Capitulo A - Practicas Wireless

2006 Cisco Systems, Inc. All rights reserved.
Cisco Public BSCI Module 5 1

PRACTICAS
TECNOLOGIAS
WIRELESS AVANZADAS
Ing. Fausto Orozco Lara
CAPITULO -PRACTICAS
2006 Cisco Systems, Inc. All rights reserved. Cisco Public BSCI Module 5 2
PRACTICA #1
Crear una red tipo AD-HOC, de donde se definir una red con SSID
cin y pertenecern a una clase C: 192.168.34.0 /27 y con
contrasea networking.
Grupo de Trabajo: Max 4personas
Nombres de Grupo de Trabajo: cin1, cin2, cin3, etc.
Estaciones de Trabajo: 4 equipos
Tiempo de Trabajo: 45 min. Mx.

PRACTICA #1
Desarrollo
PC-Principal
1. Definir una PC principal que ser donde se defina la red
inalmbrica
2. Creacin de red inalmbrica definiendo el SSID cin1
3. Configurar de tal manera que no tenga tipo de seguridad es decir
sin autenticacin (sistema abierto)
4. Compartir un directorio con informacin .
5. Asigne la primera direccin IP valida para su grupo
PRACTICA #1
Clientes
1. Active el wireless del cliente y busque la red del grupo, ejemplo
cin1
2. Asigne una direccin IP del grupo
3. Acceda al PC-principal y copie la informacin que esta siendo
compartida.

PRACTICA # 2:
Configurar Freeradius
Instale los paquetes necesarios los que
se encuentran en rojo
Generar los certificados
predeterminados ejecutando el mandato
radiusd con la opcin -X:
radiusd -X
Lo anterior iniciar el servicio radiusd e
iniciar la generacin de los certificados.
PRACTICA # 2:
Existe 4 ficheros importantes en la configuracin de Freeradius:
- radiusd.conf
- users
- clients.conf
- eap.conf ,
Los mismos que se encontran en /usr/local/etc/raddb/ o en
/etc/raddb/, los que se detallan a continuacin
PRACTICA # 2:
Radiusd.conf
Es el archivo general de configuracin de FreeRADIUS y del
daemon. Aqu podemos seleccionar aspectos relacionados con el
servidor (ficheros de log, parmetros de uso mximo, usuarios,
grupos, ), bases de datos a utilizar para autenticar y autorizar
(ficheros, SQL, LDAP, ), mtodos de AAA.
PRACTICA # 2:
Users
El archivo donde se especifican las credenciales de los usuarios de
la red. Se usa este archivo si no existe otro backend para el
almacenamiento de los usuarios.
En este fichero se configurara el modo de acceso es decir un
usuario y contrasea, como por ejemplo:
usuario1" User-Password == "654321"
Donde usuario es el usuario a autenticar y 654321 sera la
contrasea.
PRACTICA # 2:
clients.conf:
Es la descripcin y credenciales de los diferentes dispositivos que
consultan al RADIUS (Aps, NAS, etc).
En este fichero se aaden los puntos de acceso, en el mismo se
escribir la direccin IP del AP (administracin) y clave de acceso
entre AP y el server Radius, el mismo que es una palabra que
comparten ambos, como por ejemplo: Tenemos un AP con la IP
192.168.0.3 y la palabra secreta para ese AP es clave123
PRACTICA # 2:
client 192.168.0.3 {
secret = clave123
shortname = AP
}

Shortname se puede escribir cualquier nombre descriptivo hacia el
AP o router a configurar
PRACTICA # 2:
eap.conf
Es el archivo de configuracin de las directivas EAP a utilizar. Es un include de
radiusd.conf. Como vamos a trabajar con suplicantes bajo Windows se va a necesitar
soporte de PEAP y mschapv2. Para esto editamos el fichero eap.conf, y cambiamos
el atributo default_eap_type general, de md5 a peap (en minsculas), y en el
apartado de peap asegrate de que default_eap_type est a mschapv2.
El archivo contiene los modulos:
eap {
default_eap_type = tls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
PRACTICA # 2:
tls {
private_key_password = laclave
private_key_file = ${raddbdir}/certs/cert-srv.pem
certificate_file = ${raddbdir}/certs/cert-srv.pem
CA_file = ${raddbdir}/certs/demoCA/cacert.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
}
peap { default_eap_type = mschapv2 }
mschapv2 {
} }
PRACTICA # 2:
Inicie el servicio radiusd:
service radiusd start
Cada vez que se realice un cambio en los archivos de configuracin
toca reiniciar el servicio radiusd. Puede realizar una prueba de test
con el comando radtest que se encuentra en el paquete freeradius-
utils.
#radtest nom_usu cla_usu nam_ser port cla_radius
Ejemplo:
radtest usuario1 654321 localhost 1812 testing123

PRACTICA # 2:
Configurar Cliente Freeradius
Windows 7
1. Active el dispositivo de comunicacin inalmbrico de su ordenador
2. Localice un punto en el que reciba una seal fuerte de la red
inalmbrica y compruebe que recibe el SSID
3. Seleccione Administrar redes inalmbricas
4. Ahora se muestra el listado de redes que se encuentran
guardadas en el equipo del usuario.
PRACTICA # 2:
5. Aqu debemos agregar nueva red:
PRACTICA # 2:
Seleccione Crear un perfil manualmente
PRACTICA # 2:
Escribimos el Nombre de la red: xxxxx
Tipo de seguridad: WPA2-Enterprise
Tipo de crifrado: AES
PRACTICA # 2:
6. Ahora hay que comprobar que las opciones aparezcan como en la
siguiente imagen, para poder continuar correctamente. Tambin,
para que la conexin se inicie automticamente hay que marcar la
casilla Iniciar automticamente
7. Se muestra una ventana indicando que la red ha sido creada
correctamente. Continuamos configurando la red: Seleccionar
Cambiar la configuracin de conexin
8. Ahora continuamos con la configuracin o rectificacin de la red.
En la pantalla de propiedades de la conexin inalmbrica,
seleccione la solapa Seguridad:
PRACTICA # 2:
9. Elija un mtodo de
autenticacin de red: Microsoft:
EAP protegido (PEAP) Marcar
Recordar mis credenciales para
esta conexin cada vez que inicie
sesin
PRACTICA # 2:
PRACTICA # 3:
Cmo configurar Freeradius con MySQL
Lo anterior debe devolver algo similar como lo siguiente:
Sending Access-Request of id 222 to 127.0.0.1 port 1812
User-Name = "fulano"
User-Password = "123qwe"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812,
id=222, length=20
PRACTICA # 3:
Instale los paquetes necesarios:
- freeradius2 freeradius2-mysql freeradius2-utils
- mysql mysql-server
Generar los certificados predeterminados ejecutando el mandato
radiusd con la opcin -X:
radiusd -X
Lo anterior iniciar el servicio radiusd e iniciar la generacin de los
certificados. Cuando el dilogo lo pida, definir los datos de pas,
estado, nombre del anfitrin y cuenta de correo del administrador.
PRACTICA # 3:
Al concluir pulsar CTRL-C para terminar el servicio y continuar
configuracin.
Inicie el servicio MySQL:
service mysqld start
Aada el servicio MySQL al arranque del sistema:
chkconfig mysqld on
Asigne clave de acceso al usuario root de MySQL:
mysqladmin -uroot password '123qwe'
PRACTICA # 3:
Genere una nueva base de datos denominada radius:
mysqladmin -uroot -p123qwe create radius
Acceda al intrprete de mandatos de MySQL:
mysql -uroot -p123qwe
Designe el usuario y clava de acceso para acceder a la base de
datos recin creada:
GRANT all ON radius.* TO radius@localhost IDENTIFIED BY
'123qwe';
Salga de MySQL: exit;
PRACTICA # 3:
Utilizando el usuario radius o el que haya designado para utilizar la
base de datos recin creada, pueble la base de datos que acaba de
crear con los esquemas incluidos con Freeradius:
mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/cui.sql
mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/ippool.sql
mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/nas.sql
mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/schema.sql
mysql -uradius -p123qwe radius < /etc/raddb/sql/mysql/wimax.sql
PRACTICA # 3:
Edite el archivo /etc/raddb/radiusd.conf:
vim /etc/raddb/radiusd.conf
Descomente la lnea que dice $INCLUDE sql.conf, lo cual se
localiza aproximadamente alrededor de la lnea 801:
$INCLUDE sql.conf
Edite el archivo /etc/raddb/sql.conf:
vim /etc/raddb/sql.conf
PRACTICA # 3:
Definir los valores para acceder a la base de datos, lo cual se
# Connection info:
server = "localhost"
#port = 3306
login = "radius"
password = "123qwe"
Descomente el parmetro readclients con valor yes, lo cual se
readclients = yes
PRACTICA # 3:
Edite el archivo /etc/raddb/sites-enabled/default:
vim /etc/raddb/sites-enabled/default
Descomente en la seccin authorize, lo cual se localiza
aproximadamente alrededor de la lnea 159:
sql
Descomentar en la seccin accounting, lo cual se localiza
aproximadamente alrededor de la lnea 365:
sql
PRACTICA # 3:
Reegrese al smbolo de sistema y acceda a MySQL para dar de alta
un usuario para probar:
mysql -uradius -p123qwe radius
Desde el smbolo de sistema de MySQL, ejecute lo siguiente para
dar de alta un usuario de pruebas (Juan con una clave de acceso
(12345 en el ejemplo):
INSERT INTO radcheck (username, attribute, value) VALUES
(Juan', 'Password', '12345');
Lo anterior equivale a aadir Juan Cleartext-Password := "123qwe"
en el archivo /etc/raddb/users.
PRACTICA # 3:
Verifique que el usuario se dio de alta correctamente:
select * from radcheck where username=Juan';
Debe regresar algo similar a los siguiente:
+----+----------+-----------+----+--------+
| id | username | attribute | op | value |
+----+----------+-----------+----+--------+
| 6 | Juan | Password | == | 12345 |
+----+----------+-----------+----+--------+
1 row in set (0.00 sec)
Salga de mysql: exit;
PRACTICA # 3:
Inicie el servicio radiusd:
service radiusd start
Aada el servicio radiusd a los servicios de arranque del sistema:
chkconfig radiusd on
Verifique que el servicio puede autenticar a travs de MySQL:
radtest Juan12345 localhost 1812 testing123
PRACTICA # 3:
Lo anterior debe devolver algo similar como lo siguiente:
Sending Access-Request of id 222 to 127.0.0.1 port 1812
User-Name = "fulano"
User-Password = "123qwe"
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812,
id=222, length=20
PRACTICA # 3:
A partir de este punto, solo podr autenticar usuarios de manera
local. Para poder conectar el punto de acceso hacia el servidor
Freeradius, vuelva a conectarse MySQL:
mysql -uradius -p123qwe radius
Ejecute lo siguiente, definiendo la direccin IP del punto de acceso,
nombre corto, tipo de NAS (other, cisco, livingston, computon,
max40xx, multitech, natserver, pathras, patton, portslave, tc o
usrhiper). Si utiliza un pinto de acceso casero, defina el tipo other.
INSERT INTO nas (nasname, shortname, type, secret) VALUES
('192.168.0.1', 'Mi-Ruteador', 'other', '123qwe');
PRACTICA # 3:
Para verificar, ejecute desde el smbolo de sistema de MySQL lo
siguiente:
select * from nas where shortname='Mi-Ruteador';
Lo anterior debe regresar algo similar a lo siguiente::
+----+---------------+-----------+-------+-------+--------+-----------+---------------
| id | nasname | shortname | type | ports | secret | community | description |
+----+---------------+-----------+-------+-------+--------+-----------+---------------
| 1 | 192.168.0.1 | WRT54G | other | NULL | 123qwe | NULL | RADIUS Client |
+----+---------------+-----------+-------+-------+--------+-----------+---------------
1 row in set (0.00 sec)
PRACTICA # 3:
Lo anterior equivale a editar el archivo /etc/raddb/clients.conf y
aadir la direccin IP del punto de acceso, una clave de acceso,
nombre corto y tipo de NAS como other.
client 192.168.0.1 {
secret = cualquier-clave-de-acceso
shortname = WRT54G
nastype = other
}
PPRACTICA # 3:
Para que surta efecto el cambio, hay que reiniciar el servicio radiusd:
service radiusd restart
Para aadir otro punto de acceso, solo basta repetir las lnea con los
datos que correspondan:
INSERT INTO nas (nasname, shortname, type, secret) VALUES
('192.168.0.254', 'Otro-Ruteador', 'other', '123qwe');
PRACTICA # 3:
Para realizar pruebas de conectividad remota, aada un equipo
siguiendo el procedimiento anterior y desde este equipo ejecute el
mandato radtest; x.x.x.x es la direccin IP del servidor Freeradius:
radtest fulano 123qwe x.x.x.x 1812 123qwe
Lo anterior debera devolver algo similar a lo siguiente.
Sending Access-Request of id 225 to x.x.x.x port 1812
User-Name = "fulano
User-Password = "123qwe
NAS-Port = 1812
rad_recv: Access-Accept packet from host x.x.x.x port 1812, id=225, length=20

