IES Gran Capitán

Departamento de Informática
Ciclo Formativo de Grado Superior de
Administración de Sistemas Informáticos

Módulo de Proyecto Integrado
Manuel Monzón Pérez – 2º ASIR
Proyecto: AUTENTICACIÓN CON RADIUS
Curso 2015/2016
Índice de contenido
1.- Introducción.....................................................................................................................................................................2
2.- Objetivos y requisitos del proyecto.................................................................................................................................2
3.- Estudio previo.................................................................................................................................................................2
3.1.- Estado actual...........................................................................................................................................................2
3.2.- Estudio de soluciones existentes.............................................................................................................................3
Solución elegida............................................................................................................................................................15
4.- Plan de trabajo...............................................................................................................................................................15
5.- Diseño............................................................................................................................................................................15
5.1.- Diseño general......................................................................................................................................................15
5.2.- Diseño detallado...................................................................................................................................................17
6.- Implantación..................................................................................................................................................................18
7.- Recursos........................................................................................................................................................................22
7.1.- Herramientas hardware.........................................................................................................................................22
7.2.- Herramientas software..........................................................................................................................................22
7.3.- Personal................................................................................................................................................................22
7.4.- Presupuesto...........................................................................................................................................................22
8.- Conclusiones.................................................................................................................................................................23
8.1.- Grado de consecución de objetivos......................................................................................................................23
8.2.- Problemas encontrados.........................................................................................................................................23
8.3.- Futuras mejoras.....................................................................................................................................................23
9.- Referencias / bibliografía..............................................................................................................................................23
10.- Anexos.........................................................................................................................................................................23

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

1.- Introducción
Se quiere adoptar una mayor seguridad en la red WiFi de la que se dispone, para que solo se puedan conectar los
usuarios que nosotros deseemos.

2.- Objetivos y requisitos del proyecto
Implementar autenticación en una red wifi

Red Wifi con requisitos mínimos de seguridad

Gestión de usuarios del sistema en una máquina virtual en Júpiter y/o en el propio titan

Soporte para clientes Windows y Linux

3.- Estudio previo
3.1.- Estado actual
Actualmente la red con la que contamos está compuesta por una red general dividida en varias subredes (clases) con las
que dividir el tráfico de la red. Por lo que en cada subred tenemos un punto de acceso.
Como sistema de protección para las redes inalámbricas se usa WPA2 con la cual se corrigen vulnerabilidades
detectadas en WPA. El tipo de cifrado usado es el AES (Advanced Encryption Standard), es el más seguro introducido
con WPA2 y adoptado por el gobierno de EEUU, y las principales debilidades sería mediante ataques de fuerza bruta,
que a su vez son evitadas por el uso de una “fuerte” contraseña. Por lo tanto, ese tipo de protección y cifrado es la más
aconsejable.
En estos momentos existen dos tipos de puntos de acceso:
d-link dwl-2100ap (usado en las aulas 114, 115 y 116)

Rendimiento 15 veces superior que el de un producto Wireless 11b

Ancho de Banda de 108Mbps, en 2.4GHz

Compatible con productos que operen bajo el estándar 802.11b y 802.11g y todos los productos wireless de DLink

Cuatro modos de operación. Access Point, Bridge PtP, Bridge PtMP y AP Cliente

Antena desmontable con conector RSMA

DHCP Server

Fácil Instalación

Alto Rendimiento

Fácil integración en la red

Sólo entre equipos AirPlus Xtreme G y AirPremier AG operando en modalidad SuperG

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

asus rt-n12eB (usados en el Departamento de Informática y en el aula 112)

Modos inalámbricos múltiple 3 en 1 router / Punto de acceso / Range Extender

Dos antenas 5dBi desmontable para una cobertura más potente y más amplia

4 SSID ayudan a gestionar la asignación de ancho de banda y control de acceso

Potente multitarea en línea de hasta 30.000 sesiones de datos

Ancho de banda de 300Mbps

De fácil instalación y manejo

Aumenta drásticamente la cobertura de la señal inalámbrica y la calidad con un amplificador de señal
incorporado

3.2.- Estudio de soluciones existentes
Autenticación de usuarios

Kerberos:
Es un protocolo de autenticación de redes que permite a los equipos de una red insegura demostrar su identidad
de manera segura. Es un modelo cliente-servidor y tanto cliente como servidor verifican la identidad uno del
otro.
Kerberos se basa en una criptografía de clave asimétrica y requiere de un tercero de confianza (KDC) el cual
consiste de dos partes lógicas separadas: un “servidor de autenticación” y un “servidor emisor de tiquets”.
Elementos
Un servidor Kerberos se denomina KDC (Kerberos Distribution Center), y provee de dos servicios
fundamentales: el de autenticación (AS, Authentication Service) y el de tickets (TGS, Ticket Granting Service).
El primero tiene como función autenticar inicialmente a los clientes y proporcionarles un ticket para
comunicarse con el segundo, el servidor de tickets, que proporcionará a los clientes las credenciales necesarias
para comunicarse con un servidor final que es quien realmente ofrece un servicio. Además, el servidor posee
una base de datos de sus clientes (usuarios o programas) con sus respectivas claves privadas, conocidads
únicamente por dicho servidor y por el cliente al que pertenece.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

La arquitectura de Kerberos está basada en tres objetos de seguridad:

Clave de sesión: es una clave secreta generada por Kerberos y expedida a un cliente para uso con un servidor
durante una sesión; no es obligatorio utilizarla en la toda la comunicación con el servidor, sólo si el servidor lo
requiere o si el servidor es un servidor de autenticación. Se suele denominar a esta clave KCS, para la
comunicación entre un cliente C y un servidor S.

Ticket: es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de un
servidor; garantiza que el cliente ha sido autenticado recientemente. A un ticket de un cliente C para acceder a
un servicio S se le denomina {ticket (C, S)} KS = { C, S, t1, t2 }KS . Este ticket incluye el nombre del cliente
C, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesión KS
asociada para uso de cliente y servidor. Kerberos siempre proporciona el ticket ya cifrado con la clave secreta
del servidor al que se le entrega.

Autenticador: es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la
actualidad de la comunicación; sólo puede ser utilizado una vez. Un autenticador de un cliente C ante un
servidor S se denota por { auth ( C ) KCS = { C, t } KCS. Este autenticador contiene, cifrado con la clave de la
sesión, el nombre del cliente y un timestamp.

Ventajas:

Autenticación mutua. El cliente puede validar la identidad de la entidad de seguirdad del servidor y el
servidor puede validar el cliente. Normalmente esta autenticación se suele hacer entre un cliente y un
servidor aunque se podría hacer entre dos servidores.

Vales de autenticación seguros. Sólo se utilizan vales cifrados y las contraseñas están incluidas en el vale.

Autenticación integrada. Una vez que el usuario haya iniciado sesión, no necesitará iniciar sesión
nuevamente para tener acceso a cualquiera de los servicios que admite la autenticación Kerberos, siempre
y cuando el vale del cliente no haya expirado. Cada vale o ticket tiene una vigencia, que está determinada
por las directivas del dominio Kerberos que genera el vale.

Desventajas:

La migración de las contraseñas de usuarios desde una base de datos de contraseñas estándar UNIX, tal
como /etc/passwd o /etc/shadow, a una base de datos de contraseñas Kerberos, puede ser tediosa y no hay
un mecanismo rápido para realizar esta tarea.

Kerberos presupone que cada usuario es de confianza, pero que está utilizando una máquina no fiable en
una red no fiable. Su principal objetivo es el de prevenir que las contraseñas no cifradas sean enviadas a
través de la red. Sin emargo, si cualquier otro usuario, aparte del usuario adecuado, tiene acceso a la
máquina que emite tickets (KDC) para la autenticación, Kerberos estará en riesgo.

Para que una aplicación use Kerberos, el código debe ser modificado para hacer las llamadas apropiadas a
las librerías de Kerberos. Las aplicaciones que son modificadas de esta forma son consideradas como
Kerberizadas. Para algunas aplicaciones, esto puede suponer un esfuerzo excesivo de programación,
debido al tamaño de la aplicación o su diseño. Para otras aplicaciones incompatibles, los cambios se deben
realizar en el modo en el que el servidor de red y sus clientes se comunican; de nuevo, esto puede suponer
bastante programación. En general, las aplicaciones de código cerrado que no tienen soporte de Kerberos
son usualmente las más problemáticas.

Finalmente, si decide usar Kerberos en su red, debe darse cuenta de que es una elección de todo o nada, So
decide usar Kerberos en su red, debe recordar que si se transmite cualquier contraseña a un servicio que no
usa Kerberos para autentica, se corre el riesgo de que el paquete pueda ser interceptado. Así, su red no
obtendrá ningún beneficio de usar Kerberos. Para asegurar su red con Kerberos, solo debe utilizar las
versiones Kerberizadas de todas las aplicaciones cliente/servidor que envíen contraseñas sin cifrar o no
utilizar ninguna de estas aplicaciones en la red.

