Instalación de un servidor de seguridad con autenticación RADIUS Antonio Javier Rico Rodriguez Universidad Tecnológica de Querétaro Firmado digitalmente por Universidad Tecnológica de Querétaro Nombre de reconocimiento (DN): cn=Universidad Tecnológica de Querétaro, o=Universidad Tecnológica de Querétaro, ou, [email protected], c=MX Fecha: 2011.05.24 11:12:33 -05'00' UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Instalación de un servidor de seguridad con autenticación RADIUS Memoria Que como parte de los requisitos para obtener el titulo de Ingeniero en Tecnologías de la Información y Comunicación Presenta Antonio Javier Rico Rodríguez Raúl García Pérez José Gonzalo Lugo Pérez 2011 Santiago de Querétaro Qro, Mayo del 2011 ~1~ Querétaro, Qro. , a ____ de ____________ de _____. . C. Antonio Javier Rico Rodríguez Matrícula: 2004306139 Candidato al grado de Ingeniero En Tecnologias de la Información y Comunicación Presente AUTORIZACIÓN DE PRESENTACIÓN DE MEMORIA El que suscribe, por medio del presente le informa a Usted, que se le autoriza la presentación de su memoria de la Estadía profesional, titulada: “Instalación de un servidor de seguridad con autenticación RADIUS”, realizado en la empresa: Universidad Tecnológica de Querétaro Trabajo que fue revisado y aprobado por el Comité de Asesores, integrado por: ________________________ ________________________ Asesor de la Empresa Profesor Asesor Se hace constar el NO adeudo de materiales en las siguientes áreas. ________________________ Biblioteca UTEQ _______________________ __________________________ Lab. de Tecnología Lab. Informática Atentamente ______________________________ Director de la División C.c.p. <<Nombre>>.- Subdirector de Servicios Escolares Archivo Nota: Incorporar imagen escaneada que incluya firmas ~2~ RESUMEN En la actualidad la seguridad de la información es esencial en cualquier organización. Con las tecnologías de la información se puede proteger la información vital para una empresa. Una forma de ingresar a los equipos de telecomunicaciones (conmutadores y ruteadores) es mediante la autenticación de usuarios por medio de los protocolos de seguridad RADIUS y TACACS+, éste último propietario de CISCO. RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server) es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones. Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente consiste en un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si la petición de acceso es aceptada, el servidor autorizará la entrada al sistema del ISP y le asignará los recursos de red como una dirección IP. El presente trabajo sirve como guía que permitirá montar servidores de seguridad con autenticación de usuarios utilizando el protocolo RADIUS, todo esto con el objetivo de implementar las tareas de configuración actividades en forma de prácticas para los alumnos que cursan la ingeniería en la UTEQ. ~3~ ABSTRACT Nowadays information is essential in any organization. Can protect vital information for an enterprise using information technologies. One way to enter the telecommunication equipment (switches and routers) is through user authentication using security protocols RADIUS and TACACS+, the last is owner from CISCO. RADIUS (the acronym for Remote Authentication Dial-In User Server) is a protocol for authentication and authorization to applications, network access or IP mobility. It uses UDP port 1812 to establish their connections. When it are connecting to an ISP using a modem, DSL, cable modem, Ethernet or Wi-Fi, a data is sending usually is made of a username and password. This information is transferred to a device Network Access Server (NAS) on the PPP, who directs the request to a RADIUS server on the RADIUS protocol. The RADIUS server verifies that the information is correct using authentication protocols like PAP, CHAP or EAP. If the access request is accepted, the server will be give access to the ISP system and will assigns the network resources such as an IP address. This document can be used as a guide that will help to students how to mount to security server’s user authentication using RADIUS protocol, all with the goal of implementing these task of configuration in the form of practices for students of engineering from UTEQ. (Palabras clave: guía, servidor, CISCO, RADIUS, TACACS+, switch, protocolo, PPP, ISP, Internet, configuración) ~4~ DEDICATORIAS “En memoria de mi hermano Erick Iván Rodríguez Pérez, y Luckas Piedras, gracias por inspirarme a seguir adelante y compartir conmigo maravillosos momentos” ~5~ AGRADECIMIENTOS Agradezco primeramente a Dios, para darme la fortaleza necesaria para concluir con ésta etapa profesional en mi vida. Doy gracias a mis padres por darme amor incondicionalmente; en especial a mi madre, gracias por apoyarme siempre en todas mis decisiones, y muchas gracias a todos los miembros de mi familia sanguínea y no sanguínea. Gracias a mi novia Mónica por aguantarme todo éste tiempo, darme su cariño, comprensión y apoyo en los momentos más difíciles, gracias mi amor esto es para ti mi vida, IDEM. Agradezco a todos mis amigos que siempre me animaron a seguir adelante y continúan haciéndolo, nombrar la lista sería infinita, pero ustedes saben muy bien quienes son. También agradezco a todo el personal de la UTEQ, profesores, especialistas, encargados de laboratorios y todas las personas involucradas en el desarrollo del proyecto, que aportaron para obtener los resultados positivos. ~6~ ÍNDICE RESUMEN ..........................................................................................3 ABSTRACT .........................................................................................4 DEDICATORIAS ..................................................................................5 AGRADECIMIENTOS ...........................................................................6 CAPÍTULO I 1.1 INTRODUCCIÓN ...........................................................................11 1.2 ANTECEDENTES ..........................................................................13 1.3 JUSTIFICACIÓN ...........................................................................15 1.4 OBJETIVOS .................................................................................16 1.5 ALCANCES ..................................................................................17 CAPÍTULO II 2.1 RECURSOS MATERIALES Y HUMANOS .........................................20 2.2 PLAN DE ACTIVIDADES ................................................................21 2.3 FUNDAMENTACIÓN TEÓRICA .......................................................23 2.3.1 Esquemas de autenticación a ruteadores ............................................. 23 2.3.3 Modelo Cliente Servidor ........................................................................ 25 2.3.4 Redes Seguras ..................................................................................... 25 2.3.5 Mecanismos de autenticación flexibles ................................................. 26 2.3.6 Esquemas de funcionamiento ............................................................... 27 2.3.7 Funcionamiento de TACACS+ .............................................................. 29 ~7~ 2.4 Comparativas entre TACACS+ y RADIUS ........................................31 2.4.1 UDP y TCP............................................................................................ 31 2.4.2 Encriptación de paquetes ...................................................................... 32 2.4.3 Autenticación y autorización .................................................................. 33 2.4.4 Soporte multiprotocolo .......................................................................... 34 2.4.5 Administración de routers...................................................................... 34 2.5 Tráfico ........................................................................................35 2.5.1 Ejemplo de tráfico en RADIUS .............................................................. 35 2.5.2 Ejemplo de tráfico en TACACS+ ........................................................... 36 CAPÍTULO III 3.1 DESARROLLO DEL PROYECTO ....................................................38 3.1.1 Ubicación y etapas de desarrollo del proyecto ...................................... 38 3.1.2 Aplicación de RADIUS y TACACS+ ...................................................... 39 3.1.3 Actividad con el servidor RADIUS ......................................................... 40 3.1.4 Materiales.............................................................................................. 40 3.1.5 Diagrama de topología RADIUS ........................................................... 41 3.1.6 Tabla de direcciones RADIUS ............................................................... 41 3.1.7 Montando el servidor RADIUS .............................................................. 42 3.1.8 Instalación de WinRADIUS ................................................................... 42 3.1.9 Conexión a la base de datos con WinRadius ........................................ 44 3.1.10 Creación de usuarios en WinRadius ................................................... 46 3.1.11 Configuraciones Generales en WinRadius .......................................... 48 3.1.12 Cambios en configuración de WinRadius para Windows Vista y Windows 7...................................................................................................... 51 3.1.13 Configuración del ruteador RADIUS.................................................... 56 3.1.14 Pruebas finales de funcionalidad WinRadius ...................................... 61 ~8~ CAPÍTULO IV 4.1 RESULTADOS OBTENIDOS ...........................................................67 4.2 ANÁLISIS DE RIESGO...................................................................92 CAPÍTULO V 5.1 CONCLUSIONES ..........................................................................94 5.2 REFERENCIAS BIBLIOGRÁFICAS ..................................................94 5.3 GLOSARIO ..................................................................................97 ~9~ CAPÍTULO I ~ 10 ~ 1.1 INTRODUCCIÓN El presente proyecto servirá como guía para los estudiantes de ingeniería en TI para elaborar correctamente las prácticas de redes de acuerdo con la retícula vigente de la materia de Seguridad de la Información; así mismo se implementarán algunas metodologías vistas en clase para reforzar el conocimiento del estudiante próximo a graduarse como ingeniero en TI. Éste trabajo también puede ser de utilidad para cualquier profesional de TI como material de consulta de los procedimientos para montar servidores de seguridad utilizando métodos de autenticación como RADIUS. En el primer capítulo se tratarán los antecedentes del proyecto, ¿para qué fue desarrollado el presente trabajo? Y el estado previo al inicio de actividades; se hará de manera muy breve la justificación y las motivaciones que llevaron al desarrollo el proyecto. También se tratarán los objetivos que son medibles y alcanzables, donde se enfatizará en las principales metas que debe cumplir el proyecto de manera sencilla y clara; a su vez se hablará de los alcances del proyecto y cada una de las etapas del desarrollo del mismo de forma concisa. El capítulo II presenta los principales recursos materiales y humanos utilizados para el montaje de los servidores de seguridad, así como el equipo especial utilizado, las personas especializadas involucradas en el proyecto; además se explican las actividades a realizar de manera gráfica; elaborando un cronograma ampliamente conocido como diagrama de Gantt en honor a su ~ 11 ~ diseñador el ingeniero Henrry Laurence Gantt en 1917. En adición se expondrá la fundamentación teórica que prácticamente consistió en el sustento metodológico del desarrollo del proyecto; y que para éste caso se recopiló en su mayoría material de la empresa Cisco Systems Inc. El contenido del capítulo III es la sección donde se aplica la metodología seleccionada y se explica el desarrollo del montaje de los servidores de seguridad utilizando RADIUS como método de autenticación de usuarios para acceder al equipo de telecomunicaciones En el capítulo IV se mostrarán los resultados obtenidos en el proyecto y que se reflejarán en las prácticas ya terminadas para los estudiantes. También es importante considerar el énfasis en plasmar un análisis de riesgos pertinente de los principales problemas que se pudieran presentar en el montaje de los servidores y también su correspondiente vía de mitigación. Finalmente se tienen el capítulo V que habla de las conclusiones y recomendaciones del proyecto así como la bibliografía de consulta en la que está basado éste contenido. ~ 12 ~ 1.2 ANTECEDENTES Parte de la formación integral del ingeniero en TI, es tener dominio en los temas de redes y telecomunicaciones; y a su vez cumplir con una curricula de diversas materias de la especialidad, entre ellas “Seguridad de la Información”; donde el alumno aprenderá técnicas de seguridad para equipos de ruteo y switcheo. El panorama antes de la elaboración del proyecto; se centraba en que el profesor proponía diversas prácticas de seguridad, para que el alumno adquiriera y reforzara los conocimientos además de practicar las destrezas aprendidas referente a los equipos de redes propietarios de la empresa Cisco, según el plan de estudios. Antes del proyecto la herramienta para realizar todas éstas prácticas era el programa denominado Packet Tracer (figura 1.1), un software simulador de entornos de red propietario de CISCO; y en ocasiones en equipo físico. Figura 1.1 ~ 13 ~ La principal motivación de la realización de éste proyecto, fue mejorar las habilidades del estudiante, ya que antes el acceso a equipo físico de telecomunicaciones era más restringido. Gracias al apoyo de la Universidad Tecnológica de Querétaro, de los tutores, asesores y al equipo brindado, es posible desarrollar éste proyecto que pretende integrar actividades 100% prácticas sobre servidores de seguridad y equipo de ruteo para que refuercen el aprendizaje de los candidatos a ingeniero en TI, cubriendo así los perfiles del plan de estudios vigente. ~ 14 ~ 1.3 JUSTIFICACIÓN Las principales razones para el desarrollo del proyecto fueron el impulso por la innovación educativa y las técnicas de enseñanza; además también influyó mucho el deseo de aprender sobre las nuevas tecnologías de seguridad para servidores de autenticación en un entorno de telecomunicaciones. Las competencias que adquirirá el alumno al finalizar el desarrollo de éstas práctica serán: a) Planear proyectos de seguridad en redes y telecomunicaciones para la implementación eficaz de soluciones, empleando los recursos disponibles en la organización, para contribuir a la productividad y logro de los objetivos estratégicos de las organizaciones utilizando las metodologías apropiadas. b) Construir proyectos de tecnologías de la información empleando estándares y modelos de calidad para contribuir en la competitividad de las organizaciones. c) Evaluar sistemas de tecnologías de información para establecer acciones de mejora e innovación en las organizaciones. Los beneficios que se esperan al concluir el proyecto son un adecuado dominio sobre los sistemas de seguridad para autenticar usuarios utilizando el método RADIUS. ~ 15 ~ 1.4 OBJETIVOS Los objetivos planteados para éste proyecto son los siguientes: Se concluirá el diseño y desarrollo al 100% en tiempo y forma según el cronograma, de dos actividades prácticas sobre equipo físico y dos actividades prácticas en software Packet Tracer para probar el funcionamiento del protocolo de autenticación RADIUS. El alumno logrará un dominio del 90% del tema de servidores utilizando los protocolos de seguridad. El alumno reforzará sus conocimientos, destrezas y habilidades de aprendizaje en un entorno práctico, resolviendo las 4 actividades que involucran el montaje de servidores de seguridad utilizando el protocolo de autenticación de usuarios RADIUS. ~ 16 ~ 1.5 ALCANCES Los principales alcances del proyecto son a nivel institucional, donde se pretende finalizar las prácticas para que puedan ser aprovechadas por alumnos de la Universidad Tecnológica de Querétaro. La delimitación del proyecto abarca desde investigar las técnicas y métodos de RADIUS, aplicar software, configuraciones, realizar pruebas en equipo físico hasta la documentación, diseño, y elaboración de prácticas, así como opcionalmente la realización de videos y tutoriales que expliquen al estudiante cómo realizar las configuraciones en RADIUS. El diseño cronológico del proyecto es similar a un algoritmo trasladado a un diagrama de flujo, ya que es secuencial y una ó más de las actividades pueden ser repetitivas hasta encontrar los resultados esperados, tal y como lo muestra la figura 1.2. Donde el ciclo es el inicio de actividades, seguido por la investigación y recopilación de información de diversas fuentes como libros, artículos, revistas, videos, tutoriales, otros trabajos de investigación y guías. Posteriormente se pasa a la obtención de las herramientas investigadas tales como el software necesario y el hardware adecuado. Después se pasa a la etapa de pruebas en equipo físico para validar si todo el proceso fue exitoso, si la respuesta es positiva esto dará pauta a realizar la documentación y la entrega final; de lo contrario se deberá reiniciar desde el punto de investigación y recopilación de información. ~ 17 ~ Inicio de actividades Investigación y recopilación de información Obtención de herramientas de hardware y software Pruebas en equipo físico SI ¿Proceso exitoso? Documentar NO Entregar Fin de actividades Figura 1.2 ~ 18 ~ CAPÍTULO II ~ 19 ~ 2.1 RECURSOS MATERIALES Y HUMANOS A continuación en la tabla 2.1 se presentará la lista de recursos necesarios para el desarrollo del proyecto, contemplando recursos humanos y materiales. Más adelante en la figura 2.1 se plantea el cronograma seguido para la elaboración del proyecto, en conjunto con la lista de actividades a realizar en la tabla 2.2. RECURSOS HUMANOS Profesores y tutores de la UTEQ RECURSOS MATERIALES RECURSO Ruteadores Cisco 2800 Switches Catalyst Cable consola Rollover Cable de red Straight Adaptador DB-9 a USB Cable de corriente Cable de conexión serial RS-232 Computadora portátil Conexión a Internet Libros, revistas y trabajos CANTIDAD 2 2 1 7 1 4 1 3 1 1 Tabla 2.1 ~ 20 ~ 2.2 PLAN DE ACTIVIDADES Figura 2.1 ~ 21 ~ TAREAS INICIAR ACTIVIDADES PRIMERA INVESTIGACION Y RECOPILACION DE LA INFORMACION PRIMERA OBTENCION DE HERRAMIENTAS DE HARDWARE Y SOFTWARE PRIMERAS PRUEBAS EN EQUIPO FISCO SEGUNDA INVESTIGACION Y RECOPILACION DE LA INFORMACION SEGUNDA OBTENCION DE HERRAMIENTAS DE HARDWARE Y SOFTWARE SEGUNDAS PRUEBAS EN EQUIPO FISCO TERCERA INVESTIGACION Y RECOPILACION DE LA INFORMACION TERCERA OBTENCION DE HERRAMIENTAS DE HARDWARE Y SOFTWARE TERCERAS PRUEBAS EN EQUIPO FISCO DOCUMENTACION ELABORACION DE TUTORIALES Y VIDEOS ENTREGA DEL PROYECTO DURACION COMIENZO 1 día? 21/02/2011 09:00 FIN 21/02/2011 19:00 11 días? 22/02/2011 09:00 04/03/2011 19:00 7 días? 12 días? 05/03/2011 09:00 07/03/2011 09:00 11/03/2011 19:00 18/03/2011 19:00 5 días? 21/03/2011 09:00 25/03/2011 19:00 1 día? 5 días? 27/03/2011 09:00 28/03/2011 09:00 27/03/2011 19:00 01/04/2011 19:00 5 días? 04/04/2011 09:00 08/04/2011 19:00 2 días? 5 días? 46 días? 4 días? 1 día? 09/04/2011 09:00 11/04/2011 09:00 01/03/2011 09:00 16/04/2011 09:00 20/04/2011 09:00 10/04/2011 19:00 15/04/2011 19:00 15/04/2011 19:00 19/04/2011 19:00 20/04/2011 19:00 Tabla 2.2 ~ 22 ~ 2.3 FUNDAMENTACIÓN TEÓRICA 2.3.1 Esquemas de autenticación a ruteadores Cuando se requiere administrar un ruteador de forma remota, es necesario que se cumplan tres elementos importantes: Autenticación: que es la identificación del acceso, Autorización: que son los recursos disponibles en la conexión y el Accounting: que es el historial de movimientos en dicha cuenta. Los tres métodos de conexión para administrar un ruteador son por consola, por la conexión auxiliar y por terminales vty. Los medios y la infraestructura de red que más se utilizan son vía marcación (dial up) a través del protocolo PPP, y a través de una red privada virtual (VPN). Los tipos de autenticación de acuerdo a la ubicación, son local y remota. Las autenticaciones locales se validan utilizando una base de datos local, que generalmente está alojada en el ruteador ó en el dispositivo de red al cuál se quiere acceder, y las autenticaciones remotas utilizan normalmente un servidor aledaño que puede estar en cualquier ubicación dentro de la red. Para las autenticaciones remotas existen dos tipos de servidores de seguridad que son: RADIUS y TACACS+. 2.3.2 Funcionamiento de RADIUS ~ 23 ~ RADIUS es un servidor de acceso que utiliza el conjunto de protocolos AAA. Este es un sistema para distribuir acceso remoto seguro a redes y a servicios de red que no cuentan con autorización de acceso. RADIUS se conforma de tres componentes: - Un Protocolo de Datagrama de Usuarios (UDP)/IP. - Un servidor. - Un cliente. La empresa Cisco Systems Inc., introdujo el cliente de RADIUS a Cisco IOS Software Release 11.1 y para posteriores plataformas de su software. Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asignará los recursos de red tales como una dirección IP, y otros parámetros necesarios para un correcto funcionamiento. ~ 24 ~ 2.3.3 Modelo Cliente Servidor Una Network Access Server (NAS) opera como un cliente de RADIUS. El cliente es responsable de pasar información de usuario al equipo designado como servidor RADIUS, y a continuación actuar sobre la respuesta que se devuelve. El servidor RADIUS es el encargado de recibir las peticiones de conexión, autenticar a los usuarios y devolver toda la información de configuración necesaria para ofrecer el servicio al cliente. 2.3.4 Redes Seguras Las transacciones entre el cliente y el servidor RADIUS deben ser autenticadas usando una clave compartida (shared secret), la cual nunca se envía a través de la red. Además, las contraseñas de usuario son enviadas y cifradas entre el cliente y el servidor RADIUS; eliminándose así la posibilidad de que alguien haga snooping en una red insegura pudiendo determinar alguna contraseña de usuario. ~ 25 ~ 2.3.5 Mecanismos de autenticación flexibles Los servidores RADIUS soportan una gran variedad de métodos de autentificación de usuarios. RADIUS soporta PPP, Protocolo de Autenticación por Contraseña (PAP), Protocolo de Autenticación por Desafío (CHAP), Login UNIX, y otros mecanismos de autenticación. Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, de ésta manera al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos. RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se publicó como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las presentaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. El desarrollo de RADIUS en su totalidad es de código abierto pero la mayoría de fabricantes de software y hardware en materia de redes para utilizar RADIUS, implementan sus propios lenguajes y marcas comerciales. ~ 26 ~ 2.3.6 Esquemas de funcionamiento El esquema de funcionamiento se describe en la figura 2.3.1. Figura 2.3.1 Cuyo procedimiento en orden es: 1) El usuario inicia sesión en el NAS. 2) El NAS le pide usuario y contraseña. 3) El usuario responde con sus credenciales. 4) El NAS envía usuario y contraseña, ambas encriptadas al servidor RADIUS. 5) RADIUS responde aceptando, rechazando o interactuando con el usuario. El proceso de validación de usuario y contraseña es sumamente seguro cuando se utiliza RADIUS y otros protocolos de autenticación. Más adelante se analizarán con detenimiento las principales diferencias entre el protocolo RADIUS de código libre y TACACS+ cuyo propietario es CISCO. Básicamente éste es el esquema de funcionamiento de un servidor de seguridad RADIUS, en la imagen 2.3.2 se muestra otro panorama muy parecido. ~ 27 ~ Figura 2.3.2 ~ 28 ~ 2.3.7 Funcionamiento de TACACS+ TACACS es el acrónimo de Terminal Access Controller Access Control System, en inglés “sistema de control de acceso del controlador de acceso a terminales”; y es un protocolo de autenticación remota que se usa para gestionar el acceso, además de proporcionar servicios separados de autenticación, autorización y registro a servidores y dispositivos de comunicaciones. TACACS es propietario de Cisco, y es muy usado para comunicarse con un servidor de autenticación comúnmente usado en redes Unix. TACACS permite a un servidor de acceso remoto comunicarse con un servidor de autenticación para determinar si el usuario tiene acceso a la red, además éste protocolo está documentado en el estándar RFC 1492 TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo completamente nuevo e incompatible con las versiones anteriores de TACACS. El software Cisco IOS soporta actualmente tres versiones para la Terminal Access Controller Access: TACACS +: Un reciente protocolo que provee la información de cuentas de usuario detallada y flexible, además de tener control administrativo sobre los procesos de autenticación y autorización. TACACS+ se da gracias a la AAA, y sólo se puede activar a través de comandos AAA. ~ 29 ~ TACACS: es un protocolo de acceso más viejo e incompatible con el nuevo protocolo TACACS +, que está ahora en uso por Cisco. TACACS proporciona la comprobación de contraseñas y autenticación, y la notificación de las acciones del usuario con fines de administración y seguridad de cuentas. TACACS Extendido: es una extensión del viejo protocolo TACACS. TACACS Extendido proporciona información acerca de conversión de protocolos y el uso del router. Esta información se utiliza en auditoría UNIX y archivos de cuentas de usuario. TACACS+ es una aplicación de seguridad que proporciona la validación centralizada de los usuarios que intentan acceder a un router o un servidor de acceso a la red. Los servicios TACACS+ se mantienen en una base de datos que se ejecuta por lo general, en una estación de trabajo UNIX o Windows NT. Se debe configurar el servidor TACACS+, de preferencia antes de dar de alta los servicios en el ruteador. ~ 30 ~ 2.4 Comparativas entre TACACS+ y RADIUS 2.4.1 UDP y TCP RADIUS utiliza el protocolo de capa de transporte UDP mientras TACACS+ utiliza TCP. TCP ofrece algunas ventajas frente a UDP. TCP ofrece una comunicación orientada a conexión, mientras que UDP ofrece mejor esfuerzo en la entrega. RADIUS requiere además de variables programables, como el número de intentos en la re-transmisión o el tiempo de espera para compensar la entrega, pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP: TCP proporciona el uso de un identificador para las peticiones que sean recibidas, dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en la red, independientemente de la carga y del lento mecanismo de autenticación de respaldo (un reconocimiento TCP) podría ser. TCP proporciona una marca inmediata cuando se rompe o no está corriendo la comunicación, gracias a un servidor de restablecimiento (RST). Se puede determinar cuándo se rompió la comunicación y retorno el servicio si se usan conexiones TCP long-lived. UDP no puede mostrar las diferencias entre estar offline, sufrir lentitud o que no exista servidor. Usando los TCP Keepalives, las caídas de servidores pueden ser detectadas out-of-band con peticiones reales. Conexiones a múltiples servidores pueden ser mantenidas simultáneamente, y solamente se necesita enviar mensajes a los que se sabe que tienen que estar activos, online y ejecutándose. ~ 31 ~ 2.4.2 Encriptación de paquetes RADIUS encripta solamente la contraseña en el paquete de respuesta al acceso (access-request), desde el cliente hasta el servidor. El resto de paquetes está sin encriptar. Otra información, como el nombre de usuario, los servicios autorizados, y acounting pueden ser capturados por un tercero. TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. Dentro de la cabecera hay un campo donde se indica si el cuerpo está encriptado o no. Para propósitos de depuración, es más util tener el cuerpo de los paquetes sin encriptar. Sin embargo, durante el normal funcionamiento, el cuerpo del mensaje es enteramente cifrado para más seguridad en las comunicaciones. ~ 32 ~ 2.4.3 Autenticación y autorización RADIUS combina autenticación y autorización. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente, contienen información de autorización. Esto hace difícil desasociar autenticación y autorización. TACACS+ usa la arquitectura AAA. Esto permite separar soluciones de autenticación, dejando seguir utilizando TACACS+ para la autorización y la contabilidad. Por ejemplo, con TACACS+, es posible utilizar autenticación Kerberos y autorización y accounting TACACS+. En éste caso un NAS de autenticación sobre el servidor Kerberos, solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos, y luego el servidor proporcionará la información de autorización. Durante una sesión, si adicionalmente la autorización de control es necesaria, los accesos al servidor se comprueban con un servidor TACACS+ para determinar si se le conceden permisos para ejecutar un comando en particular. Esto proporciona mejor control sobre los comandos que pueden ser ejecutados en un servidor de acceso mientras es separado con mecanismos de autenticación. ~ 33 ~ 2.4.4 Soporte multiprotocolo RADIUS no soporta los siguientes protocolos: - Protocolo de Acceso Remoto AppleTalk (ARA) - Protocolo de Control de Tramas NetBIOS. - Interfaz de Servicios Asíncronos de Novell (NASI) - Conexiónes X.25 con PAD TACACS+ ofrece soporte multiprotocolo. 2.4.5 Administración de routers RADIUS no permite al usuario el control total de comandos que pueden ser ejecutados en un router. Por lo tanto, RADIUS no es tan útil para la gestión de router o flexible para servicios de terminal. TACACS+ proporciona dos métodos de control de autorización de los comandos de un router, uno por usuarios (per-user) o por grupos (per-groups). El primer método asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está o no autorizado en el nivel de privilegios especificado. El segundo método es para especificar explícitamente en el servidor TACACS+, por usuario o por grupo, los comandos que están permitidos. ~ 34 ~ 2.5 Tráfico Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS, la cantidad de tráfico generado entre el cliente y el servidor es diferente. Los ejemplos que a continuación se mostrarán ilustran el tráfico entre el cliente y el servidor para TACACS+ y RADIUS para ser usado para la gestión de routers con autenticación, exec autorización, autorización del comando (con RADIUS no se puede hacer), exec contabilidad, y comandos de contabilidad (con RADIUS no se puede hacer). 2.5.1 Ejemplo de tráfico en RADIUS Este ejemplo (figura 2.5.1) asume el login de autenticación, exec autenticación, e iniciar-para exec contabilidad que pueden ser utilizados con RADIUS cuando un usuario hace telnet a un router, realiza un comando y sale del router (la gestión de otros servicios no están disponibles): Figura 2.5.1 ~ 35 ~ 2.5.2 Ejemplo de tráfico en TACACS+ Este ejemplo (figura 2.5.2) asume el login de autenticación, exec autorización, comando autorizado, iniciar-parar exec accounting, y comandos de accounting que pueden ser utilizados por un usuario cuando hace telnet a un router, realiza el comando y sale del router: Figura 2.5.2 ~ 36 ~ CAPÍTULO III ~ 37 ~ 3.1 DESARROLLO DEL PROYECTO 3.1.1 Ubicación y etapas de desarrollo del proyecto El proyecto se desarrolló en varias etapas, primero el desglose cíclico de actividades la investigación y recopilación de información se realizó en bibliotecas, Internet y otras instituciones educativas con el apoyo de profesionales en el área incluyendo en ésta etapa también a la Universidad Tecnológica de Querétaro. La etapa de búsqueda de herramientas y software adecuado para montar el servidor Radius, se realizó de manera local en el lugar de trabajo de la preferencia de cada miembro del equipo, ya que se requería contar con un área para mayor comodidad y concentración que favoreciera el avance de los procesos involucrados en el desarrollo del proyecto. Las pruebas de software y hardware, ya con la información recopilada, un documento sólido y bien estructurado y con las herramientas de software necesarias para la actividad, se llevaron a cabo en la Universidad Tecnológica de Querétaro con equipo de los laboratorios de Cisco, específicamente se estuvo trabajando en el laboratorio de Cisco II. ~ 38 ~ 3.1.2 Aplicación de RADIUS y TACACS+ Existen dos destacados protocolos de seguridad destacados para el control de acceso a las redes que son Cisco TACACS+ y RADIUS. La especificación RADIUS está descrita en el RFC-2865, que sustituye al obsoleto RFC-2138. Cisco se ha comprometido a apoyar ambos protocolos con las mejores clases de ofertas. La intención de Cisco no es competir con RADIUS o influenciar a sus usuarios a utilizar TACACS+. Se debe elegir la solución que mejor satisfaga sus necesidades. Aquí se comentan las diferencias entre TACACS+ y RADIUS, para así se pueda estar informado antes de tomar una decisión. Cisco soporta el protocolo RADIUS desde que se liberó la "Cisco IOS(R) Software Release 11.1" en Febrero de 1996. Cisco continua mejorando el cliente RADIUS con nuevas características y capacidades, apoyando a RADIUS como un estandar. Cisco evaluó detalladamente a RADIUS como un protocolo de seguridad antes de desarrollar TACACS+. Muchas características fueron introducidas en el protocolo TACACS+ tras conocer las necesidades del incipiente mercado de la seguridad. Este protocolo fue diseñado para ampliarse a medida que crecen las redes, y adaptarse a las nuevas tecnologías en seguridad mientras el mercado evoluciona. La arquitectura subyacente del protocolo TACACS+ complementa la arquitectura independiente de autentificar (Authentication), autorizar (Authorization) y manejo de cuentas (Accounting) (AAA). ~ 39 ~ 3.1.3 Actividad con el servidor RADIUS La topología (figura 3.1.6) muestra que los ruteadores R1 y R2 actualmente están siendo administrados bajo un entorno basado en el “secret passsword” sin ningún tipo de autenticación aplicada a los usuarios que se conectan local y remotamente a ellos. El reto es montar y configurar un servidor bajo la plataforma Windows XP / Windows Vista / Windows 7 que utilice autenticación RADIUS para que verifique las conexiones locales y remotas que los administradores realicen cuando intenten gestionar la configuración del ruteador R1 desde cualquier computadora de la RED_1 ó la RED_2. Además de configurar correctamente el ruteador R1 bajo el esquema RADIUS y las configuraciones básicas para el R2. 3.1.4 Materiales A continuación se dispondrá de los siguientes equipos y dispositivos: EQUIPO / DISPOSITIVOS CANTIDAD 6 Computadoras personales / Laptops 2 Router Cisco 2800 2 Switch Cisco Catalyst 2960 1 Cable de consola RollOver 1 Adaptador DB-9 a USB 4 Cable de corriente 2 Cable de conexión serial RS-232 7 Cable de red, Straight ~ 40 ~ 3.1.5 Diagrama de topología RADIUS Con los dispositivos se deberá formar la siguiente topología. Figura 3.1.5 3.1.6 Tabla de direcciones RADIUS DISPOSITIVO R1 INTERFACE DIRECCION IP MASCARA DE SUBRED Fa0/0 192.168.1.1 255.255.255.0 Se0/0/0 10.1.1.1 255.255.255.252 Fa0/0 192.168.2.1 255.255.255.0 Se0/0/0 10.1.1.2 255.255.255.252 SERVIDOR RADIUS NIC 192.168.1.2 255.255.255.0 SWITCH 1 PUERTOS N/A N/A CLIENTE_1_RED_1 NIC 192.168.1.3 255.255.255.0 CLIENTE_2_RED_1 NIC 192.168.1.4 255.255.255.0 SWITCH 2 PUERTOS N/A N/A CLIENTE_1_RED_2 NIC 192.168.2.1 255.255.255.0 CLIENTE_1_RED_2 NIC 192.168.2.2 255.255.255.0 R2 ~ 41 ~ 3.1.7 Montando el servidor RADIUS RADIUS es un protocolo de red ampliamente implementado; se dice que es un protocolo cliente / servidor y que proporciona un mecanismo centralizado de administración de la información de cuenta de usuario. Estos elementos pueden ser nombres de usuario, contraseñas y niveles de privilegios para cada cuenta. 3.1.8 Instalación de WinRADIUS Existen varios programas para montar un servidor RADIUS, tales como FreeRADIUS Y FreeRADIUS.net; la mayoría sólo funcionan bajo distribuciones de Linux como Red Hat y SuSe; bajo la plataforma UNIX y bajo plataformas Mac. El programa que se utilizará para hacer funcionar el servidor RADIUS bajo entorno Windows XP / Windows Vista / Windows 7 será el “WinRadius” que es una distribución licenciada para Windows compilada bajo esquemas win32 con soporte para MySQL, Oracle, y Microsoft Access, que se puede instalar y ejecutar en Windows XP / Windows Vista / Windows 7. En la actualidad se utiliza la versión WinRadius v2010 y su única limitación en la versión de prueba es que sólo soporta 5 usuarios. ~ 42 ~ Ésta aplicación se puede descargar del sitio oficial: http://www.itcosult2000.com ó http://www.elite-school .com y no necesita ser instalada; sólo basta con descomprimir el archivo en alguna carpeta y sobreponerla en el escritorio como se muestra en la figura 3.1.8: Figura 3.1.8 Entre los archivos se encuentran “RadiusTest.exe” que servirá para hacer pruebas posteriores, “WinRadius.exe” que es la aplicación propiamente dicha; y “WinRadius.mdb” que es la base de datos de tipo Microsoft Access. ~ 43 ~ 3.1.9 Conexión a la base de datos con WinRadius Como el servidor no necesita instalación, y además son básicamente dos los archivos ejecutables (RadiusTest.exe y WinRadius.exe) lo primero que se tiene que hacer es ejecutar WinRadius.exe. Posteriormente se deberá seleccionar la opción “Database…” del menú superior “Settings” como muestra la figura 3.1.9. Figura 3.1.9 Y para sincronizar la conexión ó el driver hacia la base de datos se deberá hacer click en el botón “Configure ODBC automatically” tal y como se muestra en el recuadro de la figura 3.1.10. ~ 44 ~ Después de configurar automáticamente (figura 3.1.10) la base de datos, se requiere reiniciar el servicio de RADIUS, por lo que será necesario cerrar el servidor y volver a iniciarlo (WinRadius.exe). Figura 3.1.10 ~ 45 ~ 3.1.10 Creación de usuarios en WinRadius El siguiente paso es crear los usuarios que se autenticarán en el servidor; y para eso se hace click en el menú principal “Operation” y después en “Add user…”, para agregar los dos usuarios de éste ejemplo radius01 y radius02 con sus respectivas contraseñas radpass01 y radpass02, como se muestra en la figura 3.1.11. Figura 3.1.11 ~ 46 ~ Además es muy importante no olvidar cambiar la dirección IP del que será el servidor RADIUS en plataforma Windows XP, de acuerdo al esquema; deberá tener la dirección IP 192.168.1.2, tal y como lo describe la figura 3.1.12. Figura 3.1.12 ~ 47 ~ 3.1.11 Configuraciones Generales en WinRadius A continuación se configurará la “NAS Secret” en el servidor RADIUS, ésta clave el ruteador la conoce como “key” y en éste ejemplo será radiuspassword; esto se logra ingresando al menú principal “Settings” y a “System…”, donde habrá que ingresar la “NAS Secret”, la dirección IP y los puertos de autorización y de accounting, todo esto tal y como se muestra en la figura 3.1.13. Figura 3.1.13 Ahora es tiempo de ejecutar el otro archivo llamado “RadiusTest,exe” y se deberá configurar la dirección IP del servidor que será la 192.168.1.2, además de configurar otros parámetros como el puerto de escucha con el NAS que es el 1813 (hay que recordar que por default es 1812 y 1813), y también el ~ 48 ~ “Secret” que actúa como palabra clave “key” en el ruteador y deberá ser radiuspassword en el ejemplo propuesto. Como se ilustra en la figura 3.1.14, también se agregará el usuario radius01 con su contraseña radpass01 para hacer las pruebas que a continuación se detallarán; para finalmente dar click en el botón “send”. Figura 3.1.14 ~ 49 ~ El resultado será satisfactorio, pues se ha hecho la prueba de autenticación con el nombre de usuario y contraseña correctos que están dados de alta en la base de datos, y la muestra se puede apreciar en la imagen 3.1.15. Figura 3.1.15 Ahora el servidor RADIUS está listo y totalmente operativo, y puede minimizarse en la barra de tareas del sistema operativo, dando la siguiente impresión (figura 3.1.16). Figura 3.1.16 ~ 50 ~ 3.1.12 Cambios en configuración de WinRadius para Windows Vista y Windows 7 Como el servidor RADIUS WinRadius fue diseñado originalmente para versiones de Windows XP e inferiores; es muy común los casos en los que el programa no reconoce la base de datos, por lo que a continuación se detallará el procedimiento para crear un origen de base de datos en Windows 7 hacer que funcione el conjunto con RADIUS. Para instalar WinRadius en las versiones Vista y 7 de Windows, es necesario configurar un origen de base de datos, pues éste no viene previamente configurado. El origen de base de datos servirá para hacer la conexión entre el servidor WinRadius y la base de datos; esto para la correcta administración de los grupos de usuarios, usuarios y contraseñas que se autenticarán en el servidor RADIUS. En primer lugar hay que accesar a barra de tareas InicioPanel de control y en la zona de búsqueda se deberá introducir “ODBC” y posteriormente hacer click en “Configurar orígenes de datos (ODBC)”, como se presenta en la figura 3.1.17. ~ 51 ~ Figura 3.1.17 Posteriormente saldrá la ventana de “Administrador de orígenes de datos ODBC”, donde se deberá presionar el botón “Agregar…” y de donde se deberá seleccionar posteriormente el controlador “Microsoft Access Driver (*.mdb, *.accdb)”y dar click en “Finalizar” (figura 3.1.18). Figura 3.1.18 ~ 52 ~ En la siguiente ventana se deberá seleccionar la base de datos WinRadius.mdb que es la base de datos del servidor y dar click en aceptar tal y como se muestra en la imagen 3.1.19. Figura 3.1.19 Si todo salió adecuadamente, entonces será claramente visible el origen de datos agregado como se muestra en la figura 3.1.20. Figura 3.1.20 ~ 53 ~ Posteriormente en el servidor RADIUS se