Académique Documents
Professionnel Documents
Culture Documents
OCTAVO SEMESTRE
INTEGRANTES:
DE LEN GONZALEZ CRISTAL IDTZAYANY
ESCOBAR CASTILLO DIANA CARMINA
GARCA GUZMAN SURIEL TONATIUH
Tabla de contenido
INTRODUCCIN .................................................................................................................................................... 4
1.
2.
3.
4.
4.2
4.3
4.4
4.5
5.
CHILLISPOT .................................................................................................................................................... 20
5.1
5.1.1
5.2
5.3
6.
INSTALACIN DE CHILLISPOT.................................................................................................................. 28
6.1
6.1.1
6.1.2
MODIFICACIN DE HOTSPOTLOGIN.CGI...................................................................................... 33
6.1.3
CONFIGURACIN DE CHILLISPOT.IPTABLES................................................................................... 34
7.
8.
INTRODUCCIN
En la actualidad, debido al alto crecimiento y evolucin que se ha dado en la tecnologa
inalmbrica, tanto en dispositivos mviles como en dispositivos de red, el uso de Portales
Cautivos es ms frecuente, permitiendo a un usuario de una red pblica o privada interactuar
primero con una pgina web antes de garantizar su acceso a las funciones normales de la
red.
Estos Portales Cautivos son utilizados principalmente por centro de negocio, aeropuertos,
hoteles, cafeteras y otros proveedores que ofrecen HotSpots de Wi-Fi para usuarios de
Internet.
Los principales requisitos para que funcione un HotSpot son los siguientes:
Conexin a Internet.
Access Point.
Software ChilliSpot.
Servidor Radius.
Servidor Web.
Portal Cautivo
Un portal cautivo (o captivo) es un programa o mquina de una red pblica o privada que
vigila el trafico HTTP y obliga a los usuarios a pasar por una pgina Web especial, en la cual
deben ingresar un nombre de usuario y una contrasea asignadas, para as poder navegar
por Internet de forma normal.
ChilliSpot
ChilliSpot es un portal cautivo de cdigo abierto para una red inalmbrica o LAN. Es usado
para autenticar a los usuarios de una red inalmbrica. Soporta un ingreso basado en Web.
Authentication, Authorization y Accounting (AAA). Trabajo en diferentes distribuciones Linux:
Redhat, Fedora, Debian, etc.
Radius
RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticacin,
autorizacin y manejo de cuentas de usuario. Es utilizado para administrar el acceso remoto
y la movilidad IP, como ocurre en servicios de acceso por modem, DSL, servicios inalmbricos
802.11 o servicios de VoIP (Voice over IP o Voz sobre IP). Este protocolo trabaja a travs del
puerto 1812 por UDP.
La autenticacin gestionada por este protocolo se realiza a travs del ingreso de un nombre
de usuario y una clave de acceso. Esta informacin es procesada por un dispositivo NAS
(Network Access Server) a travs de PPP (Point-to-Point Protocol o Protocolo Punto-a-Punto)
siendo
posteriormente
validada
por
un
servidor
RADIUS
travs
del
protocolo
FreeRadius
Es una alternativa libre hacia otros servidores RADIUS, siendo uno de los ms completos y
verstiles gracias a la variedad de mdulos que le componen. Puede operar tanto en
sistemas con recursos limitados as como sistemas atendiendo millones de usuarios.
FreeRadius inici como un proyecto de servidor RADIUS que permitiera una mayor
colaboracin de la comunidad y que pudiera cubrir las necesidades que otros servidores
RADIUS no podan. Actualmente incluye soporte para LDAP, SQL y otras bases de datos, as
como EAP, EAP-TTLS y PEAP. Actualmente incluye soporte para todos los protocolos comunes
de autenticacin y bases de datos.
1. DISEO DE LA RED
Para la implementacin del servidor FreeRadius con Chillispot es necesario contar con
dos tarjetas de red, que nos permitan conectarnos a dos redes WAN y LAN, en este
caso utilizaremos la tarjeta inalmbrica de una laptop para comunicarnos con la red
WAN y as proveer el servicio de internet, por otro lado utilizaremos el puerto Ethernet
para la conexin de rea local, que permitir a los usuarios conectarse al servidor, en
la misma red utilizaremos un router como punto de acceso el cual har visible la red
que proveer el servicio de internet. Como se muestra en la figura 1.
permite integrar una pgina web donde se pueda colocar publicidad, o informacin
necesaria para obtener el servicio, segn sea el caso de aplicacin.
WLAN0
Para la configuracin de la wlan0 tomamos en cuenta, que el modem nos proporciona
una IP, por medio de DHCP, podemos colocar una IP esttica que pertenezca al rango
DHCP y que no est en uso. O colocarla dinmica. En este caso usamos esttica
porque haba un conflicto entre las dos tarjetas de red.
ETH0
Address: Direccin IP de la tarjeta de red de rea local (En este caso sera la IP
del servidor).
3. INSTALACIN DE FREERADIUS
Para poder llevar a cabo la instalacin de FreeRadius, abrimos la terminal y nos
autentificamos como sper usuarios.
root@Madito04: su
Contrasea: *****
root@Madito04:/home/madito04#
Luego ingresamos a un explorador, y accedemos a la pagina oficial de freeradius
http://freeradius.org/download.html como vemos tenemos dos versiones en este caso
descargamos la versin estable 2.2.5 y procedemos a la descarga dando clic en el
enlace tar.gz de la versin como se muestra en la figura 3.
Una vez descargado nos posicionamos en la terminal e instalamos las siguientes librerias
que nos permitiran la instalacin del paquete:
root@Madito04:/home/madito04# apt-get install libssl-dev
root@Madito04:/home/madito04# apt-get install build-essential
Posteriormente nos ubicamos en el directorio donde se encuentra el paquete
descargado y lo copiamos a nuestra carpeta de trabajo:
4. CONFIGURACION DE FREERADIUS
Una vez instalado nuestro servidor FreeRadius, procedemos a configurar y modificar
algunos parmetros de sus ficheros que se encuentran en la siguiente ruta:
/usr/local/etc/raddb/.
eap.conf
users
mschap
clients.conf
4.1
Editamos el fichero cambiando el valor por defecto md5 por peap, como se muestra
en la figura 7.
4.2
En este fichero daremos de alta los nombres de usuario y contrasea que podrn ser
usados para autenticarse frente al servidor RADIUS. Se edita el fichero users con un
editor de texto.
Editamos el Fichero agregando los usuarios de la siguiente manera al final del fichero
guardamos y cerramos.
usuario Cleartext-Password:=password
4.3
Para que los cambios realizados en la configuracin sean cargados en RADIUS, se debe
ejecutar el siguiente comando:
ldconfig
En este momento ya est instalado y configurado el servidor RADIUS. A continuacin se
realizara una prueba, y solo quedara configurar el cliente en el servidor RADIUS, y el
punto de acceso para que pida autentificacin de usuarios al servidor que se
configuro.
4.4
Prueba de Funcionamiento
4.5
5. CHILLISPOT
Empezaremos con la descarga de ChilliSpot, para esto abrimos algn navegador (Ice
Weasel, Mozilla Firefox, Chromium, etc.) y tecleamos la pgina oficial de ChilliSpot
http://www.chillispot.org/.
Nos dirigimos a la seccin de descargas, ah aparecen los enlaces a los archivos fuente,
descargamos la versin 1.0 con la extensin .deb por la compatibilidad del Sistema
Operativo Debian.
5.1
Para que funcione el Portal Cautivo ChilliSpot necesita un servidor web con soporte SSL,
el cual redireccionar a los usuarios de la red inalmbrica cuando intenten navegar.
Para la instalacin de Apache tecleamos en la Terminal el siguiente comando:
root@Madito04:/usr/local/etc/radd# apt-get install apache2 apache2.2-common
apache2-mpm-worker apache2-utils
make-ssl-cert
/usr/share/ssl
cert/ssleay.cnf
/etc/apache2/ssl/apache.pem
Llenamos los datos pida segn nuestro caso y luego habilitamos el mdulo con el
comando:
root@Madito04:/etc/apache2/ssl# a2enmod ssl
Debemos verificar que Apache este configurado para escuchar por el puerto 443
cuando trabaje con el mdulo SSL.
Editamos el archivo ports.conf
root@Madito04:/etc/apache2/ssl# nano /etc/apache2/ports.conf
Abierto el archivo, debe quedar configurado de la siguiente manera:
Ahora creamos el sitio SSL. Por defecto, apache trae el fichero default ubicado en la
carpeta /etc/apache2/sites-available/. Copiamos este archivo para luego poder
modificarlo:
root@Madito04:/etc/apache2/ssl# cp /etc/apache2/sites-available/default
/etc/apache/sites-available/ssl
Una vez creado el certificado, modificamos segn la figura:
root@Madito04:/etc/apache2/ssl# nano /etc/apache2/sites-available/ssl
Para
finalizar
la
configuracin
de
Apache,
habilitamos
el
nuevo
sitio
5.2
SOPORTE TUN/TAP
Nuestro sistema debe tener habilitado el soporte TUN/TAP para interfaces virtuales.
Desde la terminal ejecutamos los siguientes comandos:
root@Madito04:/home/madito04# apt-get install modconf
Ahora pasamos a la configuracin de TUN:
root@Madito04:/home/madito04# modconf
Aparecer una ventana que muestra las categoras de los mdulos soportados por el
sistema. En nuestro caso, buscamos seccin kernel/drives/net.
5.3
FORWARDING DE DIRECCIONES IP
El equipo con ChilliSpot estar trabajando como un firewall, de hecho, sin las reglas de
firewall no sera posible que ChilliSpot funcionara.
Al funcionar como firewall debe tener la capacidad de hacer NAT (Network Address
Translation) para lo que ejecutamos el siguiente comando:
root@Madito04:/home/madito04# echo 1|tee /proc/sys/net/ipv4/ip_forward
Ahora editamos el archivo sysctl.conf
root@Madito04:/home/madito04# nano /etc/sysctl.conf
Nos aseguramos que tenga la siguiente lnea, si no es as, la agregamos y si se
encuentra comentada con # al principio, borramos el smbolo.
net.ipv4.ip_forward=1
Ya tenemos configurado el firewall para que sea capaz del redireccionar entre las
interfaces interna y externa.
6. INSTALACIN DE CHILLISPOT
Para la instalacin de ChilliSpot, accedemos a la carpeta Descargas, donde alojamos
el paquete *.deb de ChilliSpot.
Ya ubicados ejecutaremos el siguiente comando:
root@Madito04:/home/madito04# dpkg i chillispot_1.0_i386.deb
Con esto ya instalamos ChilliSpot que ya cuenta con una configuracin
predeterminada, posteriormente podemos hacer modificaciones y definir nuevos
parmetros a esta configuracin en /etc/chilli.conf.
Dentro de la documentacin de ChilliSpot encontramos el archivo hotspotlogin.cgi
(generalmente esta comprimido como hotspotlogin.cgi.gz).
Descomprimir el archivo y copiar en la carpeta /usr/lib/cgi-bin.
root@Madito04:/home/madito04# gunzip /usr/share/doc/chillispot/hotspotlogin.cgi.gz
root@Madito04:/home/madito04#
cp
/usr/share/doc/chillispot/hotspotlogin.cgi
/usr/lib/cgi-bin/
Con esto ya tenemos el servidor de autenticacin, solo falta hacer algunas
configuraciones.
6.1
/etc/chilli.conf
/usr/local/etc/raddb/clients.conf
/usr/lib/cgi-bin/hotspotlogin.cgi
/etc/init.d/chillispot.iptables
net:
Es la red sobre la cual estar trabajando Chillispot, es decir la Wireless LAN.
Se debe poner con el formato <direccin IP>/<mscara de subred>.
radiusserver:
La direccin IP de los servidores RADIUS. Es necesario indicar dos servidores,
aunque en nuestro caso solamente contamos con uno. Debido a que el servicio
de RADIUS se encuentra corriendo en el mismo equipo, utilizamos la direccin
de loopback.
radiussecret:
Cadena de caracteres que indica el secreto compartido entre Chillispot y el
servidor RADIUS.
dns:
Direccin IP del servidor DNS.
dhcpif:
Interfaz conectada al punto de acceso y por la que se proveer DHCP. Dicho
sea de paso que en la red sobre la que est trabajando Chillispot no debe haber
ningn servidor DHCP activado, dado que este servicio lo proporciona Chillispot
mismo.
uamallowed:
Aqu podemos especificar direcciones IP o nombres de dominio a los que se
permitir el acceso sin autenticacin. Como mnimo debemos poner la direccin
'uamserver':
URL del servidor de autenticacin.
'uamsecret':
Secreto compartido entre Chillispot y el servidor de autenticacin.
Conclusin
Los Hotspots son utilizados principalmente por centros de negocios, aeropuertos, hoteles, cafeteras y
otros proveedores que ofrecen HotSpots de Wi-Fi para usuarios de Internet, para ofrecerles un mejor
servicio e impedir que personas con malas intenciones tengan acceso a la red, para ello se utiliza
portal cautivo y un servidor radius que en conjunto trabajan para la seguridad y autentificacin de
cada uno de los usuarios que accedan a internet, adems de la seguridad se ofrece tambin un
servicio publicitario para la empresa y as antes de conectarse este servicio de internet su publicidad
sea vista por los usuarios.