Luis Alfonso Sánchez Brazales SERVIDORES
Transcripción
Luis Alfonso Sánchez Brazales SERVIDORES
SERVIDORES DE ACCESO REMOTO Protocolos de autenticación: 1.- Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP, CHAP - Realizar en el laboratorio virtual (GNS3) individualmente. PAP En estas dos imágenes vemos la configuración de dos routers que hemos configurado el protocolo pap para ellos primero le ponemos un nombre al router, luego vamos a poner el nombre del usuario y contraseña del router con el que nos vamos a conectar, ponemos la encapsulación que es ppp luego le ponemos la autenticación que va a ser pap y para finalizar vamos a poner el usuario y la contraseña que vamos a enviar desde el router de origen. CHAP Ahora vamos configurar los router por el protocolo chap para ellos ponemos el nombre del router y el usuario y contraseña del otro router, nos metemos en la interfaz y ponemos la encapsulación y la autenticación que va a ser chap y en el otro router hacemos lo mismo Luis Alfonso Sánchez Brazales Servidores de autenticación a) REDES INALÁMBRICAS: WPA Personal y Empresarial. 1.-Configurar un router de acceso inalámbrico CISCO Linksys WRT54GL , utilizando el simulador. http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm Para configurar la seguridad de una red inalámbrica nos vamos a la pestaña de wireless y lego le damos a wireless security aquí vamos a seleccionar de la lista wpa personal, el tipo de algoritmos de encriptación va a ser AES y la clave que vamos a compartir va a ser “clave”, ya le damos a save settings para que se guarde los cambios Nos vamos a las misma pestaña que la anterior, en este camos la seguridad va a ser wpa Enterprise, el algoritmos vamos a seleccionar el mismo AES y en este tipo de seguridad ya vemos una cosa nueva que es la direccion ip del servidor radius, le ponemos la direccion ip de nuestro servidor, el puerto le dejamos el que tiene por defecto y la clave precompartida será “clave”, y guardamos los cambios Luis Alfonso Sánchez Brazales Configurar router inalámbrico Linksys WRT54GL en modo seguro: (Cambia el SSID por defecto y desactivar el broadcasting SSID, deshabilitar DHCP, cambiar nombre de usuario y contraseña, activar el filtrado de MAC, WPA2, cifrado TKIP+AES). - Configurar la tarjeta de red de un cliente inalámbrico con dichas medidas de seguridad y comprobar la autenticación a dicho router inalámbrico. - Realizar en grupos de alumnos. Se va a configurar el router Linksys como seguro, para ello se accede a él y se le desactiva el servicio DHCP: Se le modifica el SSID Luis Alfonso Sánchez Brazales Se le asigna el cifrado TKIP + AES con la configuración de WPA2 Personal. Ahora se accede con el cliente inalámbrico, dadas estas pautas. Para ello se agrega una nueva red y, con una configuración de direcciones IP estática, se accede mediante AES (que conecta también TKIP+AES) y se le asigna la contraseña. Luis Alfonso Sánchez Brazales Con estos parámetros conecta a la red. SERVIDOR RADIUS: 1.- Simulación de un entorno de red con servidor RADIUS CISCO en el simulador Packet Tracer. Aquí podemos ver el escenario donde vamos a simular un servidor radius Luis Alfonso Sánchez Brazales Nos vamos al servidor DNS y nos vamos a config, luego le vamos a dar a la pestaña de fastethernet y vamos a configurar la direccion ip del servidor dns Ahora nos vamos a la pestaña HTTP y vamos a poner a ON para poder entrar a nuestra página de bienvenida tanto en http como en https Luis Alfonso Sánchez Brazales Ahora nos vamos a la pestaña de DNS y vamos a añadir al registro los nombres para poder conectarnos a través del navegador con el nombre en vez de con la dirección ip Nos vamos al servidor radius y vamos a la pestaña AAA, lo primero que vamos a hacer es configurar la red, para ello vamos a poner el nombre del cliente, la clave secreta y la dirección ip y lo añadimos. Más abajo vamos a añadir los usuarios con su contraseña y los añadimos a la lista Luis Alfonso Sánchez Brazales Ahora nos vamos al router y nos vamos a setup y en la lista desplegable seleccionamos la ip estática y configuramos la dirección ip, mascara, la puerta de enlace, etc. Luis Alfonso Sánchez