|




   

Roberto
Jose A. Velo Santos

 

 estro objetivo es config rar na red wifi

de forma seg ra sando n servidor
FreeRadi s


h Radi s (Remote A thentication Dial-In User Server)

es n protocolo sado en redes, para dispositivos
como ro ters. os permite gestionar la AAA
(A tenticación, A torización y registro. En ingles
sería A thentication, A thorization and Acco nting)
de s arios remotos sobre n determinado rec rso.
è 


h A thentication (A tenticación)
h A thorization (A torización)
h Acco nting (Registro)

 


h O


 (A tenticación): determina si n s ario tiene

permiso para acceder a n determinado servicio de red del q e
q iere hacer so. El proceso de a tenticación se realiza
mediante la presentación de na identidad y nos credenciales
por parte del s ario q e esta demandando el acceso. Un tipo
habit al de credencial es el so de na contraseña (password)
q e j nto al nombre del s ario nos permite acceder a rec rsos
determinados.
El método q e samos en n estro proyecto es EAP Protegido
(PEAP).




h O
 

 (A torización): Se refiere a conceder servicios
específicos (incl yendo la negación de servicio) a n
determinado s ario, basándose para ello en s propia
a tenticación, los servicios q e esta solicitando, y el estado
act al del sistema. Los métodos act almente soportados en n
servidor radi s son:
- Bases de datos LDAP
- Bases de datos SQL
- El so de ficheros de config ración locales al
servidor (/ sr/local/etc/raddb/ sers), q e ademas es el q e
samos nosotros.



h O 
 (Registro):se refiere a realizar n registro del

cons mo de rec rsos q e realizan los s arios. El registro
s ele incl ir aspectos como la identidad del s ario, la
nat raleza del servicio prestado, y c ando empezó y terminó
el so de dicho servicio.
Es m y interesante el so del protocolo Radi s c ando
tenemos redes de dimensiones considerables sobre las q e
q eremos proporcionar n servicio de acceso centralizado.
Ejemplo: empresas q e proporcionan acceso a Internet o
grandes redes corporativas.

 






  
h La seg ridad es n tema importante en las redes inalámbricas
porq e, al contrario q e en na red cableada, a la q e solo tiene
acceso las personas q e físicamente p eden conectarse,
c alq ier persona de la calle o pisos o edificios vecinos p eden
conectarse a na red inalámbrica o ver el contenido de los
paq etes q e circ lan por ella si esta no está convenientemente
protegida.
h Hay varios protocolos estándar q e proporcionan seg ridad en
redes inalámbricas IEEE 802.1X, pero nosotros solo hemos
sado WPA2.
 !

h Se basa en el n evo estándar 802.11i, y el cambio mas

significativo con respecto a WPA es q e sa el protocolo de
cifrado AES en l gar de RC4.



 "  #

h tro concepto relacionado con la seg ridad en

redes inalámbricas es EAP (Extensible
A thentication Protocol). EAP es n marco general
de a tenticación, y no n mecanismo de
a tenticación concreto. Proporciona alg nas
f nciones com nes y n método para negociar el
mecanismo de a tenticación a sar. En este
proyecto haremos so del denominado EAP
protegido (PEAP) para la a tenticación de n estro
s ario en la red inalambrica. Como n estro
s plicante es na máq ina con Windows XP,
saremos MSCHAPv2, la versión de PEAP
empleada por Microsoft en este S.
| 





h El cliente radi s envía credenciales de s ario e información de

parámetros de conexión en forma de n mensaje radi s al
servidor. Este a tentica la solicit d del cliente y envía de regreso
n mensaje de resp esta. Los clientes radi s también envían
mensajes de c entas a servidores radi s.
$


%

u
 
 
 

  
h O  
 Enviado por n cliente radi s para solicitar
a tenticación y a torización para conectarse a la red. Debe contener el
s ario y contraseña.
i
 

   

  
h O O
 Enviado por n servidor radi s en resp esta a n
mensaje de Access-Req est. Informa q e la conexión está a tenticada
y a torizada y le envía la información de config ración para comenzar
a sar el servicio.
ù

  

h O 
 enviado por n servidor radi s en resp esta a n
mensaje de Access-Req est. Este mensaje informa al cliente radi s
q e el intento de conexión ha sido rechazado.
h O 
  
 Enviado por n cliente radi s para especificar
información de c enta para na conexión q e f e aceptada.

h O 
  Enviado por n servidor radi s en resp esta a

n mensaje de Acco nting-Req est. Este mensaje reconoce el
procesamiento y recepción exitosa de n mensaje de Acco nting-
Response.

Existen otros mensajes, pero no los vamos a mencionar dado q e no

han aparecido en n estro caso.
`




  

 


 
  
 



    
  



 
 

1. El cliente envía s s ario/contraseña. Esta información es

encriptada con na llave secreta y enviada en n access-req est al
servidor radi s (Fase de a tenticación).

2. C ando la relacion s ario/contraseña es correcta, entonces el

servidor envía n mensaje de aceptación, access-accept, con
información extra (Fase de a torización).

3. El cliente ahora envía n mensaje de acco nting-req est (Start) con

la información correspondiente a s c enta y para indicar q e el
s ario está reconocido dentro de la red (Fase de acco nting).
4. El servidor radi s responde con n mensaje acco nting-response,
c ando la información de la c enta es almacenada.

5. C ando el s ario ha sido identificado, este p ede acceder a los

servicios proporcionados. Finalmente c ando desee desconectarse,
enviará n mensaje de accco nting-req est (Stop).

6. El servidor radi s responde con n mensaje de acco nting-response

c ando la información de c enta es almacenada.
 
h Antes de nada, mencionar lo q e necesitamos:

§ Un ordenador con Lin x q e f ncionará como servidor radi s

§ Un Acces Point ± Ro ter
§ Un par de maq inas con Windows xp q e f ncionaran como clientes.
§ Freeradi s A A
(Usamos esta versión porq e no nos ha dado tantos
problemas como otras mas recientes)
§   (Para los certificados)
§ PEAP-TLS

IMPOO Hay dos formas de instalar el freeradi s. La primera y mas

recomendable es descargarlo de la pagina del fabricante. La seg nda, y la
q e nos ha dado m chos problemas (con las licencias de penSSL) es
instalandolo de los repositorios (no recomendable).
$



h Antes de nada instalamos lo necesario de pen ssl:

V


V 
     

h Descargamos el freeradi s:

ð


V


V 

ð
V

V

h Lo descomprimimos:

V V
V

h Entramos en el directorio q e nos ha descomprimido y con la opción

  le estamos diciendo q e nos instale los mód los TLS y
PEAP:

aV
a
ð


   ð
 V  V ð

 V 


h Una vez hecho esto, compilamos y si todo esta correcto instalamos:

V

V
V

Y ya estaria el freeradi s instalado.

&$    
'


"

(


)#
h El freeradi s, c ando se instala, se aloja en el sig iente directorio:


aV 
aV

h Aq í es donde encontramos los ficheros q e necesitamos modificar:

Va
a 
a
V a
 

h Y también se enc entra el directorio donde van a ir los certificados:

a

o


h ?V! : Modo de dep ración. Un consejo: ten siempre na Terminal
ejec tando radi sd ±X . Así podras ver lo q e esta pasando en el
freeradi s.
h V


"V
a

V#V  

a V $a
V :
Usado para hacer pr ebas de s ario. Si te dice Acces-reject entonces no
f nciona. Si te dice Access-Accept, si q e f nciona.
h V
V

V


Usado para iniciar/reiniciar/detener el
servicio del freeradi s.

TRS CMADS QUE ME AYUDAR:

h V% V Para b scar el servicio del radi s.
h  &' ( ?V) para matar el servicio.

Los dos comandos anteriores los pongo porq e hay veces en q e no

f nciona para el servicio, y para no tener q e reiniciar la máq ina es mejor
matar el proceso.
h Para mirar los errores q e p ede dar el radi s, samos el ³log´ . Se
enc entra en el sig iente directorio:

a
aV  V
V

h Y para verlo sas n editor de nix como gedit, pico«

a
V

o
'  

h Config ramos los ficheros:

ƒ Radi sd.conf
ƒ Clients.conf: añadimos el cliente AP
ƒ Users : añadimos los s arios
ƒ Eap.conf : Config ramos para q e sea PEAP y le
indicamos la r ta de los certificados
o
'  


h Simplemente tienes q e entrar en la pagina de config ración del

AP y en wireles ƒ sec rity poner las opciones radi s, clave WPA,
metodo de cifrado TKIP y la ip del servidor y p erto donde
instalaste el freeradi s (en n estro caso la máq ina de b nt ) .
o
 
 




1- Vamos a propiedades de
conexión de red inalámbrica
2- Le damos a agregar
3- Ponemos como esta
en la imagen excepto
en el nombre, q e
p edes poner el q e
q ieras
4- Ahora vamos a la
pestaña ³a tenticación´ y
la dejamos ig al q e en
la imagen tambien.
L ego pinchamos en
propiedades
5- Ahora desmarcamos todas
las opciones y donde pone
³seleccione metodo de
a tenticación´ elegimos
³EAP-MSCHAP v2´
6- Le damos a config rar y
desmarcamos la casilla
±- En la pestaña conexión
también desmarcamos la
casilla. Aceptamos todo y
ya esta config rado
8- Ahora c ando intentes
conectarte a esa red te
aparecería lo sig iente.
Pones s ario y contraseña
del radi s y ya está.
o
 


' 


h Los creamos mediante penSSL.



*





h Con el freeradi s de los repositorios oficiales: aparte de tener los

ficheros distintos, tiene poblemas con las licencias de openssl. o
recomiendo sarlo. Es mas comodo a nq e c este mas instalarlo la
versión de la página oficial.
h Poblemas con distros de Lin x: En s se por ejemplo nos ha dado
mas problemas q e en b nt y en debian j ntos.
h Problema con la ip de establecida en radi sd.conf: este problema se
da c ando sas el comand radi sd ±i ³ naIP´ ±p ³ nP erto´ . o es
necesario sar este comando, si no te p ede dar problemas
diciendo ³bind ip address´.
h Problemas con los p ertos: En b nt 8.04 tiene problema con los
p ertos del freeradi s. Intentamos abrirlos con el iptables pero no
f ncionaba. En b nt 9.10 no hay ese problema.
h Problema al intentar constr ir n paq ete .deb para instalar
freeradi s: o habia forma de constr irlo. Daba errores.
h Problema al intentar hacer make a la última versión del radi s:
decía q e make se salía del directorio act al. T vimos q e instalar
na versión mas antig a (1.1.2).
h Problema al intentar detener el servicio del freeradi s: no se
detenía. Hay q e matar el proceso.
h Problema al generar los certificados por defecto del radi s: c ando
estaba introd ciendo los datos, al terminar daba error. Creaba el
certificado ig al pero no f ncionaba.
h Hemos probado freeradi s en varias distros ( b nt , s se, debian,
freebsd, Windows«) y donde mejor nos ha f ncionado es en
b nt .
h C anto q eremos emitir los certificados a partir de los q e trae el
freeradi s, q e estan bicados en ../raddb/certs. os termina dando
n problema con la private key.
|