Servidor RADIUS

IES Gran Capitán Departamento de Informática Ciclo Formativo de Grado Superior de Administración de Sistemas Informáticos Informáticos

Módulo de Proyecto Integrado Manuel Monzón Pérez – 2 !SI" Proyecto# !$%E&%IC!CI'& C(& "!DI$S Cur)o 2*+,-2*+. /ndice de contenido 1.- Introducción............................................................... Introducción.....................................................................................................................................................................2 ......................................................................................................2 2.- Objetivos y requisitos del proyecto.................................................................................................................................2 3.- Estudio previo.................................................................................................................................................................2 3.1.- Estado actual.............................................................................................................................. actual........................................................................................................................................................... .............................22 3.2.- Estudio de soluciones existentes............................................................................................................... existentes............................................................................................................................. ..............33 Solución elegida....................................................................................................................... elegida............................................................................................................................................................ .....................................1 1 !.- "lan de trabajo...............................................................................................................................................................1 .- #ise$o............................................... #ise$o...................................................................................................................................................................... .............................................................................................................................1 ......1 .1.- #ise$o general......................................................................................................................................................1 .2.- #ise$o detallado...................................................................................................................................................1% &.- I'plantación.............................................................................................................. I'plantación.................................................................................................................................................................. ....................................................1( 1( %.- )ecursos........................................................................................................................................................................22 %.1.- *erra'ientas +ard,are....................................................................................................................................... +ard,are.........................................................................................................................................22 ..22 %.2.- *erra'ientas sot,are......................................................................................................................................... sot,are......................................................................................................................................... .22 %.3.- "ersonal................................................................................................................................................................22 %.!.- "resupuesto....................................................................................................... "resupuesto........................................................................................................................................................... ....................................................22 22 (.- onclusiones.................................................................................................................................................................23 (.1.- /rado de consecución de objetivos......................................................................................................................23 (.2.- "roble'as encontrados.........................................................................................................................................23 (.3.- 0uturas 'ejoras................................................. 'ejoras.....................................................................................................................................................23 ....................................................................................................23 .- )eerencias  bibliograa..............................................................................................................................................23 14.- 5nexos.............................................................................................................................................. 5nexos.........................................................................................................................................................................23 ...........................23

IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

+01 Introducción Se quiere adoptar una 'ayor seguridad en la red
201 (3eti4o) y re5ui)ito) del proyecto I'ple'entar autenticación autenticación en una red ,ii •

)ed
•

/estión de usuarios del siste'a en una '6quina virtual en =>piter yo en el propio titan

•

Soporte para clientes
601 E)tudio pre4io 3.1.- Estado actual 5ctual'ente la red con la que conta'os est6 co'puesta por una red general dividida en varias subredes @clasesA con las que dividir el tr6ico de la red. "or lo que en cada subred tene'os un punto de acceso. o'o siste'a de protección para las redes inal6'bricas se usa <"52 con la cual se corrigen vulnerabilidades detectadas en <"5. El tipo de cirado usado es el 5ES @5dvanced Encryption StandardA7 es el '6s seguro introducido con <"52 y adoptado por el gobierno de EEBB7 y las principales debilidades sera 'ediante ataques de uerCa bruta7 que a su veC son evitadas por el uso de una Duerte contrase$a. "or lo tanto7 ese tipo de protección y cirado es la '6s aconsejable. En estos 'o'entos existen dos tipos de puntos de acceso9

d-link dwl-2100ap (usado en las aulas 114, 115 y 116) •

)endi'iento 1 veces superior que el de un producto
•

5nc+o de Fanda de 14(Gbps7 en 2.!/*C

•

o'patible con productos que operen bajo el est6ndar (42.11b y (42.11g y todos los productos ,ireless de #?inH

•

uatro 'odos de operación. 5ccess "oint7 Fridge "t"7 Fridge "tG" y 5" liente

•

5ntena des'ontable con conector )SG5

•

#*" Server

•

06cil Instalación

•

5lto )endi'iento

•

06cil integración en la red

•

Sólo entre equipos 5ir"lus tre'e / y 5ir"re'ier 5/ operando en 'odalidad Super/


asus rt-n12eB (usados en el Departamento de Informti!a y en el aula 112) •

Godos inal6'bricos '>ltiple 3 en 1 router  "unto de acceso  )ange Extender

•

#os antenas dFi des'ontable para una cobertura '6s potente y '6s a'plia

•

! SSI# ayudan a gestionar la asignación de anc+o de banda y control de acceso

•

"otente 'ultitarea en lnea de +asta 34.444 sesiones de datos

•

5nc+o de banda de 344Gbps

•

#e 6cil instalación y 'anejo

•

5u'enta dr6stica'ente la cobertura de la se$al inal6'brica y la calidad con un a'pliicador de se$al incorporado

3.2.- Estudio de soluciones existentes

!utenticación de u)uario)

7erero)# Es un protocolo de autenticación de redes que per'ite a los equipos de una red insegura de'ostrar su identidad de 'anera segura. Es un 'odelo cliente-servidor y tanto cliente co'o servidor veriican la identidad uno del otro. Jerberos se basa en una criptograa de clave asi'Ktrica y requiere de un tercero de conianCa @J#A el cual consiste de dos partes lógicas separadas9 un Dservidor de autenticación y un Dservidor e'isor de tiquets.

"lementos Bn servidor Jerberos se deno'ina J# @ Kerberos Distribution Center A7 A7 y provee de dos servicios unda'entales9 unda'entales9 el de autenticación @5S7 Authentication Service A y el de tickets @L/S7 Ticket Granting Service A. El pri'ero tiene co'o unción autenticar inicial'ente a los clientes y proporcionarles un ticket para para co'unicarse con el segundo7 el servidor de tickets7 que proporcionar6 a los clientes las credenciales necesarias para co'unicarse con un servidor inal que es quien real'ente orece un servicio. 5de'6s7 el servidor posee una base de datos de sus clientes @usuarios o progra'asA con sus respectivas claves privadas7 conocidads >nica'ente por dic+o servidor y por el cliente al que pertenece. IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

?a arquitectura de Jerberos est6 basada en tres objetos de seguridad9 •

•

•

#la$e de sesi%n& es una clave secreta generada por Jerberos y expedida a un cliente para uso con un servidor durante una sesiónM no es obligatorio utiliCarla en la toda la co'unicación con el servidor7 sólo si el servidor lo requiere o si el servidor es un servidor de autenticación. Se suele deno'inar a esta clave JS7 para la co'unicación entre un cliente  y un servidor S. 'i!ket& es un testigo expedido a un cliente del servicio de ticHets de Jerberos para solicitar los servicios de un servidorM garantiCa que el cliente +a sido autenticado reciente'ente. 5 un ticHet de un cliente  para acceder a un servicio S se le deno'ina NticHet @7 SA JS P N 7 S7 t17 t2 JS . Este ticHet incluye el no'bre del cliente 7 para evitar su posible uso por i'postores7 un periodo de valideC N t1 7 t2  y una clave de sesión JS asociada para uso de cliente y servidor. Jerberos sie'pre proporciona el ticHet ya cirado con la clave secreta del servidor al que se le entrega. utenti!ador& es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la actualidad de la co'unicaciónM sólo puede ser utiliCado una veC. Bn autenticador de un cliente  ante un servidor S se denota por N aut+ @  A JS P N 7 t  JS. Este autenticador contiene7 cirado con la clave de la sesión7 el no'bre del cliente y un timestamp.

enta*as& –

–

–

5utenticación 'utua. El cliente puede validar la identidad de la entidad de seguirdad del servidor y el servidor puede validar el cliente. 8or'al'ente esta autenticación se suele +acer entre un cliente y un servidor aunque se podra +acer entre dos servidores. Qales de autenticación seguros. Sólo se utiliCan vales cirados y las contrase$as est6n incluidas en el vale. 5utentica 5utenticación ción integrada. integrada. Bna veC que el usuario usuario +ay +ayaa iniciado iniciado sesión7 no necesitar necesitar66 iniciar iniciar sesión sesión nueva'ente para tener acceso a cualquiera de los servicios que ad'ite la autenticación Jerberos7 sie'pre y cuando el vale del cliente no +aya expirado. ada vale o ticHet tiene una vigencia7 que est6 deter'inada por las directivas del do'inio Jerberos Jerberos que genera el vale.

Des$enta*as& –

–

–

–

?a 'igración de las contrase$as de usuarios desde una base de datos de contrase$as est6ndar B8I7 tal co'o /etc/passwd o /etc/shadow7 a una base de datos de contrase$as Jerberos7 puede ser tediosa y no +ay un 'ecanis'o r6pido para realiCar esta tarea. Jerberos presupone que cada usuario es de conianCa7 pero que est6 utiliCando una '6quina no iable en una red no iable. Su principal objetivo es el de prevenir que las contrase$as no ciradas sean enviadas a travKs de la red. Sin e'argo7 si cualquier otro usuario7 aparte del usuario adecuado7 tiene acceso a la '6quina que e'ite tickets @J#A para la autenticación7 Jerberos estar6 en riesgo. "ara que una aplicación use Jerberos7 el código debe ser 'odiicado para +acer las lla'adas apropiadas a las libreras de Jerberos. ?as aplicaciones que son 'odiicadas de esta or'a son consideradas co'o Kerberizadas. "ara algunas aplicaciones7 esto puede suponer un esuerCo excesivo de progra'ación7 debido al ta'a$o de la aplicación o su dise$o. "ara otras aplicaciones inco'patibles7 los ca'bios se deben realiCar en el 'odo en el que el servidor de red y sus clientes se co'unicanM de nuevo7 esto puede suponer bastante progra'ación. En general7 las aplicaciones de código cerrado que no tienen soporte de Jerberos son usual'ente las '6s proble'6ticas. 0inal'ente7 si decide usar Jerberos en su red7 debe darse cuenta de que es una elección de todo o nada7 So decide usar Jerberos en su red7 debe recordar que si se trans'ite cualquier contrase$a a un servicio que no usa Jerberos para autentica7 se corre el riesgo de que el paquete pueda ser interceptado. 5s7 su red no obtendr6 ning>n beneicio de usar Jerberos. "ara asegurar su red con Jerberos7 solo debe utiliCar las versiones Kerberizadas de todas las aplicaciones clienteservidor que enven contrase$as sin cirar o no utiliCar ninguna de estas aplicaciones en la red.


Ser4idor &PS# El servidor de directivas de redes @8"SA per'ite crear y aplicar directivas de acceso a la red en toda la organiCación con ines de 'anteni'iento de clientes7 autenticación de solicitudes de conexión y autoriCación de solicitudes de conexión. 8"S per'ite conigurar y ad'inistrar de or'a centraliCada directivas de autenticación de acceso a la red7 autoriCación y 'anteni'iento de clientes 5de'6s7 puede usar 8"S co'o un proxy )5#IBS para reenviar solicitudes de conexión a servidores 8"S u otros servidores )5#IBS que conigure en grupos de servidores )5#IBS re'otos. 8"S contiene ta'biKn co'ponentes clave para i'ple'entar i'ple'entar la "rotección de 5cceso a )edes @85"A en la red7 y puede i'ple'entarse de su organiCación y sus equipos con conectividad de red a travKs de servidores de acceso de red7 co'o servidores de red privada virtual @Q"8A7 puntos de acceso inal6'bricos y servidores de 'ercado teleónico7 puede usar 8"S para crear7 ad'inistrar e i'poner las directivas de acceso de red que deter'inan si los usuarios y equipos pueden o no se pueden acceder a la red. #urante este intento de conexión7 los usuarios y equipos suelen proporcionar las credenciales de cuenta en or'a de un no'bre de usuario y contrase$a o un certiicado. 8"S puede exa'inar estas credenciales y utiliCarla para veriicar la identidad o autenticar el usuario o equipo antes de per'itir el acceso a la red. 8"S ta'biKn per'ite deter'inar si el usuario o el equipo tiene per'iso para acceder a la red 'ediante la autoriCación de la solicitud de conexión con propiedades de la cuenta de usuario7 las directivas de red que +aya creado o a'bos.

