PDF de programación - nocatbox howto es

ChangeLog:



1.0 Initial release (12/9/2003)
1.1 Añadido chmod +x throttle.fw (15/9/2003)
1.2 Añadido NoCat Gateway stats. (3/10/2003)
1.3 Añadida configuración de repositorio MySQL. (8/10/2003)
1.4 Añadida administración de grupos y configuración de repositorio OpenLDAP. (23/10/2003)



Instalación de NoCatAuth + Gateway en la misma máquina

NoCatBOX HOWTO v1.4

Toni dlF. Diaz
[email protected]
Septiembre 2003



Descripción:

NoCatAuth es un software escrito en perl que permite autenticar el acceso a una red vía un portal
cautivo. Se usa un portal cautivo para controlar los accesos a redes del tipo 802.11. Está
compuesto por un gateway y un servidor de autenticación. Permite tres tipos de accesos, dos
autenticados: Propietario y Miembro y un tipo de acceso sin necesidad de autenticación: Invitado.

Imagina que entramos por la puerta (Gateway) de un gran edificio (Internet) y el portero
(NoCatAuth) nos pide acreditación, hay tres tipos de personas (usuarios) que acceden al edificio,
los visitantes (Invitado), los trabajadores (Miembro) y los jefes (Propietario). Los visitantes sólo
pueden ir andando por el edificio, los trabajadores sólo pueden utilizar las escaleras mecánicas y
los jefes pueden hacer todo lo que quieran además de ir en ascensor. Vamos a instalar en una
misma máquina con linux “una puerta con un portero“.

En el momento de escribir este manual NoCatAuth está en su versión 0.82 y está siendo
desarrollado activamente por Rober Flickenger y Schuyler Erle, la web del proyecto es
http://nocat.net



Objetivos:

La finalidad de este documento es instalar en una misma máquina un gateway y un servidor de
autenticación habiendo instalado un punto de acceso wireless con HostAP en la misma máquina.
Puede ser usado para una red local o una red libre ciudadana. No obstante el servidor de
autenticación puede instalarse en otra máquina de la red.

Todo el software y los archivos de configuración utilizados están disponibles en el siguiente enlace
http://blyx.com/public/wireless/nocatbox/ además algunos de los archivos de configuración están
también disponibles en el apéndice de este documento.

Para entender mejor el funcionamiento de NoCatAuth se recomienda la lectura de los siguientes
documentos:

Manual de instalación de NoCatAuth - 1


http://lists.nocat.net/pipermail/nocat/2002-July/001791.html
http://blyx.com/public/wireless/wifi-auth.pdf

La distribución linux usada para el desarrollo de este manual es RedHat Linux 9 y kernel 2.4.21.

Para conseguir el correcto funcionamiento de NoCatAuth es necesario tener instalado en el
sistema un determinado software.


Requisitos:

-Kernel 2.4.X con iptables:



-HostAP-0.0.X:

Hay un ejemplo de configuración del kernel en el directorio etc/ dentro del paquete
NoCatAuth-0.82.tar.gz

Para la instalación y el correcto funcionamiento de HostAP remito a los siguientes
manuales:
http://estrella001.dyndns.org/~yosh/WIFI/howto-hostap-1.2.pdf
http://www.blyx.com/more.php?id=18_0_1_0_M4
http://www.blyx.com/more.php?id=22_0_1_0_M4


-Apache web server 1.3.27 + mod_ssl

Si no tienes experiencia en la instalación de Apache con mod_ssl prueba con
http://www.apachetoolbox.com


-Versión de Perl superior o igual a la versión 5.6 (para ver la version: #perl -v):

NoCatAuth está programado en Perl por ello necesita varios modulos para funcionar
correctamente, los módulos necesarios dependen del metodo de autenticación que
utilicemos, para este manual utilizaremos un archivo con usuarios y
contraseñas por lo que necesitaremos los siguientes modulos de perl:

Digest-MD5
Net-Netmask

Todos los módulos disponibles para perl están en la siguiente url:
http://www.cpan.org/modules/01modules.index.html
No obstante se pueden instalar los módulos por paquetes .deb o .rpm según cada
distribución.


Es recomendable tener un caché DNS en la máquina local pero no es imprescindible.

-DHCP 3.0 de la ISC (archivo de configuración en el Apéndice).

-Servidor DNS en la máquina en cuestión o en la misma red.



Instalación de GnuPG:

GnuPG es utilizado para firmar las consultas entre el gateway y el servidor de autenticación:

Instalamos gnupg-1.2.3.tar.bz2,

# tar zxvf gnupg-1.2.3.tar.bz2
# cd gnupg-1.2.3
# ./configure
# make

Manual de instalación de NoCatAuth - 2

LocalGateway
LocalNetwork

# make install

También se puede instalar mediante paquetes de la distribución correspondiente.



Instalación y configuración de NocatAuth-0.82:

# tar zxvf NoCatAuth-0.82.tar.gz
# cd NoCatAuth-0.82
# mkdir /usr/local/nocat
# make PREFIX=/usr/local/nocat/gateway gateway
# make PREFIX=/usr/local/nocat authserv
# make PREFIX=/usr/local/nocat pgpkey
# cp /usr/local/nocat/trustedkeys.gpg /usr/local/nocat/gateway/pgp
# chown -R nobody:nobody /usr/local/nocat/pgp

Cambia nobody:nobody por el usuario:grupo con el que corre tu Apache web server.

# mv authserv-nocat.conf /usr/local/nocat/nocat.conf
# mv gw-nocat.conf /usr/local/nocat/gateway/nocat.conf

**Cuidado con las configuraciones ya que los archivos de configuración tanto del servidor de
autenticación como del gateway se llaman nocat.conf pero el contenido y la función de cada uno
de ellos es diferente.

Edita /usr/local/nocat/nocat.conf y cambia los siguientes parámetros:



Edita /usr/local/nocat/gateway/nocat.conf y cambia los siguientes parámetros:



Si optas por instalar un servidor DNS en tu NoCatBox recuerda que tienes que comentar la linea
DNSAddr en el archivo de configuración /usr/local/nocat/gateway/nocat.conf y añadir la
correspondiente entrada en /etc/resolv.conf.

Edita /usr/local/nocat/gateway/bin/throttle.fw y ajusta las siguientes directivas según tu preferencia
y conexión a internet. Esta es la configuración que uso para una línea ADSL 256/128:



Lo hacemos ejecutable throttle.fw:

# chmod +x usr/local/nocat/gateway/bin/throttle.fw


ip_de_eth0 (ejemplo: 10.10.21.246)
red_de_eth0 (ejemplo: 10.10.21.0/24)
ip_del_dns_de_la_red (ejemplo: 10.10.21.20)
tu-nombre

ip_de_wlan0 (ejemplo: 192.168.0.246)
red_de_wlan0 (ejemplo: 192.168.0.0/24)

AuthServiceAddr
LocalNetwork

DNSAddr
Owners


TOTAL_DOWN=256kbit
TOTAL_UP=128kbit

OWNER_DOWN=256kbit # fw mark 1
OWNER_UP=128kbit
OWNER_OPTIONS=""

COOP_DOWN=128kbit # fw mark 2
COOP_UP=64kbit
COOP_OPTIONS=""

PUBLIC_DOWN=32kbit # fw mark 3
PUBLIC_UP=32kbit

Manual de instalación de NoCatAuth - 3

La configuración del firewall NoCatAuth se encuentra en /usr/local/nocat/gateway/nocat.conf
concretamente en las siguientes directivas:


IncludePorts
ExcludePorts


Por defecto NoCatAuth sólo excluye los accesos al puerto 25 de cada cliente.


Configuraciones adicionales:

Configuración del servidor DHCP 3.0 de la ISC:

Instala el paquete del servidor dhcp y copia dhcpd.conf al directorio /etc a continuación editamos
el script de arranque /etc/init.d/dhcpd y añadimos wlan0 a la siguiente linea dentro de la sección
start:

daemon /usr/sbin/dhcpd wlan0 ${DHCPDARGS}


Configuración del servidor web Apache para usar SSL:

Copia nocat-apache-ssl.conf al directorio de configuración de Apache con el nombre ssl.conf y
modifica el path de las directivas SSLCertificateFile y SSLCertificateKeyFile para que apunten a
server.crt y server.key respectivamente

Probablemete tambien tengas que modificar en ssl.conf la ruta del archivo de log (CustomLog)

Edita httpd.conf (un ejemplo de httpd.conf) y añade al final del archivo de configuración de Apache
la siguiente linea:

Include conf/ssl.conf

Copia NoCatAuth-0.82/etc/authserv.conf al directorio /usr/local/nocat/etc/


Configuración de los scripts de arranque:

# cp run-nocatbox a /etc/rc.d/init.d/
# chmod +x /etc/rc.d/init.d/run-nocatbox


Levantamos nuestro NoCatBox:

Arranca el servidor web:

# {path-apache}/bin/apachectl startssl

Arranca NoCatAuth y el servidor dhcp con el script run_nocatbox:

# /etc/rc.d/init.d/run_nocatbox start

Para ver estadísticas de funcionamiento de tu NoCat Gateway abre un navegador y teclea:

http://localhost:5280/status


Gestión de usuarios:


Manual de instalación de NoCatAuth - 4

Creamos la cuenta del Propietario (Owner) como hemos indicado en
/usr/local/nocat/gateway/nocat.conf:

# /usr/local/nocat/bin/admintool -c tu-nombre contraseña
Para añadir un usuario member al grupo members (para pertenecer a la clase member es
necesario añadir el usuario a un grupo):

# /usr/local/nocat/bin/admintool -c user password
# /usr/local/nocat/bin/admintool -a user members

Cualquier cliente que no pertenezca a un grupo sera considerado como Clase Public.


La parte del Cliente:

Configura el cliente para enlazarse con la red wireless correspondiente a nuestro AP, modifica la
configuración de red para que obtenga direccionamiento mediante dhcp. El NoCatBox le asigna
una ip, un servidor DNS y un gateway entre otras cosas.

Arranca tu navegador favorito y prueba a navegar a por alguna web. Si todo ha ido bien debemos
ser redirigidos a una página web segura pidiendo nuestra acreditación:



Introduce el usuario y la contraseña que hemos añadido antes con la utilidad admintool y
automáticamente NoCatAuth nos redirige a la web que habíamos tecleado anteriormente. En este
momento veremos una ventana “popup“ indicando el timeout de nuestra conexión:



Manual de instalación de NoCatAuth - 5




Mientras se sucede la autenticación por parte del cliente, en el log de nuestro gateway
(/usr/local/nocat/gateway/nocat.log) podemos ver:

[2003-09-10 01:38:3