viernes, 6 de junio de 2008

RADIUS en Windows

Microsoft ha implementado el protocolo RADIUS (Remote Authentication Dial In User Service) en Windows 2000/2003 en lo que ha llamado el servicio IAS (Internet Authentication Service / Servicio de Autenticación de Internet). Habitualmente este servicio nos puede ser necesario si queremos poner en marcha una red wireless segura con WPA/WPA2 + RADIUS o bien un servidor de VPN tanto autentificando contra Directorio Activo o los usuarios locales de un servidor. Para usar este servicio si colocamos nuestro servidor detrás de un firewall debemos abrir los puertos con protocolo UDP 1812 y 1813 para que funcione correctamente.

Como de costumbre para poner en marcha este servicio tendremos que ir a Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows -> Servicios de Red y una vez en este apartado activar el "Servicio de autenticación de Internet".



Para administrar el servicio debemos usar la consola Servicio de Autentificación de Internet (ias.msc), para añadir un nuevo cliente del servicio tenemos que hacer click con el botón derecho sobre el apartado Clientes RADIUS, donde tendremos que ir introducir la dirección IP o FQDN del cliente además de un secreto compartido (shared key). Aparte del RADIUS estándar también soporta otras implementaciones RADIUS de distintos fabricantes.




En el apartado Registro remoto tenemos la oportunidad de fijar el sistema almacenamiento de logs, podemos almacenarlos en local (por defecto) o bien en una base de datos SQL a través del correspondiente DSN (origen de datos OBDC).




En Directivas de acceso remoto podemos configurar una serie de condiciones de acuerdo con diversos parámetros para admitir o rechazar peticiones de autentificación, estas se procesan en el orden establecido y en caso de que no se cumpla ninguna el intento de autentificación será rechazado. Aparte de las directivas que podeis ver abajo que son las personalizadas, también existen otras que vienen ya definidas de acuerdo con los escenarios mas habituales de uso de IAS.





En Procesamiento de solicitud de conexión podremos crear proxies de RADIUS de forma que deleguemos la autentificación en un servidor de RADIUS remoto, esta opción esta solo soportada en Windows Server 2003. Para ciertas funcionalidades tales como implantar un servidor de VPN con RRAS donde es necesaria un integración con el Directorio Activo tenemos que registrar el servidor en el directorio, para ello debemos situarnos sobre el nodo raíz del menú y hacer click con el botón derecho sobre el o bien ir a Acciones donde también encontraremos la opción Registrar servidor en Active Directory.

En Windows Server 2003 en la versión Standard del sistema operativo estamos limitados a 50 clientes y 2 grupos remotos de acceso mientras que en Enterprise el numero es ilimitado, en Windows 2000 solo existe la función de servidor RADIUS y no hay limitaciones en ninguna versión.

Tomado de:
julianrv.com/blog/2005/12/radius-en-windows.html

miércoles, 21 de mayo de 2008

Algunos terminos de Active Directory

Directorio Activo: es la implementación de Microsoft del servicio de directorios LDAP para ser utilizado en entornos Windows. El Directorio Activo permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Directorio Activo almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios Activos con cientos de objetos para una red pequeña hasta Directorios Activos con millones de objetos.

Dominio: es una estructura donde todos los usuarios deben cumplir las políticas establecidas por el controlador de dominio. Recursos de la red con un límite de seguridad, estructura básica donde los usuarios cumplen unas reglas establecidas y comparten una base de datos de directorio común.

Controlador de dominio: En una red pequeña es uno solo. Sirven a los usuarios y a los ordenadores de la red para otras tareas como resolver las direcciones DNS, almacenar las carpetas de los usuarios, hacer copias de seguridad, almacenar software de uso común.Es un equipo que realiza las siguientes funciones:
-->Almacena
una replica de active directory.

-->Administra los cambios de la información de directorio

-->Ejecuta un sistema operativo de la familia de Windows

-->Almacena datos de directorio

-->Administra los procesos de inicio de sesión y autentificación de los usuarios y de búsqueda de directorios

Unidades organizativas: Es un tipo de objeto de directorio muy útil incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.

Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos, en función de su modelo organizativo.

Objeto: representa una entidad individual ya sea un usuario, un equipo, una impresora, una aplicación o una fuente compartida de datos y sus atributos. Los objetos pueden contener otros objetos. Un objeto está unívocamente identificado por su nombre y tiene un conjunto de atributos, las características e información que el objeto puede contener definidos por y dependientes del tipo.

Bosques: Según la organización del Directorio Activo, el conjunto de dichos árboles puede constituir una unidad jerárquica superior que se denomina (lógicamente) bosque.

La información del directorio es accesible para todo el bosque de dominios. De hecho, la parte fundamental del directorio (denominada esquema) que define los tipos de objetos y atributos que se pueden crear en el directorio es única para todo el bosque. Ello asegura que la información que se almacena en la parte del directorio de cada dominio del bosque es homogénea.

Esquema: son todos los fragmentos que componen un Active Directory (objetos, atributos, contenedores)

Atributo: es cada fragmento de información que describe aspecto de una entrada se denomina un atributo.

Contenedor:
se parece a un objeto en el hecho de que posee atributos y forma parte del espacio de nombres de Active Directory. un contenedor no representa algo concreto, es un almacén de objetos y otros contenedores.

Sitio: es una combinación de una o varias subredes de protocolo Internet que están conectadas por un vinculo de alta velocidad.
La definición de sitios permite configurar la topología de replicación y acceso a Active Directory.

GPO: Puede contener parametros o politicas de configuracion que deben aplicarse a equipos y usuarios.

Cada GPO se vincula a un contenedor del directorio activo (un sitio, un dominio o una unidad organizativa), afectando implicitamente a todos los objetos que residen en él:

-->Los equipos se veran afectados por las politicas de equipo del GPO.

-->Los usuarios se veran afectados por las politicas de usuario del GPO.

-->Los sub-contenedores heredaran el GPO completo.

lunes, 19 de mayo de 2008

Como agregar un computador a Active Directory

Para poder agregar un equipo al Directorio Activo es necesario hacer los siguientes pasos:

Primero nos fijamos que en la configuracion del DNS tengamos la direccion IP del controlador de dominio asi:

-->Inicio
-->Panel de control
-->Conecciones de red
-->Doble clic en "Conexion de Area Local"
-->Ahi nos apareceran las propiedades. La configuramos asi:


-->Ahi miraremos las propiedades del Protocolo de Internet o la configuracion de nuestra direccion IP.
Una vez agregada la direccion IP del Controlador de dominio podremos agregar nuestro equipo a dicho dominio.

-->Inicio
-->Clic derecho en Mi PC
-->Propiedades
-->Ahi daremos clic en la pestañaNombre de computador (Computer Name)
-->Clic en cambiar (change)
-->Ahi nos abrira otra ventana donde le indicaremos la configuracion:
-->Al agregar el equipo al dominio nos pedira usuario y contraseña del Administrador del Dominio.
-->Ahi nos dara una Bienvenida al dominio.


-->Ahora nos dira "para que el equipo tome los cambis debe reiniciar"
-->Desea reiniciar el equipo ahora.

