Red WiFi Enterprise con LliureX Ramón Onrubia Pérez [email protected]

Contenidos • Contraseñas PSK vs Identidades • Seguridad “Enterprise Class”: 802.1X/EAP • Configuración Wi-Fi con LliureX • Red Wi-Fi unificada de centro

Ramón Onrubia Pérez – V Congreso Software Libre CV

Contenidos • Contraseñas PSK vs Identidades • Seguridad “Enterprise Class”: 802.1X/EAP • Configuración Wi-Fi con LliureX • Red Wi-Fi unificada de centro

Ramón Onrubia Pérez – V Congreso Software Libre CV

Contraseñas PSK vs Identidades 







Las contraseñas compartidas (PSK) usadas en WEP y WPA Personal son sencillas de utilizar pero otorgan mismo nivel de acceso a todos. Si se compromete la contraseña compartida, cualquiera puede acceder a la red. No se dispone de información de uso personalizada por usuario (accounting). Hay muchas técnicas para comprometer contraseñas compartidas.

Ramón Onrubia Pérez – V Congreso Software Libre CV

Acceso mediante identidades • Las identidades permiten crear usuarios o grupos con distinto nivel de acceso. • Los usuarios se identifican mediante sus credenciales que normalmente son usuario/contraseña o certificados digitales. • Beneficios de este sistema: – Si se compromete un usuario, no se compromete todo el sistema. – Existen distintos niveles de autorización. – Monitorización de uso por usuario. – Permiten implantar “triple A”: authentication, authorization and accounting.

Ramón Onrubia Pérez – V Congreso Software Libre CV

Contenidos • Contraseñas PSK vs Identidades • Seguridad “Enterprise Class”: 802.1X/EAP • Configuración Wi-Fi con LliureX • Red Wi-Fi unificada de centro

Ramón Onrubia Pérez – V Congreso Software Libre CV

Seguridad “Enterprise Class”: 802.1X/EAP 

Solución de seguridad “idónea” actualmente.



WPA se diseñó inicialmente así.



Utilizado normalmente en entornos con muchos usuarios.



También se usa en redes cableadas.



Elementos de 802.1X: – Solicitante (supplicant) – Autenticador – Servidor de autenticación (RADIUS + LDAP|Active Directory|SQL|Lo que se nos ocurra)

Ramón Onrubia Pérez – V Congreso Software Libre CV

Seguridad “Enterprise Class”: 802.1X/EAP

Ramón Onrubia Pérez – V Congreso Software Libre CV

EAP: Extensible Authentication Protocol • Framework para autenticación en redes. • Está basado en el protocolo PPP. • Funciona sobre otros protocolos: 802.1X (EAPOL) o RADIUS (EAPOR). • Protocolo flexible que permite distintos mecanismos de autenticación: – EAP-PEAP – EAP-TLS (con PKI) – EAP-MD5 – EAP-GTC – EAP-SIM – LEAP, EAP-FAST (Cisco) Ramón Onrubia Pérez – V Congreso Software Libre CV

Protocolo RADIUS • Remote Authentication Dial In User Service (RADIUS) es un protocolo de autenticación centralizado que soporta AAA (Autenticación, Autorización y Contabilidad) para controlar el acceso y la facturación de los servicios de red utilizados por los usuarios. • Desarrollado por la empresa Livingston Enterprises, se convirtió en un estándar de la IETF.

Ramón Onrubia Pérez – V Congreso Software Libre CV

Protocolo RADIUS • Tiene tres componentes: – Protocolo de aplicación sobre UDP – Servidor – Cliente • Es ampliamente usado por los ISP para controlar el acceso de sus usuarios a la red mediante módems, ADSL, VPN's, etc. • El RADIUS puede autenticar contra un fichero de texto, una base de datos SQL, un servidor LDAP/AD, Kerberos, etc.

