Proyecto Servidor Radius (CentOS 6.6)

42
Junio de 2015 Zacatecas, Zac, México TECNOLOGICO NACIONAL DE MEXICO INSTITUTO TECNOLÓGICO DE ZACATECAS SEGURIDAD EN CORTAFUEGOS PROYECTO INTEGRADOR “SERVIDOR RADIUS” PRESENTADO POR: Franklin Iztcoatl Monreal Cristerna 10450454 Almendra Herrera García 11450553 DOCENTE ISC. JORGE ARELLANO ROMERO

description

Documento que describe la instalación, configuración y pruebas de un Servidor Radius con la distribución Linux CentOS 6.6

Transcript of Proyecto Servidor Radius (CentOS 6.6)

Page 1: Proyecto Servidor Radius (CentOS 6.6)

Junio de 2015 Zacatecas, Zac, México

TECNOLOGICO NACIONAL DE MEXICO INSTITUTO TECNOLÓGICO DE

ZACATECAS

SEGURIDAD EN CORTAFUEGOS PROYECTO INTEGRADOR

“SERVIDOR RADIUS”

PRESENTADO POR:

Franklin Iztcoatl Monreal Cristerna 10450454

Almendra Herrera García 11450553

DOCENTE

ISC. JORGE ARELLANO ROMERO

Page 2: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

TABLA DE ILUSTRACIONES

Ilustración 1 Diagrama de Red ................................................................................ 5 Ilustración 2 Simulación Packet Tracer ................................................................... 6 Ilustración 3 Configuración Tarjeta de Red Máquina Virtual eth0............................ 8 Ilustración 4 Configuración Tarjeta de Red Máquina Virtual eth1............................ 8 Ilustración 5 Selección Tipo de Instalación ............................................................. 9

Ilustración 6 Instalación en Curso ......................................................................... 10 Ilustración 7 Configuración Tarjeta de Red eth0 ................................................... 10 Ilustración 8 Configuración Tarjeta de Red eth1 ................................................... 11 Ilustración 9 Verificación de Asignaciones de Direcciones IP .............................. 11 Ilustración 10 Filtrado de Paquetes ....................................................................... 11

Ilustración 11 Verificación Reglas IPTABLES ....................................................... 12

Ilustración 12 Enrutamiento de Paquetes .............................................................. 12 Ilustración 13 Guardado de Reglas IPTABLES ..................................................... 12

Ilustración 14 Inicio de Sesión Daloradius ............................................................. 22 Ilustración 15 Pantalla de Incio Daloradius ........................................................... 22 Ilustración 16 Administración de NAS (Puntos de Acceso) Daloradius ................. 23

Ilustración 17 Administración de Usuario Daloradius ............................................ 23 Ilustración 18 Configuración Red AP1 ................................................................... 24 Ilustración 19 Configuración IP AP1 ...................................................................... 24

Ilustración 20 Configuración DHCP AP1 ............................................................... 25 Ilustración 21 Configuración Seguridad WPA/WPA2-Enterprise AP1 ................... 25

Ilustración 22 Configuración LAN Access Point .................................................... 26 Ilustración 23 Configuración Nombre Difusión Access Point ................................. 27

Ilustración 24 Configuración DCHP Access Point ................................................. 27 Ilustración 25 Configuración de Seguridad WPA/WPA2--Enterprise ..................... 28 Ilustración 26 Conexión Cliente Windows 8.1 ....................................................... 29

Ilustración 27 Verificación Conexión Cliente Windows 8.1 .................................... 29 Ilustración 28 Creación Nueva Red Windows 7 .................................................... 30

Ilustración 29 Definición de Aspectos de Nueva Red ............................................ 30 Ilustración 30 Tipo de Seguridad Nueva Red ........................................................ 31

Ilustración 31 Configuración Nueva Red ............................................................... 31 Ilustración 32 Método de Autenticación Nueva Red .............................................. 32 Ilustración 33 Autenticación de Red ...................................................................... 32 Ilustración 34 Verificación Tipo de Conexión e IP ................................................. 33 Ilustración 35 Verificación Salida a Internet .......................................................... 33

Ilustración 36 Configuración Conexión Clientes Windows Phone ......................... 34 Ilustración 37 Configuración Clientes Windows Phone 2 ...................................... 34

Ilustración 38 Ruta de Configuración Servidor Proxy ............................................ 35 Ilustración 39 Configuración de Proxy en Windows .............................................. 36 Ilustración 40 Configuración Servidor Proxi en Windows Phone ........................... 36 Ilustración 41 Prueba de Conexión y Funcionamiento .......................................... 37

Page 3: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

CONTENIDO

INTRODUCCION .................................................................................................... 1

DESARROLLO ........................................................................................................ 2

MARCO TEORICO .............................................................................................. 2

OBJETIVO ........................................................................................................... 4

EQUIPO NECESARIO ......................................................................................... 4

DIAGRAMA DE RED ........................................................................................... 5

SIMULACION PACKET TRACER ....................................................................... 6

MANUAL TECNICO ............................................................................................. 7

INSTALACION DE SERVIDOR CENTOS 6.6 (LINUX) .................................... 7

CONFIGURACIÓN DE SERVIDOR NAT ....................................................... 10

CONFIGURACIÓN DE RADIUS .................................................................... 13

INSTALAR DALORADIUS PARA ADMINISTRACIÓN A TRAVÉS DE HTTP. 20

CONFIGURACIÓN DE PUNTOS DE ACCESO ............................................. 24

MANUAL DE USUARIO..................................................................................... 29

CONFIGURACIÓN DE CLIENTES ................................................................ 29

PRUEBAS DE CONEXIÓN Y FUNCIONAMIENTO ........................................... 37

CONCLUSIONES .................................................................................................. 38

BIBLIOGRAFÍA ..................................................................................................... 39

Page 4: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 1

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

INTRODUCCION

Las redes de computadoras hoy en día están presentes en casi todas las organizaciones y son esenciales para su funcionamiento en el intercambio de información, todo ello conlleva que el número de usuarios y la necesidad de estar conectados se incremente considerablemente, por lo que se vuelve una imperiosa necesidad implementar soluciones que puedan garantizar la seguridad y el control, de acceso de usuarios no autorizados o que sobrepasen la capacidad de la red y propicien deficiencias en el rendimiento de la misma. Es por ello que en este proyecto se propone una solución para el control de acceso de los usuarios mediante conexiones inalámbricas que hoy en día con la gran cantidad de dispositivos móviles se convierten en el principal medio de conexión. Dicha propuesta consiste en la implementación de un Servidor Radius que mediante listas de acceso permita autenticar a los usuarios autorizados y rechazar a los usuarios que no se encuentren en el sistema, garantizando así que únicamente los usuarios que se encuentran en la base de datos puedan acceder mediante los puntos de acceso inalámbricos. Por todo ello en este proyecto se contempla la instalación, configuración y consideraciones para implementar un servidor radius dentro del sistema operativo Linux con la distribución CentOS 6 que permita realizar las funciones descritas y brindando así la posibilidad de replicar el procedimiento para su implementación en un entorno real.

Page 5: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 2

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

DESARROLLO

MARCO TEORICO

Netfilter es un conjunto de ganchos (Hooks, es decir, técnicas de programación que se emplean para crear cadenas de procedimientos como manejador) dentro del núcleo de GNU/Linux y que son utilizados para interceptar y manipular paquetes de red. El componente mejor conocido es el cortafuego, el cual realiza procesos de filtración de paquetes. Los ganchos son también utilizados por un componente que se encarga del NAT (acrónimo de Network Address Translation o Traducción de dirección de red). Estos componentes son cargados como módulos del núcleo. Iptables es el nombre de la herramienta de espacio de usuario (User Space, es decir, área de memoria donde todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea necesario) a través de la cual los administradores crean reglas para cada filtrado de paquetes y módulos de NAT. Iptables es la herramienta estándar de todas las distribuciones modernas de GNU/Linux. [1] RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticación, autorización y manejo de cuentas de usuario originalmente desarrollado por Livingston Enterprises y publicado en 1997 como los RFC 2058 y 2059. Es utilizado para administrar el acceso remoto y la movilidad IP, como ocurre en servicios de acceso por modem, DSL, servicios inalámbricos 802.11 o servicios de VoIP (Voice over IP o Voz sobre IP). Este protocolo trabaja a través del puerto 1812 por UDP. La autenticación gestionada por este protocolo se realiza a través del ingreso de un nombre de usuario y una clave de acceso. Esta información es procesada por un dispositivo NAS (Network Access Server) a través de PPP (Point-to-Point Protocol o Protocolo Punto-a-Punto) siendo posteriormente validada por un servidor RADIUS a través del protocolo correspondiente valiéndose de diversos esquemas de autenticación, como PAP (Password Authentication Protocol o Protocolo de Autenticación de Clave de acceso), CHAP (Challenge-Handshake Authentication Protocol) o EAP (Extensible Authentication Protocol) y permitiendo el acceso al sistema. [2] Freeradius, proyecto iniciado en 1999 por Alan DeKok y Miquel van Smoorenburg (quien colaboró anteriormente en el desarrollo de Cistron RADIUS), es una alternativa libre hacia otros servidores RADIUS, siendo uno de los más completos y versátiles gracias a la variedad de módulos que le compone. Puede operar tanto en sistemas con recursos limitados así como sistemas atendiendo millones de usuarios.

Page 6: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 3

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Freeradius inició como un proyecto de servidor RADIUS que permitiera una mayor colaboración de la comunidad y que pudiera cubrir las necesidades que otros servidores RADIUS no podían. Actualmente incluye soporte para LDAP, SQL y otras bases de datos, así como EAP, EAP-TTLS y PEAP. Actualmente incluye soporte para todos los protocolos comunes de autenticación y bases de datos. Daloradius es una avanzada aplicación HTTP que sirve de sistema de administración para RADIUS y está diseñada para ser utilizada para administrar hotspots (puntos calientes, es decir zona de cobertura Wi-Fi, en el que un punto de acceso o varios proveen servicios de red a través de un Proveedor de Servicios de Internet Inalámbrico o WISP) y uso general para la autenticación de Proveedores de Acceso a Internet (ISP). Incluye gestión de usuarios, reportes gráficos, contabilidad, motor de cobranza e integración con GoogleMaps para Geolocalización.

Page 7: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 4

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

OBJETIVO

Montar un Servidor Radius que funcione con dos puntos de acceso inalámbricos, implementando el protocolo de seguridad WPA/WPA2-Enterprise, donde los usuarios clientes que se conecten a los puntos de acceso sean autentificados y validados por el Servidor Radius el cual permitirá establecer la conexión o no a la red. Los equipos de distribución (Puntos de Acceso) deben permitir la salida a los clientes por medio del Servidor Radius. Así como permitir la administración de los equipos de distribución y los usuarios mediante la implementación de una plataforma web que permita gestionarlos de manera sencilla. El proyecto también contempla la generación de la documentación que incluirá la instalación y configuración de los servicios necesarios para el funcionamiento del Servidor Radius y su administración, de tal forma que el proceso pueda ser replicado de manera adecuada para implementar un proyecto de este tipo.

EQUIPO NECESARIO

1 Computadora con sistema operativo Windows que cuente con 2 Tarjetas de Red funcionales, 1 Cableada y 1 Inalámbrica, con mínimo 2GB de memoria RAM, esta computadora tendrá la función de ser el Servidor Radius que se encargara de la autenticación de los usuarios así como de proveer de internet a los puntos de acceso y a los equipos que se conecten a ellos.

2 Puntos de Acceso Inalámbricos con soporte para el protocolo de seguridad WPA/WPA2 – Enterprise.

1 Equipo de distribución Switch para conectar los 2 puntos de acceso a la computadora que funcionara como Servidor Radius y Puerta de Enlace.

1 Cable Ethernet Recto Cat5e que conectara al Servidor Radius con el equipo de distribución Switch.

2 Cables Ethernet Cruzados Cat5e que conectaran los puntos de acceso con el Switch.

2 Equipos de cómputo o 2 dispositivos móviles como mínimo para probar el funcionamiento del servidor. Recomendablemente con sistemas operativos Windows 8.1, Windows Phone 8.1 o Android 4.4.

Page 8: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 5

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

DIAGRAMA DE RED

Ilustración 1 Diagrama de Red

Page 9: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 6

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

SIMULACION PACKET TRACER

Ilustración 2 Simulación Packet Tracer

Page 10: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 7

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

MANUAL TECNICO

INSTALACION DE SERVIDOR CENTOS 6.6 (LINUX) 1. Descargar la imagen ISO del DVD de CentOS 6.6.

Se debe descargar la imagen dependiendo de la arquitectura requerida i386 o bien x86-64, en muchos de los casos solo será necesario descargar el DVD1 salvo que se requiera soporte para algún idioma no convencional. La imagen ISO puede ser descargada de la siguiente dirección: http://mirror.centos.org/centos/6/isos/ NOTA: Recordemos que la versión de CentOS actual es la versión 7 por lo que en el sitio oficial se encontrar como primera opción de descarga pero dada la recomendación de instalar versiones pares por su mayor estabilidad, se ha decidido trabajar con la versión 6.6. 2. Creación de Máquina Virtual para la instalación de CentOS 6.6.

Para la creación de la máquina virtual donde montaremos CentOS 6.6 utilizaremos el software de virtualización VirtualBox, donde crearemos una máquina virtual para Linux con la distribución RedHat ya que CentOS es un clon de RedHat, con 512mb de RAM y 20GB de disco duro. Nota: La capacidad de memoria RAM y de espacio en disco es variable dependiendo del uso y las necesidades a las que estará destinado el servidor, este paso de la creación de la máquina virtual puede omitirse si la instalación será realizada en un equipo dedicado. 3. Configuración de Tarjetas de Red

La configuración de las tarjetas de red es un paso importante y depende

directamente del escenario a simular, en este caso para simular un servidor que

proporcione el servicio radius y funcione como puerta de salida, se utilizaran 2

tarjetas de red, le eth0 que será la que se encuentre dentro de la red local con la

dirección IP del servidor que también funcionar como puerta de enlace (Gateway),

la cual será la 192.168.1.254, la cual se establecerá en modo puente a la tarjeta

Cableada del equipo anfitrión; y la eth1 la cual se conectara a algún equipo de

distribución que le proporcione el servicio de internet, esta será conectada en modo

puente a la tarjeta inalámbrica del equipo anfitrión.

Page 11: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 8

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Ilustración 3 Configuración Tarjeta de Red Máquina Virtual eth0

Ilustración 4 Configuración Tarjeta de Red Máquina Virtual eth1

Page 12: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 9

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

4. Instalación de CentOS 6.6

Después procedemos con la instalación de CentOS 6.6, al comienzo de la instalación aparece una venta que nos pregunta que si deseamos verificar el disco instalación le damos clic en no y pasamos a las acciones de instalación de un sistema Linux en este caso CentOS 6.6 como son las siguientes:

Selección de Idioma

Selección de Teclado

Selección de Tipos de Dispositivos

Selección de Nombre de Dominio

Para esta caso practico se utilizo el nombre de dominio por defecto, en un entorno de produccion el nombre de dominio sera el que determine la empresa.

Selección de Zona Horaria

Definición de Contraseña Súper-Usuario (root)

Selección de Tipo de Instalación

Ilustración 5 Selección Tipo de Instalación

Como se puede ver existen muchas opciones de instalacion, en donde algnas de ellas instalaran algunos servicios o escritorios graficos, pero es recomendable hacer una instalacion minima e ir agregando los servicios conforme se vallan requieran.

Page 13: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 10

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Ilustración 6 Instalación en Curso

Una vez terminada la instalación de CentOS 6.6, solo es cuestión de esperar a que termine y podremos acceder al sistema, eso será en modo consola o escritorio si así lo instalan, una vez dentro del sistema se podrán instalar los servicios que se requieran.

CONFIGURACIÓN DE SERVIDOR NAT La configuración del servidor NAT permitirá que este tenga la función de proporcionar el servicio de internet como puerta de salida (Gateway), donde la IP del servidor Radius también será considerada la puerta de salida de los equipos de distribución que se conecten a él, la IP será la 192.168.1.254 en la interfaz eth0 que quedara dentro de la red local.

1. Configuramos las 2 interfaces de red eth0 y eth1, eth0 con la ip estática

asignada y eth1 mediante dhcp para que reciba automáticamente la ip del

equipo de distribución que le proporcionara internet. Si el escenario es con

un equipo de distribución determinado se puede asignar una ip estática para

eth1 si el administrador de la red a la que se conectara así lo indica.

Ilustración 7 Configuración Tarjeta de Red eth0

Page 14: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 11

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Ilustración 8 Configuración Tarjeta de Red eth1

2. Verificamos la asignación de direcciones IP

Ilustración 9 Verificación de Asignaciones de Direcciones IP

3. Agregamos la regla a los cortafuegos iptables para permitir el intercambio

de paquetes entre las dos tarjetas.

Ilustración 10 Filtrado de Paquetes

Page 15: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 12

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

4. Verificamos el iptables

Ilustración 11 Verificación Reglas IPTABLES

5. Activar IP Forward: Para activarlo, tenemos que editar el

fichero /etc/sysctl.conf.

6. Enrutamiento de Paquetes

Ilustración 12 Enrutamiento de Paquetes

7. Guardamos y reiniciamos el servicio iptables

Ilustración 13 Guardado de Reglas IPTABLES

Page 16: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 13

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

CONFIGURACIÓN DE RADIUS Instale los paquetes necesarios:

yum -y install freeradius freeradius-mysql

freeradius-utils

yum -y install mysql mysql-server

Si los paquetes no se encuentran disponibles realizar lo siguiente, para actualizar la lista de repositorios disponibles y descargar el repositorio epel.

yum update

yum –y install wget

wget http://mirror.pnl.gov/epel/6/x86_64/epel-release-6-8.noarch.rpm

rpm -Uvh epel-release-6-8.noarch.rpm

Generar los certificados predeterminados ejecutando el mandato radiusd con la opción -X:

radiusd -X

Lo anterior iniciará el servicio radiusd e iniciará la generación de los certificados. Cuando el diálogo lo pida, definir los datos de país, estado, nombre del anfitrión y cuenta de correo del administrador. Al concluir pulsar CTRL-C para terminar el servicio y continuar configuración. Inicie el servicio MySQL:

service mysqld start

Añada el servicio MySQL al arranque del sistema:

chkconfig mysqld on

Asigne clave de acceso al usuario root de MySQL:

mysqladmin -uroot password '123qwe'

Page 17: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 14

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Genere una nueva base de datos denominada radius:

mysqladmin -uroot -p123qwe create radius

Acceda al intérprete de mandatos de MySQL:

mysql -uroot -p123qwe

Designe el usuario y clava de acceso para acceder a la base de datos recién creada:

GRANT all ON radius.* TO radius@localhost

IDENTIFIED BY '123qwe';

Salga de MySQL:

exit;

Utilizando el usuario radius o el que haya designado para utilizar la base de datos recién creada, pueble la base de datos que acaba de crear con los esquemas incluidos con Freeradius:

mysql -uradius -p123qwe radius <

/etc/raddb/sql/mysql/cui.sql

mysql -uradius -p123qwe radius <

/etc/raddb/sql/mysql/ippool.sql

mysql -uradius -p123qwe radius <

/etc/raddb/sql/mysql/nas.sql

mysql -uradius -p123qwe radius <

/etc/raddb/sql/mysql/schema.sql

mysql -uradius -p123qwe radius <

/etc/raddb/sql/mysql/wimax.sql

Edite el archivo /etc/raddb/radiusd.conf:

vi /etc/raddb/radiusd.conf

Descomente la línea que dice $INCLUDE sql.conf, lo cual se localiza aproximadamente alrededor de la línea 700:

$INCLUDE sql.conf

Page 18: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 15

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Edite el archivo /etc/raddb/sql.conf:

vi /etc/raddb/sql.conf

Definir los valores para acceder a la base de datos, lo cual se localiza aproximadamente alrededor de la línea 35:

# Connection info:

server = "localhost"

#port = 3306

login = "radius"

password = "123qwe"

Descomente el parámetro readclients con valor yes, lo cual se localiza aproximadamente alrededor de la línea 100:

readclients = yes

Edite el archivo /etc/raddb/sites-enabled/default:

vi /etc/raddb/sites-enabled/default

Descomente en la sección authorize, lo cual se localiza aproximadamente alrededor de la línea 177:

sql

Descomentar en la sección accounting, lo cual se localiza aproximadamente alrededor de la línea 378:

sql

Edite el archivo /etc/raddb/sites-enabled/default:

vi /etc/raddb/sites-enabled/inner-tunel

Page 19: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 16

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Descomente en la sección authorize, lo cual se localiza aproximadamente alrededor de la línea 131:

sql

Reegrese al símbolo de sistema y acceda a MySQL para dar de alta un usuario para probar:

mysql -uradius -p123qwe radius

Desde el símbolo de sistema de MySQL, ejecute lo siguiente para dar de alta un usuario de pruebas (fulano) con una clave de acceso (123qwe en el ejemplo):

INSERT INTO radcheck (username, attribute,op,

value) VALUES ('fulano', 'Password', ':=',

'123qwe');

Lo anterior equivale a añadir fulano Cleartext-Password := "123qwe" en el archivo /etc/raddb/users. Verifique que el usuario se dio de alta correctamente:

select * from radcheck where username='fulano';

Debe regresar algo similar a lo siguiente:

+----+----------+-----------+----+--------+

| id | username | attribute | op | value |

+----+----------+-----------+----+--------+

| 6 | fulano | Password | == | 123qwe |

+----+----------+-----------+----+--------+

1 row in set (0.00 sec)

Salga de mysql:

exit;

Page 20: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 17

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Inicie el servicio radiusd:

service radiusd start

Añada el servicio radiusd a los servicios de arranque del sistema:

chkconfig radiusd on

Verifique que el servicio puede autenticar a través de MySQL:

radtest fulano 123qwe localhost 1812 testing123

Lo anterior debe devolver algo similar como lo siguiente:

Sending Access-Request of id 222 to 127.0.0.1 port

1812

User-Name = "fulano"

User-Password = "123qwe"

NAS-IP-Address = 127.0.0.1

NAS-Port = 1812

rad_recv: Access-Accept packet from host 127.0.0.1

port 1812, id=222, length=20

A partir de este punto, solo podrá autenticar usuarios de manera local. Para poder conectar el punto de acceso hacia el servidor Freeradius, vuelva a conectarse MySQL:

mysql -uradius -p123qwe radius

Ejecute lo siguiente, definiendo la dirección IP del punto de acceso, nombre corto, tipo de NAS (other, cisco, livingston,computon, max40xx, multitech, natserver, pathras, patton, portslave, tc o usrhiper). Si utiliza un pinto de acceso casero, defina el tipo other.

INSERT INTO nas (nasname, shortname, type, secret)

VALUES ('192.168.1.1', 'WIFI1', 'other',

'123qwe');

Page 21: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 18

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Para verificar, ejecute desde el símbolo de sistema de MySQL lo siguiente:

select * from nas where shortname='WIFI1';

Lo anterior debe regresar algo similar a lo siguiente:

+----+---------------+-----------+-------+-------

+--------+-----------+---------------+

| id | nasname | shortname | type | ports |

secret | community | description |

+----+---------------+-----------+-------+-------

+--------+-----------+---------------+

| 3 | 192.168.0.1 | WIFI1 | other | NULL |

123qwe | NULL | RADIUS Client |

+----+---------------+-----------+-------+-------

+--------+-----------+---------------+

1 row in set (0.00 sec)

Lo anterior equivale a editar el archivo /etc/raddb/clients.conf y añadir la dirección IP del punto de acceso, una clave de acceso, nombre corto y tipo de NAS como other.

client 192.168.1.1 {

secret = 123qwe

shortname = WIFI1

nastype = other

}

Para que surta efecto el cambio, hay que reiniciar el servicio radiusd:

service radiusd restart

Para añadir otro punto de acceso, solo basta repetir las línea con los datos que correspondan:

INSERT INTO nas (nasname, shortname, type, secret)

VALUES ('192.168.1.2', 'WIFI2', 'other',

'123qwe');

Para realizar pruebas de conectividad remota, añada un equipo siguiendo el procedimiento anterior y desde este equipo ejecute el mandato radtest (incluido en

Page 22: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 19

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

el paquete freeradius2-utils, si se utiliza CentOS 5 o Red Hat Enterprise Linux 5 o bien freeradius-utils, si se utiliza una verson reciente de Fedora) de la siguiente forma, donde x.x.x.x corresponde a la dirección IP del servidor Freeradius:

radtest fulano 123qwe 192.168.1.254 1812 123qwe

Lo anterior debería devolver algo similar a lo siguiente.

