Contenido

1.

INTRODUCCION

2.

MTODOS DE AUTENTICACIN

3.

CONTROL DE ACCESO

4.

SERVICIOS AAA

5.

ALGORITMOS

28

6.

CERTIFICADO DIGITAL

32

7.

CONCLUSION

38

8.

BIBLIOGRAFIA

39

1. INTRODUCCION
ESTE proyecto consiste en el anlisis, diseo e implementacin de una
arquitectura de conexin y seguridad denominada AAA. Para que AAA funcione
necesita configurar un protocolo base, el cual puede ser TACACS+ o RADIUS.
TACACS+ es un protocolo patentado por CISCO, por lo cual requiere: que todos
los equipos sena CISCO y pagar el precio que exigen para permitir la utilizacin de
este protocolo.
RADIUS es de libre uso y no tiene ninguna limitante con respecto al fabricante de
los equipos donde se vaya a instalar.
AAA
El estndar AAA (RFC 2903) proporciona un marco arquitectnico para configurar
un sistema de seguridad de red, con tres funciones independientes y bien
definidas: Autenticacin, Autorizacin y Auditoria.
De manera genrica podemos decir que un servicio AAA debe ser capaz de
autenticar a los usuarios, dar una respuesta correcta a las solicitudes de
autorizacin de los mismos as como de recolectar datos que permitan hacer una
auditoria sobre los recursos a los que se ha tenido acceso.
Para un proveedor de servicios es necesario el uso de uno o varios servidores que
cumplan con estas caractersticas, para situarse como punto intermedio entre una
aplicacin (especficamente el mdulo que se encarga de autorizar los accesos) y
los posibles usuarios.

Autenticacin
Provee el mtodo para identificar a los usuarios (usuario y contrasea, reto y
repuesta, etc.) y, dependiendo del protocolo de seguridad seleccionado, el mtodo
de encriptacin a utilizar.
Es decir, autenticacin es el servicio a travs del cual se identifica a un usuario
antes de determinar a qu servicios de red o aplicaciones tiene acceso.
Autorizacin
El servicio de autorizacin se refiere a la concesin de acceso a determinadas
aplicaciones o servicios de red para un usuario, basndose en su autenticacin.
La autorizacin tambin puede estar basada en restricciones, por ejemplo: de
tiempo, de ubicacin fsica, nmero de accesos con un mismo usuario, etc.
Este servicio trabaja ensamblando una serie de atributos que describen que es lo
que el usuario tiene permitido o no. Para conocer los atributos de cada usuario, se
genera una consulta a una base de datos especfica donde el resultado es
reenviado al servicio AAA. Esta base de datos puede estar localizada localmente
en el dispositivo de acceso a la red (Access Server, enrutador) o puede estar
ubicada en un servidor remoto.
Protocolos AAA
Los protocolos AAA ms utilizados para proporcionar acceso a una red desde un
sitio remoto son:

Radius (Remote Authentication Dial-in User Service)

TACACS+ (Terminal Access Controller Access Control System Plus)

2. MTODOS DE AUTENTICACIN
Los mtodos de autenticacin estn en funcin de lo que utilizan para la
verificacin y estos se dividen en tres categoras:
Sistemas basados en algo conocido. Ejemplo, un password (Unix) o
passphrase (PGP).
Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una
tarjeta, inteligente(smartcard), dispositivo usb tipo epass token, smartcard o
dongle criptogrfico.
Sistemas basados en una caracterstica fsica del usuario o un acto
involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de
huellas, de patrones oculares.

CARACTERSTICAS DE AUTENTICACIN
Cualquier

sistema

de

identificacin

ha

de

poseer

unas

determinadas

caractersticas para ser viable:

Ha de ser fiable con una probabilidad muy elevada (podemos hablar de
tasas de fallo de en los sistemas menos seguros).
Econmicamente factible para la organizacin (si su precio es superior al
valor de lo que se intenta proteger, tenemos un sistema incorrecto).
Soportar con xito cierto tipo de ataques.
Ser aceptable para los usuarios, que sern al fin y al cabo quienes lo
utilicen.

MECANISMO GENERAL DE AUTENTICACIN

La mayor parte de los sistemas informticos y redes mantienen de uno u otro
modo una relacin de identidades personales (usuarios) asociadas normalmente
con un perfil de seguridad, roles y permisos. La autenticacin de usuarios permite
a estos sistemas asumir con una seguridad razonable que quien se est
conectando es quien dice ser para que luego las acciones que se ejecuten en el
sistema puedan ser referidas luego a esa identidad y aplicar los mecanismos de
autorizacin y/o auditora oportunos.
El primer elemento necesario (y suficiente estrictamente hablando) por tanto para
la autenticacin es la existencia de identidades biunvocamente identificadas con
un identificador nico (valga la redundancia). Los identificadores de usuarios
pueden tener muchas formas siendo la ms comn una sucesin de caracteres
conocida comnmente como login.
El proceso general de autenticacin consta de los siguientes pasos:
El usuario solicita acceso a un sistema.
El sistema solicita al usuario que se autentique.
El usuario aporta las credenciales que le identifican y permiten verificar la
autenticidad de la identificacin.
El sistema valida segn sus reglas si las credenciales aportadas son
suficientes para dar acceso al usuario o no.

3. CONTROL DE ACCESO
Un ejemplo familiar es el control de acceso. Un sistema informtico supuesto para
ser utilizado solamente por aquellos autorizados, debe procurar detectar y excluir
el desautorizado. El acceso a l por lo tanto es controlado generalmente
insistiendo en un procedimiento de la autentificacin para establecer con un cierto
grado establecido de confianza la identidad del usuario, por lo tanto concediendo
esos privilegios como puede ser autorizado a esa identidad. Los ejemplos
comunes del control de acceso que implican la autenticacin incluyen:
Retirar de dinero de un cajero automtico.
Control de un computador remoto sin Internet.
Uso de un sistema Internet banking.
Sin embargo, observar que mucha de la discusin sobre estos asuntos es
engaosa porque los trminos se utilizan sin la precisin. Parte de esta confusin
puede ser debido al tono de la aplicacin de ley de mucha de la discusin.
Ninguna computadora, programa de computadora, o poder del usuario de la
computadora confirman la identidad de otro partido. No es posible establece o
probar una identidad, cualquiera. Hay ediciones difciles que estn al acecho
debajo de qu aparece ser una superficie directa.
Es solamente posible aplicar una o ms pruebas que, si estn pasadas, se han
declarado previamente para ser suficientes proceder. El problema es determinarse
qu pruebas son suficientes, y muchos tales son inadecuadas. Tienen sido
muchos casos de tales pruebas que son spoofed con xito; tienen por su falta
demostrada, ineludible, ser inadecuadas. Mucha gente contina mirando las
pruebas -- y la decisin para mirar xito en pasar -como aceptable, y para culpar

su falta en sloppiness o incompetencia de parte alguien. El problema es que la

prueba fue supuesta para trabajar en la prctica -- no bajo condiciones ideales de
ningn sloppiness o incompetencia-y no. Es la prueba que ha fallado en tales
casos. Considerar la caja muy comn de un email de la confirmacin a el cual
deba ser contestado para activar una cuenta en lnea de una cierta clase. Puesto
que el email se puede arreglar fcilmente para ir a o para venir de direcciones
falsas y untraceable, ste es justo sobre la menos autenticacin robusta posible.
El xito en pasar esta prueba significa poco, sin consideracin alguna hacia
sloppiness o incompetencia.

AUTENTICACIN POR MULTIFACTOR

Los factores de la autenticacin para los seres humanos se clasifican,
generalmente, en cuatro casos:
Algo que el usuario es (ejemplo, la huella digital o el patrn retiniano), la secuencia
de ADN (hay definiciones clasificadas de cul es suficiente), el patrn de la voz
(otra vez varias definiciones), el reconocimiento de la firma, las seales bioelctricas nicas producidas por el cuerpo vivo, u otro identificador biomtrico).
Algo que el usuario tiene (ejemplo, tarjeta de la identificacin, smbolo de la
seguridad, smbolo del software o telfono celular)
Algo que el usuario sabe (ejemplo, una contrasea, una frase o un nmero
de identificacin personal (el PIN) del paso).
Algo que el usuario hace (ejemplo, reconocimiento de voz, firma, o el paso).
Autenticacin mediante dos factores "algo que tengo" la llave + "algo que
s" un nmero de PIN (token criptogrfico)
Autenticacin triple factor "algo que tengo" el dispositivo criptogrfico +
"algo que s" una clave de autenticacin tipo PIN (al token criptogrfico) +

"quin soy" la huella dactilar que me permite autenticarme al dispositivo de

forma unvoca.
Una combinacin de mtodos se utiliza a veces, ejemplo, una tarjeta de banco y
un PIN, en este caso se utiliza el trmino autenticacin de dos factores.
Histricamente, las huellas digitales se han utilizado como el mtodo ms
autoritario de autenticacin, pero procesos legales recientes en los E.E.U.U. y a
otra parte han levantado dudas fundamentales sobre fiabilidad de la huella digital.
Otros mtodos biomtricos son prometedores (las exploraciones retinianas y de la
huella digital son un ejemplo), pero han demostrado ser fcilmente engaados en
la prctica. En un contexto de los datos de la computadora, se han desarrollado
protocolos de desafo-respuesta que permiten el acceso si el que se quiere
autenticar responde correctamente a un desafo propuesto por el verificador. Hay
protocolos desafo-respuesta basados en algoritmos criptogrficos llamndose
protocolos criptogrficos de desafo-respuesta. La seguridad de los protocolos
criptogrficos de desafo-respuesta se basa en la seguridad de los algoritmos
criptogrficos que usa.

4. SERVICIOS AAA
AAA es una arquitectura de sistema, la cual sirve para configurar un conjunto de
tres funciones de seguridad (Authentication, Authorization and Accountig, por sus
siglas en ingles) de una forma coherente. AAA ofrece una forma modular de
proveer los siguientes servicios:
Autenticacin: Proporciona el mtodo de identificacin de usuarios, incluyendo
nombre de usuario y contrasea, desafo y respuesta, soporte de mensajera, y,
segn el protocolo de seguridad que seleccione, puede ofrecer cifrado.
La autenticacin es la forma en que un usuario se identifica antes de poder
acceder a la red y los servicios que esta ofrece. Configurar la autenticacin AAA
mediante la definicin de una lista llamada mtodos de autenticacin, y luego
aplicando esa lista a varias interfaces. En la lista de mtodos se definen los tipos
de autenticacin a realizar y la secuencia en la que se llevar a cabo, esto debe

ser aplicado a una interfaz especfica antes de que cualquiera de los mtodos de
autenticacin definidos se utilicen. La nica excepcin es la lista mtodo por
defecto (que se denomina "default"). La lista mtodo por defecto es aplica
automticamente a todas las interfaces si ninguna lista de otro mtodo est
definida. Una lista de mtodo definida reemplaza automticamente la lista de
mtodo por defecto. Todos los mtodos de autenticacin, excepto local, line de
contrasea y habilitacin de la autenticacin, deben ser definidas a travs de AAA.
Autorizacin: Provee el mtodo de control de acceso remoto, incluyendo
autorizacin total o autorizacin para cada servicio, lista de cuentas y perfil por
usuario, soporte para grupos de usuarios, y soporte para IP, IPX, ARA y Telnet.
AAA Autorizacin trabaja agrupando un grupo de atributos que describen lo que el
usuario est habilitado a usar o acceder. Estos atributos son comparados con la
informacin contenida en una base de datos de un usuario determinado y el
resultado se devuelve a AAA para determinar las capacidades reales de los
usuarios y las restricciones. La base de datos se puede localizar de forma local en
el servidor de acceso o Router o puede ser alojado de forma remota en un
servidor de seguridad RADIUS o TACACS+. Los servidores remotos de seguridad,
tales como RADIUS y TACACS+, autorizan a los usuarios de los derechos
especficos mediante la asociacin de atributos de valor (AV) pares, que definen
los derechos con el usuario apropiado. Todos los mtodos de autorizacin deben
ser definidos a travs de AAA. As como en la autenticacin, configurar AAA
Autorizacin es definida por una lista llamada mtodos de autorizacin, y luego
aplicando esa lista a varias interfaces.

Contabilizacin: Posee un mtodo de recoleccin y envi de informacin al

servidor de seguridad, el cual es usado para facturar, auditar y reportar: nombres
de usuario, tiempo de inicio y final, comandos ejecutados (como PPP), cantidad de
paquetes enviados, y nmero de bytes. Contabilidad permite realizar el
seguimiento de los usuarios que tienen acceso a los servicios, as como la

cantidad de recursos de red que estn consumiendo. Cuando AAA contabilidad se

activa, el acceso a la red del servidor informa la actividad del usuario a el servidor
de seguridad de RADIU o TACACS+ (segn el mtodo de seguridad que se haya
implementado) en la forma de los registros contables. Cada registro contable se
compone de la contabilidad de pares AV y se almacena en el servidor de control
de acceso. Estos datos pueden ser analizados para la gestin de la red, la
facturacin del cliente, y / o auditora. Todos los mtodos de contabilidad deben
ser definidos a travs de AAA. Al igual que con la autenticacin y autorizacin, se
configura la contabilidad AAA mediante la definicin de una lista llamada mtodos
de contabilidad, y luego la aplicacin de esa lista a varios interfaces.
AAA provee los siguientes beneficios:
Incrementacin de flexibilidad y control de configuracin de acceso.
Escalabilidad.
Mtodos de autorizacin estandarizados, como RADIUS, TACACS+ o Kerberos.
Mltiples sistemas de backup.
AAA est diseado para que el administrador de la red pueda configurar
dinmicamente el tipo de autenticacin y autorizacin que se quiera, puede ser por
lnea (por usuario) o por servicio (por ejemplo, IP, IPX, o VPDN) base. Para definir
el tipo de autenticacin y autorizacin que se desee, se hace mediante la creacin
de listas de mtodo, a continuacin, la aplicacin de esas listas de mtodo para
determinados servicios o interfaces.
Una lista de mtodo es una lista secuencial que define los mtodos de
autenticacin usados para autenticar usuarios. Las listas de mtodo le permiten
designar uno o varios protocolos de seguridad que se utilizarn para la
autenticacin, lo que garantiza un sistema de copia de seguridad para la
autenticacin en caso de que el mtodo inicial falla. El software utiliza el primer
mtodo la lista para autenticar a los usuarios, y si ese mtodo no responde, el
software selecciona el mtodo de autenticacin siguiente en la lista de mtodos.

Este proceso contina hasta que haya una comunicacin exitosa con un mtodo
de autenticacin de la lista o la lista de mtodo de autenticacin se ha agotado, en
los que la autenticacin caso de falla.
Configurar AAA es relativamente simple despus de comprender el proceso
bsico. Para configurar la seguridad en un servidor de acceso o enrutador usando
AAA, se deben seguir los siguientes pasos:
1. Habilitar AAA utilizando el comando de configuracin global AAA New Model.
2. Si decide utilizar un servidor de seguridad independiente, configurar los
parmetros de protocolo de seguridad, tales como RADIUS, TACACS+, o
Kerberos.
3. Definir las listas mtodo para la autenticacin mediante el uso de un comando
de autenticacin AAA. 4. Aplicar el mtodo de listas para una interfaz especfica o
una lnea, si es necesario.
5. (Opcional) Configure la autorizacin con el comando Autorizacin AAA.
6. (Opcional) Configurar la contabilidad mediante el comando Contabilidad AAA.

SERVICIO RADIUS
RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos
permite gestionar la autenticacin, autorizacin y registro de usuarios remotos
sobre un determinado recurso. La tupla autenticacin, autorizacin y registro es
ms conocida como AAA, al ser ste su acrnimo de su denominacin original
inglesa Authentication, Authorization, and Accounting. Veamos a continuacin a
qu se refiere cada uno de estos trminos:
Autenticacin (authentication) hace referencia al proceso por el cual se
determina si un usuario tiene permiso para acceder a un determinado
servicio de red del que quiere hacer uso. El proceso de autenticacin se

realiza mediante la presentacin de una identidad y unos credenciales por

parte del usuario que demanda acceso.
Un tipo habitual de credencial es el uso de una contrasea (o password) que junto
al nombre de usuario nos permite acceder a determinados recursos. El nombre de
usuario es nuestra identidad, que puede ser pblicamente conocida, mientras que
la contrasea se mantiene en secreto, y sirve para que nadie suplante nuestra
identidad. Otros tipos ms avanzados de credenciales son los certificados
digitales.
Existen muchos mtodos concretos que implementan el proceso de la
autenticacin. Algunos de ellos, soportados por RADIUS, son:
autenticacin de sistema (system authentication), tpica en un sistema
Unix, normalmente realizada mediante el uso del fichero /etc/passwd;
los protocolos PAP (Password Authentication Protocol), y su versin
segura CHAP (Challenge Handshake Authentication Protocol), que son
mtodos de autenticacin usados por proveedores de servicios de Internet
(ISPs) accesibles va PPP;
LDAP (Lightweight Directory Access Protocol), un protocolo a nivel de
aplicacin (sobre TCP/IP) que implementa un servicio de directorio
ordenado, y muy empleado como base de datos para contener nombres
de usuarios y sus contraseas;
Kerberos, el famoso mtodo de autenticacin diseado por el MIT;
EAP (Extensible Authentication Protocol), que no es un mtodo concreto
sino un entorno universal de autenticacin empleado frecuentemente en
redes inalmbricas y conexiones punto a punto;
por ltimo, tambin se permite la autenticacin basada en ficheros locales
de configuracin del propio servidor RADIUS.

Autorizacin (authorization) se refiere a conceder servicios especficos

(entre los que se incluye la negacin de servicio) a un determinado
usuario, basndose para ellos en su propia autenticacin, los servicios que

est solicitando, y el estado actual del sistema. Es posible configurar

restricciones a la autorizacin de determinados servicios en funcin de
aspectos como, por ejemplo, la hora del da, la localizacin del usuario, o
incluso la posibilidad o imposibilidad de realizar mltiples logins de un
mismo usuario.
El proceso de autorizacin determina la naturaleza del servicio que se concede al
usuario, como son: la direccin IP que se le asigna, el tipo de calidad de servicio
(QoS) que va a recibir, el uso de encriptacin, o la utilizacin obligatoria de tneles
para determinadas conexiones.
Los mtodos de autorizacin soportados habitualmente por un servidor de
RADIUS incluyen bases de datos LDAP, bases de datos SQL (como Oracle,
MySQL y PostgreSQL), o incluso el uso de ficheros de configuracin locales al
servidor.

No se debe confundir los trminos autenticacin con autorizacin.

Mientras que la autenticacin es el proceso de verificar un derecho reclamado por

un individuo (persona o incluso ordenador), la autorizacin es el proceso de
verificar que una persona ya autenticada tiene la autoridad para efectuar una
determinada operacin.

Registro (accounting, a menudo traducido tambin como contabilidad) se

refiere a realizar un registro del consumo de recursos que realizan los
usuarios. El registro suele incluir aspectos como la identidad del usuario, la
naturaleza del servicio prestado, y cundo empez y termin el uso de
dicho servicio.

Es interesante el uso del protocolo RADIUS cuando tenemos redes de

dimensiones considerables sobre las que queremos proporcionar un servicio de
acceso centralizado (aunque posiblemente jerarquizado por medio de diversos
servidores RADIUS). Por este motivo, uno de los principales usos de RADIUS se
encuentra en empresas que proporcionan acceso a Internet o grandes redes
corporativas, en un entorno con diversas de tecnologas de red (incluyendo

mdems, xDSL, VPNs y redes inalmbricas) no slo para gestionar el acceso a la

propia red, sino tambin para servicios propios de Internet (como e-mail, Web o
incluso dentro del proceso de sealizacin SIP en VoIP).
Un uso de RADIUS que queremos enfatizar, al ser el que realizaremos en esta
prctica, es la autenticacin en redes inalmbricas (Wi-Fi), sustituyendo mtodos
ms simples de clave compartida (pre-shared key, PSK), que son bastante
limitados al gestionar una red cuando sta alcanza un determinado tamao.
Aunque RADIUS es el protocolo para AAA ms extendido en la actualidad, ya
existe un nuevo protocolo que est llamado a sustituir a RADIUS. Su nombre es
DIAMETER, y tambin proporciona manejo de errores y comunicacin entre
dominios.

NAS
Un Network Access Server (NAS) es un sistema que proporciona acceso a la red.
En algunos casos tambin se conoce como Remote Access Server (RAS) o
Terminal Server. En general, NAS es un elemento que controla el acceso a un
recurso protegido, que puede ser desde un sencillo telfono para VoIP o una
impresora, hasta el acceso a una red inalmbrica o a Internet (proporcionado por
un ISP).
Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS,
quien a su vez se conecta a un servidor de AAA (tpicamente RADIUS)
preguntando si los credenciales proporcionados por el cliente son vlidos.
Basndose en su respuesta, NAS le permitir acceder o no a este recurso
protegido. El sistema NAS no contiene ninguna informacin sobre los usuarios que
se pueden conectar ni sus credenciales, sino que utiliza esta informacin para
enviarla a RADIUS, y que ste le informe sobre los permisos del cliente.
Observa que nos encontramos en un escenario en el que hay dos niveles de la
arquitectura cliente-servidor. Desde un punto de vista ms global, tenemos la

tpica arquitectura en la que un usuario quiere acceder a un servicio, siendo el

usuario el cliente, y el servidor el sistema que proporciona dicho servicio. Sin
embargo, si nos centramos en el proceso de AAA, el cliente sera el sistema que
proporciona el acceso a la red (por ejemplo NAS), mientras que el servidor es el
sistema que autoriza o no dicho acceso (por ejemplo RADIUS). Como esta
prctica se centra en este proceso, nosotros hablaremos de servidores RADIUS
cuyos clientes son los elementos a proteger (por ejemplo, un punto de acceso
para la conexin inalmbrica). Por tanto, desde nuestro punto de vista, los
usuarios que quieren acceder al recurso protegido (por ejemplo, la persona que se
desea conectar a la red inalmbrica por medio del punto de acceso), no son
clientes de RADIUS sino que se denominan suplicantes.

VENTAJAS DE RADIUS
Una ventaja del uso de RADIUS es que sus clientes tan slo tienen que
implementar el protocolo de comunicacin con RADIUS, y no todas las
posibilidades de AAA existentes (PAP, CHAP, LDAP, kerberos, mySQL, etc.). En
el ejemplo del punto de acceso, tan slo necesitamos implementar una solucin
NAS que realice las consultas a RADIUS.
Otra ventaja del protocolo RADIUS es que, en su comunicacin con NAS, nunca
transmite las contraseas directamente por la red (lo que se conoce como en
cleartext), ni siquiera al usar PAP, sino que usa algoritmos para ocultar las
contraseas como MD5. Sin embargo, al no ser considerado MD5 un sistema de
proteccin de credenciales demasiado seguro, es aconsejable utilizar sistemas
adicionales de proteccin para cifrar el trfico de RADIUS, como puede ser tneles
de IPsec.

SEGURIDAD EN TECNOLOGAS DE RED INALMBRICA

En redes inalmbricas con infraestructura se utiliza un punto de acceso (wireless
access point, WAP o simplemente AP) para interconectar todos los dispositivos
inalmbricos de la red. Usualmente un AP se conecta tambin a una red cableada,

transmitiendo datos entre los dispositivos conectados a la red cable y los

dispositivos inalmbricos.
La seguridad es un tema importante en las redes inalmbricas porque, al contrario
que en una red cableada a la que slo tienen acceso las personas que fsicamente
pueden conectarse, cualquier persona de la calle o pisos o edificios vecinos
pueden conectarse a una red inalmbrica o ver el contenido de los paquetes que
circulan por ella si sta no est convenientemente protegida.
Algunos de los principales protocolos estndar para proporcionar seguridad en
redes inalmbricas IEEE 802.11 son:

WEP (Wired Equivalent Privacy). Fue introducido en 1997 con objeto de

proporcionar un nivel de confidencialidad similar al de las redes cableadas.
Usa una clave esttica de 64 128 bits con el algoritmo RC4. Su uso se
desaconseja completamente, ya que aunque es muy fcil de configurar y
est muy extendido al ser el primero que surgi, presenta graves fallos de
seguridad.

WPA (Wi-Fi Protected Access) fue creado para corregir los mltiples fallos
detectados en el protocolo WEP. WPA fue diseado por el consorcio Wi-Fi
Alliance basndose en un borrador del estndar 802.11i (es un
subconjunto del mismo), y utiliza TKIP (Temporal Key Integrity Protocol)
como protocolo de cifrado que sustituye a WEP sin necesidad de modificar
el hardware existente (podra funcionar actualizando el firmware). WPA
sigue usando RC4 como algoritmo de cifrado con claves de 128 bits, pero
usa TKIP para cambiar dinmicamente estas claves.

WPA fue diseado para ser usado junto a un servidor AAA (habitualmente
RADIUS), de manera que se le asignan claves distintas a cada uno de los posibles
usuarios. Sin embargo, para entornos domsticos o pequeas oficinas tambin se
puede usar, de forma menos segura, con una nica clave compartida (pre-shared
key, PSK). En este caso hablamos de WPA-PSK.

WPA2 se basa en el nuevo estndar 802.11i, y el cambio ms significativo

respecto a WPA es que usa el protocolo de cifrado AES en lugar de RC4.
Mientras que WAP puede ejecutarse en el hardware que soporte WEP (tras
actualizar el firmware), WAP2 necesita un hardware ms nuevo Sin
embargo, se sabe que WAP tambin terminar siendo comprometido a
medio plazo y por tanto slo se recomienda como transicin a WAP2.

EAP (Extensible Authentication Protocol). EAP es un marco general de

autenticacin, y no un mecanismo de autenticacin concreto. EAP proporciona
algunas funciones comunes y un mtodo para negociar el mecanismo de
autenticacin a usar.
Actualmente hay ms de 40 mtodos distintos. En esta prctica haremos uso del
denominado EAP protegido (PEAP) para la autenticacin de nuestro usuario en la
red inalmbrica. Como nuestro suplicante es una mquina con WindowsXP,
usaremos MSCHAPv2, la versin de PEAP empleada por Microsoft en este S.O.

INSTALACIN Y CONFIGURACIN DEL SERVIDOR

FREERADIUS
FreeRADIUS es un paquete de software de cdigo abierto y libre distribucin que
implementa diversos elementos relacionados con RADIUS, tales como una
biblioteca BSD para clientes, mdulos para soporte en apache, y lo que ms nos
interesa en este punto, un servidor de RADIUS.
El servidor de FreeRADIUS es modular, para facilitar su extensin, y es muy
escalable. Adems, tiene casi todas las opciones que un usuario puede necesitar:

Para realizar las tareas de AAA puede almacenar y acceder a la

informacin por medio de mltiples bases de datos: LDAP (AD,
OpenLDAP,), SQL (MySQL, PostgreSQL, Oracle,) y ficheros de texto

(fichero local de usuarios, mediante acceso a otros Reales, fichero de

sistema /etc/passwd,)

Soporta prcticamente toda clase de clientes Radius (por ejemplo,

ChilliSpot,

JRadius,

mod_auth_radius,

pam_auth_radius,

Pyrad,

extensiones php de RADIUS, etc)

Se puede ejecutar en mltiples sistemas operativos: Linux (Debian,

Ubuntu, Suse, Mandriva, Fedora Core, etc.), FreeBSD, MacOS, OpenBSD,
Solaris, e incluso MS Windows por medio de cygwin.

Soporta el uso de proxies y la replicacin de servidores.

CONFIGURACIN BSICA DEL SERVIDOR

La configuracin del servidor se hace mediante el fichero radiusd.conf del
directorio /usr/local/etc/raddb. Aqu podemos seleccionar aspectos relacionados
con el servidor (ficheros de log, parmetros de uso mximo, usuarios, grupos, ),
bases de datos a utilizar para autenticar y autorizar (ficheros, SQL, LDAP, ),
mtodos de AAA.
Para evitar una excesiva longitud de este fichero y por cuestiones de organizacin,
radiusd.conf se subdivide en varios ficheros mediante la directiva $INCLUDE:
eap.conf: Se utiliza para configurar el tipo de EAP a emplear
clients.conf: Tiene la lista de clientes que estn autorizados para usar los
servicios de AAA proporcionados.
proxy.conf:

Este

fichero

configura

directivas

relacionadas

con

el

funcionamiento en modo proxy y la lista de realms.

Otros ficheros como sql.conf (para configurar el acceso a bases de datos
SQL), policy.conf, etc.

Adems, el fichero users contiene informacin sobre la autenticacin de

suplicantes, de forma que incluso podemos aadir credenciales en forma de
usuario y contrasea para permitir una configuracin sencilla de usuarios (ten en
cuenta que estos usuarios sern realmente clientes del NAS, y no directamente
del servidor RADIUS).
Como vamos a trabajar con suplicantes bajo Windows XP, configurados como en
hemos visto previamente para eduroam en la UPV, vamos a necesitar soporte de
PEAP y mschapv2. Para esto editamos el fichero eap.conf, y cambiamos el
atributo default_eap_type general, de md5 a peap (en minsculas), y en el
apartado de peap asegrate de que default_eap_type est a mschapv2. En
principio, si usamos la versin 2.1.1 de Radius no deberamos necesitar cambiar
nada ms en este fichero, ya que la parte de peap est descomentada por
defecto.
Tenemos que informar al servidor RADIUS de que va a tener como cliente un
punto de acceso. Para ello, editamos el fichero clients.conf, y aadimos las
siguientes lneas:
client 192.168.1.1 {
secret = secretotra
shortname = ap
nastype = cisco
}
Fjarse que el punto de acceso tenga como direccin IP por defecto 192.168.1.1,
por la configuracin del propio punto de acceso que vamos a emplear, y que como
secreto para la configuracin posterior de NAS el punto de acceso usaremos
secretotra
Se aadira un usuario que ser usado por Windows XP cuando solicite acceso a
la red inalmbrica. Para esto editamos el fichero users, y aadimos el siguiente

usuario: TuNombre Cleartext-Password := passwordtra

Reply-Message =

Bienvenido.
Configuracin de un punto de acceso para autenticar con RADIUS
Se configurara un punto de acceso, con funciones de router y asignaciones de
direcciones privadas con NAT, como los clsicos routers inalmbricos domsticos.
La configuracin del punto de acceso de routers domsticos suele hacerse
mediante interfaz de Web. Adems, el punto de acceso esta en la misma red que
el servidor RADIUS, conectados ambos directamente por un cable de red. Por
estos dos motivos, se desconectara de la red de la UPV el ordenador con Debian
(si no lo hemos hecho ya) y se conectara a uno de los puertos del router
(habitualmente etiquetados como LANx). De esta forma, despus de unos
segundos el ordenador obtendr una nueva direccin IP asignada por el router
automticamente.
se accedera a la pantalla de configuracin del punto de acceso, usando un cliente
de Web (en Debian se puede usar el navegador Web Iceweasel), y conectrlo a
la direccin IP del router (por defecto ser 192.168.1.1), usando el usuario y
contrasea requeridos para la administracin (en muchos casos tanto el usuario
como la contrasea son admin).
En primer lugar, ve al apartado de configuracin wireless y pon un SSID a tu
punto de acceso (para diferenciarlo del resto de los puntos de acceso de tus
compaeros). UPV, por lo que como mtodo de autenticacin indicaremos WPA
(sin PSK) y usando encriptacin TKIP. Por ltimo, para indicar que estamos
usando un servidor RADIUS, acceder a la parte de configuracin RADIUS e
introduce la direccin IP de la mquina que ejecuta el servidor y la palabra secreta
(en nuestro caso, secretotra). Guarda esta configuracin y habremos terminado.

EJEMPLO DE TRFICO EN RADIUS

Este ejemplo asume el login de autenticacin, exec autenticacin, e iniciar-para
exec contabilidad que pueden ser utilizados con RADIUS cuando un usuario hace
telnet a un router, realiza un comando y sale del router (la gestin de otros
servicios no estn disponibles):

SERVICIO TACACS+
RADIUS utiliza UDP mientras TACACS+ utiliza TCP. TCP ofrece algunas ventajas
frente a UDP. TCP ofrece una comunicacin orientada a conexin, mientras que
UDP ofrece mejor esfuerzo en la entrega. RADIUS requiere adems de variables
programables, como el nmero de intentos en la re-transmisin o el tiempo de
espera para compensar la entrega, pero carece del nivel de built-in soportado con
lo que ofrece el transporte TCP:
TCP proporciona el uso de un identificador para las peticiones que sean
recibidas, dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT)
en la red, independientemente de la carga y del lento mecanismo de
autenticacin de respaldo (un reconocimiento TCP) podra ser.
TPC proporciona una marca inmediata cuando se rompe o no est
corriendo la comunicacin, gracias a un servidor de restablecimiento (RST).
Puedes determinar cuando se rompi la comunicacin y retorno el servicio
si usas conexiones TCP long-lived. UDP no puede mostrar las diferencias
entre estar caido, sufrir lentitud o que no exista servidor.
Usando los TCP Keepalives, las caidas de servidores pueden ser
detectadas out-of-band con peticiones reales. Conexiones a mltiples
servidores pueden ser mantenidas simultneamente, y solamente necesitas
enviar mensajes a los que se sabe que tienen que estar arriba y corriendo.
TCP es ms escalable y adaptable al crecimiento, as como la conguestin,
de las redes.

ENCRIPTACIN DE PAQUETES
RADIUS encripta solamente la contrasea en el paquete de respuesta al acceso
(access-request), desde el cliente hasta el servidor. El resto de paquetes est sin
encriptar. Otra informacin, como el nombre de usuario, los servicios autorizados,
y la contabilidad pueden ser capturadas por un tercero.

TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera

standar TACACS+. Dentro de la cabecera hay un campo donde se indica si el
cuerpo est encriptado o no. Para propositos de depuracin, es ms util tener el
cuerpo de los paquetes sin encriptar. Sin embargo, durante el normal
funcionamiento, el cuerpo del mensaje es enteramente cifrado para ms seguridad
en las comunicaciones.

AUTENTICACIN Y AUTORIZACIN
RADIUS combina autenticacin y autorizacin. Los paquetes de acceso aceptado
(access-accept) que son enviados por el servidor RADIUS al cliente, contienen
informacin de autorizacin. Esto hace dificil desasociar autenticacin y
autorizacin.
TACACS+ usa la arquitectura AAA, que separa AAA. Esto perpite separar
soluciones de autenticacin, permitiendo seguir utilizando TACACS+ para la
autorizacin y la contabilidad. Por ejemplo, con TACACS+, es posible utilizar
autenticacin Kerberos y autorizacin y contabilidad TACACS+. Despus un NAS
de autenticacin sobre el servidor Kerberos, este solicita peticiones de
autorizacin del servidor TACACS+ sin tener que volver a autenticarse. El NAS
informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un
servidor Kerberos, y luego el servidor proporcionar la informacin de
autorizacin.
Durante una sesin, si adicionalmente la autorizacin de control es necesaria, los
accesos al servidor se comprueban con un servidor TACACS+ para determinar si
se le conceden permisos para ejecutar un comando en particular. Esto
proporciona mejor control sobre los comandos que pueden ser ejecutados en un
servidor de acceso mientras es separado con mecanismos de autenticacin.

ADMINISTRACIN DE ROUTERS
RADIUS no permite al usuario el control de comando que puede ser ejecutados en
un router y cules no. Por lo tanto, RADIUS no es tan util para la gestin de router
o flexible para servicios de terminal.

TACACS+ proporciona dos mtodos de control de autorizacin de los comandos

de un router, uno por usuarios (per-user) o por grupos (per-groups). El primer
mtodo asigna niveles de privilegio a los comandos y el router tiene que verificar
con el servidor TACACS+ si el usuario est o n autorizado en el nivel de
privilegios especificado. El segundo mtodo es para especificar explcitamente en
el servidor TACACS+, por usuario o por grupo, los comandos que estn
permitidos.

INTEROPERATIBILIDAD
Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs),
el cumplimiento de la RADIUS RFCs no garantiza la interoperabilidad. Cisco
implementa la mayora de los atributos de RADIUS y coherentemente aade ms.
Si el cliente usa solo los atributos de la norma RADIUS en sus servidores, ellos
podrn interoperar con varios proveedores siempre y cuando dichos proveedores
implementen los mismos atributos. Sin embargo, muchos de los proveedores
implementan extensiones de atributos propietarios. Si un cliente usa uno de esos
atributos extendidos especficos del proveedor, la interoperatibilidad no est
asegurada.

TRFICO
Debido a las anteriormente citadas diferencias entre TACACS+ y RADIUS, la
cantidad de trfico generado entre el cliente y el servidor es diferente. Estos
ejemplos ilustran el trfico entre el cliente y el servidor para TACACS+ y RADIUS
para ser usado para la gestin de routers con autenticacin, exec autorizacin,
autorizacin del comando (con RADIUS no se puede hacer), exec contabilidad, y
comandos de contabilidad (con RADIUS no se puede hacer).

Ejemplo de trfico en TACACS+

Este ejemplo asume el login de autenticacin, exec autorizacin, comando
autorizado, iniciar-parar exec contabilidad, y comandos de contabilidad que
pueden ser utilizados por un usuario cuando hace telnet a un router, realiza el
comando y sale del router:

SERVICIOS KERBEROS
La seguridad e integridad de sistemas dentro de una red puede ser complicada.
Puede ocupar el tiempo de varios administradores de sistemas slo para mantener
la pista de cules servicios se estan ejecutando en una red y la manera en que

estos servicios son usados. Ms an, la autenticacin de los usuarios a los

servicios de red puede mostrarse peligrosa cuando el mtodo utilizado por el
protocolo es inherentemente inseguro, como se evidencia por la transferencia de
contraseas sin encriptar sobre la red bajo los protocolos FTP y Telnet. Kerberos
es una forma eliminar la necesidad deaquellos protocolos que permiten mtodos
de autenticacin inseguros, y de esta forma mejorar la seguridad general de la red.

QU ES KERBEROS
Kerberos es un protocolo de seguridad creado por MIT que usa una criptografa de
claves simtricas [1] para validar usuarios con los servicios de red evitando as
tener que enviar contraseas a travs de la red. Al validar los usuarios para los
servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no
autorizados que intentan interceptar contraseas en la red.

Ventajas de Kerberos
Los servicios de redes ms convencionales usan esquemas de autenticacin
basados en contraseas. Tales esquemas requieren que cuando un usuario
necesita una autenticacin en un servidor de red, debe proporcionar un nombre de
usuario y una contrasea. Lamentablemente, la informacin de autenticacin para
muchos servicios se transmite sin estar encriptada. Para que un esquema de este
tipo sea seguro, la red tiene que estar inaccequible a usuarios externos, y todos
los usuarios de la red deben ser de confianza.
An en este caso, una vez que la red se conecte a la Internet, ya no puede asumir
que la red es segura. Cualquier intruso del sistema con acceso a la red y un
analizador de paquetes puede interceptar cualquier contrasea enviada de este
modo, comprometiendo las cuentas de usuarios y la integridad de toda la
infraestructura de seguridad.
El primer objetivo de Kerberos es el de eliminar la transmisin a travs de la red
de informacin de autenticacin. Un uso correcto de Kerberos erradica la amenaza
de analizadores de paquetes que intercepten contraseas en su red.

DESVENTAJAS DE KERBEROS
A pesar de que Kerberos elimina una amenaza de seguridad comn, puede ser
difcil de implementar por una variedad de razones:

La migracin de contraseas de usuarios desde una base de datos de

contraseas estndar UNIX, tal como /etc/passwd o /etc/shadow, a una
base de datos de contraseas Kerberos puede ser tediosa y no hay un
mecanismo rpido para realizar esta tarea.

Kerberos es slo parcialmente compatible con los Pluggable Authentication

Modules (PAM) usados por la mayora de los servidores Red Hat Enterprise
Linux.

Kerberos presupone que cada usuario es de confianza pero que est

utilizando una mquina no fiable en una red no fiable. Su principal objetivo
es el de prevenir que las contraseas no encriptadas sean enviadas a
travs de la red. Sin embargo, si cualquier otro usuario aparte del usuario
adecuado, tiene acceso a la mquina que emite tickets usados para la
autenticacin llamado Centro de distribucin de llaves (KDC) , el
sistema de autenticacin de Kerberos completo est en riesgo.

Para que una aplicacin use Kerberos, el cdigo debe ser modificado para
hacer las llamadas apropiadas a las libreras de Kerberos. Las aplicaciones
que son modificadas de esta forma son consideradas kerberizadas. Para
algunas aplicaciones, esto puede suponer un esfuerzo excesivo de
programacin, debido al tamao de la aplicacin o su diseo. Para otras
aplicaciones incompatibles, los cambios se deben realizar en el modo en
que el servidor de red y sus clientes se comunican; de nuevo, esto puede
suponer bastante programacin. En general, las aplicaciones de cdigo
cerrado que no tienen soporte de Kerberos son usualmente las ms
problemticas.

Finalmente, si decide usar Kerberos en su red, debe darse cuenta de que

es una eleccin de todo o nada. Si decide usar Kerberos en su red, debe

recordar que si se transmite cualquier contrasea a un servicio que no usa

Kerberos para autenticar, se corre el riesgo de que el paquete pueda ser
interceptado. As, su red no obtendr ningn beneficio de usar Kerberos.
Para

asegurar

su

red

versiones kerberizadas (que

con

Kerberos,

funcionen

con

solo

debe

Kerberos)

utilizar

las

de todas las

aplicaciones cliente/servidor que envien contraseas sin encriptar o no

utilizar ninguna de estas aplicaciones en la red.

5. ALGORITMOS
ALGORTIMO DE HASH

Es una funcin de resumir o identificar pro balsticamente un gran conjunto de

informacin.

Una funcin hash es un algoritmo matemtico que nos da un resultado B al

aplicarlo en A, es como cualquier funcin matemtica.

Propiedades de las funciones de hash

sea cual sea la longitud del texto base A, la longitud de su hash resultante B
siempre va hacer la misma. Para cada entrada A, la funcin generara una salida B
nica. Dado un texto base, es fcil y rpido (para un ordenador) calcular su
nmero resumen. es imposible reconstruir el texto base a partir del nmero
resumen.

Esta funcin hash del ejemplo lo que hace es traducir cada carcter del texto A de
entrada en su equivalente codigo ASCII, los agrupa de 3 en 3 y les aplica la
funcin matemtica (1-2)*3. funcionamiento

ALGORITMO MD5

MD5 (abreviatura de massage digest Algorithm 5, algoritmo de resumen del

mensaje 5) es un algoritmo reducido criptografico de 128 bits.

Es uno de los algoritmos de reduccin criptogrficos diseados por el profesor

Ronald Rivest. Fue desarrollado en 1991 como remplazo del algoritmo MD4.
La codificacion del MD5 de 128 bits es representada tipicamente con numero de
32 digitos hexadecimal. El siguiente codigo de 28 bytes ASCII sera tratado con
MD5 y veremos su correspondiente hash de salida.
MD5 (Esto s es una prueba de MD5) = e99008846853ff3b725c27315e469fbc
MD5 (Esto no es una prueba de MD5) = dd21d99a468f3bb52a136ef5beef5034
MD5 () = d41d8cd98f00b204e9800998ecf8427e

SHA-1 (SECURE HASH ALGORITHM)

Algoritmo desarrollado por el NIST y publicado como estndar federal para el
procesamiento de la informacin (FIBS PUB 180); en 1995 se public una versin
revisada como FIBS PUB 180-1 conocida como SHA-1.

El algoritmo toma como entrada mensajes de longitud mxima de 264 bits que son
procesados en bloques de 512 bits; el resultado que produce es de 160 bits. La
figura muestra de manera general el algoritmo.

Figura Algoritmo SHA-1

Se incorporan bits de relleno al mensaje de entrada de tal modo que
cumpla:

. El relleno consiste en un uno seguido de los ceros

que sean necesarios. Aunque el mensaje ya tenga la longitud deseada, se debe

efectuar el relleno, por lo que el nmero de bits de dicho relleno est en el rango
de 1 a 512 bits.
A la salida del paso 1, se le aade un bloque de 64 bits que represente la longitud
del mensaje original antes de ser rellenado.
Se inicializa la memoria temporal MD, la cual consta de 160 bits y su finalidad es
almacenar los resultados intermedios y finales de la funcin de dispersin. La MD
consta de 5 registros (A,B,C,D,E) de 32 bits cada uno, los valores con los que se
inicializan son los siguientes (valores hexadecimales):
A= 67452301
B= EFCDAB89
C= 98BADCFE

D= 10325476
E= C3D2E1F0
Se procesa el mensaje por bloques de 512 bits, cada uno pasa por un mdulo que
consta de 4 rondas de procesamiento de 20 pasos cada una. Las rondas tienen
una estructura similar, con la excepcin de que cada una ocupa una funcin lgica
primitiva diferente (f1, f2, f3 y f4). Esta parte del algoritmo se muestra en la figura

Figura Procesamiento SHA-1 de un nico bloque de 512 bits

La entrada a cada ronda consta del bloque de 512 bits que se est
procesando (Yq) y los 160 bits de la memoria MD, ntese que cada bloque de 512
bits actualizar el valor de la memoria temporal. Cada ronda tambin hace uso de
la constante aditiva Kt, donde

indica uno de los 80 pasos a lo largo de

las cuatro rondas. Los valores para dicha constante se muestran en la tabla de la
figura

Figura Valores de la constante aditiva Kt en SHA-1

Una vez que se procesan los L bloques de 512 bits, el resumen del mensaje son
los 160 bits de salida del ltimo bloque.

6. CERTIFICADO DIGITAL
El Certificado Digital es un Documento Digital que nos permite : Identificarnos.

Firmar digitalmente un Documento Digital.

Trabajar con Documentos Digitales firmados digitalmente teniendo certeza
respecto del remitente y el destinatario. Efectuar transacciones de tipo comercial
con total seguridad y sustento legal.
Mantener la confidencialidad de la informacin entre el Remitente y el Destinatario
utilizando cifrado.
Estar seguros de que un Documento Digital no ha sido alterado. La utilizacin de
Certificados Digitales garantiza Autentificacin, Integridad, Confidencialidad, No
Repudio.
A la Entidad que otorga Certificados Digitales se la llama Autoridad de
Certificacin.
Un certificado digital que siga el standard X509v3, utilizado por los navegadores,
contiene la siguiente informacin:

Identificacin del titular del certificado: Nombre, direccin, etc.

Clave pblica del titular del certificado.

Fecha de validez.

Nmero de serie.

Identificacin del emisor del certificado.

Un Certificado Digital con las caractersticas de Seguridad necesarias, debe

utilizar las mas modernas y estables metodologas que la Criptografa pueda
ofrecer. Es por ello que internacionalmente se acepta a laCriptografa Asimtrica
como la metodologa mas adecuada para la generacin de un Certificado Digital.
Por esta razn un Certificado Digital est compuesto de un par de claves:

Clave Privada: La posee nicamente su dueo. Tambin se la llama

tambin Porcin Privada y junto con la Clave Pblica (o Porcin Pblica)
conforma un par de claves nico.

Clave Pblica: Esta es llamada tambin Porcin Pblica y es publicada en

la Web por la Autoridad de Certificacin, despus de ser aprobada por esta.
Para aprobar un Certificado Digital, la Autoridad de Certificacin firma con
su Clave Privada (tambin llamada Clave Privada Raz) la Clave Pblica del
Certificado Digital (no necesita conocer la Clave Privada del Certificado
Digital para hacer esto).

Una autoridad certificadora (CA) es una organizacin (o una subdivisin de una

organizacin) responsable de verificar los atributos de seguridad de los usuarios
de un sistema de computacional, e introducir esta informacin verificada en el
sistema.

Un ejemplo sera:
issuer: C=ES

ST=L=Barcelona

O=SECURITY ZUTANEZ OU=Division

de

certificados CN=Fulano Menganez Email=Fulano@fulanez.es subject: C=ES

ST=O=OU=CN=Jaimito Email=Jaimito@jaimito serial:15
Certificate: Data: Version: 1 (0x0) Serial Number: 21 (0x15) Signature Algorithm:
md5WithRSAEncryption Issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ
OU=Division de certificados CN=Fulano Menganez Email=Fulano@fulanez.es
Validity Not Before: Nov 18 15:15:31 1998 GMT Not After : Nov 13 15:15:31 1999
GMT Subject: C=ES, ST=, O=, OU=, CN=Jaimito Email=Jaimito@jaimito Subject
Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit)
Modulus

(1024

bit):

00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b:

51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2:
ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44:

5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13:
97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d:
09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6:
39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4:
b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54:
Exponent:

65537

(0x10001)

Signature

9b:e5:e3:00:e2:4f:e3:14:47
Algorithm:

md5WithRSAEncryption

3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09:
b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de:
62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63:
ac:b8:93:f9:dc:9c:cf:ef:fd:45
-

-----BEGIN

CERTIFICATE-----

MIICOzCCAeUCARUwDQYJKoZIhvcNAQEEBQAwgaYxCzAJBgNVBAYTAkVTM
RIwEAYD
VQQIEwlDYXRhbHVueWExDDAKBgNVBAcTA0JjbjEVMBMGA1UEChMMU0VDV
VJJVFkg
QkNOMRowGAYDVQQLExFzZWNjaW8gZCdlbXByZXNlczEdMBsGA1UEAxMUR
GF2aWQg
R3VlcnJlcm8gVmlkYWwxIzAhBgkqhkiG9w0BCQEWFGd1ZXJyZXJvQGdyZWMud
XBj
LmVzMB4XDTk4MTExODE1MTUzMVoXDTk5MTExMzE1MTUzMVowZjELMAkG
A1UEBhMC
RVMxCTAHBgNVBAgTADEJMAcGA1UEChMAMQkwBwYDVQQLEwAxGDAWBg
NVBAMUD0Nh
bHZpbiAmIEhvYmJlczEcMBoGCSqGSIb3DQEJARYNY2FsdmluQGhvYmJlczCBn
zAN
BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAnnTeyRpr9P7RBDBYfotRepgj6UWpw
qd8
+Pi1mqLqwZlouvfD2AYFG2pHoURcLKbgS2/OAsQGMiA0vhOXOaOqby9Bp7wUy
PMM
rZ0JY4r162BbBqYB+xoHssY5SLu3AFZOIG2HP2cLL/SwX3R/kGu0R29WGrXFQl

Sb
5eMA4k/jFEcCAwEAATANBgkqhkiG9w0BAQQFAANBADsr6f9ISDWrMFzi0YjJKY
u8 CbJYgBec5wgKfYpeRqiDO+6E3mLj6lHLkrz625C9zZ8l1EpIY6y4k/ncnM/v/UU=
- -----END CERTIFICATE----Este es un certificado, vlido durante un ao, emitido por la autoridad certificadora
SECURITY ZUTANEZ para el usuario Jaimito cuya clave pblica RSA es:
exponente: 65537
modulo:
11127195552971827497702000105328725497115357432563948646524265
42649114539614030882310105443040321585401884991855044788817550
61645893205889184340440484177173313682979482908132499473623983
65177107544610936519826706567881109010715263259238888910151015
7610404623906744451048525264576885364836810773621503974118471
Todos los datos estn firmados por la AC usando la funcin hash MD5 y su clave
privada RSA.
Una firma digital es el equivalente de la firma convencional, en el sentido de que
es un aadido al final del mensaje conforme se est de acuerdo con lo que all se
dice. Formalmente, una firma digital es una transformacin de un mensaje de
forma que cualquier persona con conocimiento del mensaje y de la clave pblica
del firmante pueda comprobar que dicha transformacin ha sido realizada
realmente por el firmante.
Para verificar que el certificado es correcto deberamos hacernos con el certificado
digital emitido para dicha AC por una segunda AC. Para verificar la veracidad de
este segundo certificado deberamos obtener el certificado digital emitido para
segunda AC por una tercera AC. Como este proceso podra eternizarse, existen
las llamadas autoridades raz que firman sus propios certificados, un ejemplo de
autoridad raz es Verisign.

Aparte de los datos del emisor y del propietario del certificado ste puede contener
informacin referente a las limitaciones que se hayan establecido para su uso: email, www, etc...
Como puede observarse en el certificado del ejemplo, no existe ninguna referencia
a algoritmos de clave secreta. Cuando navegamos con Netscape y recibimos un
certificado de un servidor web 'seguro' aparece la ventana:
New Site Certificate
Here is the Certificate that is being presented:
Certificate for: UPC Signed by: UPC Encryption: Highest Grade (RC4 with 128-bit
secret key)
The signer of the Certificate promises you that the holder of this Certificate is who
they say they are. The encryption level is an indication of how difficult it would be
for someone to eavesdrop on any information exchanged between you and this
web site.
La informacin ''Encryption: Highest Grade (RC4 with 128-bit secret key)'' no tiene
nada que ver con el certificado presentado por el servidor, slo depende del
navegador utilizado y del servidor, a distinto navegador distinto grado de cifrado.
Aunque desde un punto de vista tcnico cualquiera puede erigirse en AC (slo es
necesario disponer de un par de claves pblica-privada para firmar y verificar la
firma, y todo aquel que desee obtener un certificado las tiene), una AC, adems de
emitir certificados, debera ofrecer los servicios siguientes:

Bsqueda de certificados: Una persona puede querer buscar el certificado

referente a otra persona o entidad.

Revocacin: Si un certificado se pierde, el titular debe poder informar a la

AC para que lo anule y emita otro. Tambin si la clave privada ha quedado
comprometida debe ser posible su revocacin.

Suspensin: La AC debe suspender la validez de un certificado si se hace

un uso anormal de l.

Estado del certificado: Las personas a las que se les presenta un certificado
deben de poder comprobar que no ha sido revocado o suspendido.

7. CONCLUSION
Principalmente hemos conocido toda la teora de los 4 principios de seguridad
(Autenticacin, autorizacin, accounting y Auditoria). Todos los protocolos, en qu
consisten cada uno y su funcionamiento en casos prcticos. Por otra parte con

esta arquitectura hemos aprendido a disear una red con seguridad para usuarios
definidos en un servidor Radius. Hemos visto que tiene diferentes funciones para
los usuarios haciendo un seguimiento punto por punto. Esto hace que puedas
saber todo de un usuario.
Por otra parte, debajo, en capas inferiores hemos visto cmo funciona a niveles de
capa fsica, cmo los protocolos que usa, los paquetes que enva, la codificacin
de las contraseas y los protocolos que hay en cada una de las partes que se
envan. Lo ms importante ha sido aprender en mayor parte la diferencia entre las
tres AAA, y aplicarlas en modo prctico y terico para distinguir qu y cmo hace
cada una de los procedimientos.
La creacin del dominio de Windows y dnde los usuarios se pueden autentificar a
un punto de acceso con los mismos usuarios que acceden a Windows. Por otra
parte un sistema web con contenidos dnde los usuarios se autentifican por un
RADIUS creado en Linux y los usuarios se guardan en una base de datos en SQL.
Unos de los mayores conocimientos que hemos adquirido han sido conocer los
distintos protocolos de seguridad que hay en las redes WiFi.

8. BIBLIOGRAFIA
http://www.certificadodigital.com.ar/download/GUsuario.pdf
Cristian Morn, Pau Sabat. (2012). Arquitectura AAA.

www.fpnetzone.com
http://technet.microsoft.com/es-es/library/cc757473%28v=ws.10%29
http://freeradius.org/
http://www.daloradius.com/
http://es.scribd.com/doc/80563891/Radius
http://repositorio.utn.edu.ec/bitstream/123456789/593/3/CAPITULO%20III.pdf
http://technet.microsoft.com/es-es/library/aa996120(v=exchg.65).aspx
http://seguridadensistemascomputacionales.zonalibre.org/Sistemas%20de%20Aut
enticaci%C3%B3n.pdf