Proyecto Servidor Radius (CentOS 6.6)

TECNOLOGICO NACIONAL DE MEXICO
INSTITUTO TECNOLGICO DE
ZACATECAS
SEGURIDAD EN CORTAFUEGOS
PROYECTO INTEGRADOR
SERVIDOR RADIUS
PRESENTADO POR:
Franklin Iztcoatl Monreal Cristerna

Almendra Herrera Garca
10450454
11450553
DOCENTE
ISC. JORGE ARELLANO ROMERO
Junio de 2015
Zacatecas, Zac, Mxico
Proyecto Integrador
TABLA DE ILUSTRACIONES
Ilustracin 1 Diagrama de Red ................................................................................ 5
Ilustracin 2 Simulacin Packet Tracer ................................................................... 6
Ilustracin 3 Configuracin Tarjeta de Red Mquina Virtual eth0............................ 8
Ilustracin 4 Configuracin Tarjeta de Red Mquina Virtual eth1............................ 8
Ilustracin 5 Seleccin Tipo de Instalacin ............................................................. 9
Ilustracin 6 Instalacin en Curso ......................................................................... 10
Ilustracin 7 Configuracin Tarjeta de Red eth0 ................................................... 10
Ilustracin 8 Configuracin Tarjeta de Red eth1 ................................................... 11
Ilustracin 9 Verificacin de Asignaciones de Direcciones IP .............................. 11
Ilustracin 10 Filtrado de Paquetes ....................................................................... 11
Ilustracin 11 Verificacin Reglas IPTABLES ....................................................... 12
Ilustracin 12 Enrutamiento de Paquetes .............................................................. 12
Ilustracin 13 Guardado de Reglas IPTABLES ..................................................... 12
Ilustracin 14 Inicio de Sesin Daloradius ............................................................. 22
Ilustracin 15 Pantalla de Incio Daloradius ........................................................... 22
Ilustracin 16 Administracin de NAS (Puntos de Acceso) Daloradius ................. 23
Ilustracin 17 Administracin de Usuario Daloradius ............................................ 23
Ilustracin 18 Configuracin Red AP1 ................................................................... 24
Ilustracin 19 Configuracin IP AP1 ...................................................................... 24
Ilustracin 20 Configuracin DHCP AP1 ............................................................... 25
Ilustracin 21 Configuracin Seguridad WPA/WPA2-Enterprise AP1 ................... 25
Ilustracin 22 Configuracin LAN Access Point .................................................... 26
Ilustracin 23 Configuracin Nombre Difusin Access Point ................................. 27
Ilustracin 24 Configuracin DCHP Access Point ................................................. 27
Ilustracin 25 Configuracin de Seguridad WPA/WPA2--Enterprise ..................... 28
Ilustracin 26 Conexin Cliente Windows 8.1 ....................................................... 29
Ilustracin 27 Verificacin Conexin Cliente Windows 8.1 .................................... 29
Ilustracin 28 Creacin Nueva Red Windows 7 .................................................... 30
Ilustracin 29 Definicin de Aspectos de Nueva Red ............................................ 30
Ilustracin 30 Tipo de Seguridad Nueva Red ........................................................ 31
Ilustracin 31 Configuracin Nueva Red ............................................................... 31
Ilustracin 32 Mtodo de Autenticacin Nueva Red .............................................. 32
Ilustracin 33 Autenticacin de Red ...................................................................... 32
Ilustracin 34 Verificacin Tipo de Conexin e IP ................................................. 33
Ilustracin 35 Verificacin Salida a Internet .......................................................... 33
Ilustracin 36 Configuracin Conexin Clientes Windows Phone ......................... 34
Ilustracin 37 Configuracin Clientes Windows Phone 2 ...................................... 34
Ilustracin 38 Ruta de Configuracin Servidor Proxy ............................................ 35
Ilustracin 39 Configuracin de Proxy en Windows .............................................. 36
Ilustracin 40 Configuracin Servidor Proxi en Windows Phone ........................... 36
Ilustracin 41 Prueba de Conexin y Funcionamiento .......................................... 37
Instituto Tecnolgico de Zacatecas

Seguridad en Cortafuegos
Proyecto Integrador
CONTENIDO
INTRODUCCION .................................................................................................... 1
DESARROLLO ........................................................................................................ 2
MARCO TEORICO .............................................................................................. 2
OBJETIVO ........................................................................................................... 4
EQUIPO NECESARIO ......................................................................................... 4
DIAGRAMA DE RED ........................................................................................... 5
SIMULACION PACKET TRACER ....................................................................... 6
MANUAL TECNICO ............................................................................................. 7
INSTALACION DE SERVIDOR CENTOS 6.6 (LINUX) .................................... 7
CONFIGURACIN DE SERVIDOR NAT ....................................................... 10
CONFIGURACIN DE RADIUS .................................................................... 13
INSTALAR DALORADIUS PARA ADMINISTRACIN A TRAVS DE HTTP.20
CONFIGURACIN DE PUNTOS DE ACCESO ............................................. 24
MANUAL DE USUARIO..................................................................................... 29
CONFIGURACIN DE CLIENTES ................................................................ 29
PRUEBAS DE CONEXIN Y FUNCIONAMIENTO ........................................... 37
CONCLUSIONES.................................................................................................. 38
BIBLIOGRAFA ..................................................................................................... 39

Proyecto Integrador
1
INTRODUCCION
Las redes de computadoras hoy en da estn presentes en casi todas las
organizaciones y son esenciales para su funcionamiento en el intercambio de
informacin, todo ello conlleva que el nmero de usuarios y la necesidad de estar
conectados se incremente considerablemente, por lo que se vuelve una imperiosa
necesidad implementar soluciones que puedan garantizar la seguridad y el control,
de acceso de usuarios no autorizados o que sobrepasen la capacidad de la red y
propicien deficiencias en el rendimiento de la misma. Es por ello que en este
proyecto se propone una solucin para el control de acceso de los usuarios
mediante conexiones inalmbricas que hoy en da con la gran cantidad de
dispositivos mviles se convierten en el principal medio de conexin. Dicha
propuesta consiste en la implementacin de un Servidor Radius que mediante listas
de acceso permita autenticar a los usuarios autorizados y rechazar a los usuarios
que no se encuentren en el sistema, garantizando as que nicamente los usuarios
que se encuentran en la base de datos puedan acceder mediante los puntos de
acceso inalmbricos.
Por todo ello en este proyecto se contempla la instalacin, configuracin y
consideraciones para implementar un servidor radius dentro del sistema operativo
Linux con la distribucin CentOS 6 que permita realizar las funciones descritas y
brindando as la posibilidad de replicar el procedimiento para su implementacin en
un entorno real.

Proyecto Integrador
2
DESARROLLO
MARCO TEORICO
Netfilter es un conjunto de ganchos (Hooks, es decir, tcnicas de programacin que
se emplean para crear cadenas de procedimientos como manejador) dentro del
ncleo de GNU/Linux y que son utilizados para interceptar y manipular paquetes de
red. El componente mejor conocido es el cortafuego, el cual realiza procesos de
filtracin de paquetes. Los ganchos son tambin utilizados por un componente que
se encarga del NAT (acrnimo de Network Address Translation o Traduccin de
direccin de red). Estos componentes son cargados como mdulos del ncleo.
Iptables es el nombre de la herramienta de espacio de usuario (User Space, es
decir, rea de memoria donde todas las aplicaciones, en modo de usuario, pueden
ser intercambiadas hacia memoria virtual cuando sea necesario) a travs de la cual
los administradores crean reglas para cada filtrado de paquetes y mdulos
de NAT. Iptables es la herramienta estndar de todas las distribuciones modernas
de GNU/Linux. [1]
RADIUS (Remote Authentication Dial-In User Service) es un protocolo de

autenticacin, autorizacin y manejo de cuentas de usuario originalmente
desarrollado por Livingston Enterprises y publicado en 1997 como los
RFC 2058 y 2059. Es utilizado para administrar el acceso remoto y la movilidad IP,
como ocurre en servicios de acceso por modem, DSL, servicios inalmbricos 802.11
o servicios de VoIP (Voice over IP o Voz sobre IP). Este protocolo trabaja a travs
del puerto 1812 por UDP.
La autenticacin gestionada por este protocolo se realiza a travs del ingreso de un
nombre de usuario y una clave de acceso. Esta informacin es procesada por un
dispositivo NAS (Network Access Server) a travs de PPP (Point-to-Point Protocol
o Protocolo Punto-a-Punto) siendo posteriormente validada por un
servidor RADIUS a travs del protocolo correspondiente valindose de diversos
esquemas de autenticacin, como PAP (Password Authentication Protocol o
Protocolo de Autenticacin de Clave de acceso), CHAP (ChallengeHandshake Authentication Protocol) o EAP (Extensible Authentication Protocol) y
permitiendo el acceso al sistema. [2]
Freeradius, proyecto iniciado en 1999 por Alan DeKok y Miquel van Smoorenburg
(quien colabor anteriormente en el desarrollo de Cistron RADIUS), es una
alternativa libre hacia otros servidores RADIUS, siendo uno de los ms completos y
verstiles gracias a la variedad de mdulos que le compone. Puede operar tanto en
sistemas con recursos limitados as como sistemas atendiendo millones de
usuarios.
Proyecto Integrador
3
Freeradius inici como un proyecto de servidor RADIUS que permitiera una mayor
colaboracin de la comunidad y que pudiera cubrir las necesidades que otros
servidores RADIUS no podan. Actualmente incluye soporte para LDAP, SQL y otras
bases de datos, as como EAP, EAP-TTLS y PEAP. Actualmente incluye soporte
para todos los protocolos comunes de autenticacin y bases de datos.
Daloradius es una avanzada aplicacin HTTP que sirve de sistema de

administracin para RADIUS y est diseada para ser utilizada para
administrar hotspots (puntos calientes, es decir zona de cobertura Wi-Fi, en el que
un punto de acceso o varios proveen servicios de red a travs de un Proveedor de
Servicios de Internet Inalmbrico o WISP) y uso general para la autenticacin de
Proveedores de Acceso a Internet (ISP). Incluye gestin de usuarios, reportes
grficos, contabilidad, motor de cobranza e integracin con GoogleMaps para
Geolocalizacin.

