Seguridad Avanzada Remote Access Dial In User Service versión Freeradius 2.1.12 Remote Access Dial-In User Service Índice de contenidos: (1) Introducción (2) Especificaciones y operación (3) Aplicaciones (4) Desarrollos: u Consideraciones iniciales u Instalación y configuración de Freeradius u A) Freeradius+PEAP con usuarios en fichero u B) Freeradius+PEAP/MS-CHAPv2 + MYSQL (5) Referencias Seguridad Avanzada / Servicio de autorización de usuarios para acceso remoto RADIUS -2- (1) Introducción l l l l RADIUS provee arquitectura AAA (Authentication, Authorization, Accounting) para redes de acceso dialup (NAS), VPN, acceso inalámbrico (p.e. EDUROAM) o switches Ethernet (p.e. CISCO 2950) entre otros. Desarrollado originalmente por Livingston Enterprises para sus Servidores de Acceso a la Red (NAS). El protocolo RADIUS actualmente está definido en los RFC 2865 (autentificación y autorización) y 2866 (manejo de sesiones). Propósito es diferenciar, identificar y contabilidad (permite cobros por uso – billing) de usuarios. -3- (2) Especificaciones y operación (1/8) Características de la arquitectura AAA: l l l l Soporta gran número de usuarios y consultas simultáneas; y cientos de dispositivos. Provee mecanismo de respaldo, ante un fallo de comunicación con el servidor AAA primario. Dispone un mecanismo de autenticación cliente/servidor. Requiere autenticación, protección integral y confidencialidad de la Capa de Transporte. l Política de no modificación del paquete original. l Permite el transporte de certificados. l Permite servicio de seguridad subyacente como IPsec. l Es extensible a otros usos (RADIUS RFC 2869). -4- (2) Especificaciones y operación (2/8) Características del protocolo RADIUS (1/3): l Administración centralizada de usuarios. l Modelo cliente/servidor: u u u NAS opera como cliente RADIUS, pasado la petición de conexión del usuario al servidor designado. Servidor RADIUS responsable de autenticar al usuario y enviar respuesta con información de configuración. Como cliente proxy de otros servidores RADIUS (ISP). Mensajes enviados por UDP (User Datagram Protocol): Puerto UDP 1812 usado para mensajes de autenticación. u Puerto UDP 1813 para mensajes de cuentas. u Originalmente se usaron UDP 1645/1646. u -5- (2) Especificaciones y operación (3/8) Características del protocolo RADIUS (2/3): l Seguridad: u Transacciones cliente/servidor RADIUS autenticadas por un secreto compartido: Para comprobar que los mensajes RADIUS son enviados por un dispositivo compatible y la integridad de los mismos. También se utiliza para cifrar algunos de los atributos RADIUS, como UserPassword y Tunnel-Password. u Mismo secreto compartido, que distingue mayúsculas y minúsculas, en ambos dispositivos RADIUS; y diferente en cada par cliente/ servidor. Nunca se transfiere a través de la red. u Debe ser aleatorio, con una secuencia aleatoria de mínimo 22 caracteres (utilizar cualquier carácter alfanumérico o especial estándar) y máximo 128 caracteres de longitud. u -6- (2) Especificaciones y operación (4/8) Características del protocolo RADIUS (3/3): l Métodos de autenticación flexibles: l PAP (Password Authentication Protocol): Protocolo simple de autenticación de un usuario contra un servidor de acceso remoto (sub-protocolo usado por la autenticación del protocolo PPP). Contraseñas en ASCII sin cifrar (inseguro), se usa como último recurso. l CHAP (Challenge Handshake Authentication Protocol): Protocolo de autenticación por desafío mutuo, usado por servidores accesibles vía PPP. Verifica periódicamente la identidad del cliente remoto usando un intercambio de información de tres etapas. Verificación basada en un secreto compartido, requiere que el cliente mantenga el secreto disponible en texto plano. u EAP (Extensible Authentication Protocol): Estructura de soporte para modernos mecanismos de autenticación (EAP-MD5, EAP-TLS, EAP-TTL, EAP-TTLS, LEAP, PEAP) -7- (2) Especificaciones y operación (5/8) Formato de paquete: l Code (1 byte): Contiene el tipo de comando/respuesta RADIUS l Identifier (1 byte): Usado para relacionar comandos y respuestas l Length (2 bytes): Longitud del paquete l l Authenticator (4 bytes): Usado para autenticar la respuesta del servidor RADIUS, y usado por el algoritmo de encubrimiento de contraseña. Attributes: Nº arbitrario de atributos, los únicos obligatorios: User-Name (usuario) y User-Password (contraseña). -8- (2) Especificaciones y operación (6/8) Operación: Access-Request (solicitud de acceso) Servidor de acceso a la red Información Usuario autenticación (NAS) Cliente RADIUS Access-Challenge (desafío de acceso) Access-Request (solicitud de acceso) Servidor RADIUS BD Usuarios Métodos de autenticación PAP, CHAP, EAP Access-Accept (acceso aceptado) Access-Reject (acceso denegado) Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS -9- (2) Especificaciones y operación (7/8) Método de autenticación EAP Protegido (PEAP): http://www.cisco.com - 10 - (2) Especificaciones y operación (8/8) Método de autenticación EAP Protegido (PEAP): - 11 - (3) Aplicaciones l Acceso líneas conmutadas: - l Redes Wireless: - l Muy útil para los ISP de acceso telefónico. Estándar 802.1X (http://tools.ietf.org/html/rfc3580) VoIP: - Radius permite controlar la seguridad del acceso a datos. - También permite informes para realizar la tarificación en consecuencia. l VPN (Virtual Private Network) l Autenticación de servicios: - Acceso web, servicio de correo electrónico, acceso remoto... - 12 - (4) Desarrollo Consideraciones iniciales: l Desarrollos orientados a conocer las posibilidades del servicio RADIUS: - l servicio de autenticación para 802.1x (PEAP) - (A) Usuarios y clientes en archivos (users, clients.conf) - (B) Usuarios y clientes en BD MYSQL. Características configurables: - Servidor con Linux Mint 17 (Mate) /Debian 8.4 - Freeradius server 2.1.12 (desde repositorio) - Método de autenticación EAP Protegido (PEAP): l l Esquema de autenticación NAS – servidor RADIUS. Compatibilidad con clientes 802.1x en MS-Windows, Linux y Mac X OS usando MS-CHAPv2. - 13 - (4.A) Desarrollo Instalación en Debian 8.4: * Pon al día el equipo: sudo apt-get update sudo apt-get upgrade *Instala FreeRADIUS software con sus dependencias: aptitude install -y freeradius freeradius-utils freeradius-mysql phpmyadmin mysql-server php5-gd php5-curl php-pear php-db php-mail-mime * Configura FreeRADIUS para usar MySQL como backend database. Instalaremos phpMyAdmin aquí pero es opcional: aptitude install -y phpmyadmin mysql-server php5-gd php5-curl php-pear php-db php-mail-mime - 41 - (4.A) Desarrollo Configuración: l Archivos de configuración localizados en /etc/freeradius: - radiusd.conf: Archivo de configuración principal, contiene numerosos parámetros de configuración comunes y referencias a otros archivos de configuración. - users: Contiene información de autenticación y configuración para cada usuario que puede acceder, en caso de no usar otro método. - clients.conf: Contiene la definición de los clientes RADIUS (NAS) que pueden conectarse al servidor. - sql.conf: Guarda la configuración para el módulo SQL, en el caso de usar una BD como backend para los usuarios de RADIUS. - eap.conf: Contiene información relativa a la configuración del tipo EAP (Extensible Authentication Protocol) elegido para que funcione como protocolo de autenticación. EAP se utilizará como PEAP (Protected EAP). - sites-available/default: Como soporte para servidores virtuales, cada servidor virtual deberá disponer de un archivo que contenga la información de configuración específica del mismo dentro de este directorio. - modules/: Carpeta que contiene archivos de configuración de los distintos módulos de autentificación soportados por Freeradius. - 15 - (4.A) Desarrollo Configuración /etc/freeradius/radiusd.conf:: log { ... #Registra las peticiones de autenticación auth = yes #Registra las passwords de las peticiones de autenticación, #tanto aceptadas como rechazadas. Sólo recomendable a efectos de #depuración auth_badpass = yes auth_goodpass = yes } … proxy_requests = no #La línea siguiente debe ser comentada si 'no' en la anterior #$INCLUDE proxy.conf … - 16 - (4.A) Desarrollo Configuración /etc/freeradius/eap.conf: eap { #Se le dice que use PEAP default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no ... tls { #Certicados se localizan en /etc/freeradius/certs/ certdir = ${confdir}/certs cadir = ${confdir}/certs ... } #Se le dice que use MS-CHAPv2 peap { default_eap_type = mschapv2 ... } mschapv2 { } } - 17 - (4.A) Desarrollo Configuración /etc/freeradius/users y clients.conf: Configuración de /etc/freeradius/users: l Configuramos un usuario de prueba: test Cleartext-Password := “test” Configuración de /etc/freeradius/clients.conf: l Configuraremos un clientee (NAS): #Punto de acceso inalámbrico (AP) client 169.254.2.1{ #Esta clave es el secreto compartido que usará el AP para comunicarse con el servidor RADIUS secret = testing123 shortname = SAV1 } Nota: En el archivo existe un cliente por defecto “localhost” y contraseña “testing123” para pruebas. - 18 - (4.A) Desarrollo Carpeta “Modules”. Contiene los parámetros generales de configuración de los módulos que determinan los tipos de métodos de autenticación activos. Configuración /etc/freeradius/modules/mschap: mschap {#Soporta autenticación MS-CHAP y MS-CHAPv2 #Microsoft Point-to-Point Encryption es un protocolo de #encriptación de datos para el protocolo PPP y enlaces VPN. #Soporta claves de sesión de 40, 56 y 128-bit, que cambian #por paquete. use_mppe = yes require_encryption = yes require_strong = yes #Windows envía un nombre de usuario como DOMINIO\usuario; pero, en la #respuesta al desafío, sólo envía el usuario. Esto provoca un error. with_ntdomain_hack = yes } Recarga de las librerías: #ldconfig - 19 - (4.A) Desarrollo Recarga del servicio Freeradius: #service freeradius restart Recomendación: visualizar en una nueva consola el estado del servidor durante el reinicio mediante el comando: #tail –f /var/log/freeradius/radius.log Prueba de autentificación con el usuario “test”: #radtest test test localhost 1812 testing123 - 20 - (4.A) Desarrollo Resultados de la prueba de autentificación con el usuario “test”: - 21 - (4.B) Desarrollo Instalación de FreeRADIUS + MYSQL (1/2): #apt-get install mysql-server #apt-get install freeradius-mysql #service freeradius restart - 22 - (4.B) Desarrollo Instalación PHPMYADMIN* (opcional) (2/2): #apt-get install apache2 #apt-get install php5 libapache2-mod-php5 #apt-get install libapache2-mod-auth-mysql php5mysql phpmyadmin #service apache2 restart - 23 - (4.B) Desarrollo Configuración /etc/freeradius/radiusd.conf:: log { ... #Registra las peticiones de autenticación auth = yes #Registra las passwords de las peticiones de autenticación, #tanto aceptadas como rechazadas. Sólo recomendable a efectos de #depuración auth_badpass = yes auth_goodpass = yes } … proxy_requests = no #La línea siguiente debe ser comentada si 'no' en la anterior #$INCLUDE proxy.conf … #La línea siguiente debe no aparecer comentada $INCLUDE sql.conf - 24 - (4.B) Desarrollo Configuración /etc/freeradius/eap.conf: eap { #Se le dice que use PEAP default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no ... tls { #Certicados se localizan en /etc/freeradius/certs/ certdir = ${confdir}/certs cadir = ${confdir}/certs ... } #Se le dice que use MS-CHAPv2 peap { default_eap_type = mschapv2 ... } mschapv2 { } } - 25 - (4.B) Desarrollo Carpeta “Modules”. Contiene los parámetros generales de configuración de los módulos que determinan los tipos de métodos de autenticación activos. Configuración /etc/freeradius/modules/mschap: mschap {#Soporta autenticación MS-CHAP y MS-CHAPv2 #Microsoft Point-to-Point Encryption es un protocolo de #encriptación de datos para el protocolo PPP y enlaces VPN. #Soporta claves de sesión de 40, 56 y 128-bit, que cambian por paquete. use_mppe = yes require_encryption = yes require_strong = yes #Windows envía un nombre de usuario como DOMINIO\usuario; pero, en la #respuesta al desafío, sólo envía el usuario. with_ntdomain_hack = yes } Configuración /etc/freeradius/modules/preprocess: mschap { … #Soporta autenticación MS-CHAP y MS-CHAPv2 with_ntdomain_hack = yes … } - 26 - (4.B) Desarrollo Configuración /etc/freeradius/users y clients.conf: Configuración de /etc/freeradius/users: l No es necesario realizar ninguna configuración específica. Configuración de /etc/freeradius/clients.conf * (esta información también puede ir en una tabla de la BD): l l No es necesario realizar ninguna configuración específica. Sólo comprobar que todos los posibles clientes están comentados porque a partir de ahora se registrarán en una tabla de la BD. En el archivo existe un cliente por defecto “localhost” y contraseña “testing123” para pruebas. - 27 - (4.B) Desarrollo Configuración /etc/freeradius/sql.conf (1/2): Configuramos la información de acceso desde Freeradius al servidor de BD (en este tutorial se utilizará el usuario que viene por defecto, pero se recomienda cambiar el usuario y contraseña utilizados para la conexión con la BD). Después deberán usarse estas mismas credenciales durante la creación de la BD “radius”. - 28 - (4.B) Desarrollo Configuración /etc/freeradius/sql.conf (2/2): sql { #Selecciona una BD: mysql, mssql, oracle, postgresql database = "mysql" #Se indica a FreeRADIUS el driver a usar driver = "rlm_sql_${database}" #Información de conexión: #Usamos localhost porque servidor BD y FreeRADIUS son el mismo server = "localhost" login = "radius" password = "radpass" #Nombre de la BD a utilizar excepto para Oracle radius_db = "radius" ... #Habilita la utilización de atributos de grupo read_groups = yes … ¡ } - 29 - (4.B) Desarrollo Configuración Base de Datos de usuario en MYSQL: l l Para mejor comprensión de la BD y facilitar su manejo, disponemos de una interfaz web en la dirección http://dirección_ip_mi_servidor/phpmyadmin Abrir una conexión con MySQL desde shell y crear BD de usuarios: #cd /etc/freeradius/sql/mysql #mysql –uroot –p<password> mysql>create database radius; mysql>grant all privileges on radius.* to radius@localhost identified by 'radpass'; mysql>use radius; l Importar tablas desde la plantilla proporcionada por la instalación: mysql>source schema.sql; mysql>show tables; mysql>quit; - 30 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/default (1/4): authorize { preprocess chap mschap suffix #Se activa protocolo EAP. FILES para que se lea archivo 'users' eap { ok = return } #unix #Puede comentarse porque no se usa autorización del sistema #files #Puede comentarse porque no se usa el archivo 'users' #SQL indica la búsqueda del usuario en una BD según sql.conf sql ... #Si ningún otro módulo toma responsabilidad de autenticación, se usará PAP pap } - 31 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/default (2/4): accounting { … #Los registros serán almacenados en una BD según sql.conf sql } session{ … sql … } post-auth{ … sql … } - 32 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/inner-tunel (3/4): authorize { … sql … } session { … sql … } post-auth{ … sql … } - 33 - (4.B) Desarrollo Configuración /etc/freeradius/sites-available/ (4/4): Nota: Habilitar las consultas SQL sobre la directiva “post-auth” permitirá a Freeradius guardar todos los accesos válidos en la tabla “radpostauth”. Si se realizan pruebas de conexión local con la herramienta “radtest”, las contraseñas se guardarán en claro, sin embargo, si se realizan en equipos remotos por el túne TLS, éstas no aparecen. Recarga de las librerías y reinicia el servidor Freeradius: #ldconfig #service freeradius restart - 34 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (1/6): l Tablas importadas a la BD desde schema.sql: - 35 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (2/6): 1. ¿Existe 'user' en radcheck? user/pass 2. ¿Datos de validación se corresponden? N o 3. ¿read_groups = yes en sql.conf? 4. ¿Existe un entrada para 'user' en radreply? N o 5. ¿Directiva Fall-Through en radreply? 6. ¿Existe 'grupo' en radgroupcheck? 7. ¿No existe correspondencia o directiva Fall-Through en radgroupreply? o ¿no es el último grupo? S í radusergroup by priority S í Respuesta 2 3 4 N o 6 radcheck read_groups = yes N o radgroupcheck Más información: http://wiki.freeradius.org/Rlm_sql 1 S í 5 radreply N o N o radgroupreply S í 7 N o - 36 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (3/6): ATRIBUTOS de FreeRADIUS: Formato de tabla: l Muestra qué atributos aparecen o pueden aparecer en cada tipo de mensaje Radius: l n n n n n 0 indica que el atributo no puede aparecer en el mensaje. 0+ indica que el atributo puede no aparecer o aparecer una o más veces en el mensaje. 0-1 indica que el atributo debe aparecer una sola vez o no aparecer en el mensaje. 1 indica que el atributo debe aparecer una y sólo una vez en el mensaje. 1+ indica que el atributo al menos debe aparecer una vez en el mensaje. Más información: http://www.freeradius.org/rfc/attributes.html - 37 - (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (4/6): l Lista de operadores más frecuentes de FreeRADIUS: - - Atributo = valor - No permitido como operador para atributos de validación (check items). - En un atributo de respuesta (reply items), "añade el atributo a la lista”, sólo si no hay ningún otro valor para el mismo atributo. Atributo := valor - - - Atributo += valor - - - Siempre añade el atributo a la lista de directivas de configuración. Como operador en un atributo de respuesta, tiene un significado idéntico. Atributo == valor - - - Sustituye cualquier directiva de configuración del mismo nombre (p.e. en users). Si ningún atributo con este nombre aparece en la petición, entonces es añadido. En la respuesta tiene un significado idéntico. Como atributo de validación, la asignación es válida si el atributo está presente en la petición y tiene un valor dado. No está permitido como operador para un atributo de respuesta. Atributo != valor - Como atributo de validación, la asignación es válida si el atributo está presente en la petición y NO tiene un valor previamente dado. - No permitido como operador para un atributo de respuesta. - 38 - (4.B) Desarrollo Autentificación de clientes remotos (NAS) desde la base de datos: l Habilitar consultas a la BD para clientes en /etc/freeradius/sql.conf: #Eliminar comentario de la siguiente línea: readclients = yes l Importar tabla “nas” desde la plantilla proporcionada por la instalación: #cd /etc/freeradius/sql/mysql #mysql –uroot –p<password> mysql>use radius; mysql>source nas.sql; mysql>show tables; mysql>quit; - 40- (4.B) Desarrollo Más configuración Base de Datos de usuario en MYSQL (5/6): l Tabla RADCHECK: l Tabla RADUSERGROUP: - 42 - (4.2) Desarrollo Más configuración Base de Datos de usuario en MYSQL (6/6): l Tabla RADGROUPCHECK: - 43- (4.B) Desarrollo Configuración. Generar nuevos certificados TLS (1/2): l l Certificados para canal seguro (TLS), creados por defecto durante la instalación (por script bootstrap) y alojados en /etc/freeradius/certs/. De inicio se utilizan datos de ejemplos, tanto para entidad certificadora (CA), como servidor RADIUS, desde los archivos ca.cnf y server.cnf. Para crearlos con información propia: ① cd /etc/freeradius/certs ② Borrar o renombrar todos los archivos con prefijo server.* y ca.* ③ Copiar las plantillas desde /usr/share/doc/freeradius/examples/certs: cd /usr/share/doc/freeradius/examples/certs/ cp Makefiles ca.cnf server.cnf xpextensions /etc/freeradius/certs ④ Editar ca.cnf: (1) cambiar en la sección [req] los valores por defecto para input_password y output_password (pero el mismo para ambas), (2) modificar en la sección [certificate_authority] los datos que consideremos oportunos. ⑤ Editar server.cnf: modificar en la sección [server] los datos que consideremos oportunos. ¡OJO! Es recomendable colocar los mismos datos en ambos archivos. ⑥ Ejecutar el comando #make all Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 44- (4.B) Desarrollo Configuración. Generar nuevos certificados TLS (2/2): l MUY IMPORTANTE!!! Si se han cambiado las password en los pasos anteriores (recomendable), cambiar en /etc/freeradius/eap.conf, en la sección “TLS” el valor para: private_key_password = testing123 l Se creen o no de nuevo, una vez terminado de configurar eap.conf, deben crearse enlaces simbólicos a los certificados para que EAP pueda localizarlos: #cd /etc/freeradius/certs #c_rehash l l Como los certificados generados no están firmados por una “verdadera CA”, es necesario importar el certificado de entidad (ca.der) a los clientes Windows para que pueda reconocerla y valide la autentificación. En el caso de clientes Linux o MAC X OS, puede optar por ignorar esta validación. Nota: A la hora de importarlo en Windows, bastará con hacer doble clic sobre el archivo con el certificado CA y guardarlo en el almacén “Entidades de certificación de raíz de confianza”. Si no se han modificado los datos de la CA por defecto aparecerá con el nombre “Example Certificate Authority” (comprobar con certmgr.msc). Módulo Servicios de red / Servicio de autorización de usuarios para acceso remoto RADIUS - 45- (4.B) Desarrollo Comprobación de funcionamiento Freeradius: #freeradius –X Nota: Este comando permite arrancar el servicio en modo depuración. No obstante si ya existiese un servicio Freeradius activo anteriormente, comprobar