REDES DE COMPUTADORAS IIINro. DD-106Página 1/6

Tema : Seguridad en WiFi - RadiusCódigo :

Semestre: VGrupo : G-H

Nota: Apellidos y Nombres: Lab. Nº : 04

1. Objetivos:

Implementar seguridad de acceso en Redes Inalámbricas mediante Servidor Radius.

2. Requerimientos:

PC Compatible. Access Point Dlink 3200AP y Dlink 2100AP Windows XP Windows 2003 Estándar

3. Seguridad

Advertencia:

No consumir alimentos ni bebidas durante el desarrollo de la sesión del laboratorio.

El equipo que esta por utilizar, es susceptible a daño eléctrico por mala manipulación y/o carga electroestática.

4. Basado en el siguiente esquema

Cree una maquina Virtual con Windows 2003 Estándar.Configure un controlador de dominio como TecsupR4Cree dos usuarios, con lo atributos de password nunca expira y permitir conexiones remotas:

Usuario: ClienteAPassword: TecsupXPUsuario: ClienteBPassword: TecsupXP

REDES DE COMPUTADORAS IIINro. DD-106Página 26

Instalar el Internet Information Server (IIS)Para ello haga clic en el menú Inicio -> Panel de Control -> Agregar o Quitar programas -> Agregar o quitar componentes de Windows -> Servidor de Aplicaciones. Seleccionar Instalar Internet Information Server (IIS) y Consola de Servidor de Aplicaciones

Instalar el Servidor de Certificados (CA)Para ello haga clic en el menú Inicio -> Panel de Control -> Agregar o Quitar programas -> Agregar o quitar componentes de Windows. Seleccionar Servicios de Certificate ServerEl asistente de Componente de Windows solicitara seleccionar el tipo de entidad emisora de certificados. Debe seleccionar: Entidad emisora raíz de la empresaAhora solicitara el nombre común para la entidad emisora de certificados. Ingresar: WirelessTecsup

Instalar el Servicio de autenticación de InternetPara ello haga clic en el menú Inicio -> Panel de Control -> Agregar o Quitar programas -> Agregar o quitar componentes de Windows->Servicios de Red. . Seleccionar Servicio de autenticación de Internet

Instalar el Certificado en el ServidorInstalaremos el Certificado en el servidor que será utilizado para configurar EAP, ingresar en el browser del Servidor la dirección: http://localhost/certsrv

Haga clic en solicitar un certificado.En la ventana de seleccionar certificado, seleccionar Certificado de Usuario.

En la siguiente ventana seleccionar el botón EnviarAhora le preguntara si desea instalar el certificado, haga clic en el link Instalar este certificado

REDES DE COMPUTADORAS IIINro. DD-106Página 36

En que opción del Browser podrá verificar la instalación del certificado.

Abra la aplicación “Entidad emisora de Certificados”, compruebe que el certificado ha sido instalado con éxito. Que información muestra sobre el certificado emitido

Configuración del IAS.Abra la consola de administración del Servidor de Autenticación (IAS), haga clic derecho sobre cliente Radius y adicione uno nuevo.

En el nombre descriptivo colocar un nombre que identifique al cliente Radius. Ejm: Dlink3200Dirección IP: colocar la IP del APEn cliente proveedor: Seleccionar RADIUS Standard.Ingrese el secreto compartido, el cual deberá de ser el mismo del AP.

Agregar una política de acceso remoto.

REDES DE COMPUTADORAS IIINro. DD-106Página 46

Las directivas son una lista de condiciones que deberá de serguir el equipo para autentificar en el servidor.Haga click derecho sobre la opción Directivas de acceso remoto en el IAS.Ingrese un nombre a la directiva y seleccione la opción Configurar una directiva personalizada.

Haga clic en siguiente. Seleccione el atributo NAS-Port

En el tipo de puerto seleccione Inalámbrica IEE-802.11

En la ventana de permisos, seleccionar Conceder Permisos de Acceso Remoto si cumple con las condiciones establecidas, haga clic en siguiente.Luego haga clic en el botón Editar Perfil, seleccione la lengüeta Autenticación

REDES DE COMPUTADORAS IIINro. DD-106Página 56

Verifique el método de autentificación y cifrado de contraseña, según como lo muestra el grafico anterior. Haga clic en el botón Métodos EAP

Agregue EAP protegido (PEAP), que método de autentificación permite el protocolo seleccionado.Luego seleccione el protocolo escogido y haga clic en el botón modificar. Verifique que aparece el certificado instalado, caso contrario debe de haber ocurrido algún error en la instalación del certificado. Indicara para quien es emitió el certificado y quien es el emisor.

Conecte el clienteA en la red cableado e ingrese el equipo al dominio creado.Instale el certificado en el equipo cliente desde el browser, utilice la siguiente dirección:

http://<IP del Servidor>/certsrvAsegúrese que el cliente tiene el certificado instalado.

REDES DE COMPUTADORAS IIINro. DD-106Página 66

Que método utilizo para realizar esta comprobación.

Configuración del AP con Radius

Analice el canal a utilizar. Que canal selecciono: _________Ingrese el siguiente SSID: RadiusGXIngrese los parámetros de seguridad como lo muestra la anterior imagen.

Configuración del Cliente.Desconecte el cliente el cable de red, inicie sesión con el usuario creado en el servidor. Habilite la red inalámbrica.

Configure los parámetros de conexión como lo muestra la anterior imagen.Haga clic en la lengüeta Autenticación, seleccione el tipo de EAP como EAP protegido (PEAP) , haga clic en propiedades y selección el certificado instalado.

REDES DE COMPUTADORAS IIINro. DD-106Página 76

Seleccione el método de autenticación como contraseña segura (EAP-MSCHAP V2) y haga clic en el botón configurar.

Asegúrese que el protocolo utilizara el usuario y contraseña con la que inicio sesión.Con esto terminara de configurar el equipo.

Pruebas de conexión Instale el WireShark en la maquina real y capture los paquetes que pasen por el y verifique el proceso de autentificación del usuario.

TAREA

REDES DE COMPUTADORAS IIINro. DD-106Página 86

Describa el proceso a realizar para autentica el cliente con certificados digitales.

INFORME

Se deberá presentar un informe, al iniciar el siguiente laboratorio, el cual debe constar de:

1. Fundamento teórico: Se deberá incluir una hoja donde se desarrolle conceptos teóricos

complementarios a los desarrollados en clase. En algunos casos se incluirán temas que sirvan como referencia.Temas. EAP Servicio de Certificados Digitales RADIUS RADIUS appliance

2. Resultados del laboratorio. Se deberá incluir los procedimientos y resultados desarrollados. (Interpretar las

operaciones realizadas)3. Observaciones y conclusiones.

En esta sección contiene la síntesis de los resultados alcanzados a la finalización de la experiencia.

4. Aplicación de lo aprendido. En esta sección se especifica el uso que se puede dar a lo aprendido de la

experiencia práctica. En algunos casos se incluirán algunas referencias.

INFORME

REDES DE COMPUTADORAS IIINro. DD-106Página 96

EAP

Extensible Authentication Protocol (EAP) es una autenticación framework usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas, es más frecuentemente su uso en las primeras. Recientemente los estándares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticación.Es una estructura de soporte, no un mecanismo específico de autenticación. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticación escogidos. Estos mecanismos son llamados métodos EAP, de los cuales se conocen actualmente unos 40. Además de algunos específicos de proveedores comerciales, los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, y EAP-AKA.Los métodos modernos capaces de operar en ambientes inalámbricos incluyen EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP y EAP-TTLS. Los requerimientos para métodos EAP usados en LAN inalámbricas son descritos en la RFC 4017. Cuando EAP es invocada por un dispositivo NAS (Network Access Server) capacitado para 802.1X, como por ejemplo un punto de acceso 802.11 a/b/g, los métodos modernos de EAP proveen un mecanismo seguro de autenticación y negocian un PMK (Pair-wise Master Key) entre el dispositivo cliente y el NAS. En esas circunstancias, la PMK puede ser usada para abrir una sesión inalámbrica cifrada que usa cifrado TKIP o AES.EAP fue diseñado para utilizarse en la autenticación para acceso a la red, donde la conectividad de la capa IP puede no encontrase disponible. Dado a que EAP no requiere conectividad IP, solamente provee el suficiente soporte para el transporte confiable de protocolos de autenticación y nada más.EAP es un protocolo lock-step, el cual solamente soporta un solo paquete en transmisión. Como resultado, EAP no pude transportar eficientemente datos robustos, a diferencia de protocolos de capas superiores como TCP.Aunque EAP provee soporte para retransmisión, este asume que el ordenamiento de paquetes es brindado por las capas inferiores, por lo cual el control de orden de recepción de tramas no está soportado. Ya que no soporta fragmentación y re-ensamblaje, los métodos de autenticación de basados en EAP que generan tramas más grandes que el soportado por defecto por EAP, deben aplicar mecanismos especiales para poder soportar la fragmentación (Por ejemplo EAP-TLS). Como resultado, puede ser necesario para un algoritmo de autenticación agregar mensajes adicionales para poder correr sobre EAP. Cuando se utiliza autentificación a base de certificados, el certificado es más grande que el MTU de EAP, por lo que el número de round-trips (viaje redondo de paquetes) entre cliente y servidor puede aumentar debido a la necesidad de fragmentar dicho certificado.Se debe considerar que cuando EAP corre sobre una conexión entre cliente y servidor donde se experimenta una significante pérdida de paquetes, los métodos EAP requerirán muchos round-trips y se reflejará en dificultades de conexión.

