servidor radius

IES Gran CapitánDepartamento de Informática

Ciclo Formativo de Grado Superior deAdministración de Sistemas Informáticos

Módulo de Proyecto Integrado

Manuel Monzón Pérez – 2º ASIR

Proyecto: AUTENTICACIÓN CON RADIUS

Curso 2015/2016

Índice de contenido1.- Introducción.....................................................................................................................................................................2

2.- Objetivos y requisitos del proyecto.................................................................................................................................2

3.- Estudio previo.................................................................................................................................................................2

3.1.- Estado actual...........................................................................................................................................................2

3.2.- Estudio de soluciones existentes.............................................................................................................................3

Solución elegida............................................................................................................................................................15

4.- Plan de trabajo...............................................................................................................................................................15

5.- Diseño............................................................................................................................................................................15

5.1.- Diseño general......................................................................................................................................................15

5.2.- Diseño detallado...................................................................................................................................................17

6.- Implantación..................................................................................................................................................................18

7.- Recursos........................................................................................................................................................................22

7.1.- Herramientas hardware.........................................................................................................................................22

7.2.- Herramientas software..........................................................................................................................................22

7.3.- Personal................................................................................................................................................................22

7.4.- Presupuesto...........................................................................................................................................................22

8.- Conclusiones.................................................................................................................................................................23

8.1.- Grado de consecución de objetivos......................................................................................................................23

8.2.- Problemas encontrados.........................................................................................................................................23

8.3.- Futuras mejoras.....................................................................................................................................................23

9.- Referencias / bibliografía..............................................................................................................................................23

10.- Anexos.........................................................................................................................................................................23

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]

1.- IntroducciónSe quiere adoptar una mayor seguridad en la red WiFi de la que se dispone, para que solo se puedan conectar losusuarios que nosotros deseemos.

2.- Objetivos y requisitos del proyectoImplementar autenticación en una red wifi

• Red Wifi con requisitos mínimos de seguridad

• Gestión de usuarios del sistema en una máquina virtual en Júpiter y/o en el propio titan

• Soporte para clientes Windows y Linux

3.- Estudio previo

3.1.- Estado actualActualmente la red con la que contamos está compuesta por una red general dividida en varias subredes (clases) con lasque dividir el tráfico de la red. Por lo que en cada subred tenemos un punto de acceso.

Como sistema de protección para las redes inalámbricas se usa WPA2 con la cual se corrigen vulnerabilidadesdetectadas en WPA. El tipo de cifrado usado es el AES (Advanced Encryption Standard), es el más seguro introducidocon WPA2 y adoptado por el gobierno de EEUU, y las principales debilidades sería mediante ataques de fuerza bruta,que a su vez son evitadas por el uso de una “fuerte” contraseña. Por lo tanto, ese tipo de protección y cifrado es la másaconsejable.

En estos momentos existen dos tipos de puntos de acceso:

d-link dwl-2100ap (usado en las aulas 114, 115 y 116)

• Rendimiento 15 veces superior que el de un producto Wireless 11b

• Ancho de Banda de 108Mbps, en 2.4GHz

• Compatible con productos que operen bajo el estándar 802.11b y 802.11g y todos los productos wireless de D-Link

• Cuatro modos de operación. Access Point, Bridge PtP, Bridge PtMP y AP Cliente

• Antena desmontable con conector RSMA

• DHCP Server

• Fácil Instalación

• Alto Rendimiento

• Fácil integración en la red

• Sólo entre equipos AirPlus Xtreme G y AirPremier AG operando en modalidad SuperG


asus rt-n12eB (usados en el Departamento de Informática y en el aula 112)

• Modos inalámbricos múltiple 3 en 1 router / Punto de acceso / Range Extender

• Dos antenas 5dBi desmontable para una cobertura más potente y más amplia

• 4 SSID ayudan a gestionar la asignación de ancho de banda y control de acceso

• Potente multitarea en línea de hasta 30.000 sesiones de datos

• Ancho de banda de 300Mbps

• De fácil instalación y manejo

• Aumenta drásticamente la cobertura de la señal inalámbrica y la calidad con un amplificador de señalincorporado

3.2.- Estudio de soluciones existentes

Autenticación de usuarios

Kerberos:Es un protocolo de autenticación de redes que permite a los equipos de una red insegura demostrar su identidadde manera segura. Es un modelo cliente-servidor y tanto cliente como servidor verifican la identidad uno delotro.

Kerberos se basa en una criptografía de clave asimétrica y requiere de un tercero de confianza (KDC) el cualconsiste de dos partes lógicas separadas: un “servidor de autenticación” y un “servidor emisor de tiquets”.

