RADIUS

RADIUS (Remote Authentication Dial-In User Service). Es un protocolo de autenticacin, autorizacin y registro (AAA: authentication, authorization, and accounting) para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 para establecer sus conexiones. RADIUS fue desarrollado por Livingston Enterprises y ahora est descrito en RFC2138 y RFC2139. Existen muchos servidores RADIUS, tanto comerciales como de cdigo abierto, por ejemplo FreeRADIUS .

RADIUS
Al conectar con un ISP, el usuario se autentifica, normalmente enviando usuario y contrasea que, mediante NAS (Network Access Server), se redirige al servidor RADIUS sobre el protocolo RADIUS. Si es aceptado, el servidor autorizar el acceso al ISP que le asignar los recursos de red como la direccin IP. Por ltimo, el servidor lleva un registro de las autentificaciones, autorizaciones y los recursos asignados al usuario.

Autenticacin
Autenticacin (authentication) se refiere al proceso por el cual se determina si un usuario tiene permiso para utilizar un servicio de red. Para ello el usuario presenta una identidad y unas credenciales. La identidad presentada puede ser el nombre de usuario, y puede ser pblicamente conocido. Las credenciales pueden consistir en una contrasea, que ha de mantenerse en secreto, o un certificado digital.

Autenticacin
Otros mtodos de autenticacin que RADIUS soporta:
Autentificacin de sistema. PAP (Password Authentication Protocol) y CHAP (Challenge Handshake Authentication Protocol). Los usan ISPs y son accesibles va PPP. LDAP (Lightweight Directory Access Protocol). Muy empleado como base de datos de usuarios y contraseas. Kerberos. EAP (Extensible Authentication Protocol). Ficheros de configuracin del propio RADIUS.

Autorizacin
Autorizacin (authorization) se refiere al proceso por el cual se conceden servicios especficos a un determinado usuario, basndose en su propia autentificacin. Se pueden poner restricciones segn la hora del da, la carga del sistema, etc. Los servicios que se conceden pueden ser direccin IP que se asigna, QoS que va a recibir, uso de encriptacin, etc. Los mtodos de autorizacin incluyen bases de datos LDAP, SQL, o fichero de configuracin del servidor.

Registro
Registro (accounting) se refiere al proceso por el cual se realiza un registro del consumo de recursos que realizan los usuarios. El registro puede indicar la identidad del usuario, naturaleza del servicio prestado, y tiempos de comienzo y fin de la prestacin.

RADIUS
RADIUS es el protocolo de AAA ms utilizado en la actualidad, y puede ser utilizado en redes corporativas de dimensiones considerables donde queremos dar un servicio AAA centralizado, normalmente jerarquizado por medio de diversos servidores RADIUS, o incluso descentralizado, como por ejemplo EDUROAM.

NAS
NAS (Network Access Server) es un sistema que proporciona acceso a la red (a veces se conoce como Remote Access Server o Terminal Server). El cliente se conecta a NAS para acceder a la red, y NAS se conecta a un servidor de AAA (por ejemplo, RADIUS) para confirmar la validez de las credenciales presentadas por el cliente. Segn su respuesta, NAS le permitir o no acceder al recurso solicitado. NAS no contiene informacin sobre los usuarios o sus permisos. En ese caso, NAS es el cliente de RADIUS. La ventaja es que los clientes slo deben implementar el protocolo RADIUS, y no todas las posibilidades de AAA (PAP, CHAP, KERBEROS).

EDUROAM
EDUROAM (EDUcation ROAMing) es un proyecto internacional creado para facilitar el acceso a Internet a los miembros de las instituciones cientfico-acadmicas asociadas desde cualquiera de estas instituciones.

EDUROAM
La conexin a Internet se hace mediante puntos de acceso inalmbrico con SSID eduroam, que conecta al usuario a una red local IEEE 802.11. La autenticacin se hace utilizando el protocolo RADIUS con el servidor RADIUS del centro al que se est conectando el usuario, que a su vez la reenva al servidor RADIUS del centro al que pertenece el usuario. La autentificacin utiliza el modo EAP protegido con MSCHAPv2. Ha de ser la misma para todos los servidores radius.

EDUROAM
Una vez el usuario ha sido autenticado, se le concede acceso a internet mediante conexin cifrada. Esta configuracin depende nicamente del centro al que se est conectando, y puede ser cualquiera, aunque en la UV se utiliza el protocolo WPA con cifrado TKIP.

EDUROAM
Para configurar un suplicante para eduroam, el proceso es el mismo independientemente de la universidad. Podemos verlo aqu.

PRACTICA
Vamos a instalar y configurar un servidor FreeRADIUS (http://freeradius.org/download.html). Bajamos para linux los fuentes de FreeRADIUS en un fichero .tar.gz, que descomprimimos con tar xvzf <nombre archivo>. El fichero de texto INSTALL describe el proceso bsico de instalacin. Configuramos el proceso (ver opciones con ./configure help). Compilamos con make, e instalamos con make install como root.

PRACTICA
Antes de ejecutar, debemos crear los certificados. Para ello editamos /usr/local/etc/raddb/certs: ca.cnf tiene los de la autoridad certificadora, server.cnf los de servidor y client.cnf los de cliente. Hay que configurar pas, provincia, localidad, organizacin, e-mail y nombre. Adems, el servidor y la autoridad certificadora deben coincidir en pas, estado y organizacin. Ahora ejecutamos el servidor como root mediante radiusd X (X: modo debug). Para comprobar que funciona, hacemos como root: $ radtest user password localhost 10 secreto2013. User y password son un usuario local.

PRACTICA
/usr/local/etc/raddb/radiusd.conf es el fichero de configuracin del servidor. Se subdivide con #include en:
eap.conf: tipo de eap clients.conf: lista de clientes autorizados para usar los servicios. proxy.conf: Este fichero configura el modo proxy y lista de realms otros ficheros: sql.conf,

El fichero users contiene informacin sobre autentificacin de suplicantes, incluso podemos poner aqu usuario y contrasea.

PRACTICA
Para un suplicante en Windows XP, configurado como en eduroam, necesitamos soporte de PEAP y MSCHAPv2. Editamos el fichero eap.conf y cambiamos default_eap_type general de md5 a peap, y en el apartado de peap default_eap_type debe estar a mschapv2. Luego hay que informar al servidor RADIUS de que va a tener como cliente un punto de acceso, para ello, en clients.conf aadimos: client 192.168.1.1 { secret=secretotra shortname=ap nastype=cisco }

PRACTICA
Aadimos un usuario Windows XP cuando solicite acceso a la red. Para esto editamos users y aadimos: Nombre Cleartext-Password:=passwordtra Reply-Message=Bienvenido Ahora configuramos un punto de acceso conectandonos al router configurando metodo de autenticacin WPA con TKIP. Por ultimo vamos a la configuracin RADIUS e introducimos la IP del servidor RADIUS y la palabra secreta secretotra. El servidor RADIUS est conectado a la LAN del router. Ahora, la maquina XP wifi puede entrar como en eduroam, con Nombre y passwordtra.