TECNOLÓGICO NACIONAL DE MÉXICO

INSTITUTO TECNOLÓGICO DE TIJUANA

SUBDIRECCIÓN ACADÉMICA
DEPARTAMENTO DE SISTEMAS Y COMPUTACIÓN
PERIODO: Enero – Junio 2018

Administración de Redes
SCA-1002 SC8A

Sistema de Autenticación y Autorización de Red

Ayala Sandoval Jesús Eduardo

M.C. Arenas Campis Christian Alonso

Instituto Tecnológico de Tijuana, Calzada Tecnológico s/n entre Calle Cuauhtemotzin y Av. Chapultepec, Fracc. Tomás Aquino
C.P. 22414, Tijuana, Baja California, México
 Indice

1. Introducción……………………………………………………………………………………………………. 3

2. Problematica…………………………………………………………………………………....……………… 3

3. Objetivos……………………………………………………………………………………......……………… 3

4. Hipotesis……………………………………………………………………………………......……………… 3

5. Justificación…………………………………………………………………………………….……………… 3

6. Marco Teórico…………………………………………………………………………………..……………... 4

6.1 Portal Cautivo……………………………………………………………………………....……………… 4

6.2 DNS………………………………………………………………………………………...……………… 4

6.3 DHCP……………………………………………………………………………………....……………… 4

6.4 HTTP……………………………………………………………………………………….……………… 4

6.5 LAN………………………………………………………………………………………...……………… 5

6.6 WLAN……………………………………………………………………………………...……………… 5

6.7 Router……………………………………………………………………………………....……………… 5

6.8 Firewall……………………………………………………………………………………..……………… 5

6.9 PfSense……………………………………………………………………………………..……………… 6

7. Metodología…………………………………………………………………………………….……………… 6

7.1 Análisis de procesos………………………………………………………………………..……………… 7

1
8. Módulos………………………………………………………………………………………...……………… 7

9. Resultados……………………………………………………………………………………....……………… 7

9.1 Unidad I…………………………………………………………………………………….……………… 7

9.2 Unidad II…………………………………………………………………………………....……………… 8

9.3 Unidad III…………………………………………………………………………………..……………… 8

9.4 Unidad IV…………………………………………………………………………………..……………… 8

10. Conclusión…………………………………………………………………………………….……………… 8

11. Anexos………………………………………………………………………………………...……………… 9

12. Referencias…………………………………………………………………………………....……………… 10

2
3
 Resumen—El objetivo de este proyecto es
crear una red con un sistema de autentificación
y autorización de usuarios utilizando los
principales estándares y protocolos de
seguridad utilizados en la actualidad.
Palabras clave:
Red LAN; Red WLAN; Protocolo; Servidor;
Portal Cautivo.
Introducción
El presente trabajo de investigación pretende
realizar un diseño e implementación de un sistema
de autentificación de usuarios, deberá tener el
control de quien pueda estar visionando o
manipulando cierta información, además deberá
estar preparado para autenticar la identidad de una
persona, es decir, capacidad para decidir si esa
persona es quien dice ser. Generalmente, cuando
un usuario quiere acceder al sistema, se le solicita
una contraseña secreta, la cual permitirá el acceso.
Problemática
Las tecnologías de la información y comunicación
han ido evolucionando a grandes pasos y el
volumen de información que se maneja hoy es
mucho más grande.
Hoy en día las redes se utilizan para el manejo de
diversa información, una con más importancia que
otra así como transacciones, cuentas de banco,
registros, respaldos. Por lo que el tema de
seguridad es muy importante, ya que ayuda a
mantener a usuarios no deseados fuera de ella y de
esta manera evitar la pérdida de información
importante que viaje por la red.
Objetivo general
Diseñar e implementar una red de área local
(LAN) con un sistema de autentificación y
autorización de usuarios.
Objetivos específicos
● Proteger la información que viaja por una
red por medio de un sistema de
autentificación
● Realizar pruebas para comprobar el
funcionamiento de la red así como su
efectividad.
● Implementar un servicio de portal cautivo.
● Establecer reglas para denegar accesos no
autorizados.
● Determinar políticas para la creación de
credenciales.
● Configurar una red de área local.
Hipótesis
La implementación de un sistema de
autentificación de usuarios permite controlar el
acceso a los diferentes servicios ofrecidos dentro
de la red de una manera ágil y eficiente.
Justificación
El modelo de autenticación consiste en decidir si
un usuario es quien dice ser, basándose en una
prueba de conocimiento que solo dicho usuario
puede responder. Esta prueba no es más que una
contraseña secreta.
En todos los esquemas de autenticación basados
en contraseña se cumple el mismo protocolo, en
donde las entidades que lo identifican incluyen
una clave, dicha clave se debe mantener en secreto
si se desea que la autenticación sea fiable. Si la
contraseña es correcta, se le otorga el acceso a un
servicio dentro de la red, de lo contrario será
denegado.
4
Marco Teórico
Portal Cautivo
Un portal cautivo es una aplicación utilizada
generalmente en redes inalámbricas abiertas
(hotspots) para controlar el acceso a la misma,
aunque también puede utilizarse en redes
cableadas. Por un lado, se utiliza para presentar al
usuario alguna información de interés
(información corporativa, políticas de uso, etc.) y
por otro le permite al usuario facilitar al sistema
sus credenciales de acceso. Al utilizar un
navegador web en lugar de un programa
personalizado para la interacción entre el usuario y
el sistema, se consigue una gran versatilidad en
cuanto a equipos y sistemas operativos.
Normalmente un portal cautivo consta de dos
partes: una puerta de enlace (gateway) y un
servidor de autenticación. El gateway gestiona las
reglas de cortafuegos, denegando el acceso a la red
a los usuarios no identificados y estableciendo qué
puertos y protocolos están permitidos a los
usuarios autorizados. El gateway se conecta con el
servidor de autenticación que realiza la
comprobación de los datos de usuario, bien
utilizando una base de datos local o consultando a
un servidor Radius, para permitir o denegar el
acceso a la red, así como asignar algunas
restricciones como un límite de tiempo o un ancho
de banda determinado.
DHCP
Es una extensión del protocolo Bootstrap
(BOOTP) para conectar dispositivos como
terminales y estaciones de trabajo sin disco duro
con un Boot Server, del cual reciben su sistema
operativo. El DHCP se desarrolló como solución
para redes de gran envergadura y ordenadores
portátiles y por ello complementa a BOOTP, entre
otras cosas, por su capacidad para asignar
automáticamente direcciones de red reutilizables y
por la existencia de posibilidades de configuración
adicionales.
La asignación de direcciones con DHCP se basa
en un modelo cliente-servidor: el terminal que
quiere conectarse solicita la configuración IP a un
servidor DHCP que, por su parte, recurre a una
base de datos que contiene los parámetros de red
asignables. Este servidor, componente de
cualquier router ADSL moderno, puede asignar
los siguientes parámetros al cliente con ayuda de
la información de su base de datos:
● Dirección IP única
● Máscara de subred
● Puerta de enlace estándar
● Servidores DNS
● Configuración proxy por WPAD (Web
Proxy Auto-Discovery Protocol)
DNS
el sistema de Internet para convertir nombres
alfabéticos en direcciones IP numéricas. Por
ejemplo, cuando se escribe una dirección web
(URL) en un navegador, los servidores DNS
devuelve la dirección IP del servidor web asociado
con ese nombre.
El sistema DNS es una jerarquía de servidores de
bases de datos duplicados en todo el mundo que
comienza con los "servidores raíz" para los
dominios de nivel superior (.com, .net, .org, etc.).
Los servidores raíz apuntan a los servidores
"autorizados" ubicados en los ISP, así como en las
grandes empresas, que convierten los nombres en
direcciones IP; el proceso conocido como
"resolución de nombre".
HTTP
El protocolo de transferencia de hipertexto
(HTTP) es un protocolo de capa de aplicación
para transmitir documentos hipermedia, como
HTML. Fue diseñado para la comunicación entre
navegadores web y servidores web, pero también
se puede utilizar para otros fines. HTTP sigue un
modelo clásico de cliente-servidor , con un cliente
abriendo una conexión para realizar una solicitud,
luego esperando hasta que reciba una respuesta.
HTTP es un protocolo sin estado , lo que significa
5
que el servidor no conserva ningún dato (estado)
entre dos solicitudes. Aunque a menudo se basa en
una capa TCP / IP, se puede usar en cualquier capa
de transporte confiable.
LAN
Una red de área local (Local Area Network, o
LAN) es un grupo de equipos de cómputo y
dispositivos asociados que comparten una línea de
comunicación común o un enlace inalámbrico con
un servidor. Normalmente, una LAN abarca
computadoras y periféricos conectados a un
servidor dentro de un área geográfica distinta,
como una oficina o un establecimiento comercial.
Las computadoras y otros dispositivos móviles
utilizan una conexión LAN para compartir
recursos como una impresora o un
almacenamiento en red.
