CURSO EPN-VIRTUAL: Protocolo TCP/IP sobre Linux

PROYECTO:

AUTENTIFICACION DHCP DE REDES LAN Y WLAN DE LA
EMPRESA IATEC A TRAVS DEL PROTOCOLO RADIUS EN
CENTOS

REALIZADO POR:
ING. PAUL FERNANDO PULLA MERCHAN

PROFESOR:
MGTR. RICARDO ORTEGA

FECHA:
20 DE JULIO DE 2014

CUENCA - ECUADOR

1

NDICE

1. OBJETIVOS .............................................................................................................................. 2
2. BENEFICIOS ............................................................................................................................. 2
3. APORTES/ALCANCE .............................................................................................................. 2
4. INTRODUCCIN ...................................................................................................................... 3
5. MARCO TERICO ................................................................................................................... 4
Entendiendo la autenticacin basada en puerto 802.1X ........................................................ 5
6. PARTE EXPERIMENTAL ........................................................................................................ 6
I. MATERIALES Y MTODOS .............................................................................................. 6
II. PAQUETES LINUX .............................................................................................................. 7
III. PROCEDIMIENTO Y RESULTADOS ........................................................................... 7
IV. ANLISIS Y RECOMENDACIONES ........................................................................... 26
7. CONCLUSIONES ................................................................................................................... 27
8. REFERENCIAS BIBLIOGRAFICAS .................................................................................... 28



















2





1. OBJETIVOS

Implementar un servidor DHCP bajo un sistema operativo Centos
6.4.

Implementar un servidor RADIUS bajo un sistema operativo Centos
6.4.

Crear una base de datos en mysql para que los usuarios obtengan
credenciales

Configurar el Access Point y Switch para que funcionen como
clientes autentificadores del servidor RADIUS.

Configurar los equipos clientes para que puedan acceder al servidor
RADIUS con sus respectivas credenciales.

2. BENEFICIOS

Los principales beneficiarios son las visitas, empleados, personal y la
empresa misma, ya que mediante este mtodo la empresa IATEC
contara con un acceso LAN y WLAN ms seguros hacia su red y la
nube. Permitiendo un acceso con asignacin de direcciones IP
automticamente, tener usuarios exclusivos para visitas, etc.

3. APORTES/ALCANCE

La integracin de servicios como DHCP, RADIUS y adicional Firewall
para una red LAN y WLAN es un aporte bastante interesante en el
mbito de conocimiento e implementacin tecnolgica a nivel de la
empresa en la cual ser implementado y podra ser replicado en
pequeas, medianas y grandes empresas, teniendo actualmente un
alcance local particular con posibilidad de ampliacin de su
aplicabilidad.
3

4. INTRODUCCIN

En este proyecto se realiz la implementacin de un servicio de autentificacin
llamado RADIUS, es un protocolo empleado ampliamente usado en el ambiente
de redes, para dispositivos tales como routers, servidores y switches entre otros,
en este proyecto se realiz la respectiva configuracin para el acceso y
denegacin de servicios en una red WLAN de la cual se hizo uso de una solucin
en particular de cdigo abierto denominada FREERADIUS la cual fue instalada
bajo un servidor Centos 6.4, as como tambin el uso de msql en este mismo
servidor para la administracin de base datos de los usuarios de la red.
Adicional cabe recalcar que la asignacin IP a los clientes ser mediante un
servidor DHCP que tendr la funcin de asignacin de direcciones a los usuarios
y equipos clientes, adicional se vio necesario colocar un Firewall al lmite de la red,
la conexin a la red y a la nube ser mediante LAN y WLAN esto gracias a un
switch y Access point que figuraran como autentificadores.
Desde los inicios de esta tecnologa, muchas recomendaciones se han generado
para dotar a las redes inalmbricas de un nivel de seguridad adecuado.
Inicialmente, algunas de estas recomendaciones solo pusieron en evidencia ms
riesgos, la cual esto gener confusin y desconfianza, pero posteriormente y con
base en iniciativas ms serias al momento de valorar el riesgo asociado a esta
tecnologa, se han venido diseando y estableciendo de otros mecanismos que
realmente permiten mejorar el nivel de seguridad en las redes inalmbricas, en
este caso la implementacin de RADIUS, que a su vez tendr 2 clientes muy
importantes, que sern el switch y el acces point, estos dispositivos trabajaran
como cliente ya que sern los que intervengan en parte de la autentificacin, es
decir funcionaran como si fueran un proxy.






4

5. MARCO TERICO
Para la implementacin correcta de este proyecto se quera acumular ciertos
conceptos e informacin que se presenta en breve, los principales conceptos que
vimos con el transcurso de este proyecto fueron documentos relacionados con la
implementacin de mecanismos de seguridad para el control de acceso en redes
cableadas e inalmbricas.
Primeramente, Qu es RADIUS?
Es un protocolo de autentificacin que nos permite manejar o gestionar la
autentificacin, autorizacin y registro de los usuarios, esto tambin se conoce
como AAA (authentication, authorization, and accounting), a continuacin los
conceptos precisos en cuanto a este protocolo.

Control de acceso
El control de acceso, en sistemas de informacin, se encarga de controlar la
interaccin de un elemento activo, que vienen a ser los usuarios, dispositivos y
servicios, este implica procedimientos de identificacin, autentificacin y
autorizacin para permitir o denegar el acceso a la red.
Autentificacin
Este proceso valida la identidad de quien accede o provee un servicio mediante la
verificacin de credenciales ya sea de certificados digitales, los protocoles de
autentificacin pueden ser:
PAP
CHAP
EAP
Autorizacin
Establece que el usuario puede o no hacer una vez haya sido identificado y
autentificado, un ejemplo claro puede ser las limitaciones de tiempo en el servicio.
5


Entendiendo la autenticacin basada en puerto 802.1X
802.1X es un estndar del IEEE para realizar control de acceso a una red, se
define la autenticacin basada en el puerto 802.1X como un control de acceso
basado en cliente-servidor y el protocolo de autenticacin que restringe los
clientes no autorizados se conecten a una LAN a travs de puertos de acceso
pblico. Un servidor de autenticacin valida cada solicitante o cliente conectado a
un autenticador puerto antes de poner a disposicin de cualquiera de los servicios
ofrecidos por el interruptor o la LAN, este concepto fue clave para la
implementacin correcta de la red cableada, ya que se entendi que en este caso
el switch cisco trabajara como un cliente ms la cual sera usado como un filtro
para la red.


















6

6. PARTE EXPERIMENTAL
I. MATERIALES Y MTODOS

Vmware workstation 9
La utilizacin de este programa fue necesaria para simular el
servidor RADIUS y clientes.


Access point tl-WA901ND DE TP LINK
Dispositivo que trabajo como cliente en el proyecto.

Cable de consola
Fue necesaria la configuracin del switch, por lo que se requera la utilizacin de es
medio.

Cable UTP cat 6
En este caso solo se necesit cables directos, para la
implementacin.


Switch cisco catalyst 3560 24 puertos
Dispositivo que tambin fue cliente
del servidor radius para el acceso de
LANs.



7

II. PAQUETES LINUX
Para la implementacin de este proyecto, se usaran algunos paquetes Linux en los servidores, los
mismos que son:
DHCP
SELINUX
FREERADIUS
FREERADIUS-MYSQL
III. PROCEDIMIENTO Y RESULTADOS

Los siguientes procedimientos y resultados que se obtuvieron fueron en base a
todo lo implementado en un SO Centos 6.4 x86. Tener en cuenta que se han
creado tres servidores con SO Centos, la primera funcionando exclusivamente
como Servidor RADIUS, la segunda funcionando como servidor Firewall y la
tercera funcionando como un Router segn la siguiente topologa.

