Radius
cristiandsa
3,149 views
42 slides
Aug 25, 2008
Slide 1 of 42
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
About This Presentation
Proyecto Integrador de Cristian Silva & Luis Castro de la Universidad israel
Slide Content
Autentificación Wi-Fi con un Autentificación Wi-Fi con un
Servidor RADIUSServidor RADIUS
Cristian SilvaCristian Silva
Luis CastroLuis Castro
Servidor RADIUSServidor RADIUS
Cristian SilvaCristian Silva
Luis CastroLuis Castro
Síntoma
•La seguridad que poseen hoy en día las redes La seguridad que poseen hoy en día las redes
Wi-Fi no son el 100% seguras o incluso en Wi-Fi no son el 100% seguras o incluso en
ocasiones no poseen seguridad alguna, por lo ocasiones no poseen seguridad alguna, por lo
tanto cualquier persona extraña que posea una tanto cualquier persona extraña que posea una
tarjeta inalámbrica tiene la posibilidad de tarjeta inalámbrica tiene la posibilidad de
accesar a una red sin problema alguno.accesar a una red sin problema alguno.
•La seguridad que poseen hoy en día las redes La seguridad que poseen hoy en día las redes
Wi-Fi no son el 100% seguras o incluso en Wi-Fi no son el 100% seguras o incluso en
ocasiones no poseen seguridad alguna, por lo ocasiones no poseen seguridad alguna, por lo
tanto cualquier persona extraña que posea una tanto cualquier persona extraña que posea una
tarjeta inalámbrica tiene la posibilidad de tarjeta inalámbrica tiene la posibilidad de
accesar a una red sin problema alguno.accesar a una red sin problema alguno.
DiagnósticoDiagnóstico
•La forma de solucionar la inseguridad que La forma de solucionar la inseguridad que
existe en las redes inalámbricas es usar una existe en las redes inalámbricas es usar una
tecnología más segura en esta caso utilizando tecnología más segura en esta caso utilizando
un nombre de usuario y una contraseña que un nombre de usuario y una contraseña que
será autentificado en un servidor RADIUS será autentificado en un servidor RADIUS
siendo quien este dará el visto bueno para que siendo quien este dará el visto bueno para que
tenga el acceso a internet o a la red.tenga el acceso a internet o a la red.
•La forma de solucionar la inseguridad que La forma de solucionar la inseguridad que
existe en las redes inalámbricas es usar una existe en las redes inalámbricas es usar una
tecnología más segura en esta caso utilizando tecnología más segura en esta caso utilizando
un nombre de usuario y una contraseña que un nombre de usuario y una contraseña que
será autentificado en un servidor RADIUS será autentificado en un servidor RADIUS
siendo quien este dará el visto bueno para que siendo quien este dará el visto bueno para que
tenga el acceso a internet o a la red.tenga el acceso a internet o a la red.
PronósticoPronóstico
•Con esta solución el acceso a la red, va a ser Con esta solución el acceso a la red, va a ser
rápido, eficaz y nada problemático, ya que el rápido, eficaz y nada problemático, ya que el
proceso seria automatizado, el servidor RADIUS proceso seria automatizado, el servidor RADIUS
puede realizar consultas SQL para comprobar si puede realizar consultas SQL para comprobar si
un estudiante está al día o no en su pago de un estudiante está al día o no en su pago de
pensiones.pensiones.
•Con esta solución el acceso a la red, va a ser Con esta solución el acceso a la red, va a ser
rápido, eficaz y nada problemático, ya que el rápido, eficaz y nada problemático, ya que el
proceso seria automatizado, el servidor RADIUS proceso seria automatizado, el servidor RADIUS
puede realizar consultas SQL para comprobar si puede realizar consultas SQL para comprobar si
un estudiante está al día o no en su pago de un estudiante está al día o no en su pago de
pensiones.pensiones.
Objetivo General
•Montar un sistema de seguridad para redes Montar un sistema de seguridad para redes
inalámbricas con el fin de restringir el acceso a inalámbricas con el fin de restringir el acceso a
computadoras que no están autorizadas a computadoras que no están autorizadas a
operar en el entorno específico. operar en el entorno específico.
•Montar un sistema de seguridad para redes Montar un sistema de seguridad para redes
inalámbricas con el fin de restringir el acceso a inalámbricas con el fin de restringir el acceso a
computadoras que no están autorizadas a computadoras que no están autorizadas a
operar en el entorno específico. operar en el entorno específico.
Objetivos Específicos
•Describir los estándares y tecnologías inalámbricas
existentes para enfocarse en la parte de seguridad de
dichas redes.
•Identificar cada uno de los mecanismos como
también muchos de los protocolos y sistemas de
encriptación usados.
•Entender como funciona la Autenticación, uno de los
pasos más importante de un sistema de seguridad ya
que se establece la identidad de las partes que
participan en la red.
•Describir los estándares y tecnologías inalámbricas
existentes para enfocarse en la parte de seguridad de
dichas redes.
•Identificar cada uno de los mecanismos como
también muchos de los protocolos y sistemas de
encriptación usados.
•Entender como funciona la Autenticación, uno de los
pasos más importante de un sistema de seguridad ya
que se establece la identidad de las partes que
participan en la red.
Objetivos Específicos
•Investigar los conceptos relacionados con el protocolo
RADIUS una especificación muy importante y
necesaria que facilita la implementación de la red de
seguridad principalmente con el uso de un programa
derivado de esta, llamado Freeradius.
•Realizar la implementación del proyecto integrador
utilizando los mejores métodos y tecnologías
incluyendo entre ellas la autenticación por Radius que
es el tema de nuestro proyecto. De la implementación
se hará un análisis de los resultados para sacar las
debidas conclusiones.
•Investigar los conceptos relacionados con el protocolo
RADIUS una especificación muy importante y
necesaria que facilita la implementación de la red de
seguridad principalmente con el uso de un programa
derivado de esta, llamado Freeradius.
•Realizar la implementación del proyecto integrador
utilizando los mejores métodos y tecnologías
incluyendo entre ellas la autenticación por Radius que
es el tema de nuestro proyecto. De la implementación
se hará un análisis de los resultados para sacar las
debidas conclusiones.
Alcance
•Aunque este proyecto se puede aplicar a gran Aunque este proyecto se puede aplicar a gran
escala, inclusive en el país hay redes de este escala, inclusive en el país hay redes de este
estilo con 8000 o más usuarios, nos vamos a estilo con 8000 o más usuarios, nos vamos a
limitar a aplicarla en condiciones de laboratorio limitar a aplicarla en condiciones de laboratorio
donde, podemos apreciar más de cerca como donde, podemos apreciar más de cerca como
funciona esta tecnología.funciona esta tecnología.
•Aunque este proyecto se puede aplicar a gran Aunque este proyecto se puede aplicar a gran
escala, inclusive en el país hay redes de este escala, inclusive en el país hay redes de este
estilo con 8000 o más usuarios, nos vamos a estilo con 8000 o más usuarios, nos vamos a
limitar a aplicarla en condiciones de laboratorio limitar a aplicarla en condiciones de laboratorio
donde, podemos apreciar más de cerca como donde, podemos apreciar más de cerca como
funciona esta tecnología.funciona esta tecnología.
JustificaciónJustificación
•Evitar que los estudiantes tengan la necesidad Evitar que los estudiantes tengan la necesidad
de acercarse con el encargado del laboratorio de acercarse con el encargado del laboratorio
para la autenticación y el acceso a la red para la autenticación y el acceso a la red
inalámbrica, lo optimo será obtener un nombre inalámbrica, lo optimo será obtener un nombre
de usuario y contraseña en el momento de la de usuario y contraseña en el momento de la
matricula evitando de esta manera el uso matricula evitando de esta manera el uso
indebido de la red en la facultad.indebido de la red en la facultad.
•Evitar que los estudiantes tengan la necesidad Evitar que los estudiantes tengan la necesidad
de acercarse con el encargado del laboratorio de acercarse con el encargado del laboratorio
para la autenticación y el acceso a la red para la autenticación y el acceso a la red
inalámbrica, lo optimo será obtener un nombre inalámbrica, lo optimo será obtener un nombre
de usuario y contraseña en el momento de la de usuario y contraseña en el momento de la
matricula evitando de esta manera el uso matricula evitando de esta manera el uso
indebido de la red en la facultad.indebido de la red en la facultad.
Factibilidad técnicaFactibilidad técnica
La implementación de la solución es posible
debido a que todas las herramientas de
software que vamos a usar son de libre
distribución, el equipo de red activo y pasivo,
son de costo muy accesible. es verdad que se
realizará mucha investigación acerca del tema,
pues su funcionamiento debe ser tranparente
al usuario final.
La implementación de la solución es posible
debido a que todas las herramientas de
software que vamos a usar son de libre
distribución, el equipo de red activo y pasivo,
son de costo muy accesible. es verdad que se
realizará mucha investigación acerca del tema,
pues su funcionamiento debe ser tranparente
al usuario final.
Factibilidad operativaFactibilidad operativa
El acceso para los estudiantes a la red WI-FI de
la universidad será por demás sencilla, pues
una página web sera la que les dé la
bienvenida, en cuanto al manejo del servidor
Radius, será gestionado por una aplicación PHP
que será sencilla de utilizar por el operador o
encargado.
El acceso para los estudiantes a la red WI-FI de
la universidad será por demás sencilla, pues
una página web sera la que les dé la
bienvenida, en cuanto al manejo del servidor
Radius, será gestionado por una aplicación PHP
que será sencilla de utilizar por el operador o
encargado.
Factibilidad EconómicaFactibilidad Económica
Se utilizará herramientas GNU para el desarrollo Se utilizará herramientas GNU para el desarrollo
del proyecto, dentro del servidor de la del proyecto, dentro del servidor de la
aplicación, por lo cual la factibilidad económica aplicación, por lo cual la factibilidad económica
para realizar el proyecto es óptima y el costo es para realizar el proyecto es óptima y el costo es
mínimo, por lo tanto hemos estimado la mínimo, por lo tanto hemos estimado la
siguiente tabla de TIR y VAN.siguiente tabla de TIR y VAN.
Se utilizará herramientas GNU para el desarrollo Se utilizará herramientas GNU para el desarrollo
del proyecto, dentro del servidor de la del proyecto, dentro del servidor de la
aplicación, por lo cual la factibilidad económica aplicación, por lo cual la factibilidad económica
para realizar el proyecto es óptima y el costo es para realizar el proyecto es óptima y el costo es
mínimo, por lo tanto hemos estimado la mínimo, por lo tanto hemos estimado la
siguiente tabla de TIR y VAN.siguiente tabla de TIR y VAN.
Factibilidad Económica
Período Flujo de Fondos
0 -200
1 35
2 35
3 35
4 35
5 35
6 35
7 35
8 35
9 35
10 35
TIR VAN
11,73% $15,06
Período Flujo de Fondos
0 -200
1 35
2 35
3 35
4 35
5 35
6 35
7 35
8 35
9 35
10 35
TIR VAN
11,73% $15,06
Marco Teórico
•Estándares y tecnologías inalámbricasEstándares y tecnologías inalámbricas
•Seguridad inalámbricaSeguridad inalámbrica
•Autenticación Autenticación
•Protocolo RADIUSProtocolo RADIUS
•Servidor FreeRADIUS Servidor FreeRADIUS
•Dispositivos de red inalámbricaDispositivos de red inalámbrica
•Estándares y tecnologías inalámbricasEstándares y tecnologías inalámbricas
•Seguridad inalámbricaSeguridad inalámbrica
•Autenticación Autenticación
•Protocolo RADIUSProtocolo RADIUS
•Servidor FreeRADIUS Servidor FreeRADIUS
•Dispositivos de red inalámbricaDispositivos de red inalámbrica
ImplementaciónImplementación
Base
de
Datos
Cliente
Internet
Servidor RADIUSServidor RADIUS
Red de Área Red de Área
LocalLocal
Base
de
Datos
Cliente
Internet
Servidor RADIUSServidor RADIUS
Red de Área Red de Área
LocalLocal
Instalación UBUNTU 8.04
•LAMP
•DNS Server
•Apache SSH
•LAMP
•DNS Server
•Apache SSH
Clave root
#sudo passwd root
Enter new UNIX password:
Retype new UNIX password:
#su root Password:
#sudo passwd root
Enter new UNIX password:
Retype new UNIX password:
#su root Password:
Intefaces de red
#nano -w /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
auto eth1
#nano -w /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
auto eth1
Enrutamiento de paquetes
nano -w /etc/sysctl.conf
net/ipv4/ip_forward=1
echo 1 | sudo tee
/proc/sys/net/ipv4/ip_forwardRe
start network
sudo /etc/init.d/networking
restart
nano -w /etc/sysctl.conf
net/ipv4/ip_forward=1
echo 1 | sudo tee
/proc/sys/net/ipv4/ip_forwardRe
start network
sudo /etc/init.d/networking
restart
Instalar Chillispot
sudo apt-get install chillispot
sudo apt-get install chillispot
Parámetros Chillispot
nano -w /etc/chilli.conf
net 192.168.2.0/24 ###change manually
#dns1 192.168.2.1
#dns2 192.168.2.1
domain domain.org ###change manually
radiusserver1 127.0.0.1
radiusserver2 127.0.0.1
radiussecret radiussecret
dhcpif eth1
uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi
#uamhomepage https://192.168.2.1/welcome.html ###change manually
uamsecret uamsecret
uamlisten 192.168.2.1 ####change manually
uamallowed www.google.it,192.168.2.0/24 ###change manually
nano -w /etc/chilli.conf
net 192.168.2.0/24 ###change manually
#dns1 192.168.2.1
#dns2 192.168.2.1
domain domain.org ###change manually
radiusserver1 127.0.0.1
radiusserver2 127.0.0.1
radiussecret radiussecret
dhcpif eth1
uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi
#uamhomepage https://192.168.2.1/welcome.html ###change manually
uamsecret uamsecret
uamlisten 192.168.2.1 ####change manually
uamallowed www.google.it,192.168.2.0/24 ###change manually
Iniciar Chillispot
sudo /etc/init.d/chillispot start
sudo /etc/init.d/chillispot start
Configuración Chillispot
RADIUS
radiusserver1 127.0.0.1
radiusserver2 127.0.0.1
radiussecret theradiussecret
radiussecret theradiussecret
RADIUS
radiusserver1 127.0.0.1
radiusserver2 127.0.0.1
radiussecret theradiussecret
radiussecret theradiussecret
Configuración Chillispot
NETWORKING
dns1 192.168.2.1
dhcpif eth1
NETWORKING
dns1 192.168.2.1
dhcpif eth1
Configuración Chillispot
UAM
uamallowed 192.168.2.0/24.1,192.168.182.0/24,www.google.it
uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi
uamhomepage https://192.168.2.1/welcome.html
UAM
uamallowed 192.168.2.0/24.1,192.168.182.0/24,www.google.it
uamserver https://192.168.2.1/cgi-bin/hotspotlogin.cgi
uamhomepage https://192.168.2.1/welcome.html
Instalar Firewall
sudo cp /usr/share/doc/chillispot/firewall.iptables
/etc/init.d/chilli.iptables
sudo chmod a+x /etc/init.d/chilli.iptables
sudo ln -s ../init.d/chilli.iptables
/etc/rcS.d/S41chilli.iptables
EXTIF=eth0
INTIF=eth1
sudo /etc/init.d/chilli.iptables
sudo cp /usr/share/doc/chillispot/firewall.iptables
/etc/init.d/chilli.iptables
sudo chmod a+x /etc/init.d/chilli.iptables
sudo ln -s ../init.d/chilli.iptables
/etc/rcS.d/S41chilli.iptables
EXTIF=eth0
INTIF=eth1
sudo /etc/init.d/chilli.iptables
Instalar RADIUS y base de datos
sudo apt-get install freeradius freeradius-mysql
freeradius-dialupadmin
mysql -u root -p
Enter password:mysqladminsecret
mysql> CREATE DATABASE radius;
mysql> quit
zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius
Enter password:mysqladminsecret
mysql -u root -p
Enter password:mysqladminsecret
mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY
'mysqlsecret';
mysql> FLUSH PRIVILEGES;
mysql> quit
sudo apt-get install freeradius freeradius-mysql
freeradius-dialupadmin
mysql -u root -p
Enter password:mysqladminsecret
mysql> CREATE DATABASE radius;
mysql> quit
zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius
Enter password:mysqladminsecret
mysql -u root -p
Enter password:mysqladminsecret
mysql> GRANT ALL PRIVILEGES ON radius.* TO 'radius'@'localhost' IDENTIFIED BY
'mysqlsecret';
mysql> FLUSH PRIVILEGES;
mysql> quit
Configuración FreeRadius
nano -w /etc/freeradius/sql.conf
server = "localhost"
login = "radius"
password = "mysqlsecret"
client 127.0.0.1 { secret =
radiussecret }
nano -w /etc/freeradius/sql.conf
server = "localhost"
login = "radius"
password = "mysqlsecret"
client 127.0.0.1 { secret =
radiussecret }
Comprobar FreeRadius
sudo radtest "John Doe" hello 127.0.0.1 0
radiussecret
Sending Access-Request of id 136 to
127.0.0.1 port 1812 User-Name = "John Doe"
User-Password = "hello" NAS-IP-Address =
255.255.255.255 NAS-Port = 0 rad_recv:
Access-Accept packet from host
127.0.0.1:1812, id=136, length=37 Reply-
Message = "Hello, John Doe"
sudo radtest "John Doe" hello 127.0.0.1 0
radiussecret
Sending Access-Request of id 136 to
127.0.0.1 port 1812 User-Name = "John Doe"
User-Password = "hello" NAS-IP-Address =
255.255.255.255 NAS-Port = 0 rad_recv:
Access-Accept packet from host
127.0.0.1:1812, id=136, length=37 Reply-
Message = "Hello, John Doe"
Habilitar SQL
nano -w /etc/freeradius/radiusd.conf
authorize {
preprocess
# auth_log
# attr_filter
chap
mschap
# digest
# IPASS
suffix
# ntdomain
eap
# files
sql
# etc_smbpasswd
# ldap
# daily
# checkval
}
nano -w /etc/freeradius/radiusd.conf
authorize {
preprocess
# auth_log
# attr_filter
chap
mschap
# digest
# IPASS
suffix
# ntdomain
eap
# files
sql
# etc_smbpasswd
# ldap
# daily
# checkval
}
Añadir Usuarios
echo "INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password',
'testsecret');" | mysql -u radius -p radius
Enter password:mysqlsecret
sudo /etc/init.d/freeradius restart
sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret
Sending Access-Request of id 180 to 127.0.0.1 port 1812
User-Name = "mysqltest"
User-Password = "testsecret"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20
echo "INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('mysqltest', 'Password',
'testsecret');" | mysql -u radius -p radius
Enter password:mysqlsecret
sudo /etc/init.d/freeradius restart
sudo radtest mysqltest testsecret 127.0.0.1 0 radiussecret
Sending Access-Request of id 180 to 127.0.0.1 port 1812
User-Name = "mysqltest"
User-Password = "testsecret"
NAS-IP-Address = 255.255.255.255
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=180, length=20
Apache Server
Vamos con la creación de la página de bienvenida del portal captivo, para lo cual
utilizaremos el siguiente código:
Editando el script del archivo:
Descomentando y cambiando el password:
Vamos con la creación de la página de bienvenida del portal captivo, para lo cual
utilizaremos el siguiente código:
Editando el script del archivo:
Descomentando y cambiando el password:
Apache - SSL
sudo apt-get install libapache2-mod-auth-mysql
sudo apt-get install libapache2-mod-auth-mysql
Apache - SSL
Tasksel
Ahora creamos el certificado:
sudo apt-get install ssl-cert
sudo mkdir /etc/apache2/ssl
Necesitamos saber el nombre de nuestro host:
hostname –f
Se crea el siguiente archivo:
sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf
/etc/apache2/ssl/apache.pem
Tasksel
Ahora creamos el certificado:
sudo apt-get install ssl-cert
sudo mkdir /etc/apache2/ssl
Necesitamos saber el nombre de nuestro host:
hostname –f
Se crea el siguiente archivo:
sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf
/etc/apache2/ssl/apache.pem
Instalamos el módulo que permitirá a apache
encriptar la comunicación.
sudo a2enmod ssl
/etc/init.d/apache2 force-reload
encriptar la comunicación.
sudo a2enmod ssl
/etc/init.d/apache2 force-reload
Crear host virtual
sudo nano -w /etc/apache2/sites-
available/hotspot
sudo nano -w /etc/apache2/sites-
available/hotspot
Habilitar SSL en host virtual
sudo a2ensite hotspot
/etc/init.d/apache2 reload
sudo a2ensite hotspot
/etc/init.d/apache2 reload
Configurar puertos
nano -w /etc/apache2/ports.conf
Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> #
Listen 443 #</IfModule>don't forget to modify
sudo nano -w /etc/apache2/sites-available/default
NameVirtualHost *:80 <virtualhost *:80>Server Root
nano -w /etc/apache2/apache2.confadd
ServerName 192.168.2.1Edit host file
nano -w /etc/hosts
192.168.2.1 host.name host #change to your host nameRestart Apache
server
sudo /etc/init.d/apache2 restartyour web broswer should be able to link to
pages
https://192.168.2.1/cgi-bin/hotspotlogin.cgi
and
http://192.168.2.1:3990/
nano -w /etc/apache2/ports.conf
Listen 192.168.2.1:80 Listen 192.168.2.1:443 #<IfModule mod_ssl.c> #
Listen 443 #</IfModule>don't forget to modify
sudo nano -w /etc/apache2/sites-available/default
NameVirtualHost *:80 <virtualhost *:80>Server Root
nano -w /etc/apache2/apache2.confadd
ServerName 192.168.2.1Edit host file
nano -w /etc/hosts
192.168.2.1 host.name host #change to your host nameRestart Apache
server
sudo /etc/init.d/apache2 restartyour web broswer should be able to link to
pages
https://192.168.2.1/cgi-bin/hotspotlogin.cgi
and
http://192.168.2.1:3990/
PreguntasPreguntas
Conclusiones
GraciasGracias
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 3,149
- Slides 42
- Favorites 3
- Age 6310 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
32 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
35 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
32 views
14
Fertility awareness methods for women in the society
Isaiah47
30 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
29 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
30 views