Professional Documents
Culture Documents
D. Eap-ttls
En la fase posterior, el cliente se autentica con el servidor 7) Cuando el suplicante recibe el mensaje de inicio
utilizando cualquier mecanismo menos seguro como PAP, EAP-TTLSv0, arranca el proceso de intercambio
CHAP, MS-CHAP. De esta manera EAP-TTLS soporta de paquetes empleando el protocolo Handshake,
conexiones con bases de datos de autenticacin manteniendo que consiste en la transmisin de una secuencia
en todo momento un medio seguro para el intercambio de de mensajes para negociar los parmetros de
datos. seguridad de la sesin TLS, utilizada para la
transferencia de datos entre el suplicante y
servidor.
E. Secuencia de una comunicacin AAA [5] 8) El servidor debe responder el mensaje de saludo
del cliente con una serie de paquetes que
A continuacin se describe, paso a paso, el proceso de incluyen: el mensaje Server Hello, el certificado
entramado y la secuencia de operacin del sistema AAA digital del servidor RADIUS y el mensaje Server
empleando 802.1X /EAP-TTLS. Hello Done.
9) El suplicante enva un mensaje de intercambio de
claves secretas generadas a partir de los datos
recibidos. Las claves se calculan empleando los
valores aleatorios generados en los mensajes
Client y Server Hello.
10) Antes de transmitir la clave secreta al servidor, se
cifra mediante la clave pblica del certificado del
servidor. Tanto el suplicante como el servidor
realizan el mismo proceso de forma local y
obtienen la clave privada para la sesin segura.
Figura 4. Protocolos usados en una comunicacin AAA 11) Si el servidor es capaz de descifrar estos datos y
completar el protocolo, el cliente tiene la
1) El inicio de la comunicacin se produce cuando seguridad de que el servidor tiene la clave
el suplicante enva el paquete EAPOL Start, privada correcta. Este paso es crucial para
solicitando acceso al cliente radius; esto significa demostrar la autenticidad del servidor. Slo el
que el campo Tipo tiene asignado el valor 01 servidor con la clave privada que coincide con la
hexadecimal. clave pblica del certificado puede descifrar los
2) En esta etapa del proceso el autenticador tiene datos y continuar la negociacin del protocolo
bloqueado el puerto de acceso, solo recibe tramas TLS/SSL.
802.1X, el resto son descartadas. Cuando el 12) Una vez establecido el tnel, el suplicante usa el
switch recibe una trama EAPOL-Start solicita al canal TLS/SSL para enviar las credenciales de
suplicante un identificador vlido para el acceso. acceso (usuario + contrasea) de forma segura.
3) Con el mtodo de autenticacin EAP-TTLS es 13) El servidor RADIUS verifica internamente en el
posible usar una identidad annima para directorio LDAP si las credenciales de usuario
establecer el tnel seguro, de esta manera el enviadas por el suplicante son vlidas, y si
nombre de usuario enviado por el suplicante se procede, responde con un mensaje EAP Access-
protege. Accept.
4) El autenticador extrae el mensaje recibido y lo 14) Finalmente, el autenticador configura el estado
encapsula en un paquete RADIUS. Los datos se del puerto como Autorizado y enva un paquete
envan al servidor a travs de atributos (AVP) EAPOL EAP-Success al suplicante, informando
que contienen informacin del suplicante y del que la autenticacin ha sido exitosa.
equipo autenticador a travs del cual el usuario
intenta acceder a la red. F. LDAP
5) En esta fase, el servidor inicia el proceso de
autenticacin. Para que el suplicante identifique Es un protocolo ligero de acceso al directorio, permite
el mtodo de autenticacin, el servidor enva el almacenar informacin relacionada a una organizacin en
paquete usando el cdigo 21 (EAP-TTLS) y las particular, por ejemplo nombres de usuario, contraseas,
banderas configuradas en (0010 0000) que certificados digitales, cuentas de correo, etc. Las
indican el inicio del mensaje y la versin especificaciones tcnicas se definen en los RFC 4510 - 4519.
TTLSv0.
6) Una vez iniciado el proceso EAP, el autenticador LDAP no es una base de datos relacional, es un protocolo
deja de tomar decisiones, simplemente se que regula el acceso a los datos almacenados, optimizado
encarga de comunicar al suplicante con el especialmente para proporcionar una repuesta rpida a
servidor mediante los protocolos EAPOL Y operaciones de bsqueda y lectura de la informacin [6].
RADIUS.
4
B. Requerimientos de Suplicante
TABLA 1.
