Servidor RADIUS con WinRADIUS

Servidor RADIUS con winRADIUS

Servidor RADIUS con WinRADIUS

Índice 1 Introducción...............................................................................................................................................2

1.1 AAA.....................................................................................................................................................3 1.2 RADIUS...............................................................................................................................................3 1.3 freeRADIUS........................................................................................................................................4 1.4 EAP......................................................................................................................................................4

2 Escenario.....................................................................................................................................................4 3 Configuración del AP................................................................................................................................5 4 winRADIUS: instalación y configuración básica ..................................................................................6 5 Conexión con supplicant Win7..............................................................................................................12 6 Conexión con supplicant Android.........................................................................................................15 7 Resumen....................................................................................................................................................16 8 Fuentes y para más información............................................................................................................17

1/17


1 IntroducciónAAA (Authentication, Authorization, Accounting) es un modelo de arquitectura de seguridad, un tipo de protocolos, pero no un protocolo en particular.RADIUS (Remote Authentication Dial-In User) es un protocolo, una implementación específica de AAA.freeRADIUS es un servidor RADIUS muy popular y ampliamente utilizado. Existe una versión para Windows llamada winRADIUSEAP (Extensible Authentication Protocol) es un esquema de autenticación usado habitualmente en redes WLAN. Provee algunas funciones y negociaciones comunes para el mecanismo de autenticación escogido.

2/17


1.1 AAAAuthentication, Authorization, Accounting.

Autenticación: una entidad (usuario) prueba su identidad ante otra (servidor). Por ejemplo: mediante contraseñas, tokens, certificados, ...Autorización: concesión de privilegios a un usuario basándose en su identidad autenticada. Por ejemplo: asignación de IP, de ancho de banda, … Contabilización: seguimiento del consumo de recursos por los usuarios. Por ejemplo: tipo de servicio proporcionado, cuando comenzó y terminó de usarlo, etc. Esta información puede usarse para la administración, planificación, facturación, etc.

Protocolos AAA:

• RADIUSUsa UDP

• DIAMETERBasado en RADIUS, pero usa TCP (entre otras mejoras)

• TACACSUsa TCP

• TACACS+Basado en TACACS, pero totalmente nuevo e incompatible con él.

1.2 RADIUSRemote Authentication Dial-In User

Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus conexiones y el 1813 para contabilización.

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

3/17


1.3 freeRADIUSSoftware servidor para Linux. Hay versión para Windows (winRADIUS), que se configura con ficheros de texto tipo Linux.Permite dar de alta usuarios sin necesidad de base de datos SQL.

1.4 EAPExtensible Authentication Protocol.

Es una estructura de soporte, no un mecanismo específico de autenticación En IEEE 802.11 (Wi-Fi), los estándares WPA y WPA2 han adoptado IEEE 802.1X con unos cien subtipos EAP como sus mecanismos de autenticación oficiales.

2 Escenario

• Servidor Windows con winRADIUS 2.2.6

• Punto de acceso (NAS*) Netgear DG834G

• Cliente (Supplicant) Windows 7

• Cliente (Supplicant) Android 4.3 Jelly Bean

NOTA *No confundir NAS con Network Attached StorageEn este caso, NAS significa Network Access Server, papel que desempeña el AP.

4/17


3 Configuración del AP

SSID = NETGEARIP = 192.168.1.220/24LOGIN = admin/passwordDHCP = disabled

5/17


4 winRADIUS: instalación y configuración básica Versión freeRADIUS para instalar en Windows.

Descargar programa de http://winradius.eu/Download.html e instalar.

Requiere solicitar un código de activación por e-mail.

Envían un e-mail con la clave de activación.

6/17

http://winradius.eu/Download.html


Y ya podemos continuar la instalación.

Se crea una carpeta en Archivos de programa con unos pocos ficheros.

El grueso de los ficheros quedan en C:\freeradius-2.2.6, donde crea una estructura similar a la creada en Linux.

7/17


Utilidades ofrecidas por winRADIUS, dentro de la carpeta de programas.

Los ficheros users y clients están en C:\freeradius-2.2.6\etc\raddb

Fichero usersPara configurar usuarios y contraseñas

Fichero clients.confPara configurar clientes (puntos de acceso)

Una vez realizada la configuración, reiniciar el equipo.

8/17


Comprobar puertos abiertos: no aparece el puerto UDP 1812 abierto: el servicio RADIUS no arranca automáticamente.

C:\>netstat -anp udp | find “181”

< salida vacía >

Arrancar servicio.

9/17


Comprobar puertos abiertos: ahora ya está abierto el puerto UDP 1812.

C:\>netstat -anp udp | find “181”

Conexiones activas

Proto Dirección local Dirección remota UDP 0.0.0.0:1812 *:* UDP 0.0.0.0:1813 *:* UDP 0.0.0.0:1814 *:*

Ejecutar programa de chequeo radtest-win.cmd. Puede hacerse ejecutando desde el explorador o ejecutando el comando.

radtestwin.cmd ejecutando desde el explorador.

10/17


radtestwin.cmd ejecutando el comando.

C:\freeradius-2.2.6\bin\tests>radtestwin**** WinRADIUS 2.2.6 Sanity Tests ****

These tests assume WinRADIUS Server is up and running (127.0.0.1:1812)

Presione una tecla para continuar . . .

<...salida truncada...>

Sending Access-Request of id 211 to ::1 port 1812 User-Name = "testuser" User-Password = "testpw" NAS-IP-Address = 127.0.0.1 NAS-IPv6-Address = fe80::1 NAS-Port = 1812rad_recv: Access-Accept packet from host ::1 port 1812, id=211, length=37 Reply-Message = "Hello, testuser"

Total approved auths: 1 Total denied auths: 0 Total lost auths: 0

11/17


5 Conexión con supplicant Win7Si no se configura nada en el cliente, es muy probable que no conecte.

CONFIGURACIÓN DEL SUPPLICANT

Centro de redes y recursos compartidos Administrar redes inalámbricas Agregar → →

12/17


Como Tipo de seguridad puede escogerse WPA-Enterprise o WPA2-Enterprise, dependiendo del tipo configurado en el AP.

Al escoger el tipo “Enterprise”, se bloquea el cuadro de Clave de seguridad, ya que ésta ahora no se configura en el supplicant, sino en el servidor RADIUS.

Como Tipo de cifrado puede escogerse TKIP o AES, dependiendo del tipo configurado/soportado en el AP.

13/17


Se escoge Reemplazar credenciales porque no utilizaremos usuarios de Windows, sino usuarios “virtuales”.

NotaEl servidor RADIUS únicamente autentica para establecer la conexión con el AP. Una vez establecida, aunque el servidor RADIUS se apague, la conexión seguirá activa.

14/17


6 Conexión con supplicant AndroidEn Android no hay que configurar nada: únicamente indicar usuario y contraseña.

15/17


7 Resumen

Cliente NAS (Punto de Acceso)

• En algún apartado de la configuración de la Wi-Fi, escoger algo así como

◦ Security Options = WPA2-802.1x

◦ Radius Server Name/IP Address = 192.168.1.222

◦ Radius Port = 1812

◦ Shared Key = eti123456

Servidor winRADIUS (Windows)

• Descargar de http://winradius.eu

• Enviar e-mail a [email protected] solicitando código de desbloqueo

• Instalar

• Configurar

◦ Fichero C:\freeradius-2.2.6\etc\raddb\usersvirtudes Cleartext-Password := “virtudicas”

◦ Fichero C:\freeradius-2.2.6\etc\raddb\clients.confclient 192.168.1.220 { secret = eti123456 shortname = ap_orlando}

• Reiniciar servicio

◦ Reiniciar equipo

◦ Arrancar servicioInicio Programas Start RADIUS Server (Debug)→ →

• Comprobar

◦ Comprobar puerto UDP 1812 abiertonetstat -anp udp | find “181”

◦ Ejecutar utilidad de testeoc:\freeradius-2.2.6\bin\tests\radtestwin.cmd

16/17

mailto:[email protected]

http://winradius.eu/


Supplicant Windows 7Agregar una nueva conexión de red inalámbrica con los siguientes parámetros:

• Nombre de la red = el SSID del AP

• Tipo de seguridad = WPA2-Enterprise

• Tipo de cifrado = TKIP

• Seguridad Método de autenticación = Microsoft: EAP protegido (PEAP) [default]→

◦ Configuración

▪ desactivar “Validar un certificado de servidor”→

▪ desactivar “Habilitar reconexión rápida”→

▪ Método de autenticación = Contraseña segura (EAP-MSCHAP v2) [default]→

• Configurar

◦ desactivar “Al conectar, usar automáticamente el nombre de inicio de→ sesión y contraseña de Windows”

◦ Configuración avanzada

▪ activar “Especificar modo de autenticación” = Autenticación de usuarios→

▪ Guardar credenciales = usuario → virtudes / contraseña virtudicas

Supplicant Android Jelly BeanNo hay que hacer nada en especial, únicamente, proporcionar usuario + contraseña.

8 Fuentes y para más informaciónhttps://www.wikipedia.org/ http://freeradius.org/ http://personales.alumno.upv.es/~hecmargi/manuales/linux/freeradius/ http://padamrajgurung.com.np/authentication-in-aaa/ https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-y-mysql/ http://www.systerminal.com/2014/03/26/wpa2-enterprise-freeradius-openldap-debian-wheezy-14/

Aula [email protected]

@aula30xv.16.12

17/17

http://www.systerminal.com/2014/03/26/wpa2-enterprise-freeradius-openldap-debian-wheezy-14/

https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-y-mysql/

https://echaleunvistazo.wordpress.com/2012/08/13/servidor-radius-con-debian-freeradius-y-mysql/

http://padamrajgurung.com.np/authentication-in-aaa/

http://personales.alumno.upv.es/~hecmargi/manuales/linux/freeradius/

http://freeradius.org/

https://www.wikipedia.org/

Servidor RADIUS con WinRADIUS

Documents