Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INDUSTRIALES Y DE TELECOMUNICACIN
Titulacin :
INGENIERO DE TELECOMUNICACIN
Ttulo dl !"o#cto:
SER$IDOR A$AN%ADO DE AUTENTICACIN Y GESTIN
DE REDES INAL&M'RICAS
Santi 'a(tan Ancin
TUTOR: Edua"do Ma)a*a Li(a""ondo
Pa+!lona, -. d S!ti+/" d -00.
Quiero dar las gracias tod@s aqull@s que me
han apoyado en la realizacin de este proyecto.
Especialmente a Eduardo, colegas del garito
interior, Ainhoa, Iokin, aria!e y ikel.
Ainhoa, Mariaje, Iokin eta Mikel:
Mila esker nire alboan egoteagatik. Zuen laguntza
itzela izan da.
Santi Baztan Anzin Universidad Pblica de Navarra
ndice
1 Introduccin..............................................................................................................3
1.1 Objetivos............................................................................................................4
1.1.1 Origen del sistema........................................................................................4
1.1.2 Nuevas funcionalidades...............................................................................5
1.2 Redes inalmbricas...........................................................................................6
1.2.1 Introduccin a IEEE 802.11.........................................................................6
1.2.2 Toolog!as de red........................................................................................."
1.2.# $lgunos mecanismos de seguridad .............................................................8
1.3 IEEE 802.1X......................................................................................................8
1.#.1 IEEE 802.1% en &$Ns 'I()I.....................................................................*
1.#.2 +$,I-......................................................................................................11
1.#.# E$/............................................................................................................12
1.#.4 01todos de autenticacin..........................................................................12
2 Sistema AWNAS.....................................................................................................15
2.1 Introduccin....................................................................................................1!
2.2 "escri#cin $ %uncionamiento del sistema &'(&)....................................1!
2.2.1 2omunicacin entre comonentes.............................................................16
2.2.2 )uncionamiento a alto nivel.......................................................................1"
2.2.# 0aterial 3 comonentes utili4ados............................................................18
2.3 &'(&)............................................................................................................1*
2.#.1 2onfiguracin de red del .istema $'N$...............................................1*
2.#.2 2digo del $'N$...................................................................................20
2.#.# /unto de acceso..........................................................................................#1
2.#.4 Oenssl.......................................................................................................#2
2.#.5 Oenlda....................................................................................................#6
2.#.6 )reeradius ( /ro53......................................................................................45
2.#." )reeradius ( $ut6.......................................................................................4"
2.#.8 ,72/ 8,3namic 7ost 2onfiguration /rotocol9........................................50
2.#.* $ac6e.......................................................................................................51
2.#.10 )ire'all ( Ita:les...................................................................................55
2.#.11 2ontrol de tr;fico < tc..............................................................................5"
2.#.12 /ca..........................................................................................................5*
2.4 +lientes del )istema........................................................................................61
2.4.1 'indo=s %/..............................................................................................61
2.4.2 %sulicant................................................................................................61
2.4.# 'ire15.......................................................................................................68
3 Pruebas del Sistema AWNAS.................................................................................69
1
Santi Baztan Anzin Universidad Pblica de Navarra
3.1 i#er%..................................................................................................................,0
3.2 -onitori.acin de las #ruebas.......................................................................,0
3.3 /r%ico 0"1.....................................................................................................,1
#.#.1 $nc6o de :anda de la red Inal;m:rica......................................................."1
#.#.2 Efecto del tr;fico en la red inal;m:rica en el retardo................................"2
#.#.# ,os clientes> 1 rofesor 3 1 cliente............................................................"#
#.#.4 2uatro clientes> todos del mismo erfil....................................................."4
3.4 /r%ico /+1.....................................................................................................,*
#.4.1 Tr;fico T2/ con un ?nico cliente.............................................................."*
#.4.2 Tr;fico T2/ con varios clientes.................................................................82
#.4.# Tr;fico T2/ desde una m;@uina remota 3 leAana......................................84
4 Conclusiones l!neas "uturas................................................................................##
$iblio%ra"!a...............................................................................................................9&
Ane'os.......................................................................................................................92
$NE%O I. 'E/> 'ired E@uivalent /rivac3.....................................................*2
$NE%O II. E5tensi:le $ut6entication /rotocol 8E$/9.....................................*4
$NE%O III. /unto de $cceso...........................................................................106
$NE%O IB. 2onfiguracin de 'indo=s %/ como cliente.............................111
2
Santi Baztan Anzin Universidad Pblica de Navarra
1 Introduccin
En la actualidadC la oularidad de las redes inal;m:ricas est; aumentando
enormemente. $s! mismoC cada ve4 es m;s 6a:itual @ue las emresas imlementen redes
inal;m:ricas en sus emresas en lugar de tender las tradicionales redes ca:leadasC m;s
costosas 3 menos vers;tiles @ue las inal;m:ricas.
&as redes inal;m:ricas aortan grandes meAoras con resecto a las redes ca:leadasC
como uede ser la movilidad de los untos de tra:aAo. Es o:vio @ue es :eneficioso tener la
osi:ilidad de mover un unto de tra:aAo a voluntad siemre @ue el unto se encuentre con
co:ertura. En definitivaC los ro:lemas de dotar de infraestructura de red se reducen
nota:lemente si la red es inal;m:rica.
