TECSUP

Sistema de Autenticacin y Cifrado

Introduccin
Hoy en da las empresas se estn dando cuenta que tienen mucha
infraestructura tecnolgica que les agiliza sus procesos internos pero que a
su vez son un peligro por la vulnerabilidad que presentan ante un entorno
totalmente globalizado. Es necesario tener implementado una cultura de
seguridad que permita proteger la informacin de posibles ataques. Para
ello se tiene polticas de seguridad, normas, estndares y equipamiento que
permiten construir soluciones de seguridad muy robustas.
En el presente programa integral se cubrirn los diversos aspectos
relacionados con la seguridad de la informacin haciendo uso de
equipamiento especializado de ltima generacin como: Cisco ASA, Juniper
Netscreen, Symantec SGS, CheckPoint, Barracuda y RSA. As como
soluciones de seguridad informtica usando el sistema operativo Linux.
Objetivos
Explicar las ventajas del uso de la tecnologa y los peligros que se pueden
generar si no tenemos implementada una cultura de seguridad.
Describir las diversas normas y estndares que en seguridad de la
informacin existen y saber cual aplicar para cada necesidad.
Implementar soluciones integrales de seguridad mediante el uso de
equipamiento especializado.
Utilizar las herramientas de auditoria de seguridad.
Disear las polticas de seguridad de la informacin.
1

TECSUP

Sistema de Autenticacin y Cifrado

TECSUP

Sistema de Autenticacin y Cifrado

TECSUP

Sistema de Autenticacin y Cifrado

TECSUP

Sistema de Autenticacin y Cifrado

TECSUP

Sistema de Autenticacin y Cifrado

Las diversas tecnologas de acceso de comunicaciones, han

ampliando la conectividad de las empresas, permitiendo que pueda
conectarse a la RED de la EMPRESA en forma remota desde una
RED TELEFONICA, INTERNET, INALAMBRICO. Estas tecnologas
trabajan con niveles de acceso de autorizacin y al contar con varios
equipos y que en cada uno se tiene que registrar a un usuario trae un
problema:
Perdida del Control de la Gestin de acceso
La administracin de la RED requiere ahora de mayor tiempo para
gestionar el acceso de autorizacin en cada dispositivo de acceso,
comprobndose que en el tiempo se pierde este control y esto causa
que existan puertas de acceso disponibles para el ingreso de
usuarios no autorizados (INTRUSOS) o acceso de cuentas que
deben estar caducadas.
Ante esta situacin, la implementacin de un Sistemas de Gestin
de acceso soluciona estos problemas. Estos Sistemas de Gestin de
acceso son conocidos como AAA.

TECSUP

Sistema de Autenticacin y Cifrado

TECSUP

Sistema de Autenticacin y Cifrado

Los Sistemas de Seguridad de Acceso posee etapas que debe

cumplirse para gestionar la autorizacin. Estas etapas son
parecidas a la vida cotidiana, por ejemplo cuando uno se dirige a
una Empresa para ingresar a una rea determinada (ventas,
reclamos, almacn), pasa por las siguientes etapas:
Autenticacin: Se identifica con su DNI y se compruebe su
legitimidad.
Autorizacin: Se permite el ingreso a ciertas reas.
Historial o Contabilidad: Se registra su ingreso y salida.
Estas etapas en el campo Informtico lo realizan los Sistemas AAA.
El nombre AAA es por sus siglas en ingles (Authentication,
Authorization, Accounting).

TECSUP

Sistema de Autenticacin y Cifrado

Los Sistemas AAA es un esquema que esta compuesto de Equipos y

Software. Cumpliendo las siguientes funciones:
Authentication: Proceso que se establece cuando un usuario
requiere validacin para el acceso a la RED. Este proceso
se realiza enviando la informacin de su identidad (cuenta)
y su credenciales. Ejemplo de credenciales son password,
tokens, certificados digitales.
Authorization: Proceso que controla el nivel de acceso,
concediendo recursos por ejemplo: direcciones IP.
Aplicando cierto tipo de restriccin por ejemplo: das no
autorizados, limitar a un solo ingreso con la cuenta.
Accounting: Mantiene el historial de la actividad en los
recursos de la red de los usuarios. Esta informacin es
usada para la administracin, planificacin o sistemas de
pagos.

TECSUP

Sistema de Autenticacin y Cifrado

Composicin de un Sistema AAA:

USUARIOS: Equipos que requieren el ingreso a la RED.
Ejemplo usuarios Wireless, Dial up, VPN, Pocket, Telefona.
NAS Network Access Service: Es un Equipo de Comunicacin
de acceso, donde los usuarios se conectaran fsicamente
(Cable, Wireless, Adsl, RTB) y siendo la puerta de ingreso a
otras redes. Los diversos fabricantes incorporan una
administracin de las cuentas localmente y con derivacin
a un RADIUS, siendo esta ultima lo recomendable.
Ejemplo: Equipos inalmbricos CISCO, DLINK. Switches
CISCO, 3COM, Equipos de Seguridad CISCO, JUNIPER.
RADIUS: Servicio encargado de administrar cuentas de
acceso. El Sistema RADIUS es un estndar y siendo optado
por la mayora de los fabricantes de NAS. Existen diversos
fabricantes de software RADIUS: Linux: FreeRADIUS,
Windows: IAS, Cisco: ACS.

10

TECSUP

Sistema de Autenticacin y Cifrado

El grfico muestra en forma genrica el proceso de control de acceso

a la RED. Como comentamos anteriormente es parecido al proceso
de ingreso a una EMPRESA:
El usuarios se conecta fsicamente al NAS, procediendo el
usuario a enviarle la solicitud de ingreso como ejemplo un
usuario y contrasea.
El NAS al estar configurado para consultar la autenticacin a
un Servidor RADIUS, proceder a enviarle la informacin de
autenticacin.
El RADIUS recibe la autenticacin y compruebe con sus
registros y al encontrar concordancia proceder a autorizar la
peticin enviando al NAS la respuesta. El RADIUS almacena
los eventos de dichos procesos.
El NAS al recibir la respuesta de autorizacin del RADIUS
confirma al usuario la aceptacin.
El usuario procede a ingresar a la RED a travs del NAS.
El usuario al terminar su sesin, enva una solicitud de
desconexin al NAS.
El NAS finaliza la sesin con el usuario y informa al RADIUS
que el usuario se ha desconectado.

11

TECSUP

Sistema de Autenticacin y Cifrado

12

TECSUP

Sistema de Autenticacin y Cifrado

Radius es un protocolo Cliente/Servidor: El cliente RADIUS es un NAS y el

servidor RADIUS es un software que se ejecuta como servicio en un equipo
con UNIX, LINUX, WINDOWS.
El Radius naci como un Protocolo Servicio de usuario de acceso
telefnico para la autenticacin remota; fue desarrollada por Livingston
Enterprises, Inc. que lo necesitaba para que realice la autenticacin y
contabilidad de su servidor de acceso remoto (NAS) llamado PortMaster.
En junio de 1996 se estableci por parte de la ITF los estndares:
Authentication y Authorization (RFC 2058)
Accounting (RFC 2059)
El RADIUS fue optando como un estndar en la administracin de usuarios
en las empresas ISPs debido a la cantidad de cientos, miles y millones de
usuarios que administran y que necesitan realizar constantemente
operaciones de agregar, modificar e eliminar cuentas y sus atributos. Los
RADIUS fueron creados para las funciones indicadas.

13

TECSUP

Sistema de Autenticacin y Cifrado

Radius utiliza UDP como transporte. El protocolo Radius es considerado

como un servicio sin conexin. La disponibilidad, la retransmisin y los
tiempos de espera son gestionados por los dispositivos RADIUS y no por el
protocolo de transmisin.
El establecimiento de la comunicacin con los Sistemas RADIUS se realiza
a travs de dos puertos tipo UPD que habilita el Servidor RADIUS:
PROTOCOLO

PUERTO

Authentication y Authorization

1812

Accounting

1813

El Server RADIUS recibe las consultas de una NAS a travs de sus puertos
(1812, 1813). El RADIUS para aceptar las consultas del NAS, deber tener
un perfil del NAS con la informacin de la IP del NAS y una CLAVE. La
clave configurada en el perfil del NAS ser la que el NAS usara para que
sea autorizado sus consulta con el RADIUS.
NOTA:
Las distribuciones de RADIUS antiguas usan los puertos 1645 y 1646
respectivamente.

14

TECSUP

Sistema de Autenticacin y Cifrado

Al realizar la configuracin de un NAS para trabajar con un RADIUS es

similar en los diferentes fabricantes de NAS existentes. En los NAS en la
seccin de autenticacin al escoger la derivacin de un RADIUS
solicitara los siguientes datos:
IP RADIUS: Direccin IP o nombre del RADIUS.
PUERTO AUTENTICACION (AUTHENTICATION) DEL RADIUS:
Puerto del RADIUS para atender la autenticacin y autorizacin.
PUERTO DE CONTABILIDAD (ACCOUNTING): Puerto del RADIUS
para recibir los eventos de la conexin.
SECRETO COMPARTIDO (SHARED SECRET): Clave
autorizacin de enviar consulta del NAS al RADIUS.

de

NOTA
En algunos equipos NAS permiten enviar los eventos (ACCOUNTING) a
otro RADIUS.
Cuando los equipos NAS se encuentra delante de un FIREWALL y el
RADIUS detrs del FIREWALL. Generar las polticas de acceso del NAS
al RADIUS.

15

TECSUP

Sistema de Autenticacin y Cifrado

Al igual que otros protocolos como el SMTP, HTTP que realizan una
secuencia de intercambio de mensajes entre el CLIENTE y el SERVER
para realizar sus objetivos; igualmente en el control de acceso usando el
protocolo RADIUS se intercambia mensajes entre el CLIENTE RADIUS
y el SERVER RADIUS. Los mensajes tienen asignado un nombre que
guarda relacin con la accin que realiza:
Access-Request: Solicitud de una atencin de autenticacin.
Access-Accept: Aceptacin de la autenticacin.
Accounting-Request: Registrar eventos.
Accountig-Response: Confirmacin de evento registrado.

16

TECSUP

Sistema de Autenticacin y Cifrado

Los atributos son parmetros que se intercambia en el proceso de la

comunicacin con el RADIUS. A continuacin se detalla los atributos que
son intercambiado en cada fase de la comunicacin:
El NAS enva un mensaje del Access-Request que contiene la
informacin de los atributos User-Name y User-Password.
El RADIUS responde enviando un mensaje Access-Accept en caso
que el usuario esta autorizado o Access-Reject cuando no esta
autorizado. En un mensaje de Acces-Accept enviara los atributos
de Frame-IP-Address.
El NAS enviara al RADIUS los diversos eventos y que estarn
representados en atributos, siendo enviados en un mensaje de
Accountig-Request. Al ser autorizado el usuario, el NAS enviara el
atributo Acct-Status-Type indicando el estado de activo.
NOTA:
Mayor informacin de atributos:
http://www.faqs.org/rfcs/rfc2865.html
http://www.faqs.org/rfcs/rfc2866.html

17

TECSUP

Sistema de Autenticacin y Cifrado

En una gestin distribuida del Servicio de RADIUS, aparece el concepto de

PROXY parecido a un PROXY WEB donde los usuarios no solicitan
directamente la pagina WEB al Servidor, las conexiones de los clientes se
dirigen al PROXY y el PROXY es el encargado de obtener las paginas
WEB.
En un esquema de implementacin de PROXY de RADIUS, se realiza los
siguientes procesos:
Los NAS (Cliente RADIUS) envan sus peticiones al PROXY RADIUS.
La cuenta que recibe el PROXY tiene un formato que permitir que el
PROXY RADIUS reenvi la peticin de autenticacin al Servidor RADIUS
respectivo. El formato de cuenta esta formado por el nombre de cuenta
(username), un carcter de separacin (@,%,/, \) y una etiqueta (realm):
username@realm
realm/username
username%realm
realm\username
Estos esquemas son usados por proveedores de Internet conocidos como
CPI que reciben las peticiones de usuarios y que son derivadas a los
Servidores RADIUS de terceros para su autenticacin.

18

TECSUP

Sistema de Autenticacin y Cifrado

19

TECSUP

Sistema de Autenticacin y Cifrado

FreeRadius es del tipo modular, de alto rendimiento y de avanzadas

caractersticas. Es un Sistema completo de RADIUS, que cuenta con
software de Server, Clientes, libreras para desarrolladores y diversas
utilidades.
FreeRadius es un RADIUS Open Source y reconocido por ser la mejora
solucin OpenSource. Varias distribuciones lo incorporan como paquetes de
su distribucin. FreeRADIUS tambin viene en cdigo fuente o en paquetes
RPM. Existe una versin para Windows ( www.freeradius.net).
Al ser uno de los mejores Servidores RADIUS, varias empresas de grandes
escalas confan en FreeRadius para el manejo de sus millones de usuario y
millones de peticiones por da.
Caractersticas avanzadas:
Soportando Proxy.
Alta Disponibilidad.
Balanceo de Carga.
Acceso a diferentes tipos de Base de Datos.

20

TECSUP

Sistema de Autenticacin y Cifrado

El Servidor RADIUS puede soportar una serie de mtodos para la

autenticacin de un usuario:
Encrypted password in local configuration file.
Clear-text password in local configuration file (PAP)
CHAP
Windows Domain Controller Authentication (via ntlm_auth and
winbind)
Proxy to another RADIUS server
System authentication (/etc/passwd)

PAM (Pluggable Authentication Modules)

LDAP (PAP only)
PAM (PAP only)
Perl program
Python program
SIP Digest (Cisco VoIP boxes, SER)
Kerberos authentication
X9.9 authentication token (e.g. CRYPTOCard)

EAP wireless with embedded authentication methods

21

TECSUP

Sistema de Autenticacin y Cifrado

Los RADIUS puede conectarse con otros SISTEMAS de autorizacin para

obtener la informacin del perfil del usuario:
Local DB/DBM database
LDAP Database
Novell eDirectory
Sun One Directory Server
OpenLDAP
Any LDAPv3 compliant directory
Un programa que se ejecuta localmente (parecido a un CGI )
Perl program
Python program
Java program
SQL Database
Oracle
MySQL
PostgreSQL
Sybase
IBM DB2

22

TECSUP

Sistema de Autenticacin y Cifrado

Las funciones de contabilidad del protocolo RADIUS se pueden usar de

manera independiente de la autenticacin o la autorizacin RADIUS.
Las funciones de contabilidad RADIUS permiten que los eventos (como el
tiempo, los paquetes, los bytes, etc.) que suceden desde el principio y al
final de las sesiones se registren. Un proveedor de servicios de Internet
(ISP) usando un software de control de acceso y contabilidad RADIUS logra
complementar ciertas necesidades especiales de seguridad y facturacin.

23

TECSUP

Sistema de Autenticacin y Cifrado

DIALUP ADMIN es una interfase WEB desarrollada en PHP para la

administracin de FREERADIUS, manejando los usuarios RADIUS, las
conexiones. Soporta la conexin a base de datos (MySQL, PostgreSQL) o
LDAP para la obtencin de las cuentas de usuarios.

24

TECSUP

Sistema de Autenticacin y Cifrado

25

TECSUP

Sistema de Autenticacin y Cifrado

Los servicios que prestan los ISPs ( va MODEM, DSL o wireless 802.11)
requieren de ingresar de usuario y password para su respectiva
autorizacin. Los Servidores Radius son claves en estos tipos de negocios
porque a travs de la propiedades de autenticacin, autorizacin y
contabilidad, se gestionan el control de la conexin.
Al aparecer una nueva tecnologa de acceso, el RADIUS cumplir una
funcin clave.

26

TECSUP

Sistema de Autenticacin y Cifrado

En la actualidad, la seguridad no solo corresponde al rea de acceso o

ingreso desde INTERNET donde los FIREWALL son los responsable de
proteger las uniones de los segmento.
Pero quien controla, los que se conectan a los segmentos ?
La tecnologa usada en los ISP ha sido portada a la LAN, siendo los
SWITCH los que cumplen la funcin del NAS. En los puertos del SWITCH
se han incorporado la tecnologa de control de acceso, obligando al usuario
que se conecta fsicamente al puerto enviar un credencial para permitirle la
habilitacin del puerto.

