IMPLEMENTACIN DE UN SERVIDOR RADIUS

OBJETIVO:
Implementar seguridad y autenticacin en entornos inalmbricos utilizando un
servidor RADIUS.
INTRODUCCION:
Las redes inalmbricas de rea local (WLAN) tienen un papel cada vez ms
importante en las comunicaciones del mundo de hoy. Debido a su facilidad de
instalacin y conexin, se han convertido en una excelente alternativa para
ofrecer conectividad en lugares donde resulta inconveniente o imposible
brindar servicio con una red alambrada. La popularidad de estas redes ha
crecido a tal punto que los fabricantes de computadores y motherboards estn
integrando dispositivos para acceso a WLAN en sus equipos. Una WLAN se
puede conformar de dos maneras:
En estrella.
Esta configuracin se logra instalando una estacin central denominada punto
de acceso (Access Point), a la cual acceden los equipos mviles. El punto de
acceso acta como regulador de trfico entre los diferentes equipos mviles.
Un punto de acceso tiene, por lo regular, un cubrimiento de 100 metros a la
redonda, dependiendo del tipo de antena que se emplee, y del nmero y tipo
de obstculos que haya en la zona.
Red ad hoc.
En esta configuracin, los equipos mviles se conectan unos con otros, sin
necesidad de que exista un punto de acceso. El tipo de conformacin ms
comn es en estrella; se emplea por lo general cuando se desea ofrecer acceso
inalmbrico a una red alambrada ya existente. En el momento existen varios
estndares para las WLAN, desarrollados por la IEEE.
802.11b. Introducido en 1999, como extensin al estndar 802.11
publicado en 1997. Los equipos inalmbricos que operaban con la norma
802.11 nunca llegaron a tener una buena acogida, porque la mxima
velocidad de conexin que ofrecan era de 2 Mbps. La norma 802.11b
subsan este problema al permitir lograr una velocidad ms alta de
transferencia de datos. Dicha velocidad tiene un lmite de 11 Mbps
(similar al de una red Ethernet convencional). En la prctica, se logran
velocidades entre 2 y 5 Mbps, lo que depende del nmero de usuarios, de
la distancia entre emisor y receptor, de los obstculos y de la
interferencia causada por otros dispositivos. El factor interferencia es uno
de los que ms influye, porque los equipos 802.11b operan en la banda
de 2.4 GHz, en la que se presenta interferencia de equipos como
telfonos inalmbricos y hornos microondas. A pesar de sus problemas,
el estndar 802.11b se ha convertido en el ms popular.

 802.11a: Se introdujo al mismo tiempo que 802.11b, con la intencin de

constituirla en la norma para redes inalmbricas para uso empresarial
(802.11b se enfoc hacia las redes caseras y para pequeos negocios).
Ofrece velocidades de hasta 54 Mbps (tpicamente 22 Mbps) y opera en
la banda de 5 GHz. Su alto precio, el hecho de que la banda de 5 GHz
est regulada en algunos pases, y su menor cubrimiento ha hecho que
los equipos 802.11a sean menos populares que los 802.11b.
802.11g: Surgi en 2003, como la evolucin del estndar 802.11b. Esta
norma ofrece velocidades hasta de 54 Mbps (22 Mbps tpicamente) en la
banda de 2.4 GHz, y es compatible hacia atrs con los equipos 802.11b,
por lo cual ha tenido una gran acogida, y se prev que reemplace por
completo al estndar 802.11b en un futuro no muy lejano.
SEGURIDADES
Se describe una de las seguridades que se pueden implementar en un entorno
inalmbrico
802.1x:
802.1x es un protocolo de control de acceso y autenticacin basado en la
arquitectura cliente-servidor, que restringe la conexin de equipos no
autorizados a una red. El protocolo fue inicialmente creado por la IEEE para uso
en redes de rea local cableadas, pero se ha extendido tambin a las redes
inalmbricas. Muchos de los puntos de acceso que se fabrican en la actualidad
ya son compatibles con 802.1x.
El protocolo 802.1x involucra tres participantes:
1. Cliente, que desea conectarse con la red.
2. El servidor de autorizacin-autenticacin, que contiene toda la informacin
necesaria para saber cules equipos estn autorizados para acceder a la
red.
802.1x fue diseado para emplear servidores RADIUS (Remote Authentication
Dial-In User Service). Estos servidores fueron creados inicialmente para
autenticar el acceso de usuarios remotos por conexin va telefnica; se opt
por emplearlos tambin para autenticacin en las LAN.
3. El autenticador, que es el equipo de red que recibe la conexin del
cliente. El autenticador acta como intermediario entre el cliente y el
servidor de autenticacin, y solamente permite el acceso del cliente a la
red cuando el servidor de autenticacin as lo autoriza. La autenticacin
del cliente se lleva a cabo mediante el protocolo EAP (Extensible
Authentication Protocol) y el servicio RADIUS.

