Awnas

ESCUELA TCNICA SUPERIOR DE INGENIEROS
INDUSTRIALES Y DE TELECOMUNICACIN
Titulacin :
INGENIERO DE TELECOMUNICACIN
Ttulo dl !"o#cto:
SER$IDOR A$AN%ADO DE AUTENTICACIN Y GESTIN
DE REDES INAL&M'RICAS
Santi 'a(tan Ancin
TUTOR: Edua"do Ma)a*a Li(a""ondo
Pa+!lona, -. d S!ti+/" d -00.
Quiero dar las gracias tod@s aqull@s que me
han apoyado en la realizacin de este proyecto.
Especialmente a Eduardo, colegas del garito
interior, Ainhoa, Iokin, aria!e y ikel.
Ainhoa, Mariaje, Iokin eta Mikel:
Mila esker nire alboan egoteagatik. Zuen laguntza
itzela izan da.
Santi Baztan Anzin Universidad Pblica de Navarra
ndice
1 Introduccin..............................................................................................................3
1.1 Objetivos............................................................................................................4
1.1.1 Origen del sistema........................................................................................4
1.1.2 Nuevas funcionalidades...............................................................................5
1.2 Redes inalmbricas...........................................................................................6
1.2.1 Introduccin a IEEE 802.11.........................................................................6
1.2.2 Toolog!as de red........................................................................................."
1.2.# $lgunos mecanismos de seguridad .............................................................8
1.3 IEEE 802.1X......................................................................................................8
1.#.1 IEEE 802.1% en &$Ns 'I()I.....................................................................*
1.#.2 +$,I-......................................................................................................11
1.#.# E$/............................................................................................................12
1.#.4 01todos de autenticacin..........................................................................12
2 Sistema AWNAS.....................................................................................................15
2.1 Introduccin....................................................................................................1!
2.2 "escri#cin $ %uncionamiento del sistema &'(&)....................................1!
2.2.1 2omunicacin entre comonentes.............................................................16
2.2.2 )uncionamiento a alto nivel.......................................................................1"
2.2.# 0aterial 3 comonentes utili4ados............................................................18
2.3 &'(&)............................................................................................................1*
2.#.1 2onfiguracin de red del .istema $'N$...............................................1*
2.#.2 2digo del $'N$...................................................................................20
2.#.# /unto de acceso..........................................................................................#1
2.#.4 Oenssl.......................................................................................................#2
2.#.5 Oenlda....................................................................................................#6
2.#.6 )reeradius ( /ro53......................................................................................45
2.#." )reeradius ( $ut6.......................................................................................4"
2.#.8 ,72/ 8,3namic 7ost 2onfiguration /rotocol9........................................50
2.#.* $ac6e.......................................................................................................51
2.#.10 )ire'all ( Ita:les...................................................................................55
2.#.11 2ontrol de tr;fico < tc..............................................................................5"
2.#.12 /ca..........................................................................................................5*
2.4 +lientes del )istema........................................................................................61
2.4.1 'indo=s %/..............................................................................................61
2.4.2 %sulicant................................................................................................61
2.4.# 'ire15.......................................................................................................68
3 Pruebas del Sistema AWNAS.................................................................................69
1
3.1 i#er%..................................................................................................................,0
3.2 -onitori.acin de las #ruebas.......................................................................,0
3.3 /r%ico 0"1.....................................................................................................,1
#.#.1 $nc6o de :anda de la red Inal;m:rica......................................................."1
#.#.2 Efecto del tr;fico en la red inal;m:rica en el retardo................................"2
#.#.# ,os clientes> 1 rofesor 3 1 cliente............................................................"#
#.#.4 2uatro clientes> todos del mismo erfil....................................................."4
3.4 /r%ico /+1.....................................................................................................,*
#.4.1 Tr;fico T2/ con un ?nico cliente.............................................................."*
#.4.2 Tr;fico T2/ con varios clientes.................................................................82
#.4.# Tr;fico T2/ desde una m;@uina remota 3 leAana......................................84
4 Conclusiones l!neas "uturas................................................................................##
$iblio%ra"!a...............................................................................................................9&
Ane'os.......................................................................................................................92
$NE%O I. 'E/> 'ired E@uivalent /rivac3.....................................................*2
$NE%O II. E5tensi:le $ut6entication /rotocol 8E$/9.....................................*4
$NE%O III. /unto de $cceso...........................................................................106
$NE%O IB. 2onfiguracin de 'indo=s %/ como cliente.............................111
2
1 Introduccin
En la actualidadC la oularidad de las redes inal;m:ricas est; aumentando
enormemente. $s! mismoC cada ve4 es m;s 6a:itual @ue las emresas imlementen redes
inal;m:ricas en sus emresas en lugar de tender las tradicionales redes ca:leadasC m;s
costosas 3 menos vers;tiles @ue las inal;m:ricas.
&as redes inal;m:ricas aortan grandes meAoras con resecto a las redes ca:leadasC
como uede ser la movilidad de los untos de tra:aAo. Es o:vio @ue es :eneficioso tener la
osi:ilidad de mover un unto de tra:aAo a voluntad siemre @ue el unto se encuentre con
co:ertura. En definitivaC los ro:lemas de dotar de infraestructura de red se reducen
nota:lemente si la red es inal;m:rica.
$?n as!C 3 como casi todo en esta vidaC las redes inal;m:ricas tienen sus
inconvenientes. /ara eme4arC 6o3 or 6o3 ofrecen un anc6o de :anda nota:lemente
menor @ue las redes ca:leadasC 3 esto es :astante imortante si tenemos en cuenta @ue las
alicaciones actuales cada ve4 necesitan un ma3or anc6o de :anda. /ese a estoC el ma3or
ro:lema @ue tienen las redes inal;m:ricasC es el de la .eguridad. El medio de transmisin
de las redes inal;m:ricas es el DaireEC 3 en rinciioC este medio es ?:licoC or lo @ue
cual@uiera @ue se encuentra en un unto con co:erturaC es susceti:le de interactuar en la
comunicacin de un usuario de la red inal;m:rica. En las redes ca:leadasC este fenmeno
est; dificultado or la necesidad de Dinc6arE el ca:le ara interactuar en alguna
comunicacin. /or lo tantoC un osi:le atacante tiene :astantes m;s facilidades ara atacar
una red inal;m:rica @ue ara atacar una ca:leadaC aun@ue esto no @uiere decir @ue las redes
ca:leadas sean seguras. &os ata@ues ueden ser de muc6os tiosC desde una escuc6a simle
de la comunicacinC 6asta cosas como 6acerse asar or el unto de acceso originalC o
introducirse en la red 6aci1ndose asar or un cliente leg!timo IEEE 802.1%F.
/or tanto se 6ace necesario introducir ma3or inteligencia en la red @ue ermita dar
ma3or seguridad a este tio de redes.
Otro aartado no menos imortante es el de la gestin de las redes inal;m:ricas. -na
ve4 tendida la red inal;m:ricaC la red de:e gestionarse ara oder o:tener el ma3or
rendimiento del sistema. /ara ello es necesario imlementar una 6erramienta @ue gestione
la red de acuerdo a los intereses del roietario de la red. $s!C es mu3 interesante @ue la red
sea caa4 de dar diferentes recursos a los clientes en funcin del tio de. Esto significa @ue
en funcin del erfil del usuarioC se ermite el acceso a unas redes o a otrasC se asigna un
ma3or o menor anc6o de :andaC 3 en definitivaC se tiene un ma3or o menor rivilegio. -n
eAemlo de esto ?ltimo uede ser el caso @ue a:orda este ro3ectoC en el cual se
imlementa una 6erramienta ara el uso de ella en la -niversidad /?:lica de Navarra. En
esta redC los rofesores tienen ma3ores rivilegios @ue los alumnos. /ueden acceder a
direcciones de red a las @ue no ueden acceder los alumnos 3 adem;s tienen un ma3or
anc6o de :anda asignado.
&gicamenteC la monitori4acin de la red tiene una gran imortancia ara reaccionar
ante los ro:lemas 3 ara verificar el funcionamiento de la red 3 reali4ar el control de la
misma.
Todos estos asuntos son los @ue son a:ordados a lo largo de este ro3ecto.
#
1.1 Objetivos
/lanteado el ro:lema de la seguridad de las redes inal;m:ricasC el rincial o:Aetivo
de este ro3ecto es el desarrollo de un sistema @ue ermita dar cierta seguridad a este tio
de redes de una manera relativamente sencilla ara el usuario inal;m:rico.
.in em:argoC ara la reali4acin de este sistemaC 3 viendo la necesidad de facilitar la
gestin de estas redesC se 6a lanteado como o:Aetivo secundario el incororar al sistema
6erramientas @ue ermitan gestionar 3 monitori4ar la red desde un interfa4 'EG.
,e esta forma se o:tendr; una 6erramienta @ue ermita una cone5in sencilla a los
usuarios inal;m:ricosC as! como una gestin de la misma segura 3 sencilla ara los
administradores de la red inal;m:rica en cuestin.
2omo ?ltimo o:AetivoC se retende desarrollar una lataforma de rue:as @ue ermita
estudiar el comortamiento del sistemaC con el fin de resolver los osi:les ro:lemas @ue
ueda tener.
1.1.1 Origen del sistema
Este rototio arte de un ro3ecto revio @ue a:ord el ro:lema de la seguridad de
las redes inal;m:ricas a finales del aHo 2002. Este ro3ecto fue reali4ado or Eduardo
0agaHa &i4arrondo.
&a idea :;sica de este rototio era la de introducir IEEE 802.1% ara aortar
seguridad en la red inal;m:ricaC introduciendo m1todos de autenticacin segurosC como es
el caso de E$/(T&. 8ver 1.#.4.59 3 la asignacin din;mica de claves 'E/.
2on el o:Aetivo de crear una 6erramienta comleta 3 fle5i:leC se eligi una
ar@uitectura @ue ermitiera aloAar la ma3or arte de los servidores en cual@uier I./.
El sistema original consta de>
Servidor de autenticacin> Es el @ue se encarga de reali4ar la
autenticacin de los usuarios. Este servidor uede colocarse en cual@uier
untoC 3a @ue se comunica de una manera segura con el servidor )reeradius(
ro53C @ue es el @ue de:e estar Aunto al unto de acceso. Es este servidor el
@ue de:e estar correctamente configurado ara reali4ar el roceso de
autenticacin con el usuario inal;m:rico.
Servidor Freeradius-proxy> &a necesidad de tener un servidor
)reeradius(ro53 es de:ida a @ue es osi:le @ue en alg?n caso interese tener
m;s de un servidor de autenticacin. Esto es osi:le si se one un servidor
@ue redireccione el tr;fico de autenticacin al servidor de autenticacin
oortuno en funcin de alg?n ar;metro.
Base de datos> Esta :ase de datos se utili4a ara almacenar los datos
necesarios ara el funcionamiento del sistemaC como son las caracter!sticas de
los untos de accesoC erfiles de usuarioC usuariosC etc. ,e:ido a las
caracter!sticas del sistema se ot or utili4ar &,$/ 8ver 2.#.59.
Servidor WWW + apache> En este servidor se aloAa la 6erramienta de
Iestin 'e: @ue ermite gestionar 3 monitori4ar la red inal;m:rica.
4
En definitivaC este rimer rototio integra un sistema de autenticacin de clientes
'indo=s %/ mediante el m1todo de autenticacin E$/(T&. 8ver 1.#.4.59 3 ermite una
gestin 3 monitori4acin de la red inal;m:rica.
1.1. !uevas "uncionalidades
El diseHo del sistema se 6a mantenido intactoC 3 lo @ue se 6a 6ec6o 6a sido
incororar nuevas funcionalidades al sistema.
.e 6an reali4ado as! mismo algunas rue:as del sistema ara comro:ar el
funcionamiento de la red inal;m:rica.
#ctuali$acin de so"t%are y servidores> se 6an actuali4ado todos los
servidores 3 a@uetes necesarios ara el sistema. $s!C se 6an incororado nuevas
versiones de OensslC OenldaC $ac6eC /6 3 )reeradius.
&epuracin del so"t%are original> se 6a dotado de nuevas funcionalidades
al sistema ara reali4ar ciertas oeraciones.
-na de las meAoras m;s imortantes 6a sido el desarrollo de funciones
@ue ermiten @ue el sistema realice la :?s@ueda de la direccin I/ de los
clientes mediante la catura del rimer a@uete @ue los usuarios env!an
a la red. Esto le da fle5i:ilidad al sistema 3a @ue indeendi4a el sistema
del modelo de unto de acceso.
Tam:i1n se 6a variado la manera en la @ue se introducen las reglas de
)ire=all. $6ora se reali4a un filtrado 0$2 ara introducir las reglas del
tr;fico roveniente del cliente inal;m:ricoC con lo @ue se consigue @ue
el rimer a@uete reci:ido del cliente no sea desec6ado or tener
denegado el acceso. -na ve4 caturado el rimer a@uete 3 conseguida
la direccin I/ del clienteC se introducen el resto de las reglas )ire=all a
nivel I/.
'e(ora del inter"a$ We)> se 6an reali4ado algunos cam:ios en el interfa4 'e:
@ue controla el sistema.
Incorporacin de *supplicant al sistema> %sulicant es el rograma
cliente @ue ermite @ue clientes &inu5 se conecten a la red mediante cual@uier
m1todo de autenticacin. Esto es de gran imortanciaC 3a @ue ermite @ue se
conecten a la red tanto clientes con sistema oerativo 'indo=s %/C como
clientes @ue utili4an &inu5.
Servidor &+,-> .e 6a introducido ,72/ al sistema con el o:Aetivo de
automati4ar la asignacin de los ar;metros de red a los clientes conectados. ,e
esta manera se evita la oeracin de tener @ue configurar el cliente manualmente.
2uando un cliente se autenticaC el sistema le asigna din;micamente todos los
ar;metros necesarios 8I/C m;scaraC router or defectoC etc9.
-lata"orma de prue)as> se 6a incororado una 6erramienta ara oder
reali4ar rue:as con el o:Aetivo de ver el comortamiento del sistema.
5
1.2 Redes inalmbricas
&as redes inal;m:ricas 6an evolucionado 6acia varios tios de tecnolog!as en funcin
de los re@uerimientos de las diferentes redes. En el caso de las redes inal;m:ricas de ;rea
local '&$NC coe5isten tecnolog!as como D6ierlanE o IEEE 802.11C aun@ue es esta ?ltima
la @ue est; m;s e5tendida actualmente.
1..1 Introduccin a I... /0.11
Es un est;ndar de IEEE desarrollado en 1**"C @ue en su versin original ofrec!a un
anc6o de :anda de 2 0:sC velocidad :astante reducida ara dar co:ertura a un n?mero
elevado de clientes.
2on el tiemo 6an ido surgiendo variantes de este rimer est;ndar @ue 6an dado
solucin a diversos ro:lemas de las redes inal;m:ricas.
Estndar "escri#cin
802.11 Est;ndar '&$N original. .oorta de 1 a 2 0:s.
802.11a
Est;ndar '&$N de alta velocidad en la :anda de los 5 I74.
.oorta 6asta 54 0:s.
802.11:
Est;ndar '&$N ara la :anda de 2.4 I74. .oorta 11
0:s.
802.11e
Est; dirigido a los re@uerimientos de calidad de servicio ara
todas las interfaces IEEE '&$N de radio.
802.11f
,efine la comunicacin entre untos de acceso ara facilitar
redes '&$N de diferentes roveedores.
802.11g
Esta:lece una t1cnica de modulacin adicional ara la :anda
de los 2.4 I74. ,irigido a roorcionar velocidades de 6asta
54 0:s.
802.116
,efine la administracin del esectro de la :anda de los 5
I74 ara su uso en Euroa 3 en $sia /ac!fico.
802.11i
Est; dirigido a suerar la vulnera:ilidad actual en la
seguridad ara rotocolos de autenticacin 3 de codificacin.
El est;ndar a:arca los rotocolos 802.1%C TJI/ 8/rotocolo
de &laves Integras <.eguras< Temorales9C 3 $E. 8Est;ndar
de Encritacin $van4ado9. Es un est;ndar @ue a?n est; en
roceso de desarrolloC ero arece @ue el futuro de las
'&$N asa or IEEE 802.11i
Tabla 1: Estndares IEEE 802.11.
En la Ta:la 1C se muestran los diferentes est;ndares e5istentes dentro del comleAo
IEEE 802.11.
6
&a esecificacin 802.11: fue ratificada or el IEEE en Aulio de 1***C 3 oera en un
anc6o de :anda @ue a:arca las frecuencias dentro del rango de 2.4 a 2.4*" I74 del
esectro de radio. IEEE 802.11: ermite una velocidad m;5ima de 11 0:s.
&as redes de ;rea local inal;m:ricas utili4an esta esecificacin de una manera
ma3oritaria. Este es el tio de red inal;m:rica con el @ue se 6a tra:aAado.
1.. 1opolog2as de red
E5isten dos toolog!as de red diferentes.
1...1 3ed ad-hoc
-na red ad 6oc 8eer to eer9 es una red de ;rea local indeendiente @ue no est;
conectada a una infraestructura ca:leada 3 donde todas las estaciones se encuentran
conectadas directamente unas con otras 8en una toolog!a mallada9. &a configuracin de
una red de ;rea local inal;m:rica en modo ad 6ocC se utili4a ara esta:lecer una red donde
no e5iste la infraestructura inal;m:rica o donde no se re@uieran servicios avan4ados de
valor aHadido.
Figura 1: Red ad-hoc.
1... 3ed de in"raestructura
En una red de infraestructuraC los clientes '&$N se conectan a una red cororativa a
trav1s de un unto de acceso inal;m:rico. &a ma3or!a de las redes de ;rea local
inal;m:ricas cororativas oera en modo de infraestructura.
El sistema desarrollado utili4a una toolog!a de red de este tio.
"
Figura 2: Topologa en odo In!raestructura.
1..4 #lgunos mecanismos de seguridad
En los inicios de la tecnolog!a inal;m:ricaC los rocedimientos 3 mecanismos de
seguridad eran tan d1:iles @ue se od!a acceder con gran facilidad a redes de este tio sin
tener ermiso ara ello. E5iste el t1rmino D=ardrivingEC @ue se refiere a la accin de
recorrer una ciudad ara :uscar la e5istencia de redes 3 conectarse a ellas.
E5isten sin em:argoC algunos mecanismos @ue aortan diferentes grados de
seguridad a las redes inal;m:ricas. $ continuacin se muestran algunos de ellos>
1..4.1 SSI& 5Identi"icador de servicio6
Es una contraseHa simle @ue identifica la '&$N. &os clientes de:en tener
configurado el ..I, correcto ara acceder a la red inal;m:rica. El uso del ..I, como
m1todo ?nico de control de acceso a la infraestructura es eligrosoC or@ue t!icamente no
est; :ien asegurado. ,e 6ec6oC com?nmente el unto de acceso est; configurado ara
distri:uir este ar;metro en su seHal gu!a 8:eacon9.
1..4. Filtrado con direccin '#, 5,ontrol de acceso al medio67
+estringe el acceso a comutadoras cu3a direccin 0$2 de su adatador est;
resente en una lista creada ara cada unto de acceso en la '&$N. Este es@uema de
seguridad se rome cuando se comarte o cuando se cam:ia la 0$2 de un interfa4.
1..4.4 W.- 5-rivacidad e8uivalente a ca)le6
Es un es@uema de encritacin @ue rotege los datos transmitidos entre clientes 3
untos de acceso como se esecifica en el est;ndar 802.11. $un@ue el soorte ara 'E/ es
ocionalC la certificacin 'i()i e5ige 'E/ con llaves de 40 :its 8ver 49.
E5isten 6erramientas caaces de descifrar estas claves en un tiemo reducidoC or lo
@ue no es un m1todo seguro or si solo.
En el rototio rouestoC se utili4an claves 'E/ de 128 :its @ue son asignadas
din;micamenteC aumentando nota:lemente la seguridad de la red.
1.3 IEEE 802.1X
$ la vista de la falta de seguridad de las redesC IEEE decidi desarrollar un est;ndar
@ue consiguiera aortar mecanismos de seguridad de una manera integralC naciendo de esta
manera el est;ndar IEEE 802.1%. En un rinciioC IEEE 802.1% no se desarroll ara su
utili4acin en redes inal;m:ricasC sino ara redes ca:leadas convencionales. .u rosito
era controlar el acceso a la red en un entorno en el @ue el medio f!sico es comartido. Este
medio comartido se refer!a a redes locales tradicionales en las @ue el medio es
comartidoC ero erfectamente alica:le a entornos inal;m:ricosC 3a @ue el entorno
inal;m:rico se uede asemeAar a una red tradicional en el @ue todo el tr;fico asa or el
8
mismo ca:le. ,e esta maneraC IEEE 802.1% 6a encontrado su entorno de alicacin m;s
imortante en este tio de redesC las inal;m:ricas.
/ara reali4ar el control de accesoC IEEE 802.1% seara el sistema en # elementos>
( )u#licante> @ue es el cliente @ue retende conectarse a la red.
( 1unto de acceso o autenticador> es el @ue reali4a el control de acceso
roiamente dic6o.
( )ervidor de autenticacin> es el @ue se encarga de tomar las decisiones de
autenticacin 3 autori4acin.
$l unto al @ue se conecta el cliente se le denomina uerto. &a red uede tener varios
uertos. En una &$N et6ernet or eAemloC cada conector de un s=itc6 es un osi:le
uerto.
Figura ": #odelo IEEE 802.1$ seg%n el Estndar IEEE.
El es@uema del funcionamiento de IEEE 802.1% es el @ue se uede o:servar en la
)igura #.
1.4.1 I... /0.1* en 9#!s WI-FI
*
Figura &: Es'uea de autenticaci(n.
1.4.1.1 Funcionamiento
2uando un nuevo cliente se intenta conectar a la red inal;m:ricaC solo se le ermite
intercam:iar informacin de autenticacin 8ver )igura 49. Este tr;fico de autenticacin lo
reenv!a el unto de acceso al servidor de autenticacin v!a +$,I-.. En este servidor de
autenticacinC muc6as veces denominado servidor +$,I-.C es donde se reali4a la
autenticacin roiamente dic6a. &a autenticacin se reali4a e5tremo a e5tremo 8ver )igura
59 entre el servidor de autenticacin 3 el cliente inal;m:rico mediante el rotocolo de
autenticacin E$/ 8/rotocolo de $utenticacin E5tensi:le9C con el @ue se uede utili4ar
cual@uier m1todo de autenticacin comati:le con E$/.
Figura ): *apas en IEEE 802.1$
10
-na ve4 efectuada la autenticacin entre cliente 3 servidor de autenticacinC 3 en
caso de @ue esta 6a3a sido satisfactoriaC el servidor de autenticacin env!a un mensaAe de
$utenticacin e5itosa al unto de acceso o autenticadorC @ue rocede a ermitir el acceso a
los servicios de la red al usuario correctamente autenticado.
Otro ro:lema @ue intenta solucionar IEEE 802.1% es el de la confidencialidad e
integridad de la informacin. /ara ello osi:ilita la asignacin de claves 'E/ de una
manera din;mica. Esto aorta un nivel imortante de seguridad a la red inal;m:ricaC 3a
@ueC aun@ue es osi:le descifrar las claves 'E/C no ser; de gran utilidad si ara cuando se
consigue descifrar una claveC esta 3a 6a cam:iado. En el 4 se descri:e el roceso seguido
ara @ue los dos e5tremos cono4can las claves a utili4ar en la comunicacin.
Est; mu3 e5tendida la idea de @ue IEEE 802.1% solo es necesario ara grandes
redesC las cuales tienen servidores de autenticacin dedicados. .in em:argoC un servidor de
autenticacin uede ser un e@ueHo roceso dentro del unto de acceso 8una simle lista de
usuarios 3 ass=ords or eAemlo9. En consecuenciaC tam:i1n uede ser adecuada la
imlementacin de IEEE 802.1% en e@ueHas redes como uede ser una red dom1sticaC en
la @ue no es necesaria la utili4acin de +$,I-.C 3a @ue el autenticador 3 el servidor de
autenticacin no tienen @ue enta:lar un di;logo a trav1s de la red. Est;n en la misma caAa
@ue es el unto de acceso.
1.4. 3#&I:S
+$,I-. o +emote $ut6entication ,ial In -ser .ervice. Esecificar e5actamente
@u1 es +$,I-. suele llevar a confusin en muc6as ocasiones. /ero a lo @ue nos solemos
referir cuando se 6a:la de +$,I-. es al rotocolo @ue se utili4a ara @ue el /unto de
$cceso se comuni@ue con el .ervidor de $utenticacin.
&o @ue 6ace +$,I-. es definir una serie de funcionalidades mu3 comunes en los
servidores de autenticacin 3 define un rotocolo @ue ermite acceder a esas
funcionalidades.
+$,I-. fue esecificado or la IET) 3 fue diseHado ara ser utili4ado en redes
T2/KI/.
+$,I-. fue diseHado ara reali4ar la comunicacin entre el servidor de
autenticacin 3 untos de acceso @ue sol!an ser modems dial(in. -n I./ retende dar
servicio al ma3or n?mero de clientes osi:le dando servicio dial(uC ero ara oder dar
ese acceso a un recio ra4ona:leC los modems se de:en colocar ra4ona:lemente cerca.
Estos modems se colocan en estaciones locales. /ara dar el acceso a la red se de:e reali4ar
una serie de oeraciones como la autenticacin. +$,I-. viene a dar solucin al ro:lema
de la gestin de la autenticacin ermitiendo crear un servidor central de autenticacin @ue
gestiona todo lo concerniente a la autenticacin. $ este servidor de autenticacin se le
suele denominar servidor +$,I-..
Esta misma estrategia es v;lida ara las redes inal;m:ricas.
+$,I-. fue diseHado ensando en dos escenarios distintos de autenticacin ///C
@ue eran /$/ 3 27$/ 8ver 1.#.4.29C los dos :astante inseguros or cierto. Es necesario
amliar los escenarios de autenticacinC 3a @ue se @uieren imlementar distintos tios de
11
autenticacin mediante E$/. /ara oder soortar E$/C +$,I-. utili4a los mensaAes
access(c6allenge ara enviar los mensaAes E$/C tanto los re@uest como los resonses.
+$,I-. es lo suficientemente fle5i:le como ara oder reali4ar estas adataciones.
$un@ue solo 6a3 cuatro mensaAes distintosC el significado de los mismos uede variar
ostensi:lemente gracias a unos ar;metros de los mensaAes.
1.4..1 Servidor 3#&I:S
El servidor +$,I-. es un servidor de $$$ 8aut6enticationC autorisation and
accounting9. Es el servidor de autenticacin @ue como su nom:re indicaC reali4a las la:ores
de autenticacin de usuarios cuando el unto de acceso le env!a una eticin de
autenticacin. $dem;s de autenticarC uede reali4ar otras oeraciones en funcin del
m1todo de autenticacin @ue est1 utili4ando.
Estor servidores se comunican con el access oint mediante el rotocolo +$,I-..
1.3.2.1.1 (reeradius
El servidor )reeradius es un servidor +$,I-. de li:re distri:ucin. Es el servidor de
autenticacin @ue se va a utili4ar en el desarrollo de este ro3ecto. Este servidor tam:i1n
uede reali4ar las la:ores de ro53 del tr;fico IEEE 802.1%. Esto es mu3 interesante 3a
@ue ermite colocar el servidor de autenticacin(ro53C @ue reenv!e el tr;fico de
autenticacin a unoC o a varios servidores de autenticacin.
