RADIUS

• RADIUS (Remote Authentication Dial-In User Service). Es un protocolo de autenticación, autorización y registro (AAA: authentication, authorization, and accounting) para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 para establecer sus conexiones. • RADIUS fue desarrollado por Livingston Enterprises y ahora está descrito en RFC2138 y RFC2139. • Existen muchos servidores RADIUS, tanto comerciales como de código abierto, por ejemplo FreeRADIUS .

RADIUS
• Al conectar con un ISP, el usuario se autentifica, normalmente enviando usuario y contraseña que, mediante NAS (Network Access Server), se redirige al servidor RADIUS sobre el protocolo RADIUS. Si es aceptado, el servidor autorizará el acceso al ISP que le asignará los recursos de red como la dirección IP. Por último, el servidor lleva un registro de las autentificaciones, autorizaciones y los recursos asignados al usuario.

Autenticación
• Autenticación (authentication) se refiere al proceso por el cual se determina si un usuario tiene permiso para utilizar un servicio de red. Para ello el usuario presenta una identidad y unas credenciales. • La identidad presentada puede ser el nombre de usuario, y puede ser públicamente conocido. • Las credenciales pueden consistir en una contraseña, que ha de mantenerse en secreto, o un certificado digital.

Autenticación
• Otros métodos de autenticación que RADIUS soporta:
– Autentificación de sistema. – PAP (Password Authentication Protocol) y CHAP (Challenge Handshake Authentication Protocol). Los usan ISPs y son accesibles vía PPP. – LDAP (Lightweight Directory Access Protocol). Muy empleado como base de datos de usuarios y contraseñas. – Kerberos. – EAP (Extensible Authentication Protocol). – Ficheros de configuración del propio RADIUS.

Autorización
• Autorización (authorization) se refiere al proceso por el cual se conceden servicios específicos a un determinado usuario, basándose en su propia autentificación. • Se pueden poner restricciones según la hora del día, la carga del sistema, etc. • Los servicios que se conceden pueden ser dirección IP que se asigna, QoS que va a recibir, uso de encriptación, etc. • Los métodos de autorización incluyen bases de datos LDAP, SQL, o fichero de configuración del servidor.

Registro
• Registro (accounting) se refiere al proceso por el cual se realiza un registro del consumo de recursos que realizan los usuarios. • El registro puede indicar la identidad del usuario, naturaleza del servicio prestado, y tiempos de comienzo y fin de la prestación.

RADIUS
• RADIUS es el protocolo de AAA más utilizado en la actualidad, y puede ser utilizado en redes corporativas de dimensiones considerables donde queremos dar un servicio AAA centralizado, normalmente jerarquizado por medio de diversos servidores RADIUS, o incluso descentralizado, como por ejemplo EDUROAM.

NAS
• NAS (Network Access Server) es un sistema que proporciona acceso a la red (a veces se conoce como Remote Access Server o Terminal Server). • El cliente se conecta a NAS para acceder a la red, y NAS se conecta a un servidor de AAA (por ejemplo, RADIUS) para confirmar la validez de las credenciales presentadas por el cliente. Según su respuesta, NAS le permitirá o no acceder al recurso solicitado. NAS no contiene información sobre los usuarios o sus permisos. • En ese caso, NAS es el cliente de RADIUS. La ventaja es que los clientes sólo deben implementar el protocolo RADIUS, y no todas las posibilidades de AAA (PAP, CHAP, KERBEROS…).

EDUROAM
• EDUROAM (EDUcation ROAMing) es un proyecto internacional creado para facilitar el acceso a Internet a los miembros de las instituciones científico-académicas asociadas desde cualquiera de estas instituciones.

EDUROAM
• La conexión a Internet se hace mediante puntos de acceso inalámbrico con SSID “eduroam”, que conecta al usuario a una red local IEEE 802.11. La autenticación se hace utilizando el protocolo RADIUS con el servidor RADIUS del centro al que se está conectando el usuario, que a su vez la reenvía al servidor RADIUS del centro al que pertenece el usuario. La autentificación utiliza el modo EAP protegido con MSCHAPv2. Ha de ser la misma para todos los servidores radius.

EDUROAM
• Una vez el usuario ha sido autenticado, se le concede acceso a internet mediante conexión cifrada. Esta configuración depende únicamente del centro al que se está conectando, y puede ser cualquiera, aunque en la UV se utiliza el protocolo WPA con cifrado TKIP.

EDUROAM
• Para configurar un suplicante para eduroam, el proceso es el mismo independientemente de la universidad. Podemos verlo aquí.

PRACTICA
• Vamos a instalar y configurar un servidor FreeRADIUS (http://freeradius.org/download.html). • Bajamos para linux los fuentes de FreeRADIUS en un fichero .tar.gz, que descomprimimos con tar –xvzf <nombre archivo>. • El fichero de texto INSTALL describe el proceso básico de instalación. • Configuramos el proceso (ver opciones con ./configure – help). • Compilamos con “make”, e instalamos con “make install” como root.

PRACTICA
• Antes de ejecutar, debemos crear los certificados. Para ello editamos /usr/local/etc/raddb/certs: ca.cnf tiene los de la autoridad certificadora, server.cnf los de servidor y client.cnf los de cliente. Hay que configurar país, provincia, localidad, organización, e-mail y nombre. Además, el servidor y la autoridad certificadora deben coincidir en país, estado y organización. • Ahora ejecutamos el servidor como root mediante “radiusd –X” (X: modo debug). • Para comprobar que funciona, hacemos como root: “$ radtest user password localhost 10 secreto2013”. User y password son un usuario local.

PRACTICA
• /usr/local/etc/raddb/radiusd.conf es el fichero de configuración del servidor. Se subdivide con #include en:
– eap.conf: tipo de eap – clients.conf: lista de clientes autorizados para usar los servicios. – proxy.conf: Este fichero configura el modo proxy y lista de realms – otros ficheros: sql.conf, …

• El fichero users contiene información sobre autentificación de suplicantes, incluso podemos poner aquí usuario y contraseña.

PRACTICA
• Para un suplicante en Windows XP, configurado como en eduroam, necesitamos soporte de PEAP y MSCHAPv2. Editamos el fichero eap.conf y cambiamos default_eap_type general de md5 a peap, y en el apartado de peap default_eap_type debe estar a mschapv2. • Luego hay que informar al servidor RADIUS de que va a tener como cliente un punto de acceso, para ello, en clients.conf añadimos: client 192.168.1.1 { secret=secretotra shortname=ap nastype=cisco }

PRACTICA
• Añadimos un usuario Windows XP cuando solicite acceso a la red. Para esto editamos users y añadimos: “Nombre” Cleartext-Password:=“passwordtra” Reply-Message=“Bienvenido” • Ahora configuramos un punto de acceso conectandonos al router configurando metodo de autenticación WPA con TKIP. Por ultimo vamos a la configuración RADIUS e introducimos la IP del servidor RADIUS y la palabra secreta “secretotra”. El servidor RADIUS está conectado a la LAN del router. • Ahora, la maquina XP wifi puede entrar como en eduroam, con “Nombre” y “passwordtra”.