AUTENTICACIÓN EXITOSA DE UN USUARIO

Para llevar a cabo una autenticación, son necesarios al menos 3 certificados digitales distintos. En primer lugar, es necesario disponer de una Autoridad Certificadora, que actúe como raíz de confianza y que emita el resto de los certificados. En segundo lugar, el host, donde se instaló el servidor RADIUS, quien debe tener asociado su propio certificado para demostrar a los clientes que están solicitando el acceso a la red a través de un servidor de autenticación

confiable. Por último, cada usuario debe disponer de su propio certificado digital, el cual presentará al servidor RADIUS para demostrar su identidad.

Como primera evidencia se realizó una autenticación con un certificado de usuario válido para la AC.

6.2.1 Intercambio usuario-NAS

En una laptop de usuario, instalamos un certificado previamente descargado del servidor. Con el certificado instalado, tratamos de conectarnos a la red. El usuario creado para esta prueba fue larmentaf0400.

FIGURA 6.10. Certificado Digital

Desde la consola de Windows podemos observar el certificado así como sus características. El Administrador de Certificados muestra los campos de los que se compone el certificado.

FIGURA 6.11. Detalles del Certificado Digital

Verificada la instalación del certificado, realizamos una solicitud de conexión al AP de la red MIT Network.

Para observar los procesos que intervienen en la autenticación utilizamos una aplicación que permita capturar los paquetes enviados y recibidos por el cliente. Utilizamos el programa

Wireshark el cual se instaló en otra Laptop y conectada al mismo dominio de colisión, con el fin de analizar el intercambio de información.

Se debe de seleccionar la tarjeta con la queremos capturar los paquetes. Hecho esto, desplegara los paquetes que lleguen o salgan del usuario que intenta acceder.

En la figura 6.13 se observa como el usuario, con una petición, hace que en el NAS se inicie un protocolo de seguridad, EAP-TLS. Con este protocolo se crea un túnel, el cual permite que la información sea transmitida de manera segura, debido al intercambio de claves entre NAS- Cliente para cifrar la información intercambiada.

Figura 6.13. Paquetes de autenticación exitosa usuario-NAS

De manera general se explica el intercambio de paquetes entre el usuario y el NAS.

Los paquetes del 1 al 6 es una fase de reconocimiento entre el NAS y el usuario utilizando el protocolo EAP (Figura 6.14). Con estos paquetes se autentican mutuamente el usuario y el NAS.

Figura 6.14. Protocolo EAP

A partir del paquete 7 se inicia una conexión con el protocolo TLS.

1. El usuario realiza una petición Hello, donde se especifica, entre otras cosas, la versión TLS que se usará, así como los métodos de cifrado soportados, además de enviar el certificado que lo distingue como usuario. (Figura 6.15 y 6.16).

2. El NAS envía al usuario, los certificados, del RADIUS con el que se está identificando el servidor y de la AC en la que se confía. Solicitando, además, el certificado del cliente (Figura 6.17).

3. El usuario reenvía su certificado al NAS, el cual lo enrutará al servidor para ser analizado, esto con el fin de evitar ataques de repetición o Man in the Middle.

4. Una vez enviado el certificado al RADIUS, y al ser verificado por este, el NAS espera la respuesta del servidor. En este caso, el usuario puede accesar al sistema. Para finalizar, se inicia una un dialogo WPA, con el fin de crear un túnel entre el servidor y el usuario para que solo él pueda tener acceso a la información que le permita acceder al sistema (IP, mascara de subred, puerta de enlace, entre otros).

Figura 6.17. Paquete con los certificados del Servidor

Con la autenticación realizada, el NAS, se inicia la asignación dinámica de dirección IP, con el protocolo DHCP. La figura 6.18 muestra este proceso.

Figura 6.18. Asignación de IP mediante DHCP.

Aceptada la dirección ofrecida, el usuario tiene acceso a la red y sus recursos.

Wireshark, proporciona un diagrama flujo, donde se observa el intercambio de los paquetes entre nuestros dispositivos. La figura 6.19 muestra el proceso de autenticación en la relación usuario-NAS.

Figura 6.19. Intercambio de mensaje usuario-NAS

6.2.2 Intercambio NAS-Servidor

El dialogo que establecen el NAS el servidor, es similar, pues se basa en EAP-TLS, solo que los paquetes que recibe el NAS del usuario, los encapsula en paquetes del protocolo RADIUS. Los siguientes pasos describen el proceso de autenticación del usuario (Figura 6.20).

1. El servidor RADIUS recibe una petición del NAS donde se incluye el Id del usuario y los atributos del NAS (AVP’S). En la figura 6.21 se observa el fragmento del paquete correspondiente al protocolo RADIUS.

2. El servidor, al no confiar simplemente con el Id de usuario, realiza un desafío al NAS, donde solicita mayor información, en este caso el certificado, utilizando el protocolo EAP. Este desafío se convierte en una petición EAP. (Figura 6.22).

3. Como se inicio una comunicación con el protocolo EAP-TLS, se inicia esto con un

ClientHello. Dentro de este paquete se reenvía la información del usuario para su validación. (Figura 6.23).

4. El Servidor responde con los certificados del host y la AC. Los certificados se envían en el atributo correspondiente. (Figura 6.24).

5. Al corroborar el NAS, que es el Servidor con quien esta comunicándose, entonces envía el certificado del usuario para ser verificado por la AC con su clave privada. (Figura 6.25 ).

6. Al verificar la CA que este usuario existe y que no ha sido revocado su certificado, responde al NAS con una respuesta positiva a la petición de acceso del usuario. (Figura 6.26).

Figura 6.20. Paquetes de autenticación exitosa NAS -Servidor

Figura 6.22. Paquete de Desafío RADIUS

Figura 6.24. Paquete de Desafío RADIUS con certificado de host

Figura 6.26. Paquete de Aceptación RADIUS

Para corroborar el proceso, abrimos el diagrama de flujo de nuestro analizador de paquetes. En la siguiente figura se muestra el intercambio de paquetes entre el NAS y el servidor.

El administrador de la red, podrá visualizar a que usuarios se les ha permitido acceder, desde la consola de Zeroshell. La figura 6.28 muestra la petición realizada por larmentaf0400 al servidor.

Figura 6.28. Peticiones realizadas al servidor RADIUS

Una vez que se ha autenticado el usuario y permitido el acceso, puede hacer uso del servidor de aplicación disponible en la red. Para corroborarlo verificamos la dirección obtenida por el usuario y vemos que ya posee una dirección IP válida en el sistema

Figura 6.29. Dirección de usuario obtenida por DHCP

También se verifica si existe conectividad, paso seguido, analizamos la ruta que sigue a través de los dispositivos para llegar al servidor.

Figura 6.31. Ruta que siguen los paquetes al servidor

A manera de comprobación, el camino que sigue la información, como lo muestra la anterior, coincide con lo previsto en el armado de la maqueta de simulación.