$?n as!C 3 como casi todo en esta vidaC las redes inal;m:ricas tienen sus
inconvenientes. /ara eme4arC 6o3 or 6o3 ofrecen un anc6o de :anda nota:lemente
menor @ue las redes ca:leadasC 3 esto es :astante imortante si tenemos en cuenta @ue las
alicaciones actuales cada ve4 necesitan un ma3or anc6o de :anda. /ese a estoC el ma3or
ro:lema @ue tienen las redes inal;m:ricasC es el de la .eguridad. El medio de transmisin
de las redes inal;m:ricas es el DaireEC 3 en rinciioC este medio es ?:licoC or lo @ue
cual@uiera @ue se encuentra en un unto con co:erturaC es susceti:le de interactuar en la
comunicacin de un usuario de la red inal;m:rica. En las redes ca:leadasC este fenmeno
est; dificultado or la necesidad de Dinc6arE el ca:le ara interactuar en alguna
comunicacin. /or lo tantoC un osi:le atacante tiene :astantes m;s facilidades ara atacar
una red inal;m:rica @ue ara atacar una ca:leadaC aun@ue esto no @uiere decir @ue las redes
ca:leadas sean seguras. &os ata@ues ueden ser de muc6os tiosC desde una escuc6a simle
de la comunicacinC 6asta cosas como 6acerse asar or el unto de acceso originalC o
introducirse en la red 6aci1ndose asar or un cliente leg!timo IEEE 802.1%F.
/or tanto se 6ace necesario introducir ma3or inteligencia en la red @ue ermita dar
ma3or seguridad a este tio de redes.
Otro aartado no menos imortante es el de la gestin de las redes inal;m:ricas. -na
ve4 tendida la red inal;m:ricaC la red de:e gestionarse ara oder o:tener el ma3or
rendimiento del sistema. /ara ello es necesario imlementar una 6erramienta @ue gestione
la red de acuerdo a los intereses del roietario de la red. $s!C es mu3 interesante @ue la red
sea caa4 de dar diferentes recursos a los clientes en funcin del tio de. Esto significa @ue
en funcin del erfil del usuarioC se ermite el acceso a unas redes o a otrasC se asigna un
ma3or o menor anc6o de :andaC 3 en definitivaC se tiene un ma3or o menor rivilegio. -n
eAemlo de esto ?ltimo uede ser el caso @ue a:orda este ro3ectoC en el cual se
imlementa una 6erramienta ara el uso de ella en la -niversidad /?:lica de Navarra. En
esta redC los rofesores tienen ma3ores rivilegios @ue los alumnos. /ueden acceder a
direcciones de red a las @ue no ueden acceder los alumnos 3 adem;s tienen un ma3or
anc6o de :anda asignado.
&gicamenteC la monitori4acin de la red tiene una gran imortancia ara reaccionar
ante los ro:lemas 3 ara verificar el funcionamiento de la red 3 reali4ar el control de la
misma.
Todos estos asuntos son los @ue son a:ordados a lo largo de este ro3ecto.
#
Santi Baztan Anzin Universidad Pblica de Navarra
1.1 Objetivos
/lanteado el ro:lema de la seguridad de las redes inal;m:ricasC el rincial o:Aetivo
de este ro3ecto es el desarrollo de un sistema @ue ermita dar cierta seguridad a este tio
de redes de una manera relativamente sencilla ara el usuario inal;m:rico.
.in em:argoC ara la reali4acin de este sistemaC 3 viendo la necesidad de facilitar la
gestin de estas redesC se 6a lanteado como o:Aetivo secundario el incororar al sistema
6erramientas @ue ermitan gestionar 3 monitori4ar la red desde un interfa4 'EG.
,e esta forma se o:tendr; una 6erramienta @ue ermita una cone5in sencilla a los
usuarios inal;m:ricosC as! como una gestin de la misma segura 3 sencilla ara los
administradores de la red inal;m:rica en cuestin.
2omo ?ltimo o:AetivoC se retende desarrollar una lataforma de rue:as @ue ermita
estudiar el comortamiento del sistemaC con el fin de resolver los osi:les ro:lemas @ue
ueda tener.
1.1.1 Origen del sistema
Este rototio arte de un ro3ecto revio @ue a:ord el ro:lema de la seguridad de
las redes inal;m:ricas a finales del aHo 2002. Este ro3ecto fue reali4ado or Eduardo
0agaHa &i4arrondo.
&a idea :;sica de este rototio era la de introducir IEEE 802.1% ara aortar
seguridad en la red inal;m:ricaC introduciendo m1todos de autenticacin segurosC como es
el caso de E$/(T&. 8ver 1.#.4.59 3 la asignacin din;mica de claves 'E/.
2on el o:Aetivo de crear una 6erramienta comleta 3 fle5i:leC se eligi una
ar@uitectura @ue ermitiera aloAar la ma3or arte de los servidores en cual@uier I./.
El sistema original consta de>
Servidor de autenticacin> Es el @ue se encarga de reali4ar la
autenticacin de los usuarios. Este servidor uede colocarse en cual@uier
untoC 3a @ue se comunica de una manera segura con el servidor )reeradius(
ro53C @ue es el @ue de:e estar Aunto al unto de acceso. Es este servidor el
@ue de:e estar correctamente configurado ara reali4ar el roceso de
autenticacin con el usuario inal;m:rico.
Servidor Freeradius-proxy> &a necesidad de tener un servidor
)reeradius(ro53 es de:ida a @ue es osi:le @ue en alg?n caso interese tener
m;s de un servidor de autenticacin. Esto es osi:le si se one un servidor
@ue redireccione el tr;fico de autenticacin al servidor de autenticacin
oortuno en funcin de alg?n ar;metro.
