Tema 3 SAD

Vicente Sánchez Patón

I.E.S Gregorio Prieto

Tema 3 SAD

Servidores de autenticación

En algunas de las prácticas tendremos que configurar un dispositivo

inalámbrico para validarse por Radius, explicare una vez como se hace, el

método es el siguiente:

La configuración del cliente raidus será la siguiente:

1. La configuración con Windows 7 es muy parecida a la de Windows XP,

por lo que voy a intentar ser breve. Lo primero que haremos es

acceder al Panel de control | Redes e Internet | Administrar

redes inalámbricas y pulsamos sobre el botón Agregar, tal y como se

muestra en la siguiente imagen.

2. En la ventana que se abre, crearemos un nuevo perfil de red de

forma manual. Para ello, pulsaremos en el área señalada en rojo de la

siguiente imagen:

3. Ahora, introduciremos el Nombre de la red inalámbrica (SSID del

punto de acceso), en nuestro caso FPINFORMATICA y en el Tipo de

seguridad seleccionaremos WPA2-Entreprise. Por último, en el Tipo

de cifrado elegiremos el valor AES. El resto de opciones de la

ventana las dejaremos como están.

4. El siguiente paso, consiste en Cambiar la configuración de conexión,

para ello sólo tenemos que pulsar el correspondiente enlace, señalado

en rojo en la siguiente ventana.

5. Lo primero que hacemos, en la pestaña Seguridad de la ventana que

se nos abre, es pulsar en el botón Configuración. Después

desmarcamos la casilla Validad un certificado de servidor, y al igual

que en XP, pulsamos configurar y desmarcamos la opción de utilizar el

usuario de Windows para validarnos. Aceptamos y Aceptamos, para

volver a la ventana inicial (izquierda de la imagen).

6. En el último paso, pulsaremos sobre el botón Configuración avanzada

y añadiremos las credenciales de nuestro usuario RADIUS, para que

conecte de forma automática a la red. Una vez que aceptemos, y

cerremos todas las ventanas abiertas, sólo nos queda conectarnos a la

red WiFi y listo.

a) REDES INALÁMBRICAS: WPA Personal y Empresarial.

1.-Configurar un router de acceso inalámbrico CISCO Linksys WRT54GL,

utilizando el simulador.

A continuación accederemos a la pantalla principal de la interfaz de

configuración:

Lo primero será cambiarle el nombre de identificador de la WLAN y

desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña

Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que

queramos:

A continuación desactivamos el DHCP del router para que no de direcciones

ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la

configuración de red (network setup) y deshabilitamos el DHCP.

Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña

Administration y en la parte de configuración de Local Router Access

cambiamos el usuario y contraseña:

A continuación le damos a la pestaña Save Settings, nos parecerá una

pantalla donde introducir la contraseña y usuario nuevos:

Le damos a aceptar y con esto cambiamos la contraseña.

2.- Configurar router inalámbrico Linksys WRT54GL en modo seguro:

(Cambia el SSID por defecto y desactivar el broadcasting SSID, deshabilitar DHCP, cambiar nombre de usuario y contraseña, activar el filtrado de MAC, WPA2, cifrado TKIP+AES). - Configurar la tarjeta de red de un cliente inalámbrico con dichas medidas

de seguridad y comprobar la autenticación a dicho router inalámbrico.

- Realizar en grupos de alumnos.

Para acceder a la interfaz de configuración del router, una vez conectados

en router y el pc y configurada la tarjeta de red (en este caso por DHCP),

accedemos al navegar y nos dirigimos a la dirección 192.168.1.1, nos

parecerá una ventana donde nos pedirá usuario y contraseña (admin, admin).

A continuación accederemos a la pantalla principal de la interfaz de

configuración:

Lo primero será cambiarle el nombre de identificador de la WLAN y

desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña

Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que

queramos:

A continuación desactivamos el DHCP del router para que no de direcciones

ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la

configuración de red (network setup) y deshabilitamos el DHCP.

Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña

Administration y en las partes de configuración de Local Router Access

cambiamos el usuario y contraseña:

A continuación le damos a la pestaña Save Settings, nos parecerá una

pantalla donde introducir la contraseña y usuario nuevos:

Le damos a aceptar y con esto cambiamos la contraseña.

Ahora empezamos con el filtrado de MAC, d esta manera solo podrán

conectarse a la wiki aquellos equipos con las MAC que configuremos, para

ello nos dirigimos a la pestaña Wireless > Wireless MAC filter, aparece la

siguiente ventana le damos activar (enable), nos aparecerán dos nuevas

líneas, seleccionamos la segunda (permit only).

A continuación le damos al botón Edit MAC Filter List, nos parecerá una

nueva ventana donde introduciremos las direcciones MAC que queremos

permitir.

Ahora configuramos la contraseña de la wifi, para ello nos dirigimos a la

pestaña Wireless > Wireless Security, en la cual elegimos el modo de

seguridad (WPA2), algoritmos de encriptación (TKIP-AES), y la contraseña:

Con esto acabamos la configuración básica del router.

Ahora comprobamos si funciona, si intentamos entrar con un usuario cuya

MAC no se encuentre en la lista de filtrado no podemos conectarnos a la

red, pero si lo intentamos con un usuario cuya MAC este en nuestra lista si

conectara, como nuestro router tiene deshabilitado el broadcast de la wifi,

tanto de SSID como de IP, el equipo tendrá que configurar la conexión de

forma manual y la tarjeta de red dentro de la red donde se encuentre el

router.

La siguiente pantalla pertenece a la configuración manual de la wifi.

Una vez conectados a la red, hacemos un ping a la dirección del router y

comprobamos que hay conexión:

b) SERVIDOR RADIUS:

1.- Simulación de un entorno de red con servidor RADIUS CISCO en el

simulador Packet Tracer.

El escenario es el siguiente.

Configuramos el servidor WWW_DNS con sus servicios respectivos.

Configuración de la interfaz del servidor.

Configuración del protocolo HTTP.

Configuración de DNS.

Y ahora configuramos el servidor RADIUS con los clientes RADIUS, y los

usuarios que deben autenticarse en el servidor RADIUS.

Configuramos el cliente RADIUS.

Configuración del router para comunicarse con raidus.

Y en los clientes del router inalámbrico, configuramos el acceso al mismo de

forma inalámbrica, PC Wireless.

En la siguiente ventana es Donde indicamos los datos de autenticación que

figuran en el servidor RADIUS.

Configuración de los otros equipos.

Comprobar que tenemos acceso a los servidores.

2.- CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo

seguro utilizando AAA y RADIUS (WinRadius en Windows XP)

- Realizar en el laboratorio físico por grupos de alumnos.

Primero creamos la base de datos para ello vamos al programa le damos a

Settings Database y le damos a configure ODBC auto:

Ahora vamos a crear un usuario en cual utilizara el cliente radius para

validarse y su contraseña, para ello nos dirigimos a “operation” le damos a

“add user”:

Ahora le damos a Settings->System y le cambiamos la IP al servidor

RADIUS y la clave secreta, esta contraseña es la que comparte son el

router:

Ahora vamos al radiustest.exe para comprobar que funciona:

Bien ahora vamos al router Linksys y configuramos la seguridad inalámbrica,

le indicamos seguridad WPA2 Enterprise y le ponemos la dirección IP del

servidor RADIUS y la clave secreta, algoritmo AES:

Ahora configuramos el cliente inalámbrico con los protocolos adecuados,

pero al intentar logear vemos el siguiente error, sucede porque el sistema

operativo del cliente, en este caso Windows 7, no soporta el método de

autenticación utilizado por winradius:

Este error es debido a que en versiones posteriores a Windows Vista viene

desactivado este método de autenticación, por lo demás estos serian todos

los pasos necesarios.

3.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) ,

para autenticar conexiones que provienen de un punto de acceso CISCO

AIRONET 1130AG.

a.- Autenticación de usuarios en texto plano, prueba realiza en grupo.

Primero nos conectamos al dispositivo mediante un clavel de consola, y

configuramos la interface fa0 y la BVI1.

En nuestro caso fue necesaria la configuración de ambos interfaces porque

si no se bajaban solo y no podíamos acceder al router por web para

configurarlo gráficamente, ahora vemos que los dos interfaces están

subidos.

Ahora nos situamos en el navegador web ponemos la ip que le hemos

configurado a la interface BVI1 y nos pedirá usuario y contraseña, Cisco.

Aparecerá la interfaz grafica del Aironet 1130AG, recomiendo utilizar el

navegar internet explorer.

A continuación nos dirigimos a configurar la WLAN del dispositivo, para ello

nos dirigimos a:

En la siguiente ventana seleccionamos el botón radio de “enable”, para

activar la WLAN y seleccionamos el botón radio de “Access point”, el resto

lo dejamos por defecto.

A continuación nos dirigimos a la pestaña “express security”, para

configurar el nombre de la WLAN, SSID, y la seguridad WPA, donde

pondremos al dirección IP del servidor radius y la contraseña compartida

con el mismo.

Si dejamos esta configuración el router se configura por defecto con el

protocolo de encriptación TKIP, para configurarlo en AES nos dirigimos a:

Ahora en el servidor RADIUS en este caso hemos usado un zentyal,

editamos el clients.conf y añadimos la configuración del cliente radius es

decir el router, IP, clave compartida y el SSID:

Ahora añadimos los usuarios, modificando el fichero

/etc/freeradisu/usuers, los cuales utilizara el dispositivo radius para

validarse en la red, en este caso el usuario vicente:

Ahora reiniciamos el servidor radius y procedemos a configurar el cliente

para que autentique a través del punto de acceso:

Una vez configurado el cliente radius inalámbrico con los puertos por

defecto no nos va, tenemos que cambiar el puerto 1812 por el 1645 y el

puerto 1813 por el 1646, para ello tenemos que modificarlos en los ficheros:

Cuando nos conectemos con un cliente radius, podemos ver en el fichero

/var/log/freeeradius/radius.log, que el usuario se ha autenticado

correctamente por el puerto 1645.

4.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) ,

para autenticar conexiones que provienen de un router de acceso CISCO

Linksys WRT54GL.

a.- Autenticación de usuarios en texto plano, prueba realizada en grupo.

Aquí se muestra la configuración del router, se muestra la Ip y la gateway

de la interfaz del router hacia el exterior, configuración de la red externa,

(Internet Setup) y en el apartado Network Setup la configuración de la red

interna.

Y activamos DHCP para dar direcciones a equipos de la red interna.

Y aquí se muestra la seguridad que hemos puesto a la red wifi, seguridad

WPA2 Enterprise AES, por el puerto 1812, con clave “clave” para la

comunicación entre router y servidor, esta configuración es la necesaria

para que el router utilice radius como método de autentificación.

Lo siguiente que vamos a hacer es instalar el paquete freeradius en el

servidor.

Ahora nos metemos en /etc/freeradius y modificamos el fichero users y

introducimos los usuarios y las contraseñas para poder acceder a la red wifi

mediante radius, estos son los usuarios radius.

Ahora desde el mismo directorio modificamos el archivo clients.conf y

ponemos la Ip del router la contraseña que comparten y el nombre del SSID

de la red.

Esta es la configuración de validación por usuarios a una red wifi mediante

radius en texto plano.

Solo queda configurar el cliente inalámbrico raius para que acceda a la red,

la configuración esta al inicio de este documento.

b.- Autenticación de usuarios basado en bases de datos

(MySQL,SQL Server,etc.)

Para poder realizar freeradius con mysql tendremos que instalar en el

sistema operativo ubuntu server 10.04 lo siguiente:

- php5

- MySqlServer

- phpMyAdmin

- Apache2

Una vez instalado lo anterior procedemos a la instalación del paquete

freeradius y freeradius con mysql.

Podemos ver que está instalado.

Ahora editamos el fichero /etc/freeradius/users. Creamos un usuario

llamado "usu1" con contraseña inves y descomentamos algunas líneas.

Ahora entramos en modo debug con el siguiente comando:

Lo comprobamos con un comando y nos tiene que salir Acces-accept.

Ahora nos vamos al fichero radius.conf y des comentamos la línea que viene

"$Include sql.conf".

Después accedemos a mysql y creamos una base de datos y un usuario con

contraseña "inves" con todos los privilegios.

Utilizando el usuario radius, o el que se haya designado para utilizar la base

de datos recién creada, inserta en la base de datos que acaba de crear con

los esquemas incluidos con freeradius, insertamos las tablas

correspondientes a la base de datos radius, estas tablas están ubicadas en

forma de fichero ".sql" en el directorio /etc/freeradius/sql/mysql.

Para ver las tablas creadas entramos en la base de datos.

Ahora editamos el archivo sql.conf y configuramos los setting para la

conexión con el servidor de mysql

Y des comentamos la línea readclient=yes.

Luego editamos el archivo: /etc/freeradius/sites-available/default y des

comentamos la variable "sql" en las secciones de: authorize{}, accounting{},

session{} y posth-auth{} esto para traer los datos desde las tablas en la

base de datos "radius" para ello:

nano /etc/freeradius/sites-available/default.

Ahora creamos los usuarios en la base de datos radius de mysql, más en

concreto en la tabla radcheck, estos usuarios serán con los que nos

tendremos que autentificar para tener acceso a la red wifi.

Para comprobar que se han creado los usuarios ejecutamos el siguiente

comando:

Para comprobar que los usuarios son validos para el funcionamiento

ejecutamos el siguiente comando:

En el fichero clients.conf, ubicado en el directorio /etc/freeradius,

añadimos al final la siguiente línea, en la cual indicaremos la ip del router,

que validara usuarios radius para la wifi, la contraseña compartida por el

router, el servidor mysql y el SSID de la red.

