PDF de programación - Mikrotik Wireless WPA2 EAP

Imágen de pdf Mikrotik Wireless WPA2 EAP

Mikrotik Wireless WPA2 EAPgráfica de visualizaciones

Publicado el 8 de Septiembre del 2019
613 visualizaciones desde el 8 de Septiembre del 2019
910,0 KB
28 paginas
Creado hace 4a (28/11/2016)
Wireless WPA2 EAP en

Mikrotik

Casos de Uso con Windows

Server y FreeRadius

By Freddy Bohorquez Quevedo

TecTel

Tectel / Distratel

• 2004 Redes Inalámbricas Comunitarias
• 2005 Conectividad Rural
• Primeras Instalaciones basadas en WRAP/Mikrotik
• Despliegue de Redes PtP y PtMP: Públicas, Privadas,

Comunitarias

• 2009 inicia Tectel como empresa especializada en
Tecnología y Telecomunicaciones y Distribuidor de
Mikrotik

• 2014 se crea Distratel, incorporando soluciones en

control y automatización.

IEEE 802.11i

• R.I.P. WEP (Wired Equivalent Privacy)
• 2001 IEEE crea el Grupo de Trabajo 802.11i cuya

tarea principal era hacer una nueva norma de facto
segura.

• Ante la demora del IEEE 802.11i la Industria creó un
estándar propio el WPA (Wireless Protected Access)
• En junio del 2004 por fin el stándard fue aprobado y

la Industria le dio el nombre de WPA2, compatible
con 802.11i y con WPA.

Como trabaja 802.11i

• 802.11i tiene 3 componentes

– El suplicante que se une a la red
– El autenticador que hace el control de acceso
– El servidor de autenticación que toma las

decisiones de autorización

Como trabaja 802.11i
• Opera por una combinación de protocolos:
– 802.1X – A Port Based Network Access Control
– EAP – Extensible Authentication Protocol
– RADIUS – Remote Access Dial In User Service

Variantes de 802.11i

FreeRadius

Authentication Authorization Accounting

• La Autenticación es el proceso por el que una

entidad prueba su identidad ante otra.

• Autorización se refiere a la concesión de
acceso con privilegios específicos a una
entidad o usuario basándose en su identidad.

• La (A) contabilización se refiere al seguimiento

del consumo de los recursos de red por los
usuarios.

Radius

• Protocolo basado en modelo cliente/servidor
• RFC 2865 (_AA) y RFC 2866 (A_)
• Listen ports UDP 1812 (_A) y UDP 1813 (A_)
• Funcionamiento:

FreeRadius

• AAA : Modelo de arquitectura de seguridad
• RADIUS: Implementación específica de AAA
• FreeRadius: Aplicación práctica de Radius

Mikrotik: WPA 2 EAP - FreeRadius

• Instalar FreeRadius
• Instalar opcionalmente soporte a Base de
Datos y web GUI (ej. mysql y phpmyadmin)

• Editar archivos de configuración de acuerdo a
la solución a implementar: clients.conf, users,
radiusd.conf, sql.conf, eap.conf, etc.

clients.conf

sql.conf

radiusd.conf

FreeRadius - mysql

• Descomentar archivos necesarios para uso de

consultas sql y no archivos planos

• Crear la base de datos en base a las plantillas

para mysql (tablas)

[email protected]:/# mysql -u root -p
mysql> CREATE DATABASE radius;
Query OK, 1 row affected (0.00 sec)
mysql> exit;
[email protected]:/#

mysql

[email protected]:/# mysql -u root -p radius </etc/freeradius/sql/mysql/admin.sql
Enter password:
[email protected]:/# mysql -u root -p radius </etc/freeradius/sql/mysql/ippool.sql

Enter password:
[email protected]:/# mysql -u root -p radius </etc/freeradius/sql/mysql/schema.sql
Enter password:
[email protected]:/# mysql -u root -p radius </etc/freeradius/sql/mysql/nas.sql
Enter password:

[email protected]:/# mysql -u radius -p
mysql> use radius
mysql> show tables;

+------------------+
| Tables_in_radius |
+------------------+
| nas |
| radacct |
| radcheck |
| radgroupcheck |

| radgroupreply |
| radippool |
| radpostauth |
| radreply |
| radusergroup |
+------------------+
9 rows in set (0.00 sec)
mysql>

mysql

[email protected]:/# mysql -u radius -p
Enter password:

mysql> use radius
Database changed
mysql> INSERT INTO nas (nasname, shortname, type, ports, secret, description)

-> VALUES
-> ('192.168.14.8', 'MikoTik', 'other', 1812, 'pwd-mum-bol', 'RADIUS Client MT1');

Query OK, 1 row affected (0.08 sec)
mysql> INSERT INTO `radcheck` (username, attribute, op, value)

-> VALUES
-> ('bohorquezf', 'Cleartext-Password', ':=', '123456'),
-> ('user1', 'Cleartext-Password', ':=', 'pwduser2'),
-> ('user2', 'Cleartext-Password', ':=', 'pwduser2');

Query OK, 3 rows affected (0.19 sec)
Records: 3 Duplicates: 0 Warnings: 0

mysql> quit

Configuración en Mikrotik

Config Mikrotik (cont…)

Contabilización (Accounting)

Windows Server

Active Directory (AD)

• Implementación Servicio de Directorio de

Microsoft

• Protocolos: LDAP, DNS, DHCP, Kerberos,

Radius.

• Administra inicios de sesión y políticas de

acceso en una red Mikrosoft.

• Servicio de Acceso y Directivas de Redes: NPS

(Network Policy Server)

Implementación WPA EAP con AD

• Añadir AD y Domain Services + DNS y configurar OUs, Groups,

Users, etc.

• Añadir rol de NPS (Network Policy and Access Services) y

ADCS (Active Directory Certificate Services)

• Configurar Certificate Services y crear certificados
• Configurar NPS:



• Configurar Mikrotik AP
• Configurar los Clientes

+ Clientes Radius
Definir Tipo de Autenticación Cert, EAP, PEAP.
Especificar grupos de acceso a red wireless

Configurar NPS

Configuración Mikrotik

Config Mikrotik (cont…)

Gracias.

Referencias

• Seguridad de redes Inalámbricas, Eng. Wardner Maia, MUM Argentina Sep

7-8,2007

• Seguridad Wi-Fi WEP, WPA y WPA2, Guillaume Lehembre, hakin9 Nº

1/2006

• Wikipedia:

https://en.wikipedia.org/wiki/IEEE_802.1X

• FreeRADIUS Beginner's Guide, Dirk van der Walt, Published by Packt

Publishing Ltd., Livery Place, ISBN 978-1-849514-08-8
  • Links de descarga
http://lwp-l.com/pdf16550

Comentarios de: Mikrotik Wireless WPA2 EAP (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad