Red WiFi Enterprise con LliureX Ramón Onrubia Pérez ronrubia@fpmislata.com
Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro
Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro
Contraseñas PSK vs Identidades Las contraseñas compartidas (PSK) usadas en WEP y WPA Personal son sencillas de utilizar pero otorgan mismo nivel de acceso a todos. Si se compromete la contraseña compartida, cualquiera puede acceder a la red. No se dispone de información de uso personalizada por usuario (accounting). Hay muchas técnicas para comprometer contraseñas compartidas.
Acceso mediante identidades Las identidades permiten crear usuarios o grupos con distinto nivel de acceso. Los usuarios se identifican mediante sus credenciales que normalmente son usuario/contraseña o certificados digitales. Beneficios de este sistema: Si se compromete un usuario, no se compromete todo el sistema. Existen distintos niveles de autorización. Monitorización de uso por usuario. Permiten implantar triple A : authentication, authorization and accounting.
Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro
Seguridad Enterprise Class : 802.1X/EAP Solución de seguridad idónea actualmente. WPA se diseñó inicialmente así. Utilizado normalmente en entornos con muchos usuarios. También se usa en redes cableadas. Elementos de 802.1X: Solicitante (supplicant) Autenticador Servidor de autenticación (RADIUS + LDAP Active Directory SQL Lo que se nos ocurra)
Seguridad Enterprise Class : 802.1X/EAP
EAP: Extensible Authentication Protocol Framework para autenticación en redes. Está basado en el protocolo PPP. Funciona sobre otros protocolos: 802.1X (EAPOL) o RADIUS (EAPOR). Protocolo flexible que permite distintos mecanismos de autenticación: EAP-PEAP EAP-TLS (con PKI) EAP-MD5 EAP-GTC EAP-SIM LEAP, EAP-FAST (Cisco)
Protocolo RADIUS Remote Authentication Dial In User Service (RADIUS) es un protocolo de autenticación centralizado que soporta AAA (Autenticación, Autorización y Contabilidad) para controlar el acceso y la facturación de los servicios de red utilizados por los usuarios. Desarrollado por la empresa Livingston Enterprises, se convirtió en un estándar de la IETF.
Protocolo RADIUS Tiene tres componentes: Protocolo de aplicación sobre UDP Servidor Cliente Es ampliamente usado por los ISP para controlar el acceso de sus usuarios a la red mediante módems, ADSL, VPN's, etc. El RADIUS puede autenticar contra un fichero de texto, una base de datos SQL, un servidor LDAP/AD, Kerberos, etc.
A.A.A. Triple A (o AAA) permite realizar la autenticación, autorización y contabilidad en los servicios de red utilizados por los usuarios RADIUS, DIAMETER y TACACS soportan AAA La autenticación es el proceso de identificación del usuario mediante sus credenciales (usuario/contraseña, certificado digital, etc). Puede utilizar esquemas de autenticación como PAP, CHAP o EAP
A.A.A. La autorización es el proceso en que se da permiso al usuario a utilizar un recurso. Puede incluir en la respuesta atributos como: Dirección IP a usar Tiempo máximo de conexión del usuario VLAN a la que pertenece el usuario, etc La contabilidad lleva un registro sobre el uso que hace el usuario del servicio: inicio y fin de sesión, bytes transferidos, tiempo de conexión, etc.
Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro
Configuración Wi-Fi enterprise con Lliurex Consideraciones previas: Lo que se presenta aquí es una receta manual para conectar la wifi del centro con los usuarios de LliureX/ITACA. Próximamente desde LliureX se desarrollará un paquete de configuración automática del RADIUS en el servidor LliureX, como en otros servicios de red. El protocolo de autenticación utilizado es EAP-PEAP que es el más soportado en todas las plataformas: esta configuración se ha testado en Windows, GNU/Linux, Mac OS X, Android y Windows Phone funcionando en todas ellas.
Configuración Wi-Fi enterprise con Lliurex Ingredientes: Servidor LliureX con usuarios en Samba/LDAP. LliureX nos lo da todo hecho, únicamente falta importar usuarios de ITACA y/o crear nuevos con LLUM. Servidor freeradius (el más usado en el mundo, no lo digo yo, lo dice Chicote...). Punto(s) de acceso compatible(s) 802.1x (cualquier fabricante prácticamente). Ganas de ponerse a ello (el requisito más importante porque nadie nos va a pagar más por hacerlo).
