implementaciÓn de servicio radius con freeradius y dd
TRANSCRIPT
-
IMPLEMENTACIN DE SERVICIO RADIUS CON FREERADIUS Y DD-WRT
INTRODUCCIN
El objeto principal de la presente implementacin consiste en configurar un
mtodo que nos permita autenticar y autorizar un dispositivo determinado y
que se intenta conectar a una red inalmbrica, el alcance de este trabajo se
limita a la autenticacin utilizando la direccin MAC [1] como referencia
nica para cada dispositivo, solo aquellos equipos que se encuentren
registrados en el servidor RADIUS tendrn acceso a la red.
El sistema autenticacin y autorizacin es totalmente independiente y
complementario al de la contrasea de seguridad implementada en la red
inalmbrica.
-
Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt
2
SISTEMA OPERATIVO Y FREERADIUS
Para ejecutar el servicio RADIUS requerimos un sistema operativo
preferiblemente open source por aquello de los costos de licenciamiento,
solo por preferencias personales he seleccionado Ubuntu server vesin 12.04
(ubuntu-12.04.3-server-amd64.iso), en el proceso de instalacin se ha
seleccionado lo mnimo ha instalar: servidor correo, ssh, smb
Como herramienta para ayudar a realizar una simulacin de peticiones de
acceso se ha utilizado NTRadPing Utility que la pueden descargar del sitio de
Novell [2]
Tras instalar el sistema operativo procedemos con las configuraciones de red
y servidores dns editando los siguientes archivos utilizando el editor nano
incorporado con la distribucin de Linux utilizada:
-
Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt
3
Figura 1. Configuracin de red Ubuntu
Figura 2. Configuracion DNS Ubuntu
Figura 3. Configuracin del nombre Host Ubuntu
-
Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt
4
A continuacin instalmos el paquete de freeradius utilizando el comando
sudo apt-get install freeradius, bsicamente los nicos archivos que
necesitamos editar para la configuracin de la autenticacin mac son:
/etc/freeradius/radiusd.conf, /etc/freeradius/clients.conf,
/etc/freeradius/users y la visualizacin de los logs
/var/log/freeradius/radius.log
En el archivo radius.conf se encuentran las configuraciones del servicio y en
este archivo modificamos nicamente lo correspondiente a log de eventos,
queremos que se registren en el archivo de log los eventos de autenticacin y
en este caso las contraseas de autenticacin:
stripped_names = yes , auth = yes ,auth_badpass = yes ,
auth_goodpass = yes
El archive clients.conf contine todos los access point con el systema operativo
DD-WRT y el secret que se utilizar para la conexin entre el equipo wifi y el
servidor Radius, aqu podemos ver un ejemplo de un archivo clients.conf
-
Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt
5
Figura 4. Configuracin de Clientes en archivo clients.conf
Finalmente el archivo donde alojaremos nuestra base de datos con las mac
de los dispositivos es el archivo users y aqu vemos un ejemplo de como debe
verse:
Figura 5. Configuracin de Mac de dispositivos
CONFIGURACIONES EN LOS ACCESS POINT CON DD-WRT
Configuramos nuestro equipo wifi con sistema operativo DD-WRT v24-sp2 big
[3] de acuerdo a los requerimiento de cada red y en la seccin de Wireless,
Radius, realizamos las configuraciones como las muestra la siguiente figura
-
Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt
6
Figura 6. Configuraciones RADIUS en DDWRT
Es importante conserver el formato de MAC de tal manera que corresponda
al formato establecido en el archivo de configuracin de usuarios visto
anteriormente, como dato adicional el shared secret como pueden ver en el
archivo de usuario corresponde a la contrasea de autenticacin de para
todos los usuarios en este caso es la palabra holamundo
A continuacin podemos ver utilizando la herramienta NTRadping como se
puede observar una autenticacin vlida
-
Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt
7
Figura 7. Autenticacin vlida en NTRadping
OBSERVACIONES
Cada vez que se adicione una nueva mac al repositorio se debe
reiniciar el servicio utilizando el comando service freeradius restart
Cada vez que se adicione una mac el Access point tarda entre 5 y 10
minutos en eliminar la denegacin de acceso
BIBLIOGRAFA
-
Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt
8
[1] WIKIPEDIA, MAC address, [En lnea]. Available:
http://en.wikipedia.org/wiki/MAC_address.
[2] NOVELL, NTRadping Utility, [En lnea]. Available:
http://www.novell.com/coolsolutions/tools/14377.html. [ltimo acceso:
8 Feberero 2014].
[3] DD-WRT, WIKI DD-WRT, [En lnea]. Available: http://www.dd-
wrt.com/wiki/index.php/Main_Page. [ltimo acceso: 8 Febrero 2014].