Ramón Onrubia Pérez – V Congreso Software Libre CV

A.A.A. • Triple A (o AAA) permite realizar la autenticación, autorización y contabilidad en los servicios de red utilizados por los usuarios • RADIUS, DIAMETER y TACACS soportan AAA • La autenticación es el proceso de identificación del usuario mediante sus credenciales (usuario/contraseña, certificado digital, etc). Puede utilizar esquemas de autenticación como PAP, CHAP o EAP Ramón Onrubia Pérez – V Congreso Software Libre CV

A.A.A. • La autorización es el proceso en que se da permiso al usuario a utilizar un recurso. Puede incluir en la respuesta atributos como: – Dirección IP a usar – Tiempo máximo de conexión del usuario – VLAN a la que pertenece el usuario, etc • La contabilidad lleva un registro sobre el uso que hace el usuario del servicio: inicio y fin de sesión, bytes transferidos, tiempo de conexión, etc. Ramón Onrubia Pérez – V Congreso Software Libre CV

Contenidos • Contraseñas PSK vs Identidades • Seguridad “Enterprise Class”: 802.1X/EAP • Configuración Wi-Fi con LliureX • Red Wi-Fi unificada de centro

Ramón Onrubia Pérez – V Congreso Software Libre CV

Configuración Wi-Fi enterprise con Lliurex Consideraciones previas: 





Lo que se presenta aquí es una receta manual para conectar la wifi del centro con los usuarios de LliureX/ITACA. Próximamente desde LliureX se desarrollará un paquete de configuración automática del RADIUS en el servidor LliureX, como en otros servicios de red. El protocolo de autenticación utilizado es EAP-PEAP que es el más soportado en todas las plataformas: esta configuración se ha testado en Windows, GNU/Linux, Mac OS X, Android y Windows Phone funcionando en todas ellas.

Ramón Onrubia Pérez – V Congreso Software Libre CV

Configuración Wi-Fi enterprise con Lliurex Ingredientes: 







Servidor LliureX con usuarios en Samba/LDAP. LliureX nos lo da todo hecho, únicamente falta importar usuarios de ITACA y/o crear nuevos con LLUM. Servidor freeradius (el más usado en el mundo, no lo digo yo, lo dice Chicote...). Punto(s) de acceso compatible(s) 802.1x (cualquier fabricante prácticamente). Ganas de ponerse a ello (el requisito más importante porque nadie nos va a pagar más por hacerlo).

Ramón Onrubia Pérez – V Congreso Software Libre CV

1. Instalación freeradius • El primer paso es instalar el servidor freeradius. • No tiene porque ser en el propio LliureX. • En caso de hacerlo en LliureX o un servidor derivado de Debian, como root: apt-get update apt-get install freeradius freeradius-utils

Ramón Onrubia Pérez – V Congreso Software Libre CV

2. Configuración freeradius Todos los pasos estando como root en el servidor con freeradius: • Editar /etc/freeradius/eap.conf: – En la sección eap {} del fichero, indicar default_eap_type=peap

Ramón Onrubia Pérez – V Congreso Software Libre CV

2. Configuración freeradius • Editar /etc/freeradius/modules/mschap: – En la sección mschap {} del fichero, indicar lo siguiente:

Ramón Onrubia Pérez – V Congreso Software Libre CV

2. Configuración freeradius •

Editar /etc/freeradius/modules/ldap: – En la sección ldap {} indicamos dirección IP del servidor Lliurex (puede ser localhost si es el mismo servidor) y los parámetros de conexión al servidor LDAP con el usuario netadmin (en un futuro se proporcionará desde LliureX un usuario con menos provilegios):

Ramón Onrubia Pérez – V Congreso Software Libre CV

2. Configuración freeradius ...Continúa de /etc/freeradius/modules/ldap: – Indicamos que vamos a usar TLS (cifrado) con el servidor LDAP, más abajo en la subsección tls {} dentro de ldap {}:

Nota: se omiten las directivas de verificación del certificado del servidor LDAP LliureX por simplificar pero por seguridad es conveniente indicarlas. Ramón Onrubia Pérez – V Congreso Software Libre CV

2. Configuración freeradius • Editar /etc/freeradius/sites-available/default e inner-tunnel: – Habilitamos autorización y autenticación por ldap descomentando las siguientes líneas en ambos ficheros:

Ramón Onrubia Pérez – V Congreso Software Libre CV

2. Configuración freeradius • Editar /etc/freeradius/clients.conf: – Hay que dar de alta todos los puntos de acceso que vayamos a usar (son los autenticadores, clientes para el radius):

Se pueden dar de alta los AP uno a uno o...

...o indicar una red donde se encuentran todos.. Ramón Onrubia Pérez – V Congreso Software Libre CV

3. Rearrancar radius • Reiniciamos el servidor con: /etc/init.d/freeradius restart o service freeradius restart • Y cruzamos los dedos... • Si todo ha ido bien y no ha habido errores de sintaxis (típico al editar ficheros) no quiere decir que funcione, hay que testear...

