PTG-816 Delgado Suarez Manuel Alberto.pdf
Anuncio
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES “Aplicación del protocolo Radius en la creación de un esquema de acceso a la red y asignación Dinámica de permisos en Base a perfiles de usuario utilizando Herramientas Opensource para las Pymes de Guayaquil” TESIS DE GRADO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES AUTOR: Manuel Alberto Delgado Suarez TUTOR: Ing. Ángel Ochoa GUAYAQUIL – ECUADOR 2015 REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA FICHA DE REGISTRO DE TESIS TÍTULO “Aplicación del protocolo Radius en la creación de un esquema de acceso a la red y asignación Dinámica de permisos en Base a perfiles de usuario utilizando Herramientas Opensource para las Pymes de Guayaquil” REVISORES: INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ing. Christian Antón Ing. Mitchell Vásquez Ciencias Matemáticas y Físicas CARRERA: Ingeniería en sistemas computacionales FECHA DE PUBLICACIÓN: 29/12/2015 N° DE PÁGS.: 124 ÁREA TEMÁTICA: Redes y Telecomunicaciones PALABRAS CLAVES: Firewall, AAA, Radius, Diseño de redes, Seguridades, Vlans, Opensource. RESUMEN: Las redes de comunicación sin duda se han convertido en uno de los pilares fundamentales para hacer posible el intercambio de información en la sociedad, la implementación de las mismas está presente en casi todas las empresas desde Pymes hasta grandes empresas N° DE REGISTRO(en base de datos): N° DE CLASIFICACIÓN: Nº DIRECCIÓN URL (tesis en la web): ADJUNTO PDF X SI NO CONTACTO CON AUTOR: Teléfono: 0967246847 E-mail: [email protected] CONTACTO DE LA INSTITUCIÓN Nombre: Carrera Ing. Sistemas Computacionales Teléfono: 04-2307729 APROBACION DEL TUTOR En mi calidad de Tutor del trabajo de investigación, “Aplicación del protocolo Radius en la creación de un esquema de acceso a la red y asignación Dinámica de permisos en Base a perfiles de usuario utilizando Herramientas Opensource para las Pymes de Guayaquil” elaborado por el Sr. Manuel Alberto Delgado Suarez, egresado de la Carrera de Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas, me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes. Atentamente Ing. Ángel Ochoa F. TUTOR CERTIFICACIÓN DE GRAMATÓLOGA Quien suscribe el presente certificado, se permite informar que después de haber leído y revisado gramaticalmente el contenido de la tesis de grado de: Manuel Delgado Suarez. Cuyo tema es: “Aplicación del protocolo Radius en la creación de un esquema de acceso a la red y asignación Dinámica de permisos en Base a perfiles de usuario utilizando Herramientas Opensource para las Pymes de Guayaquil”. Certifico que es un trabajo de acuerdo a las normas morfológicas, sintácticas y simétricas vigentes. ATENTAMENTE, NOMBRE DEL GRAMATOLOGO # LICENCIA, M Sc. DEDICATORIA A mis padres por ser incondicionales, por inculcarme valores, por haberme dado el regalo más grande que es tener una familia con amor. AGRADECIMIENTO Agradezco a Dios por haberme brindado la oportunidad de prepararme académicamente, por permitirme conocer en el camino a personas que me han ayudado a crecer como persona y como profesional. Agradezco a mi esposa a mis padres y a mi hermana que son mi apoyo y mi razón de querer ser mejor cada día. TRIBUNAL DE GRADO Ing. Eduardo Santos Baquerizo,M.Sc. DECANO DE LA FACULTAD CIENCIAS MATEMATICAS Y FISICAS Ing. Inelda Martillo Alcívar, M.Sc. DIRECTORA CISC, CIN Ing. Jessica Yépez Holguín, M.Sc. VOCAL PRINCIPAL Ing. Nelly Valencia Martínez, M.Sc. VOCAL PRINCIPAL Ing. Ángel Ochoa Flores. DIRECTOR DE TESIS Ab. Juan Chávez Atocha. SECRETARIO DECLARACIÓN EXPRESA “La responsabilidad del contenido de esta Tesis de Grado, me corresponden exclusivamente; y el patrimonio intelectual de la misma a la UNIVERSIDAD DE GUAYAQUIL” Manuel Alberto Delgado Suarez . UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES APLICACIÓN DEL PROTOCOLO RADIUS EN LA CREACIÓN DE UN ESQUEMA DE ACCESO A LA RED Y ASIGNACIÓN DINÁMICA DE PERMISOS EN BASE A PERFILES DE USUARIO UTILIZANDO HERRAMIENTAS OPENSOURCE PARA LAS PYMES DE GUAYAQUIL Tesis de Grado que se presenta como requisito para optar por el título de INGENIERO en Sistemas Computacionales Autor: Manuel Delgado Suarez C.I 0926804618 Tutor: Ing. Ángel Ochoa F. Guayaquil, Marzo de 2015 II CERTIFICADO DE ACEPTACIÓN DEL TUTOR En mi calidad de Tutor de Tesis de Grado, nombrado por el Consejo Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil. CERTIFICO: Que he analizado el Proyecto de Grado presentado por el/la estudiante Manuel Alberto Delgado Suarez, como requisito previo para optar por el título de Ingeniero en sistemas computacionales cuyo problema es: APLICACIÓN DEL PROTOCOLO RADIUS EN LA CREACIÓN DE UN ESQUEMA DE ACCESO A LA RED Y ASIGNACIÓN DINÁMICA DE PERMISOS EN BASE A PERFILES DE USUARIO UTILIZANDO HERRAMIENTAS OPENSOURCE PARA LAS PYMES DE GUAYAQUIL. Considero aprobado el trabajo en su totalidad. Presentado por: Delgado Suarez Manuel Alberto C.I. 0926804618 Tutor: Ing. Ángel Ochoa Guayaquil, Marzo de 2015 III UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES Autorización para Publicación de Tesis en Formato Digital 1. Identificación de la Tesis Nombre Alumno: Manuel Alberto Delgado Suarez Dirección: Cdla Simón Bolívar Mz 2 Villa 144 Teléfono: 0967246847 E-mail: [email protected] Facultad: Ciencias Matemáticas y Físicas Carrera: Ingeniería en Sistemas computacionales Título al que opta: Ingeniero en Sistemas Computacionales Profesor guía: Ing. Ángel Ochoa F. Título de la Tesis: Aplicación del protocolo Radius en la creación de un esquema de acceso a la red y asignación Dinámica de permisos en Base a perfiles de usuario utilizando Herramientas Opensource para las Pymes de Guayaquil. Temas Tesis: Redes, Categorización, Gestión. Seguridad Perimetral, Software Libre, 2. Autorización de Publicación de Versión Electrónica de la Tesis A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de esta tesis. Publicación electrónica: Inmediata X Después de 1 año Firma Alumno: 3. Forma de envío: El texto de la Tesis debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF. DVDROM CDROM X IV ÍNDICE GENERAL CAPÍTULO I: ............................................................................................................... 4 EL PROBLEMA ........................................................................................................... 4 PLANTEAMIENTO DEL PROBLEMA....................................................................... 4 Ubicación del problema en un contexto ................................................................. 4 Situación conflicto nudos críticos ........................................................................... 5 Causas y consecuencias del problema .................................................................... 6 Delimitación del problema ...................................................................................... 8 Formulación del problema ...................................................................................... 8 Evaluación del problema ........................................................................................ 8 OBJETIVOS DE LA INVESTIGACIÓN ............................................................ 11 OBJETIVO GENERAL........................................................................................ 11 OBJETIVOS ESPECÍFICOS ............................................................................... 12 ALCANCES DEL PROBLEMA .......................................................................... 12 Justificación e importancia de la investigación .................................................... 15 Utilidad práctica de la investigación .................................................................... 15 Beneficios ............................................................................................................... 16 CAPÍTULO II: ............................................................................................................ 17 MARCO TEÓRICO.................................................................................................... 17 ANTECEDENTES DEL ESTUDIO ..................................................................... 17 FUNDAMENTACIÓN TEÓRICA ....................................................................... 18 Introducción .......................................................................................................... 18 Seguridad en Redes de Información ..................................................................... 19 Ataques y vulnerabilidades .................................................................................. 20 Aspectos básicos de la seguridad de la información ............................................. 26 Autenticación, Autorización y Contabilidad de usuarios (AAA) .......................... 28 Métodos de Autenticación. .................................................................................. 33 Autenticación basada en contraseñas (passwords)................................................ 35 Firmas digitales ................................................................................................... 36 Certificados digitales ........................................................................................... 37 Protocolo de autenticación por contraseña (PAP)................................................. 40 Protocolo de autenticación por reto (CHAP) ........................................................ 41 Sistemas biométricos ........................................................................................... 42 Comparación de los métodos de Autenticación estudiados................................... 44 Control de Ancho de Banda .................................................................................. 46 Primero en entrar - primero en salir (FIFO) ......................................................... 47 Token Bucket Filter (TBF) .................................................................................. 48 Stochastic Fairness Queueing (SFQ).................................................................... 49 Disciplina de Colas Prio ...................................................................................... 50 Disciplina de Colas HTB (Hierarchical Token Bucket)........................................ 50 Asignación Dinámica de Permisos ........................................................................ 51 Protocolos de comunicaciones y su implementación ............................................ 51 V Protocolo RADIUS ............................................................................................. 55 Operación del protocolo RADIUS ....................................................................... 59 Interacción de RADIUS con PAP y CHAP .......................................................... 63 Formato del paquete RADIUS ............................................................................. 64 Protocolo IPSec ................................................................................................... 67 Protocolo HTTPS ................................................................................................ 71 Protocolo SSH..................................................................................................... 74 Estándar 802.1X .................................................................................................. 78 FUNDAMENTACIÓN LEGAL ........................................................................... 82 HIPÓTESIS ........................................................................................................... 83 VARIABLES DE LA INVESTIGACIÓN ............................................................ 84 DEFINICIONES CONCEPTUALES ................................................................... 85 CAPÍTULO III: .......................................................................................................... 87 METODOLOGÍA ....................................................................................................... 87 DISEÑO DE LA INVESTIGACIÓN.................................................................... 87 Modalidad de la Investigación .............................................................................. 87 Tipo de investigación............................................................................................. 87 POBLACIÓN Y MUESTRA ................................................................................ 88 Población ............................................................................................................ 88 Muestra ............................................................................................................... 88 OPERACIONALIZACIÓN DE VARIABLES .................................................... 90 Variables independientes: .................................................................................... 90 Variables dependientes: ....................................................................................... 90 Instrumentos de Recolección de Datos ................................................................. 92 Técnicas .............................................................................................................. 92 Instrumentos........................................................................................................ 92 PROCESAMIENTO Y ANÁLISIS ...................................................................... 97 Análisis e Interpretación de Datos........................................................................ 97 Resultado de las encuestas ................................................................................ 98 CRITERIOS PARA LA ELABORACIÓN DE LA PROPUESTA ................... 107 CRITERIOS PARA LA VALIDACIÓN DE LA PROPUESTA ....................... 112 CAPÍTULO IV: ........................................................................................................ 113 MARCO ADMINISTRATIVO ................................................................................. 113 Cronograma de Actividades .................................................................................. 113 Detalle de Presupuesto ........................................................................................ 117 CAPÍTULO V: ......................................................................................................... 118 CONCLUSIONES Y RECOMENDACIONES ......................................................... 118 Conclusiones ........................................................................................................ 118 Recomendaciones ................................................................................................ 121 Bibliografía .......................................................................................................... 122 VI ABREVIATURAS PYME DMZ LAN VLANs TI WAN TICs QoS ISP VPN TCP AAA IP IPX TELNET RADIUS TACACS PAP CHAP PKI ITU-T PPP ASCII RFC MD5 PIN Bps FIFO ToS TBF SFQ HTB CBQ OSI IPsec HTTP HTTPS SSH IETF IANA UDP EAP PAM LDAP NAS PPTP L2TP Pequeña y mediana empresa Zona Desmilitarizada Red de área local Red de área local virtual Tecnologías de Información Red de área amplia Tecnologías de Informática y Comunicaciones Calidad de servicio Proveedor de servicios de internet Red privada virtual Protocolo de Control de Transmisión Autenticación, autorización y contabilización Protocolo de Internet Intercambio de paquetes interred Red de telecomunicación Servicio de autenticación remota de usuario Sistema de control de acceso desde terminales Protocolo de autenticación por contraseña Protocolo de autenticación por reto Infraestructura de clave pública Unión internacional de telecomunicación Protocolo Punto a Punto Código Estándar Estadounidense para el Intercambio de Información Petición De Comentarios Algoritmo de Resumen del Mensaje 5 Número de identificación personal Bits por segundo Primero en entrar - primero en salir Tipo de servicio Tiempo entre fallos Encolamiento imparcial estocástico Contenedor de señal jerárquica Encolamiento Basado sobre Clases Modelo de interconexión de sistemas abiertos IP seguro Protocolo de transferencia de híper texto Protocolo de transferencia de híper texto seguro intérprete de órdenes segura Grupo de Trabajo de Ingeniería de Internet Autoridad de Asignación de Números de Internet Protocolo de datagrama de usuario Protocolo de autenticación extensible Módulo de autenticación insertable Protocolo Ligero/Simplificado de Acceso a Directorios Servidor de acceso a la red Protocolo de túnel punto a punto Protocolo de túnel de capa 2 VII ISAKMP PSK ESP IKE SSL TLS Rcp Rlogin Rsh MAC WAP CNUDMI OMPI V.I. V.D. Protocolo de asociación de clave y administración de seguridad de internet Clave pre compartida Carga de seguridad encapsulada Protocolo para Intercambio de Claves en Internet Seguridad de la capa de transporte Seguridad en la Capa de Transporte Copia remota apertura de sesión remota administración remota por consola Control de acceso al medio Punto de acceso inalámbrico Comisión de las Naciones Unidas para el Derecho Mercantil Internacional Organización Mundial de la Propiedad Intelectual Variable Independiente Variable dependiente VIII ÍNDICE DE CUADROS Pág. CUADRO 1 Comparación de las principales características de diferentes métodos de autenticación…………………………………………………………………………..46 CUADRO 2 Matriz de Operacionalización de variables………………………..…………………..92 CUADRO 3 Resultados Pregunta 1 de la encuesta (Administradores de red)……………………...99 CUADRO 4 Resultados Pregunta 2 de la encuesta (Administradores de red)……………………..100 CUADRO 5 Resultados Pregunta 3 de la encuesta (Administradores de red)……………………..101 CUADRO 6 Resultados Pregunta 4 de la encuesta (Administradores de red)……………………..102 CUADRO 7 Resultados Pregunta 5 de la encuesta (Administradores de red)……………………..103 CUADRO 8 Resultados Pregunta 6 de la encuesta (Administradores de red)……………………..104 CUADRO 9 Resultados Pregunta 7 de la encuesta (Administradores de red)……………………..105 CUADRO 10 Resultados Pregunta 8 de la encuesta (Administradores de red)……………………..106 CUADRO 11 Cronograma de Actividades…………………………………...……………………..114 CUADRO 12 Detalle de Presupuesto………………………………………...……………………...118 IX ÍNDICE DE GRÁFICOS Pág. GRÁFICO 1 Pregunta 1……………………………………………………….…………………...99 GRÁFICO 2 Pregunta 2……………………………………………………….………………….100 GRÁFICO 3 Pregunta 3……………………………………………………….………………….101 GRÁFICO 4 Pregunta 4……………………………………………………….………………….102 GRÁFICO 5 Pregunta 5……………………………………………………….………………….103 GRÁFICO 6 Pregunta 6……………………………………………………….………………….104 GRÁFICO 7 Pregunta 7……………………………………………………….………………….105 GRÁFICO 8 Pregunta 8……………………………………………………….………………….106 GRÁFICO 9 Lógica de diseño para la implementación del proyecto……….……………….…….111 GRÁFICO 10 Diagrama de conexión de accesos Inter VLAN.……….………………..…….…….112 GRÁFICO 11 Diagrama de Gantt…………………………….……….………………..…….……..117 X UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES APLICACIÓN DEL PROTOCOLO RADIUS EN LA CREACIÓN DE UN ESQUEMA DE ACCESO A LA RED Y ASIGNACIÓN DINÁMICA DE PERMISOS EN BASE A PERFILES DE USUARIO UTILIZANDO HERRAMIENTAS OPENSOURCE PARA LAS PYMES DE GUAYAQUIL Autor: Manuel Alberto Delgado Suarez Tutor: Ing. Ángel Ochoa F. RESUMEN Las redes de comunicación sin duda se han convertido en uno de los pilares fundamentales para hacer posible el intercambio de información en la sociedad, la implementación de las mismas está presente en casi todas las empresas desde Pymes hasta grandes empresas, la aplicación de seguridades en las redes es algo que aún se entiende únicamente como seguridades perimetrales en otras palabras defender recursos en la LAN accesibles desde la WAN. En este proyecto se diagramará un esquema aplicable a redes Pequeñas, medianas y Grandes, en el cual se da énfasis en el tratamiento de las redes LAN a nivel de seguridades en capa 2 y capa 3 del modelo OSI, mediante la asignación de permisos de acceso a los recursos en base al perfil de cada usuario, así como también la distribución equitativa de ancho de banda para con esto asegurar estabilidad en la plataforma de comunicaciones de manera integral (LAN, WAN, MAN). XI UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES APLICACIÓN DEL PROTOCOLO RADIUS EN LA CREACIÓN DE UN ESQUEMA DE ACCESO A LA RED Y ASIGNACIÓN DINÁMICA DE PERMISOS EN BASE A PERFILES DE USUARIO UTILIZANDO HERRAMIENTAS OPENSOURCE PARA LAS PYMES DE GUAYAQUIL Autor: Manuel Alberto Delgado Suarez Tutor: Ing. Ángel Ochoa F. ABSTRACT Communication networks have certainly become one of the cornerstones to enable the exchange of information in society, the implementation thereof is present in almost all companies from SMEs to large companies, the application of securities in networking is something that still meant only as perimeter defense securities in other words accessible resources in the LAN from WAN. In this project a scheme applicable to small, medium and Large networks, which is emphasized in the treatment of LANs level assurances layer 2 and layer 3 of the OSI model by assigning access permissions are diagramed based resources each user profile as well as the equitable distribution of bandwidth to ensure stability with this communications platform holistically (LAN, WAN, MAN). XII INTRODUCCIÓN Hoy en día tanto las PYMES como las grandes empresas dependen enormemente de su infraestructura informática, uno de los elementos clave que constituye la espina dorsal del negocio es sin duda la red de datos. Buen rendimiento , disponibilidad permanente de la red y seguridad en la transmisión de datos son ingredientes fundamentales para el correcto funcionamiento operativo de la empresa, el servicio de red es tan sensible que con el más mínimo problema se pueden evidenciar efectos dañinos para el negocio como: pérdida de productividad, descontento en clientes, pérdidas en ventas, entre otros, estos factores obligan al administrador de red a mantener un nivel de gestión acorde a las necesidades de la empresa. “El orden y la confidencialidad de cada puesto de trabajo o proyecto requieren un sistema que garantice que cada persona tenga acceso a sus datos y aplicaciones, evitando que otros usuarios puedan ser perjudicados por el uso indebido al sistema o por la falta de una intención recta” (McGraw-Hill: 2005) El presente estudio pretende mostrar una plantilla de red aplicable a Pequeñas y medianas empresas, dicha infraestructura planteada se basa en el uso de herramientas Opensource cuyo objetivo es generar un mecanismo que nos permita la concesión de privilegios de conectividad a los usuarios de la organización en 1 base a su perfil en la empresa, el diseño del mecanismo aplicado busca enfatizar la seguridad en la red en las capas 2,3,4 del modelo OSI así como también garantizar la estabilidad a través de la regulación en el uso del ancho de banda en cada uno de los segmentos en la red. El Problema (Capítulo I), se traducen las ideas preliminares a un planteamiento del problema, identificando y analizando causas, consecuencias, justificación, delimitación y evaluación. El Marco Teórico (Capitulo II) se muestra conceptos a utilizar en la elaboración del proyecto, el marco legal, preguntas a contestarse y la orientación metodológica del trabajo de investigación. La Metodología (Capitulo III), se describe el tipo de investigación que se realizó, se muestra la Operacionalización de las variables, así como los procedimientos empleados para la recolección, procesamiento y análisis de la información. Marco Administrativo (Capitulo IV), se muestra el cronograma de las actividades para la realización de la tesis y el presupuesto de los recursos necesarios para el desarrollo del proyecto. 2 Conclusiones y Recomendaciones (Capítulo V), se realiza el análisis del desarrollo del proyecto de tesis y en base a esto se sugieren una serie de recomendaciones. Anexos, se detallan los conceptos técnicos y estructurales de la propuesta, así como el procedimiento para la implementación de la solución planteada (manual técnico), también se elabora un manual de usuario para el correcto uso de la herramienta. 3 CAPÍTULO I: EL PROBLEMA PLANTEAMIENTO DEL PROBLEMA Ubicación del problema en un contexto El avance de la tecnología hasta el momento ha permitido incorporar como herramientas de apoyo al trabajo múltiples dispositivos de información, teléfonos inteligentes, computadoras portátiles, tabletas, entre otros, que ofrecen comodidades tales como la movilidad, facilitando así el desempeño laboral en nuestros días. La tendencia actual en el desarrollo de las redes empresariales apunta a las conocidas como “Redes Sin Frontera” o “Borderless Network”, las cuales se basan en una infraestructura de hardware y software donde los componentes se unen conformando sistemas de red que abarcan toda la organización. Las Redes sin Fronteras establecen los fundamentos para las redes inteligentes con altos niveles de optimización, escalabilidad, disponibilidad y seguridad, en términos de acceso a los recursos de redes LAN, constituyendo así redes dinámicas que no se limitan a las instalaciones físicas de la empresa. Cuentan con soluciones con la capacidad de diferenciar al equipo que está tratando de conectarse, usuario, lugar de conexión, hora y forma de entrada a la red, garantizando a los administradores el manejo de políticas que permita el control de todos los aspectos mencionados desde una consola centralizada. 