enrutador punto de acceso para el acceso a la red autenticado

El propsito de este documento es describir la implementacin de una puerta de entrada para los puntos de acceso Wi-Fi
utilizando Zeroshell. Nos centraremos principalmente en la forma de autentificar a los usuarios (RADIUS, Kerberos 5 y
certificados digitales X.509) y Radio de la contabilidad para el trfico, el tiempo y coste de las llamadas. l va a echar un
vistazo a la posibilidad de obtener mltiples WAN router con balanceo y de Internet de conmutacin por error conexiones
y funcionalidad del portal cautivo.

red de la figura 1. Hotspot protegido por un portal cautivo Router

El contenido de este documento se divide en las siguientes secciones:

introduccin
Los enemigos del portal cautivo
la suplantacin de direcciones IP y MAC
la Denegacin de Servicio (DoS)

Router o puente?
autenticacin de usuarios
la RADIUS (PAP, PEAP y EAP-TTLS)
la Kerberos 5 (Active Directory)
la certificados digitales X.509 (tarjetas inteligentes)
la Shibboleth (IDP SAML 2.0)
Cuenta el tiempo, costo y enlaces de trfico
la los lmites de acceso a la red
Registrar el acceso de usuario y conexiones TCP / UDP
El equilibrio de carga y tolerancia a fallos de las conexiones a Internet
introduccin

En los puntos de acceso, que est en lugares pblicos donde se da acceso a Internet a los usuarios ocasionales, al
menos algunos de los siguientes son obligatorios:

1. Autenticacin de usuarios
2. El acceso a la red del registro;
3. La contabilizacin de trfico, el tiempo y el costo de las conexiones de usuario.

Autenticacin, que es la capacidad para identificar al usuario y, a continuacin, permitir el acceso a la red, lo que puede
hacerse a travs del nombre de usuario y contrasea o mediante un certificado digital X.509 que se pueden almacenar
en la tarjeta inteligente. Registro de acceso a veces se requiere por ley, ya que nos permite rastrear a los autores de
actividades ilcitas. Recuerde que el registro no incluye direcciones URL de registro o peor contenidos que el usuario
tuvo acceso, sino simplemente registrar la fecha y la hora de inicio y final de cada conexiones a Internet del usuario y la
direccin IP asociada con el cliente (por lo general una ordenador porttil), donde ocurri la conexin.

O que representa, sin embargo, ms all del control del inicio y el final de la relacin, y registrar el tiempo de trnsito
para la conexin de un usuario. A menudo, el propsito de la contabilidad es permitir que los gastos de recaudacin para
el trfico en megabytes y el tiempo en minutos de conexin. Adems, a travs de la contabilidad, puede establecer
lmites sobre el trfico y el tiempo durante el cual el usuario se desconecta de la red. En particular, la contabilidad puede
permitir que la gestin de las conexiones de prepago en el que el usuario debe tener un crdito para estar en lnea. Por
esta funcionalidad se puede utilizar uno o ambos de los siguientes mtodos de acceso:

Autenticacin y cifrado del trfico a travs de WPA / WPA2 Enterprise

portal cautivo

WPA / WPA2 Enterprise, que requiere puntos de acceso Wi-Fi para asociar un cliente slo si el usuario ha verificado
las credenciales vlidas por un servidor RADIUS mediante
802.1x. Adems de la autenticacin, cifrado del trfico tambin est garantizada entre el cliente y el punto de
acceso.
Para el acceso a travs del portal cautivo en su lugar, los puntos de acceso estn programados para abrir, es decir, sin
ningn tipo de autenticacin y cifrado. El cliente puede asociarse libremente e inmediatamente recibe una direccin IP
de un servidor DHCP. Sin embargo, la puerta de entrada a la comunicacin de bloqueo de Internet con el exterior y
redirige cualquier aplicacin web (http y https) a una pgina de autenticacin. Pronto se hace evidente que WPA /
WPA2 Enterprise es un sistema ms robusto en trminos de seguridad en relacin con la cautividad portal, pero por el
contrario, requiere que se configure el cliente (solicitante) para autenticar a travs de 802.1x. Este ajuste no es fcil para
los usuarios ocasionales de un punto de acceso y, por esta razn, que en la mayora de los casos,
 Configuracin de puerta de enlace de portal cautivo

Algunos puntos de acceso inalmbrico implementan internamente un portal cautivo, pero a menudo esto no es
configurable y adaptable a las necesidades de un punto de acceso. Es ms flexible y cmodo de usar puntos de acceso
Wi-Fi de bajo costo y sin ninguna caracterstica avanzada y se refieren al papel de portal cautivo a un router que acta
como puerta de enlace a Internet, como se muestra en Figura 1

Los enemigos del portal cautivo

La sencillez en el uso de un portal cautivo, incluso para un usuario novato se debe principalmente al hecho de que el
acceso al nivel 2 de la red, si es inalmbrico y por cable de red est abierta (que no es necesaria la autenticacin). El
cliente slo est asociada con la red de inmediato obtener una direccin IP desde el servidor DHCP y se comunica de
manera nocriptografada. La contrapartida de esta simplicidad se traduce en una debilidad inherente en trminos de
seguridad. Veremos en los prximos dos prrafos como Zeroshell intenta mitigar esta debilidad.

suplantacin de direcciones IP y MAC

El tema de la seguridad se sinti cuando se habla de portal cautivo se spoofing la direccin IP y MAC de la tarjeta de
red. De hecho, el portal cautivo firewall desbloquea los clientes autenticados mediante la identificacin de las direcciones
IP y MAC (este ltimo slo si el portal cautivo est conectado directamente a la red de capa 2 a proteger, es decir no hay
ningn medio router). Por desgracia, estos dos parmetros se pueden ajustar fcilmente en cualquier sistema operativo,
por lo que existe el riesgo de que alguien con un sniffer captura el trfico en busca de un cliente ya autenticado y
configure la misma direccin IP y MAC. Esto interrumpira la comunicacin del cliente legtimamente
autenticado que la observacin de la calidad de la conexin baja, abandona el uso de la Internet, dejando espacio para
el fraude.
El problema se agrava por el hecho de que la mayora de las implementaciones de portal cautivo mantienen un cliente
autenticado conectado a es visible en la red sin que el cliente participe activamente en la renovacin de autenticacin.
Algunas implementaciones para comprobar la tabla ARP para ver si el cliente tiene el trfico realizado recientemente o
realizar una solicitud ARP para la verificacin de la presencia en la red IP. Otros utilizan la tabla de los contratos de
arrendamiento de servidores DHCP, asegurndose de que el cliente ha solicitado una renovacin recientemente. Estas
soluciones son claramente peligroso, ya que el cliente tiene un papel pasivo en la renovacin de la acreditacin de
autenticacin.

zeroshell solucin es lugar para asegurarse de que el propio cliente est pidiendo al cautivo renovacin puerta de
entrada del portal de autenticacin, presentando un paquete cifrado con AES256, llamado Authenticator. Este es un
secreto compartido slo por el cliente y el portal cautivo (que viaja en el tnel SSL y por lo tanto no puede ser capturada
con un sniffer), por lo que incluso si alguien establece la direccin IP y MAC de un usuario autenticado no lo har
autenticador requiere para renovar la autenticacin de portal cautivo. El autenticador es almacenada por el cliente en
una ventana emergente llamada emergente acceso a la red que maneja el Java Script para poder enviarlo al portal
cautivo para la renovacin.

Pop-up ventana de acceso a la red

La ventana emergente tambin realiza otras funciones, tales como permitir al usuario desconectar y ver la informacin
contable til, como el clima, el trfico y el costo de conexo.Deve tenerse en cuenta que esta ventana no est
bloqueada por anticuerpos anti-up viene con casi todos los navegadores, ya que es abierto por una solicitud sncrona
para la autenticacin de usuario. Por otro lado, la ventana emergente ha causado varios problemas con la llegada de
los dispositivos mviles como iPhone, iPad y otros telfonos inteligentes y PDAs (como Windows Mobile y Android)
que no tienen un sistema multitarea en realidad esqueceu- para renovar la autenticacin provocando el cierre de la
conexin. Para resolver este problema, desde el lanzamiento de 1.0.beta15 Zeroshell,
 Los telfonos inteligentes y otra configuracin del dispositivo mvil

Denegacin de Servicio (DoS)

Algunos programas de software, en un intento de comunicarse con el exterior de la red a cualquier precio, despus de
intentar comunicarse en puertos TCP / UDP asignados a ellos, intente conectarse a los puertos TCP 80 y 443, a
sabiendas de que no es fcil un administrador de red que cerrara el trfico saliente en los puertos que impiden http /
https navegacin y, por tanto, acceder a la web. El ejemplo ms conocido de esta categora de programas es el cliente
de Skype VoIP, pero muchos otros sistemas P2P y los gusanos tienen la misma comportamento.Voc puede imaginar,
una vez que cuando un usuario est asociado a sus clientes a la red, pero no ha sido autenticado por portal cautivo,
estas peticiones en los puertos TCP 80 y 443 ser redirigido al portal de autenticacin que se trate, sin xito, para servir
a los que el trfico no es HTTP.

Zeroshell restringe la ocurrencia de este tipo de situaciones, mediante la implementacin de un sistema de proteccin
DoS con netfilter de Linux para limitar el nmero mximo de redirecciones por minuto. El nivel de proteccin se puede
ajustar en tres niveles (bajo, medio y alto).
 Portal cautivo Denegacin de Servicio de Proteccin

Adems, los mecanismos de actualizacin automtica que operan sistemas y antivirus firmas a menudo usan el
protocolo HTTP para comunicarse con el repositorio de actualizacin y por lo tanto pueden agravar la situacin, por lo
que las solicitudes que se agregan a la carga trabajar portal cautivo. Una vez ms Zeroshell intenta contener el
problema mediante la interceptacin de peticiones en el repositorio ms comn evitando redireccin innecesaria a la
pgina de autenticacin del portal cautivo.

Router o puente?

en Figura 1 El cautivo funciones del portal como un tercer dispositivo de encaminamiento de nivel conectado directamente a
un mdem que se conecta a Internet. Acta como puerta de enlace predeterminada para clientes que se conectan a la red.
En esta configuracin, dicho en modo enrutado , es apropiado que el router tiene DHCP y los servidores DNS funcin.
Zeroshell portal cautivo tambin puede trabajar en el modo de puente , donde la red a ser protegida por el portal cautivo
acciones subred misma IP que el resto de la red. Por lo tanto, el cliente recibe la misma direccin IP si se conecta por un
lado que el otro y tiene la misma puerta de enlace predeterminada que es un router antes de que el portal cautivo. En este
caso, DHCP y DNS que se utilizarn para el punto de acceso pueden ser los mismos que los utilizados para el resto de la
red. En las versiones anteriores de Zeroshell que tena que constar expresamente el modo de funcionamiento (enrutado o
puente) portal cautivo. Desde el lanzamiento 1.0.beta15, sin embargo, hay dos noticias sobre:

1. Se trata de la interfaz MULTI donde se puede declarar varias interfaces de red en la que se activa el portal
cautivo. Como se muestra en la Figura portal cautivo tambin puede ser habilitado en VLAN 802.1Q (Virtual
LAN Tagged);
2. Zeroshell selecciona el modo de puente o router comprueba automticamente si o no una interfaz es parte de
un puente.

Que une los dos innovaciones, se deduce que el portal cautivo Zeroshell puede trabajar simultneamente en la misma
caja de hardware como un router para algunos segmentos de la LAN y como puente para otros.
 Portal cautivo aplica a varias interfaces de red

autenticacin de usuarios

El portal cautivo de Zeroshell puede utilizar diferentes fuentes de autenticacin de forma simultnea. Por defecto, se
autentica a los usuarios la utilizacin de su Kerberos 5 KDC que contiene principios para usuarios internos almacenados
en el directorio LDAP y gestionados a travs de la interfaz web. Sin embargo, puede utilizar las fuentes de autenticacin
externos tales como Kerberos 5 Realms, servidores RADIUS y los proveedores de identidad SAML 2. Adems, tambin
existe el inicio de sesin utilizando certificados digitales X.509 que permiten el acceso a la red a travs de tarjetas
inteligentes o token USB. En el caso de RADIUS o Kerberos 5 autenticacin, los usuarios pueden provenir de diferentes
dominios. En este caso, el usuario debe seleccionar el dominio de autenticacin usando la casilla de verificacin en la
pgina de inicio de sesin o calificar su nombre de usuario usando @ sufijo de dominio (por ejemplo, plutn @ ejemplo.
 dominios de autenticacin autorizados para hotspot

RADIUS (PAP, PEAP y EAP-TTLS)

la autenticacin RADIUS es uno de los protocolos ms utilizados para el reconocimiento de los usuarios de los
dispositivos de red tales como puntos de acceso inalmbricos o switches de capa 2 que permiten el acceso al nivel 2
slo despus de la autenticacin se ha realizado correctamente. El portal cautivo de Zeroshell permite RADIUS
solicitudes de autenticacin a servidores externos a travs de proxy. En otras palabras, el portal cautivo requiere
autenticacin de servidor interno FreeRADIUS, que descubre que hay una autoridad para el dominio al que pertenece el
usuario, que enva la solicitud de autenticacin a la autoridad externa servidor RADIUS. Claramente, el servidor RADIUS
externo debe estar configurado en la lista de servidor proxy especificando el secreto compartido. Por otra parte, incluso
en el servidor RADIUS externo, una entrada debe aadirse entre clientes RADIUS a la direccin IP del portal cautivo
utilizando el mismo secreto compartido. En lista de proxy RADIUS, puede aadir servidor RADIUS estndar que se
utiliza cuando ninguno de los otros servidores estn autorizados para autenticar al usuario. El radio proxy
predeterminado es a menudo utilizado incluso cuando el portal cautivo tiene que autenticarse en jerarqua de servidores
RADIUS.
 Hotspots distribuyen mediante un servidor RADIUS centralizado

El portal cautivo puede hacer a travs de las solicitudes de autenticacin PAP o 802.1x (EAP-TTLS con PAP y PEAP
con MSCHAPv2). En este ltimo caso, el portal cautivo aparece al servidor RADIUS como un suplicante intentar
acceder a la red WiFi a travs de WPA / WPA2 Enterprise. El uso de 802.1x se recomienda durante el PAP sencilla, si
necesita un mayor nivel de seguridad, garantizada por el protocolo TLS EAP-TTLS, PEAP (EAP Proteger) utilizar.

Kerberos 5 (Active Directory)

La autenticacin Kerberos cinco portal cautivo permite la interfaz de un dominio de Active Directory de Windows. De hecho,
todos los Windows Server que es un controlador de dominio tiene el Kerberos 5 KDC que autentica a los usuarios en el
dominio de Active Directory al que pertenece. As que slo tiene que aadir el portal cautivo de dominio autorizado del
nombre de dominio de Active Directory para permitir que los usuarios de Windows para acceder a la red. Tenga en cuenta
que si la deteccin automtica de la esfera y el KDC a travs de los registros SRV de DNS no estn activos es necesario
especificar manualmente la direccin IP (o nombres de host FQDN) del reino KDC autoritario.
 de configuracin Kerberos cinco reinos

En algunas situaciones, puede ser necesario para permitir el acceso slo a travs del usuario de portal cautivo
pertenencia a un grupo. No se puede utilizar Kerberos 5, ya que slo se ocupa de la autenticacin de Active Directory,
mientras que la autorizacin se delega en LDAP. Sin embargo, se pueden conectar los controladores de dominio, NIC
(radio de servicio Active Directory) y establecer el portal cautivo para la autenticacin RADIUS. En este caso, se puede
configurar IAS para autorizar slo los usuarios que pertenecen a un grupo seleccionado.

certificados digitales X.509 (tarjetas inteligentes)

La autenticacin mediante certificados digitales X.509 permitir el acceso a la red sin tener que introducir su nombre de
usuario y contrasea. En otras palabras, cada usuario que necesita acceso a la red debe tener un certificado personal
con su clave privada se carga en el navegador web. Pulse el botn [X.509] en el portal de autentificacin, si el certificado
est firmado por una autoridad de certificacin habilita la configuracin de portal cautivo, el usuario tiene acceso a la red.
El uso de certificados digitales a menudo se relaciona con tarjetas inteligentes o tokens USB. Estos dispositivos pueden
mantener el certificado digital de un modo muy seguro porque la clave privada no se puede extraer con una operacin
de lectura desde el exterior. Las tarjetas inteligentes son, por tanto,
Shibboleth (IDP SAML 2.0)

El uso de proveedor de servicios de Shibboleth, el portal cautivo Zeroshell permite la autenticacin de usuarios contra
un proveedor de identidad SAML 2. Esto se utiliza a menudo en las federaciones, donde cada miembro de una
federacin implementa un IdP para reconocer a los usuarios mltiples y Servicios Web (proveedor de servicios) . Estos
servicios pueden incluir el acceso a una red Wi-Fi, en la que el usuario es redirigido a los WAYF / DS de la que l / ella
selecciona el proveedor oficial de identidad para autenticar la misma. Se puede argumentar que la celebracin del portal
cautivo a una jerarqua de servidores RADIUS (como eduroam con respecto a las universidades e instituciones de
investigacin) podra sin embargo ser un acceso federado a la red. Sin embargo, mientras que en el caso de la llamada
802.1xo punto afn La autenticacin se lleva a cabo tambin a travs de la jerarqua de servidores RADIUS, con el portal
cautivo que no est garantizado. Por lo tanto, es preferible utilizar SAML, donde en lugar, las credenciales de los viajes,
desde el navegador del usuario a su autoritaria IdP, siempre dentro del mismo tnel SSL cifrado, lo que garantiza la
autenticacin de extremo a extremo. Ms detalles sobre el portal cautivo Shibboleth estn disponibles en el documento Ajuste
el portal cautivo para autenticar usuarios en un IdP SAML 2.0 utilizando Shibboleth .

Cuenta el tiempo, costo y enlaces de trfico

Contabilidad nos permite conocer, para cada usuario, el tiempo, el trfico y el costo de las conexiones. El portal cautivo
de Zeroshell utiliza el protocolo RADIUS para transmitir dicha informacin, para que pueda utilizar un servidor RADIUS
externo que soporta la contabilidad o mdulo slo contabilidad dentro de Zeroshell basado en FreeRADIUS. Dado que la
autenticacin, lo que representa tambin puede ser centralizada en un nico servidor RADIUS que recoge informacin
de diferentes puntos de acceso. Adems, tenga en cuenta que el sistema de contabilidad Zeroshell puede, ya que
cumple con el estndar de RADIUS, tambin recoger informacin directamente de punto de acceso Wi-Fi utilizando
WPA / WPA2 con la compaa 802.1x.
 informacin de radio Accountig

Las cuentas de usuario detalles

los lmites de acceso a la red

Uso de la contabilidad RADIUS, tambin puede establecer lmites de conexin para los usuarios. Simplemente
asignar usuarios a una clase de contabilidad para que tome los siguientes parmetros:
 Tipo de pago (prepago y pospago)
El coste por megabyte de trfico
El coste por tiempo de conexin
lmite mximo de trfico (entrada y salida), en megabytes
tiempo de espera de conexin

lmites de configuracin de usuario que representan

Registrar el acceso de usuario y conexiones TCP / UDP

Aunque ya Accounting controla las conexiones de usuarios a la red, puede tener ms detalles acerca de la
autenticacin de usuario, mirando a los mensajes de registro para el portal cautivo.

Mensajes de registro de portal cautivo

Tambin, en especial si los clientes de portal cautivo utilizando direcciones IP privadas, puede ser til para realizar un
seguimiento de las conexiones TCP y UDP que se establecen con los servidores externos, ya que el portal cautivo
debe realizar NAT (Network Address Translation), todos las conexiones aparecen generados por IP pblica del router.
El registro de seguimiento de conexiones debe estar habilitado de forma explcita y se recomienda para evaluar antes
de activarla, que su uso est permitido por las leyes de privacidad, teniendo en cuenta el hecho de que no se puede
utilizar para conocer el contenido de comunicacin de los usuarios, pero slo para determinar los servidores que
fueron contactados.

Rastreo de llamadas conexiones TCP / UDP

El equilibrio de carga y tolerancia a fallos de las conexiones a Internet

Para garantizar la anchura adecuada y ancho de banda estable para Internet puede permitir el equilibrio de carga y
tolerancia a fallos para los enlaces WAN. Zeroshell puede funcionar en dos modos de llamadas conmutacin por error y
equilibrio de carga y conmutacin por error . En el primer caso, todo el trfico se encamina por el eslabn ms eficiente,
mientras que otras conexiones son repuestos y slo pueden tener lugar en caso de fallo del activo. En el modo de equilibrio
de carga y conmutacin por error, en cambio, todos los enlaces estn activos simultneamente y el trfico se reenva por
ellos en la ronda de todos contra todos. Incluso en este ltimo caso, la tolerancia a fallos est garantizada, ya que, si una
conexin es que se excluye automticamente del saldo hasta que vuelve asequible inaccesible.

Por otra parte, es posible equilibrar el trfico de forma manual. Por ejemplo, se puede decidir que el trfico VoIP se
enruta a travs de un enlace, mientras que la generada por la transferencia
archivos entre s. Esto evitar la saturacin del enlace que producira ruido en la comunicacin VoIP. Para ms
detalles, consulte el documento varias conexiones a Internet a travs de un balanceo de trfico y gestin de
conmutacin por error .

Traducido y enviado por Carlos Daniel Silva