Una red de área local puede servir a sólo dos o tres
usuarios (por ejemplo, en una red de oficina
pequeña) o a varios cientos de usuarios en una
oficina más grande. Las redes LAN incluyen
cables, conmutadores, enrutadores y otros
componentes que permiten a los usuarios
conectarse a servidores internos, sitios web y otras
redes LAN a través de redes de área extensa
(WAN).
WLAN
Es una sigla de la lengua inglesa que alude a
Wireless Local Area Network, una expresión que
puede traducirse como Red de Área Local
Inalámbrica. Como la denominación lo señala, una
WLAN es una red de tipo local cuyos equipos no
necesitan estar vinculados a través de cables para
conectarse.
La WLAN es un tipo específico de LAN. La
conexión se realiza utilizando ondas de
radiofrecuencia. Como son redes inalámbricas,
suelen posibilitar que los usuarios tengan una
amplia movilidad, ya que no dependen de cables o
elementos físicos para permanecer en la red. La
ausencia de cables también contribuye a mantener
un orden o una organización en la oficina o el
ambiente en cuestión.
Router
En las redes con conmutación de paquetes , como
Internet, un enrutador es un dispositivo o, en
algunos casos, un software en una computadora,
que determina la mejor forma de reenviar un
paquete a su destino.
Un enrutador conecta redes. En función de su
conocimiento actual del estado de la red a la que
está conectado, un enrutador actúa como un
despachador ya que decide de qué forma enviar
cada paquete de información. Un enrutador se
encuentra en cualquier puerta de enlace (donde
una red se encuentra con otra), incluido cada punto
de presencia en Internet. Un enrutador a menudo
se incluye como parte de un conmutador de red.
Firewall
Es una pared hecha de ladrillo, acero u otro
material inflamable que evita la propagación de un
incendio en un edificio. En informática, un
firewall tiene un propósito similar. Actúa como
una barrera entre un sistema o red de confianza y
conexiones externas, como Internet. Sin embargo,
un firewall de computadora es más un filtro que un
muro, lo que permite que los datos confiables
fluyan a través de él.
Se puede crear un firewall utilizando hardware o
software. Muchas empresas y organizaciones
protegen sus redes internas utilizando firewalls de
hardware. Se puede usar un firewall simple o
doble para crear una zona desmilitarizada (DMZ),
lo que evita que los datos no confiables lleguen a
la LAN. Los firewalls de software son más
comunes para usuarios individuales y se pueden
configurar de manera personalizada a través de
una interfaz de software. Tanto Windows como
OS X incluyen firewalls incorporados, pero se
pueden instalar utilidades de firewall más
avanzadas con software de seguridad de Internet.
PfSense
6
Es una distribución personalizada de FreeBSD
adaptado para su uso como Firewall y Router. Se
caracteriza por ser de código abierto,
puede ser instalado en una gran variedad de
ordenadores, y además cuenta con una interfaz
web sencilla para su configuración. El proyecto es
sostenido comercialmente por Electric Sheep
Fencing LL
Metodología
Para la realización de este proyecto se utilizó la
metodología CCPM (Critical Chain Project
Management) o cadena crítica la cual es la que
mejor se adaptó a la naturaleza del proyecto así
como también cubre las necesidades y requisitos
de trabajo del equipo.
CCPM (Critical Chain Project Management) o
cadena crítica es un método de gestión de
proyectos que se basa en el análisis aplicado a la
etapa de planificación. A diferencia de otras
técnicas empleadas en la administración de
proyectos, como Gantt o Pert / CPM, que llevan
utilizándose desde antes de la década de los
sesenta, esta metodología, la de la cadena crítica,
es relativamente joven.
Eliyahu M. Goldratt publicó en 1997 su obra
más conocida, "Critical chain", donde se expone
en qué consiste este método, basado en la teoría de
las limitaciones. Su conocimiento en la materia le
permitió desarrollar los algoritmos necesarios para
garantizar proyectos finalizados en la mitad de
tiempo y con una economía de, en ocasiones, un
50% menos de recursos utilizados.
El origen de los proyectos fuera de plazo
Goldratt descubrió que es bastante habitual el
hecho de que los proyectos se alarguen hasta su
plazo máximo. Ello provoca que sea más plausible
el sufrir retrasos ocasionados por otras
