23

IMPLEMENTACIÓN DE UN SERVIDOR DE AUTENTICACIÓN RADIUS EN UN AMBIENTE DE PRUEBAS PARA LA RED

INALÁMBRICA DE LA UPB – SEDE LAURELES

Velásquez, S1; Castro, B1; Velandia, Andrés2. 1 Facultad de Ingeniería Informática.

2 Coordinador de conectividad y seguridad del Centro de Tecnologías de la Información y las Comunicaciones.

Universidad Pontificia Bolivariana. Medellín, Colombia. Email: {seanveca, bcastro, velandia.andres}@gmail.com

ABSTRACT

This paper presents a pilot plan for the implementation of a RADIUS (Remote Access Dial In User Service) server for the purpose of providing authentication, authorization and accounting services in the wireless network of the Universidad Pontificia Bolivariana, at its Laureles branch. This server integrates with the university´s network infrastructure operating in a restricted test environment, offering these services to a limited group of users that belong to the CTIC (Centro de Tecnologías de la Información y las Telecomunicaciones), which is a subdivision of the university.

Key words: RADIUS, authentication, authorization, accounting, wireless network.

RESUMEN

Este artículo presenta un plan piloto para la implementación de un servidor RADIUS (Remote Access Dial In User Service) con el fin de proveer servicios de autenticación, autorización y contabilidad en la red inalámbrica de la Universidad Pontificia Bolivariana- sede Laureles. Dicho servidor se integra con la infraestructura de red de la universidad operando en un ambiente de pruebas, ofreciendo esos servicios a un grupo limitado de usuarios, pertenecientes al Centro de Tecnologías de la Información y las

Telecomunicaciones (CTIC), el cual es una dependencia de la universidad.

Palabras claves: RADIUS; autenticación;

autorización; contabilidad; red inalámbrica.

INTRODUCCIÓN

Actualmente, la Universidad Pontificia Bolivariana – sede Laureles, ofrece el servicio de acceso a internet, no sólo mediante una infraestructura de red cableada, sino también de forma inalámbrica. Sin embargo, no existe un control para el acceso a dicho recurso y los registros que se tienen sobre su uso, no son suficientes para tareas de administración de red.

Controlar quién accede a un recurso y la forma cómo se usa, son necesidades evidentes hoy en día para cualquier institución, no sólo por la importancia de la información que circula en la red, sino también para velar por la prestación de un buen servicio de internet a los usuarios (personas vinculadas a la universidad y

24

visitantes autorizados), y garantizar la disponibilidad de las aplicaciones web universitarias, como el sistema de notas, el sistema de consultas a biblioteca, sistema de pagos, etc.

Con el fin de suplir dichas necesidades en la red inalámbrica de la universidad, se presenta una solución piloto que corresponde a la implementación de un servidor RADIUS en un ambiente de pruebas. Allí se proveen los servicios de autenticación, autorización y contabilidad en el acceso a la red universitaria para un grupo de usuarios pertenecientes al CTIC.

A continuación se presenta un marco teórico relevante al proyecto, junto con el estado del arte y la mención de algunas instituciones que cuentan con esta tecnología en la ciudad de Medellín. Luego se expone el diagnóstico de la red inalámbrica universitaria y las características de la solución implantada en el escenario delimitado. Finalmente se presentan los resultados de las pruebas realizadas sobre el servidor configurado, y las conclusiones correspondientes al proyecto ejecutado.

1. MARCO TEÓRICO

1.1. Seguridad en redes inalámbricas Aunque las redes inalámbricas han traído innumerables beneficios como la movilidad, la facilidad en el despliegue, la flexibilidad y el bajo costo de instalación, tienen una gran desventaja: la inseguridad [1]. Las redes inalámbricas, al tratarse de ondas electromagnéticas, se

propagan por el espacio libre [2], creando la oportunidad para que un intruso acceda a la red sin que tenga autorización o para que intercepte la comunicación, comprometiendo información sensible.

Tratada de forma correcta, dicha desventaja puede minimizarse, reduciendo la exposición al riesgo. Una forma de hacerlo es implementar una función de autenticación en la Capa 2 del modelo OSI [3] empleando el protocolo 802.1X. 1.2. Protocolo 802.1x Es un protocolo creado por la IEEE, para el control de acceso a la red que opera a nivel de puertos [4]. Se basa en la arquitectura cliente servidor, define claramente las entidades que actúan en el proceso de conexión y el protocolo de autenticación a usar (Extensible Authentication Protocol, EAP).

Las entidades que participan en el proceso de conexión [5], definidas en el estándar 802.1x, son:

• Suplicante: Máquina del usuario que desea conectarse a la red.

• Servidor de autenticación: Máquina que posee la información de los usuarios que pueden acceder a un recurso, o que sabe cuál es el repositorio para buscarlos, con el fin de validar su identidad.

• Autenticador: es el dispositivo que recibe la petición de conexión del suplicante, y solamente permite su acceso a la red cuando

25

recibe la notificación por parte del servidor de autenticación.

El funcionamiento del protocolo se puede resumir de la siguiente manera: Al principio todos los puertos del autenticador se encuentran desautorizados [6], es decir que el tráfico que no sirve para la autenticación será desechado. Sólo existe un puerto que es utilizado para comunicarse con el suplicante. Así, cuando éste desea conectarse a la red inalámbrica, se asocia, en primera instancia con el autenticador y le envía su petición de autenticación (Fase 1) [7]. El autenticador se encarga de retransmitir la petición al servidor AAA, quien valida en el repositorio de usuarios si las credenciales son auténticas y si puede acceder a los recursos (Fase 2). En caso de que dicha respuesta sea afirmativa, notifica al autenticador quien gestiona la obtención de los parámetros de red con el servidor DHCP (Dinamyc Host

Configuration Protocol) y autoriza un puerto para que sea utilizado por el usuario (fase 3) [8]. En el siguiente gráfico se ilustra el

proceso anteriormente descrito.

Figura 1. Esquema de autenticación

AAA.

Fuente: Elaboración propia

Llevar a cabo este proceso permite reducir la inseguridad de las redes inalámbricas porque:

1. Proporciona acceso controlado: Toda usuario (humano o máquina) que quiera acceder al recurso debe identificarse.

2. Permite autorizar el uso: A parte de saber quién intenta acceder a un recurso, se puede hacer un control de qué acciones puede ejecutar un usuario.

3. Permite el registro de actividades: Permite llevar logs o registros sobre cuál es el comportamiento de los usuarios en la red, y tener datos estadísticos que orienten la toma de decisiones para desempeñar una mejor gestión de la red.

Estos tres aspectos corresponden a tres palabras claves: Autenticación, Autorización y Contabilidad, conocidos también como servicios AAA, por su nombre en inglés: Authentication, Authorization and Accounting.

1.3. Servicios AAA Los servicios AAA son actualmente una solución completa para el control de

26

acceso a los recursos de red [9]. Se definen de la siguiente manera: Autenticación: Es un proceso llevado a cabo entre dos entidades, donde una da a conocer su identidad y la otra verifica su autenticidad [10]. Este servicio responde a la pregunta ¿Quién es el usuario?.

Autorización: Es el proceso de determinar si un usuario autenticado tiene los permisos necesarios para acceder a un recurso [11], es decir otorgarle o denegarle permisos dependiendo del resultado de la evaluación de autorización. Este servicio responde a la pregunta: ¿ A qué está autorizado el usuario?.

Contabilidad: Es el seguimiento que se hace a los recursos [12], cuando se ha autorizado el uso a un usuario o grupo de usuarios. Éste servicio proporciona una respuesta a la pregunta: ¿Qué hizo el usuario con el recurso?.

2. ESTADO DEL ARTE Los protocolos AAA fueron una de las soluciones propuestas a los problemas de control de acceso presentados desde el nacimiento de internet [13] para prestar los servicios AAA anteriormente presentados. Entre los protocolos más conocidos se encuentra TACACS, TACACS+, RADIUS y DIAMETER.

El primero corresponde al protocolo pionero que suplió la carencia de servicios AAA. Actualmente ha caído en desuso y, su creador, CISCO, le retiró el

soporte [14]. Sin embargo, un protocolo nuevo entró a reemplazarlo. Éste se llamó TACACS+ y aunque hoy en día todavía se usa, sólo es implementado en una pequeña porción del mercado, debido al poco dinamismo de las soluciones comerciales.

Adicionalmente, los anuncios de la llegada de un nuevo protocolo que venía desarrollándose por parte de Livingston Enterprises, fortaleció la decisión de observar detenidamente la nueva propuesta, que además prometía nuevas funcionalidades [15].

Con las incipientes implementaciones del nuevo protocolo, llamado RADIUS, se logró vislumbrar el potencial que tenía, convirtiéndose luego en un estándar de la IETF. Desde entonces se ha mantenido vigente a través de muchas aplicaciones que implementan el protocolo y siguen siendo actualizadas y mejoradas.

