Download - Tesis 2014-12.0
-
Gestin de portales cautivos con daloRADIUS en
Debian
Tesis profesional
(Opcin I)
Que para obtener el ttulo de:
Ingeniero en Sistemas Computacionales
Presentan:
Juan Alberto Monzn Garca
Roberto Salvador Vazquez Hermitao
Asesor de la tesis:
Ing. Milton Jos Martil Cruz
Tapachula, Chiapas, Septiembre de 2014
-
I
Dedicatoria
Juan Alberto Monzn Garca
-
II
Roberto Salvador Vazquez Hermitao
-
III
Agradecimientos
Juan Alberto Monzn Garca
-
IV
Roberto Salvador Vazquez Hermitao
-
V
Resumen
La finalidad de esta tesis es la gestin de portales cautivos en una red inalmbrica,
para lo cual se hace uso de la aplicacin daloRADIUS, con esto se puede llevar un
control adecuado de los usuarios existentes en un portal cautivo, ya sea chillispot,
coovachilli, y otros ms.
Destacando los parmetros de evaluacin como: Facilidad de instalacin, facilidad de
configuracin, seguridad, funcionalidad e Interfaz amigable para el Administrador. El
desarrollo de la aplicacin se realiz sobre una distribucin LINUX, debido a la
estabilidad, adems se ocup FREERADIUS que garantiza la conexin para la
autenticacin, interoperabilidad y sobre todo seguridad.
-
VI
Contenido
ndice de figuras ....................................................................................................... IX
ndice de tablas ...................................................................................................... XIII
Introduccin ............................................................................................................... 1
Captulo I Marco referencial del proyecto ............................................................... 3
1.1 Planteamiento del problema ........................................................................... 4
1.2 Antecedentes.................................................................................................... 4
1.3 Justificacin ..................................................................................................... 5
1.4 Objetivos ........................................................................................................... 5
1.4.1 Objetivo general ......................................................................................... 5
1.4.2 Objetivos especficos ................................................................................ 5
1.5 Metas ................................................................................................................. 6
1.6 Formulacin de hiptesis ................................................................................ 6
1.7 Lugar donde se va desarrollar ........................................................................ 6
Captulo II: Fundamento Terico ............................................................................. 7
2.1 Redes Inalmbricas ......................................................................................... 8
2.1.1 Definicin ................................................................................................... 8
2.1.2 Tecnologas actuales ................................................................................. 9
2.2 Seguridad en redes inalmbricas ................................................................. 12
2.2.1 Mtodos para garantizar Seguridad en redes inalmbricas ................ 13
2.2.2 Filtrado de direcciones MAC .................................................................. 14
2.2.3 WEP (Wired Equivalent Privacy) ............................................................. 14
2.3 Sistema Operativo Linux ............................................................................... 15
2.3.1 Caractersticas principales ..................................................................... 15
2.3.2 Distribucin Debian ................................................................................. 16
2.4 Servidor HTTP ................................................................................................ 20
2.4.1 Servidor HTTP Apache. ........................................................................... 21
2.4.1.1 Principales caractersticas de Apache ............................................ 22
2.4.1.2 Ventajas y Desventajas de Apache .................................................. 23
2.5 Protocolo AAA ................................................................................................ 25
2.5.1 Definicin de las siglas AAA................................................................... 26
2.5.1.1 Autenticacin (AUTHENTICATION) .................................................. 26
-
VII
2.5.1.2 Autorizacin (AUTHORIZATION) ...................................................... 26
2.5.1.3 Contabilidad (ACCOUNTING) ........................................................... 27
2.5.2 Listado de Protocolos AAA .................................................................... 28
2.6 NAS ................................................................................................................. 29
2.6.1 Uso ............................................................................................................ 30
2.7 Servidores RADIUS ........................................................................................ 31
2.7.1 Tipos de Servidores RADIUS .................................................................. 31
2.7.2 Servidores de licencia libre .................................................................... 31
2.7.2.1 FreeRADIUS ....................................................................................... 31
2.7.2.2 Radius Cistron ................................................................................... 34
2.7.2.3 XtRADIUS ........................................................................................... 35
2.7.3 Servidores de tipo comerciales .............................................................. 35
2.7.3.1 Radiator .............................................................................................. 35
2.7.3.2 AXL RADIUS ....................................................................................... 36
2.8 Portal Cautivo ................................................................................................. 39
2.8.1 Que es un portal cautivo? ..................................................................... 39
2.8.2 Tipos de Portales Cautivos ..................................................................... 39
2.8.2.1 Portales Cautivos por software ........................................................ 39
2.8.2.2 Portales Cautivos por Hardware ...................................................... 40
2.9 daloRADIUS .................................................................................................... 41
Captulo III Metodologa .......................................................................................... 44
3.1 Metodologa propuesta .................................................................................. 45
3.1.1 Requerimientos para la gestin de portales cautivos .......................... 45
3.1.2 Equipo y herramientas necesarias ......................................................... 45
3.1.3 Mtodo de investigacin ......................................................................... 46
3.1.4 Enfoque del proyecto .............................................................................. 47
3.1.5 Tcnica implementada para la recoleccin de informacin ................ 47
3.1.6 Fases de la metodologa ......................................................................... 49
3.1.6.1 Anlisis del problema ........................................................................ 49
3.1.6.2 Identificacin de las variables involucradas ................................... 49
3.1.6.3 Instalacin y configuracin de daloRADIUS ................................... 50
3.1.6.4 Documentacin .................................................................................. 50
-
VIII
3.2 Implementacin de la metodologa propuesta ............................................ 51
3.2.1 Anlisis de informacin obtenida a travs de encuestas .................... 51
3.2.2 Variables involucradas ............................................................................ 55
3.2.3 Instalacin y configuracin de daloRADIUS ......................................... 56
3.2.4 Implementacin de daloRADIUS ............................................................ 63
Capitulo IV Conclusiones y recomendaciones ..................................................... 95
4.1 Conclusiones.................................................................................................. 96
4.2 Recomendaciones ......................................................................................... 96
Anexos ..................................................................................................................... 97
Anexo I: Instalacin y configuracin de FreeRADIUS ...................................... 98
Anexo II: Instalacin y configuracin de ChilliSpot sobre FreeRADIUS ....... 107
Anexo III: Configuracin de FreeRADIUS con base de datos ........................ 132
Referencias ............................................................................................................ 137
-
IX
ndice de figuras
Figura 2.1 Interconexin Inalmbrica .......................................................................... 8
Figura 2.2 Tipo de estndares ................................................................................... 10
Figura 2.3 Grafica de distribucin Linux ms utilizada, realizado por w3Techs ........ 20
Figura 2.4 Funcin de un servidor HTTP .................................................................. 21
Figura 2.5 Diagrama de sistema NAS ....................................................................... 30
Figura 2.6 Caractersticas de daloRADIUS ............................................................... 42
Figura 2.7 Lenguajes soportados por daloRADIUS ................................................... 42
Figura 2.8 Empresas que apoyaron daloRADIUS ..................................................... 43
Figura 3.1 Formato de encuesta ............................................................................... 48
(Fuente: Obtenida de investigacin realizada) .......................................................... 48
Figura 3.2 Pregunta No. 1 ......................................................................................... 51
Figura 3.3 Pregunta No. 2 ......................................................................................... 52
Figura 3.4 Pregunta No. 3 ......................................................................................... 52
Figura 3.5 Pregunta No. 4 ......................................................................................... 53
Figura 3.6 Pregunta No. 5 ......................................................................................... 53
Figura 3.7 Pregunta No. 6 ......................................................................................... 54
Figura 3.8 Pregunta No. 7 ......................................................................................... 54
Figura 3.9 Pregunta No. 8 ......................................................................................... 55
Figura 3.10 Pgina oficial de daloRADIUS ................................................................ 56
Figura 3.11 descarga del paquete desde consola ..................................................... 57
Figura 3.12: Comando para mover el directorio ........................................................ 57
Figura 3.13 Cambio de propietario y asignacion de permisos ................................... 57
Figura 3.14: Copia de archivos a /var/www/............................................................ 58
Figura 3.15: Creacin de tablas para el funcionamiento de daloRADIUS ................. 58
Figura 3.16: Configuracin del archivo daloradius.conf.php ...................................... 59
Figura 3.17: Configuracin del archivo para dar acceso a internet ........................... 60
Figura 3.18 Configuracin de archivo para agregar nuevos usuarios ....................... 61
Figura 3.19: Configuracin del archivo hotspotlogin.php ........................................... 62
Figura 3.20: Interfaz de inicio de daloRADIUS .......................................................... 63
Figura 3.21 Url para acceder a daloRADIUS............................................................. 63
Figura 3.22 Login de daloRADIUS ............................................................................ 64
Figura 3.23 Interfaz de inicio de daloRADIUS ........................................................... 64
Figura 3.24 Estado del servidor ................................................................................. 65
Figura 3.25 Estado de los servicios ........................................................................... 65
Figura 3.26 ltimos intentos de conexin del usuario portal ..................................... 66
Figura 3.27 Monitoreo de freeRADIUS ...................................................................... 66
Figura 3.28 Registros de daloRADIUS ...................................................................... 67
Figura 3.29 Grafica del total de usuarios existentes .................................................. 68
Figura 3.30 Creacin de nuevo usuario .................................................................... 69
Figura 3.31 Listado de usuarios existentes ............................................................... 70
Figura 3.32 Eliminacin de un usuario ...................................................................... 71
Figura 3.33 Agregar nuevo usuario por direccin MAC ............................................. 71
-
X
Figura 3.34 Seccin de reportes ............................................................................... 72
Figura 3.35 Lista de usuarios que estn en lnea ...................................................... 72
Figura 3.36 ltimos intentos de conexin del usuario portal ..................................... 73
Figura 3.37 Informacin general del servidor ............................................................ 74
Figura 3.38 Men Accounting .................................................................................... 75
Figura 3.39 Informacin del plan ............................................................................... 76
Figura 3.40 Anlisis de la suscripcin del usuario portal ........................................... 77
Figura 3.41 Informacin de sesin ............................................................................ 77
Figura 3.42 Tabla de registro de las sesiones realizadas por el usuario portal ......... 78
Figura 3.43 Contabilidad por direccin IP ................................................................. 79
Figura 3.44 Contabilidad de un usuario por fecha ..................................................... 80
Figura 3.45 Contabilidad de usuarios activos ............................................................ 81
Figura 3.46 Modulo billing de daloRADIUS ............................................................... 82
Figura 3.47 Informacin General Cartogrfica (GIS) ................................................. 82
Figura 3.48 Inicios de sesin realizados por un usuario en un da especifico ........... 84
Figura 3.49 Sesiones iniciadas por el usuario cecodic el da 21 ............................... 84
Figura 3.50 Grafica del total de datos descargados .................................................. 85
Figura 3.51 Datos numricos del total de datos descargados ................................... 85
Figura 3.52 Grafica del total de datos cargados (subidos) ........................................ 86
Figura 3.53 Datos numricos del total de datos cargados (subidos). ........................ 86
Figura 3.54 Grafica de los inicios de sesin, distribuidos por mes ............................ 87
Figura 3.55 Datos numricos de los inicios de sesin, distribuidos por mes ............. 87
Figura 3.56 Grafica de inicios de sesin realizados, distribuidos por da .................. 88
Figura 3.57: Datos numricos de inicios de sesin realizados, distribuidos por da .. 88
Figura 3.58 Grafica de las descargas de datos realizadas (distribuido por da) ........ 89
Figura 3.59: Grafica de las cargas de datos realizadas (distribuido por da) ............. 89
Figura 3.60 Grafica de los datos descargados por los usuarios (distribuido por mes)
.................................................................................................................................. 90
Figura 3.61 Grafica de los datos cargados por los usuarios (distribuido por mes) .... 90
Figura 3.62 Usuarios logeados en un da especifico ................................................. 91
Figura 3.63 Modulo de configuracin ........................................................................ 91
Figura 3.64 Operadores de daloRADIUS .................................................................. 93
Figura 3.65 Respaldos realizados de FreeRADIUS y daloRADIUS .......................... 93
Figura 3. 66 Seccion para seleccionar tablas de freeRADIUS .................................. 94
Figura 3.67 Seccin para seleccionar tablas de daloRADIUS .................................. 94
Figura A1-1 Descarga de paquete fuente de FreeRADIUS ....................................... 98
Figura A1-2 Instalacin de libssl-dev y build-essential .............................................. 99
Figura A1-3 Descomprimiendo el paquete FreeRADIUS .......................................... 99
Figura A1-4 Copia de FreeRADIUS a la carpeta personal ........................................ 99
Figura A1-5 Configuracin de FreeRADIUS ............................................................ 100
Figura A1-6 Ejecucin del comando make .............................................................. 100
Figura A1-7 Ejecucin del comando make install .................................................... 100
Figura A1-8 Edicin del archivo eap.conf ................................................................ 101
-
XI
Figura A1-9 Modificacin del archivo eap.conf ........................................................ 102
Figura A1-10 Copia y edicin del archivo users ...................................................... 102
Figura A1-11 Modificacin del archivo users ........................................................... 103
Figura A1-12 Edicin del archivo mschap ............................................................... 103
Figura A1-13 Modificacin del archivo mschap ....................................................... 104
Figura A1-14 Funcionamiento del servidor RADIUS ............................................... 105
Figura A1-15 Edicin del archivo clients.conf .......................................................... 106
Figura A1-16 Configuracin de clients.conf ............................................................. 106
Figura A1-17 Prueba de servidor RADIUS .............................................................. 107
Figura A1-18 Usuario encontrado y aceptado ......................................................... 107
Figura A2-1 Topologa de red con ChilliSpot ........................................................... 108
Figura A2-2 Descarga del paquete fuente de ChilliSpot .......................................... 109
Figura A2-3 Instalacin de apache .......................................................................... 110
Figura A2-4 Creacin del directorio para el certificado ............................................ 110
Figura A2-5 Creacin del certificado SSL ............................................................... 110
Figura A2-6 Habilitacin del mdulo ........................................................................ 111
Figura A2-7 Edicin del archivo ports.conf .............................................................. 111
Figura A2-8 Configuracin del archivo ports.conf .................................................... 112
Figura A2-9 Creacin del archivo ssl ....................................................................... 112
Figura A2-10 Estructura del certificado ssl .............................................................. 113
Figura A2-11 Habilitacin del nuevo sitio ................................................................ 114
Figura A2-12 Reinicio de apache ............................................................................ 114
Figura A2-13 Pgina de nuestro sitio con http......................................................... 114
Figura A2-14 Pgina de nuestro sitio con https ....................................................... 115
Figura A2-15 Instalacin de modconf ...................................................................... 115
Figura A2-16 Configuracin de TUN ....................................................................... 115
Figura A2-17 Mdulos soportados por el sistema ................................................... 116
Figura A2-18 Localizacin de tun ............................................................................ 117
Figura A2-19 Instalando el modulo tun .................................................................... 117
Figura A2-20 Agregacin de tun al inicio del sistema .............................................. 118
Figura A2-21 Configuracin del archivo modules .................................................... 118
Figura A2-22 Asignacin de valor para hacer NAT ................................................. 119
Figura A2-23 Edicin del archivo sysctl ................................................................... 119
Figura A2-24 Agregacin de: net.ipv4.ip_forward=1 ............................................... 119
Figura A2-25 Instalacin de ChilliSpot .................................................................... 120
Figura A2-26 Descomprimir y copiar el archivo hotspotlogin.cgi ............................. 120
Figura A2-27 Edicin del archivo chilli.conf ............................................................. 122
Figura A2-28 Red sobre la que trabaja chillispot ..................................................... 122
Figura A2-29 Cadena del secreto compartido entre Radius y Chillispot ................. 122
Figura A2-30 Direccin IP del servidor DNS ........................................................... 123
Figura A2-31 Direccin IP del servidor RADIUS (loopback) .................................... 123
Figura A2-32 Interfaz por la que se proveer dhcp ................................................. 123
-
XII
Figura A2-33 Url de servidor de autenticacin y secreto entre ChilliSpot y servidor de
autenticacin ........................................................................................................... 124
Figura A2-34 Direccin IP del sitio web ................................................................... 124
Figura A2-35 radiusnasid ........................................................................................ 124
Figura A2-36 Direccin de loopback para redireccionar a los usuarios ................... 124
Figura A2-37 Modificacin de archivo users de FreeRADIUS ................................. 125
Figura A2-38 Modificacin del archivo users ........................................................... 125
Figura A2-39 Ubicacin del archivo clients.conf ...................................................... 126
Figura A2-40 Configuracin de clients.conf ............................................................. 126
Figura A2-41 Edicin del archivo hotspotlogin.cgi ................................................... 127
Figura A2-42 Descomentar lneas: $uamsecret=secretouam; y $userpassword=1;
................................................................................................................................ 127
Figura A2-43 Asignacin de permisos al archivo hotspotlogin.cgi........................... 127
Figura A2-44 Copia y asignacin de permisos a chillispot.iptables ......................... 128
Figura A2-45 Edicin del archivo chillispot.iptables ................................................. 129
Figura A2-46 Agregacin de las reglas al inicio del sistema ................................... 129
Figura A2-47 Cdigo principal para el redireccionamiento al portal ........................ 130
Figura A2-48 Reinicio de todos los servicios ........................................................... 130
Figura A2-49 Sitio corporativo del portal cautivo ..................................................... 131
Figura A2-50 Pgina de login para accesar a la red ............................................... 132
Figura A3-1: Edicin del archivo radiusd.conf ......................................................... 133
Figura A3-2: Edicin del archivo default .................................................................. 134
Figura A3-3: Edicin del archivo sql.conf ................................................................ 135
Figura A3-4: Creacion de las tablas para FreeRADIUS .......................................... 136
-
XIII
ndice de tablas
Tabla 2.1 Comparacin de los estndares bsicos.....11
Tabla 2.2 Amenazas de seguridad ms relevantes en redes inalmbricas.14
Tabla 2.3 Caractersticas de servidores RADIUS.37
Tabla 2.3 Caractersticas de servidores RADIUS (Continuacin).38
-
1
Introduccin
Con la aparicin de internet se solucionaron muchos problemas de comunicacin a
nivel mundial, las redes se expandieron brindando a las instituciones varias opciones
para compartir y obtener informacin, una de estas opciones son las redes locales
Wireless (WLAN).
El uso de WLAN ha crecido exponencialmente es por eso que las instituciones buscan
formas de hacer ms eficientes sus redes actuales, tanto en aspectos de seguridad
como con el aprovechamiento de los recursos disponibles. Dentro de este contexto, se
vuelve necesario emplear mecanismos para administrar de forma eficiente el recurso
de red disponible para el correcto funcionamiento de los diferentes servicios dentro de
la red, como el empleo de mecanismos de control de acceso a usuarios o
autenticacin.
En la elaboracin del proyecto con el nombre: Gestin de portales cautivos con
daloRADIUS en Debian se dan a conocer la importancia que tienen un portal cautivo,
pero an ms importante la gestin de usuarios, informes grficos, entre otras
opciones dentro de la red por medio de una aplicacin web llamada daloRADIUS.
DaloRADIUS, es una aplicacin avanzada de gestin de un servicio RADIUS; web
destinadas a la gestin de puntos de acceso y las implementaciones de proveedor de
internet para fines generales. Es una interfaz web administrativa que permite configurar
y administrar un servidor FreeRADIUS. Un portal cautivo (o captivo) es un programa o
mquina de una red informtica que vigila el trfico http y https en los puertos TCP 80
y 443 para dirigir a un servidor web que obliga a los usuarios a pasar por una pgina
especial si quieren navegar por Internet de forma normal.
La aplicacin intercepta todo el trfico HTTP y/o HTTPS hasta que el usuario se
autentica.
-
2
En un portal Cautivo el usuario tiene que introducir sus credenciales (usuario y
contrasea o certificado electrnico) en su navegador para ser autorizados a utilizar la
red. La estructura de este documento se encuentra conformada por cinco captulos los
cuales se detallan a continuacin.
Captulo I Marco referencial: En este captulo se hace una descripcin de las razones
fundamentales para efectuar el estudio de la gestin de portales cautivos y los
objetivos que se alcanzaran.
Captulo II Fundamento terico: En este captulo se da una referencia terica sobre
daloRADIUS, redes inalmbricas, sus componentes, funcionamiento, amenazas
contra seguridad y mtodos de proteccin, en este captulo tambin se presenta
informacin en general de portales cautivos como su funcionamiento, tipos y
componentes. Tambin se describe la metodologa utilizada as como la tcnica
utilizada para recopilar informacin y el vaciado e interpretacin del mismo.
Captulo III Metodologa: En este captulo se detallara la metodologa que se propone
para el desarrollo del proyecto y tambin la implementacin de esta. Algunos otros
aspectos que se abordan son: el tipo de investigacin que se realizara y la tcnica
utilizada para la recopilacin de informacin, as como, la interpretacin de la
informacin recolectada.
Captulo IV: Conclusiones y recomendaciones: En este ltimo captulo se
mencionan las conclusiones que ha dejado el proyecto para dar claridad a los
conceptos desarrollados y servir de base a futuros desarrollos de la misma rea,
tambin se dan algunas recomendaciones sobre la gestin de portales cautivos.
-
3
Captulo I Marco referencial
del proyecto
1.1 Planteamiento del problema
1.2 Antecedentes
1.3 Justificacin
1.4 Objetivos
1.4.1 Objetivo general
1.4.2 Objetivos especficos
1.5 Metas
1.6 Formulacin de hiptesis
1.7 Programa de actividades,
calendarizacin
1.8 Lugar donde se va desarrollar
-
4
1.1 Planteamiento del problema
Un portal cautivo necesita ser gestionado para tener el control de los usuarios que se
tienen y poder generar informes grficos por lo que se requiere de una aplicacin para
generar dichos informes.
1.2 Antecedentes
Un Portal Cautivo es una pgina Web con la cual un usuario de una red pblica y/o
privada debe interactuar antes de garantizar su acceso a las funciones normales de la
red. Estos portales son principalmente utilizados por centros de negocios, aeropuertos,
hoteles, cafeteras, cafs Internet y otros proveedores que ofrecen hotspots de Wi-Fi
para usuarios de Internet.
Cuando un usuario potencial se autentica por primera vez ante una red con un portal
cautivo, se presenta una pgina Web en la cual se requieren ciertas acciones antes de
proceder con el acceso.
Un portal cautivo sencillo obliga al visitante a que por lo menos mire (as no lea) y
acepte las polticas de uso, pulsando un botn en la pgina. Supuestamente esto
puede absolver al proveedor del servicio de cualquier culpa por el uso anormal y/o
ilegal del servicio.
En otros portales se provee publicidad para el proveedor y/o sus patrocinadores y el
usuario deber hacer clic en la publicidad o cerrar la ventana en las cuales aparecen
estos comerciales antes de continuar con el uso del servicio. En algunos casos se
debe ingresar una identificacin y/o clave asignada antes de acceder a Internet, con el
objetivo de desalentar a quienes quieran usar estos servicios para usos no
autorizados.
-
5
1.3 Justificacin
Un portal cautivo es un conjunto de pginas web que emergen en cualquier peticin
que hagan los clientes, para identificar y tener el control sobre los usuarios.
Este proyecto surge por la necesidad de brindar seguridad y gestionar el acceso
indebido a una red inalmbrica utilizando un portal cautivo.
Con la implementacin de daloRADIUS podremos generar informes grficos, adems
de estadsticas de un portal cautivo que utilice la autenticacin de usuarios con
FreeRADIUS. Esta aplicacin adems de generar informes tambin nos permite
gestionar los usuarios que tenemos creados, es decir podemos crear, modificar o
eliminar usuarios, tambin se puede tener control de los puntos de acceso que se
tengan registrados.
1.4 Objetivos
1.4.1 Objetivo general
El objetivo principal es gestionar portales cautivos utilizando una solucin libre, la cual
nos va servir para realizar la administracin de usuarios y generar informes del uso de
los datos en la red. Estos datos servirn para realizar un anlisis de toda la informacin
que fluye en la red inalmbrica.
1.4.2 Objetivos especficos
Implementacin de un servidor RADIUS para la gestin de una red inalmbrica
mediante servicio de autenticacin
Anlisis de los datos que usa la red inalmbrica para generar histricos
estadsticos
Manejo de una Base de Datos para la creacin de credenciales de usuarios
-
6
Generar estadsticas y grficos de los aspectos ms relevantes para una mejor
interpretacin de los datos
1.5 Metas
Administracin de usuarios existentes en nuestra red (creacin y eliminacin de
usuarios)
Gestin de las actividades que realizan los usuarios en nuestra red (pginas
visitadas, fecha y hora de las conexiones realizadas, nmero de veces que se
conecta un usuario en un periodo determinado)
Generacin de grficas de aspectos o datos que sirvan para llevar un control de
usuarios u otras caractersticas
1.6 Formulacin de hiptesis
La hiptesis nos indica lo que estamos buscando o tratando de probar y pueden
definirse como explicaciones tentativas del fenmeno investigado, formuladas a
manera de proposiciones. En una investigacin podemos tener una, dos o ms
hiptesis, y hay ocasiones en las que no se tiene hiptesis.
Hiptesis:
Llevar un control de una red inalmbrica nos proporciona informacin detallada en la
toma de decisiones para brindar un mejor servicio.
1.7 Lugar donde se va desarrollar
El presente proyecto de tesis se desarrolla en el Laboratorio de Software Libre
(LABSOL), ubicado en el Consejo Zacatecano de Ciencia, Tecnologa e Innovacin
(COZCyT) en la ciudad de Zacatecas, Zacatecas Mxico.
-
7
Captulo II:
Fundamento Terico
2.1 Redes Inalmbricas
2.1.1 Definicin
2.1.2 Tecnologas actuales
2.2 Seguridad en redes inalmbricas
2.2.1 Mtodos para garantizar
seguridad en redes inalmbricas
2.2.2 Filtrado de direcciones MAC
2.2.3 WEP (Wired Equivalent Privacy)
2.3 Sistema Operativo Linux
2.3.1Caracteristicas principales
2.3.2Distriibucion Debian
2.4 Servidor HTTP
2.4.1 Servidor HTTP Apache
2.5 Protocolo AAA
2.5.1 Definicin de las siglas AAA
2.5.2 Listado de protocolos AAA
2.6 NAS
2.6.1 Uso
2.7 Servidores RADIUS
2.7.1 Tipos de servidores RADIUS
2.7.2 Servidores de licencia libre
2.7.3 Servidores de tipo comerciales
2.8 Portal Cautivo
2.8.1 Qu es un portal cautivo?
2.8.2 Tipos de portales cautivos
2.9 daloRADIUS
-
8
2.1 Redes Inalmbricas
2.1.1 Definicin
Cuando hablamos de redes inalmbricas, nos referimos a una interconexin de
dispositivos con la capacidad de compartir informacin entre ellos, pero sin un medio
fsico de transmisin. Estos dispositivos pueden ser de muy variadas formas y
tecnologas1, en la figura 2.1 se muestran algunos de ellos:
Computadoras de escritorio
Telfonos celulares
Asistentes digitales personales (PDA)
Access point, encargado de permitir a los dispositivos inalmbricos el
acceso a la red
Computadoras porttiles: laptop, netbook, notebook
Figura 2.1 Interconexin Inalmbrica (Fuente: http://www.informaticamoderna.com/Redes_inalam.htm)
1 (moderna, 2014)
-
9
2.1.2 Tecnologas actuales
Las tecnologas ms comunes en la actualidad para interconexin inalmbrica son:
a) Wi-Fi (Wireless Fidelity): En lenguaje espaol significa literalmente fidelidad
sin cables. Tambin se les denomina WLAN (Wireless Local Area Network) o redes de
rea local inalmbricas. Se trata de una tecnologa de transmisin inalmbrica por
medio de ondas de radio con muy buena calidad de emisin para distancias cortas
(hasta tericamente 100 metros).
