guia para escritura de documento cientifico

Anuncio
Instalación de un servidor de seguridad con autenticación RADIUS
Antonio Javier Rico Rodriguez
Universidad Tecnológica
de Querétaro
Firmado digitalmente por Universidad Tecnológica de Querétaro
Nombre de reconocimiento (DN): cn=Universidad Tecnológica de
Querétaro, o=Universidad Tecnológica de Querétaro, ou,
email=webmaster@uteq.edu.mx, c=MX
Fecha: 2011.05.24 11:12:33 -05'00'
UNIVERSIDAD TECNOLÓGICA DE
QUERÉTARO
Instalación de un servidor de seguridad con autenticación
RADIUS
Memoria
Que como parte de los requisitos para obtener
el titulo de
Ingeniero en Tecnologías de la Información y Comunicación
Presenta
Antonio Javier Rico Rodríguez
Raúl García Pérez
José Gonzalo Lugo Pérez
2011
Santiago de Querétaro Qro, Mayo del 2011
~1~
Querétaro, Qro. , a ____ de ____________ de _____.
.
C. Antonio Javier Rico Rodríguez
Matrícula: 2004306139
Candidato al grado de Ingeniero
En Tecnologias de la Información y Comunicación
Presente
AUTORIZACIÓN DE PRESENTACIÓN DE MEMORIA
El que suscribe, por medio del presente le informa a Usted, que se le autoriza la
presentación de su memoria de la Estadía profesional, titulada: “Instalación de un
servidor de seguridad con autenticación RADIUS”, realizado en la empresa:
Universidad Tecnológica de Querétaro
Trabajo que fue revisado y aprobado por el Comité de Asesores, integrado por:
________________________
________________________
Asesor de la Empresa
Profesor Asesor
Se hace constar el NO adeudo de materiales en las siguientes áreas.
________________________
Biblioteca UTEQ
_______________________ __________________________
Lab. de Tecnología
Lab. Informática
Atentamente
______________________________
Director de la División
C.c.p.
<<Nombre>>.- Subdirector de Servicios Escolares Archivo Nota:
Incorporar imagen escaneada
que incluya firmas
~2~
RESUMEN
En la actualidad la seguridad de la información es esencial en cualquier
organización. Con las tecnologías de la información se puede proteger la
información vital para una empresa. Una forma de ingresar a los equipos de
telecomunicaciones (conmutadores y ruteadores) es mediante la autenticación
de usuarios por medio de los protocolos de seguridad RADIUS y TACACS+,
éste último propietario de CISCO.
RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server) es
un protocolo de autenticación y autorización para aplicaciones de acceso a la
red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem,
Ethernet o Wi-Fi, se envía una información que generalmente consiste en un
nombre de usuario y una contraseña. Esta información se transfiere a un
dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige
la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor
RADIUS comprueba que la información es correcta utilizando esquemas de
autenticación como PAP, CHAP o EAP. Si la petición de acceso es aceptada, el
servidor autorizará la entrada al sistema del ISP y le asignará los recursos de
red como una dirección IP.
El presente trabajo sirve como guía que permitirá montar servidores de
seguridad con autenticación de usuarios utilizando el protocolo RADIUS, todo
esto con el objetivo de implementar las tareas de configuración actividades en
forma de prácticas para los alumnos que cursan la ingeniería en la UTEQ.
~3~
ABSTRACT
Nowadays information is essential in any organization. Can protect vital
information for an enterprise using information technologies. One way to enter
the telecommunication equipment (switches and routers) is through user
authentication using security protocols RADIUS and TACACS+, the last is
owner from CISCO.
RADIUS (the acronym for Remote Authentication Dial-In User Server) is a
protocol for authentication and authorization to applications, network access or
IP mobility. It uses UDP port 1812 to establish their connections. When it are
connecting to an ISP using a modem, DSL, cable modem, Ethernet or Wi-Fi, a
data is sending usually is made of a username and password. This information
is transferred to a device Network Access Server (NAS) on the PPP, who directs
the request to a RADIUS server on the RADIUS protocol. The RADIUS server
verifies that the information is correct using authentication protocols like PAP,
CHAP or EAP. If the access request is accepted, the server will be give access
to the ISP system and will assigns the network resources such as an IP
address.
This document can be used as a guide that will help to students how to mount to
security server’s user authentication using RADIUS protocol, all with the goal of
implementing these task of configuration in the form of practices for students of
engineering from UTEQ.
(Palabras clave: guía, servidor, CISCO, RADIUS, TACACS+, switch, protocolo,
PPP, ISP, Internet, configuración)
~4~
DEDICATORIAS
“En memoria de mi hermano Erick Iván Rodríguez Pérez, y Luckas Piedras,
gracias por inspirarme a seguir adelante y compartir conmigo maravillosos
momentos”
~5~
AGRADECIMIENTOS
Agradezco primeramente a Dios, para darme la fortaleza necesaria para
concluir con ésta etapa profesional en mi vida.
Doy gracias a mis padres por darme amor incondicionalmente; en especial a mi
madre, gracias por apoyarme siempre en todas mis decisiones, y muchas
gracias a todos los miembros de mi familia sanguínea y no sanguínea.
Gracias a mi novia Mónica por aguantarme todo éste tiempo, darme su cariño,
comprensión y apoyo en los momentos más difíciles, gracias mi amor esto es
para ti mi vida, IDEM.
Agradezco a todos mis amigos que siempre me animaron a seguir adelante y
continúan haciéndolo, nombrar la lista sería infinita, pero ustedes saben muy
bien quienes son.
También agradezco a todo el personal de la UTEQ, profesores, especialistas,
encargados de laboratorios y todas las personas involucradas en el desarrollo
del proyecto, que aportaron para obtener los resultados positivos.
~6~
ÍNDICE
RESUMEN ..........................................................................................3
ABSTRACT .........................................................................................4
DEDICATORIAS ..................................................................................5
AGRADECIMIENTOS ...........................................................................6
CAPÍTULO I
1.1 INTRODUCCIÓN ...........................................................................11
1.2 ANTECEDENTES ..........................................................................13
1.3 JUSTIFICACIÓN ...........................................................................15
1.4 OBJETIVOS .................................................................................16
1.5 ALCANCES ..................................................................................17
CAPÍTULO II
2.1 RECURSOS MATERIALES Y HUMANOS .........................................20
2.2 PLAN DE ACTIVIDADES ................................................................21
2.3 FUNDAMENTACIÓN TEÓRICA .......................................................23
2.3.1 Esquemas de autenticación a ruteadores ............................................. 23
2.3.3 Modelo Cliente Servidor ........................................................................ 25
2.3.4 Redes Seguras ..................................................................................... 25
2.3.5 Mecanismos de autenticación flexibles ................................................. 26
2.3.6 Esquemas de funcionamiento ............................................................... 27
2.3.7 Funcionamiento de TACACS+ .............................................................. 29
~7~
2.4 Comparativas entre TACACS+ y RADIUS ........................................31
2.4.1 UDP y TCP............................................................................................ 31
2.4.2 Encriptación de paquetes ...................................................................... 32
2.4.3 Autenticación y autorización .................................................................. 33
2.4.4 Soporte multiprotocolo .......................................................................... 34
2.4.5 Administración de routers...................................................................... 34
2.5 Tráfico ........................................................................................35
2.5.1 Ejemplo de tráfico en RADIUS .............................................................. 35
2.5.2 Ejemplo de tráfico en TACACS+ ........................................................... 36
CAPÍTULO III
3.1 DESARROLLO DEL PROYECTO ....................................................38
3.1.1 Ubicación y etapas de desarrollo del proyecto ...................................... 38
3.1.2 Aplicación de RADIUS y TACACS+ ...................................................... 39
3.1.3 Actividad con el servidor RADIUS ......................................................... 40
3.1.4 Materiales.............................................................................................. 40
3.1.5 Diagrama de topología RADIUS ........................................................... 41
3.1.6 Tabla de direcciones RADIUS ............................................................... 41
3.1.7 Montando el servidor RADIUS .............................................................. 42
3.1.8 Instalación de WinRADIUS ................................................................... 42
3.1.9 Conexión a la base de datos con WinRadius ........................................ 44
3.1.10 Creación de usuarios en WinRadius ................................................... 46
3.1.11 Configuraciones Generales en WinRadius .......................................... 48
3.1.12 Cambios en configuración de WinRadius para Windows Vista y
Windows 7...................................................................................................... 51
3.1.13 Configuración del ruteador RADIUS.................................................... 56
3.1.14 Pruebas finales de funcionalidad WinRadius ...................................... 61
~8~
CAPÍTULO IV
4.1 RESULTADOS OBTENIDOS ...........................................................67
4.2 ANÁLISIS DE RIESGO...................................................................92
CAPÍTULO V
5.1 CONCLUSIONES ..........................................................................94
5.2 REFERENCIAS BIBLIOGRÁFICAS ..................................................94
5.3 GLOSARIO ..................................................................................97
~9~
CAPÍTULO I
~ 10 ~
1.1 INTRODUCCIÓN
El presente proyecto servirá como guía para los estudiantes de
ingeniería en TI para elaborar correctamente las prácticas de redes de acuerdo
con la retícula vigente de la materia de Seguridad de la Información; así mismo
se implementarán algunas metodologías vistas en clase para reforzar el
conocimiento del estudiante próximo a graduarse como ingeniero en TI. Éste
trabajo también puede ser de utilidad para cualquier profesional de TI como
material de consulta de los procedimientos para montar servidores de seguridad
utilizando métodos de autenticación como RADIUS.
En el primer capítulo se tratarán los antecedentes del proyecto, ¿para
qué fue desarrollado el presente trabajo? Y el estado previo al inicio de
actividades; se hará de manera muy breve la justificación y las motivaciones
que llevaron al desarrollo el proyecto. También se tratarán los objetivos que son
medibles y alcanzables, donde se enfatizará en las principales metas que debe
cumplir el proyecto de manera sencilla y clara; a su vez se hablará de los
alcances del proyecto y cada una de las etapas del desarrollo del mismo de
forma concisa.
El capítulo II presenta los principales recursos materiales y humanos
utilizados para el montaje de los servidores de seguridad, así como el equipo
especial utilizado, las personas especializadas involucradas en el proyecto;
además se explican las actividades a realizar de manera gráfica; elaborando un
cronograma ampliamente conocido como diagrama de Gantt en honor a su
~ 11 ~
diseñador el ingeniero Henrry Laurence Gantt en 1917. En adición se expondrá
la fundamentación teórica que prácticamente consistió en el sustento
metodológico del desarrollo del proyecto; y que para éste caso se recopiló en su
mayoría material de la empresa Cisco Systems Inc.
