You are on page 1of 75

WIFI con Radius

Clase No 3

Departamento de Informática

Copyright © 2014 por TECSUP 1


Objetivos
• Conocer métodos de autenticación seguros.
• Implementar tecnologías de autenticación con
Radius.

Copyright © 2014 por TECSUP


Índice
• Aspectos de seguridad 802.11
• Seguridad 802.1x
• Autenticación EAP/LEAP
• Servidor Radius
• Cisco Secure ACS

3
Aspectos de seguridad 802.11

Copyright © 2014 por TECSUP 4


Aspectos de Seguridad
• La utilización del aire como medio de
transmisión de datos mediante la propagación
de ondas de radio ha proporcionado nuevos
riesgos de seguridad. La salida de estas ondas
de radio fuera del edificio donde esta ubicada la
red permite la exposición de los datos a posibles
intrusos que podrían obtener información
sensible a la empresa y a la seguridad
informática de la misma.
Aspectos de Seguridad
• Los riegos que se tienen son:
– Cualquier equipo que se encuentre a 100m o menos puede
acceder a la red inalámbrica.
– Si varias empresas tienen sede en el mismo edificio y todas ellas
poseen redes inalámbricas, el equipo de un empleado podría
conectarse a una red que no es la suya.
– Si las ondas de radio salen del edificio, cualquier persona con un
equipo móvil podría realizar un acceso no autorizado a la red
inalámbrica.
– También se podría configurar Access Point mas potentes para
que cliente legítimos se conecten a la red de un atacante.
Aspectos de Seguridad

Compañía 1

Atacante Atacante
Compañía 2
Aspectos de Seguridad
• Consideraciones a tener:
– Emplear los mecanismos de seguridad incorporados en los
equipos inalámbricos como : CNAC, WEP, 802.1x,etc
– Disminuir la potencia del transmisor del AP.
– Controlar la ondas de radio instalando antenas direccionales.
– Encriptar o cifrar la información enviada al espectro.
– No usar la opción de DHCP.
– Otras opciones extremas:
• Usar coberturas metálicas
• Utilizar pinturas metálicas
• Usar persianas de metal
Aspectos de Seguridad
• Requerimientos:
Aspectos de Seguridad
• Principales Mecanismos de seguridad usados:
– CNAC (Closed Network Access Control)
– WEP (Wired Equivalent Privacy)
– ACL (Access Control List)
– 802.1x.
– WPA (802.11i)

• Se puede incrementar la seguridad utilizando


otros mecanismo comunes en las redes
cableadas como IPSec, VPNs y Firewalls.
Aspectos de Seguridad
• Protocolos de seguridad
IEEE

WECA
EAP
(802.1x)

WEP
(802.11b)

WPA
(802.11i) MD5 LEAP TLS TTLS PEAP
Cisco Microsoft Funk Cisco
XP/2000 (SP3)
Software XP (SP1)
802.1x

Copyright © 2014 por TECSUP 12


802.1x
El IEEE ha adoptado como nuevo estándar de
autentificación el 802.1X para redes cableadas
como las no cableadas. Este estándar provee
una mutua autentificación entre un cliente y un
servidor de autentificación. En adición 802.1X
puede proveer dinámicamente por usuario, o por
sección llaves WEP, evitando así el problema de
las llaves estáticas al administrador de la red.
802.1x
• Estándar de control de acceso basado en puertos.
• Esta compuesto de:
– La estación cliente (Suplicante)
– El Punto de Acceso (Autenticador)
– El servidor de autentificación (RADIUS).
• El servidor de autentificación es el que realiza la
verificación real de la credenciales proporcionadas por
el cliente.
• Se introduce el concepto de puerto
habilitado/inhabilitado.
• Hasta que un cliente no se valide en el servidor no tiene
acceso a los servicios
802.1x
Modelo
802.1x
• Proporciona administración de las claves.
Existe una generación dinámica de claves
por parte del servidor de autentificación.
• Se generan dos llaves:
– Llave de sesión, únicas para la asociación
entre el cliente y el APs.
– Llave de grupo, compartidas por todas las
estaciones conectadas a un mismo AP.
• Para mantener un mayor nivel de seguridad,
se puede pedir a la estación que vuelva a
autenticarse periódicamente
Autentificación EAP/PEAP

