servidores de acceso remoto · pdf filelego le damos a wireless security aquí vamos a...

Luis Alfonso Sánchez Brazales

SERVIDORES DE ACCESO REMOTO

Protocolos de autenticación:

1.- Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP, CHAP

- Realizar en el laboratorio virtual (GNS3) individualmente.

PAP

En estas dos imágenes vemos la configuración de dos routers que hemos configurado el

protocolo pap para ellos primero le ponemos un nombre al router, luego vamos a poner el

nombre del usuario y contraseña del router con el que nos vamos a conectar, ponemos la

encapsulación que es ppp luego le ponemos la autenticación que va a ser pap y para

finalizar vamos a poner el usuario y la contraseña que vamos a enviar desde el router de

origen.

CHAP

Ahora vamos configurar los router por el protocolo chap para ellos ponemos el nombre

del router y el usuario y contraseña del otro router, nos metemos en la interfaz y ponemos

la encapsulación y la autenticación que va a ser chap y en el otro router hacemos lo mismo


Servidores de autenticación

a) REDES INALÁMBRICAS: WPA Personal y Empresarial.

1.-Configurar un router de acceso inalámbrico CISCO Linksys WRT54GL ,

utilizando el simulador.

http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm

Para configurar la seguridad de una red inalámbrica nos vamos a la pestaña de wireless y

lego le damos a wireless security aquí vamos a seleccionar de la lista wpa personal, el tipo

de algoritmos de encriptación va a ser AES y la clave que vamos a compartir va a ser

“clave”, ya le damos a save settings para que se guarde los cambios

Nos vamos a las misma pestaña que la anterior, en este camos la seguridad va a ser wpa

Enterprise, el algoritmos vamos a seleccionar el mismo AES y en este tipo de seguridad ya

vemos una cosa nueva que es la direccion ip del servidor radius, le ponemos la direccion ip

de nuestro servidor, el puerto le dejamos el que tiene por defecto y la clave precompartida

será “clave”, y guardamos los cambios

http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm


Configurar router inalámbrico Linksys WRT54GL en modo seguro:

(Cambia el SSID por defecto y desactivar el broadcasting SSID,

deshabilitar DHCP, cambiar nombre de usuario y contraseña, activar el

filtrado de MAC, WPA2, cifrado TKIP+AES).

- Configurar la tarjeta de red de un cliente inalámbrico con dichas

medidas de seguridad y comprobar la autenticación a dicho router

inalámbrico.

- Realizar en grupos de alumnos.

Se va a configurar el router Linksys como seguro, para ello se accede a él y se le desactiva el

servicio DHCP:

Se le modifica el SSID


Se le asigna el cifrado TKIP + AES con la configuración de WPA2 Personal.

Ahora se accede con el cliente inalámbrico, dadas estas pautas. Para ello se agrega una nueva

red y, con una configuración de direcciones IP estática, se accede mediante AES (que conecta

también TKIP+AES) y se le asigna la contraseña.


Con estos parámetros conecta a la red.

SERVIDOR RADIUS:

1.- Simulación de un entorno de red con servidor RADIUS CISCO en el

simulador Packet Tracer.

Aquí podemos ver el escenario donde vamos a simular un servidor radius


Nos vamos al servidor DNS y nos vamos a config, luego le vamos a dar a la pestaña de

fastethernet y vamos a configurar la direccion ip del servidor dns

Ahora nos vamos a la pestaña HTTP y vamos a poner a ON para poder entrar a nuestra página

de bienvenida tanto en http como en https


Ahora nos vamos a la pestaña de DNS y vamos a añadir al registro los nombres para poder

conectarnos a través del navegador con el nombre en vez de con la dirección ip

Nos vamos al servidor radius y vamos a la pestaña AAA, lo primero que vamos a hacer es configurar la red, para ello vamos a poner el nombre del cliente, la clave secreta y la dirección ip y lo añadimos. Más abajo vamos a añadir los usuarios con su contraseña y los añadimos a la lista


Ahora nos vamos al router y nos vamos a setup y en la lista desplegable seleccionamos la ip

estática y configuramos la dirección ip, mascara, la puerta de enlace, etc.


En la misma pestaña donde estamos vamos a habilitar el servidor dhcp y dejamos el rango de

las dirección que va a dar como viene por defecto, le vamos a poner la ip del servidor dns

Ahora nos vamos a la pestaña de wireless y vamos a configurar los datos del servidor radius


Ahora nos vamos a los clientes y vamos a la opción de pc wireless para conectarnos al servidor

radius

En esta pantalla lo que vamos a hacer es darle a advanced setup y empezar a configurar la

conexión


En esta pantalla vamos a seleccionar la primera opción y le damos a next


Vamos a dejar la opción que viene por defecto para que obtenga la dirección ip por dhcp y

le damos a next

Vamos a seleccionar la seguridad que va a ser wpa2-enterprise y le damos a next


Vamos a poner el nombre de usuario y contraseña que están dados de alta en el servidor

radius


Aquí nos sale un resumen de la configuración que hemos realizado anteriormente y le

damos a save


CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo seguro utilizando AAA

y RADIUS (WinRadius en Windows XP)

Se configuran los parámetros de los routers para que se reconozcan en el escenario siguiente.

Se va a configurar el router R1 para probar la autenticación local.


Se realiza una conexión Telnet a R1.

Se habilita el protocolo AAA en R3

Se configura el reloj.

Se le asigna el protocolo aaa y se realiza un debug del mismo para observar lo que ocurre


Se realiza un Telnet a R3, aparece una pantalla de que se ha generado una clave RSA.

Se observa lo ocurrido en R3.

Se modifca el R1 devolviéndole su configuración inicial.


Se habilita WinRADIUS en Windows XP, para ello se instala y se inicia.

Escucha en el 1812 y 1813.


Se limpia el log con Log > Clear

Se realiza un test para observar la conexión.

Se configura R1 para asignarle el servidor RADIUS.


Se observan los comandos que se pueden realizar.

Se observa la configuración RADIUS en el running-config.

Se ve en Windows 7 la configuración del servidor.


Se realiza un test desde WinRADIUS, en el sistema operativo Windows 7.


Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) , para autenticar conexiones

que provienen de un router de acceso CISCO

Linksys WRT54GL.

Autenticación de usuarios basado en bases de datos (MySQL,SQL Server,etc.)

Instalamos el servidor

Si no tenemos instalado mysql server lo instalamos tambien. Iniciamos el servicio mysql

Asignamos una clave para el usuario root

Creamos una base de datos llamada radius

Accedemos a mysql y le damos permisos al usuario que vamos a crear llamado radius

Ahora importamos las tablas de freeradius a la base de datos radius


Editamos el archivo radiusd.conf

y descomentamos la siguiente línea

Ahora editamos el fichero sql.conf e introducimos estos parametros;

y descomentamos la linea de readclients


En el archivo /etc/raddb/sites-enabled/default des comentamos las variables sql de authorize

y accounting

Entramos en mysql y añadimos 2 usuarios para la base de datos, fulado y pepe

Comprobamos que se han añadido correctamente


Iniciamos el servicio radius

Verificamos que radius puede autentificar con mysql

A partir de este punto, solo podrá autenticar usuarios de manera local. Para poder conectar el

punto de acceso hacia el servidor Freeradius, vuelva a conectarse MySQL

Ejecute lo siguiente, definiendo la dirección IP del punto de acceso, nombre corto, tipo de NAS

(other, cisco, livingston, computon, max40xx, multitech, natserver, pathras, patton, portslave,

tc o usrhiper). Si utiliza un pinto de acceso casero, defina el tipo other.