Base de datos> Esta :ase de datos se utili4a ara almacenar los datos
necesarios ara el funcionamiento del sistemaC como son las caracter!sticas de
los untos de accesoC erfiles de usuarioC usuariosC etc. ,e:ido a las
caracter!sticas del sistema se ot or utili4ar &,$/ 8ver 2.#.59.
Servidor WWW + apache> En este servidor se aloAa la 6erramienta de
Iestin 'e: @ue ermite gestionar 3 monitori4ar la red inal;m:rica.
4
Santi Baztan Anzin Universidad Pblica de Navarra
En definitivaC este rimer rototio integra un sistema de autenticacin de clientes
'indo=s %/ mediante el m1todo de autenticacin E$/(T&. 8ver 1.#.4.59 3 ermite una
gestin 3 monitori4acin de la red inal;m:rica.
1.1. !uevas "uncionalidades
El diseHo del sistema se 6a mantenido intactoC 3 lo @ue se 6a 6ec6o 6a sido
incororar nuevas funcionalidades al sistema.
.e 6an reali4ado as! mismo algunas rue:as del sistema ara comro:ar el
funcionamiento de la red inal;m:rica.
#ctuali$acin de so"t%are y servidores> se 6an actuali4ado todos los
servidores 3 a@uetes necesarios ara el sistema. $s!C se 6an incororado nuevas
versiones de OensslC OenldaC $ac6eC /6 3 )reeradius.
&epuracin del so"t%are original> se 6a dotado de nuevas funcionalidades
al sistema ara reali4ar ciertas oeraciones.
-na de las meAoras m;s imortantes 6a sido el desarrollo de funciones
@ue ermiten @ue el sistema realice la :?s@ueda de la direccin I/ de los
clientes mediante la catura del rimer a@uete @ue los usuarios env!an
a la red. Esto le da fle5i:ilidad al sistema 3a @ue indeendi4a el sistema
del modelo de unto de acceso.
Tam:i1n se 6a variado la manera en la @ue se introducen las reglas de
)ire=all. $6ora se reali4a un filtrado 0$2 ara introducir las reglas del
tr;fico roveniente del cliente inal;m:ricoC con lo @ue se consigue @ue
el rimer a@uete reci:ido del cliente no sea desec6ado or tener
denegado el acceso. -na ve4 caturado el rimer a@uete 3 conseguida
la direccin I/ del clienteC se introducen el resto de las reglas )ire=all a
nivel I/.
'e(ora del inter"a$ We)> se 6an reali4ado algunos cam:ios en el interfa4 'e:
@ue controla el sistema.
Incorporacin de *supplicant al sistema> %sulicant es el rograma
cliente @ue ermite @ue clientes &inu5 se conecten a la red mediante cual@uier
m1todo de autenticacin. Esto es de gran imortanciaC 3a @ue ermite @ue se
conecten a la red tanto clientes con sistema oerativo 'indo=s %/C como
clientes @ue utili4an &inu5.
Servidor &+,-> .e 6a introducido ,72/ al sistema con el o:Aetivo de
automati4ar la asignacin de los ar;metros de red a los clientes conectados. ,e
esta manera se evita la oeracin de tener @ue configurar el cliente manualmente.
2uando un cliente se autenticaC el sistema le asigna din;micamente todos los
ar;metros necesarios 8I/C m;scaraC router or defectoC etc9.
-lata"orma de prue)as> se 6a incororado una 6erramienta ara oder
reali4ar rue:as con el o:Aetivo de ver el comortamiento del sistema.
5
Santi Baztan Anzin Universidad Pblica de Navarra
1.2 Redes inalmbricas
&as redes inal;m:ricas 6an evolucionado 6acia varios tios de tecnolog!as en funcin
de los re@uerimientos de las diferentes redes. En el caso de las redes inal;m:ricas de ;rea
local '&$NC coe5isten tecnolog!as como D6ierlanE o IEEE 802.11C aun@ue es esta ?ltima
la @ue est; m;s e5tendida actualmente.
1..1 Introduccin a I... /0.11
Es un est;ndar de IEEE desarrollado en 1**"C @ue en su versin original ofrec!a un
anc6o de :anda de 2 0:sC velocidad :astante reducida ara dar co:ertura a un n?mero
elevado de clientes.
2on el tiemo 6an ido surgiendo variantes de este rimer est;ndar @ue 6an dado
solucin a diversos ro:lemas de las redes inal;m:ricas.
Estndar "escri#cin
802.11 Est;ndar '&$N original. .oorta de 1 a 2 0:s.
802.11a
Est;ndar '&$N de alta velocidad en la :anda de los 5 I74.
.oorta 6asta 54 0:s.
802.11:
Est;ndar '&$N ara la :anda de 2.4 I74. .oorta 11
0:s.
802.11e
Est; dirigido a los re@uerimientos de calidad de servicio ara
todas las interfaces IEEE '&$N de radio.
802.11f
,efine la comunicacin entre untos de acceso ara facilitar
redes '&$N de diferentes roveedores.
802.11g
Esta:lece una t1cnica de modulacin adicional ara la :anda
de los 2.4 I74. ,irigido a roorcionar velocidades de 6asta
54 0:s.
802.116
,efine la administracin del esectro de la :anda de los 5
I74 ara su uso en Euroa 3 en $sia /ac!fico.
802.11i
Est; dirigido a suerar la vulnera:ilidad actual en la
seguridad ara rotocolos de autenticacin 3 de codificacin.
El est;ndar a:arca los rotocolos 802.1%C TJI/ 8/rotocolo
de &laves Integras <.eguras< Temorales9C 3 $E. 8Est;ndar
de Encritacin $van4ado9. Es un est;ndar @ue a?n est; en
roceso de desarrolloC ero arece @ue el futuro de las
'&$N asa or IEEE 802.11i
Tabla 1: Estndares IEEE 802.11.
