Académique Documents
Professionnel Documents
Culture Documents
INSTITUTO TECNOLGICO DE
ZACATECAS
SEGURIDAD EN CORTAFUEGOS
PROYECTO INTEGRADOR
SERVIDOR RADIUS
PRESENTADO POR:
10450454
11450553
DOCENTE
ISC. JORGE ARELLANO ROMERO
Junio de 2015
Proyecto Integrador
TABLA DE ILUSTRACIONES
Ilustracin 1 Diagrama de Red ................................................................................ 5
Ilustracin 2 Simulacin Packet Tracer ................................................................... 6
Ilustracin 3 Configuracin Tarjeta de Red Mquina Virtual eth0............................ 8
Ilustracin 4 Configuracin Tarjeta de Red Mquina Virtual eth1............................ 8
Ilustracin 5 Seleccin Tipo de Instalacin ............................................................. 9
Ilustracin 6 Instalacin en Curso ......................................................................... 10
Ilustracin 7 Configuracin Tarjeta de Red eth0 ................................................... 10
Ilustracin 8 Configuracin Tarjeta de Red eth1 ................................................... 11
Ilustracin 9 Verificacin de Asignaciones de Direcciones IP .............................. 11
Ilustracin 10 Filtrado de Paquetes ....................................................................... 11
Ilustracin 11 Verificacin Reglas IPTABLES ....................................................... 12
Ilustracin 12 Enrutamiento de Paquetes .............................................................. 12
Ilustracin 13 Guardado de Reglas IPTABLES ..................................................... 12
Ilustracin 14 Inicio de Sesin Daloradius ............................................................. 22
Ilustracin 15 Pantalla de Incio Daloradius ........................................................... 22
Ilustracin 16 Administracin de NAS (Puntos de Acceso) Daloradius ................. 23
Ilustracin 17 Administracin de Usuario Daloradius ............................................ 23
Ilustracin 18 Configuracin Red AP1 ................................................................... 24
Ilustracin 19 Configuracin IP AP1 ...................................................................... 24
Ilustracin 20 Configuracin DHCP AP1 ............................................................... 25
Ilustracin 21 Configuracin Seguridad WPA/WPA2-Enterprise AP1 ................... 25
Ilustracin 22 Configuracin LAN Access Point .................................................... 26
Ilustracin 23 Configuracin Nombre Difusin Access Point ................................. 27
Ilustracin 24 Configuracin DCHP Access Point ................................................. 27
Ilustracin 25 Configuracin de Seguridad WPA/WPA2--Enterprise ..................... 28
Ilustracin 26 Conexin Cliente Windows 8.1 ....................................................... 29
Ilustracin 27 Verificacin Conexin Cliente Windows 8.1 .................................... 29
Ilustracin 28 Creacin Nueva Red Windows 7 .................................................... 30
Ilustracin 29 Definicin de Aspectos de Nueva Red ............................................ 30
Ilustracin 30 Tipo de Seguridad Nueva Red ........................................................ 31
Ilustracin 31 Configuracin Nueva Red ............................................................... 31
Ilustracin 32 Mtodo de Autenticacin Nueva Red .............................................. 32
Ilustracin 33 Autenticacin de Red ...................................................................... 32
Ilustracin 34 Verificacin Tipo de Conexin e IP ................................................. 33
Ilustracin 35 Verificacin Salida a Internet .......................................................... 33
Ilustracin 36 Configuracin Conexin Clientes Windows Phone ......................... 34
Ilustracin 37 Configuracin Clientes Windows Phone 2 ...................................... 34
Ilustracin 38 Ruta de Configuracin Servidor Proxy ............................................ 35
Ilustracin 39 Configuracin de Proxy en Windows .............................................. 36
Ilustracin 40 Configuracin Servidor Proxi en Windows Phone ........................... 36
Ilustracin 41 Prueba de Conexin y Funcionamiento .......................................... 37
Proyecto Integrador
CONTENIDO
INTRODUCCION .................................................................................................... 1