Autenticacin de RADIUS resulta til cuando se instala ISA Server en modo de

grupo de trabajo. Servidores RADIUS no requieren la pertenencia al dominio de
clientes RADIUS. El equipo servidor ISA acta como cliente RADIUS desde el
que se originan las solicitudes de autenticacin. EL servidor ISA pasa
informacin acerca de un usuario a un servidor RADIUS designado y acta a
continuacin, en la respuesta que devuelve el servidor RADIUS. Las
transacciones entre el equipo servidor ISA y el servidor RADIUS estn
autenticadas por un secreto compartido. El secreto compartido nunca se enva
a
travs
de
la
red.
Servidores RADIUS autentican las solicitudes siguientes:

Entrada solicitudes de red privada virtual (VPN) de cliente remoto a ISA

Server

Solicitudes salientes de clientes internos

Solicitudes de clientes externos en escenarios de publicacin

IMPLEMENTACIN:
Para configurar el servidor RADIUS se realiz el siguiente procedimiento, se
procedi a trabajar con el sistema operativo Linux en su distribucin Ubuntu:

En el que se realiz los siguientes pasos para su instalacin, entramos al

Aplicaciones, en Agregar o quitar programas:

Una vez abierta la terminal escribimos el siguiente cdigo para instalar los
paquetes del servidor Radius:
# apt-get install freeradius

Si nos niega la creacin de las carpetas debemos de estar en modo

superusuario para poder descargar los archivos, para ello ejecutamos la
siguiente lnea de comandos:
sudo s

Luego volvemos a escribir el cdigo para instalar los paquetes del servidor
freeradius:

Al dar enter veremos cmo se empiezan a descargar los paquetes del

servidor Radius, terminada la descarga se empezaran a desempaquetar los
paquetes y a crear las respectivas carpetas donde se tienen los archivos
necesarios para la implementacin del servidor.

Al terminarse de instalar los paquetes descargados del servidor Radius

volveremos a tener el siguiente prompt:

Lo que sigue es modificar algunos archivos del servidor para realizar las
pruebas pertinentes sobre el funcionamiento del servidor.
Para ello vamos a la carpeta donde tenemos instalado los paquetes del
servidor Radius como se muestra en la siguiente imagen:

Al doble clic veremos lo siguiente:

Se nos muestra una ventana que nos indica que no podemos ver el contenido
de dicha carpeta dado que no tenemos los privilegios suficietes, para poder ver
los archivos y poder modificarlos tendremos que abrir una terminal y escribir el
comando:
nautilus

Con lo cual se nos abrir un ventana en la cual deberemos de ir a la carpeta

donde se tienen los archivos del servidor Radius, una vez que accedimos a la
carpeta freeradius buscamos el archivo users:

Damos doble clic y veremos el contenido de este archivo, lo que procede a

continuacin es la creacin de un usuario para realizar las pruebas de
verificacin del funcionamiento del servidor freeradius, para configurar un
nuevo usuario el cdigo que debemos de ingresar es el siguiente:
Nombre_del_usuario+Cleartext-Password:=contrasea_del_usuario
Donde vemos que se debe de ingresar el nombre del usuario a dar de alta
seguido de un comando y despus la contrasea de dicho usuario. Un ejemplo
de esto se muestra en la siguiente imagen, una vez que se ingres al nuevo
usuario guardamos el archivo y cerramos.

Ahora procederemos a realizar unas pruebas con el servidor y el usuario que se

ingreso, para ello abrimos una terminal y ejecutamos el siguiente cdigo:
radtest Nombre_del_usuario+Password 127.0.0.1 1812 testing123
radtest rinnegan pain 127.0.0.1 1812 testing123

10

Como vemos recibimos una notificacin de rechazo, indicndonos que el

servidor no esta funcionando correctamente, para solucionar esto nos ponemos
en modo superusuario como vimos anteriormente y luego de ello volvemos a
ejecutar el cdigo de prueba del servidor como se muestra en la siguiente
imagen:

Como vemos ahora tenemos una confirmacin de un acceso aceptado por

parte del usuario al servidor y con ello comprobamos que el servidor Radius ya
est instalado y funcionando correctamente.

11

12