Servidores de autenticación

Tema 3
SAD
Servidores de autenticación
Vicente Sánchez Patón
I.E.S Gregorio Prieto
Tema 3 SAD
En algunas de las prácticas tendremos que configurar un dispositivo
inalámbrico para validarse por Radius, explicare una vez como se hace, el
método es el siguiente:
La configuración del cliente raidus será la siguiente:
1. La configuración con Windows 7 es muy parecida a la de Windows XP,
por lo que voy a intentar ser breve. Lo primero que haremos es
acceder al Panel de control | Redes e Internet | Administrar
redes inalámbricas y pulsamos sobre el botón Agregar, tal y como se
muestra en la siguiente imagen.
2. En la ventana que se abre, crearemos un nuevo perfil de red de
forma manual. Para ello, pulsaremos en el área señalada en rojo de la
siguiente imagen:
3. Ahora, introduciremos el Nombre de la red inalámbrica (SSID del
punto de acceso), en nuestro caso FPINFORMATICA y en el Tipo de
seguridad seleccionaremos WPA2-Entreprise. Por último, en el Tipo
de cifrado elegiremos el valor AES. El resto de opciones de la
ventana las dejaremos como están.
4. El siguiente paso, consiste en Cambiar la configuración de conexión,
para ello sólo tenemos que pulsar el correspondiente enlace, señalado
en rojo en la siguiente ventana.
5. Lo primero que hacemos, en la pestaña Seguridad de la ventana que
se nos abre, es pulsar en el botón Configuración. Después
desmarcamos la casilla Validad un certificado de servidor, y al igual
que en XP, pulsamos configurar y desmarcamos la opción de utilizar el
usuario de Windows para validarnos. Aceptamos y Aceptamos, para
volver a la ventana inicial (izquierda de la imagen).
6. En el último paso, pulsaremos sobre el botón Configuración avanzada
y añadiremos las credenciales de nuestro usuario RADIUS, para que
conecte de forma automática a la red. Una vez que aceptemos, y
cerremos todas las ventanas abiertas, sólo nos queda conectarnos a la
red WiFi y listo.
a) REDES INALÁMBRICAS: WPA Personal y Empresarial.
1.-Configurar un router de acceso inalámbrico CISCO Linksys WRT54GL,
utilizando el simulador.
A continuación accederemos a la pantalla principal de la interfaz de
configuración:
Lo primero será cambiarle el nombre de identificador de la WLAN y
desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña
Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que
queramos:
A continuación desactivamos el DHCP del router para que no de direcciones
ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la
configuración de red (network setup) y deshabilitamos el DHCP.
Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña
Administration y en la parte de configuración de Local Router Access
cambiamos el usuario y contraseña:
A continuación le damos a la pestaña Save Settings, nos parecerá una
pantalla donde introducir la contraseña y usuario nuevos:
Le damos a aceptar y con esto cambiamos la contraseña.
2.- Configurar router inalámbrico Linksys WRT54GL en modo seguro:
(Cambia el SSID por defecto y desactivar el broadcasting SSID,
deshabilitar DHCP, cambiar nombre de usuario y contraseña, activar el
filtrado de MAC, WPA2, cifrado TKIP+AES).
- Configurar la tarjeta de red de un cliente inalámbrico con dichas medidas
de seguridad y comprobar la autenticación a dicho router inalámbrico.
- Realizar en grupos de alumnos.
Para acceder a la interfaz de configuración del router, una vez conectados
en router y el pc y configurada la tarjeta de red (en este caso por DHCP),
accedemos al navegar y nos dirigimos a la dirección 192.168.1.1, nos
parecerá una ventana donde nos pedirá usuario y contraseña (admin, admin).
A continuación accederemos a la pantalla principal de la interfaz de
configuración:
Lo primero será cambiarle el nombre de identificador de la WLAN y
desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña
Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que
queramos:
A continuación desactivamos el DHCP del router para que no de direcciones
ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la
configuración de red (network setup) y deshabilitamos el DHCP.
Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña
Administration y en las partes de configuración de Local Router Access
cambiamos el usuario y contraseña:
A continuación le damos a la pestaña Save Settings, nos parecerá una
pantalla donde introducir la contraseña y usuario nuevos:
Le damos a aceptar y con esto cambiamos la contraseña.
Ahora empezamos con el filtrado de MAC, d esta manera solo podrán
conectarse a la wiki aquellos equipos con las MAC que configuremos, para
ello nos dirigimos a la pestaña Wireless > Wireless MAC filter, aparece la
siguiente ventana le damos activar (enable), nos aparecerán dos nuevas
líneas, seleccionamos la segunda (permit only).
A continuación le damos al botón Edit MAC Filter List, nos parecerá una
nueva ventana donde introduciremos las direcciones MAC que queremos
permitir.
Ahora configuramos la contraseña de la wifi, para ello nos dirigimos a la
pestaña Wireless > Wireless Security, en la cual elegimos el modo de
seguridad (WPA2), algoritmos de encriptación (TKIP-AES), y la contraseña:
Con esto acabamos la configuración básica del router.
Ahora comprobamos si funciona, si intentamos entrar con un usuario cuya
MAC no se encuentre en la lista de filtrado no podemos conectarnos a la
red, pero si lo intentamos con un usuario cuya MAC este en nuestra lista si
conectara, como nuestro router tiene deshabilitado el broadcast de la wifi,
tanto de SSID como de IP, el equipo tendrá que configurar la conexión de
forma manual y la tarjeta de red dentro de la red donde se encuentre el
router.
La siguiente pantalla pertenece a la configuración manual de la wifi.
Una vez conectados a la red, hacemos un ping a la dirección del router y
comprobamos que hay conexión:
b) SERVIDOR RADIUS:
1.- Simulación de un entorno de red con servidor RADIUS CISCO en el
simulador Packet Tracer.
El escenario es el siguiente.
Configuramos el servidor WWW_DNS con sus servicios respectivos.
Configuración de la interfaz del servidor.
Configuración del protocolo HTTP.
Configuración de DNS.
Y ahora configuramos el servidor RADIUS con los clientes RADIUS, y los
usuarios que deben autenticarse en el servidor RADIUS.
Configuramos el cliente RADIUS.
Configuración del router para comunicarse con raidus.
Y en los clientes del router inalámbrico, configuramos el acceso al mismo de
forma inalámbrica, PC Wireless.
En la siguiente ventana es Donde indicamos los datos de autenticación que
figuran en el servidor RADIUS.
Configuración de los otros equipos.
Comprobar que tenemos acceso a los servidores.
2.- CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo
seguro utilizando AAA y RADIUS (WinRadius en Windows XP)
- Realizar en el laboratorio físico por grupos de alumnos.
Primero creamos la base de datos para ello vamos al programa le damos a
Settings Database y le damos a configure ODBC auto:
Ahora vamos a crear un usuario en cual utilizara el cliente radius para
validarse y su contraseña, para ello nos dirigimos a “operation” le damos a
“add user”:
Ahora le damos a Settings->System y le cambiamos la IP al servidor
RADIUS y la clave secreta, esta contraseña es la que comparte son el
router:
Ahora vamos al radiustest.exe para comprobar que funciona:
Bien ahora vamos al router Linksys y configuramos la seguridad inalámbrica,
le indicamos seguridad WPA2 Enterprise y le ponemos la dirección IP del
servidor RADIUS y la clave secreta, algoritmo AES:
Ahora configuramos el cliente inalámbrico con los protocolos adecuados,
pero al intentar logear vemos el siguiente error, sucede porque el sistema
operativo del cliente, en este caso Windows 7, no soporta el método de
autenticación utilizado por winradius:
Este error es debido a que en versiones posteriores a Windows Vista viene
desactivado este método de autenticación, por lo demás estos serian todos
los pasos necesarios.
3.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) ,
para autenticar conexiones que provienen de un punto de acceso CISCO
AIRONET 1130AG.
a.- Autenticación de usuarios en texto plano, prueba realiza en grupo.
Primero nos conectamos al dispositivo mediante un clavel de consola, y
configuramos la interface fa0 y la BVI1.
En nuestro caso fue necesaria la configuración de ambos interfaces porque
si no se bajaban solo y no podíamos acceder al router por web para
configurarlo gráficamente, ahora vemos que los dos interfaces están
subidos.
Ahora nos situamos en el navegador web ponemos la ip que le hemos
configurado a la interface BVI1 y nos pedirá usuario y contraseña, Cisco.
Aparecerá la interfaz grafica del Aironet 1130AG, recomiendo utilizar el
navegar internet explorer.
A continuación nos dirigimos a configurar la WLAN del dispositivo, para ello
nos dirigimos a:
En la siguiente ventana seleccionamos el botón radio de “enable”, para
activar la WLAN y seleccionamos el botón radio de “Access point”, el resto
lo dejamos por defecto.
A continuación nos dirigimos a la pestaña “express security”, para
configurar el nombre de la WLAN, SSID, y la seguridad WPA, donde
pondremos al dirección IP del servidor radius y la contraseña compartida
con el mismo.
