Red WiFi Enterprise con LliureX. Ramón Onrubia Pérez

Documentos relacionados
INTRODUCCIÓN A RADIUS

Leonardo Bernal Bueno

Punto 6 Servidores de Acceso. Remoto. Juan Luis Cano

RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementan sus propios dialectos.

802.1x de la configuración - PEAP con FreeRadius y el WLC 8.3

FREERADIUS EN LLIUREX

Ejemplo de configuración local de la autenticación Web del portal del invitado del Identity Services Engine

Estudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez

Redes inalámbricas. red inalámbrica

Configuración RADIUS para el servidor de Windows 2008 NP - WAAS AAA

UCLM campus 11n. Área de Tecnologías de la Información y las Comunicaciones. UCLM campus 11n. Córdoba, noviembre 2010

SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López

Re d WIFI de la Univ e rs idad de l País Vas co UPV/ EHU

Manual de uso de redes WIFI en el CAU_CE

Wireless WPA2 EAP en Mikrotik

Diseño e Implementación de un HotSpot-In-a-Box

Seguridad en WLAN. Eduardo Jacob

WPA + EAP-TLS + RADIUS Aplicado

El dominio de red inalámbrica mantiene el AP como ejemplo de la configuración de servidor AAA

UD 3: Implantación de técnicas de acceso remoto. Seguridad perimetral SAD

Red Inalámbrica. Fco. Javier Fernández Landa. Universidad Pública de Navarra

CONFIGURACIÓN EN CLIENTES WINDOWS 10

WPA+EAP-TLS+FreeRADIUS

Red Inalámbrica segura: WPA x/EAP-TTLS + FreeRADIUS + OpenLDAP. Alejandro Valdés Jimenez Universidad de Talca


SERVIDORES DE ACCESO REMOTO

Seguridad 101. Daniel

Guía de configuración de la versión 1.02 del EAP-FAST

UD 3: Implantación de técnicas de acceso remoto. Seguridad perimetral SAD

Configurar el TACACS+, el RADIUS, y el Kerberos en el Switches del Cisco Catalyst

Servidor RADIUS. Índice

Manual de Usuario para el acceso a la red Eduroam

Guía de Conexión Usuarios Wi-Fi Comunidad UIS Universidad Industrial de Santander División de Servicios de Información

RADIUS AUTENTICACIÓN, AUTORIZACIÓN Y CONTABILIDAD. Carlos Pallardó Ávila Pablo Dafonte Iglesias

CONFIGURACIÓN EN CLIENTES WINDOWS 7

CONFIGURACIÓN EN CLIENTES WINDOWS 8.1

Manual de Usuario para el acceso a las red EPN-LA100

índice INTRODUCCIÓN...15

WLC con los ejemplos de configuración de la autenticación Idap para el 802.1x y el Red-auth WLAN

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

Lightweight Access Point de la configuración como supplicant del 802.1x

edurogue Captura de credenciales de usuario de clientes IEEE 802.1X mal configurados

Ejemplo de configuración local de la autenticación Web del portal del invitado del Identity Services Engine

SSID eduroam. Configuración en Windows XP.

Instalación y configuración del cliente AEGIS para PALM

Un punto de acceso que soporte seguridad RADIUS (en nuestro caso, hemos utilizado el siguiente modelo de punto de acceso

SERVIDORES DE ACCESO REMOTO

Contenido. Introducción

Capítulo IV. Implementación de la autenticación usando CHAP.

Seguridad en WiFi. Introducción a la Seguridad WiFi 05/06/2013

Registrador de Temperatura con Sensor Externo H Guía de Requerimientos

ESTE proyecto consiste en el análisis, diseño e implementación

CAPsMAN gestionando todas las WiFi de un ISP

Luis Villalta Márquez

Servicio de Informática

Nuevos protocolos de seguridad en redes Wi-Fi

IPS 7.X: Autenticación de ingreso del usuario al sistema usando ACS 5.X como ejemplo de la configuración de servidor de RADIUS

Gestión de invitados para la red inalámbrica (EHU-wGuest).

