Servidores de autenticación
Transcripción
Servidores de autenticación
Tema 3 SAD Servidores de autenticación Vicente Sánchez Patón I.E.S Gregorio Prieto Tema 3 SAD En algunas de las prácticas tendremos que configurar un dispositivo inalámbrico para validarse por Radius, explicare una vez como se hace, el método es el siguiente: La configuración del cliente raidus será la siguiente: 1. La configuración con Windows 7 es muy parecida a la de Windows XP, por lo que voy a intentar ser breve. Lo primero que haremos es acceder al Panel de control | Redes e Internet | Administrar redes inalámbricas y pulsamos sobre el botón Agregar, tal y como se muestra en la siguiente imagen. 2. En la ventana que se abre, crearemos un nuevo perfil de red de forma manual. Para ello, pulsaremos en el área señalada en rojo de la siguiente imagen: 3. Ahora, introduciremos el Nombre de la red inalámbrica (SSID del punto de acceso), en nuestro caso FPINFORMATICA y en el Tipo de seguridad seleccionaremos WPA2-Entreprise. Por último, en el Tipo de cifrado elegiremos el valor AES. El resto de opciones de la ventana las dejaremos como están. 4. El siguiente paso, consiste en Cambiar la configuración de conexión, para ello sólo tenemos que pulsar el correspondiente enlace, señalado en rojo en la siguiente ventana. 5. Lo primero que hacemos, en la pestaña Seguridad de la ventana que se nos abre, es pulsar en el botón Configuración. Después desmarcamos la casilla Validad un certificado de servidor, y al igual que en XP, pulsamos configurar y desmarcamos la opción de utilizar el usuario de Windows para validarnos. Aceptamos y Aceptamos, para volver a la ventana inicial (izquierda de la imagen). 6. En el último paso, pulsaremos sobre el botón Configuración avanzada y añadiremos las credenciales de nuestro usuario RADIUS, para que conecte de forma automática a la red. Una vez que aceptemos, y cerremos todas las ventanas abiertas, sólo nos queda conectarnos a la red WiFi y listo. a) REDES INALÁMBRICAS: WPA Personal y Empresarial. 1.-Configurar un router de acceso inalámbrico CISCO Linksys WRT54GL, utilizando el simulador. A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la WLAN y desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que queramos: A continuación desactivamos el DHCP del router para que no de direcciones ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la configuración de red (network setup) y deshabilitamos el DHCP. Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña Administration y en la parte de configuración de Local Router Access cambiamos el usuario y contraseña: A continuación le damos a la pestaña Save Settings, nos parecerá una pantalla donde introducir la contraseña y usuario nuevos: Le damos a aceptar y con esto cambiamos la contraseña. 2.- Configurar router inalámbrico Linksys WRT54GL en modo seguro: (Cambia el SSID por defecto y desactivar el broadcasting SSID, deshabilitar DHCP, cambiar nombre de usuario y contraseña, activar el filtrado de MAC, WPA2, cifrado TKIP+AES). - Configurar la tarjeta de red de un cliente inalámbrico con dichas medidas de seguridad y comprobar la autenticación a dicho router inalámbrico. - Realizar en grupos de alumnos. Para acceder a la interfaz de configuración del router, una vez conectados en router y el pc y configurada la tarjeta de red (en este caso por DHCP), accedemos al navegar y nos dirigimos a la dirección 192.168.1.1, nos parecerá una ventana donde nos pedirá usuario y contraseña (admin, admin). A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la WLAN y desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que queramos: A continuación desactivamos el DHCP del router para que no de direcciones ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la configuración de red (network setup) y deshabilitamos el DHCP. Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña Administration y en las partes de configuración de Local Router Access cambiamos el usuario y contraseña: A continuación le damos a la pestaña Save Settings, nos parecerá una pantalla donde introducir la contraseña y usuario nuevos: Le damos a aceptar y con esto cambiamos la contraseña. Ahora empezamos con el filtrado de MAC, d esta manera solo podrán conectarse a la wiki aquellos equipos con las MAC que configuremos, para ello nos dirigimos a la pestaña Wireless > Wireless MAC filter, aparece la siguiente ventana le damos activar (enable), nos aparecerán dos nuevas líneas, seleccionamos la segunda (permit only). A continuación le damos al botón Edit MAC Filter List, nos parecerá una nueva ventana donde introduciremos las direcciones MAC que queremos permitir. Ahora configuramos la contraseña de la wifi, para ello nos dirigimos a la pestaña Wireless > Wireless Security, en la cual elegimos el modo de seguridad (WPA2), algoritmos de encriptación (TKIP-AES), y la contraseña: Con esto acabamos la configuración básica del router. Ahora comprobamos si funciona, si intentamos entrar con un usuario cuya MAC no se encuentre en la lista de filtrado no podemos conectarnos a la red, pero si lo intentamos con un usuario cuya MAC este en nuestra lista si conectara, como nuestro router tiene deshabilitado el broadcast de la wifi, tanto de SSID como de IP, el equipo tendrá que configurar la conexión de forma manual y la tarjeta de red dentro de la red donde se encuentre el router. La siguiente pantalla pertenece a la configuración manual de la wifi. Una vez conectados a la red, hacemos un ping a la dirección del router y comprobamos que hay conexión: b) SERVIDOR RADIUS: 1.- Simulación de un entorno de red con servidor RADIUS CISCO en el simulador Packet Tracer. El escenario es el siguiente. Configuramos el servidor WWW_DNS con sus servicios respectivos. Configuración de la interfaz del servidor. Configuración del protocolo HTTP. Configuración de DNS. Y ahora configuramos el servidor RADIUS con los clientes RADIUS, y los usuarios que deben autenticarse en el servidor RADIUS. Configuramos el cliente RADIUS. Configuración del router para comunicarse con raidus. Y en los clientes del router inalámbrico, configuramos el acceso al mismo de forma inalámbrica, PC Wireless. En la siguiente ventana es Donde indicamos los datos de autenticación que figuran en el servidor RADIUS. Configuración de los otros equipos. Comprobar que tenemos acceso a los servidores. 2.- CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo seguro utilizando AAA y RADIUS (WinRadius en Windows XP) - Realizar en el laboratorio físico por grupos de alumnos. Primero creamos la base de datos para ello vamos al programa le damos a Settings Database y le damos a configure ODBC auto: Ahora vamos a crear un usuario en cual utilizara el cliente radius para validarse y su contraseña, para ello nos dirigimos a “operation” le damos a “add user”: Ahora le damos a Settings->System y le cambiamos la IP al servidor RADIUS y la clave secreta, esta contraseña es la que comparte son el router: Ahora vamos al radiustest.exe para comprobar que funciona: Bien ahora vamos al router Linksys y configuramos la seguridad inalámbrica, le indicamos seguridad WPA2 Enterprise y le ponemos la dirección IP del servidor RADIUS y la clave secreta, algoritmo AES: Ahora configuramos el cliente inalámbrico con los protocolos adecuados, pero al intentar logear vemos el siguiente error, sucede porque el sistema operativo del cliente, en este caso Windows 7, no soporta el método de autenticación utilizado por winradius: Este error es debido a que en versiones posteriores a Windows Vista viene desactivado este método de autenticación, por lo demás estos serian todos los pasos necesarios. 3.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) , para autenticar conexiones que provienen de un punto de acceso CISCO AIRONET 1130AG. a.- Autenticación de usuarios en texto plano, prueba realiza en grupo. Primero nos conectamos al dispositivo mediante un clavel de consola, y configuramos la interface fa0 y la BVI1. En nuestro caso fue necesaria la configuración de ambos interfaces porque si no se bajaban solo y no podíamos acceder al router por web para configurarlo gráficamente, ahora vemos que los dos interfaces están subidos. Ahora nos situamos en el navegador web ponemos la ip que le hemos configurado a la interface BVI1 y nos pedirá usuario y contraseña, Cisco. Aparecerá la interfaz grafica del Aironet 1130AG, recomiendo utilizar el navegar internet explorer. A continuación nos dirigimos a configurar la WLAN del dispositivo, para ello nos dirigimos a: En la siguiente ventana seleccionamos el botón radio de “enable”, para activar la WLAN y seleccionamos el botón radio de “Access point”, el resto lo dejamos por defecto. A continuación nos dirigimos a la pestaña “express security”, para configurar el nombre de la WLAN, SSID, y la seguridad WPA, donde pondremos al dirección IP del servidor radius y la contraseña compartida con el mismo. Si dejamos esta configuración el router se configura por defecto con el protocolo de encriptación TKIP, para configurarlo en AES nos dirigimos a: Ahora en el servidor RADIUS en este caso hemos usado un zentyal, editamos el