SEGURIDAD DE LA

INFORMACIN

Empresa: LALA
(Ubicada en carretera Chilapa-Zitlala)

SEGUNDO PARCIAL

Equipo:

Angelica Mnica Nava

Ruby Etzel Lpez Castillo

Jaime Casarrubias Cuajicalco

10 de noviembre de 2017

Contenido
COMPARACIN DE LOS METODOS DE AUTENTICACIN ................................................. 3
Introduccin ....................................................................................................................................... 3
PRERREQUISITOS ......................................................................................................................... 4
Segundo plano de RADIUS ............................................................................................................ 5
Modelo de cliente/servidor .............................................................................................................. 5
Seguridad de redes: ......................................................................................................................... 5
Mecanismo de autenticacin flexible ............................................................................................. 6
Disponibilidad del cdigo del servidor ........................................................................................... 6
Compare TACACS+ y RADIUS ..................................................................................................... 6
UDP y TCP ........................................................................................................................................ 6
Cifrado de Paquetes ........................................................................................................................ 7
Autenticacin y autorizacin ........................................................................................................... 7
Soporte multiprotocolo ..................................................................................................................... 8
Administracin del router................................................................................................................. 8
Interoperabilidad ............................................................................................................................... 8
Trfico................................................................................................................................................. 9
Ejemplo de trfico de TACACS+ .................................................................................................... 9
Ejemplo de Trfico de RADIUS .................................................................................................... 10
Soporte de dispositivo ................................................................................................................... 11
Notas de la tabla ........................................................................................................................... 12
QUE ES RADIUS Y COMO SE PUEDE IMPLEMENTAR? .................................................. 13
NAS................................................................................................................................................... 16
SEGURIDAD EN TECNOLOGAS DE RED INALMBRICA .................................................. 17
Servidor RADIUS para conexiones cableadas o inalmbricas 802.1X.................................. 19
Instalacin y configuracin de los servidores de acceso a la red (clientes RADIUS) . 19
Implementacin de los componentes para los mtodos de autenticacin .................... 21
Configuracin de NPS como servidor RADIUS ................................................................. 22
DESCRIPCIN DE LA IMPLEMENTACIN DE CERTIFICADOS DIGITALES .................. 23
Descripcin de los certificados digitales y la criptografa mediante claves pblicas ........... 23
Descripcin de cmo estn estructurados los certificados digitales ...................................... 24
Certificados digitales e infraestructura de claves pblicas ...................................................... 26
Funcionamiento de la PKI con la seguridad de los mensajes ................................................. 26
Uso conjunto de certificados digitales y la seguridad de los mensajes ................................. 28
Cmo se utilizan los certificados digitales para las firmas digitales ....................................... 28
Cmo se utilizan los certificados digitales para el cifrado de mensajes ................................ 30
Cmo se utilizan los certificados digitales para las firmas digitales y el cifrado de mensajes
........................................................................................................................................................... 31
RADIUS EN CEDIS LALA ............................................................................................................. 34
CARTIFICADOS DIGITALES EN LALA...................................................................................... 34

COMPARACIN DE LOS METODOS DE AUTENTICACIN

Introduccin

Los protocolos de seguridad destacados utilizados para controlar el acceso a las

redes son Cisco TACACS+ y RADIUS. La especificacin RADIUS se describe en
RFC 2865, que deja obsoleto RFC 2138. Cisco se ha comprometido en soportar
ambos protocolos con las mejores ofertas de la clase. Cisco no pretende competir
con RADIUS ni influir en los usuarios para que usen TACACS+. Debera elegir la
solucin que mejor satisfaga sus necesidades.

Cisco ha soportado el protocolo RADIUS desde la Versin de Software 11.1 de

febrero de 1996 de Cisco IOS. Cisco contina mejorando RADIUS Client con las
nuevas funciones y capacidades, al soportar RADIUS como el estndar.

Cisco evalu seriamente RADIUS como un security protocol antes de que

desarrollara TACACS+.

Muchas funciones fueron incluidas en el protocolo TACACS+ para que cumplan con
las necesidades del mercado de seguridad en continuo crecimiento. El protocolo fue
diseado para que se incremente a medida que aumentan las redes y para que se
adapte a la nueva tecnologa de seguridad segn la evolucin del mercado. La
arquitectura subyacente del protocolo TACACS+ complementa la arquitectura
independiente de autenticacin, autorizacin y contabilidad (AAA).

PRERREQUISITOS
Requisitos

No hay requisitos especficos para este documento.

Componentes Utilizados

Este documento no tiene restricciones especficas en cuanto a versiones de

software y de hardware.

Convenciones
Para obtener ms informacin sobre las convenciones del documento, consulte
Convenciones de Consejos Tcnicos de Cisco.

Segundo plano de RADIUS

RADIUS un servidor de acceso que utiliza el protocolo AAA. Es un sistema de

seguridad distribuida que protege el acceso remoto a las redes y a los servicios de
red contra el acceso no autorizado. RADIUS comprende tres elementos:

Un protocolo con un formato de trama que utiliza el User Datagram Protocol (UDP)
/IP.

Un servidor.

Un cliente.

El servidor se ejecuta en un equipo central tpicamente en el sitio de cliente,

mientras que los clientes residen en los servidores de acceso por marcado y pueden
ser distribuidos en la red. Cisco ha incorporado al RADIUS Client en el software de
Cisco IOS Software Release 11.1 y posterior y del otro dispositivo.

Modelo de cliente/servidor

Un servidor de acceso a la red (NAS) acta como cliente de RADIUS. El cliente es

responsable de traspasar informacin del usuario a servidores RADIUS designados
y de actuar segn la repuesta recibida. Los servidores RADIUS son responsables
de recibir las solicitudes de conexin del usuario, autenticar al usuario y devolver la
informacin de configuracin necesaria para que el cliente pueda brindarle el
servicio al usuario. Los servidores RADIUS pueden actuar como clientes de servidor
alterno respecto de otros servidores de autenticacin.

Seguridad de redes:
Las transacciones entre el cliente y el servidor RADIUS son autenticadas mediante
el uso de un secreto compartido, que nunca se enva por la red. Adems, cualquier
contrasea de usuario se enva cifrada entre el cliente y el servidor RADIUS. Esto
elimina la posibilidad de que una persona que hace snooping en una red no segura
pueda determinar la contrasea de un usuario.

Mecanismo de autenticacin flexible

El servidor RADIUS soporta una variedad de mtodos para autenticar un usuario.
Cuando se proporciona con el nombre de usuario y la contrasea original otorgados
por el usuario, puede soportar el PPP, el Password Authentication Protocol (PAP),
o el Challenge Handshake Authentication Protocol (CHAP), UNIX login, y otros
mecanismos de autenticacin.

Disponibilidad del cdigo del servidor

Hay una serie de distribuciones de cdigo de servidor disponibles comercialmente
y en forma gratuita. Los servidores de Cisco incluyen Cisco Secure ACS para
Windows, Cisco Secure ACS para UNIX, y Access Registrar de Cisco.

Compare TACACS+ y RADIUS

Estas secciones comparan varias caractersticas del TACACS+ y RADIUS.

UDP y TCP
RADIUS utiliza UDP mientras que TACACS+ utiliza TCP. El TCP ofrece varias
ventajas en comparacin con el UDP. TCP ofrece un transporte orientado por
conexin, mientras que UDP ofrece el mejor esfuerzo para entregar. RADIUS
necesita variables programables adicionales tales como los intentos de
retransmisin y tiempos de espera para compensar el transporte de producto de un
esfuerzo razonable, pero carece del nivel de soporte incluido que ofrece un
transporte TCP:

El uso del TCP proporciona un reconocimiento independiente acerca de que

se ha recibido una solicitud, dentro (aproximadamente) del trayecto de ida y
vuelta (RTT), independientemente de la carga que soporte el mecanismo de
autenticacin de segundo plano y de su velocidad (un reconocimiento de
TCP).
TCP proporciona una indicacin inmediata de un servidor cado o que no
funciona a travs de un reinicio (RST). Puede determinar cuando un servidor
 falla y vuelve a estar en servicio si utiliza las conexiones TCP de larga
duracin. UDP no puede indicar la diferencia entre un servidor desactivado,
uno lento y uno inexistente.
Mediante las seales de mantenimiento de TCP, las cadas del servidor
pueden ser detectadas fuera de banda con peticiones actuales. Se pueden
mantener conexiones a servidores mltiples simultneamente, y slo debe
enviar mensajes a los que estn activos y en funcionamiento.
TCP permite mayor ampliacin y se adapta a las redes en crecimiento y
congestionadas.

Cifrado de Paquetes
RADIUS slo cifra la contrasea en el paquete de solicitud de acceso, del cliente al
servidor. El resto del paquete no est cifrado. Otra informacin, tal como el nombre
de usuario, los servicios autorizados, y la cuenta, pueden capturarse a travs de
una tercera parte.

TACACS+ cifra todo el cuerpo del paquete pero deja un encabezado estndar de
TACACS+. Dentro del encabezado se encuentra un campo que indica si el cuerpo
se ha cifrado o no. Para facilitar el debugging, resulta til que el cuerpo de los
paquetes no est cifrado. Sin embargo, durante el funcionamiento normal, el cuerpo
del paquete se cifra completamente para lograr comunicaciones ms seguras.

Autenticacin y autorizacin
RADIUS combina autenticacin y autorizacin. Los paquetes access-accept
enviados por el servidor de RADIUS al cliente contienen la informacin de
autorizacin. Esto dificulta la tarea de desacoplar la autenticacin y autorizacin.

TACACS+ usa la arquitectura AAA, la que separa a AAA. Esto permite soluciones
de autenticacin separada que pueden todava usar TACACS+ para autorizacin y
conteo. Por ejemplo, con TACACS+, es posible utilizar la autenticacin de Kerberos
y la autorizacin TACACS+ y el conteo. Despus de que un NAS se autentique en
un servidor de Kerberos, solicita la informacin de autorizacin de un servidor
TACACS+ sin tener que volver a autenticarse. El NAS le informa al servidor
TACACS+ que se ha autenticado de manera exitosa en un servidor Kerberos y luego
el servidor le proporciona informacin de autorizacin.
Durante una sesin, si se requiere una verificacin de autorizacin adicional, el
servidor de acceso verifica con un servidor TACACS+ para determinar si el usuario
tiene permiso para utilizar un comando determinado. Esto permite un mayor control
de los comandos que pueden ejecutarse en el servidor de acceso mientras se
desconecta del mecanismo de autenticacin.

Soporte multiprotocolo
RADIUS no admite estos protocolos:

Protocolo AppleTalk Remote Access (ARA)

Protocolo NetBIOS Frame Protocol Control

Novell Asynchronous Services Interface (NASI)

Conexin X.25 PAD

TACACS+ ofrece soporte multiprotocolo.

Administracin del router

RADIUS no permite a los usuarios controlar qu comandos pueden y no pueden

ejecutarse en un router. Por lo tanto, RADIUS no es tan til como para la
administracin del router ni tan flexible para los servicios de terminal.

TACACS+ proporciona dos mtodos para controlar la autorizacin de los comandos

del router por usuario o por grupo. El primer mtodo es asignarle niveles de privilegio
a los comandos y hacer que el router verifique con el servidor TACACS+ si el usuario
est autorizado o no en ese nivel de privilegio especfico. El segundo mtodo es
especificar explcitamente los comandos permitidos en el servidor TACACS+, por
usuario o por grupo.

Interoperabilidad

Debido a las diversas interpretaciones de la Solicitud de Comentarios de RADIUS

(RFC), el cumplimiento con RADIUS RFC no garantiza la interoperabilidad. Aunque
varios vendedores implementan clientes RADIUS, esto no significa que sean
interoperables. Cisco implementa la mayora de los atributos de RADIUS y agrega
constantemente ms. Si los clientes utilizan solamente los atributos de RADIUS
estndar en sus servidores, pueden interoperar entre varios vendedores siempre
que estos vendedores implementen los mismos atributos. Sin embargo, muchos
proveedores implementan extensiones que son atributos de propietario. Si un
cliente utiliza uno de estos atributos extendidos especficos del proveedor, la
interoperabilidad no es posible.

Trfico
Debido a las diferencias previamente mencionadas entre TACACS+ y RADIUS, la
cantidad de trfico generada entre el cliente y el servidor difiere. Estos ejemplos
ilustran el trfico entre el cliente y el servidor para TACACS+ y RADIUS cuando se
usan para la administracin del router con autenticacin, autorizacin de exec,
autorizacin de comandos (la cual RADIUS no puede llevar a cabo), contabilizacin
de exec y contabilizacin de comandos (la cual RADIUS no puede llevar a cabo).

Ejemplo de trfico de TACACS+

En este ejemplo se asume que la autenticacin del inicio de sesin, la autorizacin

exec, la autorizacin de comandos, el exec iniciar-detener y los comandos fueron
implementados con TACACS cuando un usuario se conecta mediante Telnet a un
router, ejecuta un comando y sale del router (no estn disponibles otros servicios
de administracin):
 Ejemplo de Trfico de RADIUS

En este ejemplo se asume que las cuentas de autenticacin de usuario, la

autorizacin exec y el exec iniciar-detener fueron implementadas con RADIUS
cuando un usuario se conecta mediante Telnet a un router ejecuta un comando y
sale del router (no estn disponibles otros servicios de administracin):
 Soporte de dispositivo
Esta tabla detalla los soportes de TACACS+ y RADIUS AAA por tipo de dispositivo
para las plataformas seleccionadas. Esto incluye la versin de software en la que
se agreg el soporte. Verifique las notas de versin del producto para obtener ms
informacin, si su producto no se encuentra en esta lista.

Dispositivo de autenticacin autorizacin Contabilidad Autenticacin Autorizacin Estadsticas

Cisco TACACS+ TACACS+ de TACACS+ RADIUS RADIUS RADIUS

todos los todos los

1 todos los puntos
Cisco Aironet 12.2(4)AY 12.2(4)AY 12.2(4)AY puntos de puntos de
de acceso
acceso acceso

Cisco IOS
10.33 10.33 10.333 11.1.1 11.1.14 11.1.15
Software2
Cisco Cache
-- -- -- 1.5 1.56 --
Engine

Switches del
2.2 5.4.1 5.4.1 5.1 5.4.14 5.4.15
Cisco Catalyst

Cisco CSS
11000 Content 5.03 5.03 5.03 5.0 5.04 --
Services Switch

Cisco CSS
11500 Content 5.20 5.20 5.20 5.20 5.204 --
Services Switch

Cisco PIX
4.0 4.07 4.28,5 4.0 5.27 4.28,5
Firewall

Cisco Catalyst
1900/2820 8.x empresa9 -- -- -- -- --
switches

Cisco Catalyst
12.0(5)WC511,
2900XL/3500XL 11.2.(8)SA610 11.2.(8)SA610 11.2.(8)SA610 12.0(5)WC511 4 12.0(5)WC511, 5
switches

Cisco VPN 3000

3.0 3.0 -- 2.012 2.0 2.012
Concentrator 6

Concentrador
-- -- -- 5.2X12 5.2X12 5.2X12
Cisco VPN 5000

Notas de la tabla
1. Terminacin slo de clientes inalmbricos, no del trfico de administracin
en otra versin que no sea la del software 12.2(4) JA l posteriores del IOS de
Cisco. En la versin de Cisco IOS Software 12.2. (4)JA o posterior,
autenticacin para la terminacin de clientes inalmbricos y el trfico de
administracin es posible.
2. Verifique el Feature Navigator (ahora obsoleto por el Software Advisor
(clientes registrados solamente)) para conocer el Soporte de la plataforma
dentro de Cisco IOS Software.
 3. La contabilidad del comando no se implementa hasta la Cisco IOS Software
Release 11.1.6.3.
4. Ninguna autorizacin de comando.
5. Ninguna contabilidad del comando.
6. Bloqueo de URL solamente, sin trfico administrativo.
7. Autorizacin para el trfico no VPN con PIX.
8. Nota: Versin 5.2 - Soporte de lista de acceso para Atributo especfico del
proveedor (VSA) de RADIUS con Lista de control de acceso (ACL) o
autorizacin TACACS+ para trfico VPN con terminacin de la versin 6.1de
PIX - soporte para autorizacin de atributo ACL RADIUS 11 para trfico VPN
con terminacin en la versin 6.2.2 de PIX - soporte para ACL descargable
con autorizacin RADIUS para trfico VPN con terminacin en la versin 6.2
de PIX - soporte para autorizacin de administracin del trfico PIX a travs
de TACACS+.
9. Contabilidad para el trfico no VPN con el PIX solamente, sin trfico de
administracin.
10. Nota: Versin 5.2 - Soporte para contabilidad de paquetes TCP de cliente
VPN mediante PIX.
11. Enterprise software solamente.
12. Requiere memoria Flash de 8 M para las imgenes.
13. Slo terminacin VPN.

QUE ES RADIUS Y COMO SE PUEDE IMPLEMENTAR?

RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos

permite gestionar la autenticacin, autorizacin y registro de usuarios remotos
sobre un determinado recurso. La tupla autenticacin, autorizacin y registro es
ms conocida como AAA, al ser ste su acrnimo de su denominacin original
inglesa Authentication, Authorization, and Accounting.

Autenticacin (authentication) hace referencia al proceso por el cual se

determina si un usuario tiene permiso para acceder a un determinado
servicio de red del que quiere hacer uso. El proceso de autenticacin se
 realiza mediante la presentacin de una identidad y unos credenciales por
parte del usuario que demanda acceso.

Un tipo habitual de credencial es el uso de una contrasea (o password) que

junto al nombre de usuario nos permite acceder a determinados recursos. El
nombre de usuario es nuestra identidad, que puede ser pblicamente
conocida, mientras que la contrasea se mantiene en secreto, y sirve para
que nadie suplante nuestra identidad. Otros tipos ms avanzados de
credenciales son los certificados digitales.

Existen muchos mtodos concretos que implementan el proceso de la

autenticacin. Algunos de ellos, soportados por RADIUS, son:

- autenticacin de sistema (system authentication), tpica en un sistema

Unix, normalmente realizada mediante el uso del fichero /etc/passwd;
- los protocolos PAP (Password Authentication Protocol), y su versin
segura CHAP (Challenge Handshake Authentication Protocol), que
son mtodos de autenticacin usados por proveedores de servicios
de Internet (ISPs) accesibles va PPP;
- LDAP (Lightweight Directory Access Protocol), un protocolo a nivel de
aplicacin (sobre TCP/IP) que implementa un servicio de directorio
ordenado, y muy empleado como base de datos para contener
nombres de usuarios y sus contraseas;
- Kerberos, el famoso mtodo de autenticacin diseado por el MIT;
- EAP (Extensible Authentication Protocol), que no es un mtodo
concreto sino un entorno universal de autenticacin empleado
frecuentemente en redes inalmbricas y conexiones punto a punto;
- por ltimo, tambin se permite la autenticacin basada en ficheros
locales de configuracin del propio servidor RADIUS.

Autorizacin (authorization) se refiere a conceder servicios especficos (entre

los que se incluye la negacin de servicio) a un determinado usuario,
basndose para ellos en su propia autenticacin, los servicios que est
solicitando, y el estado actual del sistema. Es posible configurar restricciones
a la autorizacin de determinados servicios en funcin de aspectos como,
 por ejemplo, la hora del da, la localizacin del usuario, o incluso la
posibilidad o imposibilidad de realizar mltiples logins de un mismo usuario.

El proceso de autorizacin determina la naturaleza del servicio que se

concede al usuario, como son: la direccin IP que se le asigna, el tipo de
calidad de servicio (QoS) que va a recibir, el uso de encriptacin, o la
utilizacin obligatoria de tneles para determinadas conexiones.

Los mtodos de autorizacin soportados habitualmente por un servidor de

RADIUS incluyen bases de datos LDAP, bases de datos SQL (como Oracle,
MySQL y PostgreSQL), o incluso el uso de ficheros de configuracin locales
al servidor.

No se debe confundir los trminos autenticacin con autorizacin. Mientras

que la autenticacin es el proceso de verificar un derecho reclamado por un
individuo (persona o incluso ordenador), la autorizacin es el proceso de
verificar que una persona ya autenticada tiene la autoridad para efectuar una
determinada operacin.

Registro (accounting, a menudo traducido tambin como contabilidad) se

refiere a realizar un registro del consumo de recursos que realizan los
usuarios. El registro suele incluir aspectos como la identidad del usuario, la
naturaleza del servicio prestado, y cundo empez y termin el uso de dicho
servicio.

Es interesante el uso del protocolo RADIUS cuando tenemos redes de dimensiones

considerables sobre las que queremos proporcionar un servicio de acceso
centralizado (aunque posiblemente jerarquizado por medio de diversos servidores
RADIUS). Por este motivo, uno de los principales usos de RADIUS se encuentra en
empresas que proporcionan acceso a Internet o grandes redes corporativas, en un
entorno con diversas de tecnologas de red (incluyendo mdems, xDSL, VPNs y
redes inalmbricas) no slo para gestionar el acceso a la propia red, sino tambin
para servicios propios de Internet (como e-mail, Web o incluso dentro del proceso
de sealizacin SIP en VoIP).
Un uso de RADIUS que queremos enfatizar, al ser el que realizaremos en esta
prctica, es la autenticacin en redes inalmbricas (Wi-Fi), sustituyendo mtodos
ms simples de clave compartida (pre-shared key, PSK), que son bastante limitados
al gestionar una red cuando sta alcanza un determinado tamao.

Aunque RADIUS es el protocolo para AAA ms extendido en la actualidad, ya existe

un nuevo protocolo que est llamado a sustituir a RADIUS. Su nombre es
DIAMETER, y tambin proporciona manejo de errores y comunicacin entre
dominios.

NAS

Un Network Access Server (NAS) es un sistema que proporciona acceso a la red.

En algunos casos tambin se conoce como Remote Access Server (RAS) o
Terminal Server. En general, NAS es un elemento que controla el acceso a un
recurso protegido, que puede ser desde un sencillo telfono para VoIP o una
impresora, hasta el acceso a una red inalmbrica o a Internet (proporcionado por
un ISP).

Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS,
quien a su vez se conecta a un servidor de AAA (tpicamente RADIUS)
preguntando si los credenciales proporcionados por el cliente son vlidos.
Basndose en su respuesta, NAS le permitir acceder o no a este recurso
protegido. El sistema NAS no contiene ninguna informacin sobre los usuarios que
se pueden conectar ni sus credenciales, sino que utiliza esta informacin para
enviarla a RADIUS, y que ste le informe sobre los permisos del cliente.

Observa que nos encontramos en un escenario en el que hay dos niveles de la

arquitectura cliente-servidor. Desde un punto de vista ms global, tenemos la tpica
arquitectura en la que un usuario quiere acceder a un servicio, siendo el usuario el
cliente, y el servidor el sistema que proporciona dicho servicio. Sin embargo, si nos
centramos en el proceso de AAA, el cliente sera el sistema que proporciona el
acceso a la red (por ejemplo NAS), mientras que el servidor es el sistema que
autoriza o no dicho acceso (por ejemplo RADIUS). Como esta prctica se centra en
este proceso, nosotros hablaremos de servidores RADIUS cuyos clientes son los
elementos que proteger (por ejemplo, un punto de acceso para la conexin
inalmbrica). Por tanto, desde nuestro punto de vista, los usuarios que quieren
acceder al recurso protegido (por ejemplo, la persona que se desea conectar a la
red inalmbrica por medio del punto de acceso), no son clientes de RADIUS sino
que se denominan suplicantes.

Una ventaja del uso de RADIUS es que sus clientes tan slo tienen que implementar
el protocolo de comunicacin con RADIUS, y no todas las posibilidades de AAA
existentes (PAP, CHAP, LDAP, kerberos, mySQL, etc.). En el ejemplo del punto de
acceso, tan slo necesitamos implementar una solucin NAS que realice las
consultas a RADIUS.

Otra ventaja del protocolo RADIUS es que, en su comunicacin con NAS, nunca
transmite las contraseas directamente por la red (lo que se conoce como en
cleartext), ni siquiera al usar PAP, sino que usa algoritmos para ocultar las
contraseas como MD5. Sin embargo, al no ser considerado MD5 un sistema de
proteccin de credenciales demasiado seguro, es aconsejable utilizar sistemas
adicionales de proteccin para cifrar el trfico de RADIUS, como puede ser tneles
de IPsec.

SEGURIDAD EN TECNOLOGAS DE RED INALMBRICA

En redes inalmbricas con infraestructura se utiliza un punto de acceso (wireless

access point, WAP o simplemente AP) para interconectar todos los dispositivos
inalmbricos de la red. Usualmente un AP se conecta tambin a una red cableada,
transmitiendo datos entre los dispositivos conectados a la red cable y los
dispositivos inalmbricos.

La seguridad es un tema importante en las redes inalmbricas porque, al contrario

que en una red cableada a la que slo tienen acceso las personas que fsicamente
pueden conectarse, cualquier persona de la calle o pisos o edificios vecinos pueden
conectarse a una red inalmbrica o ver el contenido de los paquetes que circulan
por ella si sta no est convenientemente protegida.

Algunos de los principales protocolos estndar para proporcionar seguridad en

redes inalmbricas IEEE 802.11 son:

WEP (Wired Equivalent Privacy). Fue introducido en 1997 con objeto de

proporcionar un nivel de confidencialidad similar al de las redes
cableadas. Usa una clave esttica de 64 128 bits con el algoritmo RC4.
Su uso se desaconseja completamente, ya que aunque es muy fcil de
configurar y est muy extendido al ser el primero que surgi, presenta
graves fallos de seguridad.

WPA (Wi-Fi Protected Access) fue creado para corregir los mltiples
fallos detectados en el protocolo WEP. WPA fue diseado por el
consorcio Wi-Fi Alliance basndose en un borrador del estndar 802.11i
(es un subconjunto del mismo), y utiliza TKIP (Temporal Key Integrity
Protocol) como protocolo de cifrado que sustituye a WEP sin necesidad
de modificar el hardware existente (podra funcionar actualizando el
firmware).
En concreto, WPA sigue usando RC4 como algoritmo de cifrado con
claves de 128 bits, pero usa TKIP para cambiar dinmicamente estas
claves.

WPA fue diseado para ser usado junto a un servidor AAA (habitualmente
RADIUS), de manera que se le asignan claves distintas a cada uno de
los posibles usuarios. Sin embargo, para entornos domsticos o
pequeas oficinas tambin se puede usar, de forma menos segura, con
una nica clave compartida (pre-shared key, PSK). En este caso
hablamos de WPA-PSK.
 WPA2 se basa en el nuevo estndar 802.11i, y el cambio ms significativo
respecto a WPA es que usa el protocolo de cifrado AES en lugar de RC4.
Mientras que WAP puede ejecutarse en el hardware que soporte WEP
(tras actualizar el firmware), WAP2 necesita un hardware ms nuevo
(posterior al 2004). Sin embargo, se sabe que WAP tambin terminar
siendo comprometido a medio plazo y por tanto slo se recomienda como
transicin a WAP2.

Servidor RADIUS para conexiones cableadas o

inalmbricas 802.1X
Se aplica a: Windows Server 2008 R2

Cuando implementa un acceso cableado o inalmbrico 802.1X con el Servidor de

directivas de redes (NPS) como servidor RADIUS (Servicio de autenticacin remota
telefnica de usuario), debe llevar a cabo los siguientes pasos:

Instale y configure los servidores de acceso a la red (NAS) como clientes

RADIUS.

Implemente los componentes para los mtodos de autenticacin.

Configure NPS como servidor RADIUS.

Instalacin y configuracin de los servidores de acceso a la red (clientes RADIUS)

Para implementar el acceso inalmbrico 802.1X, debe instalar y configurar puntos

de acceso inalmbrico. Para implementar el acceso cableado 802.1X, debe instalar
y configurar conmutadores de autenticacin 802.1X.

Importante

Los equipos cliente, como los equipos porttiles inalmbricos u otros equipos con
sistemas operativos cliente, no son clientes de RADIUS. Los clientes de RADIUS
son servidores de acceso a la red, como puntos de acceso inalmbrico,
conmutadores compatibles con 802.1X, servidores de red privada virtual (VPN) y
servidores de acceso telefnico. Esto se debe a que usan el protocolo RADIUS
para comunicarse con los servidores RADIUS, como los Servidores de directivas
de redes (NPS).

En ambos casos, estos servidores de acceso a la red deben cumplir los siguientes
requisitos:

Compatibilidad con la autenticacin 802.1X estndar IEEE (Institute of

Electrical and Electronics Engineers)

Compatibilidad con la autenticacin RADIUS y las cuentas RADIUS

Si usa aplicaciones de cuentas y facturacin que requieren correlacin de sesiones,

es necesario:

Compatibilidad con el atributo de clase segn define el Grupo de trabajo de

ingeniera de Internet (IETF) en RFC 2865, "Servicio de usuario de acceso
telefnico de autenticacin remota (RADIUS)", para permitir la correlacin de
sesiones en los registros de cuentas y autenticacin RADIUS. Para la
correlacin de sesiones, cuando configura cuentas RADIUS en el servidor o
proxy NPS, debe registrar todos los datos de cuentas que permiten a las
aplicaciones (como aplicaciones de facturacin) consultar la base de datos,
correlacionar campos relacionados y devolver una vista unificada de cada
sesin en los resultados de la consulta. Como mnimo, para proporcionar una
correlacin de sesiones, debe registrar los siguientes datos de cuentas NPS:
Direccin IP de NAS, Identificador de NAS (necesita la Direccin IP de NAS
y el Identificador de NAS porque el servidor de acceso puede enviar
cualquiera de los atributos), Clase, Identificador de sesin de cuenta, Acct-
Multi-Session-Id, Tipo de paquete, Acct-Status-Type, Acct-Interim-Interval,
Puerto de NAS y Event-Timestamp.

Compatibilidad con solicitudes temporales de cuentas, que algunos

servidores de acceso a la red (NAS) envan peridicamente durante una
sesin de usuario, que se puedan registrar. Este tipo de solicitud se puede
usar cuando se configura el atributo RADIUS de intervalo temporal de cuenta
para admitir solicitudes peridicas en el perfil de acceso remoto del servidor
 NPS. Si desea que se registren solicitudes temporales en el servidor NPS, el
NAS debe admitir el uso de solicitudes temporales de cuentas.

Si usa redes de rea local virtuales (VLAN), los NAS deben admitir VLAN.

Para entornos de red de rea extensa (WAN), los servidores de acceso a la red
deben incluir:

Compatibilidad con clculo de tiempo de espera de retransmisin (RTO)

dinmico o interrupcin exponencial para tratar la congestin y los retrasos
en un entorno WAN.

Adems, existen caractersticas de filtrado que los servidores de acceso a la red

deben admitir para suministrar una seguridad mejorada a la red. Estas opciones de
filtrado son:

Filtros DHCP. Los NAS deben filtrar por los puertos IP para evitar la
transmisin de los mensajes de difusin del protocolo de configuracin
dinmica de host (DHCP) si el cliente es un servidor DHCP. Los servidores
de acceso a la red deben bloquear el cliente en el envo de paquetes IP del
puerto 68 a la red.

Filtros DNS. Los NAS deben filtrar en puertos IP para evitar que un cliente
acte como servidor DNS. Los NAS deben bloquear el cliente en el envo de
paquetes IP del puerto 53 a la red.

Si est implementado puntos de acceso inalmbrico, es preferible la compatibilidad

con Acceso protegido Wi-Fi (WPA). WPA es compatible con Windows Vista y
Windows XP con Service Pack 2. Para implementar WPA, use tambin adaptadores
de red inalmbricos compatibles con WPA.

Implementacin de los componentes para los mtodos de autenticacin

Para conexiones cableadas e inalmbricas 802.1X, puede usar los siguientes

mtodos de autenticacin:

Protocolo de autenticacin extensible (EAP) con Seguridad de la capa de

transporte (TLS), tambin llamado EAP-TLS.
 EAP protegido (PEAP) con el Protocolo de autenticacin por desafo mutuo
de Microsoft versin 2 (MS-CHAP v2), tambin llamado PEAP-MS-CHAP v2.

PEAP con EAP-TLS, tambin llamado PEAP-TLS.

Para EAP-TLS y PEAP-TLS, debe implementar una infraestructura de clave pblica

(PKI) mediante la instalacin y configuracin de los Servicios de certificados de
Active Directory (AD CS) para enviar certificados a los equipos cliente
pertenecientes a un dominio y a los servidores NPS. Estos certificados se usan
durante el proceso de autenticacin como prueba de identidad tanto de los clientes
como de los servidores NPS. Si lo prefiere, puede implementar tarjetas inteligentes
en lugar de usar certificados de equipos cliente. En este caso, debe emitir tarjetas
inteligentes y lectores de tarjetas inteligentes para los empleados de la organizacin.

Configuracin de NPS como servidor RADIUS

Cuando configura NPS como servidor RADIUS, debe configurar clientes RADIUS,
directivas de redes y cuentas RADIUS.

Configuracin de clientes RADIUS

Existen dos fases en la configuracin de clientes RADIUS:

Configure el cliente RADIUS fsico, como el punto de acceso inalmbrico o el

conmutador de autenticacin, con informacin que permita al servidor de
acceso a la red comunicarse con servidores NPS. Esta informacin incluye
la configuracin de la direccin IP del servidor NPS y el secreto compartido
en el punto de acceso o la interfaz de usuario del conmutador.

En NPS, agregue un nuevo cliente RADIUS. En el servidor NPS, agregue

cada punto de acceso o conmutador de autenticacin como cliente RADIUS.
NPS permite suministrar un nombre descriptivo para cada cliente RADIUS,
as como la direccin IP del cliente RADIUS y el secreto compartido.
 DESCRIPCIN DE LA IMPLEMENTACIN DE
CERTIFICADOS DIGITALES

Si bien la criptografa mediante claves pblicas simplifica la administracin de claves

al permitir que varias personas utilicen un par de claves, hay un problema: cmo
distribuir una clave pblica de forma que el usuario pueda encontrarla y saber que
es vlida.

Para S/MIME, el uso de certificados digitales aporta una solucin a este problema.
Los certificados digitales distinguen S/MIME de muchas de las soluciones de
seguridad de los mensajes de la competencia.

Descripcin de los certificados digitales y la criptografa

mediante claves pblicas
Un certificado digital es una forma digital de identificacin, como un pasaporte o el
permiso de conducir. Un certificado digital es una credencial digital que proporciona
informacin acerca de la identidad de una entidad, as como otra informacin
auxiliar. Los certificados digitales los emiten las autoridades competentes,
denominadas entidades emisoras de certificados (CA). Como un certificado digital
est emitido por una entidad emisora de certificados, dicha entidad garantiza la
validez de la informacin contenida en el certificado. Adems, un certificado digital
slo es vlido durante un perodo especfico de tiempo.

Los certificados digitales permiten la criptografa mediante claves pblicas, ya que

contienen la clave pblica de la entidad identificada en el certificado. Como el
certificado hace coincidir una clave pblica con un individuo determinado y la
autenticidad de ese certificado est garantizada por el emisor, el certificado digital
aporta una solucin al problema de cmo averiguar la clave pblica de un usuario y
saber que es vlida. Estos problemas se resuelven cuando un usuario obtiene la
clave pblica de otro usuario a partir del certificado digital. El usuario sabe que es
vlida porque una entidad emisora de confianza ha emitido el certificado.

Adems, los certificados digitales se basan en la criptografa mediante claves

pblicas para su propia autenticacin. Cuando se emite un certificado digital, la
entidad emisora firma el certificado con su propia clave privada. Para validar la
autenticidad de un certificado digital, un usuario puede obtener la clave pblica de
dicha entidad emisora y utilizarla sobre el certificado para determinar si fue firmado
por esa entidad emisora.

Descripcin de cmo estn estructurados los certificados

digitales
Para que un certificado digital sea til, tiene que estar estructurado de una forma
comprensible y confiable, de manera que la informacin contenida en el certificado
se pueda recuperar y entender fcilmente. Por ejemplo, los pasaportes tienen una
estructura similar que permite a la gente entender fcilmente la informacin
contenida en un tipo de pasaporte que quizs nunca hayan visto antes. Del mismo
modo, siempre y cuando los certificados digitales estn estandarizados, se pueden
leer y entender independientemente que quin emitiera el certificado.

El estndar S/MIME especifica que los certificados digitales utilizados para S/MIME
se atienen al estndar X.509 de la Unin internacional de telecomunicaciones (ITU).
La versin 3 de S/MIME en concreto requiere que los certificados digitales cumplan
con la versin 3 de X.509. Como S/MIME confa en un estndar establecido y
reconocido para la estructura de los certificados digitales, el estndar S/MIME se
basa en el crecimiento de dicho estndar y, por tanto, aumenta su aceptacin.

El estndar X.509 especifica que los certificados digitales contienen informacin

normalizada. En concreto, los certificados de la versin 3 de X.509 contienen los
campos siguientes:

Version number La versin del estndar X.509 a la que se atiene el certificado.

Serial number Un nmero que identifica de manera nica al certificado y que est
emitido por la entidad emisora de certificados.

