RADIUS

Juana Guerrero Gómez

José Ricardo Rodríguez Ramírez

Arnold Esteves Torres

José Miguel Martínez Pérez

Jesus Ismael Rangel Ramos

Valentin Silva Gonzalez

Introducción

Los ataques desde la red interna son peligrosos y más difíciles de prevenir que los ataques externos. Un atacante que se conecte en una red interna con un portátil se beneficia de nuestro ancho de banda para el acceso a la red de datos. Una forma de prevenir un ataque es implementar una función de autenticación en la Capa 2 del modelo OSI usando el protocolo 802.1X.

RADIUS

RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones.

RADIUS

Normalmente, el protocolo Radius se utiliza para autenticar usuarios en escenarios dial-up. Pero Radius también es útil en entornos LAN: en combinación con 802.1X, Radius obliga a los usuarios a autenticarse a bajo nivel antes de que el switch abra el puerto.

RADIUS

Un switch habilitado con 802.1X y un servidor Freeradius es todo lo que necesitamos para implementar la autenticación en la Capa 2. Ya que la autenticación de la Capa 2 opera en el nivel local, y evita que los intrusos utilicen la red física sin autenticarse.

IEEE 802.1X

La IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos.

Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo de autenticación extensible (EAP– RFC 2284).

IEEE 802.1X

802.1X está disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos.

Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP.

IEEE 802.1X

Esta autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación sólo del cliente o, más apropiadamente, una autenticación mutua fuerte utilizando protocolos como EAP-TLS.

EAP

Extensible Authentication Protocol (EAP) es un framework de autenticación usado habitualmente en redes WLAN Point-to-Point Protoco (PPP). Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas, es más frecuentemente su uso en las primeras.

EAP

Cuando EAP es invocada por un dispositivo NAS (Network Access Server) capacitado para 802.1X, como por ejemplo un access point, los métodos modernos de EAP proveen un mecanismo seguro de autenticación y negocian un PMK (Pair-wise Master Key) en tre el dispositivo cliente y el NAS. En esas circunstancias, la PMK puede ser usada para abrir una sesión inalámbrica cifrada que usa cifrado TKIP o AES.

FreeRADIUS

FreeRADIUS es una buena opción a la hora de escoger un servidor Radius. Fué iniciado en 1999 por Alan DeKok y Miquel van Smoorenburg (quien colaboró anteriormente en el desarrollo de Cistron RADIUS), es una alternativa libre hacia otros servidores RADIUS, siendo uno de los más completos y versátiles gracias a la variedad de módulos que le componenen. Puede operar tanto en sistemas con recursos limitados así como sistemas atendiendo millones de usuarios.

FreeRADIUS

● FreeRADIUS fué el primer servidor Open Source de RADIUS en soportar EAP.

● FreeRADIUS ya tiene definido el estandar de como los servidores RADIUS deben administrar las sesiones EAP. Las versiones posteriores a la 2.0 soportan mas métodos EAP como cualquier otro servidor RADIUS comercial.

Instalación de FreeRADIUS

En ubuntu 12.04 la instalación es muy simple:

#apt-get install freeradius

Si todo va bien, debería poner los ficheros de configuración del servidor en /etc/freeradius. La primera cosa que Freeradius necesita hacer es permitir el acceso a los clientes Radius.

#nano clients.conf

Configuración de FreeRadius

Client 192.168.0.1{

secret=probando123

shortname=dlink

}

● 192.168.0.1 es la dirección del access point desde el cual nos conectarémos al servidor RADIUS, secret la contraseña y shortname el SSID.

Configuración de FreeRADIUS

Para configurar la lista de clientes que queremos que se conecten editamos el archivo users.

# nano users

"jguerrero"

Cleartext-Password := "123456"

Reply-Message = "Hola, %{User-Name}"

Configuración de FreeRADIUS

En el archivo eap.conf simplemente cambiamos el tipo de encriptado que lleva la contraseña, por default es md5.

Cambiar:

default_eap_type = md5

Por:

default_eap_type=peap

Configuración de FreeRADIUS

Reiniciar el FreeRADIUS:#/etc/init.d/freeradius stop

*Stopping FreeRADIUS daemon freeradius [OK ]

#/etc/freeradius/freeradius -X

Listening on authentication address * port 1812

Listening on accounting address * port 1813

Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel

Listening on proxy address * port 1814

Ready to process requests.

Configurar Router D-Link DIR-600

Configurar Router D-Link DIR-600

Establecer conexión

Establecer conexión

CONCLUSIONES

● Se obtiene un mayor control de las entradas a la red inalámbrica.

● Se genera un ambiente de seguridad tanto para el administrador como para los usuarios conectados.

● Se puede aumentar la potencia de la señal de cobertura para que todos los usuarios tengan una buena recepción sin temor de que alguien ajeno se conecte aprovechando el aumento del área de cobertura.

CONCLUSIONES

● La seguridad en la red inalámbrica es mucho más robusta que otros métodos de autenticación.

● El tiempo para la conexión no es más grande que otros tipos de autenticación similares.

● El software necesario para el entorno de seguridad se puede obtener sin costo.

BLIBLIOGRAFÍA

● FREE SOFTWARE MAGAZINEhttp://www.freesoftwaremagazine.com/articles/howto_incremental_setup_freeradius_server_eap_authentications

● FreeRADIUS Version 2 Documentation http://freeradius.org/doc/

● http://es.wikipedia.org/wiki/RADIUS

● http://es.wikipedia.org/wiki/Extensible_Authentication_Protocol

● http://www.zeroshell.net/es/radiusdetails/

● http://es.wikipedia.org/wiki/IEEE_802.1X

● http://support.dlink.com/emulators/wbr2310/support_internet.htm–