PRACTICAS TECNOLOGIAS WIRELESS AVANZADAS Ing. Fausto Orozco Lara CAPITULO -PRACTICAS 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 2 PRACTICA #1 Crear una red tipo AD-HOC, de donde se definir una red con SSID cin y pertenecern a una clase C: 192.168.34.0 /27 y con contrasea networking. Grupo de Trabajo: Max 4personas Nombres de Grupo de Trabajo: cin1, cin2, cin3, etc. Estaciones de Trabajo: 4 equipos Tiempo de Trabajo: 45 min. Mx.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 3 PRACTICA #1 Desarrollo PC-Principal 1. Definir una PC principal que ser donde se defina la red inalmbrica 2. Creacin de red inalmbrica definiendo el SSID cin1 3. Configurar de tal manera que no tenga tipo de seguridad es decir sin autenticacin (sistema abierto) 4. Compartir un directorio con informacin . 5. Asigne la primera direccin IP valida para su grupo 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 4 PRACTICA #1 Clientes 1. Active el wireless del cliente y busque la red del grupo, ejemplo cin1 2. Asigne una direccin IP del grupo 3. Acceda al PC-principal y copie la informacin que esta siendo compartida.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 5 PRACTICA # 2: Configurar Freeradius Instale los paquetes necesarios los que se encuentran en rojo Generar los certificados predeterminados ejecutando el mandato radiusd con la opcin -X: radiusd -X Lo anterior iniciar el servicio radiusd e iniciar la generacin de los certificados. 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 6 PRACTICA # 2: Configurar Freeradius Existe 4 ficheros importantes en la configuracin de Freeradius: - radiusd.conf - users - clients.conf - eap.conf , Los mismos que se encontran en /usr/local/etc/raddb/ o en /etc/raddb/, los que se detallan a continuacin 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 7 PRACTICA # 2: Configurar Freeradius Radiusd.conf Es el archivo general de configuracin de FreeRADIUS y del daemon. Aqu podemos seleccionar aspectos relacionados con el servidor (ficheros de log, parmetros de uso mximo, usuarios, grupos, ), bases de datos a utilizar para autenticar y autorizar (ficheros, SQL, LDAP, ), mtodos de AAA. 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 8 PRACTICA # 2: Configurar Freeradius Users El archivo donde se especifican las credenciales de los usuarios de la red. Se usa este archivo si no existe otro backend para el almacenamiento de los usuarios. En este fichero se configurara el modo de acceso es decir un usuario y contrasea, como por ejemplo: usuario1" User-Password == "654321" Donde usuario es el usuario a autenticar y 654321 sera la contrasea. 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 9 PRACTICA # 2: Configurar Freeradius clients.conf: Es la descripcin y credenciales de los diferentes dispositivos que consultan al RADIUS (Aps, NAS, etc). En este fichero se aaden los puntos de acceso, en el mismo se escribir la direccin IP del AP (administracin) y clave de acceso entre AP y el server Radius, el mismo que es una palabra que comparten ambos, como por ejemplo: Tenemos un AP con la IP 192.168.0.3 y la palabra secreta para ese AP es clave123 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 10 PRACTICA # 2: Configurar Freeradius client 192.168.0.3 { secret = clave123 shortname = AP }
Shortname se puede escribir cualquier nombre descriptivo hacia el AP o router a configurar 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 11 PRACTICA # 2: Configurar Freeradius eap.conf Es el archivo de configuracin de las directivas EAP a utilizar. Es un include de radiusd.conf. Como vamos a trabajar con suplicantes bajo Windows se va a necesitar soporte de PEAP y mschapv2. Para esto editamos el fichero eap.conf, y cambiamos el atributo default_eap_type general, de md5 a peap (en minsculas), y en el apartado de peap asegrate de que default_eap_type est a mschapv2. El archivo contiene los modulos: eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 12 PRACTICA # 2: Configurar Freeradius tls { private_key_password = laclave private_key_file = ${raddbdir}/certs/cert-srv.pem certificate_file = ${raddbdir}/certs/cert-srv.pem CA_file = ${raddbdir}/certs/demoCA/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random fragment_size = 1024 include_length = yes } peap { default_eap_type = mschapv2 } mschapv2 { } } 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 13 PRACTICA # 2: Configurar Freeradius Inicie el servicio radiusd: service radiusd start Cada vez que se realice un cambio en los archivos de configuracin toca reiniciar el servicio radiusd. Puede realizar una prueba de test con el comando radtest que se encuentra en el paquete freeradius- utils. #radtest nom_usu cla_usu nam_ser port cla_radius Ejemplo: radtest usuario1 654321 localhost 1812 testing123
