ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO

Facultad de Informática y Electrónica

Escuela de Ingeniería Electrónica

TELECOMUNICACIONES Y REDES

PORT AUTHENTICATION

NOMBRE: Rodrigo García 245989

Riobamba-Ecuador

RESUMEN

En este escenario implementaremos port authentication para lo cual necesitamos un servidor Radius (Remote Authentication Dial-In User Service)

Además de levantar los servicios de apache

MARCO TEORICO

Port AuthenticationLa autenticación 802.1X implica tres partes: un suplicante, un autenticador, y un servidor de autenticación. The supplicant is a client device (such as a laptop) that wishes to attach to the LAN/WLAN - though the term 'supplicant' is also used interchangeably to refer to the software running on the client that provides credentials to the authenticator. El suplicante es un dispositivo del cliente (como un ordenador portátil) que desea conectar a la red LAN / WLAN - aunque 'suplicante' el término también se utiliza indistintamente para referirse al software que se ejecuta en el cliente que proporciona las credenciales al autenticador. The authenticator is a network device, such as an Ethernet switch or wireless access point; and the authentication server is typically a host running software supporting the and protocols. El autenticador es un dispositivo de red, tales como un conmutador Ethernet o punto de acceso inalámbrico y el servidor de autenticación es típicamente un host que ejecuta el software de soporte del RADIUS y protocolos EAPOL.

El autenticador actúa como un guardia de seguridad a una red protegida. The supplicant (ie, client device) is not allowed access through the authenticator to the protected side of the network until the supplicant's identity has been validated and authorized. El suplicante (es decir, el dispositivo cliente) no se permite el acceso a través del autenticador al lado protegido de la red hasta que la identidad del suplicante ha sido validado y autorizado.

EAPOL opera en la parte superior de la capa de enlace de datos , es decir, en la capa de red , y en Ethernet tiene una EtherType de 0x888E.

Progresión de autenticación Típica

1. Initialization On detection of a new supplicant, the port on the switch (authenticator) is enabled and set to the "unauthorized" state. Inicialización en la detección de un suplicante nuevo, el puerto del conmutador (autenticador) está activado y ajustado a un estado de "no autorizado". In this state, only 802.1X traffic is allowed; other traffic, such as and , is dropped. En este estado, sólo se permite tráfico 802.1X, el resto del tráfico, tales como DHCP y HTTP , se ha caído.

2. Initiation To initiate authentication the authenticator will periodically transmit EAP-Request Identity frames to a special Layer 2 address on the local network segment.Para iniciar la autenticación del autenticador periódicamente transmitirá EAP-Solicitud de marcos de identidad a una especial dirección de Capa 2 en el segmento de red local. The supplicant listens on this address, and on receipt of the EAP-Request Identity frame it responds with an EAP-Response Identity frame containing an identifier for the supplicant such as a User ID. El suplicante escucha en esta dirección, y tras la presentación del marco EAP-Solicitud de identidad que responde con un marco EAP-respuesta de identidad que contiene un identificador para el suplicante, como un ID de usuario. The authenticator then encapsulates this Identity response in a RADIUS Access-Request packet and forwards it on to the authentication server. El autenticador a continuación resume esta respuesta de identidad en un paquete RADIUS de petición de acceso y los envía al servidor de autenticación. The supplicant may also initiate or restart authentication by sending an EAPOL-Start frame to the authenticator, which will then reply with an EAP-Request Identity frame. El suplicante también puede iniciar o reiniciar la autenticación mediante el envío de un marco de EAPOL-Start para el autenticador, que le responderán con un marco EAP-Solicitud de identidad.

3. Negotiation (Technically EAP negotiation) The authentication server sends a reply (encapsulated in a RADIUS Access-Challenge packet) to the authenticator, containing an EAP Request specifying the EAP Method (The type of EAP based authentication it wishes the supplicant to perform). Negociación El servidor de autenticación envía una respuesta (encapsulado en un paquete de acceso-Challenge RADIUS) para el autenticador, que contiene una solicitud de EAP que especifica el método de EAP (El tipo de autenticación basada en EAP que desea realizar el suplicante). The authenticator encapsulates the EAP Request in an EAPOL frame and transmits it to the supplicant. El autenticador encapsula la solicitud de EAP en un marco de EAPOL y lo transmite al suplicante. At this point the supplicant can NAK the requested EAP Method and respond with the EAP Methods it is willing to perform, or start the requested EAP Method.

4. Authentication If the authentication server and supplicant agree on an EAP Method, EAP Requests and Responses are sent between the supplicant and the authentication server (translated by the authenticator) until the authentication server responds with either an EAP-Success message (encapsulated in a RADIUS Access-Accept packet), or an EAP-Failure message (encapsulated in a RADIUS Access-Reject packet). Si la autenticación es correcta, el autenticador define el puerto a la "autorización" del estado y el tráfico normal se permite, si no se realiza correctamente el puerto permanece en el "no autorizado". When the supplicant logs off, it sends an EAPOL-logoff message to the authenticator, the authenticator then sets the port to the "unauthorized" state, once again blocking all non-EAP traffic. Cuando el suplicante cierra la sesión, envía un mensaje EAPOL-cierre de sesión al autenticador, el autenticador a continuación, establece el puerto hasta el "no autorizado", una vez más el bloqueo de todo el tráfico no-EAP.

DESARROLLO DE LA PRÁCTICA

1. Montar la topología con nuestros equipos como se muestra en la figura.

2. Asignar a cada dispositivo final una dirección ip de la red 172.16.1.0/243. Levantar el servidor apache

4. Acepte el puerto y el estado de servicio recomendados. Haga clic en Siguiente.5. Acepte la instalación típica predeterminada y haga clic en Siguiente.6. Verifique el servidor Web.

El comando netstat mostrará estadísticas de protocolo e información de conexión para este equipo de laboratorio.En cmd utilice el comando netstat –a para descubrir puertos abiertos y conectados enel equipo.

C:\>netstat -aConexiones activasProto Dirección local Dirección remota EstadoTCP GW-desktop-hom:http GW-desktop-hom:0 LISTENINGTCP GW-desktop-hom:epmap GW-desktop-hom:0 LISTENINGTCP GW-desktop-hom:microsoft-ds GW-desktop-hom:0 LISTENINGTCP GW-desktop-hom:3389 GW-desktop-hom:0 LISTENING

<resultado omitido>C:\>

7. Abra un navegador Web y conéctese al URL de su equipo.

8. Instalar y configurar Tekradius

Primera pantalla de TekRADIUS

Seleccione la carpeta de instalación

Informacion del Tek

Instalacion satisfactoria

Configuración(TEK radius iniciando)

Coneccion con SQL Se debería configurar la conexión primero a SQL. Ingrese la siguiente información.SQL Connection settings

SQL Server: Se puede ingresar una dirección ip o FQDN del servidor SQL. Se puede seleccionar detectar SQL servers desde la lista. De un clic en actualizar para re-detectar SQL servers en una maquina local y red local. Si tu servidor SQL server esta instalado en algún otro servidor o tu puedes también ingresar “Localhost” Username: Ingrese SQL username para conectar SQL server. Si tu SQL server esta configuradoComo soporte local Windows Integrated Authentication, tu necesitas cambiar la configuración para que soporte username/password basado en authentication. TU puedes cmbiar por defecto authentication.Password:Ingresae password de SQL usarioTimeout: Ingrese el tiempo de desconeccion (En segundos) para SQL Server. Por defecto el valor es 30 segundos

9. Configurar 802.1x en el switch

Switch(config)# aaa new-modelSwitch(config)# radius-server host 172.16.1.100 key ClassSwitch(config)# aaa authentication dot1x default group radius

Switch(config)# dotx system-auth-controlSwitch(config)# interface range fa 0/1 - 24Switch(config-if)# switchport mode accessSwitch(config-if)# dot1x port-control auto

CONCLUSIONES

Para el servidor TEkRADIUS se puede crear la base de datos en el SQL server y luego conectarla al Tek, o por otro lado el mismo server Tek nos puede dar creando la DB y los grupos de usuarios.

RECOMENDACIONES

Para poder instalar TeckRadius se deb tener en cuenta que nuestra maquina esta actualizada con .Net framework 4 o superior y SQL server

Borrar todas configuraciones existentes en los switch para el inicio de la práctica. Observar el estado del firewall de cada PC de la red para pruebas de conectividad ,

especialmente en WIN Seven.

BIBLIOGRAFIA

Currícula ccna3 /CCNA Exploration v4.0 MODULE 3