tesis 2014-12.0

Gestin de portales cautivos con daloRADIUS en

Debian

Tesis profesional

(Opcin I)

Que para obtener el ttulo de:

Ingeniero en Sistemas Computacionales

Presentan:

Juan Alberto Monzn Garca

Roberto Salvador Vazquez Hermitao

Asesor de la tesis:

Ing. Milton Jos Martil Cruz

Tapachula, Chiapas, Septiembre de 2014

I

Dedicatoria


II


III

Agradecimientos


IV


V

Resumen

La finalidad de esta tesis es la gestin de portales cautivos en una red inalmbrica,

para lo cual se hace uso de la aplicacin daloRADIUS, con esto se puede llevar un

control adecuado de los usuarios existentes en un portal cautivo, ya sea chillispot,

coovachilli, y otros ms.

Destacando los parmetros de evaluacin como: Facilidad de instalacin, facilidad de

configuracin, seguridad, funcionalidad e Interfaz amigable para el Administrador. El

desarrollo de la aplicacin se realiz sobre una distribucin LINUX, debido a la

estabilidad, adems se ocup FREERADIUS que garantiza la conexin para la

autenticacin, interoperabilidad y sobre todo seguridad.

VI

Contenido

ndice de figuras ....................................................................................................... IX

ndice de tablas ...................................................................................................... XIII

Introduccin ............................................................................................................... 1

Captulo I Marco referencial del proyecto ............................................................... 3

1.1 Planteamiento del problema ........................................................................... 4

1.2 Antecedentes.................................................................................................... 4

1.3 Justificacin ..................................................................................................... 5

1.4 Objetivos ........................................................................................................... 5

1.4.1 Objetivo general ......................................................................................... 5

1.4.2 Objetivos especficos ................................................................................ 5

1.5 Metas ................................................................................................................. 6

1.6 Formulacin de hiptesis ................................................................................ 6

1.7 Lugar donde se va desarrollar ........................................................................ 6

Captulo II: Fundamento Terico ............................................................................. 7

2.1 Redes Inalmbricas ......................................................................................... 8

2.1.1 Definicin ................................................................................................... 8

2.1.2 Tecnologas actuales ................................................................................. 9

2.2 Seguridad en redes inalmbricas ................................................................. 12

2.2.1 Mtodos para garantizar Seguridad en redes inalmbricas ................ 13

2.2.2 Filtrado de direcciones MAC .................................................................. 14

2.2.3 WEP (Wired Equivalent Privacy) ............................................................. 14

2.3 Sistema Operativo Linux ............................................................................... 15

2.3.1 Caractersticas principales ..................................................................... 15

2.3.2 Distribucin Debian ................................................................................. 16

2.4 Servidor HTTP ................................................................................................ 20

2.4.1 Servidor HTTP Apache. ........................................................................... 21

2.4.1.1 Principales caractersticas de Apache ............................................ 22

2.4.1.2 Ventajas y Desventajas de Apache .................................................. 23

2.5 Protocolo AAA ................................................................................................ 25

2.5.1 Definicin de las siglas AAA................................................................... 26

2.5.1.1 Autenticacin (AUTHENTICATION) .................................................. 26

VII

2.5.1.2 Autorizacin (AUTHORIZATION) ...................................................... 26

2.5.1.3 Contabilidad (ACCOUNTING) ........................................................... 27

2.5.2 Listado de Protocolos AAA .................................................................... 28

2.6 NAS ................................................................................................................. 29

2.6.1 Uso ............................................................................................................ 30

2.7 Servidores RADIUS ........................................................................................ 31

2.7.1 Tipos de Servidores RADIUS .................................................................. 31

2.7.2 Servidores de licencia libre .................................................................... 31

2.7.2.1 FreeRADIUS ....................................................................................... 31

2.7.2.2 Radius Cistron ................................................................................... 34

2.7.2.3 XtRADIUS ........................................................................................... 35

2.7.3 Servidores de tipo comerciales .............................................................. 35

2.7.3.1 Radiator .............................................................................................. 35

2.7.3.2 AXL RADIUS ....................................................................................... 36

2.8 Portal Cautivo ................................................................................................. 39

2.8.1 Que es un portal cautivo? ..................................................................... 39

2.8.2 Tipos de Portales Cautivos ..................................................................... 39

2.8.2.1 Portales Cautivos por software ........................................................ 39

2.8.2.2 Portales Cautivos por Hardware ...................................................... 40

2.9 daloRADIUS .................................................................................................... 41

Captulo III Metodologa .......................................................................................... 44

3.1 Metodologa propuesta .................................................................................. 45

3.1.1 Requerimientos para la gestin de portales cautivos .......................... 45

3.1.2 Equipo y herramientas necesarias ......................................................... 45

3.1.3 Mtodo de investigacin ......................................................................... 46

3.1.4 Enfoque del proyecto .............................................................................. 47

3.1.5 Tcnica implementada para la recoleccin de informacin ................ 47

3.1.6 Fases de la metodologa ......................................................................... 49

3.1.6.1 Anlisis del problema ........................................................................ 49

3.1.6.2 Identificacin de las variables involucradas ................................... 49

3.1.6.3 Instalacin y configuracin de daloRADIUS ................................... 50

3.1.6.4 Documentacin .................................................................................. 50

VIII

3.2 Implementacin de la metodologa propuesta ............................................ 51

3.2.1 Anlisis de informacin obtenida a travs de encuestas .................... 51

3.2.2 Variables involucradas ............................................................................ 55

3.2.3 Instalacin y configuracin de daloRADIUS ......................................... 56

3.2.4 Implementacin de daloRADIUS ............................................................ 63

Capitulo IV Conclusiones y recomendaciones ..................................................... 95

4.1 Conclusiones.................................................................................................. 96

4.2 Recomendaciones ......................................................................................... 96

Anexos ..................................................................................................................... 97

Anexo I: Instalacin y configuracin de FreeRADIUS ...................................... 98

Anexo II: Instalacin y configuracin de ChilliSpot sobre FreeRADIUS ....... 107

Anexo III: Configuracin de FreeRADIUS con base de datos ........................ 132

Referencias ............................................................................................................ 137

IX

ndice de figuras

Figura 2.1 Interconexin Inalmbrica .......................................................................... 8

Figura 2.2 Tipo de estndares ................................................................................... 10

Figura 2.3 Grafica de distribucin Linux ms utilizada, realizado por w3Techs ........ 20

Figura 2.4 Funcin de un servidor HTTP .................................................................. 21

Figura 2.5 Diagrama de sistema NAS ....................................................................... 30

Figura 2.6 Caractersticas de daloRADIUS ............................................................... 42

Figura 2.7 Lenguajes soportados por daloRADIUS ................................................... 42

Figura 2.8 Empresas que apoyaron daloRADIUS ..................................................... 43

Figura 3.1 Formato de encuesta ............................................................................... 48

(Fuente: Obtenida de investigacin realizada) .......................................................... 48

Figura 3.2 Pregunta No. 1 ......................................................................................... 51








Figura 3.10 Pgina oficial de daloRADIUS ................................................................ 56

Figura 3.11 descarga del paquete desde consola ..................................................... 57

Figura 3.12: Comando para mover el directorio ........................................................ 57

Figura 3.13 Cambio de propietario y asignacion de permisos ................................... 57

Figura 3.14: Copia de archivos a /var/www/............................................................ 58

Figura 3.15: Creacin de tablas para el funcionamiento de daloRADIUS ................. 58

Figura 3.16: Configuracin del archivo daloradius.conf.php ...................................... 59

Figura 3.17: Configuracin del archivo para dar acceso a internet ........................... 60

Figura 3.18 Configuracin de archivo para agregar nuevos usuarios ....................... 61

Figura 3.19: Configuracin del archivo hotspotlogin.php ........................................... 62

Figura 3.20: Interfaz de inicio de daloRADIUS .......................................................... 63

Figura 3.21 Url para acceder a daloRADIUS............................................................. 63

Figura 3.22 Login de daloRADIUS ............................................................................ 64

Figura 3.23 Interfaz de inicio de daloRADIUS ........................................................... 64

Figura 3.24 Estado del servidor ................................................................................. 65

Figura 3.25 Estado de los servicios ........................................................................... 65

Figura 3.26 ltimos intentos de conexin del usuario portal ..................................... 66

Figura 3.27 Monitoreo de freeRADIUS ...................................................................... 66

Figura 3.28 Registros de daloRADIUS ...................................................................... 67

Figura 3.29 Grafica del total de usuarios existentes .................................................. 68

Figura 3.30 Creacin de nuevo usuario .................................................................... 69

Figura 3.31 Listado de usuarios existentes ............................................................... 70

Figura 3.32 Eliminacin de un usuario ...................................................................... 71

Figura 3.33 Agregar nuevo usuario por direccin MAC ............................................. 71

X

Figura 3.34 Seccin de reportes ............................................................................... 72

Figura 3.35 Lista de usuarios que estn en lnea ...................................................... 72

Figura 3.36 ltimos intentos de conexin del usuario portal ..................................... 73

Figura 3.37 Informacin general del servidor ............................................................ 74

Figura 3.38 Men Accounting .................................................................................... 75

Figura 3.39 Informacin del plan ............................................................................... 76

Figura 3.40 Anlisis de la suscripcin del usuario portal ........................................... 77

