IMPLEMENTACIN DE SERVICIO RADIUS CON FREERADIUS Y DD-WRT

INTRODUCCIN

El objeto principal de la presente implementacin consiste en configurar un

mtodo que nos permita autenticar y autorizar un dispositivo determinado y

que se intenta conectar a una red inalmbrica, el alcance de este trabajo se

limita a la autenticacin utilizando la direccin MAC [1] como referencia

nica para cada dispositivo, solo aquellos equipos que se encuentren

registrados en el servidor RADIUS tendrn acceso a la red.

El sistema autenticacin y autorizacin es totalmente independiente y

complementario al de la contrasea de seguridad implementada en la red

inalmbrica.

Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt

2

SISTEMA OPERATIVO Y FREERADIUS

Para ejecutar el servicio RADIUS requerimos un sistema operativo

preferiblemente open source por aquello de los costos de licenciamiento,

solo por preferencias personales he seleccionado Ubuntu server vesin 12.04

(ubuntu-12.04.3-server-amd64.iso), en el proceso de instalacin se ha

seleccionado lo mnimo ha instalar: servidor correo, ssh, smb

Como herramienta para ayudar a realizar una simulacin de peticiones de

acceso se ha utilizado NTRadPing Utility que la pueden descargar del sitio de

Novell [2]

Tras instalar el sistema operativo procedemos con las configuraciones de red

y servidores dns editando los siguientes archivos utilizando el editor nano

incorporado con la distribucin de Linux utilizada:

Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt

3

Figura 1. Configuracin de red Ubuntu

Figura 2. Configuracion DNS Ubuntu

Figura 3. Configuracin del nombre Host Ubuntu

Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt

4

A continuacin instalmos el paquete de freeradius utilizando el comando

sudo apt-get install freeradius, bsicamente los nicos archivos que

necesitamos editar para la configuracin de la autenticacin mac son:

/etc/freeradius/radiusd.conf, /etc/freeradius/clients.conf,

/etc/freeradius/users y la visualizacin de los logs

/var/log/freeradius/radius.log

En el archivo radius.conf se encuentran las configuraciones del servicio y en

este archivo modificamos nicamente lo correspondiente a log de eventos,

queremos que se registren en el archivo de log los eventos de autenticacin y

en este caso las contraseas de autenticacin:

stripped_names = yes , auth = yes ,auth_badpass = yes ,

auth_goodpass = yes

El archive clients.conf contine todos los access point con el systema operativo

DD-WRT y el secret que se utilizar para la conexin entre el equipo wifi y el

servidor Radius, aqu podemos ver un ejemplo de un archivo clients.conf

Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt

5

Figura 4. Configuracin de Clientes en archivo clients.conf

Finalmente el archivo donde alojaremos nuestra base de datos con las mac

de los dispositivos es el archivo users y aqu vemos un ejemplo de como debe

verse:

Figura 5. Configuracin de Mac de dispositivos

CONFIGURACIONES EN LOS ACCESS POINT CON DD-WRT

Configuramos nuestro equipo wifi con sistema operativo DD-WRT v24-sp2 big

[3] de acuerdo a los requerimiento de cada red y en la seccin de Wireless,

Radius, realizamos las configuraciones como las muestra la siguiente figura

Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt

6

Figura 6. Configuraciones RADIUS en DDWRT

Es importante conserver el formato de MAC de tal manera que corresponda

al formato establecido en el archivo de configuracin de usuarios visto

anteriormente, como dato adicional el shared secret como pueden ver en el

archivo de usuario corresponde a la contrasea de autenticacin de para

todos los usuarios en este caso es la palabra holamundo

A continuacin podemos ver utilizando la herramienta NTRadping como se

puede observar una autenticacin vlida

Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt

7

Figura 7. Autenticacin vlida en NTRadping

OBSERVACIONES

Cada vez que se adicione una nueva mac al repositorio se debe

reiniciar el servicio utilizando el comando service freeradius restart

Cada vez que se adicione una mac el Access point tarda entre 5 y 10

minutos en eliminar la denegacin de acceso

BIBLIOGRAFA

Implementacin De Servicio Radius Con Freeradius Y Dd-Wrt

8

[1] WIKIPEDIA, MAC address, [En lnea]. Available:

http://en.wikipedia.org/wiki/MAC_address.

[2] NOVELL, NTRadping Utility, [En lnea]. Available:

http://www.novell.com/coolsolutions/tools/14377.html. [ltimo acceso:

8 Feberero 2014].

[3] DD-WRT, WIKI DD-WRT, [En lnea]. Available: http://www.dd-

wrt.com/wiki/index.php/Main_Page. [ltimo acceso: 8 Febrero 2014].