Radius

Este es un manual de cómo instalar, configurar freeradius y Windows XP con WEP. Aunque existen varias formas de autenticación voy a utilizar una de ellas (EAP con PEAP con mschapv2). Explicaré con detalle lo que he utilizado y como para que así os funcione seguro, pondré exactamente lo que utilizado. Es la forma que a mi me a funcionado no soy ningún experto ni muchísimo menos, este manual estaabierto a cambios y mejoras. Lo he instalado en Whoppix 2.7.1, y el tipo de autenticación es EAP con PEAP con mschapv2 sin certificado. ---------------------------------------------------------------------------------------------1. Instalación del freeradius 2. Configuración del punto del AP 3. Configuración del freeradius 4. Configuración de los clientes Windows XP, para autenticar en freeradius------------------------------------------------------------------------------------------------------------------------

1- Instación el freeradius Yo he utilizado este freeradius-1.0.4.tar.gz, http://www.freeradius.org/getting.html. Para configurar e instalar: ./configure make make install Con esto lo tenemos instalado en mi caso por defecto en usr/local/etc/raddb/ también podéis descargarlo de2- Configuración del AP En mi caso tengo un Seano SL-3054CB3 Plus (Deluxe). Este paso es el mas sencillo, seleccionamos 802.1x , e introducimos la ip del servidor radius, osea donde hemos instalado el freeradius, en mi caso 192.168.0.87 ,el secreto que compartirán en un futuro (luego se utiliza en clients.conf) en mi caso "misecreto", aunque acepta varios puertos yo tengo el 1812. Os dejo unaimagen.

Otra cosilla a tocar es el WEP o WPA como dije antes yo utilizaré WEP que aunque es menos seguro que WPA, si juntamos WEP + freeradius y si tenemos nosotros alguna cosilla mas pues ya esta bastante decente. Con lo cual nos situamos en nuestro ap sobre WEP y lo configuramos, seleccionamos el tipo de clave, cuando mas alta mas segura, o sea metemos 128, escribimos la clave, en mi caso alser hex digits, meto 26 numeritos que van desde el 0 al 15, también existe la posibilidad que sean 13 caracteres seleccionando 128 bit (13 ascii chars) .

3- Configuracion de freeradius Tenemos que toquear 4 ficheros, | radiusd.conf | users | clients.conf | eap.conf , los encontraremos en /usr/local/etc/raddb/ Fichero radiusd.conf: Encontrareis "#with_ntdomain_hack = no" yo la he puesto a"with_ntdomain_hack = yes" (y sin la #), encontrareis 2 etiquetas como esta en el fichero poner las 2 igual. En el fichero users Como dije antes hay muchas maneras de autenticar, usuarios que existan en el sistema, utilizando base de datos, escribiendo en user y pass en este fichero etc., En mi caso he utilizado lo mas sencillo, escribir un user y pass a mano en este fichero, la forma que lo herealizado es : "curso" User-Password == "654321" (aquí las comillas si se ponen). Donde curso es el usuario a autenticar y 654321 sería la contraseña.

Fichero clients.conf: Aquí es donde damos de "alta" los puntos de acceso, es tan sencillo como escribir la ip del ap y el secreto que es la palabra que comparten el ap y el frerradius, con un ejemplo mejor. Tenemos un ap con la ip 192.168.0.3 y lapalabra secreta para ese ap es "misecreto" que es la que hemos puesto hace un rato en el ap. pues... client 192.168.0.3 { secret = misecreto shortname = senao } Shortname poner lo que queráis, yo he puesto el nombre de mi ap.Y así de simple vamos dando de "alta" los ap's que quieran autenticar contra nuestro radius. Fichero eap.conf: De este fichero modificamos un par de cosas para que puedaautenticar introduciendo un user y un pass, quedaría así: tls { private_key_password = whatever private_key_file = ${raddbdir}/certs/cert-srv.pem # If Private key & Certificate are located in # the same file, then private_key_file & # certificate_file must contain the same file # name. certificate_file = ${raddbdir}/certs/cert-srv.pem # Trusted Root CA list CA_file = ${raddbdir}/certs/demoCA/cacert.pem...