8

Se asumir que ya se cuenta con el Sistema Operativo CentOS instalado, por lo
que se centrar en la implementacin de los servicios en cada Sistema Operativo.
As mismo tambin se detallaran los pasos de configuraciones en las otras
herramienta utilizadas para que el servidor RADIUS funcione correctamente.
Los pasos para la implementacin son los siguientes (se incluyen imgenes de
resultado):

IMPLEMENTANDO UN ROUTER:
Para que un CentOS pueda actuar como router, es necesario tener en cuenta tres
caractersticas para este Sistema:
1. Tener el firewall desactivado ya que su uso es exclusivamente como
enrutador.
2. Cambiar el selinux de enforcing a disabled.
3. Poseer dos tarjetas de Red.
4. Configuraciones manuales en cada una de ellas.
5. Activar el bit de forwardeo.

DESACTIVANDO EL FIREWALL DEL SISTEMA:

Imagen 01: Desactivacin del firewall y configuracin para que siempre inicie desactivado.
CONFIGURANDO EL SELINUX:

Imagen 02: Abriendo el archivo de configuracin del SELINUX.
9


Imagen 03: Cambiando el parmetro de activacin del SELINUX.

AGREGANDO UNA NUEVA TARJETA DE RED:
Para este paso es necesario que el equipo (mquina virtual) se encuentre
apagado.

Imagen 03: Agregando nueva tarjeta de red (paso I).
10


Imagen 04: Agregando nueva tarjeta de red (Paso II).
11


Imagen 05: Agregando una nueva tarjeta de red (Paso III).

CONFIGURANDO LOS PARMETROS DE RED (ROUTER):
Para este paso es necesario haber ya cumplido en agregar una nueva tarjeta de
red y que el sistema se encuentre ya encendido.

Imagen 06: Comprobando la existencia de la nueva tarjeta de red.

Imagen 07: Ubicndonos, configurando y copiando el archivo de configuracin de red.
12

Existen dos tarjetas de red identificados por eth0 y eth1. Cada uno debe de poseer sus
propios parmetros de red como lo muestra la siguiente figura.

Imagen 08: Parmetros de red para la interfaz eth0 el cual tendr conexin directa con la red externa.

Imagen 09: Parmetros de red para la interfaz eth1 el cual tendr conexin con la LAN interna.

Imagen 10: Reiniciando los servicios de red.

Imagen 11: Comprobando la configuracin con el comando ifconfig | less.
13

ACTIVANDO EL BIT DE FORWARDEO EN EL ROUTER:

Imagen 12: Ingresando al archivo de configuracin.

Imagen 13: Estableciendo el nuevo valor de forwardeo.

IMPLEMENTANDO UN SERVIDOR RADIUS:
Los pasos a mostrar a continuacin se realizarn en el equipo (en este caso
mquina virtual) que funcionar como Servidor RADIUS.

Imagen 14: Agregando la IP nombre de nuestro equipo en el archivo /etc/hosts. Tener en cuenta que el
nombre ingresado para este caso es referencial.

Imagen 14: Descargando los paquetes necesarios.

Imagen 15: Iniciamos el servicio de MYSQL en el sistema.
14


Imagen 16: Ingresamos como usuario root a la administracin de MYSQL. Por defecto, el usuario root de
MYSQL, luego de la instalacin, no tiene establecido una contrasea.


Imagen 17: Creando una nueva Base de Datos con el nombre radius y estableciendo todos los permisos para
el usuario radius quien ser quien administre la Base de Datos.

Imagen 18: Ingresando ahora como usuario radius para agregar el esquema por defecto de freeradius.

Imagen 19: Agregando el esquema que por defecto establece freeradius.
15


Imagen 20: Agregamos un usuario de prueba en la tabla radheck que es el lugar en donde se establecen los
usuarios que podrn loguearse en el servidor.

Imagen 21: Configurando los parmetros en el archivo /etc/raddb/sql.conf. Las lneas importantes son:
server->generalmente localhost / login->administrador de la BD radius / password->pass del usuario /
radius_db-> Nombre de la Base de datos
Tener en cuenta que las configuraciones mostradas son slo referenciales, configurarla de acuerdo a su
conveniencia.
16


Imagen 22: Configurando el archivo /etc/raddb/radius.conf. Aqu se debe de descomentar la lnea mostrada
en la figura.


Imagen 23: Configurando el archivo /etc/raddb/clients.conf.

Imagen 24: Iniciando los servicios de freeradius con el comando radiusd X.
17


Imagen 25: Probando la configuracin del servidor haciendo una autentificacin local.

Luego simplemente instalamos el servicio DHCP que es el que servir para dar
dinmicamente las direcciones IP, esto lo podramos realizar mediante un equipo
router sin embargo en este caso lo haremos en un servidor y este dar acceso al
switch y al AP.

Procedemos con la instalacin mediante:

# yum -y install dhcp

Al terminar de instalar DHCP, lo que primero debemos hacer es indicar que
interfaz utilizar el servicio, para esto modificamos:

# nano /etc/sysconfig/dhcpd

y escribimos

DHCPDARGS=eth1

As indicamos que eth1 ser el encargado de entregar dhcp.
Ahora haremos un respaldo de nuestra configuracin por defecto.

# cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.original

As en caso que tengamos cualquier inconveniente, podemos volver a su estado.
Ya con esto listo, lo mejor es copiar la configuracin de ejemplo que nos brindan.

# cp cp /usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample

Nos preguntar si sobre-escribimos, a lo que respondemos que s. Deben tener en
cuenta que en la parte de /dhcp-4.1.1/ puede cambiar, ya que los nmeros
corresponden a la versin instalada.

Una vez hecho todo esto, entramos a configurar DHCP, abrimos el fichero
18

/etc/dhcp/dhcpd.conf con su editor favorito, en mi caso trabajar con nano.

# nano /etc/dhcp/dhcpd.conf

Vern muchas configuraciones, pero como se detalla a continuacin solo deben
fijarse en dejar lo siguiente:

# dhcpd.conf
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
authoritative;
log-facility local7;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.200 192.168.1.250;
option routers 192.168.1.105;
option domain-name-servers 8.8.8.8,8.8.4.4;
option domain-name "ServerDeConexion";
option broadcast-address 192.168.1.255;
option subnet-mask 255.255.255.0;
}
host vmlmde{
hardware ethernet 08:00:27:e5:7e:e6;
fixed-address 192.168.1.245;
}
Subnet es el segmento de red como nuestra interfaz es 192.168.1.105, el
segmento es 192.168.1.0, y obviamente la mscara antes indicada
range: es el rango de ip que entregada, en este caso indicamos que de la
200 a la 250.
option routers: IP del router, en este caso, indicamos la del mismo servidor.
option domain-name-server: Servidores DNS, ocupe los de Google, para
separar ocupar coma (,).
option domain-name: nombre del servidor
option broadcast-address: Direccin IP del broadcast.
Option subnet-mask: Direccin de la mscara de red.
Ya con esto deberamos estar entregando dinmicamente IP's, aunque es muy
buena opcin que adems de asignar una IP dinmica. Indiquemos que un equipo
tenga una IP esttica dentro del rango que indicamos, por ejemplo, si tenemos
otra especie de servidor, vamos a querer que su ip no sea dinmica, es aqu
donde acta el siguiente bloque:
19

host: indicamos nombre de host, en este caso vmlmde
hardware ethernet: es la direccin mac que tiene el cliente.
Fixed-address: Es la ip que le asignaremos al cliente.

IMPLEMENTANDO UN FIREWALL:
Debido a que el proyecto es centrado directamente a la implementacin de un
servidor RADIUS, hacemos la configuracin de un Firewall simple para que nos
pueda permitir realizar correctamente las pruebas con el servidor RADIUS y los
equipos externos.

En estas 2 imgenes podemos apreciar la configuracin de las 2 interfaces del
servidor firewall.





Al igual que el router en el firewall tambin es necesario configurar el bit de
forwardeo en el router, es decir activndolo.
NOTA: Esto no es recomendable para implementarlo en entornos empresariales.

