Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ABSTRACT: Confidentiality and data protection developments have led to an improved se-
curity framework for IEEE 802.11 wireless local area networks, including a new protocol
hierarchy satisfying every privacy communications services. This article analyzes and eva-
luates RADIUS and DIAMETER standards, regarding their protocol performance and AAA
requirements accomplishment in wireless environments.
KEYWORDS: AAA, DIAMETER, IEEE 802.11, RADIUS, Security, WLAN.
1 Grupo de Inves�gación WiNET - Universidad Militar Nueva Granada2 Universidad Militar “Nueva Granada” GISSIC – gissic@umng.edu.co
2 Grupo de Inves�gación WiNET - Universidad Militar Nueva Granada2 Universidad Militar “Nueva Granada” GISSIC – gissic@umng.edu.co
los requerimientos AAA. En la sección IV se describirá contraseña verdadera por parte de algún intruso en
el análisis de desempeño de los protocolos RADIUS la red. En el escenario de una red inalámbrica IEEE
y DIAMETER. Finalmente, en las secciones V y VI se 802.11 la administración de llaves, con el fin de garan-
describirán los resultados y conclusiones que conlle- �zar la confidencialidad de los mensajes, se hace me-
van a la implementación de uno u otro protocolo. diante un sistema de derivación jerárquico de llaves
que auten�can la información por cada intercambio
II. PROTOCOLOS DE SEGURIDAD de mensaje, dicho sistema se describe en el protoco-
lo IEEE 802.11i.
A. Protocolo RADIUS
Surgió inicialmente como una solución para la admi- En cualquier escenario donde se encuentre imple-
nistración en el control de acceso para usuarios que mentado RADIUS, todo usuario debe presentar ante
soportaban su conexión mediante enlaces seriales el cliente o NAS una información de auten�cación,
y módems, facilitando el control y supervisión de la dada por un nombre de usuario y una contraseña.
seguridad, la autorización, la auditoria, verificación Además se requiere de un protocolo de enlace de
de nombres de usuarios y contraseñas, así como datos que soporte dentro de sus tramas información
una detallada información de configuración sobre el
de auten�cación. Una vez el usuario ha presentado
�po de servicio que se pretendía entregar al usua-
la información de auten�cación ante el cliente, éste
rio. Los elementos caracterís�cos que posee RADIUS
crea una Solicitud-de-Acceso o Access-Request ante
[6] le han permi�do guardar un alto grado de com-
pa�bilidad con la arquitectura dispuesta por las re- el servidor RADIUS; la solicitud consta, como base,
des inalámbricas IEEE 802.11, una razón primordial del nombre y contraseña del usuario, de la iden�fica-
por la cual es éste el servidor recomendado, según ción del cliente y del puerto por el cual el usuario está
la norma, para prestar los servicios de auten�cación accediendo. El mensaje de Solicitud-de-Acceso es en-
en redes inalámbricas. El protocolo RADIUS sigue un viado al servidor RADIUS el cual, tan pronto recibe el
modelo cliente/servidor, donde el papel de servidor mensaje, inicia la validación en primera instancia del
es desempeñado por RADIUS, y un elemento de red cliente; si el servidor no �ene un secreto compar�-
designado como NAS (Network Access Server), toma do para la solicitud procedente desde el cliente, el
la función de cliente de RADIUS; el NAS �ene la res- paquete deberá ser silenciosamente descartado. Si
ponsabilidad de servir como puente o mediador en- por el contrario el cliente es correctamente valida-
tre los mensajes entrantes y salientes desde y hacia do, el servidor RADIUS buscará en una base de datos
el servidor, es decir, se encarga de retransmi�r los so- de usuarios la correspondencia entre el nombre de
licitudes de conexión, auten�cación de usuarios y en usuario y la contraseña especificada en la Solicitud-
general toda la información necesaria para el usuario.
de-Acceso. La base de datos en el servidor con�ene
Se aclara que el NAS no solicita servicios ni acepta
adicionalmente una lista de requisitos que deben ser
respuestas a los servicios solicitados. En el escenario
de una red inalámbrica IEEE 802.11, el punto de acce- conocidos y especificados inicialmente para permi-
so toma el papel de NAS. Las transacciones realizadas �r el acceso del usuario; por ejemplo en el estándar
entre el cliente y el servidor RADIUS son auten�cadas IEEE 802.11i la configuración de los perfiles de usua-
mediante la u�lización de un secreto compar�do, rios están considerados de tal forma que el usuario
que nunca viajará por la red, además del intercambio sólo pueda acceder por un puerto específico y a tra-
entre estos dos puntos de una serie de contraseñas vés de un único cliente, mediante la implementación
de usuarios, con el fin de minimizar la captura de la del protocolo IEEE 802.1X
ocurren dentro de la red y bajo el protocolo. puede finalizar con una negación del servicio debido
al envío de información no concordante con lo solici-
C. Protocolo IEEE 802.1X tado; en este caso el estado del puerto será Held y se
El comité técnico del IEEE diseñó un protocolo de ac- no�ficará al usuario que el proceso de auten�cación
ceso al medio por administración de puertos, cuyo ha fracasado. Finalmente, cuando se quiere terminar
funcionamiento es independiente de la norma 802 con una sesión, el usuario origina una trama EAPOL-
sobre la cual opera la red. Para las redes inalámbricas Logoff, que pone al suplicante en el estado Logoff y el
de área local el estándar IEEE 802.1X [5] permite hacer punto de acceso en Disconnected.
interoperable las redes IEEE 802.11 con los protocolos
RADIUS y DIAMETER para la prestación de servicios D. Protocolo EAP
de seguridad. De esta forma, el funcionamiento de El intercambio de mensajes desarrollado por la es-
uno u otro protocolo se adapta a las condiciones de tación y el auten�cador comienza con una solicitud
transacción de 802.1X. El usuario móvil o suplicante y de auten�cación desde el punto de acceso hacia el
el auten�cador o punto de acceso operan sus meca- usuario, el cual atenderá con un mensaje de respues-
nismos y protocolos de auten�cación por medio del ta, donde le permi�rá al auten�cador conocer su
PAE (En�dad de Acceso por Puerto). Por su parte, el iden�dad; éste pondrá en marcha su modo de ope-
PAE del auten�cador controla el estado de autoriza- ración de puente de paso para reenviar el mensaje
do y no autorizado de su puerto controlado, depen- hacia el servidor RADIUS, dentro de un paquete de
diendo del resultado del proceso de auten�cación; Access-Request o Solicitud de Acceso con un atributo
si el suplicante no ha sido auten�cado aún, el punto de Message-EAP (Mensaje-EAP) [7]. Una vez el servi-
de acceso u�lizará su puerto no controlado para co- dor recibe este paquete responderá con un mensa-
municarse con el PAE de éste, bloqueando todo �po je de Acceso-por-Desa�o con su respec�vo atributo
de tráfico y mensajes diferentes a los 802.1X. Se debe EAP, que se encarga simplemente de encapsular la
tener en cuenta que la auten�cación 802.1X comien- repuesta a aquella información que fue intercambia-
za tan pronto como el nodo móvil se ha asociado con da inicialmente por el punto de acceso y el suplican-
el punto de acceso, mediante el establecimiento del te. El usuario para responder al desa�o u�lizará al
estado de Connec�ng entre los PAE del suplicante y auten�cador para enviar un paquete Response-EAP
el auten�cador. Este proceso dará inicio con el en- (Respuesta-EAP) hacia el servidor y así después de
vío de una trama EAPOL-Start desde el nodo hacia el una serie de intercambios opcionales de mensajes
punto de acceso quien responderá con una solicitud de desa�os llegar finalmente a una respuesta de re-
de iden�dad para conocer el nombre usuario que re- chazo o aceptación del nodo móvil. Aunque parezca
quiere el acceso; éste estado se denomina Acquired. que el punto de acceso no es más que un disposi�vo
Procesado el mensaje por el usuario se enviará una pasivo de comunicación entre el usuario y el servidor,
respuesta hacia el auten�cador para que éste a la vez se presentan una serie de ventajas relevantes que re-
lo envíe hacia el servidor de auten�cación, pasando vindican el uso de este equipo medio. La primera de
así al estado Authen�ca�ng, etapa durante la cual se ellas se relaciona con el establecimiento de la nego-
prepararán una serie de desa�os entre el servidor ciación previa entre el usuario y el auten�cador para
y el suplicante, donde el punto de acceso será úni- determinar si en la solicitud, el suplicante es proce-
camente un repe�dor hasta que todos los requeri- sable, es decir, si soporta EAP, si puede ser atendida
mientos solicitados por el servidor sean sa�sfechos localmente o necesita ser enrutada hacia otro servi-
y se dé la autorización para el acceso del usuario, en dor e incluso si el mecanismo de auten�cación EAP
el estado de Authen�cated. No obstante, el proceso es aceptado por el usuario. Cualquier desacuerdo en
la negociación del protocolo EAP entre el suplicante, mente la transacción finaliza con un resultado sa�s-
auten�cador y servidor arrojará un paquete de Acce- factorio para el equipo solicitante, el servidor enviará
ss-Reject o Rechazo-de-Acceso al usuario. La Figura 1 un AVP adicional en su paquete con el material de la
muestra con mayor claridad el proceso descrito. Por llave que protegerá de ahí en adelante la comunica-
otro lado, el punto de acceso puede servir como en- ción entre el disposi�vo de acceso y el usuario final.
�dad central de registro para las transacciones rea- En casos par�culares donde la solicitud inicial no es
lizadas entre diferentes usuarios y servidores de la de auten�cación, sino de autorización el mensaje fi-
misma celda. nal del servidor hacia el usuario, será de aceptación
condicionada, ya que él necesitará que se envíen adi-
cionalmente los AVPs propios de autorización.
protocolo, observando con mayor preocupación el ción de aquellos procesos de mayor relevancia para
requerimiento de la escalabilidad, el cual demuestra el usuario. Para el análisis de desempeño desarro-
una significa�va limitación en el soporte de un nú- llado, se tomaron los procesos de auten�cación con
mero importante de usuarios, restringiendo de este diversos mecanismos y la u�lización de agentes de
modo el uso del protocolo RADIUS a entornos con enrutamiento y proxies, como las pruebas a par�r de
bajas densidades de clientes finales, ya que por un las cuales, se podrán establecer las conclusiones nece-
lado los puntos de acceso en los ambientes inalám- sarias para conocer cuál de los dos presuntos protoco-
bricos estudiados soportan hasta 2048 nodos asocia- los AAA, resulta ser más apto para la prestación de los
dos, pero RADIUS sólo puede solucionar las pe�cio- servicios de seguridad de una red inalámbrica.
nes de acceso de un máximo de 255, desperdiciando
una eficiencia inherente de la tecnología inalámbrica A. Protocolo RADIUS
de área local IEEE 802.11. Otro de los requerimientos El desempeño del protocolo RADIUS se mide de
para el que no se ha ideado solución alguna es la de- acuerdo con el comportamiento demostrado en la
tección de fallas, lo cual en primer lugar no permite auten�cación de usuarios mediante los mecanis-
al usuario conocer las verdaderas razones para que mos EAP-TTLS (Tunneled Transport Layer Security)
su solicitud no haya sido resuelta exitosamente y en [12] y PEAP (Protected EAP), con algoritmos internos
segundo lugar la caída del sistema de prestación de de cifrado PAP (Password Authen�ca�on Protocol),
servicios, en caso de no poseer enlaces redundantes MS-CHAPv2 (Microso� Challenge Handshake Au-
y servidores secundarios de respaldo. Los dos úl�- then�ca�on Protocol) y EAP-MS-CHAPv2, para que
mos requerimientos reprobados fueron la seguridad finalmente con estadís�cas tales como la media, el
en el nivel de transporte y el transporte seguro AAA, coeficiente de variación y la desviación estándar, se
que confirma las profundas vulnerabilidades de RA- establezcan las fortalezas y debilidades internas en el
DIUS para ser aceptado con todo mérito en el grupo comportamiento del protocolo, al igual que las ven-
de protocolos AAA. Por su parte DIAMETER obtuvo tajas y desventajas compara�vas de uno contra otro.
