Indice del libro
SEGURIDAD MÁXIMA 1
SEGURIDAD MÁXIMA 3
ÍNDICE 7
ACERCA DE LOS AUTORES 17
INTRODUCCIÓN 19
SISTEMAS AAA 23
1.1 LAS TRES “AES”: AAA 24
1.1.1 ORÍGENES, DESCRIPCIÓN Y REGULACIÓN
26
1.1.2 AUTENTICACIÓN 30
1.1.3 AUTORIZACIÓN 32
1.1.4 ARQUEO 34
1.1.5 AUDITORÍA, LA CUARTA “A” 36
1.2 MARCO DE AUTORIZACIÓN AAA 37
1.3 OTROS PROTOCOLOS AAA 41
1.3.1 TACACS, TACACS+ 41
1.3.2 DIAMETER 42
RADIUS / 802.1X 45
2.1 INTRODUCCIÓN A RADIUS 46
2.1.1 ORÍGENES 46
2.1.2 DESCRIPCIÓN DEL PROTOCOLO 48
2.1.3 ESPECIFICACIONES DE RADIUS 50
2.1.4 MULTIPLATAFORMA (GNU-LINUX, WINDOWS, SOLARIS...) 52
2.2 MÉTODOS DE AUTENTICACIÓN 53
2.2.1 AUTENTICACIÓN SIMPLE Y AUTENTICACIÓN MUTUA
56
2.2.2 PAP, CHAP, MS-CHAP Y OTROS SABORES 57
2.2.3 UN CAPÍTULO PARA EAP (“O CASI”) 59
2.2.3.1 EAP-MD5 61
2.2.3.2 EAP-TLS y otros sabores similares… 62
2.2.3.3 Métodos EAP basados en TLS 62
2.2.3.4 EAP-TTLS 64
2.2.3.5 EAP-PEAP 65
2.2.3.6 Tabla comparativa de tipos de EAP 66
2.2.4 AUTENTICACIÓN CONTRA ARCHIVO DE USUARIOS 68
2.2.5 AUTENTICACIÓN CONTRA EL SISTEMA OPERATIVO 68
2.2.6 AUTENTICACIÓN CONTRA BASES DE DATOS 69
2.2.7 AUTENTICACIÓN CONTRA SERVICIOS DE DIRECTORIO
70
2.2.8 REAUTENTICACIÓN 70
2.3 SHARED SECRET. EL SECRETO MEJOR GUARDADO 71
2.4 ATRIBUTOS AVP & VSA. DICCIONARIOS 72
2.5 DOMINIOS DE RADIUS (REALMS) 76
2.6 RADIUS HINTS 78
2.7 ESTRUCTURA DE LAS COMUNICACIONES RADIUS 78
2.7.1 FORMATO DE MENSAJE RADIUS. PAQUETE DE DATOS 79
2.7.2 SECUENCIA DE AUTENTICACIÓN DE RADIUS 82
2.8 ÁMBITOS DE UTILIZACIÓN Y ESCALABILIDAD 84
2.8.1 MODELOS DE IMPLANTACIÓN 85
2.9 ESTADÍSTICAS Y LOGS 86
2.10 EXTENSIONES DE AUTORIZACIÓN DINÁMICA 88
2.11 LIMITACIONES DE RADIUS 89
2.12 EL ESTÁNDAR 802.1X 90
2.12.1 CAPAS DEL MODELO OSI (¡POR ENÉSIMA VEZ!)
91
2.12.2 EL ESTÁNDAR 802.1X 95
2.13 ESTRUCTURA DE LAS COMUNICACIONES EAP 100
2.13.1 FORMATO DE MENSAJE EAP. PAQUETE DE DATOS 100
2.13.2 SECUENCIAS DE AUTENTICACIÓN EAP 102
2.13.3 ÁMBITOS DE APLICACIÓN (ENTERPRISE ETHERNET)
106
2.13.4 MODELOS DE IMPLANTACIÓN 107
2.14 UN CAPÍTULO PARA WI-FI (“O CASI”)
108
2.14.1 CONCEPTOS DE WI-FI 110
2.14.2 SECUENCIA DE CONEXIÓN WI-FI 112
2.14.3 ESTRUCTURA DE UNA RED WI-FI 114
2.14.4 LA SEGURIDAD EN LAS REDES WI-FI 116
2.14.4.1 Hacking Wi-Fi 118
2.14.4.2 Protegiendo Wi-Fi 119
3 CAPÍTULO 3 121
INFRASTRUCTURA DE CLAVE PÚBLICA. PKI 121
3.1 SISTEMAS CRIPTOGRÁFICOS 125
3.1.1 SISTEMAS DE CLAVE SIMÉTRICA 127
3.1.2 SISTEMAS DE CLAVE ASIMÉTRICA 128
3.1.3 ALGORITMO RSA PARA CIFRADO ASIMÉTRICO 129
3.1.4 PROTOCOLO SSL Y TLS 130
