TECNOLÓGICO DE ESTUDIOS SUPERIORES
DE JOCOTITLÁN
INGENIERÍA EN SISTEMAS COMPUTACIONALES
INGENIERÍA EN SISTEMAS COMPUTACIONALES
REDES INALÁMBRICAS
Servidor Radius
Docente:
Héctor Caballero Hernández
Presentado por:
Cervantes Ambriz Daniel
Jiménez Sánchez René
Reyes Sánchez José Luis
Grupo ISC 802
ii
Índice
Resumen ... iii
Introducción ... iv
Capítulo I ... 5
Descripción del Problema ... 5
Capitulo II ... 6 Marco Teórico ... 6 Servidor Radius ... 6 Antecedentes ... 6 Contabilidad ... 8 Capítulo III ... 10 Diseño de la Solución ... 10 Capitulo IV ... 11 Desarrollo ... 11 Capitulo IV ... 13 Pruebas y Resultados ... 13 Conclusiones ... 18 Bibliografía ... 19 Índice de Figuras Figura 1 Funcionamiento Servidor Radius ... 7
Figura 2 Secuencia de autenticación y autorización de RADIUS. ... 8
Figura 3: Diagrama de flujo de las actividades realizadas. ... 10
Figura 4 Instalación de la aplicación. ... 11
Figura 5 Free Radius 3.0 instalado correctamente. ... 12
Figura 6 Ejemplo de información de un usuario. ... 12
Figura 7 Id de red donde operaran los equipos. ... 13
Figura 8 Reinicio del servidor. ... 13
Figura 9 Conexión de una PC a la red. ... 14
Figura 10 Certificado proporcionado por el servidor. ... 14
Figura 11 Conexión de un usuario registrado a la red. ... 15
Figura 12 Conexión establecida. ... 15
Figura 13 Redes disponibles... 16
Figura 14 Ataque a la red. ... 16
iii
RESUMEN
Una red de computadoras está conformada por un conjunto de dispositivos y programas que ofrecen un servicio, esto permite a los dispositivos de la red compartir alguno de sus recursos y como se ha mencionado esto a su vez permite servir a tareas como: transferencia de archivos, transferencia y recepción de correos electrónicos, filtro de páginas web, entre otros servicios. Para lograr la conexión entre los dispositivos de red, existen canales o medios de conexión que permiten la comunicación entre dispositivos dentro de la misma red, en el proyecto se implementan los medios no guiados para a conexión entre dispositivos, es decir se implementan las tecnologías inalámbricas paran la conexión entre computadoras, para lograr esto hacemos uso de topologías que nos definan la estructura física y lógica de la red, además de definir los dispositivos que se necesitaran para la interconexión entre dispositivos.En las redes inalámbricas para poder conectar a un equipo existen medios de seguridad que permitan a los usuarios conectarse a la red, para ello se hace uso de una clave y un nombre de red, la clave normalmente suele estar cifrada para aumentar la seguridad de la misma, aunque en algunos medios dicha clave es cambiada periódicamente con ayuda de un servidor el cual lleva como nombre Servidor Radius, el cual además descifrar las claves el servidor Radius permite cambiar las claves periódicamente, esto hace a su vez que las claves tengan una fecha de expiración por lo que es necesario actualizarse constantemente si se requiere conectarse a la red.
iv
INTRODUCCIÓN
El uso de las tecnologías inalámbricas en la actualidad permite la conexión entre computadoras, para ello es importante contar con una topología que facilite la estructura tanto física como lógica de una red, las tecnologías. Para las redes inalámbricas se suelen ocupar dispositivos que permitan la interconexión de los equipos, dichos dispositivos suelen ser: switch, router o puntos de acceso.Para que usuarios ajenos a la red se conecten a la misma, se suele implementar medios de seguridad que hacen uso de claves cifradas, esto permite que los usuarios ajenos a la red puedan conectarse, el problema de algunos medios de seguridad es que suelen ser burlados por ataques de fuerza bruta, para evitar esto muchos administradores de redes suelen ocupar medios que tengan un método de encriptación difícil de burlar además de usar servidores que actualicen las claves periódicamente, tal es el caso del servidor Radius, este servidor permite generar claves cifradas mediante WAP2, de manera periódica, esto permite que la red sea más segura.
En la presente se muestra la creación y desarrollo del servidor Radius, el proyecto se divide en seis capítulos, en el capítulo uno se muestra la problemática que conlleva el desarrollo de la presente, así como os objetivos que se pretenden alcanzar al finalizar el proyecto.
En el capítulo dos se describe brevemente todos los conceptos y definiciones necesarias para comprender mejor el tema, así como se definen los tecnicismos ocupados a lo largo del proyecto. En el capítulo tres se realiza el diseño de la solución o se plantea la forma en que se dará solución a la problemática planteada en el capítulo anterior.
En el capítulo cuatro abarcamos el desarrollo del proyecto para ello es necesario implementar la metodología plantada en el capítulo anterior, en el quinto y último capítulo se muestra los resultados obtenidos al final del desarrollo de la presente.
5
CAPÍTULO I
DESCRIPCIÓN DEL PROBLEMA
Crear una red sin la necesidad de hacer uso de cables para la interconexión de los dispositivos de red, requiere de dispositivos que permitan transmitir datos mediante medios no guiados, para ello en la mayoría de los casos se hace uso de puntos de acceso inalámbricos que permita la conexión de los equipos de red, dichos dispositivos cuentan con medios de seguridad o cifrados que permiten generar claves con algún método de cifrado, este cifrado puede hacer uso de WEP, WPA o WPA2.Dicha clave o método de cifrado se hace uso para evitar que usuarios ajenos a la red puedan ingresar a la misma, aunque en alguno de estos cifrados pueden ser corrompidos mediante ataques de fuerza bruta, esto se debe a que el método de cifrado que se implementado, son vulnerables a este tipo de ataques, por ello es necesario que las claves sean actualizadas cada determinado tiempo, es por ello que se requiere de un servidor que se encargue de generar claves cifradas en WPA2, en cada inérvalo de tiempo, este servidor esta clave generada por el servidor permitirá ingresar a la red inalámbrica a través de un punto de acceso.
6
CAPITULO II
MARCO TEÓRICO
A continuación, se presentan los conceptos involucrados durante el desarrollo de esta práctica.Servidor Radius
RADIUS es un protocolo que fue diseñado originalmente para autenticar usuarios remotos en un servidor de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticación. RADIUS es un protocolo cliente-servidor, con el Firebox como el cliente y el servidor RADIUS como el servidor. (El cliente RADIUS a veces es llamado Servidor de Acceso a la Red o NAS). Cuando un usuario intenta autenticarse, el dispositivo envía un mensaje al servidor RADIUS. Si el servidor RADIUS está debidamente configurado para tener el dispositivo como cliente, RADIUS envía un mensaje aceptar o rechazar al dispositivo (el Servidor de Acceso a la Red).
Antecedentes
La comunicación entre un servidor de acceso de red (NAS) y el servidor RADIUS se basa en el protocolo de datagrama de usuario (UPD). Generalmente, el protocolo RADIUS se considera un Servicio sin conexión. Los problemas relacionados con la disponibilidad de los servidores, la retransmisión y los tiempos de espera son tratados por los dispositivos activados por RADIUS en lugar del protocolo de transmisión [1].
El RADIUS es un protocolo cliente/servidor. El cliente RADIUS es típicamente un NAS y el servidor de RADIUS es generalmente un proceso de daemon que se ejecuta en UNIX o una máquina del Windows NT. El cliente pasa la información del usuario a los servidores RADIUS designados y a los actos en la respuesta se vuelve que. Los servidores de RADIUS reciben las peticiones de conexión del usuario, autentican al usuario, y después devuelven la información de la configuración necesaria para que el cliente entregue el servicio al usuario. Un servidor RADIUS puede funcionar como cliente proxy para otros servidores RADIUS u otro tipo de servidores de autenticación [1].
Esta figura muestra la interacción entre un usuario de marcación de entrada y el servidor y cliente RADIUS.
7
Figura 1 Funcionamiento Servidor Radius
Paso 1. El usuario inicia la autenticación PPP al NAS.
Paso 2. NAS le pedirá que ingrese el nombre de usuario y la contraseña (en caso de Protocolo de autenticación de contraseña [PAP]) o la integración (en caso de Protocolo de confirmación de aceptación de la contraseña [CHAP]).
Paso 2. Contestaciones del usuario.
Paso 3. El cliente RADIUS envía el nombre de usuario y la contraseña encriptada al servidor de RADIUS.
Paso 4. El servidor RADIUS responde con Aceptar, Rechazar o Impugnar.
Paso 5. El cliente RADIUS actúa dependiendo de los servicios y de los parámetros de servicios agrupados con Aceptar o Rechazar.
Autenticación y autorización
El servidor RADIUS puede soportar varios métodos para autenticar un usuario. Cuando se proporciona el nombre de usuario y la contraseña original dados por el usuario, puede soportar el login PPP, PAP o de la GRIETA, de UNIX, y otros mecanismos de autenticación [1].
Comúnmente, el ingreso de un usuario al sistema consiste en un pedido (Solicitud de acceso) desde el NAS hacia el servidor RADIUS y de una correspondiente respuesta (Aceptación de acceso o Rechazo de acceso) desde el servidor. El paquete access-request contiene el nombre de usuario, la contraseña encriptada, la dirección IP NAS, y el puerto. El Early Deployment del RADIUS fue hecho usando el número del puerto 1645 UDP, que está en conflicto con el servicio del “datametrics”. Debido a este conflicto, el RFC 2865 asignó oficialmente el número del puerto 1812 para el RADIUS. La mayoría de los dispositivos de Cisco y de las aplicaciones ofrecen el soporte para cualquier número del conjunto de puertos. El formato del pedido
8 proporciona asimismo información sobre el tipo de sesión que el usuario desea iniciar. Por ejemplo, si la interrogación se presenta en el modo de carácter, la inferencia es “tipo de servicio = EXEC-usuario,” pero si la petición se presenta en el PPP en modo de paquete, la inferencia es “tipo de servicio = Usuario entramado” y el “tipo de Framed =PPP.”
Cuando el servidor de RADIUS recibe el pedido de acceso del NAS, busca una base de datos para el nombre de usuario enumerado. Si el nombre de usuario no existe en la base de datos, se carga un perfil predeterminado o el servidor RADIUS inmediatamente envía un mensaje Access-Reject (acceso denegado). Este mensaje de acceso rechazado puede estar acompañado de un mensaje de texto que indique el motivo del rechazo.
En RADIUS, la autenticación y la autorización están unidas. Si se encuentra el nombre de usuario y la contraseña es correcta, el servidor RADIUS devuelve una respuesta de Acceso-Aceptar e incluye una lista de pares de atributo-valor que describe los parámetros que deben usarse en esta sesión. Los parámetros comunes incluyen el tipo de servicio (shell o entramado), el tipo de protocolo, la dirección IP para asignar el usuario (estática o dinámica), la lista de acceso a aplicar o una ruta estática para instalar en la tabla de ruteo de NAS. La información de configuración en el servidor RADIUS define qué se instalará en el NAS.
La siguiente figura ilustra la secuencia de autenticación y autorización de RADIUS.
Figura 2 Secuencia de autenticación y autorización de RADIUS.
Contabilidad
Las funciones de contabilidad del protocolo RADIUS pueden emplearse independientemente de la autenticación o autorización de RADIUS. Las funciones de contabilidad de RADIUS permiten que los datos sean enviados al inicio y al final de las sesiones, indicando la cantidad de recursos (por ejemplo, tiempo, paquetes, bytes y otros) utilizados durante la sesión. Un Proveedor de servicios de Internet (ISP) puede usar RADIUS para el control de acceso y un software de contabilidad para satisfacer necesidades especiales de seguridad y facturación. El puerto de contabilidad para el RADIUS para la mayoría de los dispositivos de
9 Cisco es 1646, pero puede también ser 1813 (debido al cambio en los puertos como se especifica en el RFC 2139) [1].
Las transacciones entre el cliente y el servidor RADIUS son autenticadas mediante el uso de un secreto compartido, que nunca se envía por la red. Además, las contraseñas del usuario se envían cifradas entre el cliente y el servidor de RADIUS para eliminar la posibilidad que alguien snooping en una red insegura podría determinar una contraseña de usuario [1].
10
CAPÍTULO III
DISEÑO DE LA SOLUCIÓN
En este apartado se mostrará la serie de pasos implementados para realizar la presente investigación tal como se muestra en la Fig. 3.11
CAPITULO IV
DESARROLLO
Para poder obtener el servicio para la codificación de contraseñas (Free Radius) se instala la aplicación en el sistema operativo. En este caso, el sistema operativo fue Linux en su distribución Parrot 3.5. En la fig. # se muestra la orden para instalar dicho paquete.Figura 4 Instalación de la aplicación.
Una vez instalado la aplicación, nos dirigimos a la ruta donde se instaló la aplicación. En la fig. # se muestra la dirección “/etc/freeradius/3.0”, en ella se muestran los archivos por defecto de free radius.
12
Figura 5 Free Radius 3.0 instalado correctamente.
Continuando, como se observó en la fig. 5 con los archivos de configuración, ahora procederemos a editar en la misma dirección el archivo “users” con la orden “nano users”, el cual contiene información de los usuarios que se podrán conectar a la red. En la fig. # se ve un ejemplo de la información de un usuario.
Figura 6 Ejemplo de información de un usuario.
También otro parámetro de configuración necesario, se debe configurar la id de red donde trabajaran los equipos conectados, así como la mascara de subred y la contraseña de la red.
13
Figura 7 Id de red donde operaran los equipos.
Una vez teniendo estos parámetros configurados, guardamos los cambios y se precederá a reiniciar el servicio, en la fig. # se muestra la orden.
Figura 8 Reinicio del servidor.
CAPITULO IV
PRUEBAS Y RESULTADOS
Estableciendo una conexión de una computadora a la red con los datos registrados en el archivo de configuración “users”. En la fig. # se observa como un pc se conecta a la red, ingresando tanto el nombre de usuario y la contraseña.14
Figura 9 Conexión de una PC a la red.
Enseguida de que se establece una conexión a la red, se muestra el certificado de autenticación proporcionado por el servidor radius, ver fig. #
Figura 10 Certificado proporcionado por el servidor.
Realizando una conexión, en la fig. # se muestra como un dispositivo móvil intenta acceder a la red, configurando los parámetros usuario = “Daniel” y contraseña = “sistemas”.
Nota: Para que un usuario se pueda conectar, requiere ser agregado al archivo de configuración editado en el capitulo anterior en el archivo users.
15
Figura 11 Conexión de un usuario registrado a la red.
Verificando que en realidad se haya conectado, tenemos la siguiente fig.
Figura 12 Conexión establecida.
Aplicando un Ataque de Fuerza Bruta
Se intentará atacar la red con el servidor free radius activo, para ello se utilizará un ataque de fuerza bruta. Observando la fig. # vemos el modo monitor, este modo nos permite identificar las redes que están al alcance para poder ser atacadas, en ella seleccionamos la red que será atacada (resaltada en verde), nos muestra el nombre, el canal de transmisión, la velocidad y el tipo de autenticación que utiliza la red.
16
Figura 13 Redes disponibles.
Al seleccionar la red iniciara el proceso de ataque de fuerza bruta, como se observa en la fig. # en el cual se muestra el proceso para atacar a la red.
Figura 14 Ataque a la red.
Al finalizar el proceso de ataque contra la red, el resultado se muestra en la fig. # , en la cual especifica que la red no ha podido ser atacada debido a que no ha encontrado la clave en el diccionario.
17
18
CONCLUSIONES
Durante esta práctica, se pudo percatar que el servidor raduis, permite otro tipo de autenticación, debido a que normalmente se ingresa solo un password, pero implementando dicho servicio, hay que ingresar un nombre de usuario y su password. Así mismo como tal no es una contraseña como en el caso de la autenticación PSK, si no una credencial de identidad.Por otra parte, al aplicar un ataque de fuerza bruta por diccionario, no es posible obtener la clave debido a que existe un tiempo de caducidad para la el mensaje de autenticación, por ende, no da tiempo a realizar el escaneo completo del diccionario debido a que cambie dicho mensaje.
En lo personal es viable deducir que, si aun si diese tiempo de a adivinarla, aun tendría que encontrar el usuario para completar la credencial y tener acceso a la red.
De otra forma, cabe destacar que el ataque o el recorrido del diccionario depende de las características de hardware de la computadora que realice el ataque. Una pequeña desventaja (al implementar pocos usuarios) es que se tiene que agregar los usuarios manualmente en el script de configuración. Ahora bien, al tener muchos usuarios, pues representa una gran desventaja. De igual forma el servidor debe de tener buenas características para poder soportar muchos usuarios.
19
BIBLIOGRAFÍA
[1] Cisco, «Cisco,» 19 Enero 2006. [En línea]. Available:
https://www.cisco.com/c/es_mx/support/docs/security-vpn/remote-authentication-dial-user-service-radius/12433-32.html. [Último acceso: 24 Abril 24].