UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE

UNIDAD DE TECNOLOGÍAS

CARRERA DE REDES Y TELECOMUNICACIONES

ENLACES DE COMUNICACIÓN INALÁMBRICA

Jhojan Omar Guerra Pazo NRC: 18170

Docente: Ing. Fernando Caicedo Fecha: 07/02/2024

2. Objetivo General:

• Analizar y establecer un sistema robusto y seguro de autenticación para redes inalámbricas

dentro de un entorno corporativo.

3. Objetivos Específicos:

• Investigar y seleccionar el software de servidor RADIUS más adecuado para las necesidades

específicas de la red corporativa, considerando aspectos como la seguridad, la compatibilidad

con los equipos de red existentes y la facilidad de configuración y mantenimiento.

• Instalar y configurar el servidor RADIUS de acuerdo con las especificaciones de la red

corporativa, incluyendo la asignación de direcciones IP, la definición de políticas de

autenticación y autorización, y la configuración de la base de datos de usuarios.

• Contrastar el proceso de implementación del servidor RADIUS, incluyendo la

configuración, las políticas de seguridad y los procedimientos de mantenimiento, y

proporcionar capacitación al personal encargado de administrar y mantener el servidor y la

red WiFi corporativa.

4. Instrumentos y materiales

4.1. AAA

Aunque el desarrollo de RADIUS fue anterior, su funcionamiento tiene mucho paralelismo

con lo que se conoce como AAA. AAA son las siglas de Authentication, Authorization and

Accounting (esto es, autenticación, autorización y registro). Este sistema se encarga de dar

respuesta a las siguientes tres preguntas: (Beale, 2002)

- ¿Quién eres?

- ¿Qué servicios tienes permitidos?

4.1.1. Autenticación

La autenticación es el proceso de verificar la identidad de una persona o máquina. Es la

respuesta a la pregunta ¿quién eres? La forma más común de realizar esto es la conocida

combinación de usuario y contraseña. Hoy día hay otros métodos de autenticación más

seguros (no hay que distribuir la contraseña, por ejemplo) como pueden ser los certificados

digitales y los mecanismos de infraestructura de llave pública (PKI). Más adelante entraremos

en detalle sobre los mecanismos de autenticación que usaremos.

La autenticación persigue conseguir una relación de confianza entre los dos extremos, una

vez que se ha comprobado que el usuario es válido. (Beale, 2002)

4.1.2 Autorización

Por autorización podemos entender el conjunto de reglas que nos permiten decidir qué puede

hacer un usuario previamente autenticado en un sistema. Es la respuesta a la pregunta “¿Qué

servicios tienes permitidos?”. Estas reglas serán establecidas por el administrador del sistema

atendiendo al perfil que tenga el usuario que pide la autorización, dejándole usar solo los

recursos que tenga asignados. Por supuesto estas reglas deben estar incluidas en la política de

seguridad de la organización. (Beale, 2002)

4.1.3 Registro

Una vez que el usuario se ha autenticado en el sistema y que tiene los recursos que le han sido

asignados de acuerdo a su perfil, es interesante saber qué hace con esos recursos. Esto es el

registro. Estos datos son guardados y pueden ser utilizados posteriormente para una auditoría,

una predicción sobre el uso futuro de la infraestructura, un seguimiento del funcionamiento

normal de la red, etc. RADIUS no especifica cómo se tienen que almacenar los datos, tan solo

regula los mensajes que se pasan entre el cliente y el servidor. De este modo al implementar

el servidor tenemos libertad para guardar los datos de diversos modos, por ejemplo, en
archivos de texto, en una base de datos, en archivos binarios, etc. (Beale, 2002)

4.2. Propiedades del servidor RADIUS

La RFC que define las especificaciones del protocolo RADIUS dicta que: (Conklin, 2012)

 Está basado en UDP, por lo que es no orientado a conexión.

 Usa un modelo de seguridad paso-a-paso.

 Es “sin estado”.

 Soporta autenticación PAP y CHAP vía PPP.

 Usa algoritmos MD5 para proteger las contraseñas.

 Soporta el modelo AAA.

4.3. Funcionamiento del servidor RADIUS

El funcionamiento de un servidor RADIUS se basa en el paso de mensajes desde y hacia el

servidor. Estos mensajes se pasan usando el protocolo UDP (User Datagram Protocol), en

detrimento del protocolo TCP. El puerto usado es el 1812 para los mensajes de autenticación

y el 1813 para los mensajes de registro. Algunos servidores también funcionan en los puertos

1645 y 1646, aunque generalmente esto es configurable. Esta decisión en cuanto al uso del

protocolo UDP se debe al funcionamiento en sí del protocolo, en el cual el tiempo de espera

depende sobre todo de la paciencia del usuario delante de la pantalla de login. Es más

conveniente usar un protocolo que si no recibe una respuesta instantánea envíe la petición a

otro servidor a tener que dejar un usuario esperando dos minutos debido a las retransmisiones

de tcp. Solo un mensaje RADIUS va incluido en la 'carga' (payload) del protocolo UDP.