clients.conf y añadimos la configuración del cliente radius es decir el router, IP, clave compartida y el SSID: Ahora añadimos los usuarios, modificando el fichero /etc/freeradisu/usuers, los cuales utilizara el dispositivo radius para validarse en la red, en este caso el usuario vicente: Ahora reiniciamos el servidor radius y procedemos a configurar el cliente para que autentique a través del punto de acceso: Una vez configurado el cliente radius inalámbrico con los puertos por defecto no nos va, tenemos que cambiar el puerto 1812 por el 1645 y el puerto 1813 por el 1646, para ello tenemos que modificarlos en los ficheros: Cuando nos conectemos con un cliente radius, podemos ver en el fichero /var/log/freeeradius/radius.log, que el usuario se ha autenticado correctamente por el puerto 1645. 4.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) , para autenticar conexiones que provienen de un router de acceso CISCO Linksys WRT54GL. a.- Autenticación de usuarios en texto plano, prueba realizada en grupo. Aquí se muestra la configuración del router, se muestra la Ip y la gateway de la interfaz del router hacia el exterior, configuración de la red externa, (Internet Setup) y en el apartado Network Setup la configuración de la red interna. Y activamos DHCP para dar direcciones a equipos de la red interna. Y aquí se muestra la seguridad que hemos puesto a la red wifi, seguridad WPA2 Enterprise AES, por el puerto 1812, con clave “clave” para la comunicación entre router y servidor, esta configuración es la necesaria para que el router utilice radius como método de autentificación. Lo siguiente que vamos a hacer es instalar el paquete freeradius en el servidor. Ahora nos metemos en /etc/freeradius y modificamos el fichero users y introducimos los usuarios y las contraseñas para poder acceder a la red wifi mediante radius, estos son los usuarios radius. Ahora desde el mismo directorio modificamos el archivo clients.conf y ponemos la Ip del router la contraseña que comparten y el nombre del SSID de la red. Esta es la configuración de validación por usuarios a una red wifi mediante radius en texto plano. Solo queda configurar el cliente inalámbrico raius para que acceda a la red, la configuración esta al inicio de este documento. b.- Autenticación de usuarios basado en bases de datos (MySQL,SQL Server,etc.) Para poder realizar freeradius con mysql tendremos que instalar en el sistema operativo ubuntu server 10.04 lo siguiente: - php5 - MySqlServer - phpMyAdmin - Apache2 Una vez instalado lo anterior procedemos a la instalación del paquete freeradius y freeradius con mysql. Podemos ver que está instalado. Ahora editamos el fichero /etc/freeradius/users. Creamos un usuario llamado "usu1" con contraseña inves y descomentamos algunas líneas. Ahora entramos en modo debug con el siguiente comando: Lo comprobamos con un comando y nos tiene que salir Acces-accept. Ahora nos vamos al fichero radius.conf y des comentamos la línea que viene "$Include sql.conf". Después accedemos a mysql y creamos una base de datos y un usuario con contraseña "inves" con todos los privilegios. Utilizando el usuario radius, o el que se haya designado para utilizar la base de datos recién creada, inserta en la base de datos que acaba de crear con los esquemas incluidos con freeradius, insertamos las tablas correspondientes a la base de datos radius, estas tablas están ubicadas en forma de fichero ".sql" en el directorio /etc/freeradius/sql/mysql. Para ver las tablas creadas entramos en la base de datos. Ahora editamos el archivo sql.conf y configuramos los setting para la conexión con el servidor de mysql Y des comentamos la línea readclient=yes. Luego editamos el archivo: /etc/freeradius/sites-available/default y des comentamos la variable "sql" en las secciones de: authorize{}, accounting{}, session{} y posth-auth{} esto para traer los datos desde las tablas en la base de datos "radius" para ello: nano /etc/freeradius/sites-available/default. Ahora creamos los usuarios en la base de datos radius de mysql, más en concreto en la tabla radcheck, estos usuarios serán con los que nos tendremos que autentificar para tener acceso a la red wifi. Para comprobar que se han creado los usuarios ejecutamos el siguiente comando: Para comprobar que los usuarios son validos para el funcionamiento ejecutamos el siguiente comando: En el fichero clients.conf, ubicado en el directorio /etc/freeradius, añadimos al final la siguiente línea, en la cual indicaremos la ip del router, que validara usuarios radius para la wifi, la contraseña compartida por el router, el servidor mysql y el SSID de la red. A continuación nos dirigimos al fichero inner_tunnel, ubicado en el directorio /tec/freeradius/sites-availables, descomentamos la línea que pone "sql" en la parte de authorize{} y post-auth{}. Con esta configuración tendremos accesos a nuestra red wifi autenticándonos como usuarios radius dado de altas en una base de datos mysql. Solo quedaría configurar el cliente inalámbrico radius par que pueda acceder a la red, la configuración se encuentra al comienzo de este documento. 