Está en la página 1de 12

Diseo e implementacin de arquitectura de conectividad y seguridad AAA en

UDNET (Authentication, Authorization and Accounting)





Presentado por:
Oscar Mauricio Muoz Ortiz
Cd. 20091273019




Presentado a:
Hermes Eslava



Propuesta para optar por el ttulo de Ingeniero en Telecomunicaciones
Universidad Distrital Facultad Tecnolgica
Seminario de Investigacin
Bogot D.C.
Enero de 2012

INDICE

INTRODUCCION ....................................................................................................................................... 1
ESTADO DEL ARTE ................................................................................................................................... 2
JUSTIFICACION ........................................................................................................................................ 3
OBJETIVOS ............................................................................................................................................... 4
ALCANCES Y LIMITACIONES ..................................................................................................................... 5
RESULTADOS ESPERADOS ........................................................................................................................ 6
CRONOGRAMA ........................................................................................................................................ 7
PRESUPUESTO ......................................................................................................................................... 8
BIBLIOGRAFIA .......................................................................................................................................... 9



LISTA DE FIGURAS

FIGURA 1 ACCESO REMOTO ..................................................................................................................... 1
FIGURA 2 RADIUS .................................................................................................................................... 2



LISTA DE TABLAS

COMPARACION TACAS+ Y RADIUS ........................................................................................................... 1
CRONOGRAMA DE ACTIVIDADES ............................................................................................................. 2



1.INTRODUCION
Este proyecto consiste en el anlisis, diseo e implementacin de una arquitectura de conexin y
seguridad denominada AAA. Para que AAA funcione necesita configurar un protocolo base, el cual
puede ser TACACS+ o RADIUS. TACACS+ es un protocolo patentado por CISCO, por lo cual requiere: que
todos los equipos sean CISCO y pagar el precio que exigen para permitir la utilizacin de este protocolo.
RADIUS es de libre uso y no tiene ninguna limitante con respecto al fabricante de los equipos donde se
vaya a implementar.

CARACTERISTICAS TACAS+ RADIUS
ENCRIPTACION TODO PASSWORD
TRANSPORTE TCP UDP
AUTORIZACION Y AUTENTICACION POR SEPARADO COMBINADO
ARA,NETBIOS,NASI,X25 SI NO
REQUERIMIENTO DE EQUIPO ALTO MEDIO
PRECIO ALTO NO
Tabla 1. Comparacin TACACS+ y RADIUS

AAA es una arquitectura de seguridad, la cual esta dividida en tres mdulos (Authentication,
Authorization and Accountig, por sus siglas en ingles), los cuales trabajan en conjunto, creando una
forma eficiente y segura de conectarse a una red. Sus funcionalidades son:
Autenticacin: Proporciona el mtodo de identificacin de usuarios, incluyendo nombre de usuario y
contrasea, desafo y respuesta, soporte de mensajera, y, segn el protocolo de seguridad que
seleccione, puede ofrecer cifrado.
Autorizacin: Provee el mtodo de control de acceso remoto, incluyendo autorizacin total o para
cada servicio, liste de cuentas y perfil por usuario, soporte para grupos de usuarios, y soporte para IP,
IPX, ARA y Telnet.
Contabilizacin: Posee un mtodo de recoleccin y envi de informacin al servidor de seguridad, el
cual es usado para facturar, auditar y reportar: nombres de usuario, tiempo de inicio y final, comandos
ejecutados (como PPP), cantidad de paquetes enviados, y nmero de bytes. AAA provee los siguientes
beneficios:
Incremento de flexibilidad y control de configuracin de acceso.
Mtodos de autorizacin estandarizados, como RADIUS, TACACS+ o Kerberos.
Mltiples sistemas de backup.

2.ESTADO DEL ARTE
Microsoft ha implementado el protocolo RADIUS (Remete Authentication Dial In User Service) en
Windows 2000/2003 en lo que ha llamado el servicio IAS (Internet Authentication Service / Servicio de
Autenticacin de Internet). Habitualmente este servicio puede ser necesario si se quiere poner en
marcha una red wireless segura con WPA/WPA2 + RADIUS o bien un servidor de VPN tanto
autentificando contra Directorio Activo o los usuarios locales de un servidor. Para usar este servicio si se
coloca el servidor detrs de un firewall se deben abrir los puertos con protocolo UDP 1812 y 1813 para
que funcione correctamente.


Figura 1. Acceso Remoto

Como de costumbre para poner en marcha este servicio se debe ingresar a Panel de Control -> Agregar o
quitar programas -> Agregar o quitar componentes de Windows -> Servicios de Red y una vez en este
apartado activar el "Servicio de autenticacin de Internet". Para administrar el servicio hay que usar la
consola Servicio de Autenticacin de Internet (ias.msc), para aadir un nuevo cliente del servicio se debe
hacer click con el botn derecho sobre el apartado Clientes RADIUS, donde se tendr que introducir la
direccin IP o FQDN del cliente adems de una clave compartida (shared key). Aparte del RADIUS
estndar tambin soporta otras implementaciones RADIUS de distintos fabricantes.