El contenido del capítulo III es la sección donde se aplica la metodología
seleccionada y se explica el desarrollo del montaje de los servidores de
seguridad utilizando RADIUS como método de autenticación de usuarios para
acceder al equipo de telecomunicaciones
En el capítulo IV se mostrarán los resultados obtenidos en el proyecto y
que se reflejarán en las prácticas ya terminadas para los estudiantes. También
es importante considerar el énfasis en plasmar un análisis de riesgos pertinente
de los principales problemas que se pudieran presentar en el montaje de los
servidores y también su correspondiente vía de mitigación.
Finalmente se tienen el capítulo V que habla de las conclusiones y
recomendaciones del proyecto así como la bibliografía de consulta en la que
está basado éste contenido.
~ 12 ~
1.2 ANTECEDENTES
Parte de la formación integral del ingeniero en TI, es tener dominio en los
temas de redes y telecomunicaciones; y a su vez cumplir con una curricula de
diversas materias de la especialidad, entre ellas “Seguridad de la Información”;
donde el alumno aprenderá técnicas de seguridad para equipos de ruteo y
switcheo. El panorama antes de la elaboración del proyecto; se centraba en que
el profesor proponía diversas prácticas de seguridad, para que el alumno
adquiriera y reforzara los conocimientos además de practicar las destrezas
aprendidas referente a los equipos de redes propietarios de la empresa Cisco,
según el plan de estudios. Antes del proyecto la herramienta para realizar todas
éstas prácticas era el programa denominado Packet Tracer (figura 1.1), un
software simulador de entornos de red propietario de CISCO; y en ocasiones en
equipo físico.
Figura 1.1
~ 13 ~
La principal motivación de la realización de éste proyecto, fue mejorar las
habilidades del estudiante, ya que antes el acceso a equipo físico de
telecomunicaciones era más restringido.
Gracias al apoyo de la Universidad Tecnológica de Querétaro, de los
tutores, asesores y al equipo brindado, es posible desarrollar éste proyecto que
pretende integrar actividades 100% prácticas sobre servidores de seguridad y
equipo de ruteo para que refuercen el aprendizaje de los candidatos a ingeniero
en TI, cubriendo así los perfiles del plan de estudios vigente.
~ 14 ~
1.3 JUSTIFICACIÓN
Las principales razones para el desarrollo del proyecto fueron el impulso
por la innovación educativa y las técnicas de enseñanza; además también
influyó mucho el deseo de aprender sobre las nuevas tecnologías de seguridad
para servidores de autenticación en un entorno de telecomunicaciones. Las
competencias que adquirirá el alumno al finalizar el desarrollo de éstas práctica
serán:
a) Planear proyectos de seguridad en redes y telecomunicaciones para la
implementación eficaz de soluciones, empleando los recursos disponibles en la
organización, para contribuir a la productividad y logro de los objetivos
estratégicos de las organizaciones utilizando las metodologías apropiadas.
b) Construir proyectos de tecnologías de la información empleando
estándares y modelos de calidad para contribuir en la competitividad de las
organizaciones.
c) Evaluar sistemas de tecnologías de información para establecer
acciones de mejora e innovación en las organizaciones.
Los beneficios que se esperan al concluir el proyecto son un adecuado
dominio sobre los sistemas de seguridad para autenticar usuarios utilizando el
método RADIUS.
~ 15 ~
1.4 OBJETIVOS
Los objetivos planteados para éste proyecto son los siguientes:

Se concluirá el diseño y desarrollo al 100% en tiempo y forma según el
cronograma, de dos actividades prácticas sobre equipo físico y dos
actividades prácticas en software Packet Tracer para probar el
funcionamiento del protocolo de autenticación RADIUS.

El alumno logrará un dominio del 90% del tema de servidores utilizando
los protocolos de seguridad.

El alumno reforzará sus conocimientos, destrezas y habilidades de
aprendizaje en un entorno práctico, resolviendo las 4 actividades que
involucran el montaje de servidores de seguridad utilizando el protocolo
de autenticación de usuarios RADIUS.
~ 16 ~
1.5 ALCANCES
Los principales alcances del proyecto son a nivel institucional, donde se
pretende finalizar las prácticas para que puedan ser aprovechadas por alumnos
de la Universidad Tecnológica de Querétaro.
La delimitación del proyecto abarca desde investigar las técnicas y
métodos de RADIUS, aplicar software, configuraciones, realizar pruebas en
equipo físico hasta la documentación, diseño, y elaboración de prácticas, así
como opcionalmente la realización de videos y tutoriales que expliquen al
estudiante cómo realizar las configuraciones en RADIUS.
El diseño cronológico del proyecto es similar a un algoritmo trasladado a
un diagrama de flujo, ya que es secuencial y una ó más de las actividades
pueden ser repetitivas hasta encontrar los resultados esperados, tal y como lo
muestra la figura 1.2. Donde el ciclo es el inicio de actividades, seguido por la
investigación y recopilación de información de diversas fuentes como libros,
artículos, revistas, videos, tutoriales, otros trabajos de investigación y guías.
Posteriormente se pasa a la obtención de las herramientas investigadas tales
como el software necesario y el hardware adecuado. Después se pasa a la
etapa de pruebas en equipo físico para validar si todo el proceso fue exitoso, si
la respuesta es positiva esto dará pauta a realizar la documentación y la
entrega final; de lo contrario se deberá reiniciar desde el punto de investigación
y recopilación de información.
~ 17 ~
Inicio de
actividades
Investigación y
recopilación de
información
Obtención de
herramientas de
hardware y software
Pruebas en equipo
físico
SI
¿Proceso
exitoso?
Documentar
NO
Entregar
Fin de
actividades
Figura 1.2
~ 18 ~
CAPÍTULO II
~ 19 ~
2.1 RECURSOS MATERIALES Y HUMANOS
A continuación en la tabla 2.1 se presentará la lista de recursos
necesarios para el desarrollo del proyecto, contemplando recursos humanos y
materiales. Más adelante en la figura 2.1 se plantea el cronograma seguido
para la elaboración del proyecto, en conjunto con la lista de actividades a
realizar en la tabla 2.2.
RECURSOS HUMANOS
Profesores y tutores de la UTEQ
RECURSOS MATERIALES
RECURSO
Ruteadores Cisco 2800
Switches Catalyst
Cable consola Rollover
Cable de red Straight
Adaptador DB-9 a USB
Cable de corriente
Cable de conexión serial RS-232
Computadora portátil
Conexión a Internet
Libros, revistas y trabajos
CANTIDAD
2
2
1
7
1
4
1
3
1
1
Tabla 2.1
~ 20 ~
2.2 PLAN DE ACTIVIDADES
Figura 2.1
~ 21 ~
TAREAS
INICIAR ACTIVIDADES
PRIMERA INVESTIGACION Y RECOPILACION
DE LA INFORMACION
PRIMERA OBTENCION DE HERRAMIENTAS
DE HARDWARE Y SOFTWARE
PRIMERAS PRUEBAS EN EQUIPO FISCO
SEGUNDA INVESTIGACION Y RECOPILACION
DE LA INFORMACION
SEGUNDA OBTENCION DE HERRAMIENTAS
DE HARDWARE Y SOFTWARE
SEGUNDAS PRUEBAS EN EQUIPO FISCO
TERCERA INVESTIGACION Y RECOPILACION
DE LA INFORMACION
TERCERA OBTENCION DE HERRAMIENTAS
DE HARDWARE Y SOFTWARE
TERCERAS PRUEBAS EN EQUIPO FISCO
DOCUMENTACION
ELABORACION DE TUTORIALES Y VIDEOS
ENTREGA DEL PROYECTO
DURACION
COMIENZO
1 día?
21/02/2011 09:00
FIN
21/02/2011 19:00
11 días?
22/02/2011 09:00
04/03/2011 19:00
7 días?
12 días?
05/03/2011 09:00
07/03/2011 09:00
11/03/2011 19:00
18/03/2011 19:00
5 días?
21/03/2011 09:00
25/03/2011 19:00
1 día?
5 días?
27/03/2011 09:00
28/03/2011 09:00
27/03/2011 19:00
01/04/2011 19:00
5 días?
04/04/2011 09:00
08/04/2011 19:00
2 días?
5 días?
46 días?
4 días?
1 día?
09/04/2011 09:00
11/04/2011 09:00
01/03/2011 09:00
16/04/2011 09:00
20/04/2011 09:00
10/04/2011 19:00
15/04/2011 19:00
15/04/2011 19:00
19/04/2011 19:00
20/04/2011 19:00
Tabla 2.2
~ 22 ~
2.3 FUNDAMENTACIÓN TEÓRICA
2.3.1 Esquemas de autenticación a ruteadores
Cuando se requiere administrar un ruteador de forma remota, es
necesario que se cumplan tres elementos importantes: Autenticación: que es la
identificación del acceso, Autorización: que son los recursos disponibles en la
conexión y el Accounting: que es el historial de movimientos en dicha cuenta.
Los tres métodos de conexión para administrar un ruteador son por
consola, por la conexión auxiliar y por terminales vty.
Los medios y la infraestructura de red que más se utilizan son vía marcación
(dial up) a través del protocolo PPP, y a través de una red privada virtual (VPN).
Los tipos de autenticación de acuerdo a la ubicación, son local y remota.
Las autenticaciones locales se validan utilizando una base de datos local, que
generalmente está alojada en el ruteador ó en el dispositivo de red al cuál se
quiere acceder, y las autenticaciones remotas utilizan normalmente un servidor
aledaño que puede estar en cualquier ubicación dentro de la red.
Para las autenticaciones remotas existen dos tipos de servidores de seguridad
que son: RADIUS y TACACS+.
2.3.2 Funcionamiento de RADIUS
~ 23 ~
RADIUS es un servidor de acceso que utiliza el conjunto de protocolos
AAA. Este es un sistema para distribuir acceso remoto seguro a redes y a
servicios de red que no cuentan con autorización de acceso. RADIUS se
conforma de tres componentes:
- Un Protocolo de Datagrama de Usuarios (UDP)/IP.
- Un servidor.
- Un cliente.
La empresa Cisco Systems Inc., introdujo el cliente de RADIUS a Cisco
IOS Software Release 11.1 y para posteriores plataformas de su software.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem,
Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de
usuario y una contraseña. Esta información se transfiere a un dispositivo
Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición
a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS
comprueba que la información es correcta utilizando esquemas de autenticación
como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al
sistema del ISP y le asignará los recursos de red tales como una dirección IP, y
otros parámetros necesarios para un correcto funcionamiento.
~ 24 ~
2.3.3 Modelo Cliente Servidor
Una Network Access Server (NAS) opera como un cliente de RADIUS. El
cliente es responsable de pasar información de usuario al equipo designado
como servidor RADIUS, y a continuación actuar sobre la respuesta que se
devuelve. El servidor RADIUS es el encargado de recibir las peticiones de
conexión, autenticar a los usuarios y devolver toda la información de
configuración necesaria para ofrecer el servicio al cliente.
