Servidores NPS con protocolo RADIUS en entornos 802.1X Lpez, E. Montilla, E.

Chacn, C
Lpez, E Maestra en Telemtica. URBE. Maracaibo-Venezuela. Ernesto_lopbra@hotmail.com
2

Escuela de Educacin, Maestra en Telemtica. URBE. Maracaibo-Venezuela. esceduc.luz@luz.edu.ve

Escuela de Educacin, Maestra en Telemtica. URBE. Maracaibo-Venezuela. esceduc.luz@luz.edu.ve Resumen En la actualidad ha aumentado el uso de las redes satelitales y por ende se han ido actualizando los protocolos utilizados en las mismas, dos ejemplos de estos nuevos protocolos son DVB-S2 y DVBRCS, ambos utilizados en las transmisiones de video y otros servicios via satlite. Aunque ambos protocolos ofrecen niveles de seguridad aceptables, se requiere de la utilizacin de un sistema que ofrezca garantas mayores ya que en algunos casos la informacin transmitida en las redes satelitales es importante, es por esto que se adapto un protocolo de seguridad utilizado en las redes cableadas para que pudiese brindar una mayor fiabilidad a las transmisiones, dicho protocolo es el SatIPSec que es una adaptacin del protocolo de seguridad IP, Palabras clave: 802.1X, autenticacin, autorizacin, RADIUS, NPS.

NPS with RADIUS in a 802.1X infraestructure

Abstract The 802.1Xinfraestructure is widely use because it represents a lot of improvements of early versions. According to some people RADIUS protocol is considered as one important way to implement security in networking throught authentication, and the new feature of windows server 2008, the network policy server, can act like a RADIUS proxy or RADIUS client making authentication easier. Using a descriptive methodology which can be done because of the investigation in books and whitepapers from some autors around the world. Concluiding the RADIUS protocol is the best for using in authentication and authorization process because it supports a lot of methods and also it is suppotes by a lot of operating systems, also many companies are orking because they wan to improve even more. Index terms: 802.1x, authentication, authorization RADIUs,NPS.

INTRODUCCIN Hoy en da es comn llegar a un centro commercial, un areopuerto, incluso un autolavado y encontrar una LAN inalmbrica, el mundo est creciendo rapidamente en tecnologia, por ende debemos aprender a proteger nuestrared. Para garantizar que los datos sean preservados y esten asegurados, se necesita un servidor que se encargue de comprobar la identidade las personas que entran a red y denegar el trficos que es inseguro. Es aqui donde entran los servidores NPS pertencientes al sistema operativo Windows Server 2008, los cuales utilizan el protocolo Radius para garantizar la autentication de los usuarios y asi poder tener una red ms segura. Estos servidores no solo garantizan la seguridad sino que tambin ayudan al administrador a encontrar las fallas en la red rpidamente. Teora Referida a la Investigacin Antes de empezar a hablar sobre el estndar IEEE 802. 1X debemos comenzar definiendo que significa EAP. Extensible Authentication Protocol o EAP es una estructura de soporte para la autenticacin, no un mecanismo de la misma, por ello puede soportar mltiples mecanismos de autenticacin (certificados digitales, kerberos, token cards, entre otros). Esta estructura puede ser usada tanto en Redes de rea local cableados como en LAN s inalmbricas, estas ultimas es donde permite a los clientes inalmbricos la comunicacin con servidores RADIUS o con servidores Back end. Tambin es importante acotar que es la forma ms antigua de autenticar que existe. Entendiendo este concepto se puede comprender como funciona el estndar ya mencionado (802.1X) Estndar IEEE 802.1X Bsicamente podemos afirmar que 802.1X es un estndar que pasa EAP a travs de cables o de LAN inalmbrica solo trabaja con autenticacin, y vara en las formas y mtodos para lograr las mismas de acuerdo al tipo de red implementado

Ampliando este concepto, tenemos que la especificacin IEEE 802.1X es un estndar de control de acceso desarrollado por IEEE que permite utilizar diferentes mecanismos de autenticacin. Su funcionamiento se basa en el concepto de puerto, visto este como el punto a travs del que se puede acceder a un servicio proporcionado por un dispositivo, que en el caso de redes inalmbricas est representada por un punto de acceso (AP) (Snchez y Canovar, 2003). Al principio del proceso todos los puertos se encuentran desautorizados excepto el puerto usado por el punto de acceso del servidor RADIUS, el estndar y servidor antes nombrados son utilizados para redes clienteservidor, pero debido a que el servidor toma como cliente al AP, el cliente inalmbrico toma el nombre de suplicante. De manera global el AP cumple una funcin de intermediario, ya que, pasa la informacin entre suplicante y servidor. Al encontrarse un cliente nuevo dentro del rea de cobertura del AP, el primero le pasa la informacin de autenticacin al segundo, dependiendo del mecanismo utilizado, el AP entonces remite esta informacin al servidor de autenticacin, este corrobora la informacin del usuario y concede el servicio o lo niega, basndose para ello en la autenticacin de los servicios que esta solicitando y el estado actual en el que se encuentra el sistema y la red.

