PDF de programación - Mikrotik Wireless WPA2 EAP

Wireless WPA2 EAP en

Mikrotik

Casos de Uso con Windows

Server y FreeRadius

By Freddy Bohorquez Quevedo

TecTel

Tectel / Distratel

• 2004 Redes Inalámbricas Comunitarias
• 2005 Conectividad Rural
• Primeras Instalaciones basadas en WRAP/Mikrotik
• Despliegue de Redes PtP y PtMP: Públicas, Privadas,

Comunitarias

• 2009 inicia Tectel como empresa especializada en
Tecnología y Telecomunicaciones y Distribuidor de
Mikrotik

• 2014 se crea Distratel, incorporando soluciones en

control y automatización.

IEEE 802.11i

• R.I.P. WEP (Wired Equivalent Privacy)
• 2001 IEEE crea el Grupo de Trabajo 802.11i cuya

tarea principal era hacer una nueva norma de facto
segura.

• Ante la demora del IEEE 802.11i la Industria creó un
estándar propio el WPA (Wireless Protected Access)
• En junio del 2004 por fin el stándard fue aprobado y

la Industria le dio el nombre de WPA2, compatible
con 802.11i y con WPA.

Como trabaja 802.11i

• 802.11i tiene 3 componentes

– El suplicante que se une a la red
– El autenticador que hace el control de acceso
– El servidor de autenticación que toma las

decisiones de autorización

Como trabaja 802.11i
• Opera por una combinación de protocolos:
– 802.1X – A Port Based Network Access Control
– EAP – Extensible Authentication Protocol
– RADIUS – Remote Access Dial In User Service

Variantes de 802.11i

FreeRadius

Authentication Authorization Accounting

• La Autenticación es el proceso por el que una

entidad prueba su identidad ante otra.

• Autorización se refiere a la concesión de
acceso con privilegios específicos a una
entidad o usuario basándose en su identidad.

• La (A) contabilización se refiere al seguimiento

del consumo de los recursos de red por los
usuarios.

Radius

• Protocolo basado en modelo cliente/servidor
• RFC 2865 (_AA) y RFC 2866 (A_)
• Listen ports UDP 1812 (_A) y UDP 1813 (A_)
• Funcionamiento:

FreeRadius

• AAA : Modelo de arquitectura de seguridad
• RADIUS: Implementación específica de AAA
• FreeRadius: Aplicación práctica de Radius

Mikrotik: WPA 2 EAP - FreeRadius

• Instalar FreeRadius
• Instalar opcionalmente soporte a Base de
Datos y web GUI (ej. mysql y phpmyadmin)

• Editar archivos de configuración de acuerdo a
la solución a implementar: clients.conf, users,
radiusd.conf, sql.conf, eap.conf, etc.

clients.conf

sql.conf

radiusd.conf

FreeRadius - mysql

• Descomentar archivos necesarios para uso de

consultas sql y no archivos planos

• Crear la base de datos en base a las plantillas

para mysql (tablas)

root@srv-radius:/# mysql -u root -p
mysql> CREATE DATABASE radius;
Query OK, 1 row affected (0.00 sec)
mysql> exit;
root@srv-radius:/#

mysql

root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/admin.sql
Enter password:
root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/ippool.sql

Enter password:
root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/schema.sql
Enter password:
root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/nas.sql
Enter password:

root@srv-radius:/# mysql -u radius -p
mysql> use radius
mysql> show tables;

+------------------+
| Tables_in_radius |
+------------------+
| nas |
| radacct |
| radcheck |
| radgroupcheck |

| radgroupreply |
| radippool |
| radpostauth |
| radreply |
| radusergroup |
+------------------+
9 rows in set (0.00 sec)
mysql>

mysql

root@srv-radius:/# mysql -u radius -p
Enter password:

mysql> use radius
Database changed
mysql> INSERT INTO nas (nasname, shortname, type, ports, secret, description)

-> VALUES
-> ('192.168.14.8', 'MikoTik', 'other', 1812, 'pwd-mum-bol', 'RADIUS Client MT1');

Query OK, 1 row affected (0.08 sec)
mysql> INSERT INTO `radcheck` (username, attribute, op, value)

-> VALUES
-> ('bohorquezf', 'Cleartext-Password', ':=', '123456'),
-> ('user1', 'Cleartext-Password', ':=', 'pwduser2'),
-> ('user2', 'Cleartext-Password', ':=', 'pwduser2');

Query OK, 3 rows affected (0.19 sec)
Records: 3 Duplicates: 0 Warnings: 0

mysql> quit

Configuración en Mikrotik

Config Mikrotik (cont…)

Contabilización (Accounting)

Windows Server

Active Directory (AD)

• Implementación Servicio de Directorio de

Microsoft

• Protocolos: LDAP, DNS, DHCP, Kerberos,

Radius.

• Administra inicios de sesión y políticas de

acceso en una red Mikrosoft.

• Servicio de Acceso y Directivas de Redes: NPS

(Network Policy Server)

Implementación WPA EAP con AD

• Añadir AD y Domain Services + DNS y configurar OUs, Groups,

Users, etc.

• Añadir rol de NPS (Network Policy and Access Services) y

ADCS (Active Directory Certificate Services)

• Configurar Certificate Services y crear certificados
• Configurar NPS:
•
•
•
• Configurar Mikrotik AP
• Configurar los Clientes

+ Clientes Radius
Definir Tipo de Autenticación Cert, EAP, PEAP.
Especificar grupos de acceso a red wireless

Configurar NPS

Configuración Mikrotik

Config Mikrotik (cont…)

Gracias.

Referencias

• Seguridad de redes Inalámbricas, Eng. Wardner Maia, MUM Argentina Sep

7-8,2007

• Seguridad Wi-Fi WEP, WPA y WPA2, Guillaume Lehembre, hakin9 Nº

1/2006

• Wikipedia:

https://en.wikipedia.org/wiki/IEEE_802.1X

• FreeRADIUS Beginner's Guide, Dirk van der Walt, Published by Packt

Publishing Ltd., Livery Place, ISBN 978-1-849514-08-8