2.3.4 Redes Seguras
Las transacciones entre el cliente y el servidor RADIUS deben ser
autenticadas usando una clave compartida (shared secret), la cual nunca se
envía a través de la red. Además, las contraseñas de usuario son enviadas y
cifradas entre el cliente y el servidor RADIUS; eliminándose así la posibilidad de
que alguien haga snooping en una red insegura pudiendo determinar alguna
contraseña de usuario.
~ 25 ~
2.3.5 Mecanismos de autenticación flexibles
Los servidores RADIUS soportan una gran variedad de métodos de
autentificación de usuarios. RADIUS soporta PPP, Protocolo de Autenticación
por Contraseña (PAP), Protocolo de Autenticación por Desafío (CHAP), Login
UNIX, y otros mecanismos de autenticación.
Una de las características más importantes del protocolo RADIUS es su
capacidad de manejar sesiones, notificando cuando comienza y termina una
conexión, de ésta manera al usuario se le podrá determinar su consumo y
facturar en consecuencia; los datos se pueden utilizar con propósitos
estadísticos.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la
serie PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se
publicó como RFC 2138 y RFC 2139. Actualmente existen muchos servidores
RADIUS, tanto comerciales como de código abierto. Las presentaciones
pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de
texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP
para monitorear remotamente el servicio.
El desarrollo de RADIUS en su totalidad es de código abierto pero la
mayoría de fabricantes de software y hardware en materia de redes para utilizar
RADIUS, implementan sus propios lenguajes y marcas comerciales.
~ 26 ~
2.3.6 Esquemas de funcionamiento
El esquema de funcionamiento se describe en la figura 2.3.1.
Figura 2.3.1
Cuyo procedimiento en orden es:
1) El usuario inicia sesión en el NAS.
2) El NAS le pide usuario y contraseña.
3) El usuario responde con sus credenciales.
4) El NAS envía usuario y contraseña, ambas encriptadas al servidor RADIUS.
5) RADIUS responde aceptando, rechazando o interactuando con el usuario.
El proceso de validación de usuario y contraseña es sumamente seguro
cuando se utiliza RADIUS y otros protocolos de autenticación. Más adelante se
analizarán con detenimiento las principales diferencias entre el protocolo
RADIUS de código libre y TACACS+ cuyo propietario es CISCO.
Básicamente éste es el esquema de funcionamiento de un servidor de
seguridad RADIUS, en la imagen 2.3.2 se muestra otro panorama muy
parecido.
~ 27 ~
Figura 2.3.2
~ 28 ~
2.3.7 Funcionamiento de TACACS+
TACACS es el acrónimo de Terminal Access Controller Access Control
System, en inglés “sistema de control de acceso del controlador de acceso a
terminales”; y es un protocolo de autenticación remota que se usa para
gestionar el acceso, además de proporcionar servicios separados de
autenticación,
autorización
y
registro
a
servidores
y
dispositivos
de
comunicaciones. TACACS es propietario de Cisco, y es muy usado para
comunicarse con un servidor de autenticación comúnmente usado en redes
Unix. TACACS permite a un servidor de acceso remoto comunicarse con un
servidor de autenticación para determinar si el usuario tiene acceso a la red,
además éste protocolo está documentado en el estándar RFC 1492 TACACS+
está basado en TACACS, pero, a pesar de su nombre, es un protocolo
completamente nuevo e incompatible con las versiones anteriores de TACACS.
El software Cisco IOS soporta actualmente tres versiones para la Terminal
Access Controller Access:

TACACS +: Un reciente protocolo que provee la información de cuentas
de usuario detallada y flexible, además de tener control administrativo
sobre los procesos de autenticación y autorización. TACACS+ se da
gracias a la AAA, y sólo se puede activar a través de comandos AAA.
~ 29 ~

TACACS: es un protocolo de acceso más viejo e incompatible con el
nuevo protocolo TACACS +, que está ahora en uso por Cisco. TACACS
proporciona la comprobación de contraseñas y autenticación, y la
notificación de las acciones del usuario con fines de administración y
seguridad de cuentas.

TACACS Extendido: es una extensión del viejo protocolo TACACS.
TACACS Extendido proporciona información acerca de conversión de
protocolos y el uso del router. Esta información se utiliza en auditoría
UNIX y archivos de cuentas de usuario.
TACACS+ es una aplicación de seguridad que proporciona la validación
centralizada de los usuarios que intentan acceder a un router o un servidor de
acceso a la red. Los servicios TACACS+ se mantienen en una base de datos
que se ejecuta por lo general, en una estación de trabajo UNIX o Windows NT.
Se debe configurar el servidor TACACS+, de preferencia antes de dar de alta
los servicios en el ruteador.
~ 30 ~
2.4 Comparativas entre TACACS+ y RADIUS
2.4.1 UDP y TCP
RADIUS utiliza el protocolo de capa de transporte UDP mientras
TACACS+ utiliza TCP. TCP ofrece algunas ventajas frente a UDP. TCP ofrece
una comunicación orientada a conexión, mientras que UDP ofrece mejor
esfuerzo en la entrega. RADIUS requiere además de variables programables,
como el número de intentos en la re-transmisión o el tiempo de espera para
compensar la entrega, pero carece del nivel de built-in soportado con lo que
ofrece el transporte TCP:
TCP proporciona el uso de un identificador para las peticiones que sean
recibidas, dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en
la red, independientemente de la carga y del lento mecanismo de autenticación
de respaldo (un reconocimiento TCP) podría ser.
TCP proporciona una marca inmediata cuando se rompe o no está
corriendo la comunicación, gracias a un servidor de restablecimiento (RST). Se
puede determinar cuándo se rompió la comunicación y retorno el servicio si se
usan conexiones TCP long-lived. UDP no puede mostrar las diferencias entre
estar offline, sufrir lentitud o que no exista servidor. Usando los TCP Keepalives,
las caídas de servidores pueden ser detectadas out-of-band con peticiones
reales.
Conexiones
a
múltiples
servidores
pueden
ser
mantenidas
simultáneamente, y solamente se necesita enviar mensajes a los que se sabe
que tienen que estar activos, online y ejecutándose.
~ 31 ~
2.4.2 Encriptación de paquetes
RADIUS encripta solamente la contraseña en el paquete de respuesta al
acceso (access-request), desde el cliente hasta el servidor. El resto de
paquetes está sin encriptar. Otra información, como el nombre de usuario, los
servicios autorizados, y acounting pueden ser capturados por un tercero.
TACACS+ encripta el cuerpo entero del paquete pero salvando la
cabecera standar TACACS+. Dentro de la cabecera hay un campo donde se
indica si el cuerpo está encriptado o no. Para propósitos de depuración, es más
util tener el cuerpo de los paquetes sin encriptar. Sin embargo, durante el
normal funcionamiento, el cuerpo del mensaje es enteramente cifrado para más
seguridad en las comunicaciones.
~ 32 ~
2.4.3 Autenticación y autorización
RADIUS combina autenticación y autorización. Los paquetes de acceso
aceptado (access-accept) que son enviados por el servidor RADIUS al cliente,
contienen información de autorización. Esto hace difícil desasociar autenticación
y autorización.
TACACS+ usa la arquitectura AAA. Esto permite separar soluciones de
autenticación, dejando seguir utilizando TACACS+ para la autorización y la
contabilidad. Por ejemplo, con TACACS+, es posible utilizar autenticación
Kerberos y autorización y accounting TACACS+. En éste caso un NAS de
autenticación sobre el servidor Kerberos, solicita peticiones de autorización del
servidor TACACS+ sin tener que volver a autenticarse. El NAS informa al
servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor
Kerberos, y luego el servidor proporcionará la información de autorización.
Durante una sesión, si adicionalmente la autorización de control es
necesaria, los accesos al servidor se comprueban con un servidor TACACS+
para determinar si se le conceden permisos para ejecutar un comando en
particular. Esto proporciona mejor control sobre los comandos que pueden ser
ejecutados en un servidor de acceso mientras es separado con mecanismos de
autenticación.
~ 33 ~
2.4.4 Soporte multiprotocolo
RADIUS no soporta los siguientes protocolos:
- Protocolo de Acceso Remoto AppleTalk (ARA)
- Protocolo de Control de Tramas NetBIOS.
- Interfaz de Servicios Asíncronos de Novell (NASI)
- Conexiónes X.25 con PAD
TACACS+ ofrece soporte multiprotocolo.
2.4.5 Administración de routers
RADIUS no permite al usuario el control total de comandos que pueden
ser ejecutados en un router. Por lo tanto, RADIUS no es tan útil para la gestión
de router o flexible para servicios de terminal.
TACACS+ proporciona dos métodos de control de autorización de los
comandos de un router, uno por usuarios (per-user) o por grupos (per-groups).
El primer método asigna niveles de privilegio a los comandos y el router tiene
que verificar con el servidor TACACS+ si el usuario está o no autorizado en el
nivel de privilegios especificado. El segundo método es para especificar
explícitamente en el servidor TACACS+, por usuario o por grupo, los comandos
que están permitidos.
~ 34 ~
2.5 Tráfico
Debido a las anteriormente citadas diferencias entre TACACS+ y
RADIUS, la cantidad de tráfico generado entre el cliente y el servidor es
diferente.
Los ejemplos que a continuación se mostrarán ilustran el tráfico entre el
cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestión
de routers con autenticación, exec autorización, autorización del comando (con
RADIUS no se puede hacer), exec contabilidad, y comandos de contabilidad
(con RADIUS no se puede hacer).
2.5.1 Ejemplo de tráfico en RADIUS
Este ejemplo (figura 2.5.1) asume el login de autenticación, exec
autenticación, e iniciar-para exec contabilidad que pueden ser utilizados con
RADIUS cuando un usuario hace telnet a un router, realiza un comando y sale
del router (la gestión de otros servicios no están disponibles):
Figura 2.5.1
~ 35 ~
2.5.2 Ejemplo de tráfico en TACACS+
Este ejemplo (figura 2.5.2) asume el login de autenticación, exec
autorización, comando autorizado, iniciar-parar exec accounting, y comandos
de accounting que pueden ser utilizados por un usuario cuando hace telnet a un
router, realiza el comando y sale del router:
Figura 2.5.2
~ 36 ~
CAPÍTULO III
~ 37 ~
3.1 DESARROLLO DEL PROYECTO
3.1.1 Ubicación y etapas de desarrollo del proyecto
El proyecto se desarrolló en varias etapas, primero el desglose cíclico de
actividades la investigación y recopilación de información se realizó en
bibliotecas, Internet y otras instituciones educativas con el apoyo de
profesionales en el área incluyendo en ésta etapa también a la Universidad
Tecnológica de Querétaro.
La etapa de búsqueda de herramientas y software adecuado para montar
el servidor Radius, se realizó de manera local en el lugar de trabajo de la
preferencia de cada miembro del equipo, ya que se requería contar con un área
para mayor comodidad y concentración que favoreciera el avance de los
procesos involucrados en el desarrollo del proyecto.
