CURSO EPN-VIRTUAL: Protocolo TCP/IP sobre Linux

PROYECTO:

AUTENTIFICACION DHCP DE REDES LAN Y WLAN DE LA

EMPRESA IATEC A TRAVS DEL PROTOCOLO RADIUS EN

CENTOS

REALIZADO POR:

ING. PAUL FERNANDO PULLA MERCHAN

PROFESOR:

MGTR. RICARDO ORTEGA

FECHA:

20 DE JULIO DE 2014

CUENCA - ECUADOR

1

NDICE

1. OBJETIVOS .............................................................................................................................. 2

2. BENEFICIOS ............................................................................................................................. 2

3. APORTES/ALCANCE .............................................................................................................. 2

4. INTRODUCCIN ...................................................................................................................... 3

5. MARCO TERICO ................................................................................................................... 4

Entendiendo la autenticacin basada en puerto 802.1X ........................................................ 5

6. PARTE EXPERIMENTAL ........................................................................................................ 6

I. MATERIALES Y MTODOS .............................................................................................. 6

II. PAQUETES LINUX .............................................................................................................. 7

III. PROCEDIMIENTO Y RESULTADOS ........................................................................... 7

IV. ANLISIS Y RECOMENDACIONES ........................................................................... 26

7. CONCLUSIONES ................................................................................................................... 27

8. REFERENCIAS BIBLIOGRAFICAS .................................................................................... 28

2

1. OBJETIVOS

Implementar un servidor DHCP bajo un sistema operativo Centos

6.4.

Implementar un servidor RADIUS bajo un sistema operativo Centos 6.4.

Crear una base de datos en mysql para que los usuarios obtengan credenciales

Configurar el Access Point y Switch para que funcionen como clientes autentificadores del servidor RADIUS.

Configurar los equipos clientes para que puedan acceder al servidor RADIUS con sus respectivas credenciales.

2. BENEFICIOS

Los principales beneficiarios son las visitas, empleados, personal y la

empresa misma, ya que mediante este mtodo la empresa IATEC contara con un acceso LAN y WLAN ms seguros hacia su red y la nube. Permitiendo un acceso con asignacin de direcciones IP automticamente, tener usuarios exclusivos para visitas, etc.

3. APORTES/ALCANCE

La integracin de servicios como DHCP, RADIUS y adicional Firewall

para una red LAN y WLAN es un aporte bastante interesante en el mbito de conocimiento e implementacin tecnolgica a nivel de la empresa en la cual ser implementado y podra ser replicado en pequeas, medianas y grandes empresas, teniendo actualmente un alcance local particular con posibilidad de ampliacin de su aplicabilidad.

3

4. INTRODUCCIN

En este proyecto se realiz la implementacin de un servicio de autentificacin

llamado RADIUS, es un protocolo empleado ampliamente usado en el ambiente

de redes, para dispositivos tales como routers, servidores y switches entre otros,

en este proyecto se realiz la respectiva configuracin para el acceso y

denegacin de servicios en una red WLAN de la cual se hizo uso de una solucin

en particular de cdigo abierto denominada FREERADIUS la cual fue instalada

bajo un servidor Centos 6.4, as como tambin el uso de msql en este mismo

servidor para la administracin de base datos de los usuarios de la red.

Adicional cabe recalcar que la asignacin IP a los clientes ser mediante un

servidor DHCP que tendr la funcin de asignacin de direcciones a los usuarios

y equipos clientes, adicional se vio necesario colocar un Firewall al lmite de la red,

la conexin a la red y a la nube ser mediante LAN y WLAN esto gracias a un

switch y Access point que figuraran como autentificadores.

Desde los inicios de esta tecnologa, muchas recomendaciones se han generado

para dotar a las redes inalmbricas de un nivel de seguridad adecuado.

