Redes de Inalámbricas

Ing. en Sistemas Computacionales

M. en C.C. Héctor Caballero Hernández

Luisa Donay Mayo Sánchez
Jesús Cardoso Gómez
Armando Andrés Andrés

Servidor RADIUS

26/04/2018 1
 Resumen

RADIUS es un protocolo AAA que se encarga de gestionar el acceso a la red, donde AAA hace
alusión a Autenticación, Autorización y Contabilidad por las siglas en Ingles. RDIUS usa dos tipos de
paquetes para administrar el proceso completo de las AAA; estos paquetes son: Solicitud de Acceso, que
gestiona la Autenticación y Autorización; y el paquete Accounting-Request: Encargado de administrar la
contabilidad.
La Autenticación y Autorización funciona de la siguiente manera:
 El usuario o la maquina envía una solicitud a un servidor de acceso a la red (NAS) para tener acceso a
un recurso de red particular utilizando credenciales de acceso. Las credenciales se pasan al dispositivo
NAS a través del protocolo de capa de enlace; por ejemplo, Protocolo punto a punto (PPP) en el caso
de muchos proveedores de acceso telefónico o DSL o publicado en un formulario web seguro HTTPS.
 A su vez, el NAS envía un mensaje de solicitud de acceso RADIUS al servidor RADIUS, solicitando
autorización para otorgar acceso a través del protocolo RADIUS.
 Esta solicitud incluye credenciales de acceso, generalmente en forma de nombre de usuario y contraseña
o certificado de seguridad proporcionado por el usuario. Además, la solicitud puede contener otra
información que el NAS conoce acerca del usuario, como su dirección de red o número de teléfono, y
la información relacionada con el punto físico de conexión del usuario al NAS.
 El servidor RADIUS verifica que la información sea correcta usando esquemas de autenticación como
PAP, CHAP o EAP. El comprobante de identificación del usuario se verifica, junto con, opcionalmente,
otra información relacionada con la solicitud, como la dirección de red o el número de teléfono del
usuario, el estado de la cuenta y los privilegios específicos de acceso al servicio de red. Históricamente,
los servidores RADIUS verificaban la información del usuario contra una base de datos de archivos
planos almacenados localmente. Los servidores RADIUS modernos pueden hacer esto, o pueden
referirse a fuentes externas, comúnmente SQL, Kerberos, LDAP o servidores de Active Directory, para
verificar las credenciales del usuario.
 El servidor RADIUS luego devuelve una de las tres respuestas al NAS: 1) Rechazar acceso, 2) Reto de
acceso, o 3) Acceder a aceptar.
o Rechazar acceso: Al usuario se les niega incondicionalmente el acceso a todos los recursos de
red solicitados. Las razones pueden incluir el no proporcionar una prueba de identificación o
una cuenta de usuario desconocida o inactiva.
o Acceso al desafío: Solicita información adicional del usuario, como una contraseña secundaria,
PIN, token o tarjeta. Access Challenge también se utiliza en diálogos de autenticación más

2
 complejos donde se establece un túnel seguro entre la máquina del usuario y el servidor Radius
de forma que las credenciales de acceso estén ocultas desde el NAS.
o Acceder a aceptar: El usuario tiene acceso. Una vez que el usuario está autenticado, el servidor
RADIUS a menudo verificará que el usuario esté autorizado para usar el servicio de red
solicitado. A un usuario dado se le puede permitir usar la red inalámbrica de una compañía,
pero no su servicio VPN, por ejemplo. De nuevo, esta información puede almacenarse
localmente en el servidor RADIUS o puede buscarse en una fuente externa como LDAP o
Active Directory.

La Contabilidad funciona de la siguiente manera:

 Cuando el NAS acceda al acceso de red al usuario, el NAS envía un inicio de contabilidad (un
paquete de solicitud de contabilidad RADIUS que contiene un atributo de estado de estado de cuenta
con el valor "start") al servidor RADIUS para señalar el inicio del acceso a la red del usuario. Los
registros de "inicio" suelen contener la identificación del usuario, la dirección de red, el punto de
conexión y un identificador de sesión único.
 Periódicamente, el NAS puede enviar registros de actualizaciones provisionales (un paquete de
solicitud de contabilidad RADIUS que contiene un atributo de estado de estado de cuenta con el
valor "actualización intermedia") al servidor RADIUS, para actualizarlo sobre el estado de una
sesión activa. Los registros "provisionales" normalmente transmiten la duración actual de la sesión
y la información sobre el uso actual de datos.
 Finalmente, cuando se cierra el acceso de red del usuario, el NAS emite un registro final de
Contabilidad final (un paquete de Solicitud de Contabilidad RADIUS que contiene un atributo Tipo-
Estado-Acto con el valor "detener") al servidor RADIUS, proporcionando información sobre el uso
final en términos de tiempo, paquetes transferidos, datos transferidos, motivo de desconexión y otra
información relacionada con el acceso a la red del usuario.
 Normalmente, el cliente envía paquetes de Solicitud de Contabilidad hasta que recibe un acuse de
recibo de Contabilidad, utilizando algún intervalo de reintento.
 El objetivo principal de esta información es que el usuario puede facturar en consecuencia; los datos
también se usan comúnmente con fines estadísticos y para el monitoreo general de la red.

3
 Índice

Capítulo I Introducción .............................................................................................................................6

Capítulo II Problema .................................................................................................................................7

Objetivos .............................................................................................................................................7

Capítulo III Justificación ...........................................................................................................................8

Capítulo IV Marco Teórico .......................................................................................................................9

Capítulo V Diseño de la solución .............................................................................................................10

Capítulo VI Desarrollo .............................................................................................................................10

Capítulo VII Pruebas ...............................................................................................................................16

Conclusiones .............................................................................................................................................17

Referencias ................................................................................................................................................18

4
 Índice de Figuras

Figura 1-Instalación de FreeRadius. ...........................................................................................................10

Figura 2-Configuración de Archivos. .........................................................................................................11
Figura 3-Configuración de usuarios. ..........................................................................................................11
Figura 4-Reinicio de Servicio FreeRadius. .................................................................................................12
Figura 5-Acceso de cada usuario. ...............................................................................................................12
Figura 6-Configuración del router en el servidor........................................................................................13
Figura 7-Página inicial del router. ..............................................................................................................13
Figura 8-Iniciando BrutusHack. .................................................................................................................14
Figura 9-Inicio de ataque de fuerza bruta ...................................................................................................14
Figura 10-Fuerza Bruta con seguridad de 16 caracteres. ............................................................................15
Figura 11-Instalación de paquete Debian. ..................................................................................................16

5
 Capítulo I
Introducción
En la actualidad la transmisión de datos es muy importante ya que se necesita de la comunicación
de un punto geográfico a otro o bien de forma local, solo que en la transferencia no se tiene mucha confianza
ya que se puede descifrar el mensaje o los datos por algún método, para poder asegurar totalmente los datos,
principalmente necesitamos bloquear nuestros routers o nuestra conexión a internet para esto se necesita
ingresar contraseñas de cifrado, solo que puede ocurrir que un infractor pueda ver el password en nuestro
Gateway, para esto puede ser necesario crear un servidor RADIUS el cual revisara los usuarios conectados
y se verificara que efectivamente sean ellos los que quieran ingresar a nuestra red de esta forma se podrá
asegurar nuestra conexión, evitando intersecciones a nuestra red o incluso el robo de servicios como internet.

6
 Capítulo II
Problema
Los alumnos de la carrera de Ingeniería en Sistemas Computacionales del octavo semestre del
Grupo IS-802 necesitan crear un servidor RADIUS en el sistema operativo Linux en su distribución Debian
9.0.4 para observar la creación de este y el comportamiento que puede tener al aplicarle un ataque de fuerza
bruta.

Objetivos:
General: Crear un servidor RADIUS y observar los usuarios y las contraseñas, así como crear un
ataque de fuerza bruta a la red al mismo servidor.

Específico:

 Crear un servidor RADIUS

 Instalar FreeRadius.
 Configurar usuarios y contraseñas en FreeRadius.
 Realizar un ataque de fuerza bruta al servidor RADIUS.

7
 Capítulo III
Justificación
En esta práctica aprendimos la forma de configurar un servidor RADIUS en el Sistema Operativo
Debian, así como los comandos y configuraciones respectivas para que este servicio funcionara
exitosamente.

Para ello inicialmente se implementó un router marca Tenda el cual no contaba con las
configuraciones para realizar este servidor, por ello se optó por utilizar otro router, este de marca TP-LINK
TL-WR840N el cual si conto con las herramientas necesarias para activar el servicio RADIUS.

