Autentificación Wi-Fi con un Servidor RADIUS Cristian Silva Luis Castro

Síntoma La seguridad que poseen hoy en día las redes Wi-Fi no son el 100% seguras o incluso en ocasiones no poseen seguridad alguna, por lo tanto cualquier persona extraña que posea una tarjeta inalámbrica tiene la posibilidad de accesar a una red sin problema alguno.

La seguridad que poseen hoy en día las redes Wi-Fi no son el 100% seguras o incluso en ocasiones no poseen seguridad alguna, por lo tanto cualquier persona extraña que posea una tarjeta inalámbrica tiene la posibilidad de accesar a una red sin problema alguno.

Diagnóstico La forma de solucionar la inseguridad que existe en las redes inalámbricas es usar una tecnología más segura en esta caso utilizando un nombre de usuario y una contraseña que será autentificado en un servidor RADIUS siendo quien este dará el visto bueno para que tenga el acceso a internet o a la red.

La forma de solucionar la inseguridad que existe en las redes inalámbricas es usar una tecnología más segura en esta caso utilizando un nombre de usuario y una contraseña que será autentificado en un servidor RADIUS siendo quien este dará el visto bueno para que tenga el acceso a internet o a la red.

Pronóstico Con esta solución el acceso a la red, va a ser rápido, eficaz y nada problemático, ya que el proceso seria automatizado, el servidor RADIUS puede realizar consultas SQL para comprobar si un estudiante está al día o no en su pago de pensiones.

Con esta solución el acceso a la red, va a ser rápido, eficaz y nada problemático, ya que el proceso seria automatizado, el servidor RADIUS puede realizar consultas SQL para comprobar si un estudiante está al día o no en su pago de pensiones.

Objetivo General Montar un sistema de seguridad para redes inalámbricas con el fin de restringir el acceso a computadoras que no están autorizadas a operar en el entorno específico.

Montar un sistema de seguridad para redes inalámbricas con el fin de restringir el acceso a computadoras que no están autorizadas a operar en el entorno específico.

Objetivos Específicos Describir los estándares y tecnologías inalámbricas existentes para enfocarse en la parte de seguridad de dichas redes. Identificar cada uno de los mecanismos como también muchos de los protocolos y sistemas de encriptación usados. Entender como funciona la Autenticación, uno de los pasos más importante de un sistema de seguridad ya que se establece la identidad de las partes que participan en la red.

Describir los estándares y tecnologías inalámbricas existentes para enfocarse en la parte de seguridad de dichas redes.

Identificar cada uno de los mecanismos como también muchos de los protocolos y sistemas de encriptación usados.

Entender como funciona la Autenticación, uno de los pasos más importante de un sistema de seguridad ya que se establece la identidad de las partes que participan en la red.

Objetivos Específicos Investigar los conceptos relacionados con el protocolo RADIUS una especificación muy importante y necesaria que facilita la implementación de la red de seguridad principalmente con el uso de un programa derivado de esta, llamado Freeradius. Realizar la implementación del proyecto integrador utilizando los mejores métodos y tecnologías incluyendo entre ellas la autenticación por Radius que es el tema de nuestro proyecto. De la implementación se hará un análisis de los resultados para sacar las debidas conclusiones.

Investigar los conceptos relacionados con el protocolo RADIUS una especificación muy importante y necesaria que facilita la implementación de la red de seguridad principalmente con el uso de un programa derivado de esta, llamado Freeradius.

Realizar la implementación del proyecto integrador utilizando los mejores métodos y tecnologías incluyendo entre ellas la autenticación por Radius que es el tema de nuestro proyecto. De la implementación se hará un análisis de los resultados para sacar las debidas conclusiones.

Alcance Aunque este proyecto se puede aplicar a gran escala, inclusive en el país hay redes de este estilo con 8000 o más usuarios, nos vamos a limitar a aplicarla en condiciones de laboratorio donde, podemos apreciar más de cerca como funciona esta tecnología.

Aunque este proyecto se puede aplicar a gran escala, inclusive en el país hay redes de este estilo con 8000 o más usuarios, nos vamos a limitar a aplicarla en condiciones de laboratorio donde, podemos apreciar más de cerca como funciona esta tecnología.

Justificación Evitar que los estudiantes tengan la necesidad de acercarse con el encargado del laboratorio para la autenticación y el acceso a la red inalámbrica, lo optimo será obtener un nombre de usuario y contraseña en el momento de la matricula evitando de esta manera el uso indebido de la red en la facultad.

Evitar que los estudiantes tengan la necesidad de acercarse con el encargado del laboratorio para la autenticación y el acceso a la red inalámbrica, lo optimo será obtener un nombre de usuario y contraseña en el momento de la matricula evitando de esta manera el uso indebido de la red en la facultad.

Factibilidad técnica La implementación de la solución es posible debido a que todas las herramientas de software que vamos a usar son de libre distribución, el equipo de red activo y pasivo, son de costo muy accesible. es verdad que se realizará mucha investigación acerca del tema, pues su funcionamiento debe ser tranparente al usuario final.

La implementación de la solución es posible debido a que todas las herramientas de software que vamos a usar son de libre distribución, el equipo de red activo y pasivo, son de costo muy accesible. es verdad que se realizará mucha investigación acerca del tema, pues su funcionamiento debe ser tranparente al usuario final.

Factibilidad operativa El acceso para los estudiantes a la red WI-FI de la universidad será por demás sencilla, pues una página web sera la que les dé la bienvenida, en cuanto al manejo del servidor Radius, será gestionado por una aplicación PHP que será sencilla de utilizar por el operador o encargado.

El acceso para los estudiantes a la red WI-FI de la universidad será por demás sencilla, pues una página web sera la que les dé la bienvenida, en cuanto al manejo del servidor Radius, será gestionado por una aplicación PHP que será sencilla de utilizar por el operador o encargado.

Factibilidad Económica Se utilizará herramientas GNU para el desarrollo del proyecto, dentro del servidor de la aplicación, por lo cual la factibilidad económica para realizar el proyecto es óptima y el costo es mínimo, por lo tanto hemos estimado la siguiente tabla de TIR y VAN.

Se utilizará herramientas GNU para el desarrollo del proyecto, dentro del servidor de la aplicación, por lo cual la factibilidad económica para realizar el proyecto es óptima y el costo es mínimo, por lo tanto hemos estimado la siguiente tabla de TIR y VAN.

Factibilidad Económica Período Flujo de Fondos 0 -200 1 35 2 35 3 35 4 35 5 35 6 35 7 35 8 35 9 35 10 35 TIR VAN 11,73% $15,06

Marco Teórico Estándares y tecnologías inalámbricas Seguridad inalámbrica Autenticación Protocolo RADIUS Servidor FreeRADIUS Dispositivos de red inalámbrica

Estándares y tecnologías inalámbricas

Seguridad inalámbrica

Autenticación

Protocolo RADIUS

Servidor FreeRADIUS

Dispositivos de red inalámbrica

Implementación Base de Datos Cliente Internet Servidor RADIUS Red de Área Local

Instalación UBUNTU 8.04 LAMP DNS Server Apache SSH

LAMP

DNS Server

Apache SSH

Clave root #sudo passwd root Enter new UNIX password: Retype new UNIX password: #su root Password:

#sudo passwd root

Enter new UNIX password:

Retype new UNIX password:

#su root Password:

Intefaces de red #nano -w /etc/network/interfaces auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp auto eth1

#nano -w /etc/network/interfaces

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet dhcp

auto eth1

Enrutamiento de paquetes nano -w /etc/sysctl.conf net/ipv4/ip_forward=1 echo 1 | sudo tee /proc/sys/net/ipv4/ip_forwardRestart network sudo /etc/init.d/networking restart

nano -w /etc/sysctl.conf

net/ipv4/ip_forward=1

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forwardRestart network

sudo /etc/init.d/networking restart

Instalar Chillispot sudo apt-get install chillispot

sudo apt-get install chillispot

Parámetros Chillispot nano -w /etc/chilli.conf net 192.168.2.0/24 ###change manually #dns1 192.168.2.1 #dns2 192.168.2.1 domain domain.org ###change manually radiusserver1 127.0.0.1 radiusserver2 127.0.0.1 radiussecret radiussecret dhcpif eth1 uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi #uamhomepage https://192.168.2.1/welcome.html ###change manually uamsecret uamsecret uamlisten 192.168.2.1 ####change manually uamallowed www.google.it,192.168.2.0/24 ###change manually

nano -w /etc/chilli.conf

net 192.168.2.0/24 ###change manually

#dns1 192.168.2.1

#dns2 192.168.2.1

domain domain.org ###change manually

radiusserver1 127.0.0.1

radiusserver2 127.0.0.1

radiussecret radiussecret

dhcpif eth1

uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi

#uamhomepage https://192.168.2.1/welcome.html ###change manually

uamsecret uamsecret

uamlisten 192.168.2.1 ####change manually

uamallowed www.google.it,192.168.2.0/24 ###change manually

Iniciar Chillispot sudo /etc/init.d/chillispot start

sudo /etc/init.d/chillispot start

Configuración Chillispot RADIUS radiusserver1 127.0.0.1 radiusserver2 127.0.0.1 radiussecret theradiussecret radiussecret theradiussecret

RADIUS

radiusserver1 127.0.0.1

radiusserver2 127.0.0.1

radiussecret theradiussecret

radiussecret theradiussecret

Configuración Chillispot NETWORKING dns1 192.168.2.1 dhcpif eth1

NETWORKING

dns1 192.168.2.1

dhcpif eth1

Configuración Chillispot UAM uamallowed 192.168.2.0/24.1,192.168.182.0/24,www.google.it uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi uamhomepage https://192.168.2.1/welcome.html

UAM

uamallowed 192.168.2.0/24.1,192.168.182.0/24,www.google.it

uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi

uamhomepage https://192.168.2.1/welcome.html

Instalar Firewall sudo cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chilli.iptables sudo chmod a+x /etc/init.d/chilli.iptables sudo ln -s ../init.d/chilli.iptables /etc/rcS.d/S41chilli.iptables EXTIF=eth0 INTIF=eth1 sudo /etc/init.d/chilli.iptables

sudo cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chilli.iptables

sudo chmod a+x /etc/init.d/chilli.iptables

sudo ln -s ../init.d/chilli.iptables /etc/rcS.d/S41chilli.iptables

EXTIF=eth0

INTIF=eth1

sudo /etc/init.d/chilli.iptables

Instalar RADIUS y base de datos sudo apt-get install freeradius freeradius-mysql freeradius-dialupadmin mysql -u root -p Enter password:mysqladminsecret mysql> CREATE DATABASE radius; mysql> quit zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius Enter password:mysqladminsecret mysql -u root -p Enter password:mysqladminsecret mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'mysqlsecret'; mysql> FLUSH PRIVILEGES; mysql> quit

sudo apt-get install freeradius freeradius-mysql freeradius-dialupadmin

mysql -u root -p

Enter password:mysqladminsecret

mysql> CREATE DATABASE radius;

mysql> quit

zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius

Enter password:mysqladminsecret

mysql -u root -p

Enter password:mysqladminsecret

mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'mysqlsecret';

mysql> FLUSH PRIVILEGES;

mysql> quit

Configuración FreeRadius nano -w /etc/freeradius/sql.conf server = "localhost" login = "radius" password = "mysqlsecret" client 127.0.0.1 { secret = radiussecret }

nano -w /etc/freeradius/sql.conf

server = "localhost"

login = "radius"

password = "mysqlsecret"

client 127.0.0.1 { secret = radiussecret }

Comprobar FreeRadius sudo radtest "John Doe" hello 127.0.0.1 0 radiussecret Sending Access-Request of id 136 to 127.0.0.1 port 1812 User-Name = "John Doe" User-Password = "hello" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=136, length=37 Reply-Message = "Hello, John Doe"

sudo radtest "John Doe" hello 127.0.0.1 0 radiussecret

Sending Access-Request of id 136 to 127.0.0.1 port 1812 User-Name = "John Doe" User-Password = "hello" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=136, length=37 Reply-Message = "Hello, John Doe"

Habilitar SQL nano -w /etc/freeradius/radiusd.conf authorize { preprocess # auth_log # attr_filter chap mschap # digest # IPASS suffix # ntdomain eap # files sql # etc_smbpasswd # ldap # daily # checkval }

nano -w /etc/freeradius/radiusd.conf

authorize {

preprocess

# auth_log

# attr_filter

chap

mschap

# digest

# IPASS

suffix

# ntdomain

eap

# files

sql

# etc_smbpasswd

# ldap

# daily

# checkval

}

Añadir Usuarios echo "INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password', 'testsecret');" | mysql -u radius -p radius Enter password:mysqlsecret sudo /etc/init.d/freeradius restart sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret Sending Access-Request of id 180 to 127.0.0.1 port 1812 User-Name = "mysqltest" User-Password = "testsecret" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20

echo "INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password', 'testsecret');" | mysql -u radius -p radius

Enter password:mysqlsecret

sudo /etc/init.d/freeradius restart

sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret

Sending Access-Request of id 180 to 127.0.0.1 port 1812

User-Name = "mysqltest"

User-Password = "testsecret"

NAS-IP-Address = 255.255.255.255

NAS-Port = 0

rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20

Apache Server Vamos con la creación de la página de bienvenida del portal captivo, para lo cual utilizaremos el siguiente código: Editando el script del archivo: Descomentando y cambiando el password:

Apache - SSL sudo apt-get install libapache2-mod-auth-mysql

sudo apt-get install libapache2-mod-auth-mysql

Apache - SSL Tasksel Ahora creamos el certificado: sudo apt-get install ssl-cert sudo mkdir /etc/apache2/ssl Necesitamos saber el nombre de nuestro host: hostname –f Se crea el siguiente archivo: sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

Tasksel

Ahora creamos el certificado:

sudo apt-get install ssl-cert

sudo mkdir /etc/apache2/ssl

Necesitamos saber el nombre de nuestro host:

hostname –f

Se crea el siguiente archivo:

sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

Instalamos el módulo que permitirá a apache encriptar la comunicación. sudo a2enmod ssl /etc/init.d/apache2 force-reload

Instalamos el módulo que permitirá a apache encriptar la comunicación.

Crear host virtual sudo nano -w /etc/apache2/sites-available/hotspot

sudo nano -w /etc/apache2/sites-available/hotspot

Habilitar SSL en host virtual sudo a2ensite hotspot /etc/init.d/apache2 reload

sudo a2ensite hotspot

/etc/init.d/apache2 reload

Configurar puertos nano -w /etc/apache2/ports.conf Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> # Listen 443 #</IfModule>don't forget to modify sudo nano -w /etc/apache2/sites-available/default NameVirtualHost *:80 <virtualhost *:80>Server Root nano -w /etc/apache2/apache2.confadd ServerName 192.168.2.1Edit host file nano -w /etc/hosts 192.168.2.1 host.name host #change to your host nameRestart Apache server sudo /etc/init.d/apache2 restartyour web broswer should be able to link to pages https://192.168.2.1/cgi-bin/hotspotlogin.cgi and http://192.168.2.1:3990/

nano -w /etc/apache2/ports.conf

Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> # Listen 443 #</IfModule>don't forget to modify

sudo nano -w /etc/apache2/sites-available/default

NameVirtualHost *:80 <virtualhost *:80>Server Root

nano -w /etc/apache2/apache2.confadd

ServerName 192.168.2.1Edit host file

nano -w /etc/hosts

192.168.2.1 host.name host #change to your host nameRestart Apache server

sudo /etc/init.d/apache2 restartyour web broswer should be able to link to pages

https://192.168.2.1/cgi-bin/hotspotlogin.cgi

and

http://192.168.2.1:3990/

Preguntas

Conclusiones

Gracias