Elementos

Un servidor Kerberos se denomina KDC (Kerberos Distribution Center), y provee de dos servicios fundamentales: el de autenticación (AS, Authentication Service) y el de tickets (TGS, Ticket Granting Service).El primero tiene como función autenticar inicialmente a los clientes y proporcionarles un ticket para comunicarse con el segundo, el servidor de tickets, que proporcionará a los clientes las credenciales necesarias para comunicarse con un servidor final que es quien realmente ofrece un servicio. Además, el servidor posee una base de datos de sus clientes (usuarios o programas) con sus respectivas claves privadas, conocidads únicamente por dicho servidor y por el cliente al que pertenece.


La arquitectura de Kerberos está basada en tres objetos de seguridad:

• Clave de sesión: es una clave secreta generada por Kerberos y expedida a un cliente para uso con un servidordurante una sesión; no es obligatorio utilizarla en la toda la comunicación con el servidor, sólo si el servidor lorequiere o si el servidor es un servidor de autenticación. Se suele denominar a esta clave KCS, para lacomunicación entre un cliente C y un servidor S.

• Ticket: es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de unservidor; garantiza que el cliente ha sido autenticado recientemente. A un ticket de un cliente C para acceder aun servicio S se le denomina {ticket (C, S)} KS = { C, S, t1, t2 }KS . Este ticket incluye el nombre del clienteC, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesión KSasociada para uso de cliente y servidor. Kerberos siempre proporciona el ticket ya cifrado con la clave secretadel servidor al que se le entrega.

• Autenticador: es un testigo construido por el cliente y enviado a un servidor para probar su identidad y laactualidad de la comunicación; sólo puede ser utilizado una vez. Un autenticador de un cliente C ante unservidor S se denota por { auth ( C ) KCS = { C, t } KCS. Este autenticador contiene, cifrado con la clave de lasesión, el nombre del cliente y un timestamp.

Ventajas:

– Autenticación mutua. El cliente puede validar la identidad de la entidad de seguirdad del servidor y elservidor puede validar el cliente. Normalmente esta autenticación se suele hacer entre un cliente y unservidor aunque se podría hacer entre dos servidores.

– Vales de autenticación seguros. Sólo se utilizan vales cifrados y las contraseñas están incluidas en el vale.

– Autenticación integrada. Una vez que el usuario haya iniciado sesión, no necesitará iniciar sesiónnuevamente para tener acceso a cualquiera de los servicios que admite la autenticación Kerberos, siemprey cuando el vale del cliente no haya expirado. Cada vale o ticket tiene una vigencia, que está determinadapor las directivas del dominio Kerberos que genera el vale.

Desventajas:

– La migración de las contraseñas de usuarios desde una base de datos de contraseñas estándar UNIX, talcomo /etc/passwd o /etc/shadow, a una base de datos de contraseñas Kerberos, puede ser tediosa y no hayun mecanismo rápido para realizar esta tarea.

– Kerberos presupone que cada usuario es de confianza, pero que está utilizando una máquina no fiable enuna red no fiable. Su principal objetivo es el de prevenir que las contraseñas no cifradas sean enviadas através de la red. Sin emargo, si cualquier otro usuario, aparte del usuario adecuado, tiene acceso a lamáquina que emite tickets (KDC) para la autenticación, Kerberos estará en riesgo.

– Para que una aplicación use Kerberos, el código debe ser modificado para hacer las llamadas apropiadas alas librerías de Kerberos. Las aplicaciones que son modificadas de esta forma son consideradas comoKerberizadas. Para algunas aplicaciones, esto puede suponer un esfuerzo excesivo de programación,debido al tamaño de la aplicación o su diseño. Para otras aplicaciones incompatibles, los cambios se debenrealizar en el modo en el que el servidor de red y sus clientes se comunican; de nuevo, esto puede suponerbastante programación. En general, las aplicaciones de código cerrado que no tienen soporte de Kerberosson usualmente las más problemáticas.

– Finalmente, si decide usar Kerberos en su red, debe darse cuenta de que es una elección de todo o nada, Sodecide usar Kerberos en su red, debe recordar que si se transmite cualquier contraseña a un servicio que nousa Kerberos para autentica, se corre el riesgo de que el paquete pueda ser interceptado. Así, su red noobtendrá ningún beneficio de usar Kerberos. Para asegurar su red con Kerberos, solo debe utilizar lasversiones Kerberizadas de todas las aplicaciones cliente/servidor que envíen contraseñas sin cifrar o noutilizar ninguna de estas aplicaciones en la red.


Servidor NPS:El servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a la red en toda laorganización con fines de mantenimiento de clientes, autenticación de solicitudes de conexión y autorizaciónde solicitudes de conexión.

NPS permite configurar y administrar de forma centralizada directivas de autenticación de acceso a la red,autorización y mantenimiento de clientes

Además, puede usar NPS como un proxy RADIUS para reenviar solicitudes de conexión a servidores NPS uotros servidores RADIUS que configure en grupos de servidores RADIUS remotos.

NPS contiene también componentes clave para implementar la Protección de Acceso a Redes (NAP) en la red,y puede implementarse de su organización y sus equipos con conectividad de red a través de servidores deacceso de red, como servidores de red privada virtual (VPN), puntos de acceso inalámbricos y servidores demercado telefónico, puede usar NPS para crear, administrar e imponer las directivas de acceso de red quedeterminan si los usuarios y equipos pueden o no se pueden acceder a la red. Durante este intento de conexión,los usuarios y equipos suelen proporcionar las credenciales de cuenta en forma de un nombre de usuario ycontraseña o un certificado. NPS puede examinar estas credenciales y utilizarla para verificar la identidad oautenticar el usuario o equipo antes de permitir el acceso a la red.

NPS también permite determinar si el usuario o el equipo tiene permiso para acceder a la red mediante laautorización de la solicitud de conexión con propiedades de la cuenta de usuario, las directivas de red que hayacreado o ambos.

Ventajas:

– Una de las ventajas que proporciona NPS es la configuración de las directivas de red en un servidor (elservidor que ejecuta NPS) que se aplican a muchos servidores. Por ejemplo, si tienen 10 puntos de accesoinalámbrico y no utilizan NPS, debe configurar las directivas de acceso 10 veces; pero si usa NPS, debeconfigurar cada directiva sólo una vez

– Por lo tanto, mediante el uso de NPS se puede administrar centralmente el acceso a la red para lasorganizaciones de todos los tamaños, incluidas las PYMES, organizaciones empresariales e ISP

RADIUSEs uno de los sistemas más antiguos usados en Internet. RADIUS ejecuta un programa de software en unservidor. Cuando un usuario intenta conectarse a la red, un programa cliente RADIUS dirige todos los datos deusuario al servidor para la autenticación. El servidor aloja los datos de autenticación del usuario en un formatoencriptado y envía una respuesta de paso o rechazo.

Por lo tanto, es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidadIP. Utiliza el puerto 1812 UDP para establecer sus conexiones, por lo tanto tendrá una comunicación sinconexión, o sea, “best-effort”.

RADIUS a diferencia de otros sistemas, está más orientado al usuario final del servicio.

¿Cómo trabaja RADIUS?

RADIUS desempeña tres funciones primarias explicadas a continuación con un ejemplo:

Cuando se realiza la conexión con un ISP mediante módem, Ethernet o Wi-Fi se envía una información quegeneralmente es un nombre de usuario y una contraseña.

Esta información se transfiere a un dispositivo Network Access Server (NAS, Servidor de Acceso a la Red)sobre el protocolo PPP, quien dirige la petición a un servidor RADIUS sobre el protocolo RADIUS.

Autenticación: El servidor RADIUS comprueba que la información es correcta utilizando esquemas deautenticación como PAP, CHAP, EAP.


Autorización: Indica si un usuario puede o no acceder a cierto recurso. Si es aceptado, el servidor autorizará elacceso al sistema del ISP y le asigna los recursos de red como una IP y demás parámetros.

Auditoría: Almacena datos sobre cuando y como se realizan peticiones (tanto aceptadas como rechazadas).

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones,notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo yfacturar en consecuencia.

RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidoresde Acceso a la Red (NAS), más tarde se publicó como RFC 2138 y RFC2139. Actualmente existen muchosservidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden varia, pero la mayoríapueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo seutiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para unaadministración centralizada y pueden reescribir paquetes RADIUS al vuelo.

Algunas de sus características son:

– Seguridad

– Flexibilidad

– Administración simple

– Capacidad extensiva de auditoría

Ventajas:

– Mejora considerable de la seguridad

– Posibilidad de aplicar restricciones a un usuario/perfil en particular

– Mejora en la presentación de informes (reporting) y en el seguimiento (tracking) basado en los nombres deusuarios, incluso más aún si está atado a un backend LDAP o AD

– Cuando un usuario se autentifica en una SSID usando 802,1X, esa sesión individual está encriptada únicamenteentre el usuario y el punto de acceso. Esto significa que otro usuario conectado al mismo SSID no puedeescuchar el tráfico ni robar información, dado que están utilizando diferentes claves de encriptación para susrespectivas conexiones. En cambio en una red PSK, cada dispositivo conectado al punto de acceso comparte lamisma encriptación de conexión, por lo que otros usuarios podrían espiar en el tráfico si quisieran.

– Es posible desconectar a un único usuario o dispositivo sin afectar al resto y sin cambiar la clave al resto

– Puedes asignar permisos individuales para cada usuario. En cambio en el método de clave compartida sólopuedes crear un único perfil de usuario que todos compartirán

Desventajas:

– Si los usuarios se conectan a la red inalámbrica con un dispositivo personal, 802,1X/RADIUS puede ser máscomplejo a la hora de configurar para los usuarios finales, especialmente quienes usen Windows

– No soporta algunos protocolos como son ARA (Protocolo de Acceso Remoto AppleTalk), Protocolo deControl de Tramas NetBIOS, NASI (Interfaz de Servicios Asíncronos de Novell) y conexiones X.25 con PAD

– Tampoco permite al usuario el control de los comandos que pueden ser ejecutados en un router y cuales no. Porlo tanto, RADIUS no es tan útil para la gestión del router o flexible para servicios de terminal

– Sólo encripta la contraseña, por lo tanto no encripta ni el nombre de usuario ni otros posibles datos asociados


TACACS+:Acrónimo de Terminal Access Controller Access Control System (Sistema de Control de Acceso delControlador de Acceso a Terminales) fue desarrollado a partir de la experiencia de Cisco con RADIUS. Es unprotocolo de autenticación remota que se usa para gestionar el acceso (proporciona servicios separados deautenticación, autorización y registro) a servidores y dispositivos de comunicaciones.

El Departamento de Defensa de Estados Unidos lo desarrolló para resolver algunos de los problemas con los servidores de acceso remoto de RADIUS. Éste sistema está diseñado para los administradores de red que debenconectarse de forma remota a los dispositivos de la red.

También usa el modelo Cliente-Servidor siendo el NAS el cliente. Usa como transporte el protocolo TCP, por lo tanto el diálogo entra el NAS y el TACACS+ será orientado a la conexión.

Funcionamiento

TCP provee un ACK separado de que un Access-Request ha sido recibido por el server TACACS+. Además TCP provee una indicación inmediata de un server no disponible. Aún teniendo conexiones TCP con un timer de expiración de espera de ACK largo, podremos tener la certeza de un server que sale de servicio y luego entra nuevamente en operación. UDP no puede darnos esta certeza, ni siquiera puede discriminar entre un server caído, un server lento o inexistente y por lo tanto RADIUS tampoco. Usando los keepalives de TCP podemos detectar las caídas del servidor TACACS+ fuera de banda. Además con TACACS+ podemos establecer y mantener conexiones simultáneas con varios server, de esa manera no se necesita requerir servicio solo a server que conocemos que están en servicio en cada momento.

TACACS+ encripta todo el paquete dejando solo un header standar TACACS+. En ese header existe un campoque indica si el cuerpo del paquete ha sido encriptado o no. Normalmente es más seguro optar por la total encriptación del cuerpo del paquete. Este protocolo usa una arquitectura modular llamada AAA (Authentication, Authorization & Accounting), la cual separa las tres funciones: Autenticación, Autorización y Contabilización. Este flexibilidad le da ventaja sobre RADIUS, puesto que podemos usar TACACS+ para la autorización y contabilización y hacer la autenticación por medio de Kerberos u otro sistema. Después de que un NAS autentica mediante un servidor Kerberos, procederá a requerir información de autorización y/o perfil de usuario al server TACACS+ sin tener que volverse a autenticar en el TACACS+. El NAS informa al TACACS+ de la exitosa autenticación del usuario por Kerberos y entonces el server TACACS+ proveerá la información de autorización del usuario.

Como en otros sistemas ya explicados, TACACS+ desempeña tres funciones:

• Autenticación: La autenticación es el proceso de validación de la identidad de un usuario. TACACS+ lograesto a través de un nombre de usuario y la contraseña suministrada por el usuario. TACACS+ separa losprocesos de autenticación, autorización y contabilidad, proporcionando un nivel de granularidad y flexibilidadque no se encuentra en RADIUS.

• Autorización: Proporciona una gestión centralizada de autorización y seguridad más estricta comprobandocada comando emitido en contra de la base de datos de configuración de autorización. Esto garantiza que elusuario sólo se le permite ejecutar comandos que está autorizado a emitir.

• Contabilidad: Los auditores de red requieren de actividad para hacer su trabajo correctamente, lo que significaque necesitan los registros de actividad.


Ventajas:

– Encripta tanto el nombre de usuario, contraseña y otros datos asociados

– TACACS+ añade la función de Contabilidad que no tenían en versiones anteriores

– No necesita variables extras como RADIUS para controlar intentos de retransmisión y timers, puesto que elprotocolo de transporte se encarga de lograr un canal de comunicaciones seguro, transparente y libre de errores

– Ofrece soporte multiprotocolo. Soporta de forma nativa su funcionamiento sobre familias de protocolosdistintos de TCP/IP como ARA, NetBIOS, NASI y PAD (gran ventajas sobre RADIUS)

– Flexibilidad para poder separar las tres funciones básicas

Desventajas:

– Incompatible con las versiones anteriores de TACACS

– Necesita mucho más ancho de banda que otros sistemas, por lo que podría causar problemas de rendimiento sise usa con mucha asiduidad

– Debido a que la base de datos del usuario no reside en el servidor TACACS+, el rendimiento puede ser lento

Gestión de usuarios del sistema

– Servidor Active Directory

Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida decomputadoras. Utiliza distintos protocolos como LDAP, DNS, DHCP, Kerberos, etc.

De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetostales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectadas a lared, así como también la administración de políticas en toda la red.

Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, comousuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.

AD permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadoresy aplicar actualizaciones críticas a una organización entera. Un AD almacena información de una organización en unabase de datos central organizada y accesible. Puede encontrarse desde directorios con cientos de objetos para una redpequeña hasta directorios con millos de objetos.

Características

• Administración simplificada de usuarios y recursos de red

Puede utilizar AD para crear estructuras de información jerárquicas, que simplifican el control de lascredenciales administrativas y otras opciones de seguridad y permiten a los usuarios localizar recursos de red,como archivos e impresoras con mayor facilidad

• Infraestructura y aplicaciones habilitadas parpa el uso de directorios

Las características de AD facilitan la configuración y administración de las aplicaciones y otros componentesde red habilitados para el uso de directorios


• Escalabilidad sin complejidad

AD puede escalarse hasta llegar a tener millones de objetos por cada dominio y utiliza tecnología de indizacióny técnicas de replicación avanzadas para aumentar el rendimiento

• Uso de los estándares de Internet

Proporciona acceso mediante LDAP y utiliza un espacio de nombres basado en el DNS

• Un entorno de desarrollo eficaz

Ofrece un entorno de desarrollo eficaz mediante las interfaces de servicio de AD (ADSI), que le proporcionauna interfaz orientada a objetos

• Replicación y supervisión de confianza

AD proporciona clases de Instrumental de administración de Windows (WMI) que supervisan si loscontroladores de dominio replican correctamente la información de AD y si las relaciones de confianzafuncionan adecuadamente

Componentes de Active Directory

AD utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organización. Lasestructuras lógicas de la organización se representan en los siguientes componentes de AD:

• Dominio:

La unidad central de la estructura lógica de AD es el dominio, que puede almacenar millones de objetos. Losobjetos que se almacenan en un dominio son aquellos que se consideran “interesantes” para la red

◦ Recursos (impresoras, escáner, etc)

◦ Servicios (correo, impresión, etc)

◦ Usuarios, Grupos, OU

• OU:

Es un contenedor que se utiliza para organizar objetos dentro de un dominio en grupos administrativos lógicosque reflejan la estructura funcional y de negocios de una organización

• Árbol:

Un árbol es una agrupación o una ordenación jerárquica de uno o más dominios que se pueden crear añadiendouno o más dominios secundarios a un dominio principal existente

• Bosque:

Un bosque es una agrupación o configuración jerárquica de uno o más árboles de dominio distintos ycompletamente independientes entre sí

Ventajas:

– Mayor seguridad frente a los servidores NT

– Control sobre las instalaciones que tienen los usuarios

– Control sobre el tipo de acceso que tendrá cada usuario

– Seguridad en los datos

– Mejores en el rendimiento y la confiabilidad

– Sincronización presente entre los distintos servidores de autenticación de todo el dominio

– Es una implementación de servicio de directorio centralizado en una red distribuida que facilita el control, laadministración y la consulta de todos los elementos lógicos de una red


Desventajas

– Mayor tamaño de disco duro

– Requerimiento de memoria

– No es software libre

– Es caro

– Servidor OpenLDAP

Se trata de una implementación libre del protocolo que soporta múltiples esquemas por lo que puede utilizarse paraconectarse a cualquier otro LDAP. Tiene su propia licencia, la Open Ldap Public License. Al ser un protocoloindependiente de la plataforma, varias distribuciones Linux y BSD lo incluyen, al igual que AIX, HP-UX, Mac Os X,Windows.

LDAP son las siglas de Protocolo Ligero/Simplificado de Acceso a Directorios, que hacen referencia a un protocolo anivel de aplicación que permite a un servicio de directorio ordenador y distribuido para buscar diversa información enun entorno de red. LDAP también se considera una base de datos a la que pueden realizarse consultas.

Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. El ejemplo máscomún es el directorio telefónico, que consiste en una serie de nombres que están ordenados alfabéticamente, con cadanombre teniendo una dirección y un número de teléfono adjuntos. Para entender mejor, es un libro o carpeta, en la cualse escribe nombres de personas, teléfonos y direcciones, y se ordena alfabéticamente

Un árbol de directorio LDAP a veces refleja varios límites políticos, geográficos u organizaciones, dependiendo delmodelo elegido. Los despliegues actuales de LDAP tienden a usar nombres de DNS para estructurar los niveles másaltos de la jerarquía. Conforme se desciende en el directorio pueden aparecer entradas que presentan personas, OU,impresoras, documentos, grupos de personas o cualquier cosa que presenta una entrada dad en el árbol.

Habitualmente, almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunquees posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red,permisos, certificados, etc). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto deinformación sobre una red.

ESTRUCTURA

El protocolo accede a directorios LDAP:

• Un directorio es un árbol de entradas de directorio

• Una entrada consta de un conjunto de atributos

• Un atributo tiene un nombre (tipo de atributo o descripción de atributo)

• Cada entrada tiene un identificador único: Su Nombre Distinguido (DN). Este consta de su RelativeDistinguished Name (RDN) construido por algunos atributos en la entrada, seguidos del DN de la entrada delpadre. Pensar en el DN como un completo nombre de archivo y el RDN como el nombre de archivo relativo esun folder.

