Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Ral Espinosa Soriano

En el presente tutorial se desgrana la instalacin y configuracin, as como la puesta en marcha de un servidor Radius, en concreto Freeradius, en Debian (LINUX). A su vez, se realizan las pruebas pertinentes de funcionamiento, as como la configuracin del Punto de acceso, al que se conectarn los distintos usuarios, como la configuracin de los usuarios en Windows 2007.Se espera que este tutorial, sea una gua totalmente prctica sobre el manejo de Freeradius.
raul@rauesso.com Skype: rauesso

16/02/2012

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Tabla de contenido
Autenticacin EAP/PEAP para FreeRadiusEAP .......................................................................... 1 PEAP .......................................................................................................................................... 1 Instalar Freeradius......................................................................................................................... 2 Configuracin de Freeradius ......................................................................................................... 6 eap.conf..................................................................................................................................... 6 Users.......................................................................................................................................... 7 Mschap ...................................................................................................................................... 8 Prueba del funcionamiento del servidor Radius FREERADIUS ...................................................... 9 Configuracin del cliente en nuestro servidor Radius Freeradius .............................................. 10 Client IP punto de acceso{ ....................................................................................................... 11 Configuracin de nuestro Punto de Acceso Wifi ........................................................................ 13 Configuracin de nuestro cliente en Windows 7 ........................................................................ 15 Confirmacin del funcionamiento del sistema al completo ....................................................... 21

Proteccio n de redes inala mbricas con FreeRadius

Autenticacin EAP/PEAP para FreeRadiusEAP
Extensible Authentication Protocol (EAP) es una autenticacin framework usada habitualmente en redes inalmbricas. EAP una estructura de soporte, no un mecanismo especfico de autenticacin. Provee algunas funciones comunes y negociaciones para el o los mecanismos de autenticacin escogidos. Estos mecanismos son llamados mtodos EAP, de los cuales se conocen actualmente unos 40. Los mtodos modernos capaces de operar en ambientes inalmbricos incluyen EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP y EAP-TTLS.

PEAP
Protected Extensible Authentication Protocol (PEAP) es un mtodo para transmitir de manera segura informacin de autenticacin, incluyendo contraseas, sobre redes cableadas e inalmbricas. Hay que tener en cuenta que PEAP no es un protocolo de encriptacin, sino que como otros tipos EAP solo autentican un cliente a una red. Vamos a configurar FreeRadius para un escenario como este:

Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

1. Un nodo inalmbrico (suplicante) intenta conectarse a nuestra red inalmbrica, y nuestro punto de acceso (autenticador) se encarga de pedirle al suplicante sus credenciales. 2. Luego de recibirlas, se las enva a nuestro servidor de autenticacin, que se encarga validar su identidad y de acuerdo a eso permitirle o negarle el ingreso a nuestra red. 3. Ya con el suplicante validado, ste puede acceder a nuestra red y utilizar todos los recursos que sta tenga disponible (ej. Internet). En este tutorial se va a configurar FREERADIUS haciendo uso de la autentificacin PEAP con mschapv2.

Instalar Freeradius
Para realizar la instalacin de Freeradius, accederemos a un terminal con super-usuario, y nos descargaremos freeradius desde la web http://freeradius.org. Nos descargaremos los paquetes de fuentes, (tar.gz), y posteriormente lo compilaremos y lo instalaremos. Para ello: 1.- Nos conectamos a la web de Freeradius, y procedemos a la descarga:

Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

2.- Una vez descargado, instalamos todas las herramientas que nos hacen falta para la compilacin y posterior instalacin de Freeradius. Para ello, desde el terminal, como administrador (superusuario), tecleamos: #apt-get install libssl-dev #apt-get install build-essential

Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

3.- Copiamos el fichero descargado a nuestra carpeta de trabajo (/home/usuario), y lo descomprimimos haciendo uso de tar: #cp /tmp/freeradius.tar.gz /home/rauesso #cd /home/rauesso #tar xzvf freeradius tar.gz

Copiamos la carpeta correspondiente a la raz (/). #cp r freeradius. / #cd /freeradius.

Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

4.- Procedemos a la configuracin e instalacin: #./configure without-rlm_smb without-rlm_perl without-rlm_ldap without-rlm_krb5 #Make #Make install

Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

De esta forma, Freeradius ya est instalado en nuestro sistema. Ahora es momento de proceder a la configuracin del servidor.

Configuracin de Freeradius
Llegado este punto de la instalacin y configuracin de Freeradius, procederemos a realizar la configuracin de los Freeradius. Los ficheros de configuracin del servidor Radius, se encuentra en /usr/local/etc/raddb. Para configuirar el servidor modificaremos ciertos parmetros de los ficheros de configuracin del servidor Radius:

eap.conf
Lo primero que haremos ser movernos hasta el directorio donde se encuentran los ficheros de configuracin (/usr/local/etc/raddb): #cd /usr/local/etc/raddb/ Una vez en el path adecuado, realizaremos una copia del fichero eap.conf en eap2.conf: #cp eap.conf eap1.conf

Posteriormente, con un editor (por ejemplo, nano), editamos el fichero y realizamos los cambios. #nano eap.conf 1. Modificar default_eap_type: Cambiamos el valor md5 (por defecto) a peap.

Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

2. Guardamos y salimos.

Users
Realizamos una copia del fichero users a users1. #cp users users1 En este fichero daremos de alta los nombres de usuario y contrasea que podrn ser usados para autenticarse frente al servidor Radius. Editamos el fichero users con un editor de texto, como per ejemplo nano: #nano users

En este fichero aadiremos al final del mismo, tantos usuarios como queramos, con el formato: usuario Cleartext-Password:=password

Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Una vez introducidos, grabamos y salimos.

Mschap
Accedemos a la carpeta modules: #cd modules Realizamos una copia de seguridad del fichero mschap a mschap1: #cp mschap mschap1 Editamos el fichero mschap, con un editor de textos, por ejemplo nano: #nano mschap

Y realizamos los cambios adecuados para que las distintas variables que a continuacin se muestran, tengan los respectivos valores: Use_mppe = yes Ral Espinosa Soriano Administracin de sistemas en red

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Require_encryption = yes Require_strong = yes With_ntdopmain_hack = yes

Una vez realizados los cambios, guardamos y salimos. Para que los cambios realizados en la configuracin sean cargados en radius, pasaremos a ejecutar el siguiente comando: #ldconfig Ya tenemos nuestro servidor radius configurado. Procederemos a realizar una prueba, y solo nos quedara configurar el cliente en nuestro servidor Radius, y el punto de accedo para que pida autentificacin de usuarios al servidor Radius que estamos configurando.

Prueba del funcionamiento del servidor Radius FREERADIUS

Para poner en funcionamiento nuestro servidor, ejecutaremos: #/usr/local/sbin/radiusd f X Con lo que se lanza el demonio de Freeradius.

Ral Espinosa Soriano Administracin de sistemas en red

10

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

El aspecto de la pantalla, de Freeradius, a la espera que algn cliente se intente conectar a nuestra red Wifi, sera:

Configuracin del cliente en nuestro servidor Radius Freeradius

Solo nos queda en este momento, en lo que se refiere a la configuracin de nuestro servidor Radius Freeradius, el configurar el cliente (punto de acceso) que va a hacer uso de sus servicios. Para ello, accedemos a /usr/local/etc/raddb, hacer una copia del fichero clients.conf a clients1.conf, y aadir el cliente: #cd /usr/local/etc/raddb/ #cp clients.conf clients1.conf #nano clients.conf

Una vez en el contenido del fichero, aadimos al final del mismo el cliente, con la sintaxis:

Ral Espinosa Soriano Administracin de sistemas en red

11

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Client IP punto de acceso{ Secret = password compartido entre radius y punto de acceso. Por ejemplo testing 123 Shortname = pa por ejemplo }

Una vez dado de alta el cliente, paramos Radius y volvemos a lanzar. Hay ocasiones en que, a pesar de parar el servidor Radius, no podemos lanzarlo ya que nos aparece el siguiente error:

Ral Espinosa Soriano Administracin de sistemas en red

12

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Para solucionarlo, deberemos de ejecutar el siguiente comando:

#ps all Este comando nos informa de todos los procesos que hay ejecutndose en el sistema.

Como se puede apreciar, existe un proceson llamado radiusd. Deberemos de matar matar dicho proceso. Para ello utilizaremos el comando kill. Debemos de fijarnos en el PID del proceso Radiusd, en nuestro caso 19704. Ejecutar: #kill -9 19704

Ral Espinosa Soriano Administracin de sistemas en red

13

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Despus de ejecutarlo, podemos darnos cuenta, que ya no se est ejecutando. Despus de limpiar nuestro sistema del proceso radiusd, lo lanzamos igual que antes: #/usr/local/etc/raddb/radiusd f X Y lo dejamos en espera de recibir peticiones, por parte de algn cliente (en nuestro caso el cliente es un PA que posteriormente lo configuraremos con IP 192.168.0.100).

