1

Design and implementation of a network with scalable authentication applying the Authentication, Authorization and Accounting network protocols

Oscar P. Sarmiento1, José R. Arana2 y Fabio G. Guerrero3

TIPOLOGÍA: ARTICULO DE REFLEXIÓN

CLASIFICACIÓN UNESCO:

Campo: 33 (Ciencias Tecnológicas) Disciplina: 3304 (Tecnología de los ordenadores)

Subdisciplina: 3304.0X (Fiabilidad de los ordenadores)

RESUMEN

Este artículo presenta el diseño e implementación de una infraestructura de red TCP/IP

básica y escalable que proporciona el servicio de Autenticación, Autorización y Auditoría (AAA)

usando software libre, empleando los protocolos del estándar IEEE 802.1X y el protocolo

RADIUS, con base en una infraestructura de clave pública completa, un servicio de directorio

centralizado que almacena las políticas de seguridad para cada usuario y una base de datos

mySQL en donde se registran los eventos de autenticación del servicio de AAA.

Palabras clave: AAA, Autenticación, Autorización, Auditoría, IEEE 802.1X, LDAP, VLAN.

ABSTRACT

This article presents the design and implementation of a basic and scalable TCP/IP network

infrastructure which provides the Authentication, Authorization and Accounting (AAA) service

using GNU Licensed Software, employing the IEEE 802.1X standard protocols and the RADIUS

protocol, with basis in a complete public key infrastructure (PKI), a centralized directory service

which stores the security policies allocated to every user and a mySQL database where the

authentication events of the AAA service are registered.

Keywords: AAA, Authentication, Authorization, Accounting, IEEE 802.1X, LDAP, VLAN.

1 Ingeniero Electricista de la Universidad del Valle. Profesor Asistente, Escuela de Ingeniería Eléctrica y Electrónica,

Universidad del Valle. opolanco@univalle.edu.co 2 Ingeniero Electrónico, Universidad del Valle. Ingeniero de Soporte Senior, Assenda S.A. joseraah@univalle.edu.co

3 Ingeniero Electrónico de la Universidad del Cauca. Profesor Asistente, Escuela de Ingeniería Eléctrica y Electrónica,

Universidad del Valle. fguerrer@univalle.edu.co

Diseño e implementación de una red con sistema de Autenticación escalable aplicando los protocolos de Autenticación, Autorización y

Auditoría de redes

2

1. INTRODUCCIÓN

Las compañías actualmente están basando cada vez más sus modelos de negocios en

proveer acceso a recursos. Estos recursos pueden ser páginas Web, acceso a Internet, cuentas

de correo electrónico, o cualquier cosa que necesite ser protegida o controlada.

¿Cómo un usuario le puede indicar a un sistema, especialmente a uno que de facto no confía

en nadie, que él está autorizado a usar determinados servicios computacionales? ¿Cómo

puede el dueño del negocio tener a los usuarios no pagos fuera del camino mientras provee

acceso conveniente a los usuarios pagos? El trasfondo es este: Con las nuevas fallas de

seguridad cada día siendo explotadas y el entorno del Internet público degenerándose de un

entorno confiable a uno de hostilidad y ataque, debe existir alguna forma con la cual el usuario

de Internet pueda usar los recursos a los cuales tiene derecho, sin dejar a todas las demás

personas sin acceso.

Este es el propósito de la autenticación, autorización y auditoría de redes, es decir,

diferenciar, asegurar y auditar a estos usuarios.

Actualmente ya se cuentan con herramientas para realizar estas tareas, usando tanto

software libre como también empleando código cerrado y el presente artículo pretende dar un

vistazo de cómo se realizan estos procedimientos, usando sólo software libre, planteando como

objetivo principal diseñar e implementar una infraestructura de red TCP/IP básica y escalable

que proporcione el servicio de autenticación, autorización y auditoría (AAA) usando el

protocolo 802.1x entre un cliente y el punto de ejecución de políticas (PEP), que use el

protocolo RADIUS entre el PEP y el punto de decisión de políticas (PDP).

3

2. METODOLOGÍA

2.1. DISEÑO DE LA INFRAESTRUCTURA DE RED QUE PROPORCIONA EL SERVICIO DE AAA

USANDO EL PROTOCOLO RADIUS Y LOS DEL ESTÁNDAR IEEE 802.1X.

La red que se desea implementar para que provea el servicio de AAA, de manera escalable,

permita varios métodos de autenticación dependiendo de las políticas que el administrador de

red desee implementar, consulte en una base de datos centralizada los usuarios que pueden

acceder a la red y los permisos en la red que cada uno posee y use certificados digitales para

demostrar la identidad de un usuario o un equipo a un usuario o equipo remoto se muestra a

continuación:

Ilustración 1 Infraestructura de la red TCP/IP básica y escalable con servicio de AAA

Este diseño muestra que es necesario que exista un aislamiento fuerte entre los equipos que

serían autenticados para ingresar a la red y los servidores que proveen el servicio de AAA, con

el fin de evitar al máximo posibles ataques contra estos equipos de misión crítica.

Para que la red sea robusta y tolerante a fallas de conectividad, los equipos de misión crítica

de la red AAA, los cuales se encuentran en el área de servidores, deben tener redundancia en

sus enlaces, principalmente el directorio de usuarios y el Servidor RADIUS, ya que sin estos

dos ningún usuario podría ingresar a la red.

Es deseable que cada departamento corporativo de una empresa esté separado por medio de

VLANS, para proteger la información confidencial que cada uno posee. Una buena práctica que

siempre se debería hacer, es ubicar en una VLAN separada a los visitantes de la red,

4

configurando dicha VLAN con restricciones muy estrictas para acceder a Internet, sin

acceso a la Intranet.

2.2. PERSPECTIVA DEL DISEÑO: AUTENTICACIÓN

El sistema de autenticación, autorización y auditoría de redes fue configurado para permitir 3

tipos de autenticación usando FreeRADIUS versión 2.1.7. El usuario que desee ingresar a la

red podrá usar alguno de estos 3 métodos de autenticación, escogiendo el que mejor se ajuste

a las características de su equipo o el método que el administrador de red haya predefinido

para el acceso a la red. Los tipos de autenticación disponibles son:

2.2.1. USANDO CERTIFICADOS DIGITALES DE IDENTIFICACIÓN PERSONAL

Se implementó una Autoridad de Certificación usando la herramienta libre OpenSSL, la cual

será la encargada de emitir todos los certificados digitales de los dispositivos de red o usuarios

que lo requieran, para comprobar ante equipos remotos sus identidades.

Para que el equipo de un usuario pueda establecer confianza con la Autoridad de

Certificación de la red, aceptar y confiar en los dispositivos de red que ella ha certificado, es

necesario que tenga instalado en su equipo el certificado raíz de confianza de dicha Autoridad

de Certificación, con el que podrá comprobar la validez de un certificado de identificación de un

tercero, que en este caso sería el servidor de autenticación RADIUS, es decir, el punto de

decisión de políticas.

Al tener una Autoridad de Certificación, y usar certificados digitales dentro de la red, se podrá

implementar autenticación mutua, eliminando la posibilidad de que un atacante pueda robar los

datos de un usuario, haciéndose pasar por el punto de acceso de la empresa, simulando un

servidor RADIUS. Un vistazo de este tipo de autenticación se muestra a continuación:

Ilustración 2 Certificado de identificación personal en Windows

Ilustración 3 Certificado del Servidor RADIUS visto en MAC OSX

5

Ilustración 4 Verificación de los certificados exitosa

Ilustración 5 Acceso aceptado con información para el acceso

2.2.2. USANDO UN NOMBRE DE USUARIO Y CONTRASEÑA CON EAP PROTEGIDO (PEAP):

En los parámetros de configuración de red de los equipos que tendrían acceso a la misma, se

configuró para que solamente se establezca la conexión con el punto de ejecución de políticas

el cual demuestre con un certificado digital, expedido por la Autoridad de Certificación en la cual

dicho equipo confía, la identidad del servidor RADIUS el cual verificará las credenciales.

El servidor RADIUS está configurado para que tenga como puntos de información de políticas

dos tipos de servidores de directorio centralizado; estos son OpenLDAP (licencia GNU) y

Directorio Activo (AD) de Microsoft. Al emplearse OpenLDAP se podrán otorgar los permisos

que tiene cada usuario en la red, al tener este servidor de directorio los pares atributo-valor

necesarios para informar al servidor RADIUS a qué VLAN será direccionado el usuario. Un

vistazo de este tipo de autenticación se muestra a continuación:

Ilustración 6 Petición de credenciales de acceso en Windows

Ilustración 7 Petición de credenciales de acceso en MAC OSX

6

2.2.3. USANDO UN NOMBRE DE USUARIO Y CONTRASEÑA EMPLEANDO EAP CON SEGURIDAD

EN LA CAPA DE TRANSPORTE TUNELADA (EAP-TTLS):

Al igual que se hizo con EAP-PEAP, se configuraron los equipos de los usuarios que acceden

a la red para que se realice autenticación mutua, antes de hacer el intercambio de credenciales

del usuario, de tal forma que no se realice la entrega si el punto de ejecución de políticas no

entrega un certificado de Servidor RADIUS válido.

Los sistemas operativos de Microsoft Windows, por defecto no tienen compatibilidad con este

tipo de EAP, por lo que fue necesario instalar un software licencia GNU adicional que

administrara la conexión inalámbrica llamado wpa_supplicant, el cual permite usar este tipo de

conexión y una gran variedad de otros tipos de EAP. Para los demás sistemas operativos

probados no fue necesario, dado que tenían compatibilidad por defecto con este tipo de EAP.

Un vistazo de este tipo de autenticación se muestra a continuación:

Ilustración 8 Conexión exitosa usando EAP-TTLS administrado por

wpa_supplicant en Windows

Ilustración 9 Ingreso de credenciales de usuario para el acceso a la red

usando EAP-TTLS en MAC OSX

7

2.3. CONFIGURACIÓN DEL PUNTO DE EJECUCIÓN DE POLÍTICAS

2.3.1. PUNTO DE EJECUCIÓN DE POLÍTICAS INALÁMBRICO:

La configuración necesaria en el punto de ejecución de políticas en el caso de que sea un

punto de acceso inalámbrico para su interacción con un servidor RADIUS se muestra a

continuación:

Ilustración 10 Configuración del Punto de Acceso inalámbrico para autenticar contra el Servidor RADIUS

2.3.2. PUNTO DE EJECUCIÓN DE POLÍTICAS CABLEADO:

Si se usa un conmutador de nivel 2, la configuración se haría con los siguientes comandos: Para configurar la autenticación usando AAA: aaa new-model aaa authentication dot1x default group radius dot1x system-auth-control Para configurar el Puerto de acceso Ethernet en donde se conectará el usuario que usará la red con AAA: interface FastEthernet0/2 switchport mode access dot1x port-control auto Para configurar la ubicación del servidor RADIUS en la red: radius-server host 10.60.60.60 auth-port 1812 acct-port 1813 key secretomuysecreto

También se deben crear las VLAN que se planea asignar a los usuarios de acuerdo al

departamento corporativo al que pertenezcan.

En el punto de decisión de políticas (Servidor RADIUS) es necesario autorizar a los puntos de

ejecución de políticas (PEP) que tendrán permiso para hacer las consultas de AAA de los

usuarios que quieran ingresar a la red.

8

En el archivo clients.conf dentro de la carpeta de configuración del servidor RADIUS

FreeRADIUS, se ingresan los puntos de ejecución de políticas que se desea que usen el

servidor RADIUS como punto de decisión de políticas, especificando su dirección IP y el secreto

compartido que tendrá con dicho PEP. Si el servidor RADIUS recibe una petición de un PEP

que no está en este listado, o el secreto compartido está errado, será ignorada.

client cali { ipaddr = 10.10.10.10 secret = secretomuysecreto }

2.4. PERSPECTIVA DEL DISEÑO: AUTORIZACIÓN

La red tendrá como punto de información de políticas (PIP) al servidor de directorio LDAP

OpenLDAP, en el cual está almacenada la información de todos los usuarios que deseen

ingresar a la red.

En esta información se encuentran los pares de atributo-valor que permitirán que el punto de

ejecución de políticas (conmutador de nivel 2) establezca los permisos para cada uno, que se

verán reflejados en el direccionamiento a una VLAN determinada, ubicando a cada usuario en

una VLAN diferente dependiendo del departamento de la organización al que pertenezca; dicha

VLAN estará configurada como desee el administrador de red para hacer las restricciones que

crea conveniente.

También usando un atributo-valor se podrá restringir en qué horario puede ingresar cada

usuario a la red. Si intenta acceder a la red en un horario diferente al establecido en su perfil, la

petición será negada. Los pares atributo-valor nombrados son los siguientes:

radiusLoginTime: En este valor se especifica en qué horario tendrá permiso para acceder

a la red.

radiusTunnelMediumType: En este valor se especifica el estándar que manejará el

conmutador de nivel 2 que hará la implantación de las políticas en el equipo del usuario que

ingresa la red. radiusTunnelType: En este valor se especifica en qué tipo de segmentación lógica de red

se harán las restricciones sobre los usuarios. radiusTunnelPrivateGroupId: Este valor establece en cual VLAN se configurará el acceso

a la red de determinado usuario.

Una vista de estas políticas implementadas en el perfil de un usuario se muestra a continuación:

9

Ilustración 11 Información de un usuario en el punto de información de políticas

Los comandos usados en la configuración del conmutador Cisco Catalyst 2950 para realizar

este direccionamiento son:

Para activar el direccionamiento automático de un usuario a una VLAN indicada por el

servidor RADIUS:

aaa authorization network default group radius

interface Vlan11

ip address 10.30.30.30 255.255.255.0

2.5. PERSPECTIVA DEL DISEÑO: AUDITORÍA

Se usó una base de datos mySQL para el ingreso de la información del acceso de los

usuarios, usando las plantillas que contiene el servidor RADIUS FreeRADIUS para la creación

de las tablas donde se ingresará la información.

Usando las funcionalidades de OpenSSL para la creación de certificados digitales y las

características del Servidor Web Apache, se creó un certificado digital para el Servidor Web,

con el cual se pudiera establecer una conexión segura cuando se consulte la base de datos

mySQL usando la interfaz Web de phpMyAdmin, desde un equipo remoto.

Para que el servidor RADIUS registre los datos de los usuarios que han sido autenticados, los

cuales se ingresarán en la base de datos, es necesario configurar esta característica en los

puntos de ejecución de políticas.

10

El conmutador de nivel 2 quien actuaría como punto de ejecución de políticas (Cisco

2950) para los usuarios que deseen ingresar a la red con sistema de autenticación, autorización

y auditoría usando Ethernet, tiene la capacidad de enviar los datos de auditoría del equipo que

está ingresando a la red. Entre los datos que puede enviar este dispositivo de red se tienen:

Nombre de usuario.

Puerto al cual está conectado en el conmutador de nivel 2.

Hora de ingreso y salida de la red.

Cantidad de datos enviados y recibidos por el usuario.

Dirección MAC del equipo que está ingresando a la red y del punto de ejecución de polí-ticas que atendió al usuario.

Una muestra de cómo quedan algunos de los datos anteriores ingresados en la base de datos

mySQL se muestra a continuación:

Ilustración 12 Datos de auditoría de un usuario

El comando necesario para configurar este punto de ejecución de políticas para que realice el

envío de los datos de auditoría de los usuarios al servidor RADIUS se muestra a continuación:

aaa accounting dot1x default start-stop group radius

11

3. RESULTADOS Y DISCUSIÓN

3.1. ENTORNO CORPORATIVO DONDE FUE INSTALADO Y EVALUADO EL SERVIDOR RADIUS Y

RESULTADOS DE LAS PRUEBAS REALIZADAS.

3.1 .1. INFRAESTRUCTURA DE RED DONDE SE CONFIGURÓ EL SERVIDOR RADIUS.

El Servidor RADIUS FreeRADIUS junto con todas las demás herramientas descritas en el

trabajo de grado que permiten implementar una red con sistema de autenticación, autorización

y auditoría fueron configuradas en un computador de escritorio, dentro de una agencia de

publicidad multinacional en la sede de Cali, conectado a toda la infraestructura de red que

posee esta agencia, que está interconectada con un enlace WAN con las demás sedes de la

agencia, que se encuentran en Bogotá y Medellín. En la ciudad de Bogotá también fue

configurado un Servidor RADIUS en una máquina virtual en Ubuntu.

Un vistazo de la infraestructura de red y de los equipos más relevantes conectados a ella se

muestra a continuación:

Ilustración 13 Infraestructura de red de la Agencia de Publicidad en donde fue implementado el Servidor de AAA

12

3.1 .2. ENTORNO Y MODELO DE PRUEBAS REALIZADAS AL SERVIDOR RADIUS.

El Servidor RADIUS de Cali fue integrado a la red de la agencia de publicidad nombrada,

como punto de decisión de políticas, junto con los puntos de acceso inalámbricos de Cali y

Bogotá quienes acudirían a este servidor para ejecutar todo el proceso de AAA sirviendo como

puntos de ejecución de políticas.

Fue posible emplear como punto de información de políticas tanto al directorio OpenLDAP

que se encuentra sólo en Cali con los usuarios de Cali, como al Directorio Activo de Bogotá,

que contiene los usuarios de toda la empresa (Cali, Medellín y Bogotá).

Las políticas de seguridad que se implementaron en la red fueron:

Direccionamiento de los usuarios a VLANS dependiendo del rol que desempeñe en la

compañía.

Restricción de acceso a la red sólo en horario laboral (Lunes a Viernes de 7 AM a 8 PM)

para los visitantes. Este horario puede ser configurado también para cada usuario.

Registro de los ingresos a la red exitosos o fallidos de los usuarios en una base de datos

mySQL.

Registro de información relevante de los equipos de los usuarios autenticados

exitosamente en una base de datos mySQL: Nombre de usuario, Hora de ingreso y

salida de la red, Cantidad de datos enviados y recibidos por el usuario, Dirección MAC

del equipo que está ingresando a la red y dirección IP del punto ejecución de políticas

que atendió al usuario.

3.1 .3. RESULTADOS DE LAS PRUEBAS REALIZADAS

Después de varias semanas de evaluación del funcionamiento del Servidor RADIUS,

recibiendo peticiones de acceso a la red corporativa de la agencia de publicidad, con su sistema

operativo configurado para que realice conexión automáticamente al iniciar sesión en el sistema

operativo, autenticando a cada usuario con los diferentes métodos que se configuraron en el

Servidor RADIUS, se pudieron tomar las siguientes apreciaciones:

En las horas de más congestión (en la llegada de los empleados a la empresa), el

servidor ha mostrado buen desempeño, dando acceso a las personas que muestren

credenciales válidas rápidamente (en menos de 5 segundos se establece la conexión a

la red).

Se realizó peticiones de acceso a la red con credenciales de usuario inválidas de

forma sucesiva, sin lograr éxito y sin lograr una denegación del servicio por parte del

Servidor RADIUS a los demás usuarios válidos.

13

La autenticación con los 3 tipos disponibles (EAP-TLS, EAP-PEAP, EAP-TTLS)

funcionó con todos de manera adecuada, denegando el acceso el servidor RADIUS

cuando se proveían credenciales erradas, o se presentaba un certificado digital de

identificación personal inválido o revocado.

Fue posible configurar los equipos de los usuarios para que sólo establecieran el

proceso de autenticación con el punto de ejecución de políticas si este presentaba un

certificado digital de identificación del Servidor RADIUS, el cual haya sido expedido por

una Autoridad de Certificación en quien dicho equipo confíe. Si no se cumplía este

requisito, el proceso de autenticación era detenido.

Todos los elementos necesarios para proveer a la red con un sistema de

autenticación, autorización y auditoría de redes se instalaron en una misma máquina, al

no requerirse más complejidad dadas las características de la red en la que se

implementó, teniendo presente la posibilidad de su expansión futura, dando la

posibilidad de que sea escalable y replicable.

Es deseable que exista redundancia en las conexiones de red en un entorno de

este tipo, para aumentar la tolerancia a fallas, configurando en los puntos de ejecución

de políticas un Servidor RADIUS alternativo en caso de falla del principal. En el caso de

la presente implementación, se tiene el principal establecido en la ciudad de Cali y un

servidor secundario en la ciudad de Bogotá.

El sistema de auditoría funcionó correctamente, dejando registro en la base de

datos mySQL de los usuarios que ingresaron a la red de forma exitosa, o los que fueron

rechazados, indicando el día y hora de dicho acceso o rechazo.

Se configuró la herramienta dialup-admin, que permite buscar y mostrar en una

interfaz web, la información de auditoría que está registrada en las bases de datos

mySQL, desde cualquier computador de la red. Con esta herramienta fue creada la

información de auditoría del usuario juan.espitia mostrada en los capítulos anteriores.

El acceso de los usuarios a la red con sistema de AAA fue realizado con los

sistemas operativos más populares disponibles, entre ellos Windows en las versiones

XP, Vista y 7, MAC OSX versiones 10.5 a la 10.6 y Ubuntu en la versión 10.4. Con todos

14

los sistemas operativos anteriores fue posible hacer la configuración descrita para

acceder a la red, logrando una conexión exitosa y sin inconvenientes.

El consumo de recursos del sistema operativo Ubuntu, funcionando en el equipo que se usó

para la implementación de la red con sistema AAA con el Servidor FreeRADIUS activo, se

muestra a continuación:

Ilustración 14 Consumo de Recursos del Servidor RADIUS

En la imagen anterior, se puede apreciar que el consumo de recursos no es elevado, abriendo

la posibilidad de implementar este Servidor RADIUS en un Hardware de único propósito, lo que

hace de esta implementación una opción viable para desarrollar un producto unificado, que

provea todas las características necesarias para implementar una red con sistema de AAA a un

bajo costo. Equipos como el CM-X300 de la empresa Compulab con un costo de

aproximadamente $500.000 pesos colombianos, permitirían realizar esta tarea, adecuando el

sistema que se tiene actualmente en un computador a este hardware.

15

4. CONCLUSIONES

Fue posible configurar tres tipos de autenticación diferentes en el servidor de

autenticación, usando en uno de ellos la infraestructura de clave pública completa (EAP-

TLS) y en los otros dos (EAP-PEAP, EAP-TTLS) un esquema de credenciales usando

nombre de usuario y contraseña, con certificados de identificación personal en los

servidores de autenticación, lo que permite realizar autenticación mutua, haciendo muy

segura la red.

Se implementaron en la red AAA las políticas que usualmente hacen a una red muy

segura; Estas políticas fueron:

o Direccionamiento de los usuarios autenticados exitosamente a una VLAN,

dependiendo de su rol en la red corporativa.

o Restricciones en el horario de acceso a la red, configurable para cada

usuario o departamento corporativo.

o Registro en una base de datos de los accesos exitosos o fallidos de los

usuarios de la red.

o Registro de los datos concernientes al equipo del usuario que ha sido

autenticado exitosamente y ha ingresado a la red, como también las actividades

de dicho usuario dentro de la red para efectos de control y seguimiento.

Al tener una infraestructura de clave pública implementada en la red, fue posible

revocar los certificados de identificación personal de usuarios que no se desea que

ingresen a la red, ya sea porque no hacen ya parte de la empresa, o porque su

certificado ha sido robado o comprometido. Se demostró que si un usuario presenta un

certificado de identificación personal revocado, el acceso a la red era denegado.

Se logró configurar el Servidor RADIUS para que use dos puntos de información de

políticas diferentes. Uno de ellos es un servidor de directorio OpenLDAP, el cual tiene

soporte completo para todas las funcionalidades necesarias en el trabajo de grado, con

respecto a las políticas que se establecen en cada usuario. El otro es el servicio de

directorio de Microsoft, El Directorio Activo, que sólo posee las credenciales de los

usuarios de varias ciudades (nombre de usuario y contraseña) de la red corporativa

donde se implementó el servicio de AAA.

16

Se configuraron de forma básica, varias herramientas web que permiten hacer

administración de las funcionalidades implementadas en el Servidor de Autenticación. La

herramienta que permite ver el contenido de las bases de datos mySQL a través de una

interfaz web se llama phpMyAdmin, con la cual es posible detallar toda la información

registrada de los usuarios que han accedido a la red. Otra herramienta configurada para

realizar búsquedas en la información de auditoría de la base de datos mySQL y

mostrarla de forma vistosa, fue dialupadmin, la cual es una herramienta que está

incluida con el servidor RADIUS FreeRADIUS. Esta herramienta permite filtrar la

búsqueda de los datos de auditoría de la base de datos mySQL usando cualquier

atributo que esté dentro de la base de datos. Es muy útil para generar reportes de

ingreso de los usuarios que han accedido a la red.

Usando la Autoridad de Certificación de la red, se creó un certificado para el

Servidor Web que permite que todas las herramientas anteriores funcionen, y dicho

Servidor Web fue configurado para que sólo establezca conexión usando cifrado SSL,

con el protocolo https. Esto hace que sea realmente difícil la interceptación y descifrado

del tráfico de este Servidor web.

El acceso de los usuarios a la red con sistema de AAA se hizo con los sistemas

operativos más populares disponibles. Estos fueron: Windows en las versiones XP, Vista

y 7, MAC OSX versiones 10.5 a 10.6 y Ubuntu en la versión 9.10. Con todos los

sistemas operativos se demostró que fue posible usar los tres esquemas de

autenticación disponibles (EAP-TLS, EAP-PEAP, EAP-TTLS), realizando autenticación

mutua entre las partes del proceso de AAA, consiguiendo una conexión exitosa, segura

y sin inconvenientes.

Se pudo detallar que los recursos de hardware que son empleados mientras el

servidor de AAA está funcionando, con todas las características nombradas en el

artículo, son bajas. Esto abre la posibilidad de configurar un hardware de único

propósito, de bajo costo, que implemente todas las características del Servicio de AAA.

Esto permitiría que se pueda vender como una solución para la implementación del

servicio de AAA en una red, a un costo de producción bajo, con atributos atractivos,

como son el bajo consumo de energía y espacio.

17

5. REFERENCIAS BIBLIOGRÁFICAS

CONVERY, Sean. The Internet Protocol Journal - Volume 10, No. 1 and No. 2 Network

Authentication, Authorization, and Accounting: Part One and Part Two. [online]

Accessed on 11/11/2008

Disponible en:

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-1/101_aaa-part1.html

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-2/102_aaa-

part2.html

YOUNUS, Mohammed. Wired 802.1x Security. Sans Institute. [online]

Accessed on 11/11/2008

Disponible en:

http://www.sans.org/reading_room/whitepapers/firewalls/1654.php

TALASILA, Sowjanya. Pamidimukkala, Shilpa. RADIUS Protocol. [online].

Accessed on 11/11/2008 Disponible en:

http://www.cs.unt.edu/~rdantu/SPRING_2006_COMPUTER_NETWORKS/Shilpa_RADIUS.p

pt

LARSSON, Anton.

Authentication, Authorization and Accounting within an Access Network

using Mobile IPv6 and Diameter. Monash University, Australia. Diciembre de 2002.

[online]Accessed on 11/11/2008. Disponible en:

http://epubl.luth.se/1402-1617/2003/029/LTU-EX-03029-SE.pdf

UD-DIN QAZI, Hasham.

Comparative Study of Network Access Control Technologies. Linköpings universitet,

Suecia. Mayo de 2007. [online] Accessed on 11/11/2008. Disponible en:

http://www.diva-portal.org/diva/getDocument?urn_nbn_se_liu_diva-8971-

1__fulltext.pdf

ROSER, Ken.

HOW TO: EAP/TLS Setup for FreeRADIUS and Windows XP Supplicant.

FreeRADIUS.org, Abril de 2002. [online] Accessed on 25/05/2009. Disponible en:

http://freeradius.org/doc/EAPTLS.pdf

18

VUKSAN, Vladimir.

FreeRADIUS + 802.1x/WPA + OpenLDAP HOW TO. Mayo de 2005. [online]

Accessed on 25/05/2009. Disponible en:

http://vuksan.com/linux/dot1x/802-1x-LDAP.html

UBUNTU Geek.

How to Integrate windows Active Directory and Samba in Ubuntu. Noviembre de

2008 [online] Accessed on 04/02/2010. Disponible en:

http://www.ubuntugeek.com/how-to-integrate-windows-active-directory-and-samba-in-

ubuntu.html

DEKOK, Alan.

Configuración FreeRADIUS con Directorio Activo. Noviembre de 2009 [online]

Accessed on 04/02/2010. Disponible en:

http://deployingradius.com/documents/configuration/active_directory.html

SCHWARTZ, Charles.

Tutorial de la configuración de FreeRADIUS con Directorio Activo. Noviembre de

2009 [online] Accessed on 04/02/2010. Disponible en:

http://homepages.lu/charlesschwartz/radius/freeRadius_AD_tutorial.pdf

WARMAN, Naama.

Protocolo RADIUS, The Raymond and Beverly Sackler Faculty of Exact Sciences,

Tel-Aviv University, Tel-Aviv. Septiembre de 2000 [online] Accessed on 04/02/2010.

Disponible en:

http://www3.rad.com/networks/2000/radius/home.htm

JOOBNETWORK.

Configuración FreeRADIUS usando OpenLDAP. Agosto de 2007 [online] Accessed

on 04/02/2010. Disponible en:

http://cit3.ldl.swin.edu.au/~533473X/index.php/HowTo:OpenLDAP%2BFreeRADIUS

FERNÁNDEZ, RAMOS, GARCÍA-MORÁN.

Sistemas basados en la autenticación en Windows y Linux/GNU.

Editorial Alfaomega – Ra-Ma. Enero de 2009. Libro.

19

ARANA José

Diseño e implementación de una red con sistema de autenticación escalable como

aplicación directa de los protocolos de autenticación, autorización y auditoría de redes

[Monografía]. Trabajo de grado presentado en la Universidad del Valle – Cali, para optar al título

de ingeniero electrónico, 2010.

OPENLDAP

Instalación, configuración y administración del Servicio de Directorio OpenLDAP.

[online]. Accessed on 12/02/2010. Disponible en:

http://www.openldap.org/doc/admin24/

FreeRADIUS

Asignación automática de VLAN’s a los usuarios autenticados exitosamente. [online].

Accessed on 12/02/2010. Disponible en:

http://old.nabble.com/Radius-%2B-LDAP-and-auto-vlan-td17270445.html

LOWE Scott

Integración del directorio activo con los protocolos del estándar IEEE 802.1X. [online].

Accessed on 16/02/2010. Disponible en:

http://blog.scottlowe.org/2006/12/07/8021x-integration-with-active-directory/