Figura 1. Ejemplo de una red cableado 802.1x

No se debe confundir el termino autenticacin con autorizacin, ya que, la autenticacin es el proceso de verificar un derecho reclamado por un individuo (persona o incluso un ordenador), mientras que la autorizacin es el proceso de verificar que un individuo tenga la autoridad de efectuar determinada operacin, la autenticacin conlleva a que se le otorguen un servicio a un individuo (autorizacin), es decir una precede a la otra. Ventajas de 802.1X Utiliza cifrado en las inalmbricas, evitando que se identificador por toda la red. conexiones difunda el

Posee bajos costos, dado que se puede utilizar la infraestructura ya existente en a empresa. Servidor de autenticacin Son servidores encargados de manejar la base de datos de todos los usuarios de una red, con sus contraseas, credenciales y dems informacin que les permita ser autorizados, tambin estn en capacidad de denegar un servicio. Se recomienda colocar junto con otros servidores un firewall o cortafuegos que no es ms que un elemento de prevencin, que realizara un control de acceso para proteger una red de los equipos exteriores. (Herrera, Garca, Perramon, 2004). En el caso de Microsoft (por mencionar un ejemplo) tenemos el uso de cortafuegos WSFAS (Windows Server Firewall with Advanced Security), el cual se encuentra instalado por defecto en cada equipo que corra Windows, especialmente Windows Server 2008, en el cual deniega todas las conexiones remotas por defecto. En la prctica de la especificacin 802.1X se busca un servidor que cumpla con el criterio AAA (autenticacin, Autorizacin y Registro), por lo tanto el servidor y protocolo preferido para implementar es el RADIUS.

Establece redes privadas virtuales a travs de conexiones inalmbricas entre sitios remotos. El uso de la EAP puede soportar mltiples mtodos de autenticacin. Al colocar toda la informacin de autenticacin en un servidor y darle la habilidad de autorizar, facilita la administracin de la red. Asigna dinmicamente la VLAN, de modo que al conectarse un usuario el servidor le asigna la VLAN segn la informacin guardada por el suplicante. Puede asignar una clave a cada cliente inalmbrico, evitando as los problemas asociados a poseer una sola clave general que se comparta por la red, evitando a su vez que se averige la clave en un periodo de tiempo no mayor de 24 horas. Posee una gran compatibilidad con un gran nmero de dispositivos y de sistemas operativos, ya que se puede usar en Windows, Linux, etc. Realiza funciones de control de acceso Este tipo de implementacin es fcilmente escalable, ayudando al crecimiento de la red en un futuro. Autentica clientes antes conectarse a la empresa. de permitirles

RADIUS Remote Authentication Dial-in User Services or RADIUS es un protocolo utilizado para autenticar usuarios en un escenarios dialup. RADIUS tambin es til en ambientes LAN: en combinacin con 802.1X, RADIUS fuerza a los usuarios a autenticarse a bajo nivel antes de que el switch abra el puerto (Schwartzkopff, 2002).

Segmenta los puntos de acceso inalmbrico en zonas de seguridad, las cuales son administradas centralmente. Evita sobrecargar el punto de acceso, ya que la informacin de autenticacin solo se almacena en el servidor de autenticacin, aprovechando a su vez los recursos de los equipos.

Este protocolo trabaja bajo la AAA ya que autentica determinando si un usuario tiene permiso a utilizar los recursos. Siguiendo con la definicin de la tupla AAA est la autorizacin, que es el proceso por el cual el servidor procede a brindar el servicio requerido siempre y cuando la informacin suministrada por el Suplicante haya sido corroborada y autenticada, el brindar o no estos servicios depende de otros factores como la hora del da, la cantidad de intentos que realiz el usuario para ingresar a la red o incluso el congestionamiento de la misma. Para autorizar un servidor RADIUS puede usar las bases de datos SQL (MySQL, PostgreSQL) y los ficheros locales del servidor. Los servicios brindados pueden ser desde asignaciones de direcciones IP hasta el tipo de calidad de servicio (QoS) que se le va a brindar al usuario. Por ltimo se encuentra el registro (accounting), el cual cumple una funcin que es ms parecido a una auditoria, tambin se le conoce como contabilidad, este proceso se encarga de guardar las sesiones de los usuarios donde se expresa el tipo de servicio utilizado, el usuarios y la contrasea, adems del tiempo que dur el mismos. En los mtodos de autenticacin mas usados por RADIUS tenemos: La autenticacin de sistema, utilizada principalmente en Unix, mediante la utilizacin del fichero /etc/password/ donde se guarda la informacin del usuario y sus contraseas. Los protocolos PAP y CHAP, los cuales son usados para comunicaciones va PPP, de estos dos protocolos PAP es el menos robusto y el ms susceptible a ataques. LDAP (Lightweight Directory Access Protocol), es un protocolo TCP/IP de la capa de aplicaciones. Kerberos, diseado por MIT, su mayor ventaja radica en que una vez autenticado el usuario no es necesario que el mismo retorne al servidor para su autorizacin.

Soporta todos los tipos de autenticacin EAP (EAP-TLS, EAPMD5, entre otros), lo que lo hace ideal para usar en un entorno 802.1X. Permite autenticar usuarios a travs de los ficheros locales del servidor, los cuales son archivos en texto plano donde se halla contenida la informacin de los usuarios. Tambin se vale del Active Directory de Microsoft para guardar la configuracin, en este caso se usa cuando se est trabajando con el sistema operativo Windows server en cualquiera de sus ediciones.

Una infraestructura 802.1X con un servidor RADIUS consta de los siguientes cuatro elementos: Servidor RADIUS: es el encargado de recibir y procesar los datos enviados por los clientes. En el caso de un intento de conexin, el servidor procesa las credenciales, autentica y autoriza al usuario para que este use el servicio, esta autorizacin la realiza envindole al cliente un mensaje de nombre Access-Accept o lo niega enviando un mensaje de nombre Accessreject. Cliente RADIUS: recibe la solicitud de autorizacin del suplicante y se la enva al servidor para que este se encargue de la tarea de autenticar al usuario. Se puede interpretar la accin de un cliente RADIUS como la de un intermediario en una negociacin. Comnmente los clientes RADIUS son los puntos de acceso de una red inalmbrica.

Suplicante: tambin son conocidos como clientes de acceso inalmbrico, envan las solicitudes al cliente RADIUS sobre algn servicio. Dentro de estos dispositivos estn las credenciales que les permitirn ser autorizados. Estos dispositivos tienen un contacto directo con los usuarios, un ejemplo de suplicante es una PC.

El protocolo RADIUS usa una doble arquitectura cliente- servidor. Observndolo de forma general tenemos que el suplicante enva una solicitud al servidor y este responde tomando en cuenta el proceso de AAA, se puede ver que el cliente es un NAS (Network Access Server), como por ejemplo un AP y el servidor RADIUS, el AP intenta entrara a la red y el servidor niega o autoriza la entrada del Access point, es por esa razn que al usuario se le denomina suplicante. Una ventaja importante de protocolo RADIUS es que nunca transmite la contrasea directamente por la red, ni usando el protocolo PAP, sino que la encripta para evitar su visualizacin, aunque esta es una forma de implementar seguridad tambin se recomiendan otras practicas como por ejemplo: usar tneles IPsec para cifrar el trafico RADIUS Otro aspecto a resaltar es que un cliente para comunicarse con un servidor solo tiene que implementar un protocolo de comunicacin y no todas las posibilidades existentes (PAP, CHAP, Kerberos, etc.). Este protocolo maneja sesiones, lo cual permite actividades como facturacin u obtener estadsticas. RADIUS esta basado en UDP a travs de los puertos 1811 para autenticacin y 1813 para manejo de sesiones, es decir que RADIUS es un protocolo no orientado a conexiones y no se preocupa por el envo correcto de los paquetes.

Figura 2. Elementos de una infraestructura RADIUS Proxy RADIUS: este elementos solo se implementa si en la red existen muchos servidores RADIUS, se encarga de recibir la solicitud del cliente y enviarla al servidor correcto para que este realice las tareas asignadas, el Proxy enva los paquetes a un servidor que se encuentra fuera del segmento de red donde se esta enviando el mensaje. Este sistema evita sobrecargar la red con trfico innecesario.

Este protocolo se sirve de identificadores conocidos como realms, los cuales pueden estar al principio o al final del nombre del usuario, separados por caracteres definidos, tpicamente barras o @. Por ejemplo, si a CANTV llega una peticin de autenticacin con un realm usuario@cantv.com la empresa lo buscara en su base de datos local pero por el contrario si recibe una peticin con el realm de tipo usuario@movilnet.com lo remitir a travs del Proxy al servidor RADIUS de movilnet. El protocolo RADIUS es ampliamente utilizado aunque puede existen degradaciones de sus funciones cuando hay mucha congestin en la Web, ya que no incluye el aprovisionamiento para controlar la congestin. Algunos administradores han adoptado la costumbre de enviar solicitudes RADIUS de prueba para corroborar que el servidor este funcionando. Esta prctica es altamente desaconsejable y que le agrega una fuerte carga al servidor y la red, afectando el funcionamiento y la escalabilidad si brindar ninguna informacin resaltante. Dentro de un servidor si se cambia el contenido de la contrasea del usuario se debe enviar una nueva solicitud al servidor para que el mismo comience de nuevo el proceso de autenticacin y autorice al usuario. Un mensaje RADIUS esta formado por un encabezado y cero o mas atributos, los cuales contienen informacin sobre l conexin. Un ejemplo de atributo es le nombre de usuario, la contrasea o la nacionalidad del mismo. COMO TRABAJA ENTORNO 802.1X RADIUS EN UN

2. El AP le solicita al cliente que enve alguna identificacin. 3. El suplicante le responde al AP con su nombre de usuario y su password. 4. El AP enva el mensaje Accessrequest al servidor o Proxy RADIUS. El Proxy describe la contrasea del usuario empleando el secreto conocido por el AP, este secreto puede ser una frasee tipo clave123. 5. El Proxy le agrega al paquete un atributo conocido como Proxy State al final del paquete. 6. El paquete es enviado al servidor RADIUS correcto, el cual puede ser un servidor remoto. 7. El servidor verifica la informacin del cliente inalmbrico y retorna con un mensaje access-accept, con un mensaje access-reject o con un mensaje access-challange. 8. El servidor de reenvo verifica la respuesta a travs del secreto compartido, si el mensaje es de rechazo el servidor descarta automticamente el paquete, si por el contrario es aceptado el mensaje es enviado al Access Point que acta como cliente.

9. si la autenticacin es un xito el Access Point conecta al nuevo usuario a la red Estos pasos se pueden visualizar mejor en la siguiente figura:

En la mayora de los entornos 802.1X los Access Point difieren en la forma de autenticar con el servidor RADIUS, pero para evitar problemas debido a esto el servidor maneja muchos tipos y mtodos permitiendo as que se lleve a cabo la comunicacin y que se pueda implementar la seguridad. A continuacin se presenta de forma general como se establece una transaccin entre el cliente inalmbrico (Suplicante) y el servidor RADIUS y como este le brinda al primero una conexin segura: 1. El cliente inalmbrico o suplicante trata de acceder a la red.

F igura 3. Autenticacin con RADIUS

Para el diseo de una red 802.1X con servidores RADIUS se deben seleccionar los componentes del sistema de autenticacin, los cuales fueron antes descritos (Suplicante, cliente, servidor y Proxy), se deben conocer adems los requerimientos tcnicos y funcionales como por ejemplo: el servidor debe poseer flexibilidad para validar a los usuarios mediante distintos mtodos, todos los equipos deben ser compatibles con el estndar 802.1X. El siguiente movimiento es seleccionar el mecanismo de autenticacin, el cual es elegido de acuerdo a las necesidades de seguridad y funcionalidad, se puede elegir entre el uso de VPNs, EAP-TLS, EAP-TTLS, entre otros. Ya cubiertos todos estos requerimientos se procede a la implementacin dentro de la red. Es importante tomar en cuenta que existen consideraciones no tan favorables para la red, en primer lugar las tecnologas actuales no soportan una elevada cantidad de autenticaciones EAP ya que las elevadas velocidades que existen en la actualidad hacen que los paquetes de renovacin de clave de este protocolo se enven con una mayor rapidez, sobrecargando as la red en su totalidad. Un ejemplo de la utilizacin de servidores RADIUS en una red 802.1X es el llamada proyecto eduroam (education roaming), a este proyecto pertenecen una gran cantidad de instituciones universitarias de Europa y el este de Asia. Eduroam principalmente trata sobre varias redes interconectadas entre si para facilitar el intercambio de informacin y el acceso a la red de las instituciones sin la necesidad de estar dentro de los lmites geogrficos de la misma. El usuario que desea ingresar en la base de datos de una Universidad (debe pertenecer a eduroam) diferente a la suya se autentica en el servidor RADIOS de su propia red local, est servidor se comporta como un Proxy y remite la solicitud al servidor de la institucin remota, el cual va a proceder a la revisin de las credenciales y a la posterior autorizacin de acceso a los recurso en caso de que el usuario haya sido autenticado satisfactoriamente. Una vez autenticado el usuario se mantiene una comunicacin cifrada con el ponto de acceso mediante un cifrado TKIP (Temporal Key Integrity Protocol).

Los servidores RADIUS cumplen una funcin indispensable dentro de las redes WLAN actuales ya que autentican a los usuarios y brindan seguridad, es por eso que se han desarrollado variantes y mejoras en los servidores, para maximizar sus prestaciones y mejorar su utilizacin. Entre las principales utilizaciones servidores RADIUS tenemos: IAS Internet Authentication Service o IAS es un componente de Windows Server, es compatible con RADIUS. IAS realiza autenticacin, autorizacin y registro, por lo tanto es un servidor AAA. Cuando posee ms de un servidor de acceso remoto, en vez de administrar las polticas por separada, servidor por servidor, se puede configurar un servidor IAS que funciones como un servidor RADIUS y configurar al servidor de acceso remoto para que cumpla la funcin de cliente RADIUS. Entre los beneficios e IAS tenemos: Acceso corporativo va dial-up. Los usuarios de una empresa pueden acceder a los recursos basndose en el grupo al que pertenecen. Permite a los socios externos e una empresa tener acceso limitado a los recursos de la misma. Acceso a Internet. Permite acceso a travs de un ISP pero la autenticacin de los usuarios queda en manos de los servidores de la empresa. de

En este escenario el servidor IAS cumple las mismas funciones que cumplira un servidor RADIUS. FreeRADIUS Es un paquete de software de cdigo abierto que emplea diversos elementos de RADIUS, tales como: la biblioteca BSD de usuarios, un servidor RADIUS, entre otras. Es una buena opcin cuando se desea implementar un servidor RADIUS, ya que posee opciones para autenticar usuarios de Windows, adems puede recuperar datos desde bases de datos como MySQL, PostgreSQL o en bases de datos Oracle.

Es un servidor modular y escalable, entre sus principales ventajas se encuentra: FreeRADIUS soporta EAP (EAPMD5, EAP-TLS, EAP-TTLS, EAPPEAP) Es un protocolo que se puede implementar en un gran nmero de hardware diferentes, entre los que se pueden mencionar: Cisco, HP Procurve, Microsoft, USR/3COM y muchos otros ms. Soporta varias clases de clientes RADIUS y clientes EAP (Chillispot/CoovaChill, JRadius, mod_auth_radius, pam_raius_auth, Secure W2, NetworkManager). La instalacin es muy simple. Los ficheros se /use/local/etc/caddb. guarda en

# compilamos: :~/freeradius-1.1.2$ make # si todo termina bien, lo instalamos (como root): :~/freeradius-1.1.2$ make install

. Cuando se est configurando el servidor RADIUS el administrador debe colocar la clave (secreto) en el switch para que este se encargue de hacer las comparaciones de este secreto a travs de la red.

Se puede ejecutar en multiples sistemas operativos: Linux (Debian, Fedora, Ubunu, Suse, Mandriva, etc), MacOS, Solaris y en Windows por medio de Cygwin. Soporta el uso de Proxy RADIUS Permite la replicacin. Al ser de cdigo abierto puedes encontrar gran cantidad de ayuda y soluciones en la red.

Para su instalacin, se descarga el archivo y se descomprime, se compila e instala, como muestran los siguientes pasos para instalar el servidor son los siguientes:
# bajamos el cdigo fuente: ~$wgetftp://ftp.freeradius.org/pub/radius/fr eeradius-1.1.2.tar.gz # desempaquetamos y descomprimimos: :~$ tar xvfz freeradius-1.1.2.tar.gz # generamos compilacin: los archivos para la

:~$ cd freeradius-1.1.2/ :~/freeradius-1.1.2$ ./configure --withoutrlm_smb --without-rlm_perl --without-rlm_ldap --without-rlm_krb5

La versin 2.0.0 de FreeRADIUS fue lanzada en 2008, soporta IPv6, VMPS. Para el 2009 se lanz la versin 2.1.8 que entre sus mejoras tenemos: Cuando se activa el modo debug, los comando recibidos or radmin ahora se pueden visualizar en stdout (corriente donde un programa escribe su data de salida). Permite colocar los paquetes de registro en un archivo incluso si fueron extrados de otro diferente. Wimax puede trabajar con esta nueva versin pero presenta ciertos problemas al autenticar. Figura 4. Clientes RADIUS y mtodos de autenticacin. SERVIDORES FUNK-SOFTWARE Funk-Software es un proveedor de soluciones para seguridad en redes. Entre sus clientes podemos encontrar empresas, instituciones, empresas de telecomunicaciones y proveedores de servicio. Los servidores RADIUS de Funk-Software (Odyssey y Steel-Belted Radius) son especiales para redes 802.1X, mientras que usando ambos en conjunto se puede obtener una funcionalidad ms optima. Odyssey Server: es un servidor RADIUS que trabaja bajo ambiente Windows, generalmente se utiliza para redes de pequeas empresas donde para autenticar solo se necesita la revisin de su nombre y password. Este servidor esta en la capacidad de decidir que conexiones son seguras. Odyssey tambin se puede comunicar perfectamente con el SteelBelted Radius para autenticar a los usuarios en oficinas remotas y donde puedan estar o no corriendo Windows. Odyssey Server emplea formas avanzadas de seguridad como la generacin de claves dinmicas por sesin para encriptar la conexin inalmbrica y proteger los datos de intrusos. Adems cabe mencionar que de los dos servidores Funk-Software el Odyssey es el ms econmico.

Tambin mejoraron algunos errores que presentabana las versiones anteriores: Mayor numero de restricciones al pasar cadenas de datos en el archivo de configuracin. Ahora se puede decidir si se establece o no la opcin de broadcast colocando la opcin broadcast=YES. Mejora en la longitud de las claves en scripts/create-users.pl Mayor flexibilidad en el anlisis de un archivo. Esto facilita la lectura de archivos donde los atributos fueron modificados. Reintento de reenvio de paquetes de un archivo detallado cuando no hay respuesta. Aplicaciones de parches libltdl. Mantiene rastros de los paquetes perdidos para el conjutno auth/acct, facilitando as la tarea de encontrarlos en caso de necesitarlos.

Existe un servidor FreeRADIUS llamado RADIUSD, es un servidor de buen funcionamiento y altamente configurable. Soporta varias bases de datos de archivos planos como SQL, LDAP, Python, etc. Tambin soporta muchos protocolos de autenticacin como CHAP, PAP, entre otros.

Steel-Belted Radius/ Enterprise Edition: es el nico capaz de gestionar accesos y la seguridad de usuarios remotos y de redes inalmbrica, a nivel de estas ltimas provee el mismo nivel de seguridad que los servidores Odyssey pero con la ventaja de que tambin autentican usuarios remotos, lo que lo hace perfecto para unir varias sedes ubicadas a grandes distancias. Estos usuarios remotos se conectan comnmente va VPN, dial o firewall, va dial es la que usan los servidores RADIUS comunes. El servidor Enterprise permite autenticar usando una variada cantidad de sistemas back end como token y LDAP. Soporta el registro de RADIUS por lo que puede guardar los datos relevantes sobre el funcionamiento de la red. Comnmente se prefiere el Steel-Belted Radius si se desea autenticar usuarios en una WLAN y usuarios remotos con Windows, as como en base a otros sistemas como Solaris. Funk-Software ha lanzado la versin 5.0 de su servidor Steel-Belted Radius, este servidor adiciona una renovada administracin de programas y unas capacidades ms poderosas, permitiendo a la empresas cumplir con una seguridad uniforme de la red a travs de mtodos de acceso., en conclusin es mas fcil de utilizar que su predecesor. Para los servidores Enterprise, esta versin juega un rol principal en el manejo y seguridad de las redes LAN y WLAN, remote/VPN, y un acceso a redes basado en identidad, un ejemplo de esto es 802.1X cableado, otra ventaja importante es que trabaja con varias plataformas. Steel-Belted Radius/ Global Enterprise Edition (GEE): este servidor extiende los beneficios del Enterprise Edition para cubrir las necesidades de gestin de seguridad que necesitan las empresas mundiales que manejan miles o millones de usuarios remotos y usuarios de redes inalmbricas, a travs de multiples localizaciones.

Permite una distribucin sofisticada de peticiones de registro y autenticacin , esto permite manejar fcilmente la gestin de usuarios remotos, por citar un ejemplo podemos mencionar la fusin de dos compaas. Este sistema de monitorizacin est basado en SNMP y se puede lograr un tiempo de funcionamiento de la red de 99,999% conjuntamente con la Enterprise Edition cuando se usa EAP-TTLS, se tienen las siguientes ventajas: Ahorra ancho de banda ya que elimina la sobrecarga administrativa que se produce al autorizar la certificacin adems de la gestin de todos los tipos de certificacin que una solucin 802.1X requiere. Despliegue seguro contra cualquier base de datos de autenticacin. Se puede configurar para hacer reautenticacin y re-key en cualquier intervalo de tiempo, utilizar constantemente este sistema acaba con los ataques que afectan a los mtodos de encriptacin tradicionales.

El Steel-Belted Radius permite que un administrador centralice la autenticacin de todos los usuarios y tambin centraliza la imposicin de todas las polticas de grupo.

La ltima versin del Odyssey client es la versin 3.1, entre sus principales atractivos tenemos: que maximiza la seguridad minimizando los costos, al ser fcil de implementar hace que sea ms fcil de adoptar. Corre en todas las versiones de Windows incluyendo Windows Mobile para PC mviles., tambin soporta autenticacin WPA2 y WPA. En general para lograr una infraestructura 802.1X ideal, con autenticacin WPA2 se necesita: un cliente Odyssey v3.1, un servidor RADIUS (Odyssey o Steel-Belted Radius), y un equipamiento WLAN compatible con WPA2. NETWORK POLICY SERVER El servidor de polticas de red o NPS es la implementacin de Windows Server 2008 del protocolo RADIUS, pas a tomar el lugar del servidor IAS (Internet Authentication Server) presente en el sistema operativo Windows Server 2003. Es un servidor AAA ya que autentica, autoriza y registra. Tambin brinda opciones de seguridad en conexiones VPN. Entre sus caractersticas ms notables tenemos: Figura 5. Steel-Belted Radius Server En la versin 5.0 del Steel-Belted Radius Server s trajeron nuevos reportes, los cuales son determinados directamente por el administrador, el cual identifica si las estadsticas a tener en cuenta son la autenticacin del usuario, autenticacin fallida, los dispositivos desconocidos que intentaron conectarse, entre otros. Esta versin tambin permite la utilizacin de JavaScrpt el cual esta ubicado dentro del mtodo de autenticacin LDAP, brindando mayor control en la autenticacin. Tambin es importante resaltar que esta versin soporta Oracle 9i, IPv6, adems soporta autenticacin de maquina y cambio de password va MSCHAP V2 dentro de EAP-PEAP. Dentro de las tecnologas Funk-software tenemos tambin al Odyssey client, el cual corre sobre un dispositivo inalmbrico y permite al usuario conectarse de manera segura a la red. Este cliente soporta mtodos de autenticacin EAP, es fcil de desplegar y gestionar ya que tiene la ventaja de ser multiplataforma y adems soporta 802.1Xprotege la confidencialidad de la informacin del usuario entre el nodo y la red. Soporta mltiples mtodos de autenticacin como PEAP, EAP adems de autenticacin basada en contrasea pero en la prctica no se recomienda hacer esto ltimo debido a que es la forma ms insegura de brindar autenticacin Puede usarse como un proxy Radius o como un cliente RADIUS, adems tambin se puede usar en servidores NAP o si es necesario se pueden implementar las tres opciones al mismo tiempo. Se pueden generar reportes de inicio de sesin con mayor informacin que la brindada por su versin anterior, esto le permite al servidor resolver problemas de seguridad y auditar las conexiones. Si se instala el servidor NPS en un controlador de dominio se puede mejorar el tiempo de autenticacin y autorizacin adems de reducir el trfico en la red.

La informacin de configuracin se guarda en formato XML, lo que permite que sea fcilmente transferible de un servidor a otro. Es compatible con IPv6, permitiendo realizar autenticacin en base a la direccin de red IPv6, tambin se puede usar estas direcciones en clientes RADIUS y en servidores. Los servidores NPS se comunican con el Active Directory de Windows server 2008. Genera automticamente un secreto compartido RADIUS cada vez que se configura un nuevo cliente RADIUS. Este secreto compartido se puede guardar en un archivo de texto facilitando la configuracin de todos los servidores de la red. Se puede configurar por consola utilizando el comando Netsh, brindando una gama ms amplia de opciones de configuracin. Todos los clientes miembros de un dominio 802.1X se pueden configurar usando una poltica de grupo, esta funcin libera de trabajo a los administradores. Los eventos NPS tambin se pueden guardar en bases de datos SQL, lo ms resaltante de este aspecto es que trabaja con versiones antiguas de estas bases de datos. Puede ser implementado en servidores VPN, en puntos de acceso inalmbrico, en switches 802.1X, en servidores dial-up, brindando un amplio rango de funcionalidad y dando varias opciones a la hora de realizar un diseo de red. Los servidores NPS son compatibles con el hardware Cisco, facilitando la implementacin.

Windows Server 2008 viene en tres ediciones en cuales se especfica las funciones que pasa a cumplir el servidor NPS, estas tres ediciones son: Windows Server 2008 Enterprise y Windows Server 2008 Datacenter edition. Estas versiones permiten configurar un nmero ilimitado de clientes RADIUS y servidores RADIUS remotos. Los grupos de servidores se pueden configurar especificando un rango de direcciones, esta ltima particularidad lo hace fcil de configurar. Windows Server 2008 Estndar Edition. Es un poco ms limitado que las ediciones Enterprise y Datacenter ya que solo puede configurar 50 clientes RADIUS y dos servidores remotos, para configurar un cliente solo se necesita su nombre de usuario o su direccin IP, en caso de que un solo nombre tenga varias direcciones IP el servidor NPS toma la primera direccin brindada por el servidor DNS. Windows Web server 2008. esta versin no incluye un servidor NPS.

Adems de la utilizacin de los servidores NPS se recomienda realizar algunas tareas extras para asegurar la seguridad. Se invita a utilizar IPSec para asegurar la comunicacin entre NPS y un cliente RADIUS, a su vez se pide que se no se comparta el secreto RADIUS para evitar que intrusos indeseados obtengan informacin crtica. Tambin es necesario que los servidores NPS estn ubicados en redes de alta seguridad ya que en ellos se encuentran datos importantes para la empresa. Tambin se pueden realizar otros tipos de practicas referentes a la instalacin como no instalar Windows Server 2008 en la misma particin en que est ubicado otro sistema operativo Windows Server. Guardar la configuracin y exportarlas brinda un apoyo en caso de que se borre la configuracin del servidor. Antes de volver un servidor NPS en un cliente RADIUS se recomienda que se configuren las opciones de autenticacin locales a la mquina.

Un servidor NPS puede trabajar con el protocolo RADIUS de dos formas: Como un proxy RADIUS enlutando los mensajes entre el cliente RADIUS Y el servidor RADIUS, cuando se usa de esta forma cumple funciones de conmutacin o ruteo representando un punto por el cual fluyen los mensajes. El proxy guarda un registro de los intentos de entrar a los servidores. Como un cliente RADIUS proveyendo un nivel de acceso a los servidores, cuando acta como un cliente enva al servidor las solicitudes de acceso hecha por los suplicantes. En este entorno el servidor NPS viene cumpliendo la funcin de un punto de acceso en una red autenticada 802.1x. Como un servidor RADIUS autenticando autorizando y registrando las solicitudes hechas por los clientes RADIUS. Brinda una administracin central de la autenticacin de la red.

figura 6. jerrquia de entidades administrativas de un servidor NPS. BIBLIOGRAFA Ruest, D y Ruest N (2008) The complete referente. Microsoft Windows Server 2008. editorial McGraw-Hill. Pfaffenberger, B (1995). Diccionario para usuarios de computadoras. Editoria: QUE, 5ta edicin. Bodtcher, R, Kirkendall, KR, Lorenz, aciJ y Mcdonald, R.(2006) Guia del Segundo ao CCNA 3 y 4. CiscoPress. Tanenbaum, A.(1997).Redes de cmputadoras. Tercera edicin. Editorial: Pearson. Joancomarli, J, Garca J y Perramn X. (2004)aspectos avanzados de seguridad en redes de linux. Universitat oberta de Catalunya.

Como se explic anteriormente este servidor puede usarse de las tres formas al mismo tiempo permitiendo que el sistema sea de fcil implementacin e instalacin, lo que trae como consecuencia que se menor el trabajo requerido, adems ahorra en costos ya que no se va a necesitar comprar un equipo separado para que cumpla cada una de las funciones asociadas a un entorno de autenticacin RADIUS.

Y los portales web:

http://www.tecnologiahechapalabra.com/tecn ologia/glosario_tecnico/articulo.asp?i=724

http://www.ukerna.ac.uk/documents/publicat ions/factsheets/064-ieee.802.1x.pdf http://www.webopedia.com/TERM/E/EAP.h tml http://tools.ietf.org/html/rfc3748 http://es.kioskea.net/contents/wifi/wifi802.1x.php3 http://www.sans.org/reading_room/whitepap ers/wireless/consideraciones-para-laimplementacion-de-8021x-en-wlan-039s_1607 http://es.wikipedia.org/wiki/IEEE_802.1X http://technet.microsoft.com/eses/library/cc731853(WS.10).aspx http://www.docstoc.com/docs/15583369/Imp lementacion-RADIUS/ http://blackspiral.org/docs/pfc/itis/node55.ht ml#radius http://technet.microsoft.com/eses/library/cc781821(WS.10).aspx http://tools.ietf.org/html/rfc2865 http://deb.utalca.cl/public/imagenes/radius.p df http://readlist.com/lists/lists.freeradius.org/fr eeradius-users/7/39073.html http://goliath.ecnext.com/coms2/gi_01992683714/FUNK-LAUNCHES-ODYSSEYCLIENT-V2.html http://www.entrepreneur.com/tradejournals/a rticle/128712603.html http://ditec.um.es/~ocanovas/papers/802.1X. pdf

https://www.cisco.com/en/US/prod/collateral /iosswrel/ps6537/ps6586/ps6638/case_study _c36-539649.html https://www.cisco.com/en/US/solutions/colla teral/ns340/ns394/ns171/CiscoIBNSTechnical-Review.pdf http://www.docstoc.com/docs/15583369/Imp lementacion-RADIUS/ http://technet.microsoft.com/enus/network/bb643123.aspx http://technet.microsoft.com/enus/network/bb629414.aspx http://technet.microsoft.com/enus/library/cc753255(WS.10).aspx http://technet.microsoft.com/enus/library/cc770442(WS.10).aspx http://vuksan.com/linux/dot1x/802-1xLDAP.html http://technology.pitt.edu/Documents/networ k/connecting-topittnet/windows/Configuring_Windows_7_8 02%201x_Native_Client_01.pdf http://www.interop.com/archive/pdfs/8021X. pdf http://www.ebookpdf.net/ebookpdf_microsoft-windows-server-2008administration-netwo_2051.html http://www.ebookpdf.net/ebookpdf_microsoft-windows-server-2008-thecomplete-referen_2055.html http://www.ibiblio.org/pub/Linux/docs/howt o/other-formats/pdf/8021X-HOWTO.pdf

http://www.cisco.com/warp/public/707/cisco -sa-20070221-supplicant.pdf http://cita2003.fing.edu.uy/articulosvf/59.pdf http://www.interlinknetworks.com/2007/10/s electing-8021x-eap-method-accesspoint.html http://www.tesisymonografias.net/servidorradius/1/

http://alumnos.uclm.es/formacion/Manuales/Corr eoyServicios.pdf Resea Curricular E. Lpez, Ingeniero en Computacin egresado de la Universidad Dr. Rafael Belloso Chacn ao 2009, cursante de la maestra en Telemtica. Principal rea de inters: Seguridad en Redes. M. Eyckman, Ingeniero en Computacin egresado de la Universidad Dr. Rafael Belloso Chacn ao 2009, cursante de la maestra en Telemtica. Principal rea de inters: Redes. C. Christopher, Ingeniero en Informtica egresado de la Universidad Dr. Rafael Belloso Chacn ao 2008, cursante de la maestra en Telemtica. Principal rea de inters: programacin web.