SISTEMAS INALÁMBRICOS EN COMUNICACIÓN DE DATOS

TUTORIAL: SEGURIDAD WPA2 PEAP - LINUX

Presentado por:
José Julián Mosquera Fuli
Manuel Alejandro Valencia Giraldo

Presentado a:
Ing. Guefry Leider Agredo Méndez

Facultad de Ingeniería Electrónica y Telecomunicaciones

Universidad del Cauca
Popayán
2018
TUTORIAL SEGURIDAD WPA2 PEAP - LINUX
Para lograr la finalidad del proyecto la cual es que los usuarios puedan acceder a una red
cuyas características de seguridad sean WPA2-PEAP, realizando autenticación en un
servidor Linux, en el cual se encuentran almacenados los datos necesarios (usuario y
contraseña) para lograr satisfactoriamente el ingreso a la red, se deben seguir los
siguientes pasos y tener en cuenta algunas consideraciones para el buen funcionamiento,
las cuales se pueden afirmar gracias a los pequeños inconvenientes presentados en el
desarrollo de la práctica.

Inicialmente cabe resaltar la arquitectura del sistema para tener mayor claridad acerca de lo
que se pretende lograr, dicha arquitectura se observa en la figura 1.

Figura N°1. Arquitectura

MÁQUINA VIRTUAL
En informática, una máquina virtual es un software que simula un sistema de computación y
puede ejecutar programas como si fuese una computadora real. Este software fue definido
como "un duplicado eficiente y aislado de una máquina física". La acepción del término
actualmente incluye a máquinas virtuales que no tienen ninguna equivalencia directa con
ningún hardware real.
Una característica esencial de las máquinas virtuales es que los procesos que ejecutan
están limitados por los recursos y abstracciones proporcionados por ellas. Estos procesos
no pueden escaparse de esta "computadora virtual".
Uno de los usos domésticos más extendidos de las máquinas virtuales es ejecutar sistemas
operativos para "probarlos". De esta forma podemos ejecutar un sistema operativo que
queramos probar (GNU/Linux) desde nuestro sistema operativo habitual (Mac OS X,
Windows) sin necesidad de instalarlo directamente en nuestra computadora y sin miedo a
que se desconfigure el sistema operativo primario.

Cómo crear una máquina virtual

Uno de los programas de virtualización más populares y sencillos de utilizar es VirtualBox.
Aunque existen muchos otros, para este tutorial utilizaremos VirtualBox, porqué es gratuito,
fácil de usar, y está disponible para Windows, OS X, y Linux.
 Figura N°2 Pagina de Virtual Box

Puedes descargar gratuitamente desde la página oficial, VirtualBox para Windows, OS X,

Linux y Solaris. Si usas Ubuntu o alguna distribución derivada, también puedes encontrar
VirtualBox directamente en el centro de software.

Figura N°3 Opción en la pagina de descargar las distribuciones Linux

Crear la máquina virtual

El proceso es el mismo sea cual sea el sistema desde el cual estés creando tu máquina
virtual.
 Figura N°4 Creación de una nueva máquina virtual

Crea una máquina presionando el botón Nueva, y luego elige un nombre para tu máquina,
el tipo de sistema operativo y la versión del mismo. En mi caso voy a instalar elementary
OS, pero como no aparece, elegiré lo más cercano: Ubuntu; aunque también podría elegir la
opción “otro Linux”.

Figura N°5 Nombre de la nueva máquina virtual

Asignar la cantidad de memoria RAM: aunque el sistema siempre sugiere que 512MB
bastan, es recomendado usar al menos 1GB.
 Figura N°6 Asignación Memoria RAM

Crear un disco duro virtual: La máquina virtual necesita un disco duro, donde se obtendrá
su espacio directamente del disco duro físico.

Figura N°7 Creación Disco Duro Virtual

Elegir el tipo de disco duro virtual: Existen varios tipos, para este caso se selecciona VDI
(Imagen de disco de VirtualBox).

Figura N°8 Tipo de Disco Duro

Asignar el tamaño al disco: Se tienen dos opciones, reservado dinámicamente o tamaño

fijo. El dinámico, solo utiliza espacio a medida que se llena hasta un tamaño máximo fijo
asignado por el programa. En cambio, en el fijo, tu asignas la cantidad de espacio
disponible desde el principio y este se reserva completamente.
 Figura N°9 Tamaño del Disco

Elegir la ubicación y tamaño del disco duro virtual: seleccionamos una ruta dentro del
sistema para guardar el archivo.VDI. Presionamos crear y ya tenemos nuestra máquina
virtual lista.

Figura N°10 Ubicación y Tamaño del disco duro virtual

Como se puede observar se tiene un usuario que intenta conectarse a una red mediante un
AP (Access Point), el cual está vinculado con un servidor RADIUS por las configuraciones
que se presentarán más adelante. RADIUS (del inglés Remote Authentication Dial-In User
Server) es un protocolo que destaca sobre todo por ofrecer un mecanismo de seguridad,
flexibilidad, capacidad de expansión y una administración simplificada de las credenciales
de acceso a un recurso de red. Dicho servidor está alojado en una máquina Linux, la cual es
previamente creada con el sistema operativo de preferencia (para el caso se usó Debian),
de las cuales se tienen las siguientes características básicas.
 Ítem Descripción

Sistema operativo Debian 8.8 (64 bits)

Memoria base 1024 MB

Procesadores 1

Almacenamiento 8 GB

Adaptador de red Conectado a

adaptador puente

Se recalca el hecho de que las configuraciones de la máquina virtual no tienen que ser
exactamente las mismas aquí presentadas para el desarrollo, simplemente se pusieron
estas por preferencia y facilidad de trabajo.

CONFIGURACIÓN DEL SERVIDOR

Para instalar el servidor freeradius se ingresa en modo superusuario y se digita el comando

apt-get install freeradius, el cual tomará el tiempo necesario según factores como el
procesamiento de la máquina o la velocidad de acceso a internet. Una vez terminada la
instalación de los archivos se ingresa a la carpeta que contiene los archivos de
configuración, esta carpeta se encuentra en /etc/freeradius/ en la cual se ingresa y se
presiona el comando ls para mirar los archivos que contiene.

Se recomienda modificar lo menos posible estos archivos para evitar alterar las
configuraciones que vienen por defecto y que son necesarias.

De todos los archivos se esperan modificar 3 los cuales son

● clients.conf
● users
● eap.conf

Es recomendable hacer una copia de dichos archivos para tenerla como respaldo, en caso
tal de que se realicen muchas modificaciones y resulte difícil volver a las configuraciones
iniciales, se tendrá la copia de los archivos para solucionar dicho problema, debe quedar
así.
 Figura N°11. Archivos de configuración freeradius.

Ahora se realiza la configuración de cada uno de los archivos mencionados, explicando

brevemente la finalidad de cada uno de ellos, de igual forma, cada uno de los archivos
explica para qué sirven, mostrando ejemplos de las configuraciones que se pueden realizar
al interior de cada uno de los archivos, estas indicaciones vienen comentadas usando un
símbolo #.

El archivo eap.conf deberá ser modificado para configurar el protocolo PEAP con el cual se
realizará la autenticación de los usuarios finales. Dicho esto, se cambia la configuración por
defecto y se configura el protocolo PEAP, lo cual debe verse así.

Figura N°12. Configuración archivo eap.conf

Luego se procede a configurar el archivo users en el cual se establecen los usuarios y
contraseñas que podrán ser usados por los clientes finales para acceder a la red. Se debe
recordar cuáles fueron los usuarios creados y sus respectivas contraseñas para
posteriormente hacer el ingreso a la red. Esta configuración debe verse así.

Figura N°13. Configuración archivo users.

Para este caso se especificaron los usuarios mostrados en la figura 13 con el fin de realizar
las pruebas de conexión. Una vez modificado el archivo users se verifica que fueron
creados correctamente los usuarios, para lo cual se digita el comando radtest mvalencia
in01 localhost 1812. De dicha línea de comando se realiza la prueba para el usuario
mvalencia cuya contraseña es in01, si se desea probar para otro usuario se digita el usuario
y contraseñas correspondientes. Se debe especificar el número 1812 al final del comando el
cual indica el puerto por el cual se comunica por defecto el protocolo. Una vez pulsado enter
debe aparecer lo siguiente siempre y cuando el usuario ha sido creado correctamente.
 Figura N°14. Prueba verificación de creación de usuarios.

En caso tal de que en la línea rad_recv arroje un resultado access reject, significa que el
usuario no fue creado correctamente, de manera que se debe revisar el archivo
nuevamente y realizar los ajustes necesarios. Se debe digitar el comando service
freeradius restart para levantar nuevamente el servicio y guardar los cambios realizados.

