Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Radius
Radius
1X
PROHIBIDO EL PASO
Normalmente, el protocolo Radius se utiliza para autenticar
usuarios en escenarios dial-up. Pero Radius tambin es til
en entornos LAN: en combinacin con 802.1X, Radius fuerza
a los usuarios a autenticarse a bajo nivel antes de que el
switch abra el puerto. BY
BY MICHAEL
MICHAEL SCHWARTZKOPFF
SCHWARTZKOPFF
60
Nmero 05
puerto del switch del usuario. Esta tcnica evita la necesidad de una
infraestructura compleja de router, pero
sigue restringiendo el tamao del
dominio de broadcast. Adems, las
VLANs se pueden usar para separar
departamentos de una compaa de
manera lgica, mejorando la seguridad
al mismo tiempo. Aunque los usuarios
pueden conectarse desde cualquier sitio
en el que se encuentren (desde el bar por
ejemplo), siempre vern su propio
entorno de red.
El protocolo estndar 802.1X maneja
la autenticacin y el servidor Freeradius
se proporcionan los servicios AAA (Autenticacin, Autorizacin y Arqueo). El
servidor Freeradius accede al directorio
del servidor OpenLDAP para obtener
informacin de las cuentas. El sistema
completo est disponible tanto para
clientes Linux como Windows. Soporta
capas redundantes para alta-disponibilidad utilizando proxies para Radius y
WWW.LINUX- MAGAZINE.ES
802.1X y EAP
El protocolo IEEE 802.1X proporciona
control de acceso en la Capa 2 de OSI (la
Capa MAC). IEEE 802.1X soporta la autenticacin de clientes mientras se
establece la conexin a la red, antes de
que al cliente se le asigne una direccin
IP va DHCP (Dynamic Host Configuration Protocol). Entre otras cosas, el
estndar especifica como el protocolo de
autenticacin (EAP, Extensible Authentication Protocol) se encapsula en marcos
Ethernet.
EAP proporciona un marco de trabajo
para varios mtodos de autenticacin
que soportan ms que la combinacin
El dispositivo intermediario
entre estas dos entidades es el
Network Authentication Server
(NAS) o Autenticador.
Este sistema funcionar en cualquier red
que entregue paquetes Ethernet. El
Interopnet Labs white paper proporciona
una ayuda bastante til [1].
Variantes de EAP
EAP define una variedad de mtodos de
autenticacin. EAP/MD5 transfiere un
hash con el nombre del usuario, su contrasea y una cadena arbitraria. El servidor utiliza la clave en texto claro y la
cadena arbitraria para generar su propio
hash, el cual se compara con la hash
entrante. Este mtodo es simple, pero no
es seguro contra ataques tipo diccionario. Adems, en una wireless LAN,
es imposible crear claves WEP dinmicas
utilizando EAP/MD5. Por tanto, este
mtodo slo est indicado para las
pequeas redes cableadas.
Con la segunda variante, EAP/TLS,
tanto el servidor como el cliente necesitan certificados X.509. Este mtodo es
muy seguro, pero implica tener un PKI
(Public Key Infrastructure) en funcionamiento. Un tercer mtodo es PEAP,
Protected Extensible Autentication Protocol. Con PEAP, slo el servidor necesita
un certificado para establecer una conexin TLS y enviar el nombre de usuario y
la contrasea encriptados (MSCHAPv2,
Microsoft Challenge Handshake Authentication Protocol). Los administradores
slo necesitan instalar el certificado del
servidor en cada cliente.
Cuando los clientes salen del sistema o
cierran la conexin, PEAP detecta el
cambio y finaliza la autorizacin, cerrando las conexiones por ambos lados.
Distribucin de Carga
En redes slo cableadas, EAP/MD5 es a
menudo la mejor opcin. Esto es todo lo
Figura 1: El protocolo 802.1X cubre varias capas. EAP maneja cambios entre el suplicante y el
autenticador. Radius es el responsable de la ruta entre el autenticador y el servidor de autenticacin.
Freeradius
Freeradius [4] es una buena opcin a la
hora de escoger un servidor Radius. La
versin 1.0 aade soporte para un gran
nmero de EAPs y muy especialmente
para PEAP. Los desarrolladores han
introducido una opcin para autenticarse
en los dominios de Windows. Y Freeradius puede recuperar datos de cuenta
desde fuentes tpicas /etc/passwd, LDAP,
MySQL, PostgreSQL o bases de datos
Oracle.
La instalacin es muy simple y sigue
los tres pasos de siempre: configure &&
make && make install. Si todo va bien,
debera poner los ficheros de configuracin
del
servidor
en
/usr/local/etc/raddb. La primera cosa
que Freeradius necesita hacer es permitir
el acceso a los clientes Radius (en nues-
WWW.LINUX-MAGAZINE.COM
Autenticacin de Usuarios
El fichero users especifica el tipo de
autenticacin del usuario. La siguiente
entrada debera ser vlida para las pruebas iniciales:
usuarioprueba Auth-Type := Local, U
User-Password == "contprueba"
Reply-Message = "Hola, %u"
Nmero 05
61
Figura 2: Los clientes nuevos primero tienen que autenticarse contra el NAS (esto es: el
switch). El switch acta como un proxy al servidor Radius, el cual en devuelve el acceso al
directorio LDAP para comprobar las credenciales del usuario.
VLAN en la Respuesta
OpenLDAP
62
Nmero 05
01 dn:uid=testuser2,ou=users,
ou=radius,dc=domain,dc=de
02 uid: testuser2
03 userPassword: password
04 objectClass: radiusprofile
05 objectClass: top
06 radiusProfileDn:
uid=vlan_02,ou=profiles,ou=rad
ius,dc=domain,dc=de
WWW.LINUX- MAGAZINE.ES
Clientes Windows
Hay un campo de Autenticacin en las
propiedades de conexin a la red. Introduciendo EAP con el tipo requerido
(MD5, PEAP o TLS) en este campo. Los
usuarios pueden especificar cmo el sistema responder si las credenciales de
un usuario no estn disponibles, que es
el caso de antes de hacer login.
Si selecciona esta opcin, el ordenador
intentar registrarse en la red utilizando
su nombre de cliente.
En contraste a la opcin EAP/MD5,
PEAP y TLS proporcionan opciones adi-
01 dn:uid=vlan_02,ou=profiles,
ou=radius,dc=domain,dc=de
02 uid: vlan_02
03
radiusTunnelMediumType:IEEE-80
2
04 radiusTunnelType: VLAN
05 radiusTunnelPrivateGroupId: 2
06 objectClass: radiusprofile
07 objectClass: top
cionales. Los usuarios tienen que especificar el certificado CA que los clientes
deberan de aceptar. Windows tambin
puede usar el nombre de la cuenta y la
contrasea desde el login de Windows
para la autenticacin PEAP. Esta entrada
est localizada en las opciones de autenticacin avanzada.
Sin embargo, en este caso el sistema
utiliza una combinacin Dominio/Nombre de usuario. Si no estamos seguros, la
WWW.LINUX- MAGAZINE.ES
=${raddbdir}/ldap.attrmap
password_attribute =
userPassword
11 }
12 }
13
14 authorize {
15 preprocess
16 ldap
17 eap
18 suffix
19 files
20 }
21 authenticate {
22 eap
23 }
10
RECURSOS
[1] Interopnet Labs, Qu es 802.1X?:
http://www.ilabs.interop.net/
WLANSec/What_is_8021x-lv03.pdf
[2] Freeradius y Windows XP: http://text.
broadbandreports.com/forum/
remark,9286052~mode=flat
[3] TinyCA: http://tinyca.sm-zone.net
[4] Freeradius: http://www.freeradius.org
[5] OpenLDAP: http://www.openldap.org
[6] Freeradius y OpenLDAP:http://doris.
cc/radius/
[7] Cdigo abierto de la implementacin
de 802.1X: http://www.open1x.org
[8] Radius - Securing Public Access to Private Resources, by Jonathan Hassell;
OReilly, 2002.
EL AUTOR
Michael
Schwartzkopff trabaja para Multinet
Services
GmbH
como consultor de
seguridad y redes
(especializado
en
SNMP). Se enganch a Linux en
1994 despus de trabajar con la distribucin de Yggdrasil.
Nmero 05
63