Proyecto Integrador
4
OBJETIVO
Montar un Servidor Radius que funcione con dos puntos de acceso inalmbricos,
implementando el protocolo de seguridad WPA/WPA2-Enterprise, donde los
usuarios clientes que se conecten a los puntos de acceso sean autentificados y
validados por el Servidor Radius el cual permitir establecer la conexin o no a la
red. Los equipos de distribucin (Puntos de Acceso) deben permitir la salida a los
clientes por medio del Servidor Radius. As como permitir la administracin de los
equipos de distribucin y los usuarios mediante la implementacin de una
plataforma web que permita gestionarlos de manera sencilla. El proyecto tambin
contempla la generacin de la documentacin que incluir la instalacin y
configuracin de los servicios necesarios para el funcionamiento del Servidor
Radius y su administracin, de tal forma que el proceso pueda ser replicado de
manera adecuada para implementar un proyecto de este tipo.
EQUIPO NECESARIO
1 Computadora con sistema operativo Windows que cuente con 2 Tarjetas de

Red funcionales, 1 Cableada y 1 Inalmbrica, con mnimo 2GB de memoria
RAM, esta computadora tendr la funcin de ser el Servidor Radius que se
encargara de la autenticacin de los usuarios as como de proveer de internet a
los puntos de acceso y a los equipos que se conecten a ellos.
2 Puntos de Acceso Inalmbricos con soporte para el protocolo de seguridad

WPA/WPA2 Enterprise.
1 Equipo de distribucin Switch para conectar los 2 puntos de acceso a la

computadora que funcionara como Servidor Radius y Puerta de Enlace.
1 Cable Ethernet Recto Cat5e que conectara al Servidor Radius con el equipo
de distribucin Switch.
2 Cables Ethernet Cruzados Cat5e que conectaran los puntos de acceso con el
Switch.
2 Equipos de cmputo o 2 dispositivos mviles como mnimo para probar el

funcionamiento del servidor. Recomendablemente con sistemas operativos
Windows 8.1, Windows Phone 8.1 o Android 4.4.

Proyecto Integrador
5
DIAGRAMA DE RED
Ilustracin 1 Diagrama de Red

Proyecto Integrador
6
SIMULACION PACKET TRACER
Ilustracin 2 Simulacin Packet Tracer

Proyecto Integrador
7
MANUAL TECNICO
INSTALACION DE SERVIDOR CENTOS 6.6 (LINUX)
1. Descargar la imagen ISO del DVD de CentOS 6.6.
Se debe descargar la imagen dependiendo de la arquitectura requerida i386 o bien
x86-64, en muchos de los casos solo ser necesario descargar el DVD1 salvo que
se requiera soporte para algn idioma no convencional. La imagen ISO puede ser
descargada de la siguiente direccin:
http://mirror.centos.org/centos/6/isos/
NOTA: Recordemos que la versin de CentOS actual es la versin 7 por lo que en
el sitio oficial se encontrar como primera opcin de descarga pero dada la
recomendacin de instalar versiones pares por su mayor estabilidad, se ha decidido
trabajar con la versin 6.6.
2. Creacin de Mquina Virtual para la instalacin de CentOS 6.6.
Para la creacin de la mquina virtual donde montaremos CentOS 6.6 utilizaremos
el software de virtualizacin VirtualBox, donde crearemos una mquina virtual para
Linux con la distribucin RedHat ya que CentOS es un clon de RedHat, con 512mb
de RAM y 20GB de disco duro.
Nota: La capacidad de memoria RAM y de espacio en disco es variable
dependiendo del uso y las necesidades a las que estar destinado el servidor, este
paso de la creacin de la mquina virtual puede omitirse si la instalacin ser
realizada en un equipo dedicado.
3. Configuracin de Tarjetas de Red
La configuracin de las tarjetas de red es un paso importante y depende
directamente del escenario a simular, en este caso para simular un servidor que
proporcione el servicio radius y funcione como puerta de salida, se utilizaran 2
tarjetas de red, le eth0 que ser la que se encuentre dentro de la red local con la
direccin IP del servidor que tambin funcionar como puerta de enlace (Gateway),
la cual ser la 192.168.1.254, la cual se establecer en modo puente a la tarjeta
Cableada del equipo anfitrin; y la eth1 la cual se conectara a algn equipo de
distribucin que le proporcione el servicio de internet, esta ser conectada en modo
puente a la tarjeta inalmbrica del equipo anfitrin.

Proyecto Integrador
8
Ilustracin 3 Configuracin Tarjeta de Red Mquina Virtual eth0
Ilustracin 4 Configuracin Tarjeta de Red Mquina Virtual eth1

Proyecto Integrador
9
4. Instalacin de CentOS 6.6
Despus procedemos con la instalacin de CentOS 6.6, al comienzo de la
instalacin aparece una venta que nos pregunta que si deseamos verificar el disco
instalacin le damos clic en no y pasamos a las acciones de instalacin de un
sistema Linux en este caso CentOS 6.6 como son las siguientes:
Seleccin de Idioma
Seleccin de Teclado
Seleccin de Tipos de Dispositivos
Seleccin de Nombre de Dominio
Para esta caso practico se utilizo el nombre de dominio por defecto, en un entorno
de produccion el nombre de dominio sera el que determine la empresa.
Seleccin de Zona Horaria
Definicin de Contrasea Sper-Usuario (root)
Seleccin de Tipo de Instalacin
Ilustracin 5 Seleccin Tipo de Instalacin
Como se puede ver existen muchas opciones de instalacion, en donde algnas de

ellas instalaran algunos servicios o escritorios graficos, pero es recomendable hacer
una instalacion minima e ir agregando los servicios conforme se vallan requieran.
Proyecto Integrador
10
Ilustracin 6 Instalacin en Curso
Una vez terminada la instalacin de CentOS 6.6, solo es cuestin de esperar a que
termine y podremos acceder al sistema, eso ser en modo consola o escritorio si
as lo instalan, una vez dentro del sistema se podrn instalar los servicios que se
requieran.
CONFIGURACIN DE SERVIDOR NAT

La configuracin del servidor NAT permitir que este tenga la funcin de
proporcionar el servicio de internet como puerta de salida (Gateway), donde la IP
del servidor Radius tambin ser considerada la puerta de salida de los equipos de
distribucin que se conecten a l, la IP ser la 192.168.1.254 en la interfaz eth0 que
quedara dentro de la red local.
1. Configuramos las 2 interfaces de red eth0 y eth1, eth0 con la ip esttica
asignada y eth1 mediante dhcp para que reciba automticamente la ip del
equipo de distribucin que le proporcionara internet. Si el escenario es con
un equipo de distribucin determinado se puede asignar una ip esttica para
eth1 si el administrador de la red a la que se conectara as lo indica.
Ilustracin 7 Configuracin Tarjeta de Red eth0

Proyecto Integrador
11
Ilustracin 8 Configuracin Tarjeta de Red eth1
2. Verificamos la asignacin de direcciones IP
Ilustracin 9 Verificacin de Asignaciones de Direcciones IP
3. Agregamos la regla a los cortafuegos iptables para permitir el intercambio

de paquetes entre las dos tarjetas.
Ilustracin 10 Filtrado de Paquetes

Proyecto Integrador
12
4. Verificamos el iptables
Ilustracin 11 Verificacin Reglas IPTABLES
5. Activar IP Forward:
fichero /etc/sysctl.conf.
Para
activarlo,
tenemos
6. Enrutamiento de Paquetes
Ilustracin 12 Enrutamiento de Paquetes
7. Guardamos y reiniciamos el servicio iptables
Ilustracin 13 Guardado de Reglas IPTABLES

que
editar
el
Proyecto Integrador
13
CONFIGURACIN DE RADIUS
Instale los paquetes necesarios:
yum -y install freeradius freeradius-mysql
freeradius-utils
yum -y install mysql mysql-server
Si los paquetes no se encuentran disponibles realizar lo siguiente, para actualizar la

lista de repositorios disponibles y descargar el repositorio epel.
yum update
yum y install wget
wget http://mirror.pnl.gov/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
Generar los certificados predeterminados ejecutando el mandato radiusd con la

opcin -X:
radiusd -X
Lo anterior iniciar el servicio radiusd e iniciar la generacin de los certificados.
Cuando el dilogo lo pida, definir los datos de pas, estado, nombre del anfitrin y
cuenta de correo del administrador. Al concluir pulsar CTRL-C para terminar el
servicio y continuar configuracin.
Inicie el servicio MySQL:
service mysqld start
Aada el servicio MySQL al arranque del sistema:

chkconfig mysqld on
Asigne clave de acceso al usuario root de MySQL:

mysqladmin -uroot password '123qwe'

Proyecto Integrador
14
Genere una nueva base de datos denominada radius:
mysqladmin -uroot -p123qwe create radius
Acceda al intrprete de mandatos de MySQL:

mysql -uroot -p123qwe
Designe el usuario y clava de acceso para acceder a la base de datos recin creada:
GRANT all ON radius.* TO radius@localhost
IDENTIFIED BY '123qwe';
Salga de MySQL:
exit;
Utilizando el usuario radius o el que haya designado para utilizar la base de datos
recin creada, pueble la base de datos que acaba de crear con los esquemas
incluidos con Freeradius:
mysql -uradius -p123qwe radius <
/etc/raddb/sql/mysql/cui.sql
/etc/raddb/sql/mysql/ippool.sql
/etc/raddb/sql/mysql/nas.sql
/etc/raddb/sql/mysql/schema.sql
/etc/raddb/sql/mysql/wimax.sql
Edite el archivo /etc/raddb/radiusd.conf:

vi /etc/raddb/radiusd.conf
Descomente la lnea que dice $INCLUDE sql.conf, lo cual se localiza

aproximadamente alrededor de la lnea 700:
$INCLUDE sql.conf

Proyecto Integrador
15
Edite el archivo /etc/raddb/sql.conf:
vi /etc/raddb/sql.conf
Definir los valores para acceder a la base de datos, lo cual se localiza

# Connection info:
server = "localhost"
#port = 3306
login = "radius"
password = "123qwe"
Descomente el parmetro readclients con valor yes, lo cual se localiza

readclients = yes
Edite el archivo /etc/raddb/sites-enabled/default:

vi /etc/raddb/sites-enabled/default
Descomente en la seccin authorize, lo cual se localiza aproximadamente

alrededor de la lnea 177:
sql
Descomentar en la seccin accounting, lo cual se localiza aproximadamente

sql
Edite el archivo /etc/raddb/sites-enabled/default:

vi /etc/raddb/sites-enabled/inner-tunel

Proyecto Integrador
16
Descomente en la seccin authorize, lo cual se localiza aproximadamente
sql
Reegrese al smbolo de sistema y acceda a MySQL para dar de alta un usuario para
probar:
mysql -uradius -p123qwe radius
Desde el smbolo de sistema de MySQL, ejecute lo siguiente para dar de alta un

usuario de pruebas (fulano) con una clave de acceso (123qwe en el ejemplo):
INSERT INTO radcheck (username, attribute,op,
value) VALUES ('fulano', 'Password', ':=',
'123qwe');
Lo anterior equivale a aadir fulano Cleartext-Password := "123qwe" en el

archivo /etc/raddb/users.
Verifique que el usuario se dio de alta correctamente:
select * from radcheck where username='fulano';
Debe regresar algo similar a lo siguiente:

+----+----------+-----------+----+--------+
| id | username | attribute | op | value
+----+----------+-----------+----+--------+
|
6 | fulano
| Password
| == | 123qwe |
+----+----------+-----------+----+--------+
1 row in set (0.00 sec)
Salga de mysql:
exit;

Proyecto Integrador
17
Inicie el servicio radiusd:
service radiusd start
Aada el servicio radiusd a los servicios de arranque del sistema:

chkconfig radiusd on
Verifique que el servicio puede autenticar a travs de MySQL:

radtest fulano 123qwe localhost 1812 testing123
Lo anterior debe devolver algo similar como lo siguiente:

Sending Access-Request of id 222 to 127.0.0.1 port
1812
User-Name = "fulano"
User-Password = "123qwe"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1
port 1812, id=222, length=20
A partir de este punto, solo podr autenticar usuarios de manera local. Para poder
conectar el punto de acceso hacia el servidor Freeradius, vuelva a conectarse
MySQL:
mysql -uradius -p123qwe radius
Ejecute lo siguiente, definiendo la direccin IP del punto de acceso, nombre corto,

tipo de NAS
(other, cisco, livingston,computon, max40xx, multitech, natserver, pathras, p
atton, portslave, tc o usrhiper).
Si utiliza un pinto de acceso casero, defina el tipo other.
INSERT INTO nas (nasname, shortname, type, secret)
VALUES ('192.168.1.1', 'WIFI1', 'other',
'123qwe');
Proyecto Integrador
18
Para verificar, ejecute desde el smbolo de sistema de MySQL lo siguiente:
select * from nas where shortname='WIFI1';
Lo anterior debe regresar algo similar a lo siguiente:

+----+---------------+-----------+-------+------+--------+-----------+---------------+
| id | nasname
| shortname | type | ports |
secret | community | description
|
+----+---------------+-----------+-------+------+--------+-----------+---------------+
| 3 | 192.168.0.1
| WIFI1
| other | NULL |
123qwe | NULL
| RADIUS Client |
+----+---------------+-----------+-------+------+--------+-----------+---------------+
1 row in set (0.00 sec)
Lo anterior equivale a editar el archivo /etc/raddb/clients.conf y aadir la direccin
IP del punto de acceso, una clave de acceso, nombre corto y tipo de NAS
como other.
client 192.168.1.1 {
secret = 123qwe
shortname = WIFI1
nastype = other
}
Para que surta efecto el cambio, hay que reiniciar el servicio radiusd:
service radiusd restart
Para aadir otro punto de acceso, solo basta repetir las lnea con los datos que
correspondan:
INSERT INTO nas (nasname, shortname, type, secret)
VALUES ('192.168.1.2', 'WIFI2', 'other',
'123qwe');
Para realizar pruebas de conectividad remota, aada un equipo siguiendo el
procedimiento anterior y desde este equipo ejecute el mandato radtest (incluido en
Proyecto Integrador
19
el paquete freeradius2-utils, si se utiliza CentOS 5 o Red Hat Enterprise Linux 5 o
bien freeradius-utils, si se utiliza una verson reciente de Fedora) de la siguiente
forma, donde x.x.x.x corresponde a la direccin IP del servidor Freeradius:
radtest fulano 123qwe 192.168.1.254 1812 123qwe
Lo anterior debera devolver algo similar a lo siguiente.
Sending Access-Request of id 225 to 192.168.1.254
port 1812
User-Name = "fulano"
User-Password = "123qwe"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host x.x.x.x
port 1812, id=225, length=20

Proyecto Integrador
20
INSTALAR DALORADIUS PARA ADMINISTRACIN A TRAVS DE HTTP.
Se requiere instalar Apache, PHP y sus ligaduras para MySQL, la biblioteca GD y
Pear-DB:
yum -y install httpd php php-mysql php-gd php-pear
php-pear-DB
Inicie el servicio httpd:

service httpd start
Aada el servicio httpd a los servicios de arranque del sistema:

chkconfig httpd on
Cambie al directorio /var/www/:

cd /var/www
Descargue desde sourceforge.net/projects/daloradius el archivo correspondiente a

la versin ms reciente de Daloradius:
wget http://sourceforge.net/projects/daloradius/files/latest/ daloradius0.9-9.tar.gz
Descomprima el archivo descargado:

tar zxvf daloradius-0.9-9.tar.gz
Cambie los permisos de todo el contenido del directorio recin descomprimido para
que pertenezcan al usuario y grupo apache:
chown -R apache:apache daloradius-0.9-9
Cambie al directorio daloradius-0.9-9:

cd daloradius-0.9-9
Cargue las tablas de Daloradius en la base de datos utilizada por Freeradius.

mysql -uradius -p123qwe radius < contrib/db/mysqldaloradius.sql

Proyecto Integrador
21
Edite el archivo library/daloradius.conf.php:
vi library/daloradius.conf.php
Edite los valores correspondientes a los necesarios para la conexin a la base de

datos utilizada por Freeradius.
$configValues['CONFIG_DB_HOST'] = '127.0.0.1';
$configValues['CONFIG_DB_USER'] = 'radius';
$configValues['CONFIG_DB_PASS'] = '123qwe';
$configValues['CONFIG_DB_NAME'] = 'radius';
Genere un nuevo archivo denominado /etc/httpd/conf.d/daloradius.conf:

vi /etc/httpd/conf.d/daloradius.conf
Aada el siguiente contenido, donde x.x.x.x (ejemplo: 192.168.1.66) corresponde al

al direccin IP del sistema desde el cual se realizar la administracin remota
de Daloradius:
Alias /daloradius "/var/www/daloradius-0.9-9/"
<Directory /var/www/daloradius-0.9-9/>
Options None
order deny,allow
deny from all
allow from 127.0.0.1
allow from x.x.x.x
</Directory>
Reinicie el servicio httpd:

service httpd restart

Proyecto Integrador
22
Acceda
con
cualquier
navegador
moderno
hacia
http://direcin-ipservidor/daloradius/. Ingrese con el usuario Administrator y la clave de
acceso radius. Desde esta interfaz podr aadir y administrar las cuentas de
usuarios y administrar y aadir los puntos de acceso.
Ilustracin 14 Inicio de Sesin Daloradius
Ilustracin 15 Pantalla de Incio Daloradius