Certificate algorithm identifier Los nombres de los algoritmos de claves pblicas

que la entidad emisora ha utilizado para firmar el certificado digital.

Issuer name La identidad de la entidad emisora de certificados que emiti

realmente el certificado.
Validity period El perodo de tiempo durante el cual un certificado digital es vlido;
contiene una fecha de inicio y una fecha de caducidad.

Subject name El nombre del propietario del certificado digital.

Subject public key information La clave pblica asociada al propietario del

certificado digital y los algoritmos de claves pblicas asociados a la clave pblica.

Issuer unique identifier Informacin que puede utilizarse para identificar de

manera nica al emisor del certificado digital.

Subject unique identifier Informacin que puede utilizarse para identificar de

manera nica al propietario del certificado digital.

Extensions Informacin adicional relacionada con el uso y el tratamiento del

certificado.

Certification authority's digital signature La firma digital real realizada con la

clave privada de la entidad emisora utilizando el algoritmo especificado en el campo
Certificate algorithm identifiers.

Como S/MIME requiere un certificado X.509 v3, esta informacin tambin describe
las caractersticas que S/MIME utiliza para sus certificados especficos.

X.509v3 es un estndar que rige los certificados digitales en general. No constituye

un estndar para los certificados especficos de S/MIME. La informacin acerca de
los certificados digitales especficos de S/MIME se explica en las RFC de S/MIME.

Aunque los certificados digitales son electrnicos, tenga en cuenta que como estn
normalizados pueden utilizarse en numerosos dispositivos, no slo en equipos
personales. Los certificados digitales pueden utilizarse en dispositivos de mano, en
telfonos mviles y en tarjetas porttiles, llamadas tarjetas inteligentes. Las tarjetas
inteligentes pueden utilizarse en varios dispositivos diferentes y son, en muchos
casos, el uso ideal para los certificados digitales. Las tarjetas inteligentes permiten
que los certificados digitales sean tan porttiles y tan fciles de utilizar como el
permiso de conducir o el pasaporte tradicional.
La estandarizacin de los certificados S/MIME, gracias a las RFC de S/MIME y al
estndar X.509 versin 3, es un elemento clave para el xito de S/MIME, ya que
hace que cualquier aplicacin que se atenga al estndar pueda entender los
certificados digitales.

Certificados digitales e infraestructura de claves pblicas

Una de las ventajas que ofrece la criptografa mediante claves pblicas es que
reduce la administracin de claves, ya que en vez de utilizar numerosas claves
simtricas se utiliza un par de claves. Esta ventaja es an mayor con los certificados
digitales, que permiten distribuir y administrar claves pblicas. Sin embargo, los
certificados digitales no se administran a s mismos. Por su diseo, los certificados
digitales tienen una gran circulacin, por lo que la administracin de estos
certificados debe resolver su naturaleza distribuida. Los certificados digitales
necesitan una infraestructura de funcionamiento para poder administrarlos en el
contexto donde se van a utilizar. La infraestructura de claves pblicas (PKI) es
inseparable de los certificados digitales. La PKI es responsable de emitir los
certificados, asegurar la distribucin de estos certificados a travs de un directorio
y validar los certificados. La PKI se encarga del trabajo subyacente que hace posible
los certificados digitales y que les permite ofrecer las capacidades en las que
confan servicios como S/MIME.

Debido al tamao y a la complejidad del tema, la PKI queda fuera del mbito de este
libro. La informacin aqu presentada se centra en el funcionamiento conjunto de la
PKI y los certificados digitales con la seguridad de los mensajes. Existen numerosos
recursos excelentes que tratan sobre la PKI. Puede obtener ms informacin acerca
de la PKI en la documentacin del proveedor de su PKI y en otras fuentes
especficas de PKI.

Funcionamiento de la PKI con la seguridad de los

mensajes
La PKI proporciona los medios para utilizar certificados digitales mediante la emisin
de certificados y al permitir el acceso a los mismos a travs de un directorio. La PKI
tambin valida certificados digitales al comprobar la autenticidad del certificado, la
validez del certificado y que el certificado es fidedigno. Estos servicios son cruciales
para los certificados digitales porque stos confan en un modelo distribuido
mediante entidades emisoras de certificados terceras.

La forma especfica en que los certificados digitales se emiten y se publican en un

directorio depende del producto de PKI especfico y de su implementacin. En
general, la PKI emite certificados digitales y publica informacin acerca de estos
certificados en un directorio donde otras aplicaciones pueden tener acceso a esa
informacin. Parte de esta informacin se utiliza para validar certificados digitales.
Como se ha explicado en la anterior seccin "Uso conjunto de la criptografa
mediante claves pblicas y la seguridad de los mensajes" en Descripcin de la
criptografa mediante claves pblicas, las operaciones de seguridad de los
mensajes necesitan acceso a las claves pblicas tanto de los remitentes como de
los destinatarios. Como el certificado digital proporciona esta informacin, el acceso
a los certificados digitales de los usuarios es crucial en un sistema de seguridad de
los mensajes. Al proporcionar acceso a los certificados digitales, la PKI aprovecha
las ventajas que la criptografa mediante claves pblicas ofrece en cuanto a la
administracin simplificada de claves, ya que elimina la necesidad de intercambiar
claves manualmente. En su lugar, la PKI hace que los certificados digitales estn
disponibles en un directorio, de forma que las aplicaciones puedan recuperarlos
cuando los necesiten.

Para comprender cmo la PKI valida un certificado, recuerde el papel que

desempea la entidad emisora al emitir el certificado digital. Como se ha explicado
en la anterior seccin "Descripcin de los certificados digitales y la criptografa
mediante claves pblicas" de este tema, la entidad emisora de certificados garantiza
la validez de la identidad y lo demuestra utilizando su clave pblica para firmar el
certificado digital. Comprobar la autenticidad de un certificado significa que se debe
comprobar la firma digital de la entidad emisora de certificados. La PKI valida un
certificado al ofrecer los medios mediante los cuales se puede comprobar la firma
de la entidad emisora del certificado. Si la firma no se puede comprobar, se sabe
que el certificado no es fidedigno.

Como se indic al inicio del tema, ningn mtodo de seguridad es perfecto. Un

certificado digital puede verse en peligro, normalmente por la prdida de la clave
privada. Para que los certificados digitales sean fidedignos, debe existir alguna
forma de cancelar o "revocar" un certificado digital antes de que caduque, del mismo
modo en que se puede cancelar una tarjeta de crdito robada. La revocacin de
certificados es otro de los servicios fundamentales que la PKI ofrece para los
certificados digitales y es otra parte del proceso de comprobacin del certificado
digital.

Como la PKI garantiza que los certificados digitales son fidedignos, la PKI forma
parte integral de los certificados digitales. No puede utilizar firmas digitales sin la
PKI. Como Exchange Server 2003 acepta certificados X.509 v3, la PKI especfica
que admita una instalacin de Exchange depender de los certificados digitales
utilizados con Exchange. Sin embargo, desde el punto de vista de la seguridad de
los mensajes, todas las PKI ofrecen estos servicios fundamentales como apoyo a
los certificados digitales. Las diferencias entre las distintas PKI estn relacionadas
con la implementacin y el diseo y son especficas de la implementacin de cada
PKI.

Uso conjunto de certificados digitales y la seguridad de

los mensajes
Una vez comprendidos los certificados digitales y cmo hacen posible la criptografa
mediante claves pblicas, el siguiente paso consiste en aplicar esta informacin a
la seguridad de los mensajes. En la prxima seccin se explica cmo los certificados
digitales hacen posibles los servicios bsicos de seguridad que abarcan las firmas
digitales y el cifrado de mensajes.

