Escolar Documentos
Profissional Documentos
Cultura Documentos
16/02/2012
Tabla de contenido
Autenticacin EAP/PEAP para FreeRadiusEAP .......................................................................... 1 PEAP .......................................................................................................................................... 1 Instalar Freeradius......................................................................................................................... 2 Configuracin de Freeradius ......................................................................................................... 6 eap.conf..................................................................................................................................... 6 Users.......................................................................................................................................... 7 Mschap ...................................................................................................................................... 8 Prueba del funcionamiento del servidor Radius FREERADIUS ...................................................... 9 Configuracin del cliente en nuestro servidor Radius Freeradius .............................................. 10 Client IP punto de acceso{ ....................................................................................................... 11 Configuracin de nuestro Punto de Acceso Wifi ........................................................................ 13 Configuracin de nuestro cliente en Windows 7 ........................................................................ 15 Confirmacin del funcionamiento del sistema al completo ....................................................... 21
PEAP
Protected Extensible Authentication Protocol (PEAP) es un mtodo para transmitir de manera segura informacin de autenticacin, incluyendo contraseas, sobre redes cableadas e inalmbricas. Hay que tener en cuenta que PEAP no es un protocolo de encriptacin, sino que como otros tipos EAP solo autentican un cliente a una red. Vamos a configurar FreeRadius para un escenario como este:
1. Un nodo inalmbrico (suplicante) intenta conectarse a nuestra red inalmbrica, y nuestro punto de acceso (autenticador) se encarga de pedirle al suplicante sus credenciales. 2. Luego de recibirlas, se las enva a nuestro servidor de autenticacin, que se encarga validar su identidad y de acuerdo a eso permitirle o negarle el ingreso a nuestra red. 3. Ya con el suplicante validado, ste puede acceder a nuestra red y utilizar todos los recursos que sta tenga disponible (ej. Internet). En este tutorial se va a configurar FREERADIUS haciendo uso de la autentificacin PEAP con mschapv2.
Instalar Freeradius
Para realizar la instalacin de Freeradius, accederemos a un terminal con super-usuario, y nos descargaremos freeradius desde la web http://freeradius.org. Nos descargaremos los paquetes de fuentes, (tar.gz), y posteriormente lo compilaremos y lo instalaremos. Para ello: 1.- Nos conectamos a la web de Freeradius, y procedemos a la descarga:
2.- Una vez descargado, instalamos todas las herramientas que nos hacen falta para la compilacin y posterior instalacin de Freeradius. Para ello, desde el terminal, como administrador (superusuario), tecleamos: #apt-get install libssl-dev #apt-get install build-essential
3.- Copiamos el fichero descargado a nuestra carpeta de trabajo (/home/usuario), y lo descomprimimos haciendo uso de tar: #cp /tmp/freeradius.tar.gz /home/rauesso #cd /home/rauesso #tar xzvf freeradius tar.gz
4.- Procedemos a la configuracin e instalacin: #./configure without-rlm_smb without-rlm_perl without-rlm_ldap without-rlm_krb5 #Make #Make install
Configuracin de Freeradius
Llegado este punto de la instalacin y configuracin de Freeradius, procederemos a realizar la configuracin de los Freeradius. Los ficheros de configuracin del servidor Radius, se encuentra en /usr/local/etc/raddb. Para configuirar el servidor modificaremos ciertos parmetros de los ficheros de configuracin del servidor Radius:
eap.conf
Lo primero que haremos ser movernos hasta el directorio donde se encuentran los ficheros de configuracin (/usr/local/etc/raddb): #cd /usr/local/etc/raddb/ Una vez en el path adecuado, realizaremos una copia del fichero eap.conf en eap2.conf: #cp eap.conf eap1.conf
Posteriormente, con un editor (por ejemplo, nano), editamos el fichero y realizamos los cambios. #nano eap.conf 1. Modificar default_eap_type: Cambiamos el valor md5 (por defecto) a peap.
