1. RADIUS
Juana Guerrero Gómez
José Ricardo Rodríguez Ramírez
Arnold Esteves Torres
José Miguel Martínez Pérez
Jesus Ismael Rangel Ramos
Valentin Silva Gonzalez
2. Introducción
Los ataques desde la red interna son peligrosos y
más difíciles de prevenir que los ataques
externos. Un atacante que se conecte en una red
interna con un portátil se beneficia de nuestro
ancho de banda para el acceso a la red de datos.
Una forma de prevenir un ataque es implementar
una función de autenticación en la Capa 2 del
modelo OSI usando el protocolo 802.1X.
3. RADIUS
RADIUS (acrónimo en inglés de Remote
Authentication Dial-In User Server). Es un
protocolo de autenticación y autorización para
aplicaciones de acceso a la red o movilidad IP.
Utiliza el puerto 1812 UDP para establecer sus
conexiones.
4. RADIUS
Normalmente, el protocolo Radius se utiliza para
autenticar usuarios en escenarios dial-up. Pero
Radius también es útil en entornos LAN: en
combinación con 802.1X, Radius obliga a los
usuarios a autenticarse a bajo nivel antes de que
el switch abra el puerto.
5. RADIUS
Un switch habilitado con 802.1X y un servidor
Freeradius es todo lo que necesitamos para
implementar la autenticación en la Capa 2. Ya
que la autenticación de la Capa 2 opera en el
nivel local, y evita que los intrusos utilicen la red
física sin autenticarse.
6. IEEE 802.1X
La IEEE 802.1X es una norma del IEEE para el
control de acceso a red basada en puertos.
Permite la autenticación de dispositivos
conectados a un puerto LAN, estableciendo una
conexión punto a punto o previniendo el acceso
por ese puerto si la autenticación falla. Es
utilizado en algunos puntos de acceso
inalámbricos cerrados y se basa en el protocolo
de autenticación extensible (EAP– RFC 2284).
7. IEEE 802.1X
802.1X está disponible en ciertos conmutadores de red y
puede configurarse para autenticar nodos que están
equipados con software suplicante. Esto elimina el
acceso no autorizado a la red al nivel de la capa de
enlace de datos.
Algunos proveedores están implementando 802.1X en
puntos de acceso inalámbricos que pueden utilizarse en
ciertas situaciones en las cuales el punto de acceso
necesita operarse como un punto de acceso cerrado,
corrigiendo deficiencias de seguridad de WEP .
8. IEEE 802.1X
Esta autenticación es realizada normalmente por
un tercero, tal como un servidor de RADIUS. Esto
permite la autenticación sólo del cliente o, más
apropiadamente, una autenticación mutua fuerte
utilizando protocolos como EAP-TLS.
9. EAP
Extensible Authentication Protocol (EAP) es un
framework de autenticación usado habitualmente
en redes WLAN Point-to-Point Protoco (PPP).
Aunque el protocolo EAP no está limitado a LAN
inalámbricas y puede ser usado para
autenticación en redes cableadas, es más
frecuentemente su uso en las primeras.
10. EAP
Cuando EAP es invocada por un dispositivo NAS
(Network Access Server) capacitado para 802.1X,
como por ejemplo un access point, los métodos
modernos de EAP proveen un mecanismo seguro
de autenticación y negocian un PMK (Pair-wise
Master Key) en tre el dispositivo cliente y el
NAS. En esas circunstancias, la PMK puede ser
usada para abrir una sesión inalámbrica cifrada
que usa cifrado TKIP o AES.
11. FreeRADIUS
FreeRADIUS es una buena opción a la hora de
escoger un servidor Radius. Fué iniciado en 1999
por Alan DeKok y Miquel van Smoorenburg
(quien colaboró anteriormente en el desarrollo de
Cistron RADIUS), es una alternativa libre hacia
otros servidores RADIUS, siendo uno de los más
completos y versátiles gracias a la variedad de
módulos que le componenen. Puede operar tanto
en sistemas con recursos limitados así como
sistemas atendiendo millones de usuarios.
12. FreeRADIUS
● FreeRADIUS fué el primer servidor Open
Source de RADIUS en soportar EAP.
● FreeRADIUS ya tiene definido el estandar de
como los servidores RADIUS deben
administrar las sesiones EAP. Las versiones
posteriores a la 2.0 soportan mas métodos
EAP como cualquier otro servidor RADIUS
comercial.
13. Instalación de FreeRADIUS
En ubuntu 12.04 la instalación es muy simple:
#apt-get install freeradius
Si todo va bien, debería poner los ficheros de
configuración del servidor en /etc/freeradius. La
primera cosa que Freeradius necesita hacer es
permitir el acceso a los clientes Radius.
#nano clients.conf
14. Configuración de FreeRadius
Client 192.168.0.1{
secret=probando123
shortname=dlink
}
● 192.168.0.1 es la dirección del access
point desde el cual nos conectarémos al
servidor RADIUS, secret la contraseña y
shortname el SSID.
15. Configuración de FreeRADIUS
Para configurar la lista de clientes que queremos
que se conecten editamos el archivo users.
# nano users
"jguerrero"
Cleartext-Password := "123456"
Reply-Message = "Hola, %{User-Name}"
16. Configuración de FreeRADIUS
En el archivo eap.conf simplemente cambiamos
el tipo de encriptado que lleva la contraseña, por
default es md5.
Cambiar:
default_eap_type = md5
Por:
default_eap_type=peap
17. Configuración de FreeRADIUS
Reiniciar el FreeRADIUS:
#/etc/init.d/freeradius stop
*Stopping FreeRADIUS daemon freeradius [OK ]
#/etc/freeradius/freeradius -X
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on authentication address 127.0.0.1 port 18120 as
server inner-tunnel
Listening on proxy address * port 1814
Ready to process requests.
22. CONCLUSIONES
● Se obtiene un mayor control de las entradas a la
red inalámbrica.
● Se genera un ambiente de seguridad tanto para el
administrador como para los usuarios conectados.
● Se puede aumentar la potencia de la señal de
cobertura para que todos los usuarios tengan una
buena recepción sin temor de que alguien ajeno se
conecte aprovechando el aumento del área de
cobertura.
23. CONCLUSIONES
● La seguridad en la red inalámbrica es mucho
más robusta que otros métodos de
autenticación.
● El tiempo para la conexión no es más grande
que otros tipos de autenticación similares.
● El software necesario para el entorno de
seguridad se puede obtener sin costo.