(Loshin, 2005)

4.3.1 Formato de mensaje

Hemos dicho anteriormente que RADIUS se basa en el paso de mensajes, ahora vamos a ver

cuál es el formato de esos mensajes. Siguen el siguiente formato:

Tal y como vemos en este esquema la cabecera la componen un octeto con el campo código,

otro con el campo identifier, 2 octetos para el campo length y 8 o 16 octetos para el campo

authenticator. La carga del paquete la constituyen parejas atributo-valor, con una longitud

variable. (Loshin, 2005)

4.3.2 Clave compartida (shared-secret)

La clave compartida es una contraseña conocida por el cliente y el servidor que se usa en las

operaciones que requieren cifrado de datos durante el paso de mensajes. La clave debe tener

una longitud mayor de 0, pero se recomienda que tenga una longitud de al menos 16 octetos.

Esta clave nunca viaja por la red, solo se usa en ambos extremos. La clave compartida se

define para una pareja cliente-servidor (recordando que cliente es el equipo que se comunica

con el servidor RADIUS, por ejemplo un punto de acceso wireless o una batería de modems,

no tiene por qué ser el usuario final), por lo que se puede especificar un clave compartida

distinta para cada cliente, aumentando con ello la seguridad. (Loshin, 2005)

4.3.3 Parejas atributo-valor

Las parejas atributo-valor que se pasan en los mensajes RADIUS son una parte esencial de

estos paquetes. Por motivos de seguridad, la RFC RADIUS restringe que ciertos atributos

puedan ser usados en ciertos paquetes, por ejemplo, el atributo User-Password no está

permitido en un mensaje de respuesta del servidor al cliente. Los atributos RADIUS están

definidos en las RFCs 2865, 2866, 2867, 2868, 2869 y 3162. (Loshin, 2005)
 Figura 2: Formato de parejas atributo-valor

4.3.4 Diccionarios

En los atributos no aparece por ningún lado el nombre de éste, sino tan solo el código que lo

representa. Para los ordenadores esto puede estar bien, pero no para los humanos. Para evitar

este inconveniente se usan los diccionarios en los que se establece una relación entre el

nombre del atributo y su código de atributo. También se usan diccionarios para los atributos

específicos de fabricante. (Loshin, 2005)

El protocolo ofrece flexibilidad a la hora de definir los diccionarios, lo único exigido es su

formato y que el servidor pueda acceder a ellos, pero se pueden almacenar en ficheros de

texto, ficheros binarios, bases de datos, etc, dependiendo de la implementación del servidor

RADIUS en concreto.

Una forma posible sería usando una tabla como la siguiente, en la que se indica el número de

atributo, su nombre y su tipo:

Tabla 1: Tipos de atributos

4.4. Métodos de autenticación

RADIUS soporta distintos protocolos para la autenticación de los usuarios. Los dos más

usados son el Password Authentication Protocol (PAP) y el CHAP (Challenge-Handshake

Authentication Protocol). Otros que también se usan son MS-CHAP (Microsoft Challenge

Handshake Authentication Protocol), MS-CHAP v2 y EAP (EAP-TLS, EAP-TTLS, EAP-

MD5, EAP-PEAP, etc). También ofrece la posibilidad de usar otros protocolos desarrollados
 por terceros, como por ejemplo los mecanismos de autenticación de usuario de windows NT,

Windows 2000, Linux, etc. Por lo tanto en principio podremos usar cualquier protocolo que

esté soportado por el servidor RADIUS que elijamos, puesto que no todos tienen las mismas

características. Pero gracias al uso de los atributos específicos de fabricante podemos

implementar casi cualquier cosa. (D'Alessandro, 2013)

5. Instrumentos y materiales

- Internet

- Comandos

- Ad-hoc

- Computadora

6. Desarrollo de la práctica

Ilustración 6

Ilustración 6. Antena Logarítmica.

7 Conclusiones:

 En conclusión, la implementación de un servidor RADIUS representa una medida

fundamental para fortalecer la seguridad de las redes WiFi-corporativas al centralizar y

gestionar de manera eficiente el proceso de autenticación de usuarios.

 Además, la integración del servidor RADIUS con la infraestructura de red existente permite
 establecer un entorno de autenticación robusto y escalable, capaz de adaptarse a las

necesidades cambiantes de la organización y garantizar un flujo de acceso seguro a los

recursos de red

 Por último, es importante destacar que la configuración de políticas de seguridad adecuadas

dentro del servidor RADIUS, como la autenticación multifactorial y la encriptación de datos,

contribuye significativamente a mitigar los riesgos asociados con el acceso no autorizado y

las amenazas de seguridad en la red WiFi corporativa.

8 Recomendaciones:

 Se recomienda realizar un análisis exhaustivo de los requisitos de autenticación y seguridad

de la red WiFi corporativa antes de proceder con la implementación del servidor RADIUS.

 Se recomienda seleccionar cuidadosamente el software de servidor RADIUS más adecuado

para las necesidades específicas de la organización, considerando aspectos como la

compatibilidad con los equipos de red existentes, la escalabilidad y las características de

seguridad

 Asimismo, se recomienda documentar detalladamente el proceso de implementación del

servidor RADIUS, incluyendo la configuración, las políticas de seguridad y los

procedimientos de mantenimiento, para garantizar la consistencia y la transparencia en la

administración del sistema

9 Bibliografía:

 Beale, J. (2002). RADIUS. O'Reilly Media.

 Conklin, A. W. (2012). Implementing Cisco Unified Wireless Networking Essentials (IUWNE)

Foundation Learning Guide (2 ed.). Cisco Press.

 Loshin, P. (2005). Essential Guide to RADIUS. O'Reilly Media.