DESARROLLO ........................................................................................................ 2
MARCO TEORICO .............................................................................................. 2
OBJETIVO ........................................................................................................... 4
EQUIPO NECESARIO ......................................................................................... 4
DIAGRAMA DE RED ........................................................................................... 5
SIMULACION PACKET TRACER ....................................................................... 6
MANUAL TECNICO ............................................................................................. 7
INSTALACION DE SERVIDOR CENTOS 6.6 (LINUX) .................................... 7
CONFIGURACIN DE SERVIDOR NAT ....................................................... 10
CONFIGURACIN DE RADIUS .................................................................... 13
INSTALAR DALORADIUS PARA ADMINISTRACIN A TRAVS DE HTTP.20
CONFIGURACIN DE PUNTOS DE ACCESO ............................................. 24
MANUAL DE USUARIO..................................................................................... 29
CONFIGURACIN DE CLIENTES ................................................................ 29
PRUEBAS DE CONEXIN Y FUNCIONAMIENTO ........................................... 37
CONCLUSIONES.................................................................................................. 38
BIBLIOGRAFA ..................................................................................................... 39
Proyecto Integrador
1
INTRODUCCION
Las redes de computadoras hoy en da estn presentes en casi todas las
organizaciones y son esenciales para su funcionamiento en el intercambio de
informacin, todo ello conlleva que el nmero de usuarios y la necesidad de estar
conectados se incremente considerablemente, por lo que se vuelve una imperiosa
necesidad implementar soluciones que puedan garantizar la seguridad y el control,
de acceso de usuarios no autorizados o que sobrepasen la capacidad de la red y
propicien deficiencias en el rendimiento de la misma. Es por ello que en este
proyecto se propone una solucin para el control de acceso de los usuarios
mediante conexiones inalmbricas que hoy en da con la gran cantidad de
dispositivos mviles se convierten en el principal medio de conexin. Dicha
propuesta consiste en la implementacin de un Servidor Radius que mediante listas
de acceso permita autenticar a los usuarios autorizados y rechazar a los usuarios
que no se encuentren en el sistema, garantizando as que nicamente los usuarios
que se encuentran en la base de datos puedan acceder mediante los puntos de
acceso inalmbricos.
Por todo ello en este proyecto se contempla la instalacin, configuracin y
consideraciones para implementar un servidor radius dentro del sistema operativo
Linux con la distribucin CentOS 6 que permita realizar las funciones descritas y
brindando as la posibilidad de replicar el procedimiento para su implementacin en
un entorno real.
Proyecto Integrador
2
DESARROLLO
MARCO TEORICO
Netfilter es un conjunto de ganchos (Hooks, es decir, tcnicas de programacin que
se emplean para crear cadenas de procedimientos como manejador) dentro del
ncleo de GNU/Linux y que son utilizados para interceptar y manipular paquetes de
red. El componente mejor conocido es el cortafuego, el cual realiza procesos de
filtracin de paquetes. Los ganchos son tambin utilizados por un componente que
se encarga del NAT (acrnimo de Network Address Translation o Traduccin de
direccin de red). Estos componentes son cargados como mdulos del ncleo.
Iptables es el nombre de la herramienta de espacio de usuario (User Space, es
decir, rea de memoria donde todas las aplicaciones, en modo de usuario, pueden
ser intercambiadas hacia memoria virtual cuando sea necesario) a travs de la cual
los administradores crean reglas para cada filtrado de paquetes y mdulos
de NAT. Iptables es la herramienta estndar de todas las distribuciones modernas
de GNU/Linux. [1]
Freeradius, proyecto iniciado en 1999 por Alan DeKok y Miquel van Smoorenburg
(quien colabor anteriormente en el desarrollo de Cistron RADIUS), es una
alternativa libre hacia otros servidores RADIUS, siendo uno de los ms completos y
verstiles gracias a la variedad de mdulos que le compone. Puede operar tanto en
sistemas con recursos limitados as como sistemas atendiendo millones de
usuarios.
