UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN

DEPARTAMENTO ACADMICO DE ELETRNICA

ESPECIALIZAO SEMIPRESENCIAL EM CONFIGURAO E
GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES

MARCELO VEIGA PEREIRA

IMPLEMENTANDO SEGURANA NO NVEL DE ACESSO

UTILIZANDO SERVIDOR RADIUS

MONOGRAFIA

CURITIBA
2011

MARCELO VEIGA PEREIRA

IMPLEMENTANDO SEGURANA NO NVEL DE ACESSO

UTILIZANDO SERVIDOR RADIUS

Monografia
requisito

para

apresentada
obteno

do

como

ttulo

de

Especialista Configurao e Gerenciamento

de Servidores e Equipamentos de Redes
pela Universidade Tecnolgica Federal do
Paran, UTFPR.
Orientador:
Foronda

CURITIBA
2011

Prof.

Dr.

Augusto

RESUMO

PEREIRA, Marcelo V. Implementando Segurana no Nvel de Acesso

Utilizando Servidor RADIUS. 2011. Monografia (Especializao em Configurao e
Gerenciamento de Servidores e Equipamentos de Redes), Universidade Tecnolgica
Federal do Paran, UTFPR, Curitiba, 2011.

Este

trabalho

tem

como

tema

central

apresentar

as

facilidades

disponibilizadas pelo servio de autenticao disponveis em um Servidor RADIUS

em conjunto com banco de dados MySQL. Tendo como base a necessidade de
segurana dos pontos de acesso de rede sem fio, a mobilidade dos usurios e a
facilidade de utilizar uma base de dados centralizada de autenticao.

Palavras-chaves: RADIUS. Segurana. Redes. Acesso.

SUMRIO

LISTA DE FIGURAS .................................................................................................... 6

LISTA DE TABELAS .................................................................................................... 7
1 INTRODUO ......................................................................................................... 7
1.1 TEMA (revisar e reescrever) ............................................................................. 7
1.2 PROBLEMA E PREMISSAS ............................................................................. 8
1.3 OBJETIVOS ...................................................................................................... 9
1.3.1 Objetivo Geral .............................................................................................. 9
1.3.2 Objetivos Especficos................................................................................... 9
1.4 JUSTIFICATIVA................................................................................................. 9
1.5 PROCEDIMENTOS METODOLGICOS ........................................................ 10
2 REFERENCIAIL TERICO .................................................................................... 11
2.1 IEEE 802.1X.................................................................................................... 11
2.2 AAA - Authentication, Authorization and Accounting ....................................... 12
2.2.1 Autenticao (Authentication) .................................................................... 12
2.2.2 Autorizao (Authorization) ........................................................................ 12
2.2.3 Bilhetagem (Accounting) ............................................................................ 13
2.3 Mobilidade (Roaming) ..................................................................................... 13
2.4 Remote Authentication Dial-In User Service (RADIUS) .................................. 13
2.5 Extensible Authentication Protocol (EAP) ....................................................... 14
3 O PROTOCOLO RADIUS ...................................................................................... 15
3.1 Formatos de Pacotes ...................................................................................... 16
3.2 Tipos de PACOTES ......................................................................................... 17
3.2.1 Access-Request ......................................................................................... 17
3.2.2 Access-Accept ........................................................................................... 17

3.2.3 Access-Reject ............................................................................................ 18

3.2.4 Access-Challenge ....................................................................... 18
3.3 Shared Secret ................................................................................................. 18
3.4 Attribute-Value Pairs (AVP) ............................................................................. 19
3.5 Tipos de Atributos ............................................................................................ 19
4. PROCEDIMENTOS ............................................................................................... 20
4.1 Configurao do Roteador .............................................................................. 20
4.2 Configurao de Computador para Acesso a Rede Sem Fio .......................... 22
4.3 Instalaao e Configurao Bsica do Servidor freeRADIUS ........................... 27
4.3 Configurao do Servidor freeRADIUS para Autenticao Utilizando Base de
Dados do MySQL .................................................................................................. 31
5. CONCLUSO........................................................................................................ 36
6. REFERNCIAS ..................................................................................................... 38

LISTA DE FIGURAS

Figura 1 - Configurao do Nome da Rede Sem Fio

Figura 2 - Configurao do Modo de Segurana da Rede Sem Fio
Figura 3 - Gerenciador de Redes Sem Fio do Windows 7
Figura 4 - Configurao Manual do Perfil de Rede
Figura 5 - Configurao do Modo de Segurana do Windows 7
Figura 6 - Alterao os Parmetros de Configurao
Figura 7 - Configurao dos Parmetros de Conexo
Figura 8 - Configurao dos Parmetros de Segurana
Figura 9 - Configurao do Modo de Autenticao do 802.1X
Figura 10 - Configurao Avanada do Modo PEAP
Figura 11 - Configurao do MSCHAPv2
Figura 12 - Solicitao dos Dados para Autenticao
Figura 13 - Extrutura do Banco de Dados radius
Figura 14 - Extrutura da Tabela radcheck

LISTA DE TABELAS

Tabela 1 - Formato do Pacote do Protocolo RADIUS

Tabela 2 - Tipos de Pacotes do Protocolo RADIUS
Tabela 3 - Codificao de Atributos

1 INTRODUO

1.1 TEMA

Com a popularizao dos computadores e o acesso fcil a informaes,

graas a internet, os profissionais de informtica precisaram desenvolver novos
mtodos para dar segurana aos dados que trafegam por seus sistemas.
Com a facilidade de acesso a informao surgiram os primeiros Hackers,
que utilizavam seus conhecimentos para pregar peas atravs da grande rede ou s
vezes roubar informaes importantes. Esse ponto negativo levou a necessidade da
formao de profissionais especializados ao combate desse tipo de ataque.
Desse ponto em diante o termo Segurana da Informao tornou-se popular.
Havia a necessidade de profissionais que tivessem o mesmo conhecimento
que seus adversrios, os Hackers. Dando origem aos chamados Hackers ticos que
inclusive tem certificaes especficas para tal atravs de organizaes como The
International Council of E-Commerce Consultants (EC-Council).
O objetivo de toda essa segurana proteger informaes de pessoas que
no tem autorizao a obt-las. Dificultando seu acesso a elas fortificando barreiras
com firewalls e DMZs.
Alm dos cuidados com a segurana contra invases tambm preciso o
cuidado com o acesso a instalaes fsicas.A organizao e projeto as instalaes
fsicas tambm so importante para a segurana da informao porque uma vez
tendo acesso a essas instalaes no preciso j no mais preciso atravessar
outras barreiras como firewall. Por isso preciso que a instalaes sejam
estruturadas seguindo normas EIA/TIA no s para segurana fsica do pessoal
envolvido tanto quanto para a segurana ao acesso as instalaes.

Pode-se citar como exemplo o acesso do tcnico da operadora de servios

de longa distncia ao ponto de demarcao. preciso que os demais equipamentos
no estejam acessveis para garantir a segurana.
Uma das formas de controlar esse acesso atravs de um servidor
autenticao RADIUS (Remote Authentication Dail In User Service) e equipamento
compatvel.
Este trabalho limita-se a implementao de servidor RADIUS para controle
de acesso em redes sem fio. Incluindo configuraes para autenticao em banco
de dados MySQL.
No sero abordados cenrios com redes remotas como: autenticao de
cliente em Provedor de Servios de Internet ou redes com autenticao entre Filiais
e seus Escritrios Centrais.
A autenticao entre redes remotas pode ser realizada atravs de VPN
(Virtual Private Network) ou outra tcnica de tunelamento sobre a qual protocolo
RADIUS pode funcionar de modo transparente.

1.2 PROBLEMA E PREMISSAS

H pouca documentao disponvel sobre a configurao de servidores

RADIUS. As documentaes existentes so extremamente tcnicas e voltadas
principalmente para os detalhes do protocolo.

1.3 OBJETIVOS

1.3.1 Objetivo Geral

Apresentar uma soluo prtica e simples para o problema de segurana em

nvel de acesso em redes sem fio que no dificulte a mobilidade de seus usurios.

1.3.2 Objetivos Especficos

Elencar os aspectos tcnicos do protocolo RADIUS que permitam uma

posterior implementao deste.

Apresentar a configurao necessria para o correto funcionamento da

autenticao via RADIUS para uma rede sem fio.

Documentar a configurao de integrao de um servidor RADIUS com o

banco de dados MySQL..

Apresentar os benefcios do uso de um servidor RADIUS na segurana e

mobilidade dos usurios de uma rede local.

1.4 JUSTIFICATIVA

Em um projeto de rede estruturada h a necessidade de prever o aumento

da quantidade de nmero de usurios. Instala-se mais pontos do que o nmero de
usurios para que seja possvel atender novos usurios sem a necessidade de
reestruturao.
9

Se estes pontos adicionais estiverem devidamente habilitados, qualquer

usurio que tiver acesso fsico ao ponto poder se conectar imediatamente a rede.
Isso permite que usurios se desloquem entre departamentos sem a necessidade de
alterao na rede.
Manter todos os pontos habilitados permitem que outras pessoas, mesmo
no autorizadas, acessem a rede; desde que tenham acesso fsico a um ponto de
rede habilitado.
Uma alternativa para o problema do acesso indevido desabilitar os pontos
que no esto sendo utilizados e habilit-los somente na chegada de um novo
usurio. Resolve-se dessa forma o problema dos pontos de acesso vulnerveis mas
em contra partida a e realocao de usurios exige que o administrador da rede
reabilite o novo ponto e desabilite o ponto que no mais ser utilizado. Esse excesso
de manobras tambm exigem a constante atualizao da documentao da rede e
de como os pontos esto interconectados.
O uso de um servidor RADIUS, em conjunto com equipamentos que
suportem esse protocolo, pode resolver o problema de segurana e de mobilidade
simultaneamente. A autenticao em nvel de usurio permite que todos os pontos
estejam fisicamente habilitados mas s estejam ativos para usurios devidamente
registados. Dessa forma os usurios podem ser realocados entre departamentos
sem a necessidade de reabilitao dos pontos de acesso e o acesso de pessoal no
autorizado impossibilitado pela exigncia de informaes de autenticao.

1.5 PROCEDIMENTOS METODOLGICOS

Pesquisa bibliogrfica:
- Sero levantados e documentados dados tcnicos sobre a especificao
do protocolo RADIUS baseando na RFC 2865.

10

- Nessa etapa tambm sero documentados os softwares servidores

RADIUS disponveis e suas caractersticas, bem como a escolha de um destes para
a realizao dos testes.

Laboratrio de implementao:
- Nessa etapa ser montada uma rede de testes de autenticao utilizandose um roteador sem fio com suporte ao protocolo RADIUS, como o LinkSys
WRT120N, e um computador onde estaro instalados os servidores RADIUS, LDAP
e MySQL.

Apresentao das informaes de configurao:

- Sero documentados os arquivos, comandos e passos utilizados para a
configurao do Servidor e do Roteador sem fio com a opo de autenticao em
banco de dados MySQL.

2 REFERENCIAIL TERICO

2.1 IEEE 802.1X

O padro IEEE 802.1X define um mecanismo de autenticao para

equipamentos ou terminais ingressantes em uma rede.
Constituido por trs compotentes suplicante, autenticador e um servidor de
autenticao.
Suplicante o equipamento ou terminal de usurio que pretende-se adicionar
a rede.
11

Autenticador o equipamento de rede (switch ou ponto de acesso sem fio,

por exemplo) que intermedirio entre o suplicante e o servidor de autenticao.
O Servidor de Autenticao uma aplicao responsvel por responder as
requisies de acesso a rede, autorizando ou no o ingresso de suplicantes
utilizando uma base de dados de credenciais.

2.2 AAA - Authentication, Authorization and Accounting

2.2.1 Autenticao (Authentication)

o processo de se identificar um usurio ou equipamento partindo de uma

declarao do requisitante e fazendo a checagem em um banco de informaes
para constatar a veracidade da declarao.
OS metodos mais comuns de autenticao envolvem usurio e senha outro
no to comum e o uso de certificados digitais.

2.2.2 Autorizao (Authorization)

o processo de definir as permisses de acesso de um usurio ou

equipamento.
Depois do processo de autenticao preciso consultar uma segunda base
de informaes que definem quais os recursos que este usurio tem acesso.
Autorizao de acesso envolvem politicas de segurana que devem estar bem
documentadas para impedir que usurios acessem informaes ou recursos as
quais no deveriam ter acesso.

12

2.2.3 Bilhetagem (Accounting)

o processo de coletar informaes a respeito do uso dos recursos utilizados

por um usurio para posteriormente sejam emitidas faturas referentes ao tempo de
uso. Este recurso utilizado por ISPs (Internet Service Providers) ou Provedores de
Servios de Internet que fornecem servios de transferncia de dados sob demanda
para contabilizar o uso do servio por seus usurios possibilitando cobrana
(HASSEL, 2002).
Bilhetagem no se aplica a redes locais porque os servios disponveis
geralmente so para uso comum ou para pessoal autorizado mas normalmente no
esto sujeitos a cobrana.

2.3 Mobilidade (Roaming)

Mobilidade a facilidade que um usurio pode ter de mudar de localidade

sem perder o acesso aos recursos da rede. Um usurio poderia se deslocar entre
filiais de uma empresa e utilizar as mesmas informaes de autenticao em
qualquer uma delas. Para isso seria preciso de uma base de autenticao
centralizada que poderia funcionar sobre uma VPN.
No caso de ISPs com parceria com empresas de outras de diferentes
localidades seus servios poderiam se expandir por vrias cidades.
Pode-se estender o termo a redes locais com usurios sendo realocados
entre departamentos.

2.4 Remote Authentication Dial-In User Service (RADIUS)

um protocolo da camada de aplicao do modelo OSI que prov servios

centralizados de Autenticao, Autorizao e Bilhetagem de acordo com a definido
13

pela RFC 2866. O servidor RADIUS utiliza o protocolo UDP da camada de transporte
para a troca de mensagens com as aplicaes clientes atravs da porta 1812 para
Autenticao e 1813 para Autorizao.

2.5 Extensible Authentication Protocol (EAP)

EAP (RFC 3748) pode ser descrito como um protocolo com suporte a
mltiplos mtodos de autenticao.
Sendo um protocolo utilizado na camada de Enlace, EAP no requer
endereamento IP para seu funcionamento e pode ser utilizado redes de comutao
de circuitos, redes via cabo e redes sem-fio (ABOBA, 2004).
De acordo com o padro IEEE 802.1X, este protocolo tambm pode ser
encapsulado por outros protocolos de camadas superiores como o protocolo TCP e
UDP (ABOBA, 2004).

2.6 Transport Layer Security (TLS) e Secure Sockets Layer (SSL)

So protocolos de criptografia utilizados para trasnportar informaes de
forma segura criando um tnel entre cliente e servidor.

2.7 PEAP / EAP-MSCHAPv2

Aumenta a seguranca do protocolo EAP por utilizar Transport Layer Security
(TLS) para encryptao dos dados.
Com PEAP os frames EAP so transportados por um tunel criptografado por
TLS.

