21/06/2013
Leonardo Bernal Bueno leobernal91@gmail.com
ndice de contenido
1. Glosario............................................................................................................................................4
2. Introduccin......................................................................................................................................4
3. Objetivos...........................................................................................................................................5
Infraestructura..................................................................................................................................5
4. Mtodos de Autenticacin................................................................................................................6
PEAP................................................................................................................................................6
EAP-TTLS.......................................................................................................................................6
EAP-TLS.........................................................................................................................................7
LEAP...............................................................................................................................................7
EAP-FAST.......................................................................................................................................7
Tabla Comparativa...........................................................................................................................7
Mtodo de autenticacin elegido.....................................................................................................8
5. Protocolos de autenticacin..............................................................................................................8
PAP..................................................................................................................................................9
CHAP...............................................................................................................................................9
MSCHAP / MSCHAPv2..................................................................................................................9
Protocolo de autenticacin elegido................................................................................................10
5. Software usado...............................................................................................................................10
6. Hardware usado..............................................................................................................................11
7. Requisitos del sistema.....................................................................................................................11
8. Instalacin de FreeRadius...............................................................................................................12
Certificados....................................................................................................................................12
9. Configuracin de freeradius...........................................................................................................13
radiusd.conf....................................................................................................................................13
sites-available.................................................................................................................................15
Servidor virtual: iesgn....................................................................................................................15
eap.conf..........................................................................................................................................17
ldap.................................................................................................................................................19
users...............................................................................................................................................21
clients.conf.....................................................................................................................................22
10. Arranque de freeradius.................................................................................................................22
21 Junio 2013
Pag 2/45
21 Junio 2013
Pag 3/45
1. Glosario
A continuacin se citan algunas referencias de introduccin que son consideradas bsicas para
entender el mbito y alcance de este documento.
2. Introduccin
Una de las opciones ms seguras que permite controlar la autenticacin de usuarios se puede
realizar mediante la configuracin de un servidor Radius. Radius o Remote Authentication Dial-In
User Server, es un protocolo de autenticacin para aplicaciones de acceso a la red o movilidad IP.
Podemos decir que ms que un protocolo de autenticacin, es un protocolo AAA
(Authentication, Authorization, Administration).
Actualmente la red inalmbrica de las aulas de informtica del IES Gonzalo Nazareno usan como
mtodo de autenticacin WPA/WPA2-PSK con una clave compartida.
Esta configuracin no es la ms adecuada, teniendo en cuenta que es relativamente fcil que un
usuario ilcito consiga dichas credenciales usando diversos mtodos, vulnerando as nuestra red.
En este documento se detallar de forma explcita la configuracin e implantacin de WPA2Enterprise, FreeRadius, OpenLDAP usando como mtodo de autenticacin EAP-TTLS/PAP sobre
Debian Wheezy.
De esta forma aprovecharemos nuestro servidor de usuarios centralizados para conectarnos a la red,
aplicando as otro nivel de seguridad.
21 Junio 2013
Pag 4/45
3. Objetivos
Montar una infraestructura de autenticacin de redes inalmbricas basada en servidores Radius
(autenticacin) y servidores Ldap (autorizacin). Esto quiere decir que nuestros usuarios se
conectarn a la red wifi usando su nombre de usuario y contrasea con el que estn dados de alta en
el servidor Ldap del centro.
Objetivos a cumplir:
Infraestructura
A continuacin, la infraestructura propuesta para la red inalmbrica del centro.
[1] Se redactar un documento con la configuracin desde clientes Windows, Linux, Android y Iphone que
estar disponible para todos los alumnos del centro.
21 Junio 2013
Pag 5/45
4. Mtodos de Autenticacin
Existen diferentes tipos de autenticacin en un servidor Radius, algunos son utilizados con mayor
frecuencia principalmente por su suporte en plataformas Windows. En concreto los mecanismos de
autenticacin ms conocidos y con los que normalmente se suele trabajar cuando se configura un
servidor Radius son:
PEAP
EAP-TTLS
EAP-TLS
LEAP
EAP-FAST
EAP-TTLS
Se trata de un mecanismo muy robusto que permite que las comunicaciones se realicen en un tnel
cifrado de comunicaciones y obliga a que el servidor se autentique con un certificado y
opcionalmente permite el uso de certificados en el lado del cliente.
Se trata de una solucin que no se encuentra tan extendida como PEAP con EAP-MSCHAP-V2
debido a que no cuenta con soporte nativo para plataformas Windows.
