TES1393

BENEMRITA UNIVERSIDAD AUTNOMA DE PUEBLA FACULTAD DE CIENCIAS DE LA COMPUTACIN
AUTENTICACIN DE CLIENTES INALMBRICOS
TESIS PROFESIONAL
PRESENTADA COMO REQUISITO PARA OBTENER EL TTULO DE LICENCIATURA EN CIENCIAS DE LA COMPUTACIN
PRESENTA OMAR COETO HERNNDEZ
ASESOR DR. MANUEL MARTN ORTIZ
FEBRERO 2011
Autenticacin de clientes inalmbricos
INDICE
INDICE ............................................................................................................................. 2 INDICE DE FIGURAS.......................................................................................................... 3 INDICE DE TABLAS ........................................................................................................... 4 INTRODUCCIN ............................................................................................................... 5 CAPTULO 1 - MARCO TERICO ....................................................................................... 7 1.1 CONCEPTOS DE UNA LAN INALMBRICA ............................................................................... 8 1.2 ESTNDARES WLAN ........................................................................................................ 9 1.3 MODOS DE WLANS 802.11 .......................................................................................... 10 1.4 CODIFICACIN INALMBRICA ............................................................................................ 13 1.4.1 Interferencia inalmbrica .................................................................................. 15 1.4.2 rea cubierta, velocidad y capacidad ................................................................ 15 1.5 SEGURIDAD ............................................................................................................... 16 1.5.1 Ataques ............................................................................................................. 16 1.6 ESTANDARES DE SEGURIDAD WLAN.......................................................................... 18 1.6.1 WEP ................................................................................................................... 18 1.6.2 SOLUCIN INTERINA DE CISCO ENTRE WEP Y 802.11i (WPA2) ......................... 20 1.6.3 WPA ................................................................................................................... 21 1.6.4 WPA2 ................................................................................................................. 21 CAPTULO 2 - RADIUS .....................................................................................................23 2.1 FORMATO DE PAQUETES.................................................................................................. 24 2.1.1 Tipos de mensajes RADIUS definidos por los RFC 2865 y 2866 ......................... 25 2.2 AUTENTICACIN 802.1X ................................................................................................. 26 2.2.1 Claves dinmicas de cifrado .............................................................................. 28 2.3 TIPOS DE SERVIDORES...................................................................................................... 30 2.3.1 Distribucin libre ............................................................................................... 30 2.3.2 Comerciales ....................................................................................................... 31 CAPTULO 3 MODELO PROPUESTO ..............................................................................33 3.1 PROBLEMTICA.............................................................................................................. 34 3.2 ANLISIS DE SOLUCIN .................................................................................................... 34 3.3 ANLISIS DE REQUERIMIENTOS .......................................................................................... 34 3.4 DISEO DE LA SOLUCIN .................................................................................................. 35 3.5 ALCANCES Y LIMITACIONES ............................................................................................... 37 3.6 INSTALACIN DEL SERVIDOR ............................................................................................. 37 3.6.1 CONFIGURACIN DEL SERVIDOR ..................................................................................... 38 3.7 GESTIN Y CONFIGURACIN DE USUARIOS ........................................................................... 38 3.8 CONFIGURACIN DEL ACCESS POINT .................................................................................. 44 2
Autenticacin de clientes inalmbricos CAPITULO 4 PRUEBAS ..................................................................................................49 4.1 LINUX ......................................................................................................................... 50 4.1.1 Archivo users ..................................................................................................... 50 4.1.2 Base de datos (MySQL) ...................................................................................... 53 4.2 WINDOWS ................................................................................................................. 55 4.3 OTROS ESCENARIOS ........................................................................................................ 61 CONCLUSIONES Y PERSPECTIVAS ....................................................................................62 APENDICES .....................................................................................................................64 APENDICE A ..................................................................................................................... 65 LISTA DE SERVIDORES RADIUS ................................................................................... 65 APENDICE B ..................................................................................................................... 68 CRIPTOGRAFIA ............................................................................................................ 68 GLOSARIO .......................................................................................................................72 SIMBOLOGIA UTILIZADA EN REDES .................................................................................79 BIBLIOGRAFIA .................................................................................................................80
INDICE DE FIGURAS
Figura 1.1 Ejemplo de una WLAN .......................................................................................... 8 Figura 1.2 WLAN ad-hoc ...................................................................................................... 11 Figura 1.3 Modo infraestructura en WLAN ESS ................................................................... 12 Figura 1.4 Once canales DSSS superpuestos en 2.4Ghz ...................................................... 13 Figura 1.5 Uso de canales de 2.4Ghz DSSS en una WLAN ESS ............................................. 14 Figura 1.6 rea de cobertura en una WLAN 802.11b .......................................................... 16 Figura 2.1 Formato de paquetes RADIUS ............................................................................ 24 Figura 2.2 Proceso de autenticacin RADIUS ...................................................................... 30 Figura 3.1 Area de cobertura del modelo propuesto .......................................................... 36 Figura 3.2 Creacin de usuario de prueba ........................................................................... 38 Figura 3.3 Deteniendo el servidor RADIUS .......................................................................... 39 Figura 3.4 Servidor en espera de solicitudes ....................................................................... 39 Figura 3.5 Peticin aceptada ............................................................................................... 40 Figura 3.6 Peticin aceptada (modo debug) ........................................................................ 40 Figura 3.7 Visualizacin de usuario ...................................................................................... 44 Figura 3.8 Peticin aceptada (SQL) ...................................................................................... 44 Figura 3.9 Datos de acceso del Access Point ....................................................................... 45 Figura 3.10 Pantalla de inicio del Access Point .................................................................... 45 Figura 3.11 Configuracin del canal inalmbrico y nombre de la red ................................. 46 Figura 3.12 Seguridad del Access Point ............................................................................... 46 Figura 3.13 Opciones de autenticacin y cifrado ................................................................. 47 3
Autenticacin de clientes inalmbricos Figura 3.14 Parmetros de configuracin del servidor RADIUS........................................... 47 Figura 4.1 Introduciendo datos para la autenticacin ......................................................... 50 Figura 4.2 Advertencia de no usar certificados ................................................................... 51 Figura 4.3 Conexin exitosa a la red inalmbrica ................................................................ 51 Figura 4.4 Proceso de autenticacin .................................................................................... 52 Figura 4.5 Autenticacin satisfactoria ................................................................................. 52 Figura 4.6 Introduciendo datos para la autenticacin ......................................................... 53 Figura 4.7 Advertencia de no usar certificados ................................................................... 53 Figura 4.8 Conexin exitosa a la red inalmbrica ................................................................ 54 Figura 4.9 Proceso de autenticacin .................................................................................... 54 Figura 4.10 Autenticacin exitosa........................................................................................ 55 Figura 4.11 Configuracion manual de red inalmbrica ........................................................ 56 Figura 4.12 Datos de configuracin de red inalmbrica ...................................................... 56 Figura 4.13 Configuracin de red completa ........................................................................ 57 Figura 4.14 Seleccin de mtodo de autenticacin ............................................................. 57 Figura 4.15 Configuracin de perfil SecureW2 .................................................................... 58 Figura 4.16 Configuracin de conexin SecureW2 .............................................................. 58 Figura 4.17 Configuracin de certificados ........................................................................... 59 Figura 4.18 Configuracin de mtodo de autenticacin SecureW2 .................................... 59 Figura 4.19 Configuracin de usuario SecureW2 ................................................................. 60 Figura 4.20 Conexin exitosa a la red inalmbrica .............................................................. 60
INDICE DE TABLAS
Tabla 1.1 Organizaciones que influyen en los estndares WLAN .......................................... 9 Tabla 1.2 Estndares WLAN ................................................................................................. 10 Tabla 1.3 Modos de una WLAN ........................................................................................... 12 Tabla 1.4 Clases de codificacin y estndares IEEE WLAN .................................................. 14 Tabla 1.5 Estndares de seguridad WLAN ........................................................................... 18 Tabla 1.6 Funcionalidades clave de seguridad de los estndares WLAN ............................. 22 Tabla 2.1 Tipos de mensajes RADIUS ................................................................................... 25
INTRODUCCIN
La seguridad inalmbrica es la prevencin del acceso no autorizado de clientes y/o servidores que utilizan una red inalmbrica. En los ltimos aos se ha visto un notable incremento de la demanda de conexiones de red inalmbricas, a tal grado de que las compaas ofrecen sus servicios de conexin (principalmente internet) de esta manera, pasando a dejar a las conexiones cableadas a un segundo plano. A la par del auge de conexiones inalmbricas tambin han proliferado masivamente la cantidad de dispositivos que incorporan la conectividad inalmbrica, esto ha ocasionado problemas de intrusin en las redes inalmbricas (ya sea empresariales, escolares, domsticas, y en general), lo que causa que el rendimiento de la red se vea mermado llegando en algunos casos en volverla inutilizable. Un caso particular, es el de las conexiones domsticas donde usuarios al tener cierta velocidad de conexin, esta se ve drsticamente reducida por la facilidad con que usuarios en el radio de la seal inalmbrica puedan conectarse a dicha red, por la debilidad de la clave de conexin WEP (que es la que ocupan prcticamente la mayora de las conexiones domsticas). Por lo que actualmente ya no es una opcin si no que se ha vuelto obligatorio usar mtodos ms estrictos para la autenticacin en una red, utilizando mtodos de encriptacin ms slidos, como puede ser la utilizacin de WPA2.
Objetivo:
El objetivo general es implementar un sistema de seguridad para redes inalmbricas con el fin de restringir el acceso a computadoras que no estn autorizadas a operar en el entorno especifico, esto va a ser posible gracias a una aplicacin instalada en el cliente, el cual, al comunicarse por medio
5
de un protocolo con el Access Point (en funcin a un servidor de seguridad) va a decidir si los datos que recibe son validos y as otorgar o no acceso.
Objetivos especficos Implementar un sistema de autenticacin basado en RADIUS Habilitar un esquema de seguridad bsica para redes inalmbricas
Para lograr estos objetivos, en el presente trabajo de tesis se enunciaran y analizaran las diversas tecnologas que se usan en la construccin de redes inalmbricas seguras, esto se har con el manejo de un marco terico que expondr cada uno de los conceptos e ideas relacionadas, tambin se vern los conceptos relacionados con RADIUS, una especificacin que facilita la implementacin de seguridad en una red, con el uso de la variante gratuita FreeRADIUS. Finalmente se presenta la implementacin del modelo propuesto as como las pruebas y resultados obtenidos de dicha implementacin para sacar las debidas conclusiones.
CAPTULO 1 - MARCO TERICO
Este captulo examina los fundamentos de las WLANs. En concreto, la primera seccin es una introduccin a los conceptos, protocolos y estndares que se utilizan en las WLANs, as como una breve comparacin con las LAN. Posteriormente la siguiente seccin principal habla de la seguridad WLAN, un tema particularmente importante porque las seales WLAN son mucho ms susceptibles de ser interceptadas por un atacante en comparacin con las LAN.
1.1 Conceptos de una LAN inalmbrica En la actualidad, muchas personas utilizan las WLANs regularmente. Las ventas de PCs siguen inclinndose a favor de los porttiles frente a las de escritorio, en parte para dar soporte a un mundo cada vez ms mvil. Los usuarios de PC necesitan conectarse a cualquier red que tengan cerca, sea en el trabajo, en un hotel, en una cafetera o en una librera. La migracin hacia un modelo en el que los momentos de trabajo estn all donde cada uno esta, con la necesidad de conectarse a Internet en cualquier momento, continua fomentando el crecimiento de las WLANs. Por ejemplo, la Figura 1.1 muestra el diseo de una LAN, que ofrece acceso inalmbrico a internet mediante el uso de un Access Point.
Figura 1.1 Ejemplo de una WLAN 8
Los PCs porttiles se pueden comunicar con un Access Point, el AP utiliza las comunicaciones inalmbricas para enviar y recibir tramas con los clientes WLAN. El AP tambin conecta con la misma LAN cableada, lo que permite a usuarios comunicarse con el resto de los equipos. [4] Comparacin con las LANs Las WLAN son parecidas a las LAN en muchos aspectos, uno de ellos, el ms importante es que se permite la comunicacin entre dispositivos. Sus estndares son definidos por el IEEE, siendo la familia IEEE 802.3 para las LAN y la familia 802.11 para las WLANs. Los dos estndares definen un formato de trama con una cabecera y una informacin final: la cabecera incluye campos para las direcciones MAC de origen y de destino, de 6 bytes cada uno. La diferencia ms grande entre las dos reside en el hecho de que las WLAN's utilizan ondas de radiofrecuencia para transmitir los datos, mientras que las LAN utilizan seales elctricas que fluyen por un cable (o luz en caso de cableado de fibra ptica). Las ondas de radiofrecuencia atraviesan el espacio, por lo que tcnicamente no se necesita de un medio de transmisin fsico, sin embargo la presencia en particular de paredes u objetos metlicos puede reducir la seal inalmbrica. [4] 1.2 Estndares WLAN A la fecha, el IEEE ha ratificado cinco estndares WLAN principales: 802.11, 802.11a, 802.11b, 802.11g y 802.11n. Esta seccin incluye los detalles bsicos de cada estndar WLAN, junto con informacin sobre otros dos cuerpos de normalizacin. Cuatro organizaciones tienen mucho que ver con los estndares que se utilizan para las WLANs. La tabla 1.1 detalla estas organizaciones y describe sus roles.
Tabla 1.11Organizaciones que influyen en los estndares WLAN
Organizacin ITU-R IEEE Wi-Fi Alliance FCC Rol en la normalizacin Normalizacin a nivel mundial de comunicacin y asignacin de frecuencias Normalizacin de las WLANs (802.11) Impulsa la operatividad de productos WLAN a travs de su programa de certificacin Wi-Fi Agencia que regula el uso de distintas frecuencias
De las organizacin mencionadas en la tabla, el IEEE desarrolla los estndares especficos para los distintos tipos de WLANs que se utilizan actualmente. Estos estndares deben tener en cuenta las elecciones de frecuencia efectuadas por las agencias reguladoras como la FCC y la ITU-R. El IEEE introdujo los estndares WLAN con la creacin de la ratificacin en 1997 del estndar 802.11. Este estndar original no tena como sufijo una letra, algo caracterstico de los estndares WLAN posteriores. Esta lgica de denominacin, tambin se daba en el estndar LAN original del IEEE. Dicho estndar era el 802.3; los estndares posteriores ya incorporan una letra como sufijo, como por ejemplo, el estndar 802.3u para FastEthernet. El estndar 802.11 original ha sido reemplazado por estndares mucho ms avanzados. En orden de ratificacin, los estndares son 802.11b, 802.11a, 802.11g y 802.11n. La tabla 1.2 muestra algunos de los detalles de los estndares ya ratificados. [4]
Tabla 1.22Estndares WLAN
Caracterstica Ao de ratificacin Velocidad mxima terica Banda de frecuencia Otras velocidades soportadas por el estndar 802.11a 1999 54mbps 5Ghz 6, 12, 24 802.11b 1999 11mbps 2.4Ghz 1, 2, 5.5 802.11g 2003 54mbps 2.4Ghz 6, 12, 24 802.11n 2009 150mbps 5Ghz 1, 11, 54
1.3 Modos de WLANs 802.11 Las WLANs pueden usar uno de dos modos: modo ad-hoc o modo de infraestructura. En el modo ad-hoc (vase la figura 1.2), un dispositivo inalmbrico se conecta directamente solo con un nico dispositivo, en este caso, los dispositivos se envan directamente tramas WLAN entre s.
10
Figura 1.2 WLAN ad-hoc
En el modo de infraestructura, cada dispositivo se comunica con un AP, y este se conecta a travs de una LAN, al resto de la infraestructura de la red. El modo infraestructura permite a los dispositivos WLAN comunicarse con servidores e Internet en una red LAN existente. Los dispositivos de infraestructura WLAN no se pueden enviar tramas directamente entre s; en lugar de eso pueden enviar tramas al AP, que a su vez puede enviar las tramas a otros dispositivos WLAN. El modo de infraestructura soporta dos modos. El primero, denominado BSS (Basic Service Set), utiliza un solo AP, para crear la WLAN. El otro modo, denominado ESS (Extended Service Set), utiliza ms de un AP para permitir la cobertura por un rea ms grande. Las WLANs ESS (vase la figura 1.3) permiten el trnsito o roaming, es decir, los usuarios pueden moverse por el rea cubierta y seguir conectados a la misma WLAN, sin necesidad de que se cambie la direccin IP. Todo lo que el dispositivo tiene que hacer es detectar cuando se empieza a debilitar la seal procedente del AP actual; busca un AP nuevo y mejor con una seal ms fuerte; y empieza a usar el AP nuevo. [4]
11
Figura 1.3 Modo infraestructura en WLAN ESS
La tabla 1.3 resume los modos WLAN a modo de referencia rpida
Tabla 1.33Modos de una WLAN

