UNIVERSIDAD DE EL SALVADOR FACULTAD MULTIDISCIPLINARIA DE OCCIDENTE DEPARTAMENTO DE INGENIERIA Y ARQUITECTURA

CATEDRA: PROTOCOLOS DE COMUNICACIN

CATEDRATICO: ING. JUAN CARLOS PEA

ALUMNOS: CANALES MANCIA GUILLERMO ERNESTO FLORES CASTRO FRANCISCO ALEXANDER LAZO HERNANDEZ FLORENTIN

SANTA ANA 25 DE JUNIO 2012

INDICE
PROBLEMA PLANTEADO...................................................................................................................... 1 PLANTEAMIENTO DE LA SOLUCION .................................................................................................... 2 CONFIGURACIONES ........................................................................................................................... 13 BIBLIOGRAFIA .................................................................................................................................... 34

PROTOCOLOS DE COMUNICACION 2012

PROBLEMA PLANTEADO
El grupo roble empezar a brindar acceso a redes de forma gratuita en cada centro comercial que posee en Centro Amrica. Para acceder a sus servicios, los usuarios simplemente debern registrarse en un kiosko para que se les brinde un usuario y una contrasea que servirn como credenciales para uso de la red. El problema de este despliegue es que algunos de estos centros comerciales ya poseen bases de datos con informacin similar, pero en distintos motores (MySQL, Postgresql, etc.), y las implementaciones nuevas se harn en Active Directory/LDAP. Por tanto se le pide que implemente algn mecanismo que permita autenticar a cada usuario sin importar en qu base se encuentre, justo antes de hacer uso de la red

PROTOCOLOS DE COMUNICACION 2012

PLANTEAMIENTO DE LA SOLUCION
Como solucin al problema planteado se propone usar un sistema de autenticacin basado en Freeradius para la integracin de bases de datos, para el caso se utilizara una base de datos LDAP (Lightweight Directory Access Protocol, Protocolo Ligero de Acceso a Directorios) funcionando de forma integrada a una base de datos de MYSQL, adems se utilizara pfSense como herramienta de control para el acceso a la red y otras caractersticas. Antes de empezar a mostrar cada una de las configuraciones respectivas asi como el uso adecuado de cada una de las herramientas, introduciremos diversos conceptos cuyo conocimiento es clave para poder entender que se esta haciendo (que perseguimos y que conseguimos).

RAD I US
RADIUS (Remote Authentication Dial-In User Server) es un protocolo que nos permite gestionar la autenticacin, autorizacin y contabilizacin o registro de usuarios remotos sobre un determinado recurso. La tupla autenticacin, autorizacin y registro es mas conocida como AAA, al ser este su acrnimo de su denominacin original inglesa Authentication, Authorization and Accounting, cada uno de estos trminos hace referencia a un papel especifico los cuales son: Autenticacin (auth entication ): Este trmino hace referencia al proceso por el cual se determina si un usuario tiene permiso para acceder a un determinado servicio de red del que se quiere hacer uso. El proceso de autenticacin se realiza mediante la presentacin de una identidad y una credencial por parte del usuario que demanda el acceso. Un tipo habitual de credencial es el uso de una contrasea (o password) que junto al nombre de usuario nos permite acceder a determinados recursos. El nombre de usuario es la identidad, que puede ser pblicamente conocida, mientras que la contrasea se mantiene en secreto, y sirve para que nadie suplante nuestra identidad. Otros tipos ms avanzados de credenciales son los certificados digitales.

PROTOCOLOS DE COMUNICACION 2012

Existen muchos mtodos concretos que implementan el proceso de la autenticacin. Algunos de los soportados por RADIUS son: Autenticacin de sistema (system authentication) tpica en un sistema Unix, normalmente realizada mediante el uso del fichero /etc/passwd; Los protocolos PAP (Password Authentication Protocol), y su versin segura CHAP (Challenge Handshake Authentication Protocol), que son mtodos de autenticacin usados por proveedores de servicios de Internet (ISPs) accesibles va PPP. LDAP (Lightweight Directory Access Protocol), un protocolo a nivel de aplicacin (sobre TCP/IP) que implementa un servicio de directorio ordenado, y muy empleado como base de datos para contener nombres de usuarios y sus contraseas. Kerberos, el famoso mtodo de autenticacin diseado por el MIT. EAP (Extensible Authentication Protocol) que no es un mtodo concreto sino un entorno universal de autenticacin empleado frecuentemente en redes inalmbricas y conexiones punto a punto; Por ltimo, tambin se permite la autenticacin basada en ficheros locales de configuracin del propio servidor RADIUS. Authorizacin (auth orization) Este trmino hace referencia a conceder servicios especficos (entre los que se incluye la negacin de servicio) a un determinado usuario, basndose para ello en su propia autenticacin, los servicios que est solicitando, y el estado actual del sistema. Es posible configurar restricciones a la autorizacin de determinados servicios en funcin de aspectos como, por ejemplo, la hora del da, la localizacin del usuario, o incluso la posibilidad o imposibilidad de realizar mltiples logins de un mismo usuario. El proceso de autorizacin determina la naturaleza del servicio que se concede al usuario, como son: la direccin IP que se le asigna, el tipo de calidad de servicio (Qos) que va a recibir, el uso de encriptacin, o la utilizacin obligatoria de tneles para determinadas conexiones.

PROTOCOLOS DE COMUNICACION 2012

Los mtodos de autorizacin soportados habitualmente por un servidor de RADIUS incluyen bases de datos LDAP, bases de datos SQL (como Oracle, MySQL y PostgreSQL) o incluso el uso de ficheros de configuracin locales al servidor. No se debe confundir los trminos autenticacin con autorizacin, Mientras que la autenticacin es el proceso de verificar un derecho reclamado por un individuo (persona o incluso ordenador), la autorizacin es el proceso de verificar que una persona ya autenticada tiene la autoridad para efectuar una determinada operacin. Registro (accounting, a menudo traducido tambin como contabilidad) Este trmino hace referencia a realizar un registro del consumo de recursos que realizan los usuarios. El registro suele incluir aspectos como la identidad del usuario, la naturaleza del servicio prestado, y cuando empez y termin el uso de dicho servicio. Es interesante el uso del protocolo RADIUS cuando tenemos redes de dimensiones considerables sobre las que queremos proporcionar un servicio de acceso centralizado (aunque posiblemente jerarquizado por medio de diversos servidores RADIUS). Por este motivo, uno de los principales usos de RADIUS se encuentra en empresas que proporcionan acceso a Internet o grandes redes corporativas, en un entorno con diversad de tecnologas de red (incluyendo mdems, xDSL, VPNs y redes inalmbricas) no solo para gestionar el acceso a la propia red, sino tambin para servicios propios de Internet (como email, Web o incluso dentro del proceso de sealizacin SIP en VoIP).

N AS
Un Network Access Server (NAS) es un sistema que proporciona acceso a la red. En algunos casos tambin se conoce como Remote Access Server (RAS) o Terminal Server. En general, NAS es un elemento que controla el acceso a un recurso protegido, que puede ser desde un sencillo telfono para VoIP o una impresora, hasta el acceso a una red inalmbrica o a Internet (proporcionado por un ISP). Cuando un cliente quiere hacer uso de uno de estos servicios se conecta a NAS, quien a su vez se conecta a un servidor de AAA (tpicamente RADIUS) preguntando si los credenciales proporcionados por el cliente son vlidos. Basndose en su respuesta, NAS le

PROTOCOLOS DE COMUNICACION 2012

permitir acceder o no a este recurso protegido. El sistema NAS no contiene ninguna informacin sobre los usuarios que se pueden conectar ni sus credenciales, sino que utiliza esta informacin para enviarla a RADIUS, y que ste le informe sobre los permisos del cliente. Es de observar que nos encontramos en un escenario en el que hay dos niveles de la arquitectura cliente-servidor. Desde un punto de vista ms global, tenemos la tpica arquitectura en la que un usuario quiere acceder a un servicio, siendo el usuario el cliente, y el servidor el sistema que proporciona dicho servicio. Sin embargo, si nos centramos en el proceso de AAA, el cliente sera el sistema que proporciona el acceso a la red (por ejemplo NAS), mientras que el servidor es el sistema que autoriza o no dicho acceso (por ejemplo RADIUS). Dado que este caso se centra en este proceso, a lo largo del desarrollo hablaremos de servidores RADIUS cuyos clientes son los elementos a proteger (por ejemplo, un punto de acceso para la conexin inalmbrica). Por tanto, desde nuestro punto de vista, los usuarios que quieren acceder al recurso protegido (por ejemplo, la persona que se desea conectar a la red inalmbrica por medio del punto de acceso), no son clientes de RADIUS sino que se denominan suplicantes. Una ventaja del uso de RADIUS es que sus clientes tan slo tienen que implementar el protocolo de comunicacin con RADIUS, y no todas las posibilidades de AAA existentes (PAP, CHAP, LDAP, kerberos, MySQL, etc.). En el ejemplo del punto de acceso, tan slo se necesita implementar una solucin NAS que realice las consultas a RADIUS. Otra ventaja del protocolo RADIUS es que, en su comunicacin con NAS, nunca transmite las contraseas directamente por la red (lo que se conoce como en cleartext), ni siquiera al usar PAP, sino que usa algoritmos para ocultar las contraseas como MD5. Sin embargo, al no ser considerado MD5 un sistema de proteccin de credenciales demasiado seguro, es aconsejable utilizar sistemas adicionales de proteccin para cifrar el trfico de RADIUS, como puede ser tneles de IPsec.

