Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Radius PDF
Radius PDF
INSTALACIN Y CONFIGURACIN
TECNOL. RED
AVANZADAS DE UN SERVIDOR RADIUS
1. Introduccin
En esta prctica vamos a estudiar RADIUS, un protocolo ampliamente empleado para
controlar el acceso a servicios en red. En particular instalaremos una solucin de cdigo
abierto denominada FreeRADIUS, y la configuraremos para un uso concreto: regular el
acceso a una red inalmbrica.
Dentro de esta prctica, lo primero que vamos a estudiar es la teora asociada a este
protocolo, viendo tambin conceptos relacionados con el mismo, como AAA, NAS, y
mecanismos de proteccin de redes inalmbricas (como WEP y WPA).
2. Definiciones
En este punto introduciremos diversos conceptos cuyo conocimiento es clave para poder
entender qu se est haciendo (qu perseguimos y qu conseguimos) en los apartados
posteriores de la prctica.
2.1 RADIUS
RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos permite
gestionar la autenticacin, autorizacin y registro de usuarios remotos sobre un
determinado recurso. La tupla autenticacin, autorizacin y registro es ms conocida
como AAA, al ser ste su acrnimo de su denominacin original inglesa
Authentication, Authorization, and Accounting. Veamos a continuacin a qu se
refiere cada uno de estos trminos:
1
Un tipo habitual de credencial es el uso de una contrasea (o password) que
junto al nombre de usuario nos permite acceder a determinados recursos. El
nombre de usuario es nuestra identidad, que puede ser pblicamente conocida,
mientras que la contrasea se mantiene en secreto, y sirve para que nadie
suplante nuestra identidad. Otros tipos ms avanzados de credenciales son los
certificados digitales.
2
Registro (accounting, a menudo traducido tambin como contabilidad) se refiere
a realizar un registro del consumo de recursos que realizan los usuarios. El
registro suele incluir aspectos como la identidad del usuario, la naturaleza del
servicio prestado, y cundo empez y termin el uso de dicho servicio.
Un uso de RADIUS que queremos enfatizar, al ser el que realizaremos en esta prctica,
es la autenticacin en redes inalmbricas (Wi-Fi), sustituyendo mtodos ms simples de
clave compartida (pre-shared key, PSK), que son bastante limitados al gestionar una red
cuando sta alcanza un determinado tamao.
2.2 NAS
Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS, quien a
su vez se conecta a un servidor de AAA (tpicamente RADIUS) preguntando si los
credenciales proporcionados por el cliente son vlidos. Basndose en su respuesta, NAS
le permitir acceder o no a este recurso protegido. El sistema NAS no contiene ninguna
informacin sobre los usuarios que se pueden conectar ni sus credenciales, sino que
utiliza esta informacin para enviarla a RADIUS, y que ste le informe sobre los
permisos del cliente.
3
persona que se desea conectar a la red inalmbrica por medio del punto de acceso), no
son clientes de RADIUS sino que se denominan suplicantes.
Una ventaja del uso de RADIUS es que sus clientes tan slo tienen que implementar el
protocolo de comunicacin con RADIUS, y no todas las posibilidades de AAA
existentes (PAP, CHAP, LDAP, kerberos, mySQL, etc.). En el ejemplo del punto de
acceso, tan slo necesitamos implementar una solucin NAS que realice las consultas a
RADIUS.
Otra ventaja del protocolo RADIUS es que, en su comunicacin con NAS, nunca
transmite las contraseas directamente por la red (lo que se conoce como en cleartext),
ni siquiera al usar PAP, sino que usa algoritmos para ocultar las contraseas como
MD5. Sin embargo, al no ser considerado MD5 un sistema de proteccin de
credenciales demasiado seguro, es aconsejable utilizar sistemas adicionales de
proteccin para cifrar el trfico de RADIUS, como puede ser tneles de IPsec.