Modo Ad-hoc Service Set IBSS (Independent Basic Service Set) BSS (Basic Service Set) ESS (Extended Service Set) Descripcin Permite que dos dispositivos se comuniquen directamente. No se necesita un AP. Una sola WLAN creada con un AP y todos los dispositivos asociados a ese AP. Varios APs crean una WLAN, permitiendo el trnsito y un rea de cobertura ms grande.
Infraestructura (Solo un AP) Infraestructura (Mas de un AP)
12
1.4 Codificacin inalmbrica Cuando una tarjeta de red inalmbrica o un AP enva datos, puede modular (cambiar) la frecuencia, la amplitud y la fase de la seal para codificar un cero o un uno binario. Estos detalles de codificacin no entran en los objetivos de este trabajo. Sin embargo se expondrn los nombres de tres clases de codificacin generales, en parte porque el tipo de codificacin requiere cierta planificacin y previsin para algunas WLANs. El espectro disperso por salto (FHSS, Frequency Hopping Spread Spectrum) utiliza todas las bandas de frecuencia. Al usar frecuencias ligeramente diferentes para las transmisiones consecutivas, un dispositivo tiene la posibilidad de evitar la interferencia provocada por otros dispositivos que usan la misma banda de frecuencia. Los estndares WLAN 802.11 originales utilizan FHSS, pero no as los estndares actuales (802.1a, 802.11b y 802.11g). El espectro disperso de secuencia directa (DSSS, Direct Sequence Spread Spectrum) es la siguiente clase general de tipo de codificacin para las WLANs. El DSSS se dise para su uso en la banda no regulada de 2.4Ghz, y utiliza uno de varios canales separados o frecuencias. Esta banda tiene un ancho de banda de 82Mhz, con un rango que va de 2.402Ghz a 2.483Ghz. Segn su regulacin por la FCC, esta banda puede tener 11 canales DSSS superpuestos, como muestra la figura 1.4.
Figura 1.4 Once canales DSSS superpuestos en 2.4Ghz
13
Aunque muchos de los canales que aparecen en la figura estn superpuestos, tres de ellos (los situados en los extremos izquierdo y derecho, y el canal central) no se superponen lo suficiente como para provocar un impacto entre s. Estos canales (1, 6 y 11) se pueden utilizar en el mismo espacio para las comunicaciones WLAN, y no interfieren entre s. La figura 1.5 muestra la idea.
Figura 1.5 Uso de canales de 2.4Ghz DSSS en una WLAN ESS
La ltima de las tres categoras de codificacin para las WLANs es la multiplexion por divisin de frecuencia ortogonal (OFDM, Orthogonal Frequency Division Multiplexing). Al igual que DSSS, las WLANs que usan OFDM pueden utilizar varios canales no superpuestos. La tabla 1.4 resume los puntos clave y los nombres de las tres opciones principales de codificacin. [4]
Tabla 1.44Clases de codificacin y estndares IEEE WLAN
Codificacin FHSS DSSS OFDM Utilizado por 802.11 802.11b 802.11a, 802.11g, 802.11n
14
1.4.1 Interferencia inalmbrica Las WLANs pueden sufrir la interferencia de muchas fuentes. Las ondas de radiofrecuencia deben atravesar paredes, suelos, techos, etc. Este inconveniente provoca que la seal sea parcialmente absorbida, lo que reduce su fuerza y el tamao del rea cubierta, en particular si hay demasiado metal cerca, lo que puede provocar puntos muertos (reas en las que la WLAN no funciona) y un rea cubierta ms pequea, adems la comunicacin inalmbrica se ve afectada por otras transmisiones en el mismo rango de frecuencia.
1.4.2 rea cubierta, velocidad y capacidad Un rea de cobertura WLAN es el espacio en el que los dos dispositivos WLAN pueden enviar datos satisfactoriamente. El rea de cobertura creada por un AP en particular depende de muchos factores, varios de los cuales se detallan a continuacin. La potencia de transmisin de un AP o de una tarjeta de red inalmbrica no puede exceder un nivel particular en base a las regulaciones de las agencias de regulacin. La FCC limita la potencia de transmisin para asegurar la imparcialidad en las bandas no reguladas. Por ejemplo, si dos vecinos compran APs y los instalan en sus casas, los productos deben acatar las regulaciones de la FCC. Por ejemplo colocar el AP cerca de un archivador metlico grande as como muros de gran grosor, influye en la reduccin del rea de cobertura, debido a esto, las seales inalmbricas ms dbiles no pueden pasar datos a velocidades altas, pero pueden hacerlo a velocidades ms bajas, esto es gracias a que los estndares WLAN soportan velocidades diferentes, por ejemplo, un dispositivo cercano al AP puede tener una seal fuerte y transmitir datos rpidamente, un dispositivo en los lmites del rea de cobertura puede transmitir datos pero a velocidades ms bajas. La figura 1.6 muestra la idea de un rea de cobertura, con velocidades variables, para una red 802.11b.
15
Figura 1.6 rea de cobertura en una WLAN 802.11b
Los principales mtodos para aumentar el rea de cobertura de un AP son el uso de antenas especializadas. El tamao real del rea de cobertura depende de un gran nmero de factores, algunos de los cuales son la banda de frecuencia utilizada por el estndar WLAN, las obstrucciones entre los dispositivos, la interferencia de otras fuentes de energa, etc. [4] 1.5 SEGURIDAD Las WLANs sufren ciertas vulnerabilidades que no existen para las LANs. Algunas de estas vulnerabilidades otorgan al atacante una oportunidad de provocar dao robando informacin, accediendo a los host de la parte cableada de la red, o impidiendo el servicio mediante un ataque de denegacin de servicio (Dos, denial-of-service). Otras vulnerabilidades pueden ser provocadas por un usuario con pocos conocimientos que instala un AP sin autorizacin y sin tener en cuenta la seguridad. Esto permitira a cualquiera acceder al resto de la red a travs de ese AP. 1.5.1 Ataques Los ataques a las WLANs se pueden clasificar principalmente de dos formas:
16
Ataques de repeticin: construyen de manera incremental copias de la clave usando un bit a la vez mediante el anlisis estadstico de las respuestas predecibles a los mensajes de texto simple que enva el atacante. Ataques de modificacin de bits: son similares a los ataques de repeticin en el sentido de que se basan en las respuestas predecibles. El atacante modifica un mensaje para provocar un mensaje de error cifrado, el cual entonces se puede comparar con la respuesta predecible para derivar la clave a travs de mltiples iteraciones. Existen otras formas de ataques a la seguridad de la red, ya sean WLANs o LANs, estos ataques y las maneras en que se pueden aplicar a las WLANs son las siguientes: Ataques de denegacin de servicio (DOS): Estn diseados para obligar que la red deje de funcionar. Por ejemplo en internet un ataque DOS muy comn se puede llevar a cabo mediante peticiones de datos a un servidor el cual se satura al ser incapaz de controlar un enorme volumen de solicitudes y por lo tanto no da respuesta a peticiones legtimas. En el aspecto inalmbrico este tipo de ataques es saturar la banda de frecuencia con ruido. Una forma bsica de lograr ruido es solo con colocar un telfono inalmbrico de la misma frecuencia del AP cerca del mismo y luego hacer una llamada. La energa que crean la mayora de los telfonos inalmbricos es suficiente para bloquear de manera efectiva parte del trfico del AP. Ataques de diccionario: Se basan en el hecho de que mediante algunos modelos de autenticacin, una contrasea se mantiene en secreto, pero el nombre de usuario se enva en forma de texto simple y se puede interceptar fcilmente. Por lo tanto, un atacante puede obtener distintos nombres de usuario y luego comenzar el proceso de adivinar contraseas, conocido comnmente como ataque de fuerza bruta, puede ser exitoso si la contrasea es dbil como por ejemplo fecha de nacimiento del usuario legtimo. War drivers: A menudo, el atacante solo busca una conexin gratuita a internet. Esta persona se mueve por los alrededores, intentando encontrar
17
los APs que carecen de medidas de seguridad, o bien que su seguridad es dbil. AP falso: El atacante captura los paquetes de la LAN inalmbrica existente para buscar el SSID y romper las claves de seguridad (si se utilizan). Despus puede configurar su propio AP con los mismos ajustes, y conseguir que los clientes legtimos lo utilicen. Esto a su vez puede provocar que los usuarios introduzcan sus nombres de usuario y contrasea. [4]
1.6 ESTANDARES DE SEGURIDAD WLAN Los estndares WLAN han progresado con los aos en cuanto a responder a la creciente necesidad de una seguridad ms fuerte. La tabla 1.5 muestra los cuatro estndares principales de la seguridad WLAN.
Tabla 1.55Estndares de seguridad WLAN
Nombre WEP (Wired Equivalent Privacy) Solucin interina de Cisco WPA (Wi-Fi Protected Access) 802.11i (WPA2) Ao 1997 2001 2003 2005 Definido por: IEEE Cisco Alianza Wi-Fi IEEE
1.6.1 WEP La seguridad ha sido parte de los estndares WLAN desde que apareci el estndar 802.11 con velocidades de 1 y 2 mbps en 1997. Es importante recordar el estado de la industria en ese momento. Debido a las velocidades de datos relativamente bajas en comparacin con las redes cableadas y precios altos en esos tiempos, las WLAN eran simplemente un lujo tecnolgico, destinado casi exclusivamente a los mercados empresariales y grandes corporaciones. En 1997, las WLAN representaban una tecnologa relativamente incipiente, lo cual solo era importante para un mnimo nmero de personas, en ese tiempo las WLAN no eran el fenmeno de hoy en da, y las personas no estaban interesadas en buscar este tipo de redes.
18
Dada la manera drstica en que la industria WLAN ha cambiado a lo largo de un periodo inherentemente corto, no es sorprendente que el estndar de seguridad que acompaaba a los estndares WLAN originales haya quedado tan tremendamente obsoleto (aunque hoy en da se sigue utilizando en equipos domsticos como AP, routers). El estndar inicial se conoce como Privacidad Equivalente al Cableado (WEP), que en ese tiempo tena la tarea de proporcionar la seguridad a las personas que enviaban informacin a travs de la red tal como, por ejemplo, nmeros de tarjeta de crdito, nmeros de cuenta bancaria. Desafortunadamente, el estndar se volva cada da ms obsoleto debido al rpido desarrollo del mercado, este trmino de seguridad comenz a verse como un vaco. El estndar WEP proporciona el cifrado de paquetes usando claves de cifrado estticas que comporten todos los dispositivos de la WLAN, inclusive los AP y los clientes. Cuando se aplica a redes relativamente pequeas, que son tpicas en entornos como conexiones a internet domsticas, se debe introducir manualmente la clave WEP de conexin en cada uno de los clientes que deseen conectarse, lo que resulta una tarea tediosa y causa principalmente los siguientes problemas al utilizar este tipo de clave: Claves pre compartidas estticas (PSK, Static Preshared Keys). El valor de la clave tena que configurarse en cada cliente y en cada AP, sin una forma dinmica de intercambiar las claves sin intervencin del usuario. En consecuencia, muchas personas no se molestaban en modificar las claves regularmente, sobre todo en las empresas con una gran cantidad de clientes inalmbricos. Claves que se pueden descifrar fcilmente. Los valores de las claves son cortos (64 bits, de los que solo 40 son la nica clave real). De este modo era ms fcil predecir el valor de las claves basndose en las tramas copiadas desde la WLAN. Adems el hecho de que la clave normalmente nunca cambia, significa el hecho de que un usuario sin conocer la clave de la WLAN puede hacer infinitos intentos de autenticacin, lo que facilita encontrar la clave
Una funcin adicional de WEP es el filtrado de direcciones MAC. El AP se puede configurar con una lista de direcciones MAC permitidas, filtrando el
19
trafico enviado de los clientes WLAN cuya direccin MAC no figura en la lista impide el acceso a los curiosos que intenten acceder a la WLAN, pero no puede detener un ataque real. El atacante puede utilizar un adaptador WLAN que permite que su direccin MAC cambie, copiar tramas legtimas, establecer su direccin MAC propia a una de las direcciones MAC legtimas, y obtener acceso a la WLAN. Este estndar de seguridad inicial para las WLAN, tena muchos problemas, los otros tres grandes estndares de los que se mencionaran a lo largo del captulo, representan una progresin de los estndares cuyo objetivo es en parte solucionar los problemas creados por WEP. La idea de que usuarios malintencionados, se colocaran tranquilamente cerca del alcance una WLAN, obteniendo acceso a la misma, propulso el uso de estndares de seguridad ms robustos. [4] 1.6.2 SOLUCIN INTERINA DE CISCO ENTRE WEP Y 802.11i (WPA2) Debido a los problemas de seguridad con WEP, los fabricantes, en particular Cisco y la alianza Wi-Fi, buscaron resolver el problema con sus propios estndares, de forma simultnea al proceso de normalizacin del IEEE, que es ms lento. La respuesta Cisco inclua algunas mejoras propietarias para el cifrado, junto con el estndar IEEE 802.1x para la autenticacin del usuario final. Las caractersticas principales de las mejoras de Cisco son las siguientes: Intercambio dinmico de la clave (en lugar de claves pre compartidas estticas). Una nueva clave de cifrado para cada paquete
El uso de un proceso de intercambio dinmico de la clave resulta de ayuda porque los clientes y el AP pueden intercambiar las claves ms a menudo, sin intervencin del usuario. En consecuencia, si la clave es descubierta, la exposicin puede ser efmera. Adems, cuando la informacin de la clave se intercambia dinmicamente, se puede entregar una nueva clave a cada paquete, de modo que el cifrado utiliza una clave diferente cada vez. De
20
esta forma, aun cuando un atacante lograra descubrir la clave utilizada para un paquete concreto, solo podra descifrar ese paquete, lo que minimiza la exposicin. [4] 1.6.3 WPA La solucin de Cisco a las dificultades de WEP inclua protocolos propietarios, as como el estndar IEEE 802.1x. Despus de que Cisco integrara sus estndares de seguridad WLAN propietarios en los APs Cisco, la alianza Wi-Fi cre un estndar de seguridad WLAN multifabricante. Al mismo tiempo, el IEEE estaba trabajando en el estndar de seguridad IEEE WLAN oficial, 802.11i, pero la industria WLAN necesitaba una solucin ms rpida que esperar el estndar IEEE. As pues, la alianza Wi-Fi tomo el trabajo en progreso del comit 802.11i, y defini un estndar industrial. La alianza Wi-Fi llevo a cabo entonces su tarea normal de certificacin de los protocolos de los fabricantes como si se encontraran con el nuevo estndar, que se denominaba WPA. WPA desempeo en esencia las mismas funciones que la solucin interina de Cisco, pero con detalles diferentes. WPA incluye la opcin de utilizar el intercambio dinmico de la clave mediante el protocolo TKIP. WPA permite el uso de la autenticacin de usuario IEEE 802.1x o la autenticacin de dispositivo simple utilizando claves pre compartidas. WPA tena dos grandes ventajas. En primer lugar, mejor mucho la seguridad en comparacin con WEP. La segunda ventaja es que el programa de certificacin de la alianza Wi-Fi ya disfrutaba de gran xito cuando llego WPA, por lo que los fabricantes tenan un buen aliciente para dar soporte a WPA y que sus productos fueran certificados como WPA. Con la ventaja de elegir productos de diferentes fabricantes con la confianza de que la seguridad WPA funcionaria bien. 1.6.4 WPA2 El IEEE ratifico el estndar 802.11i en 2005; ms tarde llegaron especificaciones relacionadas adicionales. Al igual que la solucin propietaria de Cisco, y el estndar de la industria WPA de la alianza Wi-Fi,
21
802.11i incluye el intercambio dinmico de la clave, un cifrado mucho ms fuerte y la autenticacin de usuario. Sin embargo los detalles difieren lo suficiente como para que el estndar 802.11i no sea compatible hacia atrs con WPA ni con los protocolos propietarios de Cisco. Una mejora particularmente importante sobre los estndares interinos de Cisco y WPA es la inclusin del estndar AES en el 802.11i. AES proporciona un cifrado incluso mejor que los estndares interinos de Cisco y WEP, con claves ms largas y algoritmos de cifrado mucho ms seguros. La alianza Wi-Fi contina con su papel de certificacin de productos para 802.11i, pero con una peculiaridad en los nombres que se utilizan para el estndar. Debido al xito del estndar industrial WPA y la popularidad del trmino mismo, la alianza Wi-Fi denomino 802.11i como WPA2. As pues al comprar y configurar productos es ms probable encontrar referencias a WPA2 que a 802.11i. La tabla 1.6 resume las funcionalidades clave de los distintos estndares de seguridad WLAN. [4]
Tabla 1.66Funcionalidades clave de seguridad de los estndares WLAN
Estndar WEP Cisco WPA 802.11i (WPA2) Tipo de clave Esttica Dinmica Ambas Ambas Autenticacin usuario Si (dbil) Si Si Si del Autenticacin Ninguna Si (802.1x) Si (802.1x) Si (802.1x) Cifrado Si (dbil) Si (TKIP) Si (TKIP) Si (AES)
22
CAPTULO 2 - RADIUS
23
RADIUS es un protocolo ampliamente usado en el ambiente de redes, para dispositivos tales como routers, servidores y switches entre otros. Es utilizado para proveer autenticacin centralizada, autorizacin y manejo de cuentas para redes de acceso dial-up, redes privadas virtuales (VPN) y, recientemente, para redes de acceso inalmbrico. Un cliente RADIUS enva credenciales de usuario e informacin de parmetros de conexin en forma de un mensaje RADIUS al servidor. ste autentifica y autoriza la solicitud del cliente y enva de regreso un mensaje de respuesta. Los clientes RADIUS tambin envan mensajes de cuentas a servidores RADIUS. Los mensajes RADIUS son enviados como mensajes UDP (User Datagram Protocol). El puerto UDP 1812 es usado para mensaje de autenticacin RADIUS y, el puerto UDP 1813, es usado para mensajes de cuentas RADIUS. Algunos servidores usan el puerto UDP 1645 para mensajes de autenticacin y, el puerto 1646, para mensajes de cuentas. Esto ltimo debido a que son los puertos que se usaron inicialmente para este tipo de servicio.
2.1 Formato de Paquetes Los datos entre el cliente y el servidor son intercambiados en paquetes RADIUS (vase la figura 2.1). Cada paquete contiene la siguiente informacin:
Figura 2.17 Formato de paquetes RADIUS
24
Los campos en un paquete RADIUS son: Code (Cdigo). Un octeto que contiene el tipo de paquete. Identifier (Identificador). Un octeto que permite al cliente RADIUS relacionar una respuesta RADIUS con la solicitud adecuada. Length. Longitud del paquete (2 octetos). Authenticator (Verificador). Valor usado para autenticar la respuesta del servidor RADIUS. Es usado en el algoritmo de encubrimiento de contrasea. Attributes (Atributos). Aqu son almacenados un nmero arbitrario de atributos. Los nicos atributos obligatorios son el User-Name (usuario) y el User-Password (contrasea). [8]
2.1.1 Tipos de mensajes RADIUS definidos por los RFC 2865 y 2866
Tabla 2.17Tipos de mensajes RADIUS
Descripcin Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response Access-Challenge Status-Server (experimental) Status-Client (experimental) Reserved
La tabla 2.1 muestra los tipos de mensajes RADIUS a modo de referencia rpida, a continuacin se enlistan detalladamente.
25
Access-Request. Enviado por un cliente RADIUS para solicitar autenticacin y autorizacin para conectarse a la red. Debe contener el usuario y contrasea. Access-Accept. Enviado por un servidor RADIUS en respuesta a un mensaje de Access-Request. Informa que la conexin est autenticada y autorizada. Access-Reject. Enviado por un servidor RADIUS en respuesta a un mensaje de Access-Request. Este mensaje informa al cliente RADIUS que el intento de conexin ha sido rechazado. Un servidor RADIUS enva este mensaje ya sea porque las credenciales (nombre de usuario y contrasea) no son autnticas. Access-Challenge. Envo de un servidor RADIUS en respuesta a un mensaje de Access-Request. Este mensaje es un desafo para el cliente RADIUS. Si este tipo de paquete es soportado, el servidor pide al cliente que vuelva a enviar un paquete Access-Request para hacer la autenticacin. En caso de que no sea soportado, se toma como un Access-Reject. Accounting-Request. Enviado por un cliente RADIUS para especificar informacin de cuenta para una conexin que fue aceptada. Accounting-Response. Enviado por un servidor RADIUS en respuesta a un mensaje de Accounting-Request. Este mensaje reconoce el procesamiento y recepcin exitosa de un mensaje de Accouting-Response. [6][7] 2.2 Autenticacin 802.1x 802.1x IEEE es un estndar para el control de acceso a la red basado en puertos. Obsrvese que pertenece al grupo 802.1, y es parte de un conjunto de estndares que se aplican a una amplia variedad de estndares de red. De hecho, 802.1x fue diseado originalmente para usarse con tecnologas cableadas. Sin embargo, 802.1x fue adoptado por la industria inalmbrica como la medida principal de autenticar usuarios en WLAN.
26
La arquitectura 802.1x est compuesta de tres partes principales: un solicitante, un autenticador y un servidor de autenticacin. Cuando se aplica a WLAN, el solicitante reside en los dispositivos de cliente y el AP sirve como el autenticador. El AP acta como autenticador permitiendo que el dispositivo cliente obtenga acceso a la red solo despus de que el cliente ha sido autenticado. Los servidores RADIUS (Remote Authentication Dial-In User Service) que inicialmente fueron desarrollados para la autenticacin de usuarios de red remotos que usaban una conexin telefnica hacia la red a travs del sistema telefnico inseguro, fueron mejorados para autenticar usuarios accediendo a la red a travs de un medio igualmente inseguro: ondas de radiofrecuencia. El proceso de autenticacin de 802.1x cuando se aplica a las WLAN funciona de la siguiente manera:
El cliente obtiene acceso al medio inalmbrico y crea una asociacin con un AP. El AP compatible con 802.1x acepta la asociacin pero ubica al cliente en una rea de espera sin estar autenticado. Para el cliente sin autenticacin, el puerto virtual, es decir, la puerta de enlace hacia la red est bloqueada. El AP enva una solicitud de identificacin al cliente. El cliente proporciona una respuesta de identificacin que tiene el nombre de usuario. Al recibir la respuesta de identificacin, el AP reenva esta respuesta a travs del enlace cableado hacia el servidor RADIUS. Si un AP est configurado de manera que solo acepte clientes compatibles con 802.1x y la respuesta de identificacin del cliente no ha llegado, el cliente contina asociado con el AP pero dentro del rea de espera de manera indefinida sin ser autenticado (sin acceso a la red). El servidor RADIUS busca el ID de usuario en la base de datos. Es importante observar que los servidores RADIUS mismos no siempre incorporan una base de datos con ID de usuario y credenciales de autenticacin, si no que acceden a estas credenciales que estn en una base de datos separadas. La ventaja de este enfoque es una
27
base de datos comn, y a menudo preexistente, se puede habilitar de manera que soporte la autenticacin inalmbrica adems de la cableada. Una vez que el ID de usuario ha sido identificado por el servidor RADIUS, comienza con un proceso de interrogacin al cliente (en donde el AP pasa las preguntas del servidor RADIUS al cliente). El cliente responde a estas preguntas hasta que llega el momento de que el servidor RADIUS determina que el cliente es en realidad legtimo. Debido a que 802.1x no especifica los tipos de autenticacin, dejando este aspecto a los fabricantes individuales, pueden variar los medios a travs de los cuales el cliente es interrogado, responde y la forma en que finalmente es autenticado en la red, este aspecto queda fuera del objetivo de este trabajo. Lo que es cierto es que en todos los casos la informacin debe ser confidencial, como las contraseas. Una vez que el cliente ha sido autenticado en la red a travs del AP y el servidor RADIUS, y la red ha sido autenticada en el cliente, se abre el puerto virtual en el AP y el cliente puede comenzar a acceder a la WLAN y a la red cableada. [10]
2.2.1 Claves dinmicas de cifrado A pesar de que la autenticacin 802.1x resuelve las capacidades de autenticacin relativamente dbiles del estndar 802.11 original, no resuelve de manera directa el problema de las claves de cifrado. Es decir, no resuelve los aspectos de escalabilidad o administracin asociados con las claves estticas de cifrado, las cuales son comunes a lo largo de toda la red y se almacenan en todos los dispositivos de cliente. Lo que resuelve este problema es la incorporacin de un servidor de autenticacin a la arquitectura de la red. Un servidor RADIUS proporciona no solo las capacidades de autenticacin, sino tambin la capacidad de generar claves de cifrado que son especficas para ese cliente en particular.
28
Cuando el cliente ha sido autenticado por el servidor RADIUS despus de haber comparado las credenciales del cliente con las credenciales almacenadas en la base de datos, el servidor RADIUS tambin inicia el proceso de la generacin de claves dinmicas, este proceso de intercambio de claves se lleva a cabo durante la autenticacin del cliente en la red. Obsrvese que estas claves especficas del cliente son claves de unidifusin, que solo se usan cuando el trfico est dirigido a un cliente en particular. Las claves de multidifusin se usan cuando el trfico se emite a una variedad de clientes, que son compartidas y tienen algunas de las mismas desventajas que las claves WEP compartidas. Las claves especficas de cliente no solo son particulares para el cliente, sino tambin son especficas para una sesin de cliente. La mayora de los servidores RADIUS proporcionan la capacidad de ajustar la duracin de la sesin. Mientras ms corta sea la duracin de la sesin, ser menor el nmero de paquetes que se enviaran con una clave de cifrado particular. Esto significa que los intrusos tendrn menos paquetes que analizar, lo cual hace que el trabajo de descubrir una clave sea mucho ms difcil. Por lo tanto mientras ms corta sea la duracin de la sesin, ser mayor el nmero de autenticaciones necesarias durante un periodo determinado. Dependiendo de la arquitectura y carga de la red, esto puede dar como resultado problemas en el desempeo debido a que el servidor RADIUS debe funcionar con un grado mayor de intensidad. Al crear claves de unidifusin que sean especficas para una sola sesin y un solo usuario, la severidad de que se rompa la seguridad en el caso de que una clave sea pirateada, queda enormemente mitigada. La ruptura en la seguridad resultara en la desproteccin de los datos de solo ese usuario y solo para esa sesin en particular. Esto contrasta con la perdida de las claves de cifrado estticas y compartidas, las que permiten que el atacante descifre paquetes de todos los usuarios y todas las sesiones tanto actuales como posteriores. Estas claves dinmicas de cifrado desaparecen del dispositivo del usuario final al trmino de su sesin o cuando el dispositivo es apagado. La figura 2.2 muestra el proceso de autenticacin RADIUS.[10]
29
Figura 2.28 Proceso de autenticacin RADIUS
Cuando el usuario ha sido identificado, ste puede acceder a los servicios proporcionados. [6][7] 2.3 Tipos de servidores Existen un gran nmero de servidores RADIUS, principalmente para entornos Unix, que cuentan con caractersticas similares, ya que principalmente su diferencia radica en el tipo de licencia. A continuacin se enuncian diversos sistemas RADIUS (Vase el apndice A para mayor referencia). 2.3.1 Distribucin libre FreeRADIUS Es el servidor ms popular de cdigo abierto, que ms se implementa en el mundo y ampliamente utilizado en el mbito acadmico, soporta la mayora de los protocolos de autenticacin, una caracterstica interesante, es su soporte WiMAX. Su ltima versin estable es 2.1.10.
30
ICRADIUS Al igual que FreeRADIUS usa bases de datos MySQL para guardar toda la informacin necesaria como archivos de usuarios, archivos de directorios, y tambin enva informacin a la base de datos, estas caractersticas permiten la manipulacin y extraccin de datos de una manera rpida y eficiente, gracias a la flexibilidad ofrecida por MySQL. XTRADIUS La diferencia ms significativa entre XTRADIUS y otros servidores RADIUS, es que permite ejecutar scripts que pueden ser modificados para manejar la autenticacin y el uso de cuentas. El beneficio que otorga esta caracterstica, es que en lugar de usar el mismo archivo de usuarios RADIUS, se puede llamar un script para preguntar a cualquier fuente (como bases de datos) y revisar que las condiciones sean satisfactorias antes de permitir el acceso al usuario. 2.3.2 Comerciales Radiator Radiator es un servidor RADIUS altamente flexible y configurable, contiene caractersticas que no son comunes en otros servidores RADIUS, como prevencin de acceso doble, reescritura de nombre de usuario, interfaz grfica, incluye CGIs para configuracin, reportes y utilidades de administracin de bases de datos.
Internet Authentication Service Es un componente que se encuentra en los sistemas operativos Windows (Servidores). Windows 2000 Server y Windows Server 2003 incluyen el servicio de autentificacin de Internet (IAS), una aplicacin del servidor RADIUS. IAS admite la autenticacin para los clientes basados en Windows, as como para los clientes de terceros que cumplen el estndar RADIUS. IAS almacena su informacin de autentificacin en el Active Directory y puede manejarse con directivas de acceso remoto. Las primeras versiones del IAS
31
se presentaron para Windows NT 4.0 en el Windows NT 4.0 Option Pack y en el Sistema de Internet comercial de Microsoft (MCIS) 2.0 y 2.5. El IAS requiere el uso de un componente de servidor adicional, y proporciona una serie de ventajas sobre los mtodos estndar de autentificacin de RRAS. Estas ventajas incluyen autentificacin centralizada para los usuarios, funciones de auditoras y contabilidad, escalabilidad y una integracin perfecta con las caractersticas existentes de RRAS. En Windows Server 2008, el servicio de autenticacin de Internet (IAS) fue reemplazado por el servidor de directivas de red (NPS). NPS realiza todas las funciones del IAS en Windows Server 2003 para VPN y 802.1X basadas en conexiones inalmbricas y cableadas, y realiza la evaluacin del estado y la concesin de acceso limitado o ilimitado para los clientes de la Proteccin de acceso a redes.
32
CAPTULO 3 MODELO PROPUESTO
33
3.1 Problemtica Este proyecto se implement dentro de la Facultad de Ciencias de la Computacin de la BUAP, la cual a pesar de contar ya con una red inalmbrica funcional e independiente a la de la universidad (RIU-BUAP) sufre de ciertos problemas, como lo son: interrupcin continua del servicio, velocidad demasiado baja de la conexin, este par de problemas surge principalmente debido a que personas ajenas a la institucin se conectan a la red inalmbrica de la facultad, la cual carece de seguridad, esto genera que se absorba el ancho de banda que es necesario para que los alumnos puedan trabajar fluidamente. 3.2 Anlisis de solucin Tomando como base que la mayora de los laboratorios y departamentos de la facultad cuentan con su propia red inalmbrica, se procedi a implementar una red inalmbrica dedicada slo para los alumnos, dotando a la mencionada red de un sistema de seguridad WPA2 y gestionando los usuarios mediante una base de datos. Para implementar la seguridad en la red se utilizar la herramienta gratuita FreeRADIUS sobre una distribucin Linux Ubuntu, para la gestin de usuarios se utiliz MySQL debido a que se integra fcilmente con FreeRADIUS y en combinacin con PhpMyAdmin brindan un control excelente para la administracin de la red, asi, tanto la base de datos y FreeRADIUS reside en la misma PC.
3.3 Anlisis de requerimientos Los requisitos para la implementacin de la solucin son, en este caso, pocos, ya que la Facultad cuenta con una infraestructura de red funcional, as que se limitara solo a implementar la nueva red inalmbrica, para lo cual se requiere de lo siguiente:
34
3 Access Point SMC2890W-AG 1 PC que fungir como servidor de autenticacin RADIUS 1 Laptop que fungirn como cliente Sistema Operativo: Linux Ubuntu FreeRADIUS como servidor de autenticacin MySQL para creacin de base de datos y gestin de usuarios
3.4 Diseo de la solucin El diseo consta de tres elementos principales, los clientes, el Access Point y el servidor, el sistema contempla clientes inalambricos de cualquier tipo, ya sea laptop, smartphones, consolas de videojuegos, electrodomesticos, etc, siempre y cuando dicho dispositivo acepte el estandar WPA2 y TLS, en caso de que el cliente no cuente con estas caracteristicas nativamente se requerira la instalacin de un parche para que pueda manejar dichos protocolos/estandares (como se menciona en el capitulo 4). La arquitectura usada es AAA (Authentication, Authorization, Accounting), est compuesta de tres partes principales: un solicitante, un autenticador y un servidor de autenticacin. Cuando se aplica a WLAN, el solicitante reside en los dispositivos de cliente y el AP sirve como el autenticador. El AP acta como autenticador permitiendo que el dispositivo cliente obtenga acceso a la red solo despus de que el cliente ha sido autenticado. El servidor RADIUS comprueba que la informacin es correcta utilizando el esquema de autenticacin TLS. La colocacin de los Access Point, obedece a un diseo BSS (Basic Service Set) que crea una red por cada AP, esto permite que se cubran los puntos mas importantes de la facultad, la figura 3.1 muestra la ubicacin y cobertura aproximada de cada uno de los Access Point, el rea 1 cubre, la parte frontal y trasera del edificio 104A, y una parte de la explanada, el rea 2 est dedicada a los interiores del edificio 104C, el rea 3 cubre la mayor parte de la explanada, as como tambin el rea de jardineras y palapas del edificio 104D.
35
AREA 2
AREA 3 AREA 1
Figura 3.19Area de cobertura del modelo propuesto. [11]
Para la gestin y administracin de los usuarios se hace uso de la base de datos radius predeterminada proporcionada por FreeRADIUS, las tablas contenidas en dicha base de datos son las siguientes: nas radcct radcheck radgroupcheck radgroupreply radippool radpostauth radreply radusergroup
De estas tablas y de acuerdo al diseo propuesto, solo se hace uso de las dos siguientes: radcheck: donde se definen los nombres de usuario y contraseas, que tendran acceso al servicio de red. radpostauth: donde se almacenan los usuarios que se conectarn correctamente a la red, mostrando la fecha y la hora en que se realizo la conexin.
36
3.5 Alcances y limitaciones Los alcances del modelo propuesto sern los siguientes: La red inalmbrica se basara en un mecanismo de seguridad WPA2 El acceso a la red para los usuarios ser mediante un mecanismo usuario/contrasea El administrador de la red proveer los datos usuario/contrasea En caso de que se requiera cambiar contrasea se deber contactar al administrador de la red
Asi mismo las limitaciones del modelo propuesto son: No se hace uso de NAT No se utiliza la autenticacin por MAC
3.6 Instalacin del servidor Lo primero que se har ser instalar el paquete MySQL (Con el cual se administrara la BD del servidor.), ejecutando el siguiente comando en una terminal: apt-get install mysql-server Opcionalmente se pueden instalar paquetes para que el servidor sea administrable grficamente a travs de un web-browser, como lo son Apache y Php, as usando nuevamente comandos apt-get, la instalacin queda como sigue: apt-get install apache2 apt-get install php5 libapache2-mod-php5 Con todo lo anterior correctamente instalado procedemos a la instalacin de FreeRADIUS con su correspondiente soporte para MySQL, mediante el siguiente comando:
37
apt-get install freeradius-mysql
3.6.1 Configuracin del Servidor A continuacin veremos cmo configurar el servidor, as como administrar usuarios y grupos de usuarios de un servidor de autenticacin RADIUS, primero se creara un usuario en un archivo de texto simple, para posteriormente ver cmo utilizar el gestor de bases de datos MySQL. [2]
3.7 Gestin y configuracin de usuarios Archivo de texto simple Editamos el archivo users que se encuentra en la ruta: /etc/freeradius/users en este archivo es donde se encuentran los clientes o usuarios a los que se les permite al acceso, nos vamos al final del archivo y creamos un usuario abc Cleartext-Password := 123 para hacer pruebas de funcionamiento del servidor, vase la figura 3.2.
Figura 3.210 Creacin de usuario de prueba 38
Procedemos a detener el servidor RADIUS para evitar errores como se muestra en la figura 3.3. cd /etc/init.d/freeradius stop
Figura 3.311Deteniendo el servidor RADIUS
Ahora iniciamos nuevamente el servidor, en modo debug. freeradius -X
Figura 3.412Servidor en espera de solicitudes 39
La Figura 3.4 muestra que el servidor est listo para procesar solicitudes de autenticacin. Abrimos una nueva terminal en la que probaremos nuestro usuario creado anteriormente. radtest abc 123 127.0.0.1 1812 testing123
Figura 3.513Peticin aceptada
La Figura 3.5 muestra que el paquete fue enviado y aceptado exitosamente y la figura 3.6 muestra que el servidor est listo para aceptar una nueva solicitud.
Figura 3.614Peticin aceptada (modo debug) 40
En la terminal del servidor se muestra que el nombre del usuario de prueba ha sido correctamente identificado y se valid su password, mostrando hora y fecha, esperando a la siguiente validacin/autenticacin. [5] MySQL Configuramos FreeRADIUS para que pueda leer datos desde MySQL. Para esto necesitamos editar el archivo, /etc/freeradius/radiusd.conf y descomentar la lnea $INCLUDE sql.conf. *2+ Ahora accedemos a MySQL para administrar y crear la base de datos que contendr toda la informacin de usuarios, etc.: mysql u root p Se crea la base de datos: CREATE DATABASE radius; Creamos un usuario para la base de datos: GRANT ALL ON radius.* TO radius@localhost IDENTIFIED BY root; Con esto indicamos que la Base de datos se llama radius un usuario tambin radius con password root Salimos de la base de datos exit;
Procedemos a agregar tablas a la base de datos que acabamos de crear. Las tablas de ejemplo estn dentro del directorio: /etc/freeradius/sql/mysql/ cd /etc/freeradius/sql/mysql/ Las tablas se agregan a la base de datos como sigue: mysql u root p radius < admin.sql
41
mysql u root p radius < ippool.sql mysql u root p radius < nas.sql mysql u root p radius < schema.sql Para ver las tablas creadas podemos hacer lo siguiente: mysql u root p use radius; show tables; En este caso, si no se produjeron errores durante la insercin de tablas nos debe mostrar las siguientes tablas: | Tables_in_radius | | nas | | radacct | | radcheck | | radgroupcheck | | radgroupreply | | radippool | | radpostauth | | radreply | | radusergroup | 9 rows in set (0.00 sec) Salimos de la base de datos con: quit; Editamos el archivo /etc/freeradius/sql.conf nano /etc/freeradius/sql.conf Configuramos la conexin con el servidor MySQL: Connection info: server = "localhost" login= radius password = "root"
42
Y descomentamos la variable: readclients = yes Posteriormente editamos el Archivo: /etc/freeradius/sitesavailable/default y agregamos la variable "sql" en las secciones de authorize{}, accounting{}, session{} post-auth{} esto para poder leer los datos desde las tablas en la base de datos "radius. *2+ NOTA: lneas omitidas por brevedad authorize { sql } accounting { sql } session { sql } post-auth { sql } Ahora podemos insertar un usuario en la base de datos de la siguiente manera: mysql -u root -p use radius; INSERT INTO radcheck (UserName, ('test','Cleartext-Password', 'pass')
Attribute,
Value)
VALUES
select * from radcheck where UserName='test'; En este caso debe de aparecer el usuario que hemos creado, vase la figura 3.7.
43
Figura 3.715Visualizacin de usuario
Salimos de la base de datos y verificamos que el usuario se puede autenticar mediante radtest, vase la figura 3.7. radtest test pass 127.0.0.1 1812 testing123
Figura 3.816Peticin aceptada (SQL)
En este caso nos arroja un resultado que el usuario fue validado utilizando la base de datos, como lo muestra la imagen al inicio del captulo. [2] 3.8 Configuracin del Access Point Para configurar el Access Point, para que acepte peticiones de los clientes RADIUS, se debe de configurar el archivo clients.conf, en la siguiente ruta: /etc/freeradius/ Agregamos la IP del Access Point al final del archivo de la siguiente manera: client 148.228.22.211 { secret = password shortname = prueba}
44
De esta manera queda definido el Access Point que se utilizara para crear la red inalmbrica, en la lnea client se define la IP del Access Point, en la lnea secret se define el secret share que es la clave que se utilizara para comunicar el Access Point con el servidor RADIUS. A continuacin configuramos el Access Point con los parmetros necesarios, primeramente nos logueamos en el AP (vase la figura 3.9).
Figura 3.917Datos de acceso del Access Point
Se desplegar el cuadro de inicio (vase la figura 3.10), elegimos configuracin avanzada.
Figura 3.1018Pantalla de inicio del Access Point