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Servidor NPS:
El servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a la red en toda la
organización con fines de mantenimiento de clientes, autenticación de solicitudes de conexión y autorización
de solicitudes de conexión.
NPS permite configurar y administrar de forma centralizada directivas de autenticación de acceso a la red,
autorización y mantenimiento de clientes
Además, puede usar NPS como un proxy RADIUS para reenviar solicitudes de conexión a servidores NPS u
otros servidores RADIUS que configure en grupos de servidores RADIUS remotos.
NPS contiene también componentes clave para implementar la Protección de Acceso a Redes (NAP) en la red,
y puede implementarse de su organización y sus equipos con conectividad de red a través de servidores de
acceso de red, como servidores de red privada virtual (VPN), puntos de acceso inalámbricos y servidores de
mercado telefónico, puede usar NPS para crear, administrar e imponer las directivas de acceso de red que
determinan si los usuarios y equipos pueden o no se pueden acceder a la red. Durante este intento de conexión,
los usuarios y equipos suelen proporcionar las credenciales de cuenta en forma de un nombre de usuario y
contraseña o un certificado. NPS puede examinar estas credenciales y utilizarla para verificar la identidad o
autenticar el usuario o equipo antes de permitir el acceso a la red.
NPS también permite determinar si el usuario o el equipo tiene permiso para acceder a la red mediante la
autorización de la solicitud de conexión con propiedades de la cuenta de usuario, las directivas de red que haya
creado o ambos.
Ventajas:

Una de las ventajas que proporciona NPS es la configuración de las directivas de red en un servidor (el
servidor que ejecuta NPS) que se aplican a muchos servidores. Por ejemplo, si tienen 10 puntos de acceso
inalámbrico y no utilizan NPS, debe configurar las directivas de acceso 10 veces; pero si usa NPS, debe
configurar cada directiva sólo una vez

Por lo tanto, mediante el uso de NPS se puede administrar centralmente el acceso a la red para las
organizaciones de todos los tamaños, incluidas las PYMES, organizaciones empresariales e ISP

RADIUS
Es uno de los sistemas más antiguos usados en Internet. RADIUS ejecuta un programa de software en un
servidor. Cuando un usuario intenta conectarse a la red, un programa cliente RADIUS dirige todos los datos de
usuario al servidor para la autenticación. El servidor aloja los datos de autenticación del usuario en un formato
encriptado y envía una respuesta de paso o rechazo.
Por lo tanto, es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad
IP. Utiliza el puerto 1812 UDP para establecer sus conexiones, por lo tanto tendrá una comunicación sin
conexión, o sea, “best-effort”.
RADIUS a diferencia de otros sistemas, está más orientado al usuario final del servicio.
¿Cómo trabaja RADIUS?
RADIUS desempeña tres funciones primarias explicadas a continuación con un ejemplo:
Cuando se realiza la conexión con un ISP mediante módem, Ethernet o Wi-Fi se envía una información que
generalmente es un nombre de usuario y una contraseña.
Esta información se transfiere a un dispositivo Network Access Server (NAS, Servidor de Acceso a la Red)
sobre el protocolo PPP, quien dirige la petición a un servidor RADIUS sobre el protocolo RADIUS.
Autenticación: El servidor RADIUS comprueba que la información es correcta utilizando esquemas de
autenticación como PAP, CHAP, EAP.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Autorización: Indica si un usuario puede o no acceder a cierto recurso. Si es aceptado, el servidor autorizará el
acceso al sistema del ISP y le asigna los recursos de red como una IP y demás parámetros.
Auditoría: Almacena datos sobre cuando y como se realizan peticiones (tanto aceptadas como rechazadas).
Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones,
notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y
facturar en consecuencia.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores
de Acceso a la Red (NAS), más tarde se publicó como RFC 2138 y RFC2139. Actualmente existen muchos
servidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden varia, pero la mayoría
pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se
utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una
administración centralizada y pueden reescribir paquetes RADIUS al vuelo.
Algunas de sus características son:

Seguridad

Flexibilidad

Administración simple

Capacidad extensiva de auditoría

Ventajas:

Mejora considerable de la seguridad

Posibilidad de aplicar restricciones a un usuario/perfil en particular

Mejora en la presentación de informes (reporting) y en el seguimiento (tracking) basado en los nombres de
usuarios, incluso más aún si está atado a un backend LDAP o AD

Cuando un usuario se autentifica en una SSID usando 802,1X, esa sesión individual está encriptada únicamente
entre el usuario y el punto de acceso. Esto significa que otro usuario conectado al mismo SSID no puede
escuchar el tráfico ni robar información, dado que están utilizando diferentes claves de encriptación para sus
respectivas conexiones. En cambio en una red PSK, cada dispositivo conectado al punto de acceso comparte la
misma encriptación de conexión, por lo que otros usuarios podrían espiar en el tráfico si quisieran.

Es posible desconectar a un único usuario o dispositivo sin afectar al resto y sin cambiar la clave al resto

Puedes asignar permisos individuales para cada usuario. En cambio en el método de clave compartida sólo
puedes crear un único perfil de usuario que todos compartirán

Desventajas:

Si los usuarios se conectan a la red inalámbrica con un dispositivo personal, 802,1X/RADIUS puede ser más
complejo a la hora de configurar para los usuarios finales, especialmente quienes usen Windows

No soporta algunos protocolos como son ARA (Protocolo de Acceso Remoto AppleTalk), Protocolo de
Control de Tramas NetBIOS, NASI (Interfaz de Servicios Asíncronos de Novell) y conexiones X.25 con PAD

Tampoco permite al usuario el control de los comandos que pueden ser ejecutados en un router y cuales no. Por
lo tanto, RADIUS no es tan útil para la gestión del router o flexible para servicios de terminal

Sólo encripta la contraseña, por lo tanto no encripta ni el nombre de usuario ni otros posibles datos asociados

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

TACACS+:
Acrónimo de Terminal Access Controller Access Control System (Sistema de Control de Acceso del
Controlador de Acceso a Terminales) fue desarrollado a partir de la experiencia de Cisco con RADIUS. Es un
protocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados de
autenticación, autorización y registro) a servidores y dispositivos de comunicaciones.
El Departamento de Defensa de Estados Unidos lo desarrolló para resolver algunos de los problemas con los
servidores de acceso remoto de RADIUS. Éste sistema está diseñado para los administradores de red que deben
conectarse de forma remota a los dispositivos de la red.
También usa el modelo Cliente-Servidor siendo el NAS el cliente. Usa como transporte el protocolo TCP, por
lo tanto el diálogo entra el NAS y el TACACS+ será orientado a la conexión.
Funcionamiento
TCP provee un ACK separado de que un Access-Request ha sido recibido por el server TACACS+. Además
TCP provee una indicación inmediata de un server no disponible. Aún teniendo conexiones TCP con un timer
de expiración de espera de ACK largo, podremos tener la certeza de un server que sale de servicio y luego
entra nuevamente en operación. UDP no puede darnos esta certeza, ni siquiera puede discriminar entre un
server caído, un server lento o inexistente y por lo tanto RADIUS tampoco. Usando los keepalives de TCP
podemos detectar las caídas del servidor TACACS+ fuera de banda. Además con TACACS+ podemos
establecer y mantener conexiones simultáneas con varios server, de esa manera no se necesita requerir servicio
solo a server que conocemos que están en servicio en cada momento.
TACACS+ encripta todo el paquete dejando solo un header standar TACACS+. En ese header existe un campo
que indica si el cuerpo del paquete ha sido encriptado o no. Normalmente es más seguro optar por la total
encriptación del cuerpo del paquete. Este protocolo usa una arquitectura modular llamada AAA
(Authentication, Authorization & Accounting), la cual separa las tres funciones: Autenticación, Autorización y
Contabilización. Este flexibilidad le da ventaja sobre RADIUS, puesto que podemos usar TACACS+
para la autorización y contabilización y hacer la autenticación por medio de Kerberos u otro sistema. Después
de que un NAS autentica mediante un servidor Kerberos, procederá a requerir información de autorización y/o
perfil de usuario al server TACACS+ sin tener que volverse a autenticar en el TACACS+. El NAS informa al
TACACS+ de la exitosa autenticación del usuario por Kerberos y entonces el server TACACS+ proveerá la
información de autorización del usuario.
Como en otros sistemas ya explicados, TACACS+ desempeña tres funciones:

Autenticación: La autenticación es el proceso de validación de la identidad de un usuario. TACACS+ logra
esto a través de un nombre de usuario y la contraseña suministrada por el usuario. TACACS+ separa los
procesos de autenticación, autorización y contabilidad, proporcionando un nivel de granularidad y flexibilidad
que no se encuentra en RADIUS.

Autorización: Proporciona una gestión centralizada de autorización y seguridad más estricta comprobando
cada comando emitido en contra de la base de datos de configuración de autorización. Esto garantiza que el
usuario sólo se le permite ejecutar comandos que está autorizado a emitir.

Contabilidad: Los auditores de red requieren de actividad para hacer su trabajo correctamente, lo que significa
que necesitan los registros de actividad.

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Ventajas:

Encripta tanto el nombre de usuario, contraseña y otros datos asociados

TACACS+ añade la función de Contabilidad que no tenían en versiones anteriores

No necesita variables extras como RADIUS para controlar intentos de retransmisión y timers, puesto que el
protocolo de transporte se encarga de lograr un canal de comunicaciones seguro, transparente y libre de errores

Ofrece soporte multiprotocolo. Soporta de forma nativa su funcionamiento sobre familias de protocolos
distintos de TCP/IP como ARA, NetBIOS, NASI y PAD (gran ventajas sobre RADIUS)

Flexibilidad para poder separar las tres funciones básicas

Desventajas:

Incompatible con las versiones anteriores de TACACS

Necesita mucho más ancho de banda que otros sistemas, por lo que podría causar problemas de rendimiento si
se usa con mucha asiduidad

Debido a que la base de datos del usuario no reside en el servidor TACACS+, el rendimiento puede ser lento

Gestión de usuarios del sistema

– Servidor Active Directory
Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de
computadoras. Utiliza distintos protocolos como LDAP, DNS, DHCP, Kerberos, etc.
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetos
tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectadas a la
red, así como también la administración de políticas en toda la red.
Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como
usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.
AD permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores
y aplicar actualizaciones críticas a una organización entera. Un AD almacena información de una organización en una
base de datos central organizada y accesible. Puede encontrarse desde directorios con cientos de objetos para una red
pequeña hasta directorios con millos de objetos.
Características

Administración simplificada de usuarios y recursos de red
Puede utilizar AD para crear estructuras de información jerárquicas, que simplifican el control de las
credenciales administrativas y otras opciones de seguridad y permiten a los usuarios localizar recursos de red,
como archivos e impresoras con mayor facilidad

Infraestructura y aplicaciones habilitadas parpa el uso de directorios
Las características de AD facilitan la configuración y administración de las aplicaciones y otros componentes
de red habilitados para el uso de directorios
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Escalabilidad sin complejidad
AD puede escalarse hasta llegar a tener millones de objetos por cada dominio y utiliza tecnología de indización
y técnicas de replicación avanzadas para aumentar el rendimiento

Uso de los estándares de Internet
Proporciona acceso mediante LDAP y utiliza un espacio de nombres basado en el DNS

Un entorno de desarrollo eficaz
Ofrece un entorno de desarrollo eficaz mediante las interfaces de servicio de AD (ADSI), que le proporciona
una interfaz orientada a objetos

Replicación y supervisión de confianza
AD proporciona clases de Instrumental de administración de Windows (WMI) que supervisan si los
controladores de dominio replican correctamente la información de AD y si las relaciones de confianza
funcionan adecuadamente

Componentes de Active Directory
AD utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organización. Las
estructuras lógicas de la organización se representan en los siguientes componentes de AD:

Dominio:
La unidad central de la estructura lógica de AD es el dominio, que puede almacenar millones de objetos. Los
objetos que se almacenan en un dominio son aquellos que se consideran “interesantes” para la red

Recursos (impresoras, escáner, etc)

Servicios (correo, impresión, etc)

Usuarios, Grupos, OU

OU:
Es un contenedor que se utiliza para organizar objetos dentro de un dominio en grupos administrativos lógicos
que reflejan la estructura funcional y de negocios de una organización

Árbol:
Un árbol es una agrupación o una ordenación jerárquica de uno o más dominios que se pueden crear añadiendo
uno o más dominios secundarios a un dominio principal existente

Bosque:
Un bosque es una agrupación o configuración jerárquica de uno o más árboles de dominio distintos y
completamente independientes entre sí

Ventajas:

Mayor seguridad frente a los servidores NT

Control sobre las instalaciones que tienen los usuarios

Control sobre el tipo de acceso que tendrá cada usuario

Seguridad en los datos

Mejores en el rendimiento y la confiabilidad

Sincronización presente entre los distintos servidores de autenticación de todo el dominio

Es una implementación de servicio de directorio centralizado en una red distribuida que facilita el control, la
administración y la consulta de todos los elementos lógicos de una red

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Desventajas

Mayor tamaño de disco duro

Requerimiento de memoria

No es software libre

Es caro

– Servidor OpenLDAP
Se trata de una implementación libre del protocolo que soporta múltiples esquemas por lo que puede utilizarse para
conectarse a cualquier otro LDAP. Tiene su propia licencia, la Open Ldap Public License. Al ser un protocolo
independiente de la plataforma, varias distribuciones Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac Os X,
Windows.
LDAP son las siglas de Protocolo Ligero/Simplificado de Acceso a Directorios, que hacen referencia a un protocolo a
nivel de aplicación que permite a un servicio de directorio ordenador y distribuido para buscar diversa información en
un entorno de red. LDAP también se considera una base de datos a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. El ejemplo más
común es el directorio telefónico, que consiste en una serie de nombres que están ordenados alfabéticamente, con cada
nombre teniendo una dirección y un número de teléfono adjuntos. Para entender mejor, es un libro o carpeta, en la cual
se escribe nombres de personas, teléfonos y direcciones, y se ordena alfabéticamente
Un árbol de directorio LDAP a veces refleja varios límites políticos, geográficos u organizaciones, dependiendo del
modelo elegido. Los despliegues actuales de LDAP tienden a usar nombres de DNS para estructurar los niveles más
altos de la jerarquía. Conforme se desciende en el directorio pueden aparecer entradas que presentan personas, OU,
impresoras, documentos, grupos de personas o cualquier cosa que presenta una entrada dad en el árbol.
Habitualmente, almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque
es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red,
permisos, certificados, etc). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto de
información sobre una red.