21 Junio 2013
Pag 6/45
EAP-TLS
Es un mecanismo de autenticacin muy similar al EAP-TTLS sin embargo tiene una diferencia que
le hace ser, probablemente el mecanismos de seguridad ms fuerte de todos los EAP que se
encuentran disponibles. Esta diferencia es que EAP-TLS tiene como requerimiento
OBLIGATORIO que tanto el cliente como el servidor utilicen certificados para realizar el proceso
de establecimiento del tnel cifrado y posterior autenticacin . Se trata del mecanismos ms
robusto que actualmente puede establecerse sobre un servidor Radius, no obstante tiene la dificultad
de que en entornos con un nmero de clientes medio, la distribucin de los certificados personales
puede ser un proceso bastante delicado.
LEAP
LEAP (Lightweight EAP) propiedad de Cisco . En este caso se utilizan tambin las contraseas
como mtodo de autenticacin en el servidor. Cuando se emplea LEAP las credenciales de usuario
(nombre de usuario y contrasea) se envan sin cifrar, adems requiere de una infraestructura Cisco
para poder ser utilizado.
Por lo tanto, esta autenticacin aunque ligera, previene de ataques Man In The Middle y de
secuestro de sesin, pero sigue manteniendo riesgos de exposicin de la identidad y de ataque de
diccionarios.
EAP-FAST
EAP-FAST es una propuesta de protocolo de Cisco System como reemplazo de LEAP. El protocolo
fue diseado para hacer frente a las debilidades de LEAP preservando al mismo tiempo la
aplicacin ligera. El uso de certificados es opcional en la parte del servidor y no soportado en el
cliente. EAP-FAST utiliza unas credenciales de acceso protegidas (PAC) para establecer un tnel
autenticado entre cliente-servidor.
Tabla Comparativa
Certificados en Servidor
Certificados en Clientes
Soporta LDAP
Compatibilidad Windows
PEAP
Obligatorio
Opcional
SI
SI
EAP-TTLS
Obligatorio
Opcional
SI
EAP-TLS
Obligatorio
Obligatorio
SI
LEAP
EAP-FAST
Opcional
SI
Slo en Intel
* LEAP slo soporta conexiones con LDAP si sus clientes se autentican usando el protocolo MS-CHAP.
Adems como dato importante, las contraseas debern ser almacenadas en LDAP en texto plano debido a
que las credenciales de usuario se envan sin cifrar.
21 Junio 2013
Pag 7/45
Todo el trfico circula totalmente cifrado, de manera que nos proporciona un sistema seguro
de acceso a la red.
A diferencia de otros tipos de EAP, tiene la capacidad de soportar una amplia variedad de
mtodos de autenticacin interna, PEAP slo puede autenticar a los clientes que utilizan el
protocolo de autenticacin por desafo mutuo de Microsoft conocida como MS-CHAPv2.
Por otro lado, excepto Windows 8, las dems versiones de Microsoft no dan soporte nativo a
EAP-TTLS/PAP, para ello, la solucin que se plantea (igual que ocurre en la red Eduroam) es la
instalacin del cliente SecureW2. Con una sencilla configuracin, todos los equipos Windows
podrn conectarse sin problema alguno.
EAP-TTLS no es vulnerable actualmente a ataques MITM ni de diccionarios.
5. Protocolos de autenticacin
Independientemente de los mtodos de autenticacin que hemos visto en el apartado anterior, para
la comunicacin interna de los servicios podemos usar diferentes protocolos de autenticacin.
A continuacin vamos a estudiar los protocolos soportados por EAP-TTLS:
PAP
CHAP
MSCHAP
MSCHAPv2
21 Junio 2013
Pag 8/45
PAP
Password Authentication Protocol o PAP es un protocolo simple de autenticacin para autenticar un
usuario contra un servidor de acceso remoto o contra un proveedor de servicios de internet. PAP es
un subprotocolo usado por la autenticacin del protocolo PPP (Point to Point Protocol), validando a
un usuario que accede a ciertos recursos. PAP transmite contraseas o passwords en texto plano.
CHAP
CHAP o protocolo de autenticacin por desafo mutuo, utiliza un algoritmo (MD5) para calcular un
valor que slo conocen el sistema de autenticacin y el dispositivo remoto, conocido como secreto
compartido. Con CHAP, el nombre de usuario y la contrasea siempre se envan cifrados.
Aunque la comunicacin est cifrada, actualmente el algoritmo MD5 est roto.
MSCHAP / MSCHAPv2
MS-CHAP, (Microsoft Challenge Handshake Authentication Protocol.).
Es un protocolo de autenticacin de contraseas de cifrado por desafo mutuo, de Microsoft, el cual
es irreversible.
Bsicamente la diferencia entre ambos protocolos es que la versin 2 de MSCHAP, Microsoft
realiz mejoras importantes de seguridad. Proporciona autenticacin mutua, claves de cifrado de
datos iniciales ms fuertes.
Actualmente, ambos protocolos son vulnerables.
Clear-text
NTLM
(ntlm_auth)
MD5 hash
Salted MD5
hash
SHA1 hash
Salted SHA1
hash
PAP
CHAP
MSCHAP
MSCHAPv2
21 Junio 2013
Pag 9/45
5. Software usado
A continuacin se detallan los principales nombres, especificaciones y versiones del software que se
usar:
[2] Para conectarnos a la red inalmbrica del centro desde clientes Windows, necesitamos el programa
SecureW2 para autenticarnos usando EAP-TTLS (slo en Windows. GNU/Linux, android y iPhone los
incorporan de forma nativa).
21 Junio 2013
Pag 10/45
6. Hardware usado
Los puntos de acceso que utilicemos, como requisito mnimo debern tener soporte para 802.1X
para que puedan configurarse como clientes de un servidor Radius.
Al ser tecnologa POE, incorporamos alimentacin elctrica directamente por la conexin Ethernet
lo que simplifica la instalacin y elimina la necesidad de un cableado adicional.
udp
udp
udp
udp
-----
*
*
*
*
*
*
*
*
172.22.0.0/16
192.168.2.2
172.22.0.0/16
192.168.2.2
192.168.2.2
172.22.0.0/16
192.168.2.2
172.22.0.0/16
udp dpt:1812
udp spt:1812
udp dpt:1813
udp spt:1813
Pag 11/45
8. Instalacin de FreeRadius
Podemos instalar freeradius desde cdigo fuente (http://freeradius.org) o desde repositorios siendo
ms sencillo y rpido.
Los paquetes necesarios son freeradius y freeradius-ldap para realizar conexiones con nuestro
servidor LDAP.
# aptitude update
# aptitude install freeradius freeradius-ldap
Certificados
El mtodo de autenticacin EAP-TTLS no nos obliga a crear una autoridad de certificacin, aunque
s vamos a necesitar tener un certificado de servidor. Para disponer de dicho certificado tenemos
varias opciones:
1. Usar el certificado que se crea automticamente al instalar freeradius.
2. Crear un certificado autofirmado.
3. Crear nuestra propia autoridad de certificacin, con la que generamos dicho certificado.
Para nuestra infraestructura he decidido utilizar los certificados de freeradius. A efectos finales
todas las opciones son iguales.
Para usar los certificados en otras aplicaciones, la instalacin de freeradius en Debian almacena los
certificados en /etc/ssl y crea enlaces a los mismo en el directorio /etc/freeradius/certs.
Vamos a restringir los permisos en slo lectura para el propietario y grupo.
# chown root:freerad /etc/freeradius/certs/dh
# chown root:freerad /etc/ssl/private/ssl-cert-snakeoil.key
# chown root:freerad /etc/ssl/certs/ssl-cert-snakeoil.pem
# chown root:freerad /etc/ssl/certs/ca-certificates.crt
# chmod 440 /etc/freeradius/certs/dh
# chmod 440 /etc/ssl/certs/ca-certificates.crt
# chmod 440 /etc/ssl/certs/ssl-cert-snakeoil.pem
# chmod 440 /etc/ssl/private/ssl-cert-snakeoil.key
21 Junio 2013
Pag 12/45
# ls -l /etc/freeradius/certs/
lrwxrwxrwx 1 root freerad 34 jun 12 16:32 ca.pem -> /etc/ssl/certs/ca-certificates.crt
-r--r-----
9. Configuracin de freeradius
Actualmente en versiones 2.x la configuracin se almacena en /etc/freeradius. Una cuestin a
comentar es que freeradius en sus ltimas versiones es capaz de leer algunos ficheros de
configuracin en tiempo real, como por ejemplo el fichero clients.conf. En cualquier caso para que
freeradius vuelva a leer los ficheros de configuracin cuando hayamos hecho un cambio, no
tenemos ms que hacer un:
# /etc/ini.t.d/freeradius reload
radiusd.conf
Este es el fichero principal de la configuracin de radius. Los valores a tener un cuenta son los
siguientes. El resto de parmetros se mantendrn por defecto.