WPA (Wi-Fi Protected Access) fue creado para corregir los mltiples fallos
detectados en el protocolo WEP. WPA fue diseado por el consorcio Wi-Fi
Alliance basndose en un borrador del estndar 802.11i (es un subconjunto
del mismo), y utiliza TKIP (Temporal Key Integrity Protocol) como
protocolo de cifrado que sustituye a WEP sin necesidad de modificar el
hardware existente (podra funcionar actualizando el firmware).
4
En concreto, WPA sigue usando RC4 como algoritmo de cifrado con claves
de 128 bits, pero usa TKIP para cambiar dinmicamente estas claves.
WPA fue diseado para ser usado junto a un servidor AAA (habitualmente
RADIUS), de manera que se le asignan claves distintas a cada uno de los
posibles usuarios. Sin embargo, para entornos domsticos o pequeas
oficinas tambin se puede usar, de forma menos segura, con una nica clave
compartida (pre-shared key, PSK). En este caso hablamos de WPA-PSK.
Otro concepto relacionado con la seguridad en redes inalmbricas que merece la pena
destacar es EAP (Extensible Authentication Protocol). EAP es un marco general de
autenticacin, y no un mecanismo de autenticacin concreto. EAP proporciona algunas
funciones comunes y un mtodo para negociar el mecanismo de autenticacin a usar.
Actualmente hay ms de 40 mtodos distintos. En esta prctica haremos uso del
denominado EAP protegido (PEAP) para la autenticacin de nuestro usuario en la red
inalmbrica. Como nuestro suplicante es una mquina con WindowsXP, usaremos
MSCHAPv2, la versin de PEAP empleada por Microsoft en este S.O.
5
La ventaja de pertenecer a este proyecto es obvia, a cambio de que los usuarios de otras
instituciones se puedan conectar a la red de tu centro, los usuarios de tu centro se
pueden conectar a Internet desde cualquier centro asociado al proyecto.
Una vez que el usuario ha sido autenticado, y se la ha concedido permiso para acceder a
la red, la comunicacin entre el punto de acceso y el usuario durante la conexin a
Internet se hace cifrada mediante claves dinmicas. Esta configuracin depende
nicamente del centro al que se conecte el usuario, y en el caso de acceder a la UPV se
hace actualmente con el protocolo WPA mediante cifrado TKIP.
6
RADIUS se usa habitualmente para permitir roaming entre ISPs o redes de distinta
propiedad (como en el proyecto eduroam), y para esto se emplea un identificador
conocido como realm, que identifica a qu servidor RADIUS se debe redirigir el
proceso de AAA.
Cuando el usuario externo solicita acceso a la red acta como suplicante, de forma que
el punto de acceso (AP) se conecta al servidor RADIUS para que le indique si los
credenciales del suplicante le autorizan a acceder a la red. Los credenciales siempre
incluyen un nombre de usuario del tipo usuario@realm, de forma que al incluir un
realm en el nombre del usuario, el servidor RADIUS se da cuenta de que el proceso de
AAA lo debe realizar otro servidor RADIUS (siempre y cuando el realm no sea el del
propio centro). De esta forma, el servidor local se comporta como un proxy RADIUS,
redirigiendo la consulta al servidor RADIUS que realmente tiene informacin sobre este
usuario (la informacin sobre los posibles servidores asociados se encuentra en una
tabla de realms conocidos).
Tal y como se observa en la figura anterior, en el caso concreto del proyecto eduroam
existe un proxy RADIUS de nivel superior, que conoce todos los realms asociados al
proyecto, y al que se le hacen todas las consultas, para que l las redirija al servidor
destino de la consulta.
Por ltimo recordad que es importante que tanto el suplicante como el servidor
RADIUS destino realicen el proceso de autenticacin usando el mismo tipo de EAP. En
la siguiente figura se presenta un esquema de algunas de las diversas formas de
autenticacin que soporta EAP.
7
3.2 Configuracin de un suplicante para eduroam
En este punto vamos a configurar una mquina con Windows XP SP2 y tarjeta de red
inalmbrica para que se conecte a la red eduroam en la propia UPV. La idea es que sta
configuracin nos puede servir como base para cuando queramos conectar nuestro
ordenador a cualquier otra red asociada al proyecto eduroam.