circunstancias cuyo origen está fuera del control
del project manager.
Observando los patrones que se repiten, llegó a la
conclusión de que el origen de los retrasos en
cualquier proyecto proviene de:
● El síndrome del estudiante: que provoca
que el inicio de cada actividad se vaya
postergando hasta el último momento,
causando el que los resultados no puedan
obtenerse hasta alcanzar el plazo máximo
fijado para cada tarea o, en el peor de los
casos, que lleguen con retraso.
● La Ley de Parkinson: que prueba que por
norma general, el trabajo se expande hasta
cubrir todo el tiempo asignado para su
consecución.
Ambas circunstancias tienen graves
consecuencias para un proyecto y dificultan su
gestión ya que:
● Son la causa de retrasos.
● Implican el sobrecoste y un aumento en el
uso de recursos disponibles.
● Pueden afectar al buen curso de otras
actividades dentro del planning,
especialmente cuando existen
dependencias entre ellas.
La solución es aplicar el método de la cadena
crítica, que define el plazo mínimo en que un
proyecto puede terminarse e impone las
restricciones que consiguen forzar a no perder
alineación con esa secuencia de actividades de
menor duración. De esta forma se consigue
superar los obstáculos más habituales que pueden
terminar abocando un proyecto al fracaso.
Las principales variables a controlar en un
proyecto quedan cubiertas por el método de la
cadena crítica.
● Alcance: implica el control de cada
actividad considerada crítica.
● Trabajo: se resume en el análisis del
tiempo necesario para garantizar la
ejecución de cada actividad.
7
 ● Costes: haciendo especial hincapié en la
acumulación de gasto.
● Calidad: basada en el seguimiento
continuo que detecte a tiempo cualquier
desviación.
● Riesgo: minimizarlo requiere de un control
que la aplicación de esta metodología
proporciona.
● Calendario de eventos: monitorizar su
materialización de acuerdo al planning
aportará indicios sobre el ajuste temporal
del total del proyecto.
En comparación con otros métodos de gestión
de proyectos, CCPM ofrece mayores garantías
de éxito en cuanto a:
● Entrega dentro de plazo.
● Ahorro de recursos.
● Minimización del riesgo.
Son muchos los proyectos que se han beneficiado
de la implementación de esta técnica que, sin
embargo, también cuenta con detractores. Quizás
quienes no aconsejan apostar por ella se centran en
el cambio de mentalidad que implica que,
prácticamente, obliga a pensar al revés de como se
acostumbra en lo concerniente a la ejecución de
un proyecto.
Sin embargo, los resultados prueban que merece la
pena darle la vuelta a la perspectiva tradicional y
hacer ese esfuerzo extra en la planificación, que se
ve recompensado con creces en el balance global.
Unidad I
En esta unidad se pretende crear una red LAN que
cuente con un sistema de autenticación y
autorización de usuarios donde se puedan utilizar
los servicios que se ofertan dentro de la red.
Para ello se utilizarán los siguientes componentes:
1. Computadora (Laptop)
a. Tarjeta de red alámbrica
b. Tarjeta de red inalámbrica
2. Punto de acceso inalámbrico
3. Cable de red
4. Un router y firewall de tipo software
(pfSense)
Para ver esquema de la red ver el anexo 1.
En la computadora con las 2 tarjetas de red se
montará una máquina virtual con el software que
funcionará como router y firewall llamado
pfSense.
El router será configurado para que tenga un
servidor DHCP el cual será quien asigne la
dirección IP al punto de acceso y a los clientes de
la red a través del punto de acceso. El servidor
DNS estará conectado directamente al router para
asociar las direcciones IP con un nombre.
Finalmente habrá un firewall que al detectar un
intento de conexión a la red redirigirá todo el
tráfico HTTP al sistema de autenticación.
En el mismo equipo una tarjeta de red deberá estar
conectada a internet (o algún otra red que le
proporcione una dirección IP) y la otra al punto de
acceso.
En la máquina virtual, la interfaz de red WLAN
estará conectada en modo puente a la tarjeta con
internet del equipo. La otra interfaz de red LAN,
deberá estar conectada al punto de acceso. En este
se desactivará la función de DHCP y se le pondrá
una IP fija dentro del rango que repartirá el DHCP
del sistema de pfsense.
Lo último será montar un portal cautivo en el
puerto 8002 de la computadora que administra la
red.
El flujo para la red se muestra en el anexo 2.
Unidad II
Configuración de dispositivos WLAN
Esta unidad, se busca crear una red WLAN que
permitirá a los dispositivos unirse a la red interna
propuesta, esto se realizará configurando un punto
de acceso; además, se configurará el router que
8
permitirá enlazar pfsense con el punto de acceso
para gestionar y utilizar correctamente la red.
Estándares y protocolos utilizados:
Para la configuración inalámbrica se optó por una
configuración de protocolos mixta,
● 802.11b, que cuenta con velocidad máxima
de transmisión de 11 Mbps.
● 802.11g, que cuenta con una velocidad
teórica máxima de 54 Mbit/s.
● 802.11n, que tiene una velocidad real de
transmisión podría llegar a los 600 Mbps.
Y se configuró el router como puede observarse en
el anexo 3.
● WPS Desactivado, para mantener la
autenticación a la red mediante WiFi
unicamente
● WPA2-PSK AES fue el protocolo
designado dado que es el estándar más
seguro, dado que no puede descifrarse con
fuerza bruta alv.
● Filtrado por MAC, para asegurar que solo
ciertos dispositivos tengan acceso.
● Se configuró la puerta de enlace
predeterminada
● Y
● se dio un rango de direcciones IP entre
100 y 199, limitando las direcciones que se
pueden utilizar.
Unidad III
Análisis y monitoreo.
Esta sección comprende la parte de la seguridad,
especificamente seguridad inalámbrica.
A la red desarrollada se le aplicaron las siguientes
medidas de seguridad:
● Filtrado por MAC
○ Se hará uso de la lista blanca, en
donde todas las direcciones que se
encuentren dentro de la misma,
tendrán acceso a la red interna.
● Firewall
○ El router cuenta con un firewall
incorporado que entre sus tareas
como firewall, también analiza los
paquetes de datos que tienen un
comportamiento fuera de lo normal.
● Análisis de paquetes
○ Se analiza el tráfico de la red
utilizando wireshark en tiempo real
y otras funcionas de análisis.
● Aircrack-ng
○ Para hacer una auditoría de
seguridad utilizamos esta suite con
herramientas específicas para
explotar vulnerabilidades de una
red.
● Nmap
○ Otra herramienta de análisis de red
es nmap. Con ella pudimos explorar
y explotar también,
vulnerabilidades en la red.
Unidad IV
Seguridad básica
En esta última etapa se evaluó el rendimiento de la
red y en base a los resultados obtenidos, se
establecieron ciertas políticas de seguridad para
salvaguardar la integridad de la información y la
de los dispositivos dentro de la red.
Se evaluaron los siguientes aspectos:
1) Ataques por repetición: ocurre cuando un pirata
informático copia una secuencia de mensajes entre
dos usuarios y envía tal secuencia a uno o más
usuarios. A menos que esto sea minimizado, el
sistema atacado procesa este comportamiento
como mensajes legítimos y producen respuestas
como pedidos redundantes.
2) Ataques de modificación de bits: se basan en las
respuestas predecibles de las estaciones receptoras.
El pirata modifica bits de un mensaje para enviar
un mensaje cifrado erróneo a la estación receptora,
y éste se puede comparar entonces contra la
respuesta predecible para obtener la clave a través
de múltiples repeticiones.
3) Ataques de denegación de servicio (DOS,
Denial of Service): consiste en colapsar total o
9
parcialmente a un servidor para que éste no pueda
dar respuesta a los comandos (no para sacar de él
información). En la red internet, esto puede
lograrse saturando un solo servidor con múltiples
Figura 2. Flujo de red.
solicitudes desde múltiples ordenadores. Como el
servidor es incapaz de responder a todas las
solicitudes, colapsa. En las redes inalámbricas,
esto se logra también provocando ruido: se coloca
un teléfono a 2,4 GHz cerca del punto de acceso e
iniciar una llamada. La energía de radiofrecuencia
provocada es suficiente para bloquear de manera
efectiva gran parte del tráfico de datos en el punto
de acceso.
4) Ataques de diccionario: en ciertos modelos de
Figura 3. Configuracion Router
autenticación de datos, para ingresar al sistema la
contraseña se mantiene en secreto, mientras que el
nombre de usuario es enviado en forma de texto
simple y es fácilmente interceptable. En este caso,
el pirata informático obtiene distintos nombres de
usuarios y con ellos, desde un ordenador, empieza
a adivinar las contraseñas con base en palabras de
diccionarios en distintos idiomas. Este ataque es
exitoso en gran medida porque muchos usuarios
utilizan contraseñas poco creativas.