Figura 3.41 Informacin de sesin ............................................................................ 77

Figura 3.42 Tabla de registro de las sesiones realizadas por el usuario portal ......... 78

Figura 3.43 Contabilidad por direccin IP ................................................................. 79

Figura 3.44 Contabilidad de un usuario por fecha ..................................................... 80

Figura 3.45 Contabilidad de usuarios activos ............................................................ 81

Figura 3.46 Modulo billing de daloRADIUS ............................................................... 82

Figura 3.47 Informacin General Cartogrfica (GIS) ................................................. 82

Figura 3.48 Inicios de sesin realizados por un usuario en un da especifico ........... 84

Figura 3.49 Sesiones iniciadas por el usuario cecodic el da 21 ............................... 84

Figura 3.50 Grafica del total de datos descargados .................................................. 85

Figura 3.51 Datos numricos del total de datos descargados ................................... 85

Figura 3.52 Grafica del total de datos cargados (subidos) ........................................ 86

Figura 3.53 Datos numricos del total de datos cargados (subidos). ........................ 86

Figura 3.54 Grafica de los inicios de sesin, distribuidos por mes ............................ 87

Figura 3.55 Datos numricos de los inicios de sesin, distribuidos por mes ............. 87

Figura 3.56 Grafica de inicios de sesin realizados, distribuidos por da .................. 88

Figura 3.57: Datos numricos de inicios de sesin realizados, distribuidos por da .. 88

Figura 3.58 Grafica de las descargas de datos realizadas (distribuido por da) ........ 89

Figura 3.59: Grafica de las cargas de datos realizadas (distribuido por da) ............. 89

Figura 3.60 Grafica de los datos descargados por los usuarios (distribuido por mes)

.................................................................................................................................. 90

Figura 3.61 Grafica de los datos cargados por los usuarios (distribuido por mes) .... 90

Figura 3.62 Usuarios logeados en un da especifico ................................................. 91

Figura 3.63 Modulo de configuracin ........................................................................ 91

Figura 3.64 Operadores de daloRADIUS .................................................................. 93

Figura 3.65 Respaldos realizados de FreeRADIUS y daloRADIUS .......................... 93

Figura 3. 66 Seccion para seleccionar tablas de freeRADIUS .................................. 94

Figura 3.67 Seccin para seleccionar tablas de daloRADIUS .................................. 94

Figura A1-1 Descarga de paquete fuente de FreeRADIUS ....................................... 98

Figura A1-2 Instalacin de libssl-dev y build-essential .............................................. 99

Figura A1-3 Descomprimiendo el paquete FreeRADIUS .......................................... 99

Figura A1-4 Copia de FreeRADIUS a la carpeta personal ........................................ 99

Figura A1-5 Configuracin de FreeRADIUS ............................................................ 100

Figura A1-6 Ejecucin del comando make .............................................................. 100

Figura A1-7 Ejecucin del comando make install .................................................... 100

Figura A1-8 Edicin del archivo eap.conf ................................................................ 101

XI

Figura A1-9 Modificacin del archivo eap.conf ........................................................ 102

Figura A1-10 Copia y edicin del archivo users ...................................................... 102

Figura A1-11 Modificacin del archivo users ........................................................... 103

Figura A1-12 Edicin del archivo mschap ............................................................... 103

Figura A1-13 Modificacin del archivo mschap ....................................................... 104

Figura A1-14 Funcionamiento del servidor RADIUS ............................................... 105

Figura A1-15 Edicin del archivo clients.conf .......................................................... 106

Figura A1-16 Configuracin de clients.conf ............................................................. 106

Figura A1-17 Prueba de servidor RADIUS .............................................................. 107

Figura A1-18 Usuario encontrado y aceptado ......................................................... 107

Figura A2-1 Topologa de red con ChilliSpot ........................................................... 108

Figura A2-2 Descarga del paquete fuente de ChilliSpot .......................................... 109

Figura A2-3 Instalacin de apache .......................................................................... 110

Figura A2-4 Creacin del directorio para el certificado ............................................ 110

Figura A2-5 Creacin del certificado SSL ............................................................... 110

Figura A2-6 Habilitacin del mdulo ........................................................................ 111

Figura A2-7 Edicin del archivo ports.conf .............................................................. 111

Figura A2-8 Configuracin del archivo ports.conf .................................................... 112

Figura A2-9 Creacin del archivo ssl ....................................................................... 112

Figura A2-10 Estructura del certificado ssl .............................................................. 113

Figura A2-11 Habilitacin del nuevo sitio ................................................................ 114

Figura A2-12 Reinicio de apache ............................................................................ 114

Figura A2-13 Pgina de nuestro sitio con http......................................................... 114

Figura A2-14 Pgina de nuestro sitio con https ....................................................... 115

Figura A2-15 Instalacin de modconf ...................................................................... 115

Figura A2-16 Configuracin de TUN ....................................................................... 115

Figura A2-17 Mdulos soportados por el sistema ................................................... 116

Figura A2-18 Localizacin de tun ............................................................................ 117

Figura A2-19 Instalando el modulo tun .................................................................... 117

Figura A2-20 Agregacin de tun al inicio del sistema .............................................. 118

Figura A2-21 Configuracin del archivo modules .................................................... 118

Figura A2-22 Asignacin de valor para hacer NAT ................................................. 119

Figura A2-23 Edicin del archivo sysctl ................................................................... 119

Figura A2-24 Agregacin de: net.ipv4.ip_forward=1 ............................................... 119

Figura A2-25 Instalacin de ChilliSpot .................................................................... 120

Figura A2-26 Descomprimir y copiar el archivo hotspotlogin.cgi ............................. 120

Figura A2-27 Edicin del archivo chilli.conf ............................................................. 122

Figura A2-28 Red sobre la que trabaja chillispot ..................................................... 122

Figura A2-29 Cadena del secreto compartido entre Radius y Chillispot ................. 122

Figura A2-30 Direccin IP del servidor DNS ........................................................... 123

Figura A2-31 Direccin IP del servidor RADIUS (loopback) .................................... 123

Figura A2-32 Interfaz por la que se proveer dhcp ................................................. 123

XII

Figura A2-33 Url de servidor de autenticacin y secreto entre ChilliSpot y servidor de

autenticacin ........................................................................................................... 124

Figura A2-34 Direccin IP del sitio web ................................................................... 124

Figura A2-35 radiusnasid ........................................................................................ 124

Figura A2-36 Direccin de loopback para redireccionar a los usuarios ................... 124

Figura A2-37 Modificacin de archivo users de FreeRADIUS ................................. 125

Figura A2-38 Modificacin del archivo users ........................................................... 125

Figura A2-39 Ubicacin del archivo clients.conf ...................................................... 126

Figura A2-40 Configuracin de clients.conf ............................................................. 126

Figura A2-41 Edicin del archivo hotspotlogin.cgi ................................................... 127

Figura A2-42 Descomentar lneas: $uamsecret=secretouam; y $userpassword=1;

................................................................................................................................ 127

Figura A2-43 Asignacin de permisos al archivo hotspotlogin.cgi........................... 127

Figura A2-44 Copia y asignacin de permisos a chillispot.iptables ......................... 128

Figura A2-45 Edicin del archivo chillispot.iptables ................................................. 129

Figura A2-46 Agregacin de las reglas al inicio del sistema ................................... 129

Figura A2-47 Cdigo principal para el redireccionamiento al portal ........................ 130

Figura A2-48 Reinicio de todos los servicios ........................................................... 130

Figura A2-49 Sitio corporativo del portal cautivo ..................................................... 131

Figura A2-50 Pgina de login para accesar a la red ............................................... 132

Figura A3-1: Edicin del archivo radiusd.conf ......................................................... 133

Figura A3-2: Edicin del archivo default .................................................................. 134

Figura A3-3: Edicin del archivo sql.conf ................................................................ 135

Figura A3-4: Creacion de las tablas para FreeRADIUS .......................................... 136

XIII

ndice de tablas

Tabla 2.1 Comparacin de los estndares bsicos.....11

Tabla 2.2 Amenazas de seguridad ms relevantes en redes inalmbricas.14

Tabla 2.3 Caractersticas de servidores RADIUS.37

Tabla 2.3 Caractersticas de servidores RADIUS (Continuacin).38

1

Introduccin

Con la aparicin de internet se solucionaron muchos problemas de comunicacin a

nivel mundial, las redes se expandieron brindando a las instituciones varias opciones

para compartir y obtener informacin, una de estas opciones son las redes locales

Wireless (WLAN).

El uso de WLAN ha crecido exponencialmente es por eso que las instituciones buscan

formas de hacer ms eficientes sus redes actuales, tanto en aspectos de seguridad

como con el aprovechamiento de los recursos disponibles. Dentro de este contexto, se

vuelve necesario emplear mecanismos para administrar de forma eficiente el recurso

de red disponible para el correcto funcionamiento de los diferentes servicios dentro de

la red, como el empleo de mecanismos de control de acceso a usuarios o

autenticacin.

En la elaboracin del proyecto con el nombre: Gestin de portales cautivos con

daloRADIUS en Debian se dan a conocer la importancia que tienen un portal cautivo,

pero an ms importante la gestin de usuarios, informes grficos, entre otras

opciones dentro de la red por medio de una aplicacin web llamada daloRADIUS.

DaloRADIUS, es una aplicacin avanzada de gestin de un servicio RADIUS; web

destinadas a la gestin de puntos de acceso y las implementaciones de proveedor de

internet para fines generales. Es una interfaz web administrativa que permite configurar

y administrar un servidor FreeRADIUS. Un portal cautivo (o captivo) es un programa o

mquina de una red informtica que vigila el trfico http y https en los puertos TCP 80

y 443 para dirigir a un servidor web que obliga a los usuarios a pasar por una pgina

especial si quieren navegar por Internet de forma normal.

La aplicacin intercepta todo el trfico HTTP y/o HTTPS hasta que el usuario se

autentica.

2

En un portal Cautivo el usuario tiene que introducir sus credenciales (usuario y

contrasea o certificado electrnico) en su navegador para ser autorizados a utilizar la

red. La estructura de este documento se encuentra conformada por cinco captulos los

cuales se detallan a continuacin.

Captulo I Marco referencial: En este captulo se hace una descripcin de las razones

fundamentales para efectuar el estudio de la gestin de portales cautivos y los

objetivos que se alcanzaran.

Captulo II Fundamento terico: En este captulo se da una referencia terica sobre

daloRADIUS, redes inalmbricas, sus componentes, funcionamiento, amenazas

contra seguridad y mtodos de proteccin, en este captulo tambin se presenta

informacin en general de portales cautivos como su funcionamiento, tipos y

componentes. Tambin se describe la metodologa utilizada as como la tcnica

utilizada para recopilar informacin y el vaciado e interpretacin del mismo.

Captulo III Metodologa: En este captulo se detallara la metodologa que se propone

para el desarrollo del proyecto y tambin la implementacin de esta. Algunos otros

aspectos que se abordan son: el tipo de investigacin que se realizara y la tcnica

utilizada para la recopilacin de informacin, as como, la interpretacin de la

informacin recolectada.

Captulo IV: Conclusiones y recomendaciones: En este ltimo captulo se

mencionan las conclusiones que ha dejado el proyecto para dar claridad a los

conceptos desarrollados y servir de base a futuros desarrollos de la misma rea,

tambin se dan algunas recomendaciones sobre la gestin de portales cautivos.

3

Captulo I Marco referencial

del proyecto

1.1 Planteamiento del problema

1.2 Antecedentes

1.3 Justificacin

1.4 Objetivos

1.4.1 Objetivo general

1.4.2 Objetivos especficos

1.5 Metas

1.6 Formulacin de hiptesis

1.7 Programa de actividades,

calendarizacin

1.8 Lugar donde se va desarrollar

4

1.1 Planteamiento del problema

Un portal cautivo necesita ser gestionado para tener el control de los usuarios que se

tienen y poder generar informes grficos por lo que se requiere de una aplicacin para

generar dichos informes.

1.2 Antecedentes

Un Portal Cautivo es una pgina Web con la cual un usuario de una red pblica y/o

privada debe interactuar antes de garantizar su acceso a las funciones normales de la

red. Estos portales son principalmente utilizados por centros de negocios, aeropuertos,

hoteles, cafeteras, cafs Internet y otros proveedores que ofrecen hotspots de Wi-Fi

para usuarios de Internet.

Cuando un usuario potencial se autentica por primera vez ante una red con un portal

cautivo, se presenta una pgina Web en la cual se requieren ciertas acciones antes de

proceder con el acceso.

Un portal cautivo sencillo obliga al visitante a que por lo menos mire (as no lea) y

acepte las polticas de uso, pulsando un botn en la pgina. Supuestamente esto

puede absolver al proveedor del servicio de cualquier culpa por el uso anormal y/o

ilegal del servicio.

En otros portales se provee publicidad para el proveedor y/o sus patrocinadores y el

usuario deber hacer clic en la publicidad o cerrar la ventana en las cuales aparecen

estos comerciales antes de continuar con el uso del servicio. En algunos casos se

debe ingresar una identificacin y/o clave asignada antes de acceder a Internet, con el

objetivo de desalentar a quienes quieran usar estos servicios para usos no

autorizados.

5

1.3 Justificacin

Un portal cautivo es un conjunto de pginas web que emergen en cualquier peticin

que hagan los clientes, para identificar y tener el control sobre los usuarios.

Este proyecto surge por la necesidad de brindar seguridad y gestionar el acceso

indebido a una red inalmbrica utilizando un portal cautivo.

Con la implementacin de daloRADIUS podremos generar informes grficos, adems

de estadsticas de un portal cautivo que utilice la autenticacin de usuarios con

FreeRADIUS. Esta aplicacin adems de generar informes tambin nos permite

gestionar los usuarios que tenemos creados, es decir podemos crear, modificar o

eliminar usuarios, tambin se puede tener control de los puntos de acceso que se

tengan registrados.

1.4 Objetivos

1.4.1 Objetivo general

El objetivo principal es gestionar portales cautivos utilizando una solucin libre, la cual

nos va servir para realizar la administracin de usuarios y generar informes del uso de

los datos en la red. Estos datos servirn para realizar un anlisis de toda la informacin

que fluye en la red inalmbrica.

1.4.2 Objetivos especficos

Implementacin de un servidor RADIUS para la gestin de una red inalmbrica

mediante servicio de autenticacin

Anlisis de los datos que usa la red inalmbrica para generar histricos

estadsticos

Manejo de una Base de Datos para la creacin de credenciales de usuarios

6

Generar estadsticas y grficos de los aspectos ms relevantes para una mejor

interpretacin de los datos

1.5 Metas

Administracin de usuarios existentes en nuestra red (creacin y eliminacin de

usuarios)

Gestin de las actividades que realizan los usuarios en nuestra red (pginas

visitadas, fecha y hora de las conexiones realizadas, nmero de veces que se

conecta un usuario en un periodo determinado)

Generacin de grficas de aspectos o datos que sirvan para llevar un control de

usuarios u otras caractersticas

1.6 Formulacin de hiptesis

La hiptesis nos indica lo que estamos buscando o tratando de probar y pueden

definirse como explicaciones tentativas del fenmeno investigado, formuladas a

manera de proposiciones. En una investigacin podemos tener una, dos o ms

hiptesis, y hay ocasiones en las que no se tiene hiptesis.

Hiptesis:

Llevar un control de una red inalmbrica nos proporciona informacin detallada en la

toma de decisiones para brindar un mejor servicio.

1.7 Lugar donde se va desarrollar

El presente proyecto de tesis se desarrolla en el Laboratorio de Software Libre

(LABSOL), ubicado en el Consejo Zacatecano de Ciencia, Tecnologa e Innovacin

(COZCyT) en la ciudad de Zacatecas, Zacatecas Mxico.

7

Captulo II:

Fundamento Terico

2.1 Redes Inalmbricas

2.1.1 Definicin

2.1.2 Tecnologas actuales

2.2 Seguridad en redes inalmbricas

2.2.1 Mtodos para garantizar

seguridad en redes inalmbricas

2.2.2 Filtrado de direcciones MAC

2.2.3 WEP (Wired Equivalent Privacy)

2.3 Sistema Operativo Linux

2.3.1Caracteristicas principales

2.3.2Distriibucion Debian

2.4 Servidor HTTP

2.4.1 Servidor HTTP Apache

2.5 Protocolo AAA

2.5.1 Definicin de las siglas AAA

2.5.2 Listado de protocolos AAA

2.6 NAS

2.6.1 Uso

2.7 Servidores RADIUS

2.7.1 Tipos de servidores RADIUS

2.7.2 Servidores de licencia libre

2.7.3 Servidores de tipo comerciales

2.8 Portal Cautivo

2.8.1 Qu es un portal cautivo?

2.8.2 Tipos de portales cautivos

2.9 daloRADIUS

8

2.1 Redes Inalmbricas

2.1.1 Definicin

Cuando hablamos de redes inalmbricas, nos referimos a una interconexin de

dispositivos con la capacidad de compartir informacin entre ellos, pero sin un medio

fsico de transmisin. Estos dispositivos pueden ser de muy variadas formas y

tecnologas1, en la figura 2.1 se muestran algunos de ellos:

Computadoras de escritorio

Telfonos celulares

Asistentes digitales personales (PDA)

Access point, encargado de permitir a los dispositivos inalmbricos el

acceso a la red

Computadoras porttiles: laptop, netbook, notebook

Figura 2.1 Interconexin Inalmbrica (Fuente: http://www.informaticamoderna.com/Redes_inalam.htm)

1 (moderna, 2014)

9

2.1.2 Tecnologas actuales

Las tecnologas ms comunes en la actualidad para interconexin inalmbrica son:

a) Wi-Fi (Wireless Fidelity): En lenguaje espaol significa literalmente fidelidad

sin cables. Tambin se les denomina WLAN (Wireless Local Area Network) o redes de

rea local inalmbricas. Se trata de una tecnologa de transmisin inalmbrica por

medio de ondas de radio con muy buena calidad de emisin para distancias cortas

(hasta tericamente 100 metros).

Este tipo de transmisin se encuentra estandarizado por la IEEE, siglas en ingles del

Instituto de Ingenieros en Electricidad y Electrnica, la cal es una organizacin

internacional que define las reglas de operacin de ciertas tecnologas.

Para la transmisin es necesario el uso de antenas integradas en las tarjetas, adems

este tipo de ondas son capaces de traspasar obstculos sin necesidad de estar frente

a frente el emisor y el receptor.

El estndar IEEE 802.11x es un estndar internacional que define las caractersticas

de una red de rea local inalmbrica (WLAN), el cual se enfoca directamente con la

capa fsica y enlace de datos del modelo OSI para todas las conexiones inalmbricas

que utilizan ondas electromagnticas. Al estndar IEEE 802.11x tambin se lo define

como el Conjunto Bsico de Servicio (BSS) que consiste en dos o ms nodos

inalmbricos o estaciones que se conocen una a la otra y pueden transmitir

informacin entre ellos2.

El estndar 802.11x ha venido presentando modificaciones con el transcurso del

tiempo para cada vez optimizar ms el ancho de banda. Los estndares IEEE 802.11b,

IEEE 802.11g e IEEE 802.11n disfrutan de una aceptacin internacional debido a que

trabajan en la banda de 2.4 GHz que est disponible casi universalmente, alcanzando

2 (Wikipedia, Estandar IEEE 802.11x, 2014)

10

velocidades de hasta 11 Mbit/s, 54 Mbit/s y 300 Mbit/s, respectivamente, en la figura

2.2 se muestra la representacin de tipos de estndares.

Figura 2.2 Tipo de estndares (Fuente: http://es.wikipedia.org/wiki/IEEE_802.11)

A continuacin se muestra la comparacin de los estndares bsicos en la tabla 2.1.

Estndar. Ao de

Lanzamiento.

Frecuencia. Tasa de

Velocidad.

Tcnica de

Modulacin.

802.11b 1999 2 GHz 11 Mbps DSSS

802.11a 1999 5 GHz 54 Mbps OFDM

802.11g 2003 2.4 GHz 54 Mbps OFDM

802.11n 2007 2.4 GHz 500 Mbps SDM/OFDM Tabla 2.1: Comparacin de los estndares bsicos (Fuente: http://es.wikipedia.org/wiki/IEEE_802.11)

Para el uso de redes "Wireless" es necesario que los dispositivos dispongan de un

emisor ya sea integrado o agregado para el uso de este tipo de red3.

Computadoras de escritorio: un emisor/receptor integrado en la Motherboard,

una tarjeta PCI inalmbrica o un adaptador USB para red inalmbrica

Computadoras porttiles: en caso de no tenerlo integrado se puede usar una

tarjeta PCMCIA para red inalmbrica o un adaptador USB para red inalmbrica

PDA: tiene integrada la tarjeta de red inalmbrica

Celular: En la actualidad la todos los telfonos muy especializados tienen la

tarjeta de red inalmbrica integrada

3 (Gutierrez, 2014)

11

b) Infrarrojo (Ir): Se trata de una tecnologa de transmisin inalmbrica por medio

de ondas de calor a corta distancia (hasta 1 m), capaces de traspasar cristales.

Tiene una velocidad promedio de transmisin de datos hasta de 115 Kbps (Kilobits por

segundo), no utiliza ningn tipo de antena, sino un diodo emisor semejante al de los

controles remoto para televisin. Funciona solamente en lnea recta, debiendo tener

acceso frontal el emisor y el receptor ya que no es capaz de traspasar obstculos

opacos.

Para el uso de redes infrarrojas es necesario que los dispositivos dispongan de un

emisor ya sea integrado o agregado para el uso de este tipo de red.4

Computadoras de escritorio: un adaptador infrarrojo USB o en su caso un

puerto integrado al gabinete

Computadoras porttiles: un adaptador infrarrojo USB

PDA: tiene integrado el puerto infrarrojo

Celular: algunos telfonos tienen integrado el puerto infrarrojo

c) Bluetooth: En lenguaje espaol significa literalmente diente azul, ello por ser un

nombre de un Rey de la antigedad. Se trata de una tecnologa de transmisin

inalmbrica por medio de ondas de radio de corto alcance (1, 20 y 100 m a la redonda

dependiendo la versin). Las ondas pueden incluso ser capaces de cruzar cierto tipo

de materiales, incluyendo muros.

Para la transmisin de datos no es necesario el uso de antenas externas visibles, sino

que pueden estar integradas dentro del mismo dispositivo. Este tipo de transmisin se

encuentra estandarizado de manera independiente y permite una velocidad de

transmisin de hasta 1 Mbps.

4 (Gutierrez, 2014)

12

Para el uso de redes Bluetooth es necesario que los dispositivos dispongan de un

emisor integrado o agregado para el uso de este tipo de red.

Computadoras de escritorio: un adaptador Bluetooth USB

Computadoras porttiles: un adaptador Bluetooth USB

PDA: tiene integrado el emisor Bluetooth

Celular: tiene integrado el emisor Bluetooth

d) Microondas: Se trata de comunicaciones a gran escala, muy caras y con poco

uso domstico. Las hay de dos tipos:

Satelitales: se realizan a travs de bases terrestres con antenas que envan

seales al satlite, este se encarga de direccionarlas hacia la estacin receptora

con la onda amplificada para evitar prdidas

Terrestres: se basan en conexiones denominadas punto a punto, ya que sus

antenas deben estar sin obstculos fsicos para evitar fallas en la transmisin

e) Lser: Son tecnologas de muy alta velocidad, basadas en el envo de datos en

grandes regiones por medio de un haz de luz lser emitida por un diodo especial (hasta

5 Km. de distancia) y un foto-diodo que reciba las seales. Tiene la desventaja de que

es necesaria una conexin punto a punto, esto es que el emisor y el receptor no

cuenten con ningn tipo de obstculo entre s.

2.2 Seguridad en redes inalmbricas

Una de las razones por las cuales las redes inalmbricas son tan populares es el

acceso sin necesidad de usar cables de red, esto a la vez es el problema ms grande

en cuanto a seguridad se refiere. Cualquier equipo o dispositivo que se a 100metros o

menos de un punto de acceso, podra tener acceso a la red.5

5 (Seguridad en redes, 2014)

13

En la tabla 2.2 se muestran unas de las amenazas de seguridad ms relevantes que

existen en las redes inalmbricas.

Tabla 2.2 Amenazas de seguridad ms relevantes en redes inalmbricas (Fuente: http://www.redusers.com/noticias/seguridad-en-redes-autenticacion-con-servidores-aaa/)

2.2.1 Mtodos para garantizar Seguridad en redes inalmbricas

Para que una red se pueda considerar como segura, debe cumplir con los siguientes

requisitos:

Las ondas de radio deben confinarse tanto como sea posible. Esto es difcil de

lograr en su totalidad, pero se pueden obtener buenos resultados empleando

antenas direccionales y configurando adecuadamente la potencia de

transmisin de los puntos de acceso

Debe existir un mecanismo de autenticacin de doble va, que permita al cliente

verificar que se est conectando a la red correcta, y a la red constatar que el

cliente est autorizado para acceder a ella

Los datos deben viajar cifrados por el aire, para evitar que equipos ajenos a la

red puedan capturar datos mediante escucha pasiva6


Confidencialidad Riesgo de interferencia, usuarios no autorizados pueden obtener acceso al trfico de datos en su red

Riesgo de arrebato de trfico y riesgo de un ataque o tipo de intermediario

Integridad - Riesgo de alteracin de trfico en la red.

Disponibilidad Riesgo de interferencia, negacin de servicio (cuestionamiento)

Riesgo de no disponibilidad de ancho de banda debido a retransmisiones de radio

Riesgo de no disponibilidad de ancho de banda debido a software malicioso

Autenticacin Riesgo de acceso no autorizado a su intranet

Riesgo de uso no autorizado

14

Existen varios mtodos para lograr la configuracin segura de una red inalmbrica, a

continuacin se mencionan algunos de ellos.

2.2.2 Filtrado de direcciones MAC

El filtrado de direcciones MAC tiene como finalidad proteger la red inalmbrica e

impedir el acceso de dispositivos inalmbricos no autorizados.

Cuando se activa el filtrado de direcciones MAC, solo pueden asociarse a la puerta de

enlace y transferir datos a travs de una conexin inalmbrica las tarjetas de PC y los

puntos de acceso cuyas direcciones MAC correspondan con las que el usuario haya

programado en la puerta de enlace.7

Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos

de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC (Media

Access Control) de las tarjetas de red inalmbricas que se pueden conectar al punto

de acceso. Como toda tarjeta de red posee una direccin MAC nica, se logra

autenticar el equipo.

2.2.3 WEP (Wired Equivalent Privacy)

WEP fue el primer protocolo de encriptacin introducido en el primer estndar IEEE

802.11 en 1999. Est basado en el algoritmo de encriptacin RC4 con una clave

secreta de 40 o 104 bits, combinada con un vector de inicializacin (IV) de 24 bits para

encriptar el mensaje de texto.8

El protocolo WEP no fue creado por expertos en seguridad o criptografa, as que

pronto se demostr que era vulnerable ante los problemas RC4 descritos por David

7 (Robotic, 2014) 8 (Seguridad WEP, 2014)

15

Wagner cuatro aos antes. Desde entonces se ha aceptado que WEP proporciona un

nivel de seguridad aceptable solo para usuarios domsticos y aplicaciones no crticas.9

2.3 Sistema Operativo Linux

Linux es un sistema operativo con un ncleo basado en Unix. Es uno de los principales

ejemplos de software libre, est licenciado bajo la GPLv2 y est desarrollado por

colaboradores de todo el mundo.

El ncleo de Linux fue concebido por el entonces estudiante de ciencias de la

computacin finlands, Linus Torvalds, en 1991. Pero Torvalds decidi aprovechar el

sistema GNU y completarlo con su propio ncleo, que bautiz como Linux (Linux

IsNotUniX). El sistema conjunto (herramientas GNU y ncleo Linux) forma lo que

llamamos GNU/Linux, y consigui rpidamente que desarrolladores y usuarios

adoptaran cdigos de otros proyectos de software libre para su uso en nuevas

distribuciones.10

El ncleo Linux ha recibido contribuciones de miles de programadores de todo el

mundo. Normalmente Linux se utiliza junto a un empaquetado de software, llamado

distribucin Linux y servidores. Su cdigo fuente puede ser utilizado, modificado y

redistribuido libremente por cualquiera bajo los trminos de la GPL (General Public

License).

2.3.1 Caractersticas principales

Sistema Multitarea. Describe la habilidad de ejecutar, aparentemente al mismo

tiempo, numerosos programas sin obstaculizar la ejecucin de cada aplicacin.

Esto se conoce como multitarea preferente, porque cada programa tiene

garantizada la posibilidad de correr

9 (Schauer, 2014) 10 (Wikipedia, sistema operativo Linux, 2014)

16

Sistema Multiusuario. El concepto de que numerosos usuarios pudieran

accesar aplicaciones o el potencial de procesamiento en una sola PC era un

mero sueo hace unos cuantos aos. Linux permite que ms de una sola

persona pueda trabajar en la misma versin de la misma aplicacin de manera

simultnea, desde las mismas terminales, o en terminales separadas

(elinux.com.mx)

Programacin. Linux cuenta con un conjunto poderoso de herramientas para

el desarrollo de programas: C, C++, ObjectiveC, Pascal, Fortran, BASIC, CLISP,

SmallTalk, Ada, Perl, as como depuradores y bibliotecas compartidas de enlace

dinmico (DLL)

Estabilidad. Linux se ha distinguido por su estabilidad de operacin, se han

conocido y comentado muchos casos de equipo trabajando por ms de un ao

sin tener que apagar o reiniciarlo

Velocidad. Los equipos Linux tambin se han distinguido por su extraordinaria

velocidad. El sistema operativo administra eficientemente los recursos como

memoria, poder de CPU y espacio en disco

Portabilidad. Una de las caractersticas ms importantes de Linux es su

portabilidad. En la actualidad es usado en las plataformas Intel x86, PowerPC,

Macintosh, Amiga, Atari, DEC Alpha, Sun Sparc, ARM y otras ms11

2.3.2 Distribucin Debian

Debian GNU/Linux es un sistema operativo libre, desarrollado por ms de mil

voluntarios alrededor del mundo, que colaboran a travs de Internet. La dedicacin de

Debian al software libre, su base de voluntarios, su naturaleza no comercial y su

modelo de desarrollo abierto la distingue de otras distribuciones del sistema operativo

GNU. Todos estos aspectos y ms se recogen en el llamado Contrato Social de

Debian.

11 (Wikipedia, sistema operativo Linux, 2014)

17

Naci en el ao 1993, de la mano del proyecto Debian, con la idea de crear un sistema

GNU usando Linux como ncleo ya que el proyecto Debian, organizacin responsable

de su mantenimiento en la actualidad, tambin desarrolla sistemas GNU basados en

otros ncleos (Debian GNU/Hurd, Debian GNU/NetBSD y Debian GNU/kFreeBSD).

Uno de sus principales objetivos es separar en sus versiones el software libre del

software no libre. El modelo de desarrollo es independiente a empresas, creado por

los propios usuarios, sin depender de ninguna manera de necesidades comerciales.

Debian no vende directamente su software, lo pone a disposicin de cualquiera en

Internet, aunque s permite a personas o empresas distribuir comercialmente este

software mientras se respete su licencia.12

Debian Linux puede instalarse utilizando distintos mecanismos de instalacin, como

DVD, CD, Blu-Ray, memorias USB y diskettes, e incluso directamente desde la red.

Caractersticas

La disponibilidad en varias arquitecturas. La versin estable incluye soporte para 12

plataformas:

i386 x86-32

amd64 x86-64

alpha DEC Alpha

sparc Sun SPARC

arm Arquitectura ARM

armel Emulador de ARM Emulator

powerpc Arquitectura PowerPC

ia64 Arquitectura Intel Itanium (IA-64)

12 (debian, 2014)

18

mips, mipsel Arquitectura MIPS (big-endian y little-endian)

s390 Arquitectura IBM ESA/390 y z/Architecture

m68k Arquitectura Motorola 68k en Amiga, Atari, Mac, y varios sistemas

embebidos VME

Una amplia coleccin de software disponible. La versin 5.0 viene con ms de 23.000

paquetes y la versin 6.0 con casi 30.000.2.

Un grupo de herramientas para facilitar el proceso de instalacin y actualizacin del

software (APT, Aptitude, Dpkg, Synaptic, Dselect, etc.) Todas ellas obtienen

informacin de donde descargar software desde /etc/apt/sources.list, que contiene los

repositorios.

Su compromiso con los principios y valores involucrados en el movimiento del Software

Libre. No tiene marcado ningn entorno grfico en especial, pudindose no instalar

ninguno, o instalar GNOME, KDE, Xfce, LXDE, Enlightenment u otro.13

Requisitos mnimos para la instalacin de Debian 6.

Los requisitos mnimos que nos recomiendan en la propia web de Debian, son los

siguientes:

Instalacin sin escritorio

Procesador: Pentium 4 a 1Ghz

Memoria RAM 64MB

Disco duro: 1GB

13 (debian, 2014)

19

Instalacin con escritorio

Procesador: Pentium 4 a 1Ghz

Memoria RAM: 128MB

Disco duro: 5GB14

Debian como servidor

Segn las estadsticas publicadas por W3techs, Debian no solo mantiene la corona de

distribucin Linux ms utilizada en el mbito de los servidores desde 2012, sino que

su cuota de mercado ha crecido considerablemente, posicionndola a la cabeza del

pelotn con bastante holgura.

El auge del sistema operativo universal ha sido contundente, pues a principios de 2012

recuperaba el terreno perdido frente a CentOS, pero todava se disputaban ambas la

cspide de la grfica. Ahora, la situacin es muy distinta.15

Por primera vez, Ubuntu supera a CentOS en servidores, lo que deja a la distribucin

de Canonical en un segundo puesto y otorga al binomio Debian / Ubuntu un 58,5% del

pastel, que se reduce al 37,3% en el caso de CentOS / Red Hat, en tercer y cuarto

lugar respectivamente.

14 (Rodriguez, 2014) 15 (Muy linux, 2014)

20

Como se puede observar en la figura 2.3, la tendencia, adems, es realmente

favorable para Ubuntu.

Figura 2.3 Grafica de distribucin Linux ms utilizada, realizado por w3Techs (Fuente: http://www.muylinux.com/2013/10/25/debian-sigue-numero-uno-en-servidores)

2.4 Servidor HTTP

Un servidor HTTP es un programa informtico que procesa una aplicacin del lado del

servidor realizando conexiones bidireccionales y unidireccionales y sncronas o

asncronas con el cliente generando una respuesta en cualquier lenguaje o aplicacin

del lado del cliente.

21

En la figura 2.4 se observa el funcionamiento de un servidor http. El cdigo recibido

por el cliente suele ser compilado y ejecutado por un navegador web.

Figura 2.4 Funcin de un servidor HTTP (Fuente: http://www.edu4java.com/es/web/web30.html)

Los servidores HTTP pueden disponer de intrpretes de otros lenguajes de

programacin que ejecutan cdigo embebido dentro del cdigo HTML de las pginas

que contiene el sitio antes de enviar el resultado al cliente. Esto se conoce como

programacin de lado del servidor y utiliza lenguajes como ASP, PHP, Perl y Ajax.16

2.4.1 Servidor HTTP Apache.

El servidor HTTP Apache es un servidor web HTTP de cdigo abierto, para plataformas

Unix, BSD, GNU/Linux, Microsoft Windows, Macintosh y otras, que implementa el

protocolo HTTP/1.1. Cuando comenz su desarrollo en 1995 se bas inicialmente en

cdigo del popular NCSA HTTPd 1.3. El servidor Apache nace dentro del proyecto

HTTP Server (httpd) desarrollado por la Apache Software Foundation, y est diseado

para ser un servidor web potente y flexible que puede funcionar en la ms amplia

variedad de plataformas y entornos.

16 (Servidor HTTP, 2014)

22

Las diferentes plataformas y los diferentes entornos, hacen que a menudo sean

necesarias diferentes caractersticas o funcionalidades, o que una misma

caracterstica o funcionalidad sea implementada de diferente manera para obtener una

mayor eficiencia.17

2.4.1.1 Principales caractersticas de Apache

Entre las principales caractersticas de apache tenemos:

Sistema de Cdigo Abierto. Apache es una tecnologa gratuita de cdigo

fuente abierto, esto le da una transparencia a este software de manera que si

queremos ver qu es lo que estamos instalando como servidor, podemos saber,

sin ningn secreto, sin ninguna puerta trasera

Multiplataforma. Apache es multiplataforma, capaz de correr sobre una gran

diversidad de plataformas y Sistemas Operativos.

Diseo Modular. Es un servidor altamente configurable de diseo modular. Es

muy sencillo ampliar las capacidades del servidor Web Apache. Actualmente

existen muchos mdulos para Apache que son adaptables a este, y estn ah

para que los instalemos cuando los necesitemos

Compatibilidad con Lenguajes de Programacin. Trabaja perfectamente con

lenguajes como Java, Perl, PHP y otros lenguajes de script. Pero Perl destaca

en el mundo del script ya que apache utiliza con soporte CGI al mod_perl

Soporte Avanzado de Programas CGI (COMMON GATEWAY INTERFACE).

Ofrece caractersticas avanzadas, como variables de entorno personalizadas y

soporte para depuracin de dichos programas. (ocw.uniovi.es, 2010) Mejorando

funcionamiento bajo threads. Esto se lo realiza a travs de los mdulos mod_cgi

y mod_cgid

Soporte de FASTCGI. Con el mdulo mod_fcgi se puede crear un entorno

FastCGI dentro de Apache y aumentar el rendimiento de estas aplicaciones.

17 (Servidor web Apache, 2014)

23

Soporte para Autenticacin HTTP. Mediante mdulos adicionales pueden

implementarse autenticaciones que empleen bases de datos, ficheros,

sentencias SQL o llamadas a programas externos sobre un mismo servido

Servidor Proxy Integrado. Apache se puede convertir en un caching (forward)

proxy server

o Un forward proxy es un servidor intermedio que se sita entre el cliente

y el servidor que tiene los contenidos al que llamaremos O

o Para obtener los contenidos de O, el cliente enva una peticin al forward

proxy, especificando O como el origen del contenido que busca

o El forward proxy entonces pide el contenido a O y lo devuelve al cliente

o El cliente debe estar especialmente configurado para soportar esto, ya

que tiene que conectarse a travs de dicho proxy en lugar de usando

otros medios18

2.4.1.2 Ventajas y Desventajas de Apache

Ventajas:

Cdigo Libre. Apache es un software de cdigo abierto, esto significa que la

programacin que impulsa el software puede ser consultada y editada por

cualquiera persona. Este diseo permite a cualquier programador crear una

solucin personalizada basada en el programa ncleo de Apache, o ampliar las

funciones del software. La mayora de programadores contribuyen

constantemente con mejoras, que estn disponibles para cualquier persona que

use el servidor web apache19

Costo. Otra ventaja que destacamos en apache es su costo, el servidor Web

Apache es completamente gratuito y puede ser descargado por cualquier

persona en el mundo que desee implementarlo. Al utilizar el cdigo abierto

Apache Web Server crea un ahorro sustancial, lo que es particularmente valioso

18 (Servidor web Apache, 2014) 19 (Pro y contra de Apache, 2014)

24

para las pequeas empresas y medianas empresa que se encuentran lanzando

nuevos programas de tecnologa, y no tienen grandes presupuestos para el

servidor web

Funcionalidades. Apache Web Server tiene un gran conjunto de

funcionalidades de gran alcance, las mismas junto con las extensiones ayudan

a que la plataforma Apache sea competitiva incluso frente a rivales de alto

precio

Apache ha incorporado en su soporte una gama amplia de lenguajes de

programacin web, como Perl, PHP y Python. Estos lenguajes son fciles de

aprender y se pueden utilizar para crear potentes aplicaciones en lnea.

Tambin incluye soporte "SSL" y "TLS", que son los protocolos para enviar

datos encriptados a travs de Internet, los mismos que son muy importantes en

el desarrollo de aplicaciones seguras en lnea

Soporte. Apache Web Server cuenta con una gran comunidad de usuarios de

soporte, a diferencia de muchos software el soporte tcnico de Apache se

extiende a lo largo de mltiples localizaciones, empresas, y foros. Esta

modalidad de dar soporte permite a los usuarios obtener respuestas a

preguntas tcnicas casi las 24 horas al da, no importa dnde se encuentren. Al

ser de cdigo abierto, Apache est conectado a muchos usuarios que son

capaces de crear parches y correcciones de errores tcnicos muy rpidamente.

Cuando se detecta un error o problema todos usuarios en todo el mundo

comunican y aportan las soluciones posibles, dando como resultado que

Apache posea un soporte muy estable y bien mantenido

Portabilidad. Apache Web Server es muy portable y puede ser instalado en

una amplia gama de servidores y sistemas operativos, es capaz de ejecutarse

en todas las versiones del sistema operativo UNIX. Linux es compatible, as

como los sistemas operativos Windows NT y MacOS

25

Apache puede ser utilizado en cualquier servidor con procesadores de serie

Intel 80x86 cuando se combina con Windows, y cuando se usa un sistema

operativo Unix o Linux, casi cualquier tipo de procesador es compatible20

Desventajas:

Complejidad. En Apache Web Server algunas veces resulta muy complejo de

configurar algunas herramientas, incluso hasta para los mismos programadores

que trabajan a diario con apache

Formatos no Estndar. La falta de formatos no estndar dificulta un poco la

automatizacin, y el procesamiento de la configuracin al no estar basada est

en formatos ms soportados como el XML

Falta de Integracin. Apache al ser un producto multiplataforma, no aprovecha

al mximo las posibilidades que le ofrece el sistema operativo sobre el que se

encuentra funcionando

Administracin. Apache Web Server no posee una herramienta de

administracin, por lo que es necesario instalar herramientas adicionales para

facilitar todas las tareas de administracin del servidor21

2.5 Protocolo AAA

En seguridad informtica, el protocolo AAA realiza tres funciones importantes:

Autenticacin, Autorizacin y Contabilidad (Authentication, Authorization and

Accounting). La expresin protocolo AAA no se refiere a un protocolo en particular,

sino a una familia de protocolos que ofrecen los tres servicios citados anteriormente.

Adicionalmente el servicio AAA debe ser capaz de autenticar a los usuarios, dar una

respuesta correcta a las solicitudes de autorizacin de los mismos as como de

20 (Pro y contra de Apache, 2014) 21 (Pro y contra de Apache, 2014)

26

recolectar datos que permitan una auditora total sobre los recursos a los que se ha

tenido acceso.22

2.5.1 Definicin de las siglas AAA

2.5.1.1 Autenticacin (AUTHENTICATION)

Es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la

primera entidad es un cliente usuario, ordenador, etc.; y la segunda un servidor. La

autenticacin se consigue mediante la presentacin de una identidad (Un nombre de

usuario) y la demostracin de estar en posesin de las credenciales que permiten

comprobarla.

Ejemplos de las Credenciales:

Las contraseas, los Certificados Digitales, o los nmeros de telfono en la

identificacin de llamadas.

Es importante mencionar que los protocolos de autenticacin digital modernos

permiten la posesin de las credenciales requeridas sin necesidad de transmitirlas por

la red.

2.5.1.2 Autorizacin (AUTHORIZATION)

Se refiere a la concesin de privilegios especficos a una entidad o usuario basndose

en su identidad autenticada, los privilegios que solicita, y el estado actual del sistema.

Las autorizaciones pueden tambin estar basadas en restricciones, tales como

restricciones horarias, sobre la localizacin de la entidad solicitante, la prohibicin de

realizar logins mltiples simultneos del mismo usuario, etc. La mayor parte de las

veces el privilegio concedido consiste en el uso de un determinado tipo de servicio.

22 (wikipedia, Protocolo AAA, 2014)

27

Ejemplos de Tipos de Servicio:

Filtrado de Direcciones IP, Asignacin de Direcciones, Asignacin de Rutas,

Asignacin de Parmetros de Calidad de Servicio, Asignacin de Ancho de banda, y

Cifrado.23

2.5.1.3 Contabilidad (ACCOUNTING)

Se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta

informacin puede usarse posteriormente para la administracin, planificacin,

facturacin, u otros propsitos.

La contabilizacin en tiempo real es aquella en la que los datos generados se entregan

al mismo tiempo que se produce el consumo de los recursos. En contraposicin la

contabilizacin por lotes (Batch Accounting) consiste en la grabacin de los datos de

consumo para su entrega en algn momento posterior.

La informacin tpica que un proceso de contabilizacin registra es la identidad del

usuario, el tipo de servicio que se le proporciona, cuando comenz a usarlo, y cuando

termin.

Principales Caractersticas

Usualmente se desarrollan aplicaciones servidor, para el manejo de los

requerimientos de AAA

Generalmente funcionan sobre internet aunque puede ser utilizado en cualquier

tipo de red

Comnmente utilizada para IP mviles

Se suelen hacer Auditorias basadas en AAA


28

2.5.2 Listado de Protocolos AAA

RADIUS: Es un protocolo cliente-servidor utilizado por el estndar de seguridad del

802.1x en redes inalmbricas para la autenticacin, autorizacin y administracin de

usuarios remotos para acceder a los recursos de una red. RADIUS mejora el estndar

de encriptacin WEP, en conjunto con otros mtodos de seguridad como EAP-PEAP.

