Servidor RADIUS Índice

Servidor RADIUS
Servidor RADIUS
Índice
1 Introducción...............................................................................................................................................2
1.1 AAA.....................................................................................................................................................3
1.2 RADIUS...............................................................................................................................................3
1.3 freeRADIUS........................................................................................................................................4
1.4 EAP......................................................................................................................................................4
1.5 IEEE 802.1X.........................................................................................................................................5
2 Escenario.....................................................................................................................................................6
3 Configuración del AP................................................................................................................................7
4 freeRADIUS: Instalación y configuración básica...................................................................................8
5 winRADIUS: instalación y configuración básica ................................................................................11
6 Conexión con supplicant Win7..............................................................................................................20
7 Conexión con supplicant Android.........................................................................................................23
8 Resumen....................................................................................................................................................24
9 Fuentes y para más información............................................................................................................26
1/26
Servidor RADIUS
1 Introducción
AAA (Authentication, Authorization, Accounting) es un modelo de arquitectura de seguridad, un
tipo de protocolos, pero no un protocolo en particular.
RADIUS (Remote Authentication Dial-In User) es un protocolo, una implementación específica de
AAA.
freeRADIUS es un servidor RADIUS muy popular y ampliamente utilizado.
EAP (Extensible Authentication Protocol) es un esquema de autenticación usado habitualmente en
redes WLAN. Provee algunas funciones y negociaciones comunes para el mecanismo de
autenticación escogido.
2/26
Servidor RADIUS
1.1
AAA
Authentication, Authorization, Accounting.
Autenticación: una entidad (usuario) prueba su identidad ante otra (servidor). Por ejemplo:
mediante contraseñas, tokens, certificados, ...
Autorización: concesión de privilegios a un usuario basándose en su identidad autenticada. Por
ejemplo: asignación de IP, de ancho de banda, …
Contabilización: seguimiento del consumo de recursos por los usuarios. Por ejemplo: tipo de
servicio proporcionado, cuando comenzó y terminó de usarlo, etc. Esta información puede usarse
para la administración, planificación, facturación, etc.
Protocolos AAA:
•
RADIUS
Usa UDP
•
DIAMETER
Basado en RADIUS, pero usa TCP (entre otras mejoras)
•
TACACS
Usa TCP
•
TACACS+
Basado en TACACS, pero totalmente nuevo e incompatible con él.
1.2
RADIUS
Remote Authentication Dial-In User
Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad
IP. Utiliza el puerto 1812 UDP para establecer sus conexiones y el 1813 para contabilización.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi,
se envía una información que generalmente es un nombre de usuario y una contraseña. Esta
información se transfiere a un dispositivo Network Access Server (NAS)* sobre el protocolo PPP,
quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS
comprueba que la información es correcta utilizando esquemas de autenticación como PAP,
CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los
recursos de red como una dirección IP, y otros parámetros como L2TP, etc.
*No confundir con NAS como Network Attached Storage
3/26
Servidor RADIUS
Una de las características más importantes del protocolo RADIUS es su capacidad de manejar
sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá
determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos
estadísticos.
1.3
freeRADIUS
Software servidor para Linux.
Hay versión para Windows (winRADIUS), que se configura con ficheros de texto tipo Linux.
Permite dar de alta usuarios sin necesidad de base de datos SQL.
Otro servidor para Windows es TekRADIUS, pero requiere de base de datos SQL para usuarios.
1.4
EAP
Extensible Authentication Protocol.
Es una estructura de soporte, no un mecanismo específico de autenticación En IEEE 802.11 (Wi-Fi),
los estándares WPA y WPA2 han adoptado IEEE 802.1X con unos cien subtipos EAP como sus
mecanismos de autenticación oficiales.
Los métodos modernos capaces de operar en ambientes inalámbricos incluyen EAP-TLS, EAPSIM, EAP-AKA, PEAP, LEAP y EAP-TTLS. Cuando EAP es invocada por un dispositivo NAS
(Network Access Server) capacitado para 802.1X, como por ejemplo un punto de acceso 802.11
a/b/g, los métodos modernos de EAP proveen un mecanismo seguro de autenticación y negocian
un PMK (Pair-wise Master Key) entre el dispositivo cliente y el NAS. En esas circunstancias, la
PMK puede ser usada para abrir una sesión inalámbrica cifrada que usa cifrado TKIP o AES.
4/26
Servidor RADIUS
1.5
IEEE 802.1X
Norma del IEEE para el control de acceso a red basada en puertos. Permite la autenticación de
dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o
previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de
acceso inalámbricos cerrados y se basa en el protocolo EAP.
Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden
utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto
de acceso cerrado, corrigiendo
deficiencias de seguridad de
WEP. Esta autenticación es
realizada normalmente por un
tercero, tal como un servidor
de RADIUS. Esto permite la
autenticación sólo del cliente
o, más apropiadamente, una
autenticación mutua fuerte
utilizando protocolos como
EAP-TLS.
5/26
Servidor RADIUS
2 Escenario
•
Servidor Debian 8 con freeRADIUS 2.2.5
•
Punto de acceso (NAS) Netgear DG834G
•
Cliente (Supplicant) Windows 7
•
Cliente (Supplicant) Android 4.3 Jelly Bean
•
Para el servidor RADIUS en Windows,
utilizaremos una máquina Windows 7 con
winRADIUS 2.2.6 y la dirección IP
192.168.1.222.
El resto de parámetros no cambia.
6/26
Servidor RADIUS
3 Configuración del AP
SSID
= NETGEAR
IP
= 192.168.1.220/24
LOGIN
= admin/password
DHCP
= disabled
En el caso del servidor Windows, pondríamos
Radius Server Name/IP Address = 192.168.1.222
7/26
Servidor RADIUS
4 freeRADIUS: Instalación y configuración básica
Comprobar versión disponible
Instalar
Comprobar estado
Comprobar puertos abiertos
8/26
Servidor RADIUS
Listar ficheros de configuración
Configurar usuario + contraseña
Configurar clientes (puntos de acceso)
9/26
Servidor RADIUS
Comprobar funcionamiento correcto
OJO:
No usar la secret que tú hayas configurado para el AP. Ya existe una predeterminada para el
testeo:
A la hora de testear o de ejecutar el servicio en modo debug, se suelen obtener errores debido,
frecuentemente, a estas dos causas:
•
comando radtest incorrecto
◦
•
la contraseña secret a usar con este comando es siempre testing123
servicio ya en ejecución
◦
se suele recomendar parar el servicio y arrancarlo con freeradius -X (modo debug)
A pesar de esto, es muy probable que el cliente se conecte y el servicio funcione
correctamente.
10/26
Servidor RADIUS
5 winRADIUS: instalación y configuración básica
El escenario es idéntico al utilizado con freeRADIUS, sólo que ahora el servidor tiene la IP
192.168.1.222
Versión freeRADIUS para instalar en Windows.
Descargar programa de http://winradius.eu/Download.html e instalar.
Requiere solicitar un código de activación por e-mail.
11/26
Servidor RADIUS
Envían un e-mail con la clave de activación.
Y ya podemos continuar la instalación.
12/26
Servidor RADIUS
Se crea una carpeta en Archivos de programa con unos pocos ficheros.
El grueso de los ficheros quedan en C:\freeradius-2.2.6, donde crea una estructura similar a la
creada en Linux.
Utilidades ofrecidas por winRADIUS, dentro de la carpeta de programas.
13/26
Servidor RADIUS
RADIUS Command Prompt te ubica en la carpeta C:\freeradius-2.2.6\bin\tests, donde existen varios
programas y ficheros de configuración.
Programas:
C:\freeradius-2.2.6\bin\tests>dir *.cmd
El volumen de la unidad C no tiene etiqueta.
El número de serie del volumen es: 38E7-1CAB
Directorio de C:\freeradius-2.2.6\bin\tests
19/11/2014
15/11/2014
15/11/2014
15/11/2014
25/11/2014
15/11/2014
01:58
02:42
02:42
02:41
05:15
02:42
5.007
1.123
456
1.297
322
323
radeapclient.cmd
radtest-digest.cmd
radtest-sim.cmd
radtestwin.cmd
rad_test_multiotp.cmd
rad_test_sspi.cmd
Pero los ficheros users y clients están en C:\freeradius-2.2.6\etc\raddb
Fichero users
Fichero clients.conf
14/26
Servidor RADIUS
Extracto del fichero README.PDF.
