Publicado el 8 de Septiembre del 2019
1.219 visualizaciones desde el 8 de Septiembre del 2019
910,0 KB
28 paginas
Creado hace 8a (28/11/2016)
Wireless WPA2 EAP en
Mikrotik
Casos de Uso con Windows
Server y FreeRadius
By Freddy Bohorquez Quevedo
TecTel
Tectel / Distratel
• 2004 Redes Inalámbricas Comunitarias
• 2005 Conectividad Rural
• Primeras Instalaciones basadas en WRAP/Mikrotik
• Despliegue de Redes PtP y PtMP: Públicas, Privadas,
Comunitarias
• 2009 inicia Tectel como empresa especializada en
Tecnología y Telecomunicaciones y Distribuidor de
Mikrotik
• 2014 se crea Distratel, incorporando soluciones en
control y automatización.
IEEE 802.11i
• R.I.P. WEP (Wired Equivalent Privacy)
• 2001 IEEE crea el Grupo de Trabajo 802.11i cuya
tarea principal era hacer una nueva norma de facto
segura.
• Ante la demora del IEEE 802.11i la Industria creó un
estándar propio el WPA (Wireless Protected Access)
• En junio del 2004 por fin el stándard fue aprobado y
la Industria le dio el nombre de WPA2, compatible
con 802.11i y con WPA.
Como trabaja 802.11i
• 802.11i tiene 3 componentes
– El suplicante que se une a la red
– El autenticador que hace el control de acceso
– El servidor de autenticación que toma las
decisiones de autorización
Como trabaja 802.11i
• Opera por una combinación de protocolos:
– 802.1X – A Port Based Network Access Control
– EAP – Extensible Authentication Protocol
– RADIUS – Remote Access Dial In User Service
Variantes de 802.11i
FreeRadius
Authentication Authorization Accounting
• La Autenticación es el proceso por el que una
entidad prueba su identidad ante otra.
• Autorización se refiere a la concesión de
acceso con privilegios específicos a una
entidad o usuario basándose en su identidad.
• La (A) contabilización se refiere al seguimiento
del consumo de los recursos de red por los
usuarios.
Radius
• Protocolo basado en modelo cliente/servidor
• RFC 2865 (_AA) y RFC 2866 (A_)
• Listen ports UDP 1812 (_A) y UDP 1813 (A_)
• Funcionamiento:
FreeRadius
• AAA : Modelo de arquitectura de seguridad
• RADIUS: Implementación específica de AAA
• FreeRadius: Aplicación práctica de Radius
Mikrotik: WPA 2 EAP - FreeRadius
• Instalar FreeRadius
• Instalar opcionalmente soporte a Base de
Datos y web GUI (ej. mysql y phpmyadmin)
• Editar archivos de configuración de acuerdo a
la solución a implementar: clients.conf, users,
radiusd.conf, sql.conf, eap.conf, etc.
clients.conf
sql.conf
radiusd.conf
FreeRadius - mysql
• Descomentar archivos necesarios para uso de
consultas sql y no archivos planos
• Crear la base de datos en base a las plantillas
para mysql (tablas)
root@srv-radius:/# mysql -u root -p
mysql> CREATE DATABASE radius;
Query OK, 1 row affected (0.00 sec)
mysql> exit;
root@srv-radius:/#
mysql
root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/admin.sql
Enter password:
root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/ippool.sql
Enter password:
root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/schema.sql
Enter password:
root@srv-radius:/# mysql -u root -p radius </etc/freeradius/sql/mysql/nas.sql
Enter password:
root@srv-radius:/# mysql -u radius -p
mysql> use radius
mysql> show tables;
+------------------+
| Tables_in_radius |
+------------------+
| nas |
| radacct |
| radcheck |
| radgroupcheck |
| radgroupreply |
| radippool |
| radpostauth |
| radreply |
| radusergroup |
+------------------+
9 rows in set (0.00 sec)
mysql>
mysql
root@srv-radius:/# mysql -u radius -p
Enter password:
mysql> use radius
Database changed
mysql> INSERT INTO nas (nasname, shortname, type, ports, secret, description)
-> VALUES
-> ('192.168.14.8', 'MikoTik', 'other', 1812, 'pwd-mum-bol', 'RADIUS Client MT1');
Query OK, 1 row affected (0.08 sec)
mysql> INSERT INTO `radcheck` (username, attribute, op, value)
-> VALUES
-> ('bohorquezf', 'Cleartext-Password', ':=', '123456'),
-> ('user1', 'Cleartext-Password', ':=', 'pwduser2'),
-> ('user2', 'Cleartext-Password', ':=', 'pwduser2');
Query OK, 3 rows affected (0.19 sec)
Records: 3 Duplicates: 0 Warnings: 0
mysql> quit
Configuración en Mikrotik
Config Mikrotik (cont…)
Contabilización (Accounting)
Windows Server
Active Directory (AD)
• Implementación Servicio de Directorio de
Microsoft
• Protocolos: LDAP, DNS, DHCP, Kerberos,
Radius.
• Administra inicios de sesión y políticas de
acceso en una red Mikrosoft.
• Servicio de Acceso y Directivas de Redes: NPS
(Network Policy Server)
Implementación WPA EAP con AD
• Añadir AD y Domain Services + DNS y configurar OUs, Groups,
Users, etc.
• Añadir rol de NPS (Network Policy and Access Services) y
ADCS (Active Directory Certificate Services)
• Configurar Certificate Services y crear certificados
• Configurar NPS:
•
•
•
• Configurar Mikrotik AP
• Configurar los Clientes
+ Clientes Radius
Definir Tipo de Autenticación Cert, EAP, PEAP.
Especificar grupos de acceso a red wireless
Configurar NPS
Configuración Mikrotik
Config Mikrotik (cont…)
Gracias.
Referencias
• Seguridad de redes Inalámbricas, Eng. Wardner Maia, MUM Argentina Sep
7-8,2007
• Seguridad Wi-Fi WEP, WPA y WPA2, Guillaume Lehembre, hakin9 Nº
1/2006
• Wikipedia:
https://en.wikipedia.org/wiki/IEEE_802.1X
• FreeRADIUS Beginner's Guide, Dirk van der Walt, Published by Packt
Publishing Ltd., Livery Place, ISBN 978-1-849514-08-8
Comentarios de: Mikrotik Wireless WPA2 EAP (0)
No hay comentarios