Posee gran capacidad de manejar sesiones, notificando cuando comienza y termina

una conexin, as que al usuario se le podr determinar su consumo y facturar si fuera

el caso.24

Un cliente enva las credenciales de usuario y la informacin de los parmetros d

conexin en forma de mensaje al servidor RADIUS. El servidor RADIUS comprueba

las credenciales, autentica y autoriza la solicitud del cliente, indicando mediante un

mensaje de respuesta si se autoriza o no a la peticin de acceso del cliente. Por otro

lado los mensajes RADIUS son enviados como mensajes UDP utilizando el puerto

UDP 1812 para mensaje de autenticacin RADIUS y, el puerto UDP 1813, es usado

para mensajes de cuentas RADIUS.25

RADIUS tambin es comnmente usado por el NAS (Network Access Server) para

notificar eventos como:

El inicio de sesin del usuario

El final de sesin del usuario

El total de paquetes transferidos durante la sesin

El volumen de datos transferidos durante la sesin

La razn para la terminacin de la sesin26

24 (wikipedia, Protocolo AAA, 2014) 25 (wikipedia, Protocolo AAA, 2014) 26 (Seguridad en redes, 2014)

29

Diameter: Protocolo de tipo P2P. Diseado principalmente para aplicaciones que

acceden a redes o de IP mvil.

TACACS: Protocolo para desarrollo de servidores. Usado comnmente para

servidores Unix.

TACACAS+: Basado en TACACS pero se redefini totalmente el protocolo. Provee

los servicios de AAA por separado. Basado en TCP.

PPP: El protocolo PPP permite establecer una comunicacin a nivel de la capa de

enlace TCP/IP entre dos computadoras. Generalmente, se utiliza para establecer la

conexin a Internet de un particular con su proveedor de acceso a travs de un mdem

telefnico.

EAP: Es una autenticacin Framework usada habitualmente en redes WLAN Point to-

Point Protocol. Aunque el protocolo EAP no est limitado a LAN inalmbricas y puede

ser usado para autenticacin en redes cableadas, es ms frecuentemente su uso.

LDAP: Es un protocolo a nivel de aplicacin que permite el acceso a un servicio de

directorio ordenado y distribuido para buscar diversa informacin en un entorno de red.

LDAP tambin se considera una base de datos (aunque su sistema de

almacenamiento puede ser diferente) a la que pueden realizarse consultas.

2.6 NAS

Un Network Access Server (NAS) es un sistema que proporciona acceso a la red. En

algunos casos tambin se conoce como Remote Access Server (RAS) o Terminal

Server. NAS es un elemento que controla el acceso a un recurso protegido, que puede

ser desde un telfono para VoIP o una impresora, hasta el acceso a una red

inalmbrica o a Internet (proporcionado por un ISP).

30

En la figura 2.5 se observa la estructura de un sistema NAS.

Figura 2.5 Diagrama de sistema NAS (Fuente: http://es.over-blog.com/Que_es_un_servidor_NAS_definicion_del_experto-1228321779-art379097.html)

Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS, quien

a su vez se conecta a un servidor de AAA (tpicamente RADIUS) preguntando si los

credenciales proporcionados por el cliente son vlidos. Si la respuesta es afirmativa y

positiva el servidor NAS dar acceso al usuario para que pueda entrar a sacar partido

del recurso. En este momento termina el objetivo y la finalidad del servidor NAS,

volviendo slo a entrar en accin cuando es otro usuario el que requiere el acceso al

sistema protegido.27

2.6.1 Uso

Este tipo de servidores en red NAS que aumentan la seguridad se aplican a diversos

sectores de diferentes tecnologas y finalidades. Un buen ejemplo de su utilizacin se

encuentra en las centralitas telefnicas de servicios especiales para clientes de

servicios.

Este tipo de nmeros, por ejemplo, servicios de atencin al cliente de empresas en las

que se requiere una suscripcin, slo pueden ser contactados por usuarios aprobados.

En este caso, el servidor NAS recopila el nmero de telfono desde el que se est

llamando, lo enva a la central de comprobacin, y despus autentifica al usuario para

terminar la llamada.

27 (overblog, 2014)

31

Otro uso habitual de los servidores NAS se encuentra en conexiones y servicios de

internet en los que se requiere una comprobacin adicional en cuanto a nombre de

usuario y contrasea para que se lleve a cabo la conexin.

En definitiva, los servidores NAS se ocupan de crear una plataforma de proteccin

entre usuario y servicio para mantener efectivos los niveles de seguridad.28

2.7 Servidores RADIUS

2.7.1 Tipos de Servidores RADIUS

Existe un gran nmero de servidores RADIUS principalmente para entornos UNIX,

cada uno de ellos comparte muchas caractersticas similares aunque cada servidor

busca explotar factores tecnolgicos que le den la ventaja sobre los dems. Hay

servidores comerciales como tambin los hay con licencia libre, siendo FreeRADIUS,

Radius Cistron y Radiator los servidores ms populares, sin embargo se analizaran

varias alternativas.29

2.7.2 Servidores de licencia libre

2.7.2.1 FreeRADIUS

FreeRADIUS es uno de los servidores RADIUS ms modulares y ricos en

caractersticas disponibles hoy en da. Ha sido escrito por un equipo de desarrolladores

que tiene dcadas de experiencia recolectada en implementar y desarrollar software

RADIUS, en ingeniera de software, y administracin de paquetes Unix.

El producto es el resultado de la sinergia entre muchos de los ms reconocidos

nombres en software libre basado en implementaciones RADIUS, incluyendo una gran

cantidad de desarrolladores del sistema operativo Debian GNU/Linux. El servidor

FreeRADIUS es distribuido bajo la licencia GNU GPL (versin 2).

28 (overblog, 2014) 29 (Servidores RADIUS, 2014)

32

El servidor FreeRADIUS est siendo usado alrededor del mundo en instalaciones a

gran escala, abarcando mltiples servidores RADIUS con millares de usuarios y

millones de sesiones.30

Caractersticas

El servidor FreeRADIUS tiene un nmero de caracterstica que son comnmente

encontradas en los servidores RADIUS, y caractersticas adicionales que no son

encontradas en otro servidor libre. A continuacin se describe una lista de

caractersticas importantes de este servidor:

Ediciones multiplataforma y cdigo fuente

El servidor FreeRADIUS ha sido compilado y probado para correr en las

siguientes plataformas

o Linux (todas las Versiones)

o FreeBSD

o NetBSD

o Solaris

A diferencia de varios servidores comerciales, un gran nmero de CPUs y

arquitecturas han sido verificadas para trabajar, y son soportadas va lista de

usuarios. La desventaja de apoyar tantas variaciones de sistemas es que los pasos

para instalar el servidor son algo ms que simplemente instalar el paquete. Es

recomendable revisar si existe un paquete especfico para el sistema operativo

utilizado, en caso de que no exista entonces se debe construir el servidor del cdigo.

Mtodos de autorizacin. Los siguientes tipos de autorizacin son algunos de los

mtodos que son soportados por este servidor.

30 (Servidores RADIUS, 2014)

33

Archivos locales

Bases de datos DB/DBM locales

Protocolo LDAP

Un programa de ejecucin local (como los programas CGI)

Programa Perl, Python

Base de datos MySQL, PostgreSQL, Oracle SQLDB, IODBC SQL

IBMs DB231

Mtodos de autenticacin. Los siguientes son slo algunos mtodos de autenticacin

soportados por este servidor.

Contraseas en Texto simple en un archivo local de configuracin (PAP)

Contraseas encriptadas en un archivo local de configuracin

CHAP

MS-CHAP

MS-CHAPv2

Autentificacin a un controlador de dominio Windows

Proxy a otro servidor RADIUS

Sistema de autenticacin (usualmente por /etc/password)

PAM (Modulo de autenticacin conectable)

LDAP (solo PAP)

PAM (solo PAP)

CRAM

Programas Peral, Python

SIP Diges (Cisco por cajas VOIP)

Un programa de ejecucin local (como CGI)

Contraseas encriptables Netscape-MTA-MD5

Autenticacin Kerberos

Mtodos EAP (incluyendo cisco LEAP)


34

Mtodos para el manejo de cuentas de usuarios.- Los siguientes mtodos de cuentas

estn soportados

Archivos locales de detalle

Archivos locales wtmp y utmp

Proxy a otros servidores RADIUS

Replique a otro o ms servidores RADIUS

SQL (Oracle, MySQL, PostgreSQL, Sybase IODBC, etc.)32

2.7.2.2 Radius Cistron

Es un servidor de autentificacin y manejo de cuentas para servidores de terminal por

medio del protocolo RADIUS, este se ha convertido en uno de los servidores ms

usados por la comunidad de software libre.