PROTOCOLOS DE COMUNICACION 2012

S E G U R I D AD E N T E C N O L O G A S D E R E D I N A L M B R I CA
En redes inalmbricas con infraestructura se utiliza un punto de acceso (wireless access point, WAP o simplemente AP) para interconectar todos los dispositivos inalmbricos de la red. Usualmente un AP se conecta tambin a una red cableada, transmitiendo datos entre los dispositivos conectados a la red cable y los dispositivos inalmbricos. La seguridad es un tema importante en las redes inalmbricas porque, al contrario que en una red cableada a la que slo tienen acceso las personas que fsicamente pueden conectarse, cualquier persona de la calle o pisos o edificios vecinos pueden conectarse a una red inalmbrica o ver el contenido de los paquetes que circulan por ella si sta no est convenientemente protegida. Algunos de los principales protocolos estndar para proporcionar seguridad en redes inalmbricas IEEE 802.11 son: WEP (Wired Equivalent Privacy). Fue introducido en 1997 con objeto de proporcionar un nivel de confidencialidad similar al de las redes cableadas. Usa una clave esttica de 64 128 bits con el algoritmo RC4. Su uso se desaconseja completamente, ya que aunque es muy fcil de configurar y est muy extendido al ser el primero que surgi, presenta graves fallos de seguridad. WPA (Wi-Fi Protected Access) fue creado para corregir los mltiples fallos detectados en el protocolo WEP. WPA fue diseado por el consorcio Wi-Fi Alliance basndose en un borrador del estndar 802.11i (es un subconjunto del mismo), y utiliza TKIP (Temporal Key Integrity Protocol) como protocolo de cifrado que sustituye a WEP sin necesidad de modificar el hardware existente (podra funcionar actualizando el firmware). En concreto, WPA sigue usando RC4 como algoritmo de cifrado con claves de 128 bits, pero usa TKIP para cambiar dinmicamente estas claves. WPA fue diseado para ser usado junto a un servidor AAA (habitualmente RADIUS), de manera que se le asignan claves distintas a cada uno de los posibles usuarios. Sin embargo, para entornos domsticos o pequeas oficinas tambin se

PROTOCOLOS DE COMUNICACION 2012

puede usar, de forma menos segura, con una nica clave compartida (pre-shared key, PSK). WPA2 se basa en el nuevo estndar 802.11i, y el cambio ms significativo respecto a WPA es que usa el protocolo de cifrado AES en lugar de RC4. Mientras que WAP puede ejecutarse en el hardware que soporte WEP (tras actualizar el firmware), WAP2 necesita un hardware ms nuevo (posterior al 2004). Sin embargo, se sabe que WAP tambin terminar siendo comprometido a medio plazo y por tanto slo se recomienda como transicin a WAP2. Otro concepto relacionado con la seguridad en redes inalmbricas que merece la pena destacar es EAP (Extensible Authentication Protocol). EAP es un marco general de autenticacin, y no un mecanismo de autenticacin concreto. EAP proporciona algunas funciones comunes y un mtodo para negociar el mecanismo de autenticacin a usar. Actualmente hay ms de 40 mtodos distintos.

FREERAD IU S
FreeRADIUS es un paquete de software de cdigo abierto y libre distribucin que implementa diversos elementos relacionados con RADIUS, tales como una biblioteca BSD para clientes, mdulos para soporte en apache, y lo que ms nos interesa en este punto, un servidor de RADIUS. El servidor de FreeRADIUS es modular, para facilitar su extensin, y es muy escalable. Adems, tiene casi todas las opciones que un usuario puede necesitar: Para realizar las tareas de AAA puede almacenar y acceder a la informacin por medio de mltiples bases de datos: LDAP (AD, OpenLDAP,), SQL (MySQL, PostgreSQL, Oracle,) y ficheros de texto (fichero local de usuarios, mediante acceso a otros Reales, fichero de sistema /etc/passwd,) Soporta prcticamente toda clase de clientes Radius (por ejemplo, ChilliSpot, JRadius, mod_auth_radius, pam_auth_radius, Pyrad, extensiones php de RADIUS, etc)

PROTOCOLOS DE COMUNICACION 2012

Se puede ejecutar en mltiples sistemas operativos: Linux (Debian, Ubuntu, Suse, Mandriva, Fedora Core, etc.), FreeBSD, MacOS, OpenBSD, Solaris, e incluso MS Windows por medio de cygwin. Soporta el uso de proxies y la replicacin de servidores.