# Log authentication requests to the log file.
#
# allowed values: {no, yes}
#
auth = yes
21 Junio 2013
Pag 13/45
Pag 14/45
$INCLUDE sql.conf
$INCLUDE sql/mysql/counter.conf
$INCLUDE sqlippool.conf
sites-available
A partir de la versin 2 de freeradius es posible crear diferentes servidores virtuales, de una forma
muy similar a como se crean apache.
En al directorio sites-available se encuentran los archivos de configuracin de cada uno de los
servidores virtuales que vayamos a crear. Y por supuesto, cada uno de estos servidores podra tener
una configuracin diferente.
En este directorio existe un fichero que define un servidor preconfigurado: el fichero default.
Creamos un enlace simblico en /etc/freeradius/sites-enabled.
Nuestro servidor virtual se llamar iesgn.
radius:/etc/freeradius/sites-available# cp default iesgn
radius:/etc/freeradius/sites-enabled# ln -s ../sites-available/iesgn
Servidor virtual: iesgn
Una vez creado el servidor virtual, como hemos dicho, pasamos a modificar su fichero de
configuracin para adaptarlo a nuestras necesidades. Nuestro servidor virtual se llama iesgn.
authorize {
preprocess
auth_log
suffix
eap {
ok = return
}
files
ldap
21 Junio 2013
Pag 15/45
checkval
expiration
logintime
}
authenticate {
Auth-Type LDAP {
ldap
}
# Allow EAP authentication.
eap
}
preacct {
preprocess
acct_unique
suffix
files
}
accounting {
detail
unix
radutmp
attr_filter.accounting_response
}
session {
radutmp
}
post-auth {
exec
Post-Auth-Type REJECT {
# log failed authentications in SQL, too.
attr_filter.access_reject
}
}
21 Junio 2013
Pag 16/45
pre-proxy {
}
post-proxy {
}
eap.conf
Este es uno de los ficheros ms importantes, donde vamos a definir el tipo de autenticacin EAPTTLS. Indicaremos los certificados de servidor que se usarn para establecer la comunicacin
radius.
El directorio confdir es /etc/freeradius
eap {
default_eap_type = ttls
timer_expire
= 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 4096
#
md5 {
leap {
gtc {
#
#
auth_type = PA P
}
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = whatever
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.pem
CA_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
21 Junio 2013
Pag 17/45
CA_path = ${cadir}
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
ecdh_curve = "prime256v1"
cache {
enable = no
lifetime = 24 # hours
max_entries = 255
}
verify {
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
ttls {
default_eap_type = tls
copy_request_to_tunnel = no
use_tunneled_reply = no
include_length = yes
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
mschapv2 {
21 Junio 2013
Pag 18/45
ldap
El fichero ldap nos permite configurar el acceso de freeradius con el servidor ldap del centro. Se
encuentra dentro del directorio /etc/freeradius/modules/
Tenemos que configurar nuestro servidor Radius para que se conecte a ldap usando conexiones
seguras cifrando los datos con SSL por el puerto 636 tcp.
Daremos de alta un usuario en openLdap con permisos de slo lectura para realizar las consultas
apropiadas. Nombre de usuario radius contrasea root$root.
Vamos a utilizar conexiones SSL seguras a ldap, pero no vamos a hacer uso de tls. En el apartado tls
de este fichero tendremos que indicar: start_tls = no.
Por otra parte, para usar ldaps tendremos que copiar la clave pblica del servidor ldap a un lugar
seguro de la mquina freeradius. El certificado se encontrar en /etc/ldap/ssl/ con permisos de slo
lectura para su propietario, es decir, para el usuario root.
# scp root@192.168.1.200:/etc/ldap/ssl/publica.pem /etc/ssl/.
# chown root:freerad /etc/ssl/publica.pem
# chmod 440 /etc/ssl/publica.pem
ldap {
port = "636"
server = "ldap.example.com"
identity = "cn=radius,dc=ldap,dc=example,dc=com"
password = "root$root"
basedn = "dc=ldap,dc=example,dc=com"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
#
base_filter = "(objectclass=radiusprofile)"
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
tls {
start_tls = no
cacertfile
= /etc/ldap/ssl/publica.pem
require_cert = "demand"
}
21 Junio 2013
Pag 19/45
dictionary_mapping = ${confdir}/ldap.attrmap
password_attribute = clearPassword
edir_account_policy_check = no
#
groupname_attribute = radiusGroupName
groupmembership_filter = "(dialupAccess=%u)
groupmembership_attribute = radiusGroupName
keepalive {
idle = 60
probes = 3
interval = 3
}
Adems voy a incluir la configuracin de freeradius para realizar autenticaciones contra LDAP sin
cifrar.
[...]
ldap {
port = "389"
server = "ldap.example.com"
identity = "cn=radius,dc=ldap,dc=example,dc=com"
password = root$root
basedn = "dc=ldap,dc=example,dc=com"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
#base_filter = "(objectclass=radiusprofile)"
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
tls {
start_tls = no
}
dictionary_mapping = ${confdir}/ldap.attrmap
21 Junio 2013
Pag 20/45
password_attribute = clearPassword
edir_account_policy_check = no
#
groupname_attribute = radiusGroupName
groupmembership_filter = "(dialupAccess=%u)
groupmembership_attribute = radiusGroupName
keepalive {
idle = 60
probes = 3
interval = 3
}
[...]
users
En el fichero /etc/freeradius/users especificamos las reglas de control de acceso, similar a los
ficheros ACL de Cisco.
Las entradas del fichero users son procesadas en orden desde el principio hasta el final del
archivo.
Si una entrada contiene el item Fall-Through = No, el procesamiento del fichero se detiene y
no se procesarn ms entradas.
Si la solicitud de acceso no coincide con ninguna de las entradas, la solicitud ser rechazada.
Adems podemos definir un control de horarios para que el servidor slo permita conexiones dentro
de esos rangos.
Considero que para nuestra infraestructura, este fichero es irrelevante, debido a que el encargado de
controlar el acceso a internet es el Proxy/cach. Todos los parmetros se mantendrn por defecto.
21 Junio 2013
Pag 21/45
clients.conf
En el fichero clients.conf definimos los clientes que van a tener acceso a nuestro servidor radius:
nuestros puntos de acceso.
Se configurarn las ip de los puntos de accesos de las aulas, un secreto compartido el cual
configuraremos en los puntos de acceso y un alias o nombre corto para identificar rpidamente cada
cliente.
client 172.22.100.11 {
secret = EsUnaClaveSecreta
shortname = ap2asir
}
client 172.22.100.13 {
secret = EsUnaClaveSecreta
shortname = ap2smr
}
Pag 22/45
Habr que definir la ip de cada servidor, el puerto por el que escucha peticiones (1812/udp) y una
clave compartida, pudiendo ser diferentes para cada servidor. Es recomendable usar como mnimo
una contrasea de 16 bits con maysculas y minsculas.
Cuando le llegue una peticin a nuestro punto de acceso, l intentar conectar con el servidor
primario, si ste no respondiera pasara la peticin al secundario. Si esto ocurriera, nuestro Access
Point registrar a nuestro servidor secundario como favorito y a partir de entonces todas las
peticiones seran redirigidas a l.
Para los usuarios todos estos cambios son irrelevantes.
La configuracin del Radius secundario es exactamente la misma que la del primario. A
continuacin vamos los dos servidores escuchando en modo debug.
21 Junio 2013
Pag 23/45
En el siguiente apartado veremos la configuracin de los puntos de accesos para que respondan en
alta disponibilidad.
21 Junio 2013
Pag 24/45
21 Junio 2013
Pag 25/45
Linux
sta configuracin es vlida para Debian y Ubuntu.
Vamos a conectarnos sin CA (ca.pem) teniendo en cuenta que veremos un mensaje avisndonos de
ello.
Seleccionamos la red (ASIR o SMR),
Wireless Security
Authentication
Tunneled TLS
CA certificate
(Ninguno)
Username
mi_usuario
Password
Contrasea
Debemos introducir el nombre de usuario y contrasea de LDAP (con los que accedemos a la
plataforma).
21 Junio 2013
Pag 26/45
Veremos un aviso, dicindonos que no estamos usando Autoridad Certificadora (CA). Como hemos
comentado, su uso no es obligatorio, pero si recomendable.
Pulsamos sobre Ignore y en pocos segundos estaremos conectados a nuestra red inalmbrica.