En la Ta:la 1C se muestran los diferentes est;ndares e5istentes dentro del comleAo
IEEE 802.11.
6
Santi Baztan Anzin Universidad Pblica de Navarra
&a esecificacin 802.11: fue ratificada or el IEEE en Aulio de 1***C 3 oera en un
anc6o de :anda @ue a:arca las frecuencias dentro del rango de 2.4 a 2.4*" I74 del
esectro de radio. IEEE 802.11: ermite una velocidad m;5ima de 11 0:s.
&as redes de ;rea local inal;m:ricas utili4an esta esecificacin de una manera
ma3oritaria. Este es el tio de red inal;m:rica con el @ue se 6a tra:aAado.
1.. 1opolog2as de red
E5isten dos toolog!as de red diferentes.
1...1 3ed ad-hoc
-na red ad 6oc 8eer to eer9 es una red de ;rea local indeendiente @ue no est;
conectada a una infraestructura ca:leada 3 donde todas las estaciones se encuentran
conectadas directamente unas con otras 8en una toolog!a mallada9. &a configuracin de
una red de ;rea local inal;m:rica en modo ad 6ocC se utili4a ara esta:lecer una red donde
no e5iste la infraestructura inal;m:rica o donde no se re@uieran servicios avan4ados de
valor aHadido.
Figura 1: Red ad-hoc.
1... 3ed de in"raestructura
En una red de infraestructuraC los clientes '&$N se conectan a una red cororativa a
trav1s de un unto de acceso inal;m:rico. &a ma3or!a de las redes de ;rea local
inal;m:ricas cororativas oera en modo de infraestructura.
El sistema desarrollado utili4a una toolog!a de red de este tio.
"
Santi Baztan Anzin Universidad Pblica de Navarra
Figura 2: Topologa en odo In!raestructura.
1..4 #lgunos mecanismos de seguridad
En los inicios de la tecnolog!a inal;m:ricaC los rocedimientos 3 mecanismos de
seguridad eran tan d1:iles @ue se od!a acceder con gran facilidad a redes de este tio sin
tener ermiso ara ello. E5iste el t1rmino D=ardrivingEC @ue se refiere a la accin de
recorrer una ciudad ara :uscar la e5istencia de redes 3 conectarse a ellas.
E5isten sin em:argoC algunos mecanismos @ue aortan diferentes grados de
seguridad a las redes inal;m:ricas. $ continuacin se muestran algunos de ellos>
1..4.1 SSI& 5Identi"icador de servicio6
Es una contraseHa simle @ue identifica la '&$N. &os clientes de:en tener
configurado el ..I, correcto ara acceder a la red inal;m:rica. El uso del ..I, como
m1todo ?nico de control de acceso a la infraestructura es eligrosoC or@ue t!icamente no
est; :ien asegurado. ,e 6ec6oC com?nmente el unto de acceso est; configurado ara
distri:uir este ar;metro en su seHal gu!a 8:eacon9.
1..4. Filtrado con direccin '#, 5,ontrol de acceso al medio67
+estringe el acceso a comutadoras cu3a direccin 0$2 de su adatador est;
resente en una lista creada ara cada unto de acceso en la '&$N. Este es@uema de
seguridad se rome cuando se comarte o cuando se cam:ia la 0$2 de un interfa4.
1..4.4 W.- 5-rivacidad e8uivalente a ca)le6
Es un es@uema de encritacin @ue rotege los datos transmitidos entre clientes 3
untos de acceso como se esecifica en el est;ndar 802.11. $un@ue el soorte ara 'E/ es
ocionalC la certificacin 'i()i e5ige 'E/ con llaves de 40 :its 8ver 49.
E5isten 6erramientas caaces de descifrar estas claves en un tiemo reducidoC or lo
@ue no es un m1todo seguro or si solo.
En el rototio rouestoC se utili4an claves 'E/ de 128 :its @ue son asignadas
din;micamenteC aumentando nota:lemente la seguridad de la red.
1.3 IEEE 802.1X
$ la vista de la falta de seguridad de las redesC IEEE decidi desarrollar un est;ndar
@ue consiguiera aortar mecanismos de seguridad de una manera integralC naciendo de esta
manera el est;ndar IEEE 802.1%. En un rinciioC IEEE 802.1% no se desarroll ara su
utili4acin en redes inal;m:ricasC sino ara redes ca:leadas convencionales. .u rosito
era controlar el acceso a la red en un entorno en el @ue el medio f!sico es comartido. Este
medio comartido se refer!a a redes locales tradicionales en las @ue el medio es
comartidoC ero erfectamente alica:le a entornos inal;m:ricosC 3a @ue el entorno
inal;m:rico se uede asemeAar a una red tradicional en el @ue todo el tr;fico asa or el
8
Santi Baztan Anzin Universidad Pblica de Navarra
mismo ca:le. ,e esta maneraC IEEE 802.1% 6a encontrado su entorno de alicacin m;s
imortante en este tio de redesC las inal;m:ricas.
/ara reali4ar el control de accesoC IEEE 802.1% seara el sistema en # elementos>
( )u#licante> @ue es el cliente @ue retende conectarse a la red.
( 1unto de acceso o autenticador> es el @ue reali4a el control de acceso
roiamente dic6o.
( )ervidor de autenticacin> es el @ue se encarga de tomar las decisiones de
autenticacin 3 autori4acin.
$l unto al @ue se conecta el cliente se le denomina uerto. &a red uede tener varios
uertos. En una &$N et6ernet or eAemloC cada conector de un s=itc6 es un osi:le
uerto.
Figura ": #odelo IEEE 802.1$ seg%n el Estndar IEEE.
El es@uema del funcionamiento de IEEE 802.1% es el @ue se uede o:servar en la
)igura #.
1.4.1 I... /0.1* en 9#!s WI-FI
*
Santi Baztan Anzin Universidad Pblica de Navarra
Figura &: Es'uea de autenticaci(n.
1.4.1.1 Funcionamiento
2uando un nuevo cliente se intenta conectar a la red inal;m:ricaC solo se le ermite
intercam:iar informacin de autenticacin 8ver )igura 49. Este tr;fico de autenticacin lo
reenv!a el unto de acceso al servidor de autenticacin v!a +$,I-.. En este servidor de
autenticacinC muc6as veces denominado servidor +$,I-.C es donde se reali4a la
autenticacin roiamente dic6a. &a autenticacin se reali4a e5tremo a e5tremo 8ver )igura
59 entre el servidor de autenticacin 3 el cliente inal;m:rico mediante el rotocolo de
autenticacin E$/ 8/rotocolo de $utenticacin E5tensi:le9C con el @ue se uede utili4ar
cual@uier m1todo de autenticacin comati:le con E$/.
Figura ): *apas en IEEE 802.1$
10
Santi Baztan Anzin Universidad Pblica de Navarra
-na ve4 efectuada la autenticacin entre cliente 3 servidor de autenticacinC 3 en
caso de @ue esta 6a3a sido satisfactoriaC el servidor de autenticacin env!a un mensaAe de
$utenticacin e5itosa al unto de acceso o autenticadorC @ue rocede a ermitir el acceso a
los servicios de la red al usuario correctamente autenticado.
Otro ro:lema @ue intenta solucionar IEEE 802.1% es el de la confidencialidad e
integridad de la informacin. /ara ello osi:ilita la asignacin de claves 'E/ de una
manera din;mica. Esto aorta un nivel imortante de seguridad a la red inal;m:ricaC 3a
@ueC aun@ue es osi:le descifrar las claves 'E/C no ser; de gran utilidad si ara cuando se
consigue descifrar una claveC esta 3a 6a cam:iado. En el 4 se descri:e el roceso seguido
ara @ue los dos e5tremos cono4can las claves a utili4ar en la comunicacin.
Est; mu3 e5tendida la idea de @ue IEEE 802.1% solo es necesario ara grandes
redesC las cuales tienen servidores de autenticacin dedicados. .in em:argoC un servidor de
autenticacin uede ser un e@ueHo roceso dentro del unto de acceso 8una simle lista de
usuarios 3 ass=ords or eAemlo9. En consecuenciaC tam:i1n uede ser adecuada la
imlementacin de IEEE 802.1% en e@ueHas redes como uede ser una red dom1sticaC en
la @ue no es necesaria la utili4acin de +$,I-.C 3a @ue el autenticador 3 el servidor de
autenticacin no tienen @ue enta:lar un di;logo a trav1s de la red. Est;n en la misma caAa
@ue es el unto de acceso.
1.4. 3#&I:S
+$,I-. o +emote $ut6entication ,ial In -ser .ervice. Esecificar e5actamente
@u1 es +$,I-. suele llevar a confusin en muc6as ocasiones. /ero a lo @ue nos solemos
referir cuando se 6a:la de +$,I-. es al rotocolo @ue se utili4a ara @ue el /unto de
$cceso se comuni@ue con el .ervidor de $utenticacin.
&o @ue 6ace +$,I-. es definir una serie de funcionalidades mu3 comunes en los
servidores de autenticacin 3 define un rotocolo @ue ermite acceder a esas
funcionalidades.
+$,I-. fue esecificado or la IET) 3 fue diseHado ara ser utili4ado en redes
T2/KI/.
+$,I-. fue diseHado ara reali4ar la comunicacin entre el servidor de
autenticacin 3 untos de acceso @ue sol!an ser modems dial(in. -n I./ retende dar
servicio al ma3or n?mero de clientes osi:le dando servicio dial(uC ero ara oder dar
ese acceso a un recio ra4ona:leC los modems se de:en colocar ra4ona:lemente cerca.
Estos modems se colocan en estaciones locales. /ara dar el acceso a la red se de:e reali4ar
una serie de oeraciones como la autenticacin. +$,I-. viene a dar solucin al ro:lema
de la gestin de la autenticacin ermitiendo crear un servidor central de autenticacin @ue
gestiona todo lo concerniente a la autenticacin. $ este servidor de autenticacin se le
suele denominar servidor +$,I-..
Esta misma estrategia es v;lida ara las redes inal;m:ricas.
+$,I-. fue diseHado ensando en dos escenarios distintos de autenticacin ///C
@ue eran /$/ 3 27$/ 8ver 1.#.4.29C los dos :astante inseguros or cierto. Es necesario
amliar los escenarios de autenticacinC 3a @ue se @uieren imlementar distintos tios de
11
Santi Baztan Anzin Universidad Pblica de Navarra
autenticacin mediante E$/. /ara oder soortar E$/C +$,I-. utili4a los mensaAes
access(c6allenge ara enviar los mensaAes E$/C tanto los re@uest como los resonses.
+$,I-. es lo suficientemente fle5i:le como ara oder reali4ar estas adataciones.
$un@ue solo 6a3 cuatro mensaAes distintosC el significado de los mismos uede variar
ostensi:lemente gracias a unos ar;metros de los mensaAes.
