Este trabajo se fundamenta en el control de acceso de usuarios a recursos de una red. El uso de contraseñas es comúnmente usado para dar autenticidad a los usuarios. Sin embargo, se observa que este método tiende a quedar obsoleto dada la obviedad de las personas para definir contraseñas, además de que en la actualidad, se suelen recuperar contraseñas y password con cierta facilidad, esto debido a, basicamente, ataques de diccionario y fuerza bruta, o en el peor de los casos, a que estas se envian en texto claro a través de los medios de comunicación.
Por lo anterior, se busco un proceso de autenticación capaz de minimizar el riesgo de intrusión a algún recurso mediante la utilización de dos sistemas de autenticación: Certificados X.509 y RADIUS.
La seguridad de este mecanismo viene dado por varias situaciones. En primera se evita que los husmeadores puedan realizar ataques de diccionario o fuerza bruta ya que , tanto el protoclo EAP, como RADIUS utilizan valores aleatorios en cada sesión. Pasa lo mismo si por alguna razón se exponen el secreto compartido entre NAS y servidor.
Complementando esto, con la utilizacion de los certificados, es practicamente imposible que algun intruso se haga pasar por un usuario autorizado, ya que lo que verifica la AC es, el resumen de los datos que es firmado por esta misma. Si un usuario trata de utilizar un certificado falso, este será rechazado. Además, en el caso que un usuario sospeche que alguien ha conseguido su certificado, este puede ser revocado y regenerado dejando el anterior fuera de accion.
Teniendo estas caracteristicas, se puede decir que el sistema es practicamente invulnerable a cualquier ataque. Dejando la unica debilidad a la correcta distribución de los certificados. Otra cuestion seria el tiempo de espera que se presenta al momento que un usuario requiera autenticarse. La latencia es un factor primordial al momento de diseñar sistemas de comuncaciones. El sistema, al trabajar con el protocolo UDP, permite que mayor cantidad de usuarios intenten autenticarse al mismo tiempo sin afectar el rendimiento de la red.
Este trabajo esta enfocado en la autenticación de usuarios y será implementado en el área de Maestria de Ingenieria en Telecomunicaciones. Además, seria una buena herramienta ya que si se implementara a nivel escuela, o mejor, a nivel institución, permitiria gestionar tanto a alumnos como a docentes, desde un directorio central, eliminando con esto el uso de diferentes usuarios y contraseñas para cada departamento, por ejemplo Control Escolar, SIGUE, Becas,
Por otra parte, como RADIUS esta basado en la infraestructura AAA, este sistema puede extenderse a otros procesos como Autorización y Auditoria con lo cual se pueda tener un mayor control sobre lo usuarios por ejemplo, el tiempo de conexión, inspección de acciones realizadas, entre otros. Tomando en cuenta esto, el sistema es extensible hacia organizaciones lucrativas ya que los mecanismos de seguridad con los que algunos proveedores de servicio de Internet prestan sus servicios, resulta ser ineficaz causando pérdidas a su empresa.
EXTENSIBLE AUTHENTICATION PROTOCOL (EAP)
EAP proporciona un mecanismo estándar para el apoyo a diversos métodos de autenticación por redes móviles y fijas. Es una alternativa de seguridad que se centra en el desarrollo de un marco para proporcionar autenticación centralizada y una distribución de claves dinámica El cliente, en el marco AAA (también conocido como un servidor de acceso a la red), no tiene ningún conocimiento del tipo de EAP utilizado en el proceso de autenticación. El servidor de acceso crea túneles autenticación de mensajes entre los usuarios que solicitan acceso y el servidor de AAA. El servidor de acceso a la red sólo es consciente de cuando el proceso de autenticación EAP se inicia y cuando termina.
Mediante este protocolo, todo usuario hace uso de una clave única, que se va modificando de manera automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. Este servicio soporta, además, otros protocolos de autenticación tales como Kerberos, RADIUS, certificados, claves de una vez, etc.