2. Guardamos y salimos.
Users
Realizamos una copia del fichero users a users1. #cp users users1 En este fichero daremos de alta los nombres de usuario y contrasea que podrn ser usados para autenticarse frente al servidor Radius. Editamos el fichero users con un editor de texto, como per ejemplo nano: #nano users
En este fichero aadiremos al final del mismo, tantos usuarios como queramos, con el formato: usuario Cleartext-Password:=password
Mschap
Accedemos a la carpeta modules: #cd modules Realizamos una copia de seguridad del fichero mschap a mschap1: #cp mschap mschap1 Editamos el fichero mschap, con un editor de textos, por ejemplo nano: #nano mschap
Y realizamos los cambios adecuados para que las distintas variables que a continuacin se muestran, tengan los respectivos valores: Use_mppe = yes Ral Espinosa Soriano Administracin de sistemas en red
Una vez realizados los cambios, guardamos y salimos. Para que los cambios realizados en la configuracin sean cargados en radius, pasaremos a ejecutar el siguiente comando: #ldconfig Ya tenemos nuestro servidor radius configurado. Procederemos a realizar una prueba, y solo nos quedara configurar el cliente en nuestro servidor Radius, y el punto de accedo para que pida autentificacin de usuarios al servidor Radius que estamos configurando.
10
Una vez en el contenido del fichero, aadimos al final del mismo el cliente, con la sintaxis:
11
Una vez dado de alta el cliente, paramos Radius y volvemos a lanzar. Hay ocasiones en que, a pesar de parar el servidor Radius, no podemos lanzarlo ya que nos aparece el siguiente error:
12
#ps all Este comando nos informa de todos los procesos que hay ejecutndose en el sistema.
Como se puede apreciar, existe un proceson llamado radiusd. Deberemos de matar matar dicho proceso. Para ello utilizaremos el comando kill. Debemos de fijarnos en el PID del proceso Radiusd, en nuestro caso 19704. Ejecutar: #kill -9 19704
13
14
Como se puede ver en la anterior figura, la red wireless, se denomina rauesso_wlan2. Posteriormente, accedemos a Security, y configuramos el PA para que haga uso, para al autentificacin, del servidor Radius recin configurado.
En el apartado Secret Key, ponemos la misma contrasea (en nuestro caso testing123), que se ha configurado en el fichero clients.conf, en la configuracin del servidor Radius. En el apartado Server-IP, se ha configurado la IP del servidor Radius, para que nuestro punto de acceso pueda acceder al mismo para la autentificacin de los usuarios.
15
Ahora solo nos queda, la configuracin del usuario, en este caso en Windows 7.
16
Nos aparecer in listado de las redes inalmbricas que tenemos configuradas en nuestro sistema.
17
Introducimos los datos que aparecen en la imagen anterior, cambiando el nombre de la red, adaptndolo al caso en particular.
18
Una vez aadida la red, cerramos la ventana del asistente. Ahora nos queda cambiar una seria de parmetros de la configuracin.
Accedemos a las propiedades de la red recin aadida, en la pestaa de seguridad, seleccionamos configuracin:
19
Desmarcando la opcin Velidar un certificado de servidor. En el mtodo de autenticacin EAPMSCHAPV2, seleccionamos Configurar, y desmarcamos Usar automticamente el nombre de usuario y contrasea de inicio en Windows:
20
En la pestaa de Configuracin Avanzada, marcamos Especificar modo de autenticacin y Habilitar inicio de sesin nico en esta red.
21
Ya tenemos nuestro usuario Windows 7 Configurado. Ahora, por ltimo, debemos de probar el acceso.
22
Una vez validado, por parte de nuestro servidor, ya estaremos conectados a la red Wifi.
De esta forma, ya tendremos nuestro servidor radius, y comprobado el funcionamiento del mismo. Podremos hacer uso de el, para que sea un poco ms complicado, si cabe, el acceso a nuestra red.