Inicialmente, algunas de estas recomendaciones solo pusieron en evidencia ms

riesgos, la cual esto gener confusin y desconfianza, pero posteriormente y con

base en iniciativas ms serias al momento de valorar el riesgo asociado a esta

tecnologa, se han venido diseando y estableciendo de otros mecanismos que

realmente permiten mejorar el nivel de seguridad en las redes inalmbricas, en

este caso la implementacin de RADIUS, que a su vez tendr 2 clientes muy

importantes, que sern el switch y el acces point, estos dispositivos trabajaran

como cliente ya que sern los que intervengan en parte de la autentificacin, es

decir funcionaran como si fueran un proxy.

4

5. MARCO TERICO

Para la implementacin correcta de este proyecto se quera acumular ciertos

conceptos e informacin que se presenta en breve, los principales conceptos que

vimos con el transcurso de este proyecto fueron documentos relacionados con la

implementacin de mecanismos de seguridad para el control de acceso en redes

cableadas e inalmbricas.

Primeramente, Qu es RADIUS?

Es un protocolo de autentificacin que nos permite manejar o gestionar la

autentificacin, autorizacin y registro de los usuarios, esto tambin se conoce

como AAA (authentication, authorization, and accounting), a continuacin los

conceptos precisos en cuanto a este protocolo.

Control de acceso

El control de acceso, en sistemas de informacin, se encarga de controlar la

interaccin de un elemento activo, que vienen a ser los usuarios, dispositivos y

servicios, este implica procedimientos de identificacin, autentificacin y

autorizacin para permitir o denegar el acceso a la red.

Autentificacin

Este proceso valida la identidad de quien accede o provee un servicio mediante la

verificacin de credenciales ya sea de certificados digitales, los protocoles de

autentificacin pueden ser:

PAP

CHAP

EAP

Autorizacin

Establece que el usuario puede o no hacer una vez haya sido identificado y

autentificado, un ejemplo claro puede ser las limitaciones de tiempo en el servicio.

5

Entendiendo la autenticacin basada en puerto 802.1X

802.1X es un estndar del IEEE para realizar control de acceso a una red, se define la autenticacin basada en el puerto 802.1X como un control de acceso basado en cliente-servidor y el protocolo de autenticacin que restringe los clientes no autorizados se conecten a una LAN a travs de puertos de acceso pblico. Un servidor de autenticacin valida cada solicitante o cliente conectado a un autenticador puerto antes de poner a disposicin de cualquiera de los servicios ofrecidos por el interruptor o la LAN, este concepto fue clave para la implementacin correcta de la red cableada, ya que se entendi que en este caso el switch cisco trabajara como un cliente ms la cual sera usado como un filtro para la red.

6

6. PARTE EXPERIMENTAL

I. MATERIALES Y MTODOS

Vmware workstation 9

La utilizacin de este programa fue necesaria para simular el

servidor RADIUS y clientes.

Access point tl-WA901ND DE TP LINK

Dispositivo que trabajo como cliente en el proyecto.

Cable de consola

Fue necesaria la configuracin del switch, por lo que se requera la utilizacin de es

medio.

Cable UTP cat 6

En este caso solo se necesit cables directos, para la

implementacin.

Switch cisco catalyst 3560 24 puertos

Dispositivo que tambin fue cliente

del servidor radius para el acceso de

LANs.

7

II. PAQUETES LINUX

Para la implementacin de este proyecto, se usaran algunos paquetes Linux en los servidores, los

mismos que son:

DHCP

SELINUX

FREERADIUS

FREERADIUS-MYSQL

III. PROCEDIMIENTO Y RESULTADOS

Los siguientes procedimientos y resultados que se obtuvieron fueron en base a

todo lo implementado en un SO Centos 6.4 x86. Tener en cuenta que se han

creado tres servidores con SO Centos, la primera funcionando exclusivamente

como Servidor RADIUS, la segunda funcionando como servidor Firewall y la

tercera funcionando como un Router segn la siguiente topologa.

8

Se asumir que ya se cuenta con el Sistema Operativo CentOS instalado, por lo

que se centrar en la implementacin de los servicios en cada Sistema Operativo.

As mismo tambin se detallaran los pasos de configuraciones en las otras

herramienta utilizadas para que el servidor RADIUS funcione correctamente.