Este tipo de transmisin se encuentra estandarizado por la IEEE, siglas en ingles del
Instituto de Ingenieros en Electricidad y Electrnica, la cal es una organizacin
internacional que define las reglas de operacin de ciertas tecnologas.
Para la transmisin es necesario el uso de antenas integradas en las tarjetas, adems
este tipo de ondas son capaces de traspasar obstculos sin necesidad de estar frente
a frente el emisor y el receptor.
El estndar IEEE 802.11x es un estndar internacional que define las caractersticas
de una red de rea local inalmbrica (WLAN), el cual se enfoca directamente con la
capa fsica y enlace de datos del modelo OSI para todas las conexiones inalmbricas
que utilizan ondas electromagnticas. Al estndar IEEE 802.11x tambin se lo define
como el Conjunto Bsico de Servicio (BSS) que consiste en dos o ms nodos
inalmbricos o estaciones que se conocen una a la otra y pueden transmitir
informacin entre ellos2.
El estndar 802.11x ha venido presentando modificaciones con el transcurso del
tiempo para cada vez optimizar ms el ancho de banda. Los estndares IEEE 802.11b,
IEEE 802.11g e IEEE 802.11n disfrutan de una aceptacin internacional debido a que
trabajan en la banda de 2.4 GHz que est disponible casi universalmente, alcanzando
2 (Wikipedia, Estandar IEEE 802.11x, 2014)
-
10
velocidades de hasta 11 Mbit/s, 54 Mbit/s y 300 Mbit/s, respectivamente, en la figura
2.2 se muestra la representacin de tipos de estndares.
Figura 2.2 Tipo de estndares (Fuente: http://es.wikipedia.org/wiki/IEEE_802.11)
A continuacin se muestra la comparacin de los estndares bsicos en la tabla 2.1.
Estndar. Ao de
Lanzamiento.
Frecuencia. Tasa de
Velocidad.
Tcnica de
Modulacin.
802.11b 1999 2 GHz 11 Mbps DSSS
802.11a 1999 5 GHz 54 Mbps OFDM
802.11g 2003 2.4 GHz 54 Mbps OFDM
802.11n 2007 2.4 GHz 500 Mbps SDM/OFDM Tabla 2.1: Comparacin de los estndares bsicos (Fuente: http://es.wikipedia.org/wiki/IEEE_802.11)
Para el uso de redes "Wireless" es necesario que los dispositivos dispongan de un
emisor ya sea integrado o agregado para el uso de este tipo de red3.
Computadoras de escritorio: un emisor/receptor integrado en la Motherboard,
una tarjeta PCI inalmbrica o un adaptador USB para red inalmbrica
Computadoras porttiles: en caso de no tenerlo integrado se puede usar una
tarjeta PCMCIA para red inalmbrica o un adaptador USB para red inalmbrica
PDA: tiene integrada la tarjeta de red inalmbrica
Celular: En la actualidad la todos los telfonos muy especializados tienen la
tarjeta de red inalmbrica integrada
3 (Gutierrez, 2014)
-
11
b) Infrarrojo (Ir): Se trata de una tecnologa de transmisin inalmbrica por medio
de ondas de calor a corta distancia (hasta 1 m), capaces de traspasar cristales.
Tiene una velocidad promedio de transmisin de datos hasta de 115 Kbps (Kilobits por
segundo), no utiliza ningn tipo de antena, sino un diodo emisor semejante al de los
controles remoto para televisin. Funciona solamente en lnea recta, debiendo tener
acceso frontal el emisor y el receptor ya que no es capaz de traspasar obstculos
opacos.
Para el uso de redes infrarrojas es necesario que los dispositivos dispongan de un
emisor ya sea integrado o agregado para el uso de este tipo de red.4
Computadoras de escritorio: un adaptador infrarrojo USB o en su caso un
puerto integrado al gabinete
Computadoras porttiles: un adaptador infrarrojo USB
PDA: tiene integrado el puerto infrarrojo
Celular: algunos telfonos tienen integrado el puerto infrarrojo
c) Bluetooth: En lenguaje espaol significa literalmente diente azul, ello por ser un
nombre de un Rey de la antigedad. Se trata de una tecnologa de transmisin
inalmbrica por medio de ondas de radio de corto alcance (1, 20 y 100 m a la redonda
dependiendo la versin). Las ondas pueden incluso ser capaces de cruzar cierto tipo
de materiales, incluyendo muros.
Para la transmisin de datos no es necesario el uso de antenas externas visibles, sino
que pueden estar integradas dentro del mismo dispositivo. Este tipo de transmisin se
encuentra estandarizado de manera independiente y permite una velocidad de
transmisin de hasta 1 Mbps.
4 (Gutierrez, 2014)
-
12
Para el uso de redes Bluetooth es necesario que los dispositivos dispongan de un
emisor integrado o agregado para el uso de este tipo de red.
Computadoras de escritorio: un adaptador Bluetooth USB
Computadoras porttiles: un adaptador Bluetooth USB
PDA: tiene integrado el emisor Bluetooth
Celular: tiene integrado el emisor Bluetooth
d) Microondas: Se trata de comunicaciones a gran escala, muy caras y con poco
uso domstico. Las hay de dos tipos:
Satelitales: se realizan a travs de bases terrestres con antenas que envan
seales al satlite, este se encarga de direccionarlas hacia la estacin receptora
con la onda amplificada para evitar prdidas
Terrestres: se basan en conexiones denominadas punto a punto, ya que sus
antenas deben estar sin obstculos fsicos para evitar fallas en la transmisin
e) Lser: Son tecnologas de muy alta velocidad, basadas en el envo de datos en
grandes regiones por medio de un haz de luz lser emitida por un diodo especial (hasta
5 Km. de distancia) y un foto-diodo que reciba las seales. Tiene la desventaja de que
es necesaria una conexin punto a punto, esto es que el emisor y el receptor no
cuenten con ningn tipo de obstculo entre s.
2.2 Seguridad en redes inalmbricas
Una de las razones por las cuales las redes inalmbricas son tan populares es el
acceso sin necesidad de usar cables de red, esto a la vez es el problema ms grande
en cuanto a seguridad se refiere. Cualquier equipo o dispositivo que se a 100metros o
menos de un punto de acceso, podra tener acceso a la red.5
5 (Seguridad en redes, 2014)
-
13
En la tabla 2.2 se muestran unas de las amenazas de seguridad ms relevantes que
existen en las redes inalmbricas.
Tabla 2.2 Amenazas de seguridad ms relevantes en redes inalmbricas (Fuente: http://www.redusers.com/noticias/seguridad-en-redes-autenticacion-con-servidores-aaa/)
2.2.1 Mtodos para garantizar Seguridad en redes inalmbricas
Para que una red se pueda considerar como segura, debe cumplir con los siguientes
requisitos:
Las ondas de radio deben confinarse tanto como sea posible. Esto es difcil de
lograr en su totalidad, pero se pueden obtener buenos resultados empleando
antenas direccionales y configurando adecuadamente la potencia de
transmisin de los puntos de acceso
Debe existir un mecanismo de autenticacin de doble va, que permita al cliente
verificar que se est conectando a la red correcta, y a la red constatar que el
cliente est autorizado para acceder a ella
Los datos deben viajar cifrados por el aire, para evitar que equipos ajenos a la
red puedan capturar datos mediante escucha pasiva6
6 (Seguridad en redes, 2014)
Confidencialidad Riesgo de interferencia, usuarios no autorizados pueden obtener acceso al trfico de datos en su red
Riesgo de arrebato de trfico y riesgo de un ataque o tipo de intermediario
Integridad - Riesgo de alteracin de trfico en la red.
Disponibilidad Riesgo de interferencia, negacin de servicio (cuestionamiento)
Riesgo de no disponibilidad de ancho de banda debido a retransmisiones de radio
Riesgo de no disponibilidad de ancho de banda debido a software malicioso
Autenticacin Riesgo de acceso no autorizado a su intranet
Riesgo de uso no autorizado
-
14
Existen varios mtodos para lograr la configuracin segura de una red inalmbrica, a
continuacin se mencionan algunos de ellos.
2.2.2 Filtrado de direcciones MAC
El filtrado de direcciones MAC tiene como finalidad proteger la red inalmbrica e
impedir el acceso de dispositivos inalmbricos no autorizados.
Cuando se activa el filtrado de direcciones MAC, solo pueden asociarse a la puerta de
enlace y transferir datos a travs de una conexin inalmbrica las tarjetas de PC y los
puntos de acceso cuyas direcciones MAC correspondan con las que el usuario haya
programado en la puerta de enlace.7
Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos
de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC (Media
Access Control) de las tarjetas de red inalmbricas que se pueden conectar al punto
de acceso. Como toda tarjeta de red posee una direccin MAC nica, se logra
autenticar el equipo.
2.2.3 WEP (Wired Equivalent Privacy)
WEP fue el primer protocolo de encriptacin introducido en el primer estndar IEEE
802.11 en 1999. Est basado en el algoritmo de encriptacin RC4 con una clave
secreta de 40 o 104 bits, combinada con un vector de inicializacin (IV) de 24 bits para
encriptar el mensaje de texto.8
El protocolo WEP no fue creado por expertos en seguridad o criptografa, as que
pronto se demostr que era vulnerable ante los problemas RC4 descritos por David
7 (Robotic, 2014) 8 (Seguridad WEP, 2014)
-
15
Wagner cuatro aos antes. Desde entonces se ha aceptado que WEP proporciona un
nivel de seguridad aceptable solo para usuarios domsticos y aplicaciones no crticas.9
2.3 Sistema Operativo Linux
Linux es un sistema operativo con un ncleo basado en Unix. Es uno de los principales
ejemplos de software libre, est licenciado bajo la GPLv2 y est desarrollado por
colaboradores de todo el mundo.
El ncleo de Linux fue concebido por el entonces estudiante de ciencias de la
computacin finlands, Linus Torvalds, en 1991. Pero Torvalds decidi aprovechar el
sistema GNU y completarlo con su propio ncleo, que bautiz como Linux (Linux
IsNotUniX). El sistema conjunto (herramientas GNU y ncleo Linux) forma lo que
llamamos GNU/Linux, y consigui rpidamente que desarrolladores y usuarios
adoptaran cdigos de otros proyectos de software libre para su uso en nuevas
distribuciones.10
El ncleo Linux ha recibido contribuciones de miles de programadores de todo el
mundo. Normalmente Linux se utiliza junto a un empaquetado de software, llamado
distribucin Linux y servidores. Su cdigo fuente puede ser utilizado, modificado y
redistribuido libremente por cualquiera bajo los trminos de la GPL (General Public
License).
2.3.1 Caractersticas principales
Sistema Multitarea. Describe la habilidad de ejecutar, aparentemente al mismo
tiempo, numerosos programas sin obstaculizar la ejecucin de cada aplicacin.
Esto se conoce como multitarea preferente, porque cada programa tiene
garantizada la posibilidad de correr
9 (Schauer, 2014) 10 (Wikipedia, sistema operativo Linux, 2014)
-
16
Sistema Multiusuario. El concepto de que numerosos usuarios pudieran
accesar aplicaciones o el potencial de procesamiento en una sola PC era un
mero sueo hace unos cuantos aos. Linux permite que ms de una sola
persona pueda trabajar en la misma versin de la misma aplicacin de manera
simultnea, desde las mismas terminales, o en terminales separadas
(elinux.com.mx)
Programacin. Linux cuenta con un conjunto poderoso de herramientas para
el desarrollo de programas: C, C++, ObjectiveC, Pascal, Fortran, BASIC, CLISP,
SmallTalk, Ada, Perl, as como depuradores y bibliotecas compartidas de enlace
dinmico (DLL)
Estabilidad. Linux se ha distinguido por su estabilidad de operacin, se han
conocido y comentado muchos casos de equipo trabajando por ms de un ao
sin tener que apagar o reiniciarlo
Velocidad. Los equipos Linux tambin se han distinguido por su extraordinaria
velocidad. El sistema operativo administra eficientemente los recursos como
memoria, poder de CPU y espacio en disco
Portabilidad. Una de las caractersticas ms importantes de Linux es su
portabilidad. En la actualidad es usado en las plataformas Intel x86, PowerPC,
Macintosh, Amiga, Atari, DEC Alpha, Sun Sparc, ARM y otras ms11
2.3.2 Distribucin Debian
Debian GNU/Linux es un sistema operativo libre, desarrollado por ms de mil
voluntarios alrededor del mundo, que colaboran a travs de Internet. La dedicacin de
Debian al software libre, su base de voluntarios, su naturaleza no comercial y su
modelo de desarrollo abierto la distingue de otras distribuciones del sistema operativo
GNU. Todos estos aspectos y ms se recogen en el llamado Contrato Social de
Debian.
11 (Wikipedia, sistema operativo Linux, 2014)
-
17
Naci en el ao 1993, de la mano del proyecto Debian, con la idea de crear un sistema
GNU usando Linux como ncleo ya que el proyecto Debian, organizacin responsable
de su mantenimiento en la actualidad, tambin desarrolla sistemas GNU basados en
otros ncleos (Debian GNU/Hurd, Debian GNU/NetBSD y Debian GNU/kFreeBSD).
Uno de sus principales objetivos es separar en sus versiones el software libre del
software no libre. El modelo de desarrollo es independiente a empresas, creado por
los propios usuarios, sin depender de ninguna manera de necesidades comerciales.
Debian no vende directamente su software, lo pone a disposicin de cualquiera en
Internet, aunque s permite a personas o empresas distribuir comercialmente este
software mientras se respete su licencia.12
Debian Linux puede instalarse utilizando distintos mecanismos de instalacin, como
DVD, CD, Blu-Ray, memorias USB y diskettes, e incluso directamente desde la red.
Caractersticas
La disponibilidad en varias arquitecturas. La versin estable incluye soporte para 12
plataformas:
i386 x86-32
amd64 x86-64
alpha DEC Alpha
sparc Sun SPARC
arm Arquitectura ARM
armel Emulador de ARM Emulator
powerpc Arquitectura PowerPC
ia64 Arquitectura Intel Itanium (IA-64)
12 (debian, 2014)
-
18
mips, mipsel Arquitectura MIPS (big-endian y little-endian)
s390 Arquitectura IBM ESA/390 y z/Architecture
m68k Arquitectura Motorola 68k en Amiga, Atari, Mac, y varios sistemas
embebidos VME
Una amplia coleccin de software disponible. La versin 5.0 viene con ms de 23.000
paquetes y la versin 6.0 con casi 30.000.2.
Un grupo de herramientas para facilitar el proceso de instalacin y actualizacin del
software (APT, Aptitude, Dpkg, Synaptic, Dselect, etc.) Todas ellas obtienen
informacin de donde descargar software desde /etc/apt/sources.list, que contiene los
repositorios.
Su compromiso con los principios y valores involucrados en el movimiento del Software
Libre. No tiene marcado ningn entorno grfico en especial, pudindose no instalar
ninguno, o instalar GNOME, KDE, Xfce, LXDE, Enlightenment u otro.13
Requisitos mnimos para la instalacin de Debian 6.
Los requisitos mnimos que nos recomiendan en la propia web de Debian, son los
siguientes:
Instalacin sin escritorio
Procesador: Pentium 4 a 1Ghz
Memoria RAM 64MB
Disco duro: 1GB
13 (debian, 2014)
-
19
Instalacin con escritorio
Procesador: Pentium 4 a 1Ghz
Memoria RAM: 128MB
Disco duro: 5GB14
Debian como servidor
Segn las estadsticas publicadas por W3techs, Debian no solo mantiene la corona de
distribucin Linux ms utilizada en el mbito de los servidores desde 2012, sino que
su cuota de mercado ha crecido considerablemente, posicionndola a la cabeza del
pelotn con bastante holgura.
El auge del sistema operativo universal ha sido contundente, pues a principios de 2012
recuperaba el terreno perdido frente a CentOS, pero todava se disputaban ambas la
cspide de la grfica. Ahora, la situacin es muy distinta.15
Por primera vez, Ubuntu supera a CentOS en servidores, lo que deja a la distribucin
de Canonical en un segundo puesto y otorga al binomio Debian / Ubuntu un 58,5% del
pastel, que se reduce al 37,3% en el caso de CentOS / Red Hat, en tercer y cuarto
lugar respectivamente.
14 (Rodriguez, 2014) 15 (Muy linux, 2014)
-
20
Como se puede observar en la figura 2.3, la tendencia, adems, es realmente
favorable para Ubuntu.
Figura 2.3 Grafica de distribucin Linux ms utilizada, realizado por w3Techs (Fuente: http://www.muylinux.com/2013/10/25/debian-sigue-numero-uno-en-servidores)
2.4 Servidor HTTP
Un servidor HTTP es un programa informtico que procesa una aplicacin del lado del
servidor realizando conexiones bidireccionales y unidireccionales y sncronas o
asncronas con el cliente generando una respuesta en cualquier lenguaje o aplicacin
del lado del cliente.
-
21
En la figura 2.4 se observa el funcionamiento de un servidor http. El cdigo recibido
por el cliente suele ser compilado y ejecutado por un navegador web.
Figura 2.4 Funcin de un servidor HTTP (Fuente: http://www.edu4java.com/es/web/web30.html)
Los servidores HTTP pueden disponer de intrpretes de otros lenguajes de
programacin que ejecutan cdigo embebido dentro del cdigo HTML de las pginas
que contiene el sitio antes de enviar el resultado al cliente. Esto se conoce como
programacin de lado del servidor y utiliza lenguajes como ASP, PHP, Perl y Ajax.16
2.4.1 Servidor HTTP Apache.
El servidor HTTP Apache es un servidor web HTTP de cdigo abierto, para plataformas
Unix, BSD, GNU/Linux, Microsoft Windows, Macintosh y otras, que implementa el
protocolo HTTP/1.1. Cuando comenz su desarrollo en 1995 se bas inicialmente en
cdigo del popular NCSA HTTPd 1.3. El servidor Apache nace dentro del proyecto
HTTP Server (httpd) desarrollado por la Apache Software Foundation, y est diseado
para ser un servidor web potente y flexible que puede funcionar en la ms amplia
variedad de plataformas y entornos.
16 (Servidor HTTP, 2014)
-
22
Las diferentes plataformas y los diferentes entornos, hacen que a menudo sean
necesarias diferentes caractersticas o funcionalidades, o que una misma
caracterstica o funcionalidad sea implementada de diferente manera para obtener una
mayor eficiencia.17
2.4.1.1 Principales caractersticas de Apache
Entre las principales caractersticas de apache tenemos:
Sistema de Cdigo Abierto. Apache es una tecnologa gratuita de cdigo
fuente abierto, esto le da una transparencia a este software de manera que si
queremos ver qu es lo que estamos instalando como servidor, podemos saber,
sin ningn secreto, sin ninguna puerta trasera
Multiplataforma. Apache es multiplataforma, capaz de correr sobre una gran
diversidad de plataformas y Sistemas Operativos.
Diseo Modular. Es un servidor altamente configurable de diseo modular. Es
muy sencillo ampliar las capacidades del servidor Web Apache. Actualmente
existen muchos mdulos para Apache que son adaptables a este, y estn ah
para que los instalemos cuando los necesitemos
Compatibilidad con Lenguajes de Programacin. Trabaja perfectamente con
lenguajes como Java, Perl, PHP y otros lenguajes de script. Pero Perl destaca
en el mundo del script ya que apache utiliza con soporte CGI al mod_perl
Soporte Avanzado de Programas CGI (COMMON GATEWAY INTERFACE).
Ofrece caractersticas avanzadas, como variables de entorno personalizadas y
soporte para depuracin de dichos programas. (ocw.uniovi.es, 2010) Mejorando
funcionamiento bajo threads. Esto se lo realiza a travs de los mdulos mod_cgi
y mod_cgid
Soporte de FASTCGI. Con el mdulo mod_fcgi se puede crear un entorno
FastCGI dentro de Apache y aumentar el rendimiento de estas aplicaciones.
17 (Servidor web Apache, 2014)
-
23
Soporte para Autenticacin HTTP. Mediante mdulos adicionales pueden
implementarse autenticaciones que empleen bases de datos, ficheros,
sentencias SQL o llamadas a programas externos sobre un mismo servido
Servidor Proxy Integrado. Apache se puede convertir en un caching (forward)
proxy server
o Un forward proxy es un servidor intermedio que se sita entre el cliente
y el servidor que tiene los contenidos al que llamaremos O
o Para obtener los contenidos de O, el cliente enva una peticin al forward
proxy, especificando O como el origen del contenido que busca
o El forward proxy entonces pide el contenido a O y lo devuelve al cliente
o El cliente debe estar especialmente configurado para soportar esto, ya
que tiene que conectarse a travs de dicho proxy en lugar de usando
otros medios18
2.4.1.2 Ventajas y Desventajas de Apache
Ventajas:
Cdigo Libre. Apache es un software de cdigo abierto, esto significa que la
programacin que impulsa el software puede ser consultada y editada por
cualquiera persona. Este diseo permite a cualquier programador crear una
solucin personalizada basada en el programa ncleo de Apache, o ampliar las
funciones del software. La mayora de programadores contribuyen
constantemente con mejoras, que estn disponibles para cualquier persona que
use el servidor web apache19
Costo. Otra ventaja que destacamos en apache es su costo, el servidor Web
Apache es completamente gratuito y puede ser descargado por cualquier
persona en el mundo que desee implementarlo. Al utilizar el cdigo abierto
Apache Web Server crea un ahorro sustancial, lo que es particularmente valioso
18 (Servidor web Apache, 2014) 19 (Pro y contra de Apache, 2014)
-
24
para las pequeas empresas y medianas empresa que se encuentran lanzando
nuevos programas de tecnologa, y no tienen grandes presupuestos para el
servidor web
Funcionalidades. Apache Web Server tiene un gran conjunto de
funcionalidades de gran alcance, las mismas junto con las extensiones ayudan
a que la plataforma Apache sea competitiva incluso frente a rivales de alto
precio
Apache ha incorporado en su soporte una gama amplia de lenguajes de
programacin web, como Perl, PHP y Python. Estos lenguajes son fciles de
aprender y se pueden utilizar para crear potentes aplicaciones en lnea.
Tambin incluye soporte "SSL" y "TLS", que son los protocolos para enviar
datos encriptados a travs de Internet, los mismos que son muy importantes en
el desarrollo de aplicaciones seguras en lnea
Soporte. Apache Web Server cuenta con una gran comunidad de usuarios de
soporte, a diferencia de muchos software el soporte tcnico de Apache se
extiende a lo largo de mltiples localizaciones, empresas, y foros. Esta
modalidad de dar soporte permite a los usuarios obtener respuestas a
preguntas tcnicas casi las 24 horas al da, no importa dnde se encuentren. Al
ser de cdigo abierto, Apache est conectado a muchos usuarios que son
capaces de crear parches y correcciones de errores tcnicos muy rpidamente.
Cuando se detecta un error o problema todos usuarios en todo el mundo
comunican y aportan las soluciones posibles, dando como resultado que
Apache posea un soporte muy estable y bien mantenido
Portabilidad. Apache Web Server es muy portable y puede ser instalado en
una amplia gama de servidores y sistemas operativos, es capaz de ejecutarse
en todas las versiones del sistema operativo UNIX. Linux es compatible, as
como los sistemas operativos Windows NT y MacOS
-
25
Apache puede ser utilizado en cualquier servidor con procesadores de serie
Intel 80x86 cuando se combina con Windows, y cuando se usa un sistema
operativo Unix o Linux, casi cualquier tipo de procesador es compatible20
Desventajas:
Complejidad. En Apache Web Server algunas veces resulta muy complejo de
configurar algunas herramientas, incluso hasta para los mismos programadores
que trabajan a diario con apache
Formatos no Estndar. La falta de formatos no estndar dificulta un poco la
automatizacin, y el procesamiento de la configuracin al no estar basada est
en formatos ms soportados como el XML
Falta de Integracin. Apache al ser un producto multiplataforma, no aprovecha
al mximo las posibilidades que le ofrece el sistema operativo sobre el que se
encuentra funcionando
Administracin. Apache Web Server no posee una herramienta de
administracin, por lo que es necesario instalar herramientas adicionales para
facilitar todas las tareas de administracin del servidor21
2.5 Protocolo AAA
En seguridad informtica, el protocolo AAA realiza tres funciones importantes:
Autenticacin, Autorizacin y Contabilidad (Authentication, Authorization and
Accounting). La expresin protocolo AAA no se refiere a un protocolo en particular,
sino a una familia de protocolos que ofrecen los tres servicios citados anteriormente.
Adicionalmente el servicio AAA debe ser capaz de autenticar a los usuarios, dar una
respuesta correcta a las solicitudes de autorizacin de los mismos as como de
20 (Pro y contra de Apache, 2014) 21 (Pro y contra de Apache, 2014)
-
26
recolectar datos que permitan una auditora total sobre los recursos a los que se ha
tenido acceso.22
2.5.1 Definicin de las siglas AAA
2.5.1.1 Autenticacin (AUTHENTICATION)
Es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la
primera entidad es un cliente usuario, ordenador, etc.; y la segunda un servidor. La
autenticacin se consigue mediante la presentacin de una identidad (Un nombre de
usuario) y la demostracin de estar en posesin de las credenciales que permiten
comprobarla.
Ejemplos de las Credenciales:
Las contraseas, los Certificados Digitales, o los nmeros de telfono en la
identificacin de llamadas.
Es importante mencionar que los protocolos de autenticacin digital modernos
permiten la posesin de las credenciales requeridas sin necesidad de transmitirlas por
la red.
2.5.1.2 Autorizacin (AUTHORIZATION)
Se refiere a la concesin de privilegios especficos a una entidad o usuario basndose
en su identidad autenticada, los privilegios que solicita, y el estado actual del sistema.
Las autorizaciones pueden tambin estar basadas en restricciones, tales como
restricciones horarias, sobre la localizacin de la entidad solicitante, la prohibicin de
realizar logins mltiples simultneos del mismo usuario, etc. La mayor parte de las
veces el privilegio concedido consiste en el uso de un determinado tipo de servicio.
22 (wikipedia, Protocolo AAA, 2014)
-
27
Ejemplos de Tipos de Servicio:
Filtrado de Direcciones IP, Asignacin de Direcciones, Asignacin de Rutas,
Asignacin de Parmetros de Calidad de Servicio, Asignacin de Ancho de banda, y
Cifrado.23
2.5.1.3 Contabilidad (ACCOUNTING)
Se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta
informacin puede usarse posteriormente para la administracin, planificacin,
facturacin, u otros propsitos.
La contabilizacin en tiempo real es aquella en la que los datos generados se entregan
al mismo tiempo que se produce el consumo de los recursos. En contraposicin la
contabilizacin por lotes (Batch Accounting) consiste en la grabacin de los datos de
consumo para su entrega en algn momento posterior.
La informacin tpica que un proceso de contabilizacin registra es la identidad del
usuario, el tipo de servicio que se le proporciona, cuando comenz a usarlo, y cuando
termin.
Principales Caractersticas
Usualmente se desarrollan aplicaciones servidor, para el manejo de los
requerimientos de AAA
Generalmente funcionan sobre internet aunque puede ser utilizado en cualquier
tipo de red
Comnmente utilizada para IP mviles
Se suelen hacer Auditorias basadas en AAA
23 (Seguridad en redes, 2014)
-
28
2.5.2 Listado de Protocolos AAA
RADIUS: Es un protocolo cliente-servidor utilizado por el estndar de seguridad del
802.1x en redes inalmbricas para la autenticacin, autorizacin y administracin de
usuarios remotos para acceder a los recursos de una red. RADIUS mejora el estndar
de encriptacin WEP, en conjunto con otros mtodos de seguridad como EAP-PEAP.
Posee gran capacidad de manejar sesiones, notificando cuando comienza y termina
una conexin, as que al usuario se le podr determinar su consumo y facturar si fuera
el caso.24
Un cliente enva las credenciales de usuario y la informacin de los parmetros d
conexin en forma de mensaje al servidor RADIUS. El servidor RADIUS comprueba
las credenciales, autentica y autoriza la solicitud del cliente, indicando mediante un
mensaje de respuesta si se autoriza o no a la peticin de acceso del cliente. Por otro
lado los mensajes RADIUS son enviados como mensajes UDP utilizando el puerto
UDP 1812 para mensaje de autenticacin RADIUS y, el puerto UDP 1813, es usado
para mensajes de cuentas RADIUS.25
RADIUS tambin es comnmente usado por el NAS (Network Access Server) para
notificar eventos como:
El inicio de sesin del usuario
El final de sesin del usuario
El total de paquetes transferidos durante la sesin
El volumen de datos transferidos durante la sesin
La razn para la terminacin de la sesin26
24 (wikipedia, Protocolo AAA, 2014) 25 (wikipedia, Protocolo AAA, 2014) 26 (Seguridad en redes, 2014)
-
29
Diameter: Protocolo de tipo P2P. Diseado principalmente para aplicaciones que
acceden a redes o de IP mvil.
TACACS: Protocolo para desarrollo de servidores. Usado comnmente para
servidores Unix.
TACACAS+: Basado en TACACS pero se redefini totalmente el protocolo. Provee
los servicios de AAA por separado. Basado en TCP.
PPP: El protocolo PPP permite establecer una comunicacin a nivel de la capa de
enlace TCP/IP entre dos computadoras. Generalmente, se utiliza para establecer la
conexin a Internet de un particular con su proveedor de acceso a travs de un mdem
telefnico.
EAP: Es una autenticacin Framework usada habitualmente en redes WLAN Point to-
Point Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede
ser usado para autenticacin en redes cableadas, es ms frecuentemente su uso.
LDAP: Es un protocolo a nivel de aplicacin que permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa informacin en un entorno de red.
LDAP tambin se considera una base de datos (aunque su sistema de
almacenamiento puede ser diferente) a la que pueden realizarse consultas.
2.6 NAS
Un Network Access Server (NAS) es un sistema que proporciona acceso a la red. En
algunos casos tambin se conoce como Remote Access Server (RAS) o Terminal
Server. NAS es un elemento que controla el acceso a un recurso protegido, que puede
ser desde un telfono para VoIP o una impresora, hasta el acceso a una red
inalmbrica o a Internet (proporcionado por un ISP).
-
30
En la figura 2.5 se observa la estructura de un sistema NAS.
Figura 2.5 Diagrama de sistema NAS (Fuente: http://es.over-blog.com/Que_es_un_servidor_NAS_definicion_del_experto-1228321779-art379097.html)
Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS, quien
a su vez se conecta a un servidor de AAA (tpicamente RADIUS) preguntando si los
credenciales proporcionados por el cliente son vlidos. Si la respuesta es afirmativa y
positiva el servidor NAS dar acceso al usuario para que pueda entrar a sacar partido
del recurso. En este momento termina el objetivo y la finalidad del servidor NAS,
volviendo slo a entrar en accin cuando es otro usuario el que requiere el acceso al
sistema protegido.27
2.6.1 Uso
Este tipo de servidores en red NAS que aumentan la seguridad se aplican a diversos
sectores de diferentes tecnologas y finalidades. Un buen ejemplo de su utilizacin se
encuentra en las centralitas telefnicas de servicios especiales para clientes de
servicios.
Este tipo de nmeros, por ejemplo, servicios de atencin al cliente de empresas en las
que se requiere una suscripcin, slo pueden ser contactados por usuarios aprobados.
En este caso, el servidor NAS recopila el nmero de telfono desde el que se est
llamando, lo enva a la central de comprobacin, y despus autentifica al usuario para
terminar la llamada.
27 (overblog, 2014)
-
31
Otro uso habitual de los servidores NAS se encuentra en conexiones y servicios de
internet en los que se requiere una comprobacin adicional en cuanto a nombre de
usuario y contrasea para que se lleve a cabo la conexin.
En definitiva, los servidores NAS se ocupan de crear una plataforma de proteccin
entre usuario y servicio para mantener efectivos los niveles de seguridad.28
2.7 Servidores RADIUS
2.7.1 Tipos de Servidores RADIUS
Existe un gran nmero de servidores RADIUS principalmente para entornos UNIX,
cada uno de ellos comparte muchas caractersticas similares aunque cada servidor
busca explotar factores tecnolgicos que le den la ventaja sobre los dems. Hay
servidores comerciales como tambin los hay con licencia libre, siendo FreeRADIUS,
Radius Cistron y Radiator los servidores ms populares, sin embargo se analizaran
varias alternativas.29
2.7.2 Servidores de licencia libre
2.7.2.1 FreeRADIUS
FreeRADIUS es uno de los servidores RADIUS ms modulares y ricos en
caractersticas disponibles hoy en da. Ha sido escrito por un equipo de desarrolladores
que tiene dcadas de experiencia recolectada en implementar y desarrollar software
RADIUS, en ingeniera de software, y administracin de paquetes Unix.
El producto es el resultado de la sinergia entre muchos de los ms reconocidos
nombres en software libre basado en implementaciones RADIUS, incluyendo una gran
cantidad de desarrolladores del sistema operativo Debian GNU/Linux. El servidor
FreeRADIUS es distribuido bajo la licencia GNU GPL (versin 2).
28 (overblog, 2014) 29 (Servidores RADIUS, 2014)
-
32
El servidor FreeRADIUS est siendo usado alrededor del mundo en instalaciones a
gran escala, abarcando mltiples servidores RADIUS con millares de usuarios y
millones de sesiones.30
Caractersticas
El servidor FreeRADIUS tiene un nmero de caracterstica que son comnmente
encontradas en los servidores RADIUS, y caractersticas adicionales que no son
encontradas en otro servidor libre. A continuacin se describe una lista de
caractersticas importantes de este servidor:
Ediciones multiplataforma y cdigo fuente
El servidor FreeRADIUS ha sido compilado y probado para correr en las
siguientes plataformas
o Linux (todas las Versiones)
o FreeBSD
o NetBSD
o Solaris
A diferencia de varios servidores comerciales, un gran nmero de CPUs y
arquitecturas han sido verificadas para trabajar, y son soportadas va lista de
usuarios. La desventaja de apoyar tantas variaciones de sistemas es que los pasos
para instalar el servidor son algo ms que simplemente instalar el paquete. Es
recomendable revisar si existe un paquete especfico para el sistema operativo
utilizado, en caso de que no exista entonces se debe construir el servidor del cdigo.
Mtodos de autorizacin. Los siguientes tipos de autorizacin son algunos de los
mtodos que son soportados por este servidor.
30 (Servidores RADIUS, 2014)
-
33
Archivos locales
Bases de datos DB/DBM locales
Protocolo LDAP
Un programa de ejecucin local (como los programas CGI)
Programa Perl, Python
Base de datos MySQL, PostgreSQL, Oracle SQLDB, IODBC SQL
IBMs DB231
Mtodos de autenticacin. Los siguientes son slo algunos mtodos de autenticacin
soportados por este servidor.
Contraseas en Texto simple en un archivo local de configuracin (PAP)
Contraseas encriptadas en un archivo local de configuracin
CHAP
MS-CHAP
MS-CHAPv2
Autentificacin a un controlador de dominio Windows
Proxy a otro servidor RADIUS
Sistema de autenticacin (usualmente por /etc/password)
PAM (Modulo de autenticacin conectable)
LDAP (solo PAP)
PAM (solo PAP)
CRAM
Programas Peral, Python
SIP Diges (Cisco por cajas VOIP)
Un programa de ejecucin local (como CGI)
Contraseas encriptables Netscape-MTA-MD5
Autenticacin Kerberos
Mtodos EAP (incluyendo cisco LEAP)
31 (Servidores RADIUS, 2014)
-
34
Mtodos para el manejo de cuentas de usuarios.- Los siguientes mtodos de cuentas
estn soportados
Archivos locales de detalle
Archivos locales wtmp y utmp
Proxy a otros servidores RADIUS
Replique a otro o ms servidores RADIUS
SQL (Oracle, MySQL, PostgreSQL, Sybase IODBC, etc.)32
2.7.2.2 Radius Cistron
Es un servidor de autentificacin y manejo de cuentas para servidores de terminal por
medio del protocolo RADIUS, este se ha convertido en uno de los servidores ms
usados por la comunidad de software libre.