5.- Instalación de un servidor RADIUS en Zentyal para autenticar conexiones que provienen de un router de acceso Linksys WRT54GL. Comprobación en un escenario real, prueba realizada en grupo. El primer paso es instalar el servidor radius en Zentyal para ello: #apt-get install freeradius A continuación editaremos el fichero /etc/freeradius/clients.conf y añadiremos la línea con la dirección del router, la clave compartida y el SSID; Bien, ahora añadiremos los usuarios para autenticar, en este caso añadiremos el usuario adrian en el fichero /etc/freeradius/users. Bien a continuación iremos al router Linksys y en las opciones de seguridad inalámbrica añadiremos la dirección ip del servidor radius, la clave compartida y los protocolos de autenticación: Configuramos el cliente radius y lograremos la conexión. 6.- Busca información sobre EDUROAM y elabora un breve informe sobre dicha infraestructura. ¿Qué es eduroam? Eduroam (contracción de education roaming) es el servicio mundial de movilidad segura desarrollado para la comunidad académica y de investigación. Eduroam persigue el lema "abre tu portátil y estás conectado". El servicio permite que estudiantes, investigadores y personal de las instituciones participantes tengan conectividad Internet a través de su propio campus y cuando visitan otras instituciones participantes. Sobre eduroam ES Eduroam ES es una iniciativa englobada en el proyecto RedIRIS que se encarga de coordinar a nivel nacional los esfuerzos de instituciones académicas con el fin de conseguir un espacio único de movilidad. En este espacio de movilidad participa un amplio grupo de organizaciones que en base a una política de uso y una serie de requerimientos tecnológicos y funcionales, permiten que sus usuarios puedan desplazarse entre ellas disponiendo en todo momento de conectividad. Por otro lado, eduroam ES forma parte de la iniciativa eduroam a nivel internacional, financiada a través de GEANT 3, y operada por varias redes académicas europeas y TERENA. Esta iniciativa amplía el espacio de movilidad al ámbito académico europeo, a través de eduroam Europa, y tiende puentes con eduroam Canadá, eduroam US, y eduroam APAN (Asia y Pacífico). Eduroam Europa El servicio eduroam en Europa es un servicio confederado, siempre con la colaboración de 37 federaciones a nivel nacional. Estos incluyen a cientos de instituciones, la mayoría de los cuales poseen y opera la infraestructura del servicio. Coordinación nacional e internacional de esta infraestructura está a cargo de los operadores de itinerantica nacional y un centro operacional del equipo eduroam que es financiado por el GÉANT (GN3) Equipo Operativo proyecto. El lleva a cabo día a día las operaciones, con participantes de Srce, SURFnet, UNI-C y TERENA. La actividad de servicio eduroam de la GÉANT (GN3) ha proporcionado herramientas para supervisar el servicio y apoyar a los usuarios finales. Eduroam continúa desarrollándose y evolucionando gracias al apoyo de la Actividad Investigadora GÉANT financiado conjunta (JRA3). Financiación previa ha producido: Los esfuerzos para estandarizar RadSec dentro de la IETF Integración de la Infraestructura RadSec en eduroam RadSecProxy Infraestructura inicial para apoyar RadSec en FreeRADIUS La actividad futura seguirá en los esfuerzos anteriores e incluyen: Nuevos Protocolos de autenticación extensible Apoyo a la Internacionalización de nombres de usuario eduroam Privacidad preservar identificación para el análisis estadístico y la amenaza Eduroam Cobertura del servicio El siguiente mapa muestra los países europeos que han conectado sus nacionales de primer nivel servidores RADIUS al servidor RADIUS Europeo de nivel superior (ETLR). Los datos están siendo recogidos por el Equipo Operativo eduroam para producir un mapa que representa la cobertura de eduroam en cada uno de los países. El ETLR son operados por las organizaciones de redes nacionales de investigación y educación en los Países Bajos - SURFnet - y en Dinamarca UNI-C-con fondos de la GÉANT (GN3) del proyecto.