Servidor RADIUS - informatica.etitudela.com

Servidor RADIUS - Versión resumida

Servidor RADIUS

Versión resumida

Índice 1 Introducción...............................................................................................................................................2

1.1 RADIUS...............................................................................................................................................3 1.2 freeRADIUS........................................................................................................................................4 1.3 IEEE 802.1X.........................................................................................................................................4

2 Escenario.....................................................................................................................................................5 3 Configuración del AP................................................................................................................................6 4 freeRADIUS: Instalación y configuración básica...................................................................................7 5 winRADIUS: instalación y configuración básica ................................................................................10 6 Conexión con supplicant Android.........................................................................................................17 7 Resumen....................................................................................................................................................18 8 Fuentes y para más información............................................................................................................20

1/20


1 IntroducciónAAA (Authentication, Authorization, Accounting) es un modelo de arquitectura de seguridad, un tipo de protocolos, pero no un protocolo en particular.RADIUS (Remote Authentication Dial-In User) es un protocolo, una implementación específica de AAA.freeRADIUS es un servidor RADIUS muy popular y ampliamente utilizado.EAP (Extensible Authentication Protocol) es un esquema de autenticación usado habitualmente en redes WLAN. Provee algunas funciones y negociaciones comunes para el mecanismo de autenticación escogido.

2/20


1.1 RADIUSRemote Authentication Dial-In User

Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones y el 1813 para contabilización.

Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS)* sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, etc.

*No confundir con NAS como Network Attached Storage

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

3/20


1.2 freeRADIUSSoftware servidor para Linux. Hay versión para Windows (winRADIUS), que se configura con ficheros de texto tipo Linux.Permite dar de alta usuarios sin necesidad de base de datos SQL.Otro servidor para Windows es TekRADIUS, pero requiere de base de datos SQL para usuarios.

1.3 IEEE 802.1XNorma del IEEE para el control de acceso a red basada en puertos. Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo EAP.Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación sólo del cliente o, más apropiadamente, una autenticación mutua fuerte utilizando protocolos como EAP-TLS.

4/20


2 Escenario

• Servidor Debian 8 con freeRADIUS 2.2.5

• Punto de acceso (NAS) Netgear DG834G

• Cliente (Supplicant) Windows 7

• Cliente (Supplicant) Android 4.3 Jelly Bean

También realizaremos la configuración de un servidor RADIUS en Windows.

• Windows 7 con winRADIUS 2.2.6 Dirección IP 192.168.1.222.El resto de parámetros no cambia.

5/20


3 Configuración del AP

SSID = NETGEARIP = 192.168.1.220/24LOGIN = admin/passwordDHCP = disabled

En el caso del servidor Windows, pondríamosRadius Server Name/IP Address = 192.168.1.222

6/20


4 freeRADIUS: Instalación y configuración básicaComprobar versión disponible

Instalar

Comprobar estado

Comprobar puertos abiertos

7/20


Listar ficheros de configuración

Configurar usuario + contraseña = virtudes + virtudicasFichero /etc/freeradius/users

Configurar clientes (puntos de acceso)Fichero /etc/freeradius/clients

8/20


A la hora de arrancar el servicio (si es que está detenido) se recomienda hacerlo en modo debug.Comando freeradius -X

Comprobar funcionamiento correcto

virtudes virtudicas : usuario + contraseña localhost 0 : máquina + puerto a testear; el 0 indica puerto predeterminadotesting123 : contraseña secret predefinida para pruebas

Para esta prueba, debe utilizarse la clave secret predefinida para este tipo de comprobaciones testing123.

9/20


5 winRADIUS: instalación y configuración básica

El escenario es idéntico al utilizado con freeRADIUS, sólo que ahora el servidor tiene la IP 192.168.1.222

Versión freeRADIUS para instalar en Windows.

Descargar programa de http://winradius.eu/Download.html e instalar.

Requiere solicitar un código de activación por e-mail.

10/20

http://winradius.eu/Download.html


Envían un e-mail con la clave de activación.

Y ya podemos continuar la instalación.

11/20


Se crea una carpeta en Archivos de programa con unos pocos ficheros.

El grueso de los ficheros quedan en C:\freeradius-2.2.6, donde crea una estructura similar a la creada en Linux.

Utilidades ofrecidas por winRADIUS, dentro de la carpeta de programas.

12/20


RADIUS Command Prompt te ubica en la carpeta C:\freeradius-2.2.6\bin\tests, donde existen varios programas y ficheros de configuración.Programas:

C:\freeradius-2.2.6\bin\tests>dir *.cmd El volumen de la unidad C no tiene etiqueta. El número de serie del volumen es: 38E7-1CAB

Directorio de C:\freeradius-2.2.6\bin\tests

19/11/2014 01:58 5.007 radeapclient.cmd15/11/2014 02:42 1.123 radtest-digest.cmd15/11/2014 02:42 456 radtest-sim.cmd15/11/2014 02:41 1.297 radtestwin.cmd25/11/2014 05:15 322 rad_test_multiotp.cmd15/11/2014 02:42 323 rad_test_sspi.cmd

Pero los ficheros users y clients están en C:\freeradius-2.2.6\etc\raddb

Fichero users

Fichero clients.conf

13/20


Una vez realizada la configuración, reiniciar el equipo.

Comprobar puertos abiertos: no aparece el puerto UDP 1812 abierto: el servicio RADIUS no arranca automáticamente.

C:\>netstat -anp udp | find “181”

< salida vacía >

Arrancar servicio.

14/20


Comprobar puertos abiertos: ahora ya está abierto el puerto UDP 1812.

C:\>netstat -anp udp | find “181”

Conexiones activas

Proto Dirección local Dirección remota UDP 0.0.0.0:1812 *:* UDP 0.0.0.0:1813 *:* UDP 0.0.0.0:1814 *:*

Ejecutar programa de chequeo radtest-win.cmd. Puede hacerse ejecutando desde el explorador o ejecutando el comando.

radtestwin.cmd ejecutando desde el explorador.

15/20


radtestwin.cmd ejecutando el comando.

C:\freeradius-2.2.6\bin\tests>radtestwin**** WinRADIUS 2.2.6 Sanity Tests ****

These tests assume WinRADIUS Server is up and running (127.0.0.1:1812)

Presione una tecla para continuar . . .

<...salida truncada...>

Sending Access-Request of id 211 to ::1 port 1812 User-Name = "testuser" User-Password = "testpw" NAS-IP-Address = 127.0.0.1 NAS-IPv6-Address = fe80::1 NAS-Port = 1812rad_recv: Access-Accept packet from host ::1 port 1812, id=211, length=37 Reply-Message = "Hello, testuser"

Total approved auths: 1 Total denied auths: 0 Total lost auths: 0

16/20


6 Conexión con supplicant AndroidEn Android no hay que configurar nada: únicamente indicar user+pass.

17/20


7 Resumen

Cliente NAS (Punto de Acceso)

• En algún apartado de la configuración de la Wi-Fi, escoger algo así como

◦ Security Options = WPA2-802.1x

◦ Radius Server Name/IP Address = 192.168.1.221

◦ Radius Port = 1812

◦ Shared Key = eti123456

Servidor freeRADIUS (Linux)

• Instalarapt-get install freeradius

• Configurar

◦ Fichero /etc/freeradius/usersvirtudes Cleartext-Password := “virtudicas”

◦ Fichero /etc/freeradius/clients.confclient 192.168.1.220 { secret = eti123456 shortname = ap_orlando}

• Reiniciar servicio

◦ Detenerservice freeradius stop

◦ Arrancar en modo debug/etc/freeradius/freeradius -X

• Comprobar

◦ Comprobar puerto UDP 1812 abiertonetstat -lun | grep 181

◦ Ejecutar utilidad de testeo/etc/freeradius/radtest virtudes virtudicas localhost 0 testing123

18/20


Servidor winRADIUS (Windows)

• Descargar de http://winradius.eu

• Enviar e-mail a [email protected] solicitando código de desbloqueo

• Instalar

• Configurar

◦ Fichero C:\freeradius-2.2.6\etc\raddb\usersvirtudes Cleartext-Password := “virtudicas”

◦ Fichero C:\freeradius-2.2.6\etc\raddb\clients.confclient 192.168.1.220 { secret = eti123456 shortname = ap_orlando}

• Reiniciar servicio

◦ Reiniciar equipo

◦ Arrancar servicioInicio Programas Start RADIUS Server (Debug)→ →

• Comprobar

◦ Comprobar puerto UDP 1812 abiertonetstat -anp udp | find “181”

◦ Ejecutar utilidad de testeoc:\freeradius-2.2.6\bin\tests\radtestwin.cmd

Supplicant Android Jelly BeanNo hay que hacer nada en especial, únicamente, proporcionar usuario + contraseña.

19/20

mailto:[email protected]

http://winradius.eu/


8 Fuentes y para más informaciónhttps://www.wikipedia.org/ http://freeradius.org/ http://personales.alumno.upv.es/~hecmargi/manuales/linux/freeradius/ http://padamrajgurung.com.np/authentication-in-aaa/ https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-y-mysql/ http://www.systerminal.com/2014/03/26/wpa2-enterprise-freeradius-openldap-debian-wheezy-14/

Aula [email protected]

@aula30x diciembre 2015

20/20

http://www.systerminal.com/2014/03/26/wpa2-enterprise-freeradius-openldap-debian-wheezy-14/

https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-y-mysql/

https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-y-mysql/

http://padamrajgurung.com.np/authentication-in-aaa/

http://personales.alumno.upv.es/~hecmargi/manuales/linux/freeradius/

http://freeradius.org/

https://www.wikipedia.org/

Documents

Servidor RADIUS - informatica.etitudela.com