Actualmente se está desarrollando, DIAMETER, otro protocolo AAA, que pretende mejorar la especificación de RADIUS y proveer nuevas funcionalidades [16]. Sin embargo, su calidad de “estándar en construcción” o “borrador” [17], no ha facilitado el desarrollo de aplicaciones que lo implementen [18], ocasionando que su incursión en ambientes de producción sea mínima.

En éste proyecto se escogió este protocolo debido a su popularidad, su vigencia en el mercado, su estatus de

27

estándar completo de la IETF [19], y la abundante documentación sobre el tema.

Localmente hay varios referentes de instituciones que cuentan con un servidor RADIUS integrado a su infraestructura, entre ellos la universidad Eafit. Esta entidad fue un referente para la realización de este proyecto y reporta, no sólo buenas experiencias en cuanto al desempeño y mantenimiento del servidor, sino mayor nivel de seguridad y más control sobre la red inalámbrica.

3. RADIUS RADIUS, como se mencionó anteriormente es un protocolo AAA que permite prestar, de forma centralizada, los tres servicios AAA [20].

El funcionamiento del protocolo está completamente especificado en los RFC 2865 [21] y RFC 2866 [22]. Utiliza el puerto 1812 y 1813 UDP para establecer sus conexiones. Una de las características principales es su capacidad de manejar sesiones, determinando el inicio y fin de la conexión, datos que se pueden usar con propósitos estadísticos para administración de red.

Un servidor de este tipo es responsable de procesar la información provista por el usuario de la red inalámbrica, para introducir servicios AAA en el proceso de conexión.

4. SOLUCIÓN PROPUESTA La solución propuesta en este plan piloto corresponde a la implementación de un servidor RADIUS interconectado con los

dispositivos de red ya existentes en la universidad, pero funcionando en un ambiente de pruebas. De esta forma no se afectan los servicios actuales y el servidor podrá ser puesto en producción en cualquier momento por parte del personal del CTIC.

El proceso de autenticación actual, de cara a los usuarios, no cambia con la implementación del servidor, pues se sigue usando un portal cautivo para el ingreso de las credenciales personales. Lo que sí varía es la adición de los procesos referidos a los servicios AAA en la conexión a la red.

Para lograr esto, es necesario contar con un escenario como el descrito por el protocolo 802.1x, donde las máquinas de los usuarios sean los suplicantes, el Wireless LAN Controller (WLC) se convierta en un autenticador, y RADIUS sea el servidor de autenticación que consulte a una máquina con servicio de Active Directory para validar la información del usuario.

La solución que se presenta, pretende configurar dicho ambiente, pero hace falta, en primer lugar, determinar las necesidades de la universidad para este montaje mediante un diagnostico a la red inalámbrica y posteriormente la elección del tipo de servidor RADIUS a usar, partiendo del abanico de opciones que existe actualmente, de forma tal que se satisfagan dichas necesidades.

28

5. DIAGNOSTICO DE RED Con el fin de conocer cuál es la infraestructura de la red inalámbrica, los dispositivos que intervienen en ella y el nivel de seguridad que provee, se realizó un diagnóstico a dicha red.

Los resultados de los análisis, mostraron que existe una muy buena infraestructura, con gran cobertura en el campus y proporciona suficiente ancho de banda a los usuarios. Sin embargo, es necesario fortalecer los controles de seguridad para acceder a la red y generar estadísticas de uso del recurso. Este diagnóstico también permitió vislumbrar el impacto que tendría la inclusión de un servidor RADIUS en la plataforma existente, al convertirse en un punto céntrico para la integración de usuarios y plataformas de la universidad.

Pero el mayor beneficio se presenta al reducir la posibilidad de materialización de una amenaza de seguridad informática, donde la universidad resultaría perjudicada por no tener mecanismos de seguridad apropiados que protejan los datos que circulan por la red inalámbrica.

6. OPCIONES COMERCIALES Debido a que en el mercado existen muchas implementaciones de servidor RADIUS [23], se realizó un análisis comparativo de las más importantes (BSDRadius, FreeRADIUS, ACS, NPS) escogiendo la que cumpliera los

requisitos mínimos de la universidad y supliera sus necesidades.

La plataforma abierta, el soporte a los repositorios de usuarios con los que cuenta la universidad y la variedad de los mecanismos de autenticación a los que da soporte, hicieron de FreeRADIUS la opción escogida para usar en el desarrollo de éste proyecto.