Las pruebas de software y hardware, ya con la información recopilada,
un documento sólido y bien estructurado y con las herramientas de software
necesarias para la actividad, se llevaron a cabo en la Universidad Tecnológica
de Querétaro con equipo de los laboratorios de Cisco, específicamente se
estuvo trabajando en el laboratorio de Cisco II.
~ 38 ~
3.1.2 Aplicación de RADIUS y TACACS+
Existen dos destacados protocolos de seguridad destacados para el
control de acceso a las redes que son Cisco TACACS+ y RADIUS. La
especificación RADIUS está descrita en el RFC-2865, que sustituye al obsoleto
RFC-2138. Cisco se ha comprometido a apoyar ambos protocolos con las
mejores clases de ofertas. La intención de Cisco no es competir con RADIUS o
influenciar a sus usuarios a utilizar TACACS+. Se debe elegir la solución que
mejor satisfaga sus necesidades. Aquí se comentan las diferencias entre
TACACS+ y RADIUS, para así se pueda estar informado antes de tomar una
decisión.
Cisco soporta el protocolo RADIUS desde que se liberó la "Cisco IOS(R)
Software Release 11.1" en Febrero de 1996. Cisco continua mejorando el
cliente RADIUS con nuevas características y capacidades, apoyando a RADIUS
como un estandar.
Cisco evaluó detalladamente a RADIUS como un protocolo de seguridad
antes de desarrollar TACACS+. Muchas características fueron introducidas en
el protocolo TACACS+ tras conocer las necesidades del incipiente mercado de
la seguridad. Este protocolo fue diseñado para ampliarse a medida que crecen
las redes, y adaptarse a las nuevas tecnologías en seguridad mientras el
mercado evoluciona. La arquitectura subyacente del protocolo TACACS+
complementa la arquitectura independiente de autentificar (Authentication),
autorizar (Authorization) y manejo de cuentas (Accounting) (AAA).
~ 39 ~
3.1.3 Actividad con el servidor RADIUS
La topología (figura 3.1.6)
muestra que los ruteadores R1 y R2
actualmente están siendo administrados bajo un entorno basado en el “secret
passsword” sin ningún tipo de autenticación aplicada a los usuarios que se
conectan local y remotamente a ellos.
El reto es montar y configurar un servidor bajo la plataforma Windows XP
/ Windows Vista / Windows 7 que utilice autenticación RADIUS para que
verifique las conexiones locales y remotas que los administradores realicen
cuando intenten gestionar la configuración del ruteador R1 desde cualquier
computadora de la RED_1 ó la RED_2. Además de configurar correctamente el
ruteador R1 bajo el esquema RADIUS y las configuraciones básicas para el R2.
3.1.4 Materiales
A continuación se dispondrá de los siguientes equipos y dispositivos:
EQUIPO / DISPOSITIVOS
CANTIDAD
6
Computadoras personales / Laptops
2
Router Cisco 2800
2
Switch Cisco Catalyst 2960
1
Cable de consola RollOver
1
Adaptador DB-9 a USB
4
Cable de corriente
2
Cable de conexión serial RS-232
7
Cable de red, Straight
~ 40 ~
3.1.5 Diagrama de topología RADIUS
Con los dispositivos se deberá formar la siguiente topología.
Figura 3.1.5
3.1.6 Tabla de direcciones RADIUS
DISPOSITIVO
R1
INTERFACE
DIRECCION IP
MASCARA DE SUBRED
Fa0/0
192.168.1.1
255.255.255.0
Se0/0/0
10.1.1.1
255.255.255.252
Fa0/0
192.168.2.1
255.255.255.0
Se0/0/0
10.1.1.2
255.255.255.252
SERVIDOR RADIUS
NIC
192.168.1.2
255.255.255.0
SWITCH 1
PUERTOS
N/A
N/A
CLIENTE_1_RED_1
NIC
192.168.1.3
255.255.255.0
CLIENTE_2_RED_1
NIC
192.168.1.4
255.255.255.0
SWITCH 2
PUERTOS
N/A
N/A
CLIENTE_1_RED_2
NIC
192.168.2.1
255.255.255.0
CLIENTE_1_RED_2
NIC
192.168.2.2
255.255.255.0
R2
~ 41 ~
3.1.7 Montando el servidor RADIUS
RADIUS es un protocolo de red ampliamente implementado; se dice que
es un protocolo cliente / servidor y que proporciona un mecanismo centralizado
de administración de la información de cuenta de usuario. Estos elementos
pueden ser nombres de usuario, contraseñas y niveles de privilegios para cada
cuenta.
3.1.8 Instalación de WinRADIUS
Existen varios programas para montar un servidor RADIUS, tales como
FreeRADIUS Y FreeRADIUS.net; la mayoría sólo funcionan bajo distribuciones
de Linux como Red Hat y SuSe; bajo la plataforma UNIX y bajo plataformas
Mac.
El programa que se utilizará para hacer funcionar el servidor RADIUS
bajo entorno Windows XP / Windows Vista / Windows 7 será el “WinRadius”
que es una distribución licenciada para Windows compilada bajo esquemas
win32 con soporte para MySQL, Oracle, y Microsoft Access, que se puede
instalar y ejecutar en Windows XP / Windows Vista / Windows 7.
En la actualidad se utiliza la versión WinRadius v2010 y su única
limitación en la versión de prueba es que sólo soporta 5 usuarios.
~ 42 ~
Ésta
aplicación
se
puede
descargar
del
sitio
oficial:
http://www.itcosult2000.com ó http://www.elite-school .com y no necesita ser
instalada; sólo basta con descomprimir el archivo en alguna carpeta y
sobreponerla en el escritorio como se muestra en la figura 3.1.8:
Figura 3.1.8
Entre los archivos se encuentran “RadiusTest.exe” que servirá para
hacer pruebas posteriores, “WinRadius.exe” que es la aplicación propiamente
dicha; y “WinRadius.mdb” que es la base de datos de tipo Microsoft Access.
~ 43 ~
3.1.9 Conexión a la base de datos con WinRadius
Como el servidor no necesita instalación, y además son básicamente dos
los archivos ejecutables (RadiusTest.exe y WinRadius.exe) lo primero que se
tiene que hacer es ejecutar WinRadius.exe. Posteriormente se deberá
seleccionar la opción “Database…” del menú superior “Settings” como muestra
la figura 3.1.9.
Figura 3.1.9
Y para sincronizar la conexión ó el driver hacia la base de datos se
deberá hacer click en el botón “Configure ODBC automatically” tal y como se
muestra en el recuadro de la figura 3.1.10.
~ 44 ~
Después de configurar automáticamente (figura 3.1.10) la base de datos,
se requiere reiniciar el servicio de RADIUS, por lo que será necesario cerrar el
servidor y volver a iniciarlo (WinRadius.exe).
Figura 3.1.10
~ 45 ~
3.1.10 Creación de usuarios en WinRadius
El siguiente paso es crear los usuarios que se autenticarán en el
servidor; y para eso se hace click en el menú principal “Operation” y después en
“Add user…”, para agregar los dos usuarios de éste ejemplo radius01 y
radius02 con sus respectivas contraseñas radpass01 y radpass02, como se
muestra en la figura 3.1.11.
Figura 3.1.11
~ 46 ~
Además es muy importante no olvidar cambiar la dirección IP del que
será el servidor RADIUS en plataforma Windows XP, de acuerdo al esquema;
deberá tener la dirección IP 192.168.1.2, tal y como lo describe la figura 3.1.12.
Figura 3.1.12
~ 47 ~
3.1.11 Configuraciones Generales en WinRadius
A continuación se configurará la “NAS Secret” en el servidor RADIUS,
ésta clave el ruteador la conoce como “key” y en éste ejemplo será
radiuspassword; esto se logra ingresando al menú principal “Settings” y a
“System…”, donde habrá que ingresar la “NAS Secret”, la dirección IP y los
puertos de autorización y de accounting, todo esto tal y como se muestra en la
figura 3.1.13.
Figura 3.1.13
Ahora es tiempo de ejecutar el otro archivo llamado “RadiusTest,exe” y
se deberá configurar la dirección IP del servidor que será la 192.168.1.2,
además de configurar otros parámetros como el puerto de escucha con el NAS
que es el 1813 (hay que recordar que por default es 1812 y 1813), y también el
~ 48 ~
“Secret” que actúa como palabra clave “key” en el ruteador y deberá ser
radiuspassword en el ejemplo propuesto.
Como se ilustra en la figura 3.1.14, también se agregará el usuario
radius01 con su contraseña radpass01 para hacer las pruebas que a
continuación se detallarán; para finalmente dar click en el botón “send”.
Figura 3.1.14
~ 49 ~
El resultado será satisfactorio, pues se ha hecho la prueba de
autenticación con el nombre de usuario y contraseña correctos que están dados
de alta en la base de datos, y la muestra se puede apreciar en la imagen 3.1.15.
Figura 3.1.15
Ahora el servidor RADIUS está listo y totalmente operativo, y puede
minimizarse en la barra de tareas del sistema operativo, dando la siguiente
impresión (figura 3.1.16).
Figura 3.1.16
~ 50 ~
3.1.12 Cambios en configuración de WinRadius para
Windows Vista y Windows 7
Como el servidor RADIUS WinRadius fue diseñado originalmente para
versiones de Windows XP e inferiores; es muy común los casos en los que el
programa no reconoce la base de datos, por lo que a continuación se detallará
el procedimiento para crear un origen de base de datos en Windows 7 hacer
que funcione el conjunto con RADIUS.
Para instalar WinRadius en las versiones Vista y 7 de Windows, es
necesario configurar un origen de base de datos, pues éste no viene
previamente configurado.
El origen de base de datos servirá para hacer la conexión entre el
servidor WinRadius y la base de datos; esto para la correcta administración de
los grupos de usuarios, usuarios y contraseñas que se autenticarán en el
servidor RADIUS.
En primer lugar hay que accesar a barra de tareas InicioPanel de
control y en la zona de búsqueda se deberá introducir “ODBC” y posteriormente
hacer click en “Configurar orígenes de datos (ODBC)”, como se presenta en la
figura 3.1.17.
~ 51 ~
Figura 3.1.17
Posteriormente saldrá la ventana de “Administrador de orígenes de datos
ODBC”, donde se deberá presionar el botón “Agregar…” y de donde se deberá
seleccionar posteriormente el controlador “Microsoft Access Driver (*.mdb,
*.accdb)”y dar click en “Finalizar” (figura 3.1.18).
Figura 3.1.18
~ 52 ~
En la siguiente ventana se deberá seleccionar la base de datos
WinRadius.mdb que es la base de datos del servidor y dar click en aceptar tal y
como se muestra en la imagen 3.1.19.
Figura 3.1.19
Si todo salió adecuadamente, entonces será claramente visible el origen
de datos agregado como se muestra en la figura 3.1.20.