Entre sus caractersticas ms importantes estn:

Es libre (bajo la licencia GNU GPL)

Soporta el acceso basado en huntgropus

El archivo de usuarios se procesa en orden, es posible mltiples entradas por

defecto, y todas las entradas pueden ser opcionalmente "fall throught"

Atrapa todos los archivos de configuracin en memoria, incluyendo los archivos

de usuarios

Mantiene una lista de entrada de usuarios

Soporta el uso simultneo de parmetros X

Soporta atributos especificados del vendedor, incluyendo los no estandarizados

USRs

Soporta proxing

Puede replicar datos de uso de cuentas entre servidores


35

2.7.2.3 XtRADIUS

La diferencia ms importante entre XTRADIUS y otros servidores RADIUS, es que

permite ejecutar scripts que pueden ser modificados completamente para manejar

autentificacin y uso de cuentas. El beneficio que da esta caracterstica, es que en

lugar de usar el mismo archivo de usuarios RADIUS, o el sistema de archivo de

contrasea para la autenticacin, se puede llamar a una aplicacin de scripts para

preguntar a cualquier fuente (tal como una base de datos SQL), y revisar las

condiciones vlidas antes de permitir la entrada del usuario. A diferencia de otras

soluciones, no requiere parche.

Este servidor est basado en el servidor Radius Cistron por lo cual incluye todas sus

caractersticas, como tambin otras mejoras. La comunicacin entre el servidor

XtRadius y los scripts externos se da usando parmetros de lnea de comando o por

variables de ambiente.33

2.7.3 Servidores de tipo comerciales

2.7.3.1 Radiator

Radiator es un altamente configurable y flexible servidor RADIUS el cual soporta

autenticacin para cerca de 60 diferentes tipos de mtodos de autenticacin tales

como archivos planos , archivos DBM, archivos de contrasea Unix, bases de datos

SQL, servidores RADIUS remotos (proxying), programas externos, utilidades de

administracin de usuarios NT, directorios activos, LDAP, etc. Entre sus caractersticas

ms importantes tenemos:

Soporta RadSEC seguridad confiable del proxying RADIUS

Radiator ahora soporta ms mtodos de autenticacin 802.1X que cualquier

otro servidor RADIUS dando una amplia gama para escoger clientes de red

802.1X


36

Incluye certificados privados para clientes y servidores para probar la

autenticacin 802.1X

Trabaja con la mayora de NASs, VDPN, ADSL y puntos de acceso inalmbrico

Incluye todo el cdigo fuente

Radiador puede ser comprado para ser usado en un solo servidor, o como parte

de alguno de los paquetes ofrecidos, para la empresa, para los profesionales

para la casa, etc

Trabaja en la mayora de las plataformas. UNIX, Linux, Windows, Mac, VMS34

2.7.3.2 AXL RADIUS

AXL es un servidor RADIUS completo que puede autenticar, manejar cuentas, y Proxy.

La interface del programa permite al usuario usar mtodos de autenticacin y de uso

de cuentas mediante cualquier mtodo por el que Java puede acceder al mundo, bases

de datos, LDAP, archivos planos, URLs.

AXL no es un servidor que regresa llaves. Este es una interface de programa al

servidor RADIUS. AXL puede realizar todas las funciones de un servidor RADIUS pero

no puede configurarse por s mismo usando archivos o bases de datos, no tiene

conocimiento de quien se puede conectar, y no tienen control sobre asuntos de

polticas.

Se debe proporcionar la programacin para leer archivos de configuracin o bases de

datos para poblar las tablas del cliente, y configurar el servidor por s mismo (como

puertos, direcciones, y nombre del servidor). El servidor tiene mtodos para aceptar

esta informacin. Algunas caractersticas adicionales:

Incluye integracin con el cliente RADIUS

Se pueden empezar secuencias separadas de manejo de cuentas y

autenticacin


37

Soporte para atributos de Vendedores Especficos

Soporte completo para Proxy

Proxy dinmico: se puede enrutar cualquier paquete en cualquier parte

basndose en una poltica o en paquetes de atributos del RADIUS

Trabaja con cualquier base de datos que tenga el controlador JDBC

El cdigo fuente est muy bien documentado

En la tabla 2.3 se realiza una comparativa de algunos servidores RADIUS tanto de

comerciales como gratuitos y de esta forma, poder comprender las caractersticas para

la eleccin de uno que ms se adapte a nuestras necesidades.

Servidor RADIUS. Caractersticas.

FreeRADIUS. Licencia Libre

Multiplataforma

Mtodos de Autorizacin: Archivos locales Bases de datos DB/DBM locales Protocolo LDAP Un programa de ejecucin local (como los

programas CGI) Programa Perl, Pythn Base de datos MySQL, PostgreSQL, Oracle

SQLDB, IODBC SQL IBMs DB2

Mtodos de Autenticacin: CHAP MS-CHAP MS-CHAPv2 Autentificacin a un controlador de dominio

Windows Proxy a otro servidor RADIUS Sistema de autenticacin (usualmente por

/etc/password) PAM (Modulo de autenticacin conectable) LDAP (solo PAP) PAM (solo PAP)

Radius Cistron. Es libre (bajo la licencia GNU GPL)

El archivo de usuarios se procesa en orden, es posible mltiples

38

Atrapa todos los archivos de configuracin en memoria, incluyendo los archivos de usuarios

Mantiene una lista de entrada de usuarios

Soporta el uso simultneo de parmetros X

XtRADIUS. Basado en el servidor Radius Cistron

Radiator. Trabaja con la mayora de NASs, VDPN, ADSL y puntos de acceso inalmbrico

Incluye todo el cdigo fuente

Radiador puede ser comprado para ser usado en un solo servidor, o como parte de alguno de los paquetes ofrecidos, para la empresa, para los profesionales para la casa, etc

AXL RADIUS. Incluye integracin con el cliente RADIUS

Se pueden empezar secuencias separadas de manejo de cuentas y autenticacin

Soporte para atributos de Vendedores Especficos

Soporte completo para Proxy

Proxy dinmico: se puede enrutar cualquier paquete en cualquier parte basndose en una poltica o en paquetes de atributos del RADIUS

Trabaja con cualquier base de datos que tenga el controlador JDBC

El cdigo fuente est muy bien documentado Tabla 2.3 Caractersticas de servidores RADIUS

(Fuente: http://trabajotele08.blogspot.mx/)

Despus de haber estudiado las caractersticas de los servidores se ha llegado a la

conclusin de utilizar FreeRADIUS para nuestro proyecto ya que este servidor RADIUS

goza de una gran aceptacin entre los usuarios y administradores de red porque

cuenta con un gran nmero de caractersticas y funciones nicas que no existen en

otros servidores.35

Su gran popularidad ayuda a que sea usado en un mayor nmero de entornos de

seguridad y que si llegara a encontrar fallas y limitaciones podrn ser corregidas para

hacer de este uno de los servidores ms robustos y eficientes que se puede encontrar,

adems FreeRADIUS maneja varias alternativas de almacenamiento de informacin

de sus usuarios entre ellas est el almacenamiento en base de datos MySQL la cual

usaremos en esta ocasin.


39

2.8 Portal Cautivo

2.8.1 Que es un portal cautivo?

Un portal cautivo (o captivo) es un programa o mquina de una red informtica que

vigila el trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si quieren

navegar por Internet de forma normal.

El programa intercepta todo el trfico HTTP hasta que el usuario se autentifica. El portal

se encargar de hacer que esta sesin caduque al cabo de un tiempo. Tambin puede

empezar a controlar el ancho de banda usado por cada cliente.

Se usan sobre todo en redes inalmbricas abiertas, donde interesa mostrar un

mensaje de bienvenida a los usuarios y para informar de las condiciones del acceso.

Los administradores suelen hacerlo para que sean los propios usuarios quienes se

responsabilicen de sus acciones, y as evitar problemas mayores. Se discute si esta

delegacin de responsabilidad es vlida legalmente.36

2.8.2 Tipos de Portales Cautivos

Los portales cautivos se encuentran clasificado en 2 grupos principales que se

enumeran a continuacin.

2.8.2.1 Portales Cautivos por software

Son aquellos implementados mediante el uso de aplicaciones o programas cuya

arquitectura fue diseada para trabajar como portales cautivos, los mismos que van

instalados y configurados desde un servidor principal dentro de la red. A continuacin

se listan los principales portales cautivos que pueden ser implementados mediante

software:

36 (wikipedia, Portales cautivos, 2014)

40

PepperSpot (Linux)

GRASE Hotspot (Linux)

NoCatAuth (Linux)

Chillispot(Linux)

CoovaChilli (Linux)

WifiDog (embedded Linux - OpenWRT, Linux, Windows)

Ewrt (embedded Linux - WRT54G, Linux)

HotSpotSystem.com (embedded Linux, WRT54GL, Mikrotik, etc)

FirstSpot (Windows)

m0n0wall (embedded FreeBSD)

OpenSplash (FreeBSD)

wicap (OpenBSD)

Public IP (Linux)

PfSense (FreeBSD)

AirMarshal (Linux)

ZeroShell (Linux)

Easy Captive (Linux)

Antamedia HotSpot Software (Windows)

2.8.2.2 Portales Cautivos por Hardware

Son aquellos implementados mediante dispositivos fsicos, diseados especficamente

para funcionar como portales cautivos, se agregan a la red al igual que los dispositivos

de Networking, y generan las mismas funcionalidades que los portales implementados

mediante Software.

A continuacin se listan los dispositivos que implementan un portal cautivo sin

necesidad de ordenador:

Cisco BBSM-Hotspot

41

Cisco Site Selection Gateway (SSG) / Subscriber Edge Services (SESM)

Nomadix Gateway

Aptilo Access Gateway

Antica PayBridge

3G/Wimax: Usado princip

tesis 2014-12.0

Documents