Instituto Tecnolgico de Zacatecas
Seguridad en Cortafuegos
Proyecto Integrador
3
Freeradius inici como un proyecto de servidor RADIUS que permitiera una mayor
colaboracin de la comunidad y que pudiera cubrir las necesidades que otros
servidores RADIUS no podan. Actualmente incluye soporte para LDAP, SQL y otras
bases de datos, as como EAP, EAP-TTLS y PEAP. Actualmente incluye soporte
para todos los protocolos comunes de autenticacin y bases de datos.
Proyecto Integrador
4
OBJETIVO
Montar un Servidor Radius que funcione con dos puntos de acceso inalmbricos,
implementando el protocolo de seguridad WPA/WPA2-Enterprise, donde los
usuarios clientes que se conecten a los puntos de acceso sean autentificados y
validados por el Servidor Radius el cual permitir establecer la conexin o no a la
red. Los equipos de distribucin (Puntos de Acceso) deben permitir la salida a los
clientes por medio del Servidor Radius. As como permitir la administracin de los
equipos de distribucin y los usuarios mediante la implementacin de una
plataforma web que permita gestionarlos de manera sencilla. El proyecto tambin
contempla la generacin de la documentacin que incluir la instalacin y
configuracin de los servicios necesarios para el funcionamiento del Servidor
Radius y su administracin, de tal forma que el proceso pueda ser replicado de
manera adecuada para implementar un proyecto de este tipo.
EQUIPO NECESARIO
1 Cable Ethernet Recto Cat5e que conectara al Servidor Radius con el equipo
de distribucin Switch.
2 Cables Ethernet Cruzados Cat5e que conectaran los puntos de acceso con el
Switch.
Proyecto Integrador
5
DIAGRAMA DE RED
Proyecto Integrador
6
SIMULACION PACKET TRACER
Proyecto Integrador
7
MANUAL TECNICO
INSTALACION DE SERVIDOR CENTOS 6.6 (LINUX)
1. Descargar la imagen ISO del DVD de CentOS 6.6.
Se debe descargar la imagen dependiendo de la arquitectura requerida i386 o bien
x86-64, en muchos de los casos solo ser necesario descargar el DVD1 salvo que
se requiera soporte para algn idioma no convencional. La imagen ISO puede ser
descargada de la siguiente direccin:
http://mirror.centos.org/centos/6/isos/
NOTA: Recordemos que la versin de CentOS actual es la versin 7 por lo que en
el sitio oficial se encontrar como primera opcin de descarga pero dada la
recomendacin de instalar versiones pares por su mayor estabilidad, se ha decidido
trabajar con la versin 6.6.
2. Creacin de Mquina Virtual para la instalacin de CentOS 6.6.
Para la creacin de la mquina virtual donde montaremos CentOS 6.6 utilizaremos
el software de virtualizacin VirtualBox, donde crearemos una mquina virtual para
Linux con la distribucin RedHat ya que CentOS es un clon de RedHat, con 512mb
de RAM y 20GB de disco duro.
Nota: La capacidad de memoria RAM y de espacio en disco es variable
dependiendo del uso y las necesidades a las que estar destinado el servidor, este
paso de la creacin de la mquina virtual puede omitirse si la instalacin ser
realizada en un equipo dedicado.
3. Configuracin de Tarjetas de Red
La configuracin de las tarjetas de red es un paso importante y depende
directamente del escenario a simular, en este caso para simular un servidor que
proporcione el servicio radius y funcione como puerta de salida, se utilizaran 2
tarjetas de red, le eth0 que ser la que se encuentre dentro de la red local con la
direccin IP del servidor que tambin funcionar como puerta de enlace (Gateway),
la cual ser la 192.168.1.254, la cual se establecer en modo puente a la tarjeta
Cableada del equipo anfitrin; y la eth1 la cual se conectara a algn equipo de
distribucin que le proporcione el servicio de internet, esta ser conectada en modo
puente a la tarjeta inalmbrica del equipo anfitrin.