1.4..1 Servidor 3#&I:S
El servidor +$,I-. es un servidor de $$$ 8aut6enticationC autorisation and
accounting9. Es el servidor de autenticacin @ue como su nom:re indicaC reali4a las la:ores
de autenticacin de usuarios cuando el unto de acceso le env!a una eticin de
autenticacin. $dem;s de autenticarC uede reali4ar otras oeraciones en funcin del
m1todo de autenticacin @ue est1 utili4ando.
Estor servidores se comunican con el access oint mediante el rotocolo +$,I-..
1.3.2.1.1 (reeradius
El servidor )reeradius es un servidor +$,I-. de li:re distri:ucin. Es el servidor de
autenticacin @ue se va a utili4ar en el desarrollo de este ro3ecto. Este servidor tam:i1n
uede reali4ar las la:ores de ro53 del tr;fico IEEE 802.1%. Esto es mu3 interesante 3a
@ue ermite colocar el servidor de autenticacin(ro53C @ue reenv!e el tr;fico de
autenticacin a unoC o a varios servidores de autenticacin.
1.4.4 .#-
El /rotocolo de $utenticacin E5tensi:le 8E$/9 es el rotocolo @ue se utili4a ara
reali4ar el roceso de autenticacin entre el servidor de autenticacin 3 el cliente
inal;m:rico. NormalmenteC el servidor de autenticacin ser; un servidor +$,I-.C o
)reeradius en el caso del rototio @ue a@u! se desarrolla 8ver 49.
G;sicamenteC E$/ es un rotocolo @ue inicia 3 cierra el roceso de autenticacinC
deAando entre medio @ue los m1todos de autenticacin esec!ficos realicen la autenticacin.
Estos m1todos utili4an mensaAes E$/ ara reali4ar sus funciones. Esta caracter!stica es la
@ue 6ace @ue se denomine e5tensi:leC ues es osi:le imlementar cual@uier m1todo de
autenticacinC siemre @ue sea comati:le con E$/.
&a forma en la @ue de:en ser enviados los mensaAes E$/ no est; esecificada. /ara
remediar estoC los mensaAes E$/ se transortan utili4ando E$/ol 8E$/ over &$N9 entre el
cliente 3 el unto de accesoC 3 utili4ando +$,I-. entre el unto de acceso 3 el servidor de
autenticacin +$,I-..
1.4.; '<todos de autenticacin
En este aartado se reali4a una descricin de los m1todos esec!ficos de
autenticacin m;s e5tendidos. Estos m1todos de autenticacin se utili4an Aunto con E$/.
&os m1todos se suelen denominar como E$/(m1todo esec!fico 8E$/(T&.C E$/(TT&.C
E$/(0,5...9.
12
Santi Baztan Anzin Universidad Pblica de Navarra
Estos m1todos son los @ue utili4a el rotocolo E$/ ara reali4ar la autenticacin.
2omo se e5lica en el 4C E$/ es un rotocolo @ue ermite la utili4acin or encima de
cual@uier m1todo de autenticacin 82ual@uiera de nosotros uede diseHar un m1todo de
autenticacin ara E$/9. /or eso se denomina e5tensi:le.
1.4.;.1 .#--'&=
Este m1todo consiste en reali4ar un D6as6E con el login 3 la ass=ord en el cualC el
nom:re se transmite sin roteccin. Este m1todo slo sirve ara autenticar al cliente ante el
servidorC ero no ara autenticar al sistema frente al cliente.
No soorta asignacin de clave 'E/ din;mica. Esto es un grave ro:lema 3a @ue
actualmente 6a3 6erramientas @ue descifran estas claves en mu3 oco tiemoC or lo @ue si
esta no var!aC es una medida :astante deficiente ara aortar seguridad a la red.
Es un m1todo de autenticacin no aorta seguridad. Es susceti:le de ser atacado de
una manera :astante sencilla.
/or lo tantoC es un m1todo de autenticacin no recomenda:le 3 :astante desfasado.
.in em:argoC uede ser una :uena alternativa ara reali4ar la segunda fase de la
autenticacin en el m1todo E$/(TT&..
El nom:re se env!a sin roteccin. .uAeto a ata@ues de diccionarioC man(in(t6e(
midle.
1.4.;. ,+#-
Este m1todo es mu3 similar al anterior. .e :asa tam:i1n en login 3 ass=ordC 3
aun@ue no es un m1todo :ueno or s! soloC es interesante su utili4acin como segunda fase
de autenticacin del m1todo E$/(TT&.. Este es el m1todo utili4ado en este rototio ara
reali4ar la segunda fase de la autenticacin E$/(TT&..
1.4.;.4 9.#-
Es un rotocolo roiedad de 2isco @ue se :asa en el env!o de un nom:re de usuario
3 contraseHa or arte del cliente.
1.4.;.; -.#-
,e las siglas en ingl1s /rotected E$/. .e lante como una alternativa a E$/(T&.C
aun@ue realmente es m;s arecido a E$/(TT&..
Es un m1todo desarrollado or 0icrosoft 3 2isco.
.oorta asignacin de claves 'E/ din;micas 3 roorciona autenticacin mutua
entre sistema 3 clienteC ero solo necesita certificado del servidorC 3a @ue ara la
autenticacin del cliente se utili4a 0.(27$/ v2 @ue es la versin de miscrosoft del
m1todo 27$/.
1.4.;.= .#--19S
,esarrollada or 0icrosoft. Es el m1todo @ue m;s se esta utili4ando en estos ?ltimos
tiemos de:ido a @ue 'indo=s utili4a este m1todo en gran cantidad de ocasiones.
Este m1todo reali4a la autenticacin mediante certificados creados or una $utoridad
de 2ertificacin de confian4a. &a autenticacin es mutuaC es decirC se autentica tanto el
cliente como el servidor. $dem;sC ermite la asignacin din;mica de claves 'E/C
aumentando enormemente la seguridad.
1#
Santi Baztan Anzin Universidad Pblica de Navarra
Otra caracter!stica de este m1todoC es @ue no es necesario acceder a :ases de datos.
Esto uede suoner un ro:lema en algunos casos en los @ue interese tener un control de
acceso :asado en :ases de datos.
Este es uno de los m1todos con los @ue se tra:aAar; en este ro3ecto.
1.4.;.> .#--119S
.e :asa en el m1todo anterior E$/(T&.. En este casoC solo es necesario el
certificado del sistema o del servidor. -na ve4 reali4ada la autenticacin del servidorC se
reali4a un t?nel T&. or donde se reali4a el resto de la autenticacinC @ue consiste en una
autenticacin de segundo orden @ue se utili4a ara autenticar al cliente. En esta segunda
fase de la autenticacin se uede utili4ar un amlio a:anico de m1todos de autenticacinC
@ue utilicen login 3 ass=ordC como ueden ser md5C c6aC ms(c6aC etc.
El 6ec6o de utili4ar una autenticacin del cliente :asada en login 3 ass=ordC
ermite utili4ar este m1todo con las infraestructuras de :ases de datos e5istentes
actualmente. $dem;sC simlifica el roceso 3a @ue no 6a3 @ue o:tener certificados ara el
clienteC or lo @ue no es necesario @ue 6a3a un servidor de certificados.
.oorta tam:i1n asignacin din;mica de claves 'E/.
En conclusinC es un m1todo :astante seguro @ue a su ve4C ermite la autenticacin
:asada en login 3 ass=ord de una manera :astante sencilla.
Este m1todo tam:i1n se 6a imlementado en este ro3ectoC aun@ue ?nicamente ara
clientes con sistema oerativo &inu5. 'indo=s %/ or si solo no soorta este m1todo de
autenticacin.
1.4.;.? ,omparativa de los m<todos de autenticacin
,esu1s de ver el funcionamiento de los m1todos esec!ficos de autenticacinC se
uede concluir @ue los m1todos m;s convenientes ara aortar seguridad a la redC son
a@uellos @ue aortan autenticacin mutua 8cliente servidor9C or lo @ue los m1todos a riori
m;s interesantes son E$/(T&.C E$/(TT&. 3 /E$/. $ artir de a@u!C la eleccin del
m1todo vendr; determinada or el tio de credenciales cliente. .i se @uiere reali4ar una
autenticacin utili4ando certificado clienteC se utili4ar; E$/(T&.. .in em:argoC si se
@uiere utili4ar login 3 ass=ordC se de:er; utili4ar alguno de los otros dosC @ue a su ve4C
utili4an otro m1todo secundario. ,esde a@u! se aconseAa la utili4acin de E$/(TT&..
En este rototio se utili4an los m1todos E$/(T&.C 3 E$/(TT&. con 27$/ como
m1todo secundario.
E$/(0,5 &E$/ E$/(T&. E$/(TT&. E$/(/E$/
.olucin de
seguridad
Est;ndar /roietario Est;ndar Est;ndar Est;ndar
2ertificados(
2liente
No ( .i
No
8ocional9
No
8ocional9
2ertificados(
.ervidor
No ( .i .i .i
.eguridad Ninguna ,eficiente Guena Guena Guena
14
Santi Baztan Anzin Universidad Pblica de Navarra
$utenticacin
or :ase de
datos
.i .i No .i .i
Intercam:io
de llaves
'E/
din;mico
No .i .i .i .i
$utenticacin
mutua
No .i .i .i .i
Tabla 2: *oparati+a de ,todos de -utenticaci(n E-. .
Sistema #W!#S
2.1 Introduccin
El sistema $'N$. @ue se desarrolla en este ro3ecto es un sistema @ue se :asa en
IEEE 802.1% ara reali4ar la autenticacin mediante E$/ 3 utili4ando un m1todo
esec!fico de autenticacin seguro. Este m1todo de autenticacin ermite la asignacin
din;mica de claves 'E/C or lo @ue la seguridad ser; :astante elevadaC tanto a la 6ora de
reali4ar la autenticacinC como a la 6ora de mantener la rivacidad de los datos enviados
or la redC una ve4 efectuada la autenticacin.
El sistema tam:i1n incorora una serie de 6erramientas @ue ermiten una gestin
eficiente de la redC ermitiendo la asignacin de recursos a los clientes en funcin del tio
de cliente.
$ lo largo de este ca!tulo se anali4a el sistema $'N$. en su glo:alidad. El
ca!tulo se seara en dos artesC @ue son las dos artes diferenciadas del sistema comleto.
/rimero se estudia el sistema $'N$.C 3 osteriormente se 6ace lo mismo con los clientes
de este sistema.
,urante el ca!tulo se e5onen las 6erramientas utili4adasC sus instalacionesC
configuraciones 3 funcionamiento del rototio desarrollado.
2.2 Descricin ! "uncionamiento del sistema
#$%#&
El sistema $'N$. consta de varias artes @ue forman dic6o sistema. En la
siguiente figura se uede o:servar un es@uema del sistema $'N$. 3 del escenario con el
@ue se va a tra:aAar.
15
Santi Baztan Anzin Universidad Pblica de Navarra
Figura /: Es'uea del sistea -01-2.
El sistema roiamente dic6oC es el @ue se uede o:servar dentro del recuadro
e5ternoC 3 est; comuesto or un servidor &,$/C un servidor de $utenticacin )reeradiusC
un servidor )reeradius(/ro53C un servidor ,72/ 3 el $'N$.. En este rototioC todos
estos servidores est;n instalados en el mismo /2C ero odr!an estar en cual@uier otro
unto de la redC o en un I./.
El escenario se comleta con un unto de acceso 3 con un conAunto de clientes
inal;m:ricos @ue ueden ser tanto clientes &inu5 como 'indo=s %/. 2omo se 6a
comentado en la introduccinC esta es una de las novedades m;s imortantes de este
rototio.
..1 ,omunicacin entre componentes
Tan imortante como conocer la estructura del rototioC es conocer la manera en la
@ue se comunican estos comonentes. Esto es lo @ue se uede o:servar en la siguiente
figura.
Figura 3: *ounicaci(n entre los di+ersos coponentes del sistea.
16
Santi Baztan Anzin Universidad Pblica de Navarra
El servidor &,$/ o meAor dic6oC el servidor Oenlda 8ver 2.#.59C se comunica
mediante &,$/ con todos los comonentes @ue necesitan acceder a la informacin
almacenada en el directorio &,$/C @ue es la informacin de todos los untos de accesoC
I./sC erfiles 3 usuarios. $ e5cecin del servidor ,72/C todos los dem;s se comunican
con este servidor. El servidor de autenticacin accede a &,$/ ara o:tener los nom:res de
usuario 3 contraseHas ara reali4ar la autenticacin de un usuario. $'N$. accede al
directorio &,$/ ara configurar el sistemaC 3 el servidor ''' accede a &,$/ 3a @ue
los datos almacenados en este directorio se maniulan desde la 6erramienta de gestin
'EG.
&a comunicacin de autenticacin se reali4a de dos maneras diferentes. ,el cliente
inal;m:rico al unto de acceso se reali4a en modo E$/ol 8ver ane5o II9C 3 desde el unto
de acceso al )reeradius(/ro53C 3 de este al servidor de autenticacin )reeradius(aut6 en
modo +adius(E$/ 8ver ane5o II9.
,72/ se comunica directamente con el cliente una ve4 reali4ada la autenticacin.
.. Funcionamiento a alto nivel
2uando se inicia el sistemaC se deniega todo el tr;fico a e5cecin del tr;fico IEEE
802.1% @ue es redireccionado or el unto de acceso al servidor )reeradius(/ro53. 2uando
un cliente se incorora a la red inal;m:rica 3 retende conectarse a ellaC reali4a la eticin
al unto de accesoC 3 este a su ve4C lo reenv!a al )reeradius(/ro53C 3a @ue es tr;fico IEEE
802.1%. )reeradius(/ro53 catura la identidad del clienteC 3 contrasta el dominio de esta
identidad con los dominios @ue tiene en el arc6ivo ro53.conf 8ver 2.#.69. .i la identidad
coincide con alguna entradaC este tr;fico es redireccionado a la direccin I/ 3 uerto
adecuado donde se encuentra el servidor de autenticacin )reeradius(aut6. Este es el @ue se
encargar; de reali4ar la autenticacin del cliente.
El servidor de autenticacin efect?a la autenticacin con el clienteC 3 si es necesarioC
consulta los datos del directorio &,$/C donde se almacenan los datos del sistema 3 de los
clientes. En el caso de utili4ar el m1todo de autenticacin E$/(T&.C no ser; necesaria
ninguna consulta. .i se utili4a E$/(TT&. sin em:argoC s! @ue 6a:r; @ue consultar el login
3 ass=ord del cliente ara reali4ar la autenticacin.
-na ve4 reali4ada la autenticacinC 3 si esta 6a sido satisfactoriaC se le ermite la
cone5in al cliente 3 se reali4a la configuracin de la cone5in en funcin de los datos
almacenados en el directorio &,$/ ara este usuario.
$s!C el usuario @uedar; conectado a la redC ero estar; limitado or un fire=allC el
cual le ermitir; ?nicamente acceder a a@uellas direcciones ara las @ue tenga ermisoC 3
or un controlador de tr;fico @ue le asignar; m;s o menos anc6o de :anda en funcin de
los ermisos del cliente. /or lo @ueC una ve4 autenticadoC esta ser; la estructura de red ara
el cliente inal;m:rico reci1n autenticado.
1"
Santi Baztan Anzin Universidad Pblica de Navarra
Figura 8: Es'uea del sistea una +e4 reali4ada la autenticaci(n.
..4 'aterial y componentes utili$ados
El diseHo del sistema est; ensado tal 3 como se ve en la )igura 6C ara @ue cada
servidor ueda estar en un lugar f!sico de la red cual@uieraC es decirC los servidores ueden
situarse en cual@uier I./. ,e 6ec6oC en muc6os casos ser; conveniente @ue esto sea as!.
.in em:argoC ara reali4ar el ro3ectoC se 6a instalado todo en un mismo /2C de:ido a @ue
la infraestructura ara reali4ar esta imlementacin del sistema es menos costosa.
$ continuacin se detalla el material utili4ado ara el desarrollo de este ro3ecto>
1+ con sistema o#erativo 2inu3 Red 4at ,.2. Este es el /2 @ue se
6a utili4ado ara al:ergar a todo el sistema. Este /2 est; dentro de la red del
la:oratorio de Telem;ticaC mostrada en arte en la )igura *.