14

3 O PROTOCOLO RADIUS

Como descrito anteriormente o protocolo RADIUS prov servios de

Autenticao, Autorizao e Bilhetagem fazendo uso de uma base de dados
centralizada.
O processos previstos para um servidor RADIUS so seguem o padro
IEEE 802.1X, citado anteriormente.
O equipamento autenticador, ao detectar um suplicante, envia frames de
requisio de identidade EAP a este solicitando sua identificao. Em resposta o
suplicante envia um pacote de resposta de identidade EAP contendo contento uma
identificao do suplicante, como o nome de usurio.
Ao receber os frames de resposta EAP do suplicante o Autenticador os
encapsula em um pacote Radius do tipo Access-Request e envia ao Servidor de
Autenticao.
Ao receber um pacote de Access-Request o Servidor de Autenticao inicia
uma negociao com o suplicante para decidir o metodo EAP que ser utilizado para
a troca de informaes de autenticao.
Decidido o metodo de autenticao o Servidor de Autenticao Requisita as
informaes de autenticao ao Suplicante. Se as credenciais contidas da resposta
do suplicente forem encontradas na base de informaes do Servidor este responde
com uma pacote de Access-Accept, caso contrrio, responde com uma pacote de
Access-Reject.Toda a comunicao entre o Servidor de Autenticao e Suplicante
traduzida pelo Autenticador. Ao receber um pacote Radius de Access-Accept do
Servidor o Autenticador libera o acesso rede para o suplicante (HASSEL, 2002).

15

3.1 Formatos de Pacotes

O formato geral dos pacotes RADIUS seguem o modelo conforme o seguinte

diagrama:
Header:

TIPO

IDENTIFICADOR TAMANHO AUTENTICADOR

Payload:

PARES DE ATRIBUTO E VALOR

Tabela 1 - Formato do Pacote do Protocolo RADIUS

O Header do pacote tem o total de 20 bytes, sendo: 1 byte para o TIPO, 1

byte para o IDENTIFICADOR, 2 bytes para o TAMANHO

e 16 bytes para o

AUTENTICADOR.
O campo CODIGO indica o tipo de pacote, que pode ser um destes:
CODIGO
TIPO
1
Access-Request
2
Access-Accept
3
Access-Reject
4
Accounting-Request
5
Accounting-Response
11
Access-Challenge
12
Status-Server (experimental)
13
Status-Client (experimental)
255
Reserved
Tabela 2 - Tipos de Pacotes do Protocolo RADIUS
O campo IDENTIFICADOR utilizado para associar corretamente as
respostas as requisies enviadas.
O campo TAMANHO contm o tamanho de todo o pacote incluindo os
campos CODIGO e IDENTIFICADOR assim como o payload.

16

O campo AUTENTICADOR utilizado para garantir a integridade do

payload. Existem dois tipos de autenticadores: Request Authenticator e Response
Authenticator.
O Request Auhenticator utilizado em pacotes dos tipos AuthenticationRequest e Accounting-Request. Este autenticador gerado aleatriamente.
O Response Auhenticator utilizado em pacotes dos tipos Access-Accept,
Access-Reject, e Access-Challenge. Este autenticador gerado atravs de uma
funo hash:
MD5(TIPO+IDENTIFICDOR+TAMANHO+AUTENTICADOR+AVPs+SECRET)

Onde o sinal de '+' um operador de concatenao e SECRET o segredo

compartilhado (Shared Secret) entre o cliente e o servidor RADIUS (RIGNEY, 2000).

3.2 Tipos de PACOTES

3.2.1 Access-Request

So utilizados pelo cliente RADIUS ou dispositivo autenticador para

requisitar autenticao e servios ao servidor.
Access-Request tem ao menos dois atributos no seu payload: o nome do
usurio e seu password.

3.2.2 Access-Accept

So enviados pelo servidor quando um Access-Request atendido com

sucesso. O campo IDENTIFICADOR desse tipo de pacote precisa coincidir com o
Access-Request atendido.

17

O payload desses pacotes contm AVPs que descrevem os servios

autorizados.

3.2.3 Access-Reject

Este tipo de pacote enviado pelo servidor quando a autenticao no

bem sucedida ou quando os servios requisitados no foram autorizados.

3.2.4 Access-Challenge

Para garantir a autenticidade do usurio possvel enviar pacotes do tipo

Access-Challenge periodicamente, porm, alguns clientes no suportam esse tipo de
processo por isso tratam-no como Access-Reject.

3.3 Shared Secret

uma senha que deve ser configurada tanto no servidor como no cliente
para aumentar a segurana ou para habilitar acesso ao servidor para clientes
especificos.
O Shared Secret utilizados em todos os processos onde h a necessidade
de proteger os dados de possveis interceptaes. Como visto anteriormente
tambm utilizado para a autenticao dos dados de pacotes.