Cmo se utilizan los certificados digitales para las firmas

digitales
Como se ha explicado en la anterior seccin "Criptografa mediante claves pblicas
y firmas digitales" en Descripcin de la criptografa mediante claves pblicas, la
relacin entre una clave pblica y la clave privada de un usuario permite a un
destinatario autenticar y validar el mensaje de un remitente. Los certificados
digitales hacen posible la criptografa mediante claves pblicas al ofrecer un medio
confiable de distribuir y tener acceso a claves pblicas. Cuando un remitente est
firmando un mensaje, proporciona la clave privada asociada a la clave pblica que
est disponible en el certificado digital. A su vez, cuando el destinatario est
validando la firma digital de un mensaje, est obteniendo del certificado digital del
remitente la clave pblica para realizar dicha operacin. La figura siguiente muestra
la secuencia de firma, con la incorporacin de los elementos auxiliares de los
certificados digitales.

1. Se captura el mensaje.
2. Se calcula el valor de hash del mensaje.
3. Se recupera la clave privada del remitente del certificado digital del remitente.
4. Se cifra el valor de hash con la clave privada del remitente.
5. Se anexa al mensaje el valor de hash cifrado como una firma digital.
6. Se enva el mensaje.

La figura siguiente muestra la secuencia de comprobacin, con la incorporacin de

los elementos auxiliares de los certificados digitales.

1. Se recibe el mensaje.
2. Se recupera del mensaje la firma digital que contiene el valor de hash cifrado.
3. Se recupera el mensaje.
4. Se calcula el valor de hash del mensaje.
5. Se recupera la clave pblica del remitente del certificado digital del remitente.
6. Se descifra con la clave pblica del remitente el valor de hash cifrado.
 7. Se compara el valor de hash descifrado con el valor de hash obtenido en la
recepcin.
8. Si los valores coinciden, el mensaje es vlido.

Como se muestra en estas secuencias, los certificados digitales brindan acceso a

las claves pblicas para la comprobacin de la firma digital.

Cmo se utilizan los certificados digitales para el cifrado

de mensajes
Del mismo modo que los certificados digitales hacen posible las firmas digitales al
hacer que las claves pblicas estn disponibles para el proceso de comprobacin,
los certificados digitales tambin hacen posible el cifrado de mensajes al hacer que
las claves pblicas estn disponibles, de forma que puedan utilizarse las claves para
el proceso de cifrado. Como se ha explicado en la seccin "Criptografa mediante
claves pblicas y cifrado de mensajes" en Descripcin de la criptografa mediante
claves pblicas, un remitente puede tener acceso a la clave pblica del destinatario,
lo que permite al remitente cifrar el mensaje, sabiendo que slo el destinatario podr
descifrarlo. Esta vez es el certificado digital del destinatario el que hace posible que
se realice el cifrado. Como ocurre con las firmas digitales, la clave pblica de los
certificados digitales hace posible la operacin. La figura siguiente muestra la
secuencia de cifrado con los elementos auxiliares de los certificados digitales.

1. Se captura el mensaje.
2. Se recupera la clave pblica del certificado digital del destinatario.
3. Se genera la clave de sesin simtrica de un nico uso.
 4. Se realiza la operacin de cifrado en el mensaje mediante la clave de sesin.
5. Se cifra la clave de sesin mediante la clave pblica del destinatario.
6. Se incluye la clave de sesin cifrada en el mensaje cifrado.
7. Se enva el mensaje.

La figura siguiente muestra la secuencia de descifrado, con la incorporacin de los

elementos auxiliares de los certificados digitales.

1. Se recibe el mensaje.
2. Se recuperan del mensaje el mensaje cifrado y la clave de sesin cifrada.
3. Se recupera la clave privada del destinatario del certificado digital del
destinatario.
4. Se descifra la clave de sesin mediante la clave privada del destinatario
obtenida a partir del certificado digital del destinatario.
5. Se descifra el mensaje con la clave de sesin descifrada.
6. Se devuelve el mensaje sin cifrar al destinatario.

Cmo se utilizan los certificados digitales para las firmas

digitales y el cifrado de mensajes
Las firmas digitales y el cifrado de mensajes se complementan uno a otro. La
figura siguiente muestra la secuencia de firma y cifrado, con la incorporacin de los
elementos auxiliares de una firma digital.
 1. Se captura el mensaje.
2. Se calcula el valor de hash del mensaje.
3. Se recupera la clave privada del remitente del certificado digital del remitente.
4. Se recupera la clave pblica del destinatario del certificado digital del
destinatario.
5. Se cifra el valor de hash con la clave privada del remitente.
6. Se anexa al mensaje el valor de hash cifrado como una firma digital.
7. Se genera la clave de sesin simtrica de un nico uso.
8. Se realiza la operacin de cifrado en el mensaje mediante una clave de
sesin.
9. Se cifra la clave de sesin mediante la clave pblica del destinatario.
10. Se incluye la clave de sesin cifrada en el mensaje cifrado.
11. Se enva el mensaje.

La figura siguiente muestra la secuencia de descifrado y comprobacin de la firma

digital, con la incorporacin de los elementos auxiliares de la criptografa mediante
claves pblicas.
 1. Se recibe el mensaje.
2. Se recuperan del mensaje el mensaje cifrado y la clave de sesin cifrada.
3. Se recupera la clave privada del destinatario del certificado digital del
destinatario.
4. Se descifra la clave de sesin mediante la clave privada del destinatario
obtenida a partir del certificado digital del destinatario.
5. Se descifra el mensaje con la clave de sesin descifrada.
6. Se recupera del mensaje la firma digital que contiene el valor de hash cifrado.
7. Se calcula el valor de hash del mensaje.
8. Se recupera la clave pblica del remitente del certificado digital del remitente.
9. Se descifra con la clave pblica del remitente el valor de hash cifrado.
10. Se compara el valor de hash descifrado con el valor de hash obtenido en la
recepcin.
11. Si los valores coinciden, el mensaje es vlido.
12. Se devuelve el cifrar al destinatario mensaje sin.

Si entiende cmo los certificados digitales hacen posible la criptografa mediante

claves pblicas y cmo funciona la criptografa mediante claves pblicas para
ofrecer los servicios bsicos de seguridad para las firmas digitales y el cifrado de
mensajes, entender cmo funciona la seguridad de los mensajes con S/MIME.
Juntos, estos conceptos conforman el ncleo fundamental de la seguridad de los
mensajes.

RADIUS EN CEDIS LALA

RADIUS como antes ya mencionado es un protocolo que nos permite

gestionar la autenticacin, autorizacin y registro de usuarios remotos
sobre un determinado recurso. Esto beneficiara a la empresa LALA
encargada del trabajo y administracin del Cedis LALA Chilapa a llevar
un mejor control de toda la informacin pues con ello todo tipo de
trabajador autorizado a obtener informacin confidencial o de suma
importancia de la empresa ser reconocido por medio de un usuario,
contrasea lo cual ayudar tambin a evitar que dicha informacin sea
obtenida por personas no aptas o autorizadas y que puedan darle mal
uso.

De igual forma RADIUS beneficia a ambas sucursales a tener un envi

de informacin segura y rpida ya que cifra cualquier contrasea de un
usuario y esto evita que otra persona pueda obtener la contrasea de
un usuario.

CARTIFICADOS DIGITALES EN LALA

Los certificados digitales son una forma de aumentar la seguridad de

toda la informacin relacionada con la empresa ya que al momento de
mandar algn mensaje de suma importancia los certificados digitales
permiten que solo el destinatario con dicho certificado digital al cual fue
dirigido sea la nica persona en recibirlo y poderlo descifrar.