8
MSCHAPv2, que configuraremos para que no use automticamente el
nombre de inicio de sesin y contrasea de Windows.
A continuacin, al intentar conectarnos a la red por primera vez, Windows nos mostrar
un globo en el que se indica que hagamos clic en l para seleccionar los credenciales.
Como nombre de usuario debemos indicar usuario@alumno.upv.es1, siendo usuario
nuestro usuario dentro de la UPV, y como contrasea la que usemos normalmente en
nuestra cuenta UPV. El dominio se deja en blanco.
Para ms ayuda sobre configurar eduroam, o guas para configuracin en otros sistemas
operativos, consultar en http://infoacceso.webs.upv.es/accwlan/eduroam.
4.1 FreeRADIUS
4.2 Instalacin
1
OJO, si somos antiguos alumnos deberemos introducir como nombre de usuario usuario@aaa.upv.es,
y si somos PAS o PDI usuarios@upv.es.
9
autenticacin a un punto de acceso, que a su vez tambin deberemos configurar para
que sea cliente de RADIUS (actuando como un NAS).
Una vez configurados los certificados, ya podremos ejecutar el servidor (como root),
mediante la orden radiusd X (la X se utiliza para funcionar en modo debug, y as
recibir informacin sobre los eventos que se suceden en el servidor). Tal y como hemos
dicho previamente, la primera vez que se ejecute el servidor se crearn los certificados
necesarios. Si todo va bien, el servidor debe quedarse escuchando en los puertos
asociados a los servicios que ofrece.
Para comprobar que el servidor est funcionando correctamente, podremos hacer uso de
la herramienta radtest como root, de la siguiente manera:
10
Puedes observar tambin los mensajes en pantalla que se visualizan en el servidor
cuando ste recibe una solicitud. Si quieres ver una solicitud rechazada, puedes volver a
realizar una solicitud de servicio, pero cambiando el secreto por otro cualquiera.
Para evitar una excesiva longitud de este fichero y por cuestiones de organizacin,
radiusd.conf se subdivide en varios ficheros mediante la directiva $INCLUDE:
Como vamos a trabajar con suplicantes bajo Windows XP, configurados como en
hemos visto previamente para eduroam en la UPV, vamos a necesitar soporte de PEAP
y mschapv2. Para esto editamos el fichero eap.conf, y cambiamos el atributo
default_eap_type general, de md5 a peap (en minsculas), y en el apartado de
peap asegrate de que default_eap_type est a mschapv2. En principio, si usamos la
versin 2.1.1 de Radius no deberamos necesitar cambiar nada ms en este fichero, ya
que la parte de peap est descomentada por defecto.
client 192.168.1.1 {
secret = secretotra
shortname = ap
nastype = cisco
}
Fjate que el punto de acceso va a tener como direccin IP por defecto 192.168.1.1,
por la configuracin del propio punto de acceso que vamos a emplear, y que como
secreto para la configuracin posterior de NAS e el punto de acceso usaremos
secretotra
11
Por ltimo vamos a aadir un usuario que ser usado por Windows XP cuando solicite
acceso a la red inalmbrica. Para esto editamos el fichero users, y aadimos el siguiente
usuario:
Para que la nueva configuracin del servidor tenga efecto, interrumpiremos su ejecucin
y lo volveremos a lanzar, tecleando nuevamente radiusd X
Recuerda que para obtener la direccin IP que se le ha asignado tu mquina puedes usar
el comando ifconfig en Linux. Adems observa que la direccin que hemos obtenido
en este caso ha sido asignada automticamente por el router, dentro de su red privada,
por lo que corremos el peligro de que al rearrancar el servidor se nos asigne una
direccin IP distinta, y tengamos que actualizar la configuracin del punto de acceso
con la nueva IP. Para evitar esto en una configuracin definitiva deberamos asignar al
servidor una IP esttica dentro de la red privada.
12
4.5 Configuracin del suplicante
13