1. Instalación freeradius El primer paso es instalar el servidor freeradius. No tiene porque ser en el propio LliureX. En caso de hacerlo en LliureX o un servidor derivado de Debian, como root: apt-get update apt-get install freeradius freeradius-utils
2. Configuración freeradius Todos los pasos estando como root en el servidor con freeradius: Editar /etc/freeradius/eap.conf: En la sección eap {} del fichero, indicar default_eap_type=peap
2. Configuración freeradius Editar /etc/freeradius/modules/mschap: En la sección mschap {} del fichero, indicar lo siguiente:
2. Configuración freeradius Editar /etc/freeradius/modules/ldap: En la sección ldap {} indicamos dirección IP del servidor Lliurex (puede ser localhost si es el mismo servidor) y los parámetros de conexión al servidor LDAP con el usuario netadmin (en un futuro se proporcionará desde LliureX un usuario con menos provilegios):
2. Configuración freeradius...continúa de /etc/freeradius/modules/ldap: Indicamos que vamos a usar TLS (cifrado) con el servidor LDAP, más abajo en la subsección tls {} dentro de ldap {}: Nota: se omiten las directivas de verificación del certificado del servidor LDAP LliureX por simplificar pero por seguridad es conveniente indicarlas.
2. Configuración freeradius Editar /etc/freeradius/sites-available/default e inner-tunnel: Habilitamos autorización y autenticación por ldap descomentando las siguientes líneas en ambos ficheros:
2. Configuración freeradius Editar /etc/freeradius/clients.conf: Hay que dar de alta todos los puntos de acceso que vayamos a usar (son los autenticadores, clientes para el radius): Se pueden dar de alta los AP uno a uno o......o indicar una red donde se encuentran todos..
3. Rearrancar radius Reiniciamos el servidor con: /etc/init.d/freeradius restart o service freeradius restart Y cruzamos los dedos... Si todo ha ido bien y no ha habido errores de sintaxis (típico al editar ficheros) no quiere decir que funcione, hay que testear...
4. Testear radius Desde el propio servidor radius testeamos un usuario: radtest usuario contraseña 127.0.0.1 0 testing123 Donde usuario/contraseña es el usuario de LliureX/ITACA que queremos testear. Si ha ido bien, por pantalla veremos rad_recv: Access-Accept. Si tarda en responder o da un Access-Reject, hay que revisar la configuración y ejecutar en modo debug. Para ello paramos el servidor radius y lo arrancamos como root manualmente desde consola con: radiusd -X Y vemos la causa de los errores y los mensajes por consola al volver a realizar la autenticación con radtest.
Contenidos Contraseñas PSK vs Identidades Seguridad Enterprise Class : 802.1X/EAP Configuración Wi-Fi con LliureX Red Wi-Fi unificada de centro
Gestión wifi unificada Problema wifi heterogénea, difícil gestión Configuración centralizada con controlador Soporte de múltiple SSID por AP Acceso con WPA2 Enterprise con RADIUS Detección de rogue AP's (AP's falsos) Mejora del roaming BSSID virtual
Situación de partida AP's standalone, con configuración distribuida e independiente Cada AP de distintos fabricantes Dificultad de gestión con muchos AP's No hay integración en el funcionamiento ni en la gestión de los AP Problemas para crear varios SSID No hay detección de rogue AP's, virtual BSSID, etc Extended Service Set (ESS)
Wifi Unificada AP's ligeros, con configuración centralizada y gobernados por controlador Fabricante Ubiquity, UAP LR Calidad/precio muy buena Alimentados por Ethernet (PoE) Facilidad de gestión y escalabilidad Despliegue de configuración a cientos o miles de AP's Múltiple SSID VLAN por SSID Ajuste automático de canales Detección de rogue AP's, virtual BSSID, Zero Handoff, etc 802.1Q + PoE 802.1Q + PoE UNIFI CONTROLLER AP 1 AP 2 AP N 802.1Q + PoE
Virtual BSSID o Virtual Cell Con la versión 3.X.X del firmware En vez de varios AP con diferentes BSSID, la red se presenta al cliente como un gran AP con un sólo BSSID y un gran radio de cobertura Celda Virtual Ventaja: no hay roaming Zero Handoff No hay cortes en sesiones VoIP, descargas, etc BSSID 1 BSSID VIRTUAL BSSID 2 BSSID 3
Redes Wifi independientes rosa_dels_vents Red abierta con portal cautivo Acceso con cuentas del centro (Moodle) Acceso solo a Internet Sólo para alumnos e invitados fpmislata Protegida con WPA2 Enterprise Acceso con cuentas del centro (Moodle) Acceso a todos los recursos Sólo para profesores fpmislataalumnos WPA2 Enterprise Acceso con cuentas del centro (Moodle) Acceso sólo Internet y recursos de alumnos internos Sólo para alumnos rosa_dels_vents RADIUS fpmislata fpmislataalumnos PORTAL CAUTIVO
Controlador Wifi - Mapa
Controlador Wifi - Cobertura
Controlador Wifi AP's
Controlador Wifi Rendimiento
Detección AP's falsos
Controlador Wifi Usuarios
Controlador Wifi Estadísticas
Controlador Wifi Alertas
Controlador Wifi Notificaciones
Muchas gracias por la atención