27

TECSUP

Sistema de Autenticacin y Cifrado

Al incorporar el Sistema AAA en redes LAN, es recomendable implementar

una integracin con los Sistemas existente, consiguiendo una
administracin centralizada de las cuentas. La integracin se realiza entre el
RADIUS con el Servidores que manejan las cuentas de usuarios para el
acceso de los recursos de la RED (Archivos, Impresora y otros).
El acceso a la RED es nicamente garantizado a la estacin cuando sus
credenciales han sido autenticadas por el Servidor FreeRADIUS, si no
obtiene aceptacin el puerto estar bloqueado para el paso de datos. El
Servidor RADIUS estar siempre contactndose al controlador de Dominio
para autenticar al usuario. Durante este proceso el SWITCH permite que la
estacin se comunique con el Servidor RADIUS usando protocolos de
autenticacin. El Servidor RADIUS verificara en el Controlador de Dominio
si el usuario existe y si el password es correcto. En este caso el Servidor
RADIUS indicara al SWITCH que conceda el permiso de abrir el puerto y
usuario tenga el acceso a la RED.

28

TECSUP

Sistema de Autenticacin y Cifrado

RADIUS es el protocolo de autenticacin utilizados por los estndares de

seguridad 802.1X (frecuentemente usada en las redes inalmbricas).

29

TECSUP

Sistema de Autenticacin y Cifrado

30

TECSUP

Sistema de Autenticacin y Cifrado

Protocolo de autentificacin es parte del protocolo PPP, los equipos NAS

soportan este protocolo; no siendo recomendable por la seguridad, en el
envi de informacin de la cuenta del cliente.
Este protocolo es independiente de la informacin que se transmitir luego
de armar el enlace, la seguridad depender de las aplicaciones que se usen
o de alguna implementacin de encriptacin.

31

TECSUP

Sistema de Autenticacin y Cifrado

Los equipos de NAS y RADIUS soportan este protocolo, siendo

recomendado por la encriptacin de la cuenta de autentificacin del
CLIENTE.
CHAP no encriptara la informacin que se transmitir luego de establecer el
enlace, esta funcin esta asignada a las aplicaciones o la implementacin
de una VPN.
PROCESO:
El usuario realiza un peticin de autentificacin.
El RAS enva una llave FRASE al CLIENTE.
Con la llave es encriptada la informacin del CLIENTE.
EL RAS con la llave que posee, la desencriptara y procesara la
validacin.

32

TECSUP

Sistema de Autenticacin y Cifrado

La IEEE 802.1X es una norma de la IEEE para Control de Admisin de Red

basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE
802.1). Permite la autenticacin de dispositivos conectados a un puerto
LAN, estableciendo una conexin punto a punto o previniendo el acceso por
ese puerto si la autenticacin falla. Es utilizado en algunos puntos de
acceso inalmbricos cerrados y se basa en protocolo de autenticacin
extensible (EAP RFC 2284). El RFC 2284 ha sido declarado obsoleto en
favor del RFC 3748.
802.1X est disponible en ciertos conmutadores de red alambrados y puede
configurarse para autenticar nodos que estn equipados con software
suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa
de enlace de datos.
Algunos proveedores estn implementando 802.1X en puntos de acceso
inalmbricos que pueden utilizarse en ciertas situaciones en las cuales el
punto de acceso necesita operarse como un punto de acceso cerrado,
corrigiendo fallas de seguridad de WEP (IEEE 802.11i). Esta autenticacin
es realizada normalmente por un tercero, tal como un servidor de RADIUS.
Esto permite la autenticacin solo del cliente o, ms apropiadamente, una
autenticacin mutua fuerte utilizando protocolos como EAP-TLS.

33

TECSUP

Sistema de Autenticacin y Cifrado

34

TECSUP

Sistema de Autenticacin y Cifrado

35

TECSUP

Sistema de Autenticacin y Cifrado

36