Sending Access-Request of id 225 to 192.168.1.254

port 1812

User-Name = "fulano"

User-Password = "123qwe"

NAS-IP-Address = 127.0.0.1

NAS-Port = 1812

rad_recv: Access-Accept packet from host x.x.x.x

port 1812, id=225, length=20

Page 23: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 20

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

INSTALAR DALORADIUS PARA ADMINISTRACIÓN A TRAVÉS DE HTTP. Se requiere instalar Apache, PHP y sus ligaduras para MySQL, la biblioteca GD y Pear-DB:

yum -y install httpd php php-mysql php-gd php-pear

php-pear-DB

Inicie el servicio httpd:

service httpd start

Añada el servicio httpd a los servicios de arranque del sistema:

chkconfig httpd on

Cambie al directorio /var/www/:

cd /var/www

Descargue desde sourceforge.net/projects/daloradius el archivo correspondiente a la versión más reciente de Daloradius:

wget http://sourceforge.net/projects/daloradius/files/latest/ daloradius-

0.9-9.tar.gz

Descomprima el archivo descargado:

tar zxvf daloradius-0.9-9.tar.gz

Cambie los permisos de todo el contenido del directorio recién descomprimido para que pertenezcan al usuario y grupo apache:

chown -R apache:apache daloradius-0.9-9

Cambie al directorio daloradius-0.9-9:

cd daloradius-0.9-9

Cargue las tablas de Daloradius en la base de datos utilizada por Freeradius.

mysql -uradius -p123qwe radius < contrib/db/mysql-

daloradius.sql

Page 24: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 21

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Edite el archivo library/daloradius.conf.php:

vi library/daloradius.conf.php

Edite los valores correspondientes a los necesarios para la conexión a la base de datos utilizada por Freeradius.

$configValues['CONFIG_DB_HOST'] = '127.0.0.1';

$configValues['CONFIG_DB_USER'] = 'radius';

$configValues['CONFIG_DB_PASS'] = '123qwe';

$configValues['CONFIG_DB_NAME'] = 'radius';

Genere un nuevo archivo denominado /etc/httpd/conf.d/daloradius.conf:

vi /etc/httpd/conf.d/daloradius.conf

Añada el siguiente contenido, donde x.x.x.x (ejemplo: 192.168.1.66) corresponde al al dirección IP del sistema desde el cual se realizará la administración remota de Daloradius:

Alias /daloradius "/var/www/daloradius-0.9-9/"

<Directory /var/www/daloradius-0.9-9/>

Options None

order deny,allow

deny from all

allow from 127.0.0.1

allow from x.x.x.x

</Directory>

Reinicie el servicio httpd:

service httpd restart

Page 25: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 22

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Acceda con cualquier navegador moderno hacia http://direción-ip-servidor/daloradius/. Ingrese con el usuario Administrator y la clave de acceso radius. Desde esta interfaz podrá añadir y administrar las cuentas de usuarios y administrar y añadir los puntos de acceso.

Ilustración 14 Inicio de Sesión Daloradius

Ilustración 15 Pantalla de Incio Daloradius

Page 26: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 23

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Ilustración 16 Administración de NAS (Puntos de Acceso) Daloradius

Ilustración 17 Administración de Usuario Daloradius

La administración de los usuarios y puntos de acceso (Nas) mediante Daloradius es muy sencilla, mostrando en la parte izquierda las acciones a realizar, permitiendo listar, crear y buscar, usuarios y puntos de acceso, facilitando así al administrador esta tarea.

Page 27: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 24

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

CONFIGURACIÓN DE PUNTOS DE ACCESO Punto de Acceso 1 (WIFI1) 1. Configuramos el punto de acceso: Dependiendo del modelo del equipo la

configuración puede variar, para esta práctica utilizamos un Access Point “LINSYS” modelo “BEFW11S4”, el cual tiene una dirección por defecto de 192.168.1.1, con usuario “admin” y contraseña “admin”, los cuales son sus valores por defecto, con los cuales podremos acceder a la configuración del punto de acceso.

2. Cambiamos el nombre de la red inalámbrica (SSID)

Ilustración 18 Configuración Red AP1

3. Configuración de IP Estatica: Configuramos la IP que recibirá el punto de

acceso la cual será 192.168.1.1 como lo especificamos en el servidor radius, con la puerta de enlace 192.168.1.254 la cual es la dirección IP del servidor que también funge como puerta de enlace (Gateway).

Ilustración 19 Configuración IP AP1

Page 28: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 25

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

4. Establecemos la configuración DHCP: La configuración DHCP del punto de

acceso será desde la 192.168.2.2 hasta la 192.168.2.51, con dirección del dhcp de 192.168.2.1

Ilustración 20 Configuración DHCP AP1

5. Configuración de Seguridad WPA/WPA2 - Enterprise: Para este modelo en

particular el modo de seguridad aparece como WPA RADIUS, con algoritmo de encriptación TKIP , establecemos la dirección IP del servidor Radius que es 192.168.1.254 y la clave de seguridad para el punto de acceso que registramos en el servidor.

Ilustración 21 Configuración Seguridad WPA/WPA2-Enterprise AP1

Page 29: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 26

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Punto de Acceso 2 (WIFI2) 1. Configuramos el punto de acceso: Dependiendo del modelo del equipo la

configuración puede variar, para esta práctica utilizamos un Access Point “TP-LINK” modelo “TL-WA701ND”, el cual tiene una dirección por defecto de 192.168.0.254, con usuario “admin” y contraseña “admin”, los cuales son sus valores por defecto, con los cuales podremos acceder a la configuración del punto de acceso.

2. Configuración de LAN: Configuramos la IP del punto de acceso, especificando

la dirección IP que especificamos en la configuración del servidor radius, en este caso para el Punto de Acceso con nombre “WIFI2” la IP que especificamos fue “192.168.1.2”.

Ilustración 22 Configuración LAN Access Point

Page 30: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 27

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

3. Configuración de Nombre de Difusión del Punto de acceso: con la finalidad

de identificar el punto de acceso, configuramos su SSID con el nombre que utilizamos para darlo de alta en el servidor radius que para este caso es “WIFI2”

Ilustración 23 Configuración Nombre Difusión Access Point

4. Configuración de servicio DHCP: Se activa el servicio DHCP, indicando cual será la primera y la última dirección ip asignable, para el punto de acceso “WIFI2” se designaron para este proyecto de la 192.168.1.120 a la 192.168.240, asignando como puerta de enlace la dirección ip del servidor (192.168.1.254) radius que también sirve como puerta de enlace (Gateway) para proporcionar el servicio de internet a los clientes y como medida opcional incluimos los DNS por defecto de Google 8.8.8.8 y 8.8.4.4. Nótese que para este modelo que no tiene la función de router no permite trabajar en otro segmento de red como como el que se tenía contemplado que era 192.168.3.0, por lo que se configura de esta manera a diferencia de los equipos cisco que si lo permiten.

Ilustración 24 Configuración DCHP Access Point

Page 31: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 28

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

5. Configuración de Seguridad WPA/WPA2 - Enterprise: La parte más importante de este proyecto es la seguridad, donde la autenticación a los puntos de acceso será controlada y administrada por un servidor radius que ya se ha configurado, ahora es necesario configurar los puntos de acceso con el tipo de seguridad WPA/WPA2 - Enterprise, y especificarle la dirección del servidor que controlara los accesos.

Ilustración 25 Configuración de Seguridad WPA/WPA2--Enterprise

Como se aprecia en la imagen para la seguridad WPA/WPA2 – Enterprise, se requiere especificar la versión y el tipo de Encriptación, para este proyecto los dejemos de manera automática para que el detecte el tipo de seguridad que utiliza el servidor, así mismo se especifica la dirección IP del servidor Radius que para este proyecto es “192.168.1.254”, el puerto del servidor el cual es“1812” y la contraseña del servidor que para el proyecto es “12qwe” como se especificó en la configuración del servidor radius.

Page 32: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 29

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

MANUAL DE USUARIO

CONFIGURACIÓN DE CLIENTES 1. Clientes Windows

a. En los clientes Windows que cuentan con la versión 8 o 8.1 la conexión

es totalmente transparente y no se necesita realizar ninguna configuración especial.

Ilustración 26 Conexión Cliente Windows 8.1

Ilustración 27 Verificación Conexión Cliente Windows 8.1

Page 33: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 30

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

b. En clientes Windows con versiones 7 o inferior es necesario realizar

configuraciones adicionales para poder conectarse a redes inalámbricas con seguridad WPA/WPA2-Enterprise.

1. Hemos accedido a la pantalla de selección para conectarnos a las

redes inalámbricas a nuestro alcance. Desde aquí podemos observar todas las redes que tenemos en nuestro rango y que están "anunciándose". En nuestro caso haremos clic sobre Configurar una conexión o red.

2. Hemos seleccionado la opción de Conectarse manualmente a una red inalámbrica y hemos hecho clic en siguiente.

Ilustración 28 Creación Nueva Red Windows 7

3. En este paso veremos algunas de las posibilidades que nos ofrece

Windows Vista a la hora de configurar una nueva red inalámbrica.