Se debe tener cuidado con el hecho de que un nombre distinguido puede cambiar en el tiempo de vida de una entrada,por ejemplo, cuando las entradas son movidas en el árbol. Para hacer más confiables e identifica de manera no ambigualas entradas un UUID podría ser proporcionado en el conjunto de los atributos operacionales de la entrada.

Una entrada puede tener este formato cuando es representada en el formato LDIF (LDAP por sí mismo es un protocolobinario):


“dn” es el nombre de la entrada; no es un atributo ni tampoco parte de la entrada. “cn=John Doe” es el nombredistinguido relativo, y “dc=example,dc=com” es el nombre distinguido de la entrada del padre, donde dc indica domaincomponent (componente de dominio). Las otras líneas presentan los atributos en la entrada. Los nombres de atributosson generalmente cadenas mnemotécnicas, como “cn” para common name (nombre común), “dc” para domaincomponent (componente de dominio), “mail” para dirección de correo electrónico y “sn” para surname (apellido).

Un servidor aloja un subárbol comenzando por una entrada específica, por ejemplo “dc=example,dc=com” y sus hijos.Los servidores también pueden almacenar referencias a otros servidores, con los cual un intento de acceso a“ou=department,dc=example,dc=com” puede retornar una referencia o continuación de referencia a un servidor quealoja esa parte del árbol de directorio. El cliente luego puede contactar al otro servidor. Algunos servidores tambiénsoportan encadenamiento (chaining), que implica que el servidor contacta al otro servidor y devuelve el resultado alcliente.

LDAP raramente define un ordenamiento: el servidor puede devolver los valores de un atributo, los atributos en unaentrada y las entradas encontradas por una operación de búsqueda en cualquier orden. Esto sigue la definición formal -una entrada es definida como un conjunto de atributos, y un atributo es un conjunto de valores, y los conjuntos nonecesitan estar ordenados.

Ventajas:

– La ventaja principal de usar LDAP es la consolidación de cierto tipo de información en el interior de suempresa o para el uso que le queramos dar

– Gran facilidad para implementar y la coherencia de sus API. Lo cual significa que el número de aplicaciones yde gateways que disfruta LDAP puede crecer en el futuro

– Al estar basado en un sistema de directorios, es muy rápido en la lectura de registros

– Permite replicar el servidor de forma muy sencilla y económica

– Muchas aplicaciones de todo tipo tienen interfaces de conexión a LDAP y se pueden integrar fácilmente

– Dispone de un modelo de nombres globales que asegura que todas las entradas son únicas

– Usa un sistema jerárquico de almacenamiento de información

– Permite múltiples directorios independientes

– Funciona sobre TCP/IP y SSL

– La mayoría de aplicaciones disponen de soporte para LDAP

– La mayoría de servidores LDAP son fáciles de instalar, mantener y optimizar

– Es de software libre


Desventajas:

– Protocolo de manejo de dato poco intuitivo

– Si deseamos usar LDAP lo debemos de hacer mediante un cliente LDAP-enabled o bien pasar a través de migateway LDAP

– Sus principales beneficios se ven materializados al usar sistemas donde se guarda gran cantidad de registros yse requiere un uso constante de los mismos

– PfSense

Es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser decódigo abierto, puede ser instalado en cualquier ordenador que cuente con un mínimo de dos tarjetas de red, y ademáscuenta con una interfaz web sencilla para su configuración. El proyecto es sostenido comercialmente por BSD PerimeterLLC y es usado para servicios de redes LAN y WAN tales como firewall, enrutador, balanceo de carga, etc.

El portal de administración está basado en PHP y teóricamente todas las coniguraciones y administración se puedenhacer realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea decomandos UNIX para su manejo

Cuenta con un gestor de paquetes desde su interfaz gráfica accedida remotamente para ampliar sus funcionalidades, alelegir el paquete deseado el sistema lo descarga y lo instala automáticamente.


Ventajas:

– Es Open Source con licencia FreeBSD.

– Es versátil y práctico ya que puede ser usado directamente desde un CD player y puede ofrecer una versiónpara MV

– Interfaz intuitiva

– Comunidad PfSense y centro de información

– Package Manager. Posee actualmente decenas de paquetes adicionales que le premiten acceder al puesto deUTM (Unified Threat Management)

Desventajas:

– No es compatible con todos los navegadores

– La mayor parte de la documentación que existe es de usuarios avanzados y no es oficial

Máquina virtualLa MV estará alojada el PROXMOX, que es una plataforma de virtualización basada en código abierto que permite lavirtualización tanto sobre OpenVZ como KVM.

Contenedor (OpenVZ)Se denomina contenedor a la creación de una máquina virtual en un ambiente 'chroot' directamente en el sistema dearchivos del servidor base.

Lo que nos da una serie de ventajas:

• Administración de recursos de forma directa: Ejemplo, podemos incrementar la RAM, SWAP, CPU, disco, etc.Y los cambios son aplicados al instante en el servidor virtual

• El uso del mismo sistema de ficheros para todas las máquinas virtuales no 'sobrecarga' al sistema base

• La creación y borrado de máquinas virtuales es casi instantáneo

• La velocidad de las aplicaciones que tenemos corriendo en el contenedor es casi la misma que si se tratara delservidor base

• Acceso directo al kernel del servicio base

Y una serie de inconvenientes:

• Solo permite trabajar bajo esta modalidad a ambientes que corran en Linux y no Windows

• Menos seguros, porque el aislamiento es mejor. Ya que teóricamente es posible que un usuario de uncontenedor acceda a otros de la máquina

• Al compartir kernel todas las máquinas, un error en una MV puede tirar las otras máquinas


Máquina virtual (KVM)El sistema Linux KVM realiza una virtualización completa (full virtualisation) y necesita un procesador con los flags devirtualización (VMX).

Ventajas:

– Permite instalar cualquier Sistema Operativo

– Cada máquina virtual tiene su propio hardware virtualizado (tarjeta de red, discos duros, tarjeta gráfica, etc)

SS.OO.

Windows Server 2008 R2Componente Requisito

Procesador • Mínimo de 1.4 Ghz de 64bits

• Recomendado de 2GHz

• No hay límites de máximo

Memoria • Mínimo de 512 MB de RAM

• Recomendado 2 GB

• Máximo de 32 GB en la versión Standar y 2 TBen la versión Enterprise y Datacenter

Espacio en Disco • Mínimo de 32 GB en las versiones FULL

• Recomendado 40 GB en versiones FULL y 10GB en las versiones Core

• No hay límites de máximo

Windows Server 2012 R2Componente Requisito

Procesador • Mínimo de 1.4 Ghz de 64bits

Memoria • Mínimo de 512 MG de RAM

Espacio en Disco • Mínimo de 32 GB

Debian 8Tipo de Instalación RAM (mínimo) RAM (recomendado) Disco Duro

Sin escritorio 128 MB 512 MB 2 GB

Con escritorio 256 MB 1 GB 10 GB


Solución elegida

Después del estudio realizado de las varias opciones posibles para este proyecto, he decidido optar por:

Autenticación de Usuarios RADIUS

Gestión de Usuarios del Sistema Active Directory

Tipo de Máquina Virtual Máquina Virtual

Sistema Operativo Windows Server 2008

4.- Plan de trabajoSemana Tarea

21/09/15 Introducción

28/10/15 Objetivos y requisitos del proyecto

05/10/15 Estudio previo

12/10/15 Estado Actual

19/10/15 Soluciones existentes

26/10/15 Establecimiento plan de trabajo

02/11/15 Diseño general y detallado

09/11/15 Implantación

16/11/15 Implantación

23/11/15 Recursos

30/11/15 Conclusiones

07/12/15 Bibliografía y Anexos

5.- Diseño

5.1.- Diseño general

Para que la conexión a Internet se realice con éxito debemos de:

1. El cliente se autenticará con un usuario y contraseña

2. Dicho usuario y contraseña debe de estar almacenado en el AD dentro del grupo al que le hayamos dado accesopara la conexión

3. Una vez introducido los datos de acceso, el servidor RADIUS comprobará si son correctos

4. Si lo son, nos dará una dirección IP, máscara de red, y otros datos más para poder tener acceso a la red ynavegar correctamente


1. Servidor RADIUS: Estará alojado en una MV en nuestro servidor Júpiter. La cual, dispondrá de una tarjeta dered en modo puente y cuya IP será la 192.168.12.150 para poder tener acceso a Internet

2. Punto de Acceso: Se ha creado una red WiFi para que los clientes puedan conectarse a través de dicho puntode acceso. La IP fija del AP será la 192.168.112.9, pero como nuestro AP “cuelga” bajo el cortafuegos Titán,todas las IP que salen de dicho cortafuegos lo hacen a través de la 192.168.12.4 (para que pueda estar en lamisma red del servidor), por lo tanto, esa será la IP que debemos de indicar en la configuración del clienteRADIUS (el AP).

3. Red de Internet: Será suministrada por nuestro ISP


5.2.- Diseño detallado

5.2.1.- Hardware del Servidor (virtualizado)• Una tarjeta de Red en modo puente

• Intel Pentium 4 CPU 3,20GHz

• 1,5GB RAM

• 1 disco duro de 40GB

5.2.2.- Punto de Acceso• Punto de acceso para la conexión WiFi

◦ Connection N&C WAP150

◦ Compatible con los estándares IEEE 802.11g, IEEE 802.11b, IEEE 802.11n

◦ Soporta velocidades de 108/54/48/36/24/18/12/9/6Mbps 0 11/5.5/2/1Mbps. Y hasta 150 Mbps en wireless

◦ Soporta seguridad WEP de 64/128 bit WEP encryption security

◦ Soporta WPA/WPA2 y WPA-PSK/WPA2-PSK con servidor Radius integrado

◦ Soporta WPS ( WiFi Protected Setup)

◦ Servidor de DHCP server, soportando dynamic IP address

◦ Soporta filtrado de direcciones MAC.

◦ Soporta múltiples modos de operación(Access Point, WPS, Client, Repeater universal, Point to Point,Point to Multi-point)

◦ Soporta TCP/IP, DHCP

◦ Soporta ocultación de SSID y hasta 4 grupos de SSID diferentes

◦ Soporta actualización de firmware

◦ Soporta configuración Web y remota

• Cambiar el SSID con el nombre que deseemos

• Usar el canal 11 para una menor interferencia

• Usar contraseña tipo WPA2(AES)

• Añadir secreto compartido

5.2.3 Windows Server 2008 Enterprise• Instalación y configuración de los servicios:


6.- Implantación

1. Instalación y configuración del Punto de Acceso

2. Instalación y configuración de Windows Server 2008 R2 en Júpiter

- Instalación del servicio de acceso y directivas de redes y el Servicio de certificados de Active Directory


En AD, creamos una OU y un Grupo para los usuarios a los que deseemos dar acceso.

- Configuración de los nuevos clientes RADIUS y conexiones cableadas e inalámbricas seguras IEEE 802.1X


Después de instalar todos los servicios, debemos de crear los certificados para que el servidor y el cliente puedacomunicarse. Para ello nos vamos a ejecutar e introducimos mmc para abrir una consola de la Entidad de Certificación.

– Certificado


Y pasamos a la comprobación...


7.- Recursos

7.1.- Herramientas hardware

– Un equipo servidor (en nuestro caso tenemos la MV en Júpiter)

– Un Punto de Acceso (AP)

– Cable de red

7.2.- Herramientas software

– Windows Server 2008, Enterprise

7.3.- Personal

Para la consecución de dicho proyecto sólo será necesario a un empleado, Manuel Monzón Pérez

7.4.- Presupuesto

– Licencia Windows Server 2008, Standard

430€

– Punto de Acceso Connection WAP-150

30,61€

– Cable de red RJ45 CAT5 de 1,5m

2,99€

– Equipo Servidor (pulsa aquí para más características)

239€

– Disco Duro (pulsa aquí para más características)

66,75€

TOTAL: 769,35€


http://www.pccomponentes.com/hp_proliant_ml10_v2_g3240_4gb_usb_3_0.html

http://www.pccomponentes.com/seagate_desktop_7200_14_2tb_sata3_64mb.html

8.- Conclusiones

8.1.- Grado de consecución de objetivos

• Red Wifi con requisitos mínimos de seguridad (TOTALMENTE TERMINADO)

• Gestión de usuarios del sistema en una máquina virtual en Júpiter (TOTALMENTE TERMINADO)

• Soporte para clientes Windows y Linux (TOTALMENTE TERMINADO)

8.2.- Problemas encontradosEl principal problema encontrado ha sido relacionado con los certificados. Ya que, la versión de Windows Server 2008R2 que usaba no era compatible con los certificados que necesitaba, por lo que tuve que usar la version 2008 Enterprise.

8.3.- Futuras mejorasUna posible mejora sería la instalación de la directiva de Kerberos, ya que se añadiría otro nivel más de seguridad a laconexión de red.

9.- Referencias / bibliografíahttps://es.wikipedia.org/wiki/Kerberos

https://es.wikipedia.org/wiki/RADIUS

https://es.wikipedia.org/wiki/TACACS%2B

http://social.technet.microsoft.com/wiki/contents/articles/17164.ventajas-y-desventajas-lepide-active-directory-manager-part-2-es-es.aspx

https://es.wikipedia.org/wiki/Active_Directory

https://es.wikipedia.org/wiki/Protocolo_Ligero_de_Acceso_a_Directorios

http://archive.download.redhat.com/pub/redhat/linux/7.0/tc/doc/RH-DOCS/rhl-rg-es-7.0/s1-ldap-procon.html

https://hopemedia.es/5-ventajas-firewall-pfsense/

https://es.wikipedia.org/wiki/PfSense

10.- AnexosManual del punto de acceso (http://connectionnc.com/web/index.php?id_product=324&controller=product)


http://connectionnc.com/web/index.php?id_product=324&controller=product

https://es.wikipedia.org/wiki/PfSense

https://hopemedia.es/5-ventajas-firewall-pfsense/

http://archive.download.redhat.com/pub/redhat/linux/7.0/tc/doc/RH-DOCS/rhl-rg-es-7.0/s1-ldap-procon.html

https://es.wikipedia.org/wiki/Protocolo_Ligero_de_Acceso_a_Directorios

https://es.wikipedia.org/wiki/Active_Directory



https://es.wikipedia.org/wiki/TACACS%2B

https://es.wikipedia.org/wiki/RADIUS

https://es.wikipedia.org/wiki/Kerberos

servidor radius

Documents