INSTALACIÓN Y CONFIGURACIÓN DE UN SERVIDOR RADIUS

Versión 28/02/11 aplicación transporte red Redes Privadas enlace física

RADIUS. Andrade Fossi Cleiver Fabian Cod: Mora Mendez Manuel Fabricio Cod:

VIRTUAL PRIVATE NETWORK (VPN)

WPA vs WPA2. Ana Hernández Rabal

Estándar IEEE IEEE

UCWIFI en WINDOWS 8-10 para Estudiantes

Guía de Inicio Rápido

Integración del sistema de FireSIGHT con ACS 5.x para la autenticación de usuario de RADIUS

Infraestructura de red WI-FI

Configure la autenticación del 802.1x con el 2.1 y el WLC 8.3 PEAP, ISE

Redes y Servicios de Radio. Escuela Superior de Ingenieros Quinto Ingeniería de Telecomunicación

Instrucciones de configuración del acceso remoto (VPN) de la UCLM para Windows, Mac y Linux

Router del Cisco IOS: Local, TACACS+ y autenticación de RADIUS del ejemplo de configuración de la conexión HTTP

Manual de configuración de VPN. Grupo Comunicaciones Unificadas Servicio de Infraestructura Tecnológica

INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO VPN

Jump Start ManageEngine Asset Explorer

La integración del ACS versión 5.4 con Motorola se va volando el ejemplo de configuración 5.X (AP)

Seguridad en Wireless. CCNP Everardo Huerta Sosa

Soluciones de la seguridad de la red del Cisco Unified Wireless

CCNA WIRELESS. Capítulo 1:

Ejemplo de configuración del hotspot de la versión 1.3 ISE

UNIVERSIDAD TÉCNICA DEL NORTE

Verifique la Conectividad del servidor de RADIUS con el comando de la prueba RADIUS AAA

Introducción. Introducción. Seguridad y Alta Disponibilidad Virtual Private Networks. Definición:

Configurar el v3.2 del Cisco Secure ACS for Windows con la autenticación de la máquina PEAP-MS-CHAPv2

Cisco recomienda que usted tiene experiencia con la configuración ISE y el conocimiento básico de estos temas:

Herramienta Intel(R) de diagnóstico para redes inalámbricas

Práctica A.S.O: Logmein

a) REDES INALÁMBRICAS: WPA Personal.

Javier Herranz Expósito 27/04/16 TEMA 7: WIFI Y VPN

Redes de Área Local Inalámbricas

Guía de conexión a la VPN de ETSIINF-UPM Ubuntu 16.04

Diseño de LAN inalámbricas. Diseño de LAN inalámbricas. Consideraciones de diseño. Administración de estas redes. Contenido. Redes Inalámbricas

ADMÓN. DE SISTEMAS EN RED

Gestión incidencias WiFi en Centros: plataformas Juniper RingMaster y CiscoPrime

I. Conexión RII-UG. A continuación, se describen los pasos para conectarse a la red inalámbrica RII-UG en equipos Windows 10.

Introducción. Configuración red wifi en la URJC

IEEE 802.3, 802.3u Ethernet IEEE 802.3x Flow Control IEEE 802.3af Power over Ethernet (PoE) Auto-sensing MDI/MDI-X

Flujo del invitado de la configuración con ISE 2.0 y el WLC de Aruba

Requisitos del sistema para Qlik Sense. Qlik Sense June 2018 Copyright QlikTech International AB. Reservados todos los derechos.

Transcripción:

Red WiFi Enterprise con LliureX Ramón Onrubia Pérez ronrubia@fpmislata.com

Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro

Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro

Contraseñas PSK vs Identidades Las contraseñas compartidas (PSK) usadas en WEP y WPA Personal son sencillas de utilizar pero otorgan mismo nivel de acceso a todos. Si se compromete la contraseña compartida, cualquiera puede acceder a la red. No se dispone de información de uso personalizada por usuario (accounting). Hay muchas técnicas para comprometer contraseñas compartidas.

Acceso mediante identidades Las identidades permiten crear usuarios o grupos con distinto nivel de acceso. Los usuarios se identifican mediante sus credenciales que normalmente son usuario/contraseña o certificados digitales. Beneficios de este sistema: Si se compromete un usuario, no se compromete todo el sistema. Existen distintos niveles de autorización. Monitorización de uso por usuario. Permiten implantar triple A : authentication, authorization and accounting.

Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro

Seguridad Enterprise Class : 802.1X/EAP Solución de seguridad idónea actualmente. WPA se diseñó inicialmente así. Utilizado normalmente en entornos con muchos usuarios. También se usa en redes cableadas. Elementos de 802.1X: Solicitante (supplicant) Autenticador Servidor de autenticación (RADIUS + LDAP Active Directory SQL Lo que se nos ocurra)

Seguridad Enterprise Class : 802.1X/EAP

EAP: Extensible Authentication Protocol Framework para autenticación en redes. Está basado en el protocolo PPP. Funciona sobre otros protocolos: 802.1X (EAPOL) o RADIUS (EAPOR). Protocolo flexible que permite distintos mecanismos de autenticación: EAP-PEAP EAP-TLS (con PKI) EAP-MD5 EAP-GTC EAP-SIM LEAP, EAP-FAST (Cisco)

Protocolo RADIUS Remote Authentication Dial In User Service (RADIUS) es un protocolo de autenticación centralizado que soporta AAA (Autenticación, Autorización y Contabilidad) para controlar el acceso y la facturación de los servicios de red utilizados por los usuarios. Desarrollado por la empresa Livingston Enterprises, se convirtió en un estándar de la IETF.

Protocolo RADIUS Tiene tres componentes: Protocolo de aplicación sobre UDP Servidor Cliente Es ampliamente usado por los ISP para controlar el acceso de sus usuarios a la red mediante módems, ADSL, VPN's, etc. El RADIUS puede autenticar contra un fichero de texto, una base de datos SQL, un servidor LDAP/AD, Kerberos, etc.

A.A.A. Triple A (o AAA) permite realizar la autenticación, autorización y contabilidad en los servicios de red utilizados por los usuarios RADIUS, DIAMETER y TACACS soportan AAA La autenticación es el proceso de identificación del usuario mediante sus credenciales (usuario/contraseña, certificado digital, etc). Puede utilizar esquemas de autenticación como PAP, CHAP o EAP

A.A.A. La autorización es el proceso en que se da permiso al usuario a utilizar un recurso. Puede incluir en la respuesta atributos como: Dirección IP a usar Tiempo máximo de conexión del usuario VLAN a la que pertenece el usuario, etc La contabilidad lleva un registro sobre el uso que hace el usuario del servicio: inicio y fin de sesión, bytes transferidos, tiempo de conexión, etc.

Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro

Configuración Wi-Fi enterprise con Lliurex Consideraciones previas: Lo que se presenta aquí es una receta manual para conectar la wifi del centro con los usuarios de LliureX/ITACA. Próximamente desde LliureX se desarrollará un paquete de configuración automática del RADIUS en el servidor LliureX, como en otros servicios de red. El protocolo de autenticación utilizado es EAP-PEAP que es el más soportado en todas las plataformas: esta configuración se ha testado en Windows, GNU/Linux, Mac OS X, Android y Windows Phone funcionando en todas ellas.

Configuración Wi-Fi enterprise con Lliurex Ingredientes: Servidor LliureX con usuarios en Samba/LDAP. LliureX nos lo da todo hecho, únicamente falta importar usuarios de ITACA y/o crear nuevos con LLUM. Servidor freeradius (el más usado en el mundo, no lo digo yo, lo dice Chicote...). Punto(s) de acceso compatible(s) 802.1x (cualquier fabricante prácticamente). Ganas de ponerse a ello (el requisito más importante porque nadie nos va a pagar más por hacerlo).

1. Instalación freeradius El primer paso es instalar el servidor freeradius. No tiene porque ser en el propio LliureX. En caso de hacerlo en LliureX o un servidor derivado de Debian, como root: apt-get update apt-get install freeradius freeradius-utils

2. Configuración freeradius Todos los pasos estando como root en el servidor con freeradius: Editar /etc/freeradius/eap.conf: En la sección eap {} del fichero, indicar default_eap_type=peap

2. Configuración freeradius Editar /etc/freeradius/modules/mschap: En la sección mschap {} del fichero, indicar lo siguiente:

2. Configuración freeradius Editar /etc/freeradius/modules/ldap: En la sección ldap {} indicamos dirección IP del servidor Lliurex (puede ser localhost si es el mismo servidor) y los parámetros de conexión al servidor LDAP con el usuario netadmin (en un futuro se proporcionará desde LliureX un usuario con menos provilegios):

2. Configuración freeradius...continúa de /etc/freeradius/modules/ldap: Indicamos que vamos a usar TLS (cifrado) con el servidor LDAP, más abajo en la subsección tls {} dentro de ldap {}: Nota: se omiten las directivas de verificación del certificado del servidor LDAP LliureX por simplificar pero por seguridad es conveniente indicarlas.