enta*as& –

–

Bna de las ventajas que proporciona 8"S es la coniguración de las directivas de red en un servidor @el servidor que ejecuta 8"SA que se aplican a 'uc+os servidores. "or eje'plo7 si tienen 14 puntos de acceso inal6'brico y no utiliCan 8"S7 debe conigurar las directivas de acceso 14 vecesM pero si usa 8"S7 debe conigurar cada directiva sólo una veC "or lo tanto7 tanto7 'ediante 'ediante el uso de 8"S se pue puede de ad'ini ad'inistr strar ar centra central'e l'ente nte el acceso acceso a la red para las organiCaciones de todos los ta'a$os7 incluidas las "RGES7 organiCaciones e'presariales e IS"

"!DI$S Es uno de los siste'as '6s antiguos usados en Internet. )5#IBS ejecuta un progra'a de sot,are en un servidor. uando un usuario intenta conectarse a la red7 un progra'a cliente )5#IBS dirige todos los datos de usuario al servidor para la autenticación. El servidor aloja los datos de autenticación del usuario en un or'ato encriptado y enva una respuesta de paso o rec+aCo. "or lo tanto7 es un protocolo de autenticación y autoriCación para aplicaciones de acceso a la red o 'ovilidad I". BtiliCa el puerto 1(12 B#" para establecer sus conexiones7 por lo tanto tendr6 una co'unicación sin conexión7 o sea7 Dbest-eort. )5#IBS a dierencia de otros siste'as7 est6 '6s orientado al usuario inal del servicio.

+#%mo traa*a DI./ )5#IBS dese'pe$a tres unciones pri'arias explicadas a continuación con un eje'plo9 uando se realiCa la conexión con un IS" 'ediante 'óde'7 Et+ernet o
utenti!a! utenti!a!i%n& i%n& El servidor )5#IBS co'prueba que la inor'ación es correcta utiliCando esque'as de autenticación co'o "5"7 *5"7 E5". IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

utoria!i%n& Indica si un usuario puede o no acceder a cierto recurso. Si es aceptado7 el servidor autoriCar6 el acceso al siste'a del IS" y le asigna los recursos de red co'o una I" y de'6s par6'etros. uditora& 5l'acena datos sobre cuando y co'o se realiCan peticiones @tanto aceptadas co'o rec+aCadasA. Bna de las caractersticas '6s i'portantes del protocolo )5#IBS es su capacidad de 'anejar sesiones7 notiicando cuando co'ienCa y ter'ina una conexión7 as que al usuario se le podr6 deter'inar su consu'o y acturar en consecuencia. )5#IBS ue desarrollado original'ente por ?ivingston Enterprises para la serie "ortGaster de sus Servidores de 5cceso a la )ed @85SA7 '6s tarde se publicó co'o RFC !"# y RFC!"$. 5ctual'ente existen 'uc+os servidores )5#IBS7 tanto co'erciales co'o de código abierto. ?as prestaciones pueden varia7 pero la 'ayora pueden gestionar los usuarios en arc+ivos de texto7 servidores ?#5"7 bases de datos varias7 etc. 5 'enudo se utiliCa S8G" para 'onitorear re'ota'ente el servicio. ?os servidores "roxy )5#IBS se utiliCan para una ad'inistración centraliCada y pueden reescribir paquetes )5#IBS al vuelo.

l3unas de sus !ara!tersti!as son& –

Seguridad

–

0lexibilidad

–

5d'inistración 5d'inistración si'ple

–

apacidad extensiva de auditora

enta*as& –

Gejora considerable de la seguridad

–

"osibilidad de aplicar restricciones a un usuarioperil en particular

–

–

–

–

Gejora en la presentación de inor'es @reportingA y en el segui'iento @tracHingA basado en los no'bres de usuarios7 incluso '6s a>n si est6 atado a un bacHend ?#5" o 5# uando un usuario se autentiica en una SSI# usando (42717 esa sesión individual est6 encriptada >nica'ente entre el usuario y el punto de acceso. Esto signiica que otro usuario conectado al 'is'o SSI# no puede escuc+ar el tr6ico ni robar inor'ación7 dado que est6n utiliCando dierentes claves de encriptación para sus respectivas conexiones. En ca'bio en una red "SJ7 cada dispositivo conectado al punto de acceso co'parte la 'is'a encriptación encriptación de conexión7 por lo que otros usuarios podran espiar en el tr6ico si quisieran. Es posible desconectar a un >nico usuario o dispositivo sin aectar al resto y sin ca'biar la clave al resto "uedes asignar per'isos individuales para cada usuario. En ca'bio en el 'Ktodo de clave co'partida sólo puedes crear un >nico peril peril de usuario que todos co'partir6n co'partir6n

Des$enta*as& –

–

–

–

Si los usuarios se conectan a la red inal6'brica con un dispositivo personal7 (4271)5#IBS puede ser '6s co'plejo a la +ora de conigurar para los usuarios inales7 especial'ente quienes usen til para la gestión del router o lexible para servicios de ter'inal Sólo encripta la contrase$a7 por lo tanto no encripta ni el no'bre de usuario ni otros posibles datos asociados


%!C!CS8# 5crón 5cróni'o i'o de Ler'in Ler'inal al 5cces 5ccesss on ontro trolle llerr 5cces 5ccesss on ontro troll Syste Syste' ' @Siste @Siste'a 'a de on ontro troll de 5cces 5ccesoo del ontrolador de 5cceso a Ler'inalesA ue desarrollado a partir de la experiencia de isco con )5#IBS. Es un protocolo de autenticación re'ota que se usa para gestionar el acceso @proporciona servicios separados de autenticación7 autoriCación y registroA a servidores y dispositivos de co'unicaciones. El #eparta'ento de #eensa de Estados Bnidos lo desarrolló para resolver algunos de los proble'as con los servidores de acceso re'oto de )5#IBS. ste siste'a est6 dise$ado para los ad'inistradores de red que deben conectarse de or'a re'ota a los dispositivos de la red. La'biKn usa el 'odelo liente-Servidor siendo el 85S el cliente. Bsa co'o transporte el protocolo L"7 por lo tanto el di6logo entra el 85S y el L55ST ser6 orientado a la conexión.

un!ionamiento L" provee un 5J separado de que un 5ccess-)equest +a sido recibido por el server L55ST. 5de'6s L" provee una indicación in'ediata de un server no disponible. 5>n teniendo conexiones L" con un ti'er de expiración de espera de 5J largo7 podre'os tener la certeCa de un server que sale de servicio y luego entra nueva'ente en operación. B#" no puede darnos esta certeCa7 ni siquiera puede discri'inar entre un server cado7 un server lento o inexistente y por lo tanto )5#IBS ta'poco. Bsando los Heepalives de L" pode'os detectar las cadas cadas del servidor L55ST uera uera de banda. 5de'6s con L55ST pode'os pode'os establecer y 'antener conexiones si'ult6neas si'ult6neas con varios server7 de esa 'anera no se necesita requerir servicio solo a server que conoce'os que est6n en servicio en cada 'o'ento. L55ST encripta todo el paquete dejando solo un +eader standar L55ST. En ese +eader existe un ca'po que indica si el cuerpo del paquete +a sido encriptado o no. 8or'al'ente es '6s seguro optar por la total encriptación del cuerpo del paquete. Este protocolo usa una arquitectura 'odular lla'ada 555 @5ut+entication7 5ut+oriCation 5ut+oriCation U 5ccountingA7 la cual separa las tres unciones9 5utenticación7 5utoriCación y ontabiliCación. Este lexibilidad le da ventaja sobre )5#IBS7 puesto que pode'os usar L55ST para la autoriCación y contabiliCación y +acer la autenticación por 'edio de Jerberos u otro siste'a. #espuKs de que un 85S autentica 'ediante un servidor Jerberos7 proceder6 a requerir inor'ación de autoriCación yo peril de usuario al server L55ST sin tener que volverse a autenticar en el L55ST. El 85S inor'a al L55ST de la exitosa autenticación del usuario por Jerberos y entonces el server L55ST proveer6 la inor'ación de autoriCación del usuario. o'o en otros siste'as ya explicados7 L55ST dese'pe$a dese'pe$a tres unciones9 •

•

•

utenti!a!i%n& ?a autenticación es el proceso de validación de la identidad de un usuario. L55ST logra esto a travKs de un no'bre de usuario y la contrase$a su'inistrada por el usuario. L55ST separa los procesos de autenticación7 autoriCación y contabilidad7 proporcionando un nivel de granularidad y lexibilidad que no se encuentra en )5#IBS. utoria!i%n& "roporciona una gestión centraliCada de autoriCación y seguridad '6s estricta co'probando cada co'ando e'itido en contra de la base de datos de coniguración de autoriCación. Esto garantiCa que el usuario sólo se le per'ite ejecutar co'andos que est6 autoriCado a e'itir. t rabajo correcta'ente7 lo que signiica #ontailidad& ?os auditores de red requieren de actividad para +acer su trabajo que necesitan los registros de actividad.


enta*as& –

Encripta tanto el no'bre de usuario7 contrase$a y otros datos asociados

–

L55ST a$ade la unción de ontabilidad que no tenan en versiones anteriores

–

–

–

8o necesita variables extras co'o )5#IBS para controlar intentos de retrans'isión y ti'ers7 puesto que el protocolo de transporte se encarga de lograr lograr un canal de co'unicaciones co'unicaciones seguro7 transparente transparente y libre de errores Orece soporte 'ultiprotocolo. Soporta de or'a nativa su unciona'iento sobre a'ilias de protocolos distintos de L"I" co'o 5)57 8etFIOS7 85SI y "5# @gran ventajas sobre )5#IBSA 0lexibilidad para poder separar las tres unciones b6sicas

Des$enta*as& –

–

–

Inco'patible con las versiones anteriores de L55S 8ecesita 'uc+o '6s anc+o de banda que otros siste'as7 por lo que podra causar proble'as de rendi'iento si se usa con 'uc+a asiduidad #ebido a que la base de datos del usuario no reside en el servidor L55ST7 el rendi'iento puede ser lento

Ge)tión de u)uario) del )i)tema –

Ser4idor Ser4idor !cti4e Directory

Es el tKr'ino que usa Gicrosot para reerirse a su i'ple'entación de servicio de directorio en una red distribuida de co'putadoras. BtiliCa distintos protocolos co'o ?#5"7 #8S7 #*"7 Jerberos7 etc. #e or'a sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetos tales co'o usuarios7 equipos o grupos7 con el objetivo de ad'inistrar los inicios de sesión en los equipos conectadas a la red7 as co'o ta'biKn la ad'inistración de polticas en toda la red. Su estructura jer6rquica per'ite 'antener una serie de objetos relacionados con co'ponentes de una red7 co'o usuarios7 grupos de usuarios7 per'isos y asignación de recursos y polticas de acceso. 5# per'ite a los ad'inistradores establecer polticas a nivel de e'presa7 desplegar progra'as en 'uc+os ordenadores y aplicar actualiCaciones crticas a una organiCación entera. Bn 5# al'acena inor'ación de una organiCación en una base de datos central organiCada y accesible. "uede encontrarse desde directorios con cientos de objetos para una red peque$a +asta directorios con con 'illos de objetos.

#ara!tersti!as •

dministra!i%n simplifi!ada simplifi!ada de usuarios y re!ursos de red "uede "uede utiliC utiliCar ar 5# para para crear crear estruc estructur turas as de inor' inor'aci ación ón jer6rq jer6rquic uicas7 as7 que si'pl si'plii iica cann el con contro troll de las credenciales ad'inistrativas y otras opciones de seguridad y per'iten a los usuarios localiCar recursos de red7 co'o arc+ivos e i'presoras con 'ayor acilidad

•

Infraestru!tura y apli!a!iones ailitadas parpa el uso de dire!torios ?as caractersticas de 5# acilitan la coniguración y ad'inistración de las aplicaciones y otros co'ponentes de red +abilitados para el uso de directorios IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

•

"s!alailidad sin !omple*idad 5# puede escalarse +asta llegar a tener 'illones de objetos por cada do'inio y utiliCa tecnologa de indiCación y tKcnicas de replicación avanCadas para au'entar el rendi'iento

•

.so de los estndares de Internet "roporciona acceso 'ediante ?#5" y utiliCa un espacio de no'bres basado en el #8S

•

.n entorno de desarrollo efi!a Orece un entorno de desarrollo eicaC 'ediante las interaces de servicio de 5# @5#SIA7 que le proporciona una interaC orientada a objetos

•

epli!a!i%n y super$isi%n de !onfiana 5# proporc proporcion ionaa clases clases de Instr Instru'e u'enta ntall de ad'ini ad'inistr strac ación ión de
#omponentes de !ti$e Dire!tory 5# utiliCa co'ponentes para construir una estructura de directorio acorde con las necesidades de una organiCación. ?as estructuras lógicas de la organiCación se representan en los siguientes co'ponentes de 5#9 •

Dominio& ?a unidad central de la estructura lógica de 5# es el do'inio7 que puede al'acenar 'illones de objetos. ?os objetos que se al'acenan en un do'inio son aquellos que se consideran Dinteresantes para la red

•

◦

)ecursos @i'presoras7 esc6ner7 etcA

◦

Servicios @correo7 i'presión7 etcA

◦

Bsuarios7 /rupos7 OB

.& Es un contenedor que se utiliCa para organiCar objetos dentro de un do'inio en grupos ad'inistrativos lógicos que relejan la estructura uncional y de negocios de una organiCación

•

7rol& Bn 6rbol es una agrupación o una ordenación jer6rquica de uno o '6s do'inios que se pueden crear a$adiendo uno o '6s do'inios secundarios a un do'inio principal existente

•

Bos8ue& Bn bosque es una agrupación o coniguración jer6rquica de uno o '6s 6rboles de do'inio distintos y co'pleta'ente co'pleta'ente independientes entre s

enta*as& –

Gayor seguridad rente a los servidores 8L

–

ontrol sobre las instalaciones que tienen los usuarios

–

ontrol sobre el tipo de acceso que tendr6 cada usuario

–

Seguridad en los datos

–

Gejores en el rendi'iento y la coniabilidad

–

SincroniCación presente entre los distintos servidores de autenticación de todo el do'inio

–

Es una i'ple'entación de servicio de directorio centraliCado en una red distribuida que acilita el control7 la ad'inistración y la consulta de todos los ele'entos lógicos de una red


Des$enta*as –

Gayor ta'a$o de disco duro

–

)equeri'iento de 'e'oria

–

8o es sot,are libre

–

Es caro

–

Ser4idor (pen9D!P

Se trata de una i'ple'entación libre del protocolo que soporta '>ltiples esque'as por lo que puede utiliCarse para conectarse a cualquier otro ?#5". Liene su propia licencia7 la Open ?dap "ublic ?icense. 5l ser un protocolo independiente de la plataor'a7 varias distribuciones ?inux y FS# lo incluyen7 al igual que 5I7 *"-B7 Gac Os 7 n es el directorio teleónico7 que consiste en una serie de no'bres que est6n ordenados alabKtica'ente7 con cada no'bre teniendo una dirección y un n>'ero de telKono adjuntos. "ara entender 'ejor7 es un libro o carpeta7 en la cual se escribe no'bres de personas7 telKonos y direcciones7 y se ordena alabKtica'ente Bn 6rbol de directorio ?#5" a veces releja varios l'ites polticos7 geogr6icos u organiCaciones7 dependiendo del 'odelo elegido. ?os despliegues actuales de ?#5" tienden a usar no'bres de #8S para estructurar los niveles '6s altos de la jerarqua. onor'e se desciende en el directorio pueden aparecer entradas que presentan personas7 OB7 i'presoras7 docu'entos7 grupos de personas o cualquier cosa que presenta una entrada dad en el 6rbol. *abitual'ente7 al'acena la inor'ación de autenticación @usuario y contrase$aA y es utiliCado para autenticarse aunque es posible al'acenar otra inor'ación @datos de contacto del usuario7 ubicación de diversos recursos de la red7 per'isos7 certiicados7 etcA. 5 'anera de sntesis7 ?#5" es un protocolo de acceso uniicado a un conjunto de inor'ación sobre una red.

"/'.#'. El protocolo accede a directorios ?#5"9 •

Bn directorio es un 6rbol de entradas de directorio

•

Bna entrada consta de un conjunto de atributos

•

Bn atributo tiene un no'bre @ tipo de atributo o descripci%n de atributo A

•

ada ada entra entrada da tiene tiene un identii identiica cador dor >nico9 >nico9 Su &ombre Distinguido @#8A @#8A.. Este Este cons consta ta de su Re'ative Distinguished &ame @)#8A construido por algunos atributos en la entrada7 seguidos del #8 de la entrada del padre. "ensar en el #8 co'o un co'pleto no'bre de arc+ivo y el )#8 co'o el no'bre de arc+ivo relativo es un older.

Se debe tener cuidado con el +ec+o de que un no'bre distinguido puede ca'biar en el tie'po de vida de una entrada7 por eje'plo7 cuando las entradas son 'ovidas en el 6rbol. "ara +acer '6s coniables e identiica de 'anera no a'bigua las entradas un BBI# podra ser proporcionado en el conjunto de los atributos operacionales de la entrada. Bna entrada puede tener este or'ato cuando es representada en el or'ato ?#I0 @?#5" por s 'is'o es un protocolo binarioA9 IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

Ddn es el no'bre de la entradaM no es un atributo ni ta'poco parte de la entrada. DcnP=o+n #oe es el no'bre distinguido relativo7 y DdcPexa'ple7dcPco' es el no'bre distinguido de la l a entrada del padre7 donde dc indica do'ain co'ponent @co'ponente de do'inioA. ?as otras lneas presentan los atributos en la entrada. ?os no'bres de atributos son general'ente general'ente cadenas 'ne'otKcnic 'ne'otKcnicas7 as7 co'o Dcn para co''on co''on na'e @no'bre co'>nA7 Ddc para do'ain do'ain co'ponent @co'ponente de do'inioA7 D'ail para dirección de correo electrónico y Dsn para surna'e @apellidoA. Bn servidor aloja un sub6rbol co'enCando por una entrada especica7 por eje'plo DdcPexa'ple7dcPco' y sus +ijos. ?os servid servidore oress ta'bi ta'biKn Kn pue pueden den al'ac al'acena enarr reere reerenci ncias as a otros otros servid servidore ores7 s7 con los cual cual un intent intentoo de acceso acceso a DouPdepart'ent7dcPexa'ple7dcPco' puede retornar una reerencia o continuación de reerencia a un servidor que aloja esa parte del 6rbol de directorio. directorio. El cliente cliente luego pued puedee contactar contactar al otro servidor. 5lgunos 5lgunos servidores servidores ta'biKn ta'biKn soportan encadena'iento @c+ainingA7 que i'plica que el servidor contacta al otro servidor y devuelve el resultado al cliente. ?#5" rara'ente deine un ordena'iento9 el servidor puede devolver los valores de un atributo7 los atributos en una entrada y las entradas encontradas por una operación de b>squeda en cualquier orden. Esto sigue la deinición or'al una entrada es deinida co'o un conjunto de atributos7 y un atributo es un conjunto de valores7 y los conjuntos no necesitan estar ordenados.

enta*as& –

–

?a ventaja principal de usar ?#5" es la consolidación de cierto tipo de inor'ación en el interior de su e'presa o para el uso que le quera'os dar /ran acilidad para i'ple'entar y la co+erencia de sus 5"I. ?o cual signiica que el n>'ero de aplicaciones y de gate,ays que disruta ?#5" puede crecer en el uturo

–

5l estar basado en un siste'a de directorios7 es 'uy r6pido en la lectura de registros

–

"er'ite replicar el servidor de or'a 'uy sencilla y econó'ica econó'ica

–

Guc+as aplicaciones de todo tipo tienen interaces de conexión a ?#5" y se pueden integrar 6cil'ente

–

#ispone de un 'odelo de no'bres globales que asegura que todas las entradas son >nicas

–

Bsa un siste'a jer6rquico de al'acena'iento al'acena'iento de inor'ación

–

"er'ite '>ltiples directorios independientes

–

0unciona sobre L"I" y SS?

–

?a 'ayora de aplicaciones disponen de soporte para ?#5"

–

?a 'ayora de servidores ?#5" son 6ciles de instalar7 'antener y opti'iCar

–

Es de sot,are libre IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

Des$enta*as& –

–

–

–

"rotocolo de 'anejo de dato poco intuitivo Si desea'os usar ?#5" lo debe'os de +acer 'ediante un cliente ?#5"-enabled o bien pasar a travKs de 'i gate,ay ?#5" Sus principales beneicios se ven 'aterialiCados al usar siste'as donde se guarda gran cantidad de registros y se requiere un uso constante de los 'is'os

PfSense

Es una distribución personaliCada de 0reeFS# adaptado para su uso co'o 0ire,all y )outer. Se caracteriCa por ser de código abierto7 puede ser instalado en cualquier ordenador que cuente con un 'ni'o de dos tarjetas de red7 y ade'6s cuenta con una interaC ,eb sencilla para su coniguración. El proyecto es sostenido co'ercial'ente por FS# "eri'eter ?? y es usado para servicios de redes ?58 y <58 tales co'o ire,all7 enrutador7 balanceo de carga7 etc. El portal de ad'inistración est6 basado en "*" y teórica'ente todas las coniguraciones y ad'inistración se pueden +acer realiCar desde all7 por lo tanto no es indispensable contar con conoci'ientos avanCados sobre la lnea de co'andos B8I para su 'anejo

uenta con un gestor de paquetes desde su interaC gr6ica accedida re'ota'ente para a'pliar sus uncionalidades7 al elegir el paquete deseado el siste'a lo descarga y lo instala auto'6tica'ente. IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

enta*as& –

–

Es Open Source con licencia 0reeFS#. Es vers6til y pr6ctico ya que puede ser usado directa'ente desde un # player y puede orecer una versión para GQ

–

InteraC intuitiva

–

o'unidad "Sense y centro de inor'ación

–

"acHage Ganager. "osee actual'ente decenas de paquetes adicionales que le pre'iten acceder al puesto de BLG @Bniied L+reat Ganage'entA

Des$enta*as& –

–

8o es co'patible con todos los los navegadores ?a 'ayor parte de la docu'entación que existe es de usuarios avanCados y no es oicial

Má5uina 4irtual ?a GQ estar6 alojada el ")OGO7 que es una plataor'a de virtualiCación basada en código abierto que per'ite la virtualiCación tanto sobre OpenQV co'o JQG.

Contenedor :(pen;<= Se deno'ina contenedor a la creación de una '6quina virtual en un a'biente Wc+rootW directa'ente en el siste'a de arc+ivos del servidor base. ?o que nos da una serie de ventajas9 •

5d'inistración 5d'inistración de recursos de or'a directa9 Eje'plo7 pode'os incre'entar la )5G7 S<5"7 "B7 disco7 etc. R los ca'bios son aplicados al instante en el servidor virtual

•

El uso del 'is'o siste'a de ic+eros para todas las '6quinas virtuales no WsobrecargaW al siste'a base

•

?a creación y borrado de '6quinas virtuales es casi instant6neo instant6neo

•

•

?a velocidad de las aplicaciones que tene'os corriendo en el contenedor es casi la 'is'a que si se tratara del servidor base 5cceso directo al Hernel del servicio base

R una serie de inconvenientes9 •

•

•

Solo per'ite trabajar bajo esta 'odalidad a a'bientes que corran en ?inux y no

Má5uina 4irtual :7;M= El siste'a ?inux JQG realiCa una virtualiCación co'pleta @ull virtualisationA y necesita un procesador con los lags de virtualiCación @QGA. Qentajas9 –

"er'ite instalar cualquier Siste'a Operativo

–

ada '6quina virtual tiene su propio +ard,are virtualiCado @tarjeta de red7 discos duros7 tarjeta gr6ica7 etcA

SS0((0 >indo?) Ser4er 2**@ "2 Componente

Requisito

9ro!esador

•

Gni'o de 1.! /+C de &!bits

•

)eco'endado de 2/*C

•

:emoria

•

Gni'o de 12 GF de )5G

•

)eco'endado 2 /F

•

"spa!io en Dis!o

8o +ay l'ites de '6xi'o

•

•

•

G6xi'o de 32 /F en la versión Standar y 2 LF en la versión Enterprise y #atacenter Gni'o de 32 /F en las versiones 0B?? )eco'endado !4 /F en versiones 0B?? y 14 /F en las versiones ore 8o +ay l'ites de '6xi'o

>indo?) Ser4er 2*+2 "2 Componente

Requisito

9ro!esador

•

Gni'o de 1.! /+C de &!bits

:emoria

•

Gni'o de 12 G/ de )5G

"spa!io en Dis!o

•

Gni'o de 32 /F

Deian @ Tipo de Instalación

RAM (mínimo)

RAM (recomendado)

Disco Duro

Sin escritorio

12( GF

12 GF

2 /F

on escritorio

2& GF

1 /F

14 /F


Solución elegida #espuKs del estudio realiCado de las varias opciones posibles para este proyecto7 +e decidido optar por9

utenti!a!i%n de .suarios

)5#IBS

;esti%n de .suarios del /istema

5ctive #irectory

'ipo de :8uina irtual

G6quina Qirtual

/istema perati$o

A01 Plan de traa3o Se'ana

Larea

2141

Introducción

2(141

Objetivos y requisitos del proyecto

4141

Estudio previo

12141

Estado 5ctual

1141

Soluciones existentes

2&141

Estableci'iento plan de trabajo

42111

#ise$o general y detallado

4111

I'plantación

1&111

I'plantación

23111

)ecursos

34111

onclusiones

4%121

Fibliograa y 5nexos

,01 Di)eBo 5.1.- Diseño general

"ara que la conexión a Internet se realice con Kxito debe'os de9 1. El cliente cliente se autent autenticar6 icar6 con un usuar usuario io y contrase$ contrase$aa 2. #ic+o #ic+o usuario usuario y contrase$ contrase$aa debe de estar estar al'acenad al'acenadoo en el 5# dentro dentro del grupo grupo al que le +aya'os +aya'os dado dado acceso acceso para la conexión 3. Bna veC veC introducido introducido los los datos datos de acceso7 acceso7 el servid servidor or )5#IBS )5#IBS co'probar6 co'probar6 si si son correcto correctoss !. Si lo son7 nos nos dar6 una direcc dirección ión I"7 '6sca '6scara ra de red7 y otros datos datos '6s para para poder poder tener tener acceso acceso a la red y navegar correcta'ente IES /ran apit6n -- . 5rcos de la 0rontera7 S8 -- 1!41! órdoba -- %-3%%14 +ttp9,,,.iesgrancapitan.org : +ttp9,,,.iesgrancapitan.orgblog4! +ttp9,,,.iesgrancapitan.org +ttp9,,,.iesgrancapitan.orgblog4! -- inor'atica;iesgrancapitan.org

1. /er$idor DI./& Estar6 alojado en una GQ en nuestro servidor =>piter. ?a cual7 dispondr6 de una tarjeta de red en 'odo puente y cuya I" ser6 la 12.1&(.12.14 para poder tener acceso a Internet

2< 9unto unto de !!e !!esso& Se +a creado una red

5.2.- Diseño detallado

,020+01 ard?are del Ser4idor :4irtualizado= •

Bna tarjeta de )ed en 'odo puente

•

Intel "entiu' ! "B 3724/*C

•

17/F )5G

•

1 disco duro de !4/F

,020201 Punto de !cce)o •

"unto de acceso para la conexión
onnection 8U <5"14

◦

o'patible con los est6ndares est6ndares IEEE (42.11g7 IEEE (42.11b7 IEEE (42.11n

◦

Soporta velocidades de 14(!!(3&2!1(12&Gbps 4 11.21Gbps. R +asta 14 Gbps en ,ireless

◦

Soporta seguridad
◦

Soporta <"5<"52 y <"5-"SJ<"52-"SJ con servidor )adius integrado

◦

Soporta <"S @
◦

Servidor de #*" server7 soportando dyna'ic I" address

◦

Soporta iltrado de direcciones G5.

◦

Soporta '>ltiples 'odos de operación@5ccess "oint7 <"S7 lient7 )epeater universal7 "oint to "oint7 "oint to Gulti-pointA

◦

Soporta L"I"7 #*"

◦

Soporta ocultación de SSI# y +asta ! grupos de SSI# dierentes

◦

Soporta actualiCación de ir',are

◦

Soporta coniguración
•

a'biar el SSI# con el no'bre que desee'os

•

Bsar el canal 11 para una 'enor intererencia

•

Bsar contrase$a tipo <"52@5ESA

•

5$adir secreto co'partido

,0206 >indo?) Ser4er 2**@ Enterpri)e E nterpri)e •

Instalación y coniguración de los servicios9


.01 Implantación 1. Insta Instalac lación ión y con conigu igurac ración ión del del "unto "unto de 5cceso 5cceso

2. Instalac Instalación ión y conigura coniguración ción de de piter =>piter - Instalación del servicio de acceso y directivas de redes y el Servicio de certiicados de 5ctive #irectory


En 5#7 crea'os una OB y un /rupo para los usuarios a los que desee'os dar acceso.

- oniguración de los nuevos clientes )5#IBS y conexiones cableadas e inal6'bricas seguras IEEE (42.1


#espuKs de instalar todos los servicios7 debe'os de crear los certiicados para que el servidor y el cliente pueda co'unicarse. "ara ello nos va'os a e(ecutar e introduci'os mmc para abrir una consola de la Entidad de ertiicación.

–

ertiicado


R pasa'os a la co'probación...


01 "ecur)o) 7.1.- Herramientas H erramientas hardware hardware –

Bn equipo servidor @en nuestro caso tene'os la GQ en =>piterA

–

Bn "unto de 5cceso @5"A

–

able de red

7.2.- Herramientas sotware –

7.3.- !ersonal "ara la consecución de dic+o proyecto sólo ser6 necesario a un e'pleado7 Ganuel GonCón "KreC

7.".- !resu#uesto –

?icencia
–

"unto de 5cceso onnection <5"-14 347&1X

–

able de red )=! 5L de 17' 27X

–

Equipo Servidor @pulsa aqu aqu para para '6s caractersticasA 23X

–

#isco #uro @pulsa aqu aqu para para '6s caractersticasA caractersticasA &&7%X

''>& ?6@,=5A


@01 Conclu)ione) $.1.- %rado de consecución consecución de o&'eti(os •

)ed
•

/estión de usuarios del siste'a en una '6quina virtual en =>piter @LOL5?GE8LE LE)GI85#OA

•

Soporte para clientes
$.2.- !ro&lemas encontrados El principal proble'a encontrado +a sido relacionado con los certiicados. Ra que7 la versión de
$.3.- )uturas me'oras Bna posible 'ejora sera la instalación de la directiva de Jerberos7 ya que se a$adira otro nivel '6s de seguridad a la conexión de red.

01 "eferencia) - iliografFa +ttps9es.,iHipedia.org,iHiJerberos +ttps9es.,iHipedia.org,iHi)5#IBS +ttps9es.,iHipedia.org,iHiL55SY2F +ttp9social.tec+net.'icrosot.co',iHicontentsa +ttp9social.tec+net.'icrosot.co', iHicontentsarticles1%1&!.ventajas-y rticles1%1&!.ventajas-y-desventajas-lepide-ac -desventajas-lepide-active-directory-'ana tive-directory-'anagerger part-2-es-es.aspxx part-2-es-es.asp +ttps9es.,iHipedia.org,iHi5ctiveZ#irectory +ttps9es.,iHipedia.org,iHi"rotocoloZ?igeroZdeZ5ccesoZaZ#irectorios +ttp9arc+ive.do,nload.red+at.co'pubred+atlinu +ttp9arc+ive.do,n load.red+at.co'pubred+atlinux%.4tcdoc)*-#OSr+l x%.4tcdoc)*-#OSr+l-rg-es-%.4s1-ldap-procon.+t' -rg-es-%.4s1-ldap-procon.+t'll +ttps9+ope'edia.es-ventajas-ire, +ttps9+ope'edia .es-ventajas-ire,all-psense all-psense +ttps9es.,iHipedia.org,iHi"Sense

+*01 !neo) Ganual del punto de acceso @+ttp9connectionnc.co',ebindex.p+p[idZproductP32!UcontrollerPproduct @ +ttp9connectionnc.co',ebindex.p+p[idZproductP32!UcontrollerPproductAA


Servidor RADIUS

Recommend Documents