Ingeniería y Competitividad

ISSN: 0123-3033
[email protected]
Universidad del Valle
Colombia

Arana, José R.; Villa, Leandro A.; Polanco, Oscar

Implementación del control de acceso a la red mediante los protocolos de autenticación, autorización y
auditoría
Ingeniería y Competitividad, vol. 15, núm. 1, 2013, pp. 127-137
Universidad del Valle
Cali, Colombia

Disponible en: http://www.redalyc.org/articulo.oa?id=291329165011

Cómo citar el artículo

Número completo
Sistema de Información Científica
Más información del artículo Red de Revistas Científicas de América Latina, el Caribe, España y Portugal
Página de la revista en redalyc.org Proyecto académico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

INGENIERÍA ELÉCTRICA Y ELECTRÓNICA

Implementación del control de acceso a la red mediante los

protocolos de autenticación, autorización y auditoría
ELECTRICAL AND ELECTRONICS ENGINEERING

Implementation of network access control by using

authentication, authorization and accounting protocols
José R. Arana*, Leandro A. Villa**, Oscar Polanco**§

* Levicom Argentina SRL, Carvajal Tecnología y Servicios.**

Escuela de Ingeniería Eléctrica y Electrónica, Universidad del Valle.
[email protected], [email protected],
§ [email protected]

(Recibido: Mayo 28 de 2012 - Aceptado: Mayo 16 de 2013)

RESUMEN
Este artículo presenta el diseño e implementación de un sistema de control de acceso a la red que proporciona el
servicio de Autenticación, Autorización y Auditoría (AAA) usando software libre, empleando los protocolos estándar
IEEE 802.1x y RADIUS, con base en una infraestructura de clave pública, un servicio de directorio centralizado que
almacena las políticas de seguridad para cada usuario y una base de datos MySQL en donde se registranlos eventos
del servicio AAA; todo esto se probó en un ambiente corporativo con 300 estaciones de trabajo. En el sistema se
logró: tres métodos de autenticación mediante el uso de EAP-TLS, PEAP y EAP TTLS; la administración segura de
la información, concerniente a los usuarios que pueden acceder la red y los permisos que cada uno de ellos posee;
el uso de certificados digitales para demostrar la identidad de un usuario o de un equipo que ejecute cualquiera de
los sistemas operativos más populares. También se ha configurado un servidor RADIUS para que use dos puntos
de información de políticas; un servidor de directorio OpenLDAP y el Directorio Activo de Microsoft. Lo anterior
posibilita un control de acceso a red escalable, sin demandar un alto presupuesto.

Palabras clave: Control de acceso, Autenticación, Autorización, Auditoría.

ABSTRACT
This paper presents the design and implementation of a network access control system which provides the
Authentication, Authorization and Accounting (AAA) service using GNU Licensed Software, employing the
standard protocols IEEE 802.1x and RADIUS, based on a Public Key Infrastructure (PKI), a centralized directory
service, which stores the security policies assigned to each user, and a MySQL database, where the authentication
events of the AAA service are registered, all of this was tested in a production corporate environment with 300
workstations. On the system, it was achieved: three authentication methods by using EAP-TLS, PEAP and EAP
TTLS; secure management of information, in a central database, about users that can access the network and the
privileges that each of them own; use of digital certificates to prove the identity of a user or network device running
any of the popular operating systems. Also has been configured a RADIUS Server to use two points of policy
information, one of them is the OpenLDAP directory server, the other is the Active Directory from Microsoft. This
enables a scalable network access control, without demanding a high budget.

Keywords: Access Control, Authentication, Authorization, Accounting.

127
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

1. Introducción es decir, diferenciar, asegurar y auditar a los

usuarios. Actualmente se cuenta con herramientas
Las compañías están cada vez más basando basadas tanto en software comercial Bhaiji
sus modelos de negocios en proveer acceso a (2008) y Qazi (2007) como libre Arana (2010)
recursos. Estos recursos pueden ser páginas Web, para realizar estas tareas. El presente artículo se
acceso a Internet, cuentas de correo electrónico, o apoya principalmente en el uso de software libre
cualquier activo de información que necesite estar para plantear el diseño e implementación de una
protegido o controlado. infraestructura de red TCP/IP básica y escalable,
cuyas funciones son: proporcionar el servicio de
¿Cómo puede un usuario indicarle a un sistema autenticación, autorización y auditoría (AAA)
(especialmente a uno que por defecto no confía en Yago (2009), Nakhjiri (2005); usar el protocolo
nadie) que él está autorizado a usar determinados 802.1x Geier (2008) entre una estación cliente
servicios computacionales? ¿Cómo puede el y el punto de ejecución de políticas (PEP); usar
propietario de un sistema marginar a los usuarios el protocolo RADIUS Rigney et al. (2000) y
no autorizados, mientras provee acceso cómodo Rigney (2000) entre el PEP y el punto de decisión
a los usuarios autorizados? El trasfondo a estos de políticas (PDP). Lo anterior, aplicado en un
dos interrogantes es: con las fallas de seguridad ambiente corporativo real con múltiples sitios
en los diferentes protocolos y aplicaciones, y con geográficamente distantes, interconectados bajo
un entorno de Internet público hostil, debería una red de área amplia.
existir algún mecanismo mediante el cual un
usuario autorizado pueda usar los recursos a La figura 1 presenta la red TCP/IP prototipo
los que tiene derecho, dejando a los usuarios no diseñada e implementada con el objetivo
autorizados sin acceso. Éste es el propósito de la de proporcionar el servicio AAA de manera
autenticación, autorización y auditoría de redes, escalable y que permite: tener varios métodos

Figura 1. Red prototipo que permite proporcionar el servicio AAA.

128
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

de autenticación acordes con las políticas que el A continuación se describen los pasos que se
administrador de la red desee instituir, mediante siguieron para habilitar dicho servicio.
el uso de EAP-TLS Simon et al. (2008), PEAP
y EAP TTLS; la consulta de información, en una 2.1 Autenticación
base de datos central, acerca de los usuarios que Para el sistema de autenticación, autorización
pueden acceder la red y los permisos que cada y auditoría de redes se instaló FreeRADIUS
uno de ellos posee; el uso de certificados digitales versión 2.1.7, el cual se configuró para permitir
para demostrar la identidad de un usuario o de un tres tipos de autenticación: Certificados digitales
equipo. El diseño considera un aislamiento fuerte (EAP-TLS) Roser (2002), EAP protegido (PEAP)
entre los equipos a ser autenticados para ingresar y EAP TTLS. El usuario que desee ingresar a la
a la red y los servidores que proveen el servicio red podrá usar alguno de estos tres métodos de
AAA, esto con el fin de evitar al máximo posibles autenticación, escogiendo el que mejor se ajuste
ataques contra estos equipos de misión crítica. a las características de su equipo o el que el
También, para que la red sea robusta y tolerante administrador de red haya definido por defecto
a fallas de conectividad, los equipos de misión para el acceso a la red. A continuación se ilustran
crítica que proporcionan el servicio AAA deben los tipos de autenticación configurados.
tener redundancia en sus enlaces, principalmente
los equipos que tienen el Directorio de usuarios 2.1.1 Configuración para usar certificados
y el Servidor RADIUS, ya que, sin estos, ningún digitales de identificación personal (EAP-TLS)
usuario podría ingresar a la red. Además, es
Se implementó una Autoridad de Certificación
deseable que cada departamento o grupo dentro
mediante la herramienta libre OpenSSL, la cual es la
de una empresa esté separado por medio de
encargada de emitir todos los certificados digitales
VLAN, lo cual permite proteger la información
de los dispositivos de red o usuarios que requieran
confidencial que cada uno posee. Una buena
comprobar sus identidades ante otros equipos.
práctica que siempre se debería llevar a cabo es la
Para que la estación de un usuario pueda establecer
de asignar una VLAN separada para los visitantes,
confianza con la Autoridad de Certificación de la
configurar dicha VLAN con restricciones muy
red y, como consecuencia, aceptar y confiar en los
estrictas para acceder a Internet e impedir su dispositivos de red que la autoridad ha certificado,
acceso a la Intranet. es necesario que dicha estación tenga instalado el
certificado raíz de confianza de la Autoridad de
2. Metodología Certificación, pudiendo así comprobar la validez
El Servidor FreeRADIUS y todas las demás de un certificado digital de identificación de un
tercero, que en este caso será el del servidor de
herramientas que permiten implementar una red
autenticación RADIUS, es decir, el punto de
con el servicio de autenticación, autorización y
decisión de políticas.
auditoría se configuraron en un computador de
escritorio de una agencia de publicidad, la cual Al tener una Autoridad de Certificación y usar
tiene sus unidades de negocio en tres ciudades certificados digitales dentro de la red, se puede
(Cali, Bogotá y Medellín), en un entorno de implementar autenticación mutua, eliminando
300 estaciones de trabajo (50 en Cali, 100 en la posibilidad de que un atacante obtenga los
Medellín, 150 en Bogotá). El equipo se conectó datos de un usuario, por ejemplo, cuando el
a la infraestructura de red en la sede de Cali, la atacante simule ser el servidor RADIUS. La
cual está interconectada con las sedes de Bogotá figura 2 muestra el certificado del servidor Radius
y Medellín por una red WAN. En la ciudad instalado en una estación MAC OSX (en general,
de Bogotá también se configuró un Servidor los tres tipos de autenticación fueron probados
RADIUS en una máquina virtual con sistema para los sistemas operativos MAC OSX, Linux y
operativo Ubuntu versión 10.4. Microsoft Windows).

129
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

Figura 2. Certificado digital del Servidor RADIUS instalado en una estación MAC OSX.

2.1.2 Configuración para usar nombre de RADIUS (mediante un certificado digital

usuario y contraseña con EAP Protegido expedido por la Autoridad de Certificación). El
(PEAP) servidor RADIUS verificará las credenciales
de la estación cliente. También se configuró el
Se configuraron los parámetros de red en las servidor RADIUS para que tenga dos tipos de
estaciones clientes a las que se les permite el servidores de directorio centralizado como puntos
acceso, esto con el propósito de que establezcan de información de políticas: OpenLDAP (licencia
conexión solamente con el punto de ejecución de GNU) y Directorio Activo (AD) de Microsoft. El
políticas que presente la identidad del servidor uso de OpenLDAP permite otorgar los permisos

130
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

que tiene cada usuario en la red, puesto que este aaa new-model
servidor de directorio tiene los pares atributo-valor aaa authentication dot1x default group radius
necesarios para informar al servidor RADIUS a dot1x system-auth-control
qué VLAN será direccionado el usuario.
Para habilitar AAA en el puerto de acceso Ethernet
2.1.3 Configuración para usar nombre de (en donde se conecta la estación del usuario):
usuario y contraseña empleando EAP dentro interface FastEthernet0/2
de un Túnel Seguro en la Capa de Transporte switchport mode access
(EAP-TTLS) dot1x port-control auto

Al igual que con EAP-PEAP, se configuraron Para configurar la dirección IP y la clave

las estaciones de los usuarios que acceden a la (compartida) del servidor RADIUS:
red para que se realice una autenticación mutua radius-server host 10.60.60.60 auth-port 1812
antes de hacer el intercambio de credenciales acct-port 1813 key secretomuysecreto
del usuario, de tal forma que no se realice la Para configurar la dirección IP del conmutador
entrega de credenciales si el punto de ejecución Cisco Catalyst 2950
de políticas no presenta un certificado válido del interface Vlan1
servidor RADIUS. ip address 10.30.30.30 255.255.255.0

Los sistemas operativos de Microsoft Windows En el servidor RADIUS fue necesario autorizar
no tienen compatibilidad por defecto con este los puntos de ejecución de políticas con permiso
tipo de EAP, por lo que fue necesario instalar para hacer consultas AAA que permitan validar a
un software adicional con licencia GNU (con los usuarios que deseen ingresar a la red. En el
nombre “wpa_supplicant”) que administra la archivo “clients.conf” del servidor se ingresaron
conexión inalámbrica. Esto no fue necesario para los PEP autorizados para usar el servidor RADIUS
los demás sistemas operativos probados (MAC como punto de decisión de políticas; se especificó
OSX y Linux), puesto que tenían compatibilidad la dirección IP y el secreto compartido de los PEP
por defecto con este tipo de EAP. (conmutador Ethernet capa 2 y punto de acceso
inalámbrico) mediante las siguientes líneas.
2.2 Configuración del punto de ejecución de client cali {
políticas ipaddr = 10.10.10.10
secret = secretomuysecreto }
2.2.1 Punto de ejecución de políticas de tipo
inalámbrico
2.3 Autorización
En el caso de que el punto de ejecución de políticas
La red tiene como punto de información
sea un punto de acceso inalámbrico (AP), para
de políticas (PIP) al servidor de directorio
habilitar su operación con el servidor RADIUS,
OpenLDAP OPENLDAP (2012), en el cual se
es necesario configurar en el AP la dirección IP y
almacenó la información de los usuarios que
el puerto del servidor Radius.
desean ingresar a la red. En esta información se
encuentran los pares atributo-valor que permiten
2.2.2 Punto de ejecución de políticas de tipo
que el PEP establezca los permisos para cada
cableado
usuario que se verán reflejados en su asociación
Además de crear las VLAN en el conmutador a una VLAN determinada, ubicando a cada
capa 2 (2950-24 marca Cisco), se habilitó el usuario en una VLAN diferente dependiendo del
servicio AAA mediante las siguientes líneas de departamento al que pertenezca; dicha VLAN
configuración. puede estar configurada con las restricciones
Para usar AAA en la autenticación: que crea conveniente el administrador. También

131
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

se usó un atributo-valor que permite restringir La figura 3 presenta una vista de las políticas
el horario en que puede ingresar cada usuario a implementadas en el perfil de un usuario. También
la red. Si intenta acceder a la red en un horario fue necesario configurar el conmutador capa
diferente al establecido en su perfil, la petición 2 con el comando “aaa authorization network
será negada. Los pares atributo-valor nombrados default group radius” para habilitar la función de
son los siguientes: autorización, lo que a su vez activa la asignación
radiusLoginTime: especifica el horario en el que automática de la VLAN indicada por el servidor
se tendrá permiso para acceder a la red. RADIUS con base en el perfil residente en el PIP.

radiusTunnelMediumType: se especifica el 2.4 Auditoría

estándar que manejará el conmutador de capa 2
que hará la implantación de las políticas para la Se usó una base de datos mySQL para el registro
estación del usuario que ingresa a la red. de la información del acceso de los usuarios
en varias tablas creadas con las plantillas que
radiusTunnelPrivateGroupId: este valor establece contiene el servidor FreeRADIUS. Mediante
la VLAN que se activará para el acceso a la red de las funcionalidades de OpenSSL, se creó un
determinado usuario. certificado digital para el Servidor Web Apache,
radiusTunnelType: En este valor se especifica en con el cual se pudo establecer una conexión
qué tipo de segmentación lógica de red se harán segura para consultar la base de datos mySQL
las restricciones sobre los usuarios. usando la interfaz Web de phpMyAdmin desde

Figura 3. Información de un usuario en el punto de información de políticas.

132
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

un equipo remoto. Para que el servidor RADIUS se encuentra en Cali y contiene solamente la
registre en la base de datos la información de información de los usuarios de Cali, como al
los usuarios que han logrado autenticarse, es Directorio Activo de Bogotá, que contiene los
necesario configurar la característica de auditoría usuarios de toda la empresa. Todos los elementos
en los puntos de ejecución de políticas; para el necesarios para proveer la red con un sistema de
conmutador capa 2, esto se realizó mediante el autenticación, autorización y auditoría de redes se
comando “aaa accounting dot1x default start- instalaron en una misma máquina (al no requerirse
stop group radius”. más complejidad dadas las características de la
red en la que se implementó) teniendo presente
El conmutador Ethernet capa 2 que hace la la eventualidad de su expansión futura, dando la
función de PEP para los usuarios que ingresan posibilidad de que sea escalable y replicable. Las
a la red mediante el sistema de autenticación, políticas de seguridad que se definieron son:
autorización y auditoría, tiene la capacidad de
enviar los datos de auditoría de dichos usuarios. a) Asignación de VLAN de acuerdo al perfil del
Entre los datos que puede enviar, se tienen: usuario
Nombre del usuario, Puerto al cual está conectado
en el conmutador capa 2, Hora de ingreso y salida b) El acceso a la red queda restringido para los
de la red, Cantidad de datos enviados y recibidos visitantes al horario laboral; lunes a viernes de
por el usuario, Dirección MAC del equipo que 7:00 a.m. hasta 8:00 p.m.
está ingresando a la red y del punto de ejecución c) Se lleva un registro en la base de datos mySQL
de políticas que atendió al usuario. de los ingresos exitosos y fallidos a la red.

3. Resultados y discusión d) Registrar en la base de datos mySQL la

información relevante de los usuarios autenticados
3.1 Entorno de pruebas realizadas exitosamente: Nombre de usuario, Hora de ingreso
En la tabla 1 se detalla el número de estaciones fijas y salida de la red, Cantidad de datos enviados
y móviles que se instalaron en cada ciudad con y recibidos por el usuario, Dirección MAC del
equipo que está ingresando a la red y Dirección
sus respectivos tipos de autenticación. El Servidor
IP del punto ejecución de políticas que atendió al
RADIUS de Cali se integró a la red como punto
usuario.
de decisión de políticas para que los puntos de
acceso inalámbricos de Cali, Bogotá y Medellín 3.2 Autenticación
se apoyen en éste al ejecutar el proceso AAA,
cuando estos últimos requieran hacer el papel Los tres tipos de autenticación disponibles en el
de puntos de ejecución de las políticas. También sistema (EAP-TLS, EAP-PEAP, EAP-TTLS)
fue posible emplear, como punto de información funcionaron bien, el servidor RADIUS negaba
de políticas, tanto al directorio OpenLDAP que el acceso cuando se proveían credenciales

Tabla 1. Descripción de perfiles de software y hardware probados.

Estaciones Fijas Estaciones Estaciones Fijas Estaciones Estaciones Estaciones

Ubicación Windows Móviles Windows Windows Fijas MAC-OS Móviles MAC- Fijas MAC-
EAP-TLS EAP - PEAP EAP - TTLS EAP - TTLS OS EAP - PEAP OS EAP-TLS

Cali 10 10 5 15 5 5
Bogotá 20 60 0 30 35 5
Medellín 10 40 0 15 30 5

133
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

erradas o se presentaba un certificado digital bajo EAP-TTLS de una estación Microsoft

de identificación personal inválido o revocado. Windows administrada por “wpa_supplicant”.
Se realizaron peticiones de acceso a la red con El acceso de los usuarios a la red con sistema
credenciales de usuario inválidas de forma AAA se realizó con los sistemas operativos más
sucesiva sin lograr éxito y sin que se presentara populares disponibles, entre ellos Windows en
una negación del servicio a los demás usuarios las versiones XP, Vista y 7, MAC OSX versiones
válidos por parte del Servidor RADIUS. 10.5 a la 10.6 y Ubuntu en la versión 10.4. Con
todos los sistemas operativos anteriores fue
Fue posible configurar las estaciones de trabajo posible hacer la configuración descrita para
de los usuarios corporativos, para que ejecutaran acceder a la red, logrando una conexión exitosa
el proceso de autenticación con el punto de y sin inconvenientes, utilizando todos los tipos de
ejecución de políticas (autenticación mutua), autenticación disponibles, distribuidos de manera
únicamente cuando este último les presentara uniforme en cada ciudad.
un certificado digital de identificación válido del
Servidor RADIUS, expedido por la Autoridad de 3.3 Autorización
Certificación en la que dichas estaciones confían;
si no se cumplía este requisito, el proceso de Se verificó que en las horas de mayor congestión
autenticación era detenido. La figura 4 muestra para el sistema AAA, cuando inician labores
éxito en la verificación de los certificados (EAP- los empleados de la empresa (del orden de 300
TLS) y la figura 5 presenta el acceso exitoso empleados), el servidor tuvo buen desempeño,

Figura 4. Verificación exitosa de los certificados.

134
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

alterno para el caso en que falle el principal. En

nuestro caso, el servidor principal se instaló en
la ciudad de Cali y el servidor secundario en la
ciudad de Bogotá.

3.4 Auditoría

El sistema de auditoría funcionó correctamente y

dejó registros en la base de datos mySQL, tanto
para los usuarios que tuvieron éxito en el proceso
de ingreso a la red, como para los usuarios que
fueron rechazados. El sistema registra el día
y la hora del acceso o rechazo. Se configuró la
herramienta “dialup-admin”, que permite buscar
y mostrar en una interfaz Web, desde cualquier
computador de la red, la información de auditoría
que está registrada en las bases de datos mySQL.
Figura 5. Conexión exitosa usando EAP-TTLS administrado También se pudo observar que el consumo de
por “wpa_supplicant” en Windows. recursos del sistema AAA no es elevado (del
orden del 2%), cuando se usa en un servidor de
y permitió el acceso rápido a las personas que doble núcleo con 1 Gigabyte de RAM (en una
presentaron credenciales válidas, la conexión red de 300 empleados). Esto abre la posibilidad
a la red se establece en menos de 5 segundos. de implementar el Servidor RADIUS o el sistema
La figura 6 presenta la información cuando el AAA completo en un hardware de propósito único,
servidor RADIUS acepta una conexión y le lo que hace de esta implementación una opción
asigna la VLAN 3 a la respectiva estación cliente. viable para desarrollar un producto unificado
Es recomendable tener redundancia en el sistema que provea todas las características necesarias
AAA para lograr una mayor tolerancia a fallas, esto para implementar una red con sistema de AAA a
se puede conseguir, configurando en los puntos un bajo costo. Equipos como el CM-X300 de la
de ejecución de políticas un Servidor RADIUS empresa Compulab permitirían realizar esta tarea,

Figura 6. Información del acceso aceptado.

135
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

adecuando el sistema que se tiene actualmente en a la red, como también las actividades de dicho
un computador a dicho hardware. usuario dentro de la red para efectos de control y
seguimiento.
4. Conclusiones
Se logró configurar el Servidor RADIUS para que
Fue posible configurar tres tipos de autenticación use dos puntos de información de políticas; uno
en el servidor de autenticación, usando en uno de de ellos es un servidor de directorio OpenLDAP,
estos, la infraestructura de clave pública completa el cual tiene soporte completo para todas las
(EAP-TLS) y, en los otros dos, un esquema de funcionalidades necesarias de las políticas que se
credenciales basado en el nombre de usuario establecen para cada usuario, el otro es el servicio
y la contraseña (EAP-PEAP, EAP-TTLS), con de directorio de Microsoft, el Directorio Activo,
certificados de identificación personal en los que sólo posee las credenciales de los usuarios de
servidores de autenticación, lo que permite varias ciudades (nombre de usuario y contraseña)
realizar autenticación mutua, haciendo muy de la red corporativa donde se implementó el
seguro el acceso a la red. servicio AAA.

Al tener una infraestructura de clave pública Se configuraron varias herramientas Web

implementada, fue posible revocar los certificados que permiten administrar las funcionalidades
de identificación personal de usuarios que no se implementadas en el Servidor de Autenticación.
desea que ingresen a la red, ya sea porque han La herramienta que permite ver el contenido de
dejado de formar parte de la empresa o porque sus las bases de datos mySQL a través de una interfaz
certificados han sido robados o comprometidos. Web se llama “phpMyAdmin”, con la cual es
posible detallar toda la información registrada de
Se demostró que si un usuario presenta un los usuarios que han accedido a la red.
certificado de identificación personal revocado, el
acceso a la red le será denegado. El acceso de los Otra herramienta configurada para realizar
usuarios a la red con sistema AAA se probó con los búsquedas en la información de auditoría de
sistemas operativos más populares disponibles; la base de datos mySQL y mostrarla de forma
estos fueron: Windows en las versiones XP, Vista amigable fue “Dialupadmin”, la cual es una
y 7, MAC OSX versiones 10.5 a 10.6 y Ubuntu en herramienta que está incluida con el servidor
la versión 10.4. RADIUS FreeRADIUS. Esta herramienta permite
filtrar la búsqueda de los datos de auditoría de la
Con todos los sistemas operativos se demostró que base de datos mySQL usando cualquier atributo
fue posible usar los tres esquemas de autenticación que esté dentro de la base de datos. Es muy útil
disponibles, realizando autenticación mutua entre para generar reportes de ingreso de los usuarios
las partes del proceso de AAA, consiguiendo una que han accedido a la red. Mediante la Autoridad
conexión exitosa, segura y sin inconvenientes. de Certificación de la red, se creó un certificado
digital para el Servidor Web (que permite que
Se implementaron, en el sistema AAA, las todas las herramientas anteriores funcionen),
políticas que mejoraron considerablemente la el cual se configuró para que sólo establezca
seguridad de acceso a la red, estas políticas conexión usando cifrado SSL y el protocolo
son: asociación automática de los usuarios HTTPS. Lo anterior le proporciona seguridad al
autenticados exitosamente a una VLAN definida tráfico de dicho Servidor.
para cada perfil, restricciones en el horario de
acceso a la red, registro en una base de datos de Al comparar la solución AAA propuesta con
los accesos exitosos o fallidos, registro de los soluciones de control de acceso a red comerciales
datos concernientes al equipo del usuario que (por ejemplo, aquellas basadas en dispositivos
ha sido autenticado exitosamente y ha ingresado de los fabricantes Bradford, Fortinet o Cisco),

136
 Ingeniería y Competitividad, Volumen 15, No. 1, p. 127 - 137 (2013)

podemos afirmar que los dispositivos comerciales Nakhjiri, M. (2005). AAA and network security
tienen funciones de seguridad adicionales for mobile access : radius, diameter, EAP, PKI
muy particulares, a veces exclusivas, cuyo and IP mobility. Chichester, England Hoboken,
funcionamiento se complementa (no compite) NJ: John Wiley & Sons.
con la solución planteada. También, hay que
resaltar que la solución propuesta se puede OPENLDAP (2012). OpenLDAP Software 2.4
escalar fácilmente mediante la utilización de Administrator’s Guide. http://www.openldap.org/
computadores más robustos y se puede tener doc/admin24/
alta disponibilidad mediante el uso de varios
servidores AAA en un ambiente corporativo Qazi, H. U. (2007). Comparative Study of
en general. Finalmente, esta solución se puede Network Access Control Technologies. Magister
mejorar mediante el remplazo de RADIUS por thesis, Department of Computer and Information
las implementaciones del protocolo DIAMETER Science, Linköpings universitet, Linköping,
Fajardo et al. (2012), el cual se encuentra en Suecia. http://liu.diva-portal.org/smash/record.
estado de estándar propuesto (de la IETF) y jsf?pid=diva2:23688
opera sobre TCP, tiene mayor número de parejas
atributo-valor, mejor soporte de movilidad y de Rigney, C. (2000). RADIUS Accounting. In IETF
notificación de error. (The Internet Engineering Task Force) Request for
Comments 2866. http://www.ietf.org/rfc/rfc2866
5. Referencias bibliográficas
Rigney, C,. Willens, S., Rubens, A., & Simpson,
Arana, J. (2010). Diseño e implementación de W. (2000). Remote Authentication Dial In
una red con sistema de autenticación escalable User Service (RADIUS). In IETF (The Internet
como aplicación directa de los protocolos de Engineering Task Force) Request for Comments
autenticación, autorización y auditoría de redes. 2865. http://www.ietf.org/rfc/rfc2865
Trabajo de Grado, Escuela de Ingeniería Eléctrica
y Electrónica, Universidad del Valle, Cali, Roser, K. (2002). EAP/TLS Setup for FreeRADIUS
Colombia. and Windows XP Supplicant. http://freeradius.
org/doc/EAPTLS.pdf
Bhaiji, Y. (2008). Network Security Technologies
and Solutions (CCIE Professional. Development). Simon, D., Aboba, B., & Hurst, R. (2008). The
Indianapolis: Cisco Press, Inc. EAP-TLS Authentication Protocol. In IETF
(The Internet Engineering Task Force) Request
Fajardo, V., Arkko, J., Loughney, J., & Zorn, for Comments 5216. http://tools.ietf.org/html/
G. (2012). Diameter Base Protocol. In IETF rfc5216
(The Internet Engineering Task Force) Request
for Comments 6733. http://tools.ietf.org/html/ Yago, F. (2009). AAA / RADIUS / 802.1x, Sistemas
rfc6733 Basados en la Autenticación en Windows y Linux/
GNU. Madrid: Rama.
Geier, J. (2008). Implementing 802.1X security
solutions for wired and wireless networks.
Indianapolis, IN: Wiley Pub.

137