A continuación nos dirigimos al fichero inner_tunnel, ubicado en el

directorio /tec/freeradius/sites-availables, descomentamos la línea que

pone "sql" en la parte de authorize{} y post-auth{}.

Con esta configuración tendremos accesos a nuestra red wifi

autenticándonos como usuarios radius dado de altas en una base de datos

mysql.

Solo quedaría configurar el cliente inalámbrico radius par que pueda

acceder a la red, la configuración se encuentra al comienzo de este

documento.

5.- Instalación de un servidor RADIUS en Zentyal para autenticar

conexiones que provienen de un router de acceso Linksys WRT54GL.

Comprobación en un escenario real, prueba realizada en grupo.

El primer paso es instalar el servidor radius en Zentyal para ello:

#apt-get install freeradius

A continuación editaremos el fichero /etc/freeradius/clients.conf y

añadiremos la línea con la dirección del router, la clave compartida y el

SSID;

Bien, ahora añadiremos los usuarios para autenticar, en este caso

añadiremos el usuario adrian en el fichero /etc/freeradius/users.

Bien a continuación iremos al router Linksys y en las opciones de seguridad

inalámbrica añadiremos la dirección ip del servidor radius, la clave

compartida y los protocolos de autenticación:

Configuramos el cliente radius y lograremos la conexión.

6.- Busca información sobre EDUROAM y elabora un breve informe sobre

dicha infraestructura.

¿Qué es eduroam?

Eduroam (contracción de education roaming) es el servicio mundial de

movilidad segura desarrollado para la comunidad académica y de

investigación. Eduroam persigue el lema "abre tu portátil y estás conectado".

El servicio permite que estudiantes, investigadores y personal de las

instituciones participantes tengan conectividad Internet a través de su

propio campus y cuando visitan otras instituciones participantes.

Sobre eduroam ES

Eduroam ES es una iniciativa englobada en el proyecto RedIRIS que se

encarga de coordinar a nivel nacional los esfuerzos de instituciones

académicas con el fin de conseguir un espacio único de movilidad. En este

espacio de movilidad participa un amplio grupo de organizaciones que en

base a una política de uso y una serie de requerimientos tecnológicos y

funcionales, permiten que sus usuarios puedan desplazarse entre ellas

disponiendo en todo momento de conectividad.

Por otro lado, eduroam ES forma parte de la iniciativa eduroam a nivel

internacional, financiada a través de GEANT 3, y operada por varias redes

académicas europeas y TERENA. Esta iniciativa amplía el espacio de

movilidad al ámbito académico europeo, a través de eduroam Europa, y

tiende puentes con eduroam Canadá, eduroam US, y eduroam APAN (Asia y

Pacífico).

Eduroam Europa

El servicio eduroam en Europa es un servicio confederado, siempre con la

colaboración de 37 federaciones a nivel nacional. Estos incluyen a cientos de

instituciones, la mayoría de los cuales poseen y opera la infraestructura del

servicio. Coordinación nacional e internacional de esta infraestructura está

a cargo de los operadores de itinerantica nacional y un centro operacional

del equipo eduroam que es financiado por el GÉANT (GN3) Equipo Operativo

proyecto. El lleva a cabo día a día las operaciones, con participantes de

Srce, SURFnet, UNI-C y TERENA.

La actividad de servicio eduroam de la GÉANT (GN3) ha proporcionado

herramientas para supervisar el servicio y apoyar a los usuarios finales.

Eduroam continúa desarrollándose y evolucionando gracias al apoyo de la

Actividad Investigadora GÉANT financiado conjunta (JRA3).

Financiación previa ha producido:

Los esfuerzos para estandarizar RadSec dentro de la IETF

Integración de la Infraestructura RadSec en eduroam

RadSecProxy

Infraestructura inicial para apoyar RadSec en FreeRADIUS

La actividad futura seguirá en los esfuerzos anteriores e incluyen:

Nuevos Protocolos de autenticación extensible

Apoyo a la Internacionalización de nombres de usuario eduroam

Privacidad preservar identificación para el análisis estadístico y la

amenaza

Eduroam Cobertura del servicio

El siguiente mapa muestra los países europeos que han conectado sus

nacionales de primer nivel servidores RADIUS al servidor RADIUS Europeo

de nivel superior (ETLR).

Los datos están siendo recogidos por el Equipo Operativo eduroam para

producir un mapa que representa la cobertura de eduroam en cada uno de

los países.

El ETLR son operados por las organizaciones de redes nacionales de

investigación y educación en los Países Bajos - SURFnet - y en Dinamarca -

UNI-C-con fondos de la GÉANT (GN3) del proyecto.