4 A pesar del desarrollo de las Redes Sin Fronteras, su uso está prácticamente limitado a las grandes empresas trasnacionales, por su alto costo. De lo revisado en las encuestas realizadas a las empresas que forman parte de la muestra, se pudo observar que otra parte del problema en la optimización del uso y acceso a las redes de las PYME, consiste en el poco conocimiento sobre la existencia de herramientas de Software Libre (también conocido como Open Source) que permiten estructurar y administrar una plataforma de comunicaciones robusta y confiable. Esta constituye una vía económicamente más conveniente para la implementación de las redes sin fronteras en la Pequeña y Mediana Empresa. Situación conflicto nudos críticos En las empresas a diario surgen nuevos requerimientos vinculados con el otorgamiento o modificación de permisos a los usuarios de las redes corporativas. Dichos permisos de acceso pueden involucrar tanto a usuarios internos (gerentes, dependientes empresariales) como externos (clientes, proveedores, consultores, visitantes) e inclusive a recursos de red como servidores, impresoras y aplicativos ubicados en la Red de Acceso Local (LAN por sus siglas en inglés) o en la Zona Desmilitarizada (DMZ por sus siglas en inglés). El otorgamiento o modificación de estos permisos implica una serie de aspectos que deben tomar en consideración los administradores de red: Configuraciones recurrentes a nivel de conmutadores: Consiste en la asignación de puertos en redes virtuales de acceso local (VLANs) específicas. 5 Configuraciones recurrentes a nivel de cortafuegos (firewall): Consiste en la creación de reglas de navegación y accesos LAN. Actualización recurrente de documentación estructural y operativa de red: Consiste en el asentamiento de las modificaciones realizadas en la bitácora de la red, ya sea de manera gráfica o mediante la generación de las trazas o registros automáticos o manuales a manera de historial. Carga operativa para múltiples recursos involucrados en áreas distintas: Consiste en la notificación e involucramiento de personal responsable de diversas áreas de la empresa que autorizan el acceso de los permisos a la red mencionada. Causas y consecuencias del problema La falta de asignación de recursos económicos destinados para la adquisición de herramientas o equipamiento tecnológico de seguridad, forma parte de la cultura del sector PYME, inhibiendo así la iniciativa de los responsables de las áreas de Tecnología de Información (TI) y ocasionando el aplazamiento, muchas veces por tiempo indefinido, de los proyectos en torno al aseguramiento y control de accesos a las redes, lo que deriva en una falta de control sobre los recursos tanto a nivel de Redes de Acceso Local (LAN) como a nivel mundial (WAN). Otra de las causas de la falta de control sobre el acceso y uso de los recursos de red es el poco dominio por parte de los administradores de redes de las herramientas de software libre que abaratan los precios de las soluciones para configurar y administrar los accesos; en consecuencia resultan más costosas las 6 soluciones propietarias que muchas veces adoptan las empresas con tal de garantizar los elementos básicos de optimización, escalabilidad, disponibilidad y seguridad de las redes empresariales. El diseño incompleto o impreciso de los niveles de acceso para los diferentes grupos de usuarios que harán uso de la red en base a perfiles predefinidos constituye otra de las causas principales en el poco control del acceso y uso de los recursos de la red; una consecuencia frecuente es el hecho de que uno o varios usuarios que forman parte de la red de datos tienen visibilidad y libre acceso a todos los elementos de esta; otra consecuencia importante en este aspecto resulta que muchas veces dos o más usuarios de la misma red, con niveles diferentes de privilegios compiten en iguales condiciones por el acceso a recursos de red como suele ser el ancho de banda. Teniendo en cuenta los puntos de vista anteriores resulta recomendable para las organizaciones decidir de qué forma se administrará la red empresarial y todos sus recursos, cuáles serán los niveles de acceso para cada tipo de usuario y la prioridad para ellos; así como la forma más adecuada de administrar el ancho de banda del canal de datos definido para cada usuario, según su necesidad y las prioridades de la empresa. El resultado de las decisiones que al respecto se tomen, debe ser la obtención de un servicio que permita un nivel de seguridad adecuado, con un correcto aprovechamiento del ancho de banda disponible, optimizando el desempeño de la red y de toda la plataforma tecnológica de la empresa. 7 Delimitación del problema El problema tratado en este trabajo se circunscribe al campo de la informática, especialmente en el área de la administración de redes, orientado específicamente a los aspectos relacionados con la configuración y administración de herramientas de software para garantizar los temas del uso eficiente de los recursos tecnológicos disponibles en la red. Formulación del problema ¿Mediante la elaboración de un diseño de redes adecuado y la utilización de herramientas de gestion de redes, podremos obtener un uso eficiente de los recursos tecnológicos en las Pymes? Evaluación del problema En este caso el problema está delimitado pues se ajusta a la población conformada por la Pequeña y Mediana Empresa (PYME), específicamente en el ámbito relacionado con las herramientas de software para la administración de las redes y el uso eficiente de los recursos tecnológicos disponibles. El problema abordado en el presente trabajo es evidente, debido a que sus manifestaciones son perfectamente identificables y observables, constituyen ejemplos de esto el hecho de que varios usuarios de la red puedan tener acceso a 8 todos los recursos de la misma; igualmente dos usuarios con privilegios distintos pueden compartir a partes iguales el ancho de banda disponible emparejando los tiempos de acceso a la red de ambos, teniendo uno de ellos derecho a mayores privilegios; otra de las manifestaciones del problema es la posibilidad de que usuarios externos a la organización tengan acceso a recursos de uso limitado al personal de las PYME. Es relevante el hecho de que los resultados de la presente investigación contribuirán en el mejoramiento de la administración de los recursos tecnológicos disponibles en las redes de datos de estas organizaciones. A través de la generalización de los resultados se podrán lograr mejoras en los indicadores de eficiencia en el uso de los recursos de red tales como el ancho de banda. El problema definido constituye un tema original debido a que muchas veces se enfoca la causa del uso ineficiente de los recursos de red solo a la falta de recursos financieros para adquirir tecnologías más seguras y eficientes pero costosas para las organizaciones de resultados económicos moderados, como es el caso de las PYME. Por otro lado el avance en el desarrollo de las herramientas para la administración de recursos de red es acelerado en los tiempos actuales, de un año a otro cambian trascendentalmente las tecnologías y herramientas que se desarrollan y por tanto deben actualizarse con frecuencia los estudios que se realicen sobre su influencia en el uso óptimo de los recursos. Las investigaciones anteriores acerca del problema en cuestión no concluyen o cierran en modo alguno las interrogantes relacionadas con el uso eficiente de los dispositivos 9 tecnológicos en las redes, debido esencialmente a los constantes cambios que se producen en las tecnologías. El problema escogido para la realización de este trabajo sin dudas pertenece a la práctica social del contexto educativo, por lo que puede ser calificado de contextual. La solución pertenece al amplio grupo de temas incluidos dentro de la formación de los ingenieros en sistemas computacionales, debido principalmente al amplio y difundido uso de las redes de comunicación e información, la variada gama y campos de aplicación de los dispositivos tecnológicos de comunicaciones y la utilidad de las aplicaciones de programas informáticos para la configuración y administración de redes y recursos. La solución del problema planteado resulta factible debido a que no se requieren grandes recursos financieros y tampoco se requiere de un tiempo excesivo; en primer lugar la adquisición, instalación y configuración de las herramientas a utilizar para la investigación (herramientas de software libre), se encuentran disponibles en internet sin costo adicional; en segundo lugar la experiencia previa del investigador en el uso y manejo de herramientas para configuración y administración de redes será sin dudas un elemento importante en el aprovechamiento significativo del tiempo previsto para la investigación debido a su familiarización con este tipo de herramientas. Sin dudas la utilidad del trabajo presentado es relevante tanto para técnicos y administradores de red, como para gerentes y directivos de empresas que apoyan su gestión en el uso de redes y herramientas informáticas. Como resultado de este 10 trabajo se identifican los productos esperados siguientes: esquema de red genérico para las PYME, configuración del protocolo para el acceso a la red LAN de usuarios internos y externos, configuración de los perfiles de usuarios para definir los privilegios de acceso y uso de recursos de red y configuración de los equipos de comunicación para la asignación dinámica del ancho de banda para la navegación en Internet. Las soluciones resultantes del presente trabajo de investigación constituyen alternativas para empresas de moderados ingresos debido a que son libres de costo, adicionalmente por ser herramientas desarrolladas por grupos de la comunidad internacional de software libre evitan a sus consumidores convertirse en dependientes de las grandes corporaciones de software que hoy globalizan sus soluciones a nivel internacional. OBJETIVOS DE LA INVESTIGACIÓN OBJETIVO GENERAL Proponer un diseño para gestionar el acceso a la red de los diferentes grupos de usuarios mediante la aplicación del protocolo Radius y otras herramientas de gestion de redes, permitiendo el uso eficiente de los recursos tecnológicos disponibles de manera segura, flexible y con el costo mínimo para las Pymes de Guayaquil. 11 OBJETIVOS ESPECÍFICOS Componer un esquema de acceso a redes LAN genérico, tanto para usuarios Corporativos como para usuarios externos. Componer un esquema de seguridades en las capas 3 y 4 del modelo OSI. Definir restricciones en el uso de los recursos tecnológicos mediante la aplicación de herramientas de gestion de redes. ALCANCES DEL PROBLEMA El presente trabajo se centra en proporcionar un mecanismo de gestión de acceso a la red corporativa de Pequeñas y Medianas Empresas para utilizar los recursos que se proveen, de forma eficiente, según los privilegios que posean los usuarios. Para ello se ejecutará el proyecto de acuerdo a las actividades y tareas que permitirán el cumplimiento de los objetivos específicos y que se describen a continuación: Análisis de infraestructuras de red LAN tipo PYME Se basa en el análisis físico y lógico de la red LAN de una PYME, especialmente en los aspectos siguientes: el uso e implementación de LAN virtuales, segmentos de red de servidores e interacción de los mismos con respecto a los usuarios, uso de LAN inalámbrica, DMZ y reglas de acceso hacia servidores, entre otros. El resultado final de esta actividad será el diseño de un esquema de red LAN genérico para la PYME. 12 Estudio, selección e implementación del protocolo de acceso a la red. Se analizarán diferentes protocolos a nivel estructural, sus funciones, ventajas, desventajas y los posibles escenarios de implementación; seleccionando uno de ellos para utilizarlo en el esquema de red LAN genérico diseñado para las PYME. Luego de la selección del protocolo se procederá a la implementación del mismo. Diseño de perfiles de acceso para los distintos tipos de usuarios Para complementar esta tarea se analizarán los roles de los usuarios en la red LAN, posteriormente se crearán plantillas en las que se clasificarán dichos usuarios y se asignarán a las respectivas redes virtuales (VLANs). Cada una de las VLANs tendrá restricciones de acceso a los recursos, ya sea de servidores como de otros usuarios en otras VLANs. Las restricciones de acceso se definirán a nivel de capas de red, teniendo en cuenta medidas de seguridad ampliamente utilizadas en el mundo de las comunicaciones. Integración de Servidor de acceso a la red con equipos de comunicación. Se integrará la solución de autenticación propuesta con los equipos de comunicación existentes en la red LAN de tipo PYME para lo cual se analizarán los distintos atributos que van a interactuar entre el servidor y los conmutadores (Switches), puntos de acceso inalámbrico (Access points) y usuarios (dispositivos). Por último se habilitarán las opciones requeridas para otorgar una LAN virtual (VLAN) específica a cada perfil de usuario que pertenezca a un grupo. 13 Optimizar el uso de Ancho de banda para navegación en Internet de usuarios externos. Esta actividad se logrará a través de la configuración de los equipos de comunicación para la asignación dinámica del ancho de banda para la navegación en Internet; para ello se implementará el módulo de catalogación de tráfico o traffic shaping, el cual intentará controlar el tráfico en la red, para así lograr parámetros óptimos de rendimiento, baja latencia, y/o ancho de banda determinado. La catalogación de tráfico es una práctica utilizada por diversos Proveedores de Servicios de Internet (ISP por sus siglas en inglés) para no sobrepasar sus capacidades de servicio; propone conceptos de clasificación, colas, imposición de políticas, administración de congestión, calidad de servicio (QoS) y regulación. Diseñar DMZ para Accesos a internet de usuarios externos y reglas puntuales de accesos a recursos LAN. Esta actividad consiste en diseñar un esquema de direccionamiento y asignación dinámica de direcciones IP, por cada una de las subredes creadas, a través de la configuración del cortafuegos (firewall) en alta disponibilidad; se crearán las LAN virtuales (VLAN) que conformen la DMZ de usuarios externos, tanto en el equipo como en el software seleccionado para su configuración; por último se configurará el enrutamiento estático tanto para salida a Internet de los usuarios como para accesos puntuales a recursos LAN. 14 Creación de túneles que permitan extender el uso de la red LAN a través de internet. Para lograr el diseño de un mecanismo de acceso a la red LAN a través de internet para usuarios de la empresa se implementará el módulo VPN que cumplirá la función de crear un canal de comunicación seguro que le permita a un usuario ubicado en internet acceder a los recursos de la red interna que el perfil de acceso asociado a su cuenta de usuario le permita. Justificación e importancia de la investigación En la actualidad las grandes corporaciones han ampliado sus diseños y esquemas de redes con el fin de proporcionar a sus usuarios el acceso a estas mediante el uso de dispositivos móviles; ya sea dentro de las instalaciones de la empresa o más allá de sus límites a través de internet. Por su parte las PYMES tienen poco acceso a estas soluciones debido a su alto costo; sin embargo existen alternativas más económicas tanto para equipamiento como para herramientas de software que abaratan la implementación de soluciones similares que permiten el uso eficiente de los recursos de red disponibles. A través del desarrollo de este trabajo se pone a disposición de los administradores de red de la Pequeña y Mediana Empresa una vía práctica para implementar una solución que permita a los usuarios de este tipo de organizaciones el acceso flexible a los recursos de red LAN, de forma segura y optimizando el ancho de banda. Utilidad práctica de la investigación La utilidad práctica de esta investigación está relacionada con la obtención de un esquema de red LAN genérico para la Pequeña y Mediana Empresa; un esquema 15 de seguridad integral a nivel LAN; el diseño de una zona desmilitarizada (DMZ) de alta disponibilidad a través de la implementación de firewall para accesos a internet de usuarios externos y un mecanismo de acceso a la red LAN a través de internet para usuarios de la empresa. En otras palabras la realización de esta investigación pondrá en manos de los administradores de red de las PYMES herramientas para diseñar y configurar el acceso y uso de los recursos disponibles en la red. Beneficios Los principales beneficiarios con la realización del presente trabajo son en primer lugar los administradores de red de la Pequeña y Mediana Empresa que podrán implementar y poner en práctica herramientas dentro de las redes de sus organizaciones, que les permitan tener el control sobre el uso de los recursos de la red y administrarlos eficientemente; en segundo lugar los usuarios de la red, internos y externos, que tendrán acceso flexible y seguro a los recursos de red disponibles en la organización y en tercer lugar los directivos de las PYMES que podrán garantizar una infraestructura robusta a un menor costo. Los beneficios más significativos desde el punto de vista social son justamente: la ampliación de las posibilidades de los administradores para permitir de manera segura el acceso flexible de los usuarios a los dispositivos de las redes corporativas; aumento de las opciones de acceso a la red para usuarios de las PYME, con variedad de dispositivos, desde diferentes puntos de acceso, sin restricciones en los medios y vías de comunicación, para usuarios tanto internos como externos a la organización. 16 CAPÍTULO II: MARCO TEÓRICO ANTECEDENTES DEL ESTUDIO La seguridad en las redes de información, las herramientas de software para la administración de las redes y la búsqueda de formas que permitan el uso eficiente de los recursos tecnológicos disponibles en las PYMES no son un tema nuevo de investigación. Los principales antecedentes de estos temas datan del propio surgimiento de las redes cuando en 1958 la compañía BELL crea el primer módem que permitía transmitir datos binarios sobre una línea telefónica simple (Pagani, 2008). En 1972 se produce el nacimiento del Inter Networking Working Group, organización encargada de administrar Internet. Luego en 1982 se publica la definición del protocolo TCP/IP y a solo 10 años en 1992 existía ya un millón de computadoras conectadas a la World Wide Web luego de su anuncio público tan solo un año antes (Zator, 2002). Aparejada al desarrollo de las redes ha devenido su seguridad, teniendo en cuenta que desde 1988 se produjo el primer ataque a la infraestructura computacional de Internet con la propagación del gusano Morris (Zator, 2002). Existen miles de estudios anteriores sobre la seguridad en las redes y los protocolos de comunicación sin embargo existen aún muchos aspectos sin solucionar por completo. Un tema con mucho campo de investigación aún por desarrollar es el impacto de los temas relacionados con la administración y seguridad de las redes sobre el desarrollo de las pequeñas y medianas empresas, 17 debido al amplio uso de las redes hoy en día. No es de conocimiento del autor de este trabajo la existencia de trabajos anteriores que profundicen en el impacto de una adecuada configuración de las herramientas de administración de redes y su seguridad, para el uso eficiente de los recursos de red disponibles en las PYMES del Ecuador. Es por eso que a este tema en concreto se vuelca este trabajo. FUNDAMENTACIÓN TEÓRICA Introducción El presente trabajo pretende ser una alternativa de solución ante el escaso control de acceso de usuarios a las redes de datos públicas (Internet) desde el interior de redes privadas; orientada fundamentalmente a controlar los servicios de red a los que pueden acceder los usuarios y registrar cuándo y por cuanto tiempo los utilizan; dirigida especialmente al personal técnico que tiene la responsabilidad de administrar las redes en el sector de las Pequeñas y Medianas Empresas (PYMEs). La fundamentación teórica de este trabajo se basa en un estudio de los aspectos más relevantes de las redes de información, específicamente los más significativos relacionados con la Seguridad en Redes de Información, los elementos esenciales para el Control de Ancho de Banda y la Asignación Dinámica de Permisos y por último un estudio de los Protocolos de Seguridad y su implementación. 18 Seguridad en Redes de Información Uno de los principales retos de los administradores de redes de información es lograr la seguridad en ellas. La seguridad en las redes se refiere a mantener bajo protección los recursos y la información con que se cuenta en la red, a través de procedimientos, basados en una política de seguridad, tales que permitan el control de lo actuado (Spafford, 2000). Expertos coinciden en que: “la seguridad de redes es lograr un nivel de seguridad que garantiza que el funcionamiento de todas las máquinas de una red sea óptimo y que todos los usuarios de estas máquinas posean los derechos que les han sido concedidos; evitar que personas no autorizadas intervengan en el sistema con fines malignos; evitar que los usuarios realicen operaciones involuntarias que puedan dañar el sistema; asegurar los datos mediante la previsión de fallas y garantizar que no se interrumpan los servicios” (Kioskea). La Seguridad en redes tiene el objetivo de mantener el intercambio de información libre de riesgo y proteger los recursos informáticos de los usuarios y las organizaciones (Spafford, 2000). Hoy en día el concepto de seguridad en la red va mucho más allá de protección del hardware involucrado sino de la información a la que se puede tener acceso a través de ellas; para mantener una red segura, es imprescindible tener total claridad en los niveles de riesgos y las medidas necesarias para mitigarlos. Es preciso no perder de vista el hecho de que la seguridad está estrechamente relacionada con personas. La mayoría de los problemas de seguridad son causados 19 por personas malintencionadas tratando de obtener algún beneficio, atención o simplemente dañar a alguien (Tanenbaum, 2003). Es importante saber que la implementación de la seguridad en las redes es un proceso técnico - administrativo y requiere total comprensión y apoyo de la máxima dirección de las organizaciones para que las medidas que se tomen tengan el máximo peso posible (Spafford, 2000). Ataques y vulnerabilidades Múltiple bibliografía relacionada con la seguridad en redes informáticas clasifica en tres, las generaciones de ataques: Primera generación: ataques físicos. Ataques que se centran en componentes electrónicos, como podrían ser los propios ordenadores, los cables o los dispositivos de red. Actualmente se conocen soluciones para estos ataques, utilizando protocolos distribuidos y de redundancia para conseguir una tolerancia a fallos aceptable. Segunda generación: ataques sintácticos. Se trata de ataques contra la lógica operativa de los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en el software, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globales para contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cada vez más eficaces. Tercera generación: ataques semánticos. Finalmente, podemos hablar de aquellos ataques que se aprovechan de la confianza de los usuarios en la información. Este 20 tipo de ataques pueden ir desde la colocación de información falsa en boletines informativos y correos electrónicos hasta la modificación del contenido de los datos en servicios de confianza, como por ejemplo, la manipulación de bases de datos con información pública, sistemas de información bursátil, sistemas de control de tráfico aéreo, etc (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). Un ataque es una técnica empleada para explotar una vulnerabilidad. Una vulnerabilidad es una debilidad propia de las redes o los sistemas, causada por un error en el diseño, configuración o implementación de estos y que puede ser explotada. Una amenaza por su parte es la posibilidad de que ocurra algún daño o molestia en el ambiente de las TICs. Se puede decir que una amenaza es toda posible interrupción de operación, integridad, disponibilidad de la red o sistema, pudiendo ser la misma de origen natural, por negligencia o por mala intención de alguien. Sin embargo una amenaza no tiene gran importancia si el sistema no es vulnerable a dicha amenaza (Pagani, 2008). El ataque es la acción misma, pero previo a esta acción existió una amenaza, por lo que se considera a la amenaza como el paso previo a la ejecución de un ataque. Por tal razón lo importante será encontrar las posibles amenazas con el objetivo de identificar vulnerabilidades y prevenir posibles ataques. Es posible clasificar los ataques en función del modo como se abusa de los canales de comunicación (Martínez, 2001): 21 Fisgar: es la acción de copiar información sin autorización del propietario de la misma. Suplantar: es enviar o generar mensajes haciéndose pasar por otro individuo, es decir es el hecho de suplantar la identidad de un individuo y hacer uso de esta identidad falsificada para cometer alguna acción indebida. Alterar mensajes: consiste en tomar un mensaje y alterarlo antes de entregarlo a su destino. Reenviar: consiste en capturar mensajes y reenviarlos más tarde, este ataque puede ser efectivo aun con mensajes encriptados. Denegación de servicio: es un incidente en el cual un usuario o una organización es privada de los servicios de un recurso que esperaba obtener. Normalmente, la pérdida de servicio se corresponde con la imposibilidad de obtener un determinado servicio de red como, por ejemplo, el acceso a una página web. Imposibilidad de acceder a un recurso o servicio por parte de un usuario legítimo. Es decir, la apropiación exclusiva de un recurso o servicio con la intención de evitar cualquier acceso a terceras partes (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). Amenazas combinadas: consiste en la integración de herramientas automáticas de hackeo, accesos no autorizados a los sistemas, capacidad 22 de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos incluida la información. Por otra parte la Seguridad en las redes puede ser vulnerable desde el interior de las organizaciones o fuera de estas. Las amenazas pueden clasificarse de acuerdo a su origen en internas y externas y de acuerdo a su naturaleza en humanas o naturales (Pagani, 2008). Las amenazas internas pueden ser más serias que las externas porque los Servicios Proveedores de Internet (IPS por sus siglas en inglés) y los Cortafuegos o Firewalls son mecanismos no efectivos ante amenazas internas debido a que los usuarios conocen la red, su arquitectura y funcionamiento y tienen cierto nivel de acceso a ella. En cuanto a las amenazas externas, son aquellas que se originan fuera de la red. Al no tener información certera de la arquitectura y esquema de seguridad de la red objetivo, el atacante tiene que realizar determinadas acciones para determinar la manera de atacarla. La ventaja que se tiene en este caso es que los administradores de red pueden prevenir una buena parte de los ataques externos. Analizando este tema desde otra perspectiva, las amenazas de naturaleza humana pueden provenir de personal interno (miembros de la organización), personal externo o terroristas. Los ataques generados por personal interno de la propia organización pueden darse por ignorancia en el manejo de los sistemas, insuficiente 23 preparación del personal, por inexistencia de normas básicas de seguridad o intencionalmente. A este tipo de amenazas se suele prestar menor atención, debido a que no es una práctica común verificar continuamente a todos los empleados de una organización. Otros posibles ataques pueden ser ejecutados por ex-empleados, personal que abandonó la empresa en malos términos o fueron despedidos y pueden convertirse en este tipo de amenaza. Se trata de personas que tienen resentimiento con la empresa y que tienen conocimiento suficiente para ejecutar un ataque, pueden dejar puertas traseras abiertas, o pueden intentar realizar un ataque de bomba lógica. Los ataques terroristas son aquellos ocasionados por individuos u organizaciones que buscan a toda costa realizar un daño en la integridad de los sistemas o de los datos. Este tipo de ataques puede estar motivados por el ego o la curiosidad, pueden ser delincuentes profesionales con fines de lucro, terroristas en la búsqueda de la destrucción o la extorsión, agentes militares motivados por intereses nacionales, espías industriales que intentan robar o modificar la información de su competencia con fines de lucro, entre otros (Pagani, 2008). Los atacantes internos tienen acceso a la red, conocen la arquitectura y tienen permisos para utilizarla. En contraste con esto los atacantes externos deben penetrar los sistemas de defensa de las organizaciones (tales como firewalls) y luego deberán agenciarse permisos o privilegios de administración (Pagani, 2008). 24 Estudios realizados con anterioridad han demostrado que el 50% de los problemas de seguridad en las redes se producen por errores de los propios empleados, un 15% por empleados deshonestos, otro 15% por descuido de los empleados y un 20% por personal ajeno a la organización (intrusos) y por la integridad física de las instalaciones, esto demuestra que el 80% de las dificultades son creadas por personal interno a las organizaciones (Spafford, 2000). Esta situación generalmente se presenta debido a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías (especialmente las PYMES) y al poco conocimiento que existe relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas a la seguridad de las redes. El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar cuantiosos daños económicos a las empresas. Por último, un elemento importante en el análisis de las amenazas a la seguridad de las redes lo constituyen las Amenazas Naturales; son aquellas de origen natural y su efecto puede ser aplacado considerando el daño que pueden causar. Este tipo de amenazas se debe tener en cuenta en el proceso de diseño de los sistemas de red, pueden ser soportadas pero no evitadas. Se puede considerar como amenazas naturales a los terremotos, inundaciones, huracanes, entre otras. Para reducir el efecto de una amenaza de este tipo lo más práctico es tener definido de antemano 25 un Plan de Contingencias que indique que y como hacer ante cada una de estas situaciones (Aguirre, 2005). Aspectos básicos de la seguridad de la información “La información representa los datos transformados de forma significativa para la persona que los recibe, es decir tiene un valor real o percibido para sus decisiones y sus acciones” (G.B. Davis, M.H. Olson, J. Ajenstat, J.L. Peaucelle, 1985). Dentro de los recursos más importantes de las organizaciones está justamente la información y en la era de las Tecnologías de la Información y el Conocimiento, el amplio uso de las redes de comunicaciones permite el manejo de grandes volúmenes de información, sin importar las distancias; por ejemplo el intercambio de información relevante entre la oficina central de una empresa y una sucursal de esta fuera del territorio nacional. Es por esto que proteger la información que transita por las redes es uno de los objetivos principales de los administradores en la actualidad. En la tarea de proteger la información se deben tener en cuenta los elementos que participan en su manipulación, como son: aplicaciones de software, medios de transmisión y medios de almacenamiento y tratar de protegerlos de ataques o manipulaciones maliciosas. Se deben considerar tanto elementos físicos como lógicos para brindar una solución de seguridad acorde con el sistema que se desea proteger (Spafford, 2000). Como el objetivo es proteger la información, se deben considerar tres aspectos muy importantes en la preservación de la misma: confidencialidad, integridad y disponibilidad. 26 El objetivo de la confidencialidad, es permitir que la información sea únicamente vista por las personas a quienes está destinada, es decir se refiere a la privacidad de la información. Consiste en proteger la información contra la lectura no autorizada explícitamente. Incluye no sólo la protección de la información en su totalidad, sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial. Es aquí donde juega un papel muy importante la encriptación de los datos. En la actualidad la tecnología de encriptación ha avanzado notablemente, y varios estudios de este tema expresan que los resultados más relevantes se mantienen de forma secreta (Spafford, 2000). La integridad hace referencia a la habilidad de proteger la información, los datos o las transmisiones de alteraciones no autorizadas (malintencionadas), no controladas (errores) o accidentales. Asegurar la consistencia de la información y que atributos como el tiempo y la totalidad de la información sean consistentes con los requerimientos. Cuando se trabaja con una red se debe comprobar que los datos no fueron modificados durante su transferencia. Un ejemplo de mecanismos empleados para este propósito son los algoritmos de HASH (Spafford, 2000). Por su parte la disponibilidad hace referencia a que la red, hardware y software, sea confiable, es decir que se pueda recuperar rápida y completamente ante eventos de una interrupción. Para poder lograr este objetivo se emplean generalmente mecanismos de redundancia de enlaces, tanto en hardware como en software, con el fin de que si ocurre un evento que interrumpa el funcionamiento 27 de uno de estos elementos del sistema el respaldo redundante solucione el problema lo más rápido posible (Spafford, 2000). Para lograr la mantención de estos tres aspectos básicos de la seguridad de la información en las redes se deben tener en cuenta desde el propio diseño de las mismas, lo que no excluye que se puedan ir perfeccionando en el tiempo. Como otros aspectos significativos en la seguridad de la información se pueden mencionar la Autenticación y el No Repudio. Autenticación, Autorización y Contabilidad de usuarios (AAA) En términos de Seguridad Informática las siglas AAA comúnmente significan Autenticación, Autorización y Contabilidad. El término se refiere a una arquitectura de sistemas de seguridad para los sistemas distribuidos, que permite controlar qué usuarios pueden acceder a los servicios y la cantidad de los recursos que han utilizado. Autenticación, Autorización y Contabilidad son tres importantes aspectos usados en la construcción de arquitecturas de redes de manera tal que ayude a los operadores de red y sus usuarios a protegerse de fraudes, ataques, administración inadecuada de recursos y pérdidas de información (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). El uso de AAA provee los siguientes beneficios: incremento de flexibilidad y control en la configuración de acceso, escalabilidad, métodos de autorización estandarizados y múltiples sistemas de respaldo (backup). La Arquitectura AAA ofrece una forma modular de proveer los servicios que a continuación se describen: 28 Autenticación. Autenticación se refiere al proceso en el que se autentica la identidad de una entidad; típicamente se realiza proporcionando evidencias de una identidad digital específica, utilizando un identificador y las credenciales correspondientes (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Ejemplos de tipos de credenciales son las contraseñas, certificados digitales, firmas digitales, números de teléfono, entre otros. En una red de confianza, la autenticación es un modo de asegurar que los usuarios son quienes dicen ser y que el usuario que intenta realizar funciones en un sistema es quien tiene la autorización para hacerlas. La autenticación es la forma en que un usuario se identifica antes de poder acceder a la red y los servicios que esta ofrece; es un intento de verificación de la identidad digital del remitente de una comunicación como puede ser una petición para conectarse (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Autorización. El término autorización se define como el acto de determinar los privilegios particulares asignados o garantizados a quien presente una credencial específica. La función de autorización determina si una determinada entidad está autorizada para llevar a cabo una actividad determinada, generalmente heredado de la función de autenticación al iniciar sesión en una aplicación o servicio; constituye un control adicional, que permite el control de acceso por usuario después de la autenticación. La autorización podrá ser determinada en base a una serie de 29 restricciones, por ejemplo: tiempo de las restricciones en días, restricciones de localización física, restricciones contra el acceso múltiple por la misma entidad o usuario, entre otras. Un ejemplo típico de autorización en la vida cotidiana de un equipo lo constituye la concesión de acceso de lectura a un archivo específico para el usuario autenticado (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). La autorización provee el método de control de acceso remoto, incluyendo autorización total o autorización individualizada para cada servicio, lista de cuentas y perfil por usuario, soporte para grupos de usuarios, y soporte para protocolos IP, IPX, ARA y TELNET (Spafford, 2000). En la arquitectura AAA la autorización trabaja agrupando cierto conjunto de atributos que describen lo que el usuario está habilitado a usar o acceder. Estos atributos son comparados con la información contenida en una base de datos de un usuario determinado y el resultado se devuelve a AAA para determinar las capacidades reales de los usuarios y las restricciones. La base de datos se puede localizar de forma local en el servidor de acceso o Router o puede ser alojada de forma remota en un servidor de seguridad (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Contabilización. La función de contabilización se refiere al seguimiento del consumo de recursos de red por usuarios, con la finalidad de brindar la posibilidad a los administradores de red, de realizar estudios y análisis de tendencias, definir necesidades de asignación de recursos, establecer los valores de la facturación de 30 acuerdo al consumo de los servicios, entre otros. Permite realizar el seguimiento de los usuarios que tienen acceso a los servicios, así como la cantidad de recursos de red que están consumiendo. La Contabilización puede además grabar eventos tales como la autenticación y errores de autorización, e incluye la funcionalidad de auditoría, que permite verificar la exactitud de los procedimientos llevados a cabo sobre la base de los datos contables (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). El término contabilización en tiempo real se refiere a la información de contabilidad que se entrega simultáneamente con el consumo de los recursos. Contabilización por lotes se refiere a la información contable que se guarda hasta que se entrega en un momento posterior. La información típica que se recoge en la contabilización incluye lo siguiente: la identidad del usuario u otra entidad, la naturaleza del servicio de entrega, el momento de inicio y finalización del servicio y la existencia de un estado de reportar. Definición y configuración de Autenticación y Autorización: La definición del tipo de autenticación y autorización deseadas, se hace mediante la creación de Listas de Métodos. Una lista de métodos es una lista secuencial que define los métodos de autenticación a utilizar para autenticar a los usuarios de la red. Las listas de métodos permiten designar uno o varios protocolos de seguridad a utilizar para la autenticación, lo que garantiza un sistema de copias de seguridad para la autenticación en caso de que falle el método inicial; en ella se definen los tipos de autenticación a realizar y la secuencia en la que se llevarán a cabo, esto debe ser configurado por los administradores de red antes de que se 31 utilice cualquiera de los métodos de autenticación definidos. Existe una excepción: la lista Método por Defecto (denominada "default"). La lista Método por Defecto se aplica automáticamente a todas las interfaces si ninguna otra Lista de Métodos está definida. Una Lista de Métodos definida por el administrador reemplaza automáticamente la lista Método por Defecto (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). El sistema utiliza el primer método de la lista para autenticar a los usuarios y si este método no responde selecciona el método de autenticación siguiente en la Lista de Métodos. Este proceso continúa hasta que haya una comunicación exitosa con uno de los métodos de autenticación de la lista o hasta que la Lista de Métodos de Autenticación se haya agotado; en este último caso se produce un fallo de autenticación en el sistema (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Configurar AAA es relativamente simple después de comprender el proceso básico. Los pasos que debe seguir un administrador de red para configurar la seguridad en un servidor de acceso o enrutador usando AAA se enumeran a continuación (Madjid Nakhjiri, Mahsa Nakhjiri, 2005): 1. Habilitar la función AAA utilizando el comando de configuración global: AAA New Model. 2. En caso de utilizar un servidor de seguridad independiente, configurar los parámetros de protocolo de seguridad, tales como: RADIUS, TACACS+ o Kerberos. 32 3. Definir las Listas de Métodos para la autenticación mediante el uso de un comando de autenticación AAA. 4. Aplicar el método de listas para una interfaz específica o una línea, si es necesario. 5. Configurar la autorización con el comando: Autorización AAA. 6. Configurar la contabilidad mediante el comando Contabilidad AAA. Existen dos protocolos de red particularmente populares que proporcionan la funcionalidad AAA: el protocolo RADIUS y su homólogo DIÁMETRO (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Métodos de Autenticación. Dentro del contexto de transmisión de datos y sistemas de comunicación electrónicos existen varios métodos de autenticación. Por su importancia, diversidad y amplio uso, este trabajo le dedica un acápite especial. La clasificación de los métodos de autenticación se realiza en función del elemento a autenticar, existen los métodos de autenticación de usuarios y los métodos de autenticación de mensajes (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Igualmente se pueden clasificar, de acuerdo al elemento que se utiliza para la verificación de la identidad de las entidades en: sistemas basados en algo conocido, sistemas basados en algo poseído y sistemas basados en una característica física del usuario o un acto involuntario del mismo (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). 33 Dentro de los métodos de autenticación más mencionados y conocidos se pueden mencionar los siguientes: Autenticación basada en contraseñas (passwords) Autenticación mediante muestras (tokens) Firmas digitales Certificados digitales Simple ingreso (Single Sign-On) Protocolo de autenticación por contraseña (PAP) Protocolo de autenticación por reto (CHAP) Sistemas biométricos Los métodos empleados para la verificación de la identidad pueden emplear “elementos” que el usuario conoce, algo que el usuario posee o algo que el usuario es. El empleo de la combinación de varios métodos de verificación dará un nivel de seguridad mayor, haciendo al sistema menos vulnerable, más no infalible (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). A continuación se analizan los elementos más significativos de algunos de los métodos de Autenticación mencionados. 34 Autenticación basada en contraseñas (passwords) El modelo de autenticación más básico consiste en decidir si un usuario es quien dice ser basados únicamente en una prueba de conocimiento que a priori sólo ese usuario puede superar; esa prueba de conocimiento no es más que una contraseña que en principio es secreta. Este método es el más vulnerable a todo tipo de ataques, pero también el más económico, esto lo convierte en la técnica más utilizada en entornos que no precisan de una alta seguridad. En todos los esquemas de autenticación basados en contraseñas se cumple el mismo protocolo: las entidades (generalmente dos) que participan en la autenticación acuerdan una contraseña que deben mantener en secreto si desean que la autenticación sea fiable. Cuando una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común y si ésta es correcta se otorga el acceso a un recurso. Lo habitual es que existan roles preestablecidos, con una entidad activa que desea autenticarse y otra pasiva que admite o rechaza a la anterior (ejemplo: usuario y sistema) (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). El método de autenticación basada en contraseña presenta algunos inconvenientes: por un lado la elaboración de contraseñas seguras resulta en contraseñas difíciles de memorizar, haciendo que los usuarios escriban o guarden sus contraseñas en lugares donde puedan ser descubiertas por persona maliciosas; el hecho de que alguien administre las contraseñas, considerando además que se trata de un humano, añade riesgos adicionales como la posibilidad de soborno o de que se convierta en un ex empleado con conocimientos que le posibiliten dañar desde fuera a la organización; la posibilidad de que las contraseñas sean transmitidas en 35 forma de texto plano permitiría a un intruso con un sniffer apoderarse de dicha contraseña; entre otros ejemplos. Los administradores de red emplean varios métodos para solucionar algunos de los inconvenientes descritos. En primer lugar la definición y aplicación de políticas de generación y administración de contraseñas, que permiten a las organizaciones orientar, preparar y obligar a los usuarios en elementos básicos de seguridad de redes. El oscurecimiento de contraseñas o Shadow Password; la idea básica de este mecanismo es impedir que los usuarios sin privilegios puedan leer el fichero donde se almacenan las claves cifradas. El envejecimiento de contraseñas (Password Aging); en este caso la idea principal es proteger las contraseñas de los usuarios dándoles un determinado periodo de vida: una contraseña sólo va a ser válida durante un cierto tiempo, pasado el cual expirará y el usuario deberá cambiarla. El uso de contraseñas de una sola vez (One Time Passwords) es un caso extremo del envejecimiento de contraseñas en el que se otorga un tiempo de vida mínimo a cada contraseña de forma que sirva solo para una conexión (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Firmas digitales Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio) y confirmar que el mensaje no ha sido alterado desde que fue firmado por quien lo originó (integridad) (Boris Balacheff et all, 2003) (Branstad, 1983). Es una herramienta tecnológica que permite 36 garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel. Las firmas digitales pueden también definirse como un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje. Lo anterior no implica que asegure la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente (Stallings, 2000). La firma digital es un instrumento con características técnicas y normativas; esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales y existen documentos normativos que respaldan el valor legal que dichas firmas poseen. La firma digital se aplica en aquellas áreas donde es importante poder verificar la autenticidad y la integridad de ciertos datos, por ejemplo documentos electrónicos o software, ya que proporciona una herramienta para detectar la falsificación y la manipulación del contenido. Certificados digitales Un Certificado Digital o Certificado Electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación: Autoridad de Certificación o Certificadora (AC). Las AC son una tercera entidad de confianza que asegura que la clave pública se corresponde con los datos del titular del certificado (Aguirre, 2005). 37 Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede descifrar con su clave pareja (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). La Autoridad de Certificación se encarga de emitir los certificados para los titulares tras comprobar su identidad. En el certificado digital constarán los datos del propietario y las condiciones de vigencia del certificado. El certificado tiene tiempo de validez determinado, pero igual puede ser revocado por el propietario ante dificultades que puedan comprometer la clave privada. El titular del certificado debe mantener estrictamente segura la clave privada, ya que en caso de sustracción pudiera ser suplantada su identidad en la red. En este caso el titular debe revocar el certificado lo antes posible, de la misma manera en que se anula una tarjeta de crédito sustraída o extraviada (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Una de las certificaciones más utilizadas en la actualidad en infraestructuras de clave pública (PKIs Public-Key Infrastructure) es el estándar internacional X.509 de la ITU-T (International Telecommunication Union- Telecommunication Standarization Sector). Así los certificados pueden ser leídos o escritos por cualquier aplicación que cumpla con el mencionado estándar (Aguirre, 2005). Los campos básicos del certificado X.509 se listan a continuación: Identificación del sujeto: individuo, organización o entidad titular del certificado. 38 Datos de validez del certificado: fecha de inicio, de vencimiento y validez actual. Número de serie del certificado: nomenclador único que lo identifica. Identidad de la autoridad certificadora: nombre de quien emite el certificado. Llave pública del sujeto. Firma digital de la autoridad certificadora La autoridad certificadora emite certificados digitales que ratifican la información de las personas o entidades a quienes se les entrega el certificado, empleando una Infraestructura de Llave Pública (Aguirre, 2005). La Infraestructura de llave pública (PKI) es la encargada de autentificar certificados digitales y Autoridades Certificadoras. Es una jerarquía de autoridades certificadoras, es decir, una autoridad raíz que certifica autoridades subordinadas. Las Autoridades subordinadas confían en la jerarquía, no necesariamente entre ellas, aunque se apunta a crear relaciones de confianza entre autoridades certificadoras de misma o diferente jerarquía (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). La principal dificultad del uso de los Certificados Digitales radica en el desarrollo de estándares e infraestructura para certificar firmas y certificados digitales entre organizaciones que usan diferentes esquemas. 39 Los usos más comunes de los certificados digitales son: autentificar la identidad del usuario, de forma electrónica, ante terceros; firmar electrónicamente de forma que se garantice la integridad de los datos trasmitidos y su procedencia y cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido. El Certificado Digital es el único medio que permite garantizar técnica y legalmente la identidad de una persona en Internet. Se trata de un requisito indispensable para que las instituciones puedan ofrecer servicios seguros a través de Internet. Además el certificado digital al permitir la firma electrónica de documentos da la posibilidad al receptor de estos de tener la seguridad de que son originales y no han sido manipulados, por otra parte el autor o propietario de la firma electrónica no podrá negar la autoría de la misma. Adicionalmente al permitir el cifrado de las comunicaciones, utilizando la clave pública de un Certificado, solamente el destinatario de la información (titular del Certificado) podrá acceder al contenido. La principal ventaja de disponer de un certificado digital es el ahorro de tiempo y dinero al tener la posibilidad de poder realizar trámites administrativos en Internet, a cualquier hora y desde cualquier lugar (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Protocolo de autenticación por contraseña (PAP) Password Authentication Protocol (PAP) es un protocolo simple de autenticación para autenticar un usuario contra un servidor de acceso remoto o contra un proveedor de servicios de internet. PAP es un subprotocolo usado por la autenticación del protocolo Punto a Punto (PPP Point to Point Protocol), 40 validando a un usuario que accede a ciertos recursos (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). PAP es un protocolo de autenticación que requiere que los usuarios ingresen nombre de usuario y contraseña antes de tener acceso al sistema seguro, los mismos son enviados a través de la red a un servidor, donde se comparan con una base de datos que almacena nombres y contraseñas de los usuarios. El protocolo PAP es un método sencillo empleado para confirmar la identidad de los participantes de una comunicación punto a punto, para lo cual emplea una negociación en dos sentidos, que es realizada en el establecimiento inicial del enlace. PAP transmite contraseñas o passwords en ASCII sin cifrar, por lo que se considera inseguro. Su uso añade una vulnerabilidad al sistema debido a que las contraseñas se envían en forma de texto plano sin ninguna encriptación y esto facilita su robo y reproducción, por lo anterior este método se usa solo como último recurso cuando el servidor de acceso remoto no soporta un protocolo de autenticación más fuerte (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). Protocolo de autenticación por reto (CHAP) El protocolo CHAP, definido en la especificación RFC en 1994, es empleado para verificar la identidad de los participantes de una comunicación punto a punto, usualmente se utiliza embebido en el protocolo PPP, y surge para dar solución a la vulnerabilidad de PAP (enviar la contraseña sin protección a través de la red). 