Los pasos para la implementacin son los siguientes (se incluyen imgenes de

resultado):

IMPLEMENTANDO UN ROUTER:

Para que un CentOS pueda actuar como router, es necesario tener en cuenta tres

caractersticas para este Sistema:

1. Tener el firewall desactivado ya que su uso es exclusivamente como

enrutador.

2. Cambiar el selinux de enforcing a disabled.

3. Poseer dos tarjetas de Red.

4. Configuraciones manuales en cada una de ellas.

5. Activar el bit de forwardeo.

DESACTIVANDO EL FIREWALL DEL SISTEMA:

Imagen 01: Desactivacin del firewall y configuracin para que siempre inicie desactivado.

CONFIGURANDO EL SELINUX:

Imagen 02: Abriendo el archivo de configuracin del SELINUX.

9

Imagen 03: Cambiando el parmetro de activacin del SELINUX.

AGREGANDO UNA NUEVA TARJETA DE RED:

Para este paso es necesario que el equipo (mquina virtual) se encuentre

apagado.

Imagen 03: Agregando nueva tarjeta de red (paso I).

10

Imagen 04: Agregando nueva tarjeta de red (Paso II).

11

Imagen 05: Agregando una nueva tarjeta de red (Paso III).

CONFIGURANDO LOS PARMETROS DE RED (ROUTER):

Para este paso es necesario haber ya cumplido en agregar una nueva tarjeta de

red y que el sistema se encuentre ya encendido.

Imagen 06: Comprobando la existencia de la nueva tarjeta de red.

Imagen 07: Ubicndonos, configurando y copiando el archivo de configuracin de red.

12

Existen dos tarjetas de red identificados por eth0 y eth1. Cada uno debe de poseer sus

propios parmetros de red como lo muestra la siguiente figura.

Imagen 08: Parmetros de red para la interfaz eth0 el cual tendr conexin directa con la red externa.

Imagen 09: Parmetros de red para la interfaz eth1 el cual tendr conexin con la LAN interna.

Imagen 10: Reiniciando los servicios de red.

Imagen 11: Comprobando la configuracin con el comando ifconfig | less.

13

ACTIVANDO EL BIT DE FORWARDEO EN EL ROUTER:

Imagen 12: Ingresando al archivo de configuracin.

Imagen 13: Estableciendo el nuevo valor de forwardeo.

IMPLEMENTANDO UN SERVIDOR RADIUS:

Los pasos a mostrar a continuacin se realizarn en el equipo (en este caso

mquina virtual) que funcionar como Servidor RADIUS.

Imagen 14: Agregando la IP nombre de nuestro equipo en el archivo /etc/hosts. Tener en cuenta que el

nombre ingresado para este caso es referencial.

Imagen 14: Descargando los paquetes necesarios.

Imagen 15: Iniciamos el servicio de MYSQL en el sistema.

14

Imagen 16: Ingresamos como usuario root a la administracin de MYSQL. Por defecto, el usuario root de

MYSQL, luego de la instalacin, no tiene establecido una contrasea.

Imagen 17: Creando una nueva Base de Datos con el nombre radius y estableciendo todos los permisos para

el usuario radius quien ser quien administre la Base de Datos.

Imagen 18: Ingresando ahora como usuario radius para agregar el esquema por defecto de freeradius.

Imagen 19: Agregando el esquema que por defecto establece freeradius.

15

Imagen 20: Agregamos un usuario de prueba en la tabla radheck que es el lugar en donde se establecen los

usuarios que podrn loguearse en el servidor.

Imagen 21: Configurando los parmetros en el archivo /etc/raddb/sql.conf. Las lneas importantes son:

server->generalmente localhost / login->administrador de la BD radius / password->pass del usuario /

radius_db-> Nombre de la Base de datos

Tener en cuenta que las configuraciones mostradas son slo referenciales, configurarla de acuerdo a su

conveniencia.

16

Imagen 22: Configurando el archivo /etc/raddb/radius.conf. Aqu se debe de descomentar la lnea mostrada

en la figura.