Figura 2. RADIUS

En el apartado Registro remoto se tiene la oportunidad de fijar el sistema almacenamiento de logs, se
pueden almacenar en local (por defecto) o bien en una base de datos SQL a travs del correspondiente
DSN (origen de datos OBDC). En Directivas de acceso remoto se puede configurar una serie de
condiciones de acuerdo con diversos parmetros para admitir o rechazar peticiones de autenticacin,
estas se procesan en el orden establecido y en caso de que no se cumpla ningn intento de
autenticacin ser rechazado. Aparte de las directivas que se pueden ver abajo que son las
personalizadas, tambin existen otras que vienen ya definidas de acuerdo con los escenarios ms
habituales de uso de IAS. En Procesamiento de solicitud de conexin se puede crear proxies de RADIUS
de forma que se delegue la autenticacin en un servidor de RADIUS remoto, esta opcin esta solo
soportada en Windows Server 2003. Para ciertas funcionalidades tales como implantar un servidor de
VPN con RRAS donde es necesaria un integracin con el Directorio Activo se tiene que registrar el
servidor en el directorio, para ello se debe situar sobre el nodo raz del men y hacer click con el botn
derecho sobre l o bien ir a Acciones donde tambin se encontrara la opcin registrar servidor en Active
Directory. En Windows Server 2003 en la versin Standard del sistema operativo est limitado a 50
clientes y 2 grupos remotos de acceso mientras que en Enterprise el nmero es ilimitado, en Windows
2000 solo existe la funcin de servidor RADIUS y no hay limitaciones en ninguna versin.






3.JUSTIFICACION

La seguridad en las redes, es parte esencial en la administracin y funcionamiento de las mismas. Debe
existir un mecanismo que permita hacerle seguimiento a cada uno de sus usuarios y adems hacer
mejoras bsicas, tales como son: acceso seguro a la red, manejo de contrasea nica para los diversos
servicios que tiene disponible un usuario y generacin de diferentes niveles de acceso.
El acceso sin ningn tipo de autenticacin a las redes inalmbrica (ejemplo red UDNET) genera el
escenario propicio para huecos de seguridad y bajo rendimiento de la misma debido al uso indebido de
los recursos. Mientras algunos de los usuarios necesitan usar la conexin para fines productivos se ven
envueltos en congestiones deny of service ocasionados por el consumo de recursos en pginas de
entretenimiento como las redes sociales incluso por agentes ajenos a la entidad propietaria de los
equipos de la red.

















4. OBJETIVOS
General

Diseo e implementacin de arquitectura de conectividad y seguridad en una red prototipo, que pueda ser
escalable e implementada en una red ya existente, mediante AAA (Authorization, Authentication and
Accounting), utilizando el protocolo de libre uso RADIUS, para usuarios de Windows.

Especficos

Disear una red simulada en GNS3 de un servidor y cinco usuarios, teniendo en cuenta los equipos a
simular para poder crear una conexin de intranet y extranet (Router, Switch).

Implementar dos tipos de usuarios Windows con diferentes niveles de accesibilidad.

Implementar Proxy que solicite usuario y contrasea para cada conexin a o desde la red.

Disear un sistema que permita conexin a los diferentes servicios de la red con una misma contrasea por
usuario.

Configurar RADIUS para que permita hacer un seguimiento a los usuarios y al uso que estn haciendo de
la red, y guardarlo en un servidor.

Realizar un estudio de trfico, haciendo pruebas con las posibles conexiones de los diferentes tipos de
usuarios, generando la documentacin y simulaciones de todas la pruebas realizas y el cdigo generado.










5. ALCANCES Y LIMITACIONES




Alcance social

Las redes de acceso libre son en la actualidad un elemento indispensable para el acceso a la informacin de
usuarios vinculados a las instituciones, la implementacin de servicios de autenticacin y niveles de acceso a
servicios mejorar el uso de recursos limitados en las redes como el ancho de banda y tamaos de buffer lo cual
permitir un acceso mas rpido y eficiente a la informacin.

Alcance tecnolgico

Con equipos e infraestructura que ya se encuentran instalados en redes inalmbricas de acceso libre para usuarios
vinculados a una institucin determinada, se mejorar el rendimiento o performance de los recursos en la red
previniendo a la vez ataques a informacin sensible y agilizando tareas prioritarias enrutando los recursos de la red
exclusivamente a usos que sea de inters local para los propietarios de los equipos de transmisin en uso.

Limitaciones:
La mayor limitante para la ejecucin de este tipo de proyectos, es la disposicin del administrador de la red en el
manejo de informacin sobre la topologa de la red, ya que al conocer como se distribuye , se conoce el
performance y los huecos de seguridad . Adems el administrador debe suministrar las claves de los
dispositivos,informacin de alta sensibilidad en el funcionamiento de una red












6. RESULTADOS ESPERADOS

Obtener un mtodo de conexin a la red UDNET con autenticacin de usuario y contrasea.
Implementar grupos de diferentes usuarios, los cuales nos permitan separarlos dependiendo del uso o
tipo de usuario que sean.
Hacer de la red de la Universidad Distrital una red ms moderna y con caractersticas de conexin y
seguridad predeterminadas.
Poner en funcionamiento el protocolo RADIUS, para poder implementar satisfactoriamente AAA.

7.CRONOGRAMA
3.1 CRONOGRAMA DE ACTIVIDADES




Tabla 2. Cronograma de actividades
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Estudio de la mejor ubicacin de la
antena y el nodo en el sitio.
Clculos, implementacin e
interconexin de la antena
Instalacin y configuracin de
firmware.
Instalar el software del servidor de
datos.
Diseo y desarrollo de sistema de
administracin basado en web y
aplicacin.
Realizacin de estudios de trfico,
interferencia y cobertura.
Capacitacin a la comunidad y
conexin de los usuarios al nodo.
Pruebas finales con los usuarios y
nodos existentes conectados
Presentacin del proyecto a la
comunidad, director y jurados
Informe de Resultados
MES 4 MESES(SEMANAS)
ACTIVIDADES
MES 1 MES 2 MES 3


8.PRESUPUESTO

4 PRESUPUESTO DE MATERIALES:

PRESUPUESTO GLOBAL

PRESUPUESTO GLOBAL DE LA PROPUESTA POR FUENTES DE FINANCIACION
(miles de $)
RUBROS
FUENTES
TOTAL
SITIO U. DISTRITAL CONTRAPARTIDA
PERSONAL 0 0 10.240 10.240
EQUIPOS 0 0 3.120 3.120
MATERIALES 0 280 540 820
SOFTWARE 0 0 0 0
TOTAL 0 280 13.900 14.180
Presupuesto global. No hay inversin en software debido a que todo el software a utilizar ser libre (licencia GPL).

PERSONAL
(miles de $)
Personal Valor Mensual Cant de meses TOTAL
2 Ingenieros UD 2.560 4 10.240
Encargado del
Sitio 0* 4 0
TOTAL 2.560 4 10.240
* El costo del Encargado del Sitio est dentro de los gastos de Nmina del mismo, por tanto no afecta el presupuesto del proyecto.




DESCRIPCIN Y CUANTIFICACIN DE LOS
EQUIPOS DE USO PROPIO
(MILES DE $)
CANT. EQUIPO VALOR
1 MULTIMETRO DIGITAL 120
2 COMPUTADOR PORTATIL 3.000
TOTAL 3.120

MATERIALES
(MILES DE $)
MATERIAL VALOR
MATERIALES ELECTRONICOS 570
PC SERVIDOR 250
TOTAL: 820




9. BIBLIOGRAFIA
[1] C. BuenosAiresLibre, BuenosAiresLibre | bienvenido/a aBuenosAiresLibre:,, Dec. 2008. [Online]. Consulted:
Nov. 2010. Available: http://www.buenosaireslibre.org/.

[2] L. Dalmau, noticias de guifi.net - castellano | guifi.net,, Sep. 2010. [Online]. Consulted: Nov. 2010. Available:
http://guifi.net/es.

[3] E. B. B, El WiFi social en chile: entrevista con iniciativa chilewirelesssincables.cl | conexin social, Mar. 2006.
[Online]. Consulted: Nov. 2010. Available: http://www.conexionsocial.cl/node/2.

[4] Anonimo, Sincables,. [Online]. Consulted: Nov. 2010. Available: http://www.sincables.cl/.

[5] Uricio, Portada, Nov. 2010. [Online]. Consulted: Nov. 2010. Available: http://montevideolibre.org/.

[6] Eder, Diego, Alejo, and Daniel, Colombia sin Cables<->Medellinwireless, Dec. 2003. [Online]. Consulted: Nov.
2010. Available: http://co.lab.cohete.net/wifi/MiTiN_2.html.

[7] E. C. Ovalle, Habia una vez en bella flor, Feb. 2010. [Online]. Consulted: Nov. 2010. Available:
http://www.udtecnovirtual.org/index. php?option=com_content&view.

[8] , Memorias IV foro: Dia 3 las TIC mejorando la calidad de vida, Sep. 2010. [Online]. Consulted: Nov. 2010.
Available: http://www.udtecnovirtual. org/index.php?option=com_content&view=article&id=573%3Aivforo-
dia3&catid=1%3Alatest-news&Itemid=1

[9] R. Flickenger, C. Aichele., S. Buttrich, and L. M. Drewett, Redes Inalmbricas en los Paises en Desarrollo, 3rd
ed., Sep. 2008, vol. 1.

[10] I. telecommunicationsUnion, X.170 : Arquitectura de la gestion de red a red para redes de datos. vol. 1, no. 1,
p. 17, Jun. 1999. Consulted: Nov. 2010. [Online]. Available: http://www.itu.int/rec/T-REC-X.170-199906-I.

[11] C. de Joomla en Colombia, F.A.Q - joomla! en colombia, 2009. [Online]. Consulted: Nov. 2010. Available:
http://www.joomlaencolombia.net/zona-newbie/faq.