Brazales En la misma pestaña donde estamos vamos a habilitar el servidor dhcp y dejamos el rango de las dirección que va a dar como viene por defecto, le vamos a poner la ip del servidor dns Ahora nos vamos a la pestaña de wireless y vamos a configurar los datos del servidor radius Luis Alfonso Sánchez Brazales Ahora nos vamos a los clientes y vamos a la opción de pc wireless para conectarnos al servidor radius En esta pantalla lo que vamos a hacer es darle a advanced setup y empezar a configurar la conexión Luis Alfonso Sánchez Brazales En esta pantalla vamos a seleccionar la primera opción y le damos a next Luis Alfonso Sánchez Brazales Vamos a dejar la opción que viene por defecto para que obtenga la dirección ip por dhcp y le damos a next Vamos a seleccionar la seguridad que va a ser wpa2-enterprise y le damos a next Luis Alfonso Sánchez Brazales Vamos a poner el nombre de usuario y contraseña que están dados de alta en el servidor radius Luis Alfonso Sánchez Brazales Aquí nos sale un resumen de la configuración que hemos realizado anteriormente y le damos a save Luis Alfonso Sánchez Brazales CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo seguro utilizando AAA y RADIUS (WinRadius en Windows XP) Se configuran los parámetros de los routers para que se reconozcan en el escenario siguiente. Se va a configurar el router R1 para probar la autenticación local. Luis Alfonso Sánchez Brazales Se realiza una conexión Telnet a R1. Se habilita el protocolo AAA en R3 Se configura el reloj. Se le asigna el protocolo aaa y se realiza un debug del mismo para observar lo que ocurre Luis Alfonso Sánchez Brazales Se realiza un Telnet a R3, aparece una pantalla de que se ha generado una clave RSA. Se observa lo ocurrido en R3. Se modifca el R1 devolviéndole su configuración inicial. Luis Alfonso Sánchez Brazales Se habilita WinRADIUS en Windows XP, para ello se instala y se inicia. Escucha en el 1812 y 1813. Luis Alfonso Sánchez Brazales Se limpia el log con Log > Clear Se realiza un test para observar la conexión. Se configura R1 para asignarle el servidor RADIUS. Luis Alfonso Sánchez Brazales Se observan los comandos que se pueden realizar. Se observa la configuración RADIUS en el running-config. Se ve en Windows 7 la configuración del servidor. Luis Alfonso Sánchez Brazales Se realiza un test desde WinRADIUS, en el sistema operativo Windows 7. Luis Alfonso Sánchez Brazales Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) , para autenticar conexiones que provienen de un router de acceso CISCO Linksys WRT54GL. Autenticación de usuarios basado en bases de datos (MySQL,SQL Server,etc.) Instalamos el servidor Si no tenemos instalado mysql server lo instalamos tambien. Iniciamos el servicio mysql Asignamos una clave para el usuario root Creamos una base de datos llamada radius Accedemos a mysql y le damos permisos al usuario que vamos a crear llamado radius Ahora importamos las tablas de freeradius a la base de datos radius Luis Alfonso Sánchez Brazales Editamos el archivo radiusd.conf y descomentamos la siguiente línea Ahora editamos el fichero sql.conf e introducimos estos parametros; y descomentamos la linea de readclients Luis Alfonso Sánchez Brazales En el archivo /etc/raddb/sites-enabled/default des comentamos las variables sql de authorize y accounting Entramos en mysql y añadimos 2 usuarios para la base de datos, fulado y pepe Comprobamos que se han añadido correctamente Luis Alfonso Sánchez Brazales Iniciamos el servicio radius Verificamos que radius puede autentificar con mysql A partir de este punto, solo podrá autenticar usuarios de manera local. Para poder conectar el punto de acceso hacia el servidor Freeradius, vuelva a conectarse MySQL Ejecute lo siguiente, definiendo la dirección IP del punto de acceso, nombre corto, tipo de NAS (other, cisco, livingston, computon, max40xx, multitech, natserver, pathras, patton, portslave, tc o usrhiper). Si utiliza un pinto de acceso casero, defina el tipo other. Comprobamos que hemos insertado correctamente Luis Alfonso Sánchez Brazales En el fichero /etc/raddb/sites-available/inner-tunner descomentamos las variables sql de authorize y post-auto Reiniciamos el servicio radius Configuramos el punto de acceso. Configuramos la ip de internet que tiene que ser diferente a la subred que vamos a crear para el servidor radius, establecemos una ip al punto de acceso. Luis Alfonso Sánchez Brazales Ponemos el ssid de la red inalámbrica Luis Alfonso Sánchez Brazales Establecemos el tipo de seguridad, la encriptacion, la ip del servidor radius de centos en nuestro caso, el puerto y la contraseña compartida entre el servidor radius y el punto de acceso. Ya tenemos configurado el servidor ahora nos queda configurar el cliente VALIDACIÓN DE TEXTO PLANO Editamos el archivo /etc/rddb/users y añadimos un usuario Luis Alfonso Sánchez Brazales Editamos el archivo radiusd.conf y descomentamos la siguiente línea Reiniciamos el servidor y listo CONFIGURAR CLIENTE RADIUS WINDOWS 7 Vamos al centro de redes y recursos compartidos/administrar redes inalambricas/agregar/crear perfil de red manualmente Luis Alfonso Sánchez Brazales Añadimos el nombre de la red, la seguridad y el cifrado Vamos a cambiar la configuración Luis Alfonso Sánchez Brazales En configuración, desmarcamos la validación con certificado y usar automáticamente el nombre de inicio de sesión de Windows. En configuración avanzada especificamos el modo de autentificación por usuarios. Luis Alfonso Sánchez Brazales Nos conectamos a la red Instalación de un servidor RADIUS en Zentyal para autenticar conexiones que provienen de un router de acceso Linksys WRT54GL. Comprobación en un escenario real. Abrimos el localhost de zentyal e instalamos los paquetes RADIUS y Users and Groups Luis Alfonso Sánchez Brazales Configuramos la interfaz de red Luis Alfonso Sánchez Brazales Ponemos la puerta de enlace Añadimos el cliente radius, cliente es el SSID de la red, la IP es la IP del punto de acceso y la contraseña es la clave compartida entre el punto de acceso y el servidor radius. Creamos un usuario Luis Alfonso Sánchez Brazales Configuramos el punto de acceso Luis Alfonso Sánchez Brazales El ssid Establecemos el tipo de seguridad, la encriptacion, la ip del servidor radius de zentyal, el puerto y la contraseña compartida entre el servidor radius y el punto de acceso. Luis Alfonso Sánchez Brazales CONFIGURAR CLIENTE RADIUS WINDOWS 7 Vamos al centro de redes y recursos compartidos/administrar redes inalambricas/agregar/crear perfil de red manualmente Añadimos el nombre de la red, la seguridad y el cifrado Luis Alfonso Sánchez Brazales Vamos a cambiar la configuracion En configuración, desmarcamos la validación con certificado y usar automáticamente el nombre de inicio de sesión de Windows. Luis Alfonso Sánchez Brazales En configuración avanzada especificamos el modo de autentificación por usuarios. Nos conectamos a la red Luis Alfonso Sánchez Brazales Busca información sobre EDUROAM y elabora un breve informe sobre dicha infraestructura. http://www.eduroam.es/ Eduroam (contracción de education roaming) es el servicio mundial de movilidad segura desarrollado para la comunidad académica y de investigación. Eduroam persigue el lema "abre tu portátil y estás conectado". El servicio permite que estudiantes, investigadores y personal de las instituciones participantes tengan conectividad Internet a través de su propio campus y cuando visitan otras instituciones participantes. Eduroam es una iniciativa englobada en el proyecto RedIRIS que se encarga de coordinar a nivel nacional los esfuerzos de instituciones académicas con el fin de conseguir un espacio único de movilidad. En este espacio de movilidad participa un amplio grupo de organizaciones que en base a una política de uso y una serie de requerimientos tecnológicos y funcionales, permiten que sus usuarios puedan desplazarse entre ellas disponiendo en todo momento de conectividad. Por otro lado, eduroam forma parte de la iniciativa eduroam a nivel internacional, financiada a través de GEANT 3, y operada por varias redes académicas europeas y TERENA. Esta iniciativa amplía el espacio de movilidad al ámbito académico europeo, a través de eduroam Europa, y tiende puentes con eduroam Canadá, eduroam US, y eduroam APAN (Asia y Pacífico). Luis Alfonso Sánchez Brazales