8
 Capítulo IV
Marco Teórico
RADIUS
Por sus siglas en Ingles Remote Authentication Dial-In User Service (RADIUS) es un protocolo de
red que opera en el puerto 1812 [1] que brinda administración centralizada de Autenticación, Autorización
y Contabilidad (AAA o Triple A) para usuarios que se conectan y usan un servicio de red. RADIUS fue
desarrollado por Livingston Enterprises, Inc. en 1991 como un protocolo de autenticación y contabilidad de
servidores de acceso y luego incorporado a los estándares de la Fuerza de trabajo de ingeniería de Internet
(IETF). [2]

Debido al amplio soporte y la naturaleza ubicua del protocolo RADIUS, a menudo lo utilizan los
proveedores de servicios de Internet (ISP) y las empresas para administrar el acceso a Internet o redes
internas, redes inalámbricas y servicios integrados de correo electrónico. Estas redes pueden incorporar
módems, línea de abonado digital (DSL), puntos de acceso, redes privadas virtuales (VPN), puertos de red,
servidores web, etc. [3]

RADIUS es un protocolo cliente / servidor que se ejecuta en la capa de aplicación y puede usar TCP
o UDP como transporte. Los servidores de acceso a la red, las puertas de enlace que controlan el acceso a
una red, generalmente contienen un componente de cliente RADIUS que se comunica con el servidor
RADIUS. [4] RADIUS es a menudo el back-end de elección para 802.1X autenticación también. [3]

El servidor RADIUS suele ser un proceso en segundo plano que se ejecuta en un servidor UNIX o
Microsoft Windows. [4]

RADIUS es un protocolo AAA que gestiona el acceso a la red. AAA significa autenticación,
autorización y contabilidad. RADIUS usa dos tipos de paquetes para administrar el proceso completo de
AAA; Solicitud de acceso, que gestiona la autenticación y autorización; y Accounting-Request, que
administra la contabilidad. Autenticación y autorización se definen en RFC 2865 mientras que la
contabilidad se describe en RFC 2866.

9
 Capítulo V
Diseño de la solución
Se planteó iniciar principalmente con el acceso a un Router Tenda, donde se identificará el apartado
de configuración para realizar el servidor RADIUS; en caso contrario de que este no cuente con la opción
de configuración, se implementara un Router TP-LINK TL - WR840N, de igual forma se identificara el
apartado para la configuración del servidor RADIUS.

Para el desarrollo de esta práctica se implementará el sistema operativo Debian por lo que se
identificaran los comandos respectivos para la instalación y configuración del servicio RADIUS.

Capítulo VI
Desarrollo
Posteriormente terminadas las pruebas se inició instalando FreeRadius con el comando aptitude
install FreeRadius como se aprecia en la Fig.1 es importante mencionar que se tiene que tener una conexión
a internet.

Figura 1-Instalación de FreeRadius.

Después de instalar FreeRadius procederemos a ingresar a la carpeta donde se instaló en la ubicación

etc/freeradius/3.0 como se aprecia en la Fig. 2 los archivos dentro de FreeRadius y por motivos de seguridad
se copiaron 2 elementos, los cuales son, clients y users

10
 Figura 2-Configuración de Archivos.

Al terminar las copias en la Fig. 3 se comenzó con la edición del archivo users, con el comando
nano users, ahí mismo se agregaron los usuarios y las contraseñas con las que se podía conectar cada uno
de los clientes, es importante mencionar que no se debe quitar ningún comentario, ya que afectaría a nuestro
servidor.

Figura 3-Configuración de usuarios.

11
 En la siguiente figura (Fig. 4) se muestra la forma de reiniciar el servicio FreeRadius de donde solo
debe de saltar a otra línea de comando, sin marcar ningún error, si no será necesario revisar alguna falla con
la instalación del servidor.

Figura 4-Reinicio de Servicio FreeRadius.

En Fig. 5 se Procedió a hacer las pruebas de los usuarios para conectarlos con el comando radtest
como se observa en la segunda línea de código, al tener éxito tendrá que mostrar el siguiente mensaje por
cada usuario que se agrega.

Figura 5-Acceso de cada usuario.

Ya finalizando con la configuración del servidor se entrará al archivo clientes. conf en él se agregará
la dirección del router, la contraseña y un nombre corto como se aprecia en la Fig. 6 es importante mencionar
que en Shortname, será el nombre con el cual se identificará la red.

12
 Figura 6-Configuración del router en el servidor.

En la Fig.7 se muestra la configuración que se hará en el router, iniciaremos con la dirección

192.168.0.1 para entrar al dispositivo de donde nos saldrá la siguiente ventana y nos dirigiremos a Wireless
para asignar en contraseñas el servidor RADIUS.