3.1.5 ALGORITMO DH (DIFFIE HELLMAN) 131
3.1.6 ALGORITMOS DE REDUCCIÓN O RESUMEN DE MENSAJE
131
3.1.6.1 Debilidades de los algoritmos de reducción
133
3.1.6.2 Colisiones de Hash 134
3.1.6.3 Ejemplos de hashes en varios algoritmos 134
3.2 CA. AUTORIDAD CERTIFICADORA 135
3.2.1 TIPOS DE ENTIDADES PARTICIPANTES EN PKI 137
3.2.2 ORGANISMOS PRIVADOS 138
3.2.3 ORGANISMOS PÚBLICOS 138
3.2.4 SELF SIGNING CA O CERTIFICADOS AUTOFIRMADOS 139
3.2.5 CA GRATUITAS 139
3.3 SISTEMA BASADO EN LA CONFIANZA (TRUSTED) 140
3.3.1 LISTAS INCLUIDAS EN LAS APLICACIONES Y SO 142
3.4 REVOCACIÓN DE CERTIFICADOS (CRL) 142
3.5 FORMATOS Y TIPOS DE CERTIFICADOS 145
3.6 FIRMA DIGITAL 151
3.6.1 NO-REPUDIO 154
3.7 SMARTCARDS Y OTROS CRIPTOSISTEMAS 154
3.7.1 UNA MENCIÓN ESPECIAL PARA EL DNIE 155
3.7.1.1 El DNIe en la práctica 159
3.8 SISTEMAS DE GESTIÓN DE CERTIFICADOS 161
APLICACIÓN REAL. UBUNTU+FREERADIUS
163
4.1 ¿POR QUÉ GNU/LINUX? ¿POR QUÉ
NO WINDOWS? 164
4.2 ¿POR QUÉ FREERADIUS? 165
4.2.1 CARACTERÍSTICAS DE FREERADIUS 2 167
4.2.2 APLICACIÓN EN EL MUNDO REAL 169
4.3 INSTALACIÓN DE UBUNTU SERVER LINUX 8.04 171
4.3.1 DESCARGAR Y GRABAR LA ISO DE UBUNTU 171
4.3.2 INSTALACIÓN DE UBUNTU SERVER 8.04 DESDE CERO
172
4.3.3 NUESTRO PRIMER ARRANQUE 186
4.3.4 CONFIGURACIÓN DE LA RED 188
4.3.5 ACTUALIZAR NUESTRO SERVIDOR CON LOS ÚLTIMOS PARCHES
190
4.3.6 ALGUNAS TECLAS BÁSICAS DEL EDITOR NANO 191
4.4 HERRAMIENTA DE ADMINISTRACIÓN: WEBMIN 192
4.4.1 INSTALACIÓN DE WEBMIN 192
4.5 PUTTY COMO CONSOLA REMOTA DE TEXTO 196
4.6 SERVIDOR Y CLIENTE NTP 198
4.7 PRIMEROS PASOS CON FREERADIUS 200
4.7.1 INSTALACIÓN DE FREERADIUS 2 DESDE NUESTRO DVD
201
4.7.2 CÓMO COMPILAMOS LOS BINARIOS INCLUIDOS EN CD-ROM
202
4.7.3 BLOQUEAR FREERADIUS PARA QUE NO SE ACTUALICE 204
4.7.4 ARRANQUE DE FREERADIUS 205
4.7.5 CONFIGURACIÓN BÁSICA DE FREERADIUS 208
4.7.5.1 Freeradius y los atributos 208
4.7.5.2 Archivos de configuración 209
4.7.5.3 Unlang. El lenguaje de Freeradius 239
4.7.6 PRIMER TEST DE FUNCIONAMIENTO 248
4.7.6.1 Test de autenticación sobre el sistema 250
4.7.6.2 Test de autenticación mediante CHAP 251
4.7.7 FORZAR EL FINAL DE UNA SESIÓN DE USUARIO CONECTADA
255
4.7.8 BASE DE DATOS MYSQL 256
4.7.8.1 Administración del daemon MySQL 256
4.7.8.2 Sentencias básicas de SQL 257
4.7.8.3 Preparando MySQL para FreeRADIUS 269
4.7.8.4 Configuración de SQL en FreeRADIUS 272
4.7.8.5 Test de Autenticación sobre MySQL 275
4.7.8.6 Redundancia y copia de seguridad MySQL 280
4.7.9 INTRODUCCIÓN A OPENSSL 282