41 Este protocolo trabaja de la manera siguiente: en lugar de preguntar directamente por la contraseña, el servidor emite un valor generado aleatoriamente (desafío o reto) y espera que el usuario proporcione una respuesta al desafío enviado, en base a un secreto conocido. El usuario toma el desafío y utilizando la clave que comparte con el servidor y una función hash formula una respuesta. El servidor realiza el mismo cálculo y compara su resultado con el que recibió desde el cliente, si existe coincidencia entonces el usuario está autenticado. El mecanismo o función hash generalmente es un mensaje unidireccional como MD5. En cada comunicación se utiliza un único desafío o reto (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Una ventaja que tiene este tipo de autenticación es que las contraseñas no pueden ser grabadas o robadas para ser empleadas en un acceso posterior, pues cambia constantemente el valor con el que se compara. Otra ventaja es que el secreto solo lo conocen los extremos y no se intercambia en el proceso de autenticación. Un problema que puede presentar este método es que el secreto no se guarda en una base de datos encriptada lo que puede resultar en una vulnerabilidad. Sistemas biométricos Podemos definir métodos biométricos como técnicas automáticas de reconocimiento de personas mediante el análisis de características físicas o de comportamiento que definen al usuario por ser exclusivas del mismo, como pueden ser, las huellas dactilares, el timbre de voz, la firma... Características que identifican al usuario sin ningún tipo de dudas y que son imposibles de falsificar. 42 Los sistemas biométricos pueden ser empleados como mecanismos de autenticación, ya que el ser humano posee características que lo hacen único, como las huellas dactilares, la voz, el rostro, iris del ojo, por lo cual se puede decir que cada individuo lleva su propia palabra clave, tarjeta o número PIN (Nebot, 2007). A pesar de la enorme ventaja que estos métodos ofrecen, también presentan inconvenientes que deben tenerse en cuenta: la implementación de estas técnicas suele tener un coste muy alto. Para resolverlo se debe mejorar las prestaciones de los terminales que se utilicen, ya que son los encargados de procesar de modo adecuado lo datos recibidos. Esto requiere una fuerte inversión que no todas las empresas están dispuestas a llevar a cabo. Las técnicas no son absolutamente seguras, pudiendo producirse ciertos errores. Este problema se aborda a través de la investigación y mejora de las técnicas actuales, lo cual permitiría mejorar el nivel de certeza. Cuando estos condicionantes se satisfagan completamente, el uso de la memorización de información pasará a un segundo plano (Nebot, 2007). Existen dos grandes clasificaciones para los sistemas biométricos, los del tipo fisiológico y los basados en comportamientos. Los primeros se pueden basar en una o varias características como las faciales, del iris, de retina, la geometría de la mano y las huellas digitales; los segundos en características de la voz, el ritmo de la escritura o la firma dinámica (Nebot, 2007). Paulatinamente nuevos usos se están encontrando en la aplicación de estas técnicas de autentificación, que, con el paso del tiempo, todavía se ampliarán más, 43 dado que el éxito que están teniendo y a medida que se vaya confiando aún más en ellos (cucorent, 2013) y (Somini, 2013). Algunas aplicaciones de biométricos actuales las encontramos en (Nebot, 2007): La seguridad financiera: Cajeros automáticos, transferencias electrónicas, el reciente comercio electrónico. El control de acceso de personas: Aeropuertos, zonas de seguridad de empresas, zonas de defensa gubernamentales. El control demográfico: Inmigración, pasaportes, visados. El sistema de votaciones: Máquinas automáticas de recogida de votos electorales. Las telecomunicaciones: Telefonía móvil, control de acceso a sistemas de comunicaciones. La Medicina: Historiales clínicos, registro de medicaciones a pacientes con enfermedades duraderas o terminales. Comparación de los métodos de Autenticación estudiados Se ha mencionado los principales métodos de autenticación empleados en el control de acceso de usuarios hacia sistemas computacionales o sistemas electrónicos, para tener una idea general de las semejanzas y diferencias entre ellos, en la Tabla 2.1 se hace una comparación de las principales características de los diferentes métodos de autenticación analizados. 44 CUADRO N. 1 Comparación de las principales características de diferentes métodos de autenticación. Método de autenticación Envío de contraseñas Contraseñas encriptadas Información encriptada Validez de la contraseña Requerimientos Algo que se conoce Vulnerabilidades Robo de las contraseñas. Los humanos administran las contraseñas Vulnerable al conocerse la llave pública y privada junto con el algoritmo hash de generación. Autenticación basada en contraseñas Si Si No Con limitación Firmas digitales No No Si Con limitación Algo que se conoce (Acuerdo entre ambas partes) Si Con limitación Algo que se conoce (Acuerdo autoridad certificadora) Suplantación de la autoridad certificadora Certificados digitales Protocolo de Autentificación por Contraseña Protocolo de Autentificación por Reto Sistemas biométricos No Si No No No No Si No No No Algo que sabe Intercambio de contraseñas en texto plano fáciles de robar y de reproducir No Con limitación Algo que conocen los extremos secreto y función hash El secreto no se guarda en una base de datos encriptada Algo que se Posee Solo vulnerable teniendo el biométrico o al portador del mismo No Permanente Elaboración: Manuel Delgado S. Fuente: Cesar Cepeda, Pablo Proaño (p. :23) Del análisis del cuadro comparativo se puede deducir que no existe ningún método cien por ciento seguro, por lo que se recomienda emplear en implementaciones reales métodos de autenticación fuertes, es decir, que empleen una combinación de varios métodos de autenticación, lográndose de esta manera un nivel de seguridad adecuado para proteger los sistemas de comunicaciones, que dificulten el acceso a intrusos maliciosos. 45 Control de Ancho de Banda En la actualidad, dado el crecimiento de las redes de información en cuanto a la cantidad de usuarios conectados, la variedad de las aplicaciones disponibles y los servicios que a través de ellas se emplean, ha sido imprescindible el uso de herramientas que permitan controlar el rendimiento de las mismas facilitando un mejor aprovechamiento de sus recursos. El Ancho de Banda es uno de los recursos más “discutidos” por los usuarios de una red por tanto el desarrollo de aplicaciones para su control ha sido un tema en ascenso. Sin embargo la congestión sigue siendo el obstáculo principal a la calidad del servicio (QoS) en Internet (Athina Markopouloua, 2006). Según (Ye, 2008) el Ancho de Banda puede definirse como la cantidad de datos transmitidos en una unidad de tiempo determinada, se expresa en bit por segundo (bps). El "Manejo de Congestión" es un término usado generalmente para nombrar los distintos tipos de estrategia de encolamiento que se utilizan para manejar situaciones donde la demanda de ancho de banda solicitada por las aplicaciones excede el ancho de banda total de la red, controlando la inyección de tráfico a la red, para que ciertos flujos tengan prioridad sobre otros (Edith Aparicio, Liliana Hernández, Fredy Sierra, 2007). Mediante el empleo de algoritmos de encolamiento se determina la manera en que se van a enviar los datos, ya que los datos que pueden ser modelados en una cola son solo aquellos que se transmiten. Las colas son espacios de almacenamiento donde los datos esperan ser trasmitidos 46 al receptor. El propósito de las colas es acomodar de manera transitoria los datos hasta su transmisión, este fenómeno se conoce como contención; cuando la cantidad de datos a transmitirse no pueden almacenarse o contenerse y existe pérdida de información ocurre la llamada congestión (Luoma). Las disciplinas de colas se clasifican en Colas Simples o sin clase y Colas con Clase; las primeras aceptan datos y se limitan a reordenarlos, retrasarlos, o descartarlos; las segundas se emplean cuando se tienen diferentes tipos de tráfico a los que se requiere dar un tratamiento individualizado. Las colas con clases se subdividen en Colas con Clase Jerárquicas y No Jerárquicas (Benvenuti, 2009). El objetivo de una disciplina de cola es cambiar el modo en que se envían los datos. A continuación se describen brevemente algunas de las disciplinas de cola más utilizadas: Primero en entrar - primero en salir (FIFO) Este mecanismo está dentro de las colas sin clase, maneja el algoritmo FIFO First In, First Out (el primero que entra es el primero que sale) e indica que ningún paquete recibe un tratamiento especial (Ye, 2008). Es adecuado para interfaces de alta velocidad, sin embargo, no para bajas, ya que FIFO es capaz de manejar cantidades limitadas de ráfagas de datos. Si llegan más paquetes cuando la cola está llena, éstos son descartados. No tiene mecanismos de diferenciación de paquetes (Edith Aparicio, Liliana Hernández, Fredy Sierra, 2007). Esta disciplina está compuesta por 3 bandas (0, 1 y 2) dentro de cada banda se aplican las reglas FIFO. Cada banda tiene distinta prioridad siendo la banda 0 la 47 de mayor prioridad y la banda 2 la de menor prioridad, es decir, los paquetes son decolados primero en la banda 0 luego la 1 y finalmente en la banda 2. Para determinar la banda a la que será enviado un paquete, es decir, su prioridad esta disciplina de encolamiento se basa en el campo ToS (Type of Service) del paquete IP (Bert, 2013). Token Bucket Filter (TBF) Es una disciplina de cola sencilla que se limita a dejar pasar paquetes que lleguen a un ritmo que no exceda un valor impuesto administrativamente, pero con la posibilidad de permitir ráfagas cortas que excedan esta tasa (Bert, 2013). TBF consiste en un búfer (bucket o balde), que se llena constantemente con piezas de información denominadas tokens, a una velocidad específica (token rate). El parámetro más importante del bucket es su tamaño, que es el número de tokens que puede almacenar. Cada token que llega toma un paquete de datos entrante de la cola de datos y se elimina del bucket (Bert, 2013). Asociar este algoritmo con los dos flujos (tokens y datos), da tres posibles situaciones: Los datos llegan a TBF a un ritmo igual al de tokens entrantes. Cada paquete entrante tiene su token correspondiente y pasa a la cola sin retrasos. Los datos llegan al TBF a un ritmo menor al de los token, por lo que sólo una parte de los tokens se borran con la salida de cada paquete que se envía fuera de la cola, acumulándose los tokens, hasta llenar el bucket. Los tokens sin emplear 48 podrán ser usados para enviar datos a velocidades mayores de la tasa de tokens, produciéndose en cuyo caso una corta ráfaga de datos. Los datos llegan al TBF a un ritmo mayor al de los tokens. Esto significa que el bucket se quedará pronto sin tokens, causando que TBF se acelere a sí mismo por un intervalo de tiempo. Este último escenario es muy importante porque permite ajustar administrativamente el ancho de banda a utilizar por los datos que pasen el filtro (Bert, 2013). La acumulación de tokens permite ráfagas cortas de datos, mientras que cualquier sobrecarga causará que los paquetes se vayan retrasando constantemente, y al final sean descartados (Bert, 2013). Stochastic Fairness Queueing (SFQ) Esta disciplina resulta una implementación simple de la familia de algoritmos de cola sin clase. Resulta menos preciso que los otros pero necesita menor cantidad de cálculos. En este tipo de cola, el tráfico se divide en un número bastante grande de colas FIFO, una por cada conversación, enviando el tráfico de una manera parecida a round robin dando a cada sesión, por turnos, la oportunidad de enviar datos (Bert, 2013). Su comportamiento es bastante equitativo y evita que una única conversación ahogue a las demás. SFQ sólo es útil en caso de que la interfaz real de salida esté realmente saturada. Es posible combinarlo con otros algoritmos y así lograr los mejor de ellos. 49 Disciplina de Colas Prio Este tipo de cola lo que hace es subdividir el tráfico en función de cómo se hayan configurado los filtros. Cuando se encola un paquete a la disciplina de colas PRIO, se escoge una clase basándose en las órdenes de filtrado que haya dado. Por defecto, se crean tres clases, las mismas que contienen disciplinas de colas FIFO sin estructura interna, pero se las puede sustituir por cualquier otra disciplina de colas disponible (Bert, 2013). Disciplina de Colas HTB (Hierarchical Token Bucket) La disciplina de encolamiento HTB reemplaza a la qdisc CBQ que es muy compleja y no es la más recomendable para muchas situaciones. La qdisc HTB se emplea para configuraciones donde se requiere dividir un ancho de banda fijo para diferentes propósitos, o para diferentes usuarios, dando a cada propósito o usuario un ancho de banda especifico, y adicionalmente determinar cuánto ancho de banda pude tomar prestado (borrow). Para su configuración HTB tienen muy pocos parámetros y para situaciones complejas, la configuración resulta perfectamente escalable; a diferencia de CBQ que incluso para los casos más simples presenta una configuración compleja (Bert, 2013). El objetivo de este trabajo es conseguir un uso eficiente del ancho de banda de acuerdo a los requerimientos de los usuarios, limitando el uso del ancho de banda existente por perfil de usuarios. La disciplina de colas que más se ajusta al 50 propósito de este proyecto es Hierarchical Token Bucket (HTB) por las razones siguientes: Permite subdividir el ancho de banda disponible del enlace en un ancho de banda fijo para cada uno de los perfiles de usuario. Permite crear un número de clases hijas para distribuir el ancho de banda según se requiera. Ofrece la posibilidad de realizar una configuración de forma sencilla. Permite una solución eficiente al poder configurarlo, con unas pocas líneas de código, empleando menos recursos de hardware Asignación Dinámica de Permisos La asignación dinámica de recursos de red como el ancho de banda, es uno de los indicadores que definen calidad de servicio en las redes de información. Es un mecanismo que permite mejorar niveles de accesibilidad de los usuarios a los recursos de red. Se pueden implementar mecanismos que controlen este proceso de asignación, y que además lo hagan de forma dinámica, en función de los privilegios que tenga cada grupo de usuarios y con el uso de herramientas desarrolladas para lograr este fin. Este es uno de los objetivos del presente trabajo y se pretende realizar con la implementación del protocolo RADIUS el cual está diseñado para cumplir estas funciones. Protocolos de comunicaciones y su implementación 51 La Real Academia de la Lengua Española en su diccionario esencial expresa que el campo de la información el término protocolo significa: conjunto de reglas que se establecen en el proceso de comunicación entre dos sistemas (RAE, 2013). Un significado ampliado expresa el sitio Wikipedia según el cual protocolo de comunicaciones es el conjunto de reglas y estándares que controlan la secuencia de mensajes que ocurren durante una comunicación entre entidades que forman una red, como teléfonos o computadoras (wikipedia, 2013). Un protocolo de comunicaciones es un conjunto de reglas y normas que permiten que dos o más entidades de un sistema de comunicación se comuniquen entre ellos para transmitir información por medio de cualquier tipo de variación de una magnitud física. Se trata de las reglas o el estándar que define la sintaxis, semántica y sincronización de la comunicación, así como posibles métodos de recuperación de errores. Los protocolos pueden ser implementados por hardware, software, o una combinación de ambos (Rodríguez-Aragón). Tomando como referencia lo anterior un protocolo define las reglas que gobiernan las comunicaciones a través de las redes. Son diseñados de manera tal que los sistemas estén preparados para soportar ataques maliciosos. Proteger una red contra todos los tipos de ataques resulta generalmente bastante costoso por lo que se implementan las medidas y los protocolos de comunicación de acuerdo a los riesgos a los que pudieran exponerse los sistemas. Existen premisas comunes bajos las cuales se diseñan todos los protocolos a utilizar en la configuración de una red. El protocolo TCP/IP fue creado para las 52 comunicaciones en Internet y para que una computadora pueda conectarse a Internet es necesario que tenga implementado este protocolo de comunicación. Para comprender mejor lo anterior se debe realizar un estudio del Modelo de Interconexiones de Sistemas Abiertos (OSI Open System Interconnection). Este modelo es un marco de referencia para la definición de arquitecturas en la interconexión de los sistemas de comunicaciones (Freeman, 2005). OSI es una normativa formada por siete capas que define las diferentes fases por las que deben pasar los datos para viajar de un dispositivo a otro sobre una red de comunicaciones (Zimmerman, 1980). Siguiendo el esquema de este modelo se crearon numerosos protocolos. El advenimiento de protocolos más flexibles donde las capas no están tan desmarcadas y la correspondencia con los niveles no era tan clara puso a este esquema en un segundo plano. Sin embargo se usa en la enseñanza como una manera de mostrar cómo puede estructurarse una "pila" de protocolos de comunicaciones. El modelo especifica el protocolo que debe usarse en cada capa, y suele hablarse de modelo de referencia ya que se usa como una gran herramienta para la enseñanza de comunicación de redes. Se trata de una normativa estandarizada útil debido a la existencia de muchas tecnologías, fabricantes y compañías dentro del mundo de las comunicaciones, y al estar en continua expansión, se tuvo que crear un método para que todos 53 pudieran entenderse de algún modo, incluso cuando las tecnologías no coincidieran. De este modo, no importa la localización geográfica o el lenguaje utilizado. Todo el mundo debe atenerse a unas normas mínimas para poder comunicarse entre sí (Zimmerman, 1980). De acuerdo a lo anterior es posible implementar los protocolos a varios niveles, por ejemplo: a nivel de enlace de datos se utilizan protocolos como PAP y CHAP que son rápidos pero tienen como principal desventaja que funcionan bien para enlaces dedicados y que los dispositivos deben estar físicamente conectados; a nivel de red se pueden implementar servicios de seguridad utilizando el protocolo IPSec que pertenece a la familia del protocolo IP, que no requiere modificar las aplicaciones, disminuye el flujo excesivo de negociación de claves y permite crear redes privadas virtuales (VPN por sus siglas en inglés) e intranets, sin embargo es difícil al utilizarlo manejar el No Repudio; a nivel de aplicaciones, para crear conexiones seguras entre dos sistemas sobre redes no seguras, se puede implementar el protocolo SSH, pensado para crear sesiones entre cuentas de usuarios para la función de autenticación; también a nivel de aplicaciones se utiliza el protocolo RADIUS que permite entre otras la asignación dinámica de recursos de red, en función de los privilegios de los grupos de usuarios. El objetivo de este trabajo es proporcionar una aplicación que permita el acceso a la red de los diferentes grupos de usuarios permitiendo el uso eficiente de los recursos tecnológicos disponibles de manera segura, flexible y con el costo mínimo; considerando las posibles amenazas a las que pueden estar expuestas las 54 redes de las PYMES y las vulnerabilidades que las mismas pudieran presentar. Dentro del desarrollo de este trabajo se emplearán diferentes protocolos para tratar de preservar la integridad de la información y acceso solo a usuarios autorizados a dicha información. A continuación se presenta un estudio de los protocolos de comunicaciones que se proponen para ser empleados dentro de la implementación de este proyecto; se analiza el protocolo RADIUS y se describen además los elementos principales de los protocolos IPSec, HTTPS y SSH, empleados para el aseguramiento de los segmentos de red, tanto de usuarios como de servidores. Protocolo RADIUS RADIUS (Remote Authentication Dial In User Service) es un protocolo de control de accesos desarrollado por Livingston Enterprises en 1991 y que la Internet Engineering Task Force (IETF) ha recogido en la publicación “Request for Comments” RFC 2865 (Autenticación y Autorización) y en la 2866 (Contabilización), diseñado y empleado para autenticar usuarios, basado en el método de desafío / respuesta. Es un protocolo para el control de acceso a la red, implementado en dispositivos como routers, switch y servidores, provee autenticación centralizada, autorización y manejo o contabilización de cuentas (AAA) (Hassell, 2002). Es un sistema de seguridad distribuido que garantiza el acceso remoto a redes y servicios de la red contra el acceso no autorizado (Hassell, Securing Public Access to Private Resources). 55 RADIUS consta de tres componentes: un protocolo con un formato de trama que utiliza el protocolo de datagramas de usuario (UDP), un servidor y un cliente (Cisco - TACACS+ and RADIUS Comparison). Dentro de las principales características del protocolo RADIUS están las siguientes (Cisco - TACACS+ and RADIUS Comparison) (Comments): Funciona bajo el modelo cliente-servidor: un Servidor de Acceso a la Red (NAS por sus siglas en inglés), opera como cliente de RADIUS. El cliente es responsable de transmitir a los servidores información de los usuarios, generalmente sus credenciales como nombre y contraseña. Los servidores se encargan de recibir las solicitudes de conexión de usuarios, autenticar al usuario y brindarle toda la información de configuración necesaria al cliente RADIUS para que pueda ofrecerle al usuario el servicio deseado. Los servidores RADIUS pueden actuar como clientes proxy de otros tipos de servidores de autenticación (Cisco - TACACS+ and RADIUS Comparison). Ofrece nivel limitado de seguridad en la red ya que aunque las comunicaciones entre el cliente y el servidor son validadas mediante un secreto compartido que no se envía por la red, solo se encripta la clave del usuario en los paquetes de solicitudes de acceso desde el cliente al servidor, utilizando el método de encriptación MD5. El resto del paquete no está encriptado pudiendo ser objeto de captura el nombre de usuario, servicios autorizados y la contabilización de estos. Adicionalmente se puede emplear la encriptación de las claves intercambiadas añadiendo mayor seguridad a la autenticación (Comments). 56 Los servidores RADIUS soportan varios esquemas de autenticación de usuario como: EAP (Extensible Authentication Protocol), PAP (Password Authentication Protocol) y CHAP (Challenge Handshake Authentication Protocol) y soportan varios orígenes de información como: una base de datos del sistema (/etc/passwd), o una base de datos interna (del propio servidor RADIUS), mecanismos PAM y otros como Active Directory, LDAP y Kerberos (Comments). Este es un protocolo extensible, pues permite agregar nuevos valores de atributo sin perturbar aplicaciones existentes del protocolo (Comments). Es un protocolo de la capa de aplicación que utiliza UDP como transporte. Los puertos oficialmente definidos por la Internet Assigned Numbers Authority (IANA) son el 1812 para la autenticación y el 1813 para la contabilización, pero están los puertos 1645 y 1646 no oficiales pero ampliamente usados en implementaciones de servidores y clientes RADIUS (IANA, 2013). RADIUS posee capacidad para el manejo de sesiones, notificando inicio/cierre de conexión, lo que permite determinar por cada usuario el consumo y facturar en consecuencia (CISCO, 2006). Las principales limitaciones del protocolo RADIUS son las descritas a continuación (Hassell, 2002): En primer lugar, la seguridad es un obstáculo para algunas implementaciones, aunque parezca irónico; si una implementación usa varios servidores RADIUS como proxy todos los saltos deben ver, analizar la lógica y transmitir todos los 57 datos en cada solicitud, ocultos o no. Esto significa que todos los datos estarán disponibles en cada salto, lo cual no es el ambiente más seguro en el que estén los datos sensibles como certificados y contraseñas. En segundo lugar RADIUS no tiene soporte para recordar y desasignar recursos, algunos fabricantes han desarrollado iniciativas para mitigar este problema sin embargo no está definido nada al respecto ni existe una disposición oficial sobre este tema en las especificaciones RFC. En tercer lugar RADIUS no mantiene el estado (lo que se conoce como un sistema apátrida) no hace un seguimiento de los valores de configuración, información de la transacción, o cualquier otro dato entre una sesión y la próxima; esto complica las soluciones de administración de sesiones y de recursos. Y, por último, los usuarios de RADIUS han señalado que tiene problemas de escalabilidad. En la primera página del RFC hay una nota de la IESG: "La experiencia ha demostrado que [RADIUS] puede sufrir pérdida en el rendimiento y la pérdida de datos cuando se utiliza en sistemas de gran escala, en parte debido a que no incluye disposiciones para el control de la congestión. Para los lectores de este documento puede resultar beneficioso seguir el progreso del Grupo de Trabajo AAA del Grupo de Trabajo de Ingeniería de Internet (IETF por sus siglas en inglés), el cual puede desarrollar un protocolo sucesor, que aborde mejor las cuestiones de escalabilidad y control de congestión". A pesar de sus limitaciones el protocolo RADIUS es muy conocido y usado, su base en el marco del estándar AAA lo convierte en una herramienta cuya 58 migración a otra superior no deberá provocar cambios traumáticos para los administradores en la configuración de la seguridad en las redes. Operación del protocolo RADIUS Cuando un usuario o equipo envía una solicitud a un servidor de acceso a la red (NAS por sus siglas en inglés) para obtener acceso a un recurso de red determinado, envía un paquete de solicitud con la lista de los servicios que se requieren. Esta información se transfiere al dispositivo NAS a través de los protocolos de la capa de enlace, por ejemplo el Protocolo Punto a Punto (PPP), quien redirige la petición a un servidor RADIUS, utilizando el protocolo RADIUS, solicitando el acceso a la red o al recurso requerido. Es decir, el cliente crea una solicitud de acceso (Access-Request) la cual contiene información como nombre de usuario, contraseña, identificador del cliente y puerto al cual el cliente está accediendo (Comments). El paquete de solicitud de acceso debe incluir el nombre de usuario, para identificar a la persona que intenta acceder, la dirección IP o nombre del equipo del cual se solicita el servicio, debe contener igualmente una contraseña o un identificador de estado (Hassell, 2002). En caso de que la contraseña forme parte de la información presentada por el usuario, esta se protege empleando el algoritmo de reducción criptográfico MD5 (Rivest, 1992). Se envía al servidor RADIUS, a través de la red, el paquete de solicitud de acceso, el servidor comprueba que la información es correcta utilizando algunos de los 59 esquemas de autenticación mencionados anteriormente (esto dependen del propio servidor RADIUS). Luego de un tiempo sin respuesta se puede reenviar la solicitud, igualmente se puede enviar la solicitud a uno o varios servidores alternativos, luego de varios intentos fallidos, en caso de que el servidor principal esté inactivo o inaccesible (Comments). Una vez que recibe la solicitud, el servidor RADIUS valida el cliente, si el cliente es válido, busca en su base de datos de nombres el usuario el que coincide con el requerimiento. La entrada del usuario en la base de datos contiene una lista de requisitos que deben reunirse para permitir el acceso al usuario. Esto siempre incluye comprobación de la contraseña, pero también puede especificar el cliente o puerto al que el usuario tiene acceso. Si el usuario no reúne alguna de las condiciones, el servidor RADIUS enviará un rechazo al acceso del mismo (Access-Reject), caso contrario enviará una aceptación de acceso al mismo (Access-Accept) conteniendo la información necesaria requerida para brindar el servicio solicitado por el usuario (Comments). Es posible configurar el servidor de forma tal que si se cumplen todas las condiciones necesarias y es correcta la información recibida en el paquete de solicitud de acceso, el servidor pueda enviar al cliente una respuesta del tipo “Reto de Acceso”, para que el usuario deba dar otra prueba para acceder al servicio solicitado. Puede ser por ejemplo un mensaje de texto con alguna pregunta que el usuario debe responder, en ese caso si la respuesta del usuario es correcta, el cliente envía nuevamente una solicitud de acceso con los datos 60 originales y una instancia del estado de los atributos, en estos casos el servidor puede responder con una aceptación de acceso, negación de acceso y otro reto de acceso (Comments). Puede darse también el caso en que el servidor RADIUS realice peticiones a otros servidores, con el fin de satisfacer la solicitud recibida, en estos casos actúa como un cliente (Comments). Durante el intercambio de información para la operación del protocolo RADIUS se pueden generar cuatro tipos de paquetes diferentes en dependencia de como transcurra la operación: paquete de solicitud de acceso (Access-Request); paquete de acceso aceptado (Access-Accept); paquete de reto de acceso (Access-challenge) y paquete de acceso negado (Access-Reject). A continuación se describen algunos detalles importantes de estos (Hassell, 2002): 1. Solicitud de Acceso: el paquete de solicitud de acceso se utiliza por el cliente cuando este realiza la petición de acceso a un recurso de red determinado. El cliente envía un paquete de solicitud de acceso al servidor RADIUS con la lista de servicios solicitados. El factor clave de esta transmisión es el campo “cabecera”, que establece el valor único del paquete de la solicitud. La especificación RFC indica que se deben responder todos los paquetes de solicitud válidos. 2. Acceso aceptado: los paquetes de acceso aceptado son enviados por el servidor RADIUS reconociendo que se da acceso al cliente según la solicitud realizada. Si todos los campos de la solicitud de acceso son aceptados entonces se envía el paquete de acceso aceptado, al recibirlo, el cliente lo compara con el paquete de 61 respuesta utilizando el campo del identificador, los paquetes que no coincidan se descartan. Para garantizar que el paquete de acceso aceptado se envía en respuesta al paquete de solicitud de acceso recibido el campo IDENTIFICADOR en ambos debe ser idéntico. 3. Reto de acceso: cuando el servidor recibe información contradictoria de un usuario o simplemente desea reducir los riesgos de una autenticación fraudulenta, puede emitir un paquete de reto o desafío de acceso al cliente, en estos casos el cliente debe realizar una nueva solicitud de acceso enviando nuevamente la información requerida. Cabe señalar que algunos clientes no aceptan el reto de acceso y en su lugar lo ven como un paquete de acceso rechazado. En otros casos los clientes no aceptan el reto y dan comienzo a un nuevo ciclo de paquetes de solicitud de acceso y respuestas. 4. Acceso rechazado: se le rechaza el acceso al usuario si al menos uno de los servicios solicitados en el paquete de solicitud debe ser rechazado. La negación puede estar basada en directivas del sistema, privilegios insuficientes o cualquier otro criterio que depende de la implementación específica de que se trate. El acceso rechazado puede ser enviado en cualquier momento, incuso durante la ejecución de una sesión, esto lo hace ideal para establecer y cumplir los límites de tiempo de conexión que se definan. Esta última característica no es compatible con todos los equipos existentes por tanto se debe verificar antes de aplicar. Como último elemento de operación protocolo trataremos el proceso de contabilización de uso de los servicios asignados al usuario. Este proceso 62 comienza una vez garantizado el acceso a la red y a sus recursos. En este proceso se registran datos del usuario como por ejemplo: identificación del usuario, dirección IP, punto de conexión, entre otros. A cada conexión se asigna un identificador de sesión único. Estos datos son actualizados periódicamente mientras la sesión esté activa; de igual manera se procede cuando se termina o cierra la misma. Este proceso está enfocado mayormente a la facturación al usuario por el uso de los servicios, aunque los datos recopilados pueden ser empleados para fines estadísticos (Hassell, 2002). Interacción de RADIUS con PAP y CHAP RADIUS es compatible con varios mecanismos utilizados para transmitir datos sensibles específicos del usuario, hacia y desde el servidor de autenticación. Los dos más comúnmente utilizados son el Protocolo de Autenticación por Contraseña (PAP) y el Protocolo de Autenticación por Desafío Mutuo (CHAP). RADIUS también permite más atributos y métodos desarrollados por los proveedores, incluyendo soporte para las características propias de Windows NT, Windows 2000 y otros sistemas operativos de red populares y servicios de directorio (Hassell, 2002). En el caso de autenticación PAP, el NAS envía un paquete de Acces-Request que contiene el identificador (nombre de usuario) y la contraseña, adicionalmente puede incluir atributos que indiquen al servidor RADIUS que se espera por el servicio PPP (Comments). 63 En el caso de CHAP, el NAS genera un valor aleatorio que se envía al usuario, el cual debe retornar una respuesta CHAP conteniendo el identificador CHAP-ID y el nombre de usuario CHAP-username. El NAS entonces envía un paquete Access-Request que contiene el nombre de usuario (CHAP-username), su identificador (CHAP-ID) y la respuesta como una contraseña CHAP, adicionalmente el NAS puede enviar atributos adicionales como en PAP, que indiquen que se espera el servicio PPP (Comments). Para validar el usuario CHAP, el servidor RADIUS busca la contraseña basado en el nombre de usuario, encripta el reto que envió el usuario con MD5 y compara el resultado con la contraseña CHAP, si los resultados concuerdan el usuario se autentica y el servidor RADIUS envía un paquete Access-Accept, en caso contrario, si el servidor RADIUS no puede realizar la autenticación solicitada, envía un paquete Access-Reject al cliente RADIUS (Comments). Formato del paquete RADIUS El protocolo RADIUS utiliza paquetes UDP para intercambiar información entre el cliente y el servidor. La comunicación se realiza por el puerto 1812, lo que significa un cambio respecto a la especificación RFC original. Inicialmente estas comunicaciones se realizarían por el puerto 1645 hasta que se comprobó que entraría en conflicto con el servicio DATAMETRICS. RADIUS utiliza una estructura de paquete predecible para comunicarse (Hassell, 2002). Un mensaje RADIUS consta de una cabecera o cabezal y sus atributos, cada uno de los cuales especifica una parte de la información requerida para el intento de 64 conexión. La estructura de los datos se divide en cinco campos o regiones bien definidas; cuatro de ellas conforman el encabezado (CÓDIGO, IDENTIFICADOR, LONGITUD y VERIFICADOR) y la quinta es el campo ATRIBUTOS (Hassell, 2002). La estructura de los paquetes RADIUS se describe a continuación (Comments): Código (Code): este es un campo de 1 octeto en el que se define el tipo de paquete a enviar. Existen nueve códigos válidos para nueve tipos de paquetes. Los paquetes con campo CÓDIGO no válido se desechan sin emitir notificación alguna. Los valores válidos para el campo CÓDIGO son: 1, 2, 3, 4, 5, 11, 12, 13 y 255 y responden a los tipos de paquetes siguientes: solicitud de acceso, acceso aceptado, acceso rechazado, solicitud de cuenta, respuesta de cuenta, reto de acceso, estado de servidor, estado de cliente, código reservado, respectivamente (Hassell, 2002). Identificador (Identifier): campo de 1 octeto, utilizado para relacionar una solicitud inicial y las correspondientes respuestas. Utilizando este campo los servidores RADIUS generalmente pueden interceptar mensajes duplicados mediante el examen de factores tales como la dirección IP de origen, el puerto UDP de origen, el lapso de tiempo entre los mensajes sospechosos y el campo identificador. Longitud (Length) del paquete: campo de 2 octetos, que guarda la longitud total del paquete, incluyendo los campos desde el código hasta los 65 atributos opcionales, resulta la suma de la longitud de todos los campos incluido él mismo. El campo de longitud se comprueba cuando un servidor RADIUS recibe un paquete para asegurar la integridad de los datos. En las especificaciones RFC se establece que al recibir un mensaje más largo que lo especificado en el campo LONGITUD se desecharán los datos que estén más allá del límite indicado por dicho campo; por otra parte, cuando el paquete resulta más pequeño que lo indicado en el campo LONGITUD se desestimará en su totalidad. La longitud mínima de los paquetes es de 20 bytes y la máxima de 4096 bytes. Verificador (Authenticator): este campo generalmente de 16 octetos, se utiliza para inspeccionar y verificar la carga útil del mensaje. El octeto más importante se transmite antes que cualquier otro, este contiene el valor que se utiliza para autenticar las respuestas desde el servidor RADIUS. Este valor también se utiliza en el mecanismo para ocultar las contraseñas. Hay dos tipos específicos de valores para el verificador: solicitud y respuesta. El valor del verificador tipo SOLICITUD se usa para los paquetes Solicitud de Autenticación y Solicitud de Cuenta. Este valor se genera completamente al azar con el fin de frustrar cualquier ataque. Mientras RADIUS no tiene una disposición para proteger la comunicación contra las escuchas telefónicas y la captura de paquetes, los valores aleatorios junto a una contraseña segura hacen difícil el espionaje y los ataques. 66 Por su parte, el valor del verificador tipo RESPUESTA (VR) se utiliza en los paquetes Acceso Aceptado, Acceso Rechazado y Solicitud de Cuenta. El valor se calcula usando un MD5 de un solo sentido, generado a partir de los valores: código (C), identificador (I), longitud (L) y el encabezado del campo verificador tipo solicitud (HVS), seguido por la carga útil del paquete o atributos (A) y el secreto compartido (S). A continuación se muestra un ejemplo de una ecuación para representar cómo se calcula este valor: VR = MD5 (C + I + L + HVS + A + S Atributos (Attributes): Este campo transporta los datos en las solicitudes y respuestas para la autenticación, autorización y contabilización; su tamaño se especifica en el campo LONGITUD y su final está marcado por este. El paquete RADIUS es encapsulado dentro del campo de datos de un paquete UDP, que como se especifica con anterioridad en este trabajo es el protocolo que utiliza RADIUS para el intercambio de información entre el cliente y el servidor. Protocolo IPSec La Red Privada Virtual (VPN) permite transmitir de forma segura los datos por la red pública (internet) usando un túnel conformado entre dos puntos que negocian parámetros de autentificación y encriptación para el transporte, lo cual permite el acceso remoto a servicios de red de forma segura y transparente, a través de un medio no seguro. Las VPN son redes de comunicación privada que utilizan la infraestructura de redes públicas, de este modo, los ordenadores distantes pueden 67 establecer una red lógica y crear túneles de comunicación segura a través de las conexiones públicas (Pagani, 2008). Los protocolos mayormente empleados en el establecimiento de VPNs, son Pointto-Point Tunneling Protocol (PPTP), Layer Two Tunneling Protocol (L2TP) e Internet Protocol Security (IPsec) (Joshi, 2008). Durante años ha estado en discusión el desarrollo o implantación de mecanismos de seguridad en Internet en la capa de aplicaciones (lo que implicaría cambios en todas las aplicaciones que se ejecutan sobre la red de redes), en la capa de transporte o en una capa intermedia entre ambas, finalmente el acuerdo fue desarrollar un protocolo en la capa de red independiente a las aplicaciones y que involucre lo menos posible a los usuarios; así surgió IPsec que se describe en el RFC 2401, 2402 y 2406, entre otros (Tanenbaum, 2003). En la actualidad IPsec se ha convertido en el estándar criptográfico para los servicios en la capa de red o capa IP, ofreciendo confidencialidad, integridad y autenticación de extremo a extremo. IPSec está diseñado para proporcionar interoperabilidad y seguridad basada en criptografía, es opcional para el estándar IPV4 y obligatorio para IPv6. Es el esfuerzo más ambicioso para integrar la seguridad en Internet (Joshi, 2008). IPsec puede ser empleado para proteger uno o más caminos, la característica de múltiples granularidades permite proteger una sola conexión TCP protegiendo todo el tráfico entre un par de hosts o entre routers intermedios que implementen 68 IPSec (Tanenbaum, 2003). En este trabajo será empleado en el aseguramiento de los enlaces punto a punto entre servidores. Visto a alto nivel, IPSec tiene dos partes, la primera formada por un par de encabezados agregados que permiten la habilitación de los servicios de seguridad y la segunda es soportada por la administración de claves basada sobre el estándar “Internet Security Association and Key Management Protocol” (ISAKMP/Oakley) (Joshi, 2008). El concepto fundamental manejado por IPSec es la Asociación de Seguridad (SA), que es una conexión lógica unidireccional entre dos entidades IPSec y que ofrece servicios de seguridad al tráfico establecido entre ellas. Una SA es una conexión simple (un solo sentido) con una o más de las características de seguridad disponibles (Joshi, 2008). Los servicios de seguridad son proporcionados por dos encabezados que se añaden al nivel de la capa de red, la Authentication Header (AH) y la Encapsulating Security Payload (ESP). La AH ofrece integridad de las conexiones, autenticación del origen y opcionalmente servicio para contrarrestar el reenvío. La ESP ofrece un servicio más completo, pues adicionalmente a los servicios ofrecidos por la AH, ofrece confidencialidad (Joshi, 2008). Las SA se establecen, negocian, modifican y eliminan usando Internet Security Association and Key Management Protocolo (ISAKMP). En él se definen los 69 formatos de paquetes para el intercambio de generación de claves y de autenticación de datos. Estos formatos no son muy interesantes porque ofrecen un marco único (la forma exacta de las claves y los datos de autenticación depende de la técnica de generación de claves, el sistema de cifrado, y el mecanismo de autenticación que se utilicen. Por otra parte, ISAKMP no especifica un protocolo de intercambio de claves particular, aunque sí sugiere la Internet Key Exchange (IKE) como una de las posibilidades, e IKE es lo que se utiliza en la práctica (Joshi, 2008). Algunas implementaciones de IPSec tienen fases adicionales entre las dos anteriores, para proporcionar autenticación adicional o enviar información al cliente. Ejemplos de estas son XAUTH, Modo Híbrido y Modo de Configuración, sin embargo, ninguna de los estas extensiones son normas formales (XAUTH es un borrador que IETF publicó en 1997 y es utilizado por Cisco, Nortel y otros; Modo Híbrido es un borrador que IETF publicó por primera vez en 1998 que es utilizado por Check Point, por su parte el Modo de Configuración es un proyecto de 2001, utilizado por Cisco, Check Point y otros) (Nab, 2008). IKE se utiliza como mecanismo de autenticación al establecer una conexión IPsec, soporta tres clases de métodos de autenticación: claves pre-compartidas (PSK), cifrado de clave pública y firmas digitales (Nab, 2008). Es importante señalar que IPsec proporciona seguridad sólo en la capa de red. Esto significa que los paquetes pueden ser protegidos desde el punto en el que entran en la red IP (interfaz IP del nodo de origen) hasta el punto en el que salen 70 de la red IP (interfaz IP del nodo de destino). IPsec no puede sustituir los mecanismos de seguridad adecuados de las aplicaciones o de la capa de transporte y no puede proteger contra los atacantes que toman el control de los nodos y/o procesos de origen o destino (Joshi, 2008). Por su parte permite ventajas dentro de la capa de red como son: encriptación, autenticación, control de acceso, verificación de integridad, protección sobre ataques de reenvío, limitación de ataques de análisis de tráfico, integración, interoperabilidad, entre otras (Joshi, 2008). Protocolo HTTPS En los inicios de la salida al público de Internet su uso era solo para la distribución de páginas estáticas, rápidamente surgió la idea de algunas empresas de incorporar la realización de transacciones más seguras que permitieran la implementación de operaciones financieras, banca online, y comercio electrónico; estas aplicaciones crearon una demanda creciente de establecer conexiones seguras. En 1995, Netscape Communications Corporation, compañía propietaria del navegador web comercial dominante en ese momento, respondió a las demandas del mercado con la introducción de un paquete de seguridad conocido como Capa de Conexión Segura (Secure Socket Layer SSL). Este software y su protocolo son ampliamente utilizados en la actualidad (Tanenbaum, 2003). SSL establece conexiones seguras entre dos sócalos, es empleado para establecer sesiones seguras entre el cliente (browser o navegador) y el servidor. Incluye parámetros de negociación entre cliente y servidor, autenticación mutua entre 71 cliente y servidor, comunicación secreta y protección de integridad de datos (Tanenbaum, 2003). Constituye una capa intermedia entre la capa de aplicaciones y la capa de transporte, aceptando solicitudes del navegador/cliente y enviando al servidor. Una vez establecida la conexión segura, la función principal de SSL es manejar la compresión y encriptación. HTTP sobre SSL o lo que es lo mismo HTTPS (Secure HTTP), es una extensión segura del Protocolo de Transferencia de Hipertexto (HTTP). Envía tráfico HTTP sobre la capa de conexión segura (SSL Secure Socket Layer), con el objetivo de encriptarlo y proporcionar un mecanismo de autenticación para las aplicaciones o sistemas finales; emplea el puerto 443, en lugar del típico puerto 80 utilizado por HTTP (Eyler, 2001). HTTPS funciona creando un túnel seguro entre el cliente/navegador y el servidor, mantiene la integridad de la información empleando algoritmos hash y la confidencialidad empleando encriptación. Para preparar un servidor web de manera tal que soporte conexiones HTTPS, el administrador de red debe crear un certificado de clave pública para el servidor web, este certificado a su vez debe estar firmado por una Autoridad de Certificación (AC) para que el cliente/navegador web lo acepte. La AC certifica que el titular del certificado es quien dice ser. Los navegadores generalmente se distribuyen con los certificados firmados por la mayoría de las AC de manera tal que puedan verificar certificados firmados por ellas. 72 Cuando los usuarios tratan de acceder a un sitio web seguro mediante HTTPS, por lo general ven un cuadro de diálogo solicitando la aceptación del certificado enviado por el servidor web, esto significa una aplicación que establece una estrecha alianza entre el motor de HTTP y la pila de protocolos de aplicación de la SSL (Joshi, 2008). Es importante resaltar que el uso de HTTPS no impide o limita en modo alguno el uso de HTTP, por el contrario cuando se utiliza es que ocurre lo descrito anteriormente. En 1996, Netscape presentó SSL a través de IETF con el objetivo de realizar su normalización. El resultado fue TLS (Transport Layer Security). El cual se describe en el RFC 2246. Los cambios realizados en SSL fueron aparentemente pequeños, pero lo suficiente para que la versión 3 de SSL no sea compatible con TLS y por tanto no pueden interactuar. La versión TLS también se conoce como versión SSL 3.1 (Tanenbaum, 2003). Las primeras implementaciones aparecieron en 1999, pero en la actualidad TLS no ha logrado reemplazar por completo a SSL en la práctica, a pesar de que es ligeramente más fuerte. Las principales limitaciones de HTTPS son: El nivel de protección va en función del navegador, los algoritmos de cifrado, y el software en el servidor. Cuando se aplica para publicar contenido estático se torna vulnerable. 73 Los servidores SSL únicamente pueden presentar un certificado por c/u combinación de puerto/dirección ip, por lo mismo no se recomienda usar hosting virtual. Protocolo SSH SSH es la aplicación que sustituye determinadas herramientas de acceso remoto utilizadas en los sistemas UNIX, por ejemplo rsh (Remote Shell) o rcp (Remote Copy), por nuevas aplicaciones que elevan el nivel de seguridad. El nombre de esta aplicación es la abreviatura de Secure Shell, que viene a significar: “versión segura del programa Remote Shell” (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). La aplicación define un protocolo propio para la transmisión segura de los datos, el protocolo SSH. Este protocolo se sitúa directamente por debajo de la capa de transporte, (concretamente del transporte TCP) y proporciona servicios análogos a los del protocolo SSL/TLS. Aparte de establecer conexiones seguras, el protocolo SSH también ofrece otras funcionalidades como, por ejemplo, la redirección de puertos TCP o la comunicación entre clientes y servidores de ventanas X, a través de una conexión SSH (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). Dentro de las características principales del protocolo SSH destacan por ejemplo: Confidencialidad: la confidencialidad de los datos se garantiza mediante cifrado, se aplica un cifrado simétrico por lo que resulta necesario realizar previamente un intercambio seguro de claves entre el cliente y el servidor, 74 una diferencia respecto a SSL es que permite el uso de cifrado distinto en ambos sentidos de la comunicación. Un servicio adicional que proporciona SSH es la confidencialidad de la identidad del usuario y además permite ocultar ciertas características del tráfico como por ejemplo, la longitud real de los paquetes. Autenticación de entidad: mecanismos para autenticar tanto el ordenador servidor como el usuario que se quiere conectar. La autenticación del servidor suele realizarse conjuntamente con el intercambio de claves. Para autenticar al usuario existen distintos métodos unos requieren la autenticación de la computadora donde está el cliente mientras otros permiten que el usuario, debidamente autenticado acceda desde cualquier computadora. Autenticación de mensajes: la autenticidad de los datos se garantiza añadiendo a cada paquete un código MAC calculado con una clave secreta. También existe la posibilidad de utilizar algoritmos MAC distintos en cada sentido de la comunicación. Eficiencia: SSH contempla la compresión de los datos intercambiados para reducir la longitud de los paquetes, también permite negociar el algoritmo que se utilizará en cada sentido de la comunicación, aunque solamente existe uno definido en la especificación del protocolo (RFC 1950–1952). A diferencia de SSL, en SSH no está prevista la reutilización de claves de sesiones anteriores: esto se debe a que SSH está pensado para 75 conexiones de larga duración y no para conexiones cortas pero consecutivas (típicas del protocolo de aplicación HTTP). De todas formas SSH define mecanismos para intentar acortar el proceso de negociación. Extensibilidad: .En SSH también se negocian los algoritmos de cifrado, de autenticación de usuario, de MAC, de compresión y de intercambio de claves. Cada algoritmo se identifica con una cadena de caracteres que representa su nombre. Los nombres pueden corresponder a algoritmos oficialmente registrados, o bien a algoritmos propuestos experimentalmente o definidos localmente. La capa de transporte seguro de SSH se puede analizar dividida en dos niveles; en el nivel inferior de la capa SSH se sitúa el protocolo de paquetes SSH y en la superior existen tres protocolos: el protocolo de capa de transporte, el protocolo de autentificación de usuario y el protocolo de gestión de las conexiones. En la capa inferior, el protocolo de paquetes se encarga de construir e intercambiar las unidades del protocolo o paquetes SSH; el protocolo de capa de transporte se encarga del establecimiento de la conexión de transporte, de la autentificación del servidor y del intercambio de claves, y de las peticiones de servicio de los demás protocolos; por su parte el protocolo de autenticación de usuario actúa en función del método de autenticación utilizado (SSH puede utilizar al menos 5 protocolos de autenticación) y por último el protocolo de conexión gestiona las sesiones 76 interactivas para la ejecución remota de comandos, mandando los datos de entrada de cliente a servidor y los de salida en sentido inverso, también se encarga de la redirección de puertos TCP. El protocolo SSH (Secure Shell), ofrece además la posibilidad de redirigir puertos TCP sobre un canal seguro, que podemos considerar como un túnel a nivel de transporte. Desde este punto de vista, también se podría considerar una conexión SSL/TLS como un túnel a nivel de transporte que proporciona confidencialidad y autenticación. Habitualmente, este último tipo de túnel no sirve para cualquier tipo de tráfico si no solamente para datos TCP, y por tanto no se considera parte integrante de una VPN (Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil, 2007). La idea de emplear SSH es que resulta fácil de emplear para un usuario convencional y permite crear conexiones seguras entre dos sistemas. Los problemas puntuales que soluciona SSH son, intercepción de la comunicación entre dos sistemas y personificación de un determinado host. Considerando las ventajas que brinda este protocolo y la seguridad que emplea tanto en el establecimiento de las comunicaciones como en el intercambio de datos en una conexión ya establecida, se consideró conveniente emplearlo para la administración remota de los servidores, pues como la implementación se realiza sobre el sistema operativo LINUX, el mismo permite establecer sesiones SSH. 77 Estándar 802.1X IEEE 802.1X es un estándar diseñado originalmente para Redes de Área Local (LAN por sus siglas en inglés) con el fin de direccionar accesos a redes abiertas. En la actualidad se utiliza ampliamente para proporcionar control de acceso en redes empresariales de tipo WLAN (Pagani, 2008). IEEE 802.1X trabaja en capa dos del modelo OSI, para autenticación y autorización de dispositivos en conmutadores (switches) LAN y puntos de acceso inalámbrico (WAP Wireless Access Point). El 802.1X es un estándar para el control de acceso a la red basado en puerto, es decir permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o evitando el acceso por ese puerto si la autenticación falla. Permite implementar un acceso seguro, empleando medios de comunicación como Ethernet, Token Ring y LANs inalámbricas (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). El estándar 802.1X se utiliza asociado al protocolo de autenticación Protocolo de Autenticación Extensible (EAP por sus siglas en inglés) empleado tanto en redes cableadas como inalámbricas. EAP al ser un protocolo de autenticación genérico, está diseñado para soportar múltiples métodos de autenticación, por ejemplo, autenticación de usuario basado en nombre y contraseña, empleo de certificados digitales, tarjetas inteligentes, ticket kerberos, entre otros (Joshi, 2008). IEEE 802.1x trabajando de conjunto con EAP provee un marco de trabajo para una autenticación de usuario fuerte (Pagani, 2008). 78 El uso de IEEE 802.1x asegura que solo los usuarios autenticados tienen garantizado el acceso a través de los puertos controlados por el Autenticador. Hasta que un usuario no se autentique el Suplicante solo puede comunicarse con el servidor de autenticación, enviando y recibiendo mensajes de intercambio para la autenticación a través de los puertos controlados por el Autenticador (Pagani, 2008). Los mensajes de autenticación son manipulados por el protocolo EAP; esto implica que el tráfico permitido entre el nodo Suplicante y el punto de acceso es EAP hasta que el nodo sea autenticado. Los mensajes de autenticación se envían utilizando un protocolo de encapsulación, EAP sobre LAN: EAPOL, este protocolo permite el uso de las direcciones MAC como direcciones de destino (Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., & Levkowetz, H., 2004). En nodos inalámbricos, los mensajes de autenticación intercambiados entre el Autenticador y el servidor de autenticación, se transportan usando diferentes protocolos en dependencia del tipo de servidor de autenticación que se utilice. Por ejemplo si se utiliza un servidor de autenticación RADIUS entonces se usa el protocolo RADIUS. El Autenticador no toma parte en el proceso de autenticación como tal, solo juega el papel de intermediario entre el suplicante y el servidor de autenticación pasando los mensajes de autenticación entre ellos (Pagani, 2008). El protocolo EAPOL define 5 mensajes de autenticación típicos: EAPOL-Inicio, EAPOL-Llave, EAPOL-Paquete, EAPOL-Encapsulado y EAPOL-Fin; de ellos 79 solo el EAPOL-Paquete contiene mensajes EAP (Madjid Nakhjiri, Mahsa Nakhjiri, 2005). Los componentes que intervienen en 802.1X son los siguientes (Domenech, 2003): El Suplicante: es el dispositivo que solicita acceso a la red, generalmente el usuario y su equipo. Típicamente no se diferencian el usuario final o el dispositivo desde el cual este intenta acceder a la red. El Autenticador: Es la entidad encargada del control de acceso a nombre de la red. Suele ser el dispositivo que se asegura de la autenticación del Suplicante. En las redes modernas “subcontrata” al servidor de autenticación para ello el Suplicante accede a la red a través suyo, de esta forma el Autenticador resulta un dispositivo intermediario que reenvía las tramas desde el Suplicante hasta el Servidor de Autenticación. El Servidor de Autenticación: es la entidad central que acepta las solicitudes de autenticación que recibe desde el Autenticador y realiza la autenticación. Puede decirse que provee al Autenticador del servicio de Autenticación, valida la identidad a partir de las credenciales entregadas por el Suplicante y determina si este tiene permiso para conectarse a la red o no. El proceso de autenticación 802.1X/EAP, ocurre de la forma siguiente: 80 Primero: el suplicante indica que desea realizar una autenticación EAP enviando una trama EAPOL-Inicio hacia el Autenticador. Segundo: el Autenticador envía una trama EAP-requerimiento/identidad, solicitando al suplicante que envíe algunos campos de información de identidad. La información específica depende del tipo de EAP usado, por ejemplo: en EAPMD5 será el nombre de usuario, mientras que en EAP-TLS la información solicitada será un certificado digital. Tercero: se produce el intercambio de tramas entre el suplicante y el servidor de autenticación, en este punto el Autenticador solo actúa como un intermediario que reenvía las tramas entre estos dos. En ese momento se realiza el proceso de autenticación del usuario. Si la autenticación es exitosa, una trama EAP - exitosa es enviada al Suplicante. Cuarto: En caso de que el tipo de EAP soporte asignación de llaves de encriptación dinámica, el siguiente paso para el suplicante y el servidor de autenticación es deducir la llave de encriptación. Ellos realizan esta tarea en base a la información intercambiada en el proceso de autenticación, o basada en la información pre-configurada en las dos estaciones. Posterior a este paso el Suplicante y el Servidor de Autenticación conocen la llave de encriptación que el Suplicante usará, pero el Autenticador no la conoce. Quinto: El servidor de autenticación entregará la llave de encriptación al Autenticador en un campo atributo de la trama RADIUS, dicho campo se encripta usando la clave secreta conocida por el servidor RADIUS y el punto de acceso. 81 En este momento la llave de encriptación es conocida por las tres piezas del modelo 802.1X/EAP y la comunicación puede comenzar. Es válido aclarar que el empleo del protocolo RADIUS es opcional dentro del estándar IEEE 802.1X, pues existen varios Autenticadores IEEE 802.1X que funcionan como cliente/servidor de autenticación a la vez. En este trabajo se propone el uso del protocolo RADIUS que es además un protocolo estándar de AAA. FUNDAMENTACIÓN LEGAL Desde los años ochenta del pasado siglo, las Naciones Unidas han venido promoviendo por medio de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) una adecuación de las diferentes legislaciones mundiales a sus leyes modelos, entre los documentos aprobados por dicha comisión están, por ejemplo: la Ley Modelo sobre Comercio Electrónico (CNUDMI, 1998) y la Ley Modelo sobre Firmas Electrónicas (CNUDMI, Ley Modelo sobre Firmas Electrónicas, 2001). En Sudamérica, el primer país que se preocupó por estos temas fue Colombia, ya que en 1999 publicó la Ley 527, la misma que regula el comercio electrónico, las firmas digitales y las entidades de certificación; en el mes de mayo del año 2000 Perú publicó la Ley 27269, sobre Ley de Firmas y Certificados Digitales; le siguen en el 2001 Argentina y Venezuela; y luego Chile y Ecuador en el año 2002; por su parte Bolivia expidió la Ley de Documentos, Firmas y Comercio electrónico, en agosto de 2007 (Gutiérrez, 2008). 82 En el Ecuador se mantiene el precepto de que la información es un bien jurídico a proteger, por tanto se mantienen leyes y decretos que establecen apartados y especificaciones acordes con la importancia de las tecnologías, ejemplo de ellas son las siguientes: 1) Ley Orgánica de Transparencia y Acceso a la Información Pública (OMPI, Ecuador Ley Orgánica de Transparencia y Acceso a la Información Pública, 2004). 2) Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos (OMPI, ECUADOR Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, 2002). 3) Ley de Propiedad Intelectual (OMPI, Ecuador, Ley de Propiedad Intelectual, 2008). 4) Ley Especial de Telecomunicaciones (Ecuador, 1992) 5) Ley de Control Constitucional (Reglamento Habeas Data) (ECUADOR, 2009). HIPÓTESIS Si se plantea un diseño y configuración adecuada de las herramientas de software para la administración de las redes de información en las PYMEs, entonces se garantizará eficiencia en el uso de los recursos tecnológicos disponibles en esas organizaciones. 83 VARIABLES DE LA INVESTIGACIÓN Variables independientes: Nivel de personalización de las herramientas de administración de redes: capacidad de las herramientas de software para la administración de las redes de adaptarse a las características de las PYMEs, teniendo en cuenta las características generales de operación de las redes en estas organizaciones, con posibilidad de incorporar diferentes criterios de evaluación. Nivel de interoperabilidad a alcanzar por las herramientas de software para la administración de las redes de información: habilidad, capacidad o estado a alcanzar que tienen las herramientas de software para la administración de las redes, para transferir, intercambiar información y utilizar la información intercambiada del resto de las herramientas en un entorno PYME. Variables dependientes: Niveles de seguridad en las redes PYMEs: nivel de satisfacción de los usuarios con los servicios de acceso e intercambio de información por la red, dado por la confidencialidad, integridad y disponibilidad. Calidad de servicios de las redes: nivel de satisfacción de los usuarios con los recursos tecnológicos disponibles en la red, dado por la velocidad de respuesta de esta y la asignación dinámica de permisos de acuerdo a las asignaciones por grupos de usuarios. 84 DEFINICIONES CONCEPTUALES Ancho de banda: es la máxima cantidad de datos que pueden pasar por un camino de comunicación en un momento dado, normalmente medido en segundos. Cuanto mayor sea el ancho de banda de una red, más datos podrán circular por ella al segundo (OSIN, 2013). Información: Acción y efecto de informar / Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada / Conocimientos así comunicados o adquiridos (RAE, 2013). Agregación de datos que tiene un significado específico más allá de cada uno de éstos. La información ha sido siempre un recurso muy valioso, revalorizado hoy más aún por el desarrollo y la expansión de las Tecnologías de la Información y de las Comunicaciones (OSIN, 2013). Internet: Vasta colección de redes distintas que usan y proveen centenares de protocolos y servicios comunes. Es un sistema inusual que no ha sido planificado ni es controlado totalmente por nadie (Tanenbaum, 2003) / Red de redes que permite la interconexión descentralizada de computadoras a través de un conjunto de protocolos denominado TCP/IP (WordPress, 2008) / Conjunto de redes informáticas interconectadas que permiten la comunicación simultánea y recíproca entre millones de usuarios en todo el mundo. Carece de centros precisos, es de propiedad fragmentada y compartida, y su acceso es libre en muchas áreas o restringido en otros por cuestiones concretas (Veronica, 2011) / Red de telecomunicaciones nacida en 1969 en los EE.UU. a la cual están conectadas 85 centenares de millones de personas, organismos y empresas en todo el mundo, mayoritariamente en los países más desarrollados, y cuyo rápido desarrollo está teniendo importantes efectos sociales, económicos y culturales, convirtiéndose de esta manera en uno de los medios más influyentes de la llamada Sociedad de la Información y en la Autopista de la Información por excelencia. Fue conocida como ARPANET hasta 1974 (OSIN, 2013). Password: Conjunto de caracteres alfanuméricos que permite a un usuario el acceso a un determinado recurso o la utilización de un servicio dado (OSIN, 2013). Protocolo: Conjunto de reglas y procedimientos que rigen las unidades funcionales para lograr la comunicación (envío y recepción de datos) a través de una red (Freeman, 2005). Red: Conjunto de elementos organizados para determinado fin / Conjunto de computadoras o de equipos informáticos conectados entre sí que pueden intercambiar información (RAE, 2013). 86 CAPÍTULO III: METODOLOGÍA DISEÑO DE LA INVESTIGACIÓN Modalidad de la Investigación El presente trabajo se desarrolla mediante la modalidad de proyecto factible y contribuye a solucionar problemas que hoy son un reto para muchos administradores de red de pequeñas y medianas empresas. Tipo de investigación. El presente trabajo se desarrolló de acuerdo a varios criterios el primero de ellos establece que los objetivos de investigación para este proyecto no son precisamente sobre la intención de producir un conocimiento nuevo sino de realizar una aplicación para la resolución de un problema. Por el lugar en el que se realizó es una investigación de campo ya que se llevó a cabo en el mismo lugar donde se producen los acontecimientos: la red en una empresa mediana del tipo PYME. Si analizamos la naturaleza de la investigación podemos clasificarla en una investigación de acción, debido a que contribuye a la solución de un problema concreto, sin embargo las decisiones principales las toma la alta dirección de la empresa. Es además una investigación descriptiva que detalla los hechos según como aparecen en la realidad. Se propone como un proyecto factible ya que constituye 87 un modelo práctico que permite solucionar problemas detectados luego de un diagnóstico. POBLACIÓN Y MUESTRA Población La población en la que se realiza esta investigación se circunscribe a las pequeñas y medianas empresas del Ecuador que cuenten con una infraestructura de red centralizada o distribuida, especialmente en la ciudad de Guayaquil; en la actualidad este tipo de empresas sobrepasa las 16 000 en todo el país, siendo el sector comercial el de mayor peso. Muestra Aproximadamente el 37% del total de PYMES del país están ubicados en Guayaquil, segunda ciudad más importante, por lo que existen 5 920 empresas reconocidas como PYMES, para la aplicación de este trabajo de titulación definiremos como población 15 de las empresas PYMES que cuenten con las características deseadas, tomando en consideración un error de estimación del 6% y utilizando la fórmula para el cálculo de la muestra de acuerdo a la Universidad Libertador de Venezuela (CIRTERPLAN) que plantea: n Dónde: m e ( m 1) 1 2 n = Tamaño de la muestra m= Tamaño de la población (15) E= error de estimación (6%) Sustituyendo los valores escogidos se obtiene un valor para la muestra de 88 15 (0.06) 2 (15 1) 1 15 n (0.0036)(14) 1 15 n 0,0504 1 15 n 1,0504 n 14 n En el proceso de selección de la muestra se utilizaron los criterios siguientes: - Se consideraron como PYMES estándares las organizaciones con al menos 50 personas en la nómina. - Todas las PYMES de la muestra cuentan con una infraestructura de red promedio de 4 puestos de trabajo como mínimo, por lo cual existen aproximadamente 23 680 ordenadores conectados a la red. - Como promedio se conectan a la red diariamente de forma unísona 16 560 usuarios durante el horario de trabajo. - El Ancho de banda se administra en función de los privilegios establecidos por la alta dirección en la organización. - Se aplicaron encuestas al menos a un administrador de red por cada una de las empresas seleccionadas. 89 OPERACIONALIZACIÓN DE VARIABLES Como se menciona en el Capítulo 2 de este trabajo, las variables definidas para esta investigación son las siguientes: Variables independientes: Nivel de personalización de las herramientas de administración de redes: capacidad de las herramientas de software para la administración de las redes de adaptarse a las características de las PYMEs, teniendo en cuenta las características generales de operación de las redes en estas organizaciones, con posibilidad de incorporar diferentes criterios de evaluación. Nivel de interoperabilidad a alcanzar por las herramientas de software para la administración de las redes de información: habilidad, capacidad o estado a alcanzar que tienen las herramientas de software para la administración de las redes, para transferir, intercambiar información y utilizar la información intercambiada del resto de las herramientas en un entorno PYME. Variables dependientes: Niveles de seguridad en las redes PYMEs: nivel de satisfacción de los usuarios con los servicios de acceso e intercambio de información por la red, dado por la confidencialidad, integridad y disponibilidad. Calidad de servicios de las redes: nivel de satisfacción de los usuarios con los recursos tecnológicos disponibles en la red, dado por la velocidad de 90 respuesta de esta y la asignación dinámica de permisos de acuerdo a las asignaciones por grupos de usuarios. En el Cuadro 2 se muestra la operacionalización de las variables de la investigación: CUADRO N.2 Matriz de Operacionalización de variables. Variables Dimensiones Indicadores V. I. Herramientas seleccionadas: - Freeradius - Pfsense 2.1 (FreeBsd) - Paquete Squid (proxy) - Paquete DHCP - Paquete traffic shapper (control ancho de banda) - Niveles de uso de las herramientas - Niveles de configuración Herramientas seleccionadas: - Freeradius - Pfsense 2.1 (FreeBsd) - Paquete Squid (proxy) - Paquete DHCP - Paquete traffic shapper (control ancho de banda) - Niveles de disponibilidad de cada herramienta - Niveles de velocidad de respuestas a las solicitudes de cada herramienta Documentación por fichaje / Fichas de caracterización de configuración de las herramientas. Niveles seleccionados: - Capa 3 - Capa 4 - Seguridad: o ALTA o MEDIA o BAJA Registro de Logs de las herramientas de software para la administración de redes Nivel de personalización de las herramientas de administración de redes V. I. Nivel de interoperabilidad a alcanzar por las herramientas de software para la administración de las redes de información V.D. Niveles de seguridad en las redes PYMEs Técnicas / Instrumentos - Encuesta a los administradores de red de las PYMES seleccionadas / Cuestionario - Documentación por fichaje / Fichas de caracterización de configuración de las herramientas. 91 V. D. Calidad de servicios de las redes Servicios seleccionados: - Ancho de Banda - Acceso a los recursos LAN - Acceso a Internet Satisfacción de los usuarios sobre los servicios de las redes Encuesta a los administradores de la red / Cuestionario Elaboración: Manuel Delgado S Fuente: Datos de la investigación Instrumentos de Recolección de Datos Técnicas Para la obtención de los datos y la información necesaria durante la realización de este proyecto se utilizaron dos técnicas de campo la primera fue la entrevista y la segunda la encuesta las cuales nos permitirán caracterizar el entorno a partir de las percepciones que sobre el mismo tienen los administradores de red de las PYMES escogidas, haciendo énfasis en la percepción que el usuario final tiene con respecto a la calidad del servicio de las redes de datos, ejerciendo una figura de receptor e interprete. Igualmente se utilizó la técnica documental de fichaje para recolectar y almacenar las características técnicas de las redes revisadas. Instrumentos Los instrumentos utilizados para obtener la información necesaria para realizar el proyecto son Guión de entrevista, Cuestionario y Fichas. 92 El objetivo de la entrevista es la obtención de respuestas que tengan validez, la perfección de esta técnica se logra mediante la experiencia adquirida. Las características generales de la entrevista son: Debe ser válida y confiable Ser iniciadas con preguntas simples El entrevistador no debe permitir ser entrevistado La entrevista se debe desarrollar en un escenario adecuado en el que no se tengan interrupciones, teniendo un marco previo de confianza y amabilidad. Al finalizar se debe agradecer por la colaboración del entrevistado. El entrevistador debe contar con la capacidad de asimilar y transcribir la información obtenida, a su vez deberá ayudarse con una GUIA en donde estén definidos los objetivos. En el transcurso de la entrevista, se anotara en las fichas de trabajo los resultados obtenidos por el entrevistador, la cuales deberán ser el fiel reflejo de la información que se obtuvo. Se utilizará para la aplicación de este proyecto la entrevista focalizada, mediante la cual el investigador recabara toda la información referente a los tópicos del tema tratado. 93 La encuesta es una herramienta que nos permitirá obtener la información que se desea del entrevistado mediante preguntas elaboradas, lo cual nos facilitará tabular posteriormente dicha información. La encuesta se realiza con las mismas preguntas en el mismo orden y en un escenario en común a todos los entrevistados, de tal manera que lo único que diferenciará una de otra es la percepción del tema de las personas que conforman la entrevista al responder. Las encuestas se pueden clasificar según la finalidad, el contenido, el procedimiento que se utilice para su aplicación o su dimensión temporal. Se realizará una encuesta exploratoria que nos permitirá elaborar el análisis de forma apropiada, mediante el desarrollo de la hipótesis del tema investigado, así como identificar las variables de la investigación y en consecuencia determinar si es factible el estudio, este tipo de encuesta se aplica cuando la información que tenemos del tema de estudio es escasa.. Para garantizar la validez de este instrumento se seguirán los pasos siguientes en su diseño: Definir teóricamente lo que se analizara (fenómeno a estudiar). Diseñar la encuesta que se aplicara a los entrevistados. Definir las variables de lo que se analizara (fenómeno a estudiar). Definir la técnica o técnicas estadísticas que se utilizarán. 