Proyecto Integrador
23
Ilustracin 16 Administracin de NAS (Puntos de Acceso) Daloradius
Ilustracin 17 Administracin de Usuario Daloradius
La administracin de los usuarios y puntos de acceso (Nas) mediante Daloradius es

muy sencilla, mostrando en la parte izquierda las acciones a realizar, permitiendo
listar, crear y buscar, usuarios y puntos de acceso, facilitando as al administrador
esta tarea.

Proyecto Integrador
24
CONFIGURACIN DE PUNTOS DE ACCESO
Punto de Acceso 1 (WIFI1)
1. Configuramos el punto de acceso: Dependiendo del modelo del equipo la
configuracin puede variar, para esta prctica utilizamos un Access Point
LINSYS modelo BEFW11S4, el cual tiene una direccin por defecto de
192.168.1.1, con usuario admin y contrasea admin, los cuales son sus
valores por defecto, con los cuales podremos acceder a la configuracin del
punto de acceso.
2. Cambiamos el nombre de la red inalmbrica (SSID)
Ilustracin 18 Configuracin Red AP1
3. Configuracin de IP Estatica: Configuramos la IP que recibir el punto de

acceso la cual ser 192.168.1.1 como lo especificamos en el servidor radius,
con la puerta de enlace 192.168.1.254 la cual es la direccin IP del servidor que
tambin funge como puerta de enlace (Gateway).
Ilustracin 19 Configuracin IP AP1

Proyecto Integrador
25
4. Establecemos la configuracin DHCP: La configuracin DHCP del punto de
acceso ser desde la 192.168.2.2 hasta la 192.168.2.51, con direccin del dhcp
de 192.168.2.1
Ilustracin 20 Configuracin DHCP AP1
5. Configuracin de Seguridad WPA/WPA2 - Enterprise: Para este modelo en

particular el modo de seguridad aparece como WPA RADIUS, con algoritmo de
encriptacin TKIP , establecemos la direccin IP del servidor Radius que es
192.168.1.254 y la clave de seguridad para el punto de acceso que registramos
en el servidor.
Ilustracin 21 Configuracin Seguridad WPA/WPA2-Enterprise AP1

Proyecto Integrador
26
Punto de Acceso 2 (WIFI2)
1. Configuramos el punto de acceso: Dependiendo del modelo del equipo la
configuracin puede variar, para esta prctica utilizamos un Access Point TPLINK modelo TL-WA701ND, el cual tiene una direccin por defecto de
192.168.0.254, con usuario admin y contrasea admin, los cuales son sus
valores por defecto, con los cuales podremos acceder a la configuracin del
punto de acceso.
2. Configuracin de LAN: Configuramos la IP del punto de acceso, especificando

la direccin IP que especificamos en la configuracin del servidor radius, en este
caso para el Punto de Acceso con nombre WIFI2 la IP que especificamos fue
192.168.1.2.
Ilustracin 22 Configuracin LAN Access Point

Proyecto Integrador
27
3. Configuracin de Nombre de Difusin del Punto de acceso: con la finalidad
de identificar el punto de acceso, configuramos su SSID con el nombre que
utilizamos para darlo de alta en el servidor radius que para este caso es WIFI2
Ilustracin 23 Configuracin Nombre Difusin Access Point
4. Configuracin de servicio DHCP: Se activa el servicio DHCP, indicando cual

ser la primera y la ltima direccin ip asignable, para el punto de acceso
WIFI2
se designaron para este proyecto de la 192.168.1.120 a la
192.168.240, asignando como puerta de enlace la direccin ip del servidor
(192.168.1.254) radius que tambin sirve como puerta de enlace (Gateway) para
proporcionar el servicio de internet a los clientes y como medida opcional
incluimos los DNS por defecto de Google 8.8.8.8 y 8.8.4.4. Ntese que para este
modelo que no tiene la funcin de router no permite trabajar en otro segmento
de red como como el que se tena contemplado que era 192.168.3.0, por lo que
se configura de esta manera a diferencia de los equipos cisco que si lo permiten.
Ilustracin 24 Configuracin DCHP Access Point

Proyecto Integrador
28
5. Configuracin de Seguridad WPA/WPA2 - Enterprise: La parte ms
importante de este proyecto es la seguridad, donde la autenticacin a los puntos
de acceso ser controlada y administrada por un servidor radius que ya se ha
configurado, ahora es necesario configurar los puntos de acceso con el tipo de
seguridad WPA/WPA2 - Enterprise, y especificarle la direccin del servidor que
controlara los accesos.
Ilustracin 25 Configuracin de Seguridad WPA/WPA2--Enterprise
Como se aprecia en la imagen para la seguridad WPA/WPA2 Enterprise, se

requiere especificar la versin y el tipo de Encriptacin, para este proyecto los
dejemos de manera automtica para que el detecte el tipo de seguridad que utiliza
el servidor, as mismo se especifica la direccin IP del servidor Radius que para este
proyecto es 192.168.1.254, el puerto del servidor el cual es1812 y la contrasea
del servidor que para el proyecto es 12qwe como se especific en la configuracin
del servidor radius.

Proyecto Integrador
29
MANUAL DE USUARIO
CONFIGURACIN DE CLIENTES
1. Clientes Windows
a. En los clientes Windows que cuentan con la versin 8 o 8.1 la conexin
es totalmente transparente y no se necesita realizar ninguna
configuracin especial.
Ilustracin 26 Conexin Cliente Windows 8.1
Ilustracin 27 Verificacin Conexin Cliente Windows 8.1

Proyecto Integrador
30
b. En clientes Windows con versiones 7 o inferior es necesario realizar
configuraciones adicionales para poder conectarse a redes inalmbricas
con seguridad WPA/WPA2-Enterprise.
1. Hemos accedido a la pantalla de seleccin para conectarnos a las
redes inalmbricas a nuestro alcance. Desde aqu podemos observar
todas las redes que tenemos en nuestro rango y que estn
"anuncindose". En nuestro caso haremos clic sobre Configurar una
conexin o red.
2. Hemos seleccionado la opcin de Conectarse manualmente a una

red inalmbrica y hemos hecho clic en siguiente.
Ilustracin 28 Creacin Nueva Red Windows 7
3. En este paso veremos algunas de las posibilidades que nos ofrece

Windows Vista a la hora de configurar una nueva red inalmbrica.
Ilustracin 29 Definicin de Aspectos de Nueva Red

Proyecto Integrador
31
4. Desde el men de administracin de redes inalmbricas accedemos
a la configuracin de nuestra recin creada conexin, donde
podemos terminar de definir los niveles de seguridad que queremos.
Para empezar volvemos a tener las opciones que configuramos
antes, por si queremos cambiar alguno de los parmetros que
habamos especificados:
Ilustracin 30 Tipo de Seguridad Nueva Red
5. Cambiar el inicio mediante las cuentas de Windows
Ilustracin 31 Configuracin Nueva Red

Proyecto Integrador
32
6. Cambiar el mtodo de autenticacin a Autenticacin de Usuarios
Ilustracin 32 Mtodo de Autenticacin Nueva Red
7. Autenticamos en la red con el usuario y contrasea.
Ilustracin 33 Autenticacin de Red

Proyecto Integrador
33
8. Verificamos el tipo de conexin y la asignacin de direccin IP.
Ilustracin 34 Verificacin Tipo de Conexin e IP
9. Verificamos la salida a internet
Ilustracin 35 Verificacin Salida a Internet

Proyecto Integrador
34
2. Clientes Windows Phone
En los clientes Windows Phone que cuentan con la versin 8.1 la conexin es
totalmente transparente y no se necesita realizar ninguna configuracin especial.
Ilustracin 36 Configuracin Conexin Clientes Windows Phone
Ilustracin 37 Configuracin Clientes Windows Phone 2

Proyecto Integrador
35
3. Clientes Android
En los clientes Android que cuentan con la versin 4.4 o superior la conexin es
totalmente transparente y no se necesita realizar ninguna configuracin especial.
4. Configuracin Proxy
En caso de que el equipo servidor cuente con un servidor proxy es necesario
configurarlo en los equipos clientes para que puedan tener acceso a internet
mediante los navegadores web, como es el caso de este proyecto que se utiliz
un servidor configurado con un servidor proxy. Para realizar esta configuracin
es necesario configurar la conexin, en los dispositivos mviles aparece la
opcin en la conexin a la red inalmbrica; en el caso de los sistemas operativos
de escritorio se realiza de la siguientes manera.
La configuracin de para el servidor proxy en clientes Windows se encuentra de
la siguiente manera:
Panel de Control
Redes e Internet
Opciones de Internet
Conexiones
Configuracin de Lan
Ilustracin 38 Ruta de Configuracin Servidor Proxy

Proyecto Integrador
36
Ilustracin 39 Configuracin de Proxy en Windows
Ilustracin 40 Configuracin Servidor Proxi en Windows Phone

Proyecto Integrador
37
PRUEBAS DE CONEXIN Y FUNCIONAMIENTO
Ilustracin 41 Prueba de Conexin y Funcionamiento

Como se puede observar en la imagen se replic el diagrama de Red de manera virtual, donde en este caso la computadora porttil
funge como servidor radius y de enlace, proporcionando conexin a internet mediante la conexin cableada a los puntos de acceso,
donde el servidor toma la conexin a internet mediante la tarjeta inalmbrica, la conexin cableada del servidor llega a un switch que
la distribuye a los 2 puntos de acceso el WIFI1 y el WIFI2.