Si dejamos esta configuración el router se configura por defecto con el
protocolo de encriptación TKIP, para configurarlo en AES nos dirigimos a:
Ahora en el servidor RADIUS en este caso hemos usado un zentyal,
editamos el clients.conf y añadimos la configuración del cliente radius es
decir el router, IP, clave compartida y el SSID:
Ahora añadimos los usuarios, modificando el fichero
/etc/freeradisu/usuers, los cuales utilizara el dispositivo radius para
validarse en la red, en este caso el usuario vicente:
Ahora reiniciamos el servidor radius y procedemos a configurar el cliente
para que autentique a través del punto de acceso:
Una vez configurado el cliente radius inalámbrico con los puertos por
defecto no nos va, tenemos que cambiar el puerto 1812 por el 1645 y el
puerto 1813 por el 1646, para ello tenemos que modificarlos en los ficheros:
Cuando nos conectemos con un cliente radius, podemos ver en el fichero
/var/log/freeeradius/radius.log, que el usuario se ha autenticado
correctamente por el puerto 1645.
4.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) ,
para autenticar conexiones que provienen de un router de acceso CISCO
Linksys WRT54GL.
a.- Autenticación de usuarios en texto plano, prueba realizada en grupo.
Aquí se muestra la configuración del router, se muestra la Ip y la gateway
de la interfaz del router hacia el exterior, configuración de la red externa,
(Internet Setup) y en el apartado Network Setup la configuración de la red
interna.
Y activamos DHCP para dar direcciones a equipos de la red interna.
Y aquí se muestra la seguridad que hemos puesto a la red wifi, seguridad
WPA2 Enterprise AES, por el puerto 1812, con clave “clave” para la
comunicación entre router y servidor, esta configuración es la necesaria
para que el router utilice radius como método de autentificación.
Lo siguiente que vamos a hacer es instalar el paquete freeradius en el
servidor.
Ahora nos metemos en /etc/freeradius y modificamos el fichero users y
introducimos los usuarios y las contraseñas para poder acceder a la red wifi
mediante radius, estos son los usuarios radius.
Ahora desde el mismo directorio modificamos el archivo clients.conf y
ponemos la Ip del router la contraseña que comparten y el nombre del SSID
de la red.
Esta es la configuración de validación por usuarios a una red wifi mediante
radius en texto plano.
Solo queda configurar el cliente inalámbrico raius para que acceda a la red,
la configuración esta al inicio de este documento.
b.- Autenticación de usuarios basado en bases de datos
(MySQL,SQL Server,etc.)
Para poder realizar freeradius con mysql tendremos que instalar en el
sistema operativo ubuntu server 10.04 lo siguiente:
- php5
- MySqlServer
- phpMyAdmin
- Apache2
Una vez instalado lo anterior procedemos a la instalación del paquete
freeradius y freeradius con mysql.
Podemos ver que está instalado.
Ahora editamos el fichero /etc/freeradius/users. Creamos un usuario
llamado "usu1" con contraseña inves y descomentamos algunas líneas.
Ahora entramos en modo debug con el siguiente comando:
Lo comprobamos con un comando y nos tiene que salir Acces-accept.
Ahora nos vamos al fichero radius.conf y des comentamos la línea que viene
"$Include sql.conf".
Después accedemos a mysql y creamos una base de datos y un usuario con
contraseña "inves" con todos los privilegios.
Utilizando el usuario radius, o el que se haya designado para utilizar la base
de datos recién creada, inserta en la base de datos que acaba de crear con
los esquemas incluidos con freeradius, insertamos las tablas
correspondientes a la base de datos radius, estas tablas están ubicadas en
forma de fichero ".sql" en el directorio /etc/freeradius/sql/mysql.
Para ver las tablas creadas entramos en la base de datos.
Ahora editamos el archivo sql.conf y configuramos los setting para la
conexión con el servidor de mysql
Y des comentamos la línea readclient=yes.
Luego editamos el archivo: /etc/freeradius/sites-available/default y des
comentamos la variable "sql" en las secciones de: authorize{}, accounting{},
session{} y posth-auth{} esto para traer los datos desde las tablas en la
base de datos "radius" para ello:
nano /etc/freeradius/sites-available/default.
Ahora creamos los usuarios en la base de datos radius de mysql, más en
concreto en la tabla radcheck, estos usuarios serán con los que nos
tendremos que autentificar para tener acceso a la red wifi.
Para comprobar que se han creado los usuarios ejecutamos el siguiente
comando:
Para comprobar que los usuarios son validos para el funcionamiento
ejecutamos el siguiente comando:
En el fichero clients.conf, ubicado en el directorio /etc/freeradius,
añadimos al final la siguiente línea, en la cual indicaremos la ip del router,
que validara usuarios radius para la wifi, la contraseña compartida por el
router, el servidor mysql y el SSID de la red.