Imagen 26: Agregando la poltica al firewall para permitir la conexin desde la red 192.168.1.0 a travs del
puerto 1812 y 1813 que son utilizados por el servidor RADIUS.
20

CONFIGURANDO EL ACCESS POINT (AP):
Generalmente, se utiliza RADIUS para establecer las configuraciones de permisos
a conexiones inalmbricas a diferentes usuarios, es decir, cada usuario tendr un
usuario y contrasea para conectarse a la red inalmbrica.
Para este procedimiento se ha hecho uso de un AP de marca y modelo TP-LINK
WA901ND el cual soporta la integracin con un servidor RADIUS.
Este AP tiene la caracterstica de poseer su propio DNS para realizar su
configuracin, por lo que simplemente se conecta y se procede a configurar.

Imagen 27: Agregando un nuevo cliente de autentificacin en el archivo /etc/raddb/clients.conf, este paso es
realizado en el SERVIDOR RADIUS. Luego de hacer esto, resetear el servicio RADIUS con el comando
radiusd X.


Imagen 27: Se realiza la configuracin de la direccin IP del AP. Notal que la IP ingresada aqu, debe ser igual
al que la declarada en el archivo /etc/raddb/clients.conf.
21


Imagen 28: Se procede a realizar la configuracin de Wireless como lo muestra la figura. El SSID puede ser
cualquiera.

Imagen 29: Configuracin de la seguridad del Wireless. Se debe de activar la opcin de WPA/WPA2
Enterprise para que el AP se asocie con el Servidor RADIUS. Respetar las configuraciones
mostradas en la figura. Notar que se debe de ingresar la direccin IP del servidor RADIUS, el puerto
y la contrasea que es el mismo declarado en la seccin secret del nuevo cliente en el archivo
/etc/raddb/clients.conf.



22

CONFIGURANDO EL SWITCH DE AUTENTIFICACIN:
Debido a que Freeradius utilizar el protocolo 802.1X, este puede ser implementado
tambin junto a un Switch que soporte este protocolo, por lo cual se ha elegido el
Switch Cisco 3560 para que pueda trabajar como cliente de autentificacin del
servidor RADIUS.
Para configurar el switch, es necesario utilizar los siguientes comandos:
Entramos en modo usuario privilegiado al switch.
1. Switch(config)#interface vlan1
2. Switch(config-if)#ip address 192.168.1.250 255.255.255.0
3. Switch(config)# ip routing
4. Switch(config)# aaa new-model
5. Switch(config)# username admin secret MyPassword
6. Switch(config)# radius-server host 192.168.1.100 auth-port 1812 acct-port 1813
key
MyRadiusKey
7. Switch(config)# aaa authentication dot1x default group radius
8. Switch(config)# dot1x system-auth-control
9. Switch(config)# interface range fa0/1-24
10. Switch(config-if)# switchport mode access
11. Switch(config-if)# dot1x port-control auto
Tener en cuenta que los datos remarcados en amarillo, son los que se deben
configurar de acuerdo a las circunstancias del servidor (IP, Tipo de interfaz, etc.).
Luego de establecer las configuraciones en el Switch, se procede a configurar los
clientes de la siguiente manera:

Imagen 30 : Ejecutamos la consola de administracin service.msc y nos dirigimos a la pestaa Estndar
ubicado en la parte inferior de la ventana.

23


Imagen 31: Buscamos de entre la lista, el servicio identificado como Configuracin automtica de redes
cableadas y lo iniciamos.

Imagen 32 : Ya con esto, abrir el panel Centro de redes y recursos compartidos. Nos ubicamos el
conexin cableada y nos dirigimos a sus propiedades (Click Derecho -> Propiedades). No dirigimos a la
pestaa Autenticacin y damos click en el botn Configuracin.
24


Imagen 33 : Dejamos la ventana con las configuraciones similares a como muestra la figura. Damos click en
Configurar.