Anexos

Figura 4. Configuración de la red

Figura. 1. Esquema de la red.

10
 Figura 5. Filtrado MAC

Figura 6. Configuracion de Router/DHCP

11
Referencias [6] Margaret Rouse
[1] Víctor M. Delgado Lorent, http://searchdatacenter.techtarget.com/es/definicion/Red-de-
https://www.uco.es/aulasoftwarelibre/375-implementacion- area-local-LAN
de-un-portal-cautivo-con-wifidog/ TechTarget, LAN, (2005-2018)
Cyphereasy, Portal Cautivo (2014)
[7] Margaret Rouse
[2] 1&1 http://searchnetworking.techtarget.com/definition/router
https://www.1and1.mx/digitalguide/servidores/configuracion TechTarget, Router, (2000-2018)
/que-es-el-dhcp-y-como-funciona/
Digital Guide, DHCP (2017) [8] Christensson, P https://techterms.com/definition/firewall
Tech Terms, Firewall, (2014)
[3] Encyclopedia,
https://www.pcmag.com/encyclopedia/term/41620/dns [9] Sam Kear
Ziff Davis, DNS, (1981- 2018) https://turbofuture.com/computers/Introduction-to-pfSense-
An-Open-Source-Firewall-and-Router-Platform
[4] Concepto Definicion http://conceptodefinicion.de/http/ TurboFuture, Pfsense, (2018)
Venemedia, HTTP, (2014)
[10]UniversidaddeBarcelona.ProyectManagment.[online].Di
[5] Julián Pérez Porto y María Merino sponible:https://www.obs-edu.com/int/blog-project-
https://definicion.de/wlan/ management/cadena-critica/cadena-critica-metodo-para-
Definición de, WLAN, (2017) gestionar-los-proyectos-con-mayor-rapidez-y-menos-
recursos,(2016)

12