Está en la página 1de 92

Agenda

Configuración de Clientes Inalámbrico (plataforma Windows y Linux)


Configuración avanzadas de Clientes inalámbricos
Configuración Básica de Routers
Configuración de Protocolos de Seguridad
Configuración de filtrado de MAC, DHCP
Configuración de Seguridad Avanzada de Routers
Administración local y remoto de router
Administración de reglas de control de acceso, control de ancho de
banda
Configuración de servidor Radius
Uso y manejo de herramientas

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 2
Configuración de Cliente Inalámbrico
En un ambiente Windows

1. Dentro del Panel de control, busque la opción “Redes e internet" y


escoja "Centro de redes y recurso compartido" y haga click sobre él.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 3
Configuración de Cliente Inalámbrico
2. Escoger la opción configurar una nueva conexión o red y
luego aparecerá otra ventana y seleccionamos la opción configurar
una red ad hoc inalámbrica

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 4
Configuración de Cliente Inalámbrico
3. Le saldrá una ventana informativa de la red ad-hoc y
definiciones especificas de la misma

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 5
Configuración de Cliente Inalámbrico
4. A continuación ingresamos el Nombre de la red: CIN-G1 y el
tipo de seguridad que será para la primera prueba.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 6
Configuración de Cliente Inalámbrico
Tipo de Seguridad Descripción
Sin autenticación Sin ningún tipo de autenticación es decir sin
(Sistema abierto) contraseña

WEP Clave que puede ser


5 o 13 caracteres (distinguen mayúsculas de
minúsculas) o
10 o 26 caracteres hexadecimales [0-9, a-f]
WPA2-Personal Clave que puede ser
8 a 63 caracteres (distinguen mayúsculas de
minúsculas) o
64 caracteres hexadecimales [0-9, a-f]

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 7
Configuración de Cliente Inalámbrico
5. Guardamos la red y damos click en siguiente

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 8
Configuración de Cliente Inalámbrico
Si damos doble click sobre la red creada podremos visualizar
configuración realizada para la NIC específica

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 9
Configuración de Cliente Inalámbrico
Busque y seleccione en la lista de
elementos el Protocolo Internet
(TCP/IP) y haga clic sobre el
botón "Propiedades". Se abrirá una
ventana para introducción de
datos.

Desmarque "Obtener una dirección


IP automáticamente“. Y asigne la
dirección ip estática deseada

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 10
Configuraciones Avanzadas de Cliente
Inalámbrico
Busque y seleccione en la lista de elementos el Protocolo Internet
(TCP/IP) y haga clic sobre el botón "Propiedades". Se abrirá una
ventana para introducción de datos.

Desmarque "Obtener una dirección IP automáticamente“. Y asigne


la dirección ip estática deseada(recomendado a nivel de seguridad)

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 11
Configuraciones Avanzadas de Cliente
Inalámbrico
Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show drivers -> Muestra las propiedades de los


controladores LAN inalámbricos en el sistema

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 12
Configuraciones Avanzadas de Cliente
Inalámbrico
Si soporta las topologías se procede con la creación de las mismas

- Creación de red adhoc o hospedada,

netsh wlan set hostednetwork mode=allow ssid=nombre


key=clave [keyUsage=]persistent|temporary

De donde asignamos el nombre del SSID y la clave respectiva

- Luego se procede con la inicialización de la red adhoc

netsh wlan start hostednetwork

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 13
Configuraciones Avanzadas de Cliente
Inalámbrico
Si se desea parar la red adhoc se procede con el comando
netsh wlan stop hostednetwork

En el caso de error al inicializar la red adhoc se debe deshabilitar el


adaptador de red en el administrador de dispositivos y volver a
habilitar el mismo.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 14
Configuraciones Avanzadas de Cliente
Inalámbrico
Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan set - Establece la información de configuración.

netsh wlan show - Muestra información.

netsh wlan start - Inicia la red hospedada.

netsh wlan stop - Detiene la red hospedada.

netsh wlan show alias - Lista todos los alias definidos.

netsh wlan show mode - Muestra el modo actual.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 15
Configuraciones Avanzadas de Cliente
Inalámbrico
Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan add - Agrega una entrada de configuración a una tabla.

netsh wlan connect - Se conecta a una red inalámbrica.

netsh wlan delete Elimina una entrada de configuración de una


tabla.

netsh wlan disconnect - Se desconecta de una red inalámbrica.

netsh wlan refresh Actualiza la configuración de la red hospedada.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 16
Configuraciones Avanzadas de Cliente
Inalámbrico
Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show all - Muestra el dispositivo inalámbrico completo


e información de redes.

show wlanreport - Genera un informe que muestra información de


las sesiones inalámbricas recientes

netsh wlan show autoconfig - Muestra si la lógica de


configuración automática está habilitada o deshabilitada.

netsh wlan show blockednetworks - Muestra la configuración de


visualización de las redes bloqueadas.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 17
Configuraciones Avanzadas de Cliente
Inalámbrico
Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show drivers - Muestra las propiedades de los


controladores LAN inalámbricos en el sistema.

netsh wlan show filters - Muestra la lista de redes permitidas y


bloqueadas.

netsh wlan show hostednetwork - Muestra las propiedades y el


estado de la red hospedada.

netsh wlan show interfaces - Muestra una lista de las interfaces


LAN inalámbricas del sistema.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 18
Configuraciones Avanzadas de Cliente
Inalámbrico
Comandos para red hospedadas (Windows 7 en adelante)

netsh wlan show networks - Muestra una lista de las redes


visibles en el sistema.

netsh wlan show profiles - Muestra una lista de perfiles


configurados en el sistema.

netsh wlan show settings - Muestra la configuración global de


LAN inalámbrica.

netsh wlan show tracing - Muestra si el seguimiento de LAN


inalámbrica está habilitado o deshabilitado.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 19
Configuraciones de Cliente Linux
Para poder comenzar a utilizar la interfaz Wifi, solo basta ejecutar el
mandato iwconfig:

[root@server /]# iwconfig

De donde se puede tener las siguientes funcionalidades:

iwconfig [interface]
iwconfig interface [essid X] [nwid N] [mode M] [freq F] [channel
C][sens S ][ap A ][nick NN ] [rate R] [rts RT] [frag FT] [txpower T]
[enc E] [key K] [power P] [retry R] [commit]
iwconfig --help
iwconfig --version

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 20
Configuraciones de Cliente Linux
La sintaxis:

iwconfig [interface] [opción]

De donde interface puede ser de tipo wlan0, ath0 ejemplo


iwconfig ath0

[essid X] essid Nombre_red:

Ejemplo: iwconfig ath0 essid "Wireless 1"

Nos servirá para configurar nuestra red con el nombre que


queramos o a la que queramos asociarnos.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 21
Configuraciones de Cliente Linux
[mode M]

mode monitor, managed, ad-hoc

Ejemplo: iwconfig ath0 mode monitor

Para capturar trafico de redes externas.

Ejemplo: iwconfig ath0 mode managed

Es el modo infraestructura.

Ejemplo: iwconfig ath0 mode ad-hoc

Para conectar varios PCs sin puntos de acceso.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 22
Configuraciones de Cliente Linux
[channel C] channel número _ canal

Ejemplo: iwconfig ath0 channel 6

Fijamos el canal elegido para nuestra tarjeta.

[freq F] freq ValorGhz

Ejemplo: iwconfig ath0 freq 2.412G

Fijamos el valor de frecuencia para nuestra tarjeta. Podemos


también utilizar el canal .

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 23
Configuraciones de Cliente Linux
Tenemos para:
canal 1= 2.412G
canal 2= 2.417G
canal 3= 2.422G
canal 4= 2.427G
canal 5= 2.432G
canal 6= 2.437G
canal 7= 2.442G
canal 8= 2.447G
canal 9= 2.452G
canal 10= 2.457G
canal 11= 2.462G
canal 12= 2.467G
canal 13= 2.472G
canal 14= 2.484G

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 24
Configuraciones de Cliente Linux
[rate R] rate valorvelocidad

Ejemplo: iwconfig ath0 rate 11M

Fijamos la velocidad en las comunicaciones para 802.11b.


Podemos también utilizar 54M. O ponerlo en modo automático.

iwconfig ath0 rate auto

Para que la tarjeta elija la velocidad adecuada, incluso:

iwconfig ath0 rate 54M auto

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 25
Configuraciones de Cliente Linux
[power P] power period

Ejemplo: iwconfig ath0 power period 60

Tiempo actividad la tarjeta cuando no se utiliza alguna conexión.


Por lo tanto en modo monitor la captura de datos caería a la hora.

[nwid N] El ID de red. Como todas las redes


inalámbricas adyacentes comparten el mismo medio, este
parámetro se utiliza para diferenciarlos e identificar nodos que
pertenecen a la misma célula. Algunas tarjetas, puede desactivar la
comprobación de ID de red (NWID promiscuo) con off (y para volver
a activar). Iwconfig eth0 nwid AB34

iwconfig eth0 nwid off


BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 26
Configuraciones de Cliente Linux
[nick NN ]

Ajuste el nombre de la estación​​. Algunos productos 802,11 lo


definen, pero esto no se utiliza en cuanto a los protocolos (MAC, IP,
TCP). Sólo algunas herramientas de diagnóstico móviles pueden
usarlo.
Ejemplo: iwconfig eth0 nickname "My Linux Node"

[txpower T]
Establece la potencia de transmisión en dBm. Si W es la potencia
en vatios, la potencia en dBm es P = 30 + 10.log (W). Si el valor se
fijó posteriormente por mW, se convierte automáticamente en dBm.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 27
Configuraciones de Cliente Linux
Además, dentro y fuera activar y desactivar la radio, y auto fijo y
activar y desactivar el control de potencia (si estas funciones están
disponibles).

Examples :

iwconfig eth0 txpower 15

iwconfig eth0 txpower 30mW

iwconfig eth0 txpower auto

iwconfig eth0 txpower off

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 28
Configuraciones de Cliente Linux
[retry R] Para establecer el número máximo de
reintentos. Este es un valor absoluto. Para establecer la duración
máxima de tiempo que el MAC debe reintentar. De forma
predeterminada, este valor en segundos, añada el sufijo m o u para
especificar los valores en milisegundos o microsegundos. También
puede agregar los valores mínimo y máximo. (nic compatible)

Examples : iwconfig eth0 retry 16

iwconfig eth0 retry min limit 8

Nota: estas opciones puede realizarse de manera conjunta.

Ejemplo: iwconfig ath0 essid "Wireless_casa" channel 6 rate auto

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 29
Configuraciones de Cliente Linux
Con iwconfig comprobamos si la tarjeta se asoció o no

Tarjeta no asociada: En la MAC del AP aparece todo a 0

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 30
Configuraciones de Cliente Linux
Tarjeta asociada: Nos asociamos porque en Access Point aparece
la MAC del AP

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 31
Configuraciones de Cliente Linux
iwevent

Muestra eventos generados por los controladores inalámbricos y los


cambios de configuración en tiempo real

Los eventos que se generan serán notificados cuando se actualice


o genere cambios en:

✓ ID de red

✓ ESSID

✓ Frecuencia

✓ Modo

✓ cifrado
BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 32
Configuraciones de Cliente Linux
iwlist

Obtiene información inalámbrica más detallada desde una interfaz


inalámbrica.

iwlist interface scanning

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 33
Configuraciones de Cliente Linux
iwlist wlan0 frequency

iwlist wlan0 key

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 34
Configuraciones de Cliente Linux
iwlist wlan0 power

iwlist wlan0 txpower

iwlist wlan0 retry

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 35
Configuraciones de Cliente Linux
iwlist wlan0 event

iwlist --help
iwlist --version

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 36
Configuraciones de Cliente Linux
iwgetid

Informa ESSID, NWID o AP / Dirección de celda de la red


inalámbrica. De donde puede usarse los siguientes parametros

iwgetid [interface] [--raw] [--scheme] [--ap] [--freq] [--mode] [--


protocol] [--channel]

Scheme

Esta opción deshabilita impresión de la información, sólo el ESSID


prima (o NWID o Dirección AP) se imprime. Además, los caracteres
que no son alfanuméricos (como espacios, signos de puntuación y
control) se omiten.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 37
Configuraciones de Cliente Linux
-ap
Muestra la dirección MAC del punto de acceso inalámbrico
- frecuencia
Muestra la frecuencia actual o el canal utilizado por la interfaz.
- Modo
Muestra el modo actual de la interfaz.
- protocolo

Muestra el nombre del protocolo de la interfaz. Esto permite


identificar todas las tarjetas que son compatibles entre sí y aceptar
el mismo tipo de configuración.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 38
Configuraciones de Cliente Linux
iwspy
Obtiene estadísticas inalámbricas de nodos específicos
iwspy [interface]
iwspy interface [+] DNSNAME | IPADDR | HWADDR [...]
iwspy interface off
iwspy interface setthr low high
iwspy interface getthr

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 39
Configuraciones de modo Ad-hoc
Desde el equipo servidor
1. Dar de baja a la interface la cual puede ser ath0, eth1, wifi0, wlan0, etc.

# ifconfig wlan0 down


2. Configuración de la interface, pasando a modo ad-hoc el wireless tengan
en cuenta que no todas las tarjetas inalámbricas pueden hacer esto, debido
a que no todas tienen drivers nativos o completos para linux
# iwconfig wlan0 mode ad-hoc
3. Damos un nombre a la red que vamos a crear
# iwconfig wlan0 essid "servidorx“
4. Configurar el canal
# iwconfig wlan0 channel 6
5. Seguridad en la red por medio de contraseña
# iwconfig wlan0 key "0123456789”
BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 40
Configuraciones de modo Ad-hoc
Estos últimos 4 pasos pueden hacerse en uno solo
# iwconfig wlan0 mode ad-hoc essid "servidorx" channel 7 key "0123456789“

6. Asignar damos una dirección ip al servidor


# ifconfig wlan0 192.162.0.1
7. Habilitar el redireccionamiento, para ello ejecutamos el siguiente comando:
# echo 1 > /proc/sys/net/ipv4/ip_forward

8. Configuramos iptables para que permita compartir servicio al cliente


# iptables -t nat -A POSTROUTING -s 192.162.0.0/24 -j MASQUERADE

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 41
Configuraciones de modo Ad-hoc
Desde el equipo cliente
1. Damos de baja la interface
# ifconfig wlan0 down
2. Configuramos la interface de la misma forma que la configuración del
servidor, es muy importante que todos los datos del modo, nombre de la red,
canal y clave sean iguales al servidor, lo único que hay que cambiar es la
interface
# iwconfig wlan0 mode ad-hoc essid "servidorx" channel 7 key "0123456789“
3. Configurar la dirección IP
# ifconfig wlan0 192.162.0.2
4. Enrutar el servidor con el cliente,
# route add default gw 192.162.0.1

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 42
Configuración de Router
Accediendo al Router/AP

Ingresamos al navegador con la dirección IP de administración, que


puede ser por defecto las siguientes

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 43
WPS (Wi-Fi Protected Setup)
Sirve para agregar un nuevo dispositivo a la red de forma rápida. Si
el nuevo dispositivo compatible con WPS y está equipada con un
botón de configuración, puede agregarlo a la red y pulse el botón en
el router en dos minutos. El LED de estado del router se iluminará en
verde durante 5 minutos si el dispositivo ha sido agregado con éxito
a la red. Si el nuevo dispositivo compatible con WPS puede
agregarlo a la red mediante la introducción de PIN del router.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 44
Tipo de Conexión LAN/WAN

Configuramos los parámetros IP para nuestro entorno red LAN,


como la dirección ip y mascara de red. Acá se detecta
automáticamente la MAC address de la Nic inalámbrica.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 45
Configuración Inalámbrica

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 46
Seguridad Inalámbrica

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 47
Filtración de MAC
La función Wireless MAC Address Filtering le permite controlar las
estaciones inalámbricas que acceden a la AP, que dependen de las
direcciones MAC de la estación.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 48
Opciones Avanzadas Inalámbricas

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 49
Opciones Avanzadas Inalámbricas
Beacon Interval - Son los paquetes enviados por el router para
sincronizar una red inalámbrica. Beacon Interval valor determina el
intervalo de tiempo de los paquetes. Puede especificar un valor
entre 40-1000 milisegundos. El valor por defecto es 100.

Umbral RTS - Aquí puede especificar el RTS (Request to Send)


Umbral. Si el paquete es más grande que el tamaño de umbral
especificado RTS, el router envía tramas RTS a una estación de
recepción y negociar el envío de una trama de datos. El valor por
defecto es 2346.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 50
Opciones Avanzadas Inalámbricas
Umbral de fragmentación - Este valor es el tamaño máximo para
determinar si los paquetes se fragmentan. Ajuste del umbral de
fragmentación demasiado bajo puede resultar en un rendimiento
pobre de la red ya que los paquetes excesivos. 2346 es el valor
predeterminado y se recomienda. Esta función se desactivará si el
modo inalámbrico 11n sólo 11bgn o mixta.

DTIM Interval - Este valor determina el intervalo del mensaje de


indicación de tráfico (DTIM). Puede especificar un valor entre 1-255
intervalos de beacon. El valor predeterminado es 1, lo que indica el
intervalo DTIM es el mismo intervalo de sondeo

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 51
Opciones Avanzadas Inalámbricas
Habilitar WMM - Función WMM puede garantizar que los paquetes
con mensajes de alta prioridad que se transmite preferentemente.

Habilitar Short GI - Se recomienda esta función para que


aumentará la capacidad de datos mediante la reducción del tiempo
de intervalo de guarda.

Habilitar Aislamiento AP - Aislar todas las estaciones inalámbricas


conectadas para que las estaciones inalámbricas no pueden
acceder a ellos a través de WLAN. Esta función se desactivará si
WDS / bridge está habilitado.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 52
Estadísticas Inalámbricas
Esta página muestra la dirección MAC, estado actual, los paquetes
recibidos y enviados por cada estación inalámbrica conectada.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 53
Configuración DHCP
El router está configurado de forma predeterminada como un
servidor DHCP (Protocolo de configuración dinámica de host), que
proporciona la configuración TCP / IP para todas las PCs que están
conectados al router en la LAN.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 54
Reserva de Dirección IP
Cuando se especifica una dirección IP reservada para una PC en la
LAN, esa PC siempre recibirá la misma dirección IP cada vez que se
accede al servidor DHCP. Las direcciones IP reservadas podrían ser
asignados a servidores que requieren permanentes IP.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 55
Herramientas de diagnóstico

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 56
Herramientas de diagnóstico
Las herramientas de diagnóstico (ping y traceroute) permiten
comprobar las conexiones de los componentes de la red.

Ping - Esta herramienta de diagnóstico soluciona conectividad, la


accesibilidad, y la resolución de nombres para un huésped dado o
puerta de enlace mediante el uso de la Internet Control Message
Protocol (ICMP).

Traceroute - Esta herramienta de diagnóstico determina la ruta


tomada hacia un host determinado mediante el envío de Internet
Control Message Protocol (ICMP) mensajes de solicitud de eco con
mayor o menor tiempo de vida (TTL) valores a su destino.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 57
Actualización de firmware

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 58
Actualización de firmware
Para actualizar el firmware del router, siga estas instrucciones:

- Descargar un archivo de actualización de firmware más reciente


desde el sitio web del fabricante

- Seleccione el nombre de la ruta donde se guarda el archivo


descargado en el equipo en el espacio en blanco Nombre de
archivo.

- Haga clic en el botón Actualizar.

El proceso de actualización tarda unos segundos y se reinicia el


router automáticamente cuando la actualización se haya
completado.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 59
Copia de seguridad y restauración
Sirve para guardar todos los ajustes de configuración en el equipo
local como un archivo.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 60
Definiciones de Radius Server
RADIUS (Remote Authentication Dial-In User Server) es un
protocolo que nos permite gestionar la “autenticación, autorización y
registro” de usuarios remotos sobre un determinado recurso. La
tupla “autenticación, autorización y registro” es más conocida como
AAA, al ser éste su acrónimo de su denominación original inglesa
“Authentication, Authorization, and Accounting”.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 61
Definiciones de Radius Server
1. Autenticación (authentication)

La autenticación se refiere al proceso de validación de la identidad


del usuario haciendo coincidir las credenciales proporcionadas por el
usuario (por ejemplo, nombre, contraseña) con las configuradas en
el servidor AAA. Si las credenciales coinciden, el usuario se
autentica y obtiene acceso a la red. Si las credenciales no coinciden,
la autenticación falla y se deniega el acceso a la red.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 62
Definiciones de Radius Server
2. Autorización (authorization)

La autorización se refiere al proceso de determinar qué permisos se


otorgan al usuario. Por ejemplo, el usuario puede o no tener
permitido ciertos tipos de acceso a la red o puede emitir ciertos
comandos.