Imagen 34 : Desmarcamos la casilla que nos aparece en la venta de Propiedades de EAP MSCHAPv2.
Damos a Aceptar en las dos ventanas hasta regresar a la venta de propiedades de la conexin cableada
(Imagen 30).
25



Imagen 35 : Damos click en el botn Configuracin Avanzada y elegimos las opciones como nos muestra
la figura. Luego, dar click en el botn Reemplazar credenciales y escribimos el usuario y contrasea de un
usuario registrado en el servidor.

Imagen 36 : Como ejemplo se inserta el usuario Vasquez.


26

IV. ANLISIS Y RECOMENDACIONES

Muchas prcticas se han establecido como recomendables para minimizar los
riesgos asociados al acceso indebido en redes inalmbricas. Entre las principales
recomendaciones de este tipo se encuentran:
Evitar la difusin del identificador de red o SSID (Service Set Identifier).
Establecer listas de control de acceso por direcciones fsicas o de MAC
(Media Access Control) de los dispositivos que acceden a la red.
Utilizar cifrado en las conexiones inalmbricas.
Segmentar los puntos de acceso inalmbricos en zonas de seguridad
administradas por un firewall.
Establecer redes privadas virtuales o VPNs en las conexiones inalmbricas.
Combinar mecanismo de autenticacin a la red y cifrado de datos.

Una vez se haya decidido la implementacin de un sistema de control de acceso
a la red de datos basado en el estndar 802.1x como lo es mecanismo de
autentificacin RADIUS, se debe determinar cules son los requerimientos de
funcionalidad que se deben suplir as como los requerimientos tcnicos que
implica la implementacin de este tipo de solucin, con lo cual se definir el
diseo y la seleccin del tipo de autenticacin a utilizar.







27

7. CONCLUSIONES

Las redes inalmbricas no tienen por qu ser inseguras si se configuran
adecuadamente, en este caso se logr implementar correctamente la
autentificacin RADIUS en una red local.
Al ejecutar el servidor RADIUS en modo depuracin permite observar toda
la informacin que el cliente RADIUS enva al servidor y la informacin con
la cual el servidor responde a estas peticiones. Gracias a esto se puede
ubicar de forma inmediata problemas que se estn dando con algn
usuario, por ejemplo que no se est asignando un perfil en el cliente
RADIUS debido a que no se configuro el campo service type.
Asimismo para que la red cableada sea autentificada se debe de
configurar el switch para controlar el estado del servidor RADIUS, es decir
el switch se convierte en un autentificador, la cual se configura el parmetro
802.1x por puerto.
Despus de describir el mecanismo utilizado para proteger las redes
inalmbricas y cableadas, se puede percibir que la implementacin de
802.1x en entornos LAN es un componente primordial de las mejores
recomendaciones de seguridad actual y futura.
Al autenticar una red LAN o WLAN se sabe por lo experimentado que se
requiere llenar ciertas credenciales como es el usuario y contrasea, sin
embargo no es el nico mtodo, tambin se puede a travs de certificados
digitales que mucho ms seguro.
A la hora de realizar la implementacin surgen consideraciones igualmente
importantes para el xito de la solucin. De manera general, la
implementacin de este tipo de sistemas requiere un conocimiento
especfico del estndar 802.1x y de tecnologas inalmbricas
seleccionadas.





28

8. REFERENCIAS BIBLIOGRAFICAS


CISCO. (2010). Configuring 802.1X Port-Based Authentication. En cisco, REDES CISCO
CCNP A FONDO (pg. 921). RA-MA EDITORIAL.
Dueas, J. B. (13 de 12 de 2012). Alcance libre. Obtenido de
http://www.alcancelibre.org/staticpages/index.php/como-freeradius-mysql-centos5
Florio, A. (9 de Abril de 2013). Mi CCIE Journey. Obtenido de
http://journey4ccie.com/2013/04/09/lab-wired-802-1x-port-authentication-using-
freeradius/
Keyser, E. (6 de 3 de 2012). wiki.freeRADIUS. Obtenido de
http://wiki.freeradius.org/guide/SQL-HOWTO
SAFERSRV. (2012). Obtenido de http://safesrv.net/about-us/: http://safesrv.net/install-and-
setup-freeradius-on-centos-5/