viernes, 16 de mayo de 2008

Problema Casi Resuelto

En dias pasados se nos presento un problema que nos puso a pensar un dia entero en la solucion: Instalamos Active Directory en un servidor y agregamos dos equipos al dominio aaa.com, posteriormente creamos las cuentas de usuario de los tres integrantes del proyecto y el primer dia todo funciono muy bien.
Al dia siguiente solo se podia acceder con un usuario del dominio al PDC (Equipo donde esta instalado Active Directory), en los demas equipos del dominio mostraba un error diciendo que el dominio aaa.com no estaba disponible.
¿Que podia estar pasando si las configuraciones en el PDC y en los clientes estaban bien?
La verdad no pudimos hallar la causa del problema nosotros mismos, entonces acudimos al instructor, quien al principio tampoco encontraba la causa pero despues de hacer algunas pruebas nos dimos cuenta de lo siguiente: En el entorno del sena hay acceso a la red mediante cable e inalambrico y el PDC estaba conectado utilizando cable y los 2 clientes utilizaban conexion inalambrica y esto fue un indicio de lo que realmente pasaba. Conectamos los 2 equipos a la red cableada e ingresaron correctamente al dominio lo cual queria decir que el problema se presentaba solo al querer ingresar mediante la conexion inalambrica. Accedimos a los equipos mediante las cuentas locales y nos dimos cuenta de que la causa y la solucion eran muchisimo mas sencillas de lo que nosotros creiamos y era que los equipos tienen instalado un driver para la tarjeta de red inalambrica de Intel el cual escanea las redes inalambricas disponibles y posteriormente da la opcion de conectarse a una, pero solo se conectaba cuando se inicia la sesion lo cual quiere decir que antes de ingresar al equipo no hay conexion a ninguna red y asi es totalmente imposible acceder a nada.
La solucion fue configurar en el software de la tarjeta que mantenga la conexion aun despues de cerrar sesion, pero surgio otro inconveniente y es que cuando se apaga totalmente el sistema la conexion se pierde entonces para poder iniciar sesion en el dominio primero hay que iniciar con el usuario local del equipo y dejar que la tarjeta se conecte a la red y luego cerrar sesion e ingresar con el usuario del dominio.
Ahora la tarea es averiguar si esto pasa con el software nativo de conexion inalambrica de Windows.

Instalacion Active Directory

El primer paso para comenzar a trabajar en nuestro proyecto es instalar Active Directory. Encontre este video donde explican la instalacion paso a paso.


video

Puedes descargar el video dando click aqui

miércoles, 14 de mayo de 2008

Caracterizacion De La Red

Caracterizacion De La Red


El escenario de prueba de nuestro proyecto sera la red local del aula de clase, posteriormente se aplicara a todos los equipos de la red del SENA ubicados en:


  • Aulas De Clase: Estos espacios no estan definidos para impartir clases a una sola titulacion, estan en cambio constante, entonces la idea es generar usuarios por cada titulacion con los privilegios y restricciones necesarias para el trabajo en cada area. Para llevar un mejor registro es posible generar los usuarios para un grupo en especifico tomando como variable el numero de orden, por ejemplo:


Usuario: adminredes940417

Contraseña:********


  • Oficinas Administrativas: Los usuarios que trabajan en dichas oficinas no son administradores de la red, pero tendran mas privilegios que los usuarios normales ya que las tareas que desempeñan son muy importantes para el SENA. Cada persona tendra un usuario y una contraseña personal y estos estaran almacenados en una unidad organizativa del Active Directory.


  • Salas De Profesores: En este caso es un poco mas complejo definir las reglas por que algunos instructores son tambien administradores de la red, por lo cual deben pertenecer al grupo administradores. La idea seria crear dos unidades organizativas: una exclusiva para los profesores administradores y otra para el resto del personal docente.


  • Soporte: Existira un usuario de soporte para el personal ya sea interno o externo que desempeñe estas funciones.

Justificacion

Justificacion


Con este trabajo pretendemos llevar a cabo un entorno AAA detallado en el que se realizaran las practicas en el aula y si nos funciona, implementarlo en el centro de Servicios y Gestion Empresarial.


Se busca que cada una de las computadoras realice una Autenticacion, Autorizacion y Traceabilidad en la red del aula obteniendo un chequeo de la información.


Nuestras propuesta esta basada en la utilización de Active Directory y otras herramientas como un esquema PKI para hacer estadisticas, facil y configurables que nos serviran para lograr lo propuesto en Sistemas Operativos como Linux, BSD, Windows y determinar exactamente el nivel de utilización de las aplicaciones en uso. Aplicar IPsec en navegadores, VPN's, emails.

Objetivos

Objetivos


Objetivo General


Implementar una red que maneje todas las funciones de seguridad que ofrece el entorno AAA (Authorization, Authentication and Accounting).



Objetivos Especificos


  • Conocer a fondo todas las caracteristicas del conjunto de protocolos que componen AAA.

  • Aprender el funcionamiento y la configuracion del software utilizado con el protocolo AAA.

  • Garantizar la seguridad en la red en lo que tiene que ver con AAA.

  • Implementar un entorno AAA en el aula.

Introduccion

Introduccion


En este trabajo queremos autenticar VPN, usuarios, aplicar IPsec a browser,emails marcar las directrices que permitan alcanzar los objetivos propuestos y evaluar sus consecuencias.


A través del desarrollo de este proyecto queremos implementar un software de administración para analizar la autenticacion de las computadoras que se conectan a la red.


Buena parte del esfuerzo de nuestro equipo se refleja en el desempeño de este proyecto técnico con énfasis en administración de redes.

viernes, 14 de marzo de 2008

Definido Cronograma De Actividades

Ya quedo definido parte del cronograma de actividades de nuestro proyecto, aunque aun esta sujeto a cambios despues de que lo revise nuestro instructor, pero en un principio se llevaria a cabo este, mas adelante publicaremos el cronograma completo.

Cronograma De Actividades

  • Final del primer trimestre: Tener conocimiento del funcionamiento de los protocolos que componen AAA y tener definido el software a utilizar para llevar a cabo el proyecto.(Trataremos de utilizar diferentes plataformas de software para entender el funcionamiento de cada una).

  • Segundo trimestre: Implementar el software definido anteriormente y llevar un control detallado de los resultados obtenidos.

martes, 11 de marzo de 2008

Instalacion IAS Server

La instalacion de IAS (Servicio De Autenticacion De Internet) es muy sencilla, aqui esta paso por paso:

  • Inicio
  • Panel de control
  • Agregar o quitar programas
  • Agregar o quitar componentes de Windows
  • Servicios de red --- Detalles
  • Servicio de autenticacion de internet --- Siguiente
Listo ya el sistema se encarga de instalarlo. La consola de administracion de IAS se ubica en:

  • Herramientas Administrativas
  • Servicio De Autenticacion De Internet.

sábado, 8 de marzo de 2008

IAS

Parece que acabo de encontrar un software muy util para desarrollar nuestro proyecto, se llama Microsoft IAS y esta es la descripcion que le dan en la pagina oficial de Microsoft:

Servicio de autenticación de Internet (IAS)

Servicio de autenticación de Internet (Internet Authentication Service, IAS) es la implementación de Microsoft de un servidor y proxy RADIUS (Remote Authentication Dial-in User Service). Como servidor RADIUS, IAS ejecuta autenticación, autorización y seguimiento centralizado de la conexión para varios tipos de acceso a la red, como pueden ser accesos inalámbricos y conexiones por Red Privada Virtual (VPN). Como proxy RADIUS, IAS propaga los mensajes de autenticación y seguimiento a otros servidores RADIUS.

Tomado de:
http://www.microsoft.com/spain/windowsserver2003/technologies/ias/default.aspx

miércoles, 20 de febrero de 2008

Que es AAA?

Protocolo AAA

En seguridad informatica, AAA corresponde a un protocolo que realiza tres funciones: Autenticacion, Autorizacion y Traceabilidad (Authentication, Authorization and Accounting). La expresion protocolo AAA no se refiere a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres servicios citados anteriormente.

AAA se combina a veces con Auditoria, convirtiendose en AAAA.

Lista de protocolos AAA

Otros protocolos utilizados en combinacion con los protocolos AAA


Tomado de www.wikipedia.org

viernes, 15 de febrero de 2008

Presentacion

Hola a todos

Les damos la bienvenida al blog en el que publicaremos nuestros avances en el desarrollo e implementacion del proyecto que busca obtener en entorno AAA con Active Directory, PKI e IPsec, implementado en clientes Windows, Linux y BSD generando estadisticas, en un ambiente facil y configurable, usar un esquema PKI, autenticacion VPN y usuarios, token USB, integridad, confidencialidad y no repudio.
Esperamos que nos acompañen en este proyecto y que nos dejen sus comentarios.


--------------------------------------
ATT:
Stiven Alexis Garcia
Alexandra Amaya
Jhon Alexis Cerpa
-------------------------------------