Ilustración 29 Definición de Aspectos de Nueva Red

Page 34: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 31

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

4. Desde el menú de administración de redes inalámbricas accedemos a la configuración de nuestra recién creada conexión, donde podemos terminar de definir los niveles de seguridad que queremos. Para empezar volvemos a tener las opciones que configuramos antes, por si queremos cambiar alguno de los parámetros que habíamos especificados:

Ilustración 30 Tipo de Seguridad Nueva Red

5. Cambiar el inicio mediante las cuentas de Windows

Ilustración 31 Configuración Nueva Red

Page 35: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 32

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

6. Cambiar el método de autenticación a “Autenticación de Usuarios”

Ilustración 32 Método de Autenticación Nueva Red

7. Autenticamos en la red con el usuario y contraseña.

Ilustración 33 Autenticación de Red

Page 36: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 33

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

8. Verificamos el tipo de conexión y la asignación de dirección IP.

Ilustración 34 Verificación Tipo de Conexión e IP

9. Verificamos la salida a internet

Ilustración 35 Verificación Salida a Internet

Page 37: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 34

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

2. Clientes Windows Phone En los clientes Windows Phone que cuentan con la versión 8.1 la conexión es totalmente transparente y no se necesita realizar ninguna configuración especial.

Ilustración 36 Configuración Conexión Clientes Windows Phone

Ilustración 37 Configuración Clientes Windows Phone 2

Page 38: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 35

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

3. Clientes Android En los clientes Android que cuentan con la versión 4.4 o superior la conexión es totalmente transparente y no se necesita realizar ninguna configuración especial.

4. Configuración Proxy En caso de que el equipo servidor cuente con un servidor proxy es necesario configurarlo en los equipos clientes para que puedan tener acceso a internet mediante los navegadores web, como es el caso de este proyecto que se utilizó un servidor configurado con un servidor proxy. Para realizar esta configuración es necesario configurar la conexión, en los dispositivos móviles aparece la opción en la conexión a la red inalámbrica; en el caso de los sistemas operativos de escritorio se realiza de la siguientes manera. La configuración de para el servidor proxy en clientes Windows se encuentra de la siguiente manera:

Panel de Control

Redes e Internet

Opciones de Internet

Conexiones

Configuración de Lan

Ilustración 38 Ruta de Configuración Servidor Proxy

Page 39: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 36

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

Ilustración 39 Configuración de Proxy en Windows

Ilustración 40 Configuración Servidor Proxi en Windows Phone

Page 40: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 37

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

PRUEBAS DE CONEXIÓN Y FUNCIONAMIENTO

Ilustración 41 Prueba de Conexión y Funcionamiento

Como se puede observar en la imagen se replicó el diagrama de Red de manera virtual, donde en este caso la computadora portátil

funge como servidor radius y de enlace, proporcionando conexión a internet mediante la conexión cableada a los puntos de acceso,

donde el servidor toma la conexión a internet mediante la tarjeta inalámbrica, la conexión cableada del servidor llega a un switch que

la distribuye a los 2 puntos de acceso el WIFI1 y el WIFI2.

Page 41: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 38

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

CONCLUSIONES

La seguridad dentro de las redes de computadoras es uno de los aspectos más importantes a considerar, puesto que mediante las redes de computadoras se realiza la mayoría del intercambio de información de las organizaciones, y siendo la información el elemento más importante para para las organizaciones es necesario emplear medidas de seguridad que permitan garantizar la seguridad o el acceso a la misma de personas no autorizadas. Es por ello que un proyecto como el que se ha realizado representa un aspecto considerable dentro de la seguridad permitiéndonos comprender el funcionamiento y la manera de implementar un servicio de seguridad que nos garanticé que únicamente los usuarios autorizados podrán conectarse a la red, aunque existen otros métodos y medidas de seguridad más restrictivas, la implementación de un servidor radius que mediante la autenticación mediante listas de control de acceso posibilita a organizaciones pequeñas y grandes a implementarlas de tal forma que se puedan adecuar a las necesidades específicas de cada organización. Esta opción de seguridad representa una alternativa viable para cambiar los métodos tradicionales de autenticación, ya que como hemos visto su implementación depende y puede adecuarse a las capacidades de la red, pero puede ser utilizada en ciertas secciones donde el método de seguridad se vuelva viable. De manera personal el desarrollo de este proyecto represento un nuevo reto para nosotros, ya que desconocíamos totalmente cómo funcionaba esta tecnología, por lo que el desarrollo del mismo represento una oportunidad de crecimiento, permitiéndonos conocer no solamente el funcionamiento ni la manera de implementarlos si no los posibles inconvenientes que se presentan y la manera de solucionarlos, adquiriendo así nuevos conocimientos y dotándonos de la capacidad de implementar una solución de este tipo en un futuro en entornos donde así se requiera.

Page 42: Proyecto Servidor Radius (CentOS 6.6)

Proyecto Integrador 39

Instituto Tecnológico de Zacatecas Seguridad en Cortafuegos

BIBLIOGRAFÍA

[1] J. B. Dueñas, «www.alcancelibre.org,» 11 Agosto 2011. [En línea]. Available: http://www.alcancelibre.org/staticpages/index.php/introduccion-iptables?query=IPTABLES. [Último acceso: 23 Mayo 2015].

[2] J. B. Dueñas, «www.alcancelibre.org,» 12 Diciembre 2012. [En línea]. Available: http://www.alcancelibre.org/staticpages/index.php/como-freeradius-mysql-centos5?query=RADIUS. [Último acceso: 23 Mayo 2015].