CONFIGURACIN DEL CONTROL DE ACCESO MEDIANTE 802.

1X
OBJETIVOS
El objetivo general de esta prctica es habilitar los mecanismos de control de acceso a la red basados en el estndar 802.1X. Mediante este sistema de proteccin es posible controlar de forma precisa los distintos usuarios que pueden acceder al sistema de distribucin. Para ello, ser necesaria la configuracin de tres elementos distintos: en primer lugar el servidor de autenticacin, en segundo lugar el punto de acceso inalmbrico y por ltimo el cliente.

INTRODUCCIN
Este boletn va a profundizar acerca de un aspecto muy concreto que implementan algunos puntos de acceso del mercado: el control de acceso a la red basado en 802.1X. Este mecanismo se basa en los siguientes elementos: Servidor de autenticacin. Se trata del elemento en el cual se definen los usuarios y grupos de usuarios que estn autorizados a hacer uso de la red, as como las condiciones de dicho uso. Punto de acceso con soporte 802.1X. Como ya hemos visto, se trata de un elemento intermedio encargado de proporcionar acceso al sistema de distribucin a los distintos dispositivos inalmbricos que se encuentren en su BSS. Para ello, realizar una consulta al servidor de autenticacin con el fin de comprobar si el usuario solicitante se encuentra autorizado. Cliente inalmbrico. Se trata del usuario que desea obtener acceso al sistema de distribucin. Para ello, adems de conocer la clave WEP que se est utilizando en el enlace inalmbrico, deber presentar adems cierta informacin que lo identifique como usuario autorizado (nombre de usuario y contrasea, certificado digital, etc.). Protocolos del estndar 802.1X. El estndar 802.1X establece los protocolos y los procedimientos que deben seguirse para poder utilizar distintos medios de control de acceso entre los clientes y los servidores de autenticacin de una red. Concretamente, dicho estndar especifica el protocolo que debe usarse entre el cliente y el punto de acceso, el protocolo entre cliente y servidor de autorizacin, los temporizadores de control de sesin y la posibilidad de derivar claves de cifrado a partir de la informacin de autenticacin.

Es importante dejar constancia de la diferencia existente entre el uso de claves para cifrado WEP, visto en otra prctica, y el uso de mecanismos de control de acceso basados en 802.1X. Las claves de cifrado WEP se utilizan para proporcionar confidencialidad al canal inalmbrico, es decir, son un sistema de proteccin del rea de cobertura del punto de acceso pero no estn relacionadas con el sistema de distribucin. Sin embargo, las claves de usuario que se vern en este boletn estn relacionadas con el control que se realiza de los usuarios que pretenden hacer uso de la red cableada (y posiblemente de Internet). Por dicha razn, lo ms probable es que (a diferencia de las claves WEP) cada usuario tenga una clave distinta, con el fin de poder adems monitorizar el uso de la red.

2005 Universidad Internacional del Mar - Pgina 1

PARTE A: INSTALACIN DE APLICACIONES Y GENERACIN DE CERTIFICADOS

INFORMACIN GENERAL FreeRADIUS es uno de los servidores RADIUS ms populares y verstiles. RADIUS es uno de los protocolos ms ampliamente utilizados para realizar la gestin del acceso a redes de rea extensa, sobre todo en el mbito de los ISP (Internet Service Providers). Sin embargo, en este boletn se llevar a cabo un uso muy bsico de sus caractersticas, centrado principalmente en el uso de EAP-TLS como protocolo de autenticacin y en la definicin bsica de usuarios. Podramos decir que FreeRADIUS es un producto compuesto tanto por una base de datos de usuarios como por un servidor capaz de atender peticiones de autenticacin realizadas por otros elementos de nuestra red. Como indica su nombre, se trata de un producto de cdigo abierto con soporte para gran cantidad de plataformas. En esta seccin vamos a ver cmo instalarlo de forma bsica, cmo configurar la base de datos de usuarios y cmo establecer los parmetros de comunicacin con el punto de acceso inalmbrico. Antes de ello, veremos tambin cmo instalar una de las libreras bsicas para el funcionamiento de FreeRADIUS, y ms concretamente del mtodo EAPTLS, como es la librera OpenSSL. INSTALACIN DE OPENSSL Como paso previo a la instalacin de FreeRADIUS, es necesario disponer en el sistema de una versin reciente de las libreras OpenSSL, las cuales se utilizarn para llevar a cabo todas las operaciones relacionadas con TLS. Para ello, se aconseja hacer uso de la ltima versin estable de la versin 0.9.7, la cual se puede descargar desde ftp.openssl.org Una vez descargado el fichero .tar.gz con el cdigo fuente, se descomprime y se ejecuta lo siguiente:
1. config shared -prefix=/usr/local/openssl 2. make 3. make install