Figura 3.1.20
~ 53 ~
Posteriormente en el servidor RADIUS se deberá seleccionar la opción
“Database…” del menú superior “Settings”, y en el recuadro “ODBC Settings” se
deberá llenar el campo “ODBC name” con el nombre del origen de datos que se
acaba de crear como muestra la imagen 3.1.21.
Figura 3.1.21
~ 54 ~
Después de éste paso, se deberá reiniciar el servidor RADIUS para que
surtan efecto los cambios. Si todo se hizo de manera correcta entonces al
reiniciar el servidor se deberá identificar la cantidad de usuarios y los puertos
disponibles para realizar la comunicación, como se muestra en la figura 3.1.22.
Figura 3.1.22
~ 55 ~
3.1.13 Configuración del ruteador RADIUS
Paso 1: Primero se accesa al modo privilegiado y se restablece la configuración
de ambos ruteadores y de los switches con el siguiente comando.
R1#erase startup-config
Paso 2: Después de levantar todas las interfaces seriales y Ethernet de ambos
ruteadores, hacer las conexiones pertinentes y las configuraciones básicas;
entonces se procederá a configurar la autenticación AAA.
Establecer la contraseña “enable secret” como cisco, para generar niveles de
seguridad locales.
R1(config)#enable secret cisco
Paso 3: Configurar un usuario local como respaldo para acceder al ruteador en
caso de emergencia, el usuario se llamará Admin y su secret password será
adminpassword. En dado caso que el servidor RADIUS no responda se podrá
accesar al sistema con éste usuario inclusive de manera remota si está activado
el modo de terminal vty.
R1(config)# username Admin password adminpassword
~ 56 ~
Paso 4: Configurar la autenticación AAA para el acceso a la consola en R1,
todo esto para poder usar RADIUS, configurando la línea de consola.
R1(config)# aaa new-model
R1(config)# aaa authentication login CONSOLA group radius local
R1(config)# line console 0
R1(config-line)# login authentication CONSOLA
Paso 5: Si se quisiera accesar al ruteador de forma remota no se podría llevar a
cabo con autenticación RADIUS sino únicamente con el usuario de respaldo
que se creo en el paso 2 que fue Admin y su contraseña adminpassword, éste
procedimiento es muy útil cuando un servidor es hackeado ó simplemente está
“caído”. Para poder accesar al ruteador de forma remota se debe habilitar la
conexión por las terminales VTYS usando autenticación RADIUS aplicando los
siguientes comandos.
R1(config)# aaa new-model
R1(config)# aaa authentication login VTYS group radius local
R1(config)# line vty 0 4
R1(config-line)# login authentication VTYS
~ 57 ~
Paso 6: Configurar la autenticación de usuario en el login vía RADIUS, y si en
su defecto el servidor no está accesible, el ruteador usará las credenciales de
acceso local.
R1(config)# aaa authentication login default group radius local
Paso 7: Configurar la parte de RADIUS en el ruteador, asignando la dirección
IP del servidor RADIUS.
R1(config)# radius-server host 192.168.1.2
Paso 8: Configurar la clave secreta (secret key) como radiuspassword.
R1(config)# radius-server key radiuspassword
Paso 9: Configurar el puerto de acceso y autenticación por default que es el
1812 por UDP, esto último es porque el software WinRadius transmite y recibe
por los puertos 1812 y 1813 (tal como en el estándar del protocolo RADIUS) y
los ruteadores Cisco lo hacen por los puertos 1645 y 1646, por lo tanto hay que
forzar al ruteador que lo haga por el puerto 1812; aunque los adaptadores
genéricos lo hacen por los 4 puertos.
R1(config)# radius-server host 192.168.1.2 auth-port 1812 acct-port 1813
~ 58 ~
Paso 10: Hasta éste paso del procedimiento se debe poder acceder al ruteador
de forma local por medio del puerto de consola usando la autenticación
RADIUS con los usuarios de radius01 y radius02 con sus respectivos
passwords radpass01 y radpass02. Verificar la autenticación AAA con RADIUS
local y remota:
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: radius01
Password: radpass01
R1>
Paso 11: Desconectar el servidor RADIUS de la red y verificar la autenticación
AAA remotamente usando telnet y localmente desde la consola:
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin
Password: adminpassword
R1>
~ 59 ~
Paso 12: Dar de alta el ruteo estático en R1 y R2 para que ambas redes
puedan verse entre sí; además de no olvidar sincronizar la interface de reloj en
R2.
R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config-if)#clock rate 56000
~ 60 ~
3.1.14 Pruebas finales de funcionalidad WinRadius
Una vez hechas las conexiones correspondientes, y las configuraciones
en ambos ruteadores. Ya teniendo el servidor RADIUS plenamente operativo
entonces es hora de hacer las pruebas pertinentes.
Paso 1: Abrir una conexión de HiperTerminal para tener acceso al ruteador, por
medio del protocolo TCP/IP por el puerto 23, es decir se hará un telnet al
ruteador de manera local, y sin el cable de consola conectado, la conexión se
configura como se muestra en la siguiente figura 3.1.23.
Figura 3.1.23
~ 61 ~
Paso 2: Ya ejecutándose plenamente el servidor RADIUS en la computadora
cuya dirección IP es 192.168.1.2, entonces se va hacia la HiperTerminal y se
abre la conexión, tratándose de autenticar con un usuario que no esté en la
base de datos del servidor RADIUS, e introduciendo otro password diferente
que tampoco se encuentre alojado en la base de datos. La respuesta del
servidor RADIUS deberá ser negativa; mostrando un usuario no identificado y
fallando en la autenticación de dicho usuario, también una serie de detalles de
la conexión, como por ejemplo la IP desde la cual se está haciendo la conexión,
que sería la 192.168.1.2; y la IP a la cual se quiere acceder en éste caso el
puerto FastEthernet del ruteador que sería la 192.168.1.1, el tipo de acceso, y
la conexión fallida tal y como se muestra en la imagen 3.1.24.
Figura 3.1.24
~ 62 ~
Paso 3: Realizar las mismas pruebas pero con un usuario válido y existente
como radius01 cuyo password es radpass01, como se muestra en la figura
3.1.25.
Figura 3.1.25
~ 63 ~
En la siguiente imagen se puede apreciar, cómo la autenticación y el
acceso se realizaron de forma correcta con el usuario radius01 y el password
radpass01, como se muestra en la siguiente imagen (figura 3.1.26).
Figura 3.1.26
~ 64 ~
Paso 4: Realizar las mismas pruebas que en el paso 3 pero desde otra estación
de trabajo del mismo segmento de red es decir la RED_1 ó desde el otro
segmento es decir la RED_2, y el resultado deberá ser similar al de la figura
3.1.27.
Figura 3.1.27
~ 65 ~
CAPÍTULO IV
~ 66 ~
4.1 RESULTADOS OBTENIDOS
Éste apartado en el reporte de estadía es muy importante, ya que aquí
se presentan los avances del proyecto y los efectos finales derivados, los
cuales relacionan todas las características previas tales como objetivos,
topología, material requerido, procedimientos, conclusiones y pruebas finales
de las prácticas, todos éstos elementos se conjuntan finalmente mostrando el
resultado.
Los objetivos del presente documento se han cumplido, ya que se han
logrado desarrollar las dos prácticas planeadas desde un inicio para el
desarrollo del proyecto, las cuales abarcan desde la investigación, instalación
del
software
necesario,
hasta
la
configuración
del
equipo
de
telecomunicaciones como ruteadores, switches, y finalmente las pruebas de
funcionalidad para servidores de seguridad utilizando RADIUS.
A continuación se presentan las dos prácticas obtenidas para los temas
de seguridad de la información; primeramente se incluye la práctica de RADIUS
en su versión para Packet Tracer y posteriormente se presenta la misma
práctica para desarrollar en equipo físico.
~ 67 ~
Configuración de Servidor RADIUS actividad en Packet Tracer
Diagrama de topología
Con los dispositivos se deberá formar la siguiente topología.
Tabla de direcciones
A continuación se muestra la tabla de referencia para los dispositivos
conectados en la topología.
DISPOSITIVO
R1
R2
SERVIDOR RADIUS
SWITCH 1
CLIENTE_1_RED_1
CLIENTE_2_RED_1
SWITCH 2
CLIENTE_1_RED_2
CLIENTE_1_RED_2
INTERFACE DIRECCION IP MASCARA DE SUBRED
Fa0/0
192.168.1.1
255.255.255.0
Se0/0/0
10.1.1.1
255.255.255.252
Fa0/0
192.168.2.1
255.255.255.0
Se0/0/0
10.1.1.2
255.255.255.252
NIC
192.168.1.2
255.255.255.0
PUERTOS
N/A
N/A
NIC
192.168.1.3
255.255.255.0
NIC
192.168.1.4
255.255.255.0
PUERTOS
N/A
N/A
NIC
192.168.2.1
255.255.255.0
NIC
192.168.2.2
255.255.255.0
~ 68 ~
Paso 1: Configurar el servidor RADIUS y las computadoras de ambas redes
con sus respectivas direcciones IP.
Paso 2: Configurar el servidor RADIUS conforme a los puntos:
1) Ingresar a la pestaña “Config” del servidor y posteriormente a la pestaña
“AAA”.
2) Verificar que el servicio RADIUS esté activado.
3) Cambiar el puerto a 1812 para que la simulación parezca más real, ya que
este es el puerto con el que trabaja el estándar de servidores RADIUS.
4) Agregar tantos clientes NAS (Network Access Server) con su respectiva
dirección IP de conexión y la “key” que utilizarán. Los NAS son los dispositivos
que requerirán la autenticación del servidor RADIUS para que éste a su vez
pueda validar si el usuario y contraseña introducidos son válidos; por ejemplo
se puede agregar ruteadores ó puntos de acceso inalámbricos para que validen
los clientes que se conectan a la red.
5) Agregar tantos usuarios como se necesiten para cada NAS correspondiente.
~ 69 ~
Paso 3: Después de levantar todas las interfaces seriales y Ethernet de ambos
ruteadores, hacer las conexiones pertinentes y las configuraciones básicas
entonces se procederá a configurar la autenticación AAA para que R1 acepte
los servicios RADIUS.
Establecer la contraseña “enable secret” como cisco, para generar los niveles
de seguridad locales.
R1(config)#enable secret cisco
Configurar un usuario local como respaldo para acceder al ruteador Admin y su
secret password será adminpassword. En dado caso que el servidor RADIUS
no responda se podrá accesar al sistema con éste usuario.
R1(config)# username Admin password adminpassword
~ 70 ~
Configurar la parte de RADIUS en el ruteador, configurando la dirección IP del
servidor RADIUS.
R1(config)# radius-server host 192.168.1.2
Configurar la clave secreta (secret key) como radiuspassword.
R1(config)# radius-server key radiuspassword
Configurar la autenticación AAA para el acceso a la consola en R1 para usar
RADIUS, configurando la línea de consola.