1.4.4 .#-
El /rotocolo de $utenticacin E5tensi:le 8E$/9 es el rotocolo @ue se utili4a ara
reali4ar el roceso de autenticacin entre el servidor de autenticacin 3 el cliente
inal;m:rico. NormalmenteC el servidor de autenticacin ser; un servidor +$,I-.C o
)reeradius en el caso del rototio @ue a@u! se desarrolla 8ver 49.
G;sicamenteC E$/ es un rotocolo @ue inicia 3 cierra el roceso de autenticacinC
deAando entre medio @ue los m1todos de autenticacin esec!ficos realicen la autenticacin.
Estos m1todos utili4an mensaAes E$/ ara reali4ar sus funciones. Esta caracter!stica es la
@ue 6ace @ue se denomine e5tensi:leC ues es osi:le imlementar cual@uier m1todo de
autenticacinC siemre @ue sea comati:le con E$/.
&a forma en la @ue de:en ser enviados los mensaAes E$/ no est; esecificada. /ara
remediar estoC los mensaAes E$/ se transortan utili4ando E$/ol 8E$/ over &$N9 entre el
cliente 3 el unto de accesoC 3 utili4ando +$,I-. entre el unto de acceso 3 el servidor de
autenticacin +$,I-..
1.4.; '<todos de autenticacin
En este aartado se reali4a una descricin de los m1todos esec!ficos de
autenticacin m;s e5tendidos. Estos m1todos de autenticacin se utili4an Aunto con E$/.
&os m1todos se suelen denominar como E$/(m1todo esec!fico 8E$/(T&.C E$/(TT&.C
E$/(0,5...9.
12
Estos m1todos son los @ue utili4a el rotocolo E$/ ara reali4ar la autenticacin.
2omo se e5lica en el 4C E$/ es un rotocolo @ue ermite la utili4acin or encima de
cual@uier m1todo de autenticacin 82ual@uiera de nosotros uede diseHar un m1todo de
autenticacin ara E$/9. /or eso se denomina e5tensi:le.
1.4.;.1 .#--'&=
Este m1todo consiste en reali4ar un D6as6E con el login 3 la ass=ord en el cualC el
nom:re se transmite sin roteccin. Este m1todo slo sirve ara autenticar al cliente ante el
servidorC ero no ara autenticar al sistema frente al cliente.
No soorta asignacin de clave 'E/ din;mica. Esto es un grave ro:lema 3a @ue
actualmente 6a3 6erramientas @ue descifran estas claves en mu3 oco tiemoC or lo @ue si
esta no var!aC es una medida :astante deficiente ara aortar seguridad a la red.
Es un m1todo de autenticacin no aorta seguridad. Es susceti:le de ser atacado de
una manera :astante sencilla.
/or lo tantoC es un m1todo de autenticacin no recomenda:le 3 :astante desfasado.
.in em:argoC uede ser una :uena alternativa ara reali4ar la segunda fase de la
autenticacin en el m1todo E$/(TT&..
El nom:re se env!a sin roteccin. .uAeto a ata@ues de diccionarioC man(in(t6e(
midle.
1.4.;. ,+#-
Este m1todo es mu3 similar al anterior. .e :asa tam:i1n en login 3 ass=ordC 3
aun@ue no es un m1todo :ueno or s! soloC es interesante su utili4acin como segunda fase
de autenticacin del m1todo E$/(TT&.. Este es el m1todo utili4ado en este rototio ara
reali4ar la segunda fase de la autenticacin E$/(TT&..
1.4.;.4 9.#-
Es un rotocolo roiedad de 2isco @ue se :asa en el env!o de un nom:re de usuario
3 contraseHa or arte del cliente.
1.4.;.; -.#-
,e las siglas en ingl1s /rotected E$/. .e lante como una alternativa a E$/(T&.C
aun@ue realmente es m;s arecido a E$/(TT&..
Es un m1todo desarrollado or 0icrosoft 3 2isco.
.oorta asignacin de claves 'E/ din;micas 3 roorciona autenticacin mutua
entre sistema 3 clienteC ero solo necesita certificado del servidorC 3a @ue ara la
autenticacin del cliente se utili4a 0.(27$/ v2 @ue es la versin de miscrosoft del
m1todo 27$/.
1.4.;.= .#--19S
,esarrollada or 0icrosoft. Es el m1todo @ue m;s se esta utili4ando en estos ?ltimos
tiemos de:ido a @ue 'indo=s utili4a este m1todo en gran cantidad de ocasiones.
Este m1todo reali4a la autenticacin mediante certificados creados or una $utoridad
de 2ertificacin de confian4a. &a autenticacin es mutuaC es decirC se autentica tanto el
cliente como el servidor. $dem;sC ermite la asignacin din;mica de claves 'E/C
aumentando enormemente la seguridad.
1#
Otra caracter!stica de este m1todoC es @ue no es necesario acceder a :ases de datos.
Esto uede suoner un ro:lema en algunos casos en los @ue interese tener un control de
acceso :asado en :ases de datos.
Este es uno de los m1todos con los @ue se tra:aAar; en este ro3ecto.
1.4.;.> .#--119S
.e :asa en el m1todo anterior E$/(T&.. En este casoC solo es necesario el
certificado del sistema o del servidor. -na ve4 reali4ada la autenticacin del servidorC se
reali4a un t?nel T&. or donde se reali4a el resto de la autenticacinC @ue consiste en una
autenticacin de segundo orden @ue se utili4a ara autenticar al cliente. En esta segunda
fase de la autenticacin se uede utili4ar un amlio a:anico de m1todos de autenticacinC
@ue utilicen login 3 ass=ordC como ueden ser md5C c6aC ms(c6aC etc.
El 6ec6o de utili4ar una autenticacin del cliente :asada en login 3 ass=ordC
ermite utili4ar este m1todo con las infraestructuras de :ases de datos e5istentes
actualmente. $dem;sC simlifica el roceso 3a @ue no 6a3 @ue o:tener certificados ara el
clienteC or lo @ue no es necesario @ue 6a3a un servidor de certificados.
.oorta tam:i1n asignacin din;mica de claves 'E/.
En conclusinC es un m1todo :astante seguro @ue a su ve4C ermite la autenticacin
:asada en login 3 ass=ord de una manera :astante sencilla.
Este m1todo tam:i1n se 6a imlementado en este ro3ectoC aun@ue ?nicamente ara
clientes con sistema oerativo &inu5. 'indo=s %/ or si solo no soorta este m1todo de
autenticacin.
1.4.;.? ,omparativa de los m<todos de autenticacin
,esu1s de ver el funcionamiento de los m1todos esec!ficos de autenticacinC se
uede concluir @ue los m1todos m;s convenientes ara aortar seguridad a la redC son
a@uellos @ue aortan autenticacin mutua 8cliente servidor9C or lo @ue los m1todos a riori
m;s interesantes son E$/(T&.C E$/(TT&. 3 /E$/. $ artir de a@u!C la eleccin del
m1todo vendr; determinada or el tio de credenciales cliente. .i se @uiere reali4ar una
autenticacin utili4ando certificado clienteC se utili4ar; E$/(T&.. .in em:argoC si se
@uiere utili4ar login 3 ass=ordC se de:er; utili4ar alguno de los otros dosC @ue a su ve4C
utili4an otro m1todo secundario. ,esde a@u! se aconseAa la utili4acin de E$/(TT&..
En este rototio se utili4an los m1todos E$/(T&.C 3 E$/(TT&. con 27$/ como
m1todo secundario.
E$/(0,5 &E$/ E$/(T&. E$/(TT&. E$/(/E$/
.olucin de
seguridad
Est;ndar /roietario Est;ndar Est;ndar Est;ndar
2ertificados(
2liente
No ( .i
No
8ocional9
No
8ocional9
2ertificados(
.ervidor
No ( .i .i .i
.eguridad Ninguna ,eficiente Guena Guena Guena
14
$utenticacin
or :ase de
datos
.i .i No .i .i
Intercam:io
de llaves
'E/
din;mico
No .i .i .i .i
$utenticacin
mutua
No .i .i .i .i
Tabla 2: *oparati+a de ,todos de -utenticaci(n E-. .
Sistema #W!#S
2.1 Introduccin
El sistema $'N$. @ue se desarrolla en este ro3ecto es un sistema @ue se :asa en
IEEE 802.1% ara reali4ar la autenticacin mediante E$/ 3 utili4ando un m1todo
esec!fico de autenticacin seguro. Este m1todo de autenticacin ermite la asignacin
din;mica de claves 'E/C or lo @ue la seguridad ser; :astante elevadaC tanto a la 6ora de
reali4ar la autenticacinC como a la 6ora de mantener la rivacidad de los datos enviados
or la redC una ve4 efectuada la autenticacin.
El sistema tam:i1n incorora una serie de 6erramientas @ue ermiten una gestin
eficiente de la redC ermitiendo la asignacin de recursos a los clientes en funcin del tio
de cliente.
$ lo largo de este ca!tulo se anali4a el sistema $'N$. en su glo:alidad. El
ca!tulo se seara en dos artesC @ue son las dos artes diferenciadas del sistema comleto.
/rimero se estudia el sistema $'N$.C 3 osteriormente se 6ace lo mismo con los clientes
de este sistema.
,urante el ca!tulo se e5onen las 6erramientas utili4adasC sus instalacionesC
configuraciones 3 funcionamiento del rototio desarrollado.
2.2 Descricin ! "uncionamiento del sistema
#$%#&
El sistema $'N$. consta de varias artes @ue forman dic6o sistema. En la
siguiente figura se uede o:servar un es@uema del sistema $'N$. 3 del escenario con el
@ue se va a tra:aAar.
15
Figura /: Es'uea del sistea -01-2.
El sistema roiamente dic6oC es el @ue se uede o:servar dentro del recuadro
e5ternoC 3 est; comuesto or un servidor &,$/C un servidor de $utenticacin )reeradiusC
un servidor )reeradius(/ro53C un servidor ,72/ 3 el $'N$.. En este rototioC todos
estos servidores est;n instalados en el mismo /2C ero odr!an estar en cual@uier otro
unto de la redC o en un I./.
El escenario se comleta con un unto de acceso 3 con un conAunto de clientes
inal;m:ricos @ue ueden ser tanto clientes &inu5 como 'indo=s %/. 2omo se 6a
comentado en la introduccinC esta es una de las novedades m;s imortantes de este
rototio.
..1 ,omunicacin entre componentes
Tan imortante como conocer la estructura del rototioC es conocer la manera en la
@ue se comunican estos comonentes. Esto es lo @ue se uede o:servar en la siguiente
figura.
Figura 3: *ounicaci(n entre los di+ersos coponentes del sistea.
16
El servidor &,$/ o meAor dic6oC el servidor Oenlda 8ver 2.#.59C se comunica
mediante &,$/ con todos los comonentes @ue necesitan acceder a la informacin
almacenada en el directorio &,$/C @ue es la informacin de todos los untos de accesoC
I./sC erfiles 3 usuarios. $ e5cecin del servidor ,72/C todos los dem;s se comunican
con este servidor. El servidor de autenticacin accede a &,$/ ara o:tener los nom:res de
usuario 3 contraseHas ara reali4ar la autenticacin de un usuario. $'N$. accede al
directorio &,$/ ara configurar el sistemaC 3 el servidor ''' accede a &,$/ 3a @ue
los datos almacenados en este directorio se maniulan desde la 6erramienta de gestin
'EG.
&a comunicacin de autenticacin se reali4a de dos maneras diferentes. ,el cliente
inal;m:rico al unto de acceso se reali4a en modo E$/ol 8ver ane5o II9C 3 desde el unto
de acceso al )reeradius(/ro53C 3 de este al servidor de autenticacin )reeradius(aut6 en
modo +adius(E$/ 8ver ane5o II9.
,72/ se comunica directamente con el cliente una ve4 reali4ada la autenticacin.
.. Funcionamiento a alto nivel
2uando se inicia el sistemaC se deniega todo el tr;fico a e5cecin del tr;fico IEEE
802.1% @ue es redireccionado or el unto de acceso al servidor )reeradius(/ro53. 2uando
un cliente se incorora a la red inal;m:rica 3 retende conectarse a ellaC reali4a la eticin
al unto de accesoC 3 este a su ve4C lo reenv!a al )reeradius(/ro53C 3a @ue es tr;fico IEEE
802.1%. )reeradius(/ro53 catura la identidad del clienteC 3 contrasta el dominio de esta
identidad con los dominios @ue tiene en el arc6ivo ro53.conf 8ver 2.#.69. .i la identidad
coincide con alguna entradaC este tr;fico es redireccionado a la direccin I/ 3 uerto
adecuado donde se encuentra el servidor de autenticacin )reeradius(aut6. Este es el @ue se
encargar; de reali4ar la autenticacin del cliente.
El servidor de autenticacin efect?a la autenticacin con el clienteC 3 si es necesarioC
consulta los datos del directorio &,$/C donde se almacenan los datos del sistema 3 de los
clientes. En el caso de utili4ar el m1todo de autenticacin E$/(T&.C no ser; necesaria
ninguna consulta. .i se utili4a E$/(TT&. sin em:argoC s! @ue 6a:r; @ue consultar el login
3 ass=ord del cliente ara reali4ar la autenticacin.
-na ve4 reali4ada la autenticacinC 3 si esta 6a sido satisfactoriaC se le ermite la
cone5in al cliente 3 se reali4a la configuracin de la cone5in en funcin de los datos
almacenados en el directorio &,$/ ara este usuario.
$s!C el usuario @uedar; conectado a la redC ero estar; limitado or un fire=allC el
cual le ermitir; ?nicamente acceder a a@uellas direcciones ara las @ue tenga ermisoC 3
or un controlador de tr;fico @ue le asignar; m;s o menos anc6o de :anda en funcin de
los ermisos del cliente. /or lo @ueC una ve4 autenticadoC esta ser; la estructura de red ara
el cliente inal;m:rico reci1n autenticado.
1"
Figura 8: Es'uea del sistea una +e4 reali4ada la autenticaci(n.
..4 'aterial y componentes utili$ados
El diseHo del sistema est; ensado tal 3 como se ve en la )igura 6C ara @ue cada
servidor ueda estar en un lugar f!sico de la red cual@uieraC es decirC los servidores ueden
situarse en cual@uier I./. ,e 6ec6oC en muc6os casos ser; conveniente @ue esto sea as!.
.in em:argoC ara reali4ar el ro3ectoC se 6a instalado todo en un mismo /2C de:ido a @ue
la infraestructura ara reali4ar esta imlementacin del sistema es menos costosa.
$ continuacin se detalla el material utili4ado ara el desarrollo de este ro3ecto>
1+ con sistema o#erativo 2inu3 Red 4at ,.2. Este es el /2 @ue se
6a utili4ado ara al:ergar a todo el sistema. Este /2 est; dentro de la red del
la:oratorio de Telem;ticaC mostrada en arte en la )igura *.
Figura 5: Es'uea de la red en la 'ue se encuentra el sistea -01-2.

1unto de &cceso &ironet 3!0 series 8v1ase 49 L0F. Este es el unto
de acceso @ue da co:ertura de la red inal;m:rica.
18
+liente 'indo5s X1. .e 6a tra:aAado con un cliente 'indo=s %/.
+lientes 2inu3 Red 4at *.0. .e 6a tra:aAado con cuatro clientes con
sistema oerativo &inu5.
/arjetas 'ireless 6+om#a7 '21108. .e 6an utili4ado cuatro
tarAetas en la reali4acin del rototio con adatadores /202I$ a /2I L 0F.
Figura 10: Tar6eta 0ireless utili4ada.
/osteriormente se e5lica de manera e56austiva la manera en la @ue se 6an
configurado todos estos comonentes ara @ue el sistema funcione correctamente.
2.3 #$%#&
En este unto se e5one todo el roceso de instalacinC configuracin 3
funcionamiento de todas las 6erramientas utili4adas ara imlementar el $'N$..
Todo el sistema se 6a instalado en la direccin 9"ir:;ase9o#en13C ero esto uede
cam:iarse en funcin de las necesidades o intereses del instalador.
.4.1 ,on"iguracin de red del Sistema #W!#S
&a m;@uina en la @ue esta aloAado todo el sistema de:e enrutar el tr;fico entre la red
inal;m:rica 3 la red ca:leadaC or lo @ue 6a:r; @ue configurar esta m;@uina con el fin de
@ue se comorte como un router.
.4.1.1 Inter"aces
2omo se 6a comentado en el aartado 2.2.#C el sistema est; colocado en un ?nico /2.
Este /2 tiene dos interfaces de redC uno el @ue est; conectado a la red del la:oratorio
8et619C 3 otro el @ue est; conectado con el unto de acceso 8et609.
1*
Figura 11: Inter!aces de red del sistea.
et60> access oint et61> red del la:oratorio
I/ 10.0.0.1 1.1.1.155
0;scara 255.255.255.0 255.255.255.0
Tabla ": *on!iguraci(n I. de los inter!aces de red.
.4.1. 3outer
Esta m;@uinaC es decirC el /2 donde est; instalado todo el sistema se de:e comortar
como un routerC or lo @ue es necesario 6a:ilitar el enrutado en esta m;@uina. /ara
conseguir estoC se eAecuta el siguiente scrit.
+eglas(router
#!/bin/bash
#script que activa la mquina Linux como router
echo 1 > /proa/sys/net/ipv4/ip_forward
iptables --policy FORWARD ACCEPT
-na ve4 eAecutado este scritC esta m;@uina enrutar; el tr;fico entre la red del
la:oratorio 3 la red inal;m:rica.
.in em:argoC de:ido a los dominios de red elegidos ara am:as redesC las m;@uinas
del la:oratorio 3 de fuera del la:oratorio no sa:r;n llegar 6asta los clientes. /or lo tantoC a
la 6ora de reali4ar las rue:asC se de:er; tener en cuenta @ue se de:en configurar las rutas
del /2 en el @ue se va a colocar el servidor DierfE 8ver #.19 @ue se va a utili4ar.
.i se @uiere reali4ar cone5iones con el e5terior desde los e@uios mvilesC se de:e
6a:ilitar el N$TC ermitiendo as! conectarse a otras m;@uinas como si lo estuviera
6aciendo fc05 @ue es el nom:re del /2 @ue al:erga al sistema.
/ara 6a:ilitar el N$TC 3 a modo de rue:a se 6a utili4ado el siguiente scritC aun@ue
el @ue se 6a utili4ado es el @ue se 6a uesto en rimer lugar.
+eglas(router(N$T>
#!/bin/bash
#script que activa la mquina Linux como NAT
echo 1 > /proa/sys/net/ipv4/ip_forward
iptables --flush
iptables --table nat --append POSTROUTNG --out-interface eth1 j MASQUERADE
iptables --append FORWARD --in-interface eth0 j ACCEPT
.4. ,digo del #W!#S
El rograma D$'N$.E es el encargado de gestionar todo el sistema. Es el @ue se
encarga de comunicarse con los servidores )reeradius 3 OenldaC 3 de reali4ar la
configuracin del sistema.
En este unto se e5one el funcionamiento de este rogramaC as! como sus
funcionalidades 3 restaciones.
20
Este nasC @ue es el rograma rincial del $'N$.C utili4a varias li:rer!as
secundarias ara reali4ar todas las tareas @ue tiene @ue reali4arC @ue van desde la
comunicacin con los servidores )reeradiusC 6asta reali4ar consultas al directorio &,$/
ara reali4ar la configuracin del )ire=all 3 del controlador de tr;fico. No menos
imortante es la la:or @ue reali4a ara monitori4ar el sistema.
.4..1 -rograma principal !as
Este es el rograma rincial del $'N$.. G;sicamenteC lo @ue 6ace este rograma
es reali4ar la configuracin inicial del sistema en funcin de las caracter!sticas
almacenadas en el arc6ivo de configuracin 3 el directorio &,$/C ara luego dedicarse a
reali4ar e@ueHas configuraciones en funcin de los mensaAes reci:idos 3 generar los datos
de la monitori4acin. En el Es@uema 1 se uede ver las diferentes tareas @ue reali4a el
rograma 3 @ue se detallan a continuacin.
Es'uea 1: Estructura del prograa principal 7nas8.
2.3.2.1.1 Car%a del arc)i*o de con"i%uracin
2onsiste en cargar algunas varia:les de acuerdo con el arc6ivo de configuracin
Dnas.confE. $ continuacin se resenta un eAemlo de este arc6ivo>
nas.conf>
21
# nas.conf - NAS configuration file
# LDAP server P address
LDAP_P 127.0.0.1
# LDAP login user
LDAP_LOGN_USER cn=root,dc=tlm,dc=com
# LDAP login password
LDAP_LOGN_PASSWORD tlm
# ldapsearch executable path
LDAP_LDAPSEARCH_PATH ldapsearch
# snmpget executable path
SNMPGET_PATH snmpget
# iptables executable path
PTABLES_PATH /sbin/iptables
# tc executable path
TC_PATH /sbin/tc
# Clients side interface, interface in the NAS server connected to the access points
(downlink)
CLENTS_NTERFACE eth0
# Bits per second of that interface
CLENTS_NTERFACE_RATE 6000000
# nterface connected to internet (uplink)
NTERNET_NTERFACE eth1
# Bits per second of that uplink interface
NTERNET_NTERFACE_RATE 10000000
# Directory where all monitoring information is stored
NASMONTORNGDATAPATH /root/open1x/prueba2/data
$@u! se le indican cosas como los interfaces de red @ue de:e utili4ar el sistema 3 sus
anc6os de :andaC ar;metros ara reali4ar las cone5iones con el directorio &,$/C lugar de
almacenamiento de los datos de monitori4acinC e incluso el lugar donde se encuentran las
6erramientas ita:les 3 tc.
Estos ar;metros son utili4ados or el rograma rincial ara configurar el sistema.
2.3.2.1.2 Car%a de +untos de acceso +er"iles de usuario
,esu1s de cargar el arc6ivo de configuracinC el rograma carga en memoria los
untos de acceso 3 erfiles de usuario almacenados en el directorio &,$/. /ara reali4arloC
utili4a funciones de la li:rer!a Dli:ldaE 8ver 2.#.2."9.
2.3.2.1.3 Iniciali,acin del "ire-all control de tr."ico
-na ve4 cargados estos datosC se iniciali4a el fire=all 8ver 2.#.109 3 el control de
tr;fico 8ver 2.#.119 del sistema. Esto consiste en denegar el enrutamiento del tr;fico de
todas las direcciones I/ menos las de los untos de accesoC 3 en crear la estructura :ase del
;r:ol de control de tr;fico en los dos interfaces de red 8ver 2.#.119.
2.3.2.1.4 $ucle
-na ve4 reali4ado estoC el sistema @ueda configurado correctamente 3 entra en el
:ucle rincialC donde ermanecer; 6asta @ue el sistema sea finali4ado.
En este :ucleC el sistema esera osi:les llegadas de mensaAes clienteC en los @ue or
eAemlo se uede anunciar la reciente autenticacin de un clienteC :uscar osi:les cam:ios
22
de las direcciones I/ de los clientes conectados a la red 3 reali4ar el rocesado de las
estad!sticas de monitori4acin.
.4.. Funciones del programa principal
En este mismo rograma rincial se encuentran varias funciones de inter1s @ue se
comentan a continuacin.
2.3.2.2.1 (uncin Searc)Ne-IPs
Esta funcin es la encargada de :uscar las direcciones I/ de los usuarios
inal;m:ricos conectados a la red inal;m:rica.
Esta funcin reali4a un recorrido so:re todos los clientes de todos los untos de
acceso. En caso de @ue no tenga en memoria su direccin I/C intenta averiguarlaC 3 si lo
consigue rocede a configurar la cone5in del cliente mediante la funcin
D2onfigure/rofileE. Es imortante comentarC @ue no solo intenta averiguar la direccin I/
de a@uellos usuarios de los @ue no tenga esa informacinC sino @ue tam:i1n intenta
detectar osi:les cam:ios de I/ @ue se 6a3an roducido en el transcurso de la cone5in.
Est; funcionalidad fue aHadida de:ido a @ue al reali4ar las rue:as del sistemaC 6a:!a
clientes @ue se conecta:an 3 desconecta:an con muc6a raide4C 3 en alg?n casoC el
servidor ,72/ les asigna:a una direccin I/ distinta en cada cone5in. Esto era un
ro:lema or@ue el sistema no se 6a:!a ercatado a?n de la descone5in del usuario 3
ten!a almacenada una direccin I/ @ue 3a 6a:!a variado. El sistema no era caa4 de
actuali4ar la direccin I/ 8ver 2.#.2.5.19.
2#
Es'uea 2: Estructura por blo'ues de la !unci(n 72earch1e9Ips8.
2.3.2.2.2 (uncin Con"i%urePro"ile
Esta funcin reali4a la configuracin de la cone5in de cada cliente inal;m:rico @ue
se conecta a la red.
,esu1s de cargar el erfil del usuario a configurarC la funcin rocede a la
configuracin del )ire=all 3 del 2ontrol de Tr;fico. -na caracter!stica imortante de esta
funcin es @ue seara los casos en los @ue el usuario disone de direccin I/ de los @ue no.
En cada caso reali4a acciones diferentes.
En el caso de @ue no se cono4ca la direccin I/ del usuario inal;m:ricoC ?nicamente
se configuran las reglas de )ire=all a nivel et6ernetC es decirC las reglas @ue se onen con
Dita:lesE solo son las ertenecientes al tr;fico roveniente de la direccin 0$2 origen
del cliente inal;m:rico. .e leen las direcciones de las redes a las @ue uede 3 a las @ue no
uede acceder el cliente 3 se eAecuta la regla ertinente. En cuanto al control de tr;ficoC no
se configura de momento 3a @ue a?n no se disone de la direccin I/ 8ver 2.#.2.5.19.
En el caso de conocer la direccin I/ del cliente inal;m:ricoC se introduce el resto de
reglas del )ire=all 3 todas las reglas de control de tr;fico.
24
Es'uea ": Estructura por blo'ues de la !unci(n 7*on!igure.ro!ile8.
2.3.2.2.3 (uncin /0ecei*eClient1essa%es2
Esta es la funcin @ue se eAecuta cuando en rograma DnasE reci:e un mensaAe.
Es'uea &: Estructura por blo'ues de la !unci(n 7Recei+e*lient#essages8
E5isten 4 tios de mensaAe>
25
El rimero se utili4a cuando se desconecta un cliente. 2uando sucede estoC se elimina
el usuario de la memoria 3 se desconfigura el erfil 8ita:les 3 tc9.
&uego est;n los mensaAes de listado. -no reali4a un listado de los untos de acceso
configurados en el sistemaC 3 el otro reali4a un listado de los usuarios.
/or ?ltimo est; el mensaAe de autenticacinC @ue es el mensaAe @ue se reci:e cuando
se reali4a una nueva autenticacin. Esto uede ser or varios motivosC el rimero es @ue un
nuevo usuario se aca:e de conectar a la red inal;m:ricaC en cu3o caso se de:e roceder a
aHadir este usuario en la lista de usuarios conectados 3 a introducir las reglas )ire=all del
tr;fico ascendente. .i el usuario 3a esta:a en memoriaC uede ser @ue 6a3a cam:iado de
direccin I/ o 0$2. .i 6a cam:iado de 0$2C tam:i1n se de:er; reali4ar la configuracin
del fire=all del tr;fico ascendente. En cual@uier casoC se de:er; intentar 6allar la direccin
I/ 3 se de:er; roceder a configurar el fire=all del tr;fico descendente 3 el control de
tr;fico.