94 Se evaluarán los recursos disponibles para la elaboración del proyecto, (económicos tiempo, personal, etc). Se seleccionara la muestra de nuestra investigación Se deberá seleccionar correctamente personal que tenga perfil para brindarnos información válida y concreta. Se elaborara el cuestionario de manera que su aplicación nos permita recibir la información deseada de manera eficiente, deberá contar con la siguiente estructura: Preguntas precisas y claras. Se debe llevar un orden en las preguntas: o Las preguntas deben dividirse por grupos de temas. o Las preguntas en los temas deben ser numeradas Se deberá utilizar vocabulario adecuado. Durante el diseño el investigador debe asegurarse de que la pregunta en realidad tiene solo cuatro respuestas (excelente, buena, regular, deficiente); se asume que el personal a quien se aplicara la plantilla tiene el perfil para responder cada una de las preguntas. Para garantizar la calidad de la entrevista y las encuestas se utilizaron en este proyecto como requisitos a cumplir por el encuestador las siguientes: 95 El entrevistador deberá manejar muy bien los conceptos del tema. Se deben manejar preguntas claramente definidas cuyo significado sea igual tanto para el entrevistado como para el entrevistador. Tener la capacidad para interpretar correctamente las respuestas del entrevistado. No se permite sugerir respuestas al entrevistado. Mantener la atención del entrevistado. La técnica documental de fichaje se enfoca en organizar y recolectar la información mediante el uso de fichas. .Las fichas tradicionales son de cartulina; pero de ser el caso se puede utilizar el formato de dichas fichas y elaborarlas digitalmente lo cual es muy común hoy en día y supone un respaldo ya que podemos almacenar digitalmente la información recabada. El uso práctico del fichaje se basa en el acompañamiento en las investigaciones y estudios específicos, se realizarán anotaciones de los aspectos más relevantes, conceptos, datos prácticos, técnicos o de cualquier otra índole. Uno de los típicos ejemplos es el de las fichas usadas en las bibliotecas donde cada libro tiene una ficha con la información acerca del mismo, lo que sirve para catalogarlo. Estas se llaman fichas catalográficas. El uso de este tipo de fichas es 96 muy importante porque ofrece un método de organización y clasificación flexible y adaptable de acuerdo a la necesidad en una determinada situación. Para la ejecución de este proyecto se elaboró una ficha de tipo mixta para cada una de las herramientas utilizadas para la administración de las redes que se analizaron, las principales características técnicas de su configuración y ciertas cualidades que permiten caracterizar los niveles de integración entre ellas. PROCESAMIENTO Y ANÁLISIS El procesamiento de los datos se realizará de forma mecánica, es decir se utilizarán medios de cómputo para procesarlos. Fundamentalmente tablas en Microsoft Excel que permitan posteriormente su análisis en tablas y gráficos. Las encuestas se aplicarán de forma digital para facilitar su tabulación y disminuir los márgenes de error. Primeramente se revisarán los instrumentos aplicados, luego se tabularán los datos recogidos por cada uno de los aspectos medidos, luego se calcularán los indicadores determinados y por último se diseñarán los cuadros estadísticos y gráficos a partir de los datos procesados; los pasos anteriores servirán de base para el análisis e interpretación de los resultados. Análisis e Interpretación de Datos La investigación de campo fue aplicada a través de una encuesta a 14 administradores de red de las empresas que conforman la muestra. Una vez realizadas las encuestas y entrevistas se obtuvieron los siguientes datos para validar la factibilidad del proyecto. 97 Resultado de las encuestas Administradores de Red 1) Como considera usted el diseño topológico y elementos comunicaciones empleados en la infraestructura de red de su empresa: de Cuadro N. 3 Resultados Pregunta 1 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular Valor 2 9 3 Porcentaje 14,29% 64,29% 21,43% deficiente 0 0,00% Total 14 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 1 Pregunta 1 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 14,29% considera que la infraestructura de red de su lugar de trabajo es excelente, el 64,29% que es buena, el 21,43% que es regular y el 0% que es deficiente, se observa que la topología en la mayoría de empresas no es bien definida (estrella, árbol, anillo, mixta). 98 2) El nivel de registros de acceso a la red, que la empresa dispone para identificar las actividades en la red de un usuario o grupos específicos de usuarios lo considera: Cuadro N. 4 Resultados Pregunta 2 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular deficiente Total Valor 0 8 6 0 14 Porcentaje 0,00% 57,14% 42,86% 0,00% 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 2 Pregunta 2 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 0% considera que el nivel de registro de actividades de un usuario en la red es excelente, el 57,14% que es buena, el 42,86% que es regular y el 0% que es deficiente. Como denominador común en las empresa, la única información que se tiene es recabada de los firewall es decir solo se cuenta con Logs de acceso desde la red externa hacia la red interna, los registros de actividades en la LAN son escasos casi nulos. 99 3) La categorización de los usuarios que hacen uso de la red datos en términos de privilegios (permisos de acceso a recursos de red LAN, Internet, etc.) es: Cuadro N. 5 Resultados Pregunta 3 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular deficiente Total Valor 0 9 2 3 14 Porcentaje 0,00% 64,29% 14,29% 21,43% 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 3 Pregunta 3 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 0% considera que la categorización de los usuarios en el uso de la red de datos es excelente, el 64,29% que es buena, el 14,29% que es regular y el 21,43% que es deficiente. En la mayoría de las empresas analizadas los accesos a los recursos en base a los perfiles está definido a nivel de capa 7 haciendo uso de directorio activo, file server, reglas de acceso a internet, etc., a nivel de asignación de accesos a recursos en la LAN es casi nulo. 100 4) ¿Cómo percibe el servicio de red en términos de latencia y disponibilidad, al conectarse a la LAN/MAN más del 85% de los usuarios?: Cuadro N. 6 Resultados Pregunta 4 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular deficiente Total Valor 2 4 7 1 14 Porcentaje 14,29% 28,57% 50,00% 7,14% 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 4 Pregunta 4 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 14,29% considera que al hacer uso de más del 85% de la red el comportamiento que se percibe es excelente, el 28,57% que es buena, el 50% que es regular y el 7,14% que es deficiente. En la mayoría de los escenarios debido a que las empresas cuentan con sucursales, en las mismas se percibe lentitud por las características de los enlaces contratados no mayores a 2mbps 1:1. 101 5) Las herramientas empleadas en la administración y monitoreo de la red de datos, ¿En qué medida satisfacen las necesidades de los usuarios con respecto a los servicios corporativos? : Cuadro N. 7 Resultados Pregunta 5 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular deficiente Total Valor 7 5 2 0 14 Porcentaje 50,00% 35,71% 14,29% 0,00% 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 5 Pregunta 5 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 50% considera que las herramientas de administración de red satisfacen las necesidades del usuario de manera excelente, el 35,71% que es buena, el 14,29% que es regular y el 0% que es deficiente. Cabe indicar que la mayoría de empresas se han visto obligadas a adquirir soluciones de pago para realizar actividades de administración y monitoreo de sus redes de datos. (Herramientas observadas PRTG monitor, Netflow analyzer, EMCO Ping Monitor). 102 6) El nivel de optimización de procesos operativos que aportan las herramientas tecnológicas actualmente implementadas en la infraestructura de red de la empresa es: Cuadro N. 8 Resultados Pregunta 6 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular deficiente Total Valor 3 6 5 0 14 Porcentaje 21,43% 42,86% 35,71% 0,00% 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 6 Pregunta 6 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 21,43% considera que el nivel de optimización de procesos operativos en la red haciendo uso de herramientas tecnológicas es excelente, el 42,86% que es buena, el 35,71% que es regular y el 0% que es deficiente. Las herramientas comerciales adquiridas son de uso sencillo, ninguna de las herramientas observadas permite encapsular los procesos haciendo uso de esquemas de red predefinidos. 103 7) Los mecanismos de seguridad de redes en las capas inferiores del modelo OSI (Capa 2, 3, 4) son implementados de forma: Cuadro N. 9 Resultados Pregunta 7 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular deficiente Total Valor 0 3 5 6 14 Porcentaje 0,00% 21,43% 35,71% 42,86% 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 7 Pregunta 7 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 0% considera que los mecanismos de seguridad en redes en las capas inferiores de modelo OSI han sido implementados de manera excelente, el 21,43% que es buena, el 35,71% que es regular y el 42,86% que es deficiente. La aplicación de seguridad entre redes LAN (reglas de firewall, ACLs) es inexistente, todas las empresas se enfocaron en la seguridad WAN – LAN. 104 8) La experiencia en la implementación de herramientas Opensource para la gestión de redes en la empresa resultó: Cuadro N. 10 Resultados Pregunta 8 de la encuesta (Administradores de red) Respuesta Excelente Buena Regular deficiente Total Valor 3 8 2 1 14 Porcentaje 21,43% 57,14% 14,29% 7,14% 100% Elaboración: Manuel Delgado S. Fuente: Encuestas Grafico N. 8 Pregunta 8 Elaboración: Manuel Delgado S. Fuente: Encuestas Análisis: Se observa que de un total de 14 administradores de red encuestados, el 21,43% considera que la implementación de herramientas Opensource en la empresa resulto excelente, el 57,14% que es buena, el 14,29% que es regular y el 7,14% que es deficiente. Se evidencio la implementación de servicios aislados como por ejemplo: DHCP server, proxy Squid, pero no se observa ninguna solución integral, exceptuando el uso del virtualizador Xenserver y no tiene como objetivo la gestion de redes sino de servidores. 105 Procedimientos de la Investigación En esta sección se enuncian secuencialmente y en orden los pasos que siguió el autor de este trabajo para desarrollar su proyecto; desde la concepción del problema hasta la elaboración del informe de la investigación. A continuación se enumeran: El problema: 1. Ubicación del problema en un contexto 2. Situación conflicto nudos críticos 3. Causas y consecuencias del problema 4. Delimitación del problema 5. Formulación del problema 6. Evaluación del problema 7. Objetivos de la Investigación 8. Alcances del problema 9. Justificación e importancia de la investigación 10. Utilidad práctica de la investigación 11. Beneficios Marco teórico: 12. Antecedentes del estudio 13. Fundamentación teórica a. Seguridad en redes de información b. Control de Ancho de Banda c. Asignación dinámica de permisos d. Protocolos de comunicaciones y su implementación 14. Fundamentación legal 15. Hipótesis 16. Variables de la Investigación 17. Definiciones conceptuales 106 Metodología: 18. Diseño de Investigación (Tipo de Investigación) 19. Modalidad de la Investigación 20. Tipo de la Investigación 21. Población y Muestra 22. Operacionalización de variables 23. Instrumentos de recolección de datos 24. Procesamiento y análisis 25. Procedimientos de la Investigación 26. Criterios para la elaboración de la propuesta 27. Criterios para la validación de la propuesta CRITERIOS PARA LA ELABORACIÓN DE LA PROPUESTA Este proyecto se enfoca en estructurar un esquema de seguridad que permita simplificar las configuraciones orientadas a dar permisos de acceso a los diferentes usuarios en una red Corporativa. Por ejemplo: - Un usuario interno (trabajador del área de RRHH) debe tener acceso solamente a los aplicativos que residen en servidores de la subred 10.30.240.0/24 a través de puertos específicos y deben acceder a internet a través de un proxy. - Un usuario externo ya sea consultor, trabajador temporal, de servicios u otro, no debe tener acceso a los recursos de red LAN, excepto a impresoras y debe tener acceso directo a internet sin proxy. 107 De esta manera se clasifica a los usuarios en base a su perfil y se generan “plantillas” para resumir configuraciones en equipos de comunicaciones involucrados. Adicionalmente a lo anterior se añade una capa de seguridad a la red ya que se estarían definiendo restricciones a nivel de capas 3 y 4 del modelo OSI, a diferencia del tradicional bloqueo a nivel de usuario de dominio que es en capas superiores, es decir, que todo equipo cliente que se conecte a un punto de red se atará a las políticas de seguridad establecidas, indistintamente a si está o no en el dominio. La manera tradicional de otorgar este tipo de accesos sería: - Definir el puerto de acceso de switch en la vlan correspondiente. - Creación de N reglas de acceso a los servidores en donde se alojan los aplicativos. - Creación de reglas en el firewall para permitir accesos a internet y restringir accesos a recursos LAN. La manera de otorgar este tipo de accesos con la implementación del proyecto sería: - Creación de una base de datos local con los usuarios. 108 - Definición de los atributos de cada usuario (nombre, dirección, área, contraseña de acceso, segmentos de red a utilizar, ancho de banda disponible, otros). - Creación y administración de usuarios en la base de datos local a través de un servidor RADIUS dichos usuarios tienen atributos de etc. Una vez creados los usuarios y asignados los segmentos de red (VLANS) a dichos usuarios, se crearán interfaces VLAN de ruteo que harán referencia a las VLAN creadas a nivel de un firewall Opensource en el cual se definirán las políticas de acceso entre usuarios y de accesos a internet. Estas políticas de acceso serán preestablecidas, de forma tal que cuando un usuario sea asignado a una VLAN, los permisos se heredarán de forma automática (por default) evitando la configuración de los elementos de comunicación mencionados anteriormente. Esta implementación permitirá, con el uso del servidor RADIUS, a través de una interfaz web amigable, a los administradores de red tener orden y control sobre los usuarios que hacen uso de la red de datos de las organizaciones. 109 Grafico N. 9. Lógica de diseño para la implementación del proyecto. Elaboración: Manuel delgado S. Fuente: Datos de la Investigación El grafico 9 muestra la lógica de diseño que se utilizará para la implementación de propuesta diseñada y la figura 3.2 muestra el Diagrama de conexión de accesos Inter VLAN que muestra la interacción de los elementos que componen la propuesta de solución. 110 Grafico N.10 Diagrama de conexión de accesos Inter VLAN Elaboración: Manuel delgado S. Fuente: Datos de la Investigación Los elementos principales que se usaran en este proyecto son los siguientes: - Servidor Radius (Laptop#1) o Ubuntu 10.04.1 LTS o Freeradius 2.1.10 o Daloradius 0.9-9 (front end PHP para freeradius) - Firewall (Laptop#1) o Pfsense 2.2.3 (FreeBsd) o Paquete Squid (proxy) 111 o Paquete DHCP o Paquete traffic shapper (control ancho de banda) o Vlans o VPN o Bloqueo entre Vlans (ACL) - Access point Ruckus Wireless 7055 - Switch cisco 2960 POE - Cliente (Laptop#2 dual core para pruebas de clientes tanto alámbricos como inalámbricos) CRITERIOS PARA LA VALIDACIÓN DE LA PROPUESTA Como principal criterio para la validación de la efectividad de la propuesta de este proyecto se utilizará la experimentación. Para ello en primer lugar se implementará la propuesta de solución en una empresa mediana (PYME), se someterá a prueba por un periodo de 3 meses, se realizarán encuestas y entrevistas para determinar el efecto de su implementación sobre administradores y usuarios de la red y por último se analizarán los resultados obtenidos con el objetivo de demostrar la hipótesis planteada. 112 CAPÍTULO IV: MARCO ADMINISTRATIVO Cronograma de Actividades CUADRO N. 11 Nombre Capítulo I - El Problema Fecha de inicio Fecha de fin Duración Recursos 6/1/2015 24/1/2015 15 Manuel Delgado Elaboración de la Introducción 6/1/2015 6/1/2015 1 Manuel Delgado Análisis planteamiento del problema 7/1/2015 8/1/2015 2 Manuel Delgado Situaciones conflicto nudos críticos 9/1/2015 10/1/2015 2 Manuel Delgado Establecer causas y consecuencias 13/1/2015 14/1/2015 2 Manuel Delgado Delimitación del problema 15/1/2015 16/1/2015 2 Manuel Delgado Formulación y evaluación del problema 17/1/2015 20/1/2015 2 Manuel Delgado Objetivos generales y específicos 21/1/2015 22/1/2015 2 Manuel Delgado Justificación e importancia del problema 23/1/2015 24/1/2015 2 Manuel Delgado Capítulo II -Marco Teórico 27/1/2015 24/2/2015 21 Manuel Delgado Fundamentación Teórica 27/1/2015 4/2/2015 7 Manuel Delgado 5/2/2015 13/2/2015 7 Manuel Delgado 14/2/2015 20/2/2015 5 Manuel Delgado Fundamentación Legal Variables de la Investigación 113 Definiciones Conceptuales 21/2/2015 24/2/2015 2 Manuel Delgado 25/2/2015 26/3/2015 283 Manuel Delgado 25/2/2015 28/2/2015 4 Manuel Delgado Establecer población y muestra 3/3/2015 4/3/2015 2 Manuel Delgado Operacionalización de las variables 5/3/2015 6/3/2015 2 Manuel Delgado Determinar métodos y técnicas 7/3/2015 10/3/2015 2 Manuel Delgado Instrumentos de recolección de datos 11/3/2015 12/3/2015 2 Manuel Delgado Realización de entrevistas 13/3/2015 21/3/2015 7 Manuel Delgado Procesamiento y análisis de las entrevistas 23/3/2015 24/3/2015 2 Manuel Delgado Criterios de validación de la propuesta 25/3/2015 26/3/2015 2 Manuel Delgado 27/3/2015 1/4/2015 4 Manuel Delgado Cronograma 27/3/2015 28/3/2015 2 Manuel Delgado Presupuesto 31/3/2015 1/4/2015 2 Manuel Delgado 2/4/2015 7/4/2015 4 Manuel Delgado Conclusiones 2/4/2015 3/4/2015 2 Manuel Delgado Recomendaciones y bibliografía 4/4/2015 7/4/2015 2 Manuel Delgado 8/4/2015 29/7/2015 342 Manuel Delgado 8/4/2015 25/6/2015 318 Manuel Delgado 8/4/2015 22/4/2015 11 Manuel Delgado Estudio y parametrización de herramienta Pfsense como firewall 23/4/2015 6/5/2015 10 Manuel Delgado Manejo de ancho de banda utilizando el modulo "limiter" Pfsense 7/5/2015 15/5/2015 7 Manuel Delgado Administración de direccionamiento Ip módulo Dhcp server Pfsense 16/5/2015 19/5/2015 2 Manuel Delgado Estudio y parametrización de herramienta squid-proxy 20/5/2015 22/5/2015 3 Manuel Delgado Capítulo III –Metodología Elaboración de la modalidad de investigación Capitulo IV -Marco Administrativo Capítulo V - Conclusiones y recomendaciones Análisis Proyecto Estudio de los conceptos y herramientas a utilizar Manejo de vlans en equipos de Networking 114 Estudio y Parametrizacion de freeradius usando front end Daloradius 25/5/2015 12/6/2015 15 Manuel Delgado Análisis de la funcionalidad "Dynamic vlan assigment" en equipos de networking 15/6/2015 19/6/2015 5 Manuel Delgado Configuración de Authentication 802.1x Access point Cisco 22/6/2015 23/6/2015 2 Manuel Delgado Configuración de Authentication 802.1x Switch Cisco 24/6/2015 25/6/2015 2 Manuel Delgado 30/6/2015 29/7/2015 283 Manuel Delgado Diseño de los diagramas de conectividad 26/6/2015 29/6/2015 2 Manuel Delgado Implementación de servidor Radius con front end web 30/6/2015 4/7/2015 5 Manuel Delgado 7/7/2015 10/7/2015 4 Manuel Delgado Implementación de apliance de seguridad 13/7/2015 21/7/2015 7 Manuel Delgado Diseño y aplicación de reglas de firewall 22/7/2015 23/7/2015 2 Manuel Delgado Diseño e implementación de traffic shapper 24/7/2015 27/7/2015 2 Manuel Delgado Implementación y configuración de servidor Proxy-Dhcp 28/7/2015 29/7/2015 2 Manuel Delgado 30/7/2015 3/8/2015 268 Manuel Delgado Manual Técnico 30/7/2015 31/7/2015 4 Manuel Delgado Manual de Usuario 31/7/2015 3/8/2015 2 Manuel Delgado Plantilla Diseño de esquema de accesos a redes y asignación de permisos para Pymes Parametrizacion de vlans y perfiles de usuario Manuales Elaboración: Manuel Delgado S Fuente: Datos de la Investigación 115 Grafico N.11 Diagrama de Gantt 116 Detalle de Presupuesto CUADRO N.12 Egresos Dólares Suministros de oficina y computación $ 70,00 Fotocopias e impresiones de Tesis Copias e impresiones para realizar encuestas dirigidas a personal de las empresas $ 20,00 Libros y documentos $ 60,00 $ 25,00 Laptop y servicio de internet $ 500,00 Transporte $ 140,00 Refrigerio $ 90,00 Servicios básicos (luz agua teléfonos) $ 60,00 Alquiler de Access Point, Switch cisco $200,00 Total $1165,00 117 CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES Conclusiones La seguridad en las redes de información, las herramientas de software para su administración y la búsqueda de formas que permitan el uso eficiente de los recursos tecnológicos disponibles en las PYMES, constituye un tema trascendental para el desarrollo y buen funcionamiento de las empresas, pero en dicho segmento empresarial más del 50% de las redes no cuentan con mecanismos para controlar los accesos a los recursos de red y otro agravante del problema consiste en el desconocimiento de la existencia de herramientas de software libre que permiten estructurar una plataforma de comunicaciones más robusta y confiable. De ahí que se necesite implementar una solución. El protocolo RADIUS está diseñado y empleado para autenticar usuarios, basado en el método de desafío / respuesta y es uno de los más populares para el uso de redes, que proporciona la funcionalidad AAA (provee autentificación centralizada, autorización y manejo o contabilización de cuentas) y permite la asignación dinámica de recursos de red, en función de los privilegios de los grupos de usuarios. Se encuentra implementado en dispositivos como Routers, switch y servidores. Funciona bajo el modelo cliente-servidor: un Servidor de Acceso a la Red (NAS por sus siglas en inglés), opera como cliente de RADIUS. IEEE 802.1X es un estándar diseñado originalmente para Redes de Área Local (LAN por sus siglas en inglés) con el fin de direccionar accesos a redes abiertas. En la actualidad se utiliza ampliamente para proporcionar control de acceso en redes empresariales de tipo WLAN. Trabaja en capa dos del modelo OSI, para 118 autenticación y autorización de dispositivos en conmutadores (Switches) LAN y puntos de acceso inalámbrico. El 802.1X se constituye como un estándar que basa el control de acceso a redes por puerto de conexiones, si el proceso de autenticación falla se deniega el acceso a los recursos caso contrario se brindan los accesos. Permite implementar accesos seguros, a través de medios de comunicación tales como Wireless LAN y Ethernet. El estándar 802.1X se utiliza asociado al protocolo de autenticación Protocolo de Autenticación Extensible empleado tanto en redes por cable como inalámbricas. EAP al ser un protocolo de autenticación genérico, está diseñado para dar soporte a múltiples métodos de autenticación, por ejemplo, autenticación de usuario basado en nombre y contraseña, empleo de certificados digitales, tarjetas inteligentes, ticket kerberos, entre otros. Este trabajo proporcionó una aplicación para permitir el acceso a la red de los diferentes grupos de usuarios, permitiendo el uso eficiente de los recursos tecnológicos disponibles de manera segura, flexible y con el costo mínimo; considerando las posibles amenazas a las que pueden estar expuestas las redes de las PYMES y las vulnerabilidades que las mismas pudieran presentar, ya que en los resultados de las encuestas se apreció el deficiente uso administrativo de los recursos TIC, así como la existencia de ilimitados permisos al total de los trabajadores. Se deben considerar tanto elementos físicos como lógicos para brindar una solución de seguridad acorde con el sistema que se desea proteger. Como el objetivo es proteger la información, se deben considerar tres aspectos muy importantes en la preservación de la misma: confidencialidad, integridad y disponibilidad. En el presente trabajo se diseñó un esquema de seguridad integral 119 a nivel LAN para la protección de datos y la restricción de permisos administrativos para evitar así violaciones de seguridad informática en el servidor RADIUS implantado. Se implementó un servidor RADIUS teniendo en cuenta los perfiles de seguridad informática que ofrece dicho servidor a partir de las propiedades del mismo, enfocándose en los protocolos de autenticación sobre el cual está construida su infraestructura de rápida respuesta, manejo y contabilización de cuentas; así como haciendo uso de equipos de comunicación tales como Switches y Access points para permitir varios enlaces de conexión en las PYMES. Se diseñó un DMZ de alta disponibilidad aceptable y bajo mantenimiento que posee una inspección de paquetes a nivel de aplicación, puede tener soporte a “spamd” y autenticación por usuario el proxy y su costo de implementación es económico, al igual que el mantenimiento. Mediante el empleo de algoritmos de encolamiento se determinó la manera en que se van a enviar los datos, ya que estos pueden ser modelados en una cola y así se permite subdividir el ancho de banda disponible del enlace en un ancho de banda fijo para cada uno de los perfiles de usuario y ofrecer la posibilidad de realizar una configuración de forma sencilla. Se creó una Red Privada Virtual (VPN) para transporte de datos por internet mediante un túnel bajo el concepto de autentificación y encriptación lo cual permite la conexión a servicios de red remotamente de manera segura. 120 Recomendaciones Implementar el diseño elaborado en el resto de las PYMES del país para contribuir a una eficiente administración de permisos de usuarios, así como el adecuado almacenamiento de datos y la seguridad que estos puedan tener mediante los protocolos implantados por el servidor RADIUS, para que se pueda mantener la estabilidad y soporte de una red LAN en dichas empresas. Diseñar un sistema de capacitación para tecnólogos de las PYMES con el objetivo de que estos conozcan el funcionamiento de servidores de la empresa, la infraestructura sobre la cual está construida y las características de este para así poder desempeñar mejor sus funciones laborales. Profundizar sobre otras medidas de seguridad informática a tener en cuenta si se emplean los túneles (VPN) en las empresas. Analizar el alcance del servidor RADIUS según su confiabilidad y estabilidad una vez implementado en servidores de PYMES para así desarrollar futuras investigaciones de este tipo en otras organizaciones que manifiesten problemas de seguridad e inestabilidad. 121 Bibliografía Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., & Levkowetz, H. (2004). Extensible Authentication Protocol. RFC 3748. IETF. Aguirre, J. R. (2005). Seguridad Informática y Criptografía (e-book). España: Universidad Politécnica de Madrid. Athina Markopouloua, F. T. (2006). Loss and Delay Measurements of. Internet Backbones (págs. pag. 1590-1604). Computer Communications 29 . Benvenuti, C. (2009). Optimización del ancho de banda. Bolivia: International Network INASP. Bert, H. (2013). Linux Advanced Routing & Traffic Control HOWTO [ebook]. Boris Balacheff et all. (2003). Trusted computing platforms. TCPA technology in context. EEUU: Prentice Hall PTR. Branstad, D. (1983). Report of the Nist Workshop on Digital Signature Certificate anagement. EEUU: U.S. Department of Commerce. (s.f.). Cisco TACACS+ and RADIUS Comparison. www.cisco.com/application/pdf/paws/13838/10.pdf. CISCO. (19 de 1 de 2006). How Does RADIUS Work? Recuperado el 15 de 12 de 2013, de CISCO: www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00800945 cc.shtml CNUDMI. (1998). Ley Modelo sobre Comercio Electrónico. Recuperado el 5 de 12 de 2013, de UNCITRAL: http://www.uncitral.org CNUDMI. (2001). Ley Modelo sobre Firmas Electrónicas. Recuperado el 5 de 12 de 2013, de UNCITRAL: http://www.uncitral.org Comments, R. f. (s.f.). RFC, 3128. Remote Authentication Dial In User Service (RADIUS). Disponible en: http://www.faqs.org/rfcs/rfc2138.html. cucorent. (2013). Controles biometricos de acceso. Recuperado el 5 de 12 de 2013, de cucorent: http://www.cucorent.com/biometria.html Domenech, A. (2003). Port based authentication for wireless LAN access control. Eindhoven University.: Faculty of Electrical Engineering. . ECUADOR, A. N. (22 de 10 de 2009). LEY ORGANICA DE GARANTIAS JURISDICCIONALES Y CONTROL INSTITUCIONAL. Recuperado el 5 de 12 de 2013, de http://www.oas.org/juridico/PDFs/mesicic4_ecu_org2.pdf Ecuador, C. N. (1992). Ley especial de telecomunicaciones y su reforma. Recuperado el 5 de 12 de 2013, de Palermo: http://www.palermo.edu/cele/pdf/Regulaciones/EcuadorLeyEspecialdeTel ecomunicaciones%281992%29.pdf Edith Aparicio, Liliana Hernández, Fredy Sierra. (2007). Prototipo para la evaluación de calidad de servicio mediante técnicas de encolamiento en ambientes de Backbone. Ingeniería, 2007--00-00 vol:12 nro:2 pág:46-61. Eyler, P. (2001). Redes LINUX con TCP/IP. España: Prentice Hall. Freeman, R. L. (2005). Fundamental of Telecommunications 2nd Ed.Disponible en: http://www.pagina.org . EEUU: Wiley & Sons Inc. G.B. Davis, M.H. Olson, J. Ajenstat, J.L. Peaucelle. (1985). Management information systems. 2nd Edition. Mc Graw Hill Inc. 122 Gutiérrez, G. (2008). Desarrollos en Regulación en Comercio Electrónico en los Países de la Región Andina. Perú: Alfa-Red. Hassell, J. (2002). Radius. EEUU: O’ Reilly & Associates, Inc. Hassell, J. (s.f.). Securing Public Access to Private Resources. http://oreilly.com/catalog/9780596003227/ . IANA. (2013). The Internet Assigned Numbers Authority. Recuperado el 15 de 12 de 2013, de http://www.iana.org Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil. (2007). Aspectos avanzados de seguridad en Redes. España: Fundació per a la Universitat Oberta de Catalunya. Joshi, J. (2008). Network Security, know it all. EEUU: Elsevier Inc. Kioskea. (s.f.). Protección - Introducción a la Seguridad en Redes. Recuperado el 15 de 12 de 2013, de Kioskea: http://es.kioskea.net/contents/593proteccion-introduccion-a-la-seguridad-de-redes Luoma, M. (s.f.). QoS and queuing disciplines, traffic shaping and admission control. Finlandia: Helsinki University of Technology. Madjid Nakhjiri, Mahsa Nakhjiri. (2005). AAA and Network Security for Mobile Access: Radius, Diameter, EAP, PKI and IP Mobility. EEUU: Wiley & Sons Inc. Martínez, D. L. (2001). Sistemas Operativos . Argentina: Universidad Nacional del Nordeste. Nab, C. M. (2008). Network Security Assessment, 2dn Edition. EEUU: O’Reilly Media, Inc. Nebot, R. L. (2007). Sistemas de Autenticación Biométricos. España. OMPI. (17 de 4 de 2002). ECUADOR Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. Recuperado el 5 de 12 de 2013, de Organizción Mundial de Propiedad Intelectual : http://www.wipo.int/wipolex/es/details.jsp?id=8118 OMPI. (18 de 5 de 2004). Ecuador Ley Orgánica de Transparencia y Acceso a la Información Pública. Recuperado el 5 de 12 de 2013, de Organizción Mundial de Propiedad Intelectual: http://www.wipo.int/wipolex/es/details.jsp?id=11421 OMPI. (2008). Ecuador, Ley de Propiedad Intelectual. Recuperado el 5 de 12 de 2013, de Organización Mundial de la Propiedad Intelectual: http://www.wipo.int/wipolex/es/profile.jsp?code=EC OSIN. (2013). Observatorio de la Sociedad de la Información en Navarra. España: http://www.cfnavarra.es/observatoriosi/glosario_a.htm. Pagani, M. (2008). Encyclopedia of Multimedia Technology and Networking. Italia: Editorial Advisory Board. RAE. (2013). Real Academia Española. Diccionario usual. España: http://lema.rae.es/drae/srv/search?id=vKCMRG9W9DXX2j0lORPX . Rivest, D. (1992). The MD5 Message-Digest Algorithm, RFC 1321, MIT Laboratory for Computer Science. EEUU: RSA Data Security Inc. Rodríguez-Aragón, L. J. (s.f.). Tema 4: Internet y Teleinformática. Universidad Rey Juan Carlos. España: http://www.uclm.es/profesorado/licesio/Docencia/IB/IBTema4.pdf . 123 Somini, S. (9 de 9 de 2013). Machines Made to Know You, by Touch, Voice, Even by Heart. New York Times, pág. B1. Spafford, G. (2000). Manual de Seguridad en Redes. Buenos Aires, Argentina: ArCERT Disponible en: http://www.slideshare.net/Princesadivina/arcertmanual-deseguridadenredesinformaticas . Stallings, W. (2000). Comunicaciones y Redes de Computadores 6th Ed . Prentice Hall. Tanenbaum, A. S. (2003). Computer Networks 4th Ed. EEUU: Pearson Education Inc. Veronica. (2 de 5 de 2011). Concepto de Internet. Recuperado el 5 de 12 de 2013, de Sobre Conceptos: http://sobreconceptos.com/internet WordPress. (2008). Definición de Internet. Recuperado el 5 de 12 de 2013, de Definición de: http://definicion.de/internet/ Ye, N. (2008). Secure computer and network systems, modeling, analysis and desing. EEUU: John Wiley & Sons Ltd. Zator. (3 de 2002). Notas sobre INTERNET. Recuperado el 15 de 12 de 2013, de OrganiZATOR: http://www.zator.com/Internet/A0_1.htm Zimmerman, H. (1980). OSI Reference Model – The ISO Model of Architecture for Open Systems Interconnection. 124 Anexo Manual de Usuario Lógica de asignación de permisos Procedimientos administrativos Creación y eliminación de perfiles de Usuario Asignación y edición de atributos para Usuarios Creación y eliminación de Usuarios Visualización de dirección ip de Usuarios. Modificación de asignación de ancho de banda. Modificación de reglas de Acceso Visualización de actividades de Usuario en la red. Creación y eliminación de perfiles de Usuario Ingresaremos con un navegador a la dirección 10.30.240.11 con usuario: administrator password: radius Para mayor comodidad del usuario se puede cambiar el lenguaje del menú: Presionando config -> language Settings -> Spanish – Venezuelan -> apply Creación de un perfil de Usuario Gestion -> Profiles -> Nuevo Perfil Aginaremos un “Profile Name” = nombre del perfil a crear Asignación de atributos a perfiles de usuario Para la aplicación de esta tesis haremos uso de 4 atributos específicos por tanto elegiremos la opción 2 “Quickly Locate attribute with autocomplete input” Y digitaremos los siguientes atributos: ATRIBUTO DE VERIFICACION Ninguno Ninguno Ninguno Ninguno ATRIBUTO DE RESPUESTA Tunnel-Type Tunnel-Medium-Type Tunnel-Private-Group-Id Acct-Interim-Interval VALOR VLAN IEEE - 802 20 300 OPERADOR = = = = Eliminación de un perfil de Usuario Gestión -> Profiles -> Eliminar Perfil En el cuadro “profile name” digitar el perfil a eliminar, activar el check de “Remove all user associations with this profile(s)” por ultimo -> aplicar Creación de usuario Gestión -> Users -> Nuevo Usuario Empezaremos con información de la cuenta Seleccionaremos “Username Authentication” Definiremos usuario y password en los cuadros de texto Seleccionaremos el Grupo que anteriormente creamos (tesis) En información del usuario definiremos los datos del usuario: correo, teléfono, empresa, dirección, etc. No usaremos la pestaña Información de cobro En atributos no definiremos nada porque el objetivo es que los atributos se hereden del grupo al que pertenecerá el usuario. Para visualizar los usuarios creados hacemos lo siguiente: Gestión -> Users -> Listado de usuarios: Eliminación de usuarios Gestión -> Users -> Eliminar usuarios: Se tipea el nombre del usuario a eliminar Podremos visualizar detalles de sesiones de los usuarios creados Conteo -> General -> conteo por usuario Visualizaremos hora de inicio de sesión, hora de finalización, tiempo total, upload, download, y a través de que NAS están autenticados. Una vez que se brindaron los accesos de conexión a los usuarios se puede visualizar direccionamiento ip asignado a cada usuario. Ingresar a través de un navegador web a 10.30.240.254 usuario: admin password: pfsense Status -> Dhcp Leases Podremos visualizar los lease del cliente y del Access point Modificación de reglas de acceso y asignación de ancho de banda Seleccionaremos Firewall -> rules -> LAN, nos posicionamos en la regla que queremos modificar damos clic en el botón “edit rule” Para crear y asignar un límite ancho de banda hacemos lo siguiente: Firewall -> Traffic Shapper ->limiter Usaremos lo siguiente: Para asignar lo configurado hay que hacer lo siguiente: Seleccionaremos Firewall -> rules -> LAN -> edit rule y hacemos lo siguiente: Seleccionamos la opción IN/OUT ahí definiremos los limiter tanto de subida como de bajada. Podremos también visualizar el tráfico que está pasando por nuestro appliance Status -> Traffic graph Anexo Manual Tecnico Diseño Estructural de la propuesta Servidores Remotos Internet Enlace WAN (1 max 2mbps) 192.168.0.254/24 Trunk vlans 10(Untagged), 20, 30 Vlan 1 Aplicativos y Radius Vlan 20 Vlan 30 Servidores Locales Usuario Corporativo LAN Wireless 1 10.30.240.0/24 192.168.160.0/24 Usuario Externo LAN 10.91.10.0/24 Desarrollo de propuesta Diseño de los diagramas de conectividad Implementacion de servidor Radius con front end web Parametrizacion de vlans y perfiles de usuario Configuración de equipos de Networking, LAN,WLAN Implementacion de apliance de seguridad Diseño y aplicación de reglas de firewall Diseño e implementación de traffic shapper Implementacion y configuración de servicio Proxy y Proxy Reporter Instalacion de Pfsense 1.- Para la recreación del esquema utilizaremos la herramienta de virtualización VIRTUALBOX Configuración de interfaces de red en VIRTUAL BOX Configuración de interfaz WAN Configuración de Interfaz LAN Agregamos la imagen para instalar Pfsense: PfSense-LiveCD-2.2.3-RELEASE-i386-20150623-1637 No definiremos las vlans a nivel de Virtual Box Seleccionaremos la interfaz em0 como la WAN y em1 como LAN Se asignara direccionamiento a las interfaces previamente configuradas, seleccionando la opción 2 WAN Configuraremos la interfaz con DHCP LAN Configuraremos la interfaz con una Ip estática y habilitaremos el servicio de Dhcp para los usuarios en esa Subred. Después de realizar las configuraciones requeridas seleccionamos la opción 99 para instalar la imagen de Pfsense en el disco duro. Seleccionaremos “Accept these settings” Seleccionaremos “Quick easy install” Seleccionaremos “Standard kernel” Seleccionaremos “Reboot” Con una máquina virtual XP con un adaptador de red tipo bridge en la interfaz LAN del firewall accederemos a la configuración del Firewall Pfsense Accederemos con las siguientes credenciales: User: admin Password: pfsense En la página principal le damos clic a Setup Wizard Dar clic en next Definir los siguientes parámetros: Hostname: nombre del servidor Domain: Nombre de Dominio de la empresa Primary DNS server: Nombre de servidor DNS usado por el firewall (local o público) Secondary DNS server: Nombre de servidor DNS secundario usado por el firewall (local o público). Definicion de servidor NTP Configuración de interfaz WAN Definir direccionamiento asignado por DHCP Y tener activos los check para bloqueo de tráfico que proviene de redes locales 172.16/16, 10/18, 192.168/24 y bloqueo de redes publicas Configuración de interfaz LAN Definir direccionamiento asignado por Ip estática (10.30.240.254/24) Definiremos el Password de administración del firewall ( en este caso lo dejaremos por default) Dar clic en reload para que tomen efecto los cambios realizados en el firewall Creacion de VLANs e interfaces VLAN y asignación de las mismas a tarjeta de red Física en el firewall Clic en vlans Creacion de vlans a utilizar en esquema de comunicaciones Vlan 20.- Usuarios LAN Vlan 30.- Usuarios Externos Realizamos la asignación de interfaces Habilitación y descripción de interfaces OPT-> Usuarios Internos OPT2 -> Usuario Externo Habilitación de Dhcp server en las interfaces de firewall Interfaz LAN Interfaz UsuariosLAN Interfaz UsuariosExternos Creacion de ALIAS para subredes Locales Creacion de alias para las 3 subredes locales en el firewall REDServidores= 10.30.240.0/24 REDExternos= 10.91.10.0/24 REDSusuariosLAN=192.168.160.0/24 Reglas de acceso a nivel de capa 3 y 4 en base al perfil de usuario Reglas interfaz LAN Reglas por default LAN (Subred de servidores) Accesos a recursos desde red LAN a otras redes locales e internet. Acceso a Redes publicas = blocked Acceso a Subred “USUARIOSLAN” = allowed Acceso a Subred “USUARIOEXTERNO” = blocked USUARIOSLAN Accesos a recursos desde red UsuariosLAN a otras redes locales e internet. Acceso a Redes públicas = blocked (solo acceso a Internet a Ip de Proxy) Acceso a Subred “LAN” = allowed solo a puertos específicos Acceso a Subred “USUARIOEXTERNO” = blocked USUARIOExterno Accesos a recursos desde red UsuariosExternos a otras redes locales e internet. Acceso a Redes públicas = Allowed Acceso a Subred “LANServidores” = Blocked Acceso a Subred “USUARIOSLAN” = blocked Instalacion de proxy Server en Interfaz Usuarios LAN Descarga de paquetes necesarios Configurando El servidor Proxy Definiendo la interfaz en donde funcionara el servicio de Proxy Habilitación de Proxy transparente, con lo cual permitiremos que todo tráfico en la subred sea interceptado por el Proxy sin tener la necesidad de definir manualmente un proxy en cada uno de los clientes Habilitación de Logs con una máximo de 30 días de guardado Habilitación de reportes Squid a través del paquete LightSquid Instalacion de paquete LIGHTSQUID Configuración de LightSquid Configuración de Switch cisco 2960 (vlans y puertos Trunk) Configuración de vlans Configuración de puerto troncal Habilitaremos la opción de DHCP Snooping para evitar ataques de DHCP SPOOFING y definiremos el puerto de conexión con el firewall como puerto Trust para todas las Vlans Configuración de puertos de acceso en los distintos segmentos de red Configuración de puerto de conexión de Access point Configuración de Access point Ruckus Dar click en la configuración en la sección “Configuration -> Radio 2,4 GHz Se mostraran las redes que podemos usar para la implementación del equipo inalámbrico, configuraremos la red de la siguiente manera: Packet Forward: Bridge to WAN (se define como un troncal en el que pasaran todas las vlans) Access Vlan: 1 (dejamos la vlan por defecto 1) Dynamic Vlan: Enabled (habilitamos esta funcionalidad la cual nos permitirá asignar a los usuarios las vlans que definiremos en el servidor Radius). Encryption method: WPA (El método será WPA). Version: WPA2 (versión 2 de WPA) Authentication: 802.1x (Uso de servidor Radius para autenticación) Algorithm: AES (Algoritmo de encriptación para comunicación inalámbrica) Radius NAS-ID: nombre de NAS Authentication Server: dirección ip, puerto, y calve pre compartida con el servidor. Accounting Server: Direccion ip, puerto y clave pre compartida con el servidor. Configuración de puertos en Access point Se configuro el puerto de conexión del Ap como troncal para el paso de todas las vlans. Instalación de Ubuntu, Freeradius y Daloradius Instalar Ubuntu Server, seleccione Abrir SSH, servidor DNS y servidor LAMP Durante la instalación de Ubuntu, se le preguntará por el "root de MySQL" y contraseña, la cual no debe ser la misma que la contraseña de Ubuntu, esta contraseña es solo para que pueda acceder a la función de administración de MySQL. Cuando finalice el proceso de instalación, reiniciar y acceder al sistema utilizando su cuenta creada. Para no tener que utilizar sudo para hacer uso de la línea de comandos debemos habilitar la cuenta root de la siguiente manera: # Sudo passwd Introduzca la nueva contraseña de UNIX: Vuelva a escribir la nueva contraseña de UNIX: Se debe escribir la nueva contraseña de root, una vez que finalizado el proceso, iniciar sesión con el nombre de usuario root y utilice la contraseña que acabamos de crear. Ahora, que se tiene acceso de root, no es necesario teclear sudo cada vez que tiene que hacer algo que requiere un acceso a la raíz, sin embargo, tenga cuidado mientras usted está en cuenta de root, se podría generar inestabilidad el sistema con un comando erróneo. Debemos tener en cuenta, que cuando se utiliza la cuenta de root, el directorio personal es /root así que lo que ha descargado de la red se guardará en esa carpeta, si usted utiliza su cuenta regular, su directorio personal es /home/UserAccount/ Configurar el servidor tenga una dirección IP estática Digite el siguiente comando en su terminal # nano/etc/network/interfaces Seleccionar la interfaz que utiliza, en este ejemplo la interfaz es eth0 auto eth0 iface eth0 inet dhcp Cambiar a.... auto eth0 iface eth0 inet static address 10.30.240.11 (Aqui va la Direccion ip) netmask 255.255.255.0 gateway 10.30.240.1 (put your gateway here) dns-nameservers 8.8.8.8 (Aqui van lo servidores Dns) Guardar los cambios digitando control-O and control-X to exit Reiniciar el servicio de red para la nueva dirección IP para tener efecto: # /etc/init.d/networking restart Para confirmar su nueva dirección IP digite el siguiente comando # Ifconfig Antes de continuar, se debe realizar la actualización del sistema Ubuntu para asegurarse de tener la última versión del software instalado en su terminal, emita el siguiente comando. # apt-get update && sudo apt--get upgrade Una vez que haya terminado con la actualización inicial, reinicie el servidor y la reedición de la actualización y comando de nuevo la actualización, es asegurarse de que no hay ninguna actualización izquierda. También tenemos que instalar las librerías y herramientas adicionales para su uso futuro. # aptitude install freeradius freeradius-mysql freeradius-postgresql freeradiusdialupadmin freeradius-utils php5-gd php-pear php-db mysql-server # apt-get install build-essential binutils libssl-dev openssl libmysqlclient-dev Instalaremos la version 2.1.10 de freeradius # apt-get install freeradius freeradius-mysql freeradius-postgresql freeradiusdialupadmin freeradius-utils Después de la instalación freeradius correrá de manera automática, posteriormente lo configuraremos. Se requiere la instalación de phpmyadmin # apt-get install phpmyadmin Pedirá el webserver para configurar automáticamente, se debe elegir Apache2 presionando la barra espaciadora, luego clic para completar el proceso. Otra pantalla aparecerá preguntando lo siguiente... Configure database for phpmyadmin with dbconfig-common? Elegir Si. Luego suministrar una contraseña de su cuenta de root de MySQL y para su phpmyadmin, si ha instalado el phpMyAdmin correctamente, puede acceder a la administración a través del siguiente link: http://10.30.240.11/phpmyadmin inicio de sesión con el nombre de usuario y contraseña que se proporcionó durante la instalación. Credenciales root para MySQL. Usuario: root Password: daloradius A continuacion se instalara “daloradius Radius Management”, daloradius es una aplicación basada en web para interactuar con la base de datos MySQL; el software freeradius por defecto usa un archivo de texto plano para guardar detalles de cuentas de usuario tales como nombre de usuario, password y atributos con el objetivo de brindar o denegar el acceso a la red de datos a los usuarios, lo que se quiere alcanzar es hacer que FreeRadius use MySQL para guardar detalles de usuarios, y el Accounting de cada usuario por ejemplo bytes de descarga, de subida tiempo de expiración de la cuenta, adicional a esto la mejor asignación de Vlans basándonos en agrupaciones de usuarios. Como pre – requisito daloradius necesita instalar algunas librerías para PHP Paquetes adicionales que se necesitan instalar: # apt-get install php-pear php5-gd php-db También se debe instalar PHP pear, primero lo descargaremos. # wget pear.php.net/go-pear.phar Despues de la descarga se realiza la instalación con el siguiente comando: # php go-pear.phar Se presiona ENTER para aceptar la carpeta de instalación por defecto, una vez que haya terminado de instalarlo, tenemos que reparar el error de apache "No se puede determinar con fiabilidad el nombre de dominio completo del servidor" Para solucionarlo, edite /etc/apache2/httpd.conf # nano /etc/apache2/httpd.conf Luego agregar esta línea: ServerName localhost Guardar los cambios con ctrl-O luego ctrl-X para salir, luego reiniciar el servidor apache. # apachectl restart # apachectl configtest Ahora descargaremos el software de Daloradius desde el siguiente link: Para descargarlo directamente usaremos wget #wget http://ufpr.dl.sourceforge.net/project/daloradius/daloradius/daloradius0.9- 9/daloradius-0.9-9.tar.gz Extraeremos daloradius con el siguiente comando. # tar zxfv daloradius-0.9-9.tar.gz El paquete daloradius será descomprimido, necesitamos moverlo a la carpeta /var/www y cambiaremos el nombre a daloradius # mv daloradius-0.9-9 var/www/daloradius Ahora cambiaremos nuestro directorio actual a var/www/daloradius # cd /var/www/daloradius Ahora crearemos una base de datos MySQL para uso de FreeRadius, dicha base de datos también será usada por Daloradius. # mysql -u root -p Se verá lo siguiente: En el prompt digitar: mysq> create database radius; mysql> quit Estando aun dentro de la carpeta /var/www/daloradius digitar el siguiente comando: # mysql -u root -p radiusdb < contrib/db/fr2-mysql-daloradius-and-freeradius.sql Para observar si la base de datos fue creada satisfactoriamente, iniciar sesión en MySQL y ejecutar los siguientes comandos: # mysql -u root -p mysql> show databases; mysql> use radius; Al digitar eso saldrá el mensaje “Database Changed” Ahora validaremos las tablas que existen en nuestra base de datos con el siguiente comando: mysql> show tables; Se observaran las tablas de su base de datos, escriba quit para salir de MySQL. Está instalada la base de datos para Freeradius y DaloRadius. Ahora vamos a configurar freeradius para utilizar la base de datos MySQL y configurar el servidor apache. Configuracion de Freeradius para usar MySQL La autenticacion por defecto de freeradius es mediante uso de un archivo de texto en donde almacenamos cuentas de usuario, el archivo de texto mencionado puede ubicarse en /etc/freeradius/users. Para probar el correcto funcionamiento de Freeradius usaremos una cuenta de usuario que está definida por defecto en el archivo users antes mencionado: # nano /etc/freeradius/users Localizamos las líneas que contienen lo siguiente: #"John Doe" # Cleartext-Password := "hello" Reply-Message = "Hello, %{User-Name}" Y removeremos el tag de comentario # guardamos con control-O y salimos con control-X. Realizaremos una prueba para validar el funcionamiento del servicio Freeradius para esto digitamos el siguiente comando: # radtest "John Doe" "hello" 127.0.0.1 0 testing123 Deberíamos verificar un mensaje que contiene un “Access-Accept packet” y un “Replay-Message” con “Hello, John Doe”. Ahora editaremos los archivos necesarios para hacer uso de la base de datos Mysql que creamos anteriormente para autenticacion: Detener el Servicio freeradius: # /etc/init.d/freeradius stop Configurar FreeRadius para usar MySQL para autenticacion Editar el archivo /etc/freeradius/radiusd.conf # nano /etc/freeradius/radiusd.conf Localizar las siguientes líneas y descomentarlas $INCLUDE sql.conf $INCLUDE sql/mysql/counter.conf $INCLUDE sqlippool.conf Guardar el archivo (Control-W) y salir (Control-X) Editar otro archivo: # nano /etc/freeradius/sites-available/default Localizar la siguiente línea debajo de la sección “Authorize” y descomentarla (line 159) # sql Localizar la siguiente línea debajo de la sección “session” y descomentarla (line 435) # sql Guardar el archivo e iniciar el servicio Freeradius: # /etc/init.d/freeradius stop Creación de la cuenta de Usuario FreeRadius para MySQL # mysql -u root -p mysql> CREATE USER 'radius'@'localhost'; mysql> SET PASSWORD FOR 'radius'@'localhost' = PASSWORD('radius'); mysql> GRANT ALL ON radius.* to 'radius'@'localhost'; mysql>quit; Configuraremos el archivo sql.conf con los datos del usuario de mysql para freeradius # nano /etc/freeradius/sql.conf login = "radius" password = "radius" radius_db = "radius" readclients = yes Descomentar las líneas Configuracion de la cuenta MySQL radius para Daloradius # nano /var/www/daloradius/library/daloradius.conf.php $configValues['CONFIG_DB_ENGINE'] = 'mysql'; $configValues['CONFIG_DB_HOST'] = 'localhost'; $configValues['CONFIG_DB_PORT'] = '3306'; $configValues['CONFIG_DB_USER'] = 'radius'; $configValues['CONFIG_DB_PASS'] = 'radius'; $configValues['CONFIG_DB_NAME'] = 'radius'; Guardar y salir. Acceso a interfaz Web de Daloradius Se dará permisos a apache sobre el directorio del DaloRadius que está en el directorio /var/www/daloradius # chown www-data:www-data /var/www/daloradius/ -R Se cambian los permisos del archivo daloradius.conf.php # chmod 644 /var/www/daloradius/library/daloradius.conf.php