Proyecto Integrador
38
CONCLUSIONES
La seguridad dentro de las redes de computadoras es uno de los aspectos ms
importantes a considerar, puesto que mediante las redes de computadoras se
realiza la mayora del intercambio de informacin de las organizaciones, y siendo la
informacin el elemento ms importante para para las organizaciones es necesario
emplear medidas de seguridad que permitan garantizar la seguridad o el acceso a
la misma de personas no autorizadas. Es por ello que un proyecto como el que se
ha realizado representa un aspecto considerable dentro de la seguridad
permitindonos comprender el funcionamiento y la manera de implementar un
servicio de seguridad que nos garantic que nicamente los usuarios autorizados
podrn conectarse a la red, aunque existen otros mtodos y medidas de seguridad
ms restrictivas, la implementacin de un servidor radius que mediante la
autenticacin mediante listas de control de acceso posibilita a organizaciones
pequeas y grandes a implementarlas de tal forma que se puedan adecuar a las
necesidades especficas de cada organizacin. Esta opcin de seguridad
representa una alternativa viable para cambiar los mtodos tradicionales de
autenticacin, ya que como hemos visto su implementacin depende y puede
adecuarse a las capacidades de la red, pero puede ser utilizada en ciertas secciones
donde el mtodo de seguridad se vuelva viable.
De manera personal el desarrollo de este proyecto represento un nuevo reto para
nosotros, ya que desconocamos totalmente cmo funcionaba esta tecnologa, por
lo que el desarrollo del mismo represento una oportunidad de crecimiento,
permitindonos conocer no solamente el funcionamiento ni la manera de
implementarlos si no los posibles inconvenientes que se presentan y la manera de
solucionarlos, adquiriendo as nuevos conocimientos y dotndonos de la capacidad
de implementar una solucin de este tipo en un futuro en entornos donde as se
requiera.

Proyecto Integrador
39
BIBLIOGRAFA
[1] J. B. Dueas, www.alcancelibre.org, 11 Agosto 2011. [En lnea]. Available:

http://www.alcancelibre.org/staticpages/index.php/introduccioniptables?query=IPTABLES. [ltimo acceso: 23 Mayo 2015].
[2] J. B. Dueas, www.alcancelibre.org, 12 Diciembre 2012. [En lnea]. Available:
http://www.alcancelibre.org/staticpages/index.php/como-freeradius-mysqlcentos5?query=RADIUS. [ltimo acceso: 23 Mayo 2015].


Proyecto Servidor Radius (CentOS 6.6)

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Proyecto Servidor Radius (CentOS 6.6)

Încărcat de

Drepturi de autor:

Formate disponibile

TECNOLOGICO NACIONAL DE MEXICO

Franklin Iztcoatl Monreal Cristerna

Zacatecas, Zac, Mxico

Instituto Tecnolgico de Zacatecas

Instituto Tecnolgico de Zacatecas

Instituto Tecnolgico de Zacatecas

RADIUS (Remote Authentication Dial-In User Service) es un protocolo de

Daloradius es una avanzada aplicacin HTTP que sirve de sistema de

Instituto Tecnolgico de Zacatecas

1 Computadora con sistema operativo Windows que cuente con 2 Tarjetas de

2 Puntos de Acceso Inalmbricos con soporte para el protocolo de seguridad

1 Equipo de distribucin Switch para conectar los 2 puntos de acceso a la

2 Equipos de cmputo o 2 dispositivos mviles como mnimo para probar el

Instituto Tecnolgico de Zacatecas

Ilustracin 1 Diagrama de Red

Instituto Tecnolgico de Zacatecas

Ilustracin 2 Simulacin Packet Tracer

Instituto Tecnolgico de Zacatecas

Instituto Tecnolgico de Zacatecas

Ilustracin 3 Configuracin Tarjeta de Red Mquina Virtual eth0

Ilustracin 4 Configuracin Tarjeta de Red Mquina Virtual eth1

Instituto Tecnolgico de Zacatecas

Seleccin de Tipos de Dispositivos

Seleccin de Nombre de Dominio

Seleccin de Zona Horaria

Definicin de Contrasea Sper-Usuario (root)

Seleccin de Tipo de Instalacin

Ilustracin 5 Seleccin Tipo de Instalacin

Como se puede ver existen muchas opciones de instalacion, en donde algnas de

Ilustracin 6 Instalacin en Curso

CONFIGURACIN DE SERVIDOR NAT

Ilustracin 7 Configuracin Tarjeta de Red eth0

Instituto Tecnolgico de Zacatecas

Ilustracin 8 Configuracin Tarjeta de Red eth1

2. Verificamos la asignacin de direcciones IP

Ilustracin 9 Verificacin de Asignaciones de Direcciones IP

3. Agregamos la regla a los cortafuegos iptables para permitir el intercambio

Ilustracin 10 Filtrado de Paquetes

Instituto Tecnolgico de Zacatecas

Ilustracin 11 Verificacin Reglas IPTABLES

Ilustracin 12 Enrutamiento de Paquetes

7. Guardamos y reiniciamos el servicio iptables

Ilustracin 13 Guardado de Reglas IPTABLES

Instituto Tecnolgico de Zacatecas

Si los paquetes no se encuentran disponibles realizar lo siguiente, para actualizar la

Generar los certificados predeterminados ejecutando el mandato radiusd con la

Aada el servicio MySQL al arranque del sistema:

Asigne clave de acceso al usuario root de MySQL:

Instituto Tecnolgico de Zacatecas

Acceda al intrprete de mandatos de MySQL:

Edite el archivo /etc/raddb/radiusd.conf:

Descomente la lnea que dice $INCLUDE sql.conf, lo cual se localiza

Instituto Tecnolgico de Zacatecas

Definir los valores para acceder a la base de datos, lo cual se localiza

Descomente el parmetro readclients con valor yes, lo cual se localiza

Edite el archivo /etc/raddb/sites-enabled/default:

Descomente en la seccin authorize, lo cual se localiza aproximadamente

Descomentar en la seccin accounting, lo cual se localiza aproximadamente

Edite el archivo /etc/raddb/sites-enabled/default:

Instituto Tecnolgico de Zacatecas

Desde el smbolo de sistema de MySQL, ejecute lo siguiente para dar de alta un

Lo anterior equivale a aadir fulano Cleartext-Password := "123qwe" en el

Debe regresar algo similar a lo siguiente:

Instituto Tecnolgico de Zacatecas