R1(config)# aaa new-model
R1(config)# aaa authentication login CONSOLA group radius local
R1(config)# line console 0
R1(config-line)# login authentication CONSOLA
Hasta éste paso del procedimiento se debe poder acceder al ruteador de forma
local por medio del puerto de consola usando la autenticación RADIUS con los
usuarios de radius01 y radius02 con sus respectivos passwords radpass01 y
radpass02.
Si se intentara accesar al ruteador de forma remota no se podría accesar con
autenticación RADIUS sino únicamente con el usuario de respaldo que se creó
en el paso 2 que fue Admin y su contraseña adminpassword.
Para poder accesar al ruteador de forma remota se deben habilitar las
terminales VTYS usando autenticación RADIUS; aplicando los siguientes
comandos.
R1(config)# aaa new-model
R1(config)# aaa authentication login VTYS group radius local
R1(config)# line vty 0 4
R1(config-line)# login authentication VTYS
Configuración de autenticación de usuario en el login vía RADIUS; si el servidor
no está accesible el ruteador usará las credenciales de acceso local.
R1(config)# aaa authentication login default group radius local
~ 71 ~
Verificar la autenticación AAA con RADIUS local y remota:
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: radius01
Password: radpass01
R1>
Desconectar el servidor RADIUS de la red y verificar la autenticación AAA
remotamente usando telnet y localmente desde la consola:
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin
Password: adminpassword
R1>
Dar de alta el ruteo estático en R2 para que ambas redes puedan verse entre
sí; además de no olvidar sincronizar la interface de reloj en R2.
R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config-if)#clock rate 56000
~ 72 ~
Actividad práctica:
Configurar Servidor RADIUS con directivas de autenticación AAA en
ruteadores CISCO
Objetivos de aprendizaje



Configurar el R1 para que pueda autenticar usuarios local y remotamente
con el protocolo RADIUS bajo las normas AAA, además activar el acceso
al ruteador bajo terminales VTY usando autenticación local AAA.
Configurar un servidor basado en autenticación AAA usando RADIUS.
Verificar que el servidor RADIUS funcione desde cualquier PC de la
RED_1 ó la RED_2.
Introducción
La topología muestra que los ruteadores R1 y R2 actualmente están siendo
administrados bajo un entorno basado en el “secret passsword” sin ningún tipo
de autenticación aplicada a los usuarios que se conectan local y remotamente a
ellos. El reto es montar y configurar un servidor bajo la plataforma Windows XP
/ Windows Vista / Windows 7 que utilice autenticación RADIUS para que
verifique las conexiones locales y remotas que los administradores realicen
cuando intenten gestionar la configuración del ruteador R1 desde cualquier
computadora de la RED_1 ó la RED_2. Además de configurar correctamente el
ruteador R1 bajo el esquema RADIUS y las configuraciones básicas para el R2.
Materiales
A continuación se dispondrá de los siguientes equipos y dispositivos:
EQUIPO / DISPOSITIVOS
CANTIDAD
6
Computadoras personales / Laptops
2
Router Cisco 2800
2
Switch Cisco Catalyst 2960
1
Cable de consola RollOver
1
Adaptador DB-9 a USB
4
Cable de corriente
2
Cable de conexión serial RS-232
7
Cable de red, Straight
~ 73 ~
Diagrama de topología
Con los dispositivos se deberá formar la siguiente topología.
Tabla de direcciones
A continuación se muestra la tabla de referencia para los dispositivos
conectados en la topología.
DISPOSITIVO
R1
R2
SERVIDOR RADIUS
SWITCH 1
CLIENTE_1_RED_1
CLIENTE_2_RED_1
SWITCH 2
CLIENTE_1_RED_2
CLIENTE_1_RED_2
INTERFACE DIRECCION IP MASCARA DE SUBRED
Fa0/0
192.168.1.1
255.255.255.0
Se0/0/0
10.1.1.1
255.255.255.252
Fa0/0
192.168.2.1
255.255.255.0
Se0/0/0
10.1.1.2
255.255.255.252
NIC
192.168.1.2
255.255.255.0
PUERTOS
N/A
N/A
NIC
192.168.1.3
255.255.255.0
NIC
192.168.1.4
255.255.255.0
PUERTOS
N/A
N/A
NIC
192.168.2.1
255.255.255.0
NIC
192.168.2.2
255.255.255.0
~ 74 ~
Montando el servidor RADIUS
Introducción
RADIUS es un protocolo de red ampliamente implementado; se dice que es un
protocolo cliente / servidor y que proporciona un mecanismo centralizado de la
administración de la información de cuenta de usuario. Estos elementos pueden
ser nombres de usuario, contraseñas y niveles de privilegios para cada cuenta.
Instalación de WinRADIUS
Existen varios programas para montar un servidor RADIUS, tales como
FreeRADIUS Y FreeRADIUS.net; la mayoría sólo funcionan bajo distribuciones
de Linux como Red Hat y SuSe; bajo la plataforma UNIX y bajo plataformas
Mac.
El programa que se utilizará para hacer funcionar el servidor RADIUS bajo
entorno Windows XP / Windows Vista / Windows 7 será el “WinRadius” que es
una distribución licenciada para Windows compilada bajo esquemas win32 con
soporte para MySQL, Oracle, y Microsoft Access, que se puede instalar y
ejecutar en Windows XP / Windows Vista / Windows 7.
En la actualidad se utiliza la versión WinRadius v2010 y su única limitación en la
versión de prueba es que sólo soporta 5 usuarios. Ésta aplicación se puede
descargar del sitio oficial: http://www.itcosult2000.com ó http://www.elite-school
.com y no necesita ser instalada; sólo basta con descomprimir el archivo en
alguna carpeta y sobreponerla en el escritorio como se muestra en la siguiente
imagen:
~ 75 ~
Entre los archivos se encuentran “RadiusTest.exe” que servirá para hacer
pruebas posteriores, “WinRadius.exe” que es la aplicación propiamente dicha; y
“WinRadius.mdb” que es la base de datos de tipo Microsoft Access.
Conexión a la base de datos
Como el servidor no necesita instalación, y además son básicamente dos los
archivos ejecutables (RadiusTest.exe y WinRadius.exe) lo primero que se tiene
que hacer es ejecutar WinRadius.exe. Posteriormente se deberá seleccionar la
opción “Database…” del menú superior “Settings” como muestra la imagen.
Y para sincronizar la conexión ó el driver hacia la base de datos se deberá
hacer click en el botón “Configure ODBC automatically”.
~ 76 ~
Después de configurar automáticamente la base de datos, se requiere reiniciar
el servicio de RADIUS, por lo que será necesario cerrar el servidor y volver a
iniciarlo (WinRadius.exe).
Creación de usuarios
El siguiente paso es crear los usuarios que se autenticarán en el servidor; y
para eso se hace click en el menú principal “Operation” y después en “Add
user…”, para agregar los dos usuarios de éste ejemplo radius01 y radius02 con
sus respectivas contraseñas radpass01 y radpass02, como se muestra en la
imagen.
~ 77 ~
Además es muy importante no olvidar cambiar la dirección IP del que será el
servidor RADIUS en plataforma Windows XP, de acuerdo al esquema; deberá
tener la dirección IP 192.168.1.2.
Configuraciones Generales
A continuación se configurará la “NAS Secret” en el servidor RADIUS, ésta
clave el ruteador la conoce como “key” y en éste ejemplo será radiuspassword;
esto se logra ingresando al menú principal “Settings” y a “System…”, donde
habrá que ingresar la “NAS Secret”, la dirección IP y los puertos de autorización
y de accounting.
~ 78 ~
Ahora es tiempo de ejecutar el otro archivo llamado “RadiusTest,exe” y se
deberá configurar la dirección IP del servidor que será la 192.168.1.2, además
de configurar otros parámetros como el puerto de escucha con el NAS que es el
1813 (hay que recordar que por default es 1812 y 1813), y también el “Secret”
que actúa como palabra clave “key” en el ruteador y deberá ser radiuspassword
en el ejemplo propuesto. Como se ilustra en la imagen, también se agregará el
usuario radius01 con su contraseña radpass01 para hacer las pruebas que a
continuación se detallarán; para finalmente dar click en el botón “send”.
El resultado será satisfactorio, pues se ha hecho la prueba de autenticación con
el nombre de usuario y contraseña correctos que están dados de alta en la base
de datos, y la muestra se puede apreciar en la imagen.
~ 79 ~
Ahora el servidor RADIUS está listo y totalmente operativo, y puede
minimizarse en la barra de tareas del sistema operativo, dando la siguiente
impresión.
Cambios en configuración de WinRadius para Windows Vista y Windows 7
Como el servidor RADIUS WinRadius fue diseñado originalmente para
versiones de Windows XP e inferiores; es muy común los casos en los que el
programa no reconoce la base de datos, por lo que a continuación se detallará
el procedimiento para crear un origen de base de datos en Windows 7 y poder
conectar el servidor RADIUS con su base de datos.
Para instalar WinRadius en las versiones Vista y 7 de Windows, es necesario
configurar un origen de base de datos, pues éste no viene previamente
configurado. Éste origen de base de datos servirá para hacer la conexión entre
el servidor WinRadius y la base de datos; esto para la correcta administración
de los grupos de usuarios, usuarios y contraseñas que se autenticarán en el
servidor RADIUS.
En primer lugar hay que accesar a barra de tareas InicioPanel de control y en
la zona de búsqueda se deberá introducir “ODBC” y posteriormente hacer click
en “Configurar orígenes de datos (ODBC)”, como se presenta en la imagen.
~ 80 ~
Posteriormente saldrá la ventana de “Administrador de orígenes de datos
ODBC”, donde se deberá presionar el botón “Agregar…” y de donde se deberá
seleccionar posteriormente el controlador “Microsoft Access Driver (*.mdb,
*.accdb)”y dar click en “Finalizar”.
En la siguiente ventana se deberá seleccionar la base de datos WinRadius.mdb
que es la base de datos del servidor y dar click en aceptar tal y como se
muestra en la imagen.
~ 81 ~
Si todo salió adecuadamente, entonces será claramente visible el origen de
datos agregado como se muestra en la siguiente imagen.
Posteriormente en el servidor RADIUS se deberá seleccionar la opción
“Database…” del menú superior “Settings”, y en el recuadro “ODBC Settings” se
deberá llenar el campo “ODBC name” con el nombre del origen de datos que se
acaba de crear como muestra la imagen.
~ 82 ~
Después de éste paso, se deberá reiniciar el servidor RADIUS para que surtan
efecto los cambios. Si todo se hizo de manera correcta entonces al reiniciar el
servidor se deberá identificar la cantidad de usuarios y los puertos disponibles
para realizar la comunicación, como se muestra en la imagen.
.
~ 83 ~
Configuración del ruteador
Paso 1: Primero se accesa al modo privilegiado y se restablece la configuración
de ambos ruteadores y de los switches con el siguiente comando.
R1#erase startup-config
Paso 2: Después de levantar todas las interfaces seriales y Ethernet de ambos
ruteadores, hacer las conexiones pertinentes y las configuraciones básicas;
entonces se procederá a configurar la autenticación AAA.
Establecer la contraseña “enable secret” como cisco, para generar niveles de
seguridad locales.
R1(config)#enable secret cisco
Paso 3: Configurar un usuario local como respaldo para acceder al ruteador en
caso de emergencia, el usuario se llamará Admin y su secret password será
adminpassword. En dado caso que el servidor RADIUS no responda se podrá
accesar al sistema con éste usuario inclusive de manera remota si está activado
el modo de terminal virtual vty.
R1(config)# username Admin password adminpassword
Paso 4: Configurar la autenticación AAA para el acceso a la consola en R1,
todo esto para poder usar RADIUS, configurando la línea de consola.
R1(config)# aaa new-model
R1(config)# aaa authentication login CONSOLA group radius local
R1(config)# line console 0
R1(config-line)# login authentication CONSOLA
Paso 5: Si se quisiera accesar al ruteador de forma remota no se podría llevar a
cabo con autenticación RADIUS sino únicamente con el usuario de respaldo
que se creo en el paso 2 que fue Admin y su contraseña adminpassword, éste
procedimiento es muy útil cuando un servidor es hackeado ó simplemente está
“caído”. Para poder accesar al ruteador de forma remota se debe habilitar la
conexión por las terminales VTYS usando autenticación RADIUS se deben
habilitar las terminales virtuales aplicando los siguientes comandos.
R1(config)# aaa new-model
R1(config)# aaa authentication login VTYS group radius local
R1(config)# line vty 0 4
R1(config-line)# login authentication VTYS
~ 84 ~
Paso 6: Configurar la autenticación de usuario en el login vía RADIUS, y si en
su defecto el servidor no está accesible, el ruteador usará las credenciales de
acceso local.
R1(config)# aaa authentication login default group radius local
Paso 7: Configurar la parte de RADIUS en el ruteador, asignando la dirección
IP del servidor RADIUS.
R1(config)# radius-server host 192.168.1.2
Paso 8: Configurar la clave secreta (secret key) como radiuspassword.
R1(config)# radius-server key radiuspassword
Paso 9: Configurar el puerto de acceso y autenticación por default que es el
1812 por UDP, esto último es porque el software WinRadius transmite y recibe
por los puertos 1812 y 1813 (tal como en el estándar del protocolo RADIUS) y
los ruteadores Cisco lo hacen por los puertos 1645 y 1646, por lo tanto hay que
forzar al ruteador que lo haga por el puerto 1812; aunque los adaptadores
genéricos lo hacen por los 4 puertos.
R1(config)# radius-server host 192.168.1.2 auth-port 1812 acct-port 1813
Paso 10: Hasta éste paso del procedimiento se debe poder acceder al ruteador
de forma local por medio del puerto de consola usando la autenticación
RADIUS con los usuarios de radius01 y radius02 con sus respectivos
passwords radpass01 y radpass02. Verificar la autenticación AAA con RADIUS
local y remota:
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: radius01
Password: radpass01
R1>
~ 85 ~
Paso 11: Desconectar el servidor RADIUS de la red y verificar la autenticación
AAA remotamente usando telnet y localmente desde la consola:
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin
Password: adminpassword
R1>
Paso 12: Dar de alta el ruteo estático en R1 y R2 para que ambas redes
puedan verse entre sí; además de no olvidar sincronizar la interface de reloj en
R2.
R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config-if)#clock rate 56000
~ 86 ~
Pruebas finales de funcionalidad
Una vez hechas las conexiones correspondientes, y las configuraciones en
ambos ruteadores. Ya teniendo el servidor RADIUS plenamente operativo
entonces es hora de hacer las pruebas pertinentes.
Paso 1: Abrir una conexión de HiperTerminal para tener acceso al ruteador, por
medio del protocolo TCP/IP por el puerto 23, es decir se hará un telnet al
ruteador de manera local, y sin el cable de consola conectado, la conexión se
configura como se muestra en la siguiente imagen.
Paso 2: Ya ejecutándose plenamente el servidor RADIUS en la computadora
cuya dirección IP es 192.168.1.2, entonces se va hacia la HiperTerminal y se
abre la conexión, tratándose de autenticar con un usuario que no esté en la
base de datos del servidor RADIUS, e introduciendo otro password diferente
que tampoco se encuentre alojado en la base de datos. La respuesta del
servidor RADIUS deberá ser negativa; mostrando un usuario no identificado y
fallando en la autenticación de dicho usuario, también una serie de detalles de
la conexión, como por ejemplo la IP desde la cual se está haciendo la conexión,
que sería la 192.168.1.2; y la IP a la cual se quiere acceder en éste caso el
~ 87 ~
puerto FastEthernet del ruteador que sería la 192.168.1.1, el tipo de acceso, y
la conexión fallida tal y como se muestra en la siguiente imagen.
Paso 3: Realizar las mismas pruebas pero con un usuario válido y existente
como radius01 cuyo password es radpass01, como se muestra a continuación.
~ 88 ~
En la siguiente imagen se puede apreciar, cómo la autenticación y el acceso se
realizaron de forma correcta con el usuario radius01 y el password radpass01,
como se muestra en la siguiente imagen.
Paso 4: Realizar las mismas pruebas que en el paso 3 pero desde otra estación
de trabajo del mismo segmento de red es decir la RED_1 ó desde el otro
segmento es decir la RED_2, y el resultado deberá ser similar al de la figura.
~ 89 ~
Preguntas de retroalimentación
1) ¿Qué puertos para la autenticación y accounting utiliza RADIUS?
________________________________________________________________
________________________________________________________________
2) ¿Qué pasaría si se desconecta el servidor Radius de la red? Explica tus
conclusiones
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
3) Introduce los siguientes comandos
R1(config)#radius-server retransmit 3
R1(config)#radius-server timeout 5
R1(config)#radius-server deadtime 2
a) ¿Para qué sirve el comando radius-server retransmit 3?
________________________________________________________________
________________________________________________________________
b) ¿Qué significa el comando radius-server timeout 5?
________________________________________________________________
________________________________________________________________
c) ¿Qué efecto tiene el comando radius-server deadtime 2 en la conexión del
router?
________________________________________________________________
________________________________________________________________
~ 90 ~
4) Con tus propias palabras explica...¿Qué haría el siguiente comando:
R1(config)#radius-server host 172.29.39.46 auth-port 1612 acct-port 1616
timeout 6 retransmit 5 key rad123?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
5) Por último explica... ¿Qué hace el comando: R1(config)#aaa authorization
exec radius?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
~ 91 ~
4.2 ANÁLISIS DE RIESGO
Para cubrir el contenido de éste aspecto importante de análisis de riesgo
se procedió a realizar una tabla de Análisis y Mitigación de Riesgos.
RIESGO
FECHA DE
RESPONSABLE
IDENTIFICACION
ACCIONES DE
MITIGACION
No encontrar algún software
para administrar servidores
RADIUS bajo ambiente
Windows
No ocurrido
Lider del Proyecto
Las laptops no tienen puerto
serial ó DB-9 para configurar
el ruteador
25/02/2011
Comprar un cable
Lider del Proyecto conversor de serial ó DB-9
a USB
No se cuenta con el equipo
necesario para realizar las
pruebas
02/03/2011
La UTEQ proporcionó
acceso a los laboratorios
Lider del Proyecto
de redes y
telecomunicaciones
Retrasos en la renta del
equipo para hacer las
pruebas
15/03/2011
Encargado de Llegar 15 minutos antes
laboratorio UTEQ para presionar al personal
Cierre de laboratorios por
razones de fumigación sin
previo aviso
18/03/2011
Encargado de Acudir otro día a realizar
laboratorio UTEQ las pruebas
Cambio de fechas
programadas para realizar las
pruebas
22/03/2011
Profesores UTEQ
Acudir otro día a realizar
las pruebas
Que la versión del IOS de los
ruteadores no soportara la
autenticación por medio de
RADIUS
No ocurrido
Lider del Proyecto
Cambiar de modelo de
ruteador
Buscar alternativas bajo
Linux como FreeRadius
Tabla 4.1
~ 92 ~
CAPÍTULO V
~ 93 ~
5.1 CONCLUSIONES
El desarrollo del presente proyecto sienta las bases para el montaje de
un servidor de seguridad que utilice autenticación RADIUS para tener una
gestión de seguridad empresarial total y completamente operativa.
En lo personal fue un trabajo arduo, ya que fue difícil buscar, encontrar y
plantear la mejor solución para la elección del software que manejara RADIUS,
pero con paciencia y dedicación se trató de sacar éste proyecto adelante lo
mejor posible.
La infraestructura de seguridad tiene el objetivo de brindar un servicio de
mayor calidad en las redes de cómputo y telefonía, que ayuda a las actividades
académicas y administrativas de cualquier empresa u organismo, mediante el
uso de redes y sistemas de la más avanzada tecnología, que garanticen niveles
altos de eficiencia, disponibilidad, flexibilidad, compatibilidad y confiabilidad en
la operación, mantenimiento y administración de ambas redes.
En los últimos años, las redes han evolucionado drásticamente, en temas
de seguridad, control de las aplicaciones en la red, calidad de servicio,
convergencia y mayor ancho de banda. Esto ha abierto nuevas opciones para
ofrecer más y mejores servicios a los usuarios y ha brindado una mayor
reducción de costos y alta flexibilidad y facilidad de implementación.
Por las razones anteriores, el autor de éste proyecto busca en el
desarrollo de prácticas modulares obtener soluciones tecnológicas que basen
su desarrollo en los conceptos anteriores y que por supuesto, brinden la mejor
relación costo-beneficio y protección de la inversión, así como valores
agregados que permitan aprovechar al máximo todas las capacidades de la red
y del personal que soporta su administración, todo esto unido a la misión de la
UTEQ que es la investigación de excelencia y la formación de recursos
humanos altamente capacitados.
5.2 REFERENCIAS BIBLIOGRÁFICAS
~ 94 ~
MATERIAL DE CONSULTA LIBROS
Fernandez Hansen, Yago (2008).
RADIUS/AAA/802.1X Sistemas basados en la autenticación para
Windows y Linux
México: RA-MA Editorial
Cisco Systems Inc. (2009).
Fundamentos De Seguridad En Redes
España: Pearson Education Editorial
Cisco Systems Inc. (2005).
Prácticas de laboratorio CCNA 3 y 4
E.U.A: Pearson Alhambra Editorial
Areitio, Javier (2008).
Seguridad de la Información
España: Paraninfo Editorial
Chapman, David W. (2002)
Firewalls PIX de Cisco Secure
E.U.A: Pearson Alhambra Editorial
Ariganello, Ernesto; Barrientos, Enrrique (2010)
Redes Cisco CCNP a fondo
México: AlgaOmega Grupo Editor
ARTICULOS
~ 95 ~
© 2009 - 2010 Cisco Systems, Inc. (2008, Enero). TACACS+ and
RADIUS Comparison [en línea]. No. 1
Disponible en:
Sitio de Red versión PDF:
http://www.cisco.com/application/pdf/paws/13838/10.pdf
[2011,
03
Marzo]
Sitio de Red:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00
80094e99.shtml#comp_devi [2011, 03 Marzo]
© 2009 - 2010 Cisco Systems, Inc. (2010, Abril). Configuring Timeout,
Retransmission, and Key Values per RADIUS Server [en línea]. No. 1
Disponible en:
Sitio de Red versión PDF:
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/radtimo
u.pdf [2011, 30 Marzo]
Sitio de Red:
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/radtimo
u.html [2011, 30 Marzo]
© 2009 - 2010 Cisco Systems, Inc. (2011, Enero). Configuring RADIUS
[en línea]. No. 1
Disponible en:
Sitio de Red versión PDF:
http://www.cisco.com/en/US/docs/ios/12_0/security/configuration/guide/s
crad.pdf [2011, 05 Abril]
Sitio de Red:
http://www.cisco.com/en/US/docs/ios/12_0/security/configuration/guide/s
crad.html#wp4887 [2011, 05 Abril]
Barrios Dueñas, Joel (2008, Enero). Configuración básica de Freeradius
con soporte de LDAP [en línea]. No. 1
Disponible en:
http://www.alcancelibre.org/staticpages/index.php/como-freeradiusbasico.html [2011, 22 Febrero]
Valdés Jimenez, Alejandro (2006, Noviembre). FreeRADIUS + WPA +
EAP + TLS [en línea]. No. 4
Disponible en:
http://deb.utalca.cl/public/imagenes/radius.pdf [2011, 24 Febrero]
~ 96 ~
García, Stiven (2006, Junio). FreeRADIUS + WPA + EAP + TLS [en
línea]. No. 1
Disponible en:
http://proyectoaaa.blogspot.com/2008/06/radius-en-windows.html [2011,
25 Marzo]
CORREOS ELECTRONICOS RECIBIDOS
Joel Barrios Dueñas (darkshram@gmail.com)
(2011, 25 de Febrero). Como funciona WinRadius
Correo electrónico enviado a: Antonio Rico (antonio.rico@uteq.edu.mx)
Alejandro Valdés Jimenez (avaldes@utalca.cl)
(2011, 27 de Febrero) Configuración de RADIUS en Cisco
Correo electrónico enviado a: Antonio Rico (antonio.rico@uteq.edu.mx)
VIDEOS CONSULTADOS
© 2009 - 2010 Cisco Systems, Inc. (2010)
How to Install and Configure WinRadius [Película en línea]
E.U.A: Cisco Systems Inc.
Disponible en:
http://www.youtube.com/watch?v=wX-5whfP490
VIDEOS REALIZADOS
Rico Rodríguez, Antonio Javier. (2011)
Instalación de un Servidor RADIUS [Película en línea]
México: Antonio Rico
Disponible en:
http://www.megavideo.com/?v=M1VTW94R
DESCARGA DE SOFTWARE
WinRadius
http://www.filecluster.es/programas/WinRadius-103509.html
http://www.soft32.com/download_5732.html
http://winradius.gooofull.com/es/descarga_gratis
5.3 GLOSARIO
~ 97 ~
AAA: Acrónimo que en inglés significa: autenticación (Authentication),
autorización (Authorization) y anotación (Accounting).
ARA: Protocolo de Acceso Remoto AppleTalk es un protocolo que brinda a los
usuarios de Macintosh acceso directo a la información y a los recursos de un
sitio remoto AppleTalk.
Authentication: Proceso de validación de usuario.
Authorization: Proceso de asignación de privilegios a los usuarios.
Accounting: Proceso de registro de acciones de los usuarios.
Cablemódem: Tipo especial de módem diseñado para modular la señal de
datos sobre una infraestructura de televisión por cable. El término Internet por
cable (o simplemente cable) se refiere a la distribución de un servicio de
conectividad a Internet sobre esta infraestructura de telecomunicaciones.
Cisco: Cisco Systems es una empresa multinacional con sede en San Jose
(California, Estados Unidos), principalmente dedicada a la fabricación, venta,
mantenimiento y consultoría de equipos de telecomunicaciones tales como:
dispositivos de conexión para redes informáticas: routers (enrutadores,
encaminadores
o
ruteadores),
(concentradores);dispositivos
de
switches
seguridad
(conmutadores)
como
y
hubs
Cortafuegos
y
Concentradores para VPN;productos de telefonía IP como teléfonos y el
CallManager (una PBX IP);software de gestión de red como CiscoWorks, y
equipos para redes de área de almacenamiento.
~ 98 ~
Cliente: También conocido como NAS (Network Access Server). Es el
encargado de establecer la negociación con el Servidor, siendo normalmente un
router, firewall, switch…
CHAP: Es un protocolo de autenticación por desafío mutuo (CHAP, en inglés:
Challenge Handshake Authentication Protocol).Es un método de autentificación
remota o inalámbrica. Diversos proveedores de servicios emplean CHAP. Por
ejemplo, para autentificar a un usuario frente a un ISP.
EAP: Extensible Authentication Protocol (EAP) es una autenticación framework
usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el
protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para
autenticación en redes cableadas, es más frecuentemente su uso en las
primeras. Recientemente los estándares WPA y WPA2 han adoptado cinco
tipos de EAP como sus mecanismos oficiales de autenticación.
DSL: Digital Subscriber Line, "línea de suscripción digital",
es un término
utilizado para referirse de forma global a todas las tecnologías que proveen una
conexión digital sobre línea de abonado de la red telefónica básica o
conmutada: ADSL, ADSL2, ADSL2+, SDSL, IDSL, HDSL, SHDSL, VDSL y
VDSL2.
Ethernet: Ethernet es un estándar de redes de computadoras de área local con
acceso al medio por contienda CSMA/CD ("Acceso Múltiple por Detección de
Portadora con Detección de Colisiones"), es una técnica usada en redes
Ethernet para mejorar sus prestaciones. El nombre viene del concepto físico de
ether.
~ 99 ~
ISP: Un proveedor de servicios de Internet (o ISP, por la sigla en inglés de
Internet Service Provider) es una empresa que brinda conexión a Internet a sus
clientes. Un ISP conecta a sus usuarios a Internet a través de diferentes
tecnologías como DSL, Cablemódem, GSM, Dial-up, Wifi, entre otros. Muchos
ISP también ofrecen servicios relacionados con Internet, como el correo
electrónico, alojamiento web, registro de dominios, servidores de noticias, etc.
Kerberos: Es un protocolo de autenticación de redes de ordenador que permite
a dos computadores en una red insegura demostrar su identidad mutuamente
de manera segura. Sus diseñadores se concentraron primeramente en un
modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como
servidor verifican la identidad uno del otro. Los mensajes de autenticación están
protegidos para evitar eavesdropping y ataques de Replay.
NAS: Servidor de Acceso a la Red (Network Access Server, por sus siglas en
inglés) es un punto de entrada que permite a los usuarios o clientes acceder a
una red.
NetBIOS: Network Basic Input/Output System, es, en sentido estricto, una
especificación de interfaz para acceso a servicios de red, es decir, una capa de
software desarrollado para enlazar un sistema operativo de red con hardware
específico. NetBIOS fue originalmente desarrollado por IBM y Sytek como
API/APIS para el software cliente de recursos de una Red de área local (LAN).
Desde su creación, NetBIOS se ha convertido en el fundamento de muchas
otras aplicaciones de red.
ODBC: Open DataBase Connectivity (ODBC) es un estándar de acceso a
Bases de datos desarrollado por SQL Access Group en 1992, el objetivo de
ODBC es hacer posible el acceder a cualquier dato desde cualquier aplicación,
~ 100 ~
sin importar qué Sistema Gestor de Bases de Datos (DBMS por sus siglas en
inglés) almacene los datos, ODBC logra esto al insertar una capa intermedia (
CLI) denominada nivel de Interfaz de Cliente SQL, entre la aplicación y el
DBMS, el propósito de esta capa es traducir las consultas de datos de la
aplicación en comandos que el DBMS entienda.
PAP: Password Authentication Protocol un protocolo simple de autenticación
para autenticar un usuario contra un servidor de acceso remoto o contra un
proveedor de servicios de internet. PAP es un subprotocolo usado por la
autenticación del protocolo PPP (Point to Point Protocol), validando a un usuario
que accede a ciertos recursos. PAP transmite contraseñas o passwords en
ASCII sin cifrar, por lo que se considera inseguro. PAP se usa como último
recurso cuando el servidor de acceso remoto no soporta un protocolo de
autenticación más fuerte.
PPP: Protocolo punto a punto, es un protocolo de nivel de enlace estandarizado
en el documento RFC 1661. Por tanto, se trata de un protocolo asociado a la
pila TCP/IP de uso en Internet. Más conocido por su acrónimo: PPP.
RADIUS (Remote Authentication Dial-In User Service): Protocolo de
comunicación cliente/servidor basado en UDP.
Radius Hostname: Nombre DNS para el servidor radius.
SNMP: El Protocolo Simple de Administración de Red o SNMP es un protocolo
de la capa de aplicación que facilita el intercambio de información de
administración entre dispositivos de red. Es parte de la familia de protocolos
TCP/IP. SNMP permite a los administradores supervisar el funcionamiento de la
red, buscar y resolver sus problemas, y planear su crecimiento.
~ 101 ~
Servidor: Servidor RADIUS o TACACS donde se autentica a los usuarios.
TCP/IP: Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP),
que fueron los dos primeros en definirse, y que son los más utilizados de la
familia. Existen tantos protocolos en este conjunto que llegan a ser más de 100
diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer
Protocol), que es el que se utiliza para acceder a las páginas web, además de
otros como el ARP (Address Resolution Protocol) para la resolución de
direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el
SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para
correo electrónico, TELNET para acceder a equipos remotos, entre otros.
UDP: User Datagram Protocol (UDP) es un protocolo del nivel de transporte
basado en el intercambio de datagramas (Paquete de datos). Permite el envío
de datagramas a través de la red sin que se haya establecido previamente una
conexión, ya que el propio datagrama incorpora suficiente información de
direccionamiento en su cabecera.
UNIX: Es un sistema operativo portable, multitarea y multiusuario; desarrollado,
en principio, en 1969 por un grupo de empleados de los laboratorios Bell de
AT&T, entre los que figuran Ken Thompson, Dennis Ritchie y Douglas
McIlroy.[1] [2]
Wi-Fi: Del inglés “Wireless Fidelity” ó fidelidad inalambrica es una marca de la
Wi-Fi Alliance (anteriormente la WECA: Wireless Ethernet Compatibility
Alliance), la organización comercial que adopta, prueba y certifica que los
equipos cumplen los estándares 802.11 relacionados a redes inalámbricas de
área local.
~ 102 ~
Descargar