UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA

DISEÑO DE REDES II – CICLO II 2018 -2019

PRÁTICA DE LABORATORIO: IMPLEMENTACIÓN DE UNA RED INALÁMBRICA CON AUTENTICACIÓN

WPA/WPA2 ENTERPRISE UTILIZANDO UN SERVIDOR RADIUS

Objetivo de aprendizaje

Al completar esta práctica de laboratorio, usted podrá:

• Instalar y configurar un servidor radius desde cero.

• Configurar un punto de acceso para que permita autenticación WPA Enterprise.
• Configurar clientes para que se conecten a una red inalámbrica con autenticación EAP
TLS.
• Comprobar la conectividad total del esquema de configuración planteado.

Diagrama de Red

Fig. 1. Esquema de Red con Servidor Radius

Requisitos para implementación:

• Software:
- Servidor Radius: Sistema Operativo: CentOS 6.10, freradius
- Virtualizador: Vmware o VirtualBox
• Hardware:
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019
- Una laptop con vMware o VirtualBox instalado para que funcione como servidor
Radius. Se instalará CentOS 6.10. El equipo debe contar con 2 tarjetas de red funcionales,
1 cableada y 1 inalámbrica, mínimo con 2GB de RAM.
- Un punto de acceso inalámbrico con soporte para protocolo de seguridad WPA/WPA2 –
Enterprise.
- 1 cable ethernet recto cat5e.
- 2 laptops o dipositivos móviles para probar el funcionamiento del servidor.
Recomendable con sistemas operativos Windows 8.1 o Android 4.4 o superiores.

Instalación de Servidor Centos 6.10

1. Descargar la imagen ISO del DVD de CentOS 6.10: La imagen a descargar dependerá del tipo de
arquitectura (i386 o x86-64) que posea la máquina host. Se recomienda descargar la versión
minimal del sistema operativo Centos 6.10. Esta imagen puede descargarse del siguiente enlace:
http://mirror.centos.org/centos/6/isos/
2. Crear la maquina virtual donde se instalará CentOS 6.10, se necesitarán los siguientes requisitos
para la creación de la maquina:
Disco Duro 20 GB (Recomendado)
10 GB (Mínimo)
Memoria RAM 1 GB - 2 GB
Adaptador de Red 1 (Bridge) Tarjeta de Red de puerto Ethernet del equipo host
Adaptador de Red 2 (Bridge) Tarjeta de Red inalámbrica del equipo host

Fig. 2. Asignación de nombre y directorio de almacenamiento de máquina virtual

 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

Fig. 3. Asignación de capacidad de disco duro para máquina virtual

Fig. 4. Asignación de memoria RAM a la máquina virtual

 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

3. Configurar las Tarjetas de Red de la máