Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
What to Upload to SlideShare
Loading in …3
×
1 of 42

Radius

3

Share

Download to read offline

Proyecto Integrador de Cristian Silva & Luis Castro de la Universidad israel

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

Radius

  1. 1. Autentificación Wi-Fi con un Servidor RADIUS Cristian Silva Luis Castro
  2. 2. Síntoma <ul><li>La seguridad que poseen hoy en día las redes Wi-Fi no son el 100% seguras o incluso en ocasiones no poseen seguridad alguna, por lo tanto cualquier persona extraña que posea una tarjeta inalámbrica tiene la posibilidad de accesar a una red sin problema alguno. </li></ul>
  3. 3. Diagnóstico <ul><li>La forma de solucionar la inseguridad que existe en las redes inalámbricas es usar una tecnología más segura en esta caso utilizando un nombre de usuario y una contraseña que será autentificado en un servidor RADIUS siendo quien este dará el visto bueno para que tenga el acceso a internet o a la red. </li></ul>
  4. 4. Pronóstico <ul><li>Con esta solución el acceso a la red, va a ser rápido, eficaz y nada problemático, ya que el proceso seria automatizado, el servidor RADIUS puede realizar consultas SQL para comprobar si un estudiante está al día o no en su pago de pensiones. </li></ul>
  5. 5. Objetivo General <ul><li>Montar un sistema de seguridad para redes inalámbricas con el fin de restringir el acceso a computadoras que no están autorizadas a operar en el entorno específico. </li></ul>
  6. 6. Objetivos Específicos <ul><li>Describir los estándares y tecnologías inalámbricas existentes para enfocarse en la parte de seguridad de dichas redes. </li></ul><ul><li>Identificar cada uno de los mecanismos como también muchos de los protocolos y sistemas de encriptación usados. </li></ul><ul><li>Entender como funciona la Autenticación, uno de los pasos más importante de un sistema de seguridad ya que se establece la identidad de las partes que participan en la red. </li></ul>
  7. 7. Objetivos Específicos <ul><li>Investigar los conceptos relacionados con el protocolo RADIUS una especificación muy importante y necesaria que facilita la implementación de la red de seguridad principalmente con el uso de un programa derivado de esta, llamado Freeradius. </li></ul><ul><li>Realizar la implementación del proyecto integrador utilizando los mejores métodos y tecnologías incluyendo entre ellas la autenticación por Radius que es el tema de nuestro proyecto. De la implementación se hará un análisis de los resultados para sacar las debidas conclusiones. </li></ul>
  8. 8. Alcance <ul><li>Aunque este proyecto se puede aplicar a gran escala, inclusive en el país hay redes de este estilo con 8000 o más usuarios, nos vamos a limitar a aplicarla en condiciones de laboratorio donde, podemos apreciar más de cerca como funciona esta tecnología. </li></ul>
  9. 9. Justificación <ul><li>Evitar que los estudiantes tengan la necesidad de acercarse con el encargado del laboratorio para la autenticación y el acceso a la red inalámbrica, lo optimo será obtener un nombre de usuario y contraseña en el momento de la matricula evitando de esta manera el uso indebido de la red en la facultad. </li></ul>
  10. 10. Factibilidad técnica <ul><li> La implementación de la solución es posible debido a que todas las herramientas de software que vamos a usar son de libre distribución, el equipo de red activo y pasivo, son de costo muy accesible. es verdad que se realizará mucha investigación acerca del tema, pues su funcionamiento debe ser tranparente al usuario final. </li></ul>
  11. 11. Factibilidad operativa <ul><li>El acceso para los estudiantes a la red WI-FI de la universidad será por demás sencilla, pues una página web sera la que les dé la bienvenida, en cuanto al manejo del servidor Radius, será gestionado por una aplicación PHP que será sencilla de utilizar por el operador o encargado. </li></ul>
  12. 12. Factibilidad Económica <ul><li>Se utilizará herramientas GNU para el desarrollo del proyecto, dentro del servidor de la aplicación, por lo cual la factibilidad económica para realizar el proyecto es óptima y el costo es mínimo, por lo tanto hemos estimado la siguiente tabla de TIR y VAN. </li></ul>
  13. 13. Factibilidad Económica Período Flujo de Fondos 0 -200 1 35 2 35 3 35 4 35 5 35 6 35 7 35 8 35 9 35 10 35 TIR VAN 11,73% $15,06
  14. 14. Marco Teórico <ul><li>Estándares y tecnologías inalámbricas </li></ul><ul><li>Seguridad inalámbrica </li></ul><ul><li>Autenticación </li></ul><ul><li>Protocolo RADIUS </li></ul><ul><li>Servidor FreeRADIUS </li></ul><ul><li>Dispositivos de red inalámbrica </li></ul>
  15. 15. Implementación Base de Datos Cliente Internet Servidor RADIUS Red de Área Local
  16. 16. Instalación UBUNTU 8.04 <ul><li>LAMP </li></ul><ul><li>DNS Server </li></ul><ul><li>Apache SSH </li></ul>
  17. 17. Clave root <ul><li>#sudo passwd root </li></ul><ul><li>Enter new UNIX password: </li></ul><ul><li>Retype new UNIX password: </li></ul><ul><li>#su root Password: </li></ul>
  18. 18. Intefaces de red <ul><li>#nano -w /etc/network/interfaces </li></ul><ul><li>auto lo </li></ul><ul><li>iface lo inet loopback </li></ul><ul><li>auto eth0 </li></ul><ul><li>iface eth0 inet dhcp </li></ul><ul><li>auto eth1 </li></ul>
  19. 19. Enrutamiento de paquetes <ul><li>nano -w /etc/sysctl.conf </li></ul><ul><li>net/ipv4/ip_forward=1 </li></ul><ul><li>echo 1 | sudo tee /proc/sys/net/ipv4/ip_forwardRestart network </li></ul><ul><li>sudo /etc/init.d/networking restart </li></ul>
  20. 20. Instalar Chillispot <ul><li>sudo apt-get install chillispot </li></ul>
  21. 21. Parámetros Chillispot <ul><li>nano -w /etc/chilli.conf </li></ul><ul><li>net 192.168.2.0/24 ###change manually </li></ul><ul><li>#dns1 192.168.2.1 </li></ul><ul><li>#dns2 192.168.2.1 </li></ul><ul><li>domain domain.org ###change manually </li></ul><ul><li>radiusserver1 127.0.0.1 </li></ul><ul><li>radiusserver2 127.0.0.1 </li></ul><ul><li>radiussecret radiussecret </li></ul><ul><li>dhcpif eth1 </li></ul><ul><li>uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi </li></ul><ul><li>#uamhomepage https://192.168.2.1/welcome.html ###change manually </li></ul><ul><li>uamsecret uamsecret </li></ul><ul><li>uamlisten 192.168.2.1 ####change manually </li></ul><ul><li>uamallowed www.google.it,192.168.2.0/24 ###change manually </li></ul>
  22. 22. Iniciar Chillispot <ul><li>sudo /etc/init.d/chillispot start </li></ul>
  23. 23. Configuración Chillispot <ul><li>RADIUS </li></ul><ul><li>radiusserver1 127.0.0.1 </li></ul><ul><li>radiusserver2 127.0.0.1 </li></ul><ul><li>radiussecret theradiussecret </li></ul><ul><li>radiussecret theradiussecret </li></ul>
  24. 24. Configuración Chillispot <ul><li>NETWORKING </li></ul><ul><li>dns1 192.168.2.1 </li></ul><ul><li>dhcpif eth1 </li></ul>
  25. 25. Configuración Chillispot <ul><li>UAM </li></ul><ul><li>uamallowed 192.168.2.0/24.1,192.168.182.0/24,www.google.it </li></ul><ul><li>uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi </li></ul><ul><li>uamhomepage https://192.168.2.1/welcome.html </li></ul>
  26. 26. Instalar Firewall <ul><li>sudo cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chilli.iptables </li></ul><ul><li>sudo chmod a+x /etc/init.d/chilli.iptables </li></ul><ul><li>sudo ln -s ../init.d/chilli.iptables /etc/rcS.d/S41chilli.iptables </li></ul><ul><li>EXTIF=eth0 </li></ul><ul><li>INTIF=eth1 </li></ul><ul><li>sudo /etc/init.d/chilli.iptables </li></ul>
  27. 27. Instalar RADIUS y base de datos <ul><li>sudo apt-get install freeradius freeradius-mysql freeradius-dialupadmin </li></ul><ul><li>mysql -u root -p </li></ul><ul><li>Enter password:mysqladminsecret </li></ul><ul><li>mysql> CREATE DATABASE radius; </li></ul><ul><li>mysql> quit </li></ul><ul><li>zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius </li></ul><ul><li>Enter password:mysqladminsecret </li></ul><ul><li>mysql -u root -p </li></ul><ul><li>Enter password:mysqladminsecret </li></ul><ul><li>mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'mysqlsecret'; </li></ul><ul><li>mysql> FLUSH PRIVILEGES; </li></ul><ul><li>mysql> quit </li></ul>
  28. 28. Configuración FreeRadius <ul><li>nano -w /etc/freeradius/sql.conf </li></ul><ul><li>server = &quot;localhost&quot; </li></ul><ul><li>login = &quot;radius&quot; </li></ul><ul><li>password = &quot;mysqlsecret&quot; </li></ul><ul><li>client 127.0.0.1 { secret = radiussecret } </li></ul>
  29. 29. Comprobar FreeRadius <ul><li>sudo radtest &quot;John Doe&quot; hello 127.0.0.1 0 radiussecret </li></ul><ul><li>Sending Access-Request of id 136 to 127.0.0.1 port 1812 User-Name = &quot;John Doe&quot; User-Password = &quot;hello&quot; NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=136, length=37 Reply-Message = &quot;Hello, John Doe&quot; </li></ul>
  30. 30. Habilitar SQL <ul><li>nano -w /etc/freeradius/radiusd.conf </li></ul><ul><li>authorize { </li></ul><ul><li>preprocess </li></ul><ul><li># auth_log </li></ul><ul><li># attr_filter </li></ul><ul><li>chap </li></ul><ul><li>mschap </li></ul><ul><li># digest </li></ul><ul><li># IPASS </li></ul><ul><li>suffix </li></ul><ul><li># ntdomain </li></ul><ul><li>eap </li></ul><ul><li># files </li></ul><ul><li>sql </li></ul><ul><li># etc_smbpasswd </li></ul><ul><li># ldap </li></ul><ul><li># daily </li></ul><ul><li># checkval </li></ul><ul><li>} </li></ul>
  31. 31. Añadir Usuarios <ul><li>echo &quot;INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password', 'testsecret');&quot; | mysql -u radius -p radius </li></ul><ul><li>Enter password:mysqlsecret </li></ul><ul><li>sudo /etc/init.d/freeradius restart </li></ul><ul><li>sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret </li></ul><ul><li>Sending Access-Request of id 180 to 127.0.0.1 port 1812 </li></ul><ul><li>User-Name = &quot;mysqltest&quot; </li></ul><ul><li>User-Password = &quot;testsecret&quot; </li></ul><ul><li>NAS-IP-Address = 255.255.255.255 </li></ul><ul><li>NAS-Port = 0 </li></ul><ul><li>rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20 </li></ul>
  32. 33. Apache Server Vamos con la creación de la página de bienvenida del portal captivo, para lo cual utilizaremos el siguiente código: Editando el script del archivo: Descomentando y cambiando el password:
  33. 34. Apache - SSL <ul><li>sudo apt-get install libapache2-mod-auth-mysql </li></ul>
  34. 35. Apache - SSL <ul><li>Tasksel </li></ul><ul><li>Ahora creamos el certificado: </li></ul><ul><li>sudo apt-get install ssl-cert </li></ul><ul><li>sudo mkdir /etc/apache2/ssl </li></ul><ul><li>Necesitamos saber el nombre de nuestro host: </li></ul><ul><li>hostname –f </li></ul><ul><li>Se crea el siguiente archivo: </li></ul><ul><li>sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem </li></ul>
  35. 36. <ul><li>Instalamos el módulo que permitirá a apache encriptar la comunicación. </li></ul>sudo a2enmod ssl /etc/init.d/apache2 force-reload
  36. 37. Crear host virtual <ul><li>sudo nano -w /etc/apache2/sites-available/hotspot </li></ul>
  37. 38. Habilitar SSL en host virtual <ul><li>sudo a2ensite hotspot </li></ul><ul><li>/etc/init.d/apache2 reload </li></ul>
  38. 39. Configurar puertos <ul><li>nano -w /etc/apache2/ports.conf </li></ul><ul><li>Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> # Listen 443 #</IfModule>don't forget to modify </li></ul><ul><li>sudo nano -w /etc/apache2/sites-available/default </li></ul><ul><li>NameVirtualHost *:80 <virtualhost *:80>Server Root </li></ul><ul><li>nano -w /etc/apache2/apache2.confadd </li></ul><ul><li>ServerName 192.168.2.1Edit host file </li></ul><ul><li>nano -w /etc/hosts </li></ul><ul><li>192.168.2.1 host.name host #change to your host nameRestart Apache server </li></ul><ul><li>sudo /etc/init.d/apache2 restartyour web broswer should be able to link to pages </li></ul><ul><li>https://192.168.2.1/cgi-bin/hotspotlogin.cgi </li></ul><ul><li>and </li></ul><ul><li>http://192.168.2.1:3990/ </li></ul>
  39. 40. Preguntas
  40. 41. Conclusiones
  41. 42. Gracias

×