.
Ahora configuramos el canal G del AP, elegimos seguridad y damos nombre a nuestra red, en este caso FCC_104A_211, despus elegimos en editar detalles (vase la figura 3.11). La figura 3.12 muestra los detalles relativos a la seguridad, elegimos que los clientes deben usar 802.1x como mtodo de autenticacin para conectarse a la red y habilitamos la encriptacin.
45
Figura 3.1119Configuracin del canal inalmbrico y nombre de la red
Figura 3.1220Seguridad del Access Point
En autenticacin elegimos el tipo WPA2 y cifrado AES (vase la figura 3.13), esto hace que los clientes que deseen conectarse a la red deben usar WPA2.
46
Figura 3.1321Opciones de autenticacin y cifrado
Ahora se configuraran los parmetros necesarios para conectar el AP con el servidor RADIUS, habilitamos el servidor primario, (este AP en particular soporta dos servidores RADIUS), en la casilla IP address colocamos la IP del servidor, en puerto colocamos 1812 que es el puerto por defecto de RADIUS, en la casilla key, escribimos la misma clave que se defini en el archivo clients.conf (vase la figura 3.14).
Figura 3.1422Parmetros de configuracin del servidor RADIUS 47
Finalmente se edita el archivo eap.conf ubicado en: /etc/freeradius para indicar a FreeRADIUS que use el tipo de autenticacin TLS, para esto se descomentan las lineas: certdir, cadir, private_key_password, private_key_file y certificate_file, de la seccion TLS de dicho archivo.
tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = whatever private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.pem
Se aplican los cambios, se reinicia tanto el AP como el servidor, con esto queda completa la configuracin e implementacin de un servidor RADIUS, en el siguiente captulo se vern las pruebas realizadas as como los resultados obtenidos de dichas pruebas.
48
CAPITULO 4 PRUEBAS
49
En este captulo se muestran los resultados obtenidos del modelo propuesto del servidor de autenticacin RADIUS, utilizando para ello dos escenarios con sistemas operativos diferentes dado que para cada uno de ellos existen condiciones ligeramente diferentes para la utilizacin de una red Wi-Fi protegida con RADIUS.
4.1 LINUX 4.1.1 Archivo users Para la prueba inicial se utiliz un usuario de prueba dentro del archivo users, con los siguientes datos: user: omar, pass: hernandez. Las figuras 4.1, 4.2, 4.3, 4.4 y 4.5 muestran el proceso de autenticacin del usuario, mostrando el cuadro de dialogo para introducir los datos a validar, as como el debug detallado donde se muestra que el usuario fue autenticado satisfactoriamente.
Figura 4.123Introduciendo datos para la autenticacin 50
Figura 4.224Advertencia de no usar certificados
Figura 4.325Conexin exitosa a la red inalmbrica 51
Figura 4.426Proceso de autenticacin
Figura 4.527Autenticacin satisfactoria 52
4.1.2 Base de datos (MySQL) Para la prueba inicial se utiliz un usuario de prueba dentro del archivo users, con los siguientes datos: user: fcc, pass: radius. Las figuras 4.6, 4.7, 4.8, 4.9 y 4.10 muestran el proceso para introducir los datos a validar, as como el debug detallado donde se muestra que el usuario fue autenticado satisfactoriamente.
Figura 4.628Introduciendo datos para la autenticacin
Figura 4.729Advertencia de no usar certificados 53
Figura 4.830Conexin exitosa a la red inalmbrica
Figura 4.931Proceso de autenticacin 54
Figura 4.1032Autenticacin exitosa
4.2 WINDOWS Dado que Windows no soporta nativamente el protocolo TTLS que es el que se utiliza en la configuracin del servidor RADIUS, es necesaria la instalacin de un supplicant o modulo para poder conectarnos correctamente a la red inalmbrica protegida, en este caso FCC_104A_211. Se utiliz el supplicant SecureW2. Nota: En Windows solo se realizarn pruebas utilizando usuarios configurados en la base de datos (no se muestra el proceso debug de autenticacin). Para configurar SecureW2 una vez instalado, realizamos o siguiente, abrimos el centro de redes y recursos compartidos, posteriormente en administrar redes inalmbricas, finalmente en agregar nueva conexin, se nos mostrara una pantalla como la de la figura 4.11:
55
Figura 4.1133Configuracion manual de red inalmbrica
Ahora introducimos los datos de la red inalmbrica a la que nos deseemos conectar, en este caso la red FCC_104A_211, en tipo de seguridad elegimos WPA2-Enterprise y en tipo de cifrado elegimos AES, finalmente activamos la casilla Iniciar esta conexin automticamente como se aprecia en la figura 4.12:
Figura 4.1234Datos de configuracin de red inalmbrica 56
Elegimos siguiente, se desplegara un aviso mencionando que la conexin se configur correctamente, vase la figura 4.13.
Figura 4.1335Configuracin de red completa
Ahora configuraremos TTLS, para lo cual damos click en cambiar la configuracin de la conexin. Como mtodo de autenticacin elegimos EAP-TTLS, vase la figura 4.14.
Figura 4.1436Seleccin de mtodo de autenticacin 57
Una vez elegido EAP-TTLS damos click en configurar, nos aparecer la pantalla de configuracin de SecureW2, hacemos click en configurar perfil, vase la figura 4.15.
Figura 4.1537Configuracin de perfil SecureW2
Dado que no se usan certificados, se procede a desmarcar todas las opciones en las pestaas Conexin y Certificados, vanse las figuras 4.16 y 4.17.
Figura 4.1638Configuracin de conexin SecureW2 58
Figura 4.1739Configuracin de certificados
En la pestaa Autenticacin elegimos PAP, vase la figura 4.18.
Figura 4.1840Configuracin de mtodo de autenticacin SecureW2 59
Finalmente en la pestaa Cuenta de usuario introducimos nuestros datos para conectarnos a la red inalmbrica, en este caso se introduce Usuario: fcc Contrasea: radius, vase la figura 4.19.
Figura 4.1941Configuracin de usuario SecureW2
Con esto queda concluida la configuracin necesaria de TTLS en Windows, elegimos aceptar y nos conectara exitosamente a la red inalmbrica que se configuro con SecureW2, como queda expuesto en la figura 4.20:
Figura 4.2042Conexin exitosa a la red inalmbrica 60
4.3 Otros Escenarios Se pueden presentar otros escenarios adems del ideal (anteriormente mostrado), estos son: Se da el caso en que un usuario intenta acceder a la red con un usuario/contrasea validos y dados de alta en la base de datos, sin embargo al intentar obtener acceso este es denegado ya que hace uso de un protocolo de autenticacin diferente al utilizado en el servidor, en este caso TLS. Otro escenario posible en donde se deniegue el acceso, es que el usuario utiliza el protocolo TLS, pero no cuenta con un usuario/contrasea dados de alta en la base de datos. El peor de los casos se da cuando un usuario al ver la red disponible es decir que es visible el nombre de la red, intente conectarse, pero obviamente no tendr acceso ya que no conoce el tipo de protocolo utilizado en la red ni mucho menos posee un usuario/contrasea validos.
61
CONCLUSIONES Y PERSPECTIVAS
62
De acuerdo a los objetivos propuestos: Implementar un sistema de autenticacin basado en RADIUS Habilitar un esquema de seguridad bsica para redes inalmbricas
El primer objetivo se logro con la correcta implementacin de un servidor RADIUS, que cumple con las funciones bsicas que es proteger una red WiFi con el sistema WPA2. El segundo objetivo se logro, utilizando un mecanismo de usuario y contrasea para el acceso a la red, cumpliendo con las necesidades bsicas de este proyecto. As el modelo propuesto es un servidor bsico, consistente en proveer de seguridad a una red inalmbrica mediante WPA2 y FreeRADIUS, la gestin de usuario tambin es bsica dado que se utiliza solo la agregacin y eliminacin de usuarios, el servidor puede ser complementado con varias caractersticas adicionales de acuerdo al entorno en el que se desee implementar dicho sistema, como por ejemplo la propuesta de trabajo y extensin a futuro son el implementar NAT dentro del servidor para que asigne direcciones IP privadas a los clientes, del tipo 192.x.x.x para mitigar el inconveniente de escases de direcciones IP pblicas, como la que se utiliz en este proyecto, que fue del tipo 148.x.x.x, y as dar soporte a un nmero mayor de clientes, evitando as el uso desmedido del espacio de direcciones IP pblicas. Tambin se propone el implementar el uso de certificados mediante LDAP para as agregar otra capa ms de seguridad a la red inalmbrica.
63
APENDICES
64
APENDICE A LISTA DE SERVIDORES RADIUS
Nombre DIALWAYS
Desarrolladores Master Soft Development Team FreeRADIUS Development Team Jeff Reilly FreeRADIUS.net Network RADIUS SARL Inventum Technologies Elitecore Technologies
Primera versin 1999
Ultima version 3.0
Costo (Dolares) -
Tipo de Licencia Proprietary
Plataforma Windows
FreeRADIUS
1999
2.1.10
Free
GPLv2
Unix-like, Linux Windows Unix-like, Linux, Windows Linux, Solaris, Unix-like Unix, Linux, SUN Solaris, IBM AIX, windows OpenVMS/ VAX, OpenVMS/ Alpha, OpenVMS/I tanium Unix Unix
FreeRADIUS .net Network RADIUS Inventum UNIFY AAA EliteAAA
? 1999
1.1.7 r0.0.2 2.1.8
Free Free / $
GPL/GNU GPLv2 Proprietary Proprietary
2003
3.6
2000
5.6.0.0
Proprietary
RADIUS-VMS
StarLet Team
1996
3.1C
Free
Proprietary
GNU Radius OpenRADIUS
Free Software Foundation Emile van Bergen
2000 2005
1.6.1 0.9.12c
Free Free
GPLv3 GNU General Public License BSD license Proprietary Proprietary
BSDRadius TekRADIUS Identity Engines Ignition Infoblox Alepo Radius Server Steel-Belted Radius
Data Tech Labs Yasin KAPLAN Nortel Networks
? 2005 ?
0.7.1 4.0 ?
Free Variable ?
Unix Windows Appliance
Infoblox Alepo
? 1997
? 7.21
? ?
Proprietary Proprietary
Juniper Networks
1997
6.1.3 (Junio 2010)
$4,800 $26,000 USD
Proprietary
Appliance Windows, Solaris, Linux Windows, Solaris, Linux
65

IEA Software RadiusNT/X IEA Software, Inc 1995 5.1.44 $1,795$3,595 USD From $1150 USD N/A Proprietary Windows, Solaris, Linux, FreeBSD Windows, Solaris, Linux, FreeBSD Solaris 10
Aradial RADIUS Server
Aradial Technologies
1997
3.8
Proprietary
Bridgewater Systems AAA Service Controller NSN Converged Core AAA RadioJungle RJAAA Complete AAA solution Radiator RADIUS server
Bridgewater Systems
1999
8.0
Proprietary
Nokia Siemens Networks 3TSolutions
2000?
4.1
Proprietary
Solaris, Linux FreeBSD
2009
2.5
Proprietary
Open System Consultants
January 1998
V4.4
Variable, single server USD720 Variable, single server $750 Included with server Included with server $8,995
Proprietary (source code supplied) Proprietary
Elektron RADIUS
Periodik Labs
2.0
Unix, Linux, Windows, Mac OS X, Solaris, VMS, etc Windows, Mac OS X
Internet Authenticatio n Service Network Policy Server Cisco Secure Access Control Server for Windows Cisco Secure Access Control System (ACS) 5.x ClearBox Enterprise RADIUS Server Interlink Networks RAD-Series 8950 AAA (former Navis RADIUS, VitalAAA) BlissRADIUS Evolynx
Microsoft
Proprietary
Microsoft
Proprietary
Cisco Systems
1990
4.2.1
Proprietary
Cisco Systems
2008
5.1
$14,995
Proprietary
Windows Server 2000/2003 Windows Server 2008 Windows Server 2000/2003/ 2008 Linux Appliance HW or VMware Win32
XPerience Technologies Interlink Networks Alcatel-Lucent
5.4
$599.00
Proprietary
2000
Proprietary
Linux, Solaris Unix, Windows, Linux Unix, Linux, Windows Windows
1999
6.5.2 (April 2010) 1.19 5.02
Branimir Milosavljevid Evolynx, Inc.
2007 2003
Contact your ALU Sales Team variable, min. $99 $200.00
Proprietary
Proprietary Proprietary
66

RadiusCat AAA Billing IBSng Radiance SVK Software Corp. Parspooyesh Iagu Pty Ltd. 2006 2003 2003 2.0.0 A1.24 2.4 $800.00 Free Free Proprietary GPL unknown (Artistic?) Windows Unix-like Any platform running Perl 5.x + MD5 Windows, Solaris, Linux, FreeBSD
Advanced Radius Server
Advanced VoIP
2000
5.2
From 1000 USD
Proprietary
67
APENDICE B
CRIPTOGRAFIA
La criptografa es la ciencia que estudia el empleo de mtodos matemticos para conseguir transmitir informacin de manera que esta nicamente pueda ser leda por su destinatario. Por otra parte, el criptoanlisis se encarga de analizar y destruir las comunicaciones seguras. Ambas, criptografa y criptoanlisis, constituyen la criptologia. La informacin original, sin encriptar, recibe el nombre de texto plano. Este texto sufre un proceso de encriptacin o cifrado cuyo objetivo es esconder el contenido de dicha informacin. Como consecuencia del cifrado, el texto plano se convierte en texto cifrado. El proceso inverso, que recupera el texto plano a partir del texto cifrado, recibe el nombre de desencriptado o descifrado. La siguiente figura muestra el concepto. Un algoritmo criptogrfico o cifrado es una funcin matemtica empleada durante el proceso de encriptacin y desencriptacin. Este algoritmo se basa en la utilizacin de una clave para encriptar el texto plano. La seguridad de los datos encriptados depende, por una parte, de la fuerza criptogrfica del algoritmo y, por otra, del secreto de la clave. La fuerza criptogrfica mide el tiempo y los recursos requeridos para recuperar un texto en claro a partir de un texto cifrado. Una clave es un valor que, junto con un algoritmo criptogrfico aplicado a un texto plano, da como resultado un texto cifrado. En general, cuanto mayor es la clave, mayor es la seguridad del texto cifrado. A la hora de elegir una clave, hay que llegar a una solucin de compromiso entre la seguridad (a mayor tamao, mayor seguridad) y la rapidez de utilizacin (a mayor tamao, menor velocidad), pues de nada sirve tener un sistema muy seguro pero excesivamente lento. Adems, habr que tener en cuenta la naturaleza de las intrusiones. El conjunto formado por un algoritmo de cifrado junto con todas las posibles claves y protocolos que se pueden emplear recibe el nombre de criptosistema. [9]
68
CIFRADO DE CLAVE SIMETRICA En el cifrado con clave simtrica, se emplea la misma clave para cifrar y para descifrar. Suponiendo que tanto el origen como el destino comparten una clave secreta de longitud suficientemente grande, queda garantizada la confidencialidad de la comunicacin. Un ejemplo de cifrado con clave simtrica es el algoritmo de sustitucin, que cambia cada carcter del texto plano por otro distinto desplazando las letras del alfabeto un cierto nmero de posiciones que constituye la clave. El cifrado con clave simtrica es un algoritmo sencillo y rpido, especialmente adecuado cuando los datos no se envan a ningn destino concreto. Sin embargo, presenta un inconveniente muy importante y es la distribucin de la clave. En efecto, este esquema es poco adecuado cuando un extremo establece comunicaciones ocasionales con muchas otras con las que no tena una relacin previa. [9] CIFRADO DE CLAVE ASIMETRICA Los algoritmos de clave asimtrica emplean un par de claves, una para cifrar y otra para descifrar, de tal manera que a partir de una es imposible obtener la otra. Cada interlocutor hace publica una de sus claves (clave pblica) y mantiene en secreto la otra (clave privada). De este modo, nicamente quien disponga de la clave privada correspondiente a la clave pblica con que se cifro el mensaje, podr desencriptarlo. Las claves privadas de un usuario (pueden ser varias claves si se emplean parejas de claves) pueden guardarse en el disco duro del PC. La principal ventaja es que permite la comunicacin segura entre personas que no haban mantenido anteriormente ningn tipo de contacto. Aunque la clave pblica y la clave privada estn relacionadas matemticamente, el problema de obtener una a partir de la otra es computacionalmente intratable, sin embargo, puede resolverse disponiendo de suficiente tiempo y potencia de procesamiento. [9]
69
FIRMA DIGITAL La firma digital permite al receptor comprobar la autenticidad del origen de la informacin (autenticacin) as como que dicha informacin no se ha modificado (integridad de los datos). Adems, asegura la identidad del emisor del mensaje. El proceso se basa en el cifrado con clave asimtrica, de manera que cuando un usuario desea firmar digitalmente la informacin, emplea su clave privada para que el destinatario obtenga el texto en claro utilizando la correspondiente clave pblica del emisor del mensaje. Puesto que la pareja clave pblica/clave privada es nica, la utilizacin de la clave pblica para descifrar asegura la identidad de quien origino la informacin. Sin embargo, el esquema basado en firma digital, adolece de una serie de problemas. En primer lugar, es muy lento y requiere el procesamiento de gran cantidad de informacin. Una mejora de este sistema consiste en aadir una funcin hash. Una funcin de este tipo acepta como entrada un texto de longitud variable y genera una salida de tamao fijo, asegurando que, si la informacin se modifica de alguna manera, el resultado de la funcin hash es diferente. En un criptosistema que utilice una funcin hash, no existe modo alguno de suplantar a un usuario o alterar un mensaje. El ms mnimo cambio en el mensaje har fallar el proceso de verificacin de la firma. En primer lugar, se obtiene la funcin hash del texto plano y se cifra el resultado con la clave probada del remitente para, posteriormente, aadirlo al final del mensaje. A continuacin, el conjunto del texto plano y la firma (funcin hash cifrada) se envan encriptados con la clave pblica del destinatario. Cuando este recibe el texto cifrado, lo desencripta con su clave privada y comprueba la firma. Esta comprobacin consiste, por un lado, en obtener la funcin hash del mensaje recibido repitiendo los pasos que se siguieron en el origen. Si los resultados coinciden, la firma es vlida y queda garantizada la integridad de los datos. Adems, puesto que la funcin hash original se descifro con la clave pblica del remitente, el mensaje solamente pudo ser enviado por l. [9]
70
CERTIFICADO DIGITAL En un entorno de clave pblica, resulta vital asegurar que la clave pblica con que se estn encriptando los datos es, en realidad, la clave pblica del destinatario deseado. Los certificados digitales simplifican esta tarea. Un certificado es un documento electrnico empleado para identificar a un individuo, a un servidor, a una empresa y, en definitiva, a cualquier otra entidad a la que pertenece una determinada clave pblica. Los certificados digitales previenen la suplantacin de usuarios evitando sustituir la clave de una persona por la de otra. Un certificado digital consiste en una clave pblica, informacin de certificacin que asegura la identidad del usuario (nombre, identificador de usuario, etc.) y una o ms firmas digitales. El objetivo de la firma digital de un certificado es asegurar que la informacin ha sido comprobada por otra persona o entidad. Es decir, la firma digital no asegura la autenticidad del certificado como tal, sino que la identidad firmada est asociada a una clave pblica. Por tanto, un certificado es, bsicamente, una clave pblica con un identificador adjunto a los que se aade el testimonio de alguna entidad de confianza que ha comprobado su validez. [9]
71
GLOSARIO
802.11a. Estndar de red inalmbrica del IEEE que establece una velocidad mxima de transferencia de datos de 54 Mbps y una frecuencia de funcionamiento de 5 GHz. 802.11b. Estndar de red inalmbrica del IEEE que establece una velocidad mxima de transferencia de datos de 11 Mbps y una frecuencia de funcionamiento de 2,4 GHz. 802.11g. Estndar de red inalmbrica del IEEE que establece una velocidad mxima de transferencia de datos de 54 Mbps, una frecuencia de funcionamiento de 2,4 GHz y compatibilidad con dispositivos 802.11b. 802.11n. Estndar de red inalmbrica del IEEE que mejora en gran medida el rendimiento de la red en relacin con estndares anteriores y ofrece compatibilidad con dispositivos 802.11b y 802.11g. 802.11n utiliza varios receptores y transmisores, una tecnologa conocida como MIMO (entrada mltiple, salida mltiple). Access Point. Dispositivo que permite la comunicacin de PCs y otros dispositivos inalmbricos. Adaptador. Dispositivo que agrega la funcionalidad de red al PC u otro dispositivo, como un servidor de impresin. Ad-hoc. Grupo de dispositivos inalmbricos que se comunican directamente entre s (de igual a igual) sin utilizar un Access Point. AES (estndar de encriptacin avanzado). Mtodo de encriptacin que admite claves de 128 bits, 192 bits, 256 bits o ms. Ancho de banda. Capacidad de transmisin de una red o un dispositivo determinado. Bit (dgito binario). La unidad de informacin ms pequea. Boot. Encender un dispositivo y hacer que comience a ejecutar instrucciones. Banda ancha. Conexin a Internet rpida e ininterrumpida. Explorador. Aplicacin que permite consultar toda la informacin de Internet e interactuar con sta.
72
Autenticacin de clientes inalmbricos Bffer. rea de memoria compartida o asignada que se utiliza para habilitar y coordinar distintas actividades de forma que ninguna de ellas retrase las dems. Byte. Unidad de datos que suele tener una longitud de ocho bits. Mdem por cable. Dispositivo que conecta un PC a la red de televisin por cable que, a su vez, se conecta a Internet. CSMA/CA (acceso mltiple por deteccin de portadora con evasin de colisiones). Mtodo de transferencia de datos utilizado para evitar colisiones. CTS (listo para emitir). Seal enviada por un dispositivo para indicar que est listo para recibir datos. Base de datos. Recopilacin de datos organizados de forma que se pueda acceder a su contenido, administrarlo y actualizarlo fcilmente. DDNS (sistema dinmico de nombres de dominio). Permite el alojamiento de un sitio web, un servidor FTP o un servidor de correo electrnico con un nombre de dominio fijo (por ejemplo, www.xyz.com) y una direccin IP dinmica. Gateway predeterminado. Dispositivo que dirige el trfico de Internet desde la red de rea local. DHCP (protocolo de configuracin dinmica de host). Protocolo que permite a un dispositivo de la red local, denominado servidor DHCP, asignar direcciones IP temporales a los dems dispositivos de red, normalmente PCs. DMZ (zona desmilitarizada). Elimina de un PC la proteccin del firewall del router, lo que permite ""verlo"" desde Internet. DNS (servidor de nombres de dominio). Direccin IP del servidor del ISP que traduce los nombres de los sitios web a direcciones IP. Dominio. Nombre especfico de una red de PCs. Descargar. Recibir un archivo transmitido a travs de una red. DSL (lnea de suscriptor digital). Conexin de banda ancha ininterrumpida a travs de lneas telefnicas tradicionales.
73
Autenticacin de clientes inalmbricos DSSS (espectro de extensin de la secuencia directa). Transmisin de frecuencia con un patrn de bit redundante que hace menos probable que se pierda informacin en la operacin. DTIM (mensaje de indicacin de trfico de entrega). Mensaje incluido en los paquetes de datos que puede aumentar la eficacia inalmbrica. Direccin IP dinmica. Direccin IP temporal asignada por un servidor DHCP. EAP (protocolo de autenticacin extensible). Protocolo de autenticacin general utilizado para controlar el acceso a la red. Hay muchos mtodos de autenticacin concretos que funcionan en este marco. EAP-PEAP (protocolo de autenticacin extensible-protocolo de autenticacin extensible protegido). Mtodo de autenticacin mutua que utiliza una combinacin de certificados digitales y otro sistema, como contraseas. EAP-TLS (protocolo de autenticacin extensible-seguridad de capa de transporte). Mtodo de autenticacin mutua que utiliza certificados digitales. Encriptacin. La encriptacin es la manipulacin de los datos para impedir su interpretacin exacta a todas las personas excepto a sus verdaderos destinatarios. Ethernet. Protocolo de red estndar del IEEE que especifica la ubicacin y recuperacin de datos en un medio de transmisin comn. Firewall. Un firewall es un esquema de seguridad que impide a los usuarios no autorizados el acceso a una red de PCs o que supervisen la informacin dirigida a la red y procedente de ella. Firmware. Cdigo de programacin que ejecuta un dispositivo. Fragmentacin. Divisin del paquete en unidades ms pequeas en la transmisin a travs de un medio de red que no admite el tamao original del paquete. FTP (protocolo de transferencia de archivos). Protocolo estndar para enviar archivos entre PCs a travs de una red TCP/IP e Internet. Dplex completo. Capacidad de un dispositivo de red para recibir y transmitir datos simultneamente. Dplex medio. Transmisin de datos en dos direcciones a travs de una sola lnea, pero slo en una direccin a la vez. 74
Autenticacin de clientes inalmbricos HTTP (protocolo de transferencia de hipertexto). Protocolo de comunicaciones utilizado para conectarse a los servidores web. IEEE (Instituto de ingenieros de electricidad y electrnica). Organismo independiente que desarrolla estndares de red. Modo de infraestructura. Configuracin en la que una red inalmbrica se enlaza a una red con cables a travs de un Access Point. IP (protocolo de Internet). Protocolo utilizado para enviar datos a travs de una red. Direccin IP. Direccin utilizada para identificar una PC o dispositivo en una red. IPCONFIG. Utilidad de Windows que muestra la direccin IP de un dispositivo de red determinado. ISP (proveedor de servicios de Internet). Empresa que proporciona acceso a Internet. LAN (red de rea local). PCs y productos de red que constituyen la red domstica o de oficina. LEAP (protocolo de autenticacin extensible ligero). Mtodo de autenticacin mutua que utiliza un sistema de nombre de usuario y contrasea. LELA (EasyLink Advisor de Linksys). LELA es una aplicacin que brinda una forma sencilla de configurar, ver, administrar y reparar la red. Direccin MAC (control de acceso a medios). La direccin MAC es la direccin del hardware de un dispositivo. Mac OS X. Sistema operativo desarrollado por Apple. Mbps (megabits por segundo). Un milln de bits por segundo; unidad de medida de transmisin de datos. Media Server. Un Media Server es una PC o un dispositivo de hardware que almacena y comparte archivos como, por ejemplo, vdeo, msica y fotografas. MIMO. MIMO, o entrada mltiple y salida mltiple, es una tecnologa de radio que utiliza varias antenas en el transmisor y en el receptor para mejorar el alcance y el rendimiento. Multidifusin. Envo de datos a varios destinos. 75
Autenticacin de clientes inalmbricos NAT (traduccin de direcciones de red). La tecnologa NAT traduce las direcciones IP de una red de rea local a una direccin IP diferente para Internet. Red. Conjunto de PCs o dispositivos conectados para el uso compartido, almacenamiento y/o transmisin de datos entre usuarios. Almacenamiento conectado a la red (NAS). Tecnologa de almacenamiento de datos que se puede conectar directamente a una red de PCs para proporcionar a los clientes de red almacenamiento y acceso a los datos de forma centralizada. Sistema de almacenamiento de red (NSS). Sistema de almacenamiento de red que organiza y guarda los datos de una forma eficaz y de fcil acceso. Ideal para almacenar, archivar y compartir archivos importantes y realizar copias de seguridad de stos. OFDM (multiplexacin por divisin de frecuencia ortogonal). Transmisin de frecuencia que divide el flujo de datos en varios flujos de datos de menor velocidad que, a continuacin, se transmiten en paralelo para evitar que se pierda informacin en el envo. Paquete. Unidad de datos transmitidos a travs de una red. PEAP (protocolo de autenticacin extensible protegido). Protocolo para transmitir datos de autenticacin, incluidas contraseas, a travs de redes inalmbricas 802.11. Ping (Packet INternet Groper). Utilidad de Internet que se emplea para determinar si una direccin IP concreta es alcanzable. PoE (alimentacin a travs de Ethernet). Tecnologa que permite que un cable de red Ethernet transmita datos y alimentacin elctrica. POP3 (protocolo de oficina de correo 3). Protocolo estndar utilizado para recuperar el correo electrnico almacenado en un servidor de correo. Puerto. Punto de conexin en una PC o dispositivo de red utilizado para conectar un cable o adaptador. PPPoE (protocolo de punto a punto en Ethernet). Tipo de conexin de banda ancha que proporciona autenticacin (nombre de usuario y contrasea) adems de la transferencia de datos. RADIUS (servicio de usuario de acceso telefnico de autenticacin remota). Protocolo que utiliza un servidor de autenticacin para controlar el acceso a la red. Router. Dispositivo de red que conecta varias redes, como una red local e Internet. 76
Autenticacin de clientes inalmbricos Servidor. Cualquier PC cuya funcin en una red consiste en dar a los usuarios acceso a archivos, impresoras, comunicaciones y otros servicios. SMTP (protocolo simple de transferencia de correo). Protocolo de correo electrnico estndar en Internet. SNMP (protocolo simple de administracin de red). Protocolo de control y supervisin de redes muy extendido. SOHO (pequea oficina/oficina domstica). Segmento del mercado que consta de profesionales que trabajan desde casa o en pequeas oficinas. Firewall con SPI (inspeccin exhaustiva de paquetes). Tecnologa que inspecciona los paquetes de informacin entrantes antes de que se incorporen a la red. Espectro de extensin. Tcnica de radiofrecuencia de banda ancha utilizada para la transmisin fiable y segura de datos. SSID (identificador del conjunto de servicios). Nombre de la red inalmbrica. Direccin IP esttica. Direccin fija asignada a una PC o dispositivo conectado a una red. Enrutamiento esttico. Envo de datos en una red a travs de una ruta fija. Mscara de subred. Cdigo de direccin que determina el tamao de la red. Switch. 1. Dispositivo que acta como punto de conexin central para las PC y otros dispositivos de una red, de modo que los datos se puedan compartir a velocidades de transmisin mximas. TCP (protocolo de control de transmisin). Protocolo de red para la transmisin de datos que requiere la confirmacin del receptor de los datos enviados. TKIP (protocolo de integridad de clave temporal). Protocolo de encriptacin inalmbrica que peridicamente cambia la clave de encriptacin, dificultando su descodificacin. TLS (seguridad de capa de transporte). Es un protocolo que garantiza la privacidad y la integridad de datos entre las aplicaciones cliente/servidor que se comunican a travs de Internet. Topologa. Diseo fsico de una red. Velocidad TX. Velocidad de transmisin. 77
Autenticacin de clientes inalmbricos UDP (protocolo de datagrama de usuario). Protocolo de red para la transmisin de datos que no requiere confirmacin por parte del receptor de los datos enviados. Actualizar. Sustituir el software o firmware existente por una nueva versin. URL (localizador uniforme de recursos). Direccin de un archivo en Internet. WEP (privacidad equivalente a conexin con cables). Se trata de un protocolo de seguridad para las redes inalmbricas. WEP pretende ofrecer seguridad mediante la encriptacin de los datos a travs de las ondas de radio, de modo que estn protegidos y se transmitan desde un punto final a otro. Se utiliza una clave compartida (similar a una contrasea) para permitir la comunicacin entre las PCs o cualquier dispositivo de red y el router. WEP ofrece un nivel bsico, pero satisfactorio, de seguridad para la transmisin inalmbrica de los datos. WLAN (red de rea local inalmbrica). Grupo de PCs y dispositivos asociados que se comunican entre s de forma inalmbrica. WPA (acceso Wi-Fi protegido). Protocolo de seguridad para redes inalmbricas que se cimenta en los principios bsicos de WEP. Protege la transmisin inalmbrica de datos mediante el uso de una clave similar a WEP, pero el punto fuerte de WPA reside en que la clave cambia dinmicamente. La clave en constante cambio dificulta a los hackers que la averigen y obtengan acceso a la red. WPA2 (acceso Wi-Fi protegido 2). WPA2 es la segunda generacin de seguridad WPA y proporciona un mecanismo de encriptacin ms robusto mediante el estndar de encriptacin avanzada (AES). WPA-Personal. Versin de WPA que utiliza claves de encriptacin largas y en constante cambio que dificultan su descodificacin. WPA-Enterprise. Versin de WPA que utiliza las mismas claves dinmicas que WPAPersonal y que tambin requiere que cada dispositivo inalmbrico est autorizado segn una lista maestra que se encuentra en un servidor de autenticacin especial.
78
SIMBOLOGIA UTILIZADA EN REDES
79
BIBLIOGRAFIA
[1] Lista de servidores RADIUS, disponible en: http://en.wikipedia.org/wiki/List_of_RADIUS_servers RADIUS/AAA/802.1X Sistemas basados en la autenticacin para Windows y Linux. Fernndez Hansen, YAGO. Ra-Ma. 2008. SecureW2 Windows7 : Manual y programa SecureW2 para Windows 7 32 bits y 64 bits. Autentificacin TTLS, disponible en: http://www.redeszone.net/windows/securew2-windows7-manual-yprograma-securew2-para-windows-7-32-bits-y-64-bits-autentificacionttls/ CCENT/CCNA, Gua Oficial para el examen de certificacin, Segunda Edicin. Wendell Odom. Cisco Press. 2008. Diseo e implementacin de un sistema de gestin de accesos a una red Wi-Fi utilizando software libre. Tesis. Lpez Mori, Jorge Alonso. Lima, Peru. 2008, disponible en: http://tesis.pucp.edu.pe/files/PUCP000000001078/Dise%F1o%20e%20im plementaci%F3n%20de%20un%20sistema%20de%20gesti%F3n%20de%20 accesos%20a%20una%20red%20wifi%20utilizando%20software%20libre.pdf RFC2865 - Remote Authentication Dial In User Service (RADIUS). Disponible en: http://www.faqs.org/rfcs/rfc2865.html RFC2866 RADIUS Accounting. Disponible en: http://www.faqs.org/rfcs/rfc2866.html RADIUS packet format. Disponible en: http://ing.ctit.utwente.nl/WU5/D5.1/Technology/radius/ Comunicaciones Inalmbricas. David Roldan Martinez. RA-MA. 2005 802.11 (Wi-Fi) Networking Handbook. Neil Reid. Mc.GrawHill. 2003 Google Maps. http://maps.google.com/
80
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9] [10] [11]

TES1393

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TES1393

Transféré par

Droits d'auteur :

Formats disponibles

BENEMRITA UNIVERSIDAD AUTNOMA DE PUEBLA FACULTAD DE CIENCIAS DE LA COMPUTACIN

AUTENTICACIN DE CLIENTES INALMBRICOS

PRESENTADA COMO REQUISITO PARA OBTENER EL TTULO DE LICENCIATURA EN CIENCIAS DE LA COMPUTACIN

PRESENTA OMAR COETO HERNNDEZ

ASESOR DR. MANUEL MARTN ORTIZ

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

CAPTULO 1 - MARCO TERICO

Autenticacin de clientes inalmbricos

Figura 1.1 Ejemplo de una WLAN 8

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Figura 1.2 WLAN ad-hoc

Autenticacin de clientes inalmbricos

Figura 1.3 Modo infraestructura en WLAN ESS

La tabla 1.3 resume los modos WLAN a modo de referencia rpida

Tabla 1.33Modos de una WLAN

Infraestructura (Solo un AP) Infraestructura (Mas de un AP)

Autenticacin de clientes inalmbricos

Figura 1.4 Once canales DSSS superpuestos en 2.4Ghz

Autenticacin de clientes inalmbricos

Figura 1.5 Uso de canales de 2.4Ghz DSSS en una WLAN ESS

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Figura 1.6 rea de cobertura en una WLAN 802.11b

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Figura 2.17 Formato de paquetes RADIUS

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Figura 2.28 Proceso de autenticacin RADIUS

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

CAPTULO 3 MODELO PROPUESTO

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos

apt-get install freeradius-mysql

Figura 3.210 Creacin de usuario de prueba 38

Autenticacin de clientes inalmbricos

Figura 3.311Deteniendo el servidor RADIUS

Ahora iniciamos nuevamente el servidor, en modo debug. freeradius -X

Figura 3.412Servidor en espera de solicitudes 39

Autenticacin de clientes inalmbricos

Figura 3.513Peticin aceptada

Figura 3.614Peticin aceptada (modo debug) 40

Autenticacin de clientes inalmbricos

Autenticacin de clientes inalmbricos