De manera básica, los pasos que se llevan a cabo en una autenticación EAP son: • El usuario, que quiere conectarse a la red, manda un mensaje EAP de inicio.
• El punto de acceso a la red respondería solicitando el nombre, password y una firma validadora.
• El usuario responde al punto de acceso con un mensaje EAP que contendrá los datos de autenticación.
• El servidor de autenticación verifica los datos suministrados por el punto de acceso mediante los respectivos algoritmos de verificación para otorgar acceso a la red en caso de validarse.
• El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el usuario se conecte o rechazándolo.
TRANSPORT LAYER SECURITY (TLS)
Transport Layer Security es la versión más reciente de SSL (Secure Socket Layer), aunque existen diferencias entre estos, son mínimos los cambios.
El protocolo SSL provee seguridad en transacciones Web. Para establecer una comunicación segura entre un cliente y el servidor, son necesarios una serie de pasos, definidos en nueve paquetes
La negociación de comunicación encriptada en la que se basa el protocolo TLS se puede describir en los siguientes pasos:
1. El cliente envía un paquete ClientHello para iniciar con el servidor los servicios de seguridad basados en SSL y que propone el cliente, como por ejemplo, los métodos de autenticación y confidencialidad.
2. El servidor responde con un ServerHello donde selecciona las opciones presentadas por el cliente.
3. El servidor envía información sobre su clave pública en un mensaje
ServerKeyExchange.
4. En servidor termina esta parte de la comunicación con un mensaje ServerHello- Done.
5. El cliente envía su información clave para la sesión que, encriptado con la clave publica del servidor, se envía dentro de un mensaje ClientKeyExchange.
6. El cliente envía un mensaje ChangeCipherSec para activar las opciones negociadas para mensajes futuros que sean enviados.
7. El cliente envía un mensaje Finished para que el servidor cheque las nuevas opciones activadas.
8. El servidor envía un ChangeCipherSec para activar las opciones negociadas para mensajes futuros que sean enviados.
9. El servidor envía un mensaje Finished para que el cliente verifique y posteriormente utilice las nuevas opciones activadas en comunicaciones posteriores.
EAP-TLS
El protocolo Seguridad del nivel de transporte con EAP (EAP-TLS) se utiliza en entornos de seguridad basados en certificados digitales.
EAP-TLS permite la autenticación y negociación mutua del método de cifrado y el intercambio seguro de claves cifradas entre el cliente de acceso remoto y el autenticador. EAP-TLS proporciona el método de intercambio de claves y autenticación más eficaz.
EAP-RADIUS
EAP-RADIUS no es un tipo de EAP, más bien. Es el paso de cualquier tipo de EAP a un servidor RADIUS realizada por un autenticador de mensajes EAP para su autenticación. Por ejemplo, si se configura un servidor de acceso remoto para la autenticación RADIUS, los mensajes EAP enviados entre el cliente y el servidor de acceso remoto se encapsulan y formatean como mensajes RADIUS entre el servidor de acceso remoto y el servidor RADIUS. EAP-RADIUS se utiliza en entornos en los que RADIUS se usa como proveedor de autenticación. La ventaja de utilizar EAP-RADIUS es que no es necesario instalar los tipos de EAP en todos los servidores de acceso remoto, sino sólo en el servidor RADIUS.
Cuando se establece una conexión, el cliente de acceso remoto negocia el uso de EAP con el servidor de acceso remoto. Si el cliente envía un mensaje EAP al servidor de acceso remoto, éste encapsula el mensaje EAP como un mensaje RADIUS y lo envía al servidor de acceso. Este servidor, procesa el mensaje EAP y devuelve un mensaje EAP encapsulado como
RADIUS al servidor de acceso remoto. A continuación, el servidor de acceso remoto reenvía el mensaje EAP al cliente de acceso remoto.
FIGURAS, TABLAS Y
REFERENCIAS
ÍNDICE DE FIGURAS
1.1 Configuración punto a punto 6
1.2 Configuración multipunto 6
1.3 Topología tipo malla 7
1.4 Topología tipo estrella 8
1.5 Topología tipo árbol. 8
1.6 Topología tipo bus. 9
1.7 Topología tipo anillo. 9
1.8 Modelo OSI. 11
1.9 Encapsulamiento. 14
1.10 Protocolo Modelo TCP/IP ….15
1.11 Dispositivos de interconexión de red 18
2.1 Esquema de una red cerrada. 20
2.2. Esquema de una red abierta. 21
2.3. Servicios de seguridad 25 2.4. Algoritmo de Feistel 29 2.5. Algoritmo 3DES 30 2.6. Algoritmo AES 30 2.7 Algoritmo hash 34 2.8 Algoritmo SHA-1 35
3.1. Configuración básica del sistema Kerberos. 38
3.2 Almacenamiento jerárquico. 43
3.3 Formato simplificado del certificado digital. 44
3.4 Relación de AC´s con jerarquía 34
3.5 Autenticación unidireccional 48
3.6 Autenticación bidireccional 48
3.7 Autenticación tridireccional 49
4.1 Relaciones Salto a Salto 53
4.2 Relación extremo a extremo 53
4.3. Componentes del protocolo RADIUS 54
4.4 Autenticación RADIUS 55
4.5. Paquete RADIUS 56
4.6 Paquete Access Request 58
4.7 Paquete Access-Accept 59
4.8 Paquete Access-Reject 59
4.9 Paquete Access-Challenge 60
4.10 Atributos 61
4.11 Versión 3 del certificado X.509 . 64
4.12. Extensiones 66
4.13 CRL 68
5.1. Pantalla inicial Zeroshell 74
5.3. Pasos para montar una unidad en un directorio 75
5.4. Configuración de dirección IP del servidor 75
5.5. Pantalla grafica principal de Zeroshell. 76
5.6. Configuración del servidor RADIUS. 77
5.7. Agregar NAS al servidor. 77
5.8. Lista de certificados. 78
5.9. Configuración de la CA 78
5.10. Administración de grupos 79
5.11. Administración de usuarios 79
5.12. Creación de un usuario 80
5.13. Configuración del NAS 81
5.14. Configuración del servidor RADIUS en el NAS 82
5.15. Configuración de la IP y secreto del servidor 82
5.16 Importación de certificados 84
5.17. Configuración de la conexión de red del usuario 84
5.18 Configuración del uso del certificado 85
6.1. Maqueta de simulación 87
6.2 Configuración de R1 88
6.3 Listado abreviado del estado de las interfaces deR1 89
6.4 Rutas aprendidas por R1 89
6.5 Configuración de R2 90
6.6 Configuración DCE de R2 90
6.7 Interfaz Ethernet de R2 90
6.8 Interfaz serial de R2 91
6.9 Rutas aprendidas por R2 91
6.10 Certificado Digital 92
6.11 Detalles del certificado digital 93
6.12 Wireshark 93
6.13 Paquetes de autenticación exitosa usuario-NAS 94
6.14 Protocolo EAP 94
6.15 Fragmento de paquete Client Hello 95
6.16 Paquete con el certificado del usuario 95
6.17 Paquete con los certificados del Servidor 96
6.18 Asignación de IP mediante DHCP 96
6.19 Intercambio de mensaje usuario-NAS 97
6.20 Paquetes de autenticación exitosa NAS –Servidor 98
6.21 Paquete de petición RADIUS 98
6.22 Paquete de Desafío RADIUS 99
6.23 Paquete de Petición RADIUS para EAP 99
6.24 Paquete de Desafío RADIUS con certificado de host 100
6.25 Paquete de Desafío RADIUS con certificado de usuario 100
6.26 Paquete de Aceptación RADIUS 101
6.27 Intercambio de mensajes NAS-Servidor 101
6.28 Peticiones realizadas al servidor RADIUS 102
6.29 Dirección de usuario obtenida por DHCP 102
6.30 Prueba de ping al servidor 102
6.32 Lista de certificados revocaos en el sistema 103
6.33 Detalles de certificado de usuario revocado 104
6.34 Paquetes de autenticación fallida usuario-NAS 104
6.35 Paquete de intercambio con el certificado del usuario 105
6.36 Paquete de Rechazo usuario-NAS 105
6.37 Intercambio de mensajes usuario-NAS en conexión fallida 106
6.38 Paquetes de autenticación fallida NAS-Servidor. 106
6.39 Paquete RADIUS de rechazo de acceso . 107
6.40 Intercambio de mensajes NAS-Servidor en conexión fallida 107
6.41 Visualización de peticiones rechazadas por el Servidor 107
6.42 Dirección zero 108 6.43 Prueba de conexión 108 ÍNDICE DE TABLAS 1.1 Clases de direcciones. 16 1.1 Direccionamiento IP 17 2.7 Algoritmo RSA 33
3.1 Intercambio de mensajes de autenticación de Kerberos 39
3.2 Proceso lógico de autenticación de Kerberos Versión ….41
3.2 Comparación entre Versiones 4 y 5 de Kerberos 42
4.1. Códigos de paquetes RADIUS 57
5.1 Dispositivos utilizados en el sistema 73
REFERENCIAS
SISTEMAS DE AUTENTICACIÓN PARA SEGURIDAD EN REDES Oppliger, Rolf
Alfaomega 1998 Colombia
NETWORK SECURITY ESSENTIALS. APLICATIONS AND STANDARS SECOND EDITION Stallings, William
Pearson Education 2003 Estados Unidos
WEB SECURITY A STEP-B-STEP REFERENCE GUIDE Stein, Lincoln D
Addison Wesley 1999 Estados Unidos
THE INTERNET SECURITY GUIDEBOOK Ellis, Juanita
Speed, Tim
Academic Press 2001 Estados Unidos
SSL AND TLS ESSENTIALS. SECURING THE WEB Thomas, Stephen
Wiley 2000 Estados Unidos
SEGURIDAD EN REDES TELEMATICAS Carracedo Gallardo, Justo
Mc Graw Hill 2004 España RADIUS Hassell, Jonathan O’Reilly 2002 Estados Unidos
Cisco Press 2006
INTERCONNECTING CISCO NETWORK DEVICES 2 Cisco Press 2006
IMPLEMENTING CISCO IOS NETWORK SECURITY Cisco Press 2006
SECURING NETWORKS EITCH SWITCHES AND ROUTERS Cisco Press 2006
RFC 2865 REMOTE AUTHENTICATION DIAL IN USER SERVICE (RADIUS) C. Rigney, S. Willens, Livingston, Merit
Network Working Group 2000 RFC 2869 RADIUS EXTENSIONS C. Rigneyl W. Willats
Network Working Group 2000
INTERNET X.509 PUBLIC KEY INFRASTRUCTURE CERTIFICATE AND CRL PROFILE R. Housley, W. Ford, VeriSign, W. Polk, NIST
Network Working Group 1999
RFC 2548 MICROSOFT VENDOR-SPECIFIC RADIUS ATTRIBUTES Microsoft Corporation
Network Working Group 1999
PPP EXTENSIBLE AUTHENTICATION PROTOCOL (EAP) L. Blunk J. Vollbrecht, Merit Network, Inc.
Network Working Group 1998
PPP EAP TLS AUTHENTICATION PROTOCOL B. Aboba, D. Simon, Microsoft
Network Working Group 1999 TLS PROTOCOL
T. Dierks, Certicom, C. Allen, Certicom Network Working Group 1999