un 100% de aprobados en la evaluación de requeri- Los mecanismos de auten�cación analizados son en
mientos, validando el propósito y la mo�vación para primer lugar EAP-TTLS con algoritmo interno de cifra-
el diseño de este protocolo, el cual fue concebido do PAP y posteriormente con MS-CHAPv2, los cuales
bajo lineamientos AAA ya homologados, junto con son versiones populares y de uso más generalizado
una plataforma adaptable a casi cualquier red de co- para el intercambio de credenciales. El segundo me-
municación de datos de la actualidad, ya que ofrece canismo es PEAP con algoritmo interno de cifrado
todas las garan�as necesarias para la prestación de EAP-MS-CHAPv2, el cual es el único mecanismo de
servicios de auten�cación, autorización y auditoria. auten�cación dispuesto para plataformas Windows
XP Service Pack 2.
IV. ANÁLISIS DE DESEMPEÑO DE PROTOCOLOS
DE SEGURIDAD Durante la auten�cación EAP-TTLS con PAP, el primer
paquete Access-Request transporta en el atributo
Determinar la conveniencia de la u�lización del pro- EAP-Message la iden�dad del equipo móvil, es decir,
tocolo RADIUS o DIAMETER para los servicios de el nombre de usuario; no obstante para la auten�ca-
auten�cación, autorización o auditoria en una red ción EAP-TTLS es posible ocultar el nombre verdade-
inalámbrica IEEE 802.11, responde no sólo al cumpli- ro con un nombre falso programado por el cliente, de
miento de los parámetros AAA, sino también al des- tal forma que el analizador de protocolo mostrará el
empeño demostrado desde el inicio hasta la finaliza- nombre falso de usuario en el atributo User-Name.
Si el nombre es verificado sa�sfactoriamente en el módulo muy similar al trabajado por el método MD5
servidor, éste enviará un paquete Access-Challenge (Message Digest 5). Adicionalmente, la razón por la
definiendo el mecanismo que propone para la auten- cual se necesita de dos paquetes más para completar
�cación del usuario, en este caso TTLS. Si el meca- la auten�cación, es la u�lización de dos llaves CHAP
nismo es soportado por el cliente, se iniciará con el para ser instaladas en el equipo cliente de tal forma
nuevo mensaje Access-Request la sesión SSL (Secure que al paquete con el mensaje de aplicación envia-
Socket Layer) implementando el protocolo TLS, en- do por el cliente, el servidor responda con uno igual,
viando internamente el paquete de saludo al clien- pero u�lizando la segunda llave CHAP. Si el mensaje
te (Hello Client) con las llaves de cifrado y métodos es correctamente verificado por el usuario, el servi-
de compresión. El servidor en respuesta enviará su dor enviará un paquete Access-Request confirmando
cer�ficado digital que permite al cliente verificar si que el intercambio de las herramientas de cifrado
es un servidor de confianza, junto con el cer�ficado funcionan correctamente; en este momento el servi-
viaja la llave pública para la encripción de los mensa- dor está listo para emi�r su mensaje de aceptación.
jes siguientes. El cliente con el envío de un Access-
Request confirma la instalación de la llave pública en El mecanismo PEAP es un desarrollo de Microso�,
su equipo local, para que a con�nuación el servidor por lo tanto sólo es compa�ble con plataformas de
prepare un desa�o encriptado con la llave ya presen- este �po, incluso las opciones disponibles para al-
te en ambos extremos, validando de esta manera si goritmos internos de cifrado son escasas, la primera
la llave fue propiamente instalada en el cliente; de de ellas es EAP-MS-CHAPv2 y la segunda es EAP-GTC
ser así éste se dispondrá a transmi�r su llave públi- (EAP Generis Tocken Card) que sólo funciona con
ca de cifrado hacia el servidor, quien confirmará su equipos inalámbricos de la compañía Cisco Systems.
instalación con el envío de un mensaje encriptado. Si Este mecanismo de auten�cación intercambia una
el mensaje es correcto, el usuario responde con un totalidad de veinte mensajes antes de completar el
mensaje de aplicación que finaliza el establecimiento proceso de autorización para el acceso del usuario,
del túnel virtual en el canal de comunicación y el ser- donde las doce primeras transacciones cumplen los
vidor podrá emi�r finalmente su mensaje Access-Ac- mismos obje�vos de la auten�cación EAP-TTLS con
cept con las llaves de encripción de datos, derivadas MSCHAPv2, es decir, el intercambio del cer�ficado
de la contraseña PAP y almacenadas en los atributos digital del servidor, las credenciales del usuario y las
Vendor-Specific. llaves derivadas del algoritmo de cifrado; los paque-
tes adicionales son mensajes de aplicación que com-
En la auten�cación EAP- TTLS con MS-CHAPv2 se ne- prueban mediante desa�o y respuesta la instalación
cesita intercambiar doce mensajes entre el servidor de llaves MS-CHAP, tanto en el equipo servidor como
y el usuario para llevar a cabo de forma sa�sfactoria en la estación del cliente.
el proceso de auten�cación, desde la primera solici-
tud de acceso hasta la respuesta de aceptación. El B. Protocolo DIAMETER
método de cifrado interno hereda el funcionamiento Actualmente, el protocolo DIAMETER no posee un
del tradicional CHAP del protocolo PPP (Point-to-Po- desarrollo comercial muy avanzado, dada su nove-
int Protocol) con una secuencia binaria de 16 bytes, dad y el trabajo implícito que involucraría la transac-
generada a par�r de la contraseña de usuario y los ción de servicios soportados por el protocolo RADIUS
campos propios del paquete RADIUS; sin embargo en redes de corto o amplio cubrimiento. Debido a
Microso�, quien posee la patente de este método, esto muchas de las pruebas realizadas no pueden ser
reforzó la generación de los datos cifrados con un analizadas desde un punto de vista compara�vo, ya
REFERENCIAS
La razón para que no existan diferencias significa�vas [2] IEEE Std. 802.11i, “Part 11: Wireless LAN Medium
en el desempeño de un protocolo frente a otro, se Access Control (MAC) and Physical Layer (PHY) Speci-
debe a que los dos soportan su servicio de auten�- fica�ons”. New York: IEEE Press, 2004.
cación en el protocolo EAP, el cual trabaja de igual
manera, si se �enen procesos de encapsulamiento [3] CHEN, J.C. JIANG, M.C. y LIU, Y. “Wireless LAN
RADIUS o DIAMETER, es decir la can�dad y la natura- Security and IEEE 802.11i”, Wireless Communica�ons
leza de las transacciones serán siempre las mismas. Magazine, Febrero 2005, pp. 27 – 36.
Adicionalmente, el protocolo DIAMETER como su-
cesor de RADIUS fue diseñado para ofrecer mayores [4] BARI , F. y BOUTHEMY, J.L. “An AAA based service
facilidades para la instalación y soporte de nuevos customiza�on framework for public WLANs”, Wire-
servicios, lo cual fue conseguido por completo, con less Communica�ons and Networking Conference
prác�camente los mismos parámetros de desempe- 2005, Marzo 2005, pp. 2430 – 2435.
ño.
[5] HECKER, B. y LABOID, H. “Pre-authen�cated
Tras el análisis teórico de las recomendaciones de signalling in wireless LANs using 802.1X access con-
los protocolos RADIUS y DIAMETER, la evaluación de trol”, Global Telecommunica�ons Conference, 2004.
requerimientos AAA y el análisis de desempeño con GLOBECOM ‘04, Noviembre 2004, pp. 2180 -2184.
[9] IEEE Std. 802.1X – 2004, “IEEE Standard for local Ramiro A Chaparro Vargas - Nació en Cúcuta, Co-
and metropolitan area networks Port – Based Net- lombia. Es egresado del programa de ingeniería en
work Access Control”, New York IEEE Press, 2004. telecomunicaciones de la Universidad Militar Nueva
Granada. Actualmente se encuentra desempeñando
[10] CHAPARRO, R. “Estudio de desempeño en servi- labores como ingeniero en el sector empresarial y
dores de auten�cación RADIUS y DIAMETER para la se man�ene vinculado con el grupo de inves�gación
prestación de servicios de autorización, auten�cación WiNET.
y auditoria AAA en redes inalámbricas de área local
IEEE 802.11” Trabajo final de grado. Universidad Mili-
tar Nueva Granada, Bogotá – Colombia, Julio 2006.