Setup
a) Start WinRADIUS Server (Start - Programs - WinRADIUS Server 2.2.6 - Start
RADIUS Server (Debug)). Make sure to stop the scheduled task!
b) Run tests (in bin\tests folder) (Start - Programs - WinRADIUS Server 2.2.6 RADIUS Command Prompt)
Useful commands (sanity checks)
a) radiusd.exe -Xv
b) radwho.exe -d ..\etc\raddb
c) run radtestwin.cmd in bin\tests folder
d) run radtest-digest.cmd in bin\tests folder
e) run radtest-sim.cmd in bin\tests folder
f)
run radeapclient.cmd in bin\tests folder
g) run rad_test_sspi.cmd in bin\tests folder
h) run rad_test_multiotp.cmd in bin\tests folder
15/26
Servidor RADIUS
Una vez realizada la configuración, reiniciar el equipo.
Comprobar puertos abiertos: no aparece el puerto UDP 1812 abierto: el servicio RADIUS no
arranca automáticamente.
C:\>netstat -anp udp | find “181”
< salida vacía >
Arrancar servicio.
16/26
Servidor RADIUS
Comprobar puertos abiertos: ahora ya está abierto el puerto UDP 1812.
C:\>netstat -anp udp | find “181”
Conexiones activas
Proto
UDP
UDP
UDP
Dirección local
0.0.0.0:1812
0.0.0.0:1813
0.0.0.0:1814
Dirección remota
*:*
*:*
*:*
Ejecutar programa de chequeo radtest-win.cmd.
Puede hacerse ejecutando desde el explorador o ejecutando el comando.
radtestwin.cmd ejecutando desde el explorador.
17/26
Servidor RADIUS
radtestwin.cmd ejecutando el comando.
C:\freeradius-2.2.6\bin\tests>radtestwin
**** WinRADIUS 2.2.6 Sanity Tests ****
These tests assume WinRADIUS Server is up and running
(127.0.0.1:1812)
Presione una tecla para continuar . . .
<...salida truncada...>
Sending Access-Request of id 211 to ::1 port 1812
User-Name = "testuser"
User-Password = "testpw"
NAS-IP-Address = 127.0.0.1
NAS-IPv6-Address = fe80::1
NAS-Port = 1812
rad_recv: Access-Accept packet from host ::1 port 1812, id=211,
length=37
Reply-Message = "Hello, testuser"
Total approved auths:
Total denied auths:
Total lost auths:
18/26
1
0
0
Servidor RADIUS
Otro comando de testeo interesante sería radapclient.cmd
**** WinRADIUS 2.2.6 EAP tests ****
These tests assume WinRADIUS Server is up and running
(127.0.0.1:1812)
Please, comment out 'smsotp' from the 'default' file under sitesenabled folder
The following tests will be performed:
- EAP-MD5
- EAP-MSCHAPv2
- EAP-TLS
- EAP-TTLS/CHAP
- EAP-TTLS/MSCHAP
- EAP-TTLS/MSCHAPv2
- EAP-TTLS/PAP
- EAP-TTLS/EAP-MD5
- EAP-TTLS/EAP-GTC
- EAP-TTLS/EAP-OTP (It may fail)
- EAP-TTLS/EAP-MSCHAPv2
- EAP-PEAPv0/MD5
- EAP-PEAPv0/EAP-MSCHAPv2
- EAP-PEAPv1/MD5 (It fails)
- EAP-PEAPv1/EAP-MSCHAPv2 (It fails)
- EAP2-MD5
- EAP2-FAST
- EAP2-IKEv2
- EAP-GTC (Skipped)
- EAP2-PWD
- EAP2-EKE
- EAP-PAX
- EAP-SAKE
- EAP2-GPSK
- EAP-PSK
- EAP-SIM
- EAP-AKA
- EAP-AKA (Prime)
Running test: EAP-MD5
Presione una tecla para continuar . . .
<... salida truncada ...>
< Aparecen tests por cada uno de los métodos >
19/26
Servidor RADIUS
6 Conexión con supplicant Win7
Si no se configura nada en el cliente, es muy probable que no conecte.
CONFIGURACIÓN DEL SUPPLICANT
Centro de redes y recursos compartidos → Administrar redes inalámbricas → Agregar
20/26
Servidor RADIUS
Como Tipo de seguridad puede escogerse WPA-Enterprise o WPA2-Enterprise, dependiendo del tipo
configurado en el AP.
