Professional Documents
Culture Documents
ALUMNOS: CANALES MANCIA GUILLERMO ERNESTO FLORES CASTRO FRANCISCO ALEXANDER LAZO HERNANDEZ FLORENTIN
INDICE
PROBLEMA PLANTEADO...................................................................................................................... 1 PLANTEAMIENTO DE LA SOLUCION .................................................................................................... 2 CONFIGURACIONES ........................................................................................................................... 13 BIBLIOGRAFIA .................................................................................................................................... 34
RAD I US
RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos permite gestionar la autenticacin, autorizacin y contabilizacin o registro de usuarios remotos sobre un determinado recurso. La tupla autenticacin, autorizacin y registro es mas conocida como AAA, al ser este su acrnimo de su denominacin original inglesa Authentication, Authorization and Accounting, cada uno de estos trminos hace referencia a un papel especifico los cuales son: Autenticacin (auth entication ): Este trmino hace referencia al proceso por el cual se determina si un usuario tiene permiso para acceder a un determinado servicio de red del que se quiere hacer uso. El proceso de autenticacin se realiza mediante la presentacin de una identidad y una credencial por parte del usuario que demanda el acceso. Un tipo habitual de credencial es el uso de una contrasea (o password) que junto al nombre de usuario nos permite acceder a determinados recursos. El nombre de usuario es la identidad, que puede ser pblicamente conocida, mientras que la contrasea se mantiene en secreto, y sirve para que nadie suplante nuestra identidad. Otros tipos ms avanzados de credenciales son los certificados digitales.
N AS
Un Network Access Server (NAS) es un sistema que proporciona acceso a la red. En algunos casos tambin se conoce como Remote Access Server (RAS) o Terminal Server. En general, NAS es un elemento que controla el acceso a un recurso protegido, que puede ser desde un sencillo telfono para VoIP o una impresora, hasta el acceso a una red inalmbrica o a Internet (proporcionado por un ISP). Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS, quien a su vez se conecta a un servidor de AAA (tpicamente RADIUS) preguntando si los credenciales proporcionados por el cliente son vlidos. Basndose en su respuesta, NAS le
FREERAD IU S
FreeRADIUS es un paquete de software de cdigo abierto y libre distribucin que implementa diversos elementos relacionados con RADIUS, tales como una biblioteca BSD para clientes, mdulos para soporte en apache, y lo que ms nos interesa en este punto, un servidor de RADIUS. El servidor de FreeRADIUS es modular, para facilitar su extensin, y es muy escalable. Adems, tiene casi todas las opciones que un usuario puede necesitar: Para realizar las tareas de AAA puede almacenar y acceder a la informacin por medio de mltiples bases de datos: LDAP (AD, OpenLDAP,), SQL (MySQL, PostgreSQL, Oracle,) y ficheros de texto (fichero local de usuarios, mediante acceso a otros Reales, fichero de sistema /etc/passwd,) Soporta prcticamente toda clase de clientes Radius (por ejemplo, ChilliSpot, JRadius, mod_auth_radius, pam_auth_radius, Pyrad, extensiones php de RADIUS, etc)
LD AP
LDAP son las siglas de Lightweight Directory Access Protocol (en espaol Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicacin el cual permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa informacin en un entorno de red. LDAP tambin es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas. Un directorio es un conjunto de objetos con atributos organizados en una manera lgica y jerrquica. El ejemplo ms comn es el directorio telefnico, que consiste en una serie de nombres (personas u organizaciones) que estn ordenados alfabticamente, con cada nombre teniendo una direccin y un nmero de telfono adjuntos. Un rbol de directorio LDAP a veces refleja varios lmites polticos, geogrficos u organizacionales, dependiendo del modelo elegido. Los despliegues actuales de LDAP tienden a usar nombres de Sistema de Nombres de Dominio (DNS por sus siglas en ingls) para estructurar los niveles ms altos de la jerarqua. Conforme se desciende en el directorio pueden aparecer entradas que representan personas, unidades organizacionales, impresoras, documentos, grupos de personas o cualquier cosa que representa una entrada dada en el rbol (o mltiples entradas). Habitualmente, almacena la informacin de autenticacin (usuario y contrasea) y es utilizado para autenticarse aunque es posible almacenar otra informacin (datos de contacto del usuario, ubicacin de diversos recursos de la red, permisos, certificados, etc.). A manera de sntesis, LDAP es un protocolo de acceso unificado a un conjunto de informacin sobre una red. La versin actual es LDAPv3.
