 2.4

Campus universitario.............................................................................................................. 35

Captulo 3: ESTADO DEL ARTE METODOLOGICO ............................................... 37

3.1 Trabajos de investigacin para el control de acceso en una WLAN ...................................... 37 Sistema de control de acceso en redes Wireless con el DNI electrnico. ...................... 37 3.1.1

3.1.2 Diseo e implementacin de un sistema de gestin de accesos a una red WIFI utilizando software libre .................................................................................................................................. 38 3.1.3 3.2 Comparacin entre soluciones........................................................................................ 40

Soluciones propietarias para el control de acceso .................................................................. 41 CISCO NAC ................................................................................................................... 41 Aruba Mobility Controller ............................................................................................. 43

3.2.1 3.2.2 3.3

Comparacin entre protocolos de seguridad y control de acceso........................................... 43 Comparacin de protocolos AAA .................................................................................. 43 x

3.3.1

3.3.2 3.3.3

Comparacin de protocolo de seguridad ........................................................................ 45 Comparacin de mtodos EAP....................................................................................... 46

Captulo 4: IMPLEMENTACION DEL SISTEMA DE CONTROL DE ACCESO PARA LA WLAN ............................................................................................................... 48

4.1 Metodologa utilizada............................................................................................................. 48 Determinacin los requerimientos.................................................................................. 48 Anlisis de las tecnologas ............................................................................................. 48 Diseo del sistema de control de acceso ........................................................................ 49 Ejecucin del diseo....................................................................................................... 49 Prueba de la solucin...................................................................................................... 49 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.2

Determinacin de requerimientos .......................................................................................... 49 Situacin actual .............................................................................................................. 49 Esquema de la WLAN del campus universitario ....................................................... 50 Inventario de dispositivos........................................................................................... 51 Sistema actual de seguridad ....................................................................................... 52 Anlisis de requerimientos ............................................................................................. 53 Requerimientos Funcionales ...................................................................................... 54 Requerimientos de seguridad ..................................................................................... 54 Requerimientos tcnicos ............................................................................................ 55

4.2.1 4.2.1.1 4.2.1.2 4.2.1.3 4.2.2 4.2.2.1 4.2.2.2 4.2.2.3 4.3

Anlisis de las tecnologas ..................................................................................................... 56 Anlisis y seleccin del mtodo de autenticacin .......................................................... 56 Seleccin del protocolo de seguridad ............................................................................. 57 Anlisis y seleccin del Servidor RADIUS ................................................................... 57

4.3.1 4.3.2 4.3.3 4.4

Diseo del sistema de control de acceso ................................................................................ 58 Arquitectura a utilizar..................................................................................................... 58 Diseo final del sistema de control de acceso WLAN ................................................... 62

4.4.1 4.4.2 4.5

Implementacin del sistema de control .................................................................................. 64 Implementacin del servidor AAA ................................................................................ 66 Implementacin del servidor de base de datos MySQL ................................................. 67 Integracin del FreeRADIUS con MySQL .................................................................... 68 Configuracin del mtodo y protocolo de autenticacin de autenticacin. .................... 70 Instalacin de la gestin web del servidor FreeRADIUS (daloradius) .......................... 70 xi

4.5.1 4.5.2 4.5.3 4.5.4 4.5.5

4.5.6 4.5.7 4.5.8 4.5.8.1 4.5.8.2 4.5.8.3 4.6

Implementacin del mdulo conector ............................................................................ 71 Configuracin de los puntos de acceso (autenticador) ................................................... 72 Configuracin de los clientes (suplicantes) .................................................................... 73 Clientes en WINDOWS ............................................................................................. 73 Clientes en Linux ....................................................................................................... 75 Cliente Android .......................................................................................................... 76

Pruebas de la solucin ............................................................................................................ 77 Prueba de autenticacin .................................................................................................. 77 Prueba de cifrado. .......................................................................................................... 81 prueba de accounting ...................................................................................................... 82

4.6.1 4.6.2 4.6.3

Captulo 5: Conclusiones y recomendaciones ................................................................ 86

5.1 5.2 Conclusiones .......................................................................................................................... 86 Recomendaciones ................................................................................................................... 87

REFERENCIAS BIBLIOGRFICAS. ............................................................................ 88 ANEXO A: Archivo de configuracin de radiusd.conf ................................................... 93 ANEXO B: Archivo de configuracin de eap.conf .......................................................... 95 ANEXO C: Archivo de configuracin de default ............................................................ 97 ANEXO D: Archivo de configuracin de daloradius.conf.php ...................................... 99 ANEXO E: Archivo de configuracin my.cnf (MySQL) .............................................. 101 ANEXO F: Cdigo fuente de modulo conector ............................................................. 102

xii

Lista de Figuras

FIGURA 1.1 NUMERO DE HOTSPOT PBLICOS GLOBALES [ONDIGITAL 2013] 2 FIGURA 1.2 NIVEL DE SEGURIDAD DE REDES INALMBRICAS POR CIUDAD [DELOITTE 2014] 2 FIGURA 2.1 CATEGORA DE REDES INALMBRICAS [REDES 2012] 6 FIGURA 2.2 ESTNDAR 802.1X [WIKIPEDIA-3] 14 FIGURA 2.3 DIAGRAMA DE FLUJO 802.1X [ELABORACIN PROPIA] 15 FIGURA 2.4 MODELO DE IMPLANTACIN SERVIDOR RADIUS [EUSSO 2014] 28 FIGURA 2.5 SECUENCIA DE AUTENTICACIN RADIUS [CRDOBA 2010] 32 FIGURA 3.1 ARQUITECTURA DE LA SOLUCIN CONTROL DE ACCESO CON EDNI [SERGIO 2009] 38 FIGURA 3.2 ARQUITECTURA DE LA SOLUCIN CONTROL DE ACCESO CON SOFTWARE LIBRE [JORGE 2008] 39 FIGURA 4.1 ESQUEMA RED ACTUAL UCH [ELABORACIN PROPIA] 50 FIGURA 4.2 ARQUITECTURA DE LA SOLUCIN [ELABORACIN PROPIA] 59 FIGURA 4.3 DISEO FINAL DEL SISTEMA DE CONTROL DE ACCESO [ELABORACIN PROPIA] 63 FIGURA 4.4 CUARTO DE COMUNICACIN [FUENTE UCH] 64 FIGURA 4.5 ARQUITECTURA DE IMPLEMENTACIN CASO DE PRUEBA [ELABORACIN PROPIA] 65 FIGURA 4.6 CONFIGURACIN DEL PUNTO DE ACCESO CON SOPORTE RADIUS [FUENTE UCH] 73 FIGURA 4.7 SELECCIN DE LAS OPCIONES DE SEGURIDAD [FUENTE UCH] 74 FIGURA 4.8 INICIO DE SESIN CON CREDENCIALES [FUENTE UCH] 74 FIGURA 4.9 CONFIGURACIN DE PARMETROS EN LINUX [FUENTE UCH] 75 FIGURA 4.10 CONFIGURACIN DE PARMETROS EN ANDROID [FUENTE UCH] 76 FIGURA 4.11 INGRESO DE USUARIOS Y CONTRASEA ANDROID [FUENTE UCH] 77 FIGURA 4.12 INGRESO DE USUARIO Y CONTRASEA [FUENTE UCH] 78 FIGURA 4.13 ESTADO DE LA CONEXIN [FUENTE UCH] 79 FIGURA 4.14 ESTADO DE LA CONEXIN FALLIDA [FUENTE UCH] 80 FIGURA 4.15 INGRESO DE USUARIO [FUENTE UCH] 80 FIGURA 4.16 ESTADO DE CONEXIN [ELABORACIN PROPIA] 81 FIGURA 4.17 CAPTURA DEL WIRESHARK [FUENTE UCH] 82 FIGURA 4.18 ACCOUNTING RADIUS [FUENTE UCH] 84

xiii

Lista de tablas

TABLA 3.1 COMPARACIN DE SOLUCIONES [ELABORACIN PROPIA] ............................................... 40 TABLA 3.2 COMPARACIN DE PROTOCOLOS AAA [IVN 2013] ............................................................. 44 TABLA 3.3 COMPARACIN DE PROTOCOLOS DE SEGURIDAD [ELABORACIN PROPIA] ................ 45 TABLA 3.4 COMPARACIN DE MTODOS EAP [FUNDAMENTOS 2008] ................................................. 46 TABLA 4.1 INVENTARIO DE DISPOSITIVOS [FUENTE UCH] ..................................................................... 52 TABLA 4.2 SEGURIDAD DE LOS PUNTOS DE ACCESO [ELABORACIN PROPIA] ............................... 53 TABLA 4.3 RELACIN ENTRE PROTOCOLO Y ALGORITMO DE CIFRADO [ELABORACIN PROPIA] ....................................................................................................................................................................... 57 TABLA 4.4 COMPARACIN ENTRE PRODUCTOS RADIUS [ELABORACIN PROPIA] ......................... 58 TABLA 4.5 CARACTERSTICAS DEL SERVIDOR AAA [ELABORACIN PROPIA] ................................. 66 TABLA 4.6 PARMETROS DE CONFIGURACIN PUNTO DE ACCESO [ELABORACIN PROPIA] .... 72 TABLA 4.7 PARMETROS DE CONFIGURACIN DE LOS CLIENTES [ELABORACIN PROPIA] ....... 73

xiv

INTRODUCCION

El uso de redes inalmbricas de rea local o WLAN se ha incrementado, tanto por los beneficios de movilidad, que esta ofrece, como por la gran cantidad de dispositivos que necesitan de una conexin inalmbrica actualmente (Tablet, laptop, celulares, tv). Por lo que se vienen implementando redes WIFI pblicas en parques, aeropuertos, centros comerciales, universidades, bibliotecas, entre otros. Con el objetivo de que los usuarios de estos centros se puedan conectar a internet o algn servicio de manera fcil, muchas veces descuidando la seguridad y control de acceso. Las estadistas actuales [Deloitte 2013] muestran que un 72% de redes inalmbricas en lima tiene configuraciones inseguras, este conlleva un gran problema de inseguridad para los usuarios que utilizan estas redes, poniendo el riesgo la informacin transmitida por este medio, tambin para el administrador de red donde no sabe quines acceden a su red, ya que no existe una delimitacin fsica. Existen varias soluciones propietarias en el mercado desarrolladas por CISCO o ARUBA NETWORK que tratan de solucionar las deficiencias de seguridad en las redes inalmbricas a un precio considerable. As como trabajos de investigacin, desarrollados usando software libre y Open Source, donde buscan asegurar la seguridad y control de acceso, utilizando un servidor de autenticacin RADIUS como servidor AAA y un directorio donde se almacenaran los usuarios segn perfil, los cuales se podrn autenticarse de manera segura y fcil, ya sea a travs de un usuario o contrasea, usando un dni electrnico, token u otro mecanismo de autenticacin.

xv

En base a los protocolos, estndares y mecanismos de seguridad existentes actualmente, se puede construir un sistema para el control de acceso a medida para una red inalmbrica, El trabajo buscar implementar este sistema en un entorno de un campus universitario teniendo en cuenta los mtodos de autenticacin y facilidad de integracin. Usar una autenticacin mediante usuario y contrasea nueva puede generar un inconveniente para la facilidad de acceso de los usuarios, por lo que se busca reutilizar para el proceso de autenticacin datos de usuario ya existentes, que generalmente lo podemos encontrar en el correo, intranet o algn identificador nico dependiendo de la organizacin, que los usuarios utilizan a diario. Tambin se busca que la solucin se pueda integrar a la red inalmbrica existente, sin necesidad de cambiar o adquirir nuevos dispositivos, caso contrario de las soluciones propietarias donde si es necesario el cambio total.

xvi

Captulo 1: PLANTEAMIENTO METODOLGICO 1.1 Antecedentes del problema

Tras la publicacin de los primeros estndares que determinaron el nacimiento de las redes inalmbricas (IEEE 802.11a y b) no exista una preocupacin por los riesgos se seguridad que pudieran existir, pues las redes inalmbricas carecan de seguridad. A medida que las redes inalmbricas se comenzaron a expandirse y debido a su gran demanda, se empez a hacer evidente su falta completa de seguridad [Escudero 2007]. Por lo que surge la necesidad inmediata de proporcionar un protocolo que proporcione seguridad, por lo que se cre WEP (Wired Equivalent Privacy) pero con el tiempo se descubri que era fcilmente vulnerable [Panda 2005]. Para solucionar sus deficiencias, la IEEE comenz con el desarrollo de una nueva norma de seguridad. Conocida como 802.11i que permitira dotar de suficiente seguridad a las redes WLAN. Frente a la demora de salida de esta norma, se cre un mecanismo de seguridad intermedio WPA (Wi-Fi Protected Access) que supla las deficiencias de su antecesor, aunque tambin tena sus vulnerabilidades [Panda 2005]. El autor de Seguridad en redes inalmbricas 802.11 [Madrid 2004] afirma que la falta de seguridad en las redes inalmbricas es un problema que, a pesar de su gravedad, no ha recibido la atencin debida por parte de los administradores de redes y los responsables de la informacin. Actualmente el uso de redes inalmbricas y en especial el de tipo pblicas o hotspot, ya sea en un campus universitarios, aeropuerto, parque, caf, se ha extendido, como se muestra en la figura 1.1, por sus ventajas de movilidad, flexibilidad y productividad. As como la gran cantidad de dispositivos como laptops, tablet, Smartphone y otros que necesitan de una conexin inalmbrica.

Figura 1.1 Numero de hotspot pblicos globales [Ondigital 2013]

Sin embargo, a pesar de sus ventajas, este tipo de implementaciones trae consigo importantes riesgos de seguridad, asociados a la inexistencia de una delimitacin fsica de forma clara y otros ms importantes asociados al uso de mecanismos de seguridad y control lo suficientemente fuerte para que protejan el acceso a los recursos tecnolgicos y la informacin. Esto se confirma con un estudio de la consultora Deloitte que realizo el 2013 sobre la inseguridad en la configuracin en redes inalmbricas en Lima, Arequipa y Trujillo [Deloitte 2013], donde se demuestra que el 72 % de redes inalmbricas cuentan con una configuracin insegura, figura 1.2. A esta estadstica se suma la informacin de la empresa de antivirus Kaspersky que a nivel mundial el 70 % de los propietarios de tablets y el 53 % de los propietarios de smartphones o telfonos mviles declararon que utilizaban zonas Wi-Fi pblicas [kaspersky 2014].

Figura 1.2 Nivel de seguridad de redes inalmbricas por ciudad [Deloitte 2014]

1.2 Definicin o formulacin del problema

Cmo influye la falta de un sistema de control de acceso en redes inalmbricas en la seguridad de la informacin de los usuarios; caso de estudio campus universitario?

1.3 Objetivos
1.3.1 Objetivos generales Implementar un sistema de control de accesos en una WLAN para garantizar la seguridad de la informacin de los usuarios utilizando el estndar 802.1X en el campus de la Universidad de Ciencias y Humanidades.

1.3.2 Objetivos especficos Identificar los requerimientos funcionales, de seguridad y tcnicos del sistema. Seleccionar los protocolos, mtodos y software que cumplan con los requerimientos necesarios para utilizar en el sistema. Disear la arquitectura en base a los protocolos y servicios seleccionados. Implementar el diseo en un caso de prueba dentro del campus universitario (Auditorio). Realizar las pruebas correspondientes para validar el sistema.

1.4 Justificacin
Los efectos de tener una arquitectura de acceso libre o hotspot publica, que generalmente encontramos en los campus universitarios, se pueden evidenciar en la dificultad para ejercer
3

un control efectivo sobre los usuarios que acceden a esta red, por lo cual los encargados de gestionar la red no pueden identificar a sus usuarios ni contar con estadsticas de uso de la red adems de los diferentes riesgos de seguridad que se describen en [kaspersky 2014] que pueden ser: Interceptacin de los datos que se envan o reciben. Acceso a los archivos compartidos. Secuestrar la conexin a Internet y utilizar todo el ancho de banda o lmite de descargas Estos riegos de seguridad identificados por [kaspersky 2014] se contraponen a los objetivos de la seguridad informtica que buscan mantener la integridad, disponibilidad y privacidad de la informacin transmitida sea cual sea el medio de transmisin, como a las normas de seguridad para nuestro pas especificados en la NTP-ISO/IEC 17799:2007. El acceso inalmbrico provisto por una Universidad para su campus es un servicio exclusivo para las personas vinculadas a ella, y eventualmente para visitantes autorizados que ingresan a la universidad; por esto es necesario identificar quienes la usan y llevar las estadsticas de uso. Pero tambin es necesario el uso de perfiles, donde algunos usuarios puedan gozar de privilegios frente a otro usuarios y dependiendo del perfil. La solucin que se propone obligara a todos los usuarios que quieran conectarse a la red inalmbrica, tengas que identificarse mediante un mtodo de autenticacin fcil y seguro, para garantizar la identificacin y transmisin de la informacin de manera segura y sobre todo que esta solucin puede ser integrada a la infraestructura de red inalmbrica ya existente en el campus universitario. Dicha solucin busca reducir los riesgos en el uso de configuraciones inseguras, mejora en la gestin, centralizando toda la informacin de los usuarios, la eliminacin de configuracin independiente de los access point, la posibilidad de obtener estadsticas de uso de la red y garantizar la seguridad de la informacin transmitida por el medio

1.5 Organizacin de la tesina

El presente trabajo de investigacin est dividido en 5 captulos, los cuales estn distribuidos de la siguiente manera: El captulo I, presenta los antecedentes, definicin del problema, los objetivos generales y especficos y la justificacin de la solucin. El captulo II, presenta el marco terico, que abarca todo el conocimiento necesario para comprender los enfoques a utilizar para la implementacin de un sistema de control de accesos. El captulo III, comprende el estado del arte, el cual se orienta al estudio profundo y detallado de los diferentes mecanismos de control de accesos libres y privados en el mercado. Tambin se realiza una comparacin entre los diferentes protocolos AAA y mtodos de autenticacin. El captulo IV, Presenta El anlisis, diseo e implementacin de un sistema de control de accesos utilizando los protocolos seleccionados. El captulo V, se presenta las conclusiones y recomendaciones finales de la investigacin realizada.

Captulo 2: MARCO TERICO

2.1 Seguridad en redes inalmbricas

Las redes inalmbricas se basan en un enlace que utiliza ondas electromagnticas (radio e infrarrojo) en lugar de cableado estndar. Hay muchas tecnologas diferentes que se diferencian por la frecuencia de transmisin que utilizan, y el alcance y la velocidad de sus transmisiones, como en la figura 2.1. Las redes inalmbricas permiten que los dispositivos remotos se conecten sin dificultad, ya se encuentren a unos metros de distancia como a varios kilmetros. Asimismo, la instalacin de estas redes no requiere de ningn cambio significativo en la infraestructura existente. Esto ha hecho que el uso de esta tecnologa se extienda con rapidez.