Copyright © 2014 por TECSUP 17


EAP (Protocolo de Autenticación Extensible)

• 802.11X se basa EAP, para llevar a cabo la


autenticación entre el cliente y el servidor RADIUS
(transmitida por el punto de acceso).
• EAP utiliza diversos métodos de autenticación.
• Entre los principales métodos de autentificación
EAP utilizados en redes WLAN tenemos:
– EAP-TLS, EAP TTLS y PEAP que emplean certificados de
seguridad.
– EAP-MD5 y LEAP, que son soluciones basadas en
contraseñas. LEAP, es una solución propietaria de Cisco
ESTRUCTURA DE PAQUETE EAP
EAP fue diseñado para su uso en la autenticación de acceso a la red, donde la
conectividad de capa IP puede no estar disponible. Desde EAP no requiere
conectividad IP, proporciona suficiente apoyo para la eliminación de duplicados
y la retransmisión de los protocolos de autenticación.
EAPPOL FRAME
La encapsulación de EAP sobre IEEE 802 se define en el estándar IEEE 802.1X y
conocido como "EAP sobre LAN "o EAPOL.
Todas las PDU EAPOL comprenden una versión de protocolo, un tipo de paquetes, un
paquete de longitud del cuerpo, y (si la longitud del paquete del cuerpo es distinto de
cero) un cuerpo de paquete.
INTERCAMBIO DE PAQ EAP-TLS
INTERCAMBIO DE PAQ PEAP
Métodos de Autentificación EAP/LEAP

LEAP EAP-TLS EAP-TTLS PEAP


Server Password Public Key Public Key Public Key
Authentication Hash (Certificate) (Certificate) (Certificate)

Supplicant Password Public Key CHAP, PAP, Any EAP, like


Authentication Hash (Certificate or MS-CHAP(v2), EAP-MS-CHAPv2
Smart Card) EAP or Public Key

Dynamic Key Yes Yes Yes Yes


Delivery

RADIUS Server Cisco, Cisco, Funk, Cisco, Funk,


Support FreeRADIUS, FreeRADIUS, Interlink, Interlink,
Funk, Funk, Interlink, Meetinghouse, Meetinghouse,
Interlink, Meetinghouse, Radiator Microsoft,
Meetinghous Microsoft, Radiator
e, Radiator Radiator
Supplicant Cisco, Funk, Cisco, Funk, Alfa-Ariss, Funk,
Client Support Meetinghous Meetinghouse, Funk, Meetinghouse,
e Microsoft, Meetinghouse, Microsoft
Open1X Open1X
Embedded OS n/a Windows n/a Windows
Support XP/2000/2003 XP/2000/2003
WPA2 ( 802.11i )
• Utiliza el algoritmo de cifrado AES ( Advanced
Encryption Standard), un mecanismo
extremadamente seguro.
• Es simplificando WPA mas AES.
• Es conocido también como WPA2.
• Adiciona autentificación con 802.1x
Soluciones basado 802.1X

Copyright © 2014 por TECSUP


Autenticación basada en AAA
• AAA Cliente/Server
– El Cliente AAA solicita la autorización a un Server
AAA centralizado.
– Altamente escalable.
– Se usa protocolos estándares para los Servicios de
AAA

26
Cisco Secure Access Control
Server (ACS)

27
Cisco Secure ACS Authentication
Features
• Variedad de métodos de autenticación:
– PAP, CHAP, MS-CHAPV1, MS-CHAPV2, LEAP,
EAP-TLS, EAP-TTLS.
• Local o externas Base de datos

28
Cisco Secure ACS Authorization
(Características)
• Diferentes niveles de servicio por usuario o por grupo.
• Permitir o denegar login basados en hora/día.
• Deshabilitar cuenta cuando reintenta fallidamente el
ingreso o por vencimiento en fecha.
• Controlas las máximas sesiones por usuario y grupo.
• Uso de quotas dinámica.