deberá seleccionar la opción “Database…” del menú superior “Settings”, y en el recuadro “ODBC Settings” se deberá llenar el campo “ODBC name” con el nombre del origen de datos que se acaba de crear como muestra la imagen 3.1.21. Figura 3.1.21 ~ 54 ~ Después de éste paso, se deberá reiniciar el servidor RADIUS para que surtan efecto los cambios. Si todo se hizo de manera correcta entonces al reiniciar el servidor se deberá identificar la cantidad de usuarios y los puertos disponibles para realizar la comunicación, como se muestra en la figura 3.1.22. Figura 3.1.22 ~ 55 ~ 3.1.13 Configuración del ruteador RADIUS Paso 1: Primero se accesa al modo privilegiado y se restablece la configuración de ambos ruteadores y de los switches con el siguiente comando. R1#erase startup-config Paso 2: Después de levantar todas las interfaces seriales y Ethernet de ambos ruteadores, hacer las conexiones pertinentes y las configuraciones básicas; entonces se procederá a configurar la autenticación AAA. Establecer la contraseña “enable secret” como cisco, para generar niveles de seguridad locales. R1(config)#enable secret cisco Paso 3: Configurar un usuario local como respaldo para acceder al ruteador en caso de emergencia, el usuario se llamará Admin y su secret password será adminpassword. En dado caso que el servidor RADIUS no responda se podrá accesar al sistema con éste usuario inclusive de manera remota si está activado el modo de terminal vty. R1(config)# username Admin password adminpassword ~ 56 ~ Paso 4: Configurar la autenticación AAA para el acceso a la consola en R1, todo esto para poder usar RADIUS, configurando la línea de consola. R1(config)# aaa new-model R1(config)# aaa authentication login CONSOLA group radius local R1(config)# line console 0 R1(config-line)# login authentication CONSOLA Paso 5: Si se quisiera accesar al ruteador de forma remota no se podría llevar a cabo con autenticación RADIUS sino únicamente con el usuario de respaldo que se creo en el paso 2 que fue Admin y su contraseña adminpassword, éste procedimiento es muy útil cuando un servidor es hackeado ó simplemente está “caído”. Para poder accesar al ruteador de forma remota se debe habilitar la conexión por las terminales VTYS usando autenticación RADIUS aplicando los siguientes comandos. R1(config)# aaa new-model R1(config)# aaa authentication login VTYS group radius local R1(config)# line vty 0 4 R1(config-line)# login authentication VTYS ~ 57 ~ Paso 6: Configurar la autenticación de usuario en el login vía RADIUS, y si en su defecto el servidor no está accesible, el ruteador usará las credenciales de acceso local. R1(config)# aaa authentication login default group radius local Paso 7: Configurar la parte de RADIUS en el ruteador, asignando la dirección IP del servidor RADIUS. R1(config)# radius-server host 192.168.1.2 Paso 8: Configurar la clave secreta (secret key) como radiuspassword. R1(config)# radius-server key radiuspassword Paso 9: Configurar el puerto de acceso y autenticación por default que es el 1812 por UDP, esto último es porque el software WinRadius transmite y recibe por los puertos 1812 y 1813 (tal como en el estándar del protocolo RADIUS) y los ruteadores Cisco lo hacen por los puertos 1645 y 1646, por lo tanto hay que forzar al ruteador que lo haga por el puerto 1812; aunque los adaptadores genéricos lo hacen por los 4 puertos. R1(config)# radius-server host 192.168.1.2 auth-port 1812 acct-port 1813 ~ 58 ~ Paso 10: Hasta éste paso del procedimiento se debe poder acceder al ruteador de forma local por medio del puerto de consola usando la autenticación RADIUS con los usuarios de radius01 y radius02 con sus respectivos passwords radpass01 y radpass02. Verificar la autenticación AAA con RADIUS local y remota: ************ AUTHORIZED ACCESS ONLY ************* UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. User Access Verification Username: radius01 Password: radpass01 R1> Paso 11: Desconectar el servidor RADIUS de la red y verificar la autenticación AAA remotamente usando telnet y localmente desde la consola: ************ AUTHORIZED ACCESS ONLY ************* UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. User Access Verification Username: Admin Password: adminpassword R1> ~ 59 ~ Paso 12: Dar de alta el ruteo estático en R1 y R2 para que ambas redes puedan verse entre sí; además de no olvidar sincronizar la interface de reloj en R2. R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2 R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 R2(config-if)#clock rate 56000 ~ 60 ~ 3.1.14 Pruebas finales de funcionalidad WinRadius Una vez hechas las conexiones correspondientes, y las configuraciones en ambos ruteadores. Ya teniendo el servidor RADIUS plenamente operativo entonces es hora de hacer las pruebas pertinentes. Paso 1: Abrir una conexión de HiperTerminal para tener acceso al ruteador, por medio del protocolo TCP/IP por el puerto 23, es decir se hará un telnet al ruteador de manera local, y sin el cable de consola conectado, la conexión se configura como se muestra en la siguiente figura 3.1.23. Figura 3.1.23 ~ 61 ~ Paso 2: Ya ejecutándose plenamente el servidor RADIUS en la computadora cuya dirección IP es 192.168.1.2, entonces se va hacia la HiperTerminal y se abre la conexión, tratándose de autenticar con un usuario que no esté en la base de datos del servidor RADIUS, e introduciendo otro password diferente que tampoco se encuentre alojado en la base de datos. La respuesta del servidor RADIUS deberá ser negativa; mostrando un usuario no identificado y fallando en la autenticación de dicho usuario, también una serie de detalles de la conexión, como por ejemplo la IP desde la cual se está haciendo la conexión, que sería la 192.168.1.2; y la IP a la cual se quiere acceder en éste caso el puerto FastEthernet del ruteador que sería la 192.168.1.1, el tipo de acceso, y la conexión fallida tal y como se muestra en la imagen 3.1.24. Figura 3.1.24 ~ 62 ~ Paso 3: Realizar las mismas pruebas pero con un usuario válido y existente como radius01 cuyo password es radpass01, como se muestra en la figura 3.1.25. Figura 3.1.25 ~ 63 ~ En la siguiente imagen se puede apreciar, cómo la autenticación y el acceso se realizaron de forma correcta con el usuario radius01 y el password radpass01, como se muestra en la siguiente imagen (figura 3.1.26). Figura 3.1.26 ~ 64 ~ Paso 4: Realizar las mismas pruebas que en el paso 3 pero desde otra estación de trabajo del mismo segmento de red es decir la RED_1 ó desde el otro segmento es decir la RED_2, y el resultado deberá ser similar al de la figura 3.1.27. Figura 3.1.27 ~ 65 ~ CAPÍTULO IV ~ 66 ~ 4.1 RESULTADOS OBTENIDOS Éste apartado en el reporte de estadía es muy importante, ya que aquí se presentan los avances del proyecto y los efectos finales derivados, los cuales relacionan todas las características previas tales como objetivos, topología, material requerido, procedimientos, conclusiones y pruebas finales de las prácticas, todos éstos elementos se conjuntan finalmente mostrando el resultado. Los objetivos del presente documento se han cumplido, ya que se han logrado desarrollar las dos prácticas planeadas desde un inicio para el desarrollo del proyecto, las cuales abarcan desde la investigación, instalación del software necesario, hasta la configuración del equipo de telecomunicaciones como ruteadores, switches, y finalmente las pruebas de funcionalidad para servidores de seguridad utilizando RADIUS. A continuación se presentan las dos prácticas obtenidas para los temas de seguridad de la información; primeramente se incluye la práctica de RADIUS en su versión para Packet Tracer y posteriormente se presenta la misma práctica para desarrollar en equipo físico. ~ 67 ~ Configuración de Servidor RADIUS actividad en Packet Tracer Diagrama de topología Con los dispositivos se deberá formar la siguiente topología. Tabla de direcciones A continuación se muestra la tabla de referencia para los dispositivos conectados en la topología. DISPOSITIVO R1 R2 SERVIDOR RADIUS SWITCH 1 CLIENTE_1_RED_1 CLIENTE_2_RED_1 SWITCH 2 CLIENTE_1_RED_2 CLIENTE_1_RED_2 INTERFACE DIRECCION IP MASCARA DE SUBRED Fa0/0 192.168.1.1 255.255.255.0 Se0/0/0 10.1.1.1 255.255.255.252 Fa0/0 192.168.2.1 255.255.255.0 Se0/0/0 10.1.1.2 255.255.255.252 NIC 192.168.1.2 255.255.255.0 PUERTOS N/A N/A NIC 192.168.1.3 255.255.255.0 NIC 192.168.1.4 255.255.255.0 PUERTOS N/A N/A NIC 192.168.2.1 255.255.255.0 NIC 192.168.2.2 255.255.255.0 ~ 68 ~ Paso 1: Configurar el servidor RADIUS y las computadoras de ambas redes con sus respectivas direcciones IP. Paso 2: Configurar el servidor RADIUS conforme a los puntos: 1) Ingresar a la pestaña “Config” del servidor y posteriormente a la pestaña “AAA”. 2) Verificar que el servicio RADIUS esté activado. 3) Cambiar el puerto a 1812 para que la simulación parezca más real, ya que este es el puerto con el que trabaja el estándar de servidores RADIUS. 