UNIVERSIDAD ANDINA DEL CUSCO

SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION

GUIA DE LABORATORIO
ECP 1 de 17

I. TEMA: PROTOCOLO 802.1X PARA EL CONTROL DE ACCESO A LA RED

II. OBJETIVO DE LA PRACTICA

Al finalizar la práctica, el estudiante estará capacitado para:

1) Explicar el uso y propósito del protocolo 802.1X para el control de acesso a una red
LAN.
2) Diseña una red LAN y configura los equipos de red de acuerdo a requerimientos de
seguridad establecidos, utilizando el protocolo 802.1X
3) Configura un servidor RADIUS (Remote Authentication Dial-In User Service) para la
autenticación de clientes en una red 802.1X.
4) Configura un switch para que opere como autenticador en una red 802.1X
5) Configura clientes de red Windows y Linux como suplicantes en una red 802.1X
6) Utilizar GNS3 como herramienta para la validación de diseños de red

III. TRABAJO PREPARATORIO

Para la realización de la presente práctica, es recomendable:

1) Tener conocimientos básicos de configuración de redes basadas en switches.

2) Tener conocimientos de configuración de VLAN.
3) Tener conocimientos de configuración y administración de redes de área local basadas
en equipos Cisco.
4) Tener conocimientos de configuración de equipos Windows y Linux.

IV. MATERIALES NECESARIOS.

Para la realización de la presente práctica, es necesario contar con:

1) Software de simulación de redes GNS3

2) Imágenes de routers Cisco.
3) Software de simulación VirtualBox o Qemu.
4) Distribución de Linux para configuración de servidor RADIUS
5) Paquete freeradius para la distribución de Linux que se utilizará como servidor
RADIUS.
6) Distribución de Linux para utilizarse como suplicante. Debe tener instalado el software
correspondiente.
7) Computador con sistema operativo Windows para utilizarse como suplicante.
8) Manual de configuración 802.1X para el enrutador o switch que se utilizará en el trabajo.
9) Manual de configuración de freeradius o del software equivalente que se usara como
servidor de autenticación.

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 2 de 17

V. MARCO TEORICO

PROTOCOLO IEEE 802.1X

El protocolo 802.1X se utiliza para implementar un mecanismo de autenticación en base al

cual administrar el acceso a los servicios de red. El acceso a los servicios solo se permite a
usuarios autorizados.

TOPOLOGIA 802.1X

PROTOCOLO DE AUTENTICACIÓN EAP

Protocolo de autenticación que opera en capa de enlace sobre PPP o IEEE 802

EAPOL

EAP Over LAN. Encapsula PDUs EAP sobre redes 802. Implementa la comunicación entre
el suplicante y el autenticador

RADIUS

Es el servidor de autenticación de facto en 802.1X. Cubre tres aspectos de seguridad: AAA

(Authentication, Authorization, Accounting). Se comunica con el Autenticador usando una
clave secreta para garantizar la seguridad. Si la autenticación tiene éxito, RADIUS puede
proporcionar información que el Autenticador usa para asignar VLANs y ACL al
suplicante.
08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 3 de 17

Proceso de autenticación 802.1X

La comunicación entre el suplicante y el autenticador es L2 mientras que la comunicación

entre el autenticador y el servidor de autenticación es L3.

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 4 de 17

VI. TRABAJOS DE LABORATORIO

1) Diseñe, configure y verifique la conectividad de los equipos de la red LAN que se

muestra en el diagrama. Los clientes (suplicantes) deben comunicarse entre sí luego de
ser autenticados por el servidor RADIUS:

Servidor RADIUS
Cliente Windows

Switch Autenticador

Cliente Linux

Para la configuración de los equipos, utilice los siguientes parámetros:

- Dirección IP Cliente Linux : 192.168.0.2/24

- Dirección IP Cliente Windows : 192.168.0.3/24
- Dirección IP del servidor Radius : 192.168.0.200/24

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 5 de 17

SOLUCION

a) DISEÑO DE RED

Diseñamos la red en el GNS3, seleccionando los equipos adecuados, como se muestra

en el siguiente gráfico:

Las interfaces utilizadas para conectar los equipos del proyecto se muestran en la
siguiente imagen:

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 6 de 17

En la siguiente imagen se muestra los puertos de switch utilizados para el proyecto

b) CONFIGURACION DE EQUIPOS DE RED

Asignamos la dirección IP a cada uno de los equipos terminales de red.