Al escoger el tipo “Enterprise”, se bloquea el cuadro de Clave de seguridad, ya que ésta ahora
no se configura en el supplicant, sino en el servidor RADIUS.
Como Tipo de cifrado puede escogerse TKIP o AES, dependiendo del tipo configurado/soportado en
el AP.
21/26
Servidor RADIUS
Se escoge Reemplazar credenciales porque no
utilizaremos usuarios de Windows, sino
usuarios “virtuales”.
Nota
El servidor RADIUS únicamente autentica para
establecer la conexión con el AP. Una vez
establecida, aunque el servidor RADIUS se
apague, la conexión seguirá activa.
22/26
Servidor RADIUS
7 Conexión con supplicant Android
En Android no hay que configurar nada: únicamente indicar user+pass.
23/26
Servidor RADIUS
8 Resumen
Cliente NAS (Punto de Acceso)
•
En algún apartado de la configuración de la Wi-Fi, escoger algo así como
◦
Security Options
= WPA2-802.1x
◦
Radius Server Name/IP Address
= 192.168.1.221
◦
Radius Port
= 1812
◦
Shared Key
= eti123456
Servidor freeRADIUS (Linux)
•
Instalar
apt-get install freeradius
•
Configurar
•
•
◦
Fichero /etc/freeradius/users
virtudes Cleartext-Password := “virtudicas”
◦
Fichero /etc/freeradius/clients.conf
client 192.168.1.220 {
secret = eti123456
shortname = ap_orlando
}
Reiniciar servicio
◦
Detener
service freeradius stop
◦
Arrancar en modo debug
/etc/freeradius/freeradius -X
Comprobar
◦
Comprobar puerto UDP 1812 abierto
netstat -lun | grep 181
◦
Ejecutar utilidad de testeo
/etc/freeradius/radtest virtudes virtudicas localhost 0
testing123
24/26
Servidor RADIUS
Servidor winRADIUS (Windows)
•
Descargar de http://winradius.eu
•
Enviar e-mail a [email protected] solicitando código de desbloqueo
•
Instalar
•
Configurar
•
•
◦
Fichero C:\freeradius-2.2.6\etc\raddb\users
virtudes Cleartext-Password := “virtudicas”
◦
Fichero C:\freeradius-2.2.6\etc\raddb\clients.conf
client 192.168.1.220 {
secret = eti123456
shortname = ap_orlando
}
Reiniciar servicio
◦
Reiniciar equipo
◦
Arrancar servicio
Inicio → Programas → Start RADIUS Server (Debug)
Comprobar
◦
Comprobar puerto UDP 1812 abierto
netstat -anp udp | find “181”
◦
Ejecutar utilidad de testeo
c:\freeradius-2.2.6\bin\tests\radtestwin.cmd
Supplicant Windows 7
Agregar una nueva conexión de red inalámbrica con los siguientes parámetros:
•
Nombre de la red
= el SSID del AP
•
Tipo de seguridad
= WPA2-Enterprise
•
Tipo de cifrado
= TKIP
•
Seguridad → Método de autenticación = Microsoft: EAP protegido (PEAP) [default]
◦
Configuración
▪
→ desactivar “Validar un certificado de servidor”
▪
→ desactivar “Habilitar reconexión rápida”
▪
→ Método de autenticación = Contraseña segura (EAP-MSCHAP v2) [default]
•
Configurar
◦
→ desactivar “Al conectar, usar automáticamente el nombre de inicio de
sesión y contraseña de Windows”
25/26
Servidor RADIUS
◦
Configuración avanzada
▪
→ activar “Especificar modo de autenticación” = Autenticación de usuarios
▪
→ Guardar credenciales = usuario virtudes / contraseña virtudicas
Supplicant Android Jelly Bean
No hay que hacer nada en especial, únicamente, proporcionar usuario + contraseña.
9 Fuentes y para más información
https://www.wikipedia.org/
http://freeradius.org/
http://personales.alumno.upv.es/~hecmargi/manuales/linux/freeradius/
http://padamrajgurung.com.np/authentication-in-aaa/
https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-ymysql/
http://www.systerminal.com/2014/03/26/wpa2-enterprise-freeradius-openldap-debian-wheezy-14/
Aula 30x
[email protected]
@aula30x
octubre 2015
26/26