ESTRUCTURA
El protocolo accede a directorios LDAP:

Un directorio es un árbol de entradas de directorio

Una entrada consta de un conjunto de atributos

Un atributo tiene un nombre (tipo de atributo o descripción de atributo)

Cada entrada tiene un identificador único: Su Nombre Distinguido (DN). Este consta de su Relative
Distinguished Name (RDN) construido por algunos atributos en la entrada, seguidos del DN de la entrada del
padre. Pensar en el DN como un completo nombre de archivo y el RDN como el nombre de archivo relativo es
un folder.

Se debe tener cuidado con el hecho de que un nombre distinguido puede cambiar en el tiempo de vida de una entrada,
por ejemplo, cuando las entradas son movidas en el árbol. Para hacer más confiables e identifica de manera no ambigua
las entradas un UUID podría ser proporcionado en el conjunto de los atributos operacionales de la entrada.
Una entrada puede tener este formato cuando es representada en el formato LDIF (LDAP por sí mismo es un protocolo
binario):
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

“dn” es el nombre de la entrada; no es un atributo ni tampoco parte de la entrada. “cn=John Doe” es el nombre
distinguido relativo, y “dc=example,dc=com” es el nombre distinguido de la entrada del padre, donde dc indica domain
component (componente de dominio). Las otras líneas presentan los atributos en la entrada. Los nombres de atributos
son generalmente cadenas mnemotécnicas, como “cn” para common name (nombre común), “dc” para domain
component (componente de dominio), “mail” para dirección de correo electrónico y “sn” para surname (apellido).
Un servidor aloja un subárbol comenzando por una entrada específica, por ejemplo “dc=example,dc=com” y sus hijos.
Los servidores también pueden almacenar referencias a otros servidores, con los cual un intento de acceso a
“ou=department,dc=example,dc=com” puede retornar una referencia o continuación de referencia a un servidor que
aloja esa parte del árbol de directorio. El cliente luego puede contactar al otro servidor. Algunos servidores también
soportan encadenamiento (chaining), que implica que el servidor contacta al otro servidor y devuelve el resultado al
cliente.
LDAP raramente define un ordenamiento: el servidor puede devolver los valores de un atributo, los atributos en una
entrada y las entradas encontradas por una operación de búsqueda en cualquier orden. Esto sigue la definición formal una entrada es definida como un conjunto de atributos, y un atributo es un conjunto de valores, y los conjuntos no
necesitan estar ordenados.

Ventajas:

La ventaja principal de usar LDAP es la consolidación de cierto tipo de información en el interior de su
empresa o para el uso que le queramos dar

Gran facilidad para implementar y la coherencia de sus API. Lo cual significa que el número de aplicaciones y
de gateways que disfruta LDAP puede crecer en el futuro

Al estar basado en un sistema de directorios, es muy rápido en la lectura de registros

Permite replicar el servidor de forma muy sencilla y económica

Muchas aplicaciones de todo tipo tienen interfaces de conexión a LDAP y se pueden integrar fácilmente

Dispone de un modelo de nombres globales que asegura que todas las entradas son únicas

Usa un sistema jerárquico de almacenamiento de información

Permite múltiples directorios independientes

Funciona sobre TCP/IP y SSL

La mayoría de aplicaciones disponen de soporte para LDAP

La mayoría de servidores LDAP son fáciles de instalar, mantener y optimizar

Es de software libre

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Desventajas:

Protocolo de manejo de dato poco intuitivo

Si deseamos usar LDAP lo debemos de hacer mediante un cliente LDAP-enabled o bien pasar a través de mi
gateway LDAP

Sus principales beneficios se ven materializados al usar sistemas donde se guarda gran cantidad de registros y
se requiere un uso constante de los mismos

– PfSense
Es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de
código abierto, puede ser instalado en cualquier ordenador que cuente con un mínimo de dos tarjetas de red, y además
cuenta con una interfaz web sencilla para su configuración. El proyecto es sostenido comercialmente por BSD Perimeter
LLC y es usado para servicios de redes LAN y WAN tales como firewall, enrutador, balanceo de carga, etc.
El portal de administración está basado en PHP y teóricamente todas las coniguraciones y administración se pueden
hacer realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de
comandos UNIX para su manejo

Cuenta con un gestor de paquetes desde su interfaz gráfica accedida remotamente para ampliar sus funcionalidades, al
elegir el paquete deseado el sistema lo descarga y lo instala automáticamente.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Ventajas:

Es Open Source con licencia FreeBSD.

Es versátil y práctico ya que puede ser usado directamente desde un CD player y puede ofrecer una versión
para MV

Interfaz intuitiva

Comunidad PfSense y centro de información

Package Manager. Posee actualmente decenas de paquetes adicionales que le premiten acceder al puesto de
UTM (Unified Threat Management)

Desventajas:

No es compatible con todos los navegadores

La mayor parte de la documentación que existe es de usuarios avanzados y no es oficial

Máquina virtual
La MV estará alojada el PROXMOX, que es una plataforma de virtualización basada en código abierto que permite la
virtualización tanto sobre OpenVZ como KVM.

Contenedor (OpenVZ)
Se denomina contenedor a la creación de una máquina virtual en un ambiente 'chroot' directamente en el sistema de
archivos del servidor base.
Lo que nos da una serie de ventajas:

Administración de recursos de forma directa: Ejemplo, podemos incrementar la RAM, SWAP, CPU, disco, etc.
Y los cambios son aplicados al instante en el servidor virtual

El uso del mismo sistema de ficheros para todas las máquinas virtuales no 'sobrecarga' al sistema base

La creación y borrado de máquinas virtuales es casi instantáneo

La velocidad de las aplicaciones que tenemos corriendo en el contenedor es casi la misma que si se tratara del
servidor base

Acceso directo al kernel del servicio base

Y una serie de inconvenientes:

Solo permite trabajar bajo esta modalidad a ambientes que corran en Linux y no Windows

Menos seguros, porque el aislamiento es mejor. Ya que teóricamente es posible que un usuario de un
contenedor acceda a otros de la máquina

Al compartir kernel todas las máquinas, un error en una MV puede tirar las otras máquinas

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Máquina virtual (KVM)
El sistema Linux KVM realiza una virtualización completa (full virtualisation) y necesita un procesador con los flags de
virtualización (VMX).
Ventajas:

Permite instalar cualquier Sistema Operativo

Cada máquina virtual tiene su propio hardware virtualizado (tarjeta de red, discos duros, tarjeta gráfica, etc)

SS.OO.
Windows Server 2008 R2
Componente

Requisito

Procesador

Mínimo de 1.4 Ghz de 64bits

Recomendado de 2GHz

No hay límites de máximo

Mínimo de 512 MB de RAM

Recomendado 2 GB

Máximo de 32 GB en la versión Standar y 2 TB
en la versión Enterprise y Datacenter

Mínimo de 32 GB en las versiones FULL

Recomendado 40 GB en versiones FULL y 10
GB en las versiones Core

No hay límites de máximo

Memoria

Espacio en Disco

Windows Server 2012 R2
Componente

Requisito

Procesador

Mínimo de 1.4 Ghz de 64bits

Memoria

Mínimo de 512 MG de RAM

Espacio en Disco

Mínimo de 32 GB

Debian 8
Tipo de Instalación

RAM (mínimo)

RAM (recomendado)

Disco Duro

Sin escritorio

128 MB

512 MB

2 GB

Con escritorio

256 MB

1 GB

10 GB

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Solución elegida
Después del estudio realizado de las varias opciones posibles para este proyecto, he decidido optar por:
Autenticación de Usuarios

RADIUS

Gestión de Usuarios del Sistema

Active Directory

Tipo de Máquina Virtual

Máquina Virtual

Sistema Operativo

Windows Server 2008

4.- Plan de trabajo
Semana

Tarea

21/09/15

Introducción

28/10/15

Objetivos y requisitos del proyecto

05/10/15

Estudio previo

12/10/15

Estado Actual

19/10/15

Soluciones existentes

26/10/15

Establecimiento plan de trabajo

02/11/15

Diseño general y detallado

09/11/15

Implantación

16/11/15

Implantación

23/11/15

Recursos

30/11/15

Conclusiones

07/12/15

Bibliografía y Anexos

5.- Diseño
5.1.- Diseño general

Para que la conexión a Internet se realice con éxito debemos de:
1.

El cliente se autenticará con un usuario y contraseña

2.

Dicho usuario y contraseña debe de estar almacenado en el AD dentro del grupo al que le hayamos dado acceso
para la conexión

3.

Una vez introducido los datos de acceso, el servidor RADIUS comprobará si son correctos

4.

Si lo son, nos dará una dirección IP, máscara de red, y otros datos más para poder tener acceso a la red y
navegar correctamente
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

1.

Servidor RADIUS: Estará alojado en una MV en nuestro servidor Júpiter. La cual, dispondrá de una tarjeta de
red en modo puente y cuya IP será la 192.168.12.150 para poder tener acceso a Internet

2.

Punto de Acceso: Se ha creado una red WiFi para que los clientes puedan conectarse a través de dicho punto
de acceso. La IP fija del AP será la 192.168.112.9, pero como nuestro AP “cuelga” bajo el cortafuegos Titán,
todas las IP que salen de dicho cortafuegos lo hacen a través de la 192.168.12.4 (para que pueda estar en la
misma red del servidor), por lo tanto, esa será la IP que debemos de indicar en la configuración del cliente
RADIUS (el AP).

3.

Red de Internet: Será suministrada por nuestro ISP

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

5.2.- Diseño detallado
5.2.1.- Hardware del Servidor (virtualizado)

Una tarjeta de Red en modo puente

Intel Pentium 4 CPU 3,20GHz

1,5GB RAM

1 disco duro de 40GB

5.2.2.- Punto de Acceso

Punto de acceso para la conexión WiFi

Connection N&C WAP150

Compatible con los estándares IEEE 802.11g, IEEE 802.11b, IEEE 802.11n

Soporta velocidades de 108/54/48/36/24/18/12/9/6Mbps 0 11/5.5/2/1Mbps. Y hasta 150 Mbps en wireless

Soporta seguridad WEP de 64/128 bit WEP encryption security

Soporta WPA/WPA2 y WPA-PSK/WPA2-PSK con servidor Radius integrado

Soporta WPS ( WiFi Protected Setup)

Servidor de DHCP server, soportando dynamic IP address

Soporta filtrado de direcciones MAC.

Soporta múltiples modos de operación(Access Point, WPS, Client, Repeater universal, Point to Point,
Point to Multi-point)

Soporta TCP/IP, DHCP

Soporta ocultación de SSID y hasta 4 grupos de SSID diferentes

Soporta actualización de firmware

Soporta configuración Web y remota

Cambiar el SSID con el nombre que deseemos

Usar el canal 11 para una menor interferencia

Usar contraseña tipo WPA2(AES)

Añadir secreto compartido

5.2.3 Windows Server 2008 Enterprise

Instalación y configuración de los servicios:

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

6.- Implantación
1.

Instalación y configuración del Punto de Acceso

2.

Instalación y configuración de Windows Server 2008 R2 en Júpiter
- Instalación del servicio de acceso y directivas de redes y el Servicio de certificados de Active Directory

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

En AD, creamos una OU y un Grupo para los usuarios a los que deseemos dar acceso.

- Configuración de los nuevos clientes RADIUS y conexiones cableadas e inalámbricas seguras IEEE 802.1X

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Después de instalar todos los servicios, debemos de crear los certificados para que el servidor y el cliente pueda
comunicarse. Para ello nos vamos a ejecutar e introducimos mmc para abrir una consola de la Entidad de Certificación.

Certificado

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Y pasamos a la comprobación...

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

7.- Recursos
7.1.- Herramientas hardware

Un equipo servidor (en nuestro caso tenemos la MV en Júpiter)

Un Punto de Acceso (AP)

Cable de red

7.2.- Herramientas software

Windows Server 2008, Enterprise

7.3.- Personal
Para la consecución de dicho proyecto sólo será necesario a un empleado, Manuel Monzón Pérez

7.4.- Presupuesto

Licencia Windows Server 2008, Standard
430€

Punto de Acceso Connection WAP-150
30,61€

Cable de red RJ45 CAT5 de 1,5m
2,99€

Equipo Servidor (pulsa aquí para más características)
239€

Disco Duro (pulsa aquí para más características)
66,75€

TOTAL: 769,35€

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

8.- Conclusiones
8.1.- Grado de consecución de objetivos

Red Wifi con requisitos mínimos de seguridad (TOTALMENTE TERMINADO)

Gestión de usuarios del sistema en una máquina virtual en Júpiter (TOTALMENTE TERMINADO)

Soporte para clientes Windows y Linux (TOTALMENTE TERMINADO)

8.2.- Problemas encontrados
El principal problema encontrado ha sido relacionado con los certificados. Ya que, la versión de Windows Server 2008
R2 que usaba no era compatible con los certificados que necesitaba, por lo que tuve que usar la version 2008 Enterprise.

8.3.- Futuras mejoras
Una posible mejora sería la instalación de la directiva de Kerberos, ya que se añadiría otro nivel más de seguridad a la
conexión de red.

9.- Referencias / bibliografía
https://es.wikipedia.org/wiki/Kerberos
https://es.wikipedia.org/wiki/RADIUS
https://es.wikipedia.org/wiki/TACACS%2B
http://social.technet.microsoft.com/wiki/contents/articles/17164.ventajas-y-desventajas-lepide-active-directory-managerpart-2-es-es.aspx
https://es.wikipedia.org/wiki/Active_Directory
https://es.wikipedia.org/wiki/Protocolo_Ligero_de_Acceso_a_Directorios
http://archive.download.redhat.com/pub/redhat/linux/7.0/tc/doc/RH-DOCS/rhl-rg-es-7.0/s1-ldap-procon.html
https://hopemedia.es/5-ventajas-firewall-pfsense/
https://es.wikipedia.org/wiki/PfSense

10.- Anexos
Manual del punto de acceso (http://connectionnc.com/web/index.php?id_product=324&controller=product)

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org

Sign up to vote on this title
UsefulNot useful