PFS EN S E
pfSense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin. Caractersticas La siguiente lista muestra algunas funcionalidades que se incluyen por defecto en el sistema: Firewall: pfSense se puede configurar como un cortafuego permitiendo y denegando determinado trfico de redes tanto entrante como saliente a partir de una direccin ya sea de red o de host de origen y de destino, tambin haciendo filtrado avanzado de paquetes por protocolo y puerto. Servidor VPN: pfSense se puede se puede configurar como un servidor VPN usando protocolos de tunneling tales como IPSec, PPTP, entre otras. Servidor de Balanceo de Carga: pfSense puede ser configurado como servidor de balanceo de carga tanto entrante como saliente, esta caracterstica es usada comnmente en servidores web, de correo, de DNS. Tambin para proveer estabilidad y redundancia en l envi de trfico a travs del enlace WAN evitando los cuellos de botella. Portal Cautivo: Este servicio consiste en forzar la autenticacin de usuarios redirigindolos a una pgina especial de autenticacin y/o para aceptar los trminos
11
12
internacionales
admin
paises
lector
Belice
Costa Rica
El Salvador
otros
Ciudad Belice
Otras Ciu.
Sucursal 1
Otras Suc.
usuarios
usuarios
chepe
juan
maria
xxx
xxx
xxx
13
Una vez instalado el servidor Radius y el servidor OpenLDAP, solo necesitaremos decirle al servidor freeradius que se autentifique con OpenLDAP: En /etc/freeradius/sites-available/default descomentamos la linea que pone ldap para habilitar el mdulo LDAP en la parte de autorizacin y descomentamos el apartado de ldap para la parte de autenticacin de la siguiente forma: authorize { #
14
15
Iniciamos el servicio de mysql si no se ha iniciado de forma automtica despus de la instalacin: service mysqld start
Declaramos un usuario para la base de datos creada: GRANT ALL ON radius.* TO radius@localhost IDENTIFIED BY 'radius'; En este caso asumimos que la Base de datos se llama "radius" y creamos un usuario tambin "radius" con password "radius" Salimos de la base de datos usando: exit;
Una vez hecho esto creamos algunas tablas en la base de datos usando los esquemas incluidos en Freeradius para la base de datos: mysql -u root -p radius < /etc/freeradius/sql/mysql/admin.sql mysql u root p radius < /etc/freeradius/sql/mysql/cui.sql mysql - u root p radius < /etc/freeradius/sql/mysql/ippool.sql mysql - u root p radius < /etc/freeradius/sql/mysql/nas.sql mysql - u roor p radius < /etc/freeradius/sql/mysql/schema.sql mysql - u root p radius < /etc/freeradius/sql/mysql/wimax.sql
Ahora si queremos verificar las tablas creadas solo necesitamos hacer lo siguiente:
Se mostrara una table con la informacion respectiva de las tablas de la base de datos +------------------+ | Tables_in_radius | +------------------+ | nas | | radacct | | radcheck |
18
19
nano /etc/freeradius/sites-available/inner-tunnel authorize { # # Look in an SQL database. The schema of the database #is meant to mirror the users file # #See Authorization Queries in sql.conf Sql # }
Daloradius Daloradius es una avanzada aplicacin HTTP que sirve de sistema de administracin para RADIUS, y est diseada para ser utilizada para administrar hotspots (puntos calientes, es decir zona de cobertura Wi-Fi, en el que un punto de acceso o varios proveen servicios de red a travs de un Proveedor de Servicios de Internet Inalmbrico o WISP) y uso general para la autenticacin de Proveedores de Acceso a Internet (ISP). Incluye gestin de usuarios, reportes grficos, contabilidad, motor de cobranza e integracin con GoogleMaps para Geolocalizacin.
20
Una vez instalado agregamos algunas libreiras que son necesarias para el buen funcionamiento de la aplicacin aptitude install php5 php5-mysql php-pear php5-gd php-DB
Una vez hecho, cambiamos los permisos y propiedades del directorio de daloradius. chown www-data:www-data /var/www/daloradius/ -R
Para que Daloradius funcione correctamente, se requiere agregar algunas tablas mas a la base de datos de MySQL. Estas tablas ya estan incluidas en el directorio de DaloRadius, por lo que solo es necesario ejecutar el siguiente comando: mysql -u root -p admin < /var/www/daloradius/contrib/db/fr2-mysqldaloradius-and-freeradius.sql Aparte de daloradius es recommendable instalar phpmyadmin: aptitude install phpmyadmin
Por ltimo antes de poder accesar a la GUI modificamos el archivo daloradius.conf.php en el cual ponemos los valores de la conexin al server de la base de datos: .. CONFIG_DB_ENGINE = mysql CONFIG_DB_HOST = 127.0.0.1 CONFIG_DB_USER = radius CONFIG_DB_PASS = labserver CONFIG_DB_NAME = radius ....................... Despus de editar reiniciamos apache y accedemos a travs del siguiente enlace:
21
pfSense Se realizo una instalacin en disco duro, para ello se descarga una imagen iso. Desde la pagina de www.pfsense.org. Los pasos de la instalacin no son nada complicados: 1. Se configura el BIOS de la PC para que el primer dispositivo de arranque sea la unidad de CD/DVD, se guardan los cambios y se reinicia el equipo, se inserta el cd de pfSense en la unidad de CD e inicia el proceso de arranque.