.4..4 9i)rer2a @glo)alA
&i:rer!a en la @ue se definen varia:lesC constantes 3 estructuras @ue se utili4an en el
resto de li:rer!as 3 rograma rincial.
$ continuacin se detallan algunas de las estructuras utili4adas>
typedef struct tap Tap;
typedef struct tuser Tuser;
typedef struct tnetwork Tnetwork;
typedef struct tprofile Tprofile;
typedef struct tmonitoring Tmonitoring;
Estructura tmonitoring
struct tmonitoring {
struct timeval timestamp; //tiempo de monitorizacin
unsigned long long bytes_in_accept; //B aceptados en enlace descendente
unsigned long long bytes_in_drop; //B desechados en enlace descendente
unsigned long long bytes_out_accept; //B aceptados en enlace ascendente
unsigned long long bytes_out_drop; //B desechados en enlace ascendente
};
Es la estructura utili4ada ara guardar datos de monitori4acin.
Estructura ta
struct tap {
in_addr_t apip;
char apcommunityname[APCOMMUNTYSZE]; //nombre de comunidad SNMP
int apmodel; //tipo de punto de acceso
Tlist users; //lista de usuarios conectados al punto de acceso
Tmonitoring monitoring; // nformacin del trfico enrutado y del desechado
};
Es la estructura utili4ada ara los untos de acceso.
26
Estructura tuser
struct tuser {
int apport;
char username[USERNAMESZE]; //nombre de usuario
unsigned char usermac[MACSZE]; //direccin MAC
in_addr_t userip; //direccin P
Tprofile *profile; //perfil del usuario
int subclassid; // d o subclasse del usuario( TC QoS)
time_t logintime; // Tiempo de inicio de conexin
Tmonitoring iptablesmonitoring; // Monitorizacin Firewall
Tmonitoring tcmonitoring; // Monitorizacin del control de trfico QoS
pcap_t *pcap; //descriptor de conexin pcap. Permite saber si se est intentando
averiguar la direccin P del ususario.
};
Es la estructura usuario. 2on ella se gestionan todos los ar;metros necesarios
concernientes a los usuarios inal;m:ricos.
Estructura tnet=orM
struct tnetwork {
in_addr_t net; //direccin P de la red
in_addr_t netmask; //mscara de la red
int allow; //1 si el trfico est permitido, 0 si est denegado
};
2on esta estructura se maniulan las redes a las @ue se ermite o a las @ue no se
ermite acceder.
Estructura trofile
struct tprofile {
char uprofile[UPROFLESZE];
int minbw; // Mnimo BW garantizado (encolamiento final CBQ)
int maxbw; // Mximo BW permitido (Limitador)
int priority; // Prioridad de la clase del perfil (CBQ)
int reservedpercentage; // BW reservado de la clase (CBQ)
Tlist networks; // List of networks allowed or not to the user
int classid; // d de la clase utilizada por tc en el control de trfico
int maxusersubclassid; // Keeps count of the subclassid assigned to users
};
Esta es la estructura @ue se utili4a ara tra:aAar con los diferentes erfiles de usuario
@ue 6a3 en el sistema.
.4..; 9i)rer2a li)com
En esta li:rer!a se encuentran todas las funciones necesarias ara reali4ar la
comunicacin entre los servidores )reeradiusC el $'N$. 3 el unto de acceso.
.4..= 9i)rer2a li)ap
En esta li:rer!a est;n todas las funciones relacionada con crear 3 :orrar usuariosC
untos de accesoC estructuras net=orMC etc. Tam:i1n se ueden encontrar funciones ara
2"
comararC coiar o asar direcciones 0$2 de un formato a otro. /ero la funcin m;s
imortante de esta li:rer!a es la de :uscar la direccin I/ de un cliente inal;m:rico.
2.3.2.5.1 (uncin AP3IP"rom1ac
Esta funcin :usca la direccin de un cliente inal;m:rico reali4ando la catura del
rimer a@uete @ue el cliente env!a a la red. /ara elloC se 6a utili4ado la li:rer!a DcaE C
sus utilidades 3 funciones 8ver 2.#.129.
Es'uea ): Estructura por blo'ues de la
!unci(n -.:I.!ro#ac.
Esta funcin reali4a la catura del
rimer a@uete roveniente de la direccin
0$2 del usuario @ue se le introduce como
ar;metro de entrada a la funcin. /ara 6acer
esto 3 utili4ando la li:rer!a DcaEC se o:tiene
el rimer a@uete @ue roviene de esa
direccin 0$2 3 @ue no tenga la direccin
I/ origen 0.0.0.0. Es necesario esto ?ltimo
de:ido a @ue siemre aarece un rimer
a@uete enviado en el roceso de o:tencin
de los ar;metros de red or ,72/.
&a catura del tr;fico se reali4a en
modo no :lo@ueante ara @ue no @uede el
roceso :lo@ueado de:ido a @ue no aare4ca
ning?n a@uete. No es un ro:lema @ue no se
encuentre la direccin I/ la rimera ve4 @ue
se eAecuta esta funcinC 3a @ue se eAecuta
eridicamente 6asta @ue el rimer a@uete
con la direccin correcta es caturado.
El desarrollo de este m1todo de
o:tencin de la direccin I/ de los clientes inal;m:ricos es :astante imortante. 7asta
a6oraC esto se reali4a:a mediante .N0/ 3 era necesaria una funcin esec!fica ara cada
tio de unto de accesoC 3a @ue estos mensaAes var!an de uno a otro. 2on esta nueva
funcinC el sistema o:tendr; las direcciones I/ de los clientes correctamenteC con
indeendencia del unto de acceso @ue se utiliceC dando as!C ma3or fle5i:ilidad al sistema.
El ro:lema de este m1todo radica:a en @ue las reglas )ire=all se introduc!an una
ve4 @ue el a@uete era caturadoC or lo @ue este rimer a@uete era desec6ado. Esto
tam:i1n 6a sido arreglado al introducir las reglas )ire=all en dos asos 8ver 2.#.2.6.# 3
2.#.2.6.49. En rimer lugarC se introducen las reglas del tr;fico ascendente o rocedente de
los clientes inal;m:ricos a nivel 0$2C 3 osteriormente se introduce el resto tras
conocerse la direccin I/ del cliente. $s! se evita la 1rdida del rimer a@uete enviado or
el cliente inal;m:rico una ve4 autenticado.
28
.4..> 9i)rer2a @li)"ire%all8osA
Esta li:rer!a contiene todas las funciones relacionadas con el )ire=all 3 control de
tr;fico. Tam:i1n se ueden encontrar las funciones @ue generan los datos de
monitori4acin 3 datos estad!sticos.
2.3.2.6.1 (uncin /(ire-all1ac)ine4+en2
Esta es la funcin @ue introduce las reglas )ire=all al iniciarse el sistema. Esto
consiste en denegar el tr;fico @ue no rovenga del unto de acceso. $l autenticarse los
clientes se introducir;n otras reglas @ue ermitir;n @ue el tr;fico a las redes @ue tengan
acceso ermitido sea 6a:ilitado.
2.3.2.6.2 (uncin /(ire-all1ac)ine0ule2
Esta es la funcin @ue se utili4a:a antes de diseHar las dos funciones siguientes. Esta
funcin se encarga de introducir todas las reglas de )ire=all cuando se conecta un cliente
inal;m:rico a la red. /ara estoC es necesario conocer la direccin I/ del cliente. En el
sistema actualC las reglas de )ire=all del tr;fico roveniente de los clientes se onen a nivel
0$2 antes de conocer si@uiera la direccin I/ del clienteC 3 una ve4 conocida la direccin
I/C se introducen el resto de las reglas )ire=all a nivel I/. $s! se soluciona el ro:lema de
1rdida del rimer a@uete rocedente de los clientes. $ntesC cuando se imlement la
funcin de o:tencin de la direccin I/ mediante la catura del rimer a@uete del clienteC
todas las reglas se introduc!as tras o:tener la direccin I/C or lo @ue el rimer a@ueteC del
cual se o:ten!a la direccin I/C era desec6ado. /or esta ra4n se 6a searado en dos
funciones diferentes.
2.3.2.6.3 (uncin /(ire-all1ac)ine0ule3mac2
Esta funcin simlemente one reglas )ire=all del tr;fico ascendente o roveniente
de los clientes inal;m:ricos a nivel 0$2. $s!C ning?n a@uete roveniente de estos
clientes odr; alcan4ar las redes a las @ue tiene el acceso denegado aun@ue no se cono4ca
su direccin I/. /ero cuando el cliente intente acceder a una red ermitidaC tendr; el acceso
ermitido.
2.3.2.6.4 (uncin /(ire-all1ac)ine0ule3i+2
Introduce las reglas )ire=all una ve4 @ue se conoce la direccin I/ del cliente
inal;m:rico. Estas reglas se introducen a nivel I/.
2.3.2.6.5 (uncin /5oS6lobalInit2
Introduce las reglas tc de calidad de servicio o control de tr;fico inicialesC @ue
consisten en reservar un anc6o de :anda ara cada erfilC 3 dar una rioridad determinada a
cada erfil.
2.3.2.6.6 (uncin /5oS1ac)ine0ule2
Introduce las reglas de control de tr;fico cuando se conecta el cliente inal;m:rico.
2rea la su:clase del usuario 3 limita el m;5imo anc6o de :anda del cliente mediante
Dolice rateE.
2*
2.3.2.6.7 (uncin /ProcessStatisticsI+tables2
Es la funcin @ue se encarga de conta:ili4ar los :3tes @ue atraviesan el )ire=all 3 los
@ue son desec6ados or este. /ara estoC la funcin lee los datos almacenados en el arc6ivo
Dita:les.tmE @ue es donde ita:les almacena los datos de los a@uetes @ue asan or este
)ire=all. -no de los ar;metros @ue se guardan es si el a@uete es desec6adoC o no.
2.3.2.6.# (uncin /ProcessStatistics8c2
Esta funcin se encarga de conta:ili4ar los :3tes @ue atraviesan 3 los @ue no el filtro
de control de tr;ficoC o No.. Estos datos se leen del arc6ivo tc.tm ara cada interfa4.
2.3.2.6.9 (uncin /ProcessStatistics2
.e uede decir @ue es la funcin rincial @ue se encarga de rocesar las estad!sticas
del sistema. /rimeramente reali4a un filtrado de los datos rovenientes tanto de Dita:lesE
como de DtcE 3 los env!a a sendos fic6eros temorales de los @ue osteriormente o:tiene
los datos de monitori4acin del sistema. 2ada ve4 @ue se eAecuta esta funcinC se reali4a un
recorrido so:re todos los clientes inal;m:ricos conectados a la red inal;m:rica 3 se
rocesan sus datos de )ire=all 3 los datos de control de tr;fico so:re los dos interfaces. En
los dos casos se conta:ili4an los :3tes acetados 3 los desec6ados 3 son rocesados.
Es'uea /: Estructura por blo'ues de la !unci(n process2tatistics.
#0
.4..? 9i)rer2a @li)ldapA
Esta li:rer!a contiene todas las funciones relacionadas con &,$/. Todas las
consultas al directorio &,$/ se reali4an con funciones de esta li:rer!a.
2.3.2.7.1 (uncin 9:AP9istAPs
2arga en memoria todos los untos de acceso con sus caracter!sticas asociadas.
2.3.2.7.2 (uncin 9:AP9istPro"iles
2arga en memoria los erfiles almacenados en el directorio &,$/ con todas sus
caracter!sticas.
.4.4 -unto de acceso
El unto de acceso de:e estar correctamente configurado ara @ue funcione como se
desea en este rototio. &a configuracin del unto de acceso se reali4a de forma mu3
sencilla desde el interfa4 'EG @ue tiene 6a:ilitado a tal efecto 8ver 49. $ continuacin se
muestra la configuracin del unto de acceso utili4ada.
,ireccin I/> 10.0.0.1
0;scara> 2!!.2!!.2!!.0
$utenticacin 802.1X<2001
o .ervidor de $utenticacin>
,ireccin I/> 10.0.0.10
/uerto> 1812. En este uerto es en el @ue est; escuc6ando el servidor
)reeradius(ro53 8ver 2.#.6.2.29.
Encritacin de los datos>
o .e uede tra:aAar tanto con encritacin ocionalC como con encritacin
o:ligatoria. En rinciio se 6a configurado como D=ull Encr$#tionE o
encritacin o:ligatoria.
o .e de:en 6a:ilitar las casillas de tio de autenticacin DoenE 3 la de
DNet=orM(E$/E ara @ue el unto de acceso sea @ue las claves son
roorcionadas or la redC 3 m;s concretamente or el servidor de
autenticacin.
2onfiguracin +adio>
o ssid> tlm.unavarra.com
o .e des6a:ilita la u:licacin del ssid ara aortar un ma3or grado de
seguridad a la red inal;m:rica.
-na ve4 reali4ado estoC el unto de acceso estar; configurado adecuadamente.
#1
.4.; Openssl
.4.;.1 Introduccin
Esta es la 6erramienta @ue roorciona las 6erramientas necesarias ara crear los
certificados 3 claves @ue aortan seguridad al sistema IEEE 802.1%F. Estos certificados 3
claves son utili4ados ara reali4ar la autenticacin de los clientes inal;m:ricosC ero
tam:i1n se utili4a ara aortar seguridad a los servidores Oenlda 3 $ac6e.
.4.;. Instalacin
.e 6a conseguido la ?ltima versin disoni:le de oenssl @ue es oenssl(0.*."c L 0F.
&a instalacin es :astante sencilla. $ continuacin se muestra la instalacin @ue se 6a
utili4ado>
[root@pfc05 open1x]# ./config --prefix=/Dir_Base/open1x/openssl --shared
[root@pfc05 open1x]# make clean
[root@pfc05 open1x]# make
[root@pfc05 open1x]# make install
En la versin anterior de este sistema eran necesarias tres versiones diferentes de
oensslC ero a6ora es suficiente con instalar esta ?nica versin.
.4.;.4 Beneracin de ,erti"icados y conversiones
.e de:en generar varios certificados ara oner en funcionamiento el sistema. Estos
certificados se utili4an fundamentalmente en algunos m1todos de autenticacin como
ueden ser E$/(T&. 3 E$/(TT&.. $ continuacin se muestra como se ueden generar
certificados de una manera sencilla>
/eticin de Ieneracin de 2ertificado>
[root@pfc05 open1x]# openssl req -new -outform pem -out "certificado-req.pem -newkey
rsa:1024 -keyout "certificado-key.pem -keyform pem -passin pass: "contrasea
-passout pass: "contrasea
Ieneracin de certificado>
[root@pfc05 open1x]# openssl x509 -req -in "certificado-req.pem -out "certificado-
cert.pem -outform pem -days 365 -CA ca-cert-pem -extfile /../openssl.cnf -extensions
usr_cert -CAkey ca-key.pem
2onversin de /E0 a 12 8formato de 'indo=s9>
[root@pfc05 open1x]# openssl pkcs12 -export -out " certificado-cert.p12 -inkey
"certificado-key.pem -in "certificado-cert.pem
2onversin de ,E+ a /E0>
[root@pfc05 open1x] # openssl x509 -inform DER -outform PEM -in "certificado.der -out
"certificado.pem
#2
2onversin de /E0 a ,E+>
[root@pfc05 open1x]# openssl x509 -inform PEM -outform DER -in "certificado.pem -out
"certificado.der
2onversin de 12 a /E0>
[root@pfc05 open1x]# openssl pkcs12 -des3 in "certificado.p12 out "certificado.pem
/ara o:servar los camos de un certificado>
[root@pfc05 open1x]# openssl x509 -in "certificado.pem -text
.4.;.; ,erti"icados en #W!#S
El funcionamiento de los sistemas de autenticacin utili4ados en este rototioC como
es el caso de E$/(T&.C re@uieren generar certificados ara la autenticacinC tanto del
cliente inal;m:rico como del servidor. Estos certificados de:en estar firmados or una
$utoridad de 2ertificacin. $ continuacin se muestra el roceso de creacin de la
$utoridad de 2ertificacin 3 los certificados necesarios en el roceso de autenticacin.
2.3.4.4.1 6eneracin de la Autoridad de Certi"icacin
El siguiente scrit es el encargando de crear una $utoridad de 2ertificacin. Esta
$utoridad es la @ue osteriormente se encargar; de firmar los certificados de los clientes 3
el del servidor de autenticacin.
2$.root
#!/bin/sh
. ./CA.common
export PATH=${SSL}/bin/:${SSL}/ssl/misc:${PATH}
export LD_LBRARY_PATH=${SSL}/lib
rm -rf demoCA
#borra el directorio donde poda estar otra autoridad de certificacin
echo "*********************************************************************************"
echo "Creating self-signed private key and certificate"
echo "When prompted override the default value for the Common Name field"
echo "*********************************************************************************"
# Generate a new self-signed certificate.
# After invocation, newreq.pem will contain a private key and certificate
# newreq.pem will be used in the next step
openssl req -new -x509 -keyout newreq.pem -out newreq.pem -days 365 -passin pass:
$PASSWORD -passout pass:$PASSWORD
echo "*********************************************************************************"
echo "Creating a new CA hierarchy (used later by the "ca" command) with the certificate"
echo "and private key created in the last step"
echo "*********************************************************************************"
echo
echo Cne%re8.pemC D ,#.pl -ne%ca >/dev/null
echo "*********************************************************************************"
echo "Creating ROOT CA"
echo "*********************************************************************************"
echo
# Create a PKCS#12 file, using the previously created CA certificate/key
##
# The certificate in demoCA/cacert.pem is the same as in newreq.pem. nstead of
# using "-in demoCA/cacert.pem" we could have used "-in newreq.pem" and then omitted
# the "-inkey newreq.pem" because newreq.pem contains both the private key and
certificate
openssl pkcs12 -export -in demoCA/cacert.pem -inkey newreq.pem -out root.p12 -cacerts
-passin pass:$PASSWORD -passout pass:$PASSWORD
# parse the PKCS#12 file just created and produce a PEM format certificate and key in
root.pem
openssl pkcs12 -in root.p12 -out root.pem -passin pass:$PASSWORD -passout pass:
$PASSWORD
# Convert root certificate from PEM format to DER format
openssl x509 -inform PEM -outform DER -in root.pem -out root.der
#Clean Up
rm -rf newreq.pem
chmod 777 demoCA
chmod 777 demoCA/*
Este scrit generaC como se 6a comentado reviamenteC una $utoridad de
2ertificacin. /rimero :orra el directorio en el @ue udiera 6a:er otra $utoridad de
2ertificacin anterior. /osteriormente crea un certificado auto firmado con el @ue se
genera la $utoridad de 2ertificacin. )inalmente crea los certificados root en los formatos
derC em 3 12.
El certificado root es necesario tanto ara el servidor de autenticacinC como ara los
clientes inal;m:ricos.
2$.common
#!/bin/sh
SSL=/Dir_Base/openssl
PASSWORD=client
En este arc6ivo se guardan la direccin en la @ue est; instalado el a@uete oensslC
as! como la contraseHa @ue se utili4a Da modo de eAemloE en la creacin de los
certificados.
2.3.4.4.2 6eneracin del certi"icado del ser*idor de
autenticacin
El servidor de autenticacin necesita un certificado firmado or la $utoridad de
certificacin ara reali4ar la autenticacin. Este es el certificado @ue se enviar; a los
clientes ara @ue uedan autenticar al servidor.
2$.srv
#!/bin/sh
. ./CA.common
openssl req -new -keyout newreq.pem -out newreq.pem -passin pass:$PASSWORD
-passout pass:$PASSWORD
# Sign the certificate request. The policy is defined in the openssl.cnf file.
# The request generated in the previous step is specified with the -infiles option and
# the output is in newcert.pem
#4
# The -extensions option is necessary to add the OD for the extended key for server
authentication
openssl ca -policy policy_anything -out newcert.pem -passin pass:$PASSWORD -key
$PASSWORD -extensions xpserver_ext -extfile xpextensions -infiles newreq.pem
openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out $1.p12 -clcerts -passin
pass:$PASSWORD -passout pass:$PASSWORD
openssl pkcs12 -in $1.p12 -out $1.pem -passin pass:$PASSWORD -passout pass:
$PASSWORD
openssl x509 -inform PEM -outform DER -in $1.pem -out $1.der
openssl pkcs12 -des3 -in $1.p12 -out $1-key.pem -passin pass:$PASSWORD -passout
pass:$PASSWORD
# Clean Up
rm -rf newcert.pem newreq.pem
Este scrit crea los certificados derC em 3 12 del servidor cu3o nom:re ser;
introducido or l!nea de la siguiente manera>
CA.srv <nombre_servidor>
2.3.4.4.3 6eneracin de los certi"icados de los clientes
inal.mbricos
&os certificados de los clientes inal;m:ricos slo son necesarios en caso de
conectarse utili4ando el m1todo de autenticacin E$/(T&.C @ue necesita la osesin de
certificados or las dos artes involucradas en la autenticacin. .i se utili4a E$/(TT&. sin
em:argoC no ser; necesaria la creacin de certificados cliente. En cual@uier casoC el
siguiente scrit es el @ue se utili4a ara generar los certificados cliente.
2$.clt
#!/bin/sh
. ./CA.common
echo "*********************************************************************************"
echo "Creating client private key and certificate"
echo "When prompted enter the client name in the Common Name field. This is the same"
echo " used as the Username in FreeRADUS"
# Request a new PKCS#10 certificate.
# First, newreq.pem will be overwritten with the new certificate request
openssl req -new -keyout newreq.pem -out newreq.pem -passin pass:$PASSWORD
-passout pass:$PASSWORD
# Sign the certificate request. The policy is defined in the openssl.cnf file.
# The request generated in the previous step is specified with the -infiles option and
# the output is in newcert.pem
# The -extensions option is necessary to add the OD for the extended key for client
authentication
openssl ca -policy policy_anything -out newcert.pem -passin pass:$PASSWORD -key
$PASSWORD -extensions xpclient_ext -extfile xpextensions -infiles newreq.pem
openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out $1.p12 -clcerts -passin
pass:$PASSWORD -passout pass:$PASSWORD
#5
openssl pkcs12 -in $1.p12 -out $1.pem -passin pass:$PASSWORD -passout pass:
$PASSWORD
openssl x509 -inform PEM -outform DER -in $1.pem -out $1.der
openssl pkcs12 -des3 -in $1.p12 -out $1-key.pem -passin pass:$PASSWORD -passout
pass:$PASSWORD
# clean up
rm -rf newcert.pem newreq.pem
$l igual @ue en el caso de 2$.srvC el nom:re del certificado se introduce or l!nea de
comando>
CA.clt <nombre_certificado_cliente>
/ara oder generar los certificados cliente desde el interfa4 'EGC se utili4a otro
scrit similar a este. $s!C mediante el interfa4 'EG se crea el certificado cliente 3 la cuenta
de usuario en el directorio &,$/ simult;neamente.
.4.;.= Formatos de los certi"icados
E5isten varios formatos de certificado. En este rototio se utili4an # formatos @ue
son derC em 3 12.
En e@uios con sistemas oerativos &inu5 se utili4a el formato em. ,e 6ec6oC tanto
el servidor de autenticacin del sistemaC como los clientes inal;m:ricos &inu5 utili4an este
formato.
.in em:argoC los clientes inal;m:ricos 'indo=s %/ utili4an el formato der ara el
certificado de la $utoridad de certificacin 8root.der9C 3 12 ara el certificado cliente.
/or esta ra4nC cada ve4 @ue se de:e generar un certificadoC se crean los tres tios de
certificado.
.4.= Openldap
.4.=.1 Introduccin
El /rotocolo de $cceso &igero a ,irectorioC m;s conocido como &,$/ es un
rotocolo @ue ermite acceder a un directorio de informacinC muc6as veces denominado
directorio &,$/.
&as caracter!sticas m;s imortantes de &,$/ son>
.oorta T2/KI/. 0u3 imortante ara oder acceder desde cual@uier untoC
como or eAemlo Internet.
Gasado en est;ndares.
)unciona :aAo cual@uier lataforma de comutacin.
Estos directorios est;n otimi4ados ara rocedimientos de lectura 3 no tanto
ara los de escrituraC or lo @ue 6a:r; @ue tenerlo en cuenta a la 6ora de
tomar la decisin de imlantar este rotocoloC o no.
$lmacenamiento de datos Aer;r@uico. Estructuras en ;r:ol.
#6
En este rototio se 6a utili4ado &,$/ ara acceder al directorio de informacin
&,$/C @ue es donde se almacenan todos los datos necesarios ara la configuracin del
sistemaC como ueden ser los untos de accesoC usuariosC erfilesC I./sC etc. Todos estos
datos son actuali4ados en reducidas ocasionesC ero el n?mero de veces en @ue son
consultados es elevadoC or lo @ue la utili4acin de &,$/ en este caso arece ser :astante
conveniente.
2oncretamenteC en este ro3ecto se utili4a OenldaC @ue es servidor &,$/ li:re
L 0F.
$ continuacin se detalla la instalacinC configuracin 3 ar@uitectura del directorio
&,$/ utili4ada en este rototio.
.4.=. Instalacin de Openldap
.e 6a conseguido la ?ltima versin esta:le de Oenlda L 0F. Esta ?ltima versin es
oenlda(sta:le20040504.tg4.
En el roceso de instalacin se tuvieron algunos ro:lemas or@ue era necesaria
alguna actuali4acin de varias li:rer!asC concretamente de la li:rer!a GerMele3,G o ,G.
$s! @ue se 6a conseguido la ?ltima versin disoni:le de esta li:rer!aC @ue es d:(
4.2.5#.tar.g4 L 0FC 3 se 6a instalado antes de instalar oenlda. El roceso de instalacin 6a
sido el siguiente>
[root@pfc05 open1x]# tar zxvf db-4.2.52.tar.gz
[root@pfc05 open1x]# cd db-4.2.52/build_unix
[root@pfc05 open1x]# ../dist/configure --prefix=/Dir_Base/open1x/berkeleyDB
$@u! aareci otro ro:lema. Oenlda no era caa4 de sa:er el lugar donde ten!a
@ue :uscar la li:rer!a d:.6C es decirC el configure no da la ocin de :uscar la li:rer!a d:.6
en un directorio concreto. /ara conseguirlo 6a:!a dos ocionesC una era 6acer un linM a la
direccin de la li:rer!aC 3 otra osi:ilidad era la de reali4ar un configure en el @ue se le
informa a oenlda de donde tiene @ue :uscar las li:rer!as necesarias. /ara conseguir esto
se 6a utili4ado 2//)&$I. 3 &,)&$I.. Esta es la ocin @ue se 6a utili4ado finalmente.
[root@pfc05 open1x]# tar zxvf openldap-stable-20031217.tgz
[root@pfc05 open1x]# cd openldap-2.1.25
[root@pfc05 open1x]# env CPPFLAGS=-/Dir_Base/open1x/openssl/include
-/Dir_Base/open1x/berkeleyDB/include LDFLAGS=-L/Dir_Base/open1x/openssl/lib
-L/Dir_Base/open1x/berkeleyDB/lib ./configure --prefix=/Dir_Base/open1x/openldap
--with-tls --enable-slurpd --enable-ldbm
[root@pfc05 open1x]# make depend
2ertificado>
[root@pfc05 open1x]# cd /usr/share/ssl/certs
[root@pfc05 open1x]# make slapd.pem
[root@pfc05 open1x]# cp usr/share/ssl/certs/slapd.pem /Dir_Base/open1x/openldap/
#"
.4.=.4 ,on"iguracin de Openldap
Es necesario configurar &,$/ adecuadamente ara o:tener el comortamiento
deseado. /ara elloC se de:en modificar los arc6ivos de configuracin @ue se muestran a
continuacin>
2.3.5.3.1 sla+d.con"
Este arc6ivo se encuentra en K,irOGaseKoenldaKetcKoenldaKslad.conf. .e de:e
aHadir lo siguiente>
slad.conf
include /Dir_Base/open1x/openldap/etc/openldap/schema/cosine.schema
include /Dir_Base/open1x/openldap/etc/openldap/schema/nis.schema
include /Dir_Base/open1x/openldap/etc/openldap/schema/RADUS-LDAPv3.schema
include /Dir_Base/open1x/openldap/etc/openldap/schema/tlm.schema
# tlm.schema es el que se utiliza para introducir nuestro schema.
# Permisos de lectura y escritura
access to *
by self write
by dn= uid=root,ou=users,dc=tlm,dc=com write by * auth\par\par
# Directorio LDAP
database ldbm
suffix dc=tlm,dc=com
rootdn cn=root,dc=tlm,dc=com
directory /Dir_Base/open1x/openldap/var/openldap-data
En este ?ltimo directorio es donde se crear; la :ase de datos autom;ticamente.
2.3.5.3.2 lda+.con";
.e encuentra en el mismo directorio @ue el anterior.
lda.conf
HOST 127.0.0.1
BASE dc=tlm,dc=com
UR ldap://127.0.0.1
En este arc6ivo se le indica la direccin I/ en la @ue estar; escuc6ando el servidor
Oenlda 3 la :ase del dominio del directorio.
En este casoC el Oenlda est; en 12".0.0.1C ero odr!a estar en cual@uier otro sitio.
)inalmenteC se 6a creado un scrit ara eAecutar el servidor &,$/ @ue se 6a llamado
run(lda>
run(lda
#!bin/sh
echo "MPORTANT:--------------------"
echo "--------- Run as ROOT --------"
echo "------------------------------"
#8
OPENLDAP=/Dir_Base/open1x/openldap
export PATH= $ {OPENLDAP }/bin: $ {OPENLDAP }/sbin: $ {OPENLDAP}/libexec:$PATH
export LD_LBRARY_PATH=/Dir_Base/open1x/openssl/lib
${OPENLDAP}/libexec/slapd -d 1
$6oraC el servidor 3a est; configurado 3 se uede roceder a insertar los datos @ue se
@uiera en la :ase de datos. /ara esto se utili4an arc6ivos .ldifC en los @ue se introduce los
datos.
.4.=.; .(emplos de "unciones 9&#-
2.3.5.4.1 lda+add
)uncin ara agregar datos al directorio &,$/.
-v: modo verboso.
-W: peticin de contrasea.
-D: usuario que ejecuta la funcin.
-f: fichero
-x:
openldap/bin/ldapadd -x -D "cn=root, dc=tlm,dc=com f ../data.ldif -v W
2.3.5.4.2 lda+searc)
Esta funcin ermite reali4ar :?s@uedas en el directorio &,$/.
ldapsearch -x D "cn=root, dc=tlm,dc=com u b "ou=users,dc=tlm,dc=com 'cn=*' cn
uprofile v -W
Este eAemlo devolver!a el camo cn 3 el camo erfil de todos los usuarios
almacenados en el directorio &,$/.
2.3.5.4.3 lda+del
/ermite eliminar entradas del directorio &,$/.
openldap/bin/ldapadd -x -D "cn=root, dc=tlm,dc=com 'ipAddress=10.0.0.1,ou=aps,
dc=tlm ,dc=com' -v W
Este eAemlo eliminar!a el unto de acceso con I/ 10.0.0.1 del directorio &,$/
2.3.5.4.4 lda+modi"
Esta funcin se utili4a en caso de @uerer modificar una entrada del directorio &,$/.
&a siguiente es una de las maneras en las @ue se uede utili4ar esta funcin.
.e crea un fic6ero del tio siguiente>
#*
)ic6eroOcam:io
dn: uid=client@tlm.unavarra.com,ou=users,dc=tlm,dc=com
changetype: modify
replace: mail
mail: modme@terminator.rs.itd.umich.edu
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto: /tmp/modme.jpeg
-
delete: description
&a orden>
ldapmodify -x -D "cn=root, dc=tlm,dc=com -b -r -f Fichero_cambio v -W
Esto cam:iar!a el mail del usuario student1C le aHadir!a la foto 3 eliminar!a la
descricin de la entrada del directorio &,$/.
En realidadC el ma3or n?mero de accesos al directorio &,$/C se reali4an desde el
interfa4 'EG. /or lo tantoC se utili4an las funciones de las @ue disone 6 ara reali4ar
estas oeraciones. Estas funciones simlifican enormemente la interactuacin con el
servidor &,$/.
.4.=.= #r8uitectura del directorio 9&#- utili$ado
&os datos almacenados en el directorio &,$/ son los corresondientes a los untos
de accesoC usuariosC erfiles de usuario e I./s. 2omo se 6a comentado en el aartado de
introduccinC los datos del directorio se organi4an en forma de ;r:ol de una manera
Aer;r@uicaC caracter!stica mu3 recomenda:le ara el tio de datos @ue se de:en almacenar
en este caso. En la )igura 12 se se muestra la ar@uitectura del directorio &,$/ @ue se 6a
utili4ado en este rototio ara almacenar todos los datos necesarios ara el
funcionamiento de todo el sistema.
,e la ra!4 del ;r:ol arten cuatro ramas @ue son los untos de accesoC erfiles de
usuarioC I./s 3 usuarios. ,e ellos arten las roiedades almacenadas de cada uno de ellos.
En alg?n caso se 6a utili4ado alguna roiedad o caracter!stica m;sC ero no se 6a
introducido en la figura or@ue reduc!a la claridad de la misma.
40
Figura 12:Estructura en !ora de rbol del directorio ;<-.
2.3.5.5.1 tlm.sc)ema
Este arc6ivo se utili4a ara agregar al servidor Oenlda las caracter!sticas de los
nuevos atri:utos de los datos @ue van a ser almacenados en el directorio.
tlm.sc6ema
############ Nuevos Atributos Definidos
attributetype ( 9.2.1 NAME 'uProfile'
DESC 'Profile identifier, for example, student'
EQUALTY casegnoreMatch
SUBSTR casegnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} SNGLE-VALUE )
attributetype ( 9.2.2 NAME 'minBw'
DESC 'Minimum bandwidth guaranteed in bps'
EQUALTY integerMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SNGLE-VALUE )
attributetype ( 9.2.3 NAME 'maxBw'
DESC 'Maximum bandwidth limited in bps'
attributetype ( 9.2.4 NAME 'priority'
DESC 'Prority assigned: 1 best, 7 worst. Delay control?'
41
attributetype ( 9.2.5 NAME 'reservedPercentage'
DESC 'Percentage of bandwidth to reserve to this profile'
attributetype ( 9.2.6 NAME 'networkAllowed'
DESC 'P network as a dotted decimal, eg. 10.2.0.0/255.255.0.0 ndicates allowed
networks for these user.'
EQUALTY casegnoreA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{128} )
attributetype ( 9.2.7 NAME 'networkDenied'
DESC 'P network as a dotted decimal, eg. 10.2.0.0/255.255.0.0 ndicates denied
networks for these user.'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{128} )
attributetype ( 9.2.8 NAME 'ipAddress'
DESC 'P address as a dotted decimal, eg. 192.168.1.1, omitting leading zeros'
attributetype ( 9.2.9 NAME 'snmpCommunityName'
DESC 'Community name for accesing the access point using SNMP'
attributetype ( 9.2.10 NAME 'apModel'
DESC 'Access Point model (eg. Aironet350)'
attributetype ( 9.2.11 NAME 'realm'
DESC 'Domain this SP is serving (ex. tlm.unavarra.com)'
attributetype ( 9.2.12 NAME 'url'
DESC 'URL where this SP has its Certification Authoritie (ex. http://ca.tlm.unavarra.com)'
attributetype ( 9.2.13 NAME 'correo'
DESC 'email (ex. eecs@berkeley.edu)'
attributetype ( 9.2.14 NAME 'telephone'
DESC 'telephone number (ex. 948236874)'
42
############ NEW OBJECTS DEFNED
# USERS:
# uid= user identifier
# gidNumber= group id (type of profile)
# Optional attributes:
# cn= common name
# userPassword= for MD5 authentication
# userCertificate= for EAP/TLS authentication
# email
# telephone
# description
objectclass ( 9.1.1 NAME 'user' SUP top STRUCTURAL
MUST ( uid $ uProfile )
MAY ( cn $ description $ userPassword $ userCertificate ) )
# PROFLES
objectclass ( 9.1.2 NAME 'profile' SUP top STRUCTURAL
MUST ( uProfile $ minBw $ maxBw $ priority $ reservedPercentage)
MAY ( cn $ description $ networkAllowed $ networkDenied ) )
# ACESS PONTS
objectclass ( 9.1.3 NAME 'ap' SUP top STRUCTURAL
MUST ( ipAddress $ apModel $ snmpCommunityName)
MAY ( cn $ description ) )
# SPs
objectclass ( 9.1.4 NAME 'isp' SUP top STRUCTURAL
MUST ( realm $ url)
MAY ( cn $ description ) )
2on este arc6ivoC se introducen los nuevos atri:utos 3 clases de o:Aeto @ue se
utili4ar;n en el rototio. $l introducir una nueva clase de o:AetoC como son los untos de
accesoC los I./sC los erfiles 3 los usuariosC se le indica a &,$/ @ue atri:utos de:en
contener o:ligatoriamente 3 cuales son ocionales. En el caso de los I./s or eAemloC
ser;n o:ligatorios los atri:utos de DrealmE 3 DurlEC siendo ocional el atri:uto de DcnE.
2.3.5.5.2 data.ldi"
En este arc6ivo se guardan los datos @ue se @uieren introducir al directorio &,$/
or l!nea de comandos. Estos datos se ueden introducir de esta maneraC aun@ue
osteriormente se introducir;n o modificar;n utili4ando el interfa4 'e:.
data.ldif
# Creacin del nodo raz del directorio LDAP
dn: dc=tlm,dc=com
objectclass: organization
objectClass: dcObject
o: Root structure
4#
dc: tlm
########### Creacin de nodos secundarios
# Usuarios
dn: ou=users,dc=tlm,dc=com
objectclass: organizationalUnit
ou: users
description: Users List
# Perfiles de usuario
dn: ou=profiles,dc=tlm,dc=com
ou: profiles
description: Profiles List
# Puntos de acceso
dn: ou=aps,dc=tlm,dc=com
ou: aps
description: Access Points List
# SPs
dn: ou=isps,dc=tlm,dc=com
objectClass: organizationalUnit
ou: isps
description: Providers List
########### Perfiles
dn: uProfile=professors,ou=profiles,dc=tlm,dc=com
objectClass: profile
uProfile: professors
cn: professor's profile
description: professor's profile - description
minBw: 128000
maxBw: 512000
priority: 1
reservedPercentage: 60
networkAllowed:0.0.0.0/0.0.0.0
dn: uProfile=students,ou=profiles,dc=tlm,dc=com
objectClass: profile
uProfile: students
cn: student's profile
description: student's profile - description
minBw: 28000
maxBw: 128000
priority: 3
reservedPercentage: 40
networkDenied: 10.0.1.6/255.255.255.255
networkAllowed: 0.0.0.0/0.0.0.0
########### Usuarios
dn: uid=client@tlm.unavarra.com,ou=users,dc=tlm,dc=com
44
objectClass: user
uid: client
uProfile: students
cn: student1
userPassword: client
description: client student testing
dn: uid=test01@tlm.unavarra.com,ou=users,dc=tlm,dc=com
objectClass: user
uid: test01@telematika.com
uProfile: students
cn: Cuenta de prueba **1**
userPassword: prueba
description: client student testing
########### Puntos de acceso
dn: ipAddress=10.0.0.1,ou=aps,dc=tlm,dc=com
objectClass: ap
ipAddress: 10.0.0.1
apModel: Aironet350
snmpCommunityName: test
cn: Aironet 350
description: Lab
########## SPs
dn: realm=tlm.unavarra.com,ou=isps,dc=tlm,dc=com
objectClass: isp
realm: tlm.unavarra.com
url: https://10.0.1.10/isp-tlm.unavarra.com/ca.php
cn: Test SP
-na ve4 rearado este arc6ivoC se aHade al directorio &,$/ mediante el comando
comentado anteriormente>
[root@pfc05 open1x]# ./Dir_Base/openldap/bin/ldapadd -x -D "cn=root, dc=tlm,dc=com f
data.ldif -v W
.4.> Freeradius - -roxy
Este servidor reali4a las la:ores de ro53 del tr;fico de autenticacin de la red.
+eenv!a el tr;fico 802.1% roveniente del unto de acceso al servidor de autenticacin
)reeradius(aut6 3 viceversa. Tanto la comunicacin entre los servidores )reeradiusC como
la comunicacin con el unto de acceso se reali4a mediante +$,I-..
&a configuracin de este servidor ser; :astante sencillaC al no tener @ue configurar la
arte de autenticacin @ue es la m;s comlicada de reali4ar.
45
.4.>.1 Instalacin
El roceso de instalacin del servidor )reeradius es algo m;s ela:orado @ue el @ue se
aca:a de descri:ir. /ara eme4arC de:e ser instalado or dulicadoC 3a @ue uno actuar;
como ro53C 3 el otro como autenticador.
2omo en el caso de oensslC se 6a conseguido la versin m;s nueva de )reeradius
disoni:le.
[root@pfc05 open1x]# configure --prefix=/Dir_Base/open1x/freeradius-proxy --with-openssl-
includes=/Dir_Base/open1x/openssl/include --with-openssl-
libraries=/Dir_Base/open1x/openssl/lib
/ara comro:ar el correcto funcionamientoC se uede eAecutar .Kradius(
ro53Ks:inKradiusd <%.
.4.>. ,on"iguracin
&os arc6ivos de configuracin del servidor )reeradius(/ro53 est;n en el directorio
9"ir:;ase9o#en139%reeradius<#ro3$9etc9raddb.
2.3.6.2.1 clients.con"
2am:io del .E2+ET>
secret = test
Esta es la ala:ra secreta @ue se utili4ar; ara encritar la comunicacin con el
clienteC @ue en este caso ser; el unto de acceso.
$ continuacinC se introduce el cliente con el @ue se conectar; el servidorC es decirC el
unto de acceso>
client 10.0.0.1
{
secret = test
shortname = ap1
}
2.3.6.2.2 radiusd.con"
En rinciioC como este servidor no va a efectuar m;s @ue la:ores de ro53C no es
necesario reali4ar ninguna modificacin en este arc6ivo.
2.3.6.2.3 +ro'.con"
2on este arc6ivo se configura el comortamiento del servidor freeradius ara actuar
como ro53. En este casoC lo @ue se retende es @ue todos los a@uetes de tr;fico IEEE
46
802.1% @ue rovengan del unto de acceso 3 con un dominio tlm.unavarra.comC sean
redireccionados al servidor de autenticacin. /ara estoC se introducen las siguientes l!neas
en este arc6ivo>
ro53.conf
realm tlm.unavarra.com
{
type = radius
authhost = 127.0.0.1:1912
accthost = 127.0.0.1:1913
secret = test
nostrip
}
$s!C todos los a@uetes con este dominioC se reenviar;n a estas direccionesC @ue es
donde estar; escuc6ando el servidor de autenticacin )reeradius($ut6.
En este casoC la contraseHa ermite encritar la comunicacin con el servidor de
autenticacin. En el arc6ivo clients.conf del servidor )reeradius(aut6 o servidor de
autenticacinC de:er; estar almacenada la misma contraseHa ara oder reali4ar la
comunicacin correctamente.
.4.? Freeradius - #uth
Este es el servidor )reeradius @ue actuar; como .ervidor de $utenticacin. Este
servidor se comunica con el servidor )reeradius(ro53 3 con el servidor Oenlda ara
reali4ar la autenticacin de los clientes @ue se conectan al sistema inal;m:rico. &a
comunicacin con el servidor )reeradius(ro53 se reali4a mediante el rotocolo +$,I-.C
so:re el @ue va la comunicacin de autenticacinC ara lo cual se utili4a el rotocolo de
autenticacin e5tensi:le E$/ 8ver 49.
El funcionamiento de este servidorC consiste en reci:ir un mensaAe de eticin de
autenticacin or arte del )reeradius(ro53C reali4ar el roceso de autenticacin E$/ con
el cliente 8si es necesarioC acceder al servidor &,$/9C 3 enviar un mensaAe de autenticacin
e5itosa o fallida al )reeradius(ro53 al concluir el roceso de autenticacin.
/ara @ue el sistema funciones correctamenteC 6a:r; @ue indicarle al servidor de
autenticacin donde est;n los servidores con los @ue se va a comunicarC @u1 m1todos E$/
de autenticacin va a utili4arC etc. En finC se de:e configurar correctamente.
.4.?.1 Instalacin
En lo @ue a la instalacin se refiereC lo ?nico @ue cam:ia con resecto a la anterior es
el directorio de instalacin>
[root@pfc05 open1x]# configure --prefix=/Dir_Base/open1x/freeradius-auth --with-openssl-
includes=/Dir_Base/open1x/openssl/include --with-openssl-
libraries=/Dir_Base/open1x/openssl/lib
4"
.4.?. ,on"iguracin
$6oraC los arc6ivos de configuracin se encuentran en el directorio
9"ir:;ase9o#en139%reeradius<aut>9etc9raddb.
2.3.7.2.1 clients.con"
El cliente de este servidor es el servidor freeradius(ro53>
clients.conf
client 127.0.0.1
secret = test
2.3.7.2.2 radiusd.con"
$6ora s! @ue se de:e modificar este arc6ivo ara @ue el autenticador se comorte
como nosotros @ueremos.
/ara comen4arC se de:e cam:iar el uertoC @ue en este caso ser; el 1*12.
port = 1912
.e va a utili4ar &,$/ ara la autori4acin 3 la autenticacinC or lo @ue se de:e
descomentar la ocin de lda tanto en la arte de aut6ori4e como en la de aut6enticate>
authorize
{
eap
ldap
}
authenticate
{
Auth-Type LDAP
{
ldap
}
eap
}
$6ora se de:en introducir los datos de &,$/ en el aartado de &,$/ de
radiusd.conf>
Ldap
{
server = "127.0.0.1"
identity = "cn=root,dc=tlm,dc=com"
password = tlm
basedn = "dc=tlm,dc=com"
}
48
En rinciioC no es necesario modificar nada m;s de este erc6ivo.
2.3.7.2.3 ea+.con"
Este arc6ivo no e5ist!a como tal en versiones anteriores de freeradiusC sino @ue se
encontra:a dentro del arc6ivo radius.conf. En este arc6ivo se configura la arte
concerniente a E$/.
En rinciioC se ondr; or defecto el modo de autenticacin ea(tlsC ero m;s
adelante se uede cam:iarlo en funcin de lo @ue nos ueda interesar>
default_eap_type = tls
En este rototio solo se van a utili4ar los tios md5C tls 3 ttlsC as! @ue ?nicamente se
tendr; @ue modificar estos si es @ue es necesario. En el caso de md5 no 6a3 @ue modificar
nada. $ continuacin se introduce la arte del arc6ivo ea.conf erteneciente a tls 3 ttls.
md5
{
}
tls
{
private_key_password = client
private_key_file = ${raddbdir}/certs/server.pem
certificate_file = ${raddbdir}/certs/server.pem
CA_file = ${raddbdir}/certs/root.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
}
ttls
{
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = no
}
2.3.7.2.4 +ro'.con"
)reeradius(aut6 no va a actuar como ro53C or lo @ue no es necesario cam:iar nada
de este arc6ivo.
4*
.4./ &+,- 5&ynamic +ost ,on"iguration -rotocol6
Este rotocolo se utili4a ara asignar a los clientes ,72/ todos los ar;metros de
red necesarios en una cone5in. Esta asignacin se reali4a din;micamente.
Es mu3 ?til 3a @ue evita la configuracin manual de red cada ve4 @ue se acceder a
una red. P esto es mu3 interesante or@ue adem;s de m;s r;ido 3 sencilloC se suera el
ro:lema @ue uede surgir or no conocer esos ar;metros como ueden ser la direccin
I/C m;scaraC router or defectoC etcQ
.e 6a instalado el rm adecuado ara la versin de &inu5 con la @ue se 6a tra:aAado
@ue es +ed 7at ".2.
[root@pfc05 open1x]# rpm -i dhcp-2.0p15-8.i386.rpm
$rrancar el .ervidor ,72/>
[root@pfc05 open1x]# dhcpd eth0
/arar el .ervidor ,72/>
[root@pfc05 open1x]# /etc/rc.d/init.d/dhcpd stop
.4./.1 #rchivo de con"iguracin del servidor &+,-
Es reciso esecificar el comortamiento del servidor ,72/. Esto se reali4a
mediante el arc6ivo de configuracin KetcKd6cd.conf.
El arc6ivo de configuracin @ue se uede o:servar :aAo estas l!neas es el arc6ivo @ue
se 6a utili4ado ara configurar el servidor ,72/ @ue se 6a utili4ado en el sistema
$'N$.. /ese a @ue la configuracin del servidor se reali4a con las rimeras siete l!neas
del arc6ivoC se 6a otado or deAar las siguientes 8aun@ue comentadas9 ara servir a modo
de eAemlo en otras osi:les configuraciones del servidor.
KetcKd6cd.conf>
# option option-128 code 128 = string;
# option option-129 code 129 = text;
subnet 10.0.0.0 netmask 255.255.255.0
{
option subnet-mask 255.255.255.0;
option broadcast-address 10.0.0.255;
option routers 10.0.0.10;
option domain-name-servers 1.1.1.253, 1.1.1.254;
option domain-name "tlm.unavarra.com";
range dynamic-bootp 10.0.0.10 10.0.0.200;
#option vendor-class-identifier "PXEClient";
# group {
# host bomarzo {
# next-server bomarzo.tlm.unavarra.com;
50
# hardware ethernet 00:10:4B:D2:17:4C;
# fixed-address 192.168.0.1;
# }
# host clon {
# option host-name "clon.tlm.unavarra.com";
# hardware ethernet 00:C0:4F:8A:7B:A0;
# option option-128 e4:45:74:68:00:00;
# option option-129 "NC=3c509 O=0x300";
# fixed-address 192.168.0.2;
# }
# }
}
2on este arc6ivo de configuracinC se le informa al servidor ,72/ de las siguientes
caracter!sticas en su funcionamiento>
&a su:red con la @ue va a funcionar 3 su m;scara de red.
,ireccin de :roadcast.
+outer or defecto. &os clientes ,72/ tendr;n el router or defecto @ue se
esecifi@ue en este camo. En el caso de este ro3ectoC el router or defecto
de los clientes inal;m:ricos de:e ser el interfa4 et60 del fc05C es decirC
10.0.0.10 8ver )igura 119.
.ervidores de nom:re ,N.. En este caso se 6an uesto las direcciones de los
servidores de nom:re de la red del la:oratorio.
+ango de direcciones a asignar. Es el conAunto de direcciones I/ @ue odr;n
ser asignadas or el servidor ,72/ a los clientes.
.4.E #pache
.e 6a instalado el servidor '''R6 ara al:ergar el interfa4 'EG @ue se 6a
desarrollado :asado en 6tml 3 6.
&a ?ltima versin del servidor 6tt $ac6e se 6a o:tenido de ===.aac6e.orgC 3 el
a@uete o:tenido es 6tt(2.0.48.tar.g4. El roceso de instalacin de este a@uete 6a sido el
siguiente>
[root@pfc05 open1x]# tar zxvf httpd-2.0.48.tar.gz
[root@pfc05 open1x]# cd httpd-2.0.48
[root@pfc05 open1x]# env CPPFLAGS= "-/Dir_Base/open1x/openssl/include
-/Dir_Base/open1x/berkeleyDB/include LDFLAGS= "-L/Dir_Base/open1x/openssl/lib
-L/Dir_Base/open1x/berkeleyDB/lib ./configure --prefix=/Dir_Base/open1x/apache2
--enable-mods-shared=most --enable-so --enable-ssl=static --with-
ssl=/Dir_Base/open1x/openssl
[root@pfc05 open1x]# make depend
El arc6ivo de configuracin de $ac6e es 6ttd.conf. &o ?nico @ue se 6a cam:iado
en este arc6ivo es el nom:re de servidorC el gruo 3 el usuario.
51
user santi
group users
nameserver tlm.unavarra.com
7an surgido :astantes ro:lemas a la 6ora de instalar el mdulo ssl. El ro:lema
radica:a en @ue no le indica:a @ue cargara el mdulo de una manera est;ticaC or lo @ue lo
intenta:a 6acer din;micamente 3 nos da:a el siguiente error>
modOssl> undefined s3m:ol> %50*Ofree
,e todas manerasC esto uede no ser necesario 3a @ue osteriormente se instal
nuevamente oenssl con la ocin Ds6aredEC @ue arece @ue arregla este ro:lema.
.4.E.1 -hp
/ara tra:aAar con /7/C la forma m;s recomenda:le de 6acerlo es teniendo como
a3uda la ;gina 'e: oficial de 6 L 0F. ,e a6! se ueden o:tener los a@uetes necesarios
ara instalar /7/C ero tam:i1n tiene una a3uda online mu3 :uena. ,e a6! se 6a o:tenido
la versin 6(4.#.4.tar.g4. El roceso de instalacin 6a sido el siguiente>
2.3.9.1.1 Instalacin
[root@pfc05 open1x]# tar zxvf php-4.3.4.tar.gz
[root@pfc05 open1x]# cd php-4.3.4
[root@pfc05 open1x]# ./configure --prefix=/Dir_Base/open1x/php --with-
apxs2=/Dir_Base/open1x/apache2/bin/apxs --with-openssl=/Dir_Base/open1x/opoenssl
--with-ldap=/Dir_Base/open1x/openldap --with-config-file-path=/Dir_Base/open1x/conf1
[root@pfc05 open1x]# cp php.ini-dist /Dir_Base/open1x/conf1/php.ini
Bolviendo al fic6ero de configuracin de $ac6e 6ttd.conf C se aHade>
AddType application/x-httpd-php .php
2omo se uede areciarC se le indica dnde tiene el mdulo lda 3 donde tiene el
arc6ivo de configuracin @ue osteriormente se gra:a en dic6o lugar.
-no de los ro:lemas @ue osteriormente se de:e arreglarC es @ue se 6a instalado la
versin # de lda 8&,$/v#9C 3 esta versin @ue se 6a instalado de 6 tra:aAa or defecto
con la versin 2 de lda. /or lo tantoC se de:er; modificar la configuracin ara @ue 6
ueda tra:aAar con la versin #.
Otra alternativaC @ue es or la @ue se 6a otado finalmenteC es la de introducir una
funcin con la @ue se le avisa a 6 de @ue la versin de &,$/ @ue se est; utili4ando es
&,$/v#. /ara estoC :asta con aHadir la siguiente l!nea Austo desu1s de reali4ar la
cone5in con el servidor &,$/.
$connect_result = ldap_connect( $LDAP_IP, 389 );
ldap_set_option($connect_result, LDAP_OPT_PROTOCOL_VERSON, 3);
52
.4.E. Inter"a$ We)
.e 6a desarrollado una 6erramienta 'e: ara gestionar el sistema $'N$.. 2on esta
6erramienta se uede gestionar 3 monitori4ar el sistema de una manera cmoda 3 sencilla.
$ continuacin se uede ver el diseHo 3 funcionamiento de esta 6erramienta.
El desarrollo de esta 6erramienta se 6a 6ec6o utili4ando 6 3 6tml.
4ome> es la ;gina de inicioC en la
@ue simlemente se uede o:servar el men?
@ue nos ermite navegar or la 6erramienta
3 un mensaAe de :ienvenida al sistema.
Figura 1": Inter!a4 0eb =>oe?.
)tatus> informacin de los interfaces
de red> nom:reC anc6o de :anda 3 direccin
I/. Tam:i1n se uede ver el arc6ivo
rincial de configuracin del sistema.
Figura 1& @ 1): Inter!a4 0eb =2tatus @ archi+o de con!iguraci(n?.
&1s o 1untos de &cceso> lista de
untos de acceso del sistema 3 sus
caracter!sticas rinciales. Es osi:le
reali4ar un test de conectividad 3 acceder a
la ;gina del unto de acceso.
Figura 1/: Inter!a4 0eb =-.?.
5#
Figura 13 @ 18: Inter!a4 0eb =I2.s @ -utoridad *erti!icadora?.
I)1s? lista de I./s del sistema. .e uede visitar la $utoridad 2ertificadora 3 crear
los certificados necesarios.
$l crear un certificadoC el sistema crea la cuenta de usuario en la :ase de datos
autom;ticamente.
,esde a@u! se ueden
crear los certificados ara los
clientes necesarios si el m1todo
de autenticacin utili4ado es
E$/(T&..
Figura 15: Inter!a4 0eb =Aeneraci(n de *erti!icados?.
0sers o 0suarios> listado de los
usuarios conectados actualmente al sistema.
$l igual @ue en el caso de los untos de
accesoC se listan las caracter!sticas m;s
imortantes de los usuarios. Tam:i1n es
osi:le reali4ar un test de conectividad o
monitori4ar un usuario concreto.
Figura 20: Inter!a4 0eb =Bsers?.
54
Figura 21 @ 22: Inter!a4 0eb =;<-.?.
2"&1> es el editor de la :ase de datos del sistema. ,esde a@u!C se ueden 6acer
consultas a la :ase de datos e introducir o :orrar datos 3 entradas de la :ase de datos.
,esde a@u! se modifican los ar;metros de los diferentes erfilesC roiedades de los
clientesC untos de acceso e I./s.
Figura 2" @ 2&: Inter!a4 0eb =#onitoring?.
-onitorin@> monitori4acin del sistema $'N$.. .e listan todos los usuarios 3
untos de acceso del sistema. ,e a@u! se uede acceder a todas las cone5iones reali4adas
or dic6os usuarios 3 untos de acceso 3 monitori4ar el tr;fico cursado 3 el tr;fico filtrado
or el sistema. Este tr;fico uede ser filtrado or ita:les o tc.
Tam:i1n 6a3 un aartado diseHado ara monitori4ar las rue:as 3 testeos del
sistema.
.4.10 FireWall - Ipta)les
Todas las reglas )ire=all se introducen utili4ando la 6erramienta Dita:lesE. Esta
6erramienta viene incororada en las ?ltimas versiones de las distri:uciones de &inu5 3 es
arte del Mernel. /ermite introducir reglas )ire=all de una manera :astante sencilla 3 viene
a sustituir a la 6erramienta ic6ains @ue se utili4a:a antes.
55
El funcionamiento :;sico de ita:les es el siguiente> cuando llega un a@ueteC se
mira si el a@uete est; destinado a la roia ma@uina o si va a otra. /ara los a@uetes 8o
datagramasC seg?n el rotocolo9 @ue van a la roia ma@uina se alican las reglas IN/-T 3
O-T/-TC 3 ara filtrar a@uetes @ue van a otras redes o ma@uinas se alican simlemente
reglas )O+'$+,. $s!C se determina @ue es lo @ue se de:e 6acer con el a@uete.
/ermitirle o denegarle el asoC enrutarloC etc.
IN/-TCO-T/-T 3 )O+'$+, son los tres tios de reglas de filtrado. /ero antes de
alicar esas reglas es osi:le alicar reglas de N$T> estas se usan ara 6acer redirecciones
de uertos o cam:ios en las I/s de origen 3 destino. Incluso antes de las reglas de N$T se
ueden meter reglas de tio 0$NI&EC destinadas a modificar los a@uetesS estas ?ltimas
son reglas oco conocidas 3 no se suelen utili4ar.
Figura 25: Esquema de funcinamient de las reglas fire!all "i#tables$%
Trdenes :;sicas
iptables F : efectivamente, flush de reglas
iptables L : listado de reglas que se estan aplicando
iptables A : append, aadir regla
iptables D : borrar una reglas.
Ejemplo de regla:
#Regla que acepta conexiones al puerto 80
iptables -A NPUT -i eth0 -s 0.0.0.0/0 -p TCP --dport www -j ACCEPT
Ociones
-s : direccin P origen. Ej: -s 192.168.1.0/24
-d : destino. Ej: -d 84.56.73.3
-p : tipo de protocolo(TCP,UDP,CMP). Ej: -p TCP
--sport : puerto de origen
--dport: puerto de destino
-i = in-interface : el interfaz de entrada (eth0,eth1, ppp0,.)
-o = --out-interface: el interfaz por de salida (eth0,eth1, ppp0,.)
-i se usa con reglas NPUT y FORWARD
-o se usa con reglas FORWARD y OUTPUT
-NPUT OUTPUT: paquete entrante o saliente.
-j ACCEPT: destino del paquete (se acepta, podra ser DROP, LOG, REJECT,..)
56
Esta 6erramienta se utili4a a la 6ora de configurar el $'N$. como router 3 como
N$T si es necesario 8ver 2.#.1.29C 3 al introducir las reglas de )ire=all @ue se introducen
ara controlar el acceso de los usuarios al sistema 8ver 2.#.2.69.
.4.11 ,ontrol de trF"ico G tc
-n re@uisito mu3 imortante ara cual@uier red a la @ue acceden clientes diversosC es
oder reartir los recursos de la red de una manera conveniente. Es decirC interesa tener la
caacidad de limitar el anc6o de :anda de los diferentes clientes. /ara ellosC 3 al igual @ue
se 6ace ara introducir las reglas )ire=allC los usuarios se searan or clases o tios de
clientes. En este rototioC interesa @ue los clientes @ue tienen el erfil de rofesor tengan
reservado un orcentaAe dado del anc6o de :anda ara este erfilC 3 adem;s tienen un
m;5imo 3 un m!nimo anc6o de :anda or cliente. &a 6erramienta DtcE o traffic controlC
ermite reali4ar el control de tr;fico 3 or tantoC introducir estas reglas de No. ara oder
utili4ar los recursos disoni:les de la red en funcin de las necesidades e intereses.
/ara elloC la 6erramienta tc L 0F ermite la creacin de clasesC colas 3 filtros @ue
ermiten tratar el tr;fico o recursos de la red a conveniencia.
E5isten diferentes tios de colasC ero en este rototio se 6a utili4ado el tio 2GNC
el cual ermite tra:aAar con rioridades.
&a estructura del ;r:ol de control de tr;fico utili4ado en este rototio es la siguiente>
Figura 2& ' Figura 2(: Estructura del )rbl de clases del cntrl de tr)fic
El sistema introduce las reglas de calidad de servicio utili4ando las funciones
diseHadas a tal efecto 8ver 2.#.2.69. $ continuacin se muestran los comandos eAecutadosC
tanto al iniciar el sistemaC como al autenticarse un cliente inal;m:rico.
5"
.4.11.1 3eglas iniciales
$l iniciarse el sistemaC se iniciali4a el control de tr;fico introduciendo las reglas
generales de control de tr;ficoC @ue son las reglas @ue ermiten @ue un orcentaAe del
anc6o de :anda se reserve ara un erfilC 3 el resto ara el otro erfil.
+eglas introducidas al iniciarse el sistema
# Primero se orra toda posile estructura e!istente pre"iamente
tc #disc del de" et$% root
# se crea la disciplina de cola c#
tc #disc add de" et$& root $andle &' c# and(idt$ &%%%%%%% allot
&)&* cell 8 a"p+t &%%% mpu ,*
# clase &'&
tc class add de" et$& parent &' classid &'& c# and(idt$ &%%%%%%%
rate &%%%%%%% allot &)&* cell 8 (ei-$t prio . ma!urst /% a"p+t
&%%%
# clase &'3
# 0s la clase del per1il estudiante, #ue en este caso tiene
asi-nado el /%2 del anc$o de anda total3 4iene asi-nada una
prioridad 33
tc class add de" et$& parent &'& classid &'3 c# and(idt$ &%%%%%%%
rate /%%%%%% allot &)&* cell 8 (ei-$t prio 3 ma!urst /% a"p+t
&%%% 5ounded 6 isolated7
# Disciplina de cola c# 3'
tc #disc add de" et$& parent &'3 $andle 3' c# and(idt$ /%%%%%%
allot &)&* cell 8 a"p+t &%%% mpu ,*
# clase 3'&
tc class add de" et$& parent 3'% classid 3'& c# and(idt$ /%%%%%%
rate /%%%%%% allot &)&* cell 8 (ei-$t prio 3 ma!urst /% a"p+t
&%%%
# clase &'/
# 0s la clase del per1il pro1esor, #ue en este caso tiene asi-nado
el 8%2 del anc$o de anda total3 4iene asi-nada una prioridad &3
tc class add de" et$& parent &'& classid &'/ c# and(idt$ &%%%%%%%
rate 8%%%%%% allot &)&* cell 8 (ei-$t prio & ma!urst /% a"p+t
&%%% 5ounded 6 isolated7
# Disciplina de cola c# /'
tc #disc add de" et$& parent &'/ $andle /' c# and(idt$ 8%%%%%%
allot &)&* cell 8 a"p+t &%%% mpu ,*
# clase /'&
tc class add de" et$& parent /'% classid /'& c# and(idt$ 8%%%%%%
rate 8%%%%%% allot &)&* cell 8 (ei-$t prio & ma!urst /% a"p+t
&%%%
2on estos comandos se crea la estructura de control de tr;fico @ue se muestra en la
)igura 26.
58
Este mismo es@uema se utili4a ara configurar el control de tr;fico del interfa4 et60C
cam:iando el :and=it6 or el de este interfa4.
.4.11. 3eglas para cada usuario
$l autenticarse un clienteC se introducen otras reglas de control de tr;ficoC @ue sirven
ara limitar el anc6o de :anda del cliente en articularC e indicar al sistema la rama or la
@ue de:e introducir el tr;fico de ese cliente.
+eglas introducidas al conectarse un cliente
# este filtro limita el ancho de banda ascendente del cliente, que es de perfil profesor a un
mximo de 512000 bps.
tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip src 10.0.0.29/32 police rate
512000 burst 10000 mtu 1514 drop classid 1:2
# clase 2:2
tc class add dev eth1 parent 2:1 classid 2:2 cbq bandwith 8000000 rate 128000 allot 1514
cell 8 weight 12800 prio 1 maxburst 20 avpkt 1000
# introduce el trfico procedente la direccin del cliente en la rama 2:2
tc filter add dev eth1 parent 2:0 protocol ip prio1 u32 mantch ip src 10.0.0.29/32 flowid 2:2
Esto 6a:r; @ue reetirlo ara el interfa4 et60.
.4.1 -cap
.4.1.1 Introduccin
Esta es la li:rer!a @ue se utili4a ara reali4ar la catura de los a@uetes en varias
funciones @ue se utili4an a lo largo del ro3ecto. Esta li:rer!a es la @ue utili4a la famosa
6erramienta DtcdumE.
Es una li:rer!a mu3 fle5i:le 3 con muc6as utilidades ara reali4ar diferentes tios de
caturas. /ara elloC 3 al igual @ue en DtcdumE se le de:e indicar el tio de filtro @ue de:e
utili4ar a la 6ora de reali4ar la catura de los a@uetes. /ca tra:aAa a m;s :aAo nivelC or lo
@ue incorora una funcin @ue comila 3 traduce los filtros @ue son inteligi:les or las
ersonas a un cdigo cercano a ensam:ladorC @ue es un tanto m;s dif!cil de comrender.
$s!C el tio de filtros @ue se ueden introducir son del mismo tio @ue los @ue se ueden
introducir a DtcdumE
.4.1. Instalacin
Esta li:rer!a suele estar incororada en las ?ltimas versiones de &inu5C ero en este
caso se 6a tenido @ue instalar. $dem;sC es referi:leC 3a @ue como se 6a 6ec6o con casi
todas las 6erramientas de este sistemaC se 6a rocurado instalar todo en un directorio :ase.
.e 6a conseguido el a@uete li:ca(0.8.#.tar.g4 L 0F.
[root@pfc05 open1x]# tar zxvf libpcap-0.8.3.tar.gz
[root@pfc05 open1x]# configure --prefix=/Dir_base/libpcap
5*
-na ve4 instalada la li:rer!aC odr; ser utili4ada or los rogramas @ue la necesiten
aHadi1ndola a la 6ora de comilar dic6os rogramas.
.4.1.4 Funciones de inter<s
$ continuacin se detallan algunas de las funciones m;s interesantes @ue aorta la
li:rer!a DcaE.
$ntes de estoC es necesario sa:er @ue casi todos los rogramas de catura de a@uetes
@ue utili4an esta 6erramienta siguen un atrn arecido. /rimero se esecifica el interfa4
del @ue se va a caturar el tr;fico 3 se o:tienen sus datos de redC 3a sea manualmente o
utili4ando las funciones @ue DcaE tiene ara ello. &uego se a:re un descritor de sesin
DcaE. -na ve4 6ec6o estoC se de:e introducir el filtro de tr;fico @ue se @uiere utili4arC
ero como se aca:a de mencionarC de:e ser comilado reviamente. $ artir de este untoC
se reali4ar; la catura de a@uetes de la manera @ue m;s convenga.
2.3.12.3.1 Pca+3loo<u+net
Esta funcin se encarga se o:tener los ar;metros de red del interfa4 @ue se le
introduce en la entrada.
2.3.12.3.2 Pca+3o+en3li*e
$:re un descritor de sesin DcaE con el @ue se tra:aAa. Este descritor ser; la
entrada de todas las funciones siguientes.
2.3.12.3.3 Pca+3com+ile
2omila 3 traduce el filtro a introducir en la catura de a@uetes. .e le introduce un
string de entrada con un filtro inteligi:le 3 lo traduce.
2.3.12.3.4 Pca+3set"ilter
Esta funcin es la @ue introduce realmente el filtro reviamente comilado.
2.3.12.3.5 Pca+3ne't
2atura 3 retorna un a@uete. Biene a ser como la fncin caOdisatc6 con el
n?mero de a@uetes a caturar igual a 1. No tra:aAa en modo no :lo@ueante.
2.3.12.3.6 Pca+3setnonbloc<
)uer4a a @ue las funciones DcaE tra:aAen en modo no :lo@ueante. Esto es de muc6a
utilidad en una de las 6erramientas @ue se imlementan en este ro3ecto ara caturar el
rimer a@uete de un cliente inal;m:ricoC 3a @ue nos interesa @ue la ausencia de un
a@uete no :lo@uee todo el sistema.
2.3.12.3.7 Pca+3dis+atc)
.irve ara caturar un n?mero determinado de a@uetes. 2uando se reci:e ese
n?mero de a@uetesC se eAecuta una funcin cu3o nom:re tam:i1n se introduce como
ar;metro de entrada. Esta funcin uede llamar a esta funcin sin necesidad de tener en el
:uffer el n?mero de a@uetes esta:lecido a la entrada.
Esta funcin uede funcionar en modo no :lo@ueante.
60
2.3.12.3.# Pca+3loo+
Esta funcin 3 la anterior son mu3 similares. &a diferencia :;sica radica en @ue esta
funcin no uede llamar a la funcin @ue se introduce como ar;metro de entrad 6asta @ue
catura el n?mero de a@uetes esecificado a la entrada. $l igual @ue caOne5tC no tra:aAa
en modo no(:lo@ueante.
2.' (lientes del &istema
Es necesario @ue los clientes @ue desean conectarse a la red inal;m:rica inclu3an
mecanismos o 6erramientas ara oder reali4ar la autenticacin :asada en IEEE 802.1%C
@ue ermita la autenticacin mediante E$/ 3 asigne claves 'E/ de una manera din;mica.
En este ro3ecto se 6an utili4ado dos 2lientes distintos> uno ara e@uios mviles
con sistema oerativo 'indo=s %/C 3 otro ara e@uios @ue utilicen &inu5 como sistema
oerativo.
.;.1 Windo%s *-
El roio 'indo=s %/ incorora las 6erramientas necesarias ara oder reali4ar una
cone5in inal;m:rica utili4ando IEEE 802.1%C inclu3endo la osi:ilidad de $utenticar
utili4ando E$/(0,5 o E$/(T&.. Es decirC se uede autenticar mediante login(ass=ord
8md59C o mediante certificados 8tls9. Tiene como inconveniente @ue no soorta el m1todo
de autenticacin E$/(TT&. or si mismo.
En este casoC lo ?nico @ue se de:e 6acerC es configurar la cone5in inal;m:rica e
instalar los certificados. Este roceso es :astante sencillo. ,e todas formasC en uno de los
ane5os se detalla todo este roceso de una manera m;s detallada 8ver 49.
.;. *supplicant
%sulicant es el cliente de este sistema ara &inu5 :asado en el ro3ecto oen15.
Es un cliente @ue actualmente se encuentra en desarrolloC or lo @ue la documentacin es
escasa 3 su configuracin :astante comlicada.
.oorta una gran cantidad de m1todos de autenticacin 8E$/(0,5C E$/(T&.C E$/(
TT&.C 27$/C &E$/Q9.
.e 6an utili4ado varias versiones de esta 6erramienta con las @ue 6an surgido una
gran cantidad de ro:lemas. )inalmenteC 3 cuando se esta:a tra:aAando con la versin
2B.C u:licaron una nueva versin esta:le con una documentacin :astante detallada.
,e todas formasC a continuacin se indica la manera en la @ue se uede o:tener la
versin cvs>
cvs -z3 -d:pserver:anonymous@cvs.sourceforge.net:/cvsroot/open1x co xsupplicant
61
Si en algn momento se pide el password, se presiona enter. As se obtiene el archivo
xsupplicant.tgz, que es la versin CVS de este paquete.
$ntes de instalar la versin @ue se 6a utili4ado finalmenteC se estuvo tra:aAando con
la versin 2B.C 3 aun@ue da:a m;s ro:lemasC se descu:ri @ue el driver de la tarAeta
inal;m:rica no soorta:a la asignacin de claves 'E/ de una manera dim;micaC or lo
@ue era necesario arc6ear este driver. )inalmente se 6an utili4ado dos arc6es diferentesC
uno ara osi:ilitar @ue la tarAeta ueda tra:aAar con 'E/ din;micasC 3 el otro ara
des6a:ilitar el modo romiscuo de la tarAeta L 0F.
El d!a 15 de AunioC se colg de la ;gina ===.oen15.org la nueva versin de
%sulicantC Aunto con una documentacin :astante interesante. .e decidi entonces
instalar est; nueva versin de %sulicant @ue funciona correctamente. $ continuacin se
detalla el roceso @ue se 6a seguido ara instalarC tanto los arc6es necesariosC como la
nueva versin de %sulicant>
.;..1 Instalacin de *supplicant
El directorio de instalacin ser;> 9"ir:base:cliente9o#en13 donde ,irO:aseOcliente
uede ser sustituido or lo @ue al instalador le convenga.
[root@pfc05 open1x]# tar zxvf xsupplicant-1.0.tar.gz
[root@pfc05 open1x]# configure --prefix=/Dir_base_cliente/open1x
2omo se 6a comentadoC es necesario oner dos arc6es al driver Orinoco @ue utili4a
la tarAeta inal;m:rica @ue se utili4a en este rototio>
[root@pfc05 open1x]# tar zxvf orinoco-0.13e.tar.gz
[root@pfc05 open1x]# patch -p0 < /xsupplicant/drivers/Linux/ rekey_patch_orinoco-0.13e
[root@pfc05 open1x]# cd orinoco-0.13e
[root@pfc05 open1x]# patch -p0 < orinoco-no-promisc-patch
En este untoC si se eAecuta el maMe sin tener instaladas las fuentes del MernelC
aarecer; un mensaAe de error. $s! @ue es necesario instalar las fuentes del Mernel @ue se
ueden encontrar en los discos de la versin de &inu5 @ue se est1 utili4ando. .e est;
utili4ando red 6at * ara el cliente. En este casoC las fuentes se encuentran en el disco
n?mero 2.
[root@pfc05 open1x]# rpm -i kernel-source.rpm
.e 6an instalado los tres rm(s referentes al MernelC ero con instalar el arri:a
indicado es suficiente. $6oraC no de:e dar ning?n ro:lema.
62
.;.. ,on"iguracin
En los arc6ivos de configuracin de %sulicant se esecifica el funcionamiento de
%sulicant. .e esecifica la red a la @ue se de:e conectarC el tio de esta redC si esta es
al;m:rica o inal;m:ricaC etc. Tam:i1n se configura el m1todo de autenticacin @ue se va a
utili4ar en el roceso de autenticacin.
/ara configurar el interfa4 inal;m:rico 3 eAecutar %sulicant se utili4a el siguiente
scrit.
run(tls
#!/bin/bash
# Configuracin del interfaz inalmbrico y lanzamiento de Xsupplicant
ifconfig eth1 up
# ifconfig eth1 10.0.0.16
iwconfig eth1 "essid tlm.unavarra.com
iwconfig eth1 key 00000000000000000000000000
# Xsupplicant
/Dir_base_cliente/open1x/xsupplicant/sbin/xsupplicant c tls.conf i eth1 d 6
El rimer comando activa el interfa4 et61 @ue es el @ue se va a utili4ar ara reali4ar
la cone5in inal;m:rica. El segundo le one una direccin I/ al interfa4C ero aarece
comentado or@ue se desea @ue la direccin I/ sea asignada din;micamente or el sistema
mediante ,72/. En cual@uier casoC se 6a uesto una direccin cual@uiera dentro del
intervalo @ue nos interesa:a ara 6acer las rue:as ertinentes.. &a tercera l!nea le indica al
interfa4 inal;m:rico el essid de la red inal;m:rica a la @ue se desea acceder. )inalmenteC se
le one una Me3 al interfa4 con el ?nico rosito de activar el cifrado de la transmisin de
datos inal;m:rica.. El roceso de autenticacin se encarga osteriormente de oner las
llaves adecuadas.
-na ve4 configurado el interfa4 inal;m:ricoC se eAecuta el comando necesario ara
activar el cliente %sulicantC indic;ndole el fic6ero de configuracinC el interfa4
inal;m:rico @ue de:e utili4ar 3 el nivel de de:ug.
.;..4 #rchivos de con"iguracin de *supplicant
$ continuacinC se ueden o:servar los diferentes tios de arc6ivos de configuracin
@ue se 6an utili4ado. El arc6ivo ser; diferente en funcin del tio de autenticacin @ue se
utilice.
2.4.2.3.1 =AP>1:5
Este rimer arc6ivo de configuracin es el @ue se utili4a en caso de reali4ar la
autenticacin denominada E$/(md5.
md5.conf>
# This is an example configuration file for xsupplicant versions after 0.8b.
### GLOBAL SECTON
# network_list: defines all of the networks in this file which
# should be kept in memory and used.Comma delimited list or "all"
# for keeping all defined configurations in memory. For efficiency,
6#
# keep only the networks you might roam to in memory.
# To avoid errors, make sure your default network is always
# in the network_list. n general, you will want to leave this set to
# "all".
network_list = tlm.unavarra.com
#network_list = default, test1, test2
# default_netname: some users may actually have a network named "default".
# since "default" is a keyword in the network section below, you can
# change which is to be used as the replacement for this keyword
default_netname = tlm.unavarra.com
#default_netname = my_defaults
# n the startup_command, first_auth_command, and reauth_command you can
# use "%i" to have xsupplicant fill in the interface that is being used.
# This allows a single network profile to work across different wireless
# cards.
# startup_command: the command to run when xsupplicant is first started.
# this command can do things such as configure the card to associate with
# the network properly.
startup_command = <BEGN_COMMAND>echo "Xsupplicant en modo md5 en
ejecucin..."<END_COMMAND>
# first_auth_command: the command to run when xsupplicant authenticates to
# a wireless network for the first time. This will usually be used to
# start a DHCP client process.
first_auth_command = <BEGN_COMMAND>dhclient %i<END_COMMAND>
# reauth_command: the command to run when xsupplicant reauthenticates to a
# wireless network. This may be used to have the dhcp client rerequest
# it's P address.
reauth_command = <BEGN_COMMAND>echo "authenticated user
%i"<END_COMMAND>
# When running in daemon, or non-foreground mode, you may want to have the
# output of the program. So, define a log file here. Each time XSupplicant
# is started, this file will be replaced. So, there is no need to roll the
# log file.
logfile = /root/client/xsupplicant.log
# The auth_period, held_period, and max_starts modify the timers in the state
# machine. (Please reference the 802.1X spec for info on how they are used.)
# For most people, there is no reason to define these values, as the defaults
# should work.
#auth_period = 30
#held_period = 30
#max_starts = 3
# Defining an interface in "allow_interfaces" will bypass the rules that
# xsupplicant uses to determine if an interface is valid. For most people
# this setting shouldn't be needed. t is useful for having xsupplicant
# attempt to authenticate on interfaces that don't appear to be true
# physical interfaces. (i.e. Virtual interfaces such as eth0:1)
64
#allow_interfaces = eth0, wlan0
# Defining an interface in "deny_interfaces" will prevent xsupplicant from
# attempting to authenticate on a given interface. This is useful if you
# know that you will never do 802.1X on a specific interface. However,
# allows will take priority over denies, so defining the same interface in
# the allow_interfaces, and deny_interfaces will result in the interface
# being used.
#deny_interfaces = eth1
### NETWORK SECTON
# The general format of the network section is a network name followed
# by a group of variables.
# Network names may contain the following characters: a-z, A-Z, 0-9, '-',
# '_', '\', '/'
# Those interested in having an SSD with ANY character in it can use
# the ssid tag within the network clause. Otherwise, your ssid will
# be the name of the network.
## The default network is not a network itself. These values are
## the default used for any network parameters not overridden
## in another section. f it's not in your network configuration
## and not in your default, it won't work!!
tlm.unavarra.com
{
# type: the type of this network. wired or wireless, if this value is not
# set, xsupplicant will attempt to determine if the interface is wired or
# wireless. n general, you should only need to define this when
# xsupplicant incorrectly identifies your network interface.
type = wireless
# wireless_control: f this profile is forced to wired, this will not do
# anything. However, if the interface is forced, or detected to be wireless
# XSupplicant will take control of re/setting WEP keys when the machine
# first starts, and when it jumps to a different AP. n general, you won't
# need to define, or set this value.
wireless_control = yes
# allow_types: describes which EAP types this network will allow. The
# first type listed will be requested if the server tries to use something
# not in this list.
# allow_types = eap_tls, eap_md5, eap_gtc, eap-otp
allow_types = eap_md5
# identity: what to respond with when presented with an EAP d Request
# Typically, this is the username for this network. Since this can
# be an arbitrary string, enclose within <BEGN_D> and <END_D>
identity = <BEGN_D>student1@tlm.unavarra.com<END_D>
# Force xsupplicant to send it's packets to this destination MAC address.
# n most cases, this isn't needed, and shouldn't be defined.
#dest_mac = 00:aA:bB:cC:dD:eE
eap-md5
{
username = <BEGN_UNAME>@tlm.unavarra.com <END_UNAME>
65
password = <BEGN_PASS>client<END_PASS>
}
}
Este rimer arc6ivo de configuracin est; enteroC tal 3 como viene en el a@uete de
%sulicant. &o ?nico @ue se 6a 6ec6o 6a sido reali4ar los cam:ios necesarios ara @ue
funcione en nuestro sistema. En los siguientes arc6ivos se 6an eliminado las artes
redundantes @ue est;n comentadas.
2.4.2.3.2 =AP>89S
Este arc6ivo es el @ue se 6a utili4ado en el caso de la autenticacin E$/(T&..
tls.conf>
startup_command = <BEGN_COMMAND>echo "Xsupplicant en modo TLS en
ejecucion..."<END_COMMAND>
%i"<END_COMMAND>
logfile = /root/open1x/cliente/xsupplicant.log
### NETWORK SECTON
tlm.unavarra.com
{
type = wireless
allow_types = eap_tls
eap_tls
{
user_cert = /Base_dir1certs/student1.pem
user_key = /Base_dir1certs/ student1-key.pem
user_key_pass = <BEGN_PASS>client<END_PASS>
root_cert = /Base_dir1certs/root.pem
crl_dir = /Base_dir1certs/crl
chunk_size = 1398
random_file = /Base_dir1certs/random
session_resume = yes # esto permite retomar una conexin sin la necesidad de tener
que realizar nuevamente todo el proceso de autenticacin. As, todo resulta ms
eficiente y rpido. Ver anexo4.
}
}
En este casoC no se le indica a %sulicant ning?n login ni contraseHaC 3a @ue en este
caso en el @ue se utili4a T&.C la autenticacin se reali4a mediante certificados. /or lo tantoC
lo @ue se le indica a %sulicant es la locali4acin de los dos certificados @ue necesita ara
66
la autenticacin E$/(T&.C @ue son root.em 3 el certificado clienteC @ue en este caso 3 a
modo de eAemlo se 6a denominado student1.
2.4.2.3.3 =AP>889S
$rc6ivo de configuracin de %sulicant ara autenticacin E$/(TT&..
ttls.conf>
startup_command = <BEGN_COMMAND>echo "Xsupplicant TTLS en
ejecucion..."<END_COMMAND>
%i"<END_COMMAND>
logfile = /root/client/xsupplicant.log
### NETWORK SECTON
tlm.unavarra.com
{
type = wireless
allow_types = eap_tls
eap-ttls
{
# As in tls, define either a root certificate or a directory
# containing root certificates.
root_cert = /root/client-fuentes/root.pem
#root_dir = /path/to/root/certificate/dir
crl_dir = /root/client-fuentes/crl
chunk_size = 1398
random_file = /root/client-fuentes/random
cncheck = <cn of root.pem> # Verify the server certificate
# has this value in it's CN field.
cnexact = yes
session_resume = yes
# phase2_type defines which phase2 to actually DO. You
# MUST define one of these.
phase2_type = chap
## These are definitions for the different methods you might
## do at phase2. only the one specified above will be used
## but it is valid to leave more than one here for convenience

chap
{
username = <BEGN_UNAME>studen1@tlm.unavarra.com<END_UNAME>
password = <BEGN_PASS>client<END_PASS>
}
}
}
6"
En este casoC no se utili4a un certificado clienteC as! @ue ?nicamente es necesario
esecificar la direccin donde se encuentra el certificado root.em. Este certificado se
utili4a ara autenticar al unto de acceso 3 crear un t?nel T&. mediante el @ue se reali4a
una autenticacin de segundo nivel. Es or esto @ue se le de:e indicar el tio de
autenticacin de segundo nivel o fase. En este caso se 6a utili4ado 27$/C la cual re@uiere
la esecificacin de login 3 ass=ordC ero uede utili4arse cual@uier otra comati:le.
Tam:i1n es necesario indicarle el DcnE del certificado root.em.
.;.4 Wire1x
'ire15 es un cliente @ue se suoneC es comati:le tanto con &inu5 como con
diferentes versiones de =indo=s 3 est; :asado en oen15 al igual @ue %sulicant. ,e
todas formasC se 6a intentado tra:aAar con esta 6erramienta :aAo 'indo=s %/ ara oder
reali4ar la autenticacin utili4ando E$/(TT&. ero no se 6a conseguido @ue funcionara
correctamente. )inalmente se 6a otado or @uedarnos con los dos clientes anteriores.
Esta es la aariencia de la ventana
rincial del interfa4 de usuario de 'ire
15 ara 'indo=s %/.
$@u! se elige el tio de autenticacin
E$/ @ue se va a utili4ar.
$ modo de eAemloC se 6a uesto la
ventana concerniente a E$/(TT&.C en la
@ue se uede o:servar @ue ide los mismos
ar;metros @ue los @ue anteriormente se
6an tenido @ue configurar mediante los
arc6ivos de configuracin de %sulicant.
.er!a interesante de cara a futuroC
seguir la evolucin de esta 6erramienta.
Figura 28 @ 25: 0ire 1$. Inter!a4 de Bsuario.
68
4 -rue)as del Sistema #W!#S
-na ve4 instalado todo el sistema $'N$. correctamenteC es desea:le comro:ar su
correcto funcionamiento. /ara estoC se 6an reali4ado una serie de rue:as con el o:Aetivo
de monitori4ar el comortamiento del sistema $'N$.C as! como ara monitori4ar el
comortamiento de la red.
El escenario con el @ue se 6an llevado las rue:as se comone de>
El sistema $'N$..
2onAunto de clientes %sulicant con erfil de rofesor.
2onAunto de clientes %sulicant con erfil de estudiante.
-n generador de tr;fico DierfE en una m;@uina colocada en la red en la @ue
el sistema $'N$. tiene un interfa4.. &a m;@uina con la @ue se van a reali4ar
las rue:asC es la m;@uina fc06 3 su I/ es 1.1.1.156. 2omo se 6a comentado
en el aartado 2.#.1C esta m;@uina no uede llegar 6asta nuestros clientes
=!relessC a menos @ue se le onga una ruta esec!fica ara el dominio de la
red inal;m:rica. Esto es lo @ue se 6a reali4ado. .e le 6a introducido una ruta
or defecto @ue aunta al interfa4 @ue tiene el sistema $'N$. en la red del
la:oratorio8)igura *9. $s!C s! @ue odr; comunicarse con los clientes
inal;m:ricos 3 se ueden reali4ar las rue:as.
route add default gw 1.1.1.155
No se 6a colocado clientes 'indo=s ara reali4ar las rue:as de tr;fico or@ue las
6erramientas de generacin de tr;fico @ue se 6an utili4ado corren :aAo &inu5C aun@ue esta
misma 6erramienta est; tam:i1n disoni:le ara 'indo=s.
&as rue:as 6an consistido en generar diferentes tios 3 velocidades de tr;fico ara
monitori4ar los ar;metros @ue eran interesantes reali4ando una catura del tr;fico en la
seccin inal;m:rica 3 otra en la seccin de salida o ca:leada.
Figura "0: *aptura del tr!ico utili4ado para reali4ar las pruebas.
6*
3.1 ier"
Es el generador de tr;fico @ue se 6a emleado ara reali4ar las rue:as L 0F.
&a versin con la @ue se 6a tra:aAado es Dierf(1.".0E. .e 6a utili4ado un a@uete
:inario @ue funciona correctamente tras un DU tar 45vf ierf(1.".0(&inu5(2.1.tar.g4E.
Ociones m;s interesantes>
$ ./iperf [-s | - c host] {options}
Se le debe indicar a iperf si acta como servidor (-s), o si lo hace como cliente (-c host), en
cuyo caso se le debe indicar el host al que le debe mandar el trfico que va a generar.
-s: modo servidor.
-c: modo cliente.
-u: trfico UDP.
-t: tiempo de generacin de trfico.
-b: velocidad de transmisin o ancho de banda
Servidor iperf:
$ ./iperf s para trfico TCP
$ ./iperf s u para trfico UDP
Cliente iperf:
$ ./iperf c 1.1.1.156 t <tiempo> para trfico TCP
$ ./iperf c 1.1.1.156 u t <tiempo> -b velocidad para trfico UDP
3.2 )onitori*acin de las ruebas
Era necesario reali4ar una :uena monitori4acin de las rue:as con el o:Aetivo de
oder o:servar fidedignamente el comortamiento de la red inal;m:rica. $un@ue de so:ra
es conocido @ue e5isten 6erramientas mu3 otentes ara reali4ar estas oeracionesC como
uede ser Et6erealC se 6a otado or desarrollar las 6erramientas necesarias ara reali4ar
estas funciones. /or lo tantoC se 6a desarrollado un caturador de tr;fico @ue introduce los
datos de los a@uetes @ue catura en un arc6ivoC 3 una 6erramienta @ueC con los arc6ivos
de las caturas de los dos interfaces de redC reali4a un rocesado ara finalmente mostrar
una gr;fica con un 4oom o detalle tam:i1n introducido como ar;metro de entrada.
2omo en el caso de las funciones @ue utili4a el sistema ara caturar el rimer
a@uete de un cliente ara o:tener su direccin I/C el caturador de tr;fico utili4a la li:rer!a
DcaE ara reali4ar este tra:aAoC ero en este caso el roceso tra:aAa en modo :lo@ueanteC
3a @ue lo ?nico @ue interesa en este caso es @ue cature a@uetes.
&a 6erramienta de monitori4acin de las rue:as se 6a incororado a la interfa4
'EG del sistema como un aartado m;s de la monitori4acin. 2omo se 6ace en la
monitori4acin del sistemaC las gr;ficas se reali4an utili4ando la 6erramienta DgnulotE
L 0F.
"0
3.3 +r"ico ,D-
/rimeramente se 6an reali4ado una serie de rue:as @ue tienen como o:Aetivo ver el
comortamiento de la red ante tr;fico -,/.
4.4.1 #ncho de )anda de la red InalFm)rica
El o:Aetivo de esta rue:a es determinar la velocidad m;5ima de transmisin @ue
soorta la red inal;m:rica. /ara elloC se 6a utili4ado el es@uema @ue se uede o:servar en
la )igura #1. .e 6a colocado un ?nico cliente @ue genera tr;fico -,/ a la m;5ima
velocidad osi:le. $s!C ser; la roia red inal;m:rica la @ue imonga la m;5ima velocidad
de transmisin o anc6o de :anda. .e 6an desactivado todas las limitaciones @ue el sistema
uede imoner arar @ue no altere el comortamiento de la red.
Figura "1: .rueba para deterinar al Cio ancho de banda de la red inalbrica.
El cliente 6a generado tr;fico -,/ a la m;5ima velocidad osi:le durante 200
segundos.
&os resultados 6an sido los siguientes>
;' medio A 6B2*4 -b#s
;$tes #erdidos A 0
Ar!ico 1: -ncho de banda de la red inalbrica.
"1
.e uede afirmar @ue el anc6o de :anda m;5imo @ue alcan4a esta red inal;m:rica en
las condiciones en las @ue se est; tra:aAando es de 6C# 0:s. 2omo se odr; comro:ar en
rue:as osterioresC este anc6o de :anda deende del tio de tr;fico 3 del n?mero de
clientes @ue 6a3a conectados en la red inal;m:rica. $s!C en ocasiones se uede suerar este
anc6o de :andaC aun@ue de manera no mu3 significativa. .e dar; or :ueno este valor
m;5imo calculado.
4.4. ."ecto del trF"ico en la red inalFm)rica en el retardo
En ocasionesC tan imortante como el anc6o de :anda es el Aitter 3 retardo del tr;fico.
/or esta ra4nC se 6a reali4ado una rue:a @ue trata de o:servar el efecto @ue tiene el
tr;fico de la red inal;m:rica en el retardo 3 Aitter de los a@uetes.
/ara reali4ar la rue:a se 6a utili4ado el famoso ing. .e 6an enviado a@uetes I20/
6aciendo ing ara medir el retardo 3 el Aitter. &a rue:a 6a consistido en reali4ar un ing
de 50 a@uetes ara diferentes niveles de congestin de la red inal;m:rica. 2on este
rositoC un cliente se 6a encargado de generar el tr;ficoC 3 otro se 6a encargado de
generar los ing.
/r%ico de la red
inalmbrica C-b#sD
Retardo medio del #in@ CmsD Eitter CmsD
0 2C"*6 0C0*4
0C8 #C0"4 0C545
1C6 #C#86 0C"2#
2C4 #C6"5 0C"11
#C2 5C201 1C62"
4 4C#*4 0C*12
4C8 5C2*" 2C*54
5C6 6C"6 4C2*8
6C4 6C#0" 2C0"*
Tabla &: Retardo @ 6itter del ping.
3etardo del ping
0
1
2
3
4
5
6
7
8
0 1 2 3 4 5 6 7
trF"ico en la red inalFm)rica 5')ps6
t
i
e
m
p
o

5
m
s
6
Ar!ico 2: Retardo del ping.
"2
Harian$a del retardo del ping
0
1
2
3
4
5
0 1 2 3 4 5 6 7
1rF"ico de la red inalFm)rica 5')ps6
t
i
e
m
p
o

5
m
s
6
Ar!ico ": Darian4a del retardo o 6itter del ping.
2omo se uede o:servarC el retardo de los a@uetes aumenta conforme aumenta el
tr;fico en la red inal;m:rica. Esto es lgicoC 3a @ue conforme aumenta el tr;fico en la redC
el n?mero de colisiones entre a@uetes es ma3orC or lo @ue el retardo de estos tiende a
elevarse. $s! mismoC tam:i1n se ve un aumento en el AitterC aun@ue la varia:ilidad de los
datos o:tenidos 6a sido :astante elevada. Esta varia:ilidad uede ser de:ida a la falta de
recisin de reloA de &inu5C @ue da ro:lemas ara recisiones inferiores a 10 msC @ue es el
rango en el @ue se mueven los datos o:tenidos. -na :uena ocin ara reali4ar un estudio
m;s detallado ser!a aumentar la recisin de este reloA.
4.4.4 &os clientes7 1 pro"esor y 1 cliente
En este segundo escenario se utili4an dos clientes inal;m:ricos ara generar tr;fico.
Figura "2: Es'uea de prueba de Tr!ico B<. con dos clientes.
4.4.4.1 'Fxima velocidad posi)le sin limitaciones
/oniendo los dos clientes a generar el m;5imo tr;fico osi:le sin ninguna limitacin
or arte del sistemaC se o:tiene un m;5imo anc6o de :anda de 6C480 0GC @ue suera un
oco la medida del anc6o de :anda m;5imo @ue se 6a o:tenido en la rue:a anterior.
"#
4.4.4. 9imitacin del ancho de )anda por per"iles
En este casoC se trata de comro:ar el funcionamiento de la limitacin @ue se imone
desde el sistema de m;5imo anc6o de :anda or usuario de cada erfil. /ara estoC se one
el m;5imo anc6o de :anda del rimer erfilC es decirC el de los rofesores a 512 M:sC 3 el
del segundo erfilC o estudiantes a 128 M:s. En las siguientes gr;ficas se uede o:servar
@ue realmente se aAusta el tr;fico saliente a estas limitaciones. 2omo se est; tra:aAando con
tr;fico -,/C el e5ceso de tr;fico se elimina.
Ar!ico &: Tr!ico del prier per!il.
Ar!ico ): Tr!ico del segundo per!il.
2omo se uede o:servarC los dos filtros act?an correctamenteC imidiendo @ue
ninguno de los dos clientes suere su m;5imo anc6o de :anda asignado or el sistema
$'N$..
4.4.; ,uatro clientes7 todos del mismo per"il
En esta rue:aC se 6a tra:aAado con cuatro clientes del mismo erfil. .e 6an reali4ado
varias rue:as distintas en este escenario.
Todo el tr;fico 6a sido generado or los clientes. 2omo se uede o:servar en las
diferentes gr;ficas @ue aarecen a continuacinC los clientes 6an ido generando el tr;fico
uno detr;s de otro 3 deAando un tiemo suficiente ara oder o:servar el comortamiento
de la red con cada n?mero de clientes.
Servidor iperf: P : 1.1.1.156 ./iperf s u
Clientes: Trfico UDP a 2 Mbps
BW max/clt: 512 kbps
"4
Red:
&a gr;fica @ue uede o:servar a continuacin muestra el tr;fico total @ue 6a3 en cada
e5tremo de la red. Out se refiere a la red e5terna o ca:leadaC e in se refiere a la inal;m:rica.
Ar!ico /: Tr!ico de la red.
Cliente 1: P: 10.0.0.29 ./iperf c 1.1.1.156 u t 1000 b 2000k
Ar!ico 3: Tr!ico del prier cliente.
Ar!ico 8: Tr!ico del segundo cliente.
"5
Ar!ico 5: Tr!ico del tercer cliente.
Ar!ico 10: Tr!ico del cuarto cliente.
El tr;fico de cada cliente es filtrado adecuadamente de acuerdo con la regla de
m;5imo anc6o de :anda or cliente @ue est; esta:lecido en 512 M:s. Todos los clientes
tienen esa tasa de salida. En cuanto al tr;fico interno de la red inal;m:ricaC se mantiene de
acuerdo al tr;fico generado or los clientes 6asta @ue alcan4a su m;5imo anc6o de :anda.
$ artir de este untoC el tr;fico interno @ueda limitado or ese m;5imo 3 cada cliente deAa
se tener sus 2 0:s @ue envia:a en un rinciio. .e ierde la linealidad del tr;fico interno
o inal;m:rico.
2on tanto tr;ficoC la tasa de colisiones tiene @ue ser :astante alta.
En el segundo ensa3oC se 6a elevado el anc6o de :anda m;5imo or cliente ara
o:servar el comortamiento de la red cuando el m;5imo anc6o de la red inal;m:rica se
alcan4a antes de alcan4ar el m;5imo anc6o de :anda or cliente en todos los clientes.
Servidor iperf: P : 1.1.1.156 ./iperf s u
Clientes: Trfico UDP a 2 Mbps
BW max/prof: 2,5 Mbps
BW max/prof: 2 Mbps
"6
Red:
Ar!ico 11: Tr!ico la red inalbrica.
Ar!ico 12: Tr!ico del prier cliente.
Ar!ico 1": Tr!ico del segundo cliente.
""
Ar!ico 1&: Tr!ico del tercer cliente.
Ar!ico 1): Tr!ico del cuarto cliente.
En este casoC el tr;fico filtrado en un rinciio es nulo 3a @ue el rimer cliente tiene
un m;5imo anc6o de :anda de 2C5 0:sC el cual es inferior al tr;fico @ue est; cursando.
.in em:argoC cuando se conecta el segundo clienteC el sistema comien4a a desec6ar algo de
tr;fico. Esto sucede de:ido a @ue el segundo cliente genera un tr;fico de 2 0:sC ero se
de:e tener en cuenta @ue la 6erramienta ierf genera 2 0:s de -,/C or lo @ue la tasa en
la caa de enlace o et6ernet ser; suerior. Esta cantidad de m;s es la @ue 6ace @ue se
sueren los 2 0:sC @ue al suerar el m;5imo anc6o de :anda or cliente de este segundo
erfilC es filtrada.
2uando entra en Auego el cuarto clienteC se suera el anc6o de :anda de la red
inal;m:rica 3 el tr;fico de cada cliente :aAaC rearti1ndose entre todos los clientes. $ artir
de este momentoC como se uede o:servar en el Ir;fico 11C no 6a3 ning?n tio de filtrado
or arte del sistema 3a @ue no se alcan4a ning?n m;5imo. &a limitacin est; imuesta
e5clusivamente or el anc6o de :anda de la red inal;m:rica.
"8
3.' +r"ico +(-
7asta a@u!C todas las rue:as 6an sido reali4adas utili4ando tr;fico -,/. En esta se
utili4a tr;fico T2/ ara o:servar el comortamiento de la red :aAo estas condiciones.
T2/ es un rotocolo de transorteC @ue al contrario @ue -,/C controla el fluAo de
datos adat;ndose a los osi:les cuellos de :otella @ue se uedan encontrar en el recorrido
de dic6o tr;fico. $s!C el tr;fico filtrado o desec6ado or saturacin de alg?n cuello de
:otella se minimi4a.
4.;.1 1rF"ico 1,- con un Inico cliente
.e 6a utili4ado el escenario 3a utili4ado anteriormente en la rimera rue:a @ue se 6a
reali4ado anteriormente con -,/. .e 6a utili4ado un ?nico cliente 3 un servidor ierf.
Figura "" Es'uea de la prueba T*. con un %nico cliente.
El o:Aetivo de esta rue:a es o:servar el comortamiento del sistema ante tr;fico
T2/. /ara conseguirloC se 6an reali4ado caturas del tr;fico ara diferentes m;5imos
anc6os de :anda or cliente.
BWmax-perfil = 128 kbps
Ar!ico 1/: Tr!ico T*..
"*
Ar!ico 13: Tr!ico T*..
80
BWmax-perfil = sin limitacin
Ar!ico 21: Tr!ico T*.
.e o:serva como T2/ se intenta adatar al anc6o de :anda de la redC ero no termina
de conseguirloC 3a @ue se uede o:servar @ue el tr;fico desec6ado se mantiene m;s o
menos constante a lo largo del tiemo. Esto uede ser de:ido a @ue la cone5in T2/ se
reali4a entre m;@uinas colocadas mu3 cerca una de la otraC or lo @ue los tiemos de
retransmisin de los a@uetes no se calculan de manera correctaC retransmiti1ndose
constantemente a@uetes @ue son desec6ados or el filtro del sistema.
2on valores de m;5imo anc6o de :anda e@ueHosC como son los dos rimeros casosC
el tr;fico T2/ se mantiene en torno al m;5imo anc6o de :anda imuesto or el sistemaC
ero a medida @ue este anc6o de :anda va aumentandoC el tr;fico de salida aumentaC ero
no en la misma medida. ,e 6ec6oC el anc6o de :anda :aAa 6asta la mitad del m;5imo
anc6o de :anda m;5imo ermitido. EstoC sin em:argoC no ocurre en el caso en el @ue no
6a3 l!mite ninguno or arte del sistema. En este ?ltimo casoC el tr;fico se acerca :astante
al m;5imo anc6o de :anda de la red inal;m:rica.
.e ve como T2/ tiene un tr;fico de retorno o resuesta. T2/ va mandando $2Js 3
a@uetes @ue van informando al servidor de ar;metros distintos concernientes a la
cone5in T2/ 8$2JC tamaHo de la ventanaCQ9. /or lo tantoC 3 al contrario @ue en -,/C
e5iste un tr;fico @ue en rinciio no sirve ara enviar datos.
81
4.;. 1rF"ico 1,- con varios clientes
/rimero se 6a colocado el servidor ierf en la m;@uina 1.1.1.156 3 se 6an reali4ado
varias rue:as con tres 3 cuatro clientes simult;neamente.
4.;..1 1rF"ico 1,- desde servidor hacia clientes inalFm)ricos
Figura "&: Tr!ico T*. desde los clientes.
Ar!ico 22: Tr!ico por per!iles con los clientes coo destino.
Ar!ico 2": Tr!ico total en la red.
En este casoC el m;5imo anc6o de :anda del rimer erfil es de 2C5 0:sC mientras
@ue el del segundo erfil es de 2 0:s.
2omo se o:serva en el Ir;fico 2#C el tr;fico T2/ se adata :astante :ien a la
limitacin imuesta or la redC desec6;ndose mu3 oco tr;fico.
82
4.;.. 1rF"ico 1,- desde clientes inalFm)ricos hacia 1.1.1.1=>
En este casoC el tr;fico es generado or la m;@uina colocada en el la:oratorio con
direccin I/ 1.1.1.156.
Figura "): Tr!ico T*. desde 1.1.1.1)/
Ar!ico 2&: Tr!ico por per!iles con los clientes coo origen.
Ar!ico 2): Tr!ico total en la red.
&os m;5imos anc6os de :anda se 6an mantenido iguales @ue en el caso anterior. .in
em:argoC en este caso se uede areciar muc6o meAor los instantes en los @ue se incorora
cada cliente a la transmisin T2/.
/rimero comien4a la transmisin un ?nico cliente del rimer erfilC @ue como se
uede o:servar en el Ir;fico 25C ierde algo de tr;fico. /osteriormenteC se suma un
segundo cliente del segundo erfil. )inalmente se incororan otros dos clientesC uno de
cada erfil. Es en este momento cuando menos tr;fico se ierde.
8#
4.;.4 1rF"ico 1,- desde una mF8uina remota y le(ana
/ara oder o:servar como se adata T2/ a los osi:les cuellos de :otellaC es
interesante reali4ar una rue:a en la @ue 6a3a tr;fico T2/ entre dos untos no demasiado
cercanos entre s!C 3a @ue el estar demasiado cerca uede rovocar @ue no se 6aga una
:uena estimacin de tiemos de retrasmisin de a@uetesC evitando as! @ue el tr;fico se
adate de una manera adecuada al anc6o de :anda m!nimo.
/ara reali4ar esta rue:aC se 6a tenido @ue variar nota:lemente la configuracin del
sistema $'N$..
El sistema est; colocado dentro del la:oratorio de telem;tica 3 las cone5iones a
Internet se reali4an a trav1s de un ro53C or lo @ue si se @uere reali4ar una cone5in T2/
a larga distanciaC es necesario conectar es sistema a una direccin I/ ?:lica.
$l cam:iar las direcciones I/ del sistemaC se de:en adatar tam:i1n algunos
arc6ivos de configuracin. $ continuacin se detallan los cam:ios @ue se 6an reali4ado en
el sistema ara reali4ar esta rue:a.
4.;.4.1 ,on"iguracin del sistema con I- pI)lica
$ continuacin se muestran las direcciones I/ @ue se 6an utili4ado en el desrrollo de
esta rue:a>
Peth1: 130.206.169.224
Peth0: 130.206.169.225
PAP: 130.206.169.226
Pcliente: 130.206.169.227
3.4.3.1.1 Pro'>A0P
Es necesario @ue et61 6aga de ro53 $+/. $s!C et61 estar; comunicando a los dem;s
de @ue se uede llegar a la direccin 1#0.206.16*.22" a trav1s de 1l.
echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp
3.4.3.1.2 Actuali,acin de la con"i%uracin de los
inter"aces de red
[ ]# ifconfig eth1 130.206.169.224 netmask 255.255.240.0
[ ]# ifconfig eth0 130.206.169.225 netmask 255.255.240.0
[ ]# route add default gw <router_unavarra.> dev eth1
3.4.3.1.3 Actuali,acin de la tabla de rutas
+utas directas a los 6ost @ue est;n en la arte interna de la red>
[ ]# route add host 130.206.169.226 dev eth0
84
[ ]# route add host 130.206.169.227 dev eth0
3.4.3.1.4 Ada+tacin de los ser*idores :NS
KetcKresolv.conf>
Nameserver <dns_primario>
Nameserver <dns_secundario>
Nameserver <dns_terciario>
4.;.4. ,am)ios en la con"iguracin de #W!#S7
Es necesario cam:iar el arc6ivo client.conf del servidor freeradius(ro53C 3a @ue el
cliente asa a ser 1#0.206.16*.26C @ue es la nueva direccin del access oint. /or la misma
ra4n se de:e cam:iar la I/ del $/ en la :ase de datos donde se guardan los datos del $/.
