Informe de laboratorio

Universidad Técnica del Norte

Facultad de Ingeniería en Ciencias Aplicadas
Carrera de Electrónica Y Redes de Comunicación
Alexander M. Guanotoa-Chuma
Ibarra, Ecuador
[email protected]

1. TÍTULO ataques del tipo MiTM29 (hombre en medio) Cuando los certificados
digitales se despliegan se deben instalar en todos los suplicantes de
Instalación de un servidor Radius en una distro de Linux la red y en el servidor de autenticación, lo cual es una desventaja [3].

2. OBJETIVOS DE LA PRÁCTICA.
2.1. Objetivo General
Instalación de un servidor Radius en una distro de Linux, y análisis
de tramas que intervienen que permita negociar el acceso a la red
de un dispositivo.

2.2. Objetivos Especifico

▪ Instalación de un servidor Radius en una distro de Linux
▪ Capturar paquetes de negociación entre el suplicante y servidor
de autenticación
▪ Analizar las tramas capturadas

3. MARCO TEÓRICO
3.1. Métodos de autenticación 3.1.3. Método de autenticación PEAP
Los métodos de autenticación son paquetes de software PEAP es un nuevo tipo de autenticación del Protocolo de
programados para soportar un protocolo de autenticación específico autenticación ampliable (EAP) IEEE 802.1X diseñado para sacar
con el fin de negociar el acceso de un usuario a la red Este software provecho de la seguridad del nivel de transporte EAP (EAP-TLS) del
es el encargado de realizar el cifrado, descifrado y empaquetado de lado del servidor y para admitir varios métodos de autenticación.
todos los paquetes involucrados en el proceso de autenticación. El
EAP es un método de autenticación robusto [1].
3.2. Standard 802.1x
3.1.1. Método De Autenticación TLS IEEE 802.1x es un estándar de autenticación, permite al
El protocolo TLS está diseñado para asegurar y autenticar la administrador de la red controlar el acceso a los servicios de red a
comunicación a través de una red pública mediante la codificación través de sus puertos. El estándar especifica la arquitectura.
de datos. El Protocolo de enlace TLS permite que el servidor y el
cliente provean autenticación mutua y negocien un algoritmo y claves
de codificación antes de transmitir los datos [2].

3.1.2. Método de autenticación EAP -TLS

El método EAP-TLS se basa en una autenticación mutua, lo que
significa, que tanto el suplicante debe autenticarse contra el servidor
como el servidor contra el suplicante, de esta manera se evitan los

1
Informe de laboratorio

3.2.1. Elementos de una infraestructura 802.1X autenticación responda con un mensaje EAP-éxito o un mensaje de
El suplicante. Es un software que se instala en los clientes del falla EAP .
equipo autenticador, utilizado en ambientes cableados e
inalámbricos. El suplicante se carga en el dispositivo del usuario y se
4. MATERIALES Y EQUIPOS
utiliza para solicitar acceso a la red. Autenticador. Es el componente
a través del cual los usuarios acceden a los servicios de red, se Para el desarrollo de esta práctica de laboratorio se han utilizado
encuentra entre el dispositivo que necesita ser autenticado y el los materiales descritos en las siguientes tablas.
servidor utilizado para realizar la autenticación. Ejemplos de
Autenticador son conmutadores de red y puntos de acceso
Tabla 1 Equipos
inalámbricos.
Imagen
Ítem MAC Address
referencial
Servidor de Autenticación. Es un equipo que recibe mensajes
mediante una comunicación RADIUS y utiliza esa información para Computador Cliente
comprobar la autenticidad del usuario o del dispositivo que intenta D0:37:45:D3:E8:AD
(Wifi)
acceder a la red, por lo general se emplean bases de datos
LDAP(Lightweight Directory Access Protocol -Protocolo Ligero de
Acceso a Directorios. ), etc
Máquina virtual TP-
Link TL-WN725N D0:37:45:D0:D8:72
(Monitor)

Router CISCO
C8:D7:19:D2:1D:A3
Linksys E900

5. DESARROLLO
5.1. Instalación de Servidor Radius
Primero se instala el servicio en la PC que actuará como servidor
Radius, esto se lo realiza mediante el comando apt-get Install
freeradius.

3.3. Pasos implicados en el proceso de autenticación:

Inicialización: Este es el primer paso. Cuando llega un supplicant
nuevo, el puerto en el autenticador se fija habilitado y puesto en un Una vez instalado el servicio, se verifican los ficheros generados
estado "no autorizado". mediante ls -l /etc/freeradius/3.0/ este listará todos los archivos de
configuración y directorios instalados.

Iniciación: Para iniciar el proceso de autenticación, el autenticador

transmitirá las tramas de identidad de la solicitud EAP sobre una
base de intervalo de tiempo regular a la dirección MAC del segmento
de datos de la red. El supplicant analiza la dirección y la revierte y
envía la trama de identidad de respuesta EAP que consiste en un
identificador del supplicant como una clave secreta.

Negociación: En esta etapa, el servidor revierte con una

respuesta al authenticator, teniendo una petición EAP que indica el
esquema EAP. La petición EAP es encapsulada en la trama EAPOL
por el authenticator y la envía de nuevo al supplicant.
5.1.1. Configuración de Usuarios
Se edita el archivo de configuración de usuarios mediante el
Autenticación: Si el servidor de autenticación y el consentimiento comando nano /etc/freeradius/3.0/users.
del supplicant en el mismo método EAP, después la petición EAP, y
Aquí se agrega el usuario y la clave que servirán como
el intercambio del mensaje de respuesta EAP tendrán lugar entre el
credenciales de autenticación con el servidor.
supplicant y el servidor de autenticación hasta que el servidor de

2
Informe de laboratorio

Se ingresa a las configuraciones del AP, mediante la dirección IP

174.50.170.1 y se abre las configuraciones inalámbricas, en donde
se verifica el canal, el SSID y se establece el nuevo modo de
seguridad, en este caso se seleccionó WPA/WPA2 Enterprise, que
permite apuntar hacia un servidor RADIUS, en este caso la dirección
174.50.170.133 con el puerto predeterminado para este servicio, que
es el puerto 1812.

5.1.2. Configuración de Clientes

Se agregan los clientes, estos corresponden a los AP que se
comunicaran con el servidor RADIUS, en esta configuración se
establece la dirección IP del AP y la clave de acceso al servidor
RADIUS.

6. ANÁLISIS DE RESULTADOS
6.1. Respuesta de EAP-Identity:

En este paquete se puede ver la identidad del cliente (suplicante)

que se usa de "alexander". Esto puede ser extremadamente útil
Una vez realizadas todas las configuraciones se inicia el servicio y
cuando se trata de determinar si el solicitante se va a autenticar como
se verifica el estado del mismo mediante los siguientes comandos:
el usuario o la cuenta de la máquina, así como lo que el usuario
▪ sysmtectl start freeradius podría estar escribiendo en el indicador de nombre de usuario.
▪ sysmtectl status freeradius
6.2. Negociación del método de autenticación EAP e
intercambio de credenciales:

5.2. Configuración del AP con autenticación WPA/WPA2

Enterprise (RADIUS).
Luego se consulta la dirección IP del NAS, mediante el comando
ifconfig esta dirección es la que se colocará luego en el AP como
direccionamiento al servidor RADIUS. En la anterior captura se puede ver que el cliente y el servidor
negocian EAP-PEAP. Una vez que se haya completado, el servidor
presentará al cliente su certificado. Si el cliente no confía en el
certificado del servidor y el usuario no acepta el certificado, el
intercambio fallará después de la primera o dos tramas del protocolo
de enlace.

Una vez asegurado, se puede notar que el protocolo se vuelve

puramente TLS y dado que el tráfico está encriptado, solo se puede

3
Informe de laboratorio

ver que los paquetes son "Datos de aplicación". Este es el punto en

el que el cliente y el servidor intercambian datos de autenticación
internos como EAP-MsCHAPv2 o EAP-TLS.

6.3. EAP Success

Una vez que el cliente se ha autenticado y autorizado con éxito, se
envía un mensaje EAP Success para indicar el final del proceso. Si
se trata de un cliente cableado, el proceso finaliza y el cliente puede
comenzar a transmitir y recibir tramas de datos.

Otro dato que es extremadamente útil para la resolución de

problemas es la dirección IP del NAS (Servidor de Acceso la Red).
Esta información suele ser la que se utiliza para diferenciar a los
clientes RADIUS en el servidor RADIUS. Esta información debe
coincidir con la dirección IP del NAS. Si no lo hace, lo más probable
es que el servidor Radius no responda, ya que no se puede encontrar
el cliente RADIUS.

6.4.2. Paquete de aceptación de acceso final

Si se trata de un cliente inalámbrico, la estación utilizará algunos Como es visible en el siguiente paquete, es la confirmación de la
atributos EAP y el AP utilizará dos atributos de clave MPPE en la autenticación del usuario “alexander” con el NAS, en donde se
respuesta Radius Access-Accept para realizar el protocolo de enlace observa el puerto usado para el protocolo RADIUS, el código de
de 4 vías y crear las claves de cifrado para una comunicación segura acceso-aceptación, la confirmación de EAP y el nombre del usuario
como se muestra a continuación. autenticado.

6.4. Autenticador al servidor de autenticación (RADIUS)

En este punto del proceso, verá los mensajes RADIUS. Por lo
general, estos mensajes no se cifran a menos que se utilice AES-
KeyWrap o RADSEC, lo cual no es común en la actualidad, a menos
que se encuentre en un entorno de alta seguridad o en un entorno
7. CONCLUSIONES
público donde el tráfico es inherentemente inseguro.
802.1X es un protocolo de autenticación de red que abre puertos
para el acceso a la red cuando una organización autentica la
6.4.1. Paquete de solicitud de acceso inicial:
identidad de un usuario y lo autoriza para acceder a la red. La
En este paquete podemos ver mucha información útil. Aquí identidad del usuario se determina en función de sus credenciales o
podemos ver, por ejemplo, el nombre de usuario que se envía, el certificado, que es confirmado por el servidor RADIUS. El servidor
puerto, la dirección del servidor autenticador de acceso a la red o el RADIUS puede hacer esto comunicándose con el directorio de la
tipo de puerto. organización.

4
Informe de laboratorio

Los datos de autenticación del solicitante (EAP) se encapsulan

primero, donde en el autenticador, los datos se vuelven a encapsular
utilizando otro protocolo como RADIUS para determinar la validez de
las credenciales proporcionadas por el solicitante contra el servidor
de autenticación.

Debido a que el solicitante y el servidor de autenticación utilizan

técnicamente protocolos separados para la autenticación 802.1X
(EAP y RADIUS, respectivamente), el autenticador actúa como un
intermediario de confianza que traduce los mensajes entre el cliente
y el servidor mediante encapsulación.

8. RECOMENDACIONES
Capturar el trafico tanto en la PC que esta analizando el medio y
capturando las tramas 802.11, como en la interfaz cableada del
servidor RADIUS para evidenciar y documentar el proceso completo
de autenticación y negociación entre el servidor, el suplicante y el
AP.

Realizar la instalación del servidor RADIUS en una distribución

distinta a KALI, debido a que KALI por sus múltiples servicios
instalados suele generar conflicto con la instalación y funcionamiento
de nuevos servicios que posiblemente interfieren con sus funciones
nativas.

Olvidar todas las redes guargadas y conectarse a Internet

mediante el Router de Laboratorios, esto asegurará estar conectado
a una única red y minimizar los conflictos con direcciones IP ajenas
a la red de trabajo.

Realizar la prueba de conexión al AP mediante distintos

dispositivos, usuarios y contraseñas, a fin de verificar el correcto
funcionamiento del proceso de autenticación.

9. REFERENCIAS
[1] W. E. VACA AGUIRRE, «“CONTROL DE ACCESO Y
ADMINISTRACIÓN DE RECURSOS DE RED MEDIANTE UN
SERVIDOR AAA EN EL GAD MUNICIPAL DEURCUQUI USANDO
SOFTWARE LIBRE”,» UNIVERSIDAD TÉCNICA DEL NORTE,
Ibarra, 2014.
[2] L. Priego, «Estudio del Protocolo TLS,» Universitat Oberta
de Catalunya, Catalunya, 2018.
[3] INTEL, «Descripción general de 802.1 x y tipos de EAP,»
Intel Support, 2020.
[4] A. Burger, «Following the 802.1X AAA process with Packet
Captures,» Cisco Meraki, 2018. [En línea]. Available:
https://wirelesslywired.com/2017/07/05/following-the-802-1x-aaa-
process-with-packet-captures/.