Proyecto Integrador
8
Proyecto Integrador
9
4. Instalacin de CentOS 6.6
Despus procedemos con la instalacin de CentOS 6.6, al comienzo de la
instalacin aparece una venta que nos pregunta que si deseamos verificar el disco
instalacin le damos clic en no y pasamos a las acciones de instalacin de un
sistema Linux en este caso CentOS 6.6 como son las siguientes:
Seleccin de Idioma
Seleccin de Teclado
Para esta caso practico se utilizo el nombre de dominio por defecto, en un entorno
de produccion el nombre de dominio sera el que determine la empresa.
Proyecto Integrador
10
Una vez terminada la instalacin de CentOS 6.6, solo es cuestin de esperar a que
termine y podremos acceder al sistema, eso ser en modo consola o escritorio si
as lo instalan, una vez dentro del sistema se podrn instalar los servicios que se
requieran.
Proyecto Integrador
11
Proyecto Integrador
12
4. Verificamos el iptables
5. Activar IP Forward:
fichero /etc/sysctl.conf.
Para
activarlo,
tenemos
6. Enrutamiento de Paquetes
que
editar
el
Proyecto Integrador
13
CONFIGURACIN DE RADIUS
Instale los paquetes necesarios:
yum -y install freeradius freeradius-mysql
freeradius-utils
yum -y install mysql mysql-server
Proyecto Integrador
14
Genere una nueva base de datos denominada radius:
mysqladmin -uroot -p123qwe create radius
Designe el usuario y clava de acceso para acceder a la base de datos recin creada:
GRANT all ON radius.* TO radius@localhost
IDENTIFIED BY '123qwe';
Salga de MySQL:
exit;
Utilizando el usuario radius o el que haya designado para utilizar la base de datos
recin creada, pueble la base de datos que acaba de crear con los esquemas
incluidos con Freeradius:
mysql -uradius -p123qwe radius <
/etc/raddb/sql/mysql/cui.sql
mysql -uradius -p123qwe radius <
/etc/raddb/sql/mysql/ippool.sql
mysql -uradius -p123qwe radius <
/etc/raddb/sql/mysql/nas.sql
mysql -uradius -p123qwe radius <
/etc/raddb/sql/mysql/schema.sql
mysql -uradius -p123qwe radius <
/etc/raddb/sql/mysql/wimax.sql
Proyecto Integrador
15
Edite el archivo /etc/raddb/sql.conf:
vi /etc/raddb/sql.conf
Proyecto Integrador
16
Descomente en la seccin authorize, lo cual se localiza aproximadamente
alrededor de la lnea 131:
sql
Reegrese al smbolo de sistema y acceda a MySQL para dar de alta un usuario para
probar:
mysql -uradius -p123qwe radius
+----+----------+-----------+----+--------+
|
6 | fulano
| Password
| == | 123qwe |
+----+----------+-----------+----+--------+
1 row in set (0.00 sec)
Salga de mysql:
exit;
Proyecto Integrador
17
Inicie el servicio radiusd:
service radiusd start
A partir de este punto, solo podr autenticar usuarios de manera local. Para poder
conectar el punto de acceso hacia el servidor Freeradius, vuelva a conectarse
MySQL:
mysql -uradius -p123qwe radius
Proyecto Integrador
18
Para verificar, ejecute desde el smbolo de sistema de MySQL lo siguiente:
select * from nas where shortname='WIFI1';
Para aadir otro punto de acceso, solo basta repetir las lnea con los datos que
correspondan:
INSERT INTO nas (nasname, shortname, type, secret)
VALUES ('192.168.1.2', 'WIFI2', 'other',
'123qwe');
Para realizar pruebas de conectividad remota, aada un equipo siguiendo el
procedimiento anterior y desde este equipo ejecute el mandato radtest (incluido en
Instituto Tecnolgico de Zacatecas
Seguridad en Cortafuegos
Proyecto Integrador
19
el paquete freeradius2-utils, si se utiliza CentOS 5 o Red Hat Enterprise Linux 5 o
bien freeradius-utils, si se utiliza una verson reciente de Fedora) de la siguiente
forma, donde x.x.x.x corresponde a la direccin IP del servidor Freeradius:
radtest fulano 123qwe 192.168.1.254 1812 123qwe
Lo anterior debera devolver algo similar a lo siguiente.