Entre sus caractersticas ms importantes estn:
Es libre (bajo la licencia GNU GPL)
Soporta el acceso basado en huntgropus
El archivo de usuarios se procesa en orden, es posible mltiples entradas por
defecto, y todas las entradas pueden ser opcionalmente "fall throught"
Atrapa todos los archivos de configuracin en memoria, incluyendo los archivos
de usuarios
Mantiene una lista de entrada de usuarios
Soporta el uso simultneo de parmetros X
Soporta atributos especificados del vendedor, incluyendo los no estandarizados
USRs
Soporta proxing
Puede replicar datos de uso de cuentas entre servidores
32 (Servidores RADIUS, 2014)
-
35
2.7.2.3 XtRADIUS
La diferencia ms importante entre XTRADIUS y otros servidores RADIUS, es que
permite ejecutar scripts que pueden ser modificados completamente para manejar
autentificacin y uso de cuentas. El beneficio que da esta caracterstica, es que en
lugar de usar el mismo archivo de usuarios RADIUS, o el sistema de archivo de
contrasea para la autenticacin, se puede llamar a una aplicacin de scripts para
preguntar a cualquier fuente (tal como una base de datos SQL), y revisar las
condiciones vlidas antes de permitir la entrada del usuario. A diferencia de otras
soluciones, no requiere parche.
Este servidor est basado en el servidor Radius Cistron por lo cual incluye todas sus
caractersticas, como tambin otras mejoras. La comunicacin entre el servidor
XtRadius y los scripts externos se da usando parmetros de lnea de comando o por
variables de ambiente.33
2.7.3 Servidores de tipo comerciales
2.7.3.1 Radiator
Radiator es un altamente configurable y flexible servidor RADIUS el cual soporta
autenticacin para cerca de 60 diferentes tipos de mtodos de autenticacin tales
como archivos planos , archivos DBM, archivos de contrasea Unix, bases de datos
SQL, servidores RADIUS remotos (proxying), programas externos, utilidades de
administracin de usuarios NT, directorios activos, LDAP, etc. Entre sus caractersticas
ms importantes tenemos:
Soporta RadSEC seguridad confiable del proxying RADIUS
Radiator ahora soporta ms mtodos de autenticacin 802.1X que cualquier
otro servidor RADIUS dando una amplia gama para escoger clientes de red
802.1X
33 (Servidores RADIUS, 2014)
-
36
Incluye certificados privados para clientes y servidores para probar la
autenticacin 802.1X
Trabaja con la mayora de NASs, VDPN, ADSL y puntos de acceso inalmbrico
Incluye todo el cdigo fuente
Radiador puede ser comprado para ser usado en un solo servidor, o como parte
de alguno de los paquetes ofrecidos, para la empresa, para los profesionales
para la casa, etc
Trabaja en la mayora de las plataformas. UNIX, Linux, Windows, Mac, VMS34
2.7.3.2 AXL RADIUS
AXL es un servidor RADIUS completo que puede autenticar, manejar cuentas, y Proxy.
La interface del programa permite al usuario usar mtodos de autenticacin y de uso
de cuentas mediante cualquier mtodo por el que Java puede acceder al mundo, bases
de datos, LDAP, archivos planos, URLs.
AXL no es un servidor que regresa llaves. Este es una interface de programa al
servidor RADIUS. AXL puede realizar todas las funciones de un servidor RADIUS pero
no puede configurarse por s mismo usando archivos o bases de datos, no tiene
conocimiento de quien se puede conectar, y no tienen control sobre asuntos de
polticas.
Se debe proporcionar la programacin para leer archivos de configuracin o bases de
datos para poblar las tablas del cliente, y configurar el servidor por s mismo (como
puertos, direcciones, y nombre del servidor). El servidor tiene mtodos para aceptar
esta informacin. Algunas caractersticas adicionales:
Incluye integracin con el cliente RADIUS
Se pueden empezar secuencias separadas de manejo de cuentas y
autenticacin
34 (Servidores RADIUS, 2014)
-
37
Soporte para atributos de Vendedores Especficos
Soporte completo para Proxy
Proxy dinmico: se puede enrutar cualquier paquete en cualquier parte
basndose en una poltica o en paquetes de atributos del RADIUS
Trabaja con cualquier base de datos que tenga el controlador JDBC
El cdigo fuente est muy bien documentado
En la tabla 2.3 se realiza una comparativa de algunos servidores RADIUS tanto de
comerciales como gratuitos y de esta forma, poder comprender las caractersticas para
la eleccin de uno que ms se adapte a nuestras necesidades.
Servidor RADIUS. Caractersticas.
FreeRADIUS. Licencia Libre
Multiplataforma
Mtodos de Autorizacin: Archivos locales Bases de datos DB/DBM locales Protocolo LDAP Un programa de ejecucin local (como los
programas CGI) Programa Perl, Pythn Base de datos MySQL, PostgreSQL, Oracle
SQLDB, IODBC SQL IBMs DB2
Mtodos de Autenticacin: CHAP MS-CHAP MS-CHAPv2 Autentificacin a un controlador de dominio
Windows Proxy a otro servidor RADIUS Sistema de autenticacin (usualmente por
/etc/password) PAM (Modulo de autenticacin conectable) LDAP (solo PAP) PAM (solo PAP)
Radius Cistron. Es libre (bajo la licencia GNU GPL)
El archivo de usuarios se procesa en orden, es posible mltiples
-
38
Atrapa todos los archivos de configuracin en memoria, incluyendo los archivos de usuarios
Mantiene una lista de entrada de usuarios
Soporta el uso simultneo de parmetros X
XtRADIUS. Basado en el servidor Radius Cistron
Radiator. Trabaja con la mayora de NASs, VDPN, ADSL y puntos de acceso inalmbrico
Incluye todo el cdigo fuente
Radiador puede ser comprado para ser usado en un solo servidor, o como parte de alguno de los paquetes ofrecidos, para la empresa, para los profesionales para la casa, etc
AXL RADIUS. Incluye integracin con el cliente RADIUS
Se pueden empezar secuencias separadas de manejo de cuentas y autenticacin
Soporte para atributos de Vendedores Especficos
Soporte completo para Proxy
Proxy dinmico: se puede enrutar cualquier paquete en cualquier parte basndose en una poltica o en paquetes de atributos del RADIUS
Trabaja con cualquier base de datos que tenga el controlador JDBC
El cdigo fuente est muy bien documentado Tabla 2.3 Caractersticas de servidores RADIUS
(Fuente: http://trabajotele08.blogspot.mx/)
Despus de haber estudiado las caractersticas de los servidores se ha llegado a la
conclusin de utilizar FreeRADIUS para nuestro proyecto ya que este servidor RADIUS
goza de una gran aceptacin entre los usuarios y administradores de red porque
cuenta con un gran nmero de caractersticas y funciones nicas que no existen en
otros servidores.35
Su gran popularidad ayuda a que sea usado en un mayor nmero de entornos de
seguridad y que si llegara a encontrar fallas y limitaciones podrn ser corregidas para
hacer de este uno de los servidores ms robustos y eficientes que se puede encontrar,
adems FreeRADIUS maneja varias alternativas de almacenamiento de informacin
de sus usuarios entre ellas est el almacenamiento en base de datos MySQL la cual
usaremos en esta ocasin.
35 (Servidores RADIUS, 2014)
-
39
2.8 Portal Cautivo
2.8.1 Que es un portal cautivo?
Un portal cautivo (o captivo) es un programa o mquina de una red informtica que
vigila el trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si quieren
navegar por Internet de forma normal.
El programa intercepta todo el trfico HTTP hasta que el usuario se autentifica. El portal
se encargar de hacer que esta sesin caduque al cabo de un tiempo. Tambin puede
empezar a controlar el ancho de banda usado por cada cliente.
Se usan sobre todo en redes inalmbricas abiertas, donde interesa mostrar un
mensaje de bienvenida a los usuarios y para informar de las condiciones del acceso.
Los administradores suelen hacerlo para que sean los propios usuarios quienes se
responsabilicen de sus acciones, y as evitar problemas mayores. Se discute si esta
delegacin de responsabilidad es vlida legalmente.36
2.8.2 Tipos de Portales Cautivos
Los portales cautivos se encuentran clasificado en 2 grupos principales que se
enumeran a continuacin.
2.8.2.1 Portales Cautivos por software
Son aquellos implementados mediante el uso de aplicaciones o programas cuya
arquitectura fue diseada para trabajar como portales cautivos, los mismos que van
instalados y configurados desde un servidor principal dentro de la red. A continuacin
se listan los principales portales cautivos que pueden ser implementados mediante
software:
36 (wikipedia, Portales cautivos, 2014)
-
40
PepperSpot (Linux)
GRASE Hotspot (Linux)
NoCatAuth (Linux)
Chillispot(Linux)
CoovaChilli (Linux)
WifiDog (embedded Linux - OpenWRT, Linux, Windows)
Ewrt (embedded Linux - WRT54G, Linux)
HotSpotSystem.com (embedded Linux, WRT54GL, Mikrotik, etc)
FirstSpot (Windows)
m0n0wall (embedded FreeBSD)
OpenSplash (FreeBSD)
wicap (OpenBSD)
Public IP (Linux)
PfSense (FreeBSD)
AirMarshal (Linux)
ZeroShell (Linux)
Easy Captive (Linux)
Antamedia HotSpot Software (Windows)
2.8.2.2 Portales Cautivos por Hardware
Son aquellos implementados mediante dispositivos fsicos, diseados especficamente
para funcionar como portales cautivos, se agregan a la red al igual que los dispositivos
de Networking, y generan las mismas funcionalidades que los portales implementados
mediante Software.
A continuacin se listan los dispositivos que implementan un portal cautivo sin
necesidad de ordenador:
Cisco BBSM-Hotspot
-
41
Cisco Site Selection Gateway (SSG) / Subscriber Edge Services (SESM)
Nomadix Gateway
Aptilo Access Gateway
Antica PayBridge
3G/Wimax: Usado princip