LD AP
LDAP son las siglas de Lightweight Directory Access Protocol (en espaol Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicacin el cual permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa informacin en un entorno de red. LDAP tambin es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas. Un directorio es un conjunto de objetos con atributos organizados en una manera lgica y jerrquica. El ejemplo ms comn es el directorio telefnico, que consiste en una serie de nombres (personas u organizaciones) que estn ordenados alfabticamente, con cada nombre teniendo una direccin y un nmero de telfono adjuntos. Un rbol de directorio LDAP a veces refleja varios lmites polticos, geogrficos u organizacionales, dependiendo del modelo elegido. Los despliegues actuales de LDAP tienden a usar nombres de Sistema de Nombres de Dominio (DNS por sus siglas en ingls) para estructurar los niveles ms altos de la jerarqua. Conforme se desciende en el directorio pueden aparecer entradas que representan personas, unidades organizacionales, impresoras, documentos, grupos de personas o cualquier cosa que representa una entrada dada en el rbol (o mltiples entradas). Habitualmente, almacena la informacin de autenticacin (usuario y contrasea) y es utilizado para autenticarse aunque es posible almacenar otra informacin (datos de contacto del usuario, ubicacin de diversos recursos de la red, permisos, certificados, etc.). A manera de sntesis, LDAP es un protocolo de acceso unificado a un conjunto de informacin sobre una red. La versin actual es LDAPv3.

PROTOCOLOS DE COMUNICACION 2012

MyS Q L
El software MySQL proporciona un servidor de base de datos SQL (Structured Query Language) veloz, multi-hilo, multiusuario y robusto. El servidor est proyectado tanto para sistemas crticos en produccin soportando intensas cargas de trabajo como para empotrarse en sistemas de desarrollo masivo de software. El software MySQL tiene licencia dual, pudindose usar de forma gratuita bajo licencia GNU o bien adquiriendo licencias comerciales de MySQL AB en el caso de no desear estar sujeto a los trminos de la licencia GPL. MySQL es una marca registrada de MySQL AB

PFS EN S E
pfSense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin. Caractersticas La siguiente lista muestra algunas funcionalidades que se incluyen por defecto en el sistema: Firewall: pfSense se puede configurar como un cortafuego permitiendo y denegando determinado trfico de redes tanto entrante como saliente a partir de una direccin ya sea de red o de host de origen y de destino, tambin haciendo filtrado avanzado de paquetes por protocolo y puerto. Servidor VPN: pfSense se puede se puede configurar como un servidor VPN usando protocolos de tunneling tales como IPSec, PPTP, entre otras. Servidor de Balanceo de Carga: pfSense puede ser configurado como servidor de balanceo de carga tanto entrante como saliente, esta caracterstica es usada comnmente en servidores web, de correo, de DNS. Tambin para proveer estabilidad y redundancia en l envi de trfico a travs del enlace WAN evitando los cuellos de botella. Portal Cautivo: Este servicio consiste en forzar la autenticacin de usuarios redirigindolos a una pgina especial de autenticacin y/o para aceptar los trminos

PROTOCOLOS DE COMUNICACION 2012

de uso, realizar un pago etc. para poder tener acceso a la red. El portal cautivo es usado comnmente para control de accesos a la red en los puntos de accesos inalmbricos de los hoteles, restaurantes, parques y kioscos. Tabla de estado: pfSense es un stateful firewall, el cual como caracterstica principal guarda el estado de las conexiones abiertas en una tabla. La mayora de los firewall no tienen la capacidad de controlar con precisin la tabla de estado. pfSense tiene un enorme nmero de caractersticas que permiten una granularidad muy fina para el manejo de la tabla de estado. Servidor DNS y reenviador de cache DNS: pfSense se puede configurar como un servidor DNS primario y reenviador de consultas de DNS. Servidor DHCP: Tambin funciona como servidor de DHCP, se puede tambin implementar VLAN desde pfSense. Servidor PPPoE: Este servicio es usado por los ISP para la autenticacin de usuarios que puedan ingresar a internet, por una base local o va radius. Enrutamiento esttico: pfSense funciona como un enrutador ya que entrega direccionamiento IP y hace el nateo hacia afuera. Redundancia: pfSense permite configurar dos o ms cortafuegos a travs del protocolo CARP (Common Address Redundancy Protocol) por si uno de los cortafuegos se cae el otro se declara como cortafuegos primario. Reportes Y Monitoreo: A travs de los grficos RDD pfSense muestra el estado de los siguientes componentes: Utilizacin de CPU Rendimiento Total Estado del Firewall Rendimiento individual por cada interface Paquetes enviados y recibidos por cada interface Manejo de trfico y ancho de banda pfSense cuenta con un gestor de paquetes para ampliar sus funcionalidades, al elegir el paquete deseado el sistema automticamente lo descarga e instala. Existen alrededor de setenta mdulos disponibles, entre los que se encuentran el proxy Squid, IMSpector, Snort, ClamAV, entre otros.
10