4.7.9.1 Instalación de OpenSSL 288
4.7.9.2 Configuración de OpenSSL 289
4.7.9.3 Creación de mi Autoridad Certificadora Raíz
292
4.7.9.4 Obtención de un certificado de Servidor 295
4.7.9.5 Nombres de archivo utilizados 301
4.7.9.6 Configuración de certificados en FreeRADIUS
301
4.7.9.7 Obtención de un certificado de Cliente 303
4.7.9.8 Revocación de certificados en OpenSSL 306
4.7.9.9 OCSP mediante OpenSSL 308
4.7.9.10 Configuración de CRL para FreeRADIUS 317
4.7.9.11 Obtención automática de certificados
en FreeRADIUS 2 319
4.7.9.12 Test de Autenticación sobre EAP 322
4.7.10 CONFIGURANDO APACHE2 328
4.7.11 ADMINISTRADOR FREERADIUS DIALUP-ADMIN 333
4.7.11.1 Primeros pasos con Dialup-Admin 336
4.7.12 ADMINISTRANDO FREERADIUS CON PHPRADMIN 341
4.7.12.1 Instalación y configuración de phpRADmin
342
4.7.12.2 Depuración de errores de phpRADmin 345
4.7.12.3 Configuración de phpRADmin 346
4.7.12.4 Configuración de tareas de phpRADmin 353
4.7.12.5 Gestión de Certificados desde phpRADmin 353
4.7.13 OTROS ADMINISTRADORES PARA FREERADIUS 356
4.7.14 FREERADIUS Y OPENLDAP 358
4.7.15 FREERADIUS Y ACTIVE DIRECTORY 370
4.7.16 CLIENTES JAVA PARA RADIUS 370
4.7.17 SUPLICANTE PARA LINUX. WPA_SUPPLICANT 372
4.7.18 PAM. AUTENTICACIÓN AVANZADA EN LINUX 376
4.8 SERVIDOR DHCP 380
4.8.1 INSTALACIÓN DE DHCP3-SERVER 381
4.8.2 CONFIGURACIÓN DE DHCP3-SERVER 381
4.8.3 FREERADIUS Y DHCP 382
APLICACIÓN REAL: WINDOWS
SERVER + IAS 387
5.1 ¿POR QUÉ WINDOWS? ¿POR QUÉ
NO LINUX? 388
5.1.1 WINDOWS SERVER. INTRODUCCIÓN 389
5.1.2 ACTIVE DIRECTORY 390
5.2 MICROSOFT IAS. EL RADIUS DE MICROSOFT 390
5.2.1 INSTALACIÓN Y CONFIGURACIÓN DE WINDOWS
2003 SERVER 393
5.2.2 PROCEDIMIENTO DE INSTALACIÓN DE MICROSOFT IAS
400
5.2.3 CONFIGURACIÓN DE IAS 401
5.2.3.1 Configuración práctica de IAS 404
5.2.3.2 Creación de un usuario de prueba 419
5.2.4 PRIMER TEST DE FUNCIONAMIENTO 421
5.2.4.1 Troubleshooting o solución de problemas 428
5.2.5 AUTORIDAD CERTIFICADORA RAÍZ DE WINDOWS SERVER
431
5.2.5.1 Instalación de una CA raíz de Windows
Server 433
5.2.5.2 Instalación y configuración de IIS para
la generación de certificados 441
5.2.5.3 Emisión de certificados self-signed 448
5.2.5.4 Copia de Seguridad de certificate server 454
5.2.5.5 Repositorios de certificados en Windows 456
5.2.5.6 Importación de Certificados. Procedimiento
457
5.2.5.7 Revocación de certificados 460
5.2.6 CONFIGURACIÓN IAS PARA CLIENTES INALÁMBRICOS
WI-FI 461
5.2.6.1 Políticas de Grupo 469
5.2.6.2 Configuración y divulgación de las GPO