Sending Access-Request of id 225 to 192.168.1.254
port 1812
User-Name = "fulano"
User-Password = "123qwe"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host x.x.x.x
port 1812, id=225, length=20
Proyecto Integrador
20
INSTALAR DALORADIUS PARA ADMINISTRACIN A TRAVS DE HTTP.
Se requiere instalar Apache, PHP y sus ligaduras para MySQL, la biblioteca GD y
Pear-DB:
yum -y install httpd php php-mysql php-gd php-pear
php-pear-DB
Cambie los permisos de todo el contenido del directorio recin descomprimido para
que pertenezcan al usuario y grupo apache:
chown -R apache:apache daloradius-0.9-9
Proyecto Integrador
21
Edite el archivo library/daloradius.conf.php:
vi library/daloradius.conf.php
Proyecto Integrador
22
Acceda
con
cualquier
navegador
moderno
hacia
http://direcin-ipservidor/daloradius/. Ingrese con el usuario Administrator y la clave de
acceso radius. Desde esta interfaz podr aadir y administrar las cuentas de
usuarios y administrar y aadir los puntos de acceso.
Proyecto Integrador
23
Proyecto Integrador
24
CONFIGURACIN DE PUNTOS DE ACCESO
Punto de Acceso 1 (WIFI1)
1. Configuramos el punto de acceso: Dependiendo del modelo del equipo la
configuracin puede variar, para esta prctica utilizamos un Access Point
LINSYS modelo BEFW11S4, el cual tiene una direccin por defecto de
192.168.1.1, con usuario admin y contrasea admin, los cuales son sus
valores por defecto, con los cuales podremos acceder a la configuracin del
punto de acceso.
2. Cambiamos el nombre de la red inalmbrica (SSID)
Proyecto Integrador
25
4. Establecemos la configuracin DHCP: La configuracin DHCP del punto de
acceso ser desde la 192.168.2.2 hasta la 192.168.2.51, con direccin del dhcp
de 192.168.2.1
Proyecto Integrador
26
Punto de Acceso 2 (WIFI2)
1. Configuramos el punto de acceso: Dependiendo del modelo del equipo la
configuracin puede variar, para esta prctica utilizamos un Access Point TPLINK modelo TL-WA701ND, el cual tiene una direccin por defecto de
192.168.0.254, con usuario admin y contrasea admin, los cuales son sus
valores por defecto, con los cuales podremos acceder a la configuracin del
punto de acceso.
Proyecto Integrador
27
3. Configuracin de Nombre de Difusin del Punto de acceso: con la finalidad
de identificar el punto de acceso, configuramos su SSID con el nombre que
utilizamos para darlo de alta en el servidor radius que para este caso es WIFI2
Proyecto Integrador
28
5. Configuracin de Seguridad WPA/WPA2 - Enterprise: La parte ms
importante de este proyecto es la seguridad, donde la autenticacin a los puntos
de acceso ser controlada y administrada por un servidor radius que ya se ha
configurado, ahora es necesario configurar los puntos de acceso con el tipo de
seguridad WPA/WPA2 - Enterprise, y especificarle la direccin del servidor que
controlara los accesos.
Proyecto Integrador
29
MANUAL DE USUARIO
CONFIGURACIN DE CLIENTES
1. Clientes Windows
a. En los clientes Windows que cuentan con la versin 8 o 8.1 la conexin
es totalmente transparente y no se necesita realizar ninguna
configuracin especial.
Proyecto Integrador
30
b. En clientes Windows con versiones 7 o inferior es necesario realizar
configuraciones adicionales para poder conectarse a redes inalmbricas
con seguridad WPA/WPA2-Enterprise.