si el proceso se ha detenido: #ps –A |grep freeradius #kill -9 <freeradius_PID> Prueba 1. Con la utilidad ‘radtest’ Prueba 2. Con una conexión a un AP - 46 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x (1/3): - 47- (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x (2/3): Configuración 802.1x del AP - 48 - (4) Desarrollo Acceso Wi-Fi con autenticación 802.1x: Configuración 802.1x para usuario Linux (sin network-manager) l Primero debe instalarse un cliente, utilizaremos ‘wpa_supplicant’. bash#apt-get install wpasupplicant l Modificar el archivo ‘wpa_supplicant.conf’ en el directorio ‘/etc’ o ‘/etc/wpa_supplicant’: ctrl_interface=/var/run/wpa_supplicant eapol_version=1 ap_scan=1 fast_reauth=1 network= #Debe coincidir con el del AP ssid="SAV1" key_mgmt=IEEE8021X eap=PEAP phase2="auth=MSCHAPV2" identity="test" password="test" - 49 - Autenticación AAA basada en servidor (RADIUS) con Router Cisco En las páginas anteriores montamos un “Servidor RADIUS con Debian, FreeRADIUS y MySQL” y completamos la configuración para que fuese capaz de autenticar a clientes remotos. En esta nueva entrada, vamos a completar el proceso configurando lo necesario para que un cliente remoto, en este caso un Router Cisco, realice la autenticación de usuarios a traves de nuestro servidor Radius. En primer lugar vamos a proceder a configurar el Router Cisco para autenticación AAA basada en servidor: Comenzamos por las configuraciónes básicas, contraseña del modo enable y la ip del Router: R1(config)# enable secret cisco R1(config)# interface fastethernet 1/0 R1(config­if)# ip address 10.1.1.254 255.255.255.0 R1(config­if)# no shutdown R1(config­if)# exit Ahora habilitamos AAA en el Router, para ello: 1. Primero creamos un usuario y contraseña. 2. Activamos AAA con el comando aaa new­model. 3. Establecemos los metodos de autenticación, en este caso establecemos que se autentique mediante el servidor RADIUS y en caso de que no se pueda establecer conexión con el servidor, establecemos como metodo secundario la base de datos local del Router. 4. Le indicamos la interface a la que esta conectado el servidor RADIUS. 5. Por último, agregamos el servidor RADIUS, indicando la ip, el puerto de autenticación y la key (clave secreta compartida con el servidor). - 50 - R1(config)# username local password local R1(config)# aaa new­model R1(config)# aaa authentication login default group radius local R1(config)# ip radius source­interface fastethernet 1/0 R1(config)# radius­server host 10.1.1.5 auth­port 1812 key radius Ahora procedemos a configurar las lineas vty, para establecer las conexiones remotas, en el ejemplo le indicamos que el método de autenticación será la lista por defecto que hemos creado en el apartado anterior: R1(config)# line vty 0 4 R1(config­line)# login authentication default R1(config­line)# exit Y con esto hemos completado la configuración en el Router. Ahora accedemos al servidor FreeRADIUS e introducimos los datos del Router Cisco: Para ello accedemos a la base de datos radius: # mysql ­u root ­p radius Insertamos los datos del Router: ónico mysql > insert into nas(nasname,shortname,type,secret) values(‘10.1.1.254’, ‘R1’, ‘cisco’, ‘radius’); Lo vemos en la imagen: Reiniciamos el servidor FreeRADIUS: # service freeradius restart Y ya tenemos todo listo así que desde un pc intentamos acceder al router por telnet y nos logueamos con un usuario y contraseña que hayamos introducido en la base de datos del servidor Radius # telnet 10.1.1.254 Si todo va bien podremos loguearnos sin problemas como vemos en la imagen: - 51 - Si queremos comprobar las sesiones que hay iniciadas en el router podemos usar el siguiente comando: R1# show aaa sessions Y nos mostrara una salida similar a la imagen, en la que nos muestra entre otros datos, los usuarios que tienen iniciada sesion y la ip desde donde conectan: - 52 - (5) Referencias l RADIUS By Jonathan Hassell. O'Reilly 2002. ISBN: 0-596-00322-6 l http://www.freeradius.org l http://wiki.freeradius.org l http://httpd.apache.org/ l l http://books.google.com/books?id=yTSoYCiXYAAC&pg=RA1-PA222&lpg=RA1PA222&dq=protocolo+radius&source=web&ots=F1iXTBauo&sig=ug16VP6MqGMX4AIVSla_93qLXhI#PRA1-PA222,M1 Documentación en el curso virtual de la asignatura en CVUEx - 53 -