En el equipo PC1:

En el equipo Windows (el cual se conecta mediante Cloud1):

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 7 de 17

En el equipo Linux (livecd64):

c) CONFIGURACIÓN DEL SERVIDOR RADIUS:

A continuación, configuramos el servidor Radius, de acuerdo a las especificaciones del

trabajo:

Creación de usuarios:

Registro de la red 192.168.0.0/24

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 8 de 17

Reiniciamos el servidor Radius:

Probamos la operatividad del servidor utilizando la aplicación NTRadPing

d) CONFIGURACION DEL SWITCH

Configuramos el switch como autenticador PAE:

Creación de la VLAN 10

enable
vlan database
vlan 10 name lab
apply
exit

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 9 de 17

Verificamos las VLAN existentes:

Asociamos unas cuantas interfaces a la VLAN 10:

conf term
int range fastEthernet0/0 -5
switchport mode access
switchport access vlan 10

Le asignamos una dirección IP a la VLAN 10 para que se conecte al servidor Radius

int vlan 10
ip address 192.168.0.1 255.255.255.0

Configuramos las interfaces:

int fastEthernet0/1
switchport mode access
dot1x port-control auto

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 10 de 17

int fastEthernet0/2
switchport mode access
dot1x port-control auto

Configuramos la seguridad 802.1x

aaa new-model
radius-server host 192.168.0.200 auth-port 1812 acct-port
1813 key test123
aaa authentication dot1x default group radius
dot1x system-auth-control

e) CONFIGURACION DE CLIENTE WINDOWS

Configuramos el cliente Windows:

Activar el servicio “Configuración automática de redes cableadas”:

En “Propiedades de la Conexión de área local”, establecemos las opciones de

autenticación como se muestra en la siguiente imagen:

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 11 de 17

Seleccionar el botón Configuración y en la ventana que aparece, desactivamos la opción

“Validar un certificado de servidor”, por cuanto en la presente configuración no se
utilizara un servidor de certificados. A continuación, verificamos que el método de
autenticación sea “Contraseña segura (EAP-MSCHAP v2)” y que la opción “Habilitar
reconexión rápida” este activada.

En “Propiedades de EAP MSCHAPv2” desactivar la opción “Usar automáticamente el

nombre de inicio de sesión y la contraseña de Windows (y dominio, si existe alguno)”

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 12 de 17

f) CONFIGURACION DEL CLIENTE LINUX

Configuramos el cliente Linux:

En el cliente Linux (Ubuntu), en el Network Manager, seleccionamos editar conexión

de red “Wired connection1” y establecemos las propiedades de la conexión en la opción
“Seguridad 802.1x” como se muestra en la imagen a continuación:

g) CONEXIÓN DE CLIENTES

Activamos la conexión a red:

En Windows

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 13 de 17

h) PRUEBAS DE OPERATIVIDAD

Probamos la configuración:

En Windows

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 14 de 17

En Linux

Así, queda demostrada la operatividad de la red utilizando el servicio de autenticación

basado en 802.1X

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 15 de 17

VII. EJERCICIOS PROPUESTOS DE LABORATORIO

1) Capture el tráfico de autenticación entre un suplicante PAE y el servidor Radius,

identifique los paquetes intercambiados en el proceso de autenticación y grafique la
interacción de las partes mediante un diagrama similar al mostrado a continuación:

2) Modifique la configuración de los equipos para permitir que los usuarios se asocien a la
VLAN correspondiente de acuerdo la dirección MAC del terminal de red (VLAN
dinámicas). Las VLAN disponibles serán: Alumnos, Docentes, Administrativos,
Invitados. Por ejemplo:

MAC DE TERMINAL DE RED VLAN

00:AB:12:34:87:0C Alumnos
18:DE:FA:42:6C:B3 Docentes
18:A2:F5:A2:E8:54 Alumnos
. .
. .
. .
04:A8:D9:C0:E7:99 Administrativos

Las MAC no registradas en el servidor RADIUS, deben asociarse a la VLAN Invitados

3) Elabore un informe con la resolución de los ejercicios propuestos. Alcance el informe

al docente en formato digital con extensiones docx y pdf, utilizando la siguiente regla
para la denominación de los mismos.

STIC_2021-I[_apPaterno]_802.1X

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 16 de 17

VIII. EVALUACIÓN

La evaluación de las actividades realizadas en la presente guía de práctica se hará en

función de la siguiente tabla:

PROCEDIMENTAL
ACTIVIDAD
SESIÓN 01 SESIÓN 02
Implementación de ejercicio de ejemplo -- 05
Resolución del ejercicio propuesto 01 -- 04
Resolución del ejercicio propuesto 02 -- 08
Informe -- 03
TOTAL 20 20

08/04/2021
 UNIVERSIDAD ANDINA DEL CUSCO
SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y COMUNICACION
GUIA DE LABORATORIO
ECP 17 de 17

IX. REFERENCIAS

1) Cisco. “CCNA 1 y 2 – Guia Del Primer Año”. Cisco Press.

2) Comer D., “Internetworking With Tcp/Ip”. 4ed. Prentice Hall
3) Gallo, Hancock, “Comunicación Entre Computadoras Y Tecnologías De Redes”.
Thomson
4) Halsall F., “Redes De Computadores E Internet”. 5ed. Addison Wesley
5) Hayden M., “Aprendiendo Redes En 24 Horas”. Prentice Hall
6) Palmer M., “Redes De Computadoras”. Thomson Learning
7) Ray, “TCP/IP”. Prentice Hall
8) Russel C., Crawford S., “Running Microsoft Windows 2000 Server”. Microsoft Press
9) Tanenbaum A., “Redes De Computadores”. 4ed. Prentice Hall
10) Tittel, “Redes De Computadores”, McGraw Hill
11) The Computer Documentation Project
http://www.comptechdoc.org/independent/networking/guide/netnetbeui.html

08/04/2021