2. Configuración freeradius Editar /etc/freeradius/sites-available/default e inner-tunnel: Habilitamos autorización y autenticación por ldap descomentando las siguientes líneas en ambos ficheros:

2. Configuración freeradius Editar /etc/freeradius/clients.conf: Hay que dar de alta todos los puntos de acceso que vayamos a usar (son los autenticadores, clientes para el radius): Se pueden dar de alta los AP uno a uno o......o indicar una red donde se encuentran todos..

3. Rearrancar radius Reiniciamos el servidor con: /etc/init.d/freeradius restart o service freeradius restart Y cruzamos los dedos... Si todo ha ido bien y no ha habido errores de sintaxis (típico al editar ficheros) no quiere decir que funcione, hay que testear...

4. Testear radius Desde el propio servidor radius testeamos un usuario: radtest usuario contraseña 127.0.0.1 0 testing123 Donde usuario/contraseña es el usuario de LliureX/ITACA que queremos testear. Si ha ido bien, por pantalla veremos rad_recv: Access-Accept. Si tarda en responder o da un Access-Reject, hay que revisar la configuración y ejecutar en modo debug. Para ello paramos el servidor radius y lo arrancamos como root manualmente desde consola con: radiusd -X Y vemos la causa de los errores y los mensajes por consola al volver a realizar la autenticación con radtest.

Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro

Gestión wifi unificada Problema wifi heterogénea, difícil gestión Configuración centralizada con controlador Soporte de múltiple SSID por AP Acceso con WPA2 Enterprise con RADIUS Detección de rogue AP's (AP's falsos) Mejora del roaming BSSID virtual

Situación de partida AP's standalone, con configuración distribuida e independiente Cada AP de distintos fabricantes Dificultad de gestión con muchos AP's No hay integración en el funcionamiento ni en la gestión de los AP Problemas para crear varios SSID No hay detección de rogue AP's, virtual BSSID, etc Extended Service Set (ESS)

Wifi Unificada AP's ligeros, con configuración centralizada y gobernados por controlador Fabricante Ubiquity, UAP LR Calidad/precio muy buena Alimentados por Ethernet (PoE) Facilidad de gestión y escalabilidad Despliegue de configuración a cientos o miles de AP's Múltiple SSID VLAN por SSID Ajuste automático de canales Detección de rogue AP's, virtual BSSID, Zero Handoff, etc 802.1Q + PoE 802.1Q + PoE UNIFI CONTROLLER AP 1 AP 2 AP N 802.1Q + PoE

Virtual BSSID o Virtual Cell Con la versión 3.X.X del firmware En vez de varios AP con diferentes BSSID, la red se presenta al cliente como un gran AP con un sólo BSSID y un gran radio de cobertura Celda Virtual Ventaja: no hay roaming Zero Handoff No hay cortes en sesiones VoIP, descargas, etc BSSID 1 BSSID VIRTUAL BSSID 2 BSSID 3

Redes Wifi independientes rosa_dels_vents Red abierta con portal cautivo Acceso con cuentas del centro (Moodle) Acceso solo a Internet Sólo para alumnos e invitados fpmislata Protegida con WPA2 Enterprise Acceso con cuentas del centro (Moodle) Acceso a todos los recursos Sólo para profesores fpmislataalumnos WPA2 Enterprise Acceso con cuentas del centro (Moodle) Acceso sólo Internet y recursos de alumnos internos Sólo para alumnos rosa_dels_vents RADIUS fpmislata fpmislataalumnos PORTAL CAUTIVO

Controlador Wifi - Mapa

Controlador Wifi - Cobertura

Controlador Wifi AP's

Controlador Wifi Rendimiento

Detección AP's falsos

Controlador Wifi Usuarios

Controlador Wifi Estadísticas

Controlador Wifi Alertas

Controlador Wifi Notificaciones

Muchas gracias por la atención

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback