Documentos de Académico
Documentos de Profesional
Documentos de Cultura
P2.2 Radius OscarJoseHernándezMedina
P2.2 Radius OscarJoseHernándezMedina
1
Seguridad y alta disponibilidad
Servidor Radius
Índice
Página: 2/14
Seguridad y alta disponibilidad
Servidor Radius
2. Elementos a configurar
➢ 1 Servidor PT ➢ 1 Router inalámbrico WRT300N ➢ 4 Dispositivos inalámbricos: o 2
Portátiles o 1 Smartphone o 1 Tablet ➢ 1 PC de sobremesa
Página: 3/14
Seguridad y alta disponibilidad
Servidor Radius
Página: 4/14
Seguridad y alta disponibilidad
Servidor Radius
Página: 5/14
Seguridad y alta disponibilidad
Servidor Radius
Según vayamos creando los usuarios, los iremos añadiendo al servidor. Hasta que no estén
las credenciales del usuario, no se podrá conectar a la red.
Smartphone:
Página: 6/14
Seguridad y alta disponibilidad
Servidor Radius
Tablet:
Página: 7/14
Seguridad y alta disponibilidad
Servidor Radius
Ahora vamos a configurar los portátiles. Para que los portátiles puedan conectarse de
manera inalámbrica, le cambiaremos el adaptador de red y le pondremos el inalámbrico.
Una vez hecho, podremos repetir los pasos que hicimos con los dispositivos móviles
Portátil 1:
Portátil 2:
Página: 8/14
Seguridad y alta disponibilidad
Servidor Radius
¿Los IP de los dispositivos inalámbricos son los mismos que aparecen en la figura 1?
Si no son iguales, ¿podrías explicar a que es debido?
Ninguna IP de mi ejemplo coincide con el de la figura 1, esto se debe a que yo los configuré
en diferente orden al de la figura, si miramos bien, ambos casos tienen las mismas IPs pero
para diferentes dispositivos por eso mismo.
¿Podría tener un dispositivo inalámbrico, tal y como has configurado el router, el IP
192.168.1.51? ¿y el 192.168.1.20? Razona las respuestas
No, el primer caso es imposible porque esa IP ya está asignada de forma estática al router y
además de que el DHCP no reparte direcciones hasta esa IP, siendo la máxima que puede
dar la 192.168.1.150. El segundo caso es casi imposible porque los rangos de IP que ofrece
el servidor DHCP está entre 192.168.1.100 y 192.168.1.150, siendo la primera la mínima
que puede asignar y la última la máxima que puede asignar. La única forma de que
podamos conseguir el caso de la pregunta sería reservando la dirección al dispositivo en
específico.
Página: 9/14
Seguridad y alta disponibilidad
Servidor Radius
3.4 PC de sobremesa
Tras conectar el PC al router, le asignamos la IP 192.168.1.52 y le asignamos el gateway
correspondiente.
Página: 10/14
Seguridad y alta disponibilidad
Servidor Radius
¿Qué utilidad ves para este modo de configuración? Di qué tipo de ataques podrías
prevenir.
Este modo de configuración es útil para que ningún equipo que conozca las credenciales de
algún usuario, sin estar en la lista blanca del router, pueda conectarse a la red. Aunque,
como respondo en la siguiente pregunta, esta utilidad no es muy útil porque un ataque de
MAC Spoofing no es muy difícil de realizar por un experto en la materia.
Página: 11/14
Seguridad y alta disponibilidad
Servidor Radius
¿Qué utilidad ves para este modo de configuración? ¿En qué situaciones no
profesionales podría ser útil?
Esta opción puede ser útil en el caso de una empresa en la que no nos interesa que el
equipo de un departamento se una a la red de otro departamento con intenciones que no
debería tener. En el caso de una situación no profesional es el caso de que una persona
que no nos interesa se conecte a la red de nuestro hogar.
Página: 12/14
Seguridad y alta disponibilidad
Servidor Radius
Podemos ver que la configuración de red del equipo Smartphone (con las credenciales del
usuario 4, usu4/pwd4) se corresponde con la detallada en el mensaje captado antes, siendo
YOUR CLIENT ADDRESS la IP del equipo, SERVER ADDRESS la default gateway, RELAY
AGENT ADDRESS el servidor DNS, además de que el CLIENT HARDWARE ADDRESS se
corresponde con la dirección MAC de Smartphone
Ahora, vamos a probar cómo un equipo inalámbrico desconocido para la red, puede realizar
un ataque MAC spoofing para conectarse a la red conociendo la dirección MAC y las
credenciales del usuario 1.
Para ello vamos a utilizar el smartphone (quien utilizaba originalmente al usuario 4) como
equipo desconocido, cambiando su dirección MAC por una que no esté en la lista blanca de
direcciones MAC en el router. Además vigilaremos los mensajes ICMP que se envíen por la
red, por dónde pasará el siguiente ping que le hará el ordenador de sobremesa al
Smartphone, ping con su contenido, de dónde conseguiremos la dirección MAC del propio
Smartphone, la cual le pondremos al smartphone para suplantar el dispositivo Smartphone y
Página: 13/14
Seguridad y alta disponibilidad
Servidor Radius
Aquí podemos ver el historial de mensajes ICMP que se han enviado por la red, como solo
hemos hecho un ping entre dos equipos, tenemos justo todo lo que se han intercambiado en
este proceso completo.
Si entramos en el mensaje cuyo Last Device (último dispositivo, es decir, quien envía el
mensaje) es el Smartphone 0, en la pestaña Outbound PDU Details podremos encontrar
ambas direcciones MAC (de destino u origen, ambos equipos PC0 y Smartphone 0
respectivamente), la que nos interesa es conocer la dirección MAC del Smartphone 0, así
que ubicándonos en el mensaje, en la pestaña Outbound PDU Details, encontramos la MAC
que nos interesa en SRC (source, origen) ADDR (address, dirección).
Y ahora tendremos todos los dispositivos nuevamente conectados a la red aunque esta vez
el dispositivo Smartphone (que antes usaba las credenciales del usuario 4) está conectado
a la red mediante la MAC del dispositivo laptop 0 y las credenciales del usuario 1.
Como vemos el ataque de mac hace que nos conectemos como si fuéramos el usu1
Página: 14/14