470
5.2.7 EL PROTOCOLO 802.1X EN WINDOWS 479
5.2.8 SUPLICANTE DE WINDOWS. LIMITACIONES 480
5.2.8.1 Procedimiento de configuración y uso 481
5.2.9 OTRAS OPCIONES DE SUPLICANTES LIBRES Y DE PAGO 485
5.2.10 LIMITACIONES DE IAS 489
APLICACIÓN REAL. CONFIGURANDO UN NAS 491
6.1 TIPOS DE EQUIPOS NAS 491
6.2 CLIENTES DE UN NAS O SUPLICANTES 494
6.3 CONFIGURACIÓN REAL AP LINKSYS 497
6.4 CONFIGURACIÓN REAL AP CISCO 503
7 CAPÍTULO 7 511
SEGURIDAD AVANZADA EN RADIUS
511
7.1 VULNERABILIDADES 511
7.1.1 VULNERABILIDADES CLÁSICAS DE RADIUS 512
7.1.2 VULNERABILIDAD DOS EN RADIUS 514
7.1.3 VULNERABILIDAD 802.1X 515
7.1.4 VULNERABILIDAD OPENSSL 517
7.1.5 VULNERABILIDAD EN CERTIFICADOS DE WINDOWS 518
7.2 HACKING RADIUS 519
7.2.1 TÉCNICAS UTILIZADAS EN LOS ATAQUES DE HACKERS
520
7.2.2 PRINCIPALES TIPOS DE ATAQUES UTILIZADOS 522
7.2.3 HACKING MD5 EN RADIUS 524
7.2.4 ATAQUE FREERADIUS-WPE A EAP 528
7.3 ARQUITECTURA DE RED RECOMENDADA 532
REFORZANDO A LINUX 534
7.3.1 LOS USUARIOS EN LINUX 535
7.3.2 LOS GRUPOS DE USUARIOS EN LINUX 540
7.3.3 ADMINISTRANDO LOS PERMISOS 541
7.3.4 PERMISOS ESPECIALES 546
7.3.5 IPTABLES. CORTAFUEGOS 549
7.3.5.1 Primeros pasos 549
7.3.5.2 Creando el firewall 554
7.3.5.3 Instalando el firewall 557
7.4 ¿REFORZANDO WINDOWS? 560
7.4.1 SEGURIDAD DE INFRAESTRUCTURA DE RED IAS 560
7.4.2 REGLAS DE FILTRADO DE TCP PARA IAS 563
7.5 CONCLUSIÓN 564
8 CAPÍTULO 8 565
TABLAS Y REFERENCIAS DE VALOR 565
8.1 LISTA DE ARCHIVOS Y CARPETAS DEL DVD 565
8.2 GUÍA BÁSICA DE COMANDOS LINUX 569
8.3 INSTALACIÓN Y FUNCIONAMIENTO DE VMWARE 575
8.4 TIPOS DE PAQUETES DE RADIUS 580
8.5 DISECCIÓN DE UN PAQUETE DE DATOS RADIUS 580
8.6 DISECCIÓN DE UN PAQUETE DE DATOS EAP 582
8.7 EJEMPLO DE INFORMACIÓN DE ACCOUNTING 583
8.8 EJEMPLO DE DEBUG TRACE DE FREERADIUS 2 584
8.9 USUARIOS Y CONTRASEÑAS PARA PRUEBAS 589
8.10 SECUENCIA EAP-PEAP-MSCHAPV2 590
8.11 EJEMPLO DE UN CERTIFICADO 604
8.12 COMANDOS IMPORTANTES OPENSSL 606
8.13 COMPARATIVA DE RECURSOS UBUNTU/ WINDOWS 608
8.14 ARCHIVOS Y DIRECTORIOS DE FREERADIUS 609
8.15 ARCHIVOS Y DIRECTORIOS DE OPENSSL 611
8.16 ESQUEMA DE LA BASE DE DATOS MYSQL EN FREERADIUS 611
8.17 EJEMPLOS DE HASHES 614
8.18 ATRIBUTOS DE RADIUS 614
8.18.1 AVP ESTÁNDAR DE RADIUS 614
8.18.2 LISTA ALFABÉTICA DE AVP ESTÁNDAR DE RADIUS
629
8.18.3 EJEMPLO DE DICCIONARIO DE FABRICANTE. VSA 633
8.19 LISTA DE RFC DE INTERÉS 634
8.20 ENLACES DE INTERÉS 636
8.21 LISTA DE SERVIDORES 637
ÍNDICE ALFABÉTICO
639
TEXTO CONTRAPORTADA 645 |
|
