Ejercicio 2 - Unidad 2

Seguridad y alta disponibilidad

1
 Seguridad y alta disponibilidad
Servidor Radius

Índice

1. Instalación Packet Tracer 3

2. Elementos a configurar 3
3. Pasos de configuración de los elementos de la práctica servidor radius 3
3.1. Router inalámbrico 3
3.2. Servidor Radius 5
3.3. Dispositivos inalámbricos 6
3.4 PC de sobremesa 10
4. Control de equipos por dirección MAC 10
4.1 Permitir solo determinadas MAC 10
4.2 Prohibir determinadas MAC 11
5. Simulación Packet Tracer 12
5.1. Proceso de conexión al servidor Radius 12
5.2. Mensaje PC sobremesa a dispositivo inalámbrico 13

Página: 2/14
 Seguridad y alta disponibilidad
Servidor Radius

1. Instalación Packet Tracer

2. Elementos a configurar
➢ 1 Servidor PT ➢ 1 Router inalámbrico WRT300N ➢ 4 Dispositivos inalámbricos: o 2
Portátiles o 1 Smartphone o 1 Tablet ➢ 1 PC de sobremesa

3. Pasos de configuración de los elementos de la práctica servidor

radius

3.1. Router inalámbrico

Abrimos el menú de configuración el router y le asignamos el IP 192.168.x.51. Desde el
menú de configuración asigna el IP del servidor Radius (192.168.x.50), ponle la contraseña
“pwd” y el método de cifrado el “AES”. Cada alumno debe poner el número de IP final que
tiene en su ordenador (tipo Sergio tiene el 2 → red 192.168.2.0). En la práctica aparecen
todos los dispositivos en la red 192.168.1.0, tu debes poner todos los dispositivos en la red
correspondiente a tu IP. Desde el menú GUI configura el router en modo DHCP mixto.
Asigna un rango de IP dinámico para los dispositivos inalámbricos como el que aparece en
la figura

Al router le asignamos la IP 192.168.1.51, y en el menú de configuración, le asignamos al

servidor Radius 192.168.1.50 con contraseña “pwd” y método de cifrado “AES”.

Página: 3/14
 Seguridad y alta disponibilidad
Servidor Radius

Cambiar el nombre de la red por “REDWIFI” y cambiar el modo de seguridad a “WPA2

Enterprise”.

Configuramos el router en modo DHCP mixto y le asignamos el rango de IP de la

192.168.1.100 a la 192.168.1.150.

Página: 4/14
 Seguridad y alta disponibilidad
Servidor Radius

3.2. Servidor Radius

Le asignamos la IP 192.168.1.50. Activamos el servicio AAA con la opción de servidor

radius e introducimos los datos del router wifi.

puerta de enlace del server.

Página: 5/14
 Seguridad y alta disponibilidad
Servidor Radius

Según vayamos creando los usuarios, los iremos añadiendo al servidor. Hasta que no estén
las credenciales del usuario, no se podrá conectar a la red.

3.3. Dispositivos inalámbricos

Configurar ambos dispositivos móviles (la tablet y el smartphone) poniendo el gateway y

el SSID de la red. Activar la autenticación WPA y poner las credenciales en el servidor
radius.

Smartphone:

Página: 6/14
 Seguridad y alta disponibilidad
Servidor Radius

Tablet:

Página: 7/14
 Seguridad y alta disponibilidad
Servidor Radius

Ahora vamos a configurar los portátiles. Para que los portátiles puedan conectarse de
manera inalámbrica, le cambiaremos el adaptador de red y le pondremos el inalámbrico.

Una vez hecho, podremos repetir los pasos que hicimos con los dispositivos móviles

Portátil 1:

Portátil 2:

Página: 8/14
 Seguridad y alta disponibilidad
Servidor Radius

¿Los IP de los dispositivos inalámbricos son los mismos que aparecen en la figura 1?
Si no son iguales, ¿podrías explicar a que es debido?
Ninguna IP de mi ejemplo coincide con el de la figura 1, esto se debe a que yo los configuré
en diferente orden al de la figura, si miramos bien, ambos casos tienen las mismas IPs pero
para diferentes dispositivos por eso mismo.
¿Podría tener un dispositivo inalámbrico, tal y como has configurado el router, el IP
192.168.1.51? ¿y el 192.168.1.20? Razona las respuestas
No, el primer caso es imposible porque esa IP ya está asignada de forma estática al router y
además de que el DHCP no reparte direcciones hasta esa IP, siendo la máxima que puede
dar la 192.168.1.150. El segundo caso es casi imposible porque los rangos de IP que ofrece
el servidor DHCP está entre 192.168.1.100 y 192.168.1.150, siendo la primera la mínima
que puede asignar y la última la máxima que puede asignar. La única forma de que
podamos conseguir el caso de la pregunta sería reservando la dirección al dispositivo en
específico.

IMPORTANTE: es obvio que si el usuario no está en el AAA del servidor radius no se

conecta.

Página: 9/14
 Seguridad y alta disponibilidad
Servidor Radius

3.4 PC de sobremesa
Tras conectar el PC al router, le asignamos la IP 192.168.1.52 y le asignamos el gateway
correspondiente.

Comprobamos que está conectado a la red mediante un ping a un dispositivo inalámbrico.

¿Cómo afecta a este PC el servidor Radius?

Este equipo no necesita tener ninguna credencial en el servidor radius para conectarse a la
red porque está utilizando una IP estática y está directamente conectado al router, no hace
uso de la red wifi.

4. Control de equipos por dirección MAC

4.1 Permitir solo determinadas MAC

Añadir a la lista blanca de direcciones MAC del router las direcciones MAC de los equipos
inalámbricos. Para ello elegimos la opción de Permitir los equipos indicados debajo.

Página: 10/14
 Seguridad y alta disponibilidad
Servidor Radius

¿Qué utilidad ves para este modo de configuración? Di qué tipo de ataques podrías
prevenir.
Este modo de configuración es útil para que ningún equipo que conozca las credenciales de
algún usuario, sin estar en la lista blanca del router, pueda conectarse a la red. Aunque,
como respondo en la siguiente pregunta, esta utilidad no es muy útil porque un ataque de
MAC Spoofing no es muy difícil de realizar por un experto en la materia.

¿Es realmente efectivo? Di de qué modo podrías burlar este impedimento.

En un caso real este método de seguridad no es totalmente efectivo, dado que no es tan
complicado para un experto el buscar las direcciones MAC de los equipos de la red y
suplantar las mismas. Aunque hay switches configurables cuyos puertos exigen una MAC
específica.

4.2 Prohibir determinadas MAC

Añadir a la lista negra de direcciones MAC del router las direcciones MAC de los equipos
inalámbricos. Para ello elegimos la opción de Prevenir de los equipos indicados debajo.

Página: 11/14
 Seguridad y alta disponibilidad
Servidor Radius

¿Qué utilidad ves para este modo de configuración? ¿En qué situaciones no
profesionales podría ser útil?
Esta opción puede ser útil en el caso de una empresa en la que no nos interesa que el
equipo de un departamento se una a la red de otro departamento con intenciones que no
debería tener. En el caso de una situación no profesional es el caso de que una persona
que no nos interesa se conecte a la red de nuestro hogar.

5. Simulación Packet Tracer

5.1. Proceso de conexión al servidor Radius

Para probar el proceso de conexión vamos a borrar de la AAA del servidor radius los datos
del usuario 4 (las credenciales usu4/pwd4). Reseteamos la red hasta ver que el usuario 4
no está conectado mientras que los demás sí. Entonces volveremos a introducir los datos
del usuario 4 en el servidor para captar el momento en el que el servidor radius da el visto
bueno al router para aceptarlo en la red, localizando el mensaje que recibe el usuario 4
comunicando su IP en la red.

Dónde se puede observar, en la pestaña de Inbound PDU Details que en el apartado de

DHCP del mensaje, se están detallando unos apartados sobre unas características de la
dirección de red de un equipo, cómo YOUR CLIENT ADDRESS:, SERVER ADDRESS y
más, que si echamos un vistazo en la configuración de red del equipo nombrado cómo
Smartphone

Página: 12/14
 Seguridad y alta disponibilidad
Servidor Radius

Podemos ver que la configuración de red del equipo Smartphone (con las credenciales del
usuario 4, usu4/pwd4) se corresponde con la detallada en el mensaje captado antes, siendo
YOUR CLIENT ADDRESS la IP del equipo, SERVER ADDRESS la default gateway, RELAY
AGENT ADDRESS el servidor DNS, además de que el CLIENT HARDWARE ADDRESS se
corresponde con la dirección MAC de Smartphone

5.2. Mensaje PC sobremesa a dispositivo inalámbrico

Para terminar, vamos a comprobar que el ordenador de sobremesa tiene conexión con un
dispositivo inalámbrico, para ello vamos a hacer un ping desde el PC de sobremesa al
dispositivo con los datos del usuario 1, resultando de manera correcta significando que
tienen conexión.

Ahora, vamos a probar cómo un equipo inalámbrico desconocido para la red, puede realizar
un ataque MAC spoofing para conectarse a la red conociendo la dirección MAC y las
credenciales del usuario 1.
Para ello vamos a utilizar el smartphone (quien utilizaba originalmente al usuario 4) como
equipo desconocido, cambiando su dirección MAC por una que no esté en la lista blanca de
direcciones MAC en el router. Además vigilaremos los mensajes ICMP que se envíen por la
red, por dónde pasará el siguiente ping que le hará el ordenador de sobremesa al
Smartphone, ping con su contenido, de dónde conseguiremos la dirección MAC del propio
Smartphone, la cual le pondremos al smartphone para suplantar el dispositivo Smartphone y

Página: 13/14
 Seguridad y alta disponibilidad
Servidor Radius

poder conectarnos a la red con las credenciales del usuario 1.

Aquí podemos ver el historial de mensajes ICMP que se han enviado por la red, como solo
hemos hecho un ping entre dos equipos, tenemos justo todo lo que se han intercambiado en
este proceso completo.
Si entramos en el mensaje cuyo Last Device (último dispositivo, es decir, quien envía el
mensaje) es el Smartphone 0, en la pestaña Outbound PDU Details podremos encontrar
ambas direcciones MAC (de destino u origen, ambos equipos PC0 y Smartphone 0
respectivamente), la que nos interesa es conocer la dirección MAC del Smartphone 0, así
que ubicándonos en el mensaje, en la pestaña Outbound PDU Details, encontramos la MAC
que nos interesa en SRC (source, origen) ADDR (address, dirección).

Ahora que tenemos la dirección MAC del Smartphone, se la pondremos al dispositivo

Smartphone y con las credenciales del usuario 1, podremos conectarnos a la red.

Y ahora tendremos todos los dispositivos nuevamente conectados a la red aunque esta vez
el dispositivo Smartphone (que antes usaba las credenciales del usuario 4) está conectado
a la red mediante la MAC del dispositivo laptop 0 y las credenciales del usuario 1.

Como vemos el ataque de mac hace que nos conectemos como si fuéramos el usu1

Realizado por: Para:

Página: 14/14