Figura 7-Página inicial del router.

13
 Posteriormente terminadas las pruebas del servidor RADIUS en la Fig. 8 se continuo a realizar un
ataque de fuerza Bruta a la red con un sistema operativo Linux en su distribución WifiSlax del cual la
primera parte fue ingresar al sistema con el programa BrutusHack.

Figura 8-Iniciando BrutusHack.

Al entrar nos indicaba alguna referencia de la red, como marca del router y el tipo de cifrado si es
que se sabía esta información, dados los datos, en la Fig. 9 se muestra el inicio la des-encriptación de la red.

Figura 9-Inicio de ataque de fuerza bruta

14
 Al entrar tratar de encontrar la clave de la red tardo 8 horas 25 minutos, sin ningún resultado, es
decir, no mostro la contraseña demostrando la seguridad de la red del servidor RADIUS Fig. 10.

Figura 10-Fuerza Bruta con seguridad de 16 caracteres.

15
 Capítulo VII
Pruebas
Se intentó instalar FreeRadius en la maquina con Linux en su distribución Debian en su versión 9.0.4 solo
que mandaba errores con el comando apt-get install FreeRadius como se aprecia en la Fig. 11, la solución
a este problema fue agregar el comando a la paquetería de Debian o bien remplazar apt-get por aptitude
quedando de la siguiente manera aptitude install FreeRadius.

Figura 11-Instalación de paquete Debian.

16
 Conclusiones
En esta práctica comprendimos el uso del servidor RADIUS, así como el significado de este el cual es
Remote Authentication Dial-In User Service. Es un protocolo de autenticación y autorización para
aplicaciones de acceso a la red o movilidad IP. Comprendimos la utilización para este servicio el cual es el
1812 UDP para establecer la conexión, también fue importante localizar un router que contara con la opción
de cifrado para RADIUS, ya que no se podrían hacer las configuraciones. Así mismo se entendió que cuando
se hace una conexión a un modem se envía cierta información la cual es el usuario y la contraseña; Esta
información se transferirá a un dispositivo NAS (Network Access Server sobre el protocolo PPP quien será
el encargado de dirigir la petición al servidor RADIUS, este comprobara que la información es correcta
utilizando esquemas de autenticación como PAP, CHAP o EAP, Si es aceptado el servidor autorizara el
acceso al sistema y le asignara los recursos de red como una dirección IP.

Así mismo se aprendió que en el servidor se tiene que crear los usuarios y las contraseña para las conexiones,
en caso de fallar alguno de los procesos o de no agregar los usuarios, este mandara error en la conexión y
será imposible la conexión, en caso de olvidar la contraseña, el router tendrá un gran problema ya que no se
podrá entrar a la configuración y será imposible alguna modificación obligando al usuario a resetear el
dispositivo para que nos regrese a las configuraciones de fábrica.

Posteriormente al terminar el servidor RADIUS se procedió hacer un ataque de fuerza fruta el cual consistirá
en adivinar la contraseña, al iniciar el ataque comenzamos identificando las redes tomando en cuenta que el
tipo de cifrado que nos indicaba cambiaba al resto de las redes que eran PSK al terminar el ataque nos
mostró un resultado fallido, es decir no se descifro la red observando que se tiene mayor seguridad con el
servidor RADIUS ya que al solicitar una conexión el servidor revisara a los usuarios si son quien dicen ser,
el único que indicara la conexión y el autenticador será el NAS.

17
 Referencias

[1] Ochobits, «ochobits,» 12 Junio 2017. [En línea]. Available:

https://www.ochobitshacenunbyte.com/2015/10/14/habilitar-https-servidor-web/. [Último acceso: 19
nunio 2017].

[2] atareao, «atareao,» 25 abril 2017. [En línea]. Available: https://www.atareao.es/software-

linux/servicio-ftp/. [Último acceso: 19 junio 2017].

[3] Ite educacion, «Ite educacion,» 05 mayo 2016. [En línea]. Available:
http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m4/servidor_samba.html. [Último
acceso: 18 Junio 2017].

[4] De linux, «De linux,» 15 Mayo 2014. [En línea]. Available: https://blog.desdelinux.net/cups-como-
usar-y-configurar-las-impresoras-de-forma-facil/. [Último acceso: 18 Junio 2017].

18