2. Tras ver pasar varias pantallas informativas del proceso de carga se llega a la siguiente en la cual se produce una pausa de 10 segundos para dar la opcin de hacer una instalacin nueva (I) o recuperar una instalacin (R), en este caso tecleamos la letra I.
22
3. llegamos a una pantalla azul de la configuracin de la consola de instalacin, en la cual por lo general basta con navegar con las teclas de cursor a "Accept these settings"y dar enter
4. Se nos presentar la pantalla de Select Task (seleccionar tarea) en la cual escogeremos "Quick/Easy nstall" para hacer una instalacin de manera automatizada y sin mayores preguntas.
23
5. El programa de instalacin nos pregunta si estamos seguros de lo que queremos hacer, como es una instalacin desde cero seleccionamos "OK"
6. Se lleva a cabo toda una serie de procesos de particin, formateo, y copia de archivos en las distintas particiones que se generan en el disco duro, todo lo cual puede llevar unos 20 minutos, tras lo cual presenta la pantalla de instalacin de Kernel, en la cual dependiendo del tipo de procesador seleccionaremos el kernel adecuado al sistema (multiproceso simtrico si el equipo tiene un procesador
24
7. termina la instalacin del kernel, seleccionamos "Reboot" y se reiniciar el equipo (debemos de sacar el CD de instalacin del lector), tomen nota del usuario y contrasea que muestra en la pantalla, ser la base para entrar al cofigurador web.
25
8. arranca el sistema, y nos pregunta si queremos configurar VLAN, tecleamos una N (indicamos que no)
9. nos muestra las interfaces instaladas, en este caso em0 (e eme cero, no emo =/ ) y em1, si tenemos la completa certeza de cual tarjeta de red es em0 y em1 (en este caso mi ejemplo) escribimos directamente el nombre de la interface LAN (es la primera por la que pregunta), en este caso em0 y aceptamos, nos pregunta por el
26
27
11. nos presenta la pantalla de informacin y configuracin, y con eso tenemos instalado un sistema pfSense bsico.
28
2- Una vez nos hemos logueado en el modo grfico necesitamos instalar los paquetes necesarios para la versin, seleccionando para ello a la pestaa system de donde elegiremos la opcin packages, en donde nos desplazaremos a la subpestaa de available packages e instalaremos el paquete freeradius2 y squid (Pfsense tiene una valiosa herramienta conocida como Squid, el cual es un servidor proxy en el cual podemos poner en una lista negra (o blacklist) todas las direcciones URL que no queremos que sean visitadas en nuestra red).
29
3- Ahora que ya hemos instalado los paquetes, nos aparecer la opcin de Freeradius y de proxy server en la pestaa de services, el primer cambio que debemos de realizar es desplazarnos a la pestaa de proxy server en donde elegiremos poner que escuche en modo transparente. 4- Seguidamente pasaremos a definir una IP esttica para la o las interfaces LAN que vamos a usar mientras que las WAN las editaremos para recibir DHCP, para el caso usaremos el caso nos dirigimos a la pestaa Interfaces, seleccionamos la interfaz LAN y escogemos la opcin enable interface seguidamente nos desplazamos al combo box donde elegiremos static seguidamente nos desplazamos y establecemos la direccin ip de la interfaz y guardaremos los cambios. 5- Hecho esto nos ubicamos en Services elegimos Captive Portal: Es aqu donde seleccionamos la opcin Enable captive portal seguidamente elegiremos la/s interfaces sobre las cuales se desplegara el portal cautivo en primera instancia, hecho esto la forma por la cual los usuarios sern autenticados, y varios aspectos ms como habilitar la opcin de logout para desconectarse de la red. Adems podemos poner una URL para redireccionar a los usuarios una vez estos han sido autenticados exitosamente esto a groso modo es una forma de publicidad, para un sitio en especifico, ahora bien se puede implementar publicidad basada en perfiles.
30
6- Dado que para nuestro proyecto estamos usando servidores freeradius externos a la aplicacin elegimos RADIUS authentication al hacer esto se nos despliegan las opciones para ingresar ya sea un servidor local o externo, para el caso elegimos como servidor primario ubicado en la direccin 172.16.1.3 indicamos esto en la opcin correspondiente y proporcionamos la contrasea para el acceso del cliente radius (hemos de recordarnos de las marcadas diferencias entre clientes y usuarios de freeradius). Hacemo el mismo proceso para el servidor freeradius secundario, servidor que solo entrara en funciones una vez el primario deje de funcionar por algn motivo.
31
32
33
34