REDES DE COMPUTADORAS III

Tema : Nota:

Nro. DD-106 Pgina 1/6

Cdigo : Semestre: Grupo : Lab. N :

Seguridad en WiFi - Radius

Apellidos y Nombres: 1. Objetivos:

V G-H 04

Implementar seguridad de acceso en Redes Inalmbricas mediante Servidor Radius.

2. Requerimientos:

PC Compatible. Access Point Dlink 3200AP y Dlink 2100AP Windows XP Windows 2003 Estndar

3. Seguridad

Advertencia: No consumir alimentos ni bebidas durante el desarrollo de la sesin del laboratorio. El equipo que esta por utilizar, es susceptible a dao elctrico por mala manipulacin y/o carga electroesttica.
4. Basado en el siguiente esquema

SERVIDORES

DC

CA

IAS

ClienteA

CISCO AIRONET 1200

I WIRELESS ACCESS POINT

AccessPoint

Cree una maquina Virtual con Windows 2003 Estndar. Configure un controlador de dominio como TecsupR4 Cree dos usuarios, con lo atributos de password nunca expira y permitir conexiones remotas: Usuario: ClienteA Password: TecsupXP Usuario: ClienteB

REDES DE COMPUTADORAS III

Tema : Nota:

Nro. DD-106 Pgina 2/6

Cdigo : Semestre: Grupo : Lab. N :

Seguridad en WiFi - Radius

Apellidos y Nombres: Password: TecsupXP

V G-H 04

REDES DE COMPUTADORAS III

Nro. DD-106 Pgina 36

Instalar el Internet Information Server (IIS) Para ello haga clic en el men Inicio -> Panel de Control -> Agregar o Quitar programas -> Agregar o quitar componentes de Windows -> Servidor de Aplicaciones. Seleccionar Instalar Internet Information Server (IIS) y Consola de Servidor de Aplicaciones Instalar el Servidor de Certificados (CA) Para ello haga clic en el men Inicio -> Panel de Control -> Agregar o Quitar programas -> Agregar o quitar componentes de Windows. Seleccionar Servicios de Certificate Server El asistente de Componente de Windows solicitara seleccionar el tipo de entidad emisora de certificados. Debe seleccionar: Entidad emisora raz de la empresa Ahora solicitara el nombre comn para la entidad emisora de certificados. Ingresar: WirelessTecsup Instalar el Servicio de autenticacin de Internet Para ello haga clic en el men Inicio -> Panel de Control -> Agregar o Quitar programas -> Agregar o quitar componentes de Windows->Servicios de Red. . Seleccionar Servicio de autenticacin de Internet Instalar el Certificado en el Servidor Instalaremos el Certificado en el servidor que ser utilizado para configurar EAP, ingresar en el browser del Servidor la direccin: http://localhost/certsrv

Haga clic en solicitar un certificado. En la ventana de seleccionar certificado, seleccionar Certificado de Usuario.

En la siguiente ventana seleccionar el botn Enviar Ahora le preguntara si desea instalar el certificado, haga clic en el link Instalar este certificado

REDES DE COMPUTADORAS III

Nro. DD-106 Pgina 46

En que opcin del Browser podr verificar la instalacin del certificado.

Abra la aplicacin Entidad emisora de Certificados, compruebe que el certificado ha sido instalado con xito. Que informacin muestra sobre el certificado emitido

Configuracin del IAS. Abra la consola de administracin del Servidor de Autenticacin (IAS), haga clic derecho sobre cliente Radius y adicione uno nuevo.

En el nombre descriptivo colocar un nombre que identifique al cliente Radius. Ejm: Dlink3200 Direccin IP: colocar la IP del AP En cliente proveedor: Seleccionar RADIUS Standard. Ingrese el secreto compartido, el cual deber de ser el mismo del AP. Agregar una poltica de acceso remoto. Las directivas son una lista de condiciones que deber de serguir el equipo para autentificar en el servidor.

REDES DE COMPUTADORAS III

Haga click derecho sobre la opcin Directivas de acceso remoto en el IAS. Ingrese un nombre a la directiva y seleccione la opcin Configurar una directiva personalizada.

Nro. DD-106 Pgina 56

Haga clic en siguiente. Seleccione el atributo NAS-Port

En el tipo de puerto seleccione Inalmbrica IEE-802.11

En la ventana de permisos, seleccionar Conceder Permisos de Acceso Remoto si cumple con las condiciones establecidas, haga clic en siguiente. Luego haga clic en el botn Editar Perfil, seleccione la lengeta Autenticacin

REDES DE COMPUTADORAS III

Nro. DD-106 Pgina 66

Verifique el mtodo de autentificacin y cifrado de contrasea, segn como lo muestra el grafico anterior. Haga clic en el botn Mtodos EAP

Agregue EAP protegido (PEAP), que mtodo de autentificacin permite el protocolo seleccionado. Luego seleccione el protocolo escogido y haga clic en el botn modificar. Verifique que aparece el certificado instalado, caso contrario debe de haber ocurrido algn error en la instalacin del certificado. Indicara para quien es emiti el certificado y quien es el emisor.

Conecte el clienteA en la red cableado e ingrese el equipo al dominio creado. Instale el certificado en el equipo cliente desde el browser, utilice la siguiente direccin: http://<IP del Servidor>/certsrv

REDES DE COMPUTADORAS III

Asegrese que el cliente tiene el certificado instalado. Que mtodo utilizo para realizar esta comprobacin.

Nro. DD-106 Pgina 76

Configuracin del AP con Radius

Analice el canal a utilizar. Que canal selecciono: _________ Ingrese el siguiente SSID: RadiusGX Ingrese los parmetros de seguridad como lo muestra la anterior imagen. Configuracin del Cliente. Desconecte el cliente el cable de red, inicie sesin con el usuario creado en el servidor. Habilite la red inalmbrica.

Configure los parmetros de conexin como lo muestra la anterior imagen. Haga clic en la lengeta Autenticacin, seleccione el tipo de EAP como EAP protegido (PEAP) , haga clic en propiedades y seleccin el certificado instalado.

REDES DE COMPUTADORAS III

Nro. DD-106 Pgina 86

Seleccione el mtodo de autenticacin como contrasea segura (EAP-MSCHAP V2) y haga clic en el botn configurar.

Asegrese que el protocolo utilizara el usuario y contrasea con la que inicio sesin. Con esto terminara de configurar el equipo. Pruebas de conexin Instale el WireShark en la maquina real y capture los paquetes que pasen por el y verifique el proceso de autentificacin del usuario.

REDES DE COMPUTADORAS III

Nro. DD-106 Pgina 96

TAREA
Describa el proceso a realizar para autentica el cliente con certificados digitales.
INFORME Se deber presentar un informe, al iniciar el siguiente laboratorio, el cual debe constar de: 1. Fundamento terico: Se deber incluir una hoja donde se desarrolle conceptos tericos complementarios a los desarrollados en clase. En algunos casos se incluirn temas que sirvan como referencia. Temas. EAP Servicio de Certificados Digitales RADIUS RADIUS appliance 2. Resultados del laboratorio. Se deber incluir los procedimientos y resultados desarrollados. (Interpretar las operaciones realizadas) 3. Observaciones y conclusiones. En esta seccin contiene la sntesis de los resultados alcanzados a la finalizacin de la experiencia. 4. Aplicacin de lo aprendido. En esta seccin se especifica el uso que se puede dar a lo aprendido de la experiencia prctica. En algunos casos se incluirn algunas referencias.

REDES DE COMPUTADORAS III

INFORME EAP

Nro. DD-106 Pgina 106

Extensible Authentication Protocol (EAP) es una autenticacin framework usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede ser usado para autenticacin en redes cableadas, es ms frecuentemente su uso en las primeras. Recientemente los estndares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticacin. Es una estructura de soporte, no un mecanismo especfico de autenticacin. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticacin escogidos. Estos mecanismos son llamados mtodos EAP, de los cuales se conocen actualmente unos 40. Adems de algunos especficos de proveedores comerciales, los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAPGTC, EAP-TLS, EAP-IKEv2, EAP-SIM, y EAP-AKA. Los mtodos modernos capaces de operar en ambientes inalmbricos incluyen EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP y EAP-TTLS. Los requerimientos para mtodos EAP usados en LAN inalmbricas son descritos en la RFC 4017. Cuando EAP es invocada por un dispositivo NAS (Network Access Server) capacitado para 802.1X, como por ejemplo un punto de acceso 802.11 a/b/g, los mtodos modernos de EAP proveen un mecanismo seguro de autenticacin y negocian un PMK (Pairwise Master Key) entre el dispositivo cliente y el NAS. En esas circunstancias, la PMK puede ser usada para abrir una sesin inalmbrica cifrada que usa cifrado TKIP o AES. EAP fue diseado para utilizarse en la autenticacin para acceso a la red, donde la conectividad de la capa IP puede no encontrase disponible. Dado a que EAP no requiere conectividad IP, solamente provee el suficiente soporte para el transporte confiable de protocolos de autenticacin y nada ms. EAP es un protocolo lock-step, el cual solamente soporta un solo paquete en transmisin. Como resultado, EAP no pude transportar eficientemente datos robustos, a diferencia de protocolos de capas superiores como TCP. Aunque EAP provee soporte para retransmisin, este asume que el ordenamiento de paquetes es brindado por las capas inferiores, por lo cual el control de orden de recepcin de tramas no est soportado. Ya que no soporta fragmentacin y re-ensamblaje, los mtodos de autenticacin de basados en EAP que generan tramas ms grandes que el soportado por defecto por EAP, deben aplicar mecanismos especiales para poder soportar la fragmentacin (Por ejemplo EAP-TLS). Como resultado, puede ser necesario para un algoritmo de autenticacin agregar mensajes adicionales para poder correr sobre EAP. Cuando se utiliza autentificacin a base de certificados, el certificado es ms grande que el MTU de EAP, por lo que el nmero de round-trips (viaje redondo de paquetes) entre cliente y servidor puede aumentar debido a la necesidad de fragmentar dicho certificado. Se debe considerar que cuando EAP corre sobre una conexin entre cliente y servidor donde se experimenta una significante prdida de paquetes, los mtodos EAP requerirn muchos round-trips y se reflejar en dificultades de conexin.

Servicio de Certificados Digitales

Un certificado digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificacin) garantiza la vinculacin entre la identidad de un sujeto o entidad y su clave pblica. Si bien existen variados formatos para certificados digitales, los ms comnmente empleados se rigen por el estndar UIT-T X.509. El certificado contiene usualmente el nombre de la entidad certificada, nmero de serie, fecha de expiracin, una copia de la clave pblica del titular del certificado (utilizada para la verificacin de

REDES DE COMPUTADORAS III

Nro. DD-106 Pgina 116

su firma digital) y la firma digital de la autoridad emisora del certificado de forma que el receptor pueda verificar que esta ltima ha establecido realmente la asociacin.

RADIUS

RADIUS (acrnimo en ingls de Remote Authentication Dial-In User Server). Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones. Cuando se realiza la conexin con un ISP mediante mdem, DSL, cablemdem, Ethernet o Wi-Fi, se enva una informacin que generalmente es un nombre de usuario y una contrasea. Esta informacin se transfiere a un dispositivo NAS (Servidor de Acceso a la Red o Network Access Server (NAS)) sobre el protocolo PPP, quien redirige la peticin a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la informacin es correcta utilizando esquemas de autenticacin como PAP, CHAP o EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los recursos de red como una direccin IP, y otros parmetros como L2TP, etc. Una de las caractersticas ms importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexin, as que al usuario se le podr determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propsitos estadsticos. RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red(NAS), ms tarde se public como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto. Las prestaciones pueden variar, pero la mayora pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datosvarias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracin

REDES DE COMPUTADORAS III

Nro. DD-106 Pgina 126

centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes). RADIUS es extensible; la mayora de fabricantes de software y hardware RADIUS implementan sus propios dialectos.

RADIUS appliance

Dispositivo de seguridad robusto con sencillez La dedicada SBR Appliance ofrece muchas ventajas de seguridad que superan los servidores estndar, de usos mltiples. El sistema operativo reforzado del aparato SBR ha sido diseado especficamente para soportar el estndar RADIUS, proporcionando una gran seguridad fuera de la caja y la eliminacin de las vas ms comunes de ataque del sistema operativo. Adems, la eliminacin de los mdulos del sistema operativo innecesaria elimina la necesidad de bajar parches constantes, la carga administrativa de una organizacin. Steel-Belted Radius Appliance con SBR Enterprise Edition El dispositivo ejecuta SBR SBR Enterprise Edition funciona con cualquier equipo de red de acceso que ha elegido para su red, independientemente del proveedor. Es compatible con redes heterogneas, la facilidad de interfaz con los equipos de acceso a redes de diferentes proveedores de forma automtica la comunicacin con cada dispositivo en el idioma que entiende, a partir de diccionarios personalizados que describen cada vendedor y extensiones del dispositivo con el protocolo RADIUS. Ya sea que usted haya configurado WLAN, remoto / VPN, por cable 802.1X, dialin, subcontratado, o cualquier otra forma de acceso a la red en cualquier combinacin, el aparato SBR con SBR EE puede administrar la conexin de todos los usuarios independientemente del mtodo de acceso . El dispositivo SBR con SBR EE registra todas las transacciones de autenticacin, por lo que podr ver toda la historia de las solicitudes de autenticacin y las respuestas resultantes. Si el dispositivo de acceso soporta cuentas RADIUS, tambin ser capaz de medir cunto tiempo cada usuario permanece conectado, e incluso ser capaz de ver exactamente quin est conectado en cualquier momento y en qu puerto. Con el aparato SBR, toda la informacin que necesita sobre la actividad de RADIUS est a su alcance.

RESULTADOS DEL LABORATORIO

REDES DE COMPUTADORAS III

CONCLUSIONES El protocolo RADIUS es un protocolo hecho por y para unas necesidades:

Nro. DD-106 Pgina 136

Autenticar. Autorizar. Mantener una contabilidad de uso. Ir desapareciendo conforme las necesidades de control de usuarios, sesiones y errores vayan creciendo Para poder establecer un servidor radius es necesario contar con las licencias porque esto nos permitir obtener todos los servicios. Las redes inalmbricas deben de tener una poltica de seguridad para especificar el modo de comunicacin cliente-servidor. Radius est basado en el protocolo UDP y combina la mecnica de verificacin y procedimientos de autorizacin.

OBSERVACIONES
El laboratorio se desarrollo en el tiempo establecido. El profesor dio una breve explicacin terica antes de iniciar la sesin. Se produjeron algunos errores en la instalacin el certificado, los cuales se corrigieron al instante Se produjeron algunos conflictos de direcciones IP que de igual manera fueron resueltos. Se logro conectar al dominio creado con el cliente creado. Se observo la forma de comunicacin cliente-servidor.

APLICACIN DE LO APRENDIDO
Para controlas el acceso a la red Para robustecer la seguridad wifi, el servidor RADIUS puede generar claves "dinmicas", es decir que las puede ir cambiando. El administrador puede configurar el intervalo