Imagen 23: Configurando el archivo /etc/raddb/clients.conf.

Imagen 24: Iniciando los servicios de freeradius con el comando radiusd X.

17

Imagen 25: Probando la configuracin del servidor haciendo una autentificacin local.

Luego simplemente instalamos el servicio DHCP que es el que servir para dar dinmicamente las direcciones IP, esto lo podramos realizar mediante un equipo router sin embargo en este caso lo haremos en un servidor y este dar acceso al switch y al AP. Procedemos con la instalacin mediante:

# yum -y install dhcp

Al terminar de instalar DHCP, lo que primero debemos hacer es indicar que interfaz utilizar el servicio, para esto modificamos:

# nano /etc/sysconfig/dhcpd

y escribimos

DHCPDARGS=eth1

As indicamos que eth1 ser el encargado de entregar dhcp. Ahora haremos un respaldo de nuestra configuracin por defecto.

# cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.original

As en caso que tengamos cualquier inconveniente, podemos volver a su estado.

Ya con esto listo, lo mejor es copiar la configuracin de ejemplo que nos brindan.

# cp cp /usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample

Nos preguntar si sobre-escribimos, a lo que respondemos que s. Deben tener en

cuenta que en la parte de /dhcp-4.1.1/ puede cambiar, ya que los nmeros corresponden a la versin instalada.

Una vez hecho todo esto, entramos a configurar DHCP, abrimos el fichero

18

/etc/dhcp/dhcpd.conf con su editor favorito, en mi caso trabajar con nano.

# nano /etc/dhcp/dhcpd.conf

Vern muchas configuraciones, pero como se detalla a continuacin solo deben fijarse en dejar lo siguiente:

# dhcpd.conf

default-lease-time 600;

max-lease-time 7200;

ddns-update-style none;

authoritative;

log-facility local7;

subnet 192.168.1.0 netmask 255.255.255.0 {

range 192.168.1.200 192.168.1.250;

option routers 192.168.1.105;

option domain-name-servers 8.8.8.8,8.8.4.4;

option domain-name "ServerDeConexion";

option broadcast-address 192.168.1.255;

option subnet-mask 255.255.255.0;

}

host vmlmde{

hardware ethernet 08:00:27:e5:7e:e6;

fixed-address 192.168.1.245;

}

Subnet es el segmento de red como nuestra interfaz es 192.168.1.105, el

segmento es 192.168.1.0, y obviamente la mscara antes indicada

range: es el rango de ip que entregada, en este caso indicamos que de la

200 a la 250.

option routers: IP del router, en este caso, indicamos la del mismo servidor.

option domain-name-server: Servidores DNS, ocupe los de Google, para

separar ocupar coma (,).

option domain-name: nombre del servidor

option broadcast-address: Direccin IP del broadcast.

Option subnet-mask: Direccin de la mscara de red.

Ya con esto deberamos estar entregando dinmicamente IP's, aunque es muy buena opcin que adems de asignar una IP dinmica. Indiquemos que un equipo tenga una IP esttica dentro del rango que indicamos, por ejemplo, si tenemos otra especie de servidor, vamos a querer que su ip no sea dinmica, es aqu donde acta el siguiente bloque:

19

host: indicamos nombre de host, en este caso vmlmde

hardware ethernet: es la direccin mac que tiene el cliente.

Fixed-address: Es la ip que le asignaremos al cliente.

IMPLEMENTANDO UN FIREWALL:

Debido a que el proyecto es centrado directamente a la implementacin de un

servidor RADIUS, hacemos la configuracin de un Firewall simple para que nos

pueda permitir realizar correctamente las pruebas con el servidor RADIUS y los

equipos externos.

En estas 2 imgenes podemos apreciar la configuracin de las 2 interfaces del

servidor firewall.

Al igual que el router en el firewall tambin es necesario configurar el bit de

forwardeo en el router, es decir activndolo.

NOTA: Esto no es recomendable para implementarlo en entornos empresariales.

Imagen 26: Agregando la poltica al firewall para permitir la conexin desde la red 192.168.1.0 a travs del

puerto 1812 y 1813 que son utilizados por el servidor RADIUS.

20

CONFIGURANDO EL ACCESS POINT (AP):

Generalmente, se utiliza RADIUS para establecer las configuraciones de permisos

a conexiones inalmbricas a diferentes usuarios, es decir, cada usuario tendr un

usuario y contrasea para conectarse a la red inalmbrica.

Para este procedimiento se ha hecho uso de un AP de marca y modelo TP-LINK

WA901ND el cual soporta la integracin con un servidor RADIUS.

Este AP tiene la caracterstica de poseer su propio DNS para realizar su

configuracin, por lo que simplemente se conecta y se procede a configurar.

Imagen 27: Agregando un nuevo cliente de autentificacin en el archivo /etc/raddb/clients.conf, este paso es

realizado en el SERVIDOR RADIUS. Luego de hacer esto, resetear el servicio RADIUS con el comando

radiusd X.

Imagen 27: Se realiza la configuracin de la direccin IP del AP. Notal que la IP ingresada aqu, debe ser igual

al que la declarada en el archivo /etc/raddb/clients.conf.

21

Imagen 28: Se procede a realizar la configuracin de Wireless como lo muestra la figura. El SSID puede ser

cualquiera.

Imagen 29: Configuracin de la seguridad del Wireless. Se debe de activar la opcin de WPA/WPA2

Enterprise para que el AP se asocie con el Servidor RADIUS. Respetar las configuraciones

mostradas en la figura. Notar que se debe de ingresar la direccin IP del servidor RADIUS, el puerto

y la contrasea que es el mismo declarado en la seccin secret del nuevo cliente en el archivo

/etc/raddb/clients.conf.

22

CONFIGURANDO EL SWITCH DE AUTENTIFICACIN:

Debido a que Freeradius utilizar el protocolo 802.1X, este puede ser implementado

tambin junto a un Switch que soporte este protocolo, por lo cual se ha elegido el

Switch Cisco 3560 para que pueda trabajar como cliente de autentificacin del

servidor RADIUS.

Para configurar el switch, es necesario utilizar los siguientes comandos:

Entramos en modo usuario privilegiado al switch.

1. Switch(config)#interface vlan1

2. Switch(config-if)#ip address 192.168.1.250 255.255.255.0

3. Switch(config)# ip routing

4. Switch(config)# aaa new-model

5. Switch(config)# username admin secret MyPassword

6. Switch(config)# radius-server host 192.168.1.100 auth-port 1812 acct-port 1813

key

MyRadiusKey

7. Switch(config)# aaa authentication dot1x default group radius

8. Switch(config)# dot1x system-auth-control

9. Switch(config)# interface range fa0/1-24

10. Switch(config-if)# switchport mode access

11. Switch(config-if)# dot1x port-control auto

Tener en cuenta que los datos remarcados en amarillo, son los que se deben

configurar de acuerdo a las circunstancias del servidor (IP, Tipo de interfaz, etc.).

Luego de establecer las configuraciones en el Switch, se procede a configurar los

clientes de la siguiente manera:

Imagen 30 : Ejecutamos la consola de administracin service.msc y nos dirigimos a la pestaa Estndar

ubicado en la parte inferior de la ventana.

23

Imagen 31: Buscamos de entre la lista, el servicio identificado como Configuracin automtica de redes

cableadas y lo iniciamos.

Imagen 32 : Ya con esto, abrir el panel Centro de redes y recursos compartidos. Nos ubicamos el

conexin cableada y nos dirigimos a sus propiedades (Click Derecho -> Propiedades). No dirigimos a la

pestaa Autenticacin y damos click en el botn Configuracin.

24

Imagen 33 : Dejamos la ventana con las configuraciones similares a como muestra la figura. Damos click en

Configurar.

Imagen 34 : Desmarcamos la casilla que nos aparece en la venta de Propiedades de EAP MSCHAPv2.

Damos a Aceptar en las dos ventanas hasta regresar a la venta de propiedades de la conexin cableada

(Imagen 30).

25

Imagen 35 : Damos click en el botn Configuracin Avanzada y elegimos las opciones como nos muestra

la figura. Luego, dar click en el botn Reemplazar credenciales y escribimos el usuario y contrasea de un

usuario registrado en el servidor.

Imagen 36 : Como ejemplo se inserta el usuario Vasquez.

26

IV. ANLISIS Y RECOMENDACIONES

Muchas prcticas se han establecido como recomendables para minimizar los

riesgos asociados al acceso indebido en redes inalmbricas. Entre las principales

recomendaciones de este tipo se encuentran:

Evitar la difusin del identificador de red o SSID (Service Set Identifier).

Establecer listas de control de acceso por direcciones fsicas o de MAC

(Media Access Control) de los dispositivos que acceden a la red.

Utilizar cifrado en las conexiones inalmbricas.

Segmentar los puntos de acceso inalmbricos en zonas de seguridad

administradas por un firewall.

Establecer redes privadas virtuales o VPNs en las conexiones inalmbricas.

Combinar mecanismo de autenticacin a la red y cifrado de datos.

Una vez se haya decidido la implementacin de un sistema de control de acceso

a la red de datos basado en el estndar 802.1x como lo es mecanismo de

autentificacin RADIUS, se debe determinar cules son los requerimientos de

funcionalidad que se deben suplir as como los requerimientos tcnicos que

implica la implementacin de este tipo de solucin, con lo cual se definir el

diseo y la seleccin del tipo de autenticacin a utilizar.

27

7. CONCLUSIONES

Las redes inalmbricas no tienen por qu ser inseguras si se configuran

adecuadamente, en este caso se logr implementar correctamente la

autentificacin RADIUS en una red local.

Al ejecutar el servidor RADIUS en modo depuracin permite observar toda

la informacin que el cliente RADIUS enva al servidor y la informacin con

la cual el servidor responde a estas peticiones. Gracias a esto se puede

ubicar de forma inmediata problemas que se estn dando con algn

usuario, por ejemplo que no se est asignando un perfil en el cliente

RADIUS debido a que no se configuro el campo service type.

Asimismo para que la red cableada sea autentificada se debe de

configurar el switch para controlar el estado del servidor RADIUS, es decir

el switch se convierte en un autentificador, la cual se configura el parmetro

802.1x por puerto.

Despus de describir el mecanismo utilizado para proteger las redes

inalmbricas y cableadas, se puede percibir que la implementacin de

802.1x en entornos LAN es un componente primordial de las mejores

recomendaciones de seguridad actual y futura.

Al autenticar una red LAN o WLAN se sabe por lo experimentado que se

requiere llenar ciertas credenciales como es el usuario y contrasea, sin

embargo no es el nico mtodo, tambin se puede a travs de certificados

digitales que mucho ms seguro.

A la hora de realizar la implementacin surgen consideraciones igualmente

importantes para el xito de la solucin. De manera general, la

implementacin de este tipo de sistemas requiere un conocimiento

especfico del estndar 802.1x y de tecnologas inalmbricas

seleccionadas.

28

8. REFERENCIAS BIBLIOGRAFICAS

CISCO. (2010). Configuring 802.1X Port-Based Authentication. En cisco, REDES CISCO

CCNP A FONDO (pg. 921). RA-MA EDITORIAL.

Dueas, J. B. (13 de 12 de 2012). Alcance libre. Obtenido de

http://www.alcancelibre.org/staticpages/index.php/como-freeradius-mysql-centos5

Florio, A. (9 de Abril de 2013). Mi CCIE Journey. Obtenido de

http://journey4ccie.com/2013/04/09/lab-wired-802-1x-port-authentication-using-

freeradius/

Keyser, E. (6 de 3 de 2012). wiki.freeRADIUS. Obtenido de

http://wiki.freeradius.org/guide/SQL-HOWTO

SAFERSRV. (2012). Obtenido de http://safesrv.net/about-us/: http://safesrv.net/install-and-

setup-freeradius-on-centos-5/