Figura 2.1 Categora de redes inalmbricas [Redes 2012]

Es necesario tener conocimientos acerca de las vulnerabilidades inherentes la tecnologa de redes inalmbricas, los riesgos y las amenazas a las que estn expuestas, para establecer las medidas de proteccin con eficacia. La seguridad de la informacin se define [Wikipedia 1] como la proteccin de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la informacin contenida o circulante. Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organizacin valore (activo) y signifique un riesgo si esta informacin confidencial llega a manos de otras personas, convirtindose, por ejemplo, en informacin privilegiada.

2.1.1 Los objetivos de seguridad en redes inalmbricas

Los objetivos de seguridad ms comunes en redes inalmbricas, se pueden clasificar de la siguiente manera. Confidencialidad. Proteger la informacin transmitida para que nadie pueda leerla o interpretarla, solo la persona para a quien va dirigida. Integridad. Proteger la informacin transmitida para garantizar su fiabilidad y evitar que no sea modificado o borrada. Disponibilidad. Que la informacin y los servicios de red estn presentes cuando los usuarios lo requieran. Control de acceso. Restringir y controlar el acceso de los usuarios a la red y a los recursos. Implementar mecanismos para garantizar que un usuario sea realmente quien dice ser (Autenticacin), restringir los privilegios para operar los recursos de red de acuerdo al nivel de autorizacin que tiene el usuario (Autorizacin) y llevar un registro de las conexin (Accounting)

2.1.2 Amenazas y vulnerabilidad en las redes inalmbricas

Una amenaza constituye un peligro potencial asociado con un fenmeno fsico de origen natural o tecnolgico que se puede presentar en un momento determinado y en un sitio especfico provocando consecuencias adversas. La vulnerabilidad representa el grado de exposicin a las amenazas. Son debilidades o fallas intrnsecas de un objeto o elemento. El resultado de la probabilidad de ocurrencias de un evento peligros (amenaza) frente a una vulnerabilidad, se le conoce como riesgo. Los riesgos se pueden reducir si se consideran medidas preventivas.

Amenazas en redes inalmbricas: Ataque pasivos: Es el tipo de ataque donde el intruso no modifica la informacin ni interrumpe la comunicacin, el atacante solo escucha la comunicacin en busca de informacin sensible (Eavesdropping) o realizar un anlisis ms profundo del trfico y hacer bsqueda de patrones de cadenas (Anlisis de trfico). Ataque activo: Este tipo de ataque involucra algn tipo de modificacin del flujo de datos transmitido o la creacin de un falso flujo de datos, estos ataques pueden ser detectados. Pueden clasificarse en: suplantacin de identidad, modificacin del mensaje y denegacin de servicio.

Vulnerabilidades en redes inalmbricas: Vulnerabilidades en la confidencialidad: La confidencialidad es un requerimiento de seguridad fundamenta, debido al medio de transmisin que utiliza las redes inalmbricas, donde las seales de radio se propagan a travs del espacio, resulta ms
8

difcil conseguir la confidencialidad. El atacante solo requiere estar dentro de la zona de cobertura y dependiendo del nivel de seguridad de la red inalmbrica, podra estar escuchando la informacin transmitida. Vulnerabilidad en la integridad: Los protocolo de seguridad cuentas con mecanismos para proteger la integridad (control de integridad) como WEP que usa CRC-32, pero estos presentan deficiencias que permiten que un atacante pueda borrar y/o modificar los datos. Vulnerabilidad en la disponibilidad: Existen formas de ataque de denegacin de servicios (DoS) que pueden causar la prdida de disponibilidad en una red inalmbrica.

2.1.3 Estndar IEEE 802.11 El protocolo IEEE 802.11 o WI-FI es un estndar de protocolo de comunicaciones del IEEE que define el uso de los dos niveles ms bajos de la arquitectura OSI (capas fsica y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnologa en redes de rea local o metropolitana [Wikipedia-2]. La familia 802.11 actualmente incluye seis tcnicas de transmisin por modulacin que todas utilizan los mismos protocolos. El estndar original de este protocolo es de 1997, era el IEEE 802.11, tena velocidades de 1 hasta 2 Mbps y trabajaba en la banda de frecuencia de 2,4 GHz. En la actualidad no se fabrican productos sobre este estndar. El trmino IEEE 802.11 se utiliza tambin para referirse a este protocolo al que ahora se conoce como "802.11legacy." La siguiente modificacin apareci en 1999 y es designada como IEEE 802.11b, esta especificacin tena velocidades de 5 hasta 11 Mbps, tambin trabajaba en la frecuencia de 2,4 GHz. Tambin se realiz una especificacin sobre una frecuencia de 5 Ghz que alcanzaba los 54 Mbps, era la 802.11a y resultaba incompatible con los productos de la b y por motivos tcnicos casi no se desarrollaron productos. Posteriormente se incorpor un estndar a esa velocidad y compatible con el b que recibira el nombre de 802.11g. Despus de esta se lleg a 802.11i estndar de seguridad para redes wi-fi

aprobado a mediados de 2004. En l se define al protocolo de encriptacin WPA2 basado en el algoritmo AES. En la actualidad la mayora de productos son de la especificacin b y de la g. El siguiente paso se dar con la norma 802.11n que sube el lmite terico hasta los 600 Mbps. Actualmente ya existen varios productos que cumplen un primer borrador del estndar N con un mximo de 300 Mbps (80-100 estables).

2.1.4 Dispositivos 802.11 Los dispositivos para el funcionamiento del estndar 802.11 son:

2.1.4.1 Tarjetas inalmbricas

Son los componentes que tenemos integrados en nuestro computador o bien conectados mediante un conector PCMCIA USB si estamos en un porttil o en un slot PCI si estamos en una computadora de escritorio. Substituyen a las tarjetas de red Ethernet. Recibirn y enviarn la informacin hacia su destino desde el computador en el que estemos trabajando. La velocidad de transmisin y recepcin de los mismos es variable dependiendo del fabricante y de los estndares que cumpla.

2.1.4.2 Puntos de acceso (AP)

Los puntos de acceso desempean muchas funciones importantes, adems de ser puente entre las conexin por cable y las conexin inalmbricas, una de sus principales funciones es la de ser estacin de camino del trafico inalmbrico en la red. De hecho muchas redes inalmbricas usan mltiples AP, cada uno actuando precisamente como una estacin de camino, extendiendo el alcance de la red local de acceso inalmbrico, ofreciendo puntos fsicos adicionales para la conexin [Tanenbaum 2003].
10

2.1.5 Protocolos de seguridad El estndar inalmbrico de comunicacin IEEE 802.11 y sus diversos grupos de trabajo posteriores establecen la posibilidad de conferir a esta tecnologa, capacidades de integridad de datos, confiabilidad y autenticacin de las estaciones. De esta manera existen 3 protocolo de seguridad basado n la norma IEEE 802.11 y IEEE 802.11i.

2.1.5.1 WEP (Wired Equivalent Privacy) Es el sistema de cifrado incluido en el estndar IEEE 802.11 como protocolo para redes wireless que permite cifrar la informacin que se transmite. Proporciona cifrado a nivel 2. Est basado en el algoritmo de cifrado RC4, y utiliza claves de 64 bits (40 bits ms 24 bits del vector de iniciacin IV) o de 128 bits (104 bits ms 24 bits del IV). El protocolo WEP se basa en dos componentes para cifrar las tramas que circulan por la red: el algoritmo de cifrado RC4 y el algoritmo de chequeo de integridad CRC. RC4 es un algoritmo de cifrado de flujo; es decir, funciona expandiendo una semilla (seed en ingls) para generar una secuencia de nmeros pseudoaleatorios de mayor tamao. Esta secuencia de nmeros pseudoaleatorios se unifica con el mensaje mediante una operacin XOR para obtener un mensaje cifrado. Uno de los problemas de este tipo de algoritmos de cifrado es que no se debe usar la misma semilla para cifrar dos mensajes diferentes, ya que obtener la clave sera trivial a partir de los dos textos cifrados resultantes. Para evitar esto, WEP especifica un vector de iniciacin (IV) de 24 bits que se modifica regularmente y se concatena a la contrasea (a travs de esta concatenacin se genera la semilla que sirve de entrada al algoritmo [WEP 2012]. El principal problema con la implementacin de dicho algoritmo es el tamao de los vectores de iniciacin. A pesar de que se pueden generar muchos vectores, la cantidad de tramas que pasan a travs de un punto de acceso es muy grande, lo que hace que rpidamente se encuentren dos mensajes con el mismo vector de iniciacin, y por lo tanto sea fcil hacerse

11

con la clave. Por lo tanto es inseguro debido a su implementacin. Aumentar los tamaos de las claves de cifrado slo aumenta el tiempo necesario para romperlo [Fora 2003].

2.1.5.2 WPA (Wi-Fi Protected Access) Es un sistema para proteger las redes inalmbricas Wi-Fi; creado para corregir las deficiencias del sistema previo WEP. WPA implementa la mayora del estndar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance". WPA fue diseado para utilizarse con un servidor de autenticacin (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a travs del protocolo 802.1X); sin embargo, tambin se puede utilizar en un modo menos seguro de clave pre-compartida (PSK Pre- Shared Key) para usuarios de casa o pequea oficina. La informacin es cifrada utilizando el algoritmo RC4 (debido a que WPA no elimina el proceso de cifrado WEP, slo lo fortalece), con una clave de 128 bits y un vector de inicializacin de 48 bits. Una de las mejoras sobre WEP, es la implementacin del Protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves dinmicamente a medida que el sistema es utilizado. Cuando esto se combina con un vector de inicializacin mucho ms grande, evita los ataques de recuperacin de claves (ataques estadsticos) a los que es susceptible WEP. Adicionalmente a la autenticacin y cifrado, WPA tambin mejora la integridad de la informacin cifrada. El chequeo de redundancia cclica (CRC - Cyclic Redundancy Check) utilizado en WEP es inseguro, ya que es posible alterar la informacin y actualizar el CRC del mensaje sin conocer la clave WEP. WPA implementa un cdigo de integridad del mensaje (MIC - Message Integrity Code), tambin conocido como "Michael". Adems, WPA incluye proteccin contra ataques de "repeticin" (replay attacks), ya que incluye un contador de tramas. Al incrementar el tamao de las claves, el nmero de llaves en uso, y al agregar un sistema de verificacin de mensajes, WPA hace que la entrada no autorizada a redes inalmbricas sea mucho ms difcil. El algoritmo Michael fue el ms fuerte que los diseadores de WPA pudieron crear, bajo la premisa de que deba funcionar en las tarjetas de
12

red inalmbricas ms viejas; sin embargo es susceptible a ataques. Para limitar este riesgo, WPA define que se desconecte durante 60 segundos al detectar dos intentos de ataque durante 01 minuto [Roberto 2008].

2.1.5.3 WPA2 (Wi-Fi Protected Access 2) WPA2 est basada en el nuevo estndar 802.11i. WPA, por ser una versin previa, que se podra considerar de "migracin", no incluye todas las caractersticas del IEEE 802.11i, mientras que WPA2 se puede inferir que es la versin certificada del estndar 802.11i (ratificado en Junio de 2004). La alianza Wi-Fi llama a la versin de clave pre-compartida WPA-Personal y WPA2-Personal y a la versin con autenticacin 802.1X/EAP como WPAEnterprise y WPA2-Enterprise. Los fabricantes comenzaron a producir la nueva generacin de AP apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard). Con este algoritmo ser posible cumplir con los requerimientos de seguridad del gobierno de USA FIPS140-2. "WPA2 est idealmente pensado para empresas tanto del sector privado cmo del pblico. Los productos que son certificados para WPA2 le dan a los gerentes de TI (Tecnologas de la Informacin) la seguridad que la tecnologa cumple con estndares de interoperabilidad" declar el Director de la Wi-Fi Alliance [Roberto 2008].

2.2 Estndar 802.1X

802.1x es un estndar de control de acceso y autenticacin basado en la arquitectura cliente/servidor, que restringe la conexin de equipos no autorizados a una red. El protocolo fue inicialmente creado por la IEEE para uso en redes de rea local almbricas, pero se ha extendido tambin a las redes inalmbricas. Muchos de los puntos de acceso que se fabrican en la actualidad ya son compatibles con 802.1x. La autenticacin del cliente se lleva a cabo mediante el protocolo EAP (Extensible Authentication Protocolo). EAP no es un protocolo de conexin, sino que slo define formatos
13

de mensaje. Cada protocolo que utiliza EAP define una manera de encapsular los mensajes EAP dentro de los mensajes que el protocolo El protocolo 802.1x involucra tres participantes Figura 2.2: A- Suplicante o cliente: Es quien desea conectarse con la red. B- El servidor de autenticacin o AAA: Es quien contiene toda la informacin necesaria para saber cules equipos y/o usuarios estn autorizados para acceder a la red. C- El autenticador: Es el equipo de red (switch, Acces Point) que recibe la conexin del suplicante. El autenticador acta como intermediario entre el suplicante y el servidor AAA y solamente permite el acceso del suplicante a la red cuando el servidor de autenticacin as lo autoriza.

EAPOL

RADIUS/DIAMETER

EAP

EAP

Suplicante o cliente Autenticador (NAS)

Servidor de autenticacin

Figura 2.2 Estndar 802.1X [Wikipedia-3]

Para entender cmo funciona el protocolo 802.1x sigamos el siguiente diagrama de flujo figura 2.3.

14

Figura 2.3 Diagrama de flujo 802.1x [Elaboracin propia]

1. El cliente, que quiere conectarse a la red, enva un mensaje de inicio de EAP que da lugar al proceso de autentificacin. 2. El punto de acceso (autenticador) responda con una solicitud de autentificacin EAP. 3. El cliente responde al punto de acceso con un mensaje EAP que contendr los datos de autentificacin, estos a su vez son renviador al servidor de autenticacin.

15

4. El servidor de autentificacin verifica los datos suministrados por intermedio del autenticador y otorga acceso a la red en caso de validarse. 5. El punto de acceso trasmite un mensaje EAP de aceptacin o rechazo, dejando que el cliente se conecte o rechazndolo. 6. Una vez autentificado, el cliente y el punto de acceso establecen conexin y obtiene acceso a la red.

2.2.1 Mtodos de autenticacin EAP

802.1X utiliza el Protocolo de autenticacin extensible (EAP) para el intercambio de mensajes durante el proceso de autenticacin y el Protocolo de autenticacin extensible utilizado en la LAN (EAPoL, EAP Over LAN) usado para transportar EAP. Con EAP se utilizan mtodos de autenticacin arbitrarios, como contraseas, tarjetas inteligentes o certificados para autenticar la conexin inalmbrica. La compatibilidad que 802.1x ofrece con los tipos de EAP le permite utilizar cualquiera de los siguientes mtodos de autenticacin:

2.2.1.1 LEAP

El Protocolo ligero de autenticacin extensible (LEAP) es una propiedad de mtodo EAP desarrollado por Cisco Systems antes de la IEEE ratificacin de la 802.11i estndar de seguridad. [Ou 2007] Cisco distribuye el protocolo a travs del CCX (Cisco Certified extensiones), como parte de conseguir 802.1X y dinmica WEP adopcin en la industria en la ausencia de una norma. No hay soporte nativo para el LEAP en cualquier sistema operativo Windows, pero es ampliamente compatible con el software cliente de tercera parte que ms comnmente se incluye con WLAN (Wireless LAN) dispositivos. LEAP es compatible con Microsoft Windows 7 y Microsoft Windows Vista se pueden agregar mediante la descarga de un cliente de Cisco aade en el que aade soporte para LEAP y EAP-FAST. Debido a la amplia adopcin de salto en la industria de redes, muchos otros vendedores de WLAN reclamar el apoyo para LEAP.

16

LEAP utiliza una versin modificada del MS-CHAP, una autenticacin de protocolo en el que las credenciales del usuario no estn fuertemente protegidas y por lo tanto estn comprometidos con facilidad. Actual de la recomendacin general de Cisco es de utilizar los nuevos y ms fuertes protocolos EAP, como EAP-FAST, PEAP o EAP-TLS.

2.2.1.2 EAP-TLS

EAP-Transport Layer Security (EAP-TLS), que se define en el RFC 5216, es un IETF estndar abierto, y est bien soportado entre los proveedores inalmbricos. La seguridad que utiliza el protocolo TLS es fuerte, siempre que el usuario entienda las advertencias de posibles acerca de las credenciales falsas. Utiliza PKI para asegurar la comunicacin a un servidor de autenticacin RADIUS o de otro tipo de servidor de autenticacin. As que, aunque EAP-TLS proporciona una excelente seguridad, la sobrecarga de los certificados del lado del cliente puede ser un problema. EAP-TLS todava se considera uno de los estndares disponibles ms seguras de la PEA y es universalmente soportado por todos los fabricantes de hardware para LAN inalmbrica y software. La exigencia de un certificado de cliente, por impopular que sea, es lo que da EAPTLS su fuerza la autenticacin. Existen implementaciones de servidor y cliente de EAP-TLS en 3Com, Apple, Avaya , Brocade Communications, Cisco, Enterasys Networks, Foundry, Hirschmann, HP, Juniper y Microsoft y sistemas operativos libres. EAP-TLS es compatible de forma nativa en Mac OS X 10.3 y superior, wpa_supplicant , Windows 2000 SP4, Windows XP y superiores, Windows Mobile 2003 o superior, Windows CE 4.2, y el IOS de Apple el sistema operativo mvil.

2.2.1.3 EAP-MD5

EAP-MD5 es el nico Estndar IETF Track mtodo basado EAP, en primer lugar se define en el RFC original para EAP, RFC 2284. Ofrece una seguridad mnima, y el MD5 funcin de
17

dispersin es vulnerable a ataques de diccionario, y no es compatible con la generacin de claves, lo que lo hace inadecuado para su uso con WEP dinmica, o de la empresa WPA/WPA2. EAP-MD5 difiere de otros mtodos EAP, ya que slo proporciona la autenticacin de los pares de EAP en el servidor EAP, pero no la autenticacin mutua. Al no proporcionar la autenticacin del servidor EAP, EAP este mtodo es vulnerable a man-in-themiddle. EAP-MD5 apoyo se incluy por primera vez en Windows 2000 y en desuso en Windows Vista.

2.2.1.4 EAP- PEAP

Protected Extensible Authentication Protocol (PEAP) es un protocolo creado por el esfuerzo comn de RAS, Microsoft y Cisco Systems, para poder manejar un mtodo de autenticacin EAP comn a varias compaas. Una de las principales ventajas de PEAP es tener un fuerte tipo de autenticacin EAP que no requiere certificados digitales de los clientes. EAP-PEAP trabaja similarmente como el protocolo EAP-TLS, de modo que crea un tnel cifrado con TLS (Transport Layer Security) para poder realizar la autenticacin del usuario hacia el Servidor de Autenticacin. El proceso de autenticacin EAP-PEAP empieza mediante una paquete request packet del suplicante para ser atendido. El punto de acceso escucha la peticin y responde mediante un paquete response packet. Esta respuesta tambin preguntar al suplicante por su

correspondiente identidad. La identidad ser el tipo de EAP, en este caso EAP-Type=PEAP, esto significa que el tipo de autenticacin usada por el servidor de autenticacin ser PEAP. El trfico de datos se transportar por intermedio del punto de acceso, el cual es llamado tambin Authenticator. Una vez que el mtodo de autenticacin PEAP es elegido, un tnel cifrado TLS es creado mediante un certificado del servidor de autenticacin. Es por este tnel TLS que el proceso de autenticacin del suplicante toma lugar.

18

2.2.1.5 EAP-TTLS

EAP-Tnel Transport Layer Security (EAP-TTLS) es un protocolo EAP que se extiende TLS. Fue co-desarrollado por Funk Software y Certicom. En general, se admite en todas las plataformas, aunque no hay soporte nativo del sistema operativo para este protocolo EAP en Microsoft Windows. El cliente puede, pero no tiene por qu ser autenticado por medio de un CA -firmado PKI certificado en el servidor. Esto simplifica enormemente el proceso de configuracin como un certificado no necesita estar instalado en cada cliente. Despus de que el sistema est bien autenticado al cliente a travs de su certificado de la CA y, opcionalmente, el cliente al servidor, el servidor puede utilizar la conexin segura establecida ("tnel") para autenticar el cliente. Se puede utilizar un protocolo de autenticacin existente y ampliamente desarrollada y de la infraestructura, la incorporacin de los mecanismos existentes de autenticacin de contrasea y bases de datos, mientras que el tnel seguro ofrece proteccin contra espionaje y ataques man-in-the-middle. Tenga en cuenta que el nombre del usuario no se transmite en texto plano sin encriptar, lo que mejora la privacidad.

2.2.2 protocolos de autenticacin

Independientemente de los mtodos de autenticacin que hemos visto en el apartado anterior, para la comunicacin interna de los servicios podemos usar diferentes protocolos de autenticacin.

2.2.2.1 PAP

Password Authentication Protocol o PAP es un protocolo simple de autenticacin para autenticar un usuario contra un servidor de acceso remoto o contra un proveedor de servicios de internet. PAP es un subprotocolo usado por la autenticacin del protocolo PPP (Point to
19

Point Protocol), validando a un usuario que accede a ciertos recursos. PAP transmite contraseas o passwords en texto plano.

2.2.2.2 CHAP

CHAP o protocolo de autenticacin por desafo mutuo, utiliza un algoritmo (MD5) para calcular un valor que slo conocen el sistema de autenticacin y el dispositivo remoto, conocido como secreto compartido. Con CHAP, el nombre de usuario y la contrasea siempre se envan cifrados. Aunque la comunicacin est cifrada, actualmente el algoritmo MD5 est roto.

2.2.2.3 MSCHAP / MSCHAPv2

MS-CHAP, (Microsoft Challenge Handshake Authentication Protocol.). Es un protocolo de autenticacin de contraseas de cifrado por desafo mutuo, de Microsoft, el cual es irreversible. Bsicamente la diferencia entre ambos protocolos es que la versin 2 de MSCHAP, Microsoft realiz mejoras importantes de seguridad. Proporciona autenticacin mutua, claves de cifrado de datos iniciales ms fuertes.

2.3 Arquitectura de control de acceso

2.3.1 Arquitectura AAA El desarrollo tecnolgico ha trado como consecuencia la vulnerabilidad a amenazas informticas que pueden comprometer la operacin de una organizacin, por ello se estn adoptando mecanismos que permiten una gestin eficiente de todos los requerimientos de seguridad, asignando roles y privilegios para el acceso a todos los sistemas que consuman
20

servicios proporcionados, permitiendo una gestin eficiente a fin de mantener la disponibilidad y confidencialidad de la informacin. AAA (Autentication, Authorization, Accounting) es un estndar para el diseo basado en la autenticacin, no es un sistema en s, sino una coleccin y definicin de normas para la creacin de sistemas. La fusin de los tres permite crear un sistema de gestin completo de usuarios que controle todos los aspectos relativos a su identificacin, gestin de recursos o servicios permitidos para su uso y estadsticas para el control de su utilizacin. La arquitectura AAA permite la existencia de servidores Proxy para descentralizar peticiones hacia otros servidores, con lo que una peticin de la autenticacin o arqueo podr ser transferida a otro servidor secundario por el servidor principal, este proceso es independiente para cada una de las tres aes, por lo que se pueden construir redes complejas que gestionen independientemente la autenticacin hacia un servidor, la autorizacin hacia otro u otros y el arqueo hacia otros. Todo esto proporciona las caractersticas de redundancia, descentralizacin y balanceo de carga. En la arquitectura AAA, existen diferentes componentes: El solicitante. Equipo o usuario que solicita la autenticacin. El NAS. Es el equipo de red que hace de puerta de entrada fsica y tramita la autenticacin. Este equipo suele ser quien inicia la secuencia de autenticacin al detectar una conexin activa, por ellos se denomina autenticados. El servidor de autenticacin. Es el que dirige todo el proceso AAA de los equipos y usuarios que soliciten acceso, puede hacer el papel de Proxy elevando las consultas a otros servidores. Servidor de directorio o servidor de base de datos de usuario y credenciales . Al cual el servidor de autenticacin va a solicitar los datos de autenticacin de los solicitantes de acceso. Este puede ser la misma mquina que el servidor de autenticacin, un servidor de directorio activo, una base de datos o un servidor UNIX con credenciales de usuario. Proveedor de servicios. SP (Service Provider). Es el propietario de la infraestructura de acceso a la que se conecta el usuario y por lo tanto es el propietario del servicio
21

AAA y del equipo del servicio o NAS. Las tres aes proporcionan respuestas a las tres preguntas necesarias para acceder a un servicio que se presta a un solicitante. o Autenticacin Quin es el solicitante? o Autorizacin A qu servicios le voy a permitir acceder? o Arqueo (contabilidad) Qu hace el cliente con los servicios que presto?

2.3.1.1 Autenticacin

Es el proceso de verificar la identidad de un remitente que hace una peticin para conectarse a un sistema. El remitente puede ser una persona que usa una computadora u otro medio electrnico, una computadora por s mismo o programa. La autenticacin es un modo de asegurar que los usuarios son realmente quienes dicen ser y que tienen la autorizacin para realizar funciones en el sistema. Los primeros sistemas utilizaban una estructura simple de nombre de usuario y contrasea en texto plano, basando todo este sistema en estos dos datos, que podran ser interceptados o robados por otra persona. Con el tiempo este sistema fue mejorando mediante el acceso a travs de desafo (challenge), mediante dicho proceso no hay intercambio de contraseas durante el transporte de la autenticacin, sino mediante la encriptacin de mensajes de una misma clave y un mismo algoritmo, evitando el transporte de la contrasea en s. Posteriormente se implantan otros mtodos, como el acceso a travs de equipos telefnicos con identificador (nmero de telfono o nmero de serie), el generador de contraseas porttil (token), tarjetas de acceso, sistemas biomtricos, etc.; hasta llegar en la actualizas a un sistemas ms seguro basado en certificados llamado infraestructura de Clave Pblica, PKI (Public Key Infraestructure), que es una tecnologa o conjunto de protocolos y estndares, que utilizan para su puesta en funcionamiento un conjunto de hardware y software, adems de una serie de procedimientos de implementacin de seguridad y normativas. Durante este proceso no es el solicitante quien habla lenguaje AAA con el servidor de Autenticacin, sino que el solicitante habla con el NAS o autenticador, y es este quien traduce o encamina los paquetes hacia el servidor de autenticacin. De esta manera no existe un
22

camino abierto entre el solicitante y el servidor de autenticacin, con lo que se garantiza bastante la seguridad del servidor de autenticacin contra ataques directos, ya que un atacante tendra que estar en el interior de su infraestructura. AAA es verstil, ya que no provee de un nico mtodo de autenticacin, sino que es considerado un protocolo extensible porque permite cualquier tipo de autenticacin que se integre o adapte a su formato. En esta fase de autenticacin se produce el mensaje inicial de solicitud de acceso desde el equipo NAS al servidor de autenticacin en forma de: Solicitud de acceso (Access Request). El solicitante enva el nombre de usuario y contrasea cifrada, si procede hacia el NAS. Este enva entonces al servidor de autenticacin el mensaje de Access-Request solicitando adems el puesto de acceso para el solicitante.

2.3.1.2 Autorizacin

Es el proceso de aceptar o denegar el acceso de un usuario a los recursos de la red una vez este ha sido autenticado con xito. La cantidad de datos y servicios a los que el usuario podr acceder depende del nivel de autorizacin que tenga establecido. Este proceso contesta la pregunta: a qu servicios se va a permitir acceder al solicitante, una vez autenticado? En este paso se produce la consulta del servidor de autenticacin a la base de datos del usuario, certificndose en la informacin del usuario que solicita acceso. En los registro relacionados con este usuario, se podr consultar todo tipo de derechos y deberes con l, de esta manera el servidor conocer detalles como: Si el solicitante est autorizado a acceder a la red en este momento, si le debe asignar la direccin IP correcta, si habr de configurarle parmetros especficos para su conexin, si deber concederle un ancho de banda determinado, si debe solicitar otro tipo de credenciales, o simplemente si deber denegar su acceso. Todas estas reglas son definidas para cada usuario en concreto, para un grupo de usuario o para todos los usuarios.

23

En esa fase el servidor de autenticacin, tras conocer todos los atributos necesarios para el solicitante, responder a su solicitud de autenticacin mediante un mensaje estndar enviado al equipo NAS para permitir, denegar o volver a preguntar sobre su acceso: Aceptacin de Acceso (Access-Accept). Cuyo fin de la solicitud de autenticacin es la aceptacin del acceso. Si el mecanismo de acceso ha sido correcto, se enva el mensaje al NAS con los atributos necesarios para regular el acceso del solicitante de forma personalizada. Denegacin de Acceso (Access-Reject). Debido a usuario inexistente, contrasea incorrecta, derechos reservados, se le deniega de forma incondicional el acceso a este solicitante. Se puede incluir en este mensaje el motivo de la denegacin del servicio. El NAS que recibe este mensaje no permite el acceso al solicitante, enviando un mensaje al solicitante. Solicitud de informacin adicional para el acceso (Access-Challenge). Se le requiere al solicitante informacin adicional, como contraclave, tarjeta de acceso, PIN de acceso o cualquier mtodo alternativo o adicional de acceso. El NAS transmite la peticin al solicitante. Este mensaje puede ser intercambiado en mltiples ocasiones dependiendo del tipo de autenticacin y de la informacin.

2.3.1.3 Contabilidad

Una vez realizado el proceso de autorizacin se produce la fase de arqueo, proceso de rastrear la actividad del usuario mientras accede a los recursos de la red, incluida la cantidad de tiempo que permaneces conectado, los servicios a los que accede, as como los datos transferidos durante la sesin. Los datos registrados durante este proceso se utilizan con fines estadsticos. Estos datos correctamente manejados y gestionados nos permiten tomar decisiones en cuanto al uso de recursos por parte de los usuarios, con el fin de denegar conexiones, cambiar anchos de banda, impedir descargas, etc.

24

La fase de arqueo est limitada por la capacidad del equipo NAS de registrar informacin de sesiones. Mediante este proceso se podra facturar a los usuario los servicios prestados ya sea en forma de tiempo o de flujo de datos; por ejemplo al acceder a internet mediante conexiones mviles (UMTS, 3G, etc.), se suele tarifar el servicio por descarga de datos, si no se tiene contratado tarifa plana. En el rea de arqueo se acumula la informacin de sesiones para posteriormente tarifarlas, de esa manera la Contabilidad es el responsable de proporcionar los datos necesarios para enlazar con un sistema de tarificacin adecuado. Durante esta fase se producen los siguientes mensajes: Solicitud de inicio de arqueo (Accounting Request). Solicitud de inicio enviada desde el equipo NAS al servidor, que indica que ha comenzado la fase de arqueo y se comenzar a registrar los datos de la sesin de usuario. Respuesta de asentamiento al inicio del arqueo (Accounting Response). Responde a la solicitud inicial. Registrando la informacin de inicio y enviando este paquete NAS para mostrar su conformidad. Solicitud final de arqueo (Accounting Request). El NAS comprueba la desconexin del usuario y enva al servidor un mensaje final de la fase de arqueo.

2.3.2 Protocolos AAA 2.3.2.1 TACACS

TACACS (Terminal Access Controller Access Control System, sistema de control de acceso mediante control del acceso desde terminales) es un protocolo de autenticacin remota, propietario de CISCO, que se usa para comunicarse con un servidor de autenticacin comnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticacin para determinar si el usuario tiene acceso a la red. TACACS est documentado en el RFC 1492 [TACACS 2012].
25

2.3.2.2 TACACS+

TACACS + (Terminal Access Controller System Access Control) es un protocolo que permite acceso controlado a servidores de red, acceso a routers, y a otros dispositivos de red va uno o ms servidores centralizados, provee servicios de autenticacin y concesin de privilegios administrativos adems de creacin de cuentas de usuario de manera controlada. El servidor TACACS + para autenticar la solicitud, y autorizar a los servicios en la conexin hace coincidir los datos de la solicitud del NAS con las entradas de algunos conocidos, la base de datos de confianza. El modelo de seguridad AAA, en la que el protocolo TACACS +, afirma una distincin exacta entre las tres fases distintas de un acceso de los usuarios de la red: Autenticacin, Autorizacin y Contabilidad. La activacin de cada una de estas tres fases se puede configurar de forma independiente en el NAS. Lo que el NAS se enva al servidor TACACS + depende estrictamente de la configuracin del propio NAS. El servidor TACACS + puede aceptar la autenticacin del usuario o la autorizacin o rechazo del usuario. Con base en esta respuesta del servidor TACACS +, el NAS decidir la conveniencia de establecer la conexin del usuario ("aceptar de usuario" o aceptar paquete") o finalizar intento de conexin del usuario ("rechazo de usuario" o "rechazar paquetes"). Finalmente, los datos NAS cuestiones contables que el servidor TACACS + para documentar la transaccin [TACACS+ 2012].

2.3.2.3 RADIUS

Para la descripcin del protocolo RADIUS usaremos la informacin contenida en la tesina [Crdoba 2010] donde tomaremos la introduccin y los orgenes, la descripcin, mtodos de autenticacin, tipos de autenticacin y la secuencia de autenticacin de este protocolo.

26

El servidor de Autenticacin Remota para sistemas de Marcado Telefnico a Redes, RADIUS (Remote Authentication Dial-Up Server), es ampliamente empleado para controlar el acceso a servicios de red. El nombre de RADIUS proviene desde sus comienzos, donde su nico uso era el acceso a redes a travs de un modem, actualmente su funcionabilidad es mucho ms amplia, ya que a pesar de algunas de sus limitaciones ha ido adoptando una serie de mejoras que han permitido gestionar desde pequeas redes seguras hasta redes de alto nivel, por tal motivo RADIUS es el protocolo AAA principal en la actualizad. RADIUS es un protocolo que existe antes que AAA, tan es as, que prest sus cdigos y conocimientos al grupo de trabajo que comenz a disear las bases de AAA. Por lo que cumple con todas las normas de este estndar. RADIUS es creado debido a que en los aos 90, las redes crecieron considerablemente haciendo ms difcil el control de acceso a estas. Cada fabricante de sistemas de acceso remoto telefnico (dial-ip) utilizaba sus sistemas propietarios de control de acceso, lo que llevo a una empresa llamada Merit a buscar una solucin para desarrollar un mecanismo de autenticacin comn. Merit lanzo en 1992 una RFI (Request For Information) a las primeras empresas de networking. Una de las empresas que respondi a esa solicitud fue Livingston Enterprises, dando una clara descripcin de lo que posteriormente pas a llamarse RADIUS. Despus de varias mejoras se public el estndar RADIUS, el cual ha seguido trabajando en la introduccin de nuevos tipos de autenticacin, autorizacin y arqueo para continuar mejorando su seguridad, transporte e informacin.

Descripcin del protocolo RADIUS es un protocolo que se ejecuta en una de las mltiples plataformas que permite (Unix, GNU/Linux, Windows y Solaris) y que permanece de forma pasiva a la escucha de solicitudes de autenticacin. Para lograrlo utiliza el Protocolo de Datagrama de Usuario UDP y permanece a la escucha en los puertos 1812 para la autenticacin y 1813 para el arqueo. El motivo por el cual RADIUS utiliza UDP y no TCP (Protocolo de Control de Transporte), es porque UDP no se hace cargo del control de llegada de los paquetes que enva a su destino, con lo que las retransmisiones se puede hacer ms rpidamente, ya que el puerto no queda ocupado por el control de conexin, lo que si ocurre con TCP. RADIUS es el servidor de
27

autenticacin, que junto con el solicitante y los autenticados, son los componentes principales del estndar AAA. RADIUS est basado en un modelo cliente servidor ya que escucha y espera en forma pasiva las solicitudes de sus clientes o servidores NAS. En este modelo el NAS es el responsable del envi y de la correcta recepcin de las solicitudes de acceso, y es el servidor RADIUS el responsable de verificar las credenciales del usuario y de ser correctas, de enviar al NAS los parmetros de conexiones necesarios para prestar el servicio a los solicitantes. En la Figura 2.4 se puede observar el modelo tpico de implantacin de un servidor RADIUS, en dicha figura se encuentra el servidor RADIUS y el servidor de directorio o base de datos (BD), esta zona est protegida para los usuarios externos, los cuales primeramente deben autentificarse mediante el NAS para poder llegar a ella. El solicitante deber realizar una peticin al NAS o al conmutador Ethernet mismo gestionaran su solicitud al servidor RADIUS. Este a su vez, consultara el servidor de directorio o BD de credenciales y permitir o no el acceso al solicitante.
DMZ 802.1X (EAPOL) RADIUS/EAP

Cliente

NAS Mtodo de autenticacin

Directorio o base de dato Servidor RADIUS

Figura 2.4 Modelo de implantacin servidor RADIUS [eusso 2014]

Metodos de autenticacion

Los mtodos de autenticacin son mdulos de software sobre los que se basa RADIUS para llevar a cabo el proceso de autenticacin de usuario. Estos mdulos son complejas cajas matemticas encargadas de realizar el cifrado, descifrado y empaquetado de todos los procesos de autenticacin. Cuando RADIUS recibe una solicitud de acceso, va pasndola por cada uno de los mdulos de autenticacin que tenga activos en su configuracin, hasta que algunos de esos mdulos reconozca las credenciales del usuario y se encargue de validad la autenticacin.
28

Desde el mtodo nativo de RADIUS que es el Protocolo de Autenticacin mediante Contrasea, PAP (Password Authentication Protocol), hasta los ms actuales como algunos tipos nuevos de Protocolo de Extensin de Autenticacin, EAP (Extensible Authenticacion Protocol), la evolucin en cuanto a seguridad ha sido notable. PAP y el protocolo de Autenticacin por Desafo Mutuo, CHAP (Challenge Handshake Authentication Protocol) son los mtodos nativos de autenticacin incluido en los primero servidores RADIUS y por lo mismo los ms vulnerables. Todas las versiones de RADIUS tienen soporte para este mtodo. Cuando los mtodos de autenticacin de RADIUS PAP y CHAP, estn en duda de seguridad, surge el nuevo mtodo EAP que llega a extender la autenticacin. EAP es un protocolo que se encarga de transportar, encapsular y ofrecer seguridad en la autenticacin y dentro de l se encuentran los mtodos de autenticacin a utilizar. Los mtodos de autenticacin EAP pueden ser de los siguientes tipos: Mtodo basado en claves compartidas. Estos mtodos tienen el problema en su forma distribuida, transporte o almacenamiento de las credenciales, debido a que se da por el hecho que cada usuario debe tener bien guardada su clave en un lugar seguro. Mtodo basado en certificados. Estos mtodos son los ms seguros pero tambin los ms difciles de implantar. Aqu tenemos a los Certificados PKI, los cuales son las clave central de la infraestructura PKI, ya que con ellos se enlaza las claves pblicas, que es la clave que un solicitante comparte con otras entidades a fin de que puedan leer su informacin con los datos que permiten identificarlo. Ejemplo de estos mtodos son EAP-TLS, EAP-TTLS y EAP-PEAP. Mtodos no tuneleados. En este tipo de mtodos el trafico EAP completo no es cifrado por el solicitante, autenticador o servidor de autenticacin, solamente la informacin la informacin de contrasea de usuario y otra informacin importante se cifra en el interior de los paquetes que circulan por la red. Esto hace que los paquetes que se generan en el proceso de autenticacin se puedan interceptar para obtener las credenciales de los usuarios.

29

 Mtodos tuneleados. Estos mtodos utilizan un sistema criptogrfico para encapsular el trfico completo en el proceso de autenticacin, autorizacin y arqueo, incrementando as la seguridad contra la interceptacin de trfico.

Tipos de autenticacin La manera de almacenar los nombres de usuarios y contraseas de los solicitantes, puede realizarse de diferentes maneras: Autenticacin contra archivo de usuarios. Esta es la forma ms bsica utilizada por los servidores de autenticacin. Utiliza un fichero de texto en el cual se almacenan las credenciales de los usuarios y los parmetros asociados a estos. Se recomienda para redes con un nmero reducido de usuarios. Autenticacin contra el sistema operativo. Aqu basta dar los privilegios suficientes para que un mdulo del servidor de autenticacin pueda leer los usuarios y sus contraseas almacenadas en las formas nativas que utilizan los sistemas operativos (S.O). Autenticacin contra bases de datos. En este tipo de autenticacin contra una base de datos, generalmente del tipo SQL, como Oracle, MySQL, etc. Los datos de credenciales de usuario, sus atributos de autorizacin y la informacin de arqueo de cuentas se almacenan en bases de datos pudindose hacer de manera cifrada utilizando funciones como MD5 o SHA1. Para la administracin de un gran numero e usuario de base de datos es la mejor solucin, pudindose crear script automticos en lenguaje SQL para ejecutar los procesos de Autenticacin, Autorizacin y Arqueo. Autenticacin contra servicio de Directorio. Este tipo de autenticacin es apropiado para empresas medianas a grandes que quieran autenticar a sus empleados contra sus sistemas internos de gestin de usuario. Los servicios de directorio son Active Directory mediante Kerberos, LDAP y eDirectory entre otros. RADIUS realiza las consultas de autenticacin y autorizacin contra las base de datos almacenadas en los servidores de directorios, en los cuales se gestiona de forma comn las polticas de acceso y trabajo en la red corporativa.
30

La reautenticacin del solicitante se lleva a cabo si se pierde la conexin y necesita volver a autenticarse en el servidor RADIUS. Tambin se puede forzar esta reautenticacin en intervalos de tiempo para incrementar la seguridad; sin embargo, se debe tener cuidado para programar este tiempo a fin de evitar saturas al servidor. Secuencia de autenticacin RADIUS La comunicacin entre el solicitante, el NAS y el servidor de autenticacin tiene la siguiente secuencia como en la figura 2.5, aunque no se sigue siempre de la misma forma debido a factores que pueden variar, por ejemplo, el mtodo de autenticacin o los reintentos. 1. La secuencia comienza por un Access_request, esta solicitud de acceso es un mensaje que contiene atributos como el nombre de usuario, la contrasea, el nmero de puesto NAS y el ID del cliente. El NAS enva esta solicitud al servidor RADIUS que tenga preestablecido en su lista de servidores, si es que tuviera ms de uno. Si no recibiera respuesta en un tiempo determinado, reintentara el envi cierto nmero| de veces. 2. EL servidor RADIUS que recibe la solicitud comprueba si proviene de un equipo NAS autorizado, si no es as, la descarta de forma silenciosa. Si el cliente NAS est en su lista y el shared secret es el correcto comprueba en su base de datos el nombre de usuario y la contrasea. El shared secret o secreto compartido de RADIUS es una contrasea con formato alfanumrico hasta 128 bytes que se define en los dos extremos de un canal RADIUS, esos extremos son el servidor RADIUS y su cliente, el cliente puede ser un equipo NAS, un servidor WEB o un Proxy RADIUS. Este secreto se utiliza para encapsular las comunicaciones entre el cliente y el servidor RADIUS. 3. SI el tipo de autenticacin est basado en el desafo, se enva al solicitante un mensaje de Access-Challenge con una frase aleatoria que debe calcular. Despus de esto, el solicitante enviara este clculo y el NAS a su vez, enviara nuevamente un AccessRequest con los datos calculados. 4. Una vez comprobados todos estos datos de autorizacin y la base de datos de credenciales, se decidir si se acepta o deniega la solicitud. As, se enviara ya sea un mensaje de Access-Accept o uno de Access-Reject al NAS con los atributos necesarios para activar o denegar el servicio.

31

5. Si el mensaje anterior es un Access-Accept, el NAS abrir el puerto con atributos designados y enviara un mensaje de Accounting-Request (Start) al servidor RADIUS, indicndole que ha comenzado el arqueo de la sesin del usuario. El servidor RADIUS confirmara la recepcin del inicio de sesin enviando al NAS un mensaje AccountingRespose (Start) y guardara los datos de inicio de sesin de usuario que le envi el NAS con el Accounting-Request (Start). 6. Al terminar la sesin del usuario, por el mismo o por otra razn el NAS enva al servidor un mensaje Accounting-Request (Stop) indicndole el fin de la sesin del usuario, as como los datos de consumo del usuario. 7. Finalmente el servidor confirma de recepcin de esos datos mediante un mensaje Accounting-Response (Stop), envindolo al NAS, terminando as el proceso de autenticacin. En la siguiente figura se muestra la secuencia RADIUS.
Suplicante Autenticador Servidor de autenticacin

Cliente

EAPOL

Access Point

RADIUS

Server RADIUS (AAA)

EAP Request ID EAP Responde ID RADIUS Access Request

RADIUS Acess Challenge ID EAP Request Challenge ID

EAP Respose Challenge ID RADIUS Access Request

RADIUS Access Accept EAP Success

Figura 2.5 Secuencia de autenticacin RADIUS [Crdoba 2010]

32

Implementaciones RADIUS

FreeRADIUS Es uno de los servidores RADIUS ms populares y verstiles. RADIUS es uno de los protocolos ms ampliamente utilizados para realizar la gestin del acceso a redes de rea extensa, sobre todo en el mbito de los ISP (Internet Service Providers). Podramos decir que FreeRADIUS es un producto compuesto tanto por una base de datos de usuarios como por un servidor capaz de atender peticiones de autenticacin realizadas por otros elementos de nuestra red. Como indica su nombre, se trata de un producto de cdigo abierto con soporte para gran cantidad de plataformas [Migdalis 2010].

Cisco Secure Es una plataforma de control de acceso propietaria de Cisco, que le ayuda a cumplir con las polticas y permite gestionar de forma centralizada el acceso a recursos de red para una variedad de dispositivos y grupos de usuarios. Tras confirmar la identidad de un usuario o dispositivo, as como el cumplimiento de las polticas de seguridad de la empresa, puede habilitarse el acceso a determinados recursos o partes de la red. La solucin de identidad y confianza de Cisco, denominada ACS, incluye el protocolo de autenticacin 802.1x y funciones AAA en los switch y router de Cisco, tiene la flexibilidad de proporcionar un elevado nivel de derechos de acceso y de crear zonas de cuarentena para los puntos terminales que presenten una no conformidad, adems de la posibilidad de bloquear completamente todo acceso no autorizado [Migdalis 2010].

IAS (Internet Authentication Service) Es la implementacin de Microsoft de un servidor RADIUS, IAS emplea la autenticacin, autorizacin y seguimiento centralizado de la conexin para varios tipos de acceso a la red,
33

como pueden ser accesos inalmbricos y conexiones por Red Privada Virtual (VPN). El IAS, tambin cumple funciones de proxy RADIUS, el cual propaga los mensajes de autenticacin y seguimiento a otros servidores RADIUS [Migdalis 2010].

2.3.2.4 DIAMETER Diameter (DMT), fue especialmente diseado para satisfacer los requerimientos de diferentes grupos de trabajo y se ha centrado y limitado al aporto de acceso a redes IP, para lo cual emplea el puerto 3828. Inicialmente diseado como una mejora del protocolo RADIUS la meta era maximizar la compatibilidad y facilitar la migracin desde RADIUS. El servidor Diameter esta definido en trminos de un protocolo base y un grupo de aplicaciones, lo cual, provee mecanismos bsicos de transporte, envio de mensaje, manejo de error y la capacidad de soportar tipos especficos de accesos a la red [IBM 2014]. Con la aparicin de nuevas tecnologas y aplicaciones como las redes inalmbricas e IP mviles, los requisitos de autenticacin y autorizacin han aumentado considerablemente, y los mecanismos de control de acceso son ms complejos que nunca. El protocolo RADIUS puede ser insuficiente para hacer frente a estos nuevos requisitos, lo que se necesita es un nuevo protocolo que es capaz de cumplir con las nuevas funciones de control de acceso, manteniendo la flexibilidad para la expansin. Aqu es donde el protocolo Diameter entra en juego. Las mejoras en comparacin al protocolo RADIUS son [Wikipedia 4]: Usa protocolos de transportes fiables (TCP o SCTP, no UDP) Usa seguridad a nivel de transporte (IPSEC o TLS) Tiene compatibilidad transicional con RADIUS Tiene un espacio de direcciones mayor para AVPs (Attribute Value Pairs, pares atributo-valor) e identificadores (32 bits en lugar de 8)

34

 Es un protocolo peer-to-peer en lugar de cliente-servidor: admite mensajes iniciados por el servidor Pueden usarse modelos con y sin estado Tiene descubrimiento dinmico de peers (usando DNS SRV y NAPTR) Tiene negociacin de capacidades Admite ACKs en el nivel de aplicacin, definiendo mtodos de fallo y mquinas de estado (RFC 3539) Tiene notificacin de errores Tiene mejor compatibilidad con roaming Es ms fcil de extender, pudiendo definirse nuevos comandos y atributos Incluye una implementacin bsica de sesiones y control de usuarios El protocolo base es usado para enviar unidades de data Diameter, negociar capacidades y manejar errores. Las aplicaciones Diameter defines funciones especficas de aplicaciones. Actualmente, IMS hace uso de dos aplicaciones: Diameter SIP y Diameter credit control.

2.4 Campus universitario

Un campus es el conjunto de terrenos y edificios que pertenecen a una universidad. El trmino proviene del ingls campus, y ste a su vez del latn campus, llanura. Se empez a utilizar en espaol a mediados del siglo XX y es invariable en plural. El Campus no solo es el rea perteneciente a una universidad, sino tambin el conjunto de edificios que la forman. Generalmente un campus incluye las bibliotecas, las facultades, las aulas, incluso las zonas de residencias para los estudiantes, y normalmente reas de esparcimiento como cafeteras, incluso tiendas y sobre todo jardines y parques.
35

La palabra se adopt primero para describir un espacio urbano particular en el College de Nueva Jersey (de la Universidad de Princeton) durante las primeras dcadas del siglo XVIII. Otros colegios adoptaron luego la palabra para describir campos o llanuras concretas en sus propias instituciones, pero todava la palabra campus no describa la totalidad de las propiedades universitarias. Es en el siglo XX cuando el significado se expande realmente, para englobar el conjunto de edificios universitarios de servicios, docencia e investigacin y los terrenos que los engloban. Uno de los primeros campus modernos de Espaa fue el de la Ciudad Universitaria de Madrid, creado para la entonces Universidad Central (la actual Universidad Complutense de Madrid), promovido por el rey Alfonso XIII a semejanza de los campus britnicos que se encontraban en pleno auge. Por extensin, en algunas universidades, los servicios de intranet o Internet, que completan la infraestructura docente, se renen en los llamados campus virtuales [Wikipedia 5].

36

Captulo 3: ESTADO DEL ARTE METODOLOGICO

En este captulo se realiza una revisin de las diferentes soluciones y protocolos utilizados para el control de acceso.

3.1 Trabajos de investigacin para el control de acceso en una WLAN

Aqu presentamos dos trabajos que buscan solucionar el control de acceso en redes inalmbricas, el primero mediante el uso de DNI electrnico como mtodo de autenticacin y el segundo utilizando software libre para la solucin.

3.1.1 Sistema de control de acceso en redes Wireless con el DNI electrnico. Trabajo de fin de carrera elaborado por Sergio Ybenes Moreno, de la Universidad Politcnica de Madrid, ao 2009 [Sergio 2009]. Esta solucin busca documentar y describir como disear y poner en funcionamiento un sistema de control de acceso, a redes WIFI o inalmbricas, con autenticacin de los usuarios por medio del Documento Nacional de Identidad electrnico espaol (e-DNI), con la finalidad de dar solucin al problema de inseguridad versus la comodidad para el acceso a una red inalmbrica empresarial o cualquier otra organizacin. El objetivo principal es que cualquier organizacin pueda desplegar un servicio seguro de internet sobre la WLAN, con credenciales de acceso pblico tales con el e-DNI utilizando de preferencia software libre. La solucin ha sido implementada en un ambiente de pruebas utilizando la siguiente arquitectura como se muestra en la figura 3.1.

37

E-DNI Servidor de Autenticacion

Lector de Tarjetas

AP (NAS)

LAN Servidor de Certificados

USUARIO

Figura 3.1 Arquitectura de la solucin control de acceso con eDNI [Sergio 2009]

Donde se puede identificar los siguientes componentes: Servidor de autenticacin Servidor de certificados Acces Point (NAS) Usuarios con e-DNI Lector de tarjetas

La configuracin de seguridad corresponde a la norma IEEE 802.1x utilizando el protocolo EAP-TLS y un servidor RADIUS.

3.1.2 Diseo e implementacin de un sistema de gestin de accesos a una red WIFI utilizando software libre Tesis elaborado por Jorge Alonso Lpes Mori, de la Pontificia Universidad Catlica del Per, 2008 [Jorge 2008]. Esta tesis pretende explicar el diseo e implementacin que se debera llevar a cabo dentro de un escenarios dado para la instalacin de una red inalmbrica segura que contemple la administracin se sus usuarios por medio de una plataforma de gestin web basada en PHP, integrada a un servidor de directorios LDAP, un servidor RADIUS para la autenticacin y
38

MySQL como base de datos, utilizando software libre para las implementaciones. Los objetivos que se buscan con esta solucin son de disear e implementar una red inalmbrica considerando lo ms altos grados de seguridad: con autenticaciones y comunicaciones seguras as como implementar una plataforma de gestin de contabilidad de los usuarios y llevar un anlisis costo-beneficio entre los distintos equipos disponibles en el medio para la implementacin de la red inalmbrica. La solucin se ha implementado en un ambiente de pruebas utilizando la siguiente arquitectura como se muestra en la figura 3.2

Servidor de autenticacin FreeRADIUS

Usuario Movil

Punto de acceso

Servidor de directorios de usuario OpenLDAP

Servidor de Base de datos MySQL

INTERNET Router

Servidor de gestin WEB

Figura 3.2 Arquitectura de la solucin control de acceso con software libre [Jorge 2008]

Donde se puede identificar los siguientes componentes: Servidor de autenticacin (FreeRADIUS) Servidor de directorios (OpelLDAP) Servidor de Base de datos (MySQL) Servidor de gestin web (Apache) Punto de acceso (NAS)
39

 Usuarios mvil La configuracin de seguridad corresponde a la combinacin de la norma IEEE 802.1x y WPA2 las cuales se integraran con el protocolo RADIUS y LDAP que contendr la informacin de todos los usuarios, as mismo contara con un aplicativo que llevara la contabilidad de acceso de los usuarios que sern almacenados en la base de datos.

3.1.3 Comparacin entre soluciones Para hacer una comparacin entre las dos soluciones detalladas anteriormente, se toman los siguientes puntos ms relevantes. Tipo de autenticacin Mtodo de autenticacin Componentes utilizados Norma o estndar utilizado

SOLUCION

Sistema de control de acceso en redes Wireless con el DNI electrnico.

Diseo e implementacin de un sistema de gestin de accesos a una red WIFI utilizando software libre Usuario y contrasea con LDAP RADIUS con EAP-PEAP Servidor de autenticacin, servidor de directorios, servidor de base de datos, servidor de gestin web 802.1X

Tipo de autenticacin

e-DNI con certificado digital RADIUS con EAP-TLS Servidor de autenticacin, servidor de certificados

Mtodo de autenticacin Componentes

Norma o estndar

802.1X

Tabla 3.1 Comparacin de soluciones [Elaboracin propia]

40

Como se aprecia en el cuadro 3.1 ambas soluciones utilizan el estndar 802.1X, usando como servidor de autenticacin RADIUS pero con diferentes tipos y mtodos de autenticacin.