Ramón Onrubia Pérez – V Congreso Software Libre CV

4. Testear radius • Desde el propio servidor radius testeamos un usuario: radtest usuario contraseña 127.0.0.1 0 testing123 • Donde usuario/contraseña es el usuario de LliureX/ITACA que queremos testear. • Si ha ido bien, por pantalla veremos rad_recv: Access-Accept. • Si tarda en responder o da un Access-Reject, hay que revisar la configuración y ejecutar en modo debug. Para ello paramos el servidor radius y lo arrancamos como root manualmente desde consola con: radiusd -X • Y vemos la causa de los errores y los mensajes por consola al volver a realizar la autenticación con radtest. Ramón Onrubia Pérez – V Congreso Software Libre CV

Contenidos • Contraseñas PSK vs Identidades • Seguridad “Enterprise Class”: 802.1X/EAP • Configuración Wi-Fi con LliureX • Red Wi-Fi unificada de centro

Ramón Onrubia Pérez – V Congreso Software Libre CV

Gestión wifi unificada • Problema wifi heterogénea, difícil gestión • Configuración centralizada con controlador • Soporte de múltiple SSID por AP • Acceso con WPA2 Enterprise con RADIUS • Detección de rogue AP's (AP's falsos) • Mejora del roaming → BSSID virtual

Ramón Onrubia Pérez – V Congreso Software Libre CV

Situación de partida Extended Service Set (ESS) ●

●

●

●

●

●

AP's standalone, con configuración distribuida e independiente Cada AP de distintos fabricantes Dificultad de gestión con muchos AP's No hay integración en el funcionamiento ni en la gestión de los AP Problemas para crear varios SSID No hay detección de rogue AP's, virtual BSSID, etc

Ramón Onrubia Pérez – V Congreso Software Libre CV

Wifi Unificada ●

● ● ● ●

●

●

● ●

AP's ligeros, con configuración centralizada y gobernados por controlador Fabricante Ubiquity, UAP LR Calidad/precio muy buena Alimentados por Ethernet (PoE) Facilidad de gestión y escalabilidad Despliegue de configuración a cientos o miles de AP's Múltiple SSID → VLAN por SSID Ajuste automático de canales Detección de rogue AP's, virtual BSSID, Zero Handoff, etc

Ramón Onrubia Pérez – V Congreso Software Libre CV

UNIFI CONTROLLER

802.1Q + PoE

AP 1

802.1Q + PoE

AP 2

802.1Q + PoE

AP N

Virtual BSSID o Virtual Cell ●

●

●

●

Con la versión 3.X.X del firmware En vez de varios AP con diferentes BSSID, la red se presenta al cliente como un gran AP con un sólo BSSID y un gran radio de cobertura → Celda Virtual Ventaja: no hay roaming → Zero Handoff No hay cortes en sesiones VoIP, descargas, etc

Ramón Onrubia Pérez – V Congreso Software Libre CV

BSSID 2

BSSID 1

BSSID VIRTUAL

BSSID 3

Redes Wifi independientes “rosa_dels_vents” ●

●

● ●

Red abierta con portal cautivo Acceso con cuentas del centro (Moodle) Acceso solo a Internet Sólo para alumnos e invitados

“fpMislata” ●

●

●

●

Protegida con WPA2 Enterprise Acceso con cuentas del centro (Moodle) Acceso a todos los recursos Sólo para profesores

”rosa_dels_vents”

“fpMislataAlumnos” ● ●

●

●

WPA2 Enterprise Acceso con cuentas del centro (Moodle) Acceso sólo Internet y recursos de alumnos internos Sólo para alumnos

RADIUS

”fpMislata” ”fpMislataAlumnos”

PORTAL CAUTIVO

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi - Mapa

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi - Cobertura

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi – AP's

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi – Rendimiento

Ramón Onrubia Pérez – V Congreso Software Libre CV

Detección AP's falsos

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi – Usuarios

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi – Estadísticas

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi – Alertas

Ramón Onrubia Pérez – V Congreso Software Libre CV

Controlador Wifi – Notificaciones

Ramón Onrubia Pérez – V Congreso Software Libre CV

Muchas gracias por la atención