1. Hemos accedido a la pantalla de seleccin para conectarnos a las
redes inalmbricas a nuestro alcance. Desde aqu podemos observar
todas las redes que tenemos en nuestro rango y que estn
"anuncindose". En nuestro caso haremos clic sobre Configurar una
conexin o red.
Proyecto Integrador
31
4. Desde el men de administracin de redes inalmbricas accedemos
a la configuracin de nuestra recin creada conexin, donde
podemos terminar de definir los niveles de seguridad que queremos.
Para empezar volvemos a tener las opciones que configuramos
antes, por si queremos cambiar alguno de los parmetros que
habamos especificados:
Proyecto Integrador
32
6. Cambiar el mtodo de autenticacin a Autenticacin de Usuarios
Proyecto Integrador
33
8. Verificamos el tipo de conexin y la asignacin de direccin IP.
Proyecto Integrador
34
2. Clientes Windows Phone
En los clientes Windows Phone que cuentan con la versin 8.1 la conexin es
totalmente transparente y no se necesita realizar ninguna configuracin especial.
Proyecto Integrador
35
3. Clientes Android
En los clientes Android que cuentan con la versin 4.4 o superior la conexin es
totalmente transparente y no se necesita realizar ninguna configuracin especial.
4. Configuracin Proxy
En caso de que el equipo servidor cuente con un servidor proxy es necesario
configurarlo en los equipos clientes para que puedan tener acceso a internet
mediante los navegadores web, como es el caso de este proyecto que se utiliz
un servidor configurado con un servidor proxy. Para realizar esta configuracin
es necesario configurar la conexin, en los dispositivos mviles aparece la
opcin en la conexin a la red inalmbrica; en el caso de los sistemas operativos
de escritorio se realiza de la siguientes manera.
La configuracin de para el servidor proxy en clientes Windows se encuentra de
la siguiente manera:
Panel de Control
Redes e Internet
Opciones de Internet
Conexiones
Configuracin de Lan
Proyecto Integrador
36
Proyecto Integrador
37
PRUEBAS DE CONEXIN Y FUNCIONAMIENTO
Proyecto Integrador
38
CONCLUSIONES
La seguridad dentro de las redes de computadoras es uno de los aspectos ms
importantes a considerar, puesto que mediante las redes de computadoras se
realiza la mayora del intercambio de informacin de las organizaciones, y siendo la
informacin el elemento ms importante para para las organizaciones es necesario
emplear medidas de seguridad que permitan garantizar la seguridad o el acceso a
la misma de personas no autorizadas. Es por ello que un proyecto como el que se
ha realizado representa un aspecto considerable dentro de la seguridad
permitindonos comprender el funcionamiento y la manera de implementar un
servicio de seguridad que nos garantic que nicamente los usuarios autorizados
podrn conectarse a la red, aunque existen otros mtodos y medidas de seguridad
ms restrictivas, la implementacin de un servidor radius que mediante la
autenticacin mediante listas de control de acceso posibilita a organizaciones
pequeas y grandes a implementarlas de tal forma que se puedan adecuar a las
necesidades especficas de cada organizacin. Esta opcin de seguridad
representa una alternativa viable para cambiar los mtodos tradicionales de
autenticacin, ya que como hemos visto su implementacin depende y puede
adecuarse a las capacidades de la red, pero puede ser utilizada en ciertas secciones
donde el mtodo de seguridad se vuelva viable.
De manera personal el desarrollo de este proyecto represento un nuevo reto para
nosotros, ya que desconocamos totalmente cmo funcionaba esta tecnologa, por
lo que el desarrollo del mismo represento una oportunidad de crecimiento,
permitindonos conocer no solamente el funcionamiento ni la manera de
implementarlos si no los posibles inconvenientes que se presentan y la manera de
solucionarlos, adquiriendo as nuevos conocimientos y dotndonos de la capacidad
de implementar una solucin de este tipo en un futuro en entornos donde as se
requiera.
Proyecto Integrador
39
BIBLIOGRAFA