3.4.3.2.1 Cambios en la con"i%uracin del +unto de acceso
.e de:e cam:iar la direccin I/ del unto de accesoC la direccin I/ del servidor de
autenticacin 3 router or defectoC @ue asa de 10.0.0.10 a 1#0.206.16*.25.
3.4.3.2.2 Cambios en la con"i%uracin del cliente
2omo se retende tra:aAar con I/ asignadas est;ticamenteC se ara el servidor ,72/
en el sistema 3 se comenta la l!nea del arc6ivo de configuracin de %sulicant referente a
d6cclient. Tam:i1n es necesario @ue el router or defecto del cliente sea 1#0.206.16*.25.
-na ve4 configurado el sistemaC se uede roceder a reali4ar la rue:a. Esta consiste
en :aAar un arc6ivo de gran tamaHo desde un servidor ara reali4ar el estudio del tr;fico
utili4ando diferentes limitaciones del m;5imo anc6o de :anda or usuario.
2ada rue:a consiste en :aAar el arc6ivo .tarOffice(".0.iso de la direccin
>tt#?99sunsite.rediris.es9)tarO%%iceK.
En la siguiente figura se muestra un es@uema del escenario so:re el @ue se 6an
reali4ado las rue:as>
85
Figura "/: Tr!ico T*. desde una 'uina reota.
El resultado de las rue:as reali4adas es el @ue sigue a continuacin. /ara cada anc6o
de :anda se muestra la gr;fica en la @ue se monitori4a el tr;fico descendente. &a diferencia
entre las 2 l!neas es el n?mero de :s desec6ados or el sistema al suerar el m;5imo
anc6o de :anda ermitido or este.
BWmax-perfil = 128 kbps troughputmedio-descendente = 110 kbps
Ar!ico 2/: Tr!ico T*..
86
Ar!ico 23 Tr!ico T*..
BWmax-perfil = 6 Mbps troughputmedio-descendente = 1,193 Mbps
Ar!ico "0 Tr!ico T*..
.e o:serva mu3 claramente @ue el tr;fico se adata al m;5imo anc6o de :anda
ermitidoC aun@ue se sigue erdiendo algo de tr;fico. El anc6o de :anda entrante al sistema
$'N$. var!a de un caso a otro de:ido a @ue T2/ controla el fluAo de tr;fico 3 evita @ue
8"
la red se sature o congestione de:ido a un e5ceso de tr;fico @ue va a ser desec6ado. En este
casoC T2/ s! tiene tiemo ara reali4ar una :uena estimacin de los tiemos de
retransmisinC or lo @ue la adatacin meAora nota:lemente.
$l igual @ue ocurr!a en la rue:a #.4.1C el tr;fico no sigue e5actamente la misma
din;mica @ue el m;5imo anc6o de :anda or usuario imuesto or el sistema. Es decirC si
el m;5imo anc6o de :anda or usuario se do:laC el tr;fico de la red aumentaC ero no se
do:la. Esto uede de:erse a diveras ra4onesC como ueden ser la falta de recisin del reloA
de &inu5C o el desec6ado de los a@uetes or r;fagas en lugar de desec6ar un a@uete de
cada n. En cual@uier casoC re@uerir!a un estudio m;s detallado.
En el caso de -,/C ara todos los valores del anc6o de :anda m;5imo or usuarioC el
tr;fico entrante al $'N$. 6a:r!a sido similarC con lo @ue el tr;fico erdido 6a:r!a sido
muc6o ma3or al igual @ue la congestin de la red.
-na de las contraartidas @ue se o:serva de T2/C es @ue el tr;fico ascendente es mu3
suerior al caso de -,/.
; ,onclusiones y l2neas "uturas
.e 6a desarrollado un sistema integrado @ue ermite una Iestin de la red
inal;m:rica de una manera sencilla 3 segura.
El sistema reali4a la autenticacin :asado en IEEE 802.1% 3 los m1todos de
autenticacin utili4ados 6an sido E$/(T&. 3 E$/(TT&.. .e 6a comro:ado el correcto
funcionamiento de am:os ara clientes &inu5C ero ara clientes 'indo=s %/ el sistema
slo funciona correctamente con el m1todo E$/(T&..
El sistema asigna claves 'E/ de una manera din;micaC or lo @ue la rivacidad de la
comunicacin meAora nota:lemente. .e 6an reali4ado rue:as ara verificar @ue las claves
var!an con el tiemo.
.e 6a imlementado un nuevo mecanismo @ue ermite conocer la direccin I/ de un
usuario mediante la catura del rimer a@uete I/ @ue el cliente env!a a la red. EstoC evita
tener @ue reali4ar esta tarea utili4ando un m1todo @ue deende del tio de unto de acceso
utili4adoC or lo @ue el sistema deAa de deender del tio de unto de acceso ara funcionar
correctamente. Esto le da fle5i:ilidad al rototio desarrollado.
.e 6a conseguido un sistema comati:le con clientes 'indo=s %/ 3 &inu5C lo @ue
da fle5i:ilidad al sistemaC 3a @ue en la actualidadC una gran ma3or!a de los otenciales
clientes de este tio de sistemas utili4an estos sistemas oerativos.
&a 6erramienta desarrollada uede resultar mu3 interesante a nivel comercial de:ido
a @ue ermite controlar el acceso a la red mediante m1todos ro:ustos 3 sencillos de utili4ar
ara el clienteC adem;s de oder asignar recursos a los clientes en funcin de los ermisos
de @ue disonga este cliente. Estas caracter!sticas son mu3 aconseAa:les en toda red
inal;m:rica dedicada a ofrecer servicio a cam:io de una retri:ucin.
88
.iguiendo con el caso de destinar el sistema a gestionar una red inal;m:rica ara
conseguir :eneficio econmicoC ser!a mu3 aconseAa:le evolucionar el interfa4C
consiguiendo un interfa4 todav!a m;s cmodo 3 comleto. .er!a de gran utilidad
incororar una 6erramienta de tarificacin ara facilitar el co:ro a los usuarios del sistema.
En lo @ue al desarrollo tecnolgico del sistema se refiereC 6a3 varias v!as @ue se
ueden seguir ara meAorar la 6erramienta.
-na l!nea de investigacinC uede ser la reali4acin de nuevas rue:as al sistema
ara otimi4ar su funcionamiento. .er!a conveniente reali4ar las rue:as necesarias ara
comro:ar el correcto funcionamiento del control de tr;ficoC 3 si es necesarioC cam:iar el
diseHo de las reglas de este control de tr;fico. En este ro3ecto se 6a comro:ado el
correcto comortamiento de las reglas de m;5imo anc6o de :anda ara cada usuarioC en el
caso de -,/C ero las rue:as reali4adas con tr;fico T2/ necesitan reali4arse con ma3or
recisin. $dem;sC no se 6an reali4ado las rue:as de la resuesta del sistema ante las
reglas de reserva de un cierto anc6o de :anda ara cada erfil. Es decirC no se 6a verificado
si el sistema es caa4 de reservar un anc6o determinado ara un erfil de una manera
efica4. .er!a interesante aumentar la recisin de reloA de &inu5 ara conseguir unos
resultados al reali4ara las rue:as m;s recisos. Esta l!nea consiste :;sicamente en
erfeccionar el sistema actual ara @ue tenga un funcionamiento m;s fino.
Otra v!a uede ser el reali4ar un estudio m;s e5tenso de la 6erramienta 'ire1%C @ue
actualmente no se 6a odido utili4ar. .e recuerda @ue esta 6erramienta est; en desarrollo 3
@ue actualmente da :astantes ro:lemas. .in em:argoC cuando funcione correctamente
ermitir;C seg?n sus creadoresC utili4ar el sistema indeendientemente del tio de sistema
oerativo del cliente. 'ire1% funciona tanto ara &inu5C como ara todas las ?ltimas
versiones de 'indo=s.
.i no se uede introducir 'ire1%C ser!a de gran inter1s desarrollar una 6erramienta
@ue facilitara la cone5in de los clientes &inu5. En la actualidadC toda la configuracin 3
eAecucin del rograma cliente .ulicante se reali4a desde l!nea de comandosC lo @ue es un
imedimento ara gente @ue no tenga cierto dominio de &inu5.
Teniendo en cuenta la evolucin @ue est;n teniendo las redes inal;m:ricasC es
necesario estar al corriente de las nuevas estrategias @ue se van desarrollando ara aortar
seguridad a las redes inal;m:ricas. $ctualmenteC arece @ue el futuro de las redes
inal;m:ricas se dirige 6acia la imlantacin de IEEE 802.11i @ue es un est;ndar @ue
introduce una caa entera dedicada a la seguridad. Este est;ndar se :asa en IEEE 802.1% 3
en versiones actuali4adas de encritacin @ue son una evolucin de la actual encritacin
'E/C or lo @ue odr!a interesar reali4ar un estudio de la osi:le imlantacin de esta
esecificacin en un futuro cercano.
8*
Bi)liogra"2a
IEEE 802.1X
E 0F Real 802.11 2ecurit@ 0I-FI .rotected -ccess and 802.11. Gon Edne@ and
0illia -. -rbaugh. Ed -ddison-0esle@.
Este li:roC es un li:ro @ue a:orda el ro:lema de la seguridad en redes inal;m:ricas
en toda su glo:alidad. Es mu3 interesante ara r;cticamente todos los untos de este
ro3ecto.
'I=I
E 0F 999.e-ad+ento.coHtecnologiaH9lan:intro.php
.unto de -cceso
E 0F 999.cisco.co
E
0F999.cisco.coHenHB2HproductsHh9H9irelessHps&)8Hproducts:data:sheet0518/a0080052
&3c.htl
En esta direccin se ueden ver las esecificaciones del unto de acceso $ironet #50
.eries de 2isco.
* +, !!!%#c-ne!s%cm.detalle%as#/sid01id0213da04254
/arjeta inalmbrica
E 0F 999.copa'.coHsupportH!ilesHhandheldsHusHdo9nloadH1033&.htl
R&"I0)
E 0F 999.!reeradius.org
Es la ;gina oficial de )reeradius. $@u! se uede o:tener todo lo necesario ara
utili4ar )reeradius> a@uete )reeradiusC documentacinC etcQ
E&1
E 0F 999.seguridadenlared.orgHprograsH2eguridadRedes0ireless.pd!
*0
E 0F 999.!reeradius.orgHdocHE2.T;2.pd!
E 0F 999.+irusprot.coHIdisse@.htl
E 0F rbirri.5online.!rHho9toHFreeradius:J:TT;2.htl
2"&1
E 0F 999.openldap.org
Es la ;gina oficial de Oenlda. $@u! se ueden o:tener los a@uetes necesarios
ara la instalacin de OenldaC 3 la documentacin necesaria.
* +, 999.sleer@cat.co
E 0F inter1&.unsl.edu.arH9iKiHsoporteHldap
O#enssl
E 0F 999.openssl.org
$@u! se uede encontrar todo lo necesario ara utili4ar Oenssl. .e uede :aAar el
a@uete oenssl @ue se necesiteC 3a sea esta:leC cvsC etcQ Tam:i1n 6a3 :astante
documentacin.
E 0F 999.openssl.orgHdocsHappsHC)05.htl
,ocumentacin en la @ue se 6ace una introduccin a la generacin de certificados.
.>.
E 0F 999.php.net
Es la ;gina m;s comleta so:re 6. $@u! se uede o:tener cual@uier versin de
6. $dem;s 6a3 una documentacin mu3 e5tensa @ue inclu3e un manual de
rogramacin en 6 mu3 comleto 3 sencillo de utili4ar.
&#ac>e
E 0F 999.apache.org
Es la ;gina oficial de $ac6e. .e uede o:tener tanto documentacin como
versiones de $ac6e.
Xsu##licant
E 0F 999.open1C.org
Es la ;gina oficial de %sulicant. $@u! se uede ad@uirir la versin de %sulicant
necesaria 3 una documentacin :astante comleta 3 reciente.
E 0F 999.snt.ut9ente.nlHhandleidingenH;inuC-0E.->o9toHC5/.htl
EAemlos de arc6ivos de configuracin de %sulicantC aun@ue con la
documentacin m;s reciente de ===.oen15.orgC esta se 6a @uedado desfasada.
E 0F 999.oreill@net.coHpubH9lgH&/0?.
En esta direccin se ueden o:tener uno de los arc6es necesarios ara el driver
Orinoco. Tam:i1n e5one las ra4ones or las @ue es necesario arc6ear este driver.
'indo5s X1
E 0F 999.cs.ud.eduHL+anopstH8021CHho9toH9epnotes.htl
"4+1
E 0F pacodebian.iespana.esHpacodebianHdhcp.htl
I#tables<Routin@
* +, ---.+ello.in"o?"ile,?"ire-all?i+tables.)tml@2
Tutorial de ita:les en castellano 3 :astante sencillo de entender.
1ca#
E 0F 999.tcpdup.org
*1
E 0F 999.cet.nau.eduHLc8H2ocKetHTutorialsHsection".htl
tc
* +, http:HHre.a.laHanHtcH
Tutorial de la 6erramienta DtcE.
I#er%
E 0F dast.nlanr.netH.ro6ectsHIper!Hiper!docs:1.3.0.htlMtuningudp
6nu+lot
* +, 999.gnuplot.in!o
* +,67e 892 encr'#tin algrit7m% 8SA :ata Securit'; inc
#nexos
#!.*O I. W.-7 Wired .8uivalent -rivacy
I.i. Introduccin
,urante los rimeros 5 aHos de vidaC IEEE 802.11 solo tuvo un m1todo definido ara
dar seguridad. Este se denomina 'E/C /rivacidad E@uivalente a 2a:le. 2onforme fueron
ad@uiriendo oularidadC las redes inal;m:ricas fueron llamando la atencin de la
comunidad @ue se dedica a la critograf!aC @ue r;idamente detecto los ro:lemas de la
t1cnica 'E/. $s!C a finales de 2001 era f;cil encontrar 6erramientas en Internet con las
@ue romer esta t1cnica de seguridad en oco tiemo. En todo casoC es meAor utili4ar esta
t1cnica @ue no utili4ar ningunaC 3 en algunos casos ser; suficiente ara evitar cierto tio de
ata@ues.
&a seguridad de 'E/ se :asa en confiar en @ue no se ueda o:tener la clave secreta
8Me39 de una manera sencilla. &a dificultad de @ue un atacante o:tenga la llave rivada
deende de la longitud de esta llave 3 de la frecuencia de renovacin de esta clave.
'E/ se auto sincroni4a ara cada mensaAe. 2ada a@uete @ue se env!a de:e ser
encritado indeendientemente a los dem;s. Esto significa @ue o:teniendo el a@uete 3 la
clave se o:tiene toda la informacin necesaria.
$ctualmenteC se utili4an claves de 128 :itsC aun@ue fuera del est;ndar.
En el est;ndar aarecen dos artes diferenciadas en lo @ue seguridad 'E/ se refiere.
&a rimera es la de autenticacinC 3 la segunda es la de encritacin. En cual@uier casoC la
*2
autenticacin @ue ofrece 'E/ es mu3 :;sica 3 mu3 f;cil de corromer. /ara autenticarC lo
@ue se 6ace es lo siguiente> el e@uio mvil reali4a una eticin de autenticacin al unto
de acceso 8$/9C 3 este le contesta con un desaf!o de autenticacin. El cliente o e@uio
mvil manda un nuevo mensaAe ro:ando @ue conoce la clave secreta. El unto de acceso
verifica estoC 3 en caso de ser correcto manda otro mensaAe de autenticacin e5itosa.
I.ii. -rivacidad
&a rivacidad es el o:Aetivo m;5imo de 'E/. &a rivacidad es solo una comonente
m;s de la seguridadC 3 uede @ue no sea necesariaC ero en el caso de las redes 'I()I es un
atri:uto mu3 desea:le.
I.iii. .ncriptacin
El algoritmo de cifrado 'E/ se utili4a tanto ara dar rivacidad como integridad de
datos mediante un algoritmo de encritacin :asado en +24 L 0F.
Figura "3: Es'uea de Encriptaci(n 0E..
En la )igura #"C se muestra el es@uema de la encritacin 'E/. El algoritmo de
integridad ?nicamente consiste en un 2+2 de #2 :its @ue se aHade al final de la trama
0$2. /ara el roceso de encritacin se utili4a como clave un secreto comartido or los
e5tremos 3 un vector de iniciali4acin 8IB9 @ue se concatena con esta clave comartida. El
resultado de esta oeracin se utili4a como DsemillaE ara el generador de n?meros
seudoaleatorios 8/+NI9C @ue genera una secuencia de :its de la misma longitud @ue la
trama 0$2 R 2+2. El cifrado es simlemente un %O+ entre las dos cadenas de :its @ue
se reali4a :it a :it.
I.iv. &esencriptacin
El roceso inverso @ue se reali4a ara o:tener la secuencia de datos original a artir
de los datos encritados se muestra en la )igura #8.
*#
Figura <=: Esquema del :escifrad ' revisi>n de integridad ?EP%
En el recetorC el vector de iniciali4acin 8IB9 se concatena nuevamente con la clave
comartidaC @ue es la misma clave @ue osee el emisorC o:teniendo as! la misma secuencia
seudoaleatoria. 2on esta secuencia se o:tiene nuevamente los datosC @ue si al reali4ar
nuevamente el 2+2 de estos datos o:tenidosC concuerda con el 2+2 reci:idoC se odr;
tener la certe4a de @ue los datos son los emitidos originalmente.
Este es@uema de encritacin es mu3 sencillo 3 no re@uiere una gran caacidad
comutacionalC ero tiene el inconvenienteC @ue se comenta en la introduccin de @ue no
aorta demasiada seguridadC 3a @ue la clave comartida es f;cilmente descifra:le.
&os sistemas actualesC como es el caso del sistema @ue se desarrolla en este ro3ectoC
utili4an claves 'E/C ero estas cam:ian eridicamenteC or lo @ue el nivel de seguridad
meAora nota:lemente.
#!.*O II. .xtensi)le #uthentication -rotocol 5.#-6
/rotocolo de autenticacin e5tensi:le.
II.i. Introduccin
E$/ es el rotocolo de autenticacin @ue utili4a IEEE 802.1% ara reali4ar la
autenticacin. En algunos asectosC se uede decir @ue E$/ funciona como un
reresentante de actores o actrices de cine. El agente es @uien resenta al director de la
el!cula 3 al actor o actri4. /osteriormente se @ueda aarte ara @ue las dos artes uedan
6a:larC 3 finalmente vuelve a tomar la ala:ra ara cerrar la reunin. E$/ tiene una lista de
mensaAes @ue son usados ara reali4ar las introducciones 3 ara cerrar los di;logos. Estos
mensaAes son utili4ados or los diferentes m1todos de autenticacin esec!ficos. E$/ no se
encarga de la autenticacin roiamente dic6aC sino @ue 6a:ilita la comunicacin de una
manera est;ndar. &os mensaAes de los m1todos esec!ficos de autenticacinC los cuales
ueden ser roietarios o a:iertosC se suelen denominar mensaAes intermediosC 3a @ue se
env!an desu1s de la introduccin 3 antes del cierre.
&a ra4n or la @ue se denomina e5tensi:le a este rotocolo es @ue so:re este
rotocolo se uede imlementar cual@uier m1todo de autenticacin. .e uede utili4ar md5C
tlsC ttlsC eaC o cual@uier otro @ue ueda ir so:re E$/. Incluso nosotros odr!amos crear
un m1todo roio ara utili4ar so:re E$/. E$/ define unas normas est;ndar ara reali4ar
*4
la comunicacin de autenticacin 3 osi:ilita @ue los m1todos esec!ficos realicen su
la:or. /ara ello E$/ esecifica 4 tios de mensaAe.
0 8 16 #2
Tio Identificador &ongitud
,atos
Figura "5: Forato de ensa6e E-..
II.ii. 'ensa(es .#-
Falor (ombre "escri#cin
1 +e@uest
.e utili4a ara mandar mensaAes desde el
autenticador al sulicante
2 +esonse
.e utili4a ara mandar mensaAes desde el
sulicante al autenticador.
# .uccess
&o manda el autenticador ara indicar @ue el
acceso 6a sido acetado.
4 )ailure
&o manda el autenticador ara indicar @ue el
acceso 6a sido rec6a4ado.
Tabla ): #ensa6es E-.
Es el servidor de autenticacin el @ue genera el re@uestC successC o failureC 3 el unto
de acceso reenv!a ?nicamente el mensaAe al sulicante.
&os mensaAes +e@uest 3 +esonse se su:dividen mediante el camo de Tio E$/. El
camo de Tio indica @ue informacin es transortada or el mensaAe E$/. &os 6 rimeros
tios est;n definidos en el est;ndarC 3 todos los dem;s est;n reservados ara los m1todos
esec!ficos de autenticacin. El tio redefinido m;s imortante es el de Identificacin
8tioV19. T!icamente es utili4ado como arte de la introduccin de E$/. El servidor de
autenticacin manda el mensaAe E$/(+e@uestKIdentit3 al nuevo sulicanteC 3 este resonde
con el mensaAe E$/(+esonseKIdentit3 con la identidad 3 otros osi:les identificadores.
&os mensaAes de .uccess 3 )ailureC son mensaAes cortos @ue no contienen datos. -no
de estos dos mensaAes es el @ue se env!a al final como seHal de acceso concedido o
rec6a4ado. $l ser estos mensaAes m;s cortosC los untos de acceso ueden detectar el
momento en el @ue se comleta la autenticacin sin necesidad de conocer los detalles del
m1todo de autenticacin. El unto de acceso de:e eserar el mensaAe de acetacin
roveniente de +$,I-. o servidor de autenticacin. Esta caracter!stica ermite @ue los
m1todos de autenticacin sean transarentes ara el unto de acceso.
En la arte de datos es donde va toda la informacin de autenticacin.
2omo se aca:a de comentarC los tios ma3ores @ue 6 est;n reservados ara los
m1todos esec!ficos de autenticacin. En el caso de E$/(T&.C el camo de Tio vale 1#C
lo @ue significa @ue los mensaAes E$/ @ue tengan el camo de Tio con este valorC
transortan informacin del m1todo de autenticacin T&..
*5
En la ma3or arte de los casosC el camo de tio indica el m1todo de autenticacinC
ero en algunos casos se utili4a ara otros fines>
-ensaje de noti%icacin 8tioV29> este mensaAe se utili4a ara enviar te5tos
del tioC D/or favorC introduce la contraseHaE.
(&G 8tio V#9> este se utili4a ara indicar @ue el re@uest @ue se 6a reci:ido
conten!a un camo de Tio con un valor asociado a un m1todo de
autenticacin no soortado. Es decirC si el sulicante solo soorta E$/(T&. 3
reci:e un +e@uest con el Tio de E$/(TT&.C mandar; un N$J diciendo @ue
no entiende ese m1todo.
Identit$ 8tioV19> este tio uede ser considerado como mensaAe de rosito
esecialC o como un m1todo mu3 simle de autenticacin>
o E$/(Identit3 +e@uest 8desde el servidor de autenticacin9.
o E$/(Identit3 +esnse 8desde el sulicante9.
o E$/(.uccess 8desde el servidor de autenticacin9.
O:viamenteC este no es un :uen m1todo de autenticacin de:ido a @ue solo se :asa
en la comaracin de un login con las listas de usuarios ermitidosC ero uede ser
utili4ado en e@ueHas redes dom1sticas @ue no re@uieran seguridadC o or redes @ue
utilicen claves secretas re(esta:lecidas.
$l ser tomado Identit3 como m1todo comleto de autenticacinC cuando Identit3 es
utili4ado or cual@uier otro m1todo de autenticacinC se est;n utili4ando dos m1todos de
autenticacin en secuencia. $ esto se le denomina autenticacin en serie 3 significa @ue se
ueden utili4ar varios m1todos de autenticacin en cadena. Esta caracter!stica es mu3
interesanteC 3 ermite cosas como la autenticacin de la red or arte del sulicante antes
de revelar su roia identidad.
II.iii. &iFlogo .#-
Todos los di;logos E$/ tienen la misma estructura :;sica.
*6
Figura &0: <ilogo E-.
Todos los di;logos tienen la estructura @ue se muestra en la )igura 40. 2uando un
cliente @uiere conectarse a la redC env!a un E$/(start @ue inicia el di;logo. Entonces el
servidor de autenticacin le ide la identidadC a lo @ue el cliente le resonde con un
mensaAe en el @ue le env!a la identidad. $ artir de este untoC se deAa la conversacin en
manos del m1todo esec!fico de autenticacin @ue se encargar; de reali4ar las oeraciones
necesarias ara reali4ar la autenticacin. Este roceso se reali4a mediante mensaAes
+e@uest 3 +esonse. )inalmenteC el servidor de autenticacin env!a el .uccess si la
autenticacin 6a sido e5itosaC 3 un )ailure si 6a resultado negativa.
II.iv. .#-O9
&a +)2 de E$/ no esecifica como se de:en enviar los mensaAesC de 6ec6oC no se
esecifica como se de:e transortar los mensaAes a trav1s de Internet usando I/. .e uede
decir @ue E$/ no es un rotocolo &$N en su totalidad. Esto uede ser de:ido a @ue
originalmenteC E$/ fue diseHado ara autenticar usando modem 8dial(u9. &uego es
necesario encasular los mensaAes E$/ de alguna manera ara oder transortarlos or
nuestra red. /ara estoC IEEE 802.1% define un rotocolo llamado E$/ Over &an 8E$/O&9C
@ue nos ermite transortar los mensaAes E$/ entre el autenticador 3 el sulicante.
IEEE 802.1% descri:e E$/O& ara &$N Et6ernet 8IEEE 802.#9 3 ToMen(+ingC ero
no ara IEEE 802.11C as! @ue si se @uiere mandar un mensaAe E$/C se tendr; @ue onerle
una ca:ecera 0$2 Et6ernet 3 mandarlo or la red.
E$/O& sirve ara encasular los mensaAes E$/C ero todos los mensaAes no
transortan mensaAes E$/. $lgunos mensaAes E$/O& se utili4an ara reali4ar tareas
administrativas. $ continuacin se muestran los tios de mensaAes e5istentes.
'ensa(es .#-O9
*"
E&1O2<)tart> 2uando un sulicante se conecta a la &$NC no conoce la
direccin 0$2 del autenticador. ,e 6ec6oC no sa:e si 6a3 alg?n autenticador
ara atenderle. /ara solucionarloC IEEE 802.1% define el mensaAe E$/O&(
.tart. El sulicante env!a este mensaAe a una direccin 0$2 multicast
reservada ara autenticadores IEEE 802.1% con el fin de sa:er si 6a3 alg?n
autenticador 3 ara darse a conocer. En muc6as ocasionesC el autenticador es
notificado reviamente de la e5istencia del sulicante mediante m1todos
6ard=are. Esto tam:i1n asa en los 6u:C los cuales sa:en si 6a3 alg?n ca:le
conectado antes de @ue el e@uio conectado env!e ning?n dato. /osteriormenteC
el autenticador manda un E$/(+e@uest Identit3 usando un E$/O&(/acMet.
E&1O2<Ge$> El autenticador manda las llaves de encritacin al sulicante
una ve4 @ue 6a decidido admitirlo en la red. &gicamenteC es necesario encritar
las llaves antes de enviarlasC ero IEEE 802.1% no esecifica la forma de
6acerlo.
E&1O2<1acHet> Este tio sirve ara encasular los mensaAes E$/.
.imlemente 6ace las la:ores de contenedor ara oder transortar los mensaAes
E$/ a trav1s de la redC @ue es el o:Aetivo original de E$/O&.
E&1O2<2o@o%%> Indica @ue el sulicante desea desconectarse de la red.
&a versin de rotocolo siemre vale 1. Esto uede cam:iar en el futuro.
El Tio de /a@uete indica el tio de mensaAe E$/O&> startC Me3...
En algunos casosC no es necesario enviar nada en el camo de datos. /or lo tantoC el
camo de lengt6 se one a cero 3 se omite el camo de datos.
Secuencia de #utenticacin
2uando el sulicante @uiere conectarseC intenta llamar la atencin del autenticador.
En la ma3or!a de los casosC el autenticador es alertado or el roceso de cone5in. En el
caso inal;m:ricoC suele ser suficiente con la asociacin con el unto de acceso. .i noC se
uede utili4ar un mensaAe de E$/O&(.tart.
El autenticador resonde con un E$/(+e@uestKIdentit3 message. Este mensaAe es
e@uivalente a reguntarC WNui1n anda a6!X El unto de acceso est; caacitado ara saltar
este aso si reviamente 3a 6a o:tenido identidad del sulicante utili4ando alg?n otro
m1todo. El sulicante resonde con E$/(+esonseKIdentit3. En este untoC es interesante
comentar @ue el sulicante no 6a autenticado al unto de accesoC luego no sa:e si se est;
conectando a un unto seguro. /or esta ra4nC el sulicante uede utili4ar un seudnimoC
evitando de esta manera dar la identidad a un osi:le atacante.
En este unto es donde entra en Auego la figura del servidor de autenticacin. -na
ve4 @ue el sulicante le env!a ese mensaAe de identidadC el autenticador 8unto de acceso en
nuestro caso9 emie4a a actuar como un mero intermediario entre el sulicante 3 el
servidor de autenticacin. $s! se intercam:iar;n los mensaAes necesarios ara reali4ar la
autenticacin con el m1todo @ue se 6a3a elegido 3 sin la necesidad de @ue el autenticador
entienda dic6os mensaAes.
*8
El autenticador 6ace las la:ores de intermediario de los mensaAes E$/ @ue no
entiende 6asta @ue reci:e un E$/(.uccess o E$/()ailure. Estos mensaAes s! @ue los
entiende. EntoncesC ermite o deniega el acceso al sulicante.
II.v. .#- so)re 3#&I:S7
+$,I-. disone de dos mensaAes ara reali4ar autenticacinC @ue son $ccess(
+e@uest ara enviar datos del unto de acceso al servidor +$,I-.C 3 $ccess(26allenge
ara enviar datos del servidor +$,I-. al unto de acceso. Este ?ltimo mensaAe tiene un
rosito :astante articularC ero con el fin de adatarlo a E$/C en la +)2 286* se
esta:leci @ue este mensaAe era m;s general 3 @ue se utili4ar!a ara enviar datos del
servidor al N$.. /or lo tantoC los mensaAes E$/ son enviados al servidor +$,I-. en
mensaAes $ccess(+e@uestC 3 al N$. en mensaAes $ccess(26allenge.
En ocasionesC un mensaAe E$/ uede transortar m;s de un atri:uto. /uede ser
necesario coiar alg?n atri:uto del mensaAe E$/ en alg?n otro camo del mensaAe
+$,I-.. -n eAemlo uede ser la identidad de los usuariosS esta informacin va en los
mensaAes E$/(+esonseKIdentit3. El mensaAe E$/ ser; transortado !ntegramenteC ero la
identidad ser; coiada tam:i1n en el atri:uto Name 8tioV19 ara @ue +$,I-. funcione
correctamente.
E$/O& utili4a un a@uete E$/O&(.tart ara indicar @ue un nuevo e@uio @uiere
conectarse. En este mensaAe se inclu3e el valor "* en el camo de tio indicando @ue 6a3
atri:uto E$/.
Figura &1: .roceso de autenticaci(n.
En la )igura 41 se o:serva @ue los mensaAes se transortan entre el unto de acceso 3
el cliente encasulados en a@uetes E$/O&C 3 encasulados en a@uetes o mensaAes
+$,I-. entre el unto de acceso 3 el servidor de $utenticacin +$,I-.. Esta es la idea
m;s imortante @ue nos de:e @uedar de este aartado.
**
$6ora :ienC nos @ueda or comentar un detalle :astante imortante. En las redes @ue
utili4an modems dial(u ara conectar los clientes a la redC :asta con reali4ar la
autenticacin al iniciarse la sesinC ero se suone @ue a artir de a6! la seguridad est; casi
garanti4ada. .in em:argoC esto no sucede as! en las redes inal;m:ricasC @ue es nuestro
caso. -na ve4 reali4ada la autenticacinC es mu3 sencillo atacar el sistema sin m;s @ue
sulantar la direccin 0$2 del cliente legal de la sesin. Es necesaria uesC una ma3or
seguridad e integridad de los datos transmitidos. /ara estoC el servidor manda al unto de
acceso una &lave 0aestra. /ara mandar informacin relacionada con la llave maestraC
0icrosoft introduAo un atri:uto denominado 0.(0//E(+ecv(Je3.
II.vi. 1ransport 9ayer Security 519S6
NetscaeC @ue en los inicios de Internet era el navegador dominanteC desarrollo ..&
con el o:Aetivo de dar seguridad a la red de redes. ..& se :asa en la utili4acin de
certificados. /roorciona una manera de autentificar tanto un e5tremoC como los dos
e5tremos involucrados en la comunicacinC 3 adem;s ermite a:rir una comunicacin
rivada mediante encritacin.
/ese a @ue ..& es una solucin roietariaC finalmente se convirti en est;ndar. Este
fue el nacimiento de T&.C @ue no es m;s @ue la versin estandari4ada de ..&. .u
descricin comleta se encuentra en IET) +)2(2246.
T&. es un rotocolo de la caa de transorte 3 est; construido so:re T2/KI/.
Funciones de 19S
T&. roorciona m;s servicios @ue los estrictamente necesarios ara reali4ar
$utenticacin. /rovee servicios de autenticacinC encritacin e incluso comresin de
datos. Es un m1todo mu3 conveniente ara utili4arlo en el modelo E$/KIEEE 802.1%.
T&. est; dividido en dos caas> record #rotocol $ >ands>aHe #rotocol. +ecord
rotocol es el resonsa:le de intercam:iar los datos de los dos e5tremos finales del enlace
utili4ando los ar;metros adecuados v!a rotocolo 6ands6aMe. &os datos rocedentes de la
alicacin llegan a la caa de record rotocolC donde son encritados 3 comrimidos 8si es
el caso9 adecuadamente antes de ser enviados al otro e5tremo. .uoniendo @ue el otro
e5tremo es v;lidoC descomrimir; 3 desencritar; los datos sin ro:lemas.
100
Figura &2: Tls handshaKe @ record protocol.
El rotocolo 6ands6aMe utili4a al rotocolo record ara reali4ar su tra:aAoC @ue
consiste en esta:lecer las condiciones o ar;metros necesarios ara reali4ar la
comunicacin. En un rinciioC el record rotocol manda los datos sin encritacin ni
comresin alguna. El record rotocol oera de acuerdo a un gruo ar;metros llamado
Estado de la cone5in o 2onnection .tate. $s! se intercam:ia informacin del tio de cual
es el algoritmo de encritacinC cuales son las llaves de encritacinC etc. El record
rotocol uede guardar cuatro estados de cone5inC dos estados de cone5in ara cada
direccin de la comunicacin. ,os estados son los @ue se utili4anC 3 los otros dos est;n
endientes.
&a diferencia entre el actual 3 endiente es @ue el actual se refiere a los aAustes o
ar;metros @ue se est;n utili4ando actualmenteC 3 los endientes se refieren a los @ue est;n
rearados ara utili4ar cuando se den las condiciones adecuadas. 2uando el endiente
asa a actualC se crea un nuevo estado endiente. 2uando se iniciali4a una cone5inC el
estado actual tiene el valor de N-&&. No 6a3 llaves o clavesC no 6a3 m1todos de
encritacin ni comresin. El 6ands6aMe rotocol se encarga de esta:lecer los ar;metros
de seguridad en el estado endiente. En el momento en el @ue todo est; rearadoC este
estado endiente asa a estado actual 3 en ese momento se onen en marc6a las medidas
de seguridadC como es la encritacin
.
T&. utili4a certificados ara reali4ar la autenticacin. Normalmente es el servidor el
@ue entrega el certificado al cliente ara @ue este lo verifi@ue 3 se asegure de @ue el
servidor es de confian4aC aun@ue 6a3 ocasiones en las @ue el cliente tam:i1n de:e entregar
el certificado ara @ue el servidor ueda tam:i1n 6acer la verificacin.
&os certificados se :asan en critograf!a de clave ?:lica. Est; t1cnica tiene un gasto
comutacional :astante grande comar;ndolo con el m1todo de llave sim1trica. En
consecuenciaC el 6ands6aMe utili4a la t1cnica de encritacin de llave ?:lica en la fase de
autenticacin 3 tam:i1n se utili4a ara esta:lecer las llaves de la sesinC las cuales ser;n
utili4adas or el record rotocol ara encritar los datos en el transcurso de la sesin. $s!C
la carga comutacional se reduce nota:lemente.
101
$lication
T&. 7ands6aMe /rotocol
T
T&.
+ecord /rotocol
+
T2/KI/
T
Net=orM
7ard=are
7
$lication
T&. 7ands6aMe /rotocol
T
T&.
+ecord /rotocol
+
T2/KI/
T
Net=orM
7ard=are
7
Fase +andshaJe
Es la fase en la @ue se esta:lecen las condiciones @ue van a regir el transcurso de la
comunicacinC m1todos de encritacinC llavesC etc.
Este roceso se reali4a mediante una serie de mensaAes @ue se env!an las dos artes
con un orden esta:lecido. /ara iniciar el 6ands6aMeC las dos artes de:en mandar un 6ola.
T&. no es sim1tricoC or lo @ue un e5tremo de:er; actuar como servidor 3 el otro como
cliente. NormalmenteC es el cliente @uien inicia este di;logo enviando su 6ola 8client
7ello9.
Figura 2<: Esquema de la fase @ands7aAe
,lient +ello
El 7ola del cliente es m;s @ue un saludo de cortes!aC contiene una lista de datos
necesarios ara la comunicacin como son los m1todos de comresin soortados or el
clienteC el tio de certificadosC m1todo de encritacinC m1todo de c6e@ueo de integridadC
adem;s de contener la identidad del cliente. Este mensaAe tam:i1n contiene un n?mero
aleatorio 82lient7ello.random9 @ue osteriormente ser; utili4ado ara dificultar la tarea de
osi:les atacantes @ue se encuentren gra:ando los datos transmitidos.
Server +ello
2uando el servidor reci:e el 2lient 7elloC se asegura de @ue soorta los m1todos
soortados or el cliente 3 env!a su 6ola. El .erver 7ello contiene un n?mero aleatorio
8.erver7ello.random9 distinto al enviado or el cliente 3 un identificador de sesin
denominado .ession I,C @ue ser; utili4ado tanto or el cliente como or el servidor.
Server ,erti"icate
Este mensaAe no es necesario en caso de @ue la sesin este siendo retomada.
El servidor le manda su certificado al cliente. Este certificado contiene el nom:re del
servidor 3 la llave ?:lica de este. Esto sirve ara encritar los datos @ue se @uieran enviar
osteriormente al servidor 3 ara validar los mensaAes rocedentes del servidor. El
certificado est; firmado or una $utoridad de 2ertificacinC garanti4ando as!C la
102
autenticidad del certificado. El cliente valida el certificado usando la llave ?:lica del
certificado de la $utoridad de 2ertificacin @ue 1l osee. -na ve4 6ec6o estoC guarda la
llave ?:lica del servidor ara encritar los datos @ue env!e al servidor.
Es osi:le @ue uno se 6aga asar or el servidor coiando 3 enviando osteriormente
el certificado del servidorC ero aun as!C no odr; desencritar los datos enviados or el
cliente 3a @ue no disone de la llave rivada. Es necesario conocer el ar llave
?:licaKrivada ara oder desencritar los datos.
,lient ,erti"icate
No 6a sido mu3 utili4ado 6asta a6oraC 3a @ue normalmente se utili4a:a en entornos
en los @ue un servidor ofrec!a una ;gina 'EG o un servicio a un clienteC 3 era este el @ue
ten!a @ue autenticar al servidorC ero el cliente no de:!a ser autenticado. Esto est;
cam:iando en la actualidadC de:ido a la necesidad de controlar el acceso de clientes a las
redes cororativasC 3a sean redes emresarialesC redes inal;m:ricasC etc. /or estoC e5iste la
osi:ilidad de @ue el servidor le ida al cliente @ue le env!e el certificado.
,lient Key .xchange 5client L server6
$6ora se de:e crear una llave secreta entre el cliente 3 el servidor llamada 0aster
.ecret. Est; llave es generada utili4ando el n?mero aleatorio incluido en el mensaAe 6ola
87ello message9 3 un valor secreto creado din;micamente 3 @ue solo es conocido or las
dos artes. El n?mero aleatorio incluido en el mensaAe de 6ola no va encritadoC or lo @ue
cual@uiera @ue este escuc6ando uede o:tener dic6o n?mero. /or el contrarioC el valor
aleatorio creado en esta faseC conocido como re(master secretC es secreto 3 es utili4ado
ara generar la llave master Me3. &a manera m;s sencilla ara generar la llave re(master
secret 3 conseguir enviarla tanto al cliente como al servidorC es utili4ar el certificado del
servidor. El cliente genera un n?mero aleatorio 848 :3tes9C encrita este n?mero utili4ando
la llave ?:lica del servidorC 3 se lo env!a al servidor mediante un mensaAe client Me3
e5c6ange. El servidor desencrita utili4ando su llave rivada 3 o:tiene la llave re(master
secretC estando los dos en osesin de dic6a llave.
,lient ,erti"icate Heri"ication
-na ve4 @ue el cliente 6a enviado su certificadoC de:e demostrar @ue es el verdadero
roietario de ese certificado. /ara ro:arloC reali4a un 6as6ing o una me4cla con los
mensaAes enviados 3 reci:idos 6asta este momento 3 los firma con la llave secreta de su
certificado. 2uando el servidor reci:e este mensaAeC c6e@uea la firma utili4ando la llave
?:lica del cliente. .i tanto la firma como el 6as6ing es correctoC el servidor uede estar
seguro de @ue el cliente es el roietario legal del certificado.
(ota> 2uando se 6a:la de 7as6ingC se refiere a reali4ar una serie de oeraciones con
unos mensaAes determinadosC de tal forma @ue se o:tiene como resultado otro mensaAe con
el @ue no es osi:le o:tener los mensaAes anteriores. $l enviar este 6as6ing firmado con la
llave secreta del certificado del clienteC el servidor uede verificar la firmaC 3 adem;s
uede verificar si el 6as6ing es el correctoC 3a @ue el disone de los mismos mensaAe con
los @ue el cliente 6a 6ec6o este 6as6ing. .i verifica las dos cosasC sa:e @ue el cliente es
legal.
10#
El m1todo de 7as6ing es mu3 utili4ado en critograf!a. .e :asa en o:tener un valor
resultante de dos o m;s fuentes de tal manera @ue no sea osi:le o:tener uno de los valores
originales sa:iendo los dem;s valores originales 3 el resultado del 6as6ing. Es decirC se
trata de 6acer una oeracin @ue no sea inverti:le. .e suele utili4ar ara roteger clavesC
como or eAemlo la llave maestra 8master Me39 o ara o:tener un m1todo de integridad de
datos. En el caso de la llave maestraC se reali4a un 6as6ing entre la llave maestra 3 la 6ora
actualC o:teniendo una llave DcE. .i un atacante o:tiene la 6ora 3 la llave DcEC no era caa4
de o:tener la llave maestra.
-na ve4 reali4ada la verificacin del certificado del clienteC se uede roseguir con el
roceso de autenticacin. $6oraC los dos e5tremos contienen la misma informacin ara
oder o:tener la llave maestra>
/re(master secret.
2lient random num:er.
.erver random num:er.
&os dos com:inan estos valores critogr;ficamente reali4ando un 6as6ing ara
o:tener una &lave 0aestra de 48 :3tes. &os dos e5tremos del enlace de comunicacin
est;n 3a en osesin de la misma llave maestra.
,am)io del estado de la conexin
El o:Aetivo del 6ands6aMe es autenticar 3 crear estado de la cone5in endiente
rearado ara conmutar cuando las claves 3 dem;s re@uerimientos sean satisfec6os.
2uando se asa de endiente a estado actualC cada e5tremo de:e mandar un mensaAe en el
@ue se indica @ue se 6a reali4ado esta conmutacin en el estado de la cone5in mediante un
c6ange connection state.
Finished
Es el mensaAe @ue se env!a ara cerrar la fase de 6ands6aMe. Este mensaAe est;
encritado con la llave maestra 8master Me39. En este mensaAe se manda un 6as6ing de
llave maestra 3 de todos los mensaAes enviados en la fase de 6ands6aMe a e5cecin del de
)inis6ed. 2uando el otro e5tremo reci:e este mensaAe 3 lo verificaC todo est; rearado
ara @ue se emiecen a transmitir datos utili4ando la llave maestra.
.i la sesin T&. est; siendo retomadaC el cliente 3 el servidor asan directamente
del 7ello al mensaAe de )inis6edC esta:leciendo una nueva llave maestra utili4ando los
nuevos valores aleatorios 87ello message9. Este roceso evita toda la fase de autenticacin
mediante certificados reali4ada reviamenteC ero mantiene la seguridadC 3a @ue la llave
re(master solo es conocida or los dos e5tremos autenticados originalmente.
II.vii. 19S so)re .#-
$un@ue T&. fue diseHado ara ser utili4ado so:re T2/KI/C fue definido de una
manera m;s generalC de manera @ue es osi:le utili4arlo tam:i1n so:re E$/.
104
&a utili4acin de E$/ ermite @ue no sea necesaria una direccin I/ 3 de est;
manera oder reali4ar el roceso de 6ands6aMe antes incluso de tener una direccin I/.
Esto es mu3 interesante ara e@uios mviles @ue se @uieren conectar a una red
inal;m:rica.
Es imortante comentar @ue es necesaria otra 6erramienta ara asar los mensaAes
E$/ del unto de acceso al servidor de autenticacin. Esta 6erramienta es el rotocolo
+$,I-..
105
#!.*O III. -unto de #cceso
En este ane5o es una e@ueHa introduccin al unto de acceso utili4ado en este
ro3ecto. G;sicamenteC es un recorrido or interfa4 'e: @ue se utili4a ara la
configuracin del unto de acceso.
)igura 44> /unto de $cceso> &ironet 3!0 )eries C+iscoD
7erramienta de Iestin 3 $dministracin del /unto de $cceso
/ara acceder a la ;gina del unto de acceso Y 6tt>KK10.0.0.1 @ue es la direccin
@ue se 6a utili4ado ara el unto de acceso en este ro3ecto.
4ome?
Es la ;gina de inicio del unto de
acceso. En ella se ueden ver los ?ltimos
logs 3 alg?n @ue otro ar;metro del
unto de acceso como la direccin I/ del
mismo
(et5orH> ,a informacin del unto de
acceso.
106
10"
108
10*
&ssociations?
&istado de e@uios
conectados al unto de
acceso. .e uede o:servar
el estado de cada e@uio
asociadoC e incluso se
uede reali4ar un test de
conectividad
)etu#> Es el men? desde el cual se
controla el unto de acceso. ,esde a@u! se
accede a todas las roiedades 3
caracter!sticas del unto de acceso @ue es
necesario configurar ara un correcto
funcionamiento del unto de acceso.
)ecurit$? ,esde este aartado se
accede -ser InformationC a
$ut6entication .erver 3 a +adio ,ata
Encr3tion.
-ser information> Informacin de
los rivilegios @ue tiene cada usuario del
unto de acceso.
&ut>entication )erver> $@u!
se le indica al unto de acceso @ue
de:e utili4ar IEEE 802.1% 3
tam:i1n el tio de servidor de
autenticacin 8+$,I-.9C la
direccin I/ de dic6o servidorC el
uerto en el @ue est; escuc6ando 3
la .6ared .ecret. En el caso de este
ro3ectoC el servidor de
autenticacin del unto de acceso
es el freeradius ro53.
&1 radio data Encr$#tion C'E1D?
Tio de encritacin @ue de:e utili4ar el unto
de acceso.
110
&a 6erramienta es :astante m;s e5tensaC ero lo m;s imortante a la 6ora de utili4ar
el unto de acceso es lo @ue a@u! se 6a e5uesto.
#!.*O IH. ,on"iguracin de Windo%s *- como cliente
2on este ane5o se retende facilitar la la:or de configuracin de 'indo=s %/ como
cliente del sistema @ue 6a sido desarrollado en este ro3ecto. Esta instalacin es :astante
sencillaC or lo si se siguen los asos a:aAo e5uestosC =indo=s estar; configurado en
ocos minutos.
$ntes de comen4ar con el roceso de configuracinC se de:e comentar @ue 6a3
imortantes diferencias en el comortamiento de 'indo=s %/ deendiendo del tio de
actuali4acin de este. $s!C con la versin de 'indo=s %/ originalC no es osi:le reali4ar
una cone5in con encritacin 'E/ si el unto de acceso est; configurado en modo
O/TION$& EN2+P/TION. $s! @ueC en caso de disoner de esta versinC se de:er; oner
Et>ernet Identi%ication> ,ireccin
I/ 3 m;scara del unto de acceso
&1 Radio 4ard5are>
2aracter!sticas de la arte radio del unto
de acceso> ssidC otencia de transmisinC
canal radioC frecuenciaC modo de
funcionamiento de la antenaQ
111
el unto de acceso en )-&& EN2+P/TION L 0F. Esto ocurre or@ue 'indo=s no uede
asociarse al unto de acceso. Esto se soluciona simlemente con la instalacin del .ervice
/acM 1a.
En este ro3ecto se 6a tra:aAado con la versin actuali4ada con este acM.
Instalacin de certi%icados en 'indo5s X1?
/rimeramenteC tenemos @ue a:rir una
consolaC or lo @ue vamos a Inicio Y
EAecutar 3 eAecutamos el comando DmmcE
como se uede o:servar en la figura.
Figura &): c
Figura &/ @ &3: *onsola.
$rc6ivo Y $gregar o @uitar comlemento. ,esu1s /inc6amos $gregar.
112
/inc6amos en $gregar 3 osteriormente
en )inali4ar
Figura &8 @ &5
$6ora tenemos @ue instalar los certificados.
/rimero instalaremos root.der. 7acemos do:le clic so:re root.der 3 =indo=s nos
guiar; de una manera f;cil 3 sencilla ara instalar este certificado correctamente.
Instalar certificado.
.eleccionamos la segunda estaHa 3 le indicamos @ue de:e instalar el certificado
como Entidad Emisora de confian4a.
Figura )0 @ )1
)inali4ar.
$6ora instalaremos el certificado del clienteC @ue es Znom:re(certificado[.12.
7acemos do:le clic so:re 1l.
Introducimos la contraseHa de la clave rivada 3 seleccionamos .iguiente.
11#
Figura )2 @ )"
En este caso seleccionamos la rimera
estaHa. /ara terminar inc6amos en )inali4ar.
Figura )&
2onfiguracin del interfa4 inal;m:rico en 'indo=s %/>
$6ora se va a rocedes a configurar la cone5in de red inal;m:ricaC ara elloC se
de:en seguir los siguientes asos>
Inicio Y /anel de
2ontrol Y 2one5iones de
red.
/inc6amos en la
cone5in inal;m:rica con el
:otn derec6o 3 inc6amos
en /roiedades.
Figura ))
Bamos a /rotocolo Internet LT2/KI/F .
2omo @ueremos @ue el sistema nos asigne direcciones I/ din;micamenteC
indicaremos @ue el sistema nos indi@ue la configuracin I/ del interfa4 inal;m:rico
inc6ando en O:tener una direccin I/ autom;ticamente 3 en O:tener la direccin del
servidor ,N. autom;ticamente.
114
Figura )/
$6ora vamos a la estaHa de +edes Inal;m:ricas. $@u!C seleccionamos la red a la
@ue nos @ueremos conectar 3 inc6amos en /roiedades. .i no aarece el DessidE @ue
@ueremosC inc6amos en agregar 3 a6! indicamos el DessidE de la red inal;m:rica a la @ue
nos @ueremos conectar. /osteriormente la seleccionamos 3 inc6amos en /roiedades.
.eleccionaremos las casillas 2ifrado de datos 8'E/ 6a:ilitado9 e \ndice de clave
8avan4ado9. $ continuacin seleccionamos la estaHa de $utenticacin.
Figura )3
En este unto de:emos 6acer un ar de aclaraciones. Estamos utili4ando 'indo=s
%/ con la actuali4acin .ervice /acM 1a. 2on esta actuali4acin cam:ia un oco la
organi4acin de de esta arte de la configuracin. /ara eme4arC en la versin actuali4adaC
115
la estaHa de $utenticacin est; Aunto con la de $sociacin. En la versin sin actuali4arC
sin em:argoC esta estaHa est; Aunto a +edes inal;m:ricas. Otra diferencia es @ue en la
versin actuali4ada no uede 6a:er control de acceso mediante 802.1% a no ser @ue se
6a:ilite la encritacin de datos 'E/C En la versin original s! @ue se od!a reali4ar el
control de acceso mediante IEEE 802.1% sin encritacin 'E/.
.eleccionamos la rimera casilla ara reali4ar el control de acceso mediante IEEE
802.1% 3 las otras dos casillas. 2omo tio de E$/ seleccionamos TarAeta inteligente u otro
certificado.
/inc6amos en /roiedades e indicamos el nom:re de la $utoridad de 2ertificacin
@ue @ueremos utili4ar.
Figura )8
)inalmente acetamos 3 3a est; configurado el interfa4 inal;m:rico. $6ora no nos
@ueda m;s @ue activarlo inc6ando con el :otn i4@uierdo encima del interfa4 inal;m:rico
3 inc6ando $ctivar.
.i tenemos instalado m;s de un certificadoC nos saldr; una ventana regunt;ndonos
cual @ueremos utili4ar. Elegimos el adecuado.
2oncluido estoC 'indo=s %/ 3a esta correctamente configurado ara conectarse al
sistema inal;m:rico @ue se 6a desarrollado a lo largo de este ro3ecto.
116

Awnas

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Awnas

Caricato da

Copyright:

Formati disponibili

ESCUELA TCNICA SUPERIOR DE INGENIEROS

Figura 5: Es'uea de la red en la 'ue se encuentra el sistea -01-2.

Potrebbero piacerti anche