PRACTICA # 3:
Administracion Web de Freeradius
Instalar Daloradius para administracin a travs de HTTP.
Se requiere instalar Apache, PHP y sus ligaduras para MySQL, la
biblioteca GD y Pear-DB:
- httpd php php-mysql php-gd php-pear php-pear-DB
Inicie el servicio httpd:
service httpd start
Aada el servicio httpd a los servicios de arranque del sistema:
chkconfig httpd on
Cambie al directorio /var/www/:
cd /var/www
PRACTICA # 3:
Descargue desde sourceforge.net/projects/daloradius el archivo
correspondiente a la versin ms reciente de Daloradius:
Descomprima el archivo descargado:
tar zxvf daloradius-0.9-8.tar.gz
Cambie los permisos de todo el contenido del directorio recin
descomprimido para que pertenezcan al usuario y grupo apache:
chown -R apache:apache daloradius-0.9-8
Cambie al directorio daloradius-0.9-8:
cd daloradius-0.9-8
PRACTICA # 3:
Cargue las tablas de Daloradius en la base de datos utilizada por
Freeradius.
mysql -uradius -p123qwe < contrib/db/mysql-daloradius.sql
Edite el archivo library/daloradius.conf.php:
vim library/daloradius.conf.php
PRACTICA # 3:
Edite los valores correspondientes a los necesarios para la conexin
ala base de datos utilizada por Freeradius.
$configValues['CONFIG_DB_HOST'] = '127.0.0.1';
$configValues['CONFIG_DB_USER'] = 'radius';
$configValues['CONFIG_DB_PASS'] = '123qwe';
$configValues['CONFIG_DB_NAME'] = 'radius';
Genere un nuevo archivo denominado
/etc/httpd/conf.d/daloradius.conf:
vim /etc/httpd/conf.d/daloradius.conf
PRACTICA # 3:
Aada el siguiente contenido, donde x.x.x.x (ejemplo: 192.168.0.2)
corresponde al al direccin IP del sistema desde el cual se realizar
la administracin remota de Daloradius:
Alias /daloradius "/var/www/daloradius-0.9-8/"
<Directory /var/www/daloradius-0.9-8/>
Options None
order deny,allow
deny from all
allow from 127.0.0.1
allow from x.x.x.x
</Directory>
PRACTICA # 3:
Reinicie el servicio httpd:
service httpd restart
Acceda con cualquier navegador moderno hacia http://direcin-ip-
servidor/radius/. Ingrese con el usuario Administrator y la clave de
acceso radius. Desde esta interfaz podr aadir y administrar las
cuentas de usuarios y administrar y aadir los puntos de acceso.
PRACTICA # 3:
Setting Up A FreeRadius Based AAA Server With MySQL &
Management With Daloradius
http://www.tldp.org/HOWTO/8021X-HOWTO/freeradius.html
http://www.tldp.org/HOWTO/archived/LDAP-Implementation-
HOWTO/radius.html
http://freeradius.org/radiusd/man/
http://www.cisco.com/en/US/docs/wireless/access_point/12.2_11_J
A/configuration/guide/s11radi_ps430_TSD_Products_Configuration_
Guide_Chapter.html?referring_site=bodynav
http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Tools.html

http://netacad.galileo.edu

Capitulo A - Practicas Wireless

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Capitulo A - Practicas Wireless

Enviado por

Direitos autorais:

Formatos disponíveis

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public BSCI Module 5 1

Você também pode gostar