SlideShare una empresa de Scribd logo

RADIUS (2015)

Miguel Ángel Martín Tardío
Miguel Ángel Martín Tardío

Implementación de un autentificación 802.1x basada en una plataforma Linux Mint 17 + Freeradius. Por compatibilidad con clientes Linux, MAC X OS y Windows se empleará el tipo PEAP/EAP-MSCHAPv2

Tecnología
1 de 48
Descargar para leer sin conexión
Seguridad Avanzada Remote Access Dial In User Service versión Freeradius 2.1.12
Seguridad Avanzada / Servicio de autorización de usuarios para acceso remoto RADIUS - 2 - Remote Access Dial-In User Service (1) Introducción (2) Especificaciones y operación (3) Aplicaciones (4) Desarrollos: u  Consideraciones iniciales u  Instalación y configuración de Freeradius u  A) Freeradius+PEAP con usuarios en fichero u  B) Freeradius+PEAP/MS-CHAPv2 + MYSQL (5) Referencias Índice de contenidos:
- 3 - (1) Introducción l  RADIUS provee arquitectura AAA (Authentication, Authorization, Accounting) para redes de acceso dial- up (NAS), VPN, acceso inalámbrico (p.e. EDUROAM) o switches Ethernet (p.e. CISCO 2950) entre otros. l  Desarrollado originalmente por Livingston Enterprises para sus Servidores de Acceso a la Red (NAS). l  El protocolo RADIUS actualmente está definido en los RFC 2865 (autentificación y autorización) y 2866 (manejo de sesiones). l  Propósito es diferenciar, identificar y contabilidad (permite cobros por uso – billing) de usuarios.
- 4 - (2) Especificaciones y operación (1/8) Características de la arquitectura AAA: l  Soporta gran número de usuarios y consultas simultáneas; y cientos de dispositivos. l  Provee mecanismo de respaldo, ante un fallo de comunicación con el servidor AAA primario. l  Dispone un mecanismo de autenticación cliente/servidor. l  Requiere autenticación, protección integral y confidencialidad de la Capa de Transporte. l  Política de no modificación del paquete original. l  Permite el transporte de certificados. l  Permite servicio de seguridad subyacente como IPsec. l  Es extensible a otros usos (RADIUS RFC 2869).
- 5 - (2) Especificaciones y operación (2/8) Características del protocolo RADIUS (1/3): l  Administración centralizada de usuarios. l  Modelo cliente/servidor: u  NAS opera como cliente RADIUS, pasado la petición de conexión del usuario al servidor designado. u  Servidor RADIUS responsable de autenticar al usuario y enviar respuesta con información de configuración. Como cliente proxy de otros servidores RADIUS (ISP). u  Mensajes enviados por UDP (User Datagram Protocol): u  Puerto UDP 1812 usado para mensajes de autenticación. u  Puerto UDP 1813 para mensajes de cuentas. u  Originalmente se usaron UDP 1645/1646.
- 6 - (2) Especificaciones y operación (3/8) Características del protocolo RADIUS (2/3): l  Seguridad: u  Transacciones cliente/servidor RADIUS autenticadas por un secreto compartido: u  Para comprobar que los mensajes RADIUS son enviados por un dispositivo compatible y la integridad de los mismos. También se utiliza para cifrar algunos de los atributos RADIUS, como User- Password y Tunnel-Password. u  Mismo secreto compartido, que distingue mayúsculas y minúsculas, en ambos dispositivos RADIUS; y diferente en cada par cliente/ servidor. Nunca se transfiere a través de la red. u  Debe ser aleatorio, con una secuencia aleatoria de mínimo 22 caracteres (utilizar cualquier carácter alfanumérico o especial estándar) y máximo 128 caracteres de longitud.
- 7 - (2) Especificaciones y operación (4/8) Características del protocolo RADIUS (3/3): l  Métodos de autenticación flexibles: l  PAP (Password Authentication Protocol): Protocolo simple de autenticación de un usuario contra un servidor de acceso remoto (sub-protocolo usado por la autenticación del protocolo PPP). Contraseñas en ASCII sin cifrar (inseguro), se usa como último recurso. l  CHAP (Challenge Handshake Authentication Protocol): Protocolo de autenticación por desafío mutuo, usado por servidores accesibles vía PPP. Verifica periódicamente la identidad del cliente remoto usando un intercambio de información de tres etapas. Verificación basada en un secreto compartido, requiere que el cliente mantenga el secreto disponible en texto plano. u  EAP (Extensible Authentication Protocol): Estructura de soporte para modernos mecanismos de autenticación (EAP-MD5, EAP-TLS, EAP-TTL, EAP-TTLS, LEAP, PEAP)
- 8 - (2) Especificaciones y operación (5/8) Formato de paquete: l  Code (1 byte): Contiene el tipo de comando/respuesta RADIUS l  Identifier (1 byte): Usado para relacionar comandos y respuestas l  Length (2 bytes): Longitud del paquete l  Authenticator (4 bytes): Usado para autenticar la respuesta del servidor RADIUS, y usado por el algoritmo de encubrimiento de contraseña. l  Attributes: Nº arbitrario de atributos, los únicos obligatorios: User-Name (usuario) y User-Password (contraseña).
Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 9 - Métodos de autenticación PAP, CHAP, EAP (2) Especificaciones y operación (6/8) Servidor de acceso a la red (NAS) Cliente RADIUS BD Usuarios Servidor RADIUSUsuario Access-Request (solicitud de acceso) Access-Challenge (desafío de acceso) Access-Request (solicitud de acceso) Access-Accept (acceso aceptado) Access-Reject (acceso denegado) Información autenticación Operación:
- 10 - (2) Especificaciones y operación (7/8) Método de autenticación EAP Protegido (PEAP): http://www.cisco.com
- 11 - (2) Especificaciones y operación (8/8) Método de autenticación EAP Protegido (PEAP):
- 12 - (3) Aplicaciones l  Acceso líneas conmutadas: -  Muy útil para los ISP de acceso telefónico. l  Redes Wireless: -  Estándar 802.1X (http://tools.ietf.org/html/rfc3580) l  VoIP: -  Radius permite controlar la seguridad del acceso a datos. -  También permite informes para realizar la tarificación en consecuencia. l  VPN (Virtual Private Network) l  Autenticación de servicios: -  Acceso web, servicio de correo electrónico, acceso remoto...
- 13 - (4) Desarrollo Consideraciones iniciales: l  Desarrollos orientados a conocer las posibilidades del servicio RADIUS: -  servicio de autenticación para 802.1x (PEAP) -  (A) Usuarios y clientes en archivos (users, clients.conf) -  (B) Usuarios y clientes en BD MYSQL. l  Características configurables: -  Servidor con Linux Mint 17 (Mate) en Virtualbox -  Freeradius server 2.1.12 (desde repositorio) -  Método de autenticación EAP Protegido (PEAP): l  Esquema de autenticación NAS – servidor RADIUS. l  Compatibilidad con clientes 802.1x en MS-Windows, Linux y Mac X OS usando MS-CHAPv2.
- 14 - (4.A) Desarrollo Instalación de FreeRADIUS + PEAP: #apt-get update #apt-get install freeradius freeradius-utils
- 15 - (4.A) Desarrollo Configuración: l  Archivos de configuración localizados en /etc/freeradius: -  radiusd.conf: Archivo de configuración principal, contiene numerosos parámetros de configuración comunes y referencias a otros archivos de configuración. -  users: Contiene información de autenticación y configuración para cada usuario que puede acceder, en caso de no usar otro método. -  clients.conf: Contiene la definición de los clientes RADIUS (NAS) que pueden conectarse al servidor. -  sql.conf: Guarda la configuración para el módulo SQL, en el caso de usar una BD como backend para los usuarios de RADIUS. -  eap.conf: Contiene información relativa a la configuración del tipo EAP (Extensible Authentication Protocol) elegido para que funcione como protocolo de autenticación. EAP se utilizará como PEAP (Protected EAP). -  sites-available/default: Como soporte para servidores virtuales, cada servidor virtual deberá disponer de un archivo que contenga la información de configuración específica del mismo dentro de este directorio. -  modules/: Carpeta que contiene archivos de configuración de los distintos módulos de autentificación soportados por Freeradius.
- 16 - (4.A) Desarrollo Configuración /etc/freeradius/radiusd.conf:: log { ... #Registra las peticiones de autenticación auth = yes #Registra las passwords de las peticiones de autenticación, #tanto aceptadas como rechazadas. Sólo recomendable a efectos de #depuración auth_badpass = yes auth_goodpass = yes } … proxy_requests = no #La línea siguiente debe ser comentada si 'no' en la anterior #$INCLUDE proxy.conf …
- 17 - (4.A) Desarrollo Configuración /etc/freeradius/eap.conf: eap { #Se le dice que use PEAP default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no ... tls { #Certicados se localizan en /etc/freeradius/certs/ certdir = ${confdir}/certs cadir = ${confdir}/certs ... } #Se le dice que use MS-CHAPv2 peap { default_eap_type = mschapv2 ... } mschapv2 { } }
- 18 - (4.A) Desarrollo Configuración /etc/freeradius/users y clients.conf: Configuración de /etc/freeradius/users: l  Configuramos un usuario de prueba: test Cleartext-Password := “test” Configuración de /etc/freeradius/clients.conf: l  Configuraremos un clientee (NAS): #Punto de acceso inalámbrico (AP) client 192.168.0.50{ #Esta clave es el secreto compartido que usará el AP para comunicarse con el servidor RADIUS secret = testing123 shortname = Linksys WRT54G } Nota: En el archivo existe un cliente por defecto “localhost” y contraseña “testing123” para pruebas.
- 19 - (4.A) Desarrollo Carpeta “Modules”. Contiene los parámetros generales de configuración de los módulos que determinan los tipos de métodos de autenticación activos. Configuración /etc/freeradius/modules/mschap: mschap {#Soporta autenticación MS-CHAP y MS-CHAPv2 #Microsoft Point-to-Point Encryption es un protocolo de #encriptación de datos para el protocolo PPP y enlaces VPN. #Soporta claves de sesión de 40, 56 y 128-bit, que cambian #por paquete. use_mppe = yes require_encryption = yes require_strong = yes #Windows envía un nombre de usuario como DOMINIOusuario; pero, en la #respuesta al desafío, sólo envía el usuario. Esto provoca un error. with_ntdomain_hack = yes } Recarga de las librerías: #ldconfig
- 20 - (4.A) Desarrollo Recarga del servicio Freeradius: #service freeradius restart Recomendación: visualizar en una nueva consola el estado del servidor durante el reinicio mediante el comando: #tail –f /var/log/freeradius/radius.log Prueba de autentificación con el usuario “test”: #radtest test test localhost 1812 testing123
- 21 - (4.A) Desarrollo Resultados de la prueba de autentificación con el usuario “test”:
- 22 - (4.B) Desarrollo Instalación de FreeRADIUS + MYSQL (1/2): #apt-get install mysql-server #apt-get install freeradius-mysql #service freeradius restart
- 23 - (4.B) Desarrollo Instalación PHPMYADMIN* (opcional) (2/2): #apt-get install apache2 #apt-get install php5 libapache2-mod-php5 #apt-get install libapache2-mod-auth-mysql php5- mysql phpmyadmin #service apache2 restart
- 24 - (4.B) Desarrollo Configuración /etc/freeradius/radiusd.conf:: log { ... #Registra las peticiones de autenticación auth = yes #Registra las passwords de las peticiones de autenticación, #tanto aceptadas como rechazadas. Sólo recomendable a efectos de #depuración auth_badpass = yes auth_goodpass = yes } … proxy_requests = no #La línea siguiente debe ser comentada si 'no' en la anterior #$INCLUDE proxy.conf … #La línea siguiente debe no aparecer comentada $INCLUDE sql.conf
- 25 - (4.B) Desarrollo Configuración /etc/freeradius/eap.conf: eap { #Se le dice que use PEAP default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no ... tls { #Certicados se localizan en /etc/freeradius/certs/ certdir = ${confdir}/certs cadir = ${confdir}/certs ... } #Se le dice que use MS-CHAPv2 peap { default_eap_type = mschapv2 ... } mschapv2 { } }
- 26 - (4.B) Desarrollo Carpeta “Modules”. Contiene los parámetros generales de configuración de los módulos que determinan los tipos de métodos de autenticación activos. Configuración /etc/freeradius/modules/mschap: mschap {#Soporta autenticación MS-CHAP y MS-CHAPv2 #Microsoft Point-to-Point Encryption es un protocolo de #encriptación de datos para el protocolo PPP y enlaces VPN. #Soporta claves de sesión de 40, 56 y 128-bit, que cambian por paquete. use_mppe = yes require_encryption = yes require_strong = yes #Windows envía un nombre de usuario como DOMINIOusuario; pero, en la #respuesta al desafío, sólo envía el usuario. with_ntdomain_hack = yes } Configuración /etc/freeradius/modules/preprocess: mschap { … #Soporta autenticación MS-CHAP y MS-CHAPv2 with_ntdomain_hack = yes … }
- 27 - (4.B) Desarrollo Configuración /etc/freeradius/users y clients.conf: Configuración de /etc/freeradius/users: l  No es necesario realizar ninguna configuración específica. Configuración de /etc/freeradius/clients.conf * (esta información también puede ir en una tabla de la BD): l  No es necesario realizar ninguna configuración específica. Sólo comprobar que todos los posibles clientes están comentados porque a partir de ahora se registrarán en una tabla de la BD. l  En el archivo existe un cliente por defecto “localhost” y contraseña “testing123” para pruebas.
- 28 - (4.B) Desarrollo Configuración /etc/freeradius/sql.conf (1/2): Configuramos la información de acceso desde Freeradius al servidor de BD (en este tutorial se utilizará el usuario que viene por defecto, pero se recomienda cambiar el usuario y contraseña utilizados para la conexión con la BD). Después deberán usarse estas mismas credenciales durante la creación de la BD “radius”.
- 29 - (4.B) Desarrollo Configuración /etc/freeradius/sql.conf (2/2): sql { #Selecciona una BD: mysql, mssql, oracle, postgresql database = "mysql" #Se indica a FreeRADIUS el driver a usar driver = "rlm_sql_${database}" #Información de conexión: #Usamos localhost porque servidor BD y FreeRADIUS son el mismo server = "localhost" login = "radius" password = "radpass" #Nombre de la BD a utilizar excepto para Oracle radius_db = "radius" ... #Habilita la utilización de atributos de grupo read_groups = yes … ¡ }
- 30 - (4.B) Desarrollo Configuración Base de Datos de usuario en MYSQL: l  Para mejor comprensión de la BD y facilitar su manejo, disponemos de una interfaz web en la dirección http://dirección_ip_mi_servidor/phpmyadmin l  Abrir una conexión con MySQL desde shell y crear BD de usuarios: #cd /etc/freeradius/sql/mysql #mysql –uroot –p<password> mysql>create database radius; mysql>grant all privileges on radius.* to radius@localhost identified by 'radpass'; mysql>use radius; l  Importar tablas desde la plantilla proporcionada por la instalación: mysql>source schema.sql; mysql>show tables; mysql>quit;
- 31 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/default (1/4): authorize { preprocess chap mschap suffix #Se activa protocolo EAP. FILES para que se lea archivo 'users' eap { ok = return } #unix #Puede comentarse porque no se usa autorización del sistema #files #Puede comentarse porque no se usa el archivo 'users' #SQL indica la búsqueda del usuario en una BD según sql.conf sql ... #Si ningún otro módulo toma responsabilidad de autenticación, se usará PAP pap }
- 32 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/default (2/4): accounting { … #Los registros serán almacenados en una BD según sql.conf sql } session{ … sql … } post-auth{ … sql … }
- 33 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/inner-tunel (3/4): authorize { … sql … } session { … sql … } post-auth{ … sql … }
- 34 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/ (4/4): Nota: Habilitar las consultas SQL sobre la directiva “post-auth” permitirá a Freeradius guardar todos los accesos válidos en la tabla “radpostauth”. Si se realizan pruebas de conexión local con la herramienta “radtest”, las contraseñas se guardarán en claro, sin embargo, si se realizan en equipos remotos por el túne TLS, éstas no aparecen. Recarga de las librerías y reinicia el servidor Freeradius: #ldconfig #service freeradius restart
- 35 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (1/6): l  Tablas importadas a la BD desde schema.sql:
- 36 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (2/6): 1. ¿Existe 'user' en radcheck? 2. ¿Datos de validación se corresponden? 3. ¿read_groups = yes en sql.conf? 4. ¿Existe un entrada para 'user' en radreply? 5. ¿Directiva Fall-Through en radreply? 6. ¿Existe 'grupo' en radgroupcheck? 7. ¿No existe correspondencia o directiva Fall-Through en radgroupreply? o ¿no es el último grupo? Más información: http://wiki.freeradius.org/Rlm_sql user/pass radcheck1 read_groups = yes 2 3 radreply 5 radusergroup by priority radgroupcheck radgroupreply 6 Respuesta 7 N o N o N o S í N o S í S í N o S í N o 4 N o
- 37 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (3/6): ATRIBUTOS de FreeRADIUS: l Formato de tabla: l Muestra qué atributos aparecen o pueden aparecer en cada tipo de mensaje Radius: n  0 indica que el atributo no puede aparecer en el mensaje. n  0+ indica que el atributo puede no aparecer o aparecer una o más veces en el mensaje. n  0-1 indica que el atributo debe aparecer una sola vez o no aparecer en el mensaje. n  1 indica que el atributo debe aparecer una y sólo una vez en el mensaje. n  1+ indica que el atributo al menos debe aparecer una vez en el mensaje. Más información: http://www.freeradius.org/rfc/attributes.html
- 38 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (4/6): l  Lista de operadores más frecuentes de FreeRADIUS: -  Atributo = valor -  No permitido como operador para atributos de validación (check items). -  En un atributo de respuesta (reply items), "añade el atributo a la lista”, sólo si no hay ningún otro valor para el mismo atributo. -  Atributo := valor -  Sustituye cualquier directiva de configuración del mismo nombre (p.e. en users). Si ningún atributo con este nombre aparece en la petición, entonces es añadido. -  En la respuesta tiene un significado idéntico. -  Atributo += valor -  Siempre añade el atributo a la lista de directivas de configuración. -  Como operador en un atributo de respuesta, tiene un significado idéntico. -  Atributo == valor -  Como atributo de validación, la asignación es válida si el atributo está presente en la petición y tiene un valor dado. -  No está permitido como operador para un atributo de respuesta. -  Atributo != valor -  Como atributo de validación, la asignación es válida si el atributo está presente en la petición y NO tiene un valor previamente dado. -  No permitido como operador para un atributo de respuesta.
- 39 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (5/6): l  Tabla RADCHECK: l  Tabla RADUSERGROUP:
- 40 - (4.2) Desarrollo Más configuración Base de Datos de usuario en MYSQL (6/6): l  Tabla RADGROUPCHECK:
- 41 - (4.B) Desarrollo Autentificación de clientes remotos (NAS) desde la base de datos: l  Habilitar consultas a la BD para clientes en /etc/freeradius/sql.conf: #Eliminar comentario de la siguiente línea: readclients = yes l  Importar tabla “nas” desde la plantilla proporcionada por la instalación: #cd /etc/freeradius/sql/mysql #mysql –uroot –p<password> mysql>use radius; mysql>source nas.sql; mysql>show tables; mysql>quit;
Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 42 - (4.B) Desarrollo Configuración. Generar nuevos certificados TLS (1/2): l  Certificados para canal seguro (TLS), creados por defecto durante la instalación (por script bootstrap) y alojados en /etc/freeradius/certs/. l  De inicio se utilizan datos de ejemplos, tanto para entidad certificadora (CA), como servidor RADIUS, desde los archivos ca.cnf y server.cnf. Para crearlos con información propia: ①  cd /etc/freeradius/certs ②  Borrar o renombrar todos los archivos con prefijo server.* y ca.* ③  Copiar las plantillas desde /user/share/doc/freeradius/examples/certs: cd /user/share/doc/freeradius/examples/certs/ cp Makefiles ca.cnf server.cnf xpextensions /etc/freeradius/certs ④  Editar ca.cnf: (1) cambiar en la sección [req] los valores por defecto para input_password y output_password (pero el mismo para ambas), (2) modificar en la sección [certificate_authority] los datos que consideremos oportunos. ⑤  Editar server.cnf: modificar en la sección [server] los datos que consideremos oportunos. ¡OJO! Es recomendable colocar los mismos datos en ambos archivos. ⑥  Ejecutar el comando #make all
Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 43 - (4.B) Desarrollo Configuración. Generar nuevos certificados TLS (2/2): l  MUY IMPORTANTE!!! Si se han cambiado las password en los pasos anteriores (recomendable), cambiar en /etc/freeradius/eap.conf, en la sección “TLS” el valor para: private_key_password = your_inputoutput_password. l  Se creen o no de nuevo, una vez terminado de configurar eap.conf, deben crearse enlaces simbólicos a los certificados para que EAP pueda localizarlos: #cd /etc/freeradius/certs #c_rehash l  Como los certificados generados no están firmados por una “verdadera CA”, es necesario importar el certificado de entidad (ca.der) a los clientes Windows para que pueda reconocerla y valide la autentificación. En el caso de clientes Linux o MAC X OS, puede optar por ignorar esta validación. l  Nota: A la hora de importarlo en Windows, bastará con hacer doble clic sobre el archivo con el certificado CA y guardarlo en el almacén “Entidades de certificación de raíz de confianza”. Si no se han modificado los datos de la CA por defecto aparecerá con el nombre “Example Certificate Authority” (comprobar con certmgr.msc).
- 44 - (4.B) Desarrollo Comprobación de funcionamiento Freeradius: #freeradius –X Nota: Este comando permite arrancar el servicio en modo depuración. No obstante si ya existiese un servicio Freeradius activo anteriormente, comprobar si el proceso se ha detenido: #ps –A |grep freeradius #kill -9 <freeradius_PID> Prueba 1. Con la utilidad ‘radtest’(como desarrollo A) Prueba 2. Con una conexión a un AP
- 45 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x (1/3):
- 46 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x (2/3): Configuración 802.1x del AP
- 47 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x: Configuración 802.1x para usuario Linux (sin network-manager) l  Primero debe instalarse un cliente, utilizaremos ‘wpa_supplicant’. bash#apt-get install wpasupplicant l  Modificar el archivo ‘wpa_supplicant.conf’ en el directorio ‘/etc’ o ‘/etc/wpa_supplicant’: ctrl_interface=/var/run/wpa_supplicant eapol_version=1 ap_scan=1 fast_reauth=1 network= #Debe coincidir con el del AP ssid="linksys-g" key_mgmt=IEEE8021X eap=PEAP phase2="auth=MSCHAPV2" identity="test" password="test"
- 48 - (5) Referencias l  RADIUS By Jonathan Hassell. O'Reilly 2002. ISBN: 0-596-00322-6 l  http://www.freeradius.org l  http://wiki.freeradius.org l  http://httpd.apache.org/ l  http://books.google.com/books?id=yTSoYCiXYAAC&pg=RA1-PA222&lpg=RA1- PA222&dq=protocolo+radius&source=web&ots=F1iXTBauo- &sig=ug16VP6MqGMX4AIVSla_93qLXhI#PRA1-PA222,M1 l  Documentación en el curso virtual de la asignatura en CVUEx

Recomendados

Radius
RadiusRadius
RadiusAlicia Murillo
 
Presentacion radius
Presentacion radiusPresentacion radius
Presentacion radiusJuana Guerrero
 
Introduction Network Monitoring and Management Solution
Introduction Network Monitoring and Management SolutionIntroduction Network Monitoring and Management Solution
Introduction Network Monitoring and Management SolutionTien Nguyen Duc
 
Integracion de servicios de redes de voz y datos
Integracion de servicios de redes de voz y datosIntegracion de servicios de redes de voz y datos
Integracion de servicios de redes de voz y datosgugarte
 
Tutorial freeradius + Mysql
Tutorial freeradius + MysqlTutorial freeradius + Mysql
Tutorial freeradius + MysqlCristian Alejandro Rojas Quintero
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redesjosehernandez1751
 
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNstandarman
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 

Recomendados

Radius
RadiusRadius
RadiusAlicia Murillo
 
Presentacion radius
Presentacion radiusPresentacion radius
Presentacion radiusJuana Guerrero
 
Introduction Network Monitoring and Management Solution
Introduction Network Monitoring and Management SolutionIntroduction Network Monitoring and Management Solution
Introduction Network Monitoring and Management SolutionTien Nguyen Duc
 
Integracion de servicios de redes de voz y datos
Integracion de servicios de redes de voz y datosIntegracion de servicios de redes de voz y datos
Integracion de servicios de redes de voz y datosgugarte
 
Tutorial freeradius + Mysql
Tutorial freeradius + MysqlTutorial freeradius + Mysql
Tutorial freeradius + MysqlCristian Alejandro Rojas Quintero
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redesjosehernandez1751
 
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓN
ORGANIZACIONES NACIONALES E INTERNACIONALES DE ESTANDARIZACIÓNstandarman
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
Windows Server 2012 Managing Active Directory Domain
Windows Server 2012 Managing Active Directory DomainWindows Server 2012 Managing Active Directory Domain
Windows Server 2012 Managing Active Directory DomainNapoleon NV
 
Planeación de una red lan en un cyber
Planeación de una red lan en un cyberPlaneación de una red lan en un cyber
Planeación de una red lan en un cyberClaudio Eduardo Manzanero Yermo
 
Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Luis Asencio
 
Comparacion modelo osi y tcp ip
Comparacion modelo osi y tcp ipComparacion modelo osi y tcp ip
Comparacion modelo osi y tcp ipwsar85
 
Pace IT - Common Ports and Protocols
Pace IT - Common Ports and ProtocolsPace IT - Common Ports and Protocols
Pace IT - Common Ports and ProtocolsPace IT at Edmonds Community College
 
MASCARA DE SUBRED Y SUBREDES
MASCARA DE SUBRED Y SUBREDESMASCARA DE SUBRED Y SUBREDES
MASCARA DE SUBRED Y SUBREDESLovable
 
El amanecer de la red
El amanecer de la redEl amanecer de la red
El amanecer de la redJmora0612
 
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...Cisco Canada
 
Protocolos de red
Protocolos de redProtocolos de red
Protocolos de redDavid Narváez
 
Ports and protocols
Ports and protocolsPorts and protocols
Ports and protocolssiva rama
 
Ccna notes
Ccna notesCcna notes
Ccna notesRamesh Kumar
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2Gianpietro Lavado
 
Rfc2460 es
Rfc2460 esRfc2460 es
Rfc2460 esAlejandro Perez
 
Despliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoDespliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoFrancisco Javier Novoa de Manuel
 
El amanecer de la red informatica
El amanecer de la red informaticaEl amanecer de la red informatica
El amanecer de la red informaticaLorien lugo
 
Máscara de subred de tamaño variable(vlsm)
Máscara de subred de tamaño variable(vlsm)Máscara de subred de tamaño variable(vlsm)
Máscara de subred de tamaño variable(vlsm)Larry Ruiz Barcayola
 
Windows Server 2019.pptx
Windows Server 2019.pptxWindows Server 2019.pptx
Windows Server 2019.pptxmasbulosoke
 
AAA Servers
AAA ServersAAA Servers
AAA Serversfillescas
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoTeleredUSM
 
Active directory slides
Active directory slidesActive directory slides
Active directory slidesTimothy Moffatt
 
jt2017-jt-exp_comu_a5-a8b3c1.pdf
jt2017-jt-exp_comu_a5-a8b3c1.pdfjt2017-jt-exp_comu_a5-a8b3c1.pdf
jt2017-jt-exp_comu_a5-a8b3c1.pdfSunnyRoam
 
Bridges Avanzadas
Bridges AvanzadasBridges Avanzadas
Bridges AvanzadasDichard Aquino Ñaupari
 

Más contenido relacionado

La actualidad más candente

Windows Server 2012 Managing Active Directory Domain
Windows Server 2012 Managing Active Directory DomainWindows Server 2012 Managing Active Directory Domain
Windows Server 2012 Managing Active Directory DomainNapoleon NV
 
Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Luis Asencio
 
Comparacion modelo osi y tcp ip
Comparacion modelo osi y tcp ipComparacion modelo osi y tcp ip
Comparacion modelo osi y tcp ipwsar85
 
MASCARA DE SUBRED Y SUBREDES
MASCARA DE SUBRED Y SUBREDESMASCARA DE SUBRED Y SUBREDES
MASCARA DE SUBRED Y SUBREDESLovable
 
El amanecer de la red
El amanecer de la redEl amanecer de la red
El amanecer de la redJmora0612
 
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...Cisco Canada
 
Ports and protocols
Ports and protocolsPorts and protocols
Ports and protocolssiva rama
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2Gianpietro Lavado
 
Despliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoDespliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoFrancisco Javier Novoa de Manuel
 
El amanecer de la red informatica
El amanecer de la red informaticaEl amanecer de la red informatica
El amanecer de la red informaticaLorien lugo
 
Máscara de subred de tamaño variable(vlsm)
Máscara de subred de tamaño variable(vlsm)Máscara de subred de tamaño variable(vlsm)
Máscara de subred de tamaño variable(vlsm)Larry Ruiz Barcayola
 
Windows Server 2019.pptx
Windows Server 2019.pptxWindows Server 2019.pptx
Windows Server 2019.pptxmasbulosoke
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoTeleredUSM
 

La actualidad más candente (20)

Windows Server 2012 Managing Active Directory Domain
Windows Server 2012 Managing Active Directory DomainWindows Server 2012 Managing Active Directory Domain
Windows Server 2012 Managing Active Directory Domain
 
Planeación de una red lan en un cyber
Planeación de una red lan en un cyberPlaneación de una red lan en un cyber
Planeación de una red lan en un cyber
 
Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless Capítulo 4 - Topología Wireless
Capítulo 4 - Topología Wireless
 
Comparacion modelo osi y tcp ip
Comparacion modelo osi y tcp ipComparacion modelo osi y tcp ip
Comparacion modelo osi y tcp ip
 
Pace IT - Common Ports and Protocols
Pace IT - Common Ports and ProtocolsPace IT - Common Ports and Protocols
Pace IT - Common Ports and Protocols
 
MASCARA DE SUBRED Y SUBREDES
MASCARA DE SUBRED Y SUBREDESMASCARA DE SUBRED Y SUBREDES
MASCARA DE SUBRED Y SUBREDES
 
El amanecer de la red
El amanecer de la redEl amanecer de la red
El amanecer de la red
 
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...
Cisco Connect Toronto 2018 sd-wan - delivering intent-based networking to t...
 
Protocolos de red
Protocolos de redProtocolos de red
Protocolos de red
 
Ports and protocols
Ports and protocolsPorts and protocols
Ports and protocols
 
Ccna notes
Ccna notesCcna notes
Ccna notes
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2
 
Rfc2460 es
Rfc2460 esRfc2460 es
Rfc2460 es
 
Despliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología ciscoDespliegue de vo ip en entornos corporativos con tecnología cisco
Despliegue de vo ip en entornos corporativos con tecnología cisco
 
El amanecer de la red informatica
El amanecer de la red informaticaEl amanecer de la red informatica
El amanecer de la red informatica
 
Máscara de subred de tamaño variable(vlsm)
Máscara de subred de tamaño variable(vlsm)Máscara de subred de tamaño variable(vlsm)
Máscara de subred de tamaño variable(vlsm)
 
Windows Server 2019.pptx
Windows Server 2019.pptxWindows Server 2019.pptx
Windows Server 2019.pptx
 
AAA Servers
AAA ServersAAA Servers
AAA Servers
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamiento
 
Active directory slides
Active directory slidesActive directory slides
Active directory slides
 

Similar a RADIUS (2015)

jt2017-jt-exp_comu_a5-a8b3c1.pdf
jt2017-jt-exp_comu_a5-a8b3c1.pdfjt2017-jt-exp_comu_a5-a8b3c1.pdf
jt2017-jt-exp_comu_a5-a8b3c1.pdfSunnyRoam
 
InstalacionyConfiguracion_wpa2+radius+ldap
InstalacionyConfiguracion_wpa2+radius+ldapInstalacionyConfiguracion_wpa2+radius+ldap
InstalacionyConfiguracion_wpa2+radius+ldapMaria Jesus Suarez
 
Novedades En Windows Server 2003 R2
Novedades En Windows Server 2003 R2Novedades En Windows Server 2003 R2
Novedades En Windows Server 2003 R2Noé Vásquez
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3AngelSoto104
 
Autenticacion segura por medio de radius
Autenticacion segura por medio de radiusAutenticacion segura por medio de radius
Autenticacion segura por medio de radiustito2011
 
4. vpn y ipsec
4. vpn y ipsec4. vpn y ipsec
4. vpn y ipsec1 2d
 
Samba como PDC y autentificación LDAP
Samba como PDC y autentificación LDAPSamba como PDC y autentificación LDAP
Samba como PDC y autentificación LDAPiesgrancapitan.org
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Chema Alonso
 
Apache.http ftp-smtp
Apache.http ftp-smtpApache.http ftp-smtp
Apache.http ftp-smtpgh02
 
Policyd: Instalacion y configuracion
Policyd: Instalacion y configuracionPolicyd: Instalacion y configuracion
Policyd: Instalacion y configuracioncriscega
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wirelesslatinloco001
 
Gestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSGestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSPaloSanto Solutions
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Configuración básica de sendmail
Configuración básica de sendmailConfiguración básica de sendmail
Configuración básica de sendmailk1k1s1m0
 

Similar a RADIUS (2015) (20)

jt2017-jt-exp_comu_a5-a8b3c1.pdf
jt2017-jt-exp_comu_a5-a8b3c1.pdfjt2017-jt-exp_comu_a5-a8b3c1.pdf
jt2017-jt-exp_comu_a5-a8b3c1.pdf
 
Bridges Avanzadas
Bridges AvanzadasBridges Avanzadas
Bridges Avanzadas
 
InstalacionyConfiguracion_wpa2+radius+ldap
InstalacionyConfiguracion_wpa2+radius+ldapInstalacionyConfiguracion_wpa2+radius+ldap
InstalacionyConfiguracion_wpa2+radius+ldap
 
Novedades En Windows Server 2003 R2
Novedades En Windows Server 2003 R2Novedades En Windows Server 2003 R2
Novedades En Windows Server 2003 R2
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
Autenticacion segura por medio de radius
Autenticacion segura por medio de radiusAutenticacion segura por medio de radius
Autenticacion segura por medio de radius
 
4. vpn y ipsec
4. vpn y ipsec4. vpn y ipsec
4. vpn y ipsec
 
Radius
RadiusRadius
Radius
 
Samba como PDC y autentificación LDAP
Samba como PDC y autentificación LDAPSamba como PDC y autentificación LDAP
Samba como PDC y autentificación LDAP
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6
 
Apache.http ftp-smtp
Apache.http ftp-smtpApache.http ftp-smtp
Apache.http ftp-smtp
 
Policyd: Instalacion y configuracion
Policyd: Instalacion y configuracionPolicyd: Instalacion y configuracion
Policyd: Instalacion y configuracion
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wireless
 
Gestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSGestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMS
 
Seguridad de las Redes
Seguridad de las RedesSeguridad de las Redes
Seguridad de las Redes
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Configuración básica de sendmail
Configuración básica de sendmailConfiguración básica de sendmail
Configuración básica de sendmail
 
García.Figueroa utilerias
García.Figueroa utileriasGarcía.Figueroa utilerias
García.Figueroa utilerias
 

Más de Miguel Ángel Martín Tardío

Fundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): Ethernet
Fundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): EthernetFundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): Ethernet
Fundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): EthernetMiguel Ángel Martín Tardío
 
Fundamentos de Redes. Tema 4 - La capa de Transporte
Fundamentos de Redes. Tema 4 - La capa de TransporteFundamentos de Redes. Tema 4 - La capa de Transporte
Fundamentos de Redes. Tema 4 - La capa de TransporteMiguel Ángel Martín Tardío
 
Fundamentos de Redes. Tema 3 - La capa de Aplicación
Fundamentos de Redes. Tema 3 - La capa de AplicaciónFundamentos de Redes. Tema 3 - La capa de Aplicación
Fundamentos de Redes. Tema 3 - La capa de AplicaciónMiguel Ángel Martín Tardío
 
Fundamentos de Redes. Tema 2 - Normalización de las comunicaciones
Fundamentos de Redes. Tema 2 - Normalización de las comunicacionesFundamentos de Redes. Tema 2 - Normalización de las comunicaciones
Fundamentos de Redes. Tema 2 - Normalización de las comunicacionesMiguel Ángel Martín Tardío
 

Más de Miguel Ángel Martín Tardío (9)

Fundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): Ethernet
Fundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): EthernetFundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): Ethernet
Fundamentos de Redes. Tema 8 - La capa de Enlace de Datos (II): Ethernet
 
Fundamentos de Redes. Tema 6 - La capa de Red (II)
Fundamentos de Redes. Tema 6 - La capa de Red (II)Fundamentos de Redes. Tema 6 - La capa de Red (II)
Fundamentos de Redes. Tema 6 - La capa de Red (II)
 
Fundamentos de Redes. Tema 5 - La capa de Red (I)
Fundamentos de Redes. Tema 5 - La capa de Red (I)Fundamentos de Redes. Tema 5 - La capa de Red (I)
Fundamentos de Redes. Tema 5 - La capa de Red (I)
 
Fundamentos de Redes. Tema 4 (complementaria)
Fundamentos de Redes. Tema 4 (complementaria)Fundamentos de Redes. Tema 4 (complementaria)
Fundamentos de Redes. Tema 4 (complementaria)
 
Fundamentos de Redes. Tema 4 - La capa de Transporte
Fundamentos de Redes. Tema 4 - La capa de TransporteFundamentos de Redes. Tema 4 - La capa de Transporte
Fundamentos de Redes. Tema 4 - La capa de Transporte
 
Fundamentos de Redes. Tema 3 - La capa de Aplicación
Fundamentos de Redes. Tema 3 - La capa de AplicaciónFundamentos de Redes. Tema 3 - La capa de Aplicación
Fundamentos de Redes. Tema 3 - La capa de Aplicación
 
Fundamentos de Redes. Tema 2 - Normalización de las comunicaciones
Fundamentos de Redes. Tema 2 - Normalización de las comunicacionesFundamentos de Redes. Tema 2 - Normalización de las comunicaciones
Fundamentos de Redes. Tema 2 - Normalización de las comunicaciones
 
Fundamentos de Redes. Tema 2 (complementaria)
Fundamentos de Redes. Tema 2 (complementaria)Fundamentos de Redes. Tema 2 (complementaria)
Fundamentos de Redes. Tema 2 (complementaria)
 
Fundamentos de redes. Tema 1 (complementaria)
Fundamentos de redes. Tema 1 (complementaria)Fundamentos de redes. Tema 1 (complementaria)
Fundamentos de redes. Tema 1 (complementaria)
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Último (16)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

RADIUS (2015)

  • 2. Seguridad Avanzada / Servicio de autorización de usuarios para acceso remoto RADIUS - 2 - Remote Access Dial-In User Service (1) Introducción (2) Especificaciones y operación (3) Aplicaciones (4) Desarrollos: u  Consideraciones iniciales u  Instalación y configuración de Freeradius u  A) Freeradius+PEAP con usuarios en fichero u  B) Freeradius+PEAP/MS-CHAPv2 + MYSQL (5) Referencias Índice de contenidos:
  • 3. - 3 - (1) Introducción l  RADIUS provee arquitectura AAA (Authentication, Authorization, Accounting) para redes de acceso dial- up (NAS), VPN, acceso inalámbrico (p.e. EDUROAM) o switches Ethernet (p.e. CISCO 2950) entre otros. l  Desarrollado originalmente por Livingston Enterprises para sus Servidores de Acceso a la Red (NAS). l  El protocolo RADIUS actualmente está definido en los RFC 2865 (autentificación y autorización) y 2866 (manejo de sesiones). l  Propósito es diferenciar, identificar y contabilidad (permite cobros por uso – billing) de usuarios.
  • 4. - 4 - (2) Especificaciones y operación (1/8) Características de la arquitectura AAA: l  Soporta gran número de usuarios y consultas simultáneas; y cientos de dispositivos. l  Provee mecanismo de respaldo, ante un fallo de comunicación con el servidor AAA primario. l  Dispone un mecanismo de autenticación cliente/servidor. l  Requiere autenticación, protección integral y confidencialidad de la Capa de Transporte. l  Política de no modificación del paquete original. l  Permite el transporte de certificados. l  Permite servicio de seguridad subyacente como IPsec. l  Es extensible a otros usos (RADIUS RFC 2869).
  • 5. - 5 - (2) Especificaciones y operación (2/8) Características del protocolo RADIUS (1/3): l  Administración centralizada de usuarios. l  Modelo cliente/servidor: u  NAS opera como cliente RADIUS, pasado la petición de conexión del usuario al servidor designado. u  Servidor RADIUS responsable de autenticar al usuario y enviar respuesta con información de configuración. Como cliente proxy de otros servidores RADIUS (ISP). u  Mensajes enviados por UDP (User Datagram Protocol): u  Puerto UDP 1812 usado para mensajes de autenticación. u  Puerto UDP 1813 para mensajes de cuentas. u  Originalmente se usaron UDP 1645/1646.
  • 6. - 6 - (2) Especificaciones y operación (3/8) Características del protocolo RADIUS (2/3): l  Seguridad: u  Transacciones cliente/servidor RADIUS autenticadas por un secreto compartido: u  Para comprobar que los mensajes RADIUS son enviados por un dispositivo compatible y la integridad de los mismos. También se utiliza para cifrar algunos de los atributos RADIUS, como User- Password y Tunnel-Password. u  Mismo secreto compartido, que distingue mayúsculas y minúsculas, en ambos dispositivos RADIUS; y diferente en cada par cliente/ servidor. Nunca se transfiere a través de la red. u  Debe ser aleatorio, con una secuencia aleatoria de mínimo 22 caracteres (utilizar cualquier carácter alfanumérico o especial estándar) y máximo 128 caracteres de longitud.
  • 7. - 7 - (2) Especificaciones y operación (4/8) Características del protocolo RADIUS (3/3): l  Métodos de autenticación flexibles: l  PAP (Password Authentication Protocol): Protocolo simple de autenticación de un usuario contra un servidor de acceso remoto (sub-protocolo usado por la autenticación del protocolo PPP). Contraseñas en ASCII sin cifrar (inseguro), se usa como último recurso. l  CHAP (Challenge Handshake Authentication Protocol): Protocolo de autenticación por desafío mutuo, usado por servidores accesibles vía PPP. Verifica periódicamente la identidad del cliente remoto usando un intercambio de información de tres etapas. Verificación basada en un secreto compartido, requiere que el cliente mantenga el secreto disponible en texto plano. u  EAP (Extensible Authentication Protocol): Estructura de soporte para modernos mecanismos de autenticación (EAP-MD5, EAP-TLS, EAP-TTL, EAP-TTLS, LEAP, PEAP)
  • 8. - 8 - (2) Especificaciones y operación (5/8) Formato de paquete: l  Code (1 byte): Contiene el tipo de comando/respuesta RADIUS l  Identifier (1 byte): Usado para relacionar comandos y respuestas l  Length (2 bytes): Longitud del paquete l  Authenticator (4 bytes): Usado para autenticar la respuesta del servidor RADIUS, y usado por el algoritmo de encubrimiento de contraseña. l  Attributes: Nº arbitrario de atributos, los únicos obligatorios: User-Name (usuario) y User-Password (contraseña).
  • 9. Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 9 - Métodos de autenticación PAP, CHAP, EAP (2) Especificaciones y operación (6/8) Servidor de acceso a la red (NAS) Cliente RADIUS BD Usuarios Servidor RADIUSUsuario Access-Request (solicitud de acceso) Access-Challenge (desafío de acceso) Access-Request (solicitud de acceso) Access-Accept (acceso aceptado) Access-Reject (acceso denegado) Información autenticación Operación:
  • 10. - 10 - (2) Especificaciones y operación (7/8) Método de autenticación EAP Protegido (PEAP): http://www.cisco.com
  • 11. - 11 - (2) Especificaciones y operación (8/8) Método de autenticación EAP Protegido (PEAP):
  • 12. - 12 - (3) Aplicaciones l  Acceso líneas conmutadas: -  Muy útil para los ISP de acceso telefónico. l  Redes Wireless: -  Estándar 802.1X (http://tools.ietf.org/html/rfc3580) l  VoIP: -  Radius permite controlar la seguridad del acceso a datos. -  También permite informes para realizar la tarificación en consecuencia. l  VPN (Virtual Private Network) l  Autenticación de servicios: -  Acceso web, servicio de correo electrónico, acceso remoto...
  • 13. - 13 - (4) Desarrollo Consideraciones iniciales: l  Desarrollos orientados a conocer las posibilidades del servicio RADIUS: -  servicio de autenticación para 802.1x (PEAP) -  (A) Usuarios y clientes en archivos (users, clients.conf) -  (B) Usuarios y clientes en BD MYSQL. l  Características configurables: -  Servidor con Linux Mint 17 (Mate) en Virtualbox -  Freeradius server 2.1.12 (desde repositorio) -  Método de autenticación EAP Protegido (PEAP): l  Esquema de autenticación NAS – servidor RADIUS. l  Compatibilidad con clientes 802.1x en MS-Windows, Linux y Mac X OS usando MS-CHAPv2.
  • 14. - 14 - (4.A) Desarrollo Instalación de FreeRADIUS + PEAP: #apt-get update #apt-get install freeradius freeradius-utils
  • 15. - 15 - (4.A) Desarrollo Configuración: l  Archivos de configuración localizados en /etc/freeradius: -  radiusd.conf: Archivo de configuración principal, contiene numerosos parámetros de configuración comunes y referencias a otros archivos de configuración. -  users: Contiene información de autenticación y configuración para cada usuario que puede acceder, en caso de no usar otro método. -  clients.conf: Contiene la definición de los clientes RADIUS (NAS) que pueden conectarse al servidor. -  sql.conf: Guarda la configuración para el módulo SQL, en el caso de usar una BD como backend para los usuarios de RADIUS. -  eap.conf: Contiene información relativa a la configuración del tipo EAP (Extensible Authentication Protocol) elegido para que funcione como protocolo de autenticación. EAP se utilizará como PEAP (Protected EAP). -  sites-available/default: Como soporte para servidores virtuales, cada servidor virtual deberá disponer de un archivo que contenga la información de configuración específica del mismo dentro de este directorio. -  modules/: Carpeta que contiene archivos de configuración de los distintos módulos de autentificación soportados por Freeradius.
  • 16. - 16 - (4.A) Desarrollo Configuración /etc/freeradius/radiusd.conf:: log { ... #Registra las peticiones de autenticación auth = yes #Registra las passwords de las peticiones de autenticación, #tanto aceptadas como rechazadas. Sólo recomendable a efectos de #depuración auth_badpass = yes auth_goodpass = yes } … proxy_requests = no #La línea siguiente debe ser comentada si 'no' en la anterior #$INCLUDE proxy.conf …
  • 17. - 17 - (4.A) Desarrollo Configuración /etc/freeradius/eap.conf: eap { #Se le dice que use PEAP default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no ... tls { #Certicados se localizan en /etc/freeradius/certs/ certdir = ${confdir}/certs cadir = ${confdir}/certs ... } #Se le dice que use MS-CHAPv2 peap { default_eap_type = mschapv2 ... } mschapv2 { } }
  • 18. - 18 - (4.A) Desarrollo Configuración /etc/freeradius/users y clients.conf: Configuración de /etc/freeradius/users: l  Configuramos un usuario de prueba: test Cleartext-Password := “test” Configuración de /etc/freeradius/clients.conf: l  Configuraremos un clientee (NAS): #Punto de acceso inalámbrico (AP) client 192.168.0.50{ #Esta clave es el secreto compartido que usará el AP para comunicarse con el servidor RADIUS secret = testing123 shortname = Linksys WRT54G } Nota: En el archivo existe un cliente por defecto “localhost” y contraseña “testing123” para pruebas.
  • 19. - 19 - (4.A) Desarrollo Carpeta “Modules”. Contiene los parámetros generales de configuración de los módulos que determinan los tipos de métodos de autenticación activos. Configuración /etc/freeradius/modules/mschap: mschap {#Soporta autenticación MS-CHAP y MS-CHAPv2 #Microsoft Point-to-Point Encryption es un protocolo de #encriptación de datos para el protocolo PPP y enlaces VPN. #Soporta claves de sesión de 40, 56 y 128-bit, que cambian #por paquete. use_mppe = yes require_encryption = yes require_strong = yes #Windows envía un nombre de usuario como DOMINIOusuario; pero, en la #respuesta al desafío, sólo envía el usuario. Esto provoca un error. with_ntdomain_hack = yes } Recarga de las librerías: #ldconfig
  • 20. - 20 - (4.A) Desarrollo Recarga del servicio Freeradius: #service freeradius restart Recomendación: visualizar en una nueva consola el estado del servidor durante el reinicio mediante el comando: #tail –f /var/log/freeradius/radius.log Prueba de autentificación con el usuario “test”: #radtest test test localhost 1812 testing123
  • 21. - 21 - (4.A) Desarrollo Resultados de la prueba de autentificación con el usuario “test”:
  • 22. - 22 - (4.B) Desarrollo Instalación de FreeRADIUS + MYSQL (1/2): #apt-get install mysql-server #apt-get install freeradius-mysql #service freeradius restart
  • 23. - 23 - (4.B) Desarrollo Instalación PHPMYADMIN* (opcional) (2/2): #apt-get install apache2 #apt-get install php5 libapache2-mod-php5 #apt-get install libapache2-mod-auth-mysql php5- mysql phpmyadmin #service apache2 restart
  • 24. - 24 - (4.B) Desarrollo Configuración /etc/freeradius/radiusd.conf:: log { ... #Registra las peticiones de autenticación auth = yes #Registra las passwords de las peticiones de autenticación, #tanto aceptadas como rechazadas. Sólo recomendable a efectos de #depuración auth_badpass = yes auth_goodpass = yes } … proxy_requests = no #La línea siguiente debe ser comentada si 'no' en la anterior #$INCLUDE proxy.conf … #La línea siguiente debe no aparecer comentada $INCLUDE sql.conf
  • 25. - 25 - (4.B) Desarrollo Configuración /etc/freeradius/eap.conf: eap { #Se le dice que use PEAP default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no ... tls { #Certicados se localizan en /etc/freeradius/certs/ certdir = ${confdir}/certs cadir = ${confdir}/certs ... } #Se le dice que use MS-CHAPv2 peap { default_eap_type = mschapv2 ... } mschapv2 { } }
  • 26. - 26 - (4.B) Desarrollo Carpeta “Modules”. Contiene los parámetros generales de configuración de los módulos que determinan los tipos de métodos de autenticación activos. Configuración /etc/freeradius/modules/mschap: mschap {#Soporta autenticación MS-CHAP y MS-CHAPv2 #Microsoft Point-to-Point Encryption es un protocolo de #encriptación de datos para el protocolo PPP y enlaces VPN. #Soporta claves de sesión de 40, 56 y 128-bit, que cambian por paquete. use_mppe = yes require_encryption = yes require_strong = yes #Windows envía un nombre de usuario como DOMINIOusuario; pero, en la #respuesta al desafío, sólo envía el usuario. with_ntdomain_hack = yes } Configuración /etc/freeradius/modules/preprocess: mschap { … #Soporta autenticación MS-CHAP y MS-CHAPv2 with_ntdomain_hack = yes … }
  • 27. - 27 - (4.B) Desarrollo Configuración /etc/freeradius/users y clients.conf: Configuración de /etc/freeradius/users: l  No es necesario realizar ninguna configuración específica. Configuración de /etc/freeradius/clients.conf * (esta información también puede ir en una tabla de la BD): l  No es necesario realizar ninguna configuración específica. Sólo comprobar que todos los posibles clientes están comentados porque a partir de ahora se registrarán en una tabla de la BD. l  En el archivo existe un cliente por defecto “localhost” y contraseña “testing123” para pruebas.
  • 28. - 28 - (4.B) Desarrollo Configuración /etc/freeradius/sql.conf (1/2): Configuramos la información de acceso desde Freeradius al servidor de BD (en este tutorial se utilizará el usuario que viene por defecto, pero se recomienda cambiar el usuario y contraseña utilizados para la conexión con la BD). Después deberán usarse estas mismas credenciales durante la creación de la BD “radius”.
  • 29. - 29 - (4.B) Desarrollo Configuración /etc/freeradius/sql.conf (2/2): sql { #Selecciona una BD: mysql, mssql, oracle, postgresql database = "mysql" #Se indica a FreeRADIUS el driver a usar driver = "rlm_sql_${database}" #Información de conexión: #Usamos localhost porque servidor BD y FreeRADIUS son el mismo server = "localhost" login = "radius" password = "radpass" #Nombre de la BD a utilizar excepto para Oracle radius_db = "radius" ... #Habilita la utilización de atributos de grupo read_groups = yes … ¡ }
  • 30. - 30 - (4.B) Desarrollo Configuración Base de Datos de usuario en MYSQL: l  Para mejor comprensión de la BD y facilitar su manejo, disponemos de una interfaz web en la dirección http://dirección_ip_mi_servidor/phpmyadmin l  Abrir una conexión con MySQL desde shell y crear BD de usuarios: #cd /etc/freeradius/sql/mysql #mysql –uroot –p<password> mysql>create database radius; mysql>grant all privileges on radius.* to radius@localhost identified by 'radpass'; mysql>use radius; l  Importar tablas desde la plantilla proporcionada por la instalación: mysql>source schema.sql; mysql>show tables; mysql>quit;
  • 31. - 31 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/default (1/4): authorize { preprocess chap mschap suffix #Se activa protocolo EAP. FILES para que se lea archivo 'users' eap { ok = return } #unix #Puede comentarse porque no se usa autorización del sistema #files #Puede comentarse porque no se usa el archivo 'users' #SQL indica la búsqueda del usuario en una BD según sql.conf sql ... #Si ningún otro módulo toma responsabilidad de autenticación, se usará PAP pap }
  • 32. - 32 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/default (2/4): accounting { … #Los registros serán almacenados en una BD según sql.conf sql } session{ … sql … } post-auth{ … sql … }
  • 33. - 33 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/inner-tunel (3/4): authorize { … sql … } session { … sql … } post-auth{ … sql … }
  • 34. - 34 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/ (4/4): Nota: Habilitar las consultas SQL sobre la directiva “post-auth” permitirá a Freeradius guardar todos los accesos válidos en la tabla “radpostauth”. Si se realizan pruebas de conexión local con la herramienta “radtest”, las contraseñas se guardarán en claro, sin embargo, si se realizan en equipos remotos por el túne TLS, éstas no aparecen. Recarga de las librerías y reinicia el servidor Freeradius: #ldconfig #service freeradius restart
  • 35. - 35 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (1/6): l  Tablas importadas a la BD desde schema.sql:
  • 36. - 36 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (2/6): 1. ¿Existe 'user' en radcheck? 2. ¿Datos de validación se corresponden? 3. ¿read_groups = yes en sql.conf? 4. ¿Existe un entrada para 'user' en radreply? 5. ¿Directiva Fall-Through en radreply? 6. ¿Existe 'grupo' en radgroupcheck? 7. ¿No existe correspondencia o directiva Fall-Through en radgroupreply? o ¿no es el último grupo? Más información: http://wiki.freeradius.org/Rlm_sql user/pass radcheck1 read_groups = yes 2 3 radreply 5 radusergroup by priority radgroupcheck radgroupreply 6 Respuesta 7 N o N o N o S í N o S í S í N o S í N o 4 N o
  • 37. - 37 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (3/6): ATRIBUTOS de FreeRADIUS: l Formato de tabla: l Muestra qué atributos aparecen o pueden aparecer en cada tipo de mensaje Radius: n  0 indica que el atributo no puede aparecer en el mensaje. n  0+ indica que el atributo puede no aparecer o aparecer una o más veces en el mensaje. n  0-1 indica que el atributo debe aparecer una sola vez o no aparecer en el mensaje. n  1 indica que el atributo debe aparecer una y sólo una vez en el mensaje. n  1+ indica que el atributo al menos debe aparecer una vez en el mensaje. Más información: http://www.freeradius.org/rfc/attributes.html
  • 38. - 38 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (4/6): l  Lista de operadores más frecuentes de FreeRADIUS: -  Atributo = valor -  No permitido como operador para atributos de validación (check items). -  En un atributo de respuesta (reply items), "añade el atributo a la lista”, sólo si no hay ningún otro valor para el mismo atributo. -  Atributo := valor -  Sustituye cualquier directiva de configuración del mismo nombre (p.e. en users). Si ningún atributo con este nombre aparece en la petición, entonces es añadido. -  En la respuesta tiene un significado idéntico. -  Atributo += valor -  Siempre añade el atributo a la lista de directivas de configuración. -  Como operador en un atributo de respuesta, tiene un significado idéntico. -  Atributo == valor -  Como atributo de validación, la asignación es válida si el atributo está presente en la petición y tiene un valor dado. -  No está permitido como operador para un atributo de respuesta. -  Atributo != valor -  Como atributo de validación, la asignación es válida si el atributo está presente en la petición y NO tiene un valor previamente dado. -  No permitido como operador para un atributo de respuesta.
  • 39. - 39 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (5/6): l  Tabla RADCHECK: l  Tabla RADUSERGROUP:
  • 40. - 40 - (4.2) Desarrollo Más configuración Base de Datos de usuario en MYSQL (6/6): l  Tabla RADGROUPCHECK:
  • 41. - 41 - (4.B) Desarrollo Autentificación de clientes remotos (NAS) desde la base de datos: l  Habilitar consultas a la BD para clientes en /etc/freeradius/sql.conf: #Eliminar comentario de la siguiente línea: readclients = yes l  Importar tabla “nas” desde la plantilla proporcionada por la instalación: #cd /etc/freeradius/sql/mysql #mysql –uroot –p<password> mysql>use radius; mysql>source nas.sql; mysql>show tables; mysql>quit;
  • 42. Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 42 - (4.B) Desarrollo Configuración. Generar nuevos certificados TLS (1/2): l  Certificados para canal seguro (TLS), creados por defecto durante la instalación (por script bootstrap) y alojados en /etc/freeradius/certs/. l  De inicio se utilizan datos de ejemplos, tanto para entidad certificadora (CA), como servidor RADIUS, desde los archivos ca.cnf y server.cnf. Para crearlos con información propia: ①  cd /etc/freeradius/certs ②  Borrar o renombrar todos los archivos con prefijo server.* y ca.* ③  Copiar las plantillas desde /user/share/doc/freeradius/examples/certs: cd /user/share/doc/freeradius/examples/certs/ cp Makefiles ca.cnf server.cnf xpextensions /etc/freeradius/certs ④  Editar ca.cnf: (1) cambiar en la sección [req] los valores por defecto para input_password y output_password (pero el mismo para ambas), (2) modificar en la sección [certificate_authority] los datos que consideremos oportunos. ⑤  Editar server.cnf: modificar en la sección [server] los datos que consideremos oportunos. ¡OJO! Es recomendable colocar los mismos datos en ambos archivos. ⑥  Ejecutar el comando #make all
  • 43. Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 43 - (4.B) Desarrollo Configuración. Generar nuevos certificados TLS (2/2): l  MUY IMPORTANTE!!! Si se han cambiado las password en los pasos anteriores (recomendable), cambiar en /etc/freeradius/eap.conf, en la sección “TLS” el valor para: private_key_password = your_inputoutput_password. l  Se creen o no de nuevo, una vez terminado de configurar eap.conf, deben crearse enlaces simbólicos a los certificados para que EAP pueda localizarlos: #cd /etc/freeradius/certs #c_rehash l  Como los certificados generados no están firmados por una “verdadera CA”, es necesario importar el certificado de entidad (ca.der) a los clientes Windows para que pueda reconocerla y valide la autentificación. En el caso de clientes Linux o MAC X OS, puede optar por ignorar esta validación. l  Nota: A la hora de importarlo en Windows, bastará con hacer doble clic sobre el archivo con el certificado CA y guardarlo en el almacén “Entidades de certificación de raíz de confianza”. Si no se han modificado los datos de la CA por defecto aparecerá con el nombre “Example Certificate Authority” (comprobar con certmgr.msc).
  • 44. - 44 - (4.B) Desarrollo Comprobación de funcionamiento Freeradius: #freeradius –X Nota: Este comando permite arrancar el servicio en modo depuración. No obstante si ya existiese un servicio Freeradius activo anteriormente, comprobar si el proceso se ha detenido: #ps –A |grep freeradius #kill -9 <freeradius_PID> Prueba 1. Con la utilidad ‘radtest’(como desarrollo A) Prueba 2. Con una conexión a un AP
  • 45. - 45 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x (1/3):
  • 46. - 46 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x (2/3): Configuración 802.1x del AP
  • 47. - 47 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x: Configuración 802.1x para usuario Linux (sin network-manager) l  Primero debe instalarse un cliente, utilizaremos ‘wpa_supplicant’. bash#apt-get install wpasupplicant l  Modificar el archivo ‘wpa_supplicant.conf’ en el directorio ‘/etc’ o ‘/etc/wpa_supplicant’: ctrl_interface=/var/run/wpa_supplicant eapol_version=1 ap_scan=1 fast_reauth=1 network= #Debe coincidir con el del AP ssid="linksys-g" key_mgmt=IEEE8021X eap=PEAP phase2="auth=MSCHAPV2" identity="test" password="test"
  • 48. - 48 - (5) Referencias l  RADIUS By Jonathan Hassell. O'Reilly 2002. ISBN: 0-596-00322-6 l  http://www.freeradius.org l  http://wiki.freeradius.org l  http://httpd.apache.org/ l  http://books.google.com/books?id=yTSoYCiXYAAC&pg=RA1-PA222&lpg=RA1- PA222&dq=protocolo+radius&source=web&ots=F1iXTBauo- &sig=ug16VP6MqGMX4AIVSla_93qLXhI#PRA1-PA222,M1 l  Documentación en el curso virtual de la asignatura en CVUEx