7. IMPLEMENTACIÓN Una vez elegido FreeRADIUS como servidor AAA, se llevó a cabo su configuración y posterior implementación en un ambiente de pruebas con las siguientes características:

• Servidor AAA: Maquina con procesador INTEL Pentium 4, de doble núcleo, a 3 GHz; disco duro SATA de 70 GB; 2 GB en RAM y 2 tarjetas de red, una para la comunicación con el autenticador y otra para la comunicación con el repositorio de usuarios. Su sistema operativo es CentOS 5.5., con una versión de FreeRadius: 2.1.7.

• Autenticador: CISCO Wireless LAN Controller (WLC) 4400 series.

• Suplicantes: computadores portátiles con sistemas operativos Windoes 7, y XP.

• Repositorio de usuarios: Active Directory instalado sobre un servidor Windows Server 2003.

29

• Autenticación: WPA2-Enterprise

• Mecanismo de autenticación: PEAP/MS-CHAPv2.

• Población de prueba: usuarios pertenecientes al CTIC.

8. RESULTADOS La integración del servidor RADIUS al ambiente de pruebas, resultó exitosa, pues se obtuvo un escenario en donde se ofrecieron los servicios de autenticación, autorización y contabilidad por medio de la validación de credenciales personales. Dicha validación es imprescindible para acceder a los recursos de red, estableciéndose a así un control de acceso estricto. Mediante los datos arrojados por las capturas de red realizadas, se evidenció la comunicación efectiva entre los actores de red, en las diferentes capas del modelo OSI, así como el cumplimiento de las especificaciones propias del protocolo RADIUS.

Los datos sobre el tiempo requerido para acceder a los recursos de red permitieron establecer un promedio de demora en el proceso de conexión de 0.27 segundos. Adicionalmente al monitoreo de los equipos de red se logró el registro de detalles de contabilidad en archivos específicos del servidor RADIUS donde se despliega información importante sobre el uso de recursos, por ejemplo cantidad de bytes transmitidos, inicio y fin de uso del servicio, etc.

CONCLUSIONES

Actualmente, la política de seguridad de la red inalámbrica universitaria representa un reto para las tareas de gestión, debido a su naturaleza dependiente de la buena fe de los usuarios. Ante esta infraestructura, se realizó un diagnóstico para evidenciar las deficiencias en el esquema de seguridad vigente y proponer una solución especializada.

Como solución a las deficiencias encontradas en el esquema de seguridad, se implementó un servidor AAA FreeRADIUS en un ambiente de pruebas que, de acuerdo a las necesidades de la universidad, representó la mejor opción. Esta solución puede ser llevada a un ambiente de producción gracias a las características de configuración y escalabilidad del software seleccionado.

La implementación de un servidor RADIUS en conjunto con el protocolo WPA2-Enterprise permitió verificar la autenticidad de las identidades provistas, contra un repositorio de usuarios, con el fin de ofrecer el servicio de autenticación.

Una vez proporcionado el servicio de autenticación se estableció en el servidor la evaluación de permisos para el acceso a los recursos de red. Así se garantiza una mejor prestación del servicio de autorización mediante la implantación de una estrategia de asignación dinámica de VLANs frente a la solución actual de segmentar la red mediante diferentes

30

SSID que dificultan las tareas de gestión de red.

El servicio de contabilidad del servidor RADIUS entregó información valiosa para el seguimiento del uso de los recursos de red. El nivel de detalle que entregan los dispositivos de red con esta implementación permite a la universidad realizar un análisis más concreto en relación con la plataforma actual.

Con la información de contabilidad que proporciona el servidor es posible proveer el servicio de no repudio en relación al comportamiento de los usuarios en la red. Otro de los servicios de seguridad que presta en esta implementación del servidor RADIUS es la confidencialidad, mediante el esquema de seguridad adoptado.

Las pruebas realizadas permitieron comprobar la prestación efectiva de los servicios de autenticación, autorización y contabilidad. Esto se verificó en un ambiente de pruebas, mediante el análisis de la transmisión de información en las diferentes capas de red.

Este proyecto no solamente permite mejorar el esquema de seguridad de la red inalámbrica, sino que también permite la futura incorporación del servidor RADIUS, por pate del CTIC, a la red cableada para ofrecer servicios AAA en toda la red de datos de la universitaria.

BIBLIOGRAFÍA

[1]. GAST, Mathew. 802.11 Wireless Networks: The Definitive Guide. Estados Unidos: O'Reilly, 2002. p.6.

[2]. VILA BURGUETE, Carlos Alberto.

Simulación de Zonas de Fresnel para Enlaces de Microondas Terrestres [En línea] México: Universidad de las Américas Puebla, 2005. <http://catarina.udlap.mx/u_dl_a/tales/documentos/lem/vila_b_ca/capitulo1.pdf> [Consulta: Octubre 16 de 2010].

[3]. SCHWARTZKOPFF, Michael. Acceso

Seguro a Redes con 802.1X, RADIUS y LDAP [En línea] España: 2005. <http://www.linux-magazine.es/issue/05/Radius.pdf> [Consulta: Octubre 16 de 2010].

[4]. KWAN, Philip. WHITE PAPER: 802.1X

AUTHENTICATION & EXTENSIBLE AUTHENTICATION PROTOCOL (EAP) [En línea] Estados Unidos: Foundry Networks, Inc., 2003. <http://www.brocade.com/downloads/documents/white_papers/wp-8021x-authentication-eap.pdf> [Consulta: Octubre 15 de 2010].

[5]. GEIER, Jim. Implementing 802.1x security

solutions for wired and wireless networks. Estados Unidos: Wiley Publishing Inc., 2008. p.66.

[6]. SÁNCHEZ CUENCA, Manuel y CÁNOVAS

REVERTE, Óscar. Una arquitectura de control de acceso a redes de área local inalámbricas 802.11. [En línea] España: Universidad de Murcia, 2003. <http://ditec.um.es/~ocanovas/papers/802.1X.pdf> [Consulta: Octubre 16 de 2010].

[7]. GEIER, Jim. Op. Cit. p.60. [8]. SÁNCHEZ CUENCA, Manuel y CÁNOVAS

REVERTE, Óscar. Op. Cit. [9]. SANTOS, Omar y CISCO PRESS. End to

End Network security defense in depth. Estados Unidos: CISCO PRESS, 2008. p.23.

31

[10]. MIGGA KIZZA, Joseph. A guide computer to network security. Estados Unidos: Springer. 2009. p.48.

[11]. NAKHJIRI, Madjid y NAKHJIRI, Mahsa. AAA and Network security for mobile access. Radius, Diameter, EAP, PKI and IP mobility. Inglaterra: John Wiley & Sons, Ltd., 2005. p.8.

[12]. RIGNEY, Willens y otros. RFC 2865: Remote Authentication Dial In User Service (RADIUS). [En línea] IETF Network Working Group, 2000. < http://www.ietf.org/rfc/rfc2865.txt > [Consulta: Junio 29 de 2010].

[13]. COHEN, Beth y DEUTSCH, Debbie. RADIUS: Secure Authentication Services at Your Service [En línea] 2003. <http://www.esecurityplanet.com/prodser/article.php/2241831/RADIUS-Secure-Authentication-Services-at-Your-Service.htm > [Consulta: Octubre 16 de 2010].

[14]. WELCH-ABERNATHY, Dameon. Essential Check Point FireWall-1 NG. Estados Unidos: Addisson-Wesley, 2004. p.197.

[15]. VOLLBRECHT, John. The Beginnings and History of RADIUS [En línea] Estados Unidos: Interlink Networks, 2006. <http://www.interlinknetworks.com/app_notes/History%20of%20RADIUS.pdf> [Consulta: Octubre 15 de 2010.]

[16]. NAKHJIRI, Madjid y NAKHJIRI, Mahsa. Op. Cit. p.148.

[17]. FAJARDO, V; ARKKO, J; LOUGHNEY, J. y ZORN, G. DIAMETER Base Protocol [En línea] Estados Unidos: IETF - DIME, 2010. <http://tools.ietf.org/html/draft-ietf-dime-rfc3588bis-25> [Consulta:Octubre 16 de 2010].

[18]. Análisis de desempeño y evaluación de requerimientos AAA en protocolos de seguridad sobre redes inalámbricas IEEE 802.1 . En: revista de Ingeniería Neogranadina, Bogotá. Universidad Militar Nueva Granada. 2006. <http://redalyc.uaemex.mx/pdf/911/91116208.pdf> [Consulta: Octubre 16 de 2010].

[19]. RIGNEY, Willens y otros. Op. Cit.

[20]. NAKHJIRI, Madjid y NAKHJIRI, Mahsa. Op. Cit. p.127.

[21]. RIGNEY, Willens y otros. Op. Cit. [22]. RIGNEY, C. RFC 2866: RADIUS

Accounting [En línea] IETF Network Working Group, 2000. <http://www.ietf.org/rfc/rfc2866.txt> [Consulta: Octubre 16 de 2010].

[23]. FREERADIUS WIKI. Others RADIUS

servers [En línea] 2007. <http://wiki.freeradius.org/Other_RADIUS_Servers> [Consulta: Octubre 16 de 201