Comprobamos que hemos insertado correctamente


En el fichero /etc/raddb/sites-available/inner-tunner descomentamos las variables sql de

authorize y post-auto

Reiniciamos el servicio radius

Configuramos el punto de acceso. Configuramos la ip de internet que tiene que ser diferente a

la subred que vamos a crear para el servidor radius, establecemos una ip al punto de acceso.


Ponemos el ssid de la red inalámbrica


Establecemos el tipo de seguridad, la encriptacion, la ip del servidor radius de centos en

nuestro caso, el puerto y la contraseña compartida entre el servidor radius y el punto de

acceso.

Ya tenemos configurado el servidor ahora nos queda configurar el cliente

VALIDACIÓN DE TEXTO PLANO

Editamos el archivo /etc/rddb/users y añadimos un usuario


Editamos el archivo radiusd.conf

y descomentamos la siguiente línea

Reiniciamos el servidor y listo

CONFIGURAR CLIENTE RADIUS WINDOWS 7

Vamos al centro de redes y recursos compartidos/administrar redes

inalambricas/agregar/crear perfil de red manualmente


Añadimos el nombre de la red, la seguridad y el cifrado

Vamos a cambiar la configuración


En configuración, desmarcamos la validación con certificado y usar automáticamente el

nombre de inicio de sesión de Windows.

En configuración avanzada especificamos el modo de autentificación por usuarios.


Nos conectamos a la red

Instalación de un servidor RADIUS en Zentyal para autenticar conexiones que provienen de

un router de acceso Linksys WRT54GL.

Comprobación en un escenario real.

Abrimos el localhost de zentyal e instalamos los paquetes RADIUS y Users and Groups


Configuramos la interfaz de red


Ponemos la puerta de enlace

Añadimos el cliente radius, cliente es el SSID de la red, la IP es la IP del punto de acceso y la

contraseña es la clave compartida entre el punto de acceso y el servidor radius.

Creamos un usuario


Configuramos el punto de acceso


El ssid

Establecemos el tipo de seguridad, la encriptacion, la ip del servidor radius de zentyal, el

puerto y la contraseña compartida entre el servidor radius y el punto de acceso.


CONFIGURAR CLIENTE RADIUS WINDOWS 7

Vamos al centro de redes y recursos compartidos/administrar redes

inalambricas/agregar/crear perfil de red manualmente

Añadimos el nombre de la red, la seguridad y el cifrado


Vamos a cambiar la configuracion

En configuración, desmarcamos la validación con certificado y usar automáticamente el

nombre de inicio de sesión de Windows.


En configuración avanzada especificamos el modo de autentificación por usuarios.

Nos conectamos a la red


Busca información sobre EDUROAM y elabora un breve informe sobre dicha infraestructura.

http://www.eduroam.es/

Eduroam (contracción de education roaming) es el servicio mundial de movilidad segura desarrollado para la comunidad académica y de investigación. Eduroam persigue el lema "abre tu portátil y estás conectado". El servicio permite que estudiantes, investigadores y personal de las instituciones participantes tengan conectividad Internet a través de su propio campus y cuando visitan otras instituciones participantes. Eduroam es una iniciativa englobada en el proyecto RedIRIS que se encarga de coordinar a nivel nacional los esfuerzos de instituciones académicas con el fin de conseguir un espacio único de movilidad. En este espacio de movilidad participa un amplio grupo de organizaciones que en base a una política de uso y una serie de requerimientos tecnológicos y funcionales, permiten que sus usuarios puedan desplazarse entre ellas disponiendo en todo momento de conectividad. Por otro lado, eduroam forma parte de la iniciativa eduroam a nivel internacional, financiada a

través de GEANT 3, y operada por varias redes académicas europeas y TERENA. Esta iniciativa

amplía el espacio de movilidad al ámbito académico europeo, a través de eduroam Europa, y

tiende puentes con eduroam Canadá, eduroam US, y eduroam APAN (Asia y Pacífico).

http://www.eduroam.es/

servidores de acceso remoto · pdf filelego le damos a wireless security aquí vamos a...

Documents