4) Agregar tantos clientes NAS (Network Access Server) con su respectiva dirección IP de conexión y la “key” que utilizarán. Los NAS son los dispositivos que requerirán la autenticación del servidor RADIUS para que éste a su vez pueda validar si el usuario y contraseña introducidos son válidos; por ejemplo se puede agregar ruteadores ó puntos de acceso inalámbricos para que validen los clientes que se conectan a la red. 5) Agregar tantos usuarios como se necesiten para cada NAS correspondiente. ~ 69 ~ Paso 3: Después de levantar todas las interfaces seriales y Ethernet de ambos ruteadores, hacer las conexiones pertinentes y las configuraciones básicas entonces se procederá a configurar la autenticación AAA para que R1 acepte los servicios RADIUS. Establecer la contraseña “enable secret” como cisco, para generar los niveles de seguridad locales. R1(config)#enable secret cisco Configurar un usuario local como respaldo para acceder al ruteador Admin y su secret password será adminpassword. En dado caso que el servidor RADIUS no responda se podrá accesar al sistema con éste usuario. R1(config)# username Admin password adminpassword ~ 70 ~ Configurar la parte de RADIUS en el ruteador, configurando la dirección IP del servidor RADIUS. R1(config)# radius-server host 192.168.1.2 Configurar la clave secreta (secret key) como radiuspassword. R1(config)# radius-server key radiuspassword Configurar la autenticación AAA para el acceso a la consola en R1 para usar RADIUS, configurando la línea de consola. R1(config)# aaa new-model R1(config)# aaa authentication login CONSOLA group radius local R1(config)# line console 0 R1(config-line)# login authentication CONSOLA Hasta éste paso del procedimiento se debe poder acceder al ruteador de forma local por medio del puerto de consola usando la autenticación RADIUS con los usuarios de radius01 y radius02 con sus respectivos passwords radpass01 y radpass02. Si se intentara accesar al ruteador de forma remota no se podría accesar con autenticación RADIUS sino únicamente con el usuario de respaldo que se creó en el paso 2 que fue Admin y su contraseña adminpassword. Para poder accesar al ruteador de forma remota se deben habilitar las terminales VTYS usando autenticación RADIUS; aplicando los siguientes comandos. R1(config)# aaa new-model R1(config)# aaa authentication login VTYS group radius local R1(config)# line vty 0 4 R1(config-line)# login authentication VTYS Configuración de autenticación de usuario en el login vía RADIUS; si el servidor no está accesible el ruteador usará las credenciales de acceso local. R1(config)# aaa authentication login default group radius local ~ 71 ~ Verificar la autenticación AAA con RADIUS local y remota: ************ AUTHORIZED ACCESS ONLY ************* UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. User Access Verification Username: radius01 Password: radpass01 R1> Desconectar el servidor RADIUS de la red y verificar la autenticación AAA remotamente usando telnet y localmente desde la consola: ************ AUTHORIZED ACCESS ONLY ************* UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. User Access Verification Username: Admin Password: adminpassword R1> Dar de alta el ruteo estático en R2 para que ambas redes puedan verse entre sí; además de no olvidar sincronizar la interface de reloj en R2. R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2 R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 R2(config-if)#clock rate 56000 ~ 72 ~ Actividad práctica: Configurar Servidor RADIUS con directivas de autenticación AAA en ruteadores CISCO Objetivos de aprendizaje Configurar el R1 para que pueda autenticar usuarios local y remotamente con el protocolo RADIUS bajo las normas AAA, además activar el acceso al ruteador bajo terminales VTY usando autenticación local AAA. Configurar un servidor basado en autenticación AAA usando RADIUS. Verificar que el servidor RADIUS funcione desde cualquier PC de la RED_1 ó la RED_2. Introducción La topología muestra que los ruteadores R1 y R2 actualmente están siendo administrados bajo un entorno basado en el “secret passsword” sin ningún tipo de autenticación aplicada a los usuarios que se conectan local y remotamente a ellos. El reto es montar y configurar un servidor bajo la plataforma Windows XP / Windows Vista / Windows 7 que utilice autenticación RADIUS para que verifique las conexiones locales y remotas que los administradores realicen cuando intenten gestionar la configuración del ruteador R1 desde cualquier computadora de la RED_1 ó la RED_2. Además de configurar correctamente el ruteador R1 bajo el esquema RADIUS y las configuraciones básicas para el R2. Materiales A continuación se dispondrá de los siguientes equipos y dispositivos: EQUIPO / DISPOSITIVOS CANTIDAD 6 Computadoras personales / Laptops 2 Router Cisco 2800 2 Switch Cisco Catalyst 2960 1 Cable de consola RollOver 1 Adaptador DB-9 a USB 4 Cable de corriente 2 Cable de conexión serial RS-232 7 Cable de red, Straight ~ 73 ~ Diagrama de topología Con los dispositivos se deberá formar la siguiente topología. Tabla de direcciones A continuación se muestra la tabla de referencia para los dispositivos conectados en la topología. DISPOSITIVO R1 R2 SERVIDOR RADIUS SWITCH 1 CLIENTE_1_RED_1 CLIENTE_2_RED_1 SWITCH 2 CLIENTE_1_RED_2 CLIENTE_1_RED_2 INTERFACE DIRECCION IP MASCARA DE SUBRED Fa0/0 192.168.1.1 255.255.255.0 Se0/0/0 10.1.1.1 255.255.255.252 Fa0/0 192.168.2.1 255.255.255.0 Se0/0/0 10.1.1.2 255.255.255.252 NIC 192.168.1.2 255.255.255.0 PUERTOS N/A N/A NIC 192.168.1.3 255.255.255.0 NIC 192.168.1.4 255.255.255.0 PUERTOS N/A N/A NIC 192.168.2.1 255.255.255.0 NIC 192.168.2.2 255.255.255.0 ~ 74 ~ Montando el servidor RADIUS Introducción RADIUS es un protocolo de red ampliamente implementado; se dice que es un protocolo cliente / servidor y que proporciona un mecanismo centralizado de la administración de la información de cuenta de usuario. Estos elementos pueden ser nombres de usuario, contraseñas y niveles de privilegios para cada cuenta. Instalación de WinRADIUS Existen varios programas para montar un servidor RADIUS, tales como FreeRADIUS Y FreeRADIUS.net; la mayoría sólo funcionan bajo distribuciones de Linux como Red Hat y SuSe; bajo la plataforma UNIX y bajo plataformas Mac. El programa que se utilizará para hacer funcionar el servidor RADIUS bajo entorno Windows XP / Windows Vista / Windows 7 será el “WinRadius” que es una distribución licenciada para Windows compilada bajo esquemas win32 con soporte para MySQL, Oracle, y Microsoft Access, que se puede instalar y ejecutar en Windows XP / Windows Vista / Windows 7. En la actualidad se utiliza la versión WinRadius v2010 y su única limitación en la versión de prueba es que sólo soporta 5 usuarios. Ésta aplicación se puede descargar del sitio oficial: http://www.itcosult2000.com ó http://www.elite-school .com y no necesita ser instalada; sólo basta con descomprimir el archivo en alguna carpeta y sobreponerla en el escritorio como se muestra en la siguiente imagen: ~ 75 ~ Entre los archivos se encuentran “RadiusTest.exe” que servirá para hacer pruebas posteriores, “WinRadius.exe” que es la aplicación propiamente dicha; y “WinRadius.mdb” que es la base de datos de tipo Microsoft Access. Conexión a la base de datos Como el servidor no necesita instalación, y además son básicamente dos los archivos ejecutables (RadiusTest.exe y WinRadius.exe) lo primero que se tiene que hacer es ejecutar WinRadius.exe. Posteriormente se deberá seleccionar la opción “Database…” del menú superior “Settings” como muestra la imagen. Y para sincronizar la conexión ó el driver hacia la base de datos se deberá hacer click en el botón “Configure ODBC automatically”. ~ 76 ~ Después de configurar automáticamente la base de datos, se requiere reiniciar el servicio de RADIUS, por lo que será necesario cerrar el servidor y volver a iniciarlo (WinRadius.exe). Creación de usuarios El siguiente paso es crear los usuarios que se autenticarán en el servidor; y para eso se hace click en el menú principal “Operation” y después en “Add user…”, para agregar los dos usuarios de éste ejemplo radius01 y radius02 con sus respectivas contraseñas radpass01 y radpass02, como se muestra en la imagen. ~ 77 ~ Además es muy importante no olvidar cambiar la dirección IP del que será el servidor RADIUS en plataforma Windows XP, de acuerdo al esquema; deberá tener la dirección IP 192.168.1.2. Configuraciones Generales A continuación se configurará la “NAS Secret” en el servidor RADIUS, ésta clave el ruteador la conoce como “key” y en éste ejemplo será radiuspassword; esto se logra ingresando al menú principal “Settings” y a “System…”, donde habrá que ingresar la “NAS Secret”, la dirección IP y los puertos de autorización y de accounting. ~ 78 ~ Ahora es tiempo de ejecutar el otro archivo llamado “RadiusTest,exe” y se deberá configurar la dirección IP del servidor que será la 192.168.1.2, además de configurar otros parámetros como el puerto de escucha con el NAS que es el 1813 (hay que recordar que por default es 1812 y 1813), y también el “Secret” que actúa como palabra clave “key” en el ruteador y deberá ser radiuspassword en el ejemplo propuesto. Como se ilustra en la imagen, también se agregará el usuario radius01 con su contraseña radpass01 para hacer las pruebas que a continuación se detallarán; para finalmente dar click en el botón “send”. El resultado será satisfactorio, pues se ha hecho la prueba de autenticación con el nombre de usuario y contraseña correctos que están dados de alta en la base de datos, y la muestra se puede apreciar en la imagen. ~ 79 ~ Ahora el servidor RADIUS está listo y totalmente operativo, y puede minimizarse en la barra de tareas del sistema operativo, dando la siguiente impresión. Cambios en configuración de WinRadius para Windows Vista y Windows 7 Como el servidor RADIUS WinRadius fue diseñado originalmente para versiones de Windows XP e inferiores; es muy común los casos en los que el programa no reconoce la base de datos, por lo que a continuación se detallará el procedimiento para crear un origen de base de datos en Windows 7 y poder conectar el servidor RADIUS con su base de datos. Para instalar WinRadius en las versiones Vista y 7 de Windows, es necesario configurar un origen de base de datos, pues éste no viene previamente configurado. Éste origen de base de datos servirá para hacer la conexión entre el servidor WinRadius y la base de datos; esto para la correcta administración de los grupos de usuarios, usuarios y contraseñas que se autenticarán en el servidor RADIUS. En primer lugar hay que accesar a barra de tareas InicioPanel de control y en la zona de búsqueda se deberá introducir “ODBC” y posteriormente hacer click en “Configurar orígenes de datos (ODBC)”, como se presenta en la imagen. ~ 80 ~ Posteriormente saldrá la ventana de “Administrador de orígenes de datos ODBC”, donde se deberá presionar el botón “Agregar…” y de donde se deberá seleccionar posteriormente el controlador “Microsoft Access Driver (*.mdb, *.accdb)”y dar click en “Finalizar”. En la siguiente ventana se deberá seleccionar la base de datos WinRadius.mdb que es la base de datos del servidor y dar click en aceptar tal y como se muestra en la imagen. ~ 81 ~ Si todo salió adecuadamente, entonces será claramente visible el origen de datos agregado como se muestra en la siguiente imagen. Posteriormente en el servidor RADIUS se deberá seleccionar la opción “Database…” del menú superior “Settings”, y en el recuadro “ODBC Settings” se deberá llenar el campo “ODBC name” con el nombre del origen de datos que se acaba de crear como muestra la imagen. ~ 82 ~ Después de éste paso, se deberá reiniciar el servidor RADIUS para que surtan efecto los cambios. Si todo se hizo de manera correcta entonces al reiniciar el servidor se deberá identificar la cantidad de usuarios y los puertos disponibles para realizar la comunicación, como se muestra en la imagen. . ~ 83 ~ Configuración del ruteador Paso 1: Primero se accesa al modo privilegiado y se restablece la configuración de ambos ruteadores y de los switches con el siguiente comando. R1#erase startup-config Paso 2: Después de levantar todas las interfaces seriales y Ethernet de ambos ruteadores, hacer las conexiones pertinentes y las configuraciones básicas; entonces se procederá a configurar la autenticación AAA. Establecer la contraseña “enable secret” como cisco, para generar niveles de seguridad locales. R1(config)#enable secret cisco Paso 3: Configurar un usuario local como respaldo para acceder al ruteador en caso de emergencia, el usuario se llamará Admin y su secret password será adminpassword. En dado caso que el servidor RADIUS no responda se podrá accesar al sistema con éste usuario inclusive de manera remota si está activado el modo de terminal virtual vty. R1(config)# username Admin password adminpassword Paso 4: Configurar la autenticación AAA para el acceso a la consola en R1, todo esto para poder usar RADIUS, configurando la línea de consola. R1(config)# aaa new-model R1(config)# aaa authentication login CONSOLA group radius local R1(config)# line console 0 R1(config-line)# login authentication CONSOLA Paso 5: Si se quisiera accesar al ruteador de forma remota no se podría llevar a cabo con autenticación RADIUS sino únicamente con el usuario de respaldo que se creo en el paso 2 que fue Admin y su contraseña adminpassword, éste procedimiento es muy útil cuando un servidor es hackeado ó simplemente está “caído”. Para poder accesar al ruteador de forma remota se debe habilitar la conexión por las terminales VTYS usando autenticación RADIUS se deben habilitar las terminales virtuales aplicando los siguientes comandos. R1(config)# aaa new-model R1(config)# aaa authentication login VTYS group radius local R1(config)# line vty 0 4 R1(config-line)# login authentication VTYS ~ 84 ~ Paso 6: Configurar la autenticación de usuario en el login vía RADIUS, y si en su defecto el servidor no está accesible, el ruteador usará las credenciales de acceso local. R1(config)# aaa authentication login default group radius local Paso 7: Configurar la parte de RADIUS en el ruteador, asignando la dirección IP del servidor RADIUS. R1(config)# radius-server host 192.168.1.2 Paso 8: Configurar la clave secreta (secret key) como radiuspassword. R1(config)# radius-server key radiuspassword Paso 9: Configurar el puerto de acceso y autenticación por default que es el 1812 por UDP, esto último es porque el software WinRadius transmite y recibe por los puertos 1812 y 1813 (tal como en el estándar del protocolo RADIUS) y los ruteadores Cisco lo hacen por los puertos 1645 y 1646, por lo tanto hay que forzar al ruteador que lo haga por el puerto 1812; aunque los adaptadores genéricos lo hacen por los 4 puertos. R1(config)# radius-server host 192.168.1.2 auth-port 1812 acct-port 1813 Paso 10: Hasta éste paso del procedimiento se debe poder acceder al ruteador de forma local por medio del puerto de consola usando la autenticación RADIUS con los usuarios de radius01 y radius02 con sus respectivos passwords radpass01 y radpass02. Verificar la autenticación AAA con RADIUS local y remota: ************ AUTHORIZED ACCESS ONLY ************* UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. User Access Verification Username: radius01 Password: radpass01 R1> ~ 85 ~ Paso 11: Desconectar el servidor RADIUS de la red y verificar la autenticación AAA remotamente usando telnet y localmente desde la consola: ************ AUTHORIZED ACCESS ONLY ************* UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. User Access Verification Username: Admin Password: adminpassword R1> Paso 12: Dar de alta el ruteo estático en R1 y R2 para que ambas redes puedan verse entre sí; además de no olvidar sincronizar la interface de reloj en R2. R1(config)# ip route 192.168.2.0 255.255.255.0 10.1.1.2 R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 R2(config-if)#clock rate 56000 ~ 86 ~ Pruebas finales de funcionalidad Una vez hechas las conexiones correspondientes, y las configuraciones en ambos ruteadores. Ya teniendo el servidor RADIUS plenamente operativo entonces es hora de hacer las pruebas pertinentes. Paso 1: Abrir una conexión de HiperTerminal para tener acceso al ruteador, por medio del protocolo TCP/IP por el puerto 23, es decir se hará un telnet al ruteador de manera local, y sin el cable de consola conectado, la conexión se configura como se muestra en la siguiente imagen. Paso 2: Ya ejecutándose plenamente el servidor RADIUS en la computadora cuya dirección IP es 192.168.1.2, entonces se va hacia la HiperTerminal y se abre la conexión, tratándose de autenticar con un usuario que no esté en la base de datos del servidor RADIUS, e introduciendo otro password diferente que tampoco se encuentre alojado en la base de datos. La respuesta del servidor RADIUS deberá ser negativa; mostrando un usuario no identificado y fallando en la autenticación de dicho usuario, también una serie de detalles de la conexión, como por ejemplo la IP desde la cual se está haciendo la conexión, que sería la 192.168.1.2; y la IP a la cual se quiere acceder en éste caso el ~ 87 ~ puerto FastEthernet del ruteador que sería la 192.168.1.1, el tipo de acceso, y la conexión fallida tal y como se muestra en la siguiente imagen. Paso 3: Realizar las mismas pruebas pero con un usuario válido y existente como radius01 cuyo password es radpass01, como se muestra a continuación. ~ 88 ~ En la siguiente imagen se puede apreciar, cómo la autenticación y el acceso se realizaron de forma correcta con el usuario radius01 y el password radpass01, como se muestra en la siguiente imagen. Paso 4: Realizar las mismas pruebas que en el paso 3 pero desde otra estación de trabajo del mismo segmento de red es decir la RED_1 ó desde el otro segmento es decir la RED_2, y el resultado deberá ser similar al de la figura. ~ 89 ~ Preguntas de retroalimentación 1) ¿Qué puertos para la autenticación y accounting utiliza RADIUS? ________________________________________________________________ ________________________________________________________________ 2) ¿Qué pasaría si se desconecta el servidor Radius de la red? Explica tus conclusiones ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ 3) Introduce los siguientes comandos R1(config)#radius-server retransmit 3 R1(config)#radius-server timeout 5 R1(config)#radius-server deadtime 2 a) ¿Para qué sirve el comando radius-server retransmit 3? ________________________________________________________________ ________________________________________________________________ b) ¿Qué significa el comando radius-server timeout 5? ________________________________________________________________ ________________________________________________________________ c) ¿Qué efecto tiene el comando radius-server deadtime 2 en la conexión del router? ________________________________________________________________ ________________________________________________________________ ~ 90 ~ 4) Con tus propias palabras explica...¿Qué haría el siguiente comando: R1(config)#radius-server host 172.29.39.46 auth-port 1612 acct-port 1616 timeout 6 retransmit 5 key rad123? ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ 5) Por último explica... ¿Qué hace el comando: R1(config)#aaa authorization exec radius? ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ~ 91 ~ 4.2 ANÁLISIS DE RIESGO Para cubrir el contenido de éste aspecto importante de análisis de riesgo se procedió a realizar una tabla de Análisis y Mitigación de Riesgos. RIESGO FECHA DE RESPONSABLE IDENTIFICACION ACCIONES DE MITIGACION No encontrar algún software para administrar servidores RADIUS bajo ambiente Windows No ocurrido Lider del Proyecto Las laptops no tienen puerto serial ó DB-9 para configurar el ruteador 25/02/2011 Comprar un cable Lider del Proyecto conversor de serial ó DB-9 a USB No se cuenta con el equipo necesario para realizar las pruebas 02/03/2011 La UTEQ proporcionó acceso a los laboratorios Lider del Proyecto de redes y telecomunicaciones Retrasos en la renta del equipo para hacer las pruebas 15/03/2011 Encargado de Llegar 15 minutos antes laboratorio UTEQ para presionar al personal Cierre de laboratorios por razones de fumigación sin previo aviso 18/03/2011 Encargado de Acudir otro día a realizar laboratorio UTEQ las pruebas Cambio de fechas programadas para realizar las pruebas 22/03/2011 Profesores UTEQ Acudir otro día a realizar las pruebas Que la versión del IOS de los ruteadores no soportara la autenticación por medio de RADIUS No ocurrido Lider del Proyecto Cambiar de modelo de ruteador Buscar alternativas bajo Linux como FreeRadius Tabla 4.1 ~ 92 ~ CAPÍTULO V ~ 93 ~ 5.1 CONCLUSIONES El desarrollo del presente proyecto sienta las bases para el montaje de un servidor de seguridad que utilice autenticación RADIUS para tener una gestión de seguridad empresarial total y completamente operativa. En lo personal fue un trabajo arduo, ya que fue difícil buscar, encontrar y plantear la mejor solución para la elección del software que manejara RADIUS, pero con paciencia y dedicación se trató de sacar éste proyecto adelante lo mejor posible. La infraestructura de seguridad tiene el objetivo de brindar un servicio de mayor calidad en las redes de cómputo y telefonía, que ayuda a las actividades académicas y administrativas de cualquier empresa u organismo, mediante el uso de redes y sistemas de la más avanzada tecnología, que garanticen niveles altos de eficiencia, disponibilidad, flexibilidad, compatibilidad y confiabilidad en la operación, mantenimiento y administración de ambas redes. En los últimos años, las redes han evolucionado drásticamente, en temas de seguridad, control de las aplicaciones en la red, calidad de servicio, convergencia y mayor ancho de banda. Esto ha abierto nuevas opciones para ofrecer más y mejores servicios a los usuarios y ha brindado una mayor reducción de costos y alta flexibilidad y facilidad de implementación. Por las razones anteriores, el autor de éste proyecto busca en el desarrollo de prácticas modulares obtener soluciones tecnológicas que basen su desarrollo en los conceptos anteriores y que por supuesto, brinden la mejor relación costo-beneficio y protección de la inversión, así como valores agregados que permitan aprovechar al máximo todas las capacidades de la red y del personal que soporta su administración, todo esto unido a la misión de la UTEQ que es la investigación de excelencia y la formación de recursos humanos altamente capacitados. 5.2 REFERENCIAS BIBLIOGRÁFICAS ~ 94 ~ MATERIAL DE CONSULTA LIBROS Fernandez Hansen, Yago (2008). RADIUS/AAA/802.1X Sistemas basados en la autenticación para Windows y Linux México: RA-MA Editorial Cisco Systems Inc. (2009). Fundamentos De Seguridad En Redes España: Pearson Education Editorial Cisco Systems Inc. (2005). Prácticas de laboratorio CCNA 3 y 4 E.U.A: Pearson Alhambra Editorial Areitio, Javier (2008). Seguridad de la Información España: Paraninfo Editorial Chapman, David W. (2002) Firewalls PIX de Cisco Secure E.U.A: Pearson Alhambra Editorial Ariganello, Ernesto; Barrientos, Enrrique (2010) Redes Cisco CCNP a fondo México: AlgaOmega Grupo Editor ARTICULOS ~ 95 ~ © 2009 - 2010 Cisco Systems, Inc. (2008, Enero). TACACS+ and RADIUS Comparison [en línea]. No. 1 Disponible en: Sitio de Red versión PDF: http://www.cisco.com/application/pdf/paws/13838/10.pdf [2011, 03 Marzo] Sitio de Red: http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00 80094e99.shtml#comp_devi [2011, 03 Marzo] © 2009 - 2010 Cisco Systems, Inc. (2010, Abril). Configuring Timeout, Retransmission, and Key Values per RADIUS Server [en línea]. No. 1 Disponible en: Sitio de Red versión PDF: http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/radtimo u.pdf [2011, 30 Marzo] Sitio de Red: http://www.cisco.com/en/US/docs/ios/12_0t/12_0t5/feature/guide/radtimo u.html [2011, 30 Marzo] © 2009 - 2010 Cisco Systems, Inc. (2011, Enero). Configuring RADIUS [en línea]. No. 1 Disponible en: Sitio de Red versión PDF: http://www.cisco.com/en/US/docs/ios/12_0/security/configuration/guide/s crad.pdf [2011, 05 Abril] Sitio de Red: http://www.cisco.com/en/US/docs/ios/12_0/security/configuration/guide/s crad.html#wp4887 [2011, 05 Abril] Barrios Dueñas, Joel (2008, Enero). Configuración básica de Freeradius con soporte de LDAP [en línea]. No. 1 Disponible en: http://www.alcancelibre.org/staticpages/index.php/como-freeradiusbasico.html [2011, 22 Febrero] Valdés Jimenez, Alejandro (2006, Noviembre). FreeRADIUS + WPA + EAP + TLS [en línea]. No. 4 Disponible en: http://deb.utalca.cl/public/imagenes/radius.pdf [2011, 24 Febrero] ~ 96 ~ García, Stiven (2006, Junio). FreeRADIUS + WPA + EAP + TLS [en línea]. No. 1 Disponible en: http://proyectoaaa.blogspot.com/2008/06/radius-en-windows.html [2011, 25 Marzo] CORREOS ELECTRONICOS RECIBIDOS Joel Barrios Dueñas ([email protected]) (2011, 25 de Febrero). Como funciona WinRadius Correo electrónico enviado a: Antonio Rico ([email protected]) Alejandro Valdés Jimenez ([email protected]) (2011, 27 de Febrero) Configuración de RADIUS en Cisco Correo electrónico enviado a: Antonio Rico ([email protected]) VIDEOS CONSULTADOS © 2009 - 2010 Cisco Systems, Inc. (2010) How to Install and Configure WinRadius [Película en línea] E.U.A: Cisco Systems Inc. Disponible en: http://www.youtube.com/watch?v=wX-5whfP490 VIDEOS REALIZADOS Rico Rodríguez, Antonio Javier. (2011) Instalación de un Servidor RADIUS [Película en línea] México: Antonio Rico Disponible en: http://www.megavideo.com/?v=M1VTW94R DESCARGA DE SOFTWARE WinRadius http://www.filecluster.es/programas/WinRadius-103509.html http://www.soft32.com/download_5732.html http://winradius.gooofull.com/es/descarga_gratis 5.3 GLOSARIO ~ 97 ~ AAA: Acrónimo que en inglés significa: autenticación (Authentication), autorización (Authorization) y anotación (Accounting). ARA: Protocolo de Acceso Remoto AppleTalk es un protocolo que brinda a los usuarios de Macintosh acceso directo a la información y a los recursos de un sitio remoto AppleTalk. Authentication: Proceso de validación de usuario. Authorization: Proceso de asignación de privilegios a los usuarios. Accounting: Proceso de registro de acciones de los usuarios. Cablemódem: Tipo especial de módem diseñado para modular la señal de datos sobre una infraestructura de televisión por cable. El término Internet por cable (o simplemente cable) se refiere a la distribución de un servicio de conectividad a Internet sobre esta infraestructura de telecomunicaciones. Cisco: Cisco Systems es una empresa multinacional con sede en San Jose (California, Estados Unidos), principalmente dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones tales como: dispositivos de conexión para redes informáticas: routers (enrutadores, encaminadores o ruteadores), (concentradores);dispositivos de switches seguridad (conmutadores) como y hubs Cortafuegos y Concentradores para VPN;productos de telefonía IP como teléfonos y el CallManager (una PBX IP);software de gestión de red como CiscoWorks, y equipos para redes de área de almacenamiento. ~ 98 ~ Cliente: También conocido como NAS (Network Access Server). Es el encargado de establecer la negociación con el Servidor, siendo normalmente un router, firewall, switch… CHAP: Es un protocolo de autenticación por desafío mutuo (CHAP, en inglés: Challenge Handshake Authentication Protocol).Es un método de autentificación remota o inalámbrica. Diversos proveedores de servicios emplean CHAP. Por ejemplo, para autentificar a un usuario frente a un ISP. EAP: Extensible Authentication Protocol (EAP) es una autenticación framework usada habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no está limitado a LAN inalámbricas y puede ser usado para autenticación en redes cableadas, es más frecuentemente su uso en las primeras. Recientemente los estándares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos oficiales de autenticación. DSL: Digital Subscriber Line, "línea de suscripción digital", es un término utilizado para referirse de forma global a todas las tecnologías que proveen una conexión digital sobre línea de abonado de la red telefónica básica o conmutada: ADSL, ADSL2, ADSL2+, SDSL, IDSL, HDSL, SHDSL, VDSL y VDSL2. Ethernet: Ethernet es un estándar de redes de computadoras de área local con acceso al medio por contienda CSMA/CD ("Acceso Múltiple por Detección de Portadora con Detección de Colisiones"), es una técnica usada en redes Ethernet para mejorar sus prestaciones. El nombre viene del concepto físico de ether. ~ 99 ~ ISP: Un proveedor de servicios de Internet (o ISP, por la sigla en inglés de Internet Service Provider) es una empresa que brinda conexión a Internet a sus clientes. Un ISP conecta a sus usuarios a Internet a través de diferentes tecnologías como DSL, Cablemódem, GSM, Dial-up, Wifi, entre otros. Muchos ISP también ofrecen servicios relacionados con Internet, como el correo electrónico, alojamiento web, registro de dominios, servidores de noticias, etc. Kerberos: Es un protocolo de autenticación de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro. Los mensajes de autenticación están protegidos para evitar eavesdropping y ataques de Replay. NAS: Servidor de Acceso a la Red (Network Access Server, por sus siglas en inglés) es un punto de entrada que permite a los usuarios o clientes acceder a una red. NetBIOS: Network Basic Input/Output System, es, en sentido estricto, una especificación de interfaz para acceso a servicios de red, es decir, una capa de software desarrollado para enlazar un sistema operativo de red con hardware específico. NetBIOS fue originalmente desarrollado por IBM y Sytek como API/APIS para el software cliente de recursos de una Red de área local (LAN). Desde su creación, NetBIOS se ha convertido en el fundamento de muchas otras aplicaciones de red. ODBC: Open DataBase Connectivity (ODBC) es un estándar de acceso a Bases de datos desarrollado por SQL Access Group en 1992, el objetivo de ODBC es hacer posible el acceder a cualquier dato desde cualquier aplicación, ~ 100 ~ sin importar qué Sistema Gestor de Bases de Datos (DBMS por sus siglas en inglés) almacene los datos, ODBC logra esto al insertar una capa intermedia ( CLI) denominada nivel de Interfaz de Cliente SQL, entre la aplicación y el DBMS, el propósito de esta capa es traducir las consultas de datos de la aplicación en comandos que el DBMS entienda. PAP: Password Authentication Protocol un protocolo simple de autenticación para autenticar un usuario contra un servidor de acceso remoto o contra un proveedor de servicios de internet. PAP es un subprotocolo usado por la autenticación del protocolo PPP (Point to Point Protocol), validando a un usuario que accede a ciertos recursos. PAP transmite contraseñas o passwords en ASCII sin cifrar, por lo que se considera inseguro. PAP se usa como último recurso cuando el servidor de acceso remoto no soporta un protocolo de autenticación más fuerte. PPP: Protocolo punto a punto, es un protocolo de nivel de enlace estandarizado en el documento RFC 1661. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. Más conocido por su acrónimo: PPP. RADIUS (Remote Authentication Dial-In User Service): Protocolo de comunicación cliente/servidor basado en UDP. Radius Hostname: Nombre DNS para el servidor radius. SNMP: El Protocolo Simple de Administración de Red o SNMP es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Es parte de la familia de protocolos TCP/IP. SNMP permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. ~ 101 ~ Servidor: Servidor RADIUS o TACACS donde se autentica a los usuarios. TCP/IP: Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP), que fueron los dos primeros en definirse, y que son los más utilizados de la familia. Existen tantos protocolos en este conjunto que llegan a ser más de 100 diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer Protocol), que es el que se utiliza para acceder a las páginas web, además de otros como el ARP (Address Resolution Protocol) para la resolución de direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para correo electrónico, TELNET para acceder a equipos remotos, entre otros. UDP: User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Paquete de datos). Permite el envío de datagramas a través de la red sin que se haya establecido previamente una conexión, ya que el propio datagrama incorpora suficiente información de direccionamiento en su cabecera. UNIX: Es un sistema operativo portable, multitarea y multiusuario; desarrollado, en principio, en 1969 por un grupo de empleados de los laboratorios Bell de AT&T, entre los que figuran Ken Thompson, Dennis Ritchie y Douglas McIlroy.[1] [2] Wi-Fi: Del inglés “Wireless Fidelity” ó fidelidad inalambrica es una marca de la Wi-Fi Alliance (anteriormente la WECA: Wireless Ethernet Compatibility Alliance), la organización comercial que adopta, prueba y certifica que los equipos cumplen los estándares 802.11 relacionados a redes inalámbricas de área local. ~ 102 ~