Configuracin de nuestro Punto de Acceso Wifi

En este apartado, configuraremos un punto de acceso. En concreto vamos a utilizar un punto de acceso SMC7908A. Lo conectamos a nuestro servidor Radius, y accedemos a su direccin IP (192.168.0.100) desde un navegador. Una vez en su panel de configuracin, accedemos a la seccin de configuracin Wireless, y lo configuramos como se ve en la siguiente figura:

Ral Espinosa Soriano Administracin de sistemas en red

14

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Como se puede ver en la anterior figura, la red wireless, se denomina rauesso_wlan2. Posteriormente, accedemos a Security, y configuramos el PA para que haga uso, para al autentificacin, del servidor Radius recin configurado.

En el apartado Secret Key, ponemos la misma contrasea (en nuestro caso testing123), que se ha configurado en el fichero clients.conf, en la configuracin del servidor Radius. En el apartado Server-IP, se ha configurado la IP del servidor Radius, para que nuestro punto de acceso pueda acceder al mismo para la autentificacin de los usuarios.

Ral Espinosa Soriano Administracin de sistemas en red

15

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Ahora solo nos queda, la configuracin del usuario, en este caso en Windows 7.

Configuracin de nuestro cliente en Windows 7

Para configurar nuestro usuario en Windows 7, accedemos al Centro de Redes y Recursos compartidos, desde el panel de control, o desde el rea de notificacin: Una vez que estamos en el Centro de Redes y recursos compartidos, accedemos a las Redes inalmbricas. Vamos a dar de alta una nueva red inalmbrica, cuyo SSID ser wlan_rauesso2, que como se puede ver en la figura, ya ha sido detectada por nuestro sistema. Los parmetros de configuracin de la nueva red, son los que aparecen en las siguientes figuras. Por lo tanto, seleccionamos, Administrar Redes inalmbricas:

Ral Espinosa Soriano Administracin de sistemas en red

16

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Nos aparecer in listado de las redes inalmbricas que tenemos configuradas en nuestro sistema.

Seleccionamos Agregar, para aadir una nueva red:

Ral Espinosa Soriano Administracin de sistemas en red

17

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Seleccionamos Crear un perfil de red manualmente.

Introducimos los datos que aparecen en la imagen anterior, cambiando el nombre de la red, adaptndolo al caso en particular.

Ral Espinosa Soriano Administracin de sistemas en red

18

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Una vez aadida la red, cerramos la ventana del asistente. Ahora nos queda cambiar una seria de parmetros de la configuracin.

Accedemos a las propiedades de la red recin aadida, en la pestaa de seguridad, seleccionamos configuracin:

Ral Espinosa Soriano Administracin de sistemas en red

19

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Las pantallas de la configuracin de la seguridad PEAP, deben de quedar de la siguiente forma:

Desmarcando la opcin Velidar un certificado de servidor. En el mtodo de autenticacin EAPMSCHAPV2, seleccionamos Configurar, y desmarcamos Usar automticamente el nombre de usuario y contrasea de inicio en Windows:

Ral Espinosa Soriano Administracin de sistemas en red

20

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Tras esto, aceptamos todo, y en la pestaa de seguridad, seleccionamos Configuracin Avanzada:

En la pestaa de Configuracin Avanzada, marcamos Especificar modo de autenticacin y Habilitar inicio de sesin nico en esta red.

Ral Espinosa Soriano Administracin de sistemas en red

21

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Ya tenemos nuestro usuario Windows 7 Configurado. Ahora, por ltimo, debemos de probar el acceso.

Confirmacin del funcionamiento del sistema al completo

Para verificar el funcionamiento de nuestro servidor, accedemos al listado de redes wireless, y veremos que est la nuestra (en el caso de este tutorial wlaa_rauesso2). La seleccionamos, y pinchamos en Conectar.

Ral Espinosa Soriano Administracin de sistemas en red

22

Instalacin y configuracin de un servidor radius en Debian: Freeradius con autentificacin PEAP

Nos pedir el nombre de usuario y contrasea. Deberemos de introducir, el/los que configuramos en el fichero users en la configuracin de Freeradius. En el caso de este tutorial, rauesso/rauesso.

Una vez validado, por parte de nuestro servidor, ya estaremos conectados a la red Wifi.

De esta forma, ya tendremos nuestro servidor radius, y comprobado el funcionamiento del mismo. Podremos hacer uso de el, para que sea un poco ms complicado, si cabe, el acceso a nuestra red.

Ral Espinosa Soriano Administracin de sistemas en red