This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
2 Escenario.....................................................................................................................................................4 3 Configuración del AP................................................................................................................................5 4 winRADIUS: instalación y configuración básica ..................................................................................6 5 Conexión con supplicant Win7..............................................................................................................12 6 Conexión con supplicant Android.........................................................................................................15 7 Resumen....................................................................................................................................................16 8 Fuentes y para más información............................................................................................................17
1/17
Servidor RADIUS con winRADIUS
1 IntroducciónAAA (Authentication, Authorization, Accounting) es un modelo de arquitectura de seguridad, un tipo de protocolos, pero no un protocolo en particular.RADIUS (Remote Authentication Dial-In User) es un protocolo, una implementación específica de AAA.freeRADIUS es un servidor RADIUS muy popular y ampliamente utilizado. Existe una versión para Windows llamada winRADIUSEAP (Extensible Authentication Protocol) es un esquema de autenticación usado habitualmente en redes WLAN. Provee algunas funciones y negociaciones comunes para el mecanismo de autenticación escogido.
2/17
Servidor RADIUS con winRADIUS
1.1 AAAAuthentication, Authorization, Accounting.
Autenticación: una entidad (usuario) prueba su identidad ante otra (servidor). Por ejemplo: mediante contraseñas, tokens, certificados, ...Autorización: concesión de privilegios a un usuario basándose en su identidad autenticada. Por ejemplo: asignación de IP, de ancho de banda, … Contabilización: seguimiento del consumo de recursos por los usuarios. Por ejemplo: tipo de servicio proporcionado, cuando comenzó y terminó de usarlo, etc. Esta información puede usarse para la administración, planificación, facturación, etc.
Protocolos AAA:
• RADIUSUsa UDP
• DIAMETERBasado en RADIUS, pero usa TCP (entre otras mejoras)
• TACACSUsa TCP
• TACACS+Basado en TACACS, pero totalmente nuevo e incompatible con él.
1.2 RADIUSRemote Authentication Dial-In User
Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones y el 1813 para contabilización.
Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.
3/17
Servidor RADIUS con winRADIUS
1.3 freeRADIUSSoftware servidor para Linux. Hay versión para Windows (winRADIUS), que se configura con ficheros de texto tipo Linux.Permite dar de alta usuarios sin necesidad de base de datos SQL.
1.4 EAPExtensible Authentication Protocol.
Es una estructura de soporte, no un mecanismo específico de autenticación En IEEE 802.11 (Wi-Fi), los estándares WPA y WPA2 han adoptado IEEE 802.1X con unos cien subtipos EAP como sus mecanismos de autenticación oficiales.
2 Escenario
• Servidor Windows con winRADIUS 2.2.6
• Punto de acceso (NAS*) Netgear DG834G
• Cliente (Supplicant) Windows 7
• Cliente (Supplicant) Android 4.3 Jelly Bean
NOTA *No confundir NAS con Network Attached StorageEn este caso, NAS significa Network Access Server, papel que desempeña el AP.
These tests assume WinRADIUS Server is up and running (127.0.0.1:1812)
Presione una tecla para continuar . . .
<...salida truncada...>
Sending Access-Request of id 211 to ::1 port 1812 User-Name = "testuser" User-Password = "testpw" NAS-IP-Address = 127.0.0.1 NAS-IPv6-Address = fe80::1 NAS-Port = 1812rad_recv: Access-Accept packet from host ::1 port 1812, id=211, length=37 Reply-Message = "Hello, testuser"
Total approved auths: 1 Total denied auths: 0 Total lost auths: 0
11/17
Servidor RADIUS con winRADIUS
5 Conexión con supplicant Win7Si no se configura nada en el cliente, es muy probable que no conecte.
CONFIGURACIÓN DEL SUPPLICANT
Centro de redes y recursos compartidos Administrar redes inalámbricas Agregar → →
12/17
Servidor RADIUS con winRADIUS
Como Tipo de seguridad puede escogerse WPA-Enterprise o WPA2-Enterprise, dependiendo del tipo configurado en el AP.
Al escoger el tipo “Enterprise”, se bloquea el cuadro de Clave de seguridad, ya que ésta ahora no se configura en el supplicant, sino en el servidor RADIUS.
Como Tipo de cifrado puede escogerse TKIP o AES, dependiendo del tipo configurado/soportado en el AP.
13/17
Servidor RADIUS con winRADIUS
Se escoge Reemplazar credenciales porque no utilizaremos usuarios de Windows, sino usuarios “virtuales”.
NotaEl servidor RADIUS únicamente autentica para establecer la conexión con el AP. Una vez establecida, aunque el servidor RADIUS se apague, la conexión seguirá activa.
14/17
Servidor RADIUS con winRADIUS
6 Conexión con supplicant AndroidEn Android no hay que configurar nada: únicamente indicar usuario y contraseña.
15/17
Servidor RADIUS con winRADIUS
7 Resumen
Cliente NAS (Punto de Acceso)
• En algún apartado de la configuración de la Wi-Fi, escoger algo así como
◦ Security Options = WPA2-802.1x
◦ Radius Server Name/IP Address = 192.168.1.222
◦ Radius Port = 1812
◦ Shared Key = eti123456
Servidor winRADIUS (Windows)
• Descargar de http://winradius.eu
• Enviar e-mail a [email protected] solicitando código de desbloqueo
Supplicant Android Jelly BeanNo hay que hacer nada en especial, únicamente, proporcionar usuario + contraseña.
8 Fuentes y para más informaciónhttps://www.wikipedia.org/ http://freeradius.org/ http://personales.alumno.upv.es/~hecmargi/manuales/linux/freeradius/ http://padamrajgurung.com.np/authentication-in-aaa/ https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-y-mysql/ http://www.systerminal.com/2014/03/26/wpa2-enterprise-freeradius-openldap-debian-wheezy-14/