RADIUS
Juana Guerrero Gómez
José Ricardo Rodríguez Ramírez
Arnold Esteves Torres
José Miguel Martínez Pérez
Jesus Ismael Rangel Ramos
Valentin Silva Gonzalez
Introducción
Los ataques desde la red interna son peligrosos y más difíciles de prevenir que los ataques externos. Un atacante que se conecte en una red interna con un portátil se beneficia de nuestro ancho de banda para el acceso a la red de datos. Una forma de prevenir un ataque es implementar una función de autenticación en la Capa 2 del modelo OSI usando el protocolo 802.1X.
RADIUS
RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.
RADIUS
Normalmente, el protocolo Radius se utiliza para autenticar usuarios en escenarios dial-up. Pero Radius también es útil en entornos LAN: en combinación con 802.1X, Radius obliga a los usuarios a autenticarse a bajo nivel antes de que el switch abra el puerto.
RADIUS
Un switch habilitado con 802.1X y un servidor Freeradius es todo lo que necesitamos para implementar la autenticación en la Capa 2. Ya que la autenticación de la Capa 2 opera en el nivel local, y evita que los intrusos utilicen la red física sin autenticarse.
IEEE 802.1X
La IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos.
Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo de autenticación extensible (EAP– RFC 2284).
IEEE 802.1X
802.1X está disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos.
Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP.
IEEE 802.1X
Esta autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación sólo del cliente o, más apropiadamente, una autenticación mutua fuerte utilizando protocolos como EAP-TLS.
EAP
Extensible Authentication Protocol (EAP) es un framework de autenticación usado habitualmente en redes WLAN Point-to-Point Protoco (PPP). Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas, es más frecuentemente su uso en las primeras.
EAP
Cuando EAP es invocada por un dispositivo NAS (Network Access Server) capacitado para 802.1X, como por ejemplo un access point, los métodos modernos de EAP proveen un mecanismo seguro de autenticación y negocian un PMK (Pair-wise Master Key) en tre el dispositivo cliente y el NAS. En esas circunstancias, la PMK puede ser usada para abrir una sesión inalámbrica cifrada que usa cifrado TKIP o AES.
FreeRADIUS
FreeRADIUS es una buena opción a la hora de escoger un servidor Radius. Fué iniciado en 1999 por Alan DeKok y Miquel van Smoorenburg (quien colaboró anteriormente en el desarrollo de Cistron RADIUS), es una alternativa libre hacia otros servidores RADIUS, siendo uno de los más completos y versátiles gracias a la variedad de módulos que le componenen. Puede operar tanto en sistemas con recursos limitados así como sistemas atendiendo millones de usuarios.
FreeRADIUS
● FreeRADIUS fué el primer servidor Open Source de RADIUS en soportar EAP.
● FreeRADIUS ya tiene definido el estandar de como los servidores RADIUS deben administrar las sesiones EAP. Las versiones posteriores a la 2.0 soportan mas métodos EAP como cualquier otro servidor RADIUS comercial.
Instalación de FreeRADIUS
En ubuntu 12.04 la instalación es muy simple:
#apt-get install freeradius
Si todo va bien, debería poner los ficheros de configuración del servidor en /etc/freeradius. La primera cosa que Freeradius necesita hacer es permitir el acceso a los clientes Radius.
#nano clients.conf
Configuración de FreeRadius
Client 192.168.0.1{
secret=probando123
shortname=dlink
}
● 192.168.0.1 es la dirección del access point desde el cual nos conectarémos al servidor RADIUS, secret la contraseña y shortname el SSID.
Configuración de FreeRADIUS
Para configurar la lista de clientes que queremos que se conecten editamos el archivo users.
# nano users
"jguerrero"
Cleartext-Password := "123456"
Reply-Message = "Hola, %{User-Name}"
Configuración de FreeRADIUS
En el archivo eap.conf simplemente cambiamos el tipo de encriptado que lleva la contraseña, por default es md5.
Cambiar:
default_eap_type = md5
Por:
default_eap_type=peap
Configuración de FreeRADIUS
Reiniciar el FreeRADIUS:#/etc/init.d/freeradius stop
*Stopping FreeRADIUS daemon freeradius [OK ]
#/etc/freeradius/freeradius -X
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel
Listening on proxy address * port 1814
Ready to process requests.
Configurar Router D-Link DIR-600
Configurar Router D-Link DIR-600
Establecer conexión
Establecer conexión
CONCLUSIONES
● Se obtiene un mayor control de las entradas a la red inalámbrica.
● Se genera un ambiente de seguridad tanto para el administrador como para los usuarios conectados.
● Se puede aumentar la potencia de la señal de cobertura para que todos los usuarios tengan una buena recepción sin temor de que alguien ajeno se conecte aprovechando el aumento del área de cobertura.
CONCLUSIONES
● La seguridad en la red inalámbrica es mucho más robusta que otros métodos de autenticación.
● El tiempo para la conexión no es más grande que otros tipos de autenticación similares.
● El software necesario para el entorno de seguridad se puede obtener sin costo.
BLIBLIOGRAFÍA
● FREE SOFTWARE MAGAZINEhttp://www.freesoftwaremagazine.com/articles/howto_incremental_setup_freeradius_server_eap_authentications
● FreeRADIUS Version 2 Documentation http://freeradius.org/doc/
● http://es.wikipedia.org/wiki/RADIUS
● http://es.wikipedia.org/wiki/Extensible_Authentication_Protocol
● http://www.zeroshell.net/es/radiusdetails/
● http://es.wikipedia.org/wiki/IEEE_802.1X
● http://support.dlink.com/emulators/wbr2310/support_internet.htm–