You are on page 1of 8

Implementao da Rede Wireless utilizando EAP-TLS

1 Configurao no Access Point (Setor de Redes): Forma genrica: Configure seu AP para que tenha um IP esttico isso dever ajud-lo em sua administrao (Guarde o IP do AP, pois voc precisar dele para configurar o arquivo clients.conf do freeradius); Coloque uma senha de administrao no seu AP; D um nome para o seu SSID, mas de tal forma que no seja bvio (errado: SSID=agrimisa, certo: SSID=2954_agrimisa) e no faa o broadcast do SSID; O canal de rdio deve ser configurado de acordo com a infraestrutura da sua rede local (1 ou mais AP no mesmo canal ?); Configure o IP da sua Servidora RADIUS (ex.: 192.168.1.1) e a porta de conexo para 1812 e digite a senha secreta que foi criada na servidora RADIUS (encontra-se no aquivo clients.conf ); Configure a reautenticao no servidor RADIUS para que seja de 15 a 20 segundos; Configure para que ele trabalhe no modo 802.1x e chave com tamanho de 128 bits; Configure para que seja usado WPA com servidor radius; Digite o MAC das placas de rede que sero clientes do AP (Para saber qual o endereo Mac das placas de rede no Linux digite o comando: ifconfig e j no windows digite o comnado: ipconfig /all; Verifique sempre se existe atualizao de firmware; 2 Configurao do FreeRADIUS + DHCP na Servidora Windows NT: 2.1

Instalao e Configurao do FreeRADIUS Baixe e instale o freeradius.net-1.0.2-r0.0.8.exe do stio: www.freeraduis.net ; Modificando o diretrio dos certificados. Clique em Iniciar > Programas > FreeRADIUS.net > Edit radiusd.conf, neste arquivo, mude a varivel certsdir conforme a linha abaixo: prefix = .. exec_prefix = ${prefix} sysconfdir = ${prefix}/etc localstatedir = ${prefix}/var sbindir = ${exec_prefix}/bin logdir = ${localstatedir}/log/radius raddbdir = ${sysconfdir}/raddb certsdir = ${sysconfdir}/raddb/certs/ radacctdir = ${logdir}/radacct Importe os certificados gerados pela CA para a Servidora Windows NT (key.pem, cert.pem e cacert.pem). Para importar os certificados, teremos que descompactar o arquivo fornecido pelos administradores da CA. Aps descompactado, renomeie os certificados para: key.p12, cert.crt e cacert.crt. Para instalar os certificados basta copi-los para

o diretrio: c:/ . Somente o certificado da servidora lhe pedir a senha, e que voc j sabe, pois a mesma foi lhe entregue junto com os certificados; Aps instalado, clique em Iniciar > Programas > FreeRADIUS.net > Edit Clients.conf, neste arquivo, mude o IP do client colocando o do seu AP e altere a senha secret: client 192.168.1.100 { secret = testing123 shortname = private-netwok } Depois de gerado e instalado o certificado na Servidora RADIUS, clique em Iniciar > Programas > FreeRADIUS.net > Edit eap.conf, neste arquivo, mude a senha de private_key_password colocando a senha que foi gerada junto com o certificado da servidora (ser fornecida pelos administradores da CA) e altere as linhas private_key_file, certificate_file, CA_file, dh_file e random_file para que fiquem identicas as escritas abaixo: tls { private_key_password = 1234 private_key_file = ${certsdir}/key.p12 # If Private key & Certificate are located in # the same file, then private_key_file & # certificate_file must contain the same file # name. certificate_file = ${certsdir}/cert.crt # Trusted Root CA list CA_file = ${certsdir}/cacert.crt dh_file = ${certsdir}/dh random_file = ${certsdir}/random Para iniciar o FreeRADIUS, clique em Iniciar > Programas > FreeRADIUS.net > Start FreeRADIUS.net. Se por acaso ocorrer algum erro na inicializao do servio, verifique novamente os arquivos que foram alterados; Para que o aplicativo FreeRADIUS seja inicializado no boot. Faa uma cpia do arquivo start_radiusd.bat que se encontra no diretrio: C:\Program Files\FreeRADIUS.net-1.0.2-r0.0.8\. Edite o arquivo e remova a opo: && pause. O aquivo dever estar escrito desta forma: @echo off && cmd /C cd C:\Program Files\FreeRADIUS.net-1.0.2r0.0.8 && cd bin && radiusd.exe -d ../etc/raddb && echo ######## You MUST end this process from Windows Task Manager ########

Agendando a inicializao do FreeRadius. D um clique duplo no cone Meu Computador > Tarefas Agendadas > Adicionar Tarefa Agendada > Prximo > Procurar > C:\Program Files\FreeRADIUS.net1.0.2-r0.0.8\start_radiusd.bat > Abrir > Selecione - Ao iniciar o computador > Prximo > Digite a senha do administrador e faa a

sua confirmao > Prximo > Concluir. No prximo boot, o aplicativo FreeRADIUS ser inicializado automaticamente. 2.2 - Instalao e Configurao do DHCP

Instale o servio de DHCP no Windows NT. Clique com o boto direito em cima do cone Ambiente de Rede > selecione a aba servios > adicione o servio: Servidor de DHCP da Microsoft; Configure o servio. Clique em Meu Computador > Painel de Controle > Servios > clique no Servidor de DHCP da Microsoft > clique no boto de inicializao e marque a opo Automtico > clique em OK > para inicializar o servio do servidor DHCP clique no boto iniciar; Customizando o servio do servidor DHCP. Clique em Iniciar > Programas > Ferramentas Administrativas > Gerenciamento de DHCP; Configurando Escopo. Clique em Escopo > Criar > Digite o endereo inicial da faixa de ip's, digite o endereo final da faixa de ip's, digite a mscara de rede utilizada e marque a opo ilimitada em tempo de durao. Digite a faixa de ip's que estaro associadas ao endereo MAC da placa de rede; Associar o ip ao endereo MAC da placa de rede. Ainda em Gerenciamento de DHCP, clique em Escopo > Adicionar Reservas > Digite o endereo ip no campo respectivo, e no campo identificao nica (MAC) digite o endereo MAC da placa de rede sem qualquer tipo de ponto (errado: 00-E0-20-4C-FF-AB certo: 00E0204CFFAB). Coloque o nome do usrio no campo Nome Cliente e acrescente comentrio no campo Comentrio Cliente (opcional). Repita este tpico toda vez que precisar de associar um endero ip a um endereo MAC. Para confirmar se a associao est correta, d um clique no + do item Mquina Local em Servidor DHCP e em seguida d um clique duplo sobre a lmpada amarela (endereo da sua rede local); Envio automtico do ip do roteador (gateway), ip do servidor de DNS e o nome do Domno utilizado para os clintes que esto utilizando o servio de DHCP. Ainda em Gerenciamento de DHCP, clique em opes do DHCP > Global > Adicione Roteador (gateway) e inclua o ip do mesmo, adicione Servidor de DNS e inclua o(s) ip(s) do(s) mesmo(s) e adicione o Nome do Domnio e inclua o domnio utilizado;

3 Instalao e configurao de EAP-TLS no Libertas, Windows 98SE, XP e 2000 3.1 - Instalao e configurao de EAP-TLS no Windows 98SE, XP e 2000

Pode-se configurar EAP-TLS no aplicativo que vem com o driver da placa de rede wireless ou no prprio driver nativo do sistema operacional; Instale o driver (caso necessrio, pois alguns sistemas operacionais j possuem vrios driver's de placas de rede wireless nativos) e o aplicativo que veio junto com a placa de rede wireless; Importe o certificado gerado pela CA para o Windows (mquina.p12 ou email.p12). Para importar o certificado basta dar um duplo clique no certificado. Somente o certificado do usurio ou da mquina lhe

pedir a senha, e que voc j sabe, pois a mesma foi lhe entregue junto com os certificados; Opes gerais para configurao do EAP-TLS. Procure pela opo segurana > Autenticao marque a opo WPA > habilita criptografia > modo de criptografia marque a opo AES > habilite/marque a opo 802.1x. Procure pela opo Configurao da Autenticao > selecione o tipo de EAP marque a opo EAP-TLS > seleo do certificado marque o certificado que estiver disponibilizado > digite o nome do usurio que voc logou > marque a opo validar certificado de servidor; Procedimento de instalao do wpa na inicializao do Windows NT/2000 utilizando os aplicativos que vieram com a placa wireless: 1 - Copiar os arquivos srvany.exe e srvinstw.exe do cd resource kit do windows 2000 para o diretrio c:\winnt\system32; 2 - Copiar o arquivo do C:\Arquivos de programas\D-Link\AirPlus XtremeG\AirPlusCFG.exe para o diretrio C:\WINNT\system32; 3 - Instalao do aplicativo airpluscfg.exe como servio: Execute o aplicativo srvinstw.exe (este aplicativo instala e remove servios) > Install a service > Avanar > Local Machine > Digite WPA_AIRPLUSCFG em Service Name > Avanar > Digite ou por c:\winnt\system32\srvany.exe > Avanar > Selecione a opo: Service is its own process > Avanar > Selecione a opo: System Account > Avanar > Selecione a opo: Automatic > Avanar > Concluir; 4 - Execute o aplicativo regedit.exe > Clique em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W PA_AIRPLUSCFG > Do lado direito da tela, clique com o boto direito do mouse > Novo > Chave > Altere o nome da chave para Parameters > Clique em cima da opo Parameters > Do lado direito da tela, clique com o boto direito do mouse > Novo > Valor da Sequncia > Altere o nome do valor para Application > D um duplo clique no valor Application > Digite em Dados de valor: c:\winnt\system32\airpluscfg.exe > clique em OK; 5 - Evitando conflitos: Ainda no aplicativo regedit.exe > Clique em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run > Renomeie as extenses dos "Dados de valor" de: ANIWZCS2Service e D-Link AirPlus XtremeG (Ex:. C:\Arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.drc e C:\Arquivos de programas\D-Link\AirPlus XtremeG\AirPlusCFG.drc) > Feche o Editor de Registro; 7 - Parando os servios AirPlusCFg.exe e WZCSLDR2.exe: Clique com o boto direito do mouse sobre a Barra de Tarefas e selecione a opo Gerenciador de tarefas... > Clique na aba Processos > Selecione o processo AirPlusCFg.exe e clique em Finalizar processo, faa o mesmo para o processo WZCSLDR2.exe; 6 - NO INICIALIZE A MQUINA ANTES DE TESTAR O SERVIO: Testando o servio > Clique com o boto direito no cone Meu computador e selecione a opo Gerenciar > Servios e aplicativos > Servios > Selecione o servio criado WPA_AIRPLUSCFG > Clique com o boto direito do mouse em cima do servio selecionado e pressione Iniciar - no dever ocorrer erros. Para

verificar se o servio inicializou corretamente, clique com o boto direito do mouse sobre a Barra de Tarefas e selecione a opo Gerenciador de tarefas... > Clique na aba Processos e verifique se existe processo AirPlusCFG.exe - se no estiver aparecendo, verifique os passos anteriores; 7 - Crie o arquivo wpa.bat no diretrio C:\Arquivos de programas\ANI\ANIWZCS2 Service\ com a seguinte linha: @echo off && cmd /C C:\Arquivos de programas\ANI\ANIWZCS2 Service\WZCSLDR2.exe 8 - Agendando a inicializao do WZCSLDR2.exe: D um clique duplo no cone Meu computador > Painel de controle > Tarefas agendadas > Adicionar tarefa agendada > Avanar > Procurar > C:\Arquivos de programas\ANI\ANIWZCS2 Service\wpa.bat > Digite o nome da tarefa: WPA_WZCSLDR2 e selecione a opo Ao iniciar o computador > Avanar > Digite a senha do administrador e faa uma confirmao > Avanar > Concluir; 9 - Inicialize a mquina > aps o boot sua mquina dever estar conectada e autenticada, caso isso no ocorra, verifique os passos anteriores; 10 Como administrador, desative o aplicativo AirPlusCFG.exe para os usurios, pois eles podem acessarem e modificarem o aplicativo, que seria um grande transtorno para o setor de suporte. 3.2

- Instalao e configurao de EAP-TLS no Libertas 3.1 e 4.0 Instale os pacotes atravs do comando: apt-get install [nome_do_arquivo] wireless-tools-27-2.1.0.fc1.i386.rpm (necessrio) kernel-wlan-ng-0.2.1-pre14.i386.rpm (necessrio) kernel-wlan-ng-modules-%{linvers}-0.2.1-pre14.i386.rpm (necessrio) kernel-wlan-ng-pci-0.2.1-pre14.i386.rpm (necessrio para placas de rede pci) kernel-wlan-ng-pcmcia-0.2.1-pre14.i386.rpm (necessrio para placas de rede pcmcia) kernel-wlan-ng-usb-0.2.1-pre14.i386.rpm (necessrio para placas de rede usb) wpa_supplicant-0.3.9-8.rhfc1.at.i386.rpm (necessrio) o pacote libpcsclite0-1.2.0-5.rhfc1.at.i386.rpm ser instalado automaticamente com o wpa-supplicant (dependncia) Configurao: Em andamento

4 Instalao e configurao do FreeRADIUS + DHCP no Libertas: 4.1

Instalao e configurao do FreeRADIUS Instale o pacote freeradius-1.0.1-0.FC1.5.legacy.i386.rpm ou superior com o comando: apt-get install freeradius-1.0.1-

0.FC1.5.legacy.i386.rpm; Importe os certificados gerados pela CA para a Servidora Linux (key.pem, cert.pem e cacert.pem). Copie o arquivo compactado com os certificados para o diretrio: /etc/raddb/certs. Para importar os certificados, descompacte o arquivo fornecido pelos administradores da CA. Aps descompactado, somente o certificado da servidora lhe pedir a senha, e que voc j sabe, pois a mesma foi lhe entregue junto com os certificados; Mude as permisses dos certificados importados com o comando: chmod 644 *.pem; Aps instalado, edite o arquivo clients.conf que se encontra no diretrio /etc/raddb, mude o IP do client colocando o do seu AP e altere a senha secret: client 192.168.1.100 { secret = testing123 shortname = private-netwok } Depois de gerado e instalado o certificado na Servidora RADIUS, Edite eap.conf, neste arquivo, mude a senha de private_key_password colocando a senha que foi gerada junto com o certificado da servidora (ser fornecida pelos administradores da CA) e altere as linhas private_key_file, certificate_file, CA_file, dh_file e random_file para que fiquem identicas as escritas abaixo: tls { private_key_password = 1234 private_key_file = ${raddbdir}/certs/key.pem # If Private key & Certificate are located in # the same file, then private_key_file & # certificate_file must contain the same file # name. certificate_file = ${raddbdir}/certs/cert.pem # Trusted Root CA list CA_file = ${raddbdir}/certs/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random Digite o comando para que FreeRADIUS configure as chaves das sesses TLS: openssl dhparam -check -text -5 512 -out dh Testar o funcionamento do FreeRadius. Para que o aplicativo FreeRADIUS seja inicializado, digite o comando: service radiusd start, se por acaso ocorrer algum erro na inicializao do servio, verifique novamente os arquivos que foram alterados; Para iniciar o FreeRADIUS na inicializao do Libertas, digite o comando ntsysv (para navegar nas opes, utilize as teclas Para Cima, Para Baixo e Tab) e marque com a barra de espao a opo radiusd (Veja a tela abaixo). Na prxima inicializao do Libertas o servio ser inicializado automaticamente; +--------------------| Servios |--------------------+ | |

|Quais servios devem ser iniciados | |automaticamente? | | | | [ ] nfs | | [*] nfslock | | [ ] ntpd | | [*] portmap | | [*] postfix | | [*] radiusd | | [*] random | | [*] rawdevices | | | | +-----+ +--------------+ | | | Ok | | Cancelar | | | +-----+ +--------------+ | | | | | +---------------------------------------------------------+ 4.2 - Instalao e configurao do DHCP

Instale o pacote dhcp-3.0pl2-6.16.i386.rpm ou superior com o comando: apt-get install dhcp-3.0pl2-6.16.i386.rpm; Faa download do arquivo dhcp.conf do repositrio ftp://libertas.pbh.gov.br/pub e copie o mesmo para o diretrio /etc; Configurando o arquivo dhcp.conf: # CRIADO PARA A REDE WIRELESS DA PBH # DANILO RODRIGUES CSAR / UOI-PB # ANALISTA DE INFORMTICA ddns-update-style interim; ignore client-updates; # REDE A QUAL SE APLICA subnet 192.168.1.0 netmask 255.255.255.0 { # DEFAULT GATEWAY option routers 192.168.1.1; option subnet-mask 255.255.255.0; # DOMNIO E SERVIDORES DNS #option domain-name "localhost"; option domain-name "pbh"; #option domain-name-servers 200.165.132.147,200.149.55.140; option domain-name-servers 10.0.24.151; # HORRIO (BR) option time-offset -10800;

# RANGE DE IP (192.168.0.10 ao 192.168.0.90) #range dynamic-bootp 192.168.1.10 192.168.1.90; default-lease-time 21600; max-lease-time 43200;

} # ASSOCIAO DO ENDEREO IP COM O ENDEREO MAC host lab_libertas { hardware ethernet 00:00:00:00:00:00; fixed-address 192.168.1.89; } Configurando o arquivo dhcp para que ele fornea o servio atravs de outra interface. No exemplo abaixo foi utilizada a interface eth1. O arquivo se encontra no diretrio /etc/sysconfig/. Altere a linha DHCPDARGS do arquivo dhcp de acordo com a interface que ser utilizada para fornecer o servio de dhcp: # Command line options here DHCPDARGS=eth1 Testar o funcionamento do DHCP. Para que o aplicativo DHCP seja inicializado, digite o comando: service dhcpd start, se por acaso ocorrer algum erro na inicializao do servio, verifique novamente os arquivos que foram alterados. Se no ocorreu nenhum erro na inicializao do servio, verifique se o servio est rodando com o comando: service dhcpd status; Para iniciar o DHCP na inicializao do Libertas, digite o comando ntsys (para navegar nas opes, utilize as teclas Para Cima, Para Baixo e Tab) e marque com a barra de espao a opo dhcpd (Veja a tela abaixo). Na prxima inicializao do Libertas o servio ser inicializado automaticamente; +--------------------| Servios |--------------------+ | | |Quais servios devem ser iniciados | |automaticamente? | | | | [*] cups | | [ ] cups-lpd | | [ ] daytime | | [ ] daytime-upd | | [*] dhcpd | | [ ] dhcrelay | | [ ] echo | | [ ] echo-upd | | | | +-----+ +--------------+ | | | Ok | | Cancelar | | | +-----+ +--------------+ | | | | | +---------------------------------------------------------+

Danilo Rodrigues Csar Analista de Informtica Prodabel / UOI-PB