Como consecuencia, los ficheros de OpenSSL quedan instalados en el directorio /usr/local/openssl. INSTALACIN DE FREERADIUS El primer paso para instalar FreeRADIUS es obtener desde su pgina web la ltima versin disponible. Para ello, se debe acceder a ftp.freeradius.org y descargar el ltimo snapshot, o bien utilizar directamente la herramienta CVS para obtener el rbol de trabajo actual. A continuacin, se descomprime el fichero .tar.gz y se ejecuta lo siguiente:
1. ./configure -with-openssl-includes=/usr/local/openssl/include -with-openssl-libraries=/usr/local/openssl/lib -prefix=/usr/local/radius 2. make 3. make install

2005 Universidad Internacional del Mar - Pgina 2

Como consecuencia, los ficheros de FreeRADIUS quedan instalados en los siguientes directorios: Ficheros ejecutables en /usr/local/radius/sbin Ficheros de configuracin en /usr/local/radius/etc/raddb Ficheros de log en /usr/local/radius/var/log/radius Con el fin de comprobar si el servidor funciona correctamente, el siguiente paso puede ser la verificacin local del mismo. Para ello, en primer lugar, es aconsejable ejecutar el servidor radius en modo de depuracin: radiusd X

Si el servidor indica Ready to process requests es que est ejecutndose correctamente. A continuacin, en otro terminal, ejecutar la siguiente orden para comprobar la comunicacin con el mismo: radtest test test localhost 0 testing123

Ahora el servidor debera mostrar varios mensajes conforme recibe la solicitud y genera la correspondiente respuesta. El programa radtest debera recibir la respuesta a los pocos segundos. No importa si la solicitud de autorizacin es aceptada o no, lo que importa es si el servidor ha recibido correctamente la solicitud y ha sabido responder. De todas formas, an no nos encontramos en condiciones de poder hacer uso de los mecanismos 802.1X para controlar el acceso a la red. Puesto que vamos a utilizar el mtodo de autenticacin basado en EAP-TLS, necesitamos llevar a cabo la generacin de los certificados necesarios para ello. Por tanto, el siguiente apartado est centrado en la generacin de dichos certificados. GENERACIN DE LOS CERTIFICADOS DIGITALES Para llevar a cabo una autenticacin EAP-TLS, son necesarios al menos 3 certificados digitales distintos. En primer lugar, es necesario disponer de una autoridad de certificacin que acte como raz de confianza y que emita el resto de los certificados. En segundo lugar, el servidor RADIUS debe tener asociado su propio certificado para demostrar a los clientes que estn solicitando el acceso a la red a travs de un servidor de autenticacin confiable. Por ltimo, cada cliente debe disponer de su propio certificado digital, el cual presentar al servidor RADIUS para demostrar su derecho de acceso. Afortunadamente, este proceso de generacin se puede realizar de forma bastante automtica utilizando uno de los scripts que acompaan a la distribucin de FreeRADIUS. En el directorio scripts del rbol del cdigo fuente se encuentra CA.all, el cual hace uso del fichero de configuracin openssl.cnf (localizado en /usr/local/openssl/ssl) para generar los tres certificados necesarios. El script CA.all utiliza dicho fichero 3 veces distintas. La primera vez produce el certificado de la CA, la segunda vez el del usuario y por ltimo el del servidor de autenticacin. Es importante introducir una palabra de paso para proteger la clave privada de los certificados generados (que ms adelante usaremos para configurar el cliente y el servidor).