Wireless Security
Authentication
Tunneled TLS
CA certificate
ca.pem
Username
mi_usuario
Password
Contrasea
Debemos introducir el nombre de usuario y contrasea de LDAP (con los que accedemos a la
plataforma Moodle).
21 Junio 2013
Pag 27/45
Windows
Para conectase a la red inalmbrica de nuestro centro (igual que ocurre en redes como Eduroam)
necesitamos el programa SecureW2.
Esta configuracin es vlida para todas las versiones de Windows, excepto para Windows 8, el cual
ya incorpora autenticacin EAP-TTLS/PAP de forma nativa.
1. Lo primero ser descargar SecureW2 e instalarlo.
http://cdn.redeszone.net/down/soft/wifi/SecureW2_Windows7.zip
21 Junio 2013
Pag 28/45
21 Junio 2013
Pag 29/45
Una vez instalado nos pedir reiniciar el equipo. Lo reiniciamos y luego, nos vamos a Inicio/Panel
de Control y nos metemos en Centro de Redes y Recursos Compartidos.
21 Junio 2013
Pag 30/45
Nos aparecern las redes guardadas que tenemos, pulsamos en Agregar para agregar una nueva
conexin.
21 Junio 2013
Pag 31/45
21 Junio 2013
Pag 32/45
21 Junio 2013
Pag 33/45
21 Junio 2013
Pag 34/45
21 Junio 2013
Pag 35/45
Android
Android admite autenticacin EAP-TTLS/PAP de forma nativa. Para conectarnos a nuestra red, slo
tenemos que seleccionar el SSID (ASIR o SMR) y marcar las siguientes opciones, introduciendo
nuestro nombre de usuario y contrasea:
21 Junio 2013
Pag 36/45
21 Junio 2013
Pag 37/45
Iphone
Iphone admite autenticacin EAP-TTLS/PAP de forma nativa, pero tenemos que realizar la
configuracin desde nuestro Pc o Mac.
1. Lo primero ser descargar e instalar el software Utilizada de configuracin de iPhone en
nuestro equipo, a partir del siguiente enlace:
http://support.apple.com/kb/DL1466
2. Una vez instalado, conecte su iPhone/iPod a su Pc o Mac por cable y comprobamos que
sincroniza correctamente con la aplicacin que acabamos de instalar.
3. Su dispositivo aparecer reconocido en el men de la izquierda de la ventana de Utilidad de
configuracin de iPhone.
21 Junio 2013
Pag 38/45
21 Junio 2013
Pag 39/45
6. Ahora pulsamos sobre nuestro dispositivo y veremos el perfil que acabamos de crear (IESGN).
Pulsamos Instalar.
21 Junio 2013
Pag 40/45
8. Una vez instalado el perfil, seleccionamos el SSID (SMR en este caso) e introducimos nuestro
nombre de usuario y contrasea de LDAP.
21 Junio 2013
Pag 41/45
Podemos observar el tipo de autenticacin simple del protocolo LDAP, siendo la contrasea de
usuario root$root.
Ahora slo permitimos la comunicacin por el puerto 636/TCP, es decir, debemos hacer uso de
certificados de servidor para realizar autenticaciones.
21 Junio 2013
Pag 42/45
Como podemos ver, los datagramas son totalmente diferentes, la comunicacin se realiza por
LDAPS, identifica el certificado y cifra todas las credenciales Encrypted Handshake Messenger.
Ningn mensaje reflejar las contraseas en claro.
Por ltimo, comprobamos los mensajes del servidor Radius:
21 Junio 2013
Pag 43/45
15. Vulnerabilidades
1. Protocolos de autenticacin.
Podemos pensar que aunque se establezcan tneles cifrados entre el cliente y el servidor, si un
atacante pudiera romper dicho tnel, lo tendra bastante fcil, debido a que los protocolos usados
estn rotos. De ah a usarlos siempre acompaados de mtodos de autenticacin (TTLS).
Esto no son vulnerabilidades en s, sino debilidades criptogrficas de los protocolos, por tanto no
sern solucionadas con actualizaciones.
Ahora bien, antes de llegar a este punto, podemos romper un tnel cifrado con certificados de
servidor? Es poco probable, aunque considero que gran parte de esta responsabilidad recae sobre los
clientes, con ataques de ingeniera inversa, pudindoles engaar para confiar en autoridades
certificadoras desconocidas.
21 Junio 2013
Pag 44/45
21 Junio 2013
Pag 45/45