A continuación nos dirigimos al fichero inner_tunnel, ubicado en el
directorio /tec/freeradius/sites-availables, descomentamos la línea que
pone "sql" en la parte de authorize{} y post-auth{}.
Con esta configuración tendremos accesos a nuestra red wifi
autenticándonos como usuarios radius dado de altas en una base de datos
mysql.
Solo quedaría configurar el cliente inalámbrico radius par que pueda
acceder a la red, la configuración se encuentra al comienzo de este
documento.
5.- Instalación de un servidor RADIUS en Zentyal para autenticar
conexiones que provienen de un router de acceso Linksys WRT54GL.
Comprobación en un escenario real, prueba realizada en grupo.
El primer paso es instalar el servidor radius en Zentyal para ello:
#apt-get install freeradius
A continuación editaremos el fichero /etc/freeradius/clients.conf y
añadiremos la línea con la dirección del router, la clave compartida y el
SSID;
Bien, ahora añadiremos los usuarios para autenticar, en este caso
añadiremos el usuario adrian en el fichero /etc/freeradius/users.
Bien a continuación iremos al router Linksys y en las opciones de seguridad
inalámbrica añadiremos la dirección ip del servidor radius, la clave
compartida y los protocolos de autenticación:
Configuramos el cliente radius y lograremos la conexión.
6.- Busca información sobre EDUROAM y elabora un breve informe sobre
dicha infraestructura.
¿Qué es eduroam?
Eduroam (contracción de education roaming) es el servicio mundial de
movilidad segura desarrollado para la comunidad académica y de
investigación. Eduroam persigue el lema "abre tu portátil y estás
conectado".
El servicio permite que estudiantes, investigadores y personal de las
instituciones participantes tengan conectividad Internet a través de su
propio campus y cuando visitan otras instituciones participantes.
Sobre eduroam ES
Eduroam ES es una iniciativa englobada en el proyecto RedIRIS que se
encarga de coordinar a nivel nacional los esfuerzos de instituciones
académicas con el fin de conseguir un espacio único de movilidad. En este
espacio de movilidad participa un amplio grupo de organizaciones que en
base a una política de uso y una serie de requerimientos tecnológicos y
funcionales, permiten que sus usuarios puedan desplazarse entre ellas
disponiendo en todo momento de conectividad.
Por otro lado, eduroam ES forma parte de la iniciativa eduroam a nivel
internacional, financiada a través de GEANT 3, y operada por varias redes
académicas europeas y TERENA. Esta iniciativa amplía el espacio de
movilidad al ámbito académico europeo, a través de eduroam Europa, y
tiende puentes con eduroam Canadá, eduroam US, y eduroam APAN (Asia y
Pacífico).
Eduroam Europa
El servicio eduroam en Europa es un servicio confederado, siempre con la
colaboración de 37 federaciones a nivel nacional. Estos incluyen a cientos de
instituciones, la mayoría de los cuales poseen y opera la infraestructura del
servicio. Coordinación nacional e internacional de esta infraestructura está
a cargo de los operadores de itinerantica nacional y un centro operacional
del equipo eduroam que es financiado por el GÉANT (GN3) Equipo Operativo
proyecto. El lleva a cabo día a día las operaciones, con participantes de
Srce, SURFnet, UNI-C y TERENA.
La actividad de servicio eduroam de la GÉANT (GN3) ha proporcionado
herramientas para supervisar el servicio y apoyar a los usuarios finales.
Eduroam continúa desarrollándose y evolucionando gracias al apoyo de la
Actividad Investigadora GÉANT financiado conjunta (JRA3).
Financiación previa ha producido:
Los esfuerzos para estandarizar RadSec dentro de la IETF
Integración de la Infraestructura RadSec en eduroam
RadSecProxy
Infraestructura inicial para apoyar RadSec en FreeRADIUS
La actividad futura seguirá en los esfuerzos anteriores e incluyen:
Nuevos Protocolos de autenticación extensible
Apoyo a la Internacionalización de nombres de usuario eduroam
Privacidad preservar identificación para el análisis estadístico y la
amenaza
Eduroam Cobertura del servicio
El siguiente mapa muestra los países europeos que han conectado sus
nacionales de primer nivel servidores RADIUS al servidor RADIUS Europeo
de nivel superior (ETLR).
Los datos están siendo recogidos por el Equipo Operativo eduroam para
producir un mapa que representa la cobertura de eduroam en cada uno de
los países.
El ETLR son operados por las organizaciones de redes nacionales de
investigación y educación en los Países Bajos - SURFnet - y en Dinamarca UNI-C-con fondos de la GÉANT (GN3) del proyecto.