Servicio de Certificados Digitales

Un certificado digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.Si bien existen variados formatos para certificados digitales, los más comúnmente empleados se rigen por el estándar UIT-T X.509.

El certificado contiene usualmente el nombre de la entidad certificada, número de serie, fecha de expiración, una copia de la clave pública del titular del certificado (utilizada para la verificación de su firma digital) y la firma digital de la autoridad emisora del certificado de forma que el receptor pueda verificar que esta última ha establecido realmente la asociación.

RADIUS

REDES DE COMPUTADORAS IIINro. DD-106Página 106

RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones.

Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo NAS (Servidor de Acceso a la Red o Network Access Server (NAS)) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc.

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red(NAS), más tarde se publicó como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datosvarias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administración centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes).

RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementan sus propios dialectos.

RADIUS appliance

REDES DE COMPUTADORAS IIINro. DD-106Página 116

Dispositivo de seguridad robusto con sencillez La dedicada SBR Appliance ofrece muchas ventajas de seguridad que superan los servidores estándar, de usos múltiples. El sistema operativo reforzado del aparato SBR ha sido diseñado específicamente para soportar el estándar RADIUS, proporcionando una gran seguridad fuera de la caja y la eliminación de las vías más comunes de ataque del sistema operativo. Además, la eliminación de los módulos del sistema operativo innecesaria elimina la necesidad de bajar parches constantes, la carga administrativa de una organización. Steel-Belted Radius Appliance con SBR Enterprise Edition El dispositivo ejecuta SBR SBR Enterprise Edition funciona con cualquier equipo de red de acceso que ha elegido para su red, independientemente del proveedor. Es compatible con redes heterogéneas, la facilidad de interfaz con los equipos de acceso a redes de diferentes proveedores de forma automática la comunicación con cada dispositivo en el idioma que entiende, a partir de diccionarios personalizados que describen cada vendedor y extensiones del dispositivo con el protocolo RADIUS. Ya sea que usted haya configurado WLAN, remoto / VPN, por cable 802.1X, dial-in, subcontratado, o cualquier otra forma de acceso a la red en cualquier combinación, el aparato SBR con SBR EE puede administrar la conexión de todos los usuarios independientemente del método de acceso . El dispositivo SBR con SBR EE registra todas las transacciones de autenticación, por lo que podrá ver toda la historia de las solicitudes de autenticación y las respuestas resultantes. Si el dispositivo de acceso soporta cuentas RADIUS, también será capaz de medir cuánto tiempo cada usuario permanece conectado, e incluso ser capaz de ver exactamente quién está conectado en cualquier momento y en qué puerto. Con el aparato SBR, toda la información que necesita sobre la actividad de RADIUS está a su alcance. 

RESULTADOS DEL LABORATORIO

CONCLUSIONES

El protocolo RADIUS es un protocolo hecho por y para unas necesidades: Autenticar. Autorizar.Mantener una contabilidad de uso.

Irá desapareciendo conforme las necesidades de control de usuarios, sesiones y errores vayan creciendo

Para poder establecer un servidor radius es necesario contar con las licencias porque esto nos permitirá obtener todos los servicios.

Las redes inalámbricas deben de tener una política de seguridad para especificar el modo de comunicación cliente-servidor.

Radius está basado en el protocolo UDP y combina la mecánica de verificación y procedimientos de autorización.

REDES DE COMPUTADORAS IIINro. DD-106Página 126

OBSERVACIONES

El laboratorio se desarrollo en el tiempo establecido. El profesor dio una breve explicación teórica antes de iniciar la sesión. Se produjeron algunos errores en la instalación el certificado, los cuales se

corrigieron al instante Se produjeron algunos conflictos de direcciones IP que de igual manera fueron

resueltos. Se logro conectar al dominio creado con el cliente creado. Se observo la forma de comunicación cliente-servidor.

APLICACIÓN DE LO APRENDIDO

Para controlas el acceso a la red Para robustecer la seguridad wifi, el servidor RADIUS puede generar claves

"dinámicas", es decir que las puede ir cambiando. El administrador puede configurar el intervalo