Es posible configurar restricciones a la autorización de determinados


servicios en función de aspectos como, por ejemplo, la hora del día,
la localización del usuario, o incluso la posibilidad o imposibilidad de
realizar múltiples “logins” de un mismo usuario.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 63
Definiciones de Radius Server
3. Registro (accounting)

La contabilidad se refiere a la grabación de información sobre los


recursos que un usuario consume mientras están en la red. La
información recopilada puede incluir la cantidad de tiempo del
sistema utilizado, la cantidad de datos enviados o la cantidad de
datos recibidos por el usuario durante una sesión.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 64
Definiciones de Radius Server
Aunque RADIUS es el protocolo para AAA más extendido en la
actualidad, ya existe un nuevo protocolo que está llamado a sustituir
a RADIUS. Su nombre es DIAMETER, y también proporciona
manejo de errores y comunicación entre dominios.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 65
Componentes de Radius

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 66
Configurando Servidor RADIUS

Instale los paquetes necesarios los que


se encuentran en rojo

Generar los certificados


predeterminados ejecutando el mandato
radiusd con la opción -X:

radiusd -X

Lo anterior iniciará el servicio radiusd e


iniciará la generación de los certificados.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 67
Configurando Servidor RADIUS
Iniciando servicio radius

systemctl start radiusd.service

radiusd –X (modo debug)

Deteniendo servicio radius

systemctl stop radiusd.service

Reiniciando servicio radius

systemctl restart radiusd.service

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 68
Configurando Servidor RADIUS
Recargando archivos de servicio radius

systemctl reload radiusd.service

Bajada/Subida automática de servicio radius

systemctl disable radiusd.service

systemctl enable radiusd.service

Validando servicio activo Radius

systemctl enable radiusd.service

ps –ef |grep radiusd

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 69
Configurando Servidor RADIUS
Existe 4 ficheros importantes en la configuración de Freeradius:

- radiusd.conf

- users

- clients.conf

- eap

Los mismos que se encontran en /usr/local/etc/raddb/ si es alguna


distribución Debian o en /etc/raddb/ si es Redhat, los que se detallan
a continuación.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 70
Configurando Servidor RADIUS
Radiusd.conf

Contiene la configuración del servidor. Cuando el servidor se inicia,


lee este archivo y lo almacena en caché. Los datos se analizan para
establecer valores para variables o para determinar otra
configuración, como los módulos.

Una vez que se carga la configuración, el servidor recibe y procesa


paquetes. Cuando el servidor se ejecuta (radiusd -X), la
configuración que se está utilizando se imprime en la ventana del
terminal actual. Esta información incluye los archivos que se están
leyendo, los módulos que se están cargando y valores de cualquier
configuración utilizada.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 71
Configurando Servidor RADIUS
Users

El archivo donde se especifican las credenciales de los usuarios de


la red. Se usa este archivo si no existe otro backend para el
almacenamiento de los usuarios.

En este fichero se configurara el modo de acceso es decir un


usuario y contraseña, como por ejemplo:

“usuario1" Cleartext-Password:= "654321"

Reply-Message = "Hello, %{User-name}"

Donde usuario es el usuario a autenticar y 654321 sería la


contraseña.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 72
Configurando Servidor RADIUS
clients.conf:

En este fichero se añaden los puntos de acceso, en el mismo se


escribirá la dirección IP del AP (administración) y clave de acceso
entre AP y el server Radius, el mismo que es una palabra que
comparten ambos, como por ejemplo:

client private-network-1{
ipaddr = 192.168.0.1/24
secret = clave123
}
ipaddr es la dirección Ip de administración
secret es la clave entre el router y el servidor Radius

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 73
Configurando Servidor RADIUS
Eap

Es el archivo de configuración de las directivas EAP a utilizar. Es un include


de radiusd.conf. Como vamos a trabajar con suplicantes bajo Windows se
va a necesitar soporte de PEAP y mschapv2. Para esto editamos el fichero
eap.conf, y cambiamos el atributo “default_eap_type” general, de “md5” a
“peap” (en minúsculas), y en el apartado de peap asegúrate de que
“default_eap_type” esté a “mschapv2”.

El fichero se encuentra en las rutas:

/etc/raddb/mods-enabled/eap

/etc/raddb/mods-available/eap

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 74
Configurando Servidor RADIUS
Cada vez que se realice un cambio en los archivos de configuración
toca reiniciar el servicio radiusd. Para realizar una prueba de test
use radtest que se encuentra en el paquete freeradius-utils.
Sintaxis radtest nom_usu cla_usu nam_ser port cla_radius
Ejemplo # radtest usuario1 654321 localhost 1812 testing123
Sending Access-Request of id 222 to 127.0.0.1 port 1812
User-Name = “usuario1"
User-Password = “654321"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=222,
length=20

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 75
Configurando Servidor RADIUS
Reglas para permitir servicio Radius

iptables -A INPUT -p udp --dport 1812 -j ACCEPT

iptables -A INPUT -p udp --dport 1813 -j ACCEPT

Validación de reglas agregadas

iptables -L -n |grep 181

Guardar reglas

iptables-save

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 76
Configurando Cliente RADIUS
Windows 7

Active el dispositivo de comunicación inalámbrico de su cliente


inalámbrico y vaya a Panel de control, busque la opción “Redes e
internet" y escoja "Centro de redes y recurso compartido" y haga
click sobre él. Seleccione “Crear una red manualmente”

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 77
Configurando Cliente RADIUS
Escribimos el “Nombre de la red:” xxxxx
“Tipo de seguridad:” WPA2-‐Enterprise
“Tipo de crifrado:” AES

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 78
Configurando Cliente RADIUS
“Elija un método de autenticación de red: ” Microsoft: EAP protegido
(PEAP) Marcar “Recordar mis credenciales para esta conexión cada
vez que inicie sesión ”

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 79
Configurando Cliente RADIUS

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 80
Configurando Cliente RADIUS

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 81
Proceso de autenticacion con EAP-TLS

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 82
Seguridad Avanzada
Para proteger el router de ser atacado por TCP-SYN Flood, UDP e
ICMP Flood-. El filtrado INUNDACIONES tendrá efecto sólo cuando
las estadísticas de tráfico en Herramientas del sistema está
habilitado.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 83
Seguridad Avanzada
Ignorar paquetes Ping desde el puerto WAN - Habilitar o
Deshabilitar Ignorar paquetes Ping desde el puerto WAN. La
configuración por defecto está desactivada. Si se activa, el paquete
de ping de Internet no se puede acceder al router.

Prohibir Ping Packet De Puerto LAN - Activar o Desactivar Ping


Packet Forbid Desde el puerto LAN. La configuración por defecto
está desactivada. Si se activa, el paquete de ping de LAN no pueden
acceder al router. (Protege contra algunos virus).

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 84
Administración Local
Si desea permitir que los PCs con direcciones MAC específicas para
acceder a la página de configuración haga clic en el botón de opción
Sólo los PCs lista puede navegar por la incorporada en las páginas
web para realizar tareas de administrador.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 85
Administración Remota
Esta característica le permite administrar el router desde una
ubicación remota a través de Internet.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 86
Administración Remota
Dirección IP de administración remota- Esta es la dirección
actual que va a utilizar para acceder a su router de Internet. Para
activar esta función 0.0.0.0 cambio a una dirección IP válida. Si se
establece en 255.255.255.255, entonces todos los hosts pueden
acceder al router desde Internet.

Ejemplo:

http://202.96.12.8:8080

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 87
Administración de regla de Control de acceso
El router proporciona acceso a internet y una fuerte función de
control, puede controlar las actividades en Internet de las máquinas
en la LAN. Así como un horario para restringir la navegación por
Internet de estos equipos.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 88
Administración de regla de Control de acceso
Schedule – Define los horario posibles para una regla.

Target. Dirección IP o nombre de un dominio a llegar.

Host. Dirección IP fuente

Rule. Regla de control de acceso a un host basado un Schedule y


target.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 89
Enrutamiento estático
Una ruta estática es un camino predeterminado que la información
de la red debe seguir para alcanzar un host o red específicos.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 90
Configuración de control de trafico
Las reglas de Control de Tráfico funcionará correctamente sólo
cuando la función de control de ancho de banda está habilitado.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 91
Control de ancho de banda

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 92
Lista ARP
Se puede ver las direcciones IP de la red LAN y sus direcciones
MAC asociadas al ver la lista de ARP.

BSCI Module 5 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 93