3.2 Soluciones propietarias para el control de acceso

Analizaremos a CISCO y ARUBA NETWORK dos empresas que cuentan con las soluciones CISCO NAC y ARUBA Mobility Controller respectivamente, para el control de acceso tanto en redes cableadas e inalmbricas.

3.2.1 CISCO NAC NAC (Network Admission Control o control de admisin a la red), un conjunto de tecnologas y soluciones basadas en una iniciativa de la industria patrocinada por Cisco, utiliza la infraestructura de la red para hacer cumplir la poltica de seguridad en todos los dispositivos que pretenden acceder a los recursos informticos de la red, limitando as el dao causado por amenazas emergentes contra la seguridad. Los clientes que usan NAC tienen la capacidad de permitir que accedan a la red slo dispositivos de punto terminal (por ejemplo computadoras, servidores y agendas PDA) confiables que cumplan con las polticas de seguridad y pueden limitar el acceso de los dispositivos que no las cumplen. La tecnologa NAC Appliance, permite una rpida implementacin con servicios incorporados de evaluacin de puntos terminales, administracin de polticas y servicios correctivos. La tecnologa NAC Framework, a travs del programa de control de admisin a la red de Cisco, integra una infraestructura de red inteligente con soluciones de ms de 75 de los principales fabricantes de antivirus y otras soluciones de software de seguridad y gestin.
Cisco NAC Appliance

41

Utiliza la infraestructura de red de la organizacin para hacer cumplir la poltica de seguridad en todos los dispositivos que intentan acceder. Lo mejor de todo, este producto Network Admission Control (NAC) es fcil de implementar. Los administradores de red pueden utilizar el Cisco NAC Appliance para autenticar, autorizar, evaluar y remediar los usuarios almbricos, inalmbricos y remotos antes de que puedan acceder a la red. Con Cisco NAC Appliance, puede: Reconocer los usuarios, sus dispositivos y sus funciones en la red Evaluar si las mquinas cumplen con las polticas de seguridad Hacer cumplir las polticas de seguridad mediante el bloqueo, aislamiento y reparacin de mquinas que no cumplen Proporcionar fcil y seguro acceso para invitados Simplificar el acceso de dispositivos no se autentica Informe de Auditora y quien est en la red Cisco NAC Appliance NAC se extiende a todos los mtodos de acceso a la red, incluido el acceso a travs de redes de rea local, pasarelas de acceso remoto y puntos de acceso inalmbrico. Tambin es compatible con la evaluacin de la postura de los usuarios invitados. Se puede combinar con Cisco NAC de Cisco NAC Invitado Server y Cisco NAC Profiler para las caractersticas adicionales [NAC 2014]. Un caso de estudio se describe en la solucin implementada para el campus de la universidad privada de Trinity de Estados Unidos [Case 2014]. Donde exista el gran problema de control de acceso, esto generaba que la red se contamine de virus y malware. Se aplic la solucin para resolver el problema de accesos y seguridad en su red almbrica e inalmbrica en las 15 residencias de la institucin as como en las instalaciones acadmicas y administrativas de la universidad, con lo cual los usuarios descargan un software cliente en sus equipos, que se

42

integra con el sistema de autenticacin de usuarios de la universidad para comprobar el cumplimiento de la seguridad como parte de un proceso de inicio de sesin.

3.2.2 Aruba Mobility Controller Son un conjunto de dispositivos controladores que crean una red nica, unificando las gestin de acceso a internet almbrico e inalmbrico en todas las ubicaciones interiores, exteriores y remotas. Estas se ejecutan bajo el sistema operativo ArubaOS

Entre los principales dispositivos podemos encontrar: Aruba 7200 Series Mobility Controller Aruba 6000 Mobility Controller Aruba 3000 Series Mobility Controllers Aruba 600 Series Mobility Controllers

Un caso de estudio se describe en la solucin implementada en el aeropuerto de LondresHeathrow [Aruba 2014] donde se requera hacer una separacin del trfico interno del pblico, satisfacer las necesidades de escalabilidad y flexibilidad de un despliegue de infraestructura de gran tamao, se utiliz el dispositivo Aruba 6000 mobility controller equipado con mdulo M3 y 800 Access Point AP70 para cubrir todo el aeropuerto. Se logr una WLAN nica para todo el trfico de datos inalmbricos y separacin segura del trafico hotspot del trafico BAA.

3.3 Comparacin entre protocolos de seguridad y control de acceso

3.3.1 Comparacin de protocolos AAA Para la comparacin no se considera el protocolo TACACS por estas en desuso y el desarrollador CISCO retiro el soporte.

43

Parmetros Protocolo de transporte Tipo de protocolo Tipo de mensaje Encriptacin de paquetes Algoritmo de encriptacin Autenticacin y autorizacin UDP

RADIUS TCP

TACACS+

DIAMETER TCP o SCTP con TLS o IPSEC Peer to peer Solicitud / Respuesta de una parte a otra Todo el cuerpo del paquete Secreto compartido con HMAC-MD5 Independiente

Cliente / servidor Solicitud / Respuesta del cliente al servidor

Cliente / servidor

Solicitud / Respuesta del cliente al servidor Solo la contrasea en Todo el cuerpo del las respuestas al paquete excepto la acceso cabecera estndar Secreto compartido Secreto compartido con MD5 con MD5 Combinado en mismo perfil usuario. Limitado un Independiente. de

Soporte multiprotocolo Notificacin de errores

Si

Si

No

Si

Si

Tabla 3.2 Comparacin de protocolos AAA [Ivn 2013]

De la tabla 3.2 de los tres protocolos AAA comparados, DIAMETER al ser un protocolo nuevo y mejorado que su antecesor RADIUS, an carece del soporte necesario en dispositivos inalmbricos antiguos. TACACS+ al ser desarrollado por la empresa CISCO, se orienta a los dispositivos de la misma marca [Cisco 2008]. RADIUS a pesar de sus limitaciones an sigue siendo el protocolo estndar AAA utilizado en soluciones de control de acceso.

44

3.3.2 Comparacin de protocolo de seguridad

De los tres protocolos de seguridad descritos en el fundamento terico, se realiza una comparacin teniendo en cuenta el tipo de cifrado y los mecanismos de autenticacin soportados como se muestra en la tabla 3.3
Protocolo de seguridad Cifrado Autenticacin WEP WPA WPA2

RC4/Clave compartida Sistemas abierto Clave compartida

RC4/TKIP WPA-PSK WPA-EAP

AES/CCMP WPA2-PSK WPA2-EAP

Vector de iniciacin Clave de cifrado Comprobacin de integridad

24bits 40bits CRC-32

48bits 128bits Michael(TKIP)

48bits 128bits CCM

Tabla 3.3 Comparacin de protocolos de seguridad [elaboracin propia]

WEP proporciona dos tipos de autenticacin: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN y una autenticacin mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. WPA y WPA2 emplea dos mtodos de autenticacin, WPA-PSK/WPA2-PSK (pre shared key) usado en entornos personal, como usuarios residenciales o pequeos comercios donde el usuario debe introducir una clave de 8 a 63 caracteres, conocida como clave maestra, en su punto de acceso o router inalmbrico, as como en cada uno de los dispositivos que quiere conectar a la red, de esta forma solo se permite acceso a aquellos dispositivos que son conocedores de la contrasea y WPA-EAP/WPA2-EAP (Extensible Authentication Protocol) usado para entornos empresariales por los requerimientos ms estrictos de cifrado y autenticacin hacen que sea ms adecuada la utilizacin del mecanismo IEEE 802.1X y el protocolo de autenticacin EAP. El conjunto de estos dos mecanismos junto con el esquema
45

de cifrado forman una fuerte estructura de autenticacin, que utiliza un servidor de autenticacin centralizado como por ejemplo RADIUS.

3.3.3 Comparacin de mtodos EAP En la tabla 3.4 se muestran una comparacin de las caractersticas principales de los mtodos de autenticacin EAP.
EAP-MD5 Si No (usuario y contrasea mediante el challenger) No No No Estndar Microsoft WPA MacOS Si Si Redes cableadas EAP-TLS No obligatorio EAP_TTLS No Opcional (credencial de usuario) Si Si Si. TLS Funk y Certicom WPA MacOS No No Alambrica e inalmbrica EAP-PEAP No Opcional (credenciales de usuario) Si Si Si. TLS Microsoft, CISCO, RSA Microsoft MacOS Linux No No Alambrica e inalmbrica

Basado en clave compartida Certificado del servidor

Validacin de certificados Autenticacin mutua Tunelamiento Desarrollador Solicitantes que lo soportan Vulnerable Main in the middle Vulnerable actualmente Uso recomendado

Si Si Si. TLS Microsoft Microsoft MacOS Linux No No Alambrica e inalmbrica

Tabla 3.4 Comparacin de mtodos EAP [Fundamentos 2008]

De los mtodos de autenticacin presentador en la tabla 3.4, el mtodo EAP-TTLS y EAPPEAP enviar la informacin de autenticacin de manera cifrada y no es obligatorio el uso de un certificado digital, por lo que los convierte en los mtodos de EAP recomendados a utilizar. El mtodo EAP-TLS requiere que cada cliente de la red inalmbrica instale un certificado, por lo que dependiendo de la magnitud de la empresa, puede complicar las configuracin de los clientes. El EAP-MD5 no proporciona autenticacin mutua por lo que no es recomendable para su uso.
46

EN los mtodos EAP-TTLS y EPA-PEAP el uso de certificado es opcional, crean un tnel cifrado para el envo de las credenciales de usuarios y son soportados por las diferentes implementaciones de RADIUS.

47

Captulo 4: IMPLEMENTACION DEL SISTEMA DE CONTROL

DE ACCESO PARA LA WLAN

Para el diseo e implementacin del sistema de control de acceso utilizaremos la siguiente metodologa.

4.1 Metodologa utilizada.

Para la implementacin de la solucin usaremos la metodologa hibrida utilizada en la tesis IMPLEMENTACIN DE LA ARQUITECTURA DE CONTROL DE ACCESO BASADA EN EL ESTNDAR DE SEGURIDAD IEEE 802.1X PARA LA RED ETHERNET DE PETRLEOS DE VENEZUELA SOCIEDAD ANNIMA, UBICADA EN EL EDIFICIO ESEM, MATURN, ESTADO MONAGAS [Migdalis 2010] donde se especifican las fases de requerimientos, anlisis de tecnologas, diseo del sistema e implementacin y pruebas. Quedando ordenada de la siguiente manera:

4.1.1 Determinacin los requerimientos

Consiste en describir la situacin actual as como identificar, capturar y comprender las necesidades de los usuarios, servicios, aplicaciones y dispositivos que conforman el sistema y sus caractersticas (Funcionalidad, seguridad, tcnica) para enfocar y mejorar su rendimiento.

4.1.2 Anlisis de las tecnologas

En esta fase se examinan diferentes mtodos, protocolo y software que se utilizara para armar el sistema de control de acceso.

48

4.1.3 Diseo del sistema de control de acceso

En esta fase se especifica la arquitectura y flujos de trabajo la manera en que los protocolos y aplicaciones de seguridad se comunican, para llevar a cabo la transmisin de los datos en la WLAN.

4.1.4 Ejecucin del diseo

Una vez que se elabora el diseo, se procede a realizar la implementacin de la solucin en un caso de prueba.

4.1.5 Prueba de la solucin

En esta fase se llevaran a cabo las pruebas pertinentes que permitirn la verificacin de la solucin de seguridad funciona, se consideran las siguientes pruebas. Prueba de autenticacin. Prueba de cifrado de las Redes Inalmbricas. Prueba de Accounting

4.2 Determinacin de requerimientos

4.2.1 Situacin actual La Universidad de Ciencias y Humanidades, con sede en el distrito de Los Olivos, cuenta con una WLAN implementada en su campus universitario. Se requiere obtener la mayor cantidad de informacin relevante a la situacin actual de la WLAN, como su esquema actual, dispositivos usados y sistema de seguridad.

49

4.2.1.1 Esquema de la WLAN del campus universitario El campus est compuesto por tres edificios interconectados mediante fibra ptica monomodo a un cuarto de control (cuarto de telecomunicaciones), en el cual se encuentra el switch CORE y el servidor proxy que da salida a internet a todo el campus. Cuenta tambin con un Centro de Datos (DC), donde estn los servicios web, correos, sistemas acadmicos, entre otros ofrecidos por la universidad, estos conectados a travs del switch CORE y protegidos por un Firewall en Linux. El campus cuenta con 17 Puntos de acceso distribuidos como se muestra en la figura 4.1

|INTERNET
PROXY UCH ROUTER DATACENTER

Faculta economicas

SWITCH CORE Campus INFORMES

EDIFICIO A

Facultad Humanidades

PISO1 PISO2

PISO10

Faculta Ingenieria
PISO9

PISO3 EDIFICIO C PISO8 EDIFICIO B

PISO4 PISO5 PISO6 PISO7 PISO1 PISO2 AUDITORIO

Figura 4.1 Esquema red actual UCH [Elaboracin propia]

50

El Campus es el punto de acceso principal que alimenta las aulas de los edificios A y B. en el edificio C se cuenta con un Punto de acceso por cada piso, de menor potencia. Tambin podemos encontrar puntos de acceso en las facultades que estn instaladas en el edificio A y el auditorio y reas administrativas del edificio B.

4.2.1.2 Inventario de dispositivos Con respecto al equipamiento de red que interviene en la red inalmbrica de la universidad, se describen en la tabla 4.1 Dispositivo Switch Modelo Dlink DGS1210-48 Cantidad 6 Especificaciones generales
Interface 10/100/1000 Mbps Gigabit Ethernet ports Performance Switch fabric: 96 Gbps Security ACL based on MAC address, IP address (ICMP / IGMP / TCP / UDP), VLAN ID, 802.1p priority or DSCP, 802.1X RADIUS authentication support, DHCP Server Screening1, ARP Spoofing Prevention1 VLAN Quality of Service (QoS) Traffic Management Configuration / Management Transmisin de datos: 10/100, IEEE 802.3, IEEE 802.3u, IEEE 802.3ab, IEEE 802.1p, IEEE 802.1X, IEEE 802.3af. Protocolos: SNMP. Conectividad: 10BASE-T, 100BASE-TX. Seguridad: SSH, 802.1x RADIUS. Processor Specs Atheros AR2316 SOC, MIPS 4KC, 180MHz Memory Information 16MB SDRAM, 4MB Flash Networking Interface 1 X 10/100 BASE-TX (Cat. 5, RJ-45) Ethernet Interface Wireless Approvals FCC Part 15.247, IC RS210 RoHS Compliance Yes TX Power 26dBm, +/-2dB RX Sensitivity -97dBm +/-2dB Antenna Integrated 10dBi Dual Pol + External SMA Outdoor Range (BaseStation Antenna Dependent) over 15km Estndar IEEE 802.11 b,g Puerta 1 x RJ-45, 100Base-TX Seguridad Encriptacin 64/128/256 bits WEP Rango de FREC. 2.400 2.4835 GHz, Arquitectura de Red Soporta Modo Estructurado (Comunicaciones de redes alambradas via Access Point con Roaming) Modos de Operacin Access Point, Wireles

3COM 4200

10

AP

NS2 NanoStation2 Ubiquiti 2.4GHz 802.11b/g

DWL2100AP

51

DAP-1360

10

TLWA701ND

Servidor

HP ProLiant DL120 G7

BridgePoint-to-Point, Point-to-Multipoint Standards 802.11n 802.11g 802.3u Interface Type 10/100 LAN Port Antenna Type 2 External Detachable Antennas Security Wi-Fi Protected Access (WPA, WPA2) Interface 1 Puerto RJ45 de Auto-Deteccin de 10/100Mbps (Auto MDI/MDIX, PoE Pasivo) Botn WPS Botn de Reinicio (Reset) Suministro de Energa Externa 9VDC / 0.6A Estndares Inalmbricos IEEE 802.11n*, IEEE 802.11g, IEEE 802.11b Dimensiones (Largo x Ancho x Alto) 7.1 4.91.4 pulgadas (181 125 36mm) Tipo de Antena Antena Omni-Direccional Desmontable de 5 dBi (RP-SMA) (1) Intel Xeon E3-1220 (3.10GHz/4-core) 4GB (2 x 2GB) PC3-10600E UDIMM

Tabla 4.1 Inventario de dispositivos [fuente UCH]

De los dispositivos descritos en la Tabla 4.1 los puntos de acceso y switch soportan el estndar 802.1x.

4.2.1.3 Sistema actual de seguridad El campus cuenta con configuraciones independientes en su 16 puntos de acceso, todos los equipos usan la configuracin con autenticacin abierta y cada uno un diferente protocolo de cifrado, siendo ms comn el WEP que lo encontramos en los puntos de acceso de las facultades, tambin encontramos equipos con cifrado WPA y filtro por MAC, que se usa para el acceso de los empleados. La antena principal no utiliza ningn mecanismo de autenticacin ni cifrado, limitndose a la seguridad que le brinda el portal cautivo, siendo este el acceso principal para los alumnos y profesores del campus. En la tabla 4.2 describimos los mecanismos de seguridad utilizados segn punto de acceso. Punto de acceso Campus Autenticacin Portal Seguridad Otra seguridad Filtro MAC

cautivo WPA

(usuario nico)

52

Facultad de Ingeniera Facultad Humanidades Facultas econmicas Edificio C del piso 1 al piso 10 Auditorio Edificio B del piso 1 al piso 2

Sistema abierto Sistema abierto Sistema abierto WPA-PSK Sistema abierto Sistema abierto

WEP WEP WEP WPA WEP WEP

No No Filtro por MAC Filtro por MAC No No

Tabla 4.2 Seguridad de los puntos de acceso [Elaboracin propia]

4.2.2 Anlisis de requerimientos En base al anlisis sobre las soluciones propuestas para dotar de un esquema de seguridad para la red inalmbrica de la UCH, se ha considerado la implementacin de un sistema de control de acceso a la red de datos basado en el estndar 802.1x por calificarse como el ms adecuado a la infraestructura inalmbrica con la que se cuenta y cumplir con los requerimientos sugeridos por el personal de administracin de la red inalmbrica que abarcan aspectos de seguridad como son, control de acceso, encriptacin de las comunicaciones y asignacin de recursos, para lo cual se debe determinar cules son los requerimientos de funcionalidad que se deben suplir as como los requerimientos tcnicos que implica la implementacin de este tipo de solucin, con lo cual se definir el diseo y la seleccin de los mtodos y mecanismos de seguridad a utilizar. A continuacin se describen los principales requerimientos funcionales y tcnicos:

53

4.2.2.1 Requerimientos Funcionales

Para la obtencin de los requerimientos funcionales se realiz una entrevista el jefe de soporte tcnico y sistemas de la universidad, mediante la entrevista se logr recoger los siguientes requerimientos: Ofrecer acceso a los servicios tecnolgicos al creciente nmero de usuarios de la universidad. Brindar acceso a la los servicios de red para invitados en las instalaciones de la universidad. Ofrecer servicios de acceso a la red pblica (Internet). Habilitar el acceso a los recursos informticos para usuarios que requieren movilidad dentro de las instalaciones de la organizacin. Permitir la movilidad de los usuarios a travs de las diferentes reas de servicio sin perder sus privilegios basados en un perfil de usuario. Solucin lo ms homognea posible, soportada entre los Sistemas operativos ms utilizados. Utilizar los datos (usuario y contrasea) de la intranet de alumnos para validarse en el sistema de control.