2005 Universidad Internacional del Mar - Pgina 3

Una vez ejecutado el script, se deben producir los siguientes nueve certificados:
root.pem, root.p12, root.der, cert-clt.pem, cert-clt.p12, certclt.der, cert-srv.pem, cert-srv.p12 y cert-srv.der. El servidor necesitar tanto root.pem como cert-srv.pem y el cliente deber disponer de root.der y cert-clt.p12.

PARTE B: CONFIGURACIN DEL SERVIDOR

CONFIGURACIN DEL ENLACE CON EL PUNTO DE ACCESO En primer lugar, es necesario especificar qu equipos sern los encargados de realizar las correspondientes consultas al servidor FreeRADIUS. En nuestro caso concreto, estos equipos sern los distintos puntos de acceso 802.11, los cuales se encargarn de reenviar la informacin recibida desde los clientes (encapsulada mediante EAPOL) hacia el servidor de autenticacin. Para ello, se hace uso del fichero /usr/local/radius/etc/raddb/clients.conf, cuyas entradas tienen el siguiente formato:
client <IP_puntoacceso> { secret = <clave> shortname = <alias> }

<IP_puntoacceso>: Direccin IP del punto de acceso <clave>: Clave compartida entre el punto de acceso y el servidor FreeRADIUS. Se utiliza para cifrar las comunicaciones entre estos dos elementos. <alias>: Nombre utilizado para identificar al punto de acceso en otros ficheros de configuracin.

CONFIGURACIN DE USUARIOS El fichero users, localizado en /usr/local/radius/etc/raddb/users, es la clave de toda informacin de autenticacin para cada usuario autorizado a acceder al sistema. Cada usuario tiene una entrada individual con el siguiente formato: 1. El primer campo es el nombre de usuario, hasta 253 caracteres. 2. En la misma lnea, el siguiente elemento es una lista de los atributos de autenticacin requeridos, como el tipo de protocolo utilizado, contrasea y nmero de puerto. 3. En la siguiente lnea, cada usuario tiene un conjunto definido de caractersticas que permiten a FreeRADIUS proporcionar el servicio ms ajustado para cada usuario. El fichero users incluye un nombre de usuario por defecto. Si no hay coincidencia explcita del nombre de usuario recibido del cliente, o si la informacin relativa a sus atributos era incompleta, FreeRADIUS configurar la sesin basndose en la informacin de la entrada por defecto. FreeRADIUS procesa el fichero en el orden en el cual se listan las entradas. Cuando la informacin recibida del cliente RADIUS (en nuestro caso del punto de acceso 802.11) coincide con una de las entradas FreeRADIUS detiene el procesamiento de users. Sin embargo, es posible alterar este comportamiento poniendo el atributo Fall-Through en la entrada. En el caso de no querer especificar una contrasea por cada usuario en las entradas del fichero users,

2005 Universidad Internacional del Mar - Pgina 4

es posible especificar que el tipo de autenticacin es Auth-Type := System . En ese caso FreeRADIUS analizar la base de datos de passwords del sistema para comprobar la contrasea recibida. En nuestro caso, dado que se hace uso de EAP-TLS, basta con incluir en lneas independientes el CN de cada uno de los clientes autorizados a acceder. CONFIGURACIN DE LOS MDULOS DE AUTENTICACIN Por ltimo, deben modificarse tambin los ficheros /usr/local/radius/etc/raddb/radiusd.conf y /usr/local/radius/etc/raddb/eap.conf para especificar los mdulos de autenticacin que se emplearn entre el cliente y el servidor. De entre todos los mdulos posibles, el relacionado con esta prctica es EAP-TLS. Por tanto, en el fichero radiusd.conf debemos asegurar que aparecen las siguientes entradas:
authenticate { ... eap ... } authorize { ... eap ... }

En lo que respecta a eap.conf, los valores que debemos especificar son:

eap { default_eap_type = tls ... tls { private_key_password = whatever private_key_file = ${raddbdir}/certs/cert-srv.pem certificate_file = ${raddbdir}/certs/cert-srv.pem CA_file = ${raddbdir}/certs/root.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random fragment_size = 1024 check_crl = no check_cert_cn = %{User-Name} } ... }

Como podemos ver, se trata de especificar dnde se encuentran ubicados los ficheros que contienen las claves y los certificados involucrados, as como de introducir la contrasea que los protege. Adems, en este caso se especifica que debe comprobarse si el nombre del usuario est recogido en la base de usuarios (fichero users).

2005 Universidad Internacional del Mar - Pgina 5

PARTE B: CONFIGURACIN DE ROUTERS WIFI LINKSYS WRT54G

El router WiFi Linksys WRT54G tiene soporte para la autenticacin 802.1X. Por tanto, puede ser utilizado directamente como cliente con el cual consultar al servidor FreeRADIUS para averiguar si los usuarios que intentan hacer uso del punto de acceso estn autenticados en la red. La configuracin de las opciones 802.1X es bastante sencilla, especialmente si se hace uso del navegador para especificar las opciones. Los principales valores de configuracin que pueden verse en la pantalla son: Modo de seguridad: RADIUS o WPA RADIUS Longitud de la clave de cifrado: 64 o 128 bits (Solo en RADIUS) Direccin IP del servidor RADIUS Puerto del servidor RADIUS (por defecto es siempre el puerto 1812) Secreto compartido entre el servidor RADIUS y el punto de acceso (debe coincidir con el especificado en el apartado visto anteriormente) Periodo de renovacin de claves (Solo en WPA Radius)

Es importante dejar constancia de que para hacer uso de 802.1X es obligatorio utilizar WEP o WPA.

PARTE C: CONFIGURACIN DEL CLIENTE WINDOWS XP SP2

2005 Universidad Internacional del Mar - Pgina 6

CONFIGURACIN DE LA AUTENTICACIN Es posible indicar que una determinada interfaz (en nuestro caso la inalmbrica) tendr asociado un procedimiento de autenticacin basado en 802.1X. Sin embargo, para hacer uso de los certificados digitales, antes de establecer la configuracin de la interfaz, debemos importar los ficheros generados anteriormente. Con dicho fin, debemos copiar al cliente los ficheros root.der y cert-clt.p12. A continuacin seguiremos los siguientes pasos: 1. 2. 3. 4. 5. 6. Doble clic sobre el fichero root.der Clic sobre la opcin Instalar certificado Seleccionar Almacenar certificado en el siguiente almacn y pulsar Siguiente Seleccionar Entidades emisoras raz de confianza Se nos preguntar si queremos aadir el certificado al almacn. Confirmamos. Una vez instalada la autoridad de certificacin, procedemos con el certificado de cliente. De nuevo empezamos con doble clic sobre el fichero cert-clt.p12 7. Se introduce la contrasea que protege el fichero (whatever) 8. A continuacin se selecciona Seleccionar automticamente el almacn en funcin del tipo de certificado Tras estos pasos, los certificados se encuentran correctamente instalados. Ahora debemos especificar que la interfaz de red asociada a la tarjeta inalmbrica debe usar 802.1X para autenticarse. Para ello, en primer lugar mostramos las propiedades de la conexin, y en la pestaa de Redes inalmbricas agregamos una nueva red configurada con WPA o con WEP.

Seleccionamos la pestaa de Autenticacin y habilitamos el control 802.1X, especificando adems que el mtodo EAP utilizado ser Tarjeta inteligente u otro certificado.

2005 Universidad Internacional del Mar - Pgina 7

A continuacin debemos establecer las propiedades correspondientes al uso de los certificados. Para ello, hacemos clic sobre Propiedades:

En este cuadro de dilogo debemos tener la precaucin de indicar qu autoridad de certificacin consideramos confiable a la hora de establecer la autenticacin.

2005 Universidad Internacional del Mar - Pgina 8

EJERCICIOS PROPUESTOS Cada grupo de prcticas debe llevar a cabo las siguientes tareas: 1. Dar de alta a un usuario en el servidor FreeRadius 2. Dar de alta el punto de acceso inalmbrico asignado a cada grupo en el fichero clients.conf. Especificar la clave compartida PORTERO8021X 3. Habilitar en el punto de acceso el control 802.1X (Probarlo tanto con WEP como con WPA). Configurar el punto de acceso correspondiente introduciendo los valores de: a. Direccin IP del servidor RADIUS b. Secreto compartido. c. Duracin de la sesin. 4. Comprobar la configuracin mediante un cliente Windows XP SP2.

2005 Universidad Internacional del Mar - Pgina 9