Finalmente se configura el archivo clients.conf en el cual se indica la ip del AP o del router

con el cual se va a conectar el servidor, dicha ip puede variar según las configuraciones
previas de la red. En dicho archivo se establece un nombre y clave secreta que será usados
para configurar posteriormente en el router o el AP, permitiendo así la comunicación entre el
AP y el servidor. Finalmente debe verse así la configuración.

Figura N°15. Configuración archivo clients.conf.

Luego de realizar estos cambios se reinicia nuevamente el servidor y se procede a
configurar el AP.

CONFIGURACIÓN DEL ACCESS POINT

Para configurar el AP con el servidor RADIUS se ingresa a las configuraciones del

dispositivo, en este caso se ingresa con la puerta de enlace 192.168.0.1, luego se debe
ingresar a las configuraciones inalámbricas y se configura el SSID que se especificó en el
archivo clients.conf, para el caso el SSID es majo.

Figura N°16. Configuración AP.

Luego se ingresa en el campo de seguridad inalámbrica para realizar las configuraciones

con los datos del servidor, para lo cual se debe saber la ip que se le asignó a la máquina.

Figura N°17. Configuración seguridad en el router.

Como se puede ver en la figura anterior la ip asignada es 192.168.0.105 la cual debe
configurarse como se dijo anteriormente en la parte de seguridad inalámbrica del router de
la siguiente manera, también se debe configurar la clave secreta que se indicó en el archivo
clients.conf. Dichas configuraciones deben verse de la siguiente forma.

Figura N°18. Configuración seguridad AP.

Finalmente se guardan las configuraciones realizadas y se reinicia el dispositivo para que

los cambios se guarden y ejecuten. Luego se realizan las pruebas de conexión en los
clientes.

PRUEBAS EN CLIENTES

Para realizar las pruebas en los clientes, por ejemplo, dispositivos móviles cuando se
ingresa a la red se ve de la siguiente manera.
 Figura N°19. Ingreso por smartphone.

Luego se desactiva la opción de certificados para poder ingresar sin problemas a la red y se
digitan los datos y se verifica que se tenga acceso a la red.

Figura N°20. Datos de ingreso.

Finalmente se logró ingresar a la red y se verificó el funcionamiento de la configuración

realizada.
CONSIDERACIONES

● Se debe actualizar preferiblemente la máquina para evitar problemas en las

descargas de los archivos necesarios, en algunas ocasiones se presentó
inconvenientes al descargar los archivos y la recomendación era actualizar la
máquina con los comandos sudo apt-get update y una vez finalizada la ejecución
del comando se prosigue con el comando sudo apt-get upgrade.
● El adaptador de red de la máquina debe estar en modo puente dado que se
presentaron inconvenientes con el adaptador Nat cuando se trataba de configurar la
dirección ip del servidor en el router. Con el adaptador Nat se asigna una dirección ip
privada mientras que con el adaptador puente se asigna una dirección ip clase c
perteneciente a la red del router con el que se desea realizar la conexión.
● Se debe ingresar previamente al router mediante la dirección ip correspondiente
para verificar que este, en sus configuraciones de seguridad inalámbricas, tenga la
posibilidad de habilitar el protocolo RADIUS, dado que durante el desarrollo se
hicieron pruebas de algunas marcas de routers los cuales no tenían o no se
encontró la opción requerida para la autenticación con RADIUS. Finalmente la marca
usada fue un TP-Link.
● Antes de tratar de hacer pruebas de ingreso de los usuarios a la red, es muy
recomendable realizar los pasos especificados anteriormente con respecto a
verificar que los usuarios se encuentren creados correctamente y que sus
contraseñas sean las que se deseaban, esto porque en algunas ocasiones se digita
mal las palabras y cuando se trata de hacer la autenticación no se logra hacer,
gastando tiempo en buscar errores de configuración o instalación cuando la
contraseña digitada no coincide con la registrada en el archivo de configuración
users, alojado en la carpeta /etc/freeradius/. De manera que se modifica el archivo
con los datos correctos.
● Cuando se realicen cambios en los archivos de configuración es importante recordar
levantar el servicio nuevamente para que los cambios puedan ser asimilados por el
sistema, de lo contrario no se tendrán en cuenta hasta reiniciar la máquina, para lo
cual se debe implementar el paso donde se digita el comando service freeradius
restart.
● Es recomendable usar una ip estática en el servidor para no tener que cambiar las
configuraciones en el router cada que se reinicie la máquina.