2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 14 PRACTICA # 2: Configurar Cliente Freeradius Windows 7 1. Active el dispositivo de comunicacin inalmbrico de su ordenador 2. Localice un punto en el que reciba una seal fuerte de la red inalmbrica y compruebe que recibe el SSID 3. Seleccione Administrar redes inalmbricas 4. Ahora se muestra el listado de redes que se encuentran guardadas en el equipo del usuario. 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 15 PRACTICA # 2: Configurar Cliente Freeradius 5. Aqu debemos agregar nueva red: 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 16 PRACTICA # 2: Configurar Cliente Freeradius Seleccione Crear un perfil manualmente 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 17 PRACTICA # 2: Configurar Cliente Freeradius Escribimos el Nombre de la red: xxxxx Tipo de seguridad: WPA2-Enterprise Tipo de crifrado: AES 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 18 PRACTICA # 2: Configurar Cliente Freeradius 6. Ahora hay que comprobar que las opciones aparezcan como en la siguiente imagen, para poder continuar correctamente. Tambin, para que la conexin se inicie automticamente hay que marcar la casilla Iniciar automticamente 7. Se muestra una ventana indicando que la red ha sido creada correctamente. Continuamos configurando la red: Seleccionar Cambiar la configuracin de conexin 8. Ahora continuamos con la configuracin o rectificacin de la red. En la pantalla de propiedades de la conexin inalmbrica, seleccione la solapa Seguridad: 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 19 PRACTICA # 2: Configurar Cliente Freeradius 9. Elija un mtodo de autenticacin de red: Microsoft: EAP protegido (PEAP) Marcar Recordar mis credenciales para esta conexin cada vez que inicie sesin 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 20 PRACTICA # 2: Configurar Cliente Freeradius 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 21 PRACTICA # 3: Cmo configurar Freeradius con MySQL Lo anterior debe devolver algo similar como lo siguiente: Sending Access-Request of id 222 to 127.0.0.1 port 1812 User-Name = "fulano" User-Password = "123qwe" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=222, length=20 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 22 PRACTICA # 3: Cmo configurar Freeradius con MySQL Instale los paquetes necesarios: - freeradius2 freeradius2-mysql freeradius2-utils - mysql mysql-server Generar los certificados predeterminados ejecutando el mandato radiusd con la opcin -X: radiusd -X Lo anterior iniciar el servicio radiusd e iniciar la generacin de los certificados. Cuando el dilogo lo pida, definir los datos de pas, estado, nombre del anfitrin y cuenta de correo del administrador. 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 23 PRACTICA # 3: Cmo configurar Freeradius con MySQL Al concluir pulsar CTRL-C para terminar el servicio y continuar configuracin. Inicie el servicio MySQL: service mysqld start Aada el servicio MySQL al arranque del sistema: chkconfig mysqld on Asigne clave de acceso al usuario root de MySQL: mysqladmin -uroot password '123qwe' 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 24 PRACTICA # 3: Cmo configurar Freeradius con MySQL Genere una nueva base de datos denominada radius: mysqladmin -uroot -p123qwe create radius Acceda al intrprete de mandatos de MySQL: mysql -uroot -p123qwe Designe el usuario y clava de acceso para acceder a la base de datos recin creada: GRANT all ON radius.* TO radius@localhost IDENTIFIED BY '123qwe'; Salga de MySQL: exit; 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 25 PRACTICA # 3: Cmo configurar Freeradius con MySQL Utilizando el usuario radius o el que haya designado para utilizar la base de datos recin creada, pueble la base de datos que acaba de crear con los esquemas incluidos con Freeradius: mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/cui.sql mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/ippool.sql mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/nas.sql mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/schema.sql mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/wimax.sql 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 26 PRACTICA # 3: Cmo configurar Freeradius con MySQL Edite el archivo /etc/raddb/radiusd.conf: vim /etc/raddb/radiusd.conf Descomente la lnea que dice $INCLUDE sql.conf, lo cual se localiza aproximadamente alrededor de la lnea 801: $INCLUDE sql.conf Edite el archivo /etc/raddb/sql.conf: vim /etc/raddb/sql.conf 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 27 PRACTICA # 3: Cmo configurar Freeradius con MySQL Definir los valores para acceder a la base de datos, lo cual se localiza aproximadamente alrededor de la lnea 35: # Connection info: server = "localhost" #port = 3306 login = "radius" password = "123qwe" Descomente el parmetro readclients con valor yes, lo cual se localiza aproximadamente alrededor de la lnea 100: readclients = yes 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 28 PRACTICA # 3: Cmo configurar Freeradius con MySQL Edite el archivo /etc/raddb/sites-enabled/default: vim /etc/raddb/sites-enabled/default Descomente en la seccin authorize, lo cual se localiza aproximadamente alrededor de la lnea 159: sql Descomentar en la seccin accounting, lo cual se localiza aproximadamente alrededor de la lnea 365: sql 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 29 PRACTICA # 3: Cmo configurar Freeradius con MySQL Reegrese al smbolo de sistema y acceda a MySQL para dar de alta un usuario para probar: mysql -uradius -p123qwe radius Desde el smbolo de sistema de MySQL, ejecute lo siguiente para dar de alta un usuario de pruebas (Juan con una clave de acceso (12345 en el ejemplo): INSERT INTO radcheck (username, attribute, value) VALUES (Juan', 'Password', '12345'); Lo anterior equivale a aadir Juan Cleartext-Password := "123qwe" en el archivo /etc/raddb/users. 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 30 PRACTICA # 3: Cmo configurar Freeradius con MySQL Verifique que el usuario se dio de alta correctamente: select * from radcheck where username=Juan'; Debe regresar algo similar a los siguiente: +----+----------+-----------+----+--------+ | id | username | attribute | op | value | +----+----------+-----------+----+--------+ | 6 | Juan | Password | == | 12345 | +----+----------+-----------+----+--------+ 1 row in set (0.00 sec) Salga de mysql: exit; 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 31 PRACTICA # 3: Cmo configurar Freeradius con MySQL Inicie el servicio radiusd: service radiusd start Aada el servicio radiusd a los servicios de arranque del sistema: chkconfig radiusd on Verifique que el servicio puede autenticar a travs de MySQL: radtest Juan12345 localhost 1812 testing123 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 32 PRACTICA # 3: Cmo configurar Freeradius con MySQL Lo anterior debe devolver algo similar como lo siguiente: Sending Access-Request of id 222 to 127.0.0.1 port 1812 User-Name = "fulano" User-Password = "123qwe" NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=222, length=20 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 33 PRACTICA # 3: Cmo configurar Freeradius con MySQL A partir de este punto, solo podr autenticar usuarios de manera local. Para poder conectar el punto de acceso hacia el servidor Freeradius, vuelva a conectarse MySQL: mysql -uradius -p123qwe radius Ejecute lo siguiente, definiendo la direccin IP del punto de acceso, nombre corto, tipo de NAS (other, cisco, livingston, computon, max40xx, multitech, natserver, pathras, patton, portslave, tc o usrhiper). Si utiliza un pinto de acceso casero, defina el tipo other. INSERT INTO nas (nasname, shortname, type, secret) VALUES ('192.168.0.1', 'Mi-Ruteador', 'other', '123qwe'); 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 34 PRACTICA # 3: Cmo configurar Freeradius con MySQL Para verificar, ejecute desde el smbolo de sistema de MySQL lo siguiente: select * from nas where shortname='Mi-Ruteador'; Lo anterior debe regresar algo similar a lo siguiente:: +----+---------------+-----------+-------+-------+--------+-----------+--------------- | id | nasname | shortname | type | ports | secret | community | description | +----+---------------+-----------+-------+-------+--------+-----------+--------------- | 1 | 192.168.0.1 | WRT54G | other | NULL | 123qwe | NULL | RADIUS Client | +----+---------------+-----------+-------+-------+--------+-----------+--------------- 1 row in set (0.00 sec) 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 35 PRACTICA # 3: Cmo configurar Freeradius con MySQL Lo anterior equivale a editar el archivo /etc/raddb/clients.conf y aadir la direccin IP del punto de acceso, una clave de acceso, nombre corto y tipo de NAS como other. client 192.168.0.1 { secret = cualquier-clave-de-acceso shortname = WRT54G nastype = other } 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 36 PPRACTICA # 3: Cmo configurar Freeradius con MySQL Para que surta efecto el cambio, hay que reiniciar el servicio radiusd: service radiusd restart Para aadir otro punto de acceso, solo basta repetir las lnea con los datos que correspondan: INSERT INTO nas (nasname, shortname, type, secret) VALUES ('192.168.0.254', 'Otro-Ruteador', 'other', '123qwe'); 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 37 PRACTICA # 3: Cmo configurar Freeradius con MySQL Para realizar pruebas de conectividad remota, aada un equipo siguiendo el procedimiento anterior y desde este equipo ejecute el mandato radtest; x.x.x.x es la direccin IP del servidor Freeradius: radtest fulano 123qwe x.x.x.x 1812 123qwe Lo anterior debera devolver algo similar a lo siguiente. Sending Access-Request of id 225 to x.x.x.x port 1812 User-Name = "fulano User-Password = "123qwe NAS-IP-Address = 127.0.0.1 NAS-Port = 1812 rad_recv: Access-Accept packet from host x.x.x.x port 1812, id=225, length=20
2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 38 PRACTICA # 3: Administracion Web de Freeradius Instalar Daloradius para administracin a travs de HTTP. Se requiere instalar Apache, PHP y sus ligaduras para MySQL, la biblioteca GD y Pear-DB: - httpd php php-mysql php-gd php-pear php-pear-DB Inicie el servicio httpd: service httpd start Aada el servicio httpd a los servicios de arranque del sistema: chkconfig httpd on Cambie al directorio /var/www/: cd /var/www 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 39 PRACTICA # 3: Administracion Web de Freeradius Descargue desde sourceforge.net/projects/daloradius el archivo correspondiente a la versin ms reciente de Daloradius: Descomprima el archivo descargado: tar zxvf daloradius-0.9-8.tar.gz Cambie los permisos de todo el contenido del directorio recin descomprimido para que pertenezcan al usuario y grupo apache: chown -R apache:apache daloradius-0.9-8 Cambie al directorio daloradius-0.9-8: cd daloradius-0.9-8 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 40 PRACTICA # 3: Administracion Web de Freeradius Cargue las tablas de Daloradius en la base de datos utilizada por Freeradius. mysql -uradius -p123qwe < contrib/db/mysql-daloradius.sql Edite el archivo library/daloradius.conf.php: vim library/daloradius.conf.php 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 41 PRACTICA # 3: Administracion Web de Freeradius Edite los valores correspondientes a los necesarios para la conexin ala base de datos utilizada por Freeradius. $configValues['CONFIG_DB_HOST'] = '127.0.0.1'; $configValues['CONFIG_DB_USER'] = 'radius'; $configValues['CONFIG_DB_PASS'] = '123qwe'; $configValues['CONFIG_DB_NAME'] = 'radius'; Genere un nuevo archivo denominado /etc/httpd/conf.d/daloradius.conf: vim /etc/httpd/conf.d/daloradius.conf 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 42 PRACTICA # 3: Administracion Web de Freeradius Aada el siguiente contenido, donde x.x.x.x (ejemplo: 192.168.0.2) corresponde al al direccin IP del sistema desde el cual se realizar la administracin remota de Daloradius: Alias /daloradius "/var/www/daloradius-0.9-8/" <Directory /var/www/daloradius-0.9-8/> Options None order deny,allow deny from all allow from 127.0.0.1 allow from x.x.x.x </Directory> 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 43 PRACTICA # 3: Administracion Web de Freeradius Reinicie el servicio httpd: service httpd restart Acceda con cualquier navegador moderno hacia http://direcin-ip- servidor/radius/. Ingrese con el usuario Administrator y la clave de acceso radius. Desde esta interfaz podr aadir y administrar las cuentas de usuarios y administrar y aadir los puntos de acceso. 2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 44 PRACTICA # 3: Administracion Web de Freeradius Setting Up A FreeRadius Based AAA Server With MySQL & Management With Daloradius http://www.tldp.org/HOWTO/8021X-HOWTO/freeradius.html http://www.tldp.org/HOWTO/archived/LDAP-Implementation- HOWTO/radius.html http://freeradius.org/radiusd/man/ http://www.cisco.com/en/US/docs/wireless/access_point/12.2_11_J A/configuration/guide/s11radi_ps430_TSD_Products_Configuration_ Guide_Chapter.html?referring_site=bodynav http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Tools.html
2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 45 http://netacad.galileo.edu