4.2.2.2 Requerimientos de seguridad

Para determinar los requerimientos de seguridad nos basamos en la NTP-ISO/IEC 17799:2007 [NTP-ISO 2007] en el inciso 11 donde se define los objetivos para el control de acceso. Los requerimientos de seguridad identificados se resumen en: Evitar que la informacin transmitida a travs de la WLAN pueda ser escuchada y capturada. Evitar la modificacin de las transmisiones en una red WLAN. Impedir el acceso de usuarios no autorizados a la WLAN.

54

 Manejo de perfiles de usuario y distincin de privilegios entre estas entidades. Utilizar sistemas actuales de autenticacin de usuarios.

4.2.2.3 Requerimientos tcnicos

Los requerimientos tcnicos se dan a los componentes del estndar 802.1X, considerndose lo necesario para que el sistema funcione. En los usuarios o suplicante: Desde el punto de vista de los clientes de acceso inalmbricos, ms exactamente sobre los requerimientos de la conexin, se debe validar si las plataformas utilizadas en los clientes soportan el tipo de autenticacin elegido o si por el contrario requieren un componente de software que los habilite para realizarla. Al manejar diferentes plataformas a nivel de clientes (Windows, Linux, Android, iOS) se hace necesario implementar un mismo cliente 802.1x para tener un sistema homogneo y facilitar la administracin. En los Access Points: Entre los principales requerimientos, sobre estos dispositivos, para poder implementar un mecanismo de seguridad para el control del acceso inalmbrico, se encuentran: Compatibilidad con 802.11 y soporte de cifrado WPA, WPA2. Compatibilidad con 802.1x En el servidor de autenticacin: Finalmente, los principales requerimientos en este componente, para poder implementar la solucin de seguridad basada en 802.1x, son: Compatibilidad con 802.1x Soporte de diversos tipos de autenticacin EAP (TLS, TTLS, PEAP) Capacidad de registro (Accounting) Flexibilidad para validar a los suplicantes mediante varios mtodos (Base de datos de usuarios local, directorio de usuarios LDAP, certificados, entre otros)

55

Adicionalmente, en este componente se deben verificar las capacidades de integracin con otros servicios de la red.

4.3 Anlisis de las tecnologas

Una vez conocida la situacin actual de la WLAN procedemos analizar las diferentes implementaciones de los protocolos y mtodos de autenticacin a utilizar con el fin de seleccionar la alternativa que mejor se adapte segn los requerimientos identificados anteriormente.

4.3.1 Anlisis y seleccin del mtodo de autenticacin De los mtodos EAP-TTLS y EAP-PEAP se debe seleccionar el ms adecuado teniendo en cuenta los siguientes requerimientos. Clientes que lo soportan: Tiene que ser soportado por las diferentes plataformas que se utilizan en la universidad (Windows, Linux, Android) Uso de certificado: Debe ser opcional, para brindar facilidad a los clientes que se conectan. Tuneleamiento: La informacin debe ser enviada mediante un tnel cifrado.

Los requerimientos tcnicos y funcionales han permitido definir los mtodo EAP-PEAP y EAP-TTLS como los ms adecuados a utilizar debido a que soportan tunelamiento donde las credenciales no son observables en el canal de comunicacin entre el cliente. El mtodo EAP-TTLS necesita de un cliente externo para poder ser configurado en una computadora que utiliza versiones de Windows inferiores a la versin 8, en cambio el mtodo EAP-PEAP ya viene implementado en forma nativa en toda la versin de Windows, Linux y Android. Por lo tanto para la presente solucin se usara el mtodo EAP-PEAP.
56

El mtodo EAP-PEAP utiliza para la comunicacin interna el protocolo de autenticacin MSCHAPv2 que es un protocolo de autenticacin de contrasea de cifrado por desafo mutuo de Microsoft.

4.3.2 Seleccin del protocolo de seguridad

En base a la tabla 3.3 donde se comparaban los diferentes protocolo de seguridad, para nuestra solucin se pueden utilizar tanto WPA y WPA2, siendo WPA2 el recomendado por ser el protocolo de seguridad final del estndar 802.11i. En la tabla 4.3 se muestra el protocolo se seguridad con su respectivo algoritmo de cifrado que se deber configurar en los puntos de acceso.
Protocolo WPA WPA2 Algoritmo de cifrado TKIP AES

Tabla 4.3 Relacin entre protocolo y algoritmo de cifrado [Elaboracin propia]

4.3.3 Anlisis y seleccin del Servidor RADIUS Para la implementacin del protocolo AAA usaremos RADIUS como servidor de autenticacin en nuestra solucin. Debido a que en el mercado existen muchas implementaciones de servidor RADIUS, se realiz un anlisis comparativo de las ms importantes (FreeRADIUS, ACS, IAS) descritas en el marco terico, escogiendo la que cumpliera los requisitos planteados en los requerimientos de la universidad. FreeRADIUS Libre PAP CHAP MD5
57

Proveedor Soporte protocolos de autenticacin

ACS CISCO CHAP PAP MS-CHAP

IAS Microsoft PEAP PAP CHAP

Soporte Base de datos

Licencia Servidor

EAP(TLS TTLS PEAP) LDAP MySQL Oracle Postgres GLP (Software libre) Linux Windows Mac

EAP(CHAP TLS) LDAP

MS-CHAP EAP LDAP Windows SAM Active Directory Propietaria Windows

Propietaria Windows

Tabla 4.4 Comparacin entre productos RADIUS [Elaboracin Propia]

Para la eleccin del servidor RADIUS se tomaron los siguientes criterios segn los requerimientos de la Universidad. Soportar el protocolo eap-peap o eap-tls: Es el protocolo elegido como mtodo de autenticacin. Integracin con MySQL: Para almacenar las credenciales de los usuarios. Software Libre u OpenSource: Por polticas de la Universidad con relacin al uso del software libre. Del anlisis de la tabla 4.3 y segn los criterios expuesto, se selecciona por su gran soporte a mltiples protocolos de autenticacin, plataforma abierta, gran soporte por parte de la comunidad, integracin a mltiples base de datos, colocan a FreeRADIUS la opcin escogida para usar en el desarrollo de ste proyecto.

4.4 Diseo del sistema de control de acceso

4.4.1 Arquitectura a utilizar Describimos la arquitectura que se utilizara en la solucin planteada, describiendo cada uno de sus elementos as como la operacin de estos dentro del sistema.

58

La arquitectura de la solucin estar basada en 5 elementos y dos procesos. Los elementos son: El cliente El autenticador (Punto de acceso) El servidor de autenticacin El servidor de base de datos El modulo conector Y los procesos son: Proceso de autenticacin Proceso de actualizacin de usuarios En la figura 4.2 se grafica la arquitectura de la solucin.

LAN
INTERNET

Gateway a Internet

Datos intranet

Modulo Conector

7 6 5 4

3 Usuario MOVIL 1 Punto de Acceso (AP) NAS 2 Servidor de Autenticacin Base de datos

Figura 4.2 Arquitectura de la solucin [elaboracin propia]

59

Descripcin de los componentes de la arquitectura

A continuacin se describe las funciones que realizara cada elemento de la arquitectura propuesta para la solucin. Punto de acceso inalmbrico: La funcin principal del punto de acceso consistir en brindad cobertura necesaria para que los usuarios mviles puedan conectarse a la red, adems actuara como el autenticador de estas (NAS). As el punto de acceso se encargara de recibir todas las solicitudes de conexin a la red inalmbrica por parte de los usuarios y retrasmitirlas al servidor de autenticacin, el cual de acuerdo a como haya sido configurado, validara al usuario. Si el usuario se logra validad con xito, se le notificara al autenticador para que inicie una sesin con el usuario, el cual se le brindara acceso cifrando la informacin con el mecanismos configurado, el punto de acceso deber enviar las estadsticas; llevando la cuenta de cuantos paquetes ha descargado, cuantos a enviado, la fecha y hora en la que inicio y finalizo su sesin, el tiempo que estuvo conectado a la red, la direccin MAC del usuario y la suya propia. Toda esta informacin se la enviara al servidor de autenticacin, el cual realizara el proceso de contabilidad segn su configuracin. Servidor de autenticacin: Es el cerebro de toda la solucin. Por medio de l se gestiona la autenticacin, autorizacin y contabilidad del sistema; ya que l es quien recibe las solicitudes reenviadas de los puntos de acceso por parte de los usuarios mviles y consulta a su base de datos de usuarios la informacin correspondiente para poder validar si es que dicho usuario cuenta con los permisos necesarios para acceder a la red (es decir, que la informacin de usuario/contrasea que ha enviado sea vlida). De encontrar que es correcta le enva un mensaje al punto de acceso de acceso autorizado para que ste tome el control del acceso al usuario y contine con el resto de la comunicacin. Luego, recibir peridicamente la informacin suministrada por el punto de acceso correspondiente a las estadsticas respecto al usuario para ser almacenadas para su posterior anlisis. Servidor de Base de datos: En l se registrarn a todos los usuarios que cuenten con el permiso de acceder al sistema. Se guardar informacin segn el esquema de la
60

aplicacin RADIUS a utilizar. Esta ser alimentada desde la base de datos que contiene todos los datos de los alumnos. Usuario mvil o cliente: Es a quien se le debe de suministrar de un acceso seguro para as no comprometer la confidencialidad de su informacin. Se encargar de iniciar la comunicacin con el punto de acceso y requerir contar con una configuracin previa para poder acceder a la red. Modulo conector: Es quien deber importar los datos de la base de datos acadmica que contiene toda la informacin de alumnos y profesores, pasarlos al formato permitido por la solucin RADIUS a utilizar e insertar estos datos a la base de datos del servidor de autenticacin. As mismo contendr un mecanismo de actualizaciones peridicas.

Procedimientos

Proceso de autenticacin: A continuacin procedemos a explicar la secuencia de procedimientos por el cual un usuario se conecta a la red inalmbrica contemplando la arquitectura de la figura 4.2 1. El usuario mvil ingresa al rea de cobertura inalmbrica, seleccionando la red correspondiente e inicia una sesin enviando sus credenciales (usuario y contrasea de su intranet). 2. El punto de acceso recibe las credenciales del usuario y las reenva al servidor de autenticacin para que indique si estos son vlidos y de ser as, le brinde el acceso a la red inalmbrica. Caso contrario, impide su acceso y le enva un mensaje de falla de autenticacin. 3. El servidor de autenticacin recibe la solicitud por parte del punto de acceso, verifica que se encuentre registrado como un NAS autorizado para brindar accesos a la red y de ser estos correctos, consulta la informacin del usuario en su base de datos para ser validados.

61

4.

El servidor de autenticacin busca si el usuario se encuentra registrado en su data, de ser as, procede a verificar si la contrasea ingresada es correcta. El caso que el usuario no se encuentre registrado, el servidor de autenticacin enva un mensaje de acceso rechazado (Access-Rejected). De ser correcto, devuelve un mensaje de acceso aceptado (Access-Accepted); por el cual se concede el acceso al usuario.

5.

El servidor de autenticacin enva el mensaje correspondiente respuesta al punto de acceso para que le brinde o deniegue el acceso a la red al cliente.

6.

El punto de acceso recibe el mensaje de autorizacin y en base a la respuesta recibida permitir el inicio de sesin cifrada entre el cliente y el AP o le denegara el acceso.

7.

Una vez que el usuario cuenta con el acceso a la WLAN, inicia una sesin DHCP para obtener dinmicamente una direccin IP, con esto el usuario podr acceder a los recursos de la LAN y poder salir a internet.

Proceso de actualizacin de datos: A continuacin procedemos a explicar la secuencia de procedimientos para la actualizacin de datos de los usuarios contemplando la arquitectura de la figura 4.2 1. El mdulo conector extrae los campos necesarios de la base de datos acadmica de manera automtica y cuando se realiza una actualizacin de estos. 2. El modulo conector formatea los datos importados y los inserta a la base de datos del servidor RADIUS. 4.4.2 Diseo final del sistema de control de acceso WLAN

Procedemos a describir el diseo final del sistema de control de acceso propuesto mediante la figura 4.3 que se muestra a continuacin

62

|INTERNET
PROXY UCH ROUTER Autenticacin RADIUS TABLET DATACENTER

SERVIDOR DE AUTENTIACION FreeRADIUS

SWITCH CORE SMARTPHONE Campus INFORMES

Faculta economicas

PISO1 PISO2

PISO10 EDIFICIO A PISO9

LAPTOP PISO3 EDIFICIO C PISO8 EDIFICIO B

Facultad Humanidades Faculta Ingenieria

PISO4 PISO5 PISO6 PISO7 PISO1 PISO2 AUDITORIO

Figura 4.3 Diseo final del sistema de control de acceso [Elaboracin propia]

Para el diseo del sistema de control de acceso a la WLAN de la universidad se ha tenido en cuenta las consideraciones vistas en el marco terico de esta tesis, asegurando as un ptimo grado de seguridad en la comunicacin entre el usuario y el punto de acceso; dado que este lugar es el ms vulnerable de toda la solucin al poder estar siendo vigilado por posibles intrusos al sistemas. As, se brinda un acceso seguro, tanto para los clientes mviles que se conecten a la red como para la red misma; ya que se impide que lo usuario ajenos a la red puedan interpretar la informacin que envan los clientes mviles, as como impedir que estos puedan acceder a la red y por eso acceder a los recursos privados de esta.

63

4.5 Implementacin del sistema de control

Caso Prctico: Auditorio del campus de la Universidad de Ciencias y Humanidades. El rea central de Tecnologa de Informacin (ACTI) con el apoyo del personal de soporte y servidores de la universidad facilit acceso a los punto de acceso y un equipo HP para la instalacin del servidor AAA. El rea de sistemas facilito el acceso a la base de datos acadmica de los alumnos y profesores para exportar las credenciales necesarias para nuestro sistema de autenticacin. El Campus universitarios cuenta con un cuarto de comunicaciones con ptimas condiciones para alojar el servidor implementado como se muestra en la figura 4.4

Figura 4.4 Cuarto de comunicacin [Fuente UCH]

Para la implementacin del sistema de control de acceso se procedi de realizar las siguientes actividades:
64

 Implementacin del servidor AAA (FreeRADIUS) Implementacin del servidor de base de datos (MySQL) Integracin del servidor FreeRADIUS con MySQL Configuracin del mtodo y protocolo de autenticacin (EAP-PEAP MSCHAPv2) Instalacin de la gestin web del servidor FreeRADIUS (daloradius) Implementacin del mdulo conector Configuracin de los puntos de acceso. Configuracin de los clientes. Se utiliz el siguiente esquema de red como se muestra en la figura 4.5 para el caso de prueba.

INTERNET

WAN

DMZ SW servidores

Gateway a Internet

PROXY FIREWALL LAN

APLICACIN UCH

Datos intranet

CORE LAPTOP

FreeRADIUS + MySQL

AP AUDITORIO SMARTPHONE

EDIFICIO B

TABLET

Figura 4.5 Arquitectura de implementacin caso de prueba [Elaboracin propia]

65

4.5.1 Implementacin del servidor AAA

Este servidor ser responsable de la gestin de autenticacin, autorizacin y contabilidad. De los servidor AAA descritos en el estado del arte, se ha seleccionado el FreeRADIUS por sus caractersticas definas en la tabla 4.5. La instalacin del FreeRADIUS se realiza en el sistema operatorio GNU/Linux Debian 7, instalado en un servidor HP ProLiant ML150 G6 Base - Xeon E5504 2 GHz

Sistema Operativo Direccin IP del servidor Procesador Espacio en disco Memoria RAM

Debian 7 192.168.100.253 Xeon E5504 2 GHz 500GB 3G SATA 7.2K rpm 4MB

Tabla 4.5 Caractersticas del servidor AAA [Elaboracin propia]

Instalacin de FreeRADIUS Para la instalacin del FreeRADIUS en su ltima versin (2.1.12) se procedi a ejecutar la siguiente lnea de comando en el servidor:
apt-get install freeradius

Archivos de configuracin de FreeRADIUS radiusd.conf Es el archivos principal de FreeRADIUS, contiene varias directivas que definen el comportamiento del servidor, apuntadores a otros archivos de configuracin as como los mdulos disponibles. eap.conf En este archivos de configuracin se especifica el mtodo EAP y protocolo de autenticacin a usar.
66

clients.conf Esta archivo es responsable para determinar a los clientes del servidor que podrn conectarse al servidor. En este caso clientes se refieren a los NAS o autenticador que para nuestra solucin son los punto de acceso. Este archivo no se usara, ya que los clientes NAS sern registrados en una base de datos.

users Este archivo contiene informacin de los usuarios que tendrn acceso al sistema, la forma en que sern autenticado y tambin se pueden agregar listas de atributos de autenticacin. Para nuestra solucin los usuarios sern almacenados en una base de datos, por lo que este archivo no ser usado.

4.5.2 Implementacin del servidor de base de datos MySQL

Para la instalacin del Servidor de Base de datos donde se almacenaran los usuarios, utilizaremos MySQL en su versin (5.5) se procedi a ejecutar la siguiente lnea de comando en el servidor:
apt-get install mysql-server

Una vez instalado el servidor MySQL debemos importar es esquema de la base de datos utilizado por el servidor RADIUS como se muestras a continuacin:
mysql uroot p mysql> create database radius; mysql> grant all on radius.* to radius@localhost identified by 'r4d1usx14'; mysql> use radius mysql> source schema.sql;

Las tablas que usa RADIUS para la gestin de usuarios son las siguientes: usergroup: Aqu se define a qu grupo pertenece cada usuario. Campos: id. Identificador de registro.

67

 UserName. Nombre de usuario. GroupName. Grupo al que pertenece el usuarios radcheck: Aqu se definen las contraseas de cada usuario. Campos: id. Identificador de registro. UserName. Nombre de usuario. Attribute. Tipo de contrasea. En nuestro caso, User-Password. Op. Es el operador que se usar para la comprobacin. Para nosotros ==. Value. La contrasea. radreply: En esta tabla se definen los atributos sobre la conexin y sesin de los usuarios; por ejemplo, IP asignada y tiempo de espera mximo. radgroupreply: Similar a radcheck pero permite establecer atributos a un grupo de usuarios completo. Campos: id. Identificador de registro. GroupName. Nombre de grupo. Attribute. Nombre del atributo que se quiere agregar.

4.5.3 Integracin del FreeRADIUS con MySQL Para integrar el servidor freeRADIUS con una base de datos MySQL creada anteriormente se necesita instalar el mdulo de conexin desarrollada por la propia solucin FreeRADIUS, por lo cual solo debemos realizar los siguientes pasos:
68

apt-get install freeradius-mysql

Una vez instalado, para que nos autentique los usuarios contenidos en nuestra base de datos, en este caso MySQL, debemos agregar la siguiente lnea en el archivo de configuracin radius.conf
$INCLUDE sql.conf

Se edita el archivo /etc/freeradius/sql.conf que es un archivo donde se encuentran todas las configuraciones de conexin de FreeRADIUS con MySQL. En el archivo se debe modificar las lneas correspondientes a la conexin con el server de MySQL como lo son: Server: localhost hace referencia al mismo servidor Login: radius que es el usuario que se cre anteriormente.

sql { database = mysql driver = rlm_sql_${database} server = localhost login = radius password = clavesegura

Password: XXXXXX que es la clave que corresponde a ese usuario.

Adems dentro del mismo archivo se descomenta la variable: readclients = yes. El descomentar esta lnea permite que los NAS o puntos de acceso se registren en una base de datos.
readclients = yes

Para configurar la autorizacin y contabilidad se debe editar el Archivo: /etc/freeradius/sitesavailable/default y agregar la variable "sql" en las secciones de: authorize{}, accounting{}, session{}, post-auth{}.
Authorize {

69

sql } Accounting { sql }

4.5.4 Configuracin del mtodo y protocolo de autenticacin de autenticacin.

El mtodo de autenticacin seleccionado es el EAP-PEAP con el protocolo de autenticacin MSCHAPV2, por lo que debemos configurar en el archivo eap.conf.
default_eap_type = peap peap { default_eap_type = mschapv2 copy_request_to_tunnel = no use_tunneled_reply = no }

4.5.5 Instalacin de la gestin web del servidor FreeRADIUS (daloradius) Para el funcionamiento de la gestin web del FreeRADIUS, necesitamos tener un servidor web con soporte a php funcionado, para lo cual procedemos a instalar:
apt-get install apache2 php5 php5-gd php-pear php-db libapache2-mod-php5 php-mail php5-mysql

Descargamos el comprimido de Daloradius de su web [referencia daloradius], lo copiamos a la carpeta del servidor web y configuramos los datos de conexin a la base de datos radius.
$configValues['CONFIG_DB_PASS'] = 'r4d1usx14'; $configValues['CONFIG_DB_NAME'] = 'radius';

Restauramos es esquema de base de datos dentro de la carpeta daloradius/contrib/db

70

mysql> source mysql-daloradius.sql;

4.5.6 Implementacin del mdulo conector

La funcin principal del este mdulo ser de importar la informacin de los usuarios contenidos en la base de datos acadmica al formato utilizado por el servidor RADIUS, para la implementacin de este mdulo se han considralos 3 opciones: Uso de web services: Se puede implementar un web service que pueda brindar la informacin requerir por el servidor RADIUS Uso de script: Se desarrolla un script que pueda leer la base de datos acadmica, leer los datos necesarios e insertar estos datos en la base de datos del servidor RADIUS segn el formato requerido. Modificacin del sistema acadmico: Se puede crear una funcionalidad en el mismo sistema acadmico para que envi automticamente los datos requeridos por el servidor RADIUS, esto implica la modificacin del sistema acadmico original y se necesita la aprobacin y apoyo del rea de sistemas. De las tres opciones presentadas, por facilidad y solo tratarse de un caso prctico, se utilizara un script desarrollado en PHP, que se encuentra en el ANEXO F con las siguientes caractersticas: El script PHP podr ser ejecutado en el servidor RADIUS o Servidor de aplicaciones acadmicas. Deber contar con permiso de lectura a la base de datos acadmica y el permiso de lectura/escritura en la base de datos utilizada por el FreeRADIUS. Los datos a extraer son el usuario y la contrasea contenidos en el campo correspondiente. Los datos a insertar debern corresponder al siguiente formato: id, usuario, tipo de contrasea, operador, contrasea.
71

 El script se deber ejecutar cada 2 minutos para comprobar si existen actualizaciones.

4.5.7 Configuracin de los puntos de acceso (autenticador) Se utiliza el punto de acceso de marca TP-LINK TL-WA701ND 150Mbps wireless N Access Point que se encuentra ubicada en el auditorio del campus universitario. Para la configuracin de deben tener en cuenta los siguientes parmetros mostrado en la tabla 4.6 Autenticacin Cifrado Servidor RADIUS Puerto Shared secret WPA2-PSK (Enterprise) AES 172.16.7.140 1812 secreto

Tabla 4.6 Parmetros de configuracin punto de acceso [Elaboracin propia]

El punto de acceso cuenta con opciones de configuracin para autorizar el acceso mediante un servidor RADIUS. Para ello se integra a su configuracin desde el men Wireless security, se selecciona el modo de seguridad WPA/WPA2 Enterprise, tenemos que indicar la versin del WPA, se recomienda WPA2 siempre y cuando sea soportado por el punto de acceso. Se selecciona como algoritmo de cifrado AES, se ingresa la direccin IP del servidor RADIUS y el puerto 1812 (por defecto). Y por ltimo el shared secret que es la clave utilizada para que RADIUS y el punto de acceso se reconozcan entre s, la ip del punto de acceso y el shared secret se guarda en el archivo client.conf o en la tabla nas de la base de datos RADIUS, los datos son ingresados como se muestra en la figura 4.6

72

Figura 4.6 Configuracin del punto de acceso con soporte RADIUS [Fuente UCH]

4.5.8 Configuracin de los clientes (suplicantes)

En base al inventario de hardware y software brindado por el personal de soporte de la universidad, se identific los sistemas operativos ms utilizados en la universidad: Windows (XP, Seven, 8), Linux (Ubuntu, LinuxMint) y Android en todas sus versiones. Para la configuracin de los cliente, sea cual sea el sistema operativo a utilizar, se deben tener en cuenta los siguientes parmetros mostrado en la tabla 4.7 Seguridad Cifrado Autenticacin Protocolo autenticacin
Tabla 4.7 Parmetros de configuracin de los clientes [Elaboracin propia]

WPA2-Enterprise AES EAP-PEAP de MSCHAPv2

4.5.8.1 Clientes en WINDOWS

Al activar el interruptor de la red inalmbrica desde un solicitante con Windows y detectar la red de la organizacin, en este caso UCH, si se desea acceder a esta, se debern configurar las propiedades de la red inalmbrica para autenticarse con el servidor RADIUS; esto se realiza desde la opcin de Propiedades/seguridad seleccionando el tipo de seguridad WPA73

Enterprise y tipo de cifrado AES (Se defini en la configuracin del AP) como se muestra en la figura 4.7.

Figura 4.7 Seleccin de las opciones de seguridad [fuente UCH]

Una vez seleccionado WPA-Enterprise se elige el mtodo de autenticacin EAP protegido (PEAP) y se ingresa a la pestaa de configuracin, Al grabar las nuevas configuraciones y seleccionar la red inalmbrica UCH se mostrara una ventana en el cual se solicitara el nombre de usuario y contrasea como en la figura 4.8.

Figura 4.8 Inicio de sesin con credenciales [fuente UCH]

74

4.5.8.2 Clientes en Linux

Al activar el interruptor de la red inalmbrica desde un solicitante con Linux y detectar la red de la organizacin, en este caso UCH, si se desea acceder a esta, por defecto los sistemas Linux ya traen un cliente para realizar la configuracin, por lo que basta seleccionar o ingresar los siguientes datos como se muestra en la figura 4.9.

Figura 4.9 Configuracin de parmetros en Linux [fuente UCH]

En seguridad: se selecciona el tipo de seguridad WPA/WPA2 Enterprise. En Autenticacin: Seleccionar la versin EAP-PEAP En autenticacin interna: Seleccionamos MSCHAPv2 Procedemos a ingresar en nombre de usuario y contrasea asignada, dejamos los dems valores por defecto.
75

4.5.8.3 Cliente Android

Para un cliente celular o Tablet con sistema Android, basta seleccionar la red inalmbrica, en este caso UCH, Automticamente el asistente de conexin mostrara un cuadro como en la figura 4.10 donde se deber seleccionar el mtodo eap (EAP-PEAP), autenticacin de segunda fase a MSCHAPv2 como en la figura 4.10 y las credenciales (usuario y contrasea) como en la figura 4.11.

Figura 4.10 Configuracin de parmetros en Android [fuente UCH]

76

Figura 4.11 Ingreso de usuarios y contrasea Android [fuente UCH]

4.6

Pruebas de la solucin

Esta ltima fase consisti en diagnosticar el comportamiento del servidor de autenticacin, una vez instalado, configurado y puesto en funcionamiento en un ambiente de prueba. Para ello se realizaron tres pruebas, las cuales se describen a continuacin:

4.6.1 Prueba de autenticacin Esta prueba consisti en definir dos escenarios que pueden presentar en el proceso de autenticacin: usuario registrado con credenciales correctas y usuario registrado con credenciales incorrectas. Para la prueba se utiliz la cuenta del usuario con cdigo: 10203087, y un celular Android 4.1.
77

Usuario registrado con credenciales correctas: El usuario 10203087 se atentico a la red inalmbrica UCH como se muestra en la figura 4.12

Figura 4.12 Ingreso de usuario y contrasea [fuente UCH]

Se activa la opcin de depuracin del servidor FreeRADIUS para poder realizar el seguimiento al proceso de autenticacin.
Sending Access-Accept of id 67 to 172.16.7.142 port 2048 MS-MPPE-Recv-Key = 0x34bb8132b428c4d968384d00c076a6cc42ee26edbb2b32bd037776888127cca3 MS-MPPE-Send-Key = 0x4247b25eee93db739bff0125f3b31abf628a217d1dccb0df2b04c78e8c70956b EAP-Message = 0x03080004 Message-Authenticator = 0x00000000000000000000000000000000 User-Name = "10203087" Finished request 58.

Del proceso de depuracin del servidor FreeRADIUS se pueden identificar: Mensaje de respuesta: Access-Accept que indica que se est permitiendo el acceso.
78

 Dispositivo NAS al que se conecta: 172.16.7.142 Ip del Access Point Usuario: 10203087 usuario utilizado para la autenticacin Una vez realizado el proceso de autenticacin, la conexin del celular a la red inalmbrica UCH pasara a estado conectada como se muestra en la figura 4.13

Figura 4.13 Estado de la conexin [Fuente UCH]

Usuario registrado con credenciales incorrectas: El usuario 10203087 se autentico a la red inalmbrica UCH pero utilizando una contrasea incorrecta. Se activa la opcin de depuracin del servidor FreeRADIUS para poder realizar el seguimiento al proceso de autenticacin.
Sending Access-Reject of id 83 to 172.16.7.142 port 2048 EAP-Message = 0x04070004 Message-Authenticator = 0x00000000000000000000000000000000 Waking up in 0.4 seconds.

Del proceso de depuracin del servidor FreeRADIUS se pueden identificar: Mensaje de respuesta: Access-Reject que indica que se est rechazando el acceso. Dispositivo NAS al que se conecta: 172.16.7.142 ip del punto de acceso Al ser rechazado el cliente en el proceso de autenticacin, se mostrara el mensaje de Problema de autenticacin en el Android como se muestra en la figura 4.14

79

Figura 4.14 Estado de la conexin fallida [Fuente UCH]

Usuario no registrado: Para esa prueba usaremos el usuario 12345678 que no existe en la base de datos del servidor de autenticacin.

Figura 4.15 Ingreso de usuario [Fuente UCH]

Se activa la opcin de depuracin del servidor FreeRADIUS para poder realizar el seguimiento al proceso de autenticacin.
[sql] User 12345678 not found ++[sql] returns notfound ++[expiration] returns noop

80

++[logintime] returns noop [pap] WARNING! No "known good" password found for the user. may fail because of this. ++[pap] returns noop Authentication

El servidor de autenticacin no puede determinar al usuario 12345678 en su base de datos, por lo que retorna un mensaje de reject al NAS. Al ser rechazado el cliente en el proceso de autenticacin, se mostrara el mensaje de Problema de autenticacin en el Android como se muestra en la figura 4.14

4.6.2 Prueba de cifrado.

Para este caso, el cliente que no cuentes con las credenciales necesarias para autenticarse, no podr enlazarse con la res inalmbrica de la universidad, siendo rechazada por el suplicante (punto de acceso) como se muestra en la figura 4.16. Por lo tanto no podr realizar ninguna accin en la red la universidad.

Servidor de autenticacin FreeRADIUS Cliente autenticado Usuario Mvil Punto de acceso

Cliente no autenticado Punto de acceso

Usuario Mvil

Figura 4.16 Estado de conexin [Elaboracin propia]

Prueba de cifrado en el proceso de autenticacin

Contando con la credenciales necesarias, el cliente se enlaza a la WLAN de la universidad, utilizando el analizar de trafico Wireshark [Wireshark 2012] como se muestra en la figura
81

4.17, procede a interceptar las conexiones activas de los dems usuarios con el fin de obtener las credenciales utilizadas en el proceso de autenticacin.

Figura 4.17 Captura del Wireshark [Fuente UCH]

En la figura 4.17 se puede apreciar que la informacin durante el proceso de autenticacin EAP-PEAP viaja de manera cifrada usando TLSv1 (Capa de conexin segura) protocolo criptogrfico de comunicacin segura por la red, por lo que solo se puede obtener ver caracteres extraos. Una vez terminada exitosamente el proceso de autenticacin y establecido la conexin, la comunicacin de informacin entre el punto de acceso y el cliente estar cifrada mediante el protocolo de seguridad WPA2.

4.6.3 prueba de accounting La aplicacin FreeRADIUS realiza los registros de accounting tanto para el inicio y fin de la conexin como se muestra el registro del usuario 10203087

82

Inicio de la conexin la UCH:

Fri Mar 7 15:03:20 2014 NAS-IP-Address = 172.16.7.142 Acct-Status-Type = Start User-Name = "10203087" NAS-Port = 0 NAS-Port-Type = Wireless-802.11 Acct-Session-Id = " 90-F6-52-AF-59-E2:UCH" Acct-Input-Octets = 0 Acct-Output-Octets = 0 Acct-Input-Packets = 0 Acct-Output-Packets = 0 Calling-Station-Id = "40-BA-61-A2-7B-A6" Called-Station-Id = "90-F6-52-AF-59-E2" Acct-Session-Time = 0 Acct-Delay-Time = 0 Aruba-Essid-Name = "UCH" Acct-Unique-Session-Id = "5c6985aa82b3d762" Timestamp = 1223528758

Fin de la conexin UCH:

Fri Mar 7 15:06:5 2014 NAS-IP-Address = 172.16.7.142 Acct-Status-Type = Stop User-Name = "10203087" NAS-Port = 0 NAS-Port-Type = Wireless-802.11 Acct-Session-Id = " 90-F6-52-AF-59-E2:UCH" Acct-Input-Octets = 0 Acct-Output-Octets = 0

83

Acct-Input-Packets = 0 Acct-Output-Packets = 16253 Calling-Station-Id = "40-BA-61-A2-7B-A6" Called-Station-Id = "90-F6-52-AF-59-E2" Acct-Session-Time = 187 Acct-Delay-Time = 0 Aruba-Essid-Name = "UCH" Acct-Unique-Session-Id = "5c6985aa82b3d762" Timestamp = 1223528758

La informacin til, figura 4.18, para cuestiones estadsticas y de administracin que se puede obtener de las bitcoras son: Fecha de inicio de conexin: AcctStartTime Fecha de fin de conexin: AcctStopTime Nombre de usuario: UserName Direccin MAC del usuario: CallingStationId Cantidad de informacin recibida: AcctInputOctets Cantidad de informacin enviada: AcctOutputOctets

Figura 4.18 Accounting RADIUS [Fuente UCH]

84

Toda esta informacin de almacena en la base de datos radius. Con lo cual se pueden realizar consultas a las tablas radacct para responder a las siguientes preguntas: Quien estuvo conectado entre las 10:30 y las 18:00 del da 10-04-2014? Cul es el promedio de informacin recibida por usuario? Desde qu punto de acceso se conect el usuario 10203087?

85

Captulo 5: Conclusiones

y recomendaciones

5.1 Conclusiones
La implementacin del sistema de control de acceso garantiza un mayor control de los usuarios que se conectan a la red inalmbrica de la universidad, permitiendo el ingreso solo a los usuarios registrados y todo este proceso de manera segura y fcil. El sistema de control de acceso se puede implementar en cualquier otro campus universitario u organizacin que desee tener el control sobre el acceso en su WLAN garantizando la seguridad de sus usuarios, con la posibilidad de implementarla con la infraestructura tecnologa actual y que se adecue sin mayores impactos econmicos y funcionales. Mediante la identificacin de los requerimientos de la universidad, se pudo conocer las deficiencias de seguridad que presentaba su implementacin inalmbrica, as como las caractersticas de su infraestructura disponibles y su capacidad de soportar los nuevos requerimientos funcionales y de seguridad que se requeran. Con la realizacin de esta tesina se pudieron identificar y comparar los diferentes protocolos, mtodos de autenticacin, protocolo de seguridad y cifrado, los cuales fueron seleccionados segn las caractersticas requeridas por el sistema de control de acceso. El diseo e implementacin del sistema de control de acceso se compone de procesos y protocolos seleccionados, lo cual hace un sistema modular, pudiendo agregarse o quitarse componentes en base a los requerimientos de la organizacin a implementar. En las pruebas se demostr que tanto el proceso de autenticacin como el envi de informacin se realiza de manera segura, el servicio de contabilidad del servidor RADIUS entreg informacin valiosa para el seguimiento del uso de los recursos de red. El nivel de detalle que entregan los dispositivos de red con esta implementacin permite a la universidad realizar un anlisis ms concreto y real del uso de su red inalambrica.
86

5.2 Recomendaciones
Para que la universidad pueda trabajar con la tecnologa roaming o utilizar protocolo de autenticacin ms seguros y modernos (DIAMETER). Se debe renovar los puntos de acceso, por unos que soporte este tipo de tecnologa. Para mejorar la distribucin y cobertura de la WLAN en el campus de la universidad, se debe distribuir adecuadamente los puntos de acceso, se puede utilizar la metodologa Site Survey Inalmbrico o anlisis del sitio para determinar cmo debera ser instalada una red inalmbrica. Implementar este sistema de control de acceso basado en el estndar 802.1x en las redes cableadas de la Universidad, con la finalidad de autenticar y dar acceso solo a los usuarios pertenecientes al directorio de todo la Universidad.

87

REFERENCIAS BIBLIOGRFICAS.

Libros

[Tanenbaum 2003] Tanenbaum, Andrew S. "Redes de computadoras". Pearson Educacin. ISBN 9789702601623. 2003.

Tesis

[Crdoba 2010]

Crdoba Tllez Anabel, Duran Martnez Gricel, Flores Snchez

Vernica, Diseo de un Sistema de seguridad y control de acceso con RADIUS configurado en un Sistema Operativo LINUX para una LAN inalmbrica. Instituto politcnico nacional, Mxico, 2010.

[Jorge 2008] Jorge Alonso Lopez Mori, Diseo e implementacin de un sistema de gestin de accesos a una red WI-Fi utilizando software libre, Pontificia Universidad Catlica del Per. 2008.

[Ivn 2013] Ivn Daro Alfonso Quinteros, Anlisis comparativo de dos protocolos para control de acceso y administracin de equipos de telecomunicaciones, Universidad Catlica de Colombia. Bogot 2013

[Migdalis 2010] Migdalis del Valler Mago Rodriguez, Implementacin de la arquitectura de control de acceso basado en el estndar de seguridad IEEE 802.1x para la red ethernet de petrleos de Venezuela sociedad annima, ubicado en el edificio ESEM, Maturin, estado Monagas, Universidad de Oriente nucle sucre, 2010.

[Sergio 2009] Sergio Ybenes Moreno. Sistema de control de acceso en redes Wireless, Universidad Politcnica de Madrid. 2009

88

Artculos de revistas cientficas

[Cisco 2008]

Cisco Systems technical support and documentation, TACACS+ and

RADIUS comparison, Document ID: 13838, Jan 2008.

[Deloitte 2013]

Mapa de la inseguridad de redes inalmbricas, 3ra edicin: Lima,

Arequipa y Trujillo, 2013.

[Escudero 2007] Seguridad en redes inalmbricas, Alberto Escudero Pascual, 2007.

[Fora 2003] Inseguridad en redes 802.11b, Pau Oliva Fora, Universidad Politcnica de Matar, Marzo 2003.

[Fundamentos 2008] Academia de Networking de Cisco System, Fundamentos de Redes Inalmbricas, Ed. Cisco Press. Ao 2008.

[Madrid 2004] Juan Manuel Madrid Molina, Seguridad en redes inalmbricas 802.11, Universidad Icesi 2004.

[Ou 2007] George Ou, "Ultimate gua de seguridad inalmbrica: Una introduccin a la autenticacin LEAP", TechRepublic, 2007. Roberto Amado Gimenez, Anlisis de seguridad en redes 802.11,

[Roberto 2008]

Universidad de Valencia, 2008.

Fuentes electrnicas [Aruba 2014] Caso de estudio, Baa terminal 5 - Britains front door goes Wireless With Aruba networks, http://www.arubanetworks.com/pdf/solutions/CS_BAA.pdf [consultado el 22 de enero 2014].

89

[NAC

2014]

Cisco

NAC

Appliancen,

http://www.cisco.com/c/en/us/products/security/nac-appliance-clean-access/index.html [consultado el 14 de ferebro 2014]. [Case 2014] Case Studies, One of Nations Most Unwired Campuses Blocks Malware for Wireless Users, http://www.cisco.com/c/en/us/products/collateral/security/asa-5500series-next-generation-firewalls/case_study_c36-554429.html [consultado el 1 de marzo 2014].

[eusso 2014]

http://www.eusso.com/Models/Wireless/UGL2430-VP/UGL2430-VP.htm

[consultado el 1 de marzo 2014].

[IBM

2014]

http://www.ibm.com/developerworks/wireless/library/wi-diameter/

[consultado el 5 de marzo 2014].

[kaspersky

2014]

http://www.kaspersky.es/internet-security-center/internet-

safety/protecting-wireless-networks [consultado el 29 de enero 2014].

[Ondigital

2014]

Magazine

digital

Ondigital,

2013

http://www.ondigitalmagazine.com/2013/07/proteja-hotspots-abiertos/ [consultado el 5 de abril 2014].

[Panda 2005] Panda Software Internacional, S.L Seguridad en redes inalmbricas. 2005 [consultado el 30 de enero 2014].

[Redes

2012]

Redes

Inalmbricas

tecnologa

mvil

http://redesinalambricasytecnologiamovilune.blogspot.com/2009/04/categorias-de-redesinalambricas.html [consultado el 22 de enero 2014].

90

[TACACS

2012]

TACACS

Informacin

general

http://ciscosecurity.org.ua/1587051672/ch11lev1sec2.html [consultado el 25 de febrero 2014].

[TACACS+

2012]

Protocolos

LDAP/RADIUS/TACACS

http://www.scribd.com/doc/62780953/LDAP-RADIUS-TACACS. [Consultado el 25 de febrero 2014].

[WEP 2012]

Protocolos WEP http://es.wikipedia.org/wiki/Wired_Equivalent_Privacy.

[Consultado el 18 de enero 2014].

[Wikipedia

1]

Seguridad

informtica

http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica [consultado el 10 de marzo 2014].

[Wikipedia 2] Estndar 802.11 http://es.wikipedia.org/wiki/IEEE_802.11 [consultado el 20 de febrero 2014].

[Wikipedia 3] Estndar 802.1x http://en.wikipedia.org/wiki/IEEE_802.1X [consultado el 28 de febrero 2014].

[Wikipedia 4] Ventajas Diameter http://es.wikipedia.org/wiki/DIAMETER [consultado el 28 de febrero 2014].

[Wikipedia 5] Campus universitario http://es.wikipedia.org/wiki/Campus [consultado el 28 de febrero 2014].

[Wireshark 2012] Wireshark Analizador de trafico http://www.wireshark.org/ 2012. [Consultado el 5 de marzo 2014].

91

Normas o estndares

[NISI 2011] Instituto de Ciencias y Humanidades, Normas informticas de sistemas de informacin. 2011.

[NTP-ISO 2007] Norma tcnica peruana NTP-ISO/IEC 17799-2007, Comisin de reglamentos tcnicos y comerciales INDECOPI, 2007

92

ANEXO A: Archivo de configuracin de radiusd.conf

# prefix = /usr exec_prefix = /usr sysconfdir = /etc localstatedir = /var sbindir = ${exec_prefix}/sbin logdir = /var/log/freeradius raddbdir = /etc/freeradius radacctdir = ${logdir}/radacct name = freeradius confdir = ${raddbdir} run_dir = ${localstatedir}/run/${name} db_dir = ${raddbdir} libdir = /usr/lib/freeradius pidfile = ${run_dir}/${name}.pid user = freerad group = freerad max_request_time = 30 cleanup_delay = 5 max_requests = 1024 listen { type = auth ipaddr = * port = 0 } listen { ipaddr = * port = 0 type = acct } hostname_lookups = no allow_core_dumps = no regular_expressions extended_expressions = yes = yes

log_auth = yes log { destination = files file = ${logdir}/radius.log syslog_facility = daemon stripped_names = no

93

auth = no auth_badpass = no auth_goodpass = no } checkrad = ${sbindir}/checkrad security { max_attributes = 200 reject_delay = 1 status_server = yes } proxy_requests = no

$INCLUDE clients.conf thread pool { start_servers = 5 max_servers = 32 min_spare_servers = 3 max_spare_servers = 10 max_requests_per_server = 0 } modules { $INCLUDE ${confdir}/modules/ $INCLUDE eap.conf $INCLUDE sql.conf $INCLUDE sql/mysql/counter.conf } instantiate { exec expr expiration logintime } $INCLUDE policy.conf $INCLUDE sites-enabled/

94

ANEXO B: Archivo de configuracin de eap.conf

####################################################################### eap { default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = 4096 md5 { } leap { } gtc { auth_type = PAP } tls { certdir = /etc/freeradius/certs cadir = /etc/freeradius/certs private_key_password = whatever private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = /dev/urandom CA_path = ${cadir} cipher_list = "DEFAULT" make_cert_command = "${certdir}/bootstrap" ecdh_curve = "prime256v1" cache { enable = no lifetime = 24 # hours max_entries = 255 } verify { } ocsp { enable = no override_cert_url = yes url = "http://127.0.0.1/ocsp/" } } ttls {

95

default_eap_type = md5 copy_request_to_tunnel = no use_tunneled_reply = no virtual_server = "inner-tunnel" } peap { default_eap_type = mschapv2 copy_request_to_tunnel = no use_tunneled_reply = no } mschapv2 { }

96

ANEXO C: Archivo de configuracin de default

authorize { preprocess chap mschap suffix eap { ok = return } files sql expiration logintime pap } authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } digest unix eap } preacct { preprocess acct_unique suffix files } accounting { detail unix radutmp sql sql_log } session { radutmp sql } post-auth { sql

97

sql_log exec Post-Auth-Type REJECT { sql attr_filter.access_reject } } pre-proxy { } post-proxy { eap }

98

ANEXO D: Archivo de configuracin de daloradius.conf.php

<?php $configValues['DALORADIUS_VERSION'] = '0.9-9'; $configValues['FREERADIUS_VERSION'] = '2'; $configValues['CONFIG_DB_ENGINE'] = 'mysql'; $configValues['CONFIG_DB_HOST'] = 'localhost'; $configValues['CONFIG_DB_PORT'] = '3306'; $configValues['CONFIG_DB_USER'] = 'radius'; $configValues['CONFIG_DB_PASS'] = 'r4d1usx14'; $configValues['CONFIG_DB_NAME'] = 'radius'; $configValues['CONFIG_DB_TBL_RADCHECK'] = 'radcheck'; $configValues['CONFIG_DB_TBL_RADREPLY'] = 'radreply'; $configValues['CONFIG_DB_TBL_RADGROUPREPLY'] = 'radgroupreply'; $configValues['CONFIG_DB_TBL_RADGROUPCHECK'] = 'radgroupcheck'; $configValues['CONFIG_DB_TBL_RADUSERGROUP'] = 'radusergroup'; $configValues['CONFIG_DB_TBL_RADNAS'] = 'nas'; $configValues['CONFIG_DB_TBL_RADHG'] = 'radhuntgroup'; $configValues['CONFIG_DB_TBL_RADPOSTAUTH'] = 'radpostauth'; $configValues['CONFIG_DB_TBL_RADACCT'] = 'radacct'; $configValues['CONFIG_DB_TBL_RADIPPOOL'] = 'radippool'; $configValues['CONFIG_DB_TBL_DALOOPERATORS'] = 'operators'; $configValues['CONFIG_DB_TBL_DALOOPERATORS_ACL'] = 'operators_acl'; $configValues['CONFIG_DB_TBL_DALOOPERATORS_ACL_FILES'] = 'operators_acl_files'; $configValues['CONFIG_DB_TBL_DALORATES'] = 'rates'; $configValues['CONFIG_DB_TBL_DALOHOTSPOTS'] = 'hotspots'; $configValues['CONFIG_DB_TBL_DALOUSERINFO'] = 'userinfo'; $configValues['CONFIG_DB_TBL_DALOUSERBILLINFO'] = 'userbillinfo'; $configValues['CONFIG_DB_TBL_DALODICTIONARY'] = 'dictionary'; $configValues['CONFIG_DB_TBL_DALOREALMS'] = 'realms'; $configValues['CONFIG_DB_TBL_DALOPROXYS'] = 'proxys'; $configValues['CONFIG_DB_TBL_DALOBILLINGPAYPAL'] = 'billing_paypal'; $configValues['CONFIG_DB_TBL_DALOBILLINGMERCHANT'] = 'billing_merchant'; $configValues['CONFIG_DB_TBL_DALOBILLINGPLANS'] = 'billing_plans'; $configValues['CONFIG_DB_TBL_DALOBILLINGRATES'] = 'billing_rates'; $configValues['CONFIG_DB_TBL_DALOBILLINGHISTORY'] = 'billing_history'; $configValues['CONFIG_DB_TBL_DALOBATCHHISTORY'] = 'batch_history'; $configValues['CONFIG_DB_TBL_DALOBILLINGPLANSPROFILES'] = 'billing_plans_profiles'; $configValues['CONFIG_DB_TBL_DALOBILLINGINVOICE'] = 'invoice'; $configValues['CONFIG_DB_TBL_DALOBILLINGINVOICEITEMS'] = 'invoice_items'; $configValues['CONFIG_DB_TBL_DALOBILLINGINVOICESTATUS'] = 'invoice_status'; $configValues['CONFIG_DB_TBL_DALOBILLINGINVOICETYPE'] = 'invoice_type'; $configValues['CONFIG_DB_TBL_DALOPAYMENTS'] = 'payment'; $configValues['CONFIG_DB_TBL_DALOPAYMENTTYPES'] = 'payment_type'; $configValues['CONFIG_DB_TBL_DALONODE'] = 'node'; $configValues['CONFIG_FILE_RADIUS_PROXY'] = '/etc/freeradius/proxy.conf'; $configValues['CONFIG_PATH_RADIUS_DICT'] = ''; $configValues['CONFIG_PATH_DALO_VARIABLE_DATA'] = '/var/www/daloradius/var'; $configValues['CONFIG_DB_PASSWORD_ENCRYPTION'] = 'cleartext';

99

$configValues['CONFIG_LANG'] = 'en'; $configValues['CONFIG_LOG_PAGES'] = 'no'; $configValues['CONFIG_LOG_ACTIONS'] = 'no'; $configValues['CONFIG_LOG_QUERIES'] = 'no'; $configValues['CONFIG_DEBUG_SQL'] = 'no'; $configValues['CONFIG_DEBUG_SQL_ONPAGE'] = 'no'; $configValues['CONFIG_LOG_FILE'] = '/tmp/daloradius.log'; $configValues['CONFIG_IFACE_PASSWORD_HIDDEN'] = 'yes'; $configValues['CONFIG_IFACE_TABLES_LISTING'] = '25'; $configValues['CONFIG_IFACE_TABLES_LISTING_NUM'] = 'yes'; $configValues['CONFIG_IFACE_AUTO_COMPLETE'] = 'yes'; $configValues['CONFIG_MAINT_TEST_USER_RADIUSSERVER'] = '127.0.0.1'; $configValues['CONFIG_MAINT_TEST_USER_RADIUSPORT'] = '1812'; $configValues['CONFIG_MAINT_TEST_USER_NASPORT'] = '0'; $configValues['CONFIG_MAINT_TEST_USER_RADIUSSECRET'] = 'testing123'; $configValues['CONFIG_USER_ALLOWEDRANDOMCHARS'] = 'abcdefghijkmnpqrstuvwxyzABCDEFGHJKMNPQRSTUVWXYZ23456789'; $configValues['CONFIG_MAIL_SMTPADDR'] = '127.0.0.1'; $configValues['CONFIG_MAIL_SMTPPORT'] = '25'; $configValues['CONFIG_MAIL_SMTPAUTH'] = ''; $configValues['CONFIG_MAIL_SMTPFROM'] = 'root@daloradius.xdsl.by'; $configValues['CONFIG_DASHBOARD_DALO_SECRETKEY'] = 'sillykey'; $configValues['CONFIG_DASHBOARD_DALO_DEBUG'] = '1'; $configValues['CONFIG_DASHBOARD_DALO_DELAYSOFT'] = '5'; $configValues['CONFIG_DASHBOARD_DALO_DELAYHARD'] = '15'; ?>

100

ANEXO E: Archivo de configuracin my.cnf (MySQL)

[client] port socket [mysqld_safe] socket nice

= 3306 = /var/run/mysqld/mysqld.sock = /var/run/mysqld/mysqld.sock = 0

[mysqld] user = mysql pid-file = /var/run/mysqld/mysqld.pid socket = /var/run/mysqld/mysqld.sock port = 3306 basedir = /usr datadir = /var/lib/mysql tmpdir = /tmp lc-messages-dir = /usr/share/mysql skip-external-locking key_buffer = 16M max_allowed_packet = 16M thread_stack = 192K thread_cache_size = 8 myisam-recover = BACKUP query_cache_limit = 1M query_cache_size = 16M expire_logs_days = 10 max_binlog_size = 100M [mysqldump] quick quote-names max_allowed_packet [mysql] [isamchk] key_buffer = 16M

= 16M

!includedir /etc/mysql/conf.d/

101

ANEXO F: Cdigo fuente de modulo conector

<?PHP // Conectar con la base de datos $connection1 = mysql_connect ("172.16.15.133", "XXXXXX") or die ("No se puede conectar al servidor"); mysql_select_db ("db_sis_academica",$connection1) or die ("No se puede seleccionar BD");

"consulta",

// Conectar con la base de datos $connection2 = mysql_connect ("127.0.0.1", "radius", "XXXXXXXXXX") or die ("No se puede conectar al servidor"); mysql_select_db ("radius",$connection2) or die ("No se puede seleccionar BD"); // Obtener alumno $instruccion = "SELECT alu_codigo, alu_password, alu_appaterno, alu_nombres, alu_mail FROM ac_alumno"; $consulta = mysql_query ($instruccion, $connection1) or die ("Fallo en la seleccin"); $nfilas = mysql_num_rows ($consulta); while ($resultado=mysql_fetch_array ($consulta)) { $instruccion2 = "INSERT INTO radcheck (username,attribute,op,value) VALUES ('".$resultado["alu_codigo"]."','CleartextPassword',':=','".$resultado["alu_password"]."')"; $instruccion3 = "INSERT INTO userinfo (username,firstname,lastname,email) VALUES ('".$resultado["alu_codigo"]."','".$resultado["alu_nombres"]."','".$resul tado["alu_appaterno"]."','".$resultado["alu_mail"]."')"; $instruccion4 = "INSERT INTO radusergroup (username,groupname,priority) VALUES ('".$resultado["alu_codigo"]."','Alumno',0)"; mysql_query ($instruccion2, $connection2) or die ("Fallo en la seleccin"); mysql_query ($instruccion3, $connection2) or die ("Fallo en la seleccin"); mysql_query ($instruccion4, $connection2) or die ("Fallo en la seleccin"); } // Desconectar mysql_close ($connection2); mysql_close ($connection1); ?>

102