•A que servicio de red el usuario puede acceder


29
Cisco Secure ACS Accounting
Características
• Registra la duración de las sesiones de start/stop.
• El cliente AAA envía los mensajes con el username.
• Identificación Caller-line.

30
Arquitectura

Copyright © 2014 por TECSUP


Cisco Secure ACS: Arquitectura
•Los cuatro componentes de la arquitectura AAA

32
Como trabaja Cisco Secure ACS
Secuencia de ACS.

33
Planificación

Copyright © 2014 por TECSUP


Planificando la implementación de Sistemas
AAA con Cisco Secure ACS
•WINDOWS SERVER 2008

35
Inicios de Configuración

Copyright © 2014 por TECSUP


Soluciones de Cisco Secure ACS v5.2
•Cisco Secure ACS v5.2 es un poderoso, solución de identidad de
red y acceso.
• Implementa un modelo de política basado en normas
• Administración basada en Web
• Monitoreo Integrado avanzado, capacidades de reporte y
solución de problemas
• Mejor integración con Windows Active Directory y LDAP
• Modelo de Implementación distribuida
• Disponibilidad:
- Cisco Secure ACS 1121 Series Appliance
- Cisco Secure Virtual Machine ACS VMware
• Supporta ESX 3.5 y ESX 4.0

37
Cisco Secure ACS 1121 Series
•Características:

•• Intel Core 2 Duo 2.4-GHz or Intel Xeon 2.66-GHz Q9400 Quad Core processor
•• 4-GB RAM or 4-GB DDR II ECC
•• 2 x 250-GB SATA hard drives or 2 x 250-GB 7.2 RPM 3.5” SATA
•• DVD-ROM
•• 1 x 10/100/1000 RJ-45 network interfaces or 4 x 10/100/1000 RJ-45 interfaces
•• Four USB 2.0 ports (two front, two rear)
•• 1 serial port, SVGA Video

38
Requerimientos
•Los requerimientos para la instalación del Cisco Secure ACS v5.2 para
Maquina Virtual VMware es:

39
Configuración inicial del Cisco Secure ACS

40
Verificando el proceso de instalacion

41
Accediendo Cisco Secure ACS

42
Accediendo Cisco Secure ACS

43
Accediendo Cisco Secure ACS

44
Creando la cuenta del System Administration
Configuración del Cisco Secure
ACS 5.4

Copyright © 2014 por TECSUP


REGISTRANDO EL AP EN EL SERVER
RADIUS (CLIENTES AAA)

Copyright © 2014 por TECSUP


REGISTRANDO EL AP EN EL SERVER RADIUS (CLIENTES AAA)

Sección: NETWORK RESOURCES


Ubique el Cuadro: Network Devices and AAA Clients
Clic à “Add”
REGISTRANDO EL AP EN EL SERVER RADIUS (CLIENTES AAA)

AAA Client Hostname: AP-01


AAA Client IP Address: 192.168.90.120

Authenticate Using: RADIUS


Shared secret: tecsup123 <Submit>
INTEGRANDO EL CISCO SECURE ACS CON
SERVIDOR ACTIVE DIRECTORY

Copyright © 2014 por TECSUP


CONFIGURANDO ACTIVE DIRECTORY IDENTITY STORE

Vamos a integrar el Servidor Active Directory al Cisco Secure ACS


SECCION: Users and Identity Store
External Identity Stores
Active Directory
Clic “Join\Test Connection”
SELECCIÓN DE GRUPOS DE USUARIOS DE ACTIVE DIRECTORY
Para poder autenticar usuarios con el ACS debemos seleccionar los
Grupos del Servidor AD desde los cuales buscaremos a los usuarios
válidos.
SELECCIÓN DE GRUPOS DE USUARIOS DE ACTIVE DIRECTORY
Para poder autenticar usuarios con el ACS debemos seleccionar los
Grupos del Servidor AD desde los cuales buscaremos a los usuarios
válidos.
CONFIGURANDO POLITICAS DE ACCESO
EN EL ACS

Copyright © 2014 por TECSUP


CREANDO UNA POLITICA DE ACCESO
Vamos a crear una Política de acceso a la cual asignaremos el
Profile de Autenticación para el Active Directory

ACCESS POLICIES > Access Services > Default Network Access > Identity
CREANDO UNA POLITICA DE ACCESO
Vamos a seleccionar el AD1
INSTALANDO EL CERTIFICADO PUBLICO
DEL SERVIDOR CA EN EL CISCO SECURE
ACS

Copyright © 2014 por TECSUP


INSTALANDO CERTIFICADO DEL CA

(AD) Acceda: http://192.168.90.136/certsrv


INSTALANDO CERTIFICADO DEL CA
INSTALANDO CERTIFICADO DEL CA

Certificate File: c:\CA\certnew.cer

<Submit>
CREACION DE UN CERTIFICADO PARA EL CISCO SECURE ACS

El Servidor RADIUS ACS solicitara un requerimiento de un Certificado al CA. El CA


autorizara la emisión del certificado. Luego se procederá a instalar el Certificado
en el Servidor RADIUS ACS entregado por el CA.
CREACION DE UN CERTIFICADO PARA EL CISCO SECURE ACS
Certificate subject: CN=ACS01.sagitario.com.pe
Key Length: 2048
Digest Sign with: SHA1 <Finish>
CREACION DE UN CERTIFICADO PARA EL CISCO SECURE ACS

-----BEGIN CERTIFICATE REQUEST-----


MIICyzCCAbMCAQAwITEfMB0GA1UEAxMWQUNTMDEuc2FnaXRhcmlvL
mNvbS5wZTCC0vHrHhKmQnPKqSut/Ug50VkUxKxoOh1StJMIjuVqIdmN
59bidrOW1Ypl/Am/inDsCjrN14g3pJIPfVnE0b4IrxY1mZe5pR5liqWR9NaL
b0fx4LYUIt8LZFWIuBv0OQECAwEAAaBlMGMGCSqGSIb3DQEJDjFWMF
QwCwYDVR0PBAQDAgKsMB0GA1UdDgQWBBTaOaPuXmtLDTJVv++VY
BiQr9gHCTATBgNVHSUEDDAKBggrBgEFBQcDATARBglghkgBhvhCAQEE
BAMCBkAwDQYJKoZIhvcNAQEFBQADggEBADGac7dNshpVO3w4jIaLD8
xRLEpbQzzx9lAubGyC+AUGpjoEZlU7HZUaWw6I6PRQlYaWnr4jY8fKoT1
axYbdIOlU/3r3WXPNE29QX1+velMQ0Fvq/nba+t1/EkXeHGizBbi/dHPUB
SMit3Nx/sCbzfUEeW00trTr5ZX8w0iYZSV1FHWDWmtBY3jvl9Wvyh7Xl6X
YHlmCJCRkawNYSeGz7I5NV90dVnYhRZGfhtJt+IYP3WXHnP8DLucZCqt
yOOU0QKsbCWB7xB0VEH+9ONh3XxYkyIZxGl3br8VhmfIo8IyIj5/TeAXP
vrbO2pBGzWFREefbsaUmzen4PZ4TQxIrP0M=
-----END CERTIFICATE REQUEST-----
INSTALANDO CERTIFICADO FIRMADO POR CA
INSTALANDO CERTIFICADO FIRMADO POR CA
HABILITANDO SEGURIDAD BASADA EN
CERTIFICADOS DIGITALES (EAP - TLS)

Copyright © 2014 por TECSUP


HABILITANDO AUTENTICACION CON EAP-TLS EN CISCO ACS
Creando un Certificate Authentication Profile
En este profile se indicara como el ACS identificara la autenticación de los
usuarios basado en certificados
Crear la secuencia de Autenticación de usuarios
En este caso solo la autenticación se realizara utilizando certificados
digitales y AD (2 factores)
Configurando Soporte para
802.1x en Clientes windows

Copyright © 2014 por TECSUP


Activando Servicio de 802.1X
Activando Servicio de 802.1X
Activando Servicio de 802.1X
Activando Servicio de 802.1X
Activando Servicio de 802.1X