Proyecto
WPA2-Enterprise, Radius, LDAP
I.E.S Gonzalo Nazareno
Fecha:
21/06/2013
Leonardo Bernal Bueno –
[email protected]
Puedes copiar y modificar todos los contenidos,
pero siempre respetando los términos de la licencia CC-BY-SA.
Proyecto. WPA2-Enterprise, Radius, LDAP
Leonardo Bernal Bueno
Índice de contenido
1. Glosario............................................................................................................................................4
2. Introducción......................................................................................................................................4
3. Objetivos...........................................................................................................................................5
Infraestructura..................................................................................................................................5
4. Métodos de Autenticación................................................................................................................6
PEAP................................................................................................................................................6
EAP-TTLS.......................................................................................................................................6
EAP-TLS.........................................................................................................................................7
LEAP...............................................................................................................................................7
EAP-FAST.......................................................................................................................................7
Tabla Comparativa...........................................................................................................................7
Método de autenticación elegido.....................................................................................................8
5. Protocolos de autenticación..............................................................................................................8
PAP..................................................................................................................................................9
CHAP...............................................................................................................................................9
MSCHAP / MSCHAPv2..................................................................................................................9
Protocolo de autenticación elegido................................................................................................10
5. Software usado...............................................................................................................................10
6. Hardware usado..............................................................................................................................11
7. Requisitos del sistema.....................................................................................................................11
8. Instalación de FreeRadius...............................................................................................................12
Certificados....................................................................................................................................12
9. Configuración de freeradius...........................................................................................................13
radiusd.conf....................................................................................................................................13
sites-available.................................................................................................................................15
Servidor virtual: iesgn....................................................................................................................15
eap.conf..........................................................................................................................................17
ldap.................................................................................................................................................19
users...............................................................................................................................................21
clients.conf.....................................................................................................................................22
10. Arranque de freeradius.................................................................................................................22
21 Junio 2013
Pag 2/45
Proyecto. WPA2-Enterprise, Radius, LDAP
Leonardo Bernal Bueno
11. Freeradius Alta Disponibilidad.....................................................................................................22
12. Configuración de puntos de acceso..............................................................................................24
13. Configuración de clientes.............................................................................................................25
Linux..............................................................................................................................................26
Windows........................................................................................................................................28
Android..........................................................................................................................................36
Iphone............................................................................................................................................38
14. Comunicación cifrada...................................................................................................................42
15. Vulnerabilidades...........................................................................................................................44
1. Protocolos de autenticación.......................................................................................................44
2. Que se comprometa directamente la máquina...........................................................................45
3. Rogue AP (con Backtrack o Kali Linux)...................................................................................45
21 Junio 2013
Pag 3/45
Proyecto. WPA2-Enterprise, Radius, LDAP
Leonardo Bernal Bueno
1. Glosario
A continuación se citan algunas referencias de introducción que son consideradas básicas para
entender el ámbito y alcance de este documento.
• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.
•
Integridad: la información se mantendrá íntegra, exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo
requieran.
• No repudio: se hace referencia a la capacidad de afirmar la autoría de una mensaje o
información, evitando que el autor niegue la existencia de su recepción o creación.
2. Introducción
Una de las opciones más seguras que permite controlar la autenticación de usuarios se puede
realizar mediante la configuración de un servidor Radius. Radius o Remote Authentication Dial-In
User Server, es un protocolo de autenticación para aplicaciones de acceso a la red o movilidad IP.
Podemos decir que más que un protocolo de autenticación, es un protocolo AAA
(Authentication, Authorization, Administration).
Actualmente la red inalámbrica de las aulas de informática del IES Gonzalo Nazareno usan como
método de autenticación WPA/WPA2-PSK con una clave compartida.
Esta configuración no es la más adecuada, teniendo en cuenta que es relativamente fácil que un
usuario ilícito consiga dichas credenciales usando diversos métodos, vulnerando así nuestra red.
En este documento se detallará de forma explícita la configuración e implantación de WPA2-
Enterprise, FreeRadius, OpenLDAP usando como método de autenticación EAP-TTLS/PAP sobre
Debian Wheezy.
De esta forma aprovecharemos nuestro servidor de usuarios centralizados para conectarnos a la red,
aplicando así otro nivel de seguridad.
21 Junio 2013
Pag 4/45
Proyecto. WPA2-Enterprise, Radius, LDAP
Leonardo Bernal Bueno
3. Objetivos
Montar una infraestructura de autenticación de redes inalámbricas basada en servidores Radius
(autenticación) y servidores Ldap (autorización). Esto quiere decir que nuestros usuarios se
conectarán a la red wifi usando su nombre de usuario y contraseña con el que están dados de alta en
el servidor Ldap del centro.
Objetivos a cumplir:
• Estudio de diferentes métodos de autenticación y protocolos.
• Conexión y configuración Radius – Ldap
• Toda la comunicación cifrada.
• Configuración de puntos de acceso.
• Radius en alta disponibilidad.
• Documentación para los clientes. [1]
• Vulnerabilidades.
Infraestructura
A continuación, la infraestructura propuesta para la red inalámbrica del centro.
[1] Se redactará un documento con la configuración desde clientes Windows, Linux, Android y Iphone que
estará disponible para todos los alumnos del centro.
21 Junio 2013
Pag 5/45
Proyecto. WPA2-Enterprise, Radius, LDAP
Leonardo Bernal Bueno
4. Métodos de Autenticación
Existen diferentes tipos de autenticación en un servidor Radius, algunos son utilizados con mayor
frecuencia principalmente por su suporte en plataformas Windows. En concreto los mecanismos de
autenticación más conocidos y con los que normalmente se suele trabajar cuando se configura un
servidor Radius son:
PEAP
•
• EAP-TTLS
• EAP-TLS
• L
Comentarios de: royecto WPA2-Enterprise, Radius, LDAP (0)
No hay comentarios