SERVIDOR RADIUS.freeradius


Introducción    3

RADIUS    3

Autenticación (authentication) :    3

Autorización (authorization):    3

Registro (accounting a menudo traducido también como contabilidad):    3

PRACTICA    3

1.-SERVIDOR RADIUS – UBUNTU    4

2.- CLIENTE RADIUS – ROUTER LINKSYS    7

3.- CONEXIÓN A RADIUS CON EL CLIENTE FINAL    8

4.- Configuración de Servidor Radius en Packet Tracer    14

 

 

Introducción

En esta práctica vamos a estudiar RADIUS, un protocolo ampliamente empleado para controlar el acceso a servicios en red. En particular instalaremos una solución de código abierto denominada FreeRADIUS, y la configuraremos para un uso concreto: regular el acceso a una red inalámbrica.

RADIUS

RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos permite gestionar la “autenticación, autorización y registro” de usuarios remotos sobre un determinado recurso. La tupla “autenticación, autorización y registro” es más conocida como AAA, al ser éste su acrónimo de su denominación original inglesa “Authentication, Authorization, and Accounting”. Veamos a continuación a qué se refiere cada uno de estos términos:

Autenticación (authentication) :

Hace referencia al proceso por el cual se determina si un usuario tiene permiso para acceder a un determinado servicio de red del que quiere hacer uso. El proceso de autenticación se realiza mediante la presentación de una identidad y unos credenciales por parte del usuario que demanda acceso. Un tipo habitual de credencial es el uso de una contraseña (o password) que junto al nombre de usuario nos permite acceder a determinados recursos. Otros tipos más avanzados de credenciales son los certificados digitales.

Autorización (authorization):

Se refiere a conceder servicios específicos (entre los que se incluye la “negación de servicio”) a un determinado usuario, basándose para ellos en su propia autenticación, los servicios que está solicitando, y el estado actual del sistema. Es posible configurar restricciones a la autorización de determinados servicios en función de aspectos como, por ejemplo, la hora del día, la localización del usuario, o incluso la posibilidad o imposibilidad de realizar múltiples “logins” de un mismo usuario.

Registro (accounting a menudo traducido también como contabilidad):

Se refiere a realizar un registro del consumo de recursos que realizan los usuarios. El registro suele incluir aspectos como la identidad del usuario, la naturaleza del servicio prestado, y cuándo empezó y terminó el uso de dicho servicio.

Un uso de RADIUS que queremos enfatizar, al ser el que realizaremos en esta práctica, es la autenticación en redes inalámbricas (Wi-Fi), sustituyendo métodos más simples de clave compartida (pre-shared key, PSK), que son bastante limitados al gestionar una red cuando ésta alcanza un determinado tamaño.

PRACTICA

El objeto de esta práctica ha sido instalar un servidor radius en un equipo y a través del él hemos regulado el acceso a una red, para ello hemos creado una red que en este caso se llama punxos que es la propuesta en la práctica y hemos creado unos usuarios, macarena y juan. En el momento en el que desde un dispositivo intentamos acceder a la red, en este caso desde un equipo con un sistema operativo Windows 7, antes de conectarnos nos pedirá, usuario y contraseña, ambos parametros registrados en el servidor radius.

1.-SERVIDOR RADIUS – UBUNTU

  1. Instalamos el servidor radius usando el comando

    ~$ Sudo aptitude install freradius

  1. Comprobamos que el usuario y el grupo freerad aparecen en el fichero /etc/passwd/. También comprobamos que el servidor radius tiene asignado el usuario y el grupo freerad en el fichero gedit /etc/freeradius/radiusd.conf en los parámetros user y group.

  1. Ahora Vamos a configurar los usuarios que se autenticaran en radius, y para ello vamos a modificar el fichero /etc/freeradius/users que contiene en texto plano los usuarios que tienen permitida la autenticación. Como ya hay algunos usuarios preconfigurados, siguiendo el mismo diseño introduciremos todos aquellos usuarios que necesitemos, en este caso crearemos los usuarios juanma y macarena, con la contraseña “juanma” y “macarena” respectivamente.

    Antes de modificar el archivo, crearemos una copia de seguridad del mismo. Y con el comando $ sudo gedit /etc/freeradius/users editaremos el documento a modificar.

  1. A continuación vamos a configurar los clientes. Los puntos de acceso serán los clientes del servidor radius.

    Para introducir la información de los clientes, es decir, los puntos de acceso que solicitarán la verificación de los usuarios inalámbricos finales, hemos de modificar un archivo de la configuración de radius.

    Por tanto, el siguiente paso que realizaremos será configurar los clientes, modificando el fichero /etc/freeradius/clients.conf. Vamos a configurar un cliente radius con la dirección 192.168.1.1 (nuestro router que será el punto de acceso que va a emplear el servidor), así como la contraseña entre punto de acceso y servidor (secret= fubol ) y el nombre de la red o SSID ( shortname= punxos).

    De nuevo, y antes de modificar el archivo haremos una copia de seguridad.

    Y con gedit editaremos el archivo

     

     

     

     

     

     

  2. Seguidamente reiniciaremos el servidor radius mediante la orden service freeraius restart


     

    Tambien podemos reiniciarlo con la orden #/etc/init.d/freeradius restart

 

2.- CLIENTE RADIUS – ROUTER LINKSYS

  1. A continuación vamos a configurar el punto de acceso. Para configurar el cliente radius nos vamos a Basic Wireless Settings y ponemos la conexión en modo Mixed y configuramos el SSID y activamos Broadcast SSID.

 

 

  1. Después nos vamos a Wireless Security y habilitamos el método de seguridad WPA2 Enterprise con encriptación TKIP+AES y especificamos la dirección IP del servidor RADIUS, la clave, y el tiempo de renovación lo dejamos por defecto en 3600 seg.

3.- CONEXIÓN A RADIUS CON EL CLIENTE FINAL

  1. Por último queda configurar en el usuario cliente final (tarjeta de red inalámbrica) la conexión al punto de acceso, de manera que la autentificación pase a radius.

    En este caso vamos a trabajar sobre un Windows 7. Lo primero que vamos a realizar es conectarnos manualmente una red, que vamos a llamar punxos.

  2. Nos dirigimos a las propiedades de punxos.

  3. En la pestaña seguridad seleccionamos el tipo de seguridad WPA2-Enterprise y tipo de cifrado AES. Elegimos el método de autentificación Microsoft: EAP protegido (PEAP). Y damos sobre Configuración.


  4. Aquí debemos desmarcar la opción Validar un certificado de servidor ya que no hemos configurado RADIUS con certificados. Seleccionamos el método de autenticación Contraseña segura (EAP-MSCHAP v2), a la derecha de esto damos sobre Configurar.

  5. Configuramos EAP MSCHAPv2 y desmarcamos la opción de usar automáticamente el nombre de inicio de sesión y contraseña de Windows(…)
  1. Aceptamos todo y volvemos a la ventana principal de propiedades donde damos sobre Configuración avanzada. En la pestaña de 802.1X marcamos Especificar modo de autentificación y Autentificación de usuarios. Podemos guardar los usuarios y contraseñas en Guardar credenciales y acceder sin que nos pida la contraseña, en este caso no hacemos esto último ya que es un riesgo de seguridad.

     

  2. En la pestaña de 802.11 no tocamos nada, lo dejamos por defecto. Guardamos todo y seguimos
  3. Conectamos con punxos el router cliente RADIUS. Especificamos el usuario y contraseña para autenticarnos.

  4. Finalmente nos conectamos con éxito al servidor Radius.

 

4.- Configuración de Servidor Radius en Packet Tracer

Como continuación de la práctica de configuración de un servidor Radius, se va a realizar esta en el entorno de simulación de packet tracer. Para ello utilizaremos el software del programa en cuestión en su versión.

 

La imagen muestra como se ha integrado el sistema. Se ha utilizado un Switch 2960-24TT-L para la integración de las redes.

Este Switch nos comunica los dos router que da servicio a sus respectivos clientes así como con el servidor radius, el cual almacena los usuarios y contraseñas de los usuarios.

La idea es que los usuarios que se conecten a ambos access points puedan autenticarse usando un servidor radius ubicado en la misma VLAN en que la que se encuentran estos access points.

 

Una vez que hemos colocado el servidor radius en la misma VLAN, le hemos de asignar una IP, máscara (hemos de recordar que la red nos la va a definir tanto la IP como la máscara de subred) así como su puerta de enlace. La VLAN tiene el siguiente rango de direcciones: 30.30.30.0/24

Y ya que se usa enrutamiento entre VLANS usando router-on-a-stick, la dirección gateway será 30.30.30.1

Entonces debería quedarnos algo así:

 

Ahora, tendríamos que configurar el servidor Radius. Hemos de configurarlo para la comunicación con el router seleccionando la palabra secreta, en nuestro caso futbol, así como los usuarios y contraseñas de los clientes.

Para el ejemplo hemos creado a macarena, juanma, rafael, anabelen y al invitado4

 

Los clientes serán los access points que utilizarán este servidor para la autenticación y los usuarios serán los hosts finales que necesitarán de un usuario y contraseña. Ahora vamos a configurar los access points (routers) para que utilicen el servidor.

Primero no olvidar, la conexión de los puntos de accesos

 


 

Posteriormente, se debe establecer el método de cifrado que utilizará y luego indicarle la dirección IP del servidor radius de esta manera:

 

 

Ahora tenemos que configurar en cada host el nombre de usuario y la contraseña. Para esto seguiremos los siguientes pasos:

 

Editar el perfil del host. Seleccionamos el perfil y le damos clic en Edit.

 

Podemos hacerlo desde la pestaña config o desktop.


O bien desde la pestaña de desktop. En la pestaña connect podemos conectarnos a la red que deseemos.


 

Para editarla, nos vamos a profiles + edit


 

Le damos a editar y a opciones avanzadas.

 

Elegimos el modo de conexión

 

 

Recomendable poner el dhcp en automático para que las direcciones las asigne el router o bien ponerlas manualmente.

 

Método de encriptado.

 

Ingresamos el usuario y contraseña que habíamos añadido anteriormente a la base de datos del servidor RADIUS (El número de usuarios en radius dependerá del número de clientes que se conecten a los access points). Luego damos clic en Next.

 

 

Y ya estaría. Si todo está correcto, debería conectarse sin problemas.

 

 

Y ya estaría configurado.

 

Este pdf incorpora el archivo del packet tracer utilizado en la práctica.

 

Acerca de Rafael Quintana

Con ganas de compartir y de aprender
Galería | Esta entrada fue publicada en Informática e Internet, Linux, Seguridad, software y etiquetada , , , . Guarda el enlace permanente.

Una respuesta a SERVIDOR RADIUS.freeradius

  1. sol dijo:

    hola.. tengo una duda inmensa…
    estoy haciendo un proyecto para aplicar radius a una red cableada. y tengo un caso como el que sigue:
    en el caso de que el usuario haya colocado su clave erronea y presiona enter, el servidor no permite autenticar y me cierra el puerto, me muestra un mensaje: Conexion limitada o nula. no me vuelve a mostrar el mensajes para colocar las credenciales. como hago? para que me aparezca nuevamente el mensaje de colocar las credenciales del usuario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s