SEGURIDAD

INFORMATICA I

SEGURIDAD INFORMTICA

PROYECTO:

AUTENTIFICACION DE REDES LAN Y WLAN A TRAVS DEL

PROTOCOLO RADIUS

INTEGRANTES:

LOARTE CERDAN, GIUSEPPE MOISES

VASQUEZ QUISPE, JONATHAN VASQUEZ

PROFESOR:

CCERES LUQUE, ADOLFO YASICK

SECCIN:

C16-5-B

2013-II

0
 SEGURIDAD
INFORMATICA I

NDICE

2. INTRODUCCIN............................................................................................. 3
3. MARCO TERICO........................................................................................... 4
Entendiendo la autenticacin basada en puerto 802.1X............................................5
4. PARTE EXPERIMENTAL.................................................................................. 6
I. MATERIALES Y MTODOS...........................................................................6
II. PROCEDIMIENTO Y RESULTADOS...............................................................7
III. ANLISIS Y RECOMENDACIONES...........................................................25
5. CONCLUSIONES.......................................................................................... 26
6. REFERENCIAS BIBLIOGRAFICAS..................................................................27

1
 SEGURIDAD
INFORMATICA I
1. OBJETIVOS

Implementar un servidor RADIUS bajo un sistema operativo Centos

6.4.

Crear una base de datos en mysql para que los usuarios obtengan
credenciales

Configurar el Access Point y Switch para que funcionen como

clientes autentificadores del servidor RADIUS.

Configurar los equipos clientes para que puedan acceder al servidor

RADIUS con sus respectivas credenciales.

2
 SEGURIDAD
INFORMATICA I

2. INTRODUCCIN

En este proyecto se realiz la implementacin de un servicio de autentificacin

llamado RADIUS, es un protocolo empleado ampliamente usado en el ambiente
de redes, para dispositivos tales como routers, servidores y switches entre otros,
en este proyecto se realiz la respectiva configuracin para el acceso y
denegacin de servicios en una red LAN Y WLAN de la cual se hizo uso de una
solucin en particular de cdigo abierto denominada FREERADIUS la cual fue
instalada bajo un servidor Centos 6.4, as como tambin el uso de msql en este
mismo servidor para la administracin de base datos de los usuarios de la red.

Desde los inicios de esta tecnologa, muchas recomendaciones se han generado

para dotar a las redes inalmbricas de un nivel de seguridad adecuado.
Inicialmente, algunas de estas recomendaciones solo pusieron en evidencia ms
riesgos, la cual esto gener confusin y desconfianza, pero posteriormente y con
base en iniciativas ms serias al momento de valorar el riesgo asociado a esta
tecnologa, se han venido diseando y estableciendo de otros mecanismos que
realmente permiten mejorar el nivel de seguridad en las redes inalmbricas, en
este caso la implementacin de RADIUS, que a su vez tendr 2 clientes muy
importantes, que sern el switch y el acces point, estos dispositivos trabajaran
como cliente ya que sern los que intervengan en parte de la autentificacin, es
decir funcionaran como si fueran un proxy.

3
 SEGURIDAD
INFORMATICA I

3. MARCO TERICO
Para la implementacin correcta de este proyecto se quera acumular ciertos
conceptos e informacin que se presenta en breve, los principales conceptos que
vimos con el transcurso de este proyecto fueron documentos relacionados con la
implementacin de mecanismos de seguridad para el control de acceso en redes
cableadas e inalmbricas.

Primeramente, Qu es RADIUS?

Es un protocolo de autentificacin que nos permite manejar o gestionar la

autentificacin, autorizacin y registro de los usuarios, esto tambin se conoce
como AAA (authentication, authorization, and accounting), a continuacin los
conceptos precisos en cuanto a este protocolo.

Control de acceso

El control de acceso, en sistemas de informacin, se encarga de controlar la

interaccin de un elemento activo, que vienen a ser los usuarios, dispositivos y
servicios, este implica procedimientos de identificacin, autentificacin y
autorizacin para permitir o denegar el acceso a la red.

Autentificacin

Este proceso valida la identidad de quien accede o provee un servicio mediante la

verificacin de credenciales ya sea de certificados digitales, los protocoles de
autentificacin pueden ser:

PAP

CHAP

EAP

Autorizacin

4
 SEGURIDAD
INFORMATICA I
Establece que el usuario puede o no hacer una vez haya sido identificado y
autentificado, un ejemplo claro puede ser las limitaciones de tiempo en el servicio.

Entendiendo la autenticacin basada en puerto 802.1X

802.1X es un estndar del IEEE para realizar control de acceso a una red, se
define la autenticacin basada en el puerto 802.1X como un control de acceso
basado en cliente-servidor y el protocolo de autenticacin que restringe los
clientes no autorizados se conecten a una LAN a travs de puertos de acceso
pblico. Un servidor de autenticacin valida cada solicitante o cliente conectado a
un autenticador puerto antes de poner a disposicin de cualquiera de los servicios
ofrecidos por el interruptor o la LAN, este concepto fue clave para la
implementacin correcta de la red cableada, ya que se entendi que en este caso
el switch cisco trabajara como un cliente ms la cual sera usado como un filtro
para la red.

5
 SEGURIDAD
INFORMATICA I

4. PARTE EXPERIMENTAL
I. MATERIALES Y MTODOS

Vmware workstation 9

La utilizacin de este programa fue necesaria para simular el

servidor RADIUS y clientes.

Access point tl-WA901ND DE TP LINK

Dispositivo que trabajo como cliente en el proyecto.

Cable de consola

Fue necesaria la configuracin del switch, por lo que se requera la utilizacin de es

medio.

Cable UTP cat 6

En este caso solo se necesit cables directos, para la

implementacin.

Switch cisco catalyst 3560 24 puertos

Dispositivo que tambin fue cliente del servidor

radius para el acceso de LANs.

II. PROCEDIMIENTO Y RESULTADOS

6
 SEGURIDAD
INFORMATICA I
Los siguientes procedimientos y resultados que se obtuvieron fueron en base a
todo lo implementado en un SO Centos 6.4 x86 minimal. Tener en cuenta que se
han creado tres servidores con SO Centos, la primera funcionando exclusivamente
como Servidor RADIUS, la segunda funcionando como servidor Firewall y la
tercera funcionando como un Router segn la siguiente topologa.

Se asumir que ya se cuenta con el Sistema Operativo CentOS instalado, por lo

que se centrar en la implementacin de los servicios en cada Sistema Operativo.

As mismo tambin se detallaran los pasos de configuraciones en las otras

herramienta utilizadas para que el servidor RADIUS funcione correctamente.

Los pasos para la implementacin son los siguientes (se incluyen imgenes de
resultado):

IMPLEMENTANDO UN ROUTER:

Para que un CentOS pueda actuar como router, es necesario tener en cuenta tres
caractersticas para este Sistema:
7
 SEGURIDAD
INFORMATICA I
1. Tener el firewall desactivado ya que su uso es exclusivamente como
enrutador.
2. Cambiar el selinux de enforcing a disabled.
3. Poseer dos tarjetas de Red.
4. Configuraciones manuales en cada una de ellas.
5. Activar el bit de forwardeo.

DESACTIVANDO EL FIREWALL DEL SISTEMA:

Imagen 01: Desactivacin del firewall y configuracin para que siempre inicie desactivado.

CONFIGURANDO EL SELINUX:

Imagen 02: Abriendo el archivo de configuracin del SELINUX.

Imagen 03: Cambiando el parmetro de activacin del SELINUX.

AGREGANDO UNA NUEVA TARJETA DE RED:

Para este paso es necesario que el equipo (mquina virtual) se encuentre

apagado.

8
 SEGURIDAD
INFORMATICA I

Imagen 03: Agregando nueva tarjeta de red (paso I).

Imagen 04: Agregando nueva tarjeta de red (Paso II).

9
 SEGURIDAD
INFORMATICA I

Imagen 05: Agregando una nueva tarjeta de red (Paso III).

10
 SEGURIDAD
INFORMATICA I

CONFIGURANDO LOS PARMETROS DE RED (ROUTER):

Para este paso es necesario haber ya cumplido en agregar una nueva tarjeta de
red y que el sistema se encuentre ya encendido.

Imagen 06: Comprobando la existencia de la nueva tarjeta de red.

Imagen 07: Ubicndonos, configurando y copiando el archivo de configuracin de red.

Existen dos tarjetas de red identificados por eth0 y eth1. Cada uno debe de poseer sus
propios parmetros de red como lo muestra la siguiente figura.

Imagen 08: Parmetros de red para la interfaz eth0 el cual tendr conexin directa con la red externa.

Imagen 09: Parmetros de red para la interfaz eth1 el cual tendr conexin con la LAN interna.

11
 SEGURIDAD
INFORMATICA I

Imagen 10: Reiniciando los servicios de red.

Imagen 11: Comprobando la configuracin con el comando ifconfig | less.

ACTIVANDO EL BIT DE FORWARDEO EN EL ROUTER:

Imagen 12: Ingresando al archivo de configuracin.

Imagen 13: Estableciendo el nuevo valor de forwardeo.

12
 SEGURIDAD
INFORMATICA I

IMPLEMENTANDO UN SERVIDOR RADIUS:

Los pasos a mostrar a continuacin se realizarn en el equipo (en este caso

mquina virtual) que funcionar como Servidor RADIUS.

Imagen 14: Agregando la IP nombre de nuestro equipo en el archivo /etc/hosts. Tener en cuenta que el
nombre ingresado para este caso es referencial.

Imagen 14: Descargando los paquetes necesarios.

Imagen 15: Iniciamos el servicio de MYSQL en el sistema.

Imagen 16: Ingresamos como usuario root a la administracin de MYSQL. Por defecto, el usuario root de
MYSQL, luego de la instalacin, no tiene establecido una contrasea.

Imagen 17: Creando una nueva Base de Datos con el nombre radius y estableciendo todos los permisos para
el usuario radius quien ser quien administre la Base de Datos.

13
 SEGURIDAD
INFORMATICA I
Imagen 18: Ingresando ahora como usuario radius para agregar la esquema por defecto de freeradius.

Imagen 19: Agregando el esquema que por defecto establece freeradius.

Imagen 20: Agregamos un usuario de prueba en la tabla radheck que es el lugar en donde se establecen los
usuarios que podrn loguearse en el servidor.

14
 SEGURIDAD
INFORMATICA I

Imagen 21: Configurando los parmetros en el archivo /etc/raddb/sql.conf. Las lneas importantes son:
server->generalmente localhost / login->administrador de la BD radius / password->pass del usuario /
radius_db-> Nombre de la Base de datos
Tener en cuenta que las configuraciones mostradas son slo referenciales, configurarla de acuerdo a su
conveniencia.

Imagen 22: Configurando el archivo /etc/raddb/radius.conf. Aqu se debe de descomentar la lnea mostrada
en la figura.

15
 SEGURIDAD
INFORMATICA I

Imagen 23: Configurando el archivo /etc/raddb/clients.conf.

Imagen 24: Iniciando los servicios de freeradius con el comando radiusd X.

Imagen 25: Probando la configuracin del servidor haciendo una autentificacin local.

16
 SEGURIDAD
INFORMATICA I
IMPLEMENTANDO UN FIREWALL:

Debido a que el proyecto es centrado directamente a la implementacin de un

servidor RADIUS, hacemos la configuracin de un Firewall simple para que nos
pueda permitir realizar correctamente las pruebas con el servidor RADIUS y los
equipos externos.

En estas 2 imgenes podemos apreciar la configuracin de las 2 interfaces del

servidor firewall.

Al igual que el router en el firewall tambin es necesario configurar el bit de

forwardeo en el router, es decir activndolo.

NOTA: Esto no es recomendable para implementarlo en entornos empresariales.

Imagen 26: Agregando la poltica al firewall para permitir la conexin desde la red 192.168.1.0 a travs del
puerto 1812 y 1813 que son utilizados por el servidor RADIUS.

17
 SEGURIDAD
INFORMATICA I
CONFIGURANDO EL ACCESS POINT (AP):

Generalmente, se utiliza RADIUS para establecer las configuraciones de permisos

a conexiones inalmbricas a diferentes usuarios, es decir, cada usuario tendr un
usuario y contrasea para conectarse a la red inalmbrica.

Para este procedimiento se ha hecho uso de un AP de marca y modelo TP-LINK

WA901ND el cual soporta la integracin con un servidor RADIUS.

Este AP tiene la caracterstica de poseer su propio DNS para realizar su

configuracin, por lo que simplemente se conecta y se procede a configurar.

Imagen 27: Agregando un nuevo cliente de autentificacin en el archivo /etc/raddb/clients.conf, este paso es
realizado en el SERVIDOR RADIUS. Luego de hacer esto, resetear el servicio RADIUS con el comando
radiusd X.

Imagen 27: Se realiza la configuracin de la direccin IP del AP. Notal que la IP ingresada aqu, debe ser igual
al que la declarada en el archivo /etc/raddb/clients.conf.

18
 SEGURIDAD
INFORMATICA I

Imagen 28: Se procede a realizar la configuracin de Wireless como lo muestra la figura. El SSID puede ser
cualquiera.

Imagen 29: Configuracin de la seguridad del Wireless. Se debe de activar la opcin de WPA/WPA2
Enterprise para que el AP se asocie con el Servidor RADIUS. Respetar las configuraciones
mostradas en la figura. Notar que se debe de ingresar la direccin IP del servidor RADIUS, el puerto
y la contrasea que es el mismo declarado en la seccin secret del nuevo cliente en el archivo
/etc/raddb/clients.conf.

19
 SEGURIDAD
INFORMATICA I
CONFIGURANDO EL SWITCH DE AUTENTIFICACIN:

Debido a que Freeradius utilizar el protocolo 802.1X, este puede ser implementado
tambin junto a un Switch que soporte este protocolo, por lo cual se ha elegido el
Switch Cisco 3560 para que pueda trabajar como cliente de autentificacin del
servidor RADIUS.

Para configurar el switch, es necesario utilizar los siguientes comandos:

Entramos en modo usuario privilegiado al switch.

1. Switch(config)#interface vlan1
2. Switch(config-if)#ip address 192.168.1.250 255.255.255.0
3. Switch(config)# ip routing
4. Switch(config)# aaa new-model
5. Switch(config)# username admin secret MyPassword
6. Switch(config)# radius-server host 192.168.1.100 auth-port 1812 acct-port 1813
key
MyRadiusKey

7. Switch(config)# aaa authentication dot1x default group radius

8. Switch(config)# dot1x system-auth-control
9. Switch(config)# interface range fa0/1-24
10. Switch(config-if)# switchport mode access
11. Switch(config-if)# dot1x port-control auto

Tener en cuenta que los datos remarcados en amarillo, son los que se deben
configurar de acuerdo a las circunstancias del servidor (IP, Tipo de interfaz, etc.).

Luego de establecer las configuraciones en el Switch, se procede a configurar los

clientes de la siguiente manera:

Imagen 30 : Ejecutamos la consola de administracin service.msc y nos dirigimos a la pestaa Estndar

ubicado en la parte inferior de la ventana.

20
 SEGURIDAD
INFORMATICA I

Imagen 31: Buscamos de entre la lista, el servicio identificado como Configuracin automtica de redes
cableadas y lo iniciamos.

21
 SEGURIDAD
INFORMATICA I

Imagen 32 : Ya con esto, abrir el panel Centro de redes y recursos compartidos. Nos ubicamos el
conexin cableada y nos dirigimos a sus propiedades (Click Derecho -> Propiedades). No dirigimos a la
pestaa Autenticacin y damos click en el botn Configuracin.

22
 SEGURIDAD
INFORMATICA I

Imagen 33 : Dejamos la ventana con las configuraciones similares a como muestra la figura. Damos click en
Configurar.

23
 SEGURIDAD
INFORMATICA I
Imagen 34 : Desmarcamos la casilla que nos aparece en la venta de Propiedades de EAP MSCHAPv2.
Damos a Aceptar en las dos ventanas hasta regresar a la venta de propiedades de la conexin cableada
(Imagen 30).

Imagen 35 : Damos click en el botn Configuracin Avanzada y elegimos las opciones como nos muestra
la figura. Luego, dar click en el botn Reemplazar credenciales y escribimos el usuario y contrasea de un
usuario registrado en el servidor.

Imagen 36 : Como ejemplo se inserta el usuario Vasquez.

24
 SEGURIDAD
INFORMATICA I
III. ANLISIS Y RECOMENDACIONES

Muchas prcticas se han establecido como recomendables para minimizar los

riesgos asociados al acceso indebido en redes inalmbricas. Entre las principales
recomendaciones de este tipo se encuentran:

Evitar la difusin del identificador de red o SSID (Service Set Identifier).

Establecer listas de control de acceso por direcciones fsicas o de MAC

(Media Access Control) de los dispositivos que acceden a la red.

Utilizar cifrado en las conexiones inalmbricas.

Segmentar los puntos de acceso inalmbricos en zonas de seguridad

administradas por un firewall.

Establecer redes privadas virtuales o VPNs en las conexiones inalmbricas.

Combinar mecanismo de autenticacin a la red y cifrado de datos.

Una vez se haya decidido la implementacin de un sistema de control de acceso

a la red de datos basado en el estndar 802.1x como lo es mecanismo de
autentificacin RADIUS, se debe determinar cules son los requerimientos de
funcionalidad que se deben suplir as como los requerimientos tcnicos que
implica la implementacin de este tipo de solucin, con lo cual se definir el
diseo y la seleccin del tipo de autenticacin a utilizar.

25
 SEGURIDAD
INFORMATICA I

5. CONCLUSIONES

Las redes inalmbricas no tienen por qu ser inseguras si se configuran

adecuadamente, en este caso se logr implementar correctamente la
autentificacin RADIUS en una red local.

Al ejecutar el servidor RADIUS en modo depuracin permite observar toda

la informacin que el cliente RADIUS enva al servidor y la informacin con
la cual el servidor responde a estas peticiones. Gracias a esto se puede
ubicar de forma inmediata problemas que se estn dando con algn
usuario, por ejemplo que no se est asignando un perfil en el cliente
RADIUS debido a que no se configuro el campo service type.

Asimismo para que la red cableada sea autentificada se debe de

configurar el switch para controlar el estado del servidor RADIUS, es decir
el switch se convierte en un autentificador, la cual se configura el parmetro
802.1x por puerto.

Despus de describir el mecanismo utilizado para proteger las redes

inalmbricas y cableadas, se puede percibir que la implementacin de
802.1x en entornos LAN es un componente primordial de las mejores
recomendaciones de seguridad actual y futura.

Al autenticar una red LAN o WLAN se sabe por lo experimentado que se

requiere llenar ciertas credenciales como es el usuario y contrasea, sin
embargo no es el nico mtodo, tambin se puede a travs de certificados
digitales que mucho ms seguro.

A la hora de realizar la implementacin surgen consideraciones igualmente

importantes para el xito de la solucin. De manera general, la
implementacin de este tipo de sistemas requiere un conocimiento
especfico del estndar 802.1x y de tecnologas inalmbricas
seleccionadas.

26
 SEGURIDAD
INFORMATICA I

6. REFERENCIAS BIBLIOGRAFICAS

CISCO. (2010). Configuring 802.1X Port-Based Authentication. En cisco, REDES CISCO

CCNP A FONDO (pg. 921). RA-MA EDITORIAL.

Dueas, J. B. (13 de 12 de 2012). Alcance libre. Obtenido de

http://www.alcancelibre.org/staticpages/index.php/como-freeradius-mysql-centos5

Florio, A. (9 de Abril de 2013). Mi CCIE Journey. Obtenido de

http://journey4ccie.com/2013/04/09/lab-wired-802-1x-port-authentication-using-
freeradius/

Keyser, E. (6 de 3 de 2012). wiki.freeRADIUS. Obtenido de

http://wiki.freeradius.org/guide/SQL-HOWTO

SAFERSRV. (2012). Obtenido de http://safesrv.net/about-us/: http://safesrv.net/install-and-

setup-freeradius-on-centos-5/

27