PROTOCOLOS DE COMUNICACION 2012

PfSense puede instalarse en cualquier ordenador o servidor que cuente con un mnimo de dos tarjetas de red, el proceso de instalacin es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administracin est basado en PHP y tericamente todas las configuraciones y administracin se pueden realizar desde all, por lo tanto no es indispensable contar con conocimientos avanzados sobre la lnea de comandos UNIX para su manejo. Hay dos tipos de imgenes de pfSense: Embedded. Es la que se emplea para Compact Flash, tiene los accesos a disco minimizados y no admite instalacin de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensin img. No soporta ni teclado ni monitor, hay que conectar cable serie para acceder a la consola de pfSense y poder hacer la configuracin inicial. LiveCD. Es una imagen iso, tambin comprimida con gzip, para ser ejecutada desde el propio CD. Tiene una opcin para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfaz web. pfSense permite balanceo de carga con deteccin de fallo (fail-over), lo que resulta muy interesante si se tiene ms de una ADSL. Esta prestacin permite pues equilibrar las cargas de las ADSL y en caso de fallo de una de ellas redireccionar su trfico hacia otra. pfSense emplea para el balanceo el demonio (daemon) slbd. Como la mayora de balanceadores, su intencin es mejorar la navegacin por Internet y no entiende las conexiones mltiples. Ello descarta su uso en accesos FTP. Por tanto, o se renuncia a balanceo o se renuncia a FTP. O bien se monta otro pfSense slo para FTP. El balanceo se configura definiendo una pila (pool) donde se indica la IP pblica de cada ADSL (IP a monitorizar) y la IP privada por la que se accede a la ADSL. Entonces pfSense comprueba peridicamente si la ADSL en cuestin est funcionando, hacindole un ping.

11

PROTOCOLOS DE COMUNICACION 2012

Se necesita, por tanto, que la IP pblica de la ADSL conteste a estos ping internos. De lo contrario, pfSense no sabr ver si la ADSL est activa.

12

PROTOCOLOS DE COMUNICACION 2012

CONFIGURACIONES
En primer lugar vam os a instalar y configurar nuestro servidor LDAP: aptitude install slapd aptitude install ldap-utils aptitude install openjdk-6-jre aptitude install jxplorer (explorador y administrador de directorio LDAP)

Estructura del rbol a usar:

org

internacionales

admin

paises

lector

Belice

Costa Rica

El Salvador

otros

Ciudad Belice

Otras Ciu.

Sucursal 1

Otras Suc.

usuarios

usuarios

chepe

juan

maria

xxx

xxx

xxx

13

PROTOCOLOS DE COMUNICACION 2012

Crear cada una de las ramas hasta terminar la estructura del rbol ya se con archivos ldif o por medio del administrador de directorios: Ejemplo de uno de los ldif: rama.ldif dn:ou=pases, dc=internacionales, dc=org objectClass: organizationalUnit objectClass: top ou: pases. Comando para agregar la rama: ldapadd D cn=admin, dc=internacionales, dc=org W h localhost x f rama.ldif Ahora que ya hemos instalado y configurado el servidor ldap pasamos a las configuraciones de Freeradius. Como ya dijimos anteriormente Freeradius es un servidor Radius de cdigo abierto. Para instalar un servidor radius es necesario bajar los paquetes propios para la distribucin de Sistema Operativo a usar, as como tambin cada uno de los mdulos que el servidor va a manejar: En segundo Lugar veremos la configuracin de freeradius + LDAP: aptitude install freeradius aptitude install freeradius-utils aptitude install freeradius-ldap

Una vez instalado el servidor Radius y el servidor OpenLDAP, solo necesitaremos decirle al servidor freeradius que se autentifique con OpenLDAP: En /etc/freeradius/sites-available/default descomentamos la linea que pone ldap para habilitar el mdulo LDAP en la parte de autorizacin y descomentamos el apartado de ldap para la parte de autenticacin de la siguiente forma: authorize { #
14

PROTOCOLOS DE COMUNICACION 2012

# # The ldap module will set Auth-Type to LDAP if it has not # already been set ldap # } authenticate { Auth-Type LDAP { ldap } En /etc/freeradius/sites-available/inner-tunnel descomentamos la linea que pone ldap para habilitar el mdulo LDAP en la parte de autorizacin y descomentamos el apartado de ldap para la parte de autenticacin de la siguiente forma: server inner-tunnel { authorize { # # The ldap module will set Auth-Type to LDAP if it has #not # already been set ldap #} authenticate { # # PAP authentication, when a back-end database listed # in the 'authorize' section supplies a password. The # password can be clear-text, or encrypted. Auth-Type PAP { pap } # Uncomment it if you want to use ldap for authentication # # Note that this means "check plain-text password against # the ldap database", which means that EAP won't work, # as it does not supply a plain-text password. Auth-Type LDAP { ldap } # }

15

PROTOCOLOS DE COMUNICACION 2012

En /etc/freeradius/modules/ldap configuramos los parmetros de conexin con nuestro OpenLDAP # -*- text -*# # $Id$ # Lightweight Directory Access Protocol (LDAP) # # This module definition allows you to use LDAP for # authorization and authentication. # # See raddb/sites-available/default for reference to the # ldap module in the authorize and authenticate sections. # # However, LDAP can be used for authentication ONLY when the # Access-Request packet contains a clear-text User-Password # attribute. LDAP authentication will NOT work for any other # authentication method. # # This means that LDAP servers don't understand EAP. If you # force "Auth-Type = LDAP", and then send the server a # request containing EAP authentication, then authentication # WILL NOT WORK. # # The solution is to use the default configuration, which does # work. # # Setting "Auth-Type = LDAP" is ALMOST ALWAYS WRONG. We # really can't emphasize this enough. # ldap { # # Note that this needs to match the name in the LDAP # server certificate, if you're using ldaps. server = "172.16.1.3" identity = "cn=lector,dc=internacionales,dc=org" password = alexander basedn = "dc=internacionales,dc=org" filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" base_filter = "(objectclass=radiusprofile)" } En /etc/freeradius/clients.conf agregamos los clientes respectivos de nuestro servidor freeradius. pfSense para nuestro caso, aunque es completamente valido agregar como cliente el AP (NAS) como cliente de nuestro servidor radius, caso en
16

PROTOCOLOS DE COMUNICACION 2012

el cual se estara trabajando con el protocolo 802.1x, para agregar a pfSense como nuestro el cliente de freeradius abrimo el fichero y agregamos lo siguiente: Client 172.16.1.1 { secret shortname } Una vez hemos terminado las configuraciones necesarias, detenemos el servicio y lo reiniciamos en modo debug para nuestra conveniencia a travs del comando: service slapd stop freeradius X Hecho esto ya tenemos configurado nuestro servidor freeradius para efectuar el servicio de autenticacin y autorizacin con ldap para comprobar si nuestro servidor est corriendo de la manera adecuada, usamos el siguiente comando: radtest usuario contrasea ipdelservidor puerto secreto. radtest usuario contrasea 127.0.0.1 1812 testing123 Hemos de realizar las mismas configuraciones para el servidor freeradius secundario con la diferencia que no apuntaran de forma local si no hacia otra maquina que tiene corriendo de manera correcta los servicios requeridos, para con ello implementar redudancia. Como tercer punto veremos la configuraci n de Freeradius y MySQL Vamos a instalar los paquetes para manejar MySQL con Freeradius y MySQL server aptitude install freeradius-mysql aptitude install mysql mysql-server =123456 =francisco

Iniciamos el servicio de mysql si no se ha iniciado de forma automtica despus de la instalacin: service mysqld start

Accedemos al intrprete de MySQL: mysql u root p

17

PROTOCOLOS DE COMUNICACION 2012

ingresamos la contrasea

Creamos la base de datos denominada radius: CREATE DATABASE radius;

Declaramos un usuario para la base de datos creada: GRANT ALL ON radius.* TO radius@localhost IDENTIFIED BY 'radius'; En este caso asumimos que la Base de datos se llama "radius" y creamos un usuario tambin "radius" con password "radius" Salimos de la base de datos usando: exit;

Una vez hecho esto creamos algunas tablas en la base de datos usando los esquemas incluidos en Freeradius para la base de datos: mysql -u root -p radius < /etc/freeradius/sql/mysql/admin.sql mysql u root p radius < /etc/freeradius/sql/mysql/cui.sql mysql - u root p radius < /etc/freeradius/sql/mysql/ippool.sql mysql - u root p radius < /etc/freeradius/sql/mysql/nas.sql mysql - u roor p radius < /etc/freeradius/sql/mysql/schema.sql mysql - u root p radius < /etc/freeradius/sql/mysql/wimax.sql

Ahora si queremos verificar las tablas creadas solo necesitamos hacer lo siguiente:

mysql -u root p use radius; show tables;

Se mostrara una table con la informacion respectiva de las tablas de la base de datos +------------------+ | Tables_in_radius | +------------------+ | nas | | radacct | | radcheck |

18

PROTOCOLOS DE COMUNICACION 2012

| radgroupcheck | | radgroupreply | | radippool | | radpostauth | | radreply | | radusergroup | +------------------+ 9 rows in set (0.00 sec) Por ltimo nos salimos de la base con: quit; Despues de agregar los esquemas nos dirigimos al archivo sql.conf y descomentamos o agregamos la lnea $INCLUDE sql.conf adems definimos los valores para acceder a la base de datos: nano /etc/freeradius/sql.conf Descomentamos $INCLUDE sql.conf Definimos los valores para acceder # Connection info: server = "localhost" #port = 3306 login = "radius" password = "admin" Por ultimo descomentamos el parmetro readclients=yes. Por ltimo al igual que se hace con ldap se editan los archivos, default e inner-tunnel y se descomentan las lneas de parmetros para la verificacin de autenticacin y autorizacin nano /etc/freeradius/sites-available/default authorize { # # Look in an SQL database. The schema of the database #is meant to mirror the users file #

19

PROTOCOLOS DE COMUNICACION 2012

#See Authorization Queries in sql.conf Sql # } accounting { detail sql }

nano /etc/freeradius/sites-available/inner-tunnel authorize { # # Look in an SQL database. The schema of the database #is meant to mirror the users file # #See Authorization Queries in sql.conf Sql # }

Daloradius Daloradius es una avanzada aplicacin HTTP que sirve de sistema de administracin para RADIUS, y est diseada para ser utilizada para administrar hotspots (puntos calientes, es decir zona de cobertura Wi-Fi, en el que un punto de acceso o varios proveen servicios de red a travs de un Proveedor de Servicios de Internet Inalmbrico o WISP) y uso general para la autenticacin de Proveedores de Acceso a Internet (ISP). Incluye gestin de usuarios, reportes grficos, contabilidad, motor de cobranza e integracin con GoogleMaps para Geolocalizacin.

20

PROTOCOLOS DE COMUNICACION 2012

Instalacin aptitude install daloradius-x-xx

Una vez instalado agregamos algunas libreiras que son necesarias para el buen funcionamiento de la aplicacin aptitude install php5 php5-mysql php-pear php5-gd php-DB

Una vez hecho, cambiamos los permisos y propiedades del directorio de daloradius. chown www-data:www-data /var/www/daloradius/ -R

Para que Daloradius funcione correctamente, se requiere agregar algunas tablas mas a la base de datos de MySQL. Estas tablas ya estan incluidas en el directorio de DaloRadius, por lo que solo es necesario ejecutar el siguiente comando: mysql -u root -p admin < /var/www/daloradius/contrib/db/fr2-mysqldaloradius-and-freeradius.sql Aparte de daloradius es recommendable instalar phpmyadmin: aptitude install phpmyadmin

Por ltimo antes de poder accesar a la GUI modificamos el archivo daloradius.conf.php en el cual ponemos los valores de la conexin al server de la base de datos: .. CONFIG_DB_ENGINE = mysql CONFIG_DB_HOST = 127.0.0.1 CONFIG_DB_USER = radius CONFIG_DB_PASS = labserver CONFIG_DB_NAME = radius ....................... Despus de editar reiniciamos apache y accedemos a travs del siguiente enlace:

21

PROTOCOLOS DE COMUNICACION 2012

service apache2 restart http://x.x.x.x/daloradius

pfSense Se realizo una instalacin en disco duro, para ello se descarga una imagen iso. Desde la pagina de www.pfsense.org. Los pasos de la instalacin no son nada complicados: 1. Se configura el BIOS de la PC para que el primer dispositivo de arranque sea la unidad de CD/DVD, se guardan los cambios y se reinicia el equipo, se inserta el cd de pfSense en la unidad de CD e inicia el proceso de arranque.

2. Tras ver pasar varias pantallas informativas del proceso de carga se llega a la siguiente en la cual se produce una pausa de 10 segundos para dar la opcin de hacer una instalacin nueva (I) o recuperar una instalacin (R), en este caso tecleamos la letra I.

22

PROTOCOLOS DE COMUNICACION 2012

3. llegamos a una pantalla azul de la configuracin de la consola de instalacin, en la cual por lo general basta con navegar con las teclas de cursor a "Accept these settings"y dar enter

4. Se nos presentar la pantalla de Select Task (seleccionar tarea) en la cual escogeremos "Quick/Easy nstall" para hacer una instalacin de manera automatizada y sin mayores preguntas.

23

PROTOCOLOS DE COMUNICACION 2012

5. El programa de instalacin nos pregunta si estamos seguros de lo que queremos hacer, como es una instalacin desde cero seleccionamos "OK"

6. Se lleva a cabo toda una serie de procesos de particin, formateo, y copia de archivos en las distintas particiones que se generan en el disco duro, todo lo cual puede llevar unos 20 minutos, tras lo cual presenta la pantalla de instalacin de Kernel, en la cual dependiendo del tipo de procesador seleccionaremos el kernel adecuado al sistema (multiproceso simtrico si el equipo tiene un procesador

24

PROTOCOLOS DE COMUNICACION 2012

multincleo o es tarjeta con 2 procesadores separados, o uniprocesador si es un solo procesador de un solo ncleo)

7. termina la instalacin del kernel, seleccionamos "Reboot" y se reiniciar el equipo (debemos de sacar el CD de instalacin del lector), tomen nota del usuario y contrasea que muestra en la pantalla, ser la base para entrar al cofigurador web.

25

PROTOCOLOS DE COMUNICACION 2012

8. arranca el sistema, y nos pregunta si queremos configurar VLAN, tecleamos una N (indicamos que no)

9. nos muestra las interfaces instaladas, en este caso em0 (e eme cero, no emo =/ ) y em1, si tenemos la completa certeza de cual tarjeta de red es em0 y em1 (en este caso mi ejemplo) escribimos directamente el nombre de la interface LAN (es la primera por la que pregunta), en este caso em0 y aceptamos, nos pregunta por el
26

PROTOCOLOS DE COMUNICACION 2012

nombre de la interface WAN y escribimos em1 y aceptamos, tecleamos otro enter cundo nos pregunte por la interface Optional 1 (en este caso no la hay) Otra opcin para configurar las tarjetas de red es indicar tecleando la letra A si se quiere llevar a cabo la autoconfiguracin, en este caso tras teclear esa A el sistema pedir que se conecte un cable de red que est activo a la tarjeta de red a configurar (primero es la LAN) y cundo se enciendan los LED de la tarjeta de red se da enter para aceptar la asignacin, se repite el mismo pricedimiento para configurar la tarjeta WAN.

27

PROTOCOLOS DE COMUNICACION 2012

10. el sistema pregunta si se procede con la configuracin

11. nos presenta la pantalla de informacin y configuracin, y con eso tenemos instalado un sistema pfSense bsico.

28

PROTOCOLOS DE COMUNICACION 2012

CONFIGURACION DE PFSENSE MODO GRAFICO 1- Accedemos a pfSense atravs de la direccin ip que trae por defecto pfsense para ingresar a sus configuraciones la cual es 192.168.1.1 y nos mostrar la siguiente pantalla. El Username es: admin, y la contrasea: pfsense.

2- Una vez nos hemos logueado en el modo grfico necesitamos instalar los paquetes necesarios para la versin, seleccionando para ello a la pestaa system de donde elegiremos la opcin packages, en donde nos desplazaremos a la subpestaa de available packages e instalaremos el paquete freeradius2 y squid (Pfsense tiene una valiosa herramienta conocida como Squid, el cual es un servidor proxy en el cual podemos poner en una lista negra (o blacklist) todas las direcciones URL que no queremos que sean visitadas en nuestra red).

29

PROTOCOLOS DE COMUNICACION 2012

Una vez hemos instalado los paquetes podremos elegir la pestaa Installed Packages y ver si estos ha sido instalados satisfactoriamente.

3- Ahora que ya hemos instalado los paquetes, nos aparecer la opcin de Freeradius y de proxy server en la pestaa de services, el primer cambio que debemos de realizar es desplazarnos a la pestaa de proxy server en donde elegiremos poner que escuche en modo transparente. 4- Seguidamente pasaremos a definir una IP esttica para la o las interfaces LAN que vamos a usar mientras que las WAN las editaremos para recibir DHCP, para el caso usaremos el caso nos dirigimos a la pestaa Interfaces, seleccionamos la interfaz LAN y escogemos la opcin enable interface seguidamente nos desplazamos al combo box donde elegiremos static seguidamente nos desplazamos y establecemos la direccin ip de la interfaz y guardaremos los cambios. 5- Hecho esto nos ubicamos en Services elegimos Captive Portal: Es aqu donde seleccionamos la opcin Enable captive portal seguidamente elegiremos la/s interfaces sobre las cuales se desplegara el portal cautivo en primera instancia, hecho esto la forma por la cual los usuarios sern autenticados, y varios aspectos ms como habilitar la opcin de logout para desconectarse de la red. Adems podemos poner una URL para redireccionar a los usuarios una vez estos han sido autenticados exitosamente esto a groso modo es una forma de publicidad, para un sitio en especifico, ahora bien se puede implementar publicidad basada en perfiles.

30

PROTOCOLOS DE COMUNICACION 2012

6- Dado que para nuestro proyecto estamos usando servidores freeradius externos a la aplicacin elegimos RADIUS authentication al hacer esto se nos despliegan las opciones para ingresar ya sea un servidor local o externo, para el caso elegimos como servidor primario ubicado en la direccin 172.16.1.3 indicamos esto en la opcin correspondiente y proporcionamos la contrasea para el acceso del cliente radius (hemos de recordarnos de las marcadas diferencias entre clientes y usuarios de freeradius). Hacemo el mismo proceso para el servidor freeradius secundario, servidor que solo entrara en funciones una vez el primario deje de funcionar por algn motivo.

31

PROTOCOLOS DE COMUNICACION 2012

7- Una vez hemos terminado las configuraciones pertinentes y necesarias solo nos queda guardar todas las configuraciones, hemos de recordar que pfsense es un firewall y que para nuestro diseo este est enfrente de nuestra nube, lo que quiere decir que esta directamente a nuestra conexin a internet al mismo tiempo este se encuentra conectado a nuestro/s NAS y este a su vez esta conectado ya sea directamente o por wireless a nuestro/s NAS, y cada individuo que desee obtener conexin a internet deber de autenticarse, sea este un usuario de ldap, mysql cualquier otro soportado por freeradius, una vez un individuo conecte un dispositivo a la red se le desplegara la pagina del portal cautivo para que provea sus credenciales.

32

PROTOCOLOS DE COMUNICACION 2012

D I A G R A M A D E S O L U C I O N A L P RO B L E M A

33

PROTOCOLOS DE COMUNICACION 2012

BIBLIOGRAFIA
http://www.soportejm.com.sv/kb/index.php/article/daloradius http://www.youtube.com/watch?v=Mw_jrGX635Y http://www.youtube.com/watch?v=B6Hjxd1Af-s http://www.alcancelibre.org/staticpages/index.php/como-freeradius-basico http://vuksan.com/linux/dot1x/802-1x-LDAP.html Otros pequeos aportes de guas y paginas variadas.

Archivo Publicado en:

34