Existen diversos certificados que pueden ser utilizados para mantener

la informacin segura dentro del cedis como son: las firmas digitales,
algn tipo de tarjeta y algn cdigo clave que permita ver los mensajes
o informacin enviada o simplemente que deseen consultarla.

Todo esto en funcin para llevar el control ms a fondo de todos

aquellos empleados que manejen dicha informacin y si en algn
momento llega a haber robo de informacin sea ms fcil de poder
rastrear la fuente de donde fue obtenida.

CONFIGURACIN Y CONFIGURACIN

El dispositivo de Unified Access Gateway, deber habilitar la autenticacin RADIUS,

introducir las opciones de configuracin del servidor RADIUS y cambiar el tipo de
autenticacin a autenticacin RADIUS.
Requisitos

Compruebe que el servidor que se utilizar como servidor de administracin

de autenticacin tenga el software de RADIUS instalado y configurado.
Configure el servidor RADIUS y, a continuacin, configure las solicitudes de
RADIUS en Unified Access Gateway. Consulte las guas de configuracin de
su proveedor de RADIUS si desea obtener ms informacin sobre la
configuracin del servidor RADIUS.

Necesariamente se requiere la siguiente informacin del servidor RADIUS:

Direccin IP o nombre DNS del servidor RADIUS.

Nmeros de puertos de autenticacin. El puerto de autenticacin suele ser

el 1812.

Tipo de autenticacin. Entre los tipos de autenticacin se encuentran PAP

(Protocolo de autenticacin de contrasea), CHAP (Protocolo de
autenticacin por desafo mutuo), MSCHAP1 y MSCHAP2 (Protocolo de
autenticacin por desafo mutuo de Microsoft, versiones 1 y 2).

Secreto compartido de RADIUS que se utiliza para cifrar y descifrar en los

mensajes de protocolo de RADIUS.

Tiempo de espera especfico y valores de reintento necesarios para la

autenticacin RADIUS
Procedimiento

1. En la seccin de configuracin manual de la IU del administrador, haga clic

en Seleccionar.

2. En la seccin Configuracin de autenticacin de Configuracin general,

haga clic en Mostrar.

3. Haga clic en el engranaje de la lnea de RADIUS.

OPCIN DESCRIPCIN

Habilitar RADIUS Cambiar de NO a S para habilitar la autenticacin

RADIUS.

Nombre* El nombre es radius-auth

Tipo de Introduzca el protocolo de autenticacin que es

autenticacin* compatible con el servidor RADIUS. Puede ser PAP,
CHAP, MSCHAP1 O MSCHAP2.

Secreto Introduzca el secreto compartido de RADIUS.

compartido

Nmero de Introduzca el nmero mximo de intentos de inicio de

intentos de sesin fallidos cuando se utiliza RADIUS para iniciar
autenticacin sesin. El valor predeterminado es tres intentos.
permitidos*

Nmero de Introduzca el nmero total de intentos de reintento. Si el

intentos del servidor principal no responde, el servicio espera a la
servidor RADIUS hora configurada antes de volver a intentarlo de nuevo.

Tiempo de espera Introduzca el tiempo de espera del servidor RADIUS en

del servidor en segundos, despus del cual se enva un reintento si el
segundos* servidor RADIUS no responde.

Nombre de host Introduzca el nombre de host o la direccin IP del servidor

del servidor RADIUS.
RADIUS*

Puerto de Introduzca el nmero de puerto de autenticacin RADIUS.

autenticacin El puerto suele ser el 1812.
Prefijo de dominio La ubicacin de la cuenta de usuario se denomina
kerberos dominio kerberos.

Si especifica una cadena de prefijo de dominio kerberos,

esta se colocar delante del nombre de usuario cuando el
nombre se enve al servidor RADIUS.

Sufijo de dominio (Opcional) Si configura un sufijo de dominio kerberos, la

kerberos cadena se coloca al final del nombre de usuario

Nombre del sufijo Introduzca el ID del nombre que hace que View proporcione
del ID una experiencia True SSO

Sugerencia de Introduzca la cadena de texto que se muestra en el

frase de mensaje de la pgina de inicio de sesin del usuario para
contrasea de la indicarle que introduzca el cdigo de acceso RADIUS
pgina de inicio de correcto
sesin

Habilitar el Cambie de NO a S para configurar un servidor RADIUS

servidor secundario para alta disponibilidad. Configure la
secundario informacin del servidor secundario tal y como se
describe en el paso 3.
Configuracin de una conexin de punto a sitio con una red
virtual mediante la autenticacin RADIUS: PowerShell (versin
preliminar)

Una puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexin
segura a la red virtual desde un equipo cliente individual. Las conexiones VPN de
punto a sitio son tiles cuando desea conectarse a la red virtual desde una ubicacin
remota, como desde casa o desde una conferencia. Una VPN P2S tambin es una
solucin til en lugar de una VPN de sitio a sitio cuando hay solo unos pocos clientes
que necesitan conectarse a una red virtual.
Una conexin VPN de punto a sitio se inicia desde dispositivos Windows y Mac. Al
conectarse, los clientes pueden usar los siguientes mtodos de autenticacin:

Servidor RADIUS
Autenticacin mediante certificados nativos de puerta de enlace de VPN

Las conexiones de punto a sitio no requieren un dispositivo VPN ni una direccin IP

de acceso pblico. P2S crea la conexin VPN sobre SSTP (Protocolo de tnel de
sockets seguros) o IKEv2.

SSTP es un tnel VPN basado en SSL que solo se admite en plataformas de

cliente Windows. Puede traspasar firewalls, por lo que resulta ideal para
conectarse a Azure desde cualquier lugar. En el lado servidor, se admiten las
versiones 1.0, 1.1 y 1.2 de SSTP. El cliente decide qu versin va a usar. Para
Windows 8.1 y versiones posteriores, SSTP usa 1.2 de forma predeterminada.
La conexin VPN IKEv2, una solucin de VPN con protocolo de seguridad de
Internet basada en estndares. La conexin VPN IKEv2 puede utilizarse para
la conexin desde dispositivos Mac (versin de OSX 10.11 y versiones
posteriores).

Las conexiones P2S requieren lo siguiente:

Una puerta de enlace de VPN RouteBased.

Un servidor RADIUS para controlar la autenticacin de los usuarios. El servidor
RADIUS puede implementarse de forma local o en la red virtual de Azure.
Un paquete de configuracin de cliente VPN para los dispositivos Windows
que se conectarn a la red virtual. Un paquete de configuracin de cliente VPN
proporciona la configuracin necesaria para que un cliente de VPN realice una
conexin de punto a sitio.
Configuracin del servidor RADIUS

Antes de crear y configurar la puerta de enlace de red virtual, el servidor RADIUS

debe configurarse correctamente para la autenticacin.

1. Si no tiene un servidor RADIUS implementado, implemente uno. Para los

pasos de implementacin, consulte la gua de instalacin que proporciona el
proveedor de RADIUS.
2. Configure la puerta de enlace de VPN como cliente RADIUS en RADIUS. Al
agregar a este cliente RADIUS, especifique la red virtual GatewaySubnet que
ha creado.
3. Una vez configurado el servidor RADIUS, obtenga su direccin IP y el secreto
compartido que deben usar los clientes RADIUS para comunicarse con l. Si
el servidor RADIUS est en la red virtual de Azure, use la direccin IP de
entidad de certificacin de la mquina virtual del servidor RADIUS.