REQUERIMIENTOS TCNICOS SUPLICANTE
TABLA 2.
El servicio AAA de la red de datos del GAD Municipal REQUERIMIENTOS TCNICOS AUTENTICADOR
San Miguel de Urcuqui se disea en base al estndar IEEE REQUERIMIENTO DESCRIPCIN
802.1x para el control de acceso a la red usando como mtodo
RENDIMIENTO
de autenticacin EAP-TTLS.
Capacidad 48 puertos 10/100
A. Consideraciones tcnicas 802.1x / Eap-ttls 2 puertos 10/100/1000
Los componentes bsicos de un sistema 802.1x son: FUNCIONES
suplicante, autenticador y el servidor de autenticacin, sin
RADIUS Seguridad RADIUS
embargo, la solucin planteada en la red de datos del
Autenticacin IEEE 802.1X (funcin de
GADMU requiere cuatro componentes adicionales, una
Autenticador)
autoridad certificadora, un firewall, un directorio LDAP y una
base de datos SQL. VLAN 256 VLAN simultneas
VLAN de administracin
La CA (Autoridad Certificadora) se emplea para VLAN de usuarios temporales
generar el certificado digital que el servidor sin autenticacin
RADIUS utiliza en el proceso de autenticacin EAP-
Asignacin dinmica de VLAN
TTLS.
mediante servidor Radius con
TABLA 3. FIREWALL
REQUERIMIENTOS TCNICOS SERVICIOS AAA
Zona wan Salida a internet
SERVICIO DESCRIPCIN Zona dmz Servidores AAA
INTERNET
CNT SIMBOLOGA
Cable UTP
Switch
R1 186.46.X.X/29 Router
CISCO 800 Access Point
DMZ - Virtualizacin
SERIES Servidor
Firewall red
cableada
WGMU
Troncal WIFI-URCUQUI
802.1Q Alcalda
VLAN 16
AP1
SW CISCO
SG 200
VLAN ID : 2 3 4 5 6 7 8
VLAN ID : 9 10 11 12 13 14 15
Servidor OpenLDAP
Certificados digitales con tinyca2
El GAD Municipal San Miguel de Urcuqui no cuenta con
Usando TinyCA2 se crea la autoridad certificadora raz para
un directorio de usuarios para almacenar las credenciales de
el GAD Municipal San Miguel de Urcuqui, con la finalidad de
acceso requeridas en el proceso de autenticacin a la red de
emitir y gestionar todo el sistema de certificados que se
datos, por lo que se crea un directorio utilizando OpenLDAP [7].
requieran en los servidores de la institucin.
El esquema del directorio (ver Figura 9) se disea usando
como referencia las unidades departamentales de la institucin,
se crea un grupo de usuarios por cada VLAN, las contraseas se
establecern y almacenarn siguiendo las recomendaciones de la
poltica de seguridad.
Servidor MySQL
Para la instalacin de la base de datos MySQL se descarga el La implementacin del estndar IEEE 802.1Q se realiza en
paquete lamp-server, una combinacin de software basada en el puerto eth0 del Firewall GNU/Linux, para activar el servicio
cdigo abierto que incluye: el servidor HTTP apache, la base de se debe configurar los requerimientos bsicos que habilitan las
datos MySQL y algunos componentes extras que se requieren interfaces virtuales en la tarjeta de red Ethernet.
para construir la base de datos que se usar en el proceso de
contabilidad del servicio AAA. 802.1X
Para activar el servicio RADIUS se accede al men:
Seguridad > RADIUS > Aadir. En la pgina desplegada se
debe configurar los parmetros del servidor FreeRADIUS que se
usar como servidor de autenticacin para la red de datos del
GADMU. Luego de haber aadido el servidor RADIUS se debe
configurar los parmetros del estndar IEEE 802.1X en el switch
SF-300, tanto en forma global como individual en cada puerto.
C. Autenticador inalmbrico
SecureW2 es un cliente TTLS para las plataformas Con la implementacin del servidor AAA utilizando
Windows, en el caso de sistemas operativos como GNU/Linux o software libre se logr controlar el acceso a todos los usuarios
Android no es necesaria su instalacin debido a que tienen de forma centralizada y la asignacin dinmica de recursos de
soporte nativo para este tipo de autenticacin, incluso Windows red se realiz exitosamente de acuerdo al rol que desempea
en su ltima versin (Windows 8) lo trae por defecto. cada trabajador dentro de la institucin, obteniendo una relacin
costo beneficio positiva que garantiza la viabilidad del proyecto.
9