18

3.4 Attribute-Value Pairs (AVP)

So informaes referentes aos servios que podem ser habilitados pelo

servidor ou requeridos pelo cliente. Os dados so codificados seguindo o modelo
TLV (Type Length Value) ou Tipo, Tamanho e Valor; com Tipo ocupando 1 byte,
Tamanho pelo menos 4 bytes e Valor tem tamanho varivel.
As categorias de AVPs no fazem parte do escopo deste trabalho porque
so utilizados em equipamentos mais especializados, comos Servidores de Acesso
de Provedores de Servios de Internet.
O campo tamanho para os atributos comporta-se da mesma forma que o
mesmo campo para os pacotes, ou seja representam o tamanho total do bloco TLV.
Esse campo precisa ser de no mnimo 4 bytes por que seu tamanho mnimo para
acomodar um atributo sera composto por 1 byte para Tipo, 2 bytes para Tamanho e
1 byte para Valor que o tamanho mnimo de codificao de um atributo (HASSEL,
2002).

3.5 Tipos de Atributos

Os valores dos atributos podem ser codificados conforme a tabela abaixo:

Tipo do Atributo

Tamanho
em bytes

Intervalo lgico de
Valores

Exemplo

Integer

32 bits (sem sinal)

6 / 256

Enumerated

32 bits (sem sinal)

1 = Callback-Login
2 = Framed-Compression

String

1-253

Varivel

username

IP Address

32 bits

0xC0AEF324

Date

32 bits (sem sinal)

0xC0AEF324

Binary

1 bit

0/1

Tabela 3 - Codificao de Atributos

19

Os tipos de atributos no so inseridos os pacotes do protocolo RADIUS.

Eles so relacionados em um arquivo de dicionrio (dictionary.conf) que carregado
pelo servidor RADIUS e traduzidos de acordo com cada Attributo.

4. PROCEDIMENTOS

Para a execuo dos procedimentos de configurao utilizou-se uma

mquina virtual com a distribuio Linux Ubuntu como servidor Radius e de Banco
de Dados MySQL.
Utilizou-se de um roteador Cisco Linksys RT120N como cliente Radius
configurado com WPA-Enterprise.
O DHCP (Dynamic Host Configuration Protocol) foi habilidado permitindo
que o Roteador fosse configurado automaticamente quando ingressado na rede e
para que distribuir IP para os demais computadores que venham a se conectar na
rede sem fio. Com exceo das configuraes exibidas nas imagens abaixo no
foram feitas configuraes adicionais alm das configuraes de fabrica.
4.1 Configurao do Roteador

A rede interna padro do roteador 192.168.1.0/24 como pode ser visto nas
figura, mesma rede em que ser configurado o servidor Radius.

20

Figura 1 - Configurao do Nome da Rede Sem Fio

Atribuiu-se o Nome da Rede (SSID) como MinhaRede como pode ser visto
na figura.

Figura 2 - Configurao do Modo de Segurana da Rede Sem Fio

Configurao de um roteador sem fio para autenticao em um servidor

RADIUS. Utilizou-se como segredo compartilhado, shared secret, o texto
testing123.

21

4.2 Configurao de Computador para Acesso a Rede Sem Fio

Para testar as configuraes utilizou-se um notebook com Windows 7 com

placa de rede sem fio. O Windows 7 oferece vrios modulos de segurana para
conexo sem fio. A rede sem fio foi configurada utilizando as instrues do artigo
Configure 802.1X Wireless Clients Running Windows XP with Group Policy do site da
Microsoft Technet.
Abriu-se o painel de configurao de redes sem fio conforme a figura:

Figura 3 - Gerenciador de Redes Sem Fio do Windows 7

Clicou-se no boto add para adicionar uma nova rede sem fio.

Figura 4 - Configurao Manual do Perfil de Rede

22

Neste ponto optou-se pela configurao manual de um perfil de rede

(Manually create a network pofile).
As configuraes foram realizadas de acordo com a seguinte imagem.

Figura 5 - Configurao do Modo de Segurana do Windows 7

O nome da rede (network name) deve ser configurado exatamento como foi
configurado no roteador: MinhaRede. Aps a conifurao exibida clicou-se em no
botao Next.

Figura 6 - Alterao os Parmetros de Configurao

23

Em seguida clicou-se em Change connection settings para abrir as

configuraes avanadas.

Figura 7 - Configurao dos Parmetros de Conexo

As caixas de seleo (CheckBoxes) foram desmarcadas para que o sistema
no tente se conectar automaticamente na rede sem fio. Em seguida clicou-se na
aba Security.

Figura 8 - Configurao dos Parmetros de Segurana

24

Clica-se em Advanced Settings para configurar o modo de autenticao do

802.1X. Deve-se marcar a caixa de seleo Specify authentication mode e
selecionar User authentication no campo correspondente. Essas configuraes so
as mais comuns e garantem que a autenticao seja realizada em nvel de usurio.
Clica-se em no boto OK para retornar a caixa de dilogo anterior.

Figura 9 - Configurao do Modo de Autenticao do 802.1X

Security type deve ser aterada para o mesmo tipo de segurana configurada
prviamente no roteador, WPA-Enterprise. O tipo de encryptao para TKIP e o
metodo de autenticao Microsoft: Protected EAP (PEAP), j mencionado na
seo REFERENCIAL TERICO. Clica-e em Settings para configuraes de
segurana adicionais.

25

Figura 10 - Configurao Avanada do Modo PEAP

Desabilita-se a Caixa de seleo Validate server certificate porque no esto
sendo utilizandos certificados digitais. O metodo de autenticao deve ser Secured
password (EAP-MSCHAP v2). Este um metodo de autenticao EAP deselvolvido
pela Microsoft que suportado pelo freeRADIUS. Ainda preciso confirurar esse
mtodo clicando no boto Configure... e desmarcando a caixa de seleo confome
a figura abaixo:

Figura 11 - Configurao do MSCHAPv2

26

Finalizadas as configuraes basta clicar em OK para todas as caixas de

dilogo abertas ou Concluir quando for o caso.
Isso conclui a configurao do Windows 7 para autenticao no servidor
freeRADIUS atravs do roteador.
O sistema exibir uma caixa de dilogo solicitando nome de usurios e senha:

Figura 12 - Solicitao dos Dados para Autenticao

Ainda no ser possvel acessar a rede sem fio porque o servidor freeRadius
no configurado. Qualquer tentativa de acesso resultar em falha.

4.3 Instalaao e Configurao Bsica do Servidor freeRADIUS

Para o computador servidor utilizou-se o uma mquna virtual do VirtualBox

com a distribuio Linux Ubuntu 8.10.
Optou-se pela instalao do servidor freeRADIUS, por ser gratuito e ser bem
documentado em livros.
A instalao bastante simples. Baste ter a lista de repositrios do Ubuntu
atualizada e executar os comandos:

27

apt-cache search freeradius

Este commando utilizado para percorrer a lista de pacotes disponveis que

contm o texto free-radius. Se os repositrios estiverem configurados corretamente e
o computador tiver acesso a internet ser exibida uma lista dos pacotes disponveis
como no exemplo abaixo:

freeradius - a high-performance and highly configurable RADIUS server

freeradius-common - FreeRADIUS common files
freeradius-dbg - debug symbols for the FreeRADIUS packages
freeradius-utils - FreeRADIUS client utilities
libfreeradius-dev - FreeRADIUS shared library development files
libfreeradius2 - FreeRADIUS shared library
freeradius-dialupadmin - set of PHP scripts for administering a FreeRADIUS server
freeradius-iodbc - iODBC module for FreeRADIUS server
freeradius-krb5 - kerberos module for FreeRADIUS server
freeradius-ldap - LDAP module for FreeRADIUS server
freeradius-mysql - MySQL module for FreeRADIUS server
freeradius-postgresql - PostgreSQL module for FreeRADIUS server

Observa-se que h muitos pacotes disponveis para extender as

configuraes do freeRADIUS. A princpio sera instalado o pacote o primeiro pacote
da lista acime freeradius. Para isso utiliza-se o comando:

apt-get install freeradius

O commando baixar o pacote correspondente e o instalar em poucos

minutos.

28

Depois de concluda a instalao preciso configurar o freeRADIUS para

que possamos utiliz-lo.
So dois os arquivos necessrios para a configurao mais bsica do
freeRADIUS: clients.conf e users.conf.
Foram adicionadas as seguintes linhas no arquivo clients.conf:

client 192.168.1.1
{
secret = testing123
shortname = Roteador1
}

Estas linhas adicionam permisso, para o cliente configurado com o ip

indicado, autenticar 'na base do freeRADIUS. Obseve os parametros entre as
chaves {}. O parametro secret a configurao so shared secret. Como exibido
anteriormente o roteador foi configurado com o mesmo segredo.
O parametro shortname apenas um texo para identificar mais facilmente o
roteador podento ser preenchido com qualquer texto.
necessria a configurao do arquivo users.conf para inserir um usurio
para autenticao. Foi inserida a seguinte no incio do deste arquivo.

user1 User-Password := "user1"

Esta linha adiciona o usurio user1 a base de autentico e o atribui a senha

user1. Este usurio foi adicionado a base de texto, que a forma mais simples de
se adcionar um usurio para autenticao no freeRADIUS.
Observe que no so adicionados outros parmetros a configurao, como
AVPs. Isso porque esta sendo configurado um ponto de acesso em um roteador
29

domstico. Este tipo de roteador no exige configures adicionais para fornecer

acessos a outros servios.
A mudana nos arquivos de configurao no entraro em vigor at que o
servidor seja reiniciado. Para isso pode-se usar o comando:

/etc/init.d/freeradius restart

Porm, como estamos trabalhando em um ambiente de testes interessante

observar o comportamento do servidor. Para isso utilizaremos os seguintes
comando:

/etc/init.d/freeradius stop
freeradius -X

A primeira encerra o servidor freeRadius. A segunda linha inicializa o servidor

freeRadius em modo Full Debug. Neste modo de operao o servidor exibe o
processamento das requisies de autentiao diretamente no console.
Agora possivel realizar a autenticao atravs do servidor freeRadius. Para
isso, basta inserir os dados de autenticao na caixa de dialogo exibida pelo sistema
solicitando informaes de autenticao.
possvel acompanhar o progresso da autenticao observando a sada de
Debug do freeRADIUS.
.
.
.
Sending Access-Accept of id 10 to 192.168.1.1 port 32805
MS-MPPE-Recv-Key =
0xbebe26001d09f56fd8f4ca749e1b06884c76cbafdac8dac9241be1c980244e82
MS-MPPE-Send-Key =
0xb4dd5753d0b0e1b943280b8f10292b3075c33a7e78a333e105ad270adf68d8ca
EAP-Message = 0x030a0004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "user1"
Finished request 8.
.
.
.

30

Exemplo de saida de Debug do servidor freeRADIUS em modo Full Debug. A

A sada exibe informaes de processamento dos pacotes que chegam ao servidor e
tambm indormees das decises tomadas de acordo com as configuraes e
base de autenticao.

4.3 Configurao do Servidor freeRADIUS para Autenticao Utilizando Base de

Dados do MySQL

Utilizar a base de dados em texto bastante fcil, mas no uma alternativa

vivel para redes com um nmero muito grande de usurios. Uma alternativa para
esse problema a utilizao de uma base de autenticao gerencivel utilizando
MySQL.
Com uma base de autenticao hospedada em um banco de dados
possvel criar pginas na intranet para cadastros de novos usurios no havendo a
necessidade de abrir os arquivos de configurao toda a vez que for necessrio
incluir ou excluir um usurio.
A configurao do freeRADIUS para autenticao em base de dados MySQL
est concluda, mas ainda preciso fazer a instalao e configurao do MySQL
para que as configuraes tenham efeito.
Para instalar o MySQL utilizamos o comando:

apt-get install mysql-server

Ser iniciado o assisente de instalao do myql. importante informar a

senha de administrador do banco de dados. Esta senha ser utilizada
posteriormente para confiurao de acesso ao banco de dados.
Para facilitar o processo de configurao recomenda-se a instalao do
modulo freeradius-mysql, que instalar-a uma coleo de arquivos uteis e preconfigurados para o acesso a base de dados.
31

Utiliza-se o seguinte comando para instalar ao modulo MySQL para o

freeRADIUS.

apt-get install mysql-server

Sero necessrias algumas alteraes nos arquivos de configurao do

freeradius para que seja possvel consultar a nova base de dados.
No arquivo /etc/freeradius/radiusd.conf preciso que a seguinte linha esteja
descomentada:

$INCLUDE sql.conf

Os arquivos de configurao do freeRADIUS utilizam o mesmo padro para

comentrio de diversas distribuies linux utilizando o caractere # como marcador
de comentrio. Se a linha mencionada estiver precedida do caractere mencionado,
basta apagar o caractere.
Quando descomentada, esta linha carrega o arquivo de configurao
/etc/freeradius/sql.conf que contm informaes de como o freeradius deve acessar
o servidor de banco de dados.
O arquivo sql.conf contem uma unica seo identificada por sql{...}, onde
todas as configuraes esto dentro das chaves.
Este arquivo vem configurado, por padro, para acesso a banco de dados
MySQL. Por esse movito no h a necessidade de grandes alteraes, bastando
apenas informar o endereo ip do servidor de banco de dados, o nome de usurio
com a cesso a base de dados e a senha para acesso.
Seguem os campos que precisam ser editados com as configuraes
realizadas para os testes.

server = "localhost"

32

login = "root"
password = "admin"
radius_db = "radius"

A primeira linha indica o endere do servidor de banco dados onde estar a

base de dados.
A segunda e terceira linhas indicam o nome do usurio e a senha que
devero ser utilizados pelo freeRADIUS para acessar o banco de dados.
A quarta linha indica qual o banco de dados dever ser acessado.
H outras configuraes como acessos a tabelas especficas, mas
manteremos as configuraes padres para maior simplicidade.
Ainda preciso indicar ao servidor RADIUS que a tipo de processamento este
dever utilizar o banco de dados MySQL.
Esta configurao feita no arquivo /etc/init.d/freeradius/sites-enabled/default,
descomentando a entrada sql na seo authorize.
Esta seo indica au servidor freeRADIUS que as requisies de acesso
tambm podero ser autenticadas utilizando-se da base de dados no MySQL.
O mesmo deve ser feito no arquivo /etc/init.d/freeradius/inner-tunnel para que
o freeRADIUS execute o mesmo processo no tunnel TLS criado pelo protocolo
PEAP.
Outras sees podem ser habilidadas para configuraes mais completas
como por exemplo: accounting, que popula tabelas com informaes para
bilhetagem e; session, utilizada para impedir que o mesmo usurio realize conexes
simultaneas na rede, ou seja que um usurio compartilhe sua senha com outro e
ambos tenham acesso a rede simultaneamente.
Ainda preciso criar a base de dados no MySQL e popula-la com
informaes de autenticao.
A instalao do modulo freeradius-mysql prov um script SQL para a criao o
banco de dados e suas tabelas conforme as pre-configuraes no arquivo sql.conf.
33

Esse script encontra-se na pasta /etc/freeradius/sqls/mysql/ no arquivo

schema.sql. Para que seja possvel importar as informaes do script para o MySQL
preciso primeito criar o banco de dados.
O acesso ao MySQL feito utilizando-se o seguinte comando:

mysql -u root -p

Onde root o nome do usurio. Ser solicitada a senha de root que foi
configurada durante a instalao do mysql.
Uma vez realizado o acesso ao MySQL dever ser executado o sequinte
comando para a criao do banco de dados RADIUS.

CREATE DATABAS radius;

Ser exibita uma mensagem dsemelhante a Query OK, 1 row affected (0.00
sec) for obtido sucesso;
Com o comando quit pode-se se desconectar do MySQL para proceder com
a configurao.
Utiliza-se seguinte comando para importar criar as tabelas no banco:

mysql -u root -p radius < /etc/freeradius/sql/mysql/schema.sql

Este commando executa o script schema.sql no prompt do mysql, criando

assim todas as tabelas necessrias para uso do freeRADIUS.
O scritpt criara ass tabelas de acordo com a figura:

34

Figura 13 - Extrutura do Banco de Dados radius

Para os testes de autenticao precisaremos criar entradas com nomes de

usurios e senha de forma semelhante ao que foi realizado no arquivo de
configurao user.conf. A tabela utilizada para armazenar informaes de
autenticao a tabela radcheck que tem o seguinte formato:

Figura 14 - Extrutura da Tabela radcheck

Para inserir uma entrada de autenticao na tabela radcheck faz-se o acesso

ao MySQL, assim como feito anteriormente, e utiliza-se o seguinte comando:

insert

into

radcheck

(username,

attribute,

op,

value)

values

(user2,

User-

Password, ==, user2);

Este commando inserir uma entrada na tabela correspontente a entrada

realizada no arquivo user.conf, mas desta vez, para o usurio user2 com senha
user2;
35

Basta reiniciar o servidor freeRADIUS para que as configuraes de acesso a

base de autentiao MySQL tenham efeito. Recomenda-se a utilizao do modo Full
Debug mencionado anteriormente.
O acesso pelo requisitante realizado da mesma forma inserindo as nome de
usurio e senha quando solicitado pelo sistema.
possvel visualizar os logs de autenticao fazendo-se o acesso no MySQL
e utilizando os comandos:

use radius
select * from radpostauth;

5. CONCLUSO

Com base nas configuraes realizadas em laboratrios e nas dificuldades

encontradas para configurar o acesso nos computadores
A princpio as leva-se algum tempo para realizar as instalaes e
configuraes, mas com a prtica possvel facilmente configurar um servidor em
menos de uma hora para uma pequena rede.
Embora a configurao dos terminais dos usurios seja um pouco complicada
exigindo pequeno manual de instrues para que os prprios usurios configurem
seus equipamentos para acesso a rede. A utilizao do protocolo RADIUS garantir
um maior controle do acesso rede sem fio e fortificar a poltica de segurana.
Os acessos ou ingressos rede podem ser registrados em arquivos de log ou
em um banco de dados, dependendo da configurao. Dessa forma o administrador
da rede pode controlar o uso da rede sem fio ou coletar estatsticas de acessos
simultneos para prover um maior nmero de ponto de acessos para atender a
maiores demandas. O controle estatstico de acesso pode assim garantir a qualidade
de trafego na rede sem fio.
36

Ainda assim existem solues mais transparentes aos usurios como os

pontos de acesso chamado HotSpot, que funcionam como um adendo a
autenticao rdios ou uma camada extra que torna a configurao por parte do
usurio mais amigvel ou at imperceptvel.
Para acesso a uma rede com HotSpot o usurio se conecta ao ponto de
acesso que, antes de permitir o ingresso do usurio na rede sem fio solicita a
entrada de informaes de autenticao, mas comumente o nome usurio e a
senha.
A entrada dessas informaes so realizas atravs do navegador de internet
por intermdio de uma pgina que pode ser customizada de acordo com
estabelecimento em que o HotSpot ser instalado.
Hotis e Aeroportos disponibilizam redes sem fio com HotSpot para seus
clientes cadastrando estes na base de autenticao.
Estes estabelecimentos podem ento cobrar pelo servio fornecido ou
oferec-los como cortesia a seus clientes mantendo o controle da quantidade de
usurios conectados a rede e garantindo assim a qualidade da mesma.
Pontos de acesse HotSpot no foram abordados nesse trabalho, mas deve-se
mencionar que a base de funcionamento de uma HotSpot baseada no Protocolo
RADIUS. Os processos de Autenticao, Autorizao e Bilhetagem so executados
pelo Servidor Radius no qual devem ser feitas as devidas configuraes tal como
descritas na seo PROCEDIMENTOS.
Embora este trabalho tenha sua nfase no protocolo RADIUS, HotSpot so
uma fonte interessante para trabalhos posteriores.

37

6. REFERNCIAS

ABOBA, B. et allu. RFC 3748 - Extensible Authentication Protocol, 2004.

HASSEL, Jonathan. RADIUS, O Reilly: 1 ed, 2002.
RIGNEY, C. et allu, RFC 2865 - Remote Authentication Dial In User Service
(RADIUS), 2000.
RIGNEY, C. et allu, RFC 2866 - RADIUS Accounting, 2000.
WALT, Dirk van der. FreeRADIUS - Beginner's Guide, Packet Publishing: 1 ed, 2011.
http://www.vivaolinux.com.br/artigo/Freeradius-servidor-radius-eficiente-e-completo/,
Freeradius - servidor radius eficiente e completo; acesso em 12/11/2011
http://technet.microsoft.com/en-us/library/cc771557%28WS.10%29.aspx, Configure
802.1X Wireless Clients Running Windows XP with Group Policy; acesso em
15/11/2011

38