implementación de un servidor de autenticación radius en un ...

IMPLEMENTACIÓN DE UN SERVIDOR DE AUTENTICACIÓN
RADIUS EN UN AMBIENTE DE PRUEBAS PARA LA RED
INALÁMBRICA DE LA UPB – SEDE LAURELES
Velásquez, S 1 ; Castro, B 1 ; Velandia, Andrés 2 .
1
Facultad de Ingeniería Informática.
2
Coordinador de conectividad y seguridad del Centro de Tecnologías de la Información y
las Comunicaciones.
Universidad Pontificia Bolivariana. Medellín, Colombia.
Email: {seanveca, bcastro, velandia.andres}@gmail.com
ABSTRACT
This paper presents a pilot plan for the
implementation of a RADIUS (Remote Access
Dial In User Service) server for the purpose of
providing authentication, authorization and
accounting services in the wireless network of the
Universidad Pontificia Bolivariana, at its Laureles
branch. This server integrates with the university´s
network infrastructure operating in a restricted test
environment, offering these services to a limited
group of users that belong to the CTIC (Centro de
Tecnologías de la Información y las
Telecomunicaciones), which is a subdivision of
the university.
Key words: RADIUS, authentication,
authorization, accounting, wireless network.
RESUMEN
Este artículo presenta un plan piloto para la
implementación de un servidor RADIUS (Remote
Access Dial In User Service) con el fin de proveer
servicios de autenticación, autorización y
contabilidad en la red inalámbrica de la
Universidad Pontificia Bolivariana- sede Laureles.
Dicho servidor se integra con la infraestructura de
red de la universidad operando en un ambiente de
pruebas, ofreciendo esos servicios a un grupo
limitado de usuarios, pertenecientes al Centro de
Tecnologías de la Información y las
Telecomunicaciones (CTIC), el cual es una
dependencia de la universidad.
Palabras claves: RADIUS; autenticación;
autorización; contabilidad; red inalámbrica.
INTRODUCCIÓN
Actualmente, la Universidad Pontificia
Bolivariana – sede Laureles, ofrece el
servicio de acceso a internet, no sólo
mediante una infraestructura de red
cableada, sino también de forma
inalámbrica. Sin embargo, no existe un
control para el acceso a dicho recurso y
los registros que se tienen sobre su uso,
no son suficientes para tareas de
administración de red.
Controlar quién accede a un recurso y la
forma cómo se usa, son necesidades
evidentes hoy en día para cualquier
institución, no sólo por la importancia de
la información que circula en la red, sino
también para velar por la prestación de un
buen servicio de internet a los usuarios
(personas vinculadas a la universidad y
23

visitantes autorizados), y garantizar la
disponibilidad de las aplicaciones web
universitarias, como el sistema de notas,
el sistema de consultas a biblioteca,
sistema de pagos, etc.
Con el fin de suplir dichas necesidades en
la red inalámbrica de la universidad, se
presenta una solución piloto que
corresponde a la implementación de un
servidor RADIUS en un ambiente de
pruebas. Allí se proveen los servicios de
autenticación, autorización y contabilidad
en el acceso a la red universitaria para un
grupo de usuarios pertenecientes al CTIC.
A continuación se presenta un marco
teórico relevante al proyecto, junto con el
estado del arte y la mención de algunas
instituciones que cuentan con esta
tecnología en la ciudad de Medellín.
Luego se expone el diagnóstico de la red
inalámbrica universitaria y las
características de la solución implantada
en el escenario delimitado. Finalmente se
presentan los resultados de las pruebas
realizadas sobre el servidor configurado,
y las conclusiones correspondientes al
proyecto ejecutado.
24
1. MARCO TEÓRICO
1.1. Seguridad en redes inalámbricas
Aunque las redes inalámbricas han traído
innumerables beneficios como la
movilidad, la facilidad en el despliegue,
la flexibilidad y el bajo costo de
instalación, tienen una gran desventaja: la
inseguridad [1]. Las redes inalámbricas,
al tratarse de ondas electromagnéticas, se
propagan por el espacio libre [2], creando
la oportunidad para que un intruso acceda
a la red sin que tenga autorización o para
que intercepte la comunicación,
comprometiendo información sensible.
Tratada de forma correcta, dicha
desventaja puede minimizarse,
reduciendo la exposición al riesgo. Una
forma de hacerlo es implementar una
función de autenticación en la Capa 2 del
modelo OSI [3] empleando el protocolo
802.1X.
1.2. Protocolo 802.1x
Es un protocolo creado por la IEEE, para
el control de acceso a la red que opera a
nivel de puertos [4]. Se basa en la
arquitectura cliente servidor, define
claramente las entidades que actúan en el
proceso de conexión y el protocolo de
autenticación a usar (Extensible
Authentication Protocol, EAP).
Las entidades que participan en el proceso
de conexión [5], definidas en el estándar
802.1x, son:
• Suplicante: Máquina del usuario
que desea conectarse a la red.
• Servidor de autenticación:
Máquina que posee la información
de los usuarios que pueden
acceder a un recurso, o que sabe
cuál es el repositorio para
buscarlos, con el fin de validar su
identidad.
• Autenticador: es el dispositivo
que recibe la petición de conexión
del suplicante, y solamente
permite su acceso a la red cuando

ecibe la notificación por parte del
servidor de autenticación.
El funcionamiento del protocolo se puede
resumir de la siguiente manera: Al
principio todos los puertos del
autenticador se encuentran desautorizados
[6], es decir que el tráfico que no sirve
para la autenticación será desechado. Sólo
existe un puerto que es utilizado para
comunicarse con el suplicante. Así,
cuando éste desea conectarse a la red
inalámbrica, se asocia, en primera
instancia con el autenticador y le envía su
petición de autenticación (Fase 1) [7]. El
autenticador se encarga de retransmitir la
petición al servidor AAA, quien valida en
el repositorio de usuarios si las
credenciales son auténticas y si puede
acceder a los recursos (Fase 2). En caso
de que dicha respuesta sea afirmativa,
notifica al autenticador quien gestiona la
obtención de los parámetros de red con el
servidor DHCP (Dinamyc Host
Configuration Protocol) y autoriza un
puerto para que sea utilizado por el
usuario (fase 3) [8].
En el siguiente gráfico se ilustra el
proceso anteriormente descrito.
Figura 1. Esquema de autenticación
AAA.
Fuente: Elaboración propia
Llevar a cabo este proceso permite
reducir la inseguridad de las redes
inalámbricas porque:
1. Proporciona acceso controlado:
Toda usuario (humano o máquina) que
quiera acceder al recurso debe
identificarse.
2. Permite autorizar el uso: A parte de
saber quién intenta acceder a un
recurso, se puede hacer un control de
qué acciones puede ejecutar un
usuario.
3. Permite el registro de actividades:
Permite llevar logs o registros sobre
cuál es el comportamiento de los
usuarios en la red, y tener datos
estadísticos que orienten la toma de
decisiones para desempeñar una mejor
gestión de la red.
Estos tres aspectos corresponden a tres
palabras claves: Autenticación,
Autorización y Contabilidad, conocidos
también como servicios AAA, por su
nombre en inglés: Authentication,
Authorization and Accounting.
1.3. Servicios AAA
Los servicios AAA son actualmente una
solución completa para el control de
25

acceso a los recursos de red [9]. Se
definen de la siguiente manera:
Autenticación: Es un proceso llevado a
cabo entre dos entidades, donde una da a
conocer su identidad y la otra verifica su
autenticidad [10]. Este servicio responde
a la pregunta ¿Quién es el usuario?.
Autorización: Es el proceso de
determinar si un usuario autenticado tiene
los permisos necesarios para acceder a un
recurso [11], es decir otorgarle o
denegarle permisos dependiendo del
resultado de la evaluación de
autorización. Este servicio responde a la
pregunta: ¿ A qué está autorizado el
usuario?.
Contabilidad: Es el seguimiento que se
hace a los recursos [12], cuando se ha
autorizado el uso a un usuario o grupo de
usuarios. Éste servicio proporciona una
respuesta a la pregunta: ¿Qué hizo el
usuario con el recurso?.
2. ESTADO DEL ARTE
Los protocolos AAA fueron una de las
soluciones propuestas a los problemas de
control de acceso presentados desde el
nacimiento de internet [13] para prestar
los servicios AAA anteriormente
presentados. Entre los protocolos más
conocidos se encuentra TACACS,
TACACS+, RADIUS y DIAMETER.
El primero corresponde al protocolo
pionero que suplió la carencia de
servicios AAA. Actualmente ha caído en
desuso y, su creador, CISCO, le retiró el
26
soporte [14]. Sin embargo, un protocolo
nuevo entró a reemplazarlo. Éste se llamó
TACACS+ y aunque hoy en día todavía
se usa, sólo es implementado en una
pequeña porción del mercado, debido al
poco dinamismo de las soluciones
comerciales.
Adicionalmente, los anuncios de la
llegada de un nuevo protocolo que venía
desarrollándose por parte de Livingston
Enterprises, fortaleció la decisión de
observar detenidamente la nueva
propuesta, que además prometía nuevas
funcionalidades [15].
Con las incipientes implementaciones del
nuevo protocolo, llamado RADIUS, se
logró vislumbrar el potencial que tenía,
convirtiéndose luego en un estándar de la
IETF. Desde entonces se ha mantenido
vigente a través de muchas aplicaciones
que implementan el protocolo y siguen
siendo actualizadas y mejoradas.
Actualmente se está desarrollando,
DIAMETER, otro protocolo AAA, que
pretende mejorar la especificación de
RADIUS y proveer nuevas
funcionalidades [16]. Sin embargo, su
calidad de “estándar en construcción” o
“borrador” [17], no ha facilitado el
desarrollo de aplicaciones que lo
implementen [18], ocasionando que su
incursión en ambientes de producción sea
mínima.
En éste proyecto se escogió este
protocolo debido a su popularidad, su
vigencia en el mercado, su estatus de

estándar completo de la IETF [19], y la
abundante documentación sobre el tema.
Localmente hay varios referentes de
instituciones que cuentan con un servidor
RADIUS integrado a su infraestructura,
entre ellos la universidad Eafit. Esta
entidad fue un referente para la
realización de este proyecto y reporta, no
sólo buenas experiencias en cuanto al
desempeño y mantenimiento del servidor,
sino mayor nivel de seguridad y más
control sobre la red inalámbrica.
3. RADIUS
RADIUS, como se mencionó
anteriormente es un protocolo AAA que
permite prestar, de forma centralizada, los
tres servicios AAA [20].
El funcionamiento del protocolo está
completamente especificado en los RFC
2865 [21] y RFC 2866 [22]. Utiliza el
puerto 1812 y 1813 UDP para establecer
sus conexiones. Una de las características
principales es su capacidad de manejar
sesiones, determinando el inicio y fin de
la conexión, datos que se pueden usar con
propósitos estadísticos para
administración de red.
Un servidor de este tipo es responsable de
procesar la información provista por el
usuario de la red inalámbrica, para
introducir servicios AAA en el proceso de
conexión.
4. SOLUCIÓN PROPUESTA
La solución propuesta en este plan piloto
corresponde a la implementación de un
servidor RADIUS interconectado con los
dispositivos de red ya existentes en la
universidad, pero funcionando en un
ambiente de pruebas. De esta forma no se
afectan los servicios actuales y el servidor
podrá ser puesto en producción en
cualquier momento por parte del personal
del CTIC.
El proceso de autenticación actual, de
cara a los usuarios, no cambia con la
implementación del servidor, pues se
sigue usando un portal cautivo para el
ingreso de las credenciales personales. Lo
que sí varía es la adición de los procesos
referidos a los servicios AAA en la
conexión a la red.
Para lograr esto, es necesario contar con
un escenario como el descrito por el
protocolo 802.1x, donde las máquinas de
los usuarios sean los suplicantes, el
Wireless LAN Controller (WLC) se
convierta en un autenticador, y RADIUS
sea el servidor de autenticación que
consulte a una máquina con servicio de
Active Directory para validar la
información del usuario.
La solución que se presenta, pretende
configurar dicho ambiente, pero hace
falta, en primer lugar, determinar las
necesidades de la universidad para este
montaje mediante un diagnostico a la red
inalámbrica y posteriormente la elección
del tipo de servidor RADIUS a usar,
partiendo del abanico de opciones que
existe actualmente, de forma tal que se
satisfagan dichas necesidades.
27

5. DIAGNOSTICO DE RED
Con el fin de conocer cuál es la
infraestructura de la red inalámbrica, los
dispositivos que intervienen en ella y el
nivel de seguridad que provee, se realizó
un diagnóstico a dicha red.
Los resultados de los análisis, mostraron
que existe una muy buena infraestructura,
con gran cobertura en el campus y
proporciona suficiente ancho de banda a
los usuarios. Sin embargo, es necesario
fortalecer los controles de seguridad para
acceder a la red y generar estadísticas de
uso del recurso. Este diagnóstico también
permitió vislumbrar el impacto que
tendría la inclusión de un servidor
RADIUS en la plataforma existente, al
convertirse en un punto céntrico para la
integración de usuarios y plataformas de
la universidad.
Pero el mayor beneficio se presenta al
reducir la posibilidad de materialización
de una amenaza de seguridad informática,
donde la universidad resultaría
perjudicada por no tener mecanismos de
seguridad apropiados que protejan los
datos que circulan por la red inalámbrica.
6. OPCIONES COMERCIALES
Debido a que en el mercado existen
muchas implementaciones de servidor
RADIUS [23], se realizó un análisis
comparativo de las más importantes
(BSDRadius, FreeRADIUS, ACS, NPS)
escogiendo la que cumpliera los
28
requisitos mínimos de la universidad y
supliera sus necesidades.
La plataforma abierta, el soporte a los
repositorios de usuarios con los que
cuenta la universidad y la variedad de los
mecanismos de autenticación a los que da
soporte, hicieron de FreeRADIUS la
opción escogida para usar en el desarrollo
de éste proyecto.
7. IMPLEMENTACIÓN
Una vez elegido FreeRADIUS como
servidor AAA, se llevó a cabo su
configuración y posterior implementación
en un ambiente de pruebas con las
siguientes características:
• Servidor AAA: Maquina con
procesador INTEL Pentium 4, de
doble núcleo, a 3 GHz; disco duro
SATA de 70 GB; 2 GB en RAM y
2 tarjetas de red, una para la
comunicación con el autenticador
y otra para la comunicación con el
repositorio de usuarios. Su sistema
operativo es CentOS 5.5., con una
versión de FreeRadius: 2.1.7.
• Autenticador: CISCO Wireless
LAN Controller (WLC) 4400
series.
• Suplicantes: computadores
portátiles con sistemas operativos
Windoes 7, y XP.
• Repositorio de usuarios: Active
Directory instalado sobre un
servidor Windows Server 2003.

• Autenticación: WPA2-Enterprise
• Mecanismo de autenticación:
PEAP/MS-CHAPv2.
• Población de prueba: usuarios
pertenecientes al CTIC.
8. RESULTADOS
La integración del servidor RADIUS al
ambiente de pruebas, resultó exitosa, pues
se obtuvo un escenario en donde se
ofrecieron los servicios de autenticación,
autorización y contabilidad por medio de
la validación de credenciales personales.
Dicha validación es imprescindible para
acceder a los recursos de red,
estableciéndose a así un control de acceso
estricto.
Mediante los datos arrojados por las
capturas de red realizadas, se evidenció la
comunicación efectiva entre los actores
de red, en las diferentes capas del modelo
OSI, así como el cumplimiento de las
especificaciones propias del protocolo
RADIUS.
Los datos sobre el tiempo requerido para
acceder a los recursos de red permitieron
establecer un promedio de demora en el
proceso de conexión de 0.27 segundos.
Adicionalmente al monitoreo de los
equipos de red se logró el registro de
detalles de contabilidad en archivos
específicos del servidor RADIUS donde
se despliega información importante
sobre el uso de recursos, por ejemplo
cantidad de bytes transmitidos, inicio y
fin de uso del servicio, etc.
CONCLUSIONES
Actualmente, la política de seguridad de
la red inalámbrica universitaria representa
un reto para las tareas de gestión, debido
a su naturaleza dependiente de la buena fe
de los usuarios. Ante esta infraestructura,
se realizó un diagnóstico para evidenciar
las deficiencias en el esquema de
seguridad vigente y proponer una
solución especializada.
Como solución a las deficiencias
encontradas en el esquema de seguridad,
se implementó un servidor AAA
FreeRADIUS en un ambiente de pruebas
que, de acuerdo a las necesidades de la
universidad, representó la mejor opción.
Esta solución puede ser llevada a un
ambiente de producción gracias a las
características de configuración y
escalabilidad del software seleccionado.
La implementación de un servidor
RADIUS en conjunto con el protocolo
WPA2-Enterprise permitió verificar la
autenticidad de las identidades provistas,
contra un repositorio de usuarios, con el
fin de ofrecer el servicio de autenticación.
Una vez proporcionado el servicio de
autenticación se estableció en el servidor
la evaluación de permisos para el acceso a
los recursos de red. Así se garantiza una
mejor prestación del servicio de
autorización mediante la implantación de
una estrategia de asignación dinámica de
VLANs frente a la solución actual de
segmentar la red mediante diferentes
29

SSID que dificultan las tareas de gestión
de red.
El servicio de contabilidad del servidor
RADIUS entregó información valiosa
para el seguimiento del uso de los
recursos de red. El nivel de detalle que
entregan los dispositivos de red con esta
implementación permite a la universidad
realizar un análisis más concreto en
relación con la plataforma actual.
Con la información de contabilidad que
proporciona el servidor es posible proveer
el servicio de no repudio en relación al
comportamiento de los usuarios en la red.
Otro de los servicios de seguridad que
presta en esta implementación del
servidor RADIUS es la confidencialidad,
mediante el esquema de seguridad
adoptado.
Las pruebas realizadas permitieron
comprobar la prestación efectiva de los
servicios de autenticación, autorización y
contabilidad. Esto se verificó en un
ambiente de pruebas, mediante el análisis
de la transmisión de información en las
diferentes capas de red.
Este proyecto no solamente permite
mejorar el esquema de seguridad de la red
inalámbrica, sino que también permite la
futura incorporación del servidor
RADIUS, por pate del CTIC, a la red
cableada para ofrecer servicios AAA en
toda la red de datos de la universitaria.
30
BIBLIOGRAFÍA
[1]. GAST, Mathew. 802.11 Wireless Networks:
The Definitive Guide. Estados Unidos:
O'Reilly, 2002. p.6.
[2]. VILA BURGUETE, Carlos Alberto.
Simulación de Zonas de Fresnel para Enlaces
de Microondas Terrestres [En línea] México:
Universidad de las Américas Puebla, 2005.
[Consulta:
Octubre 16 de 2010].
[3]. SCHWARTZKOPFF, Michael. Acceso
Seguro a Redes con 802.1X, RADIUS y
LDAP [En línea] España: 2005.
[Consulta:
Octubre 16 de 2010].
[4]. KWAN, Philip. WHITE PAPER: 802.1X
AUTHENTICATION & EXTENSIBLE
AUTHENTICATION PROTOCOL (EAP) [En
línea] Estados Unidos: Foundry Networks,
Inc., 2003.
[Consulta: Octubre 15 de 2010].
[5]. GEIER, Jim. Implementing 802.1x security
solutions for wired and wireless networks.
Estados Unidos: Wiley Publishing Inc., 2008.
p.66.
[6]. SÁNCHEZ CUENCA, Manuel y CÁNOVAS
REVERTE, Óscar. Una arquitectura de control
de acceso a redes de área local inalámbricas
802.11. [En línea] España: Universidad de
Murcia, 2003.
[Consulta: Octubre 16 de 2010].
[7]. GEIER, Jim. Op. Cit. p.60.
[8]. SÁNCHEZ CUENCA, Manuel y CÁNOVAS
REVERTE, Óscar. Op. Cit.
[9]. SANTOS, Omar y CISCO PRESS. End to
End Network security defense in depth.
Estados Unidos: CISCO PRESS, 2008. p.23.

[10]. MIGGA KIZZA, Joseph. A guide computer
to network security. Estados Unidos: Springer.
2009. p.48.
[11]. NAKHJIRI, Madjid y NAKHJIRI, Mahsa.
AAA and Network security for mobile access.
Radius, Diameter, EAP, PKI and IP mobility.
Inglaterra: John Wiley & Sons, Ltd., 2005. p.8.
[12]. RIGNEY, Willens y otros. RFC 2865:
Remote Authentication Dial In User Service
(RADIUS). [En línea] IETF Network Working
Group, 2000. <
http://www.ietf.org/rfc/rfc2865.txt >
[Consulta: Junio 29 de 2010].
[13]. COHEN, Beth y DEUTSCH, Debbie.
RADIUS: Secure Authentication Services at
Your Service [En línea] 2003.
[Consulta: Octubre 16 de 2010].
[14]. WELCH-ABERNATHY, Dameon. Essential
Check Point FireWall-1 NG. Estados Unidos:
Addisson-Wesley, 2004. p.197.
[15]. VOLLBRECHT, John. The Beginnings and
History of RADIUS [En línea] Estados
Unidos: Interlink Networks, 2006.
[Consulta:
Octubre 15 de 2010.]
[16]. NAKHJIRI, Madjid y NAKHJIRI, Mahsa.
Op. Cit. p.148.
[17]. FAJARDO, V; ARKKO, J; LOUGHNEY, J.
y ZORN, G. DIAMETER Base Protocol [En
línea] Estados Unidos: IETF - DIME, 2010.
[Consulta:Octubre 16 de
2010].
[18]. Análisis de desempeño y evaluación de
requerimientos AAA en protocolos de
seguridad sobre redes inalámbricas IEEE
802.1 . En: revista de Ingeniería
Neogranadina, Bogotá. Universidad Militar
Nueva Granada. 2006.
[Consulta: Octubre 16 de 2010].
[19]. RIGNEY, Willens y otros. Op. Cit.
[20]. NAKHJIRI, Madjid y NAKHJIRI, Mahsa.
Op. Cit. p.127.
[21]. RIGNEY, Willens y otros. Op. Cit.
[22]. RIGNEY, C. RFC 2866: RADIUS
Accounting [En línea] IETF Network Working
Group, 2000.
[Consulta: Octubre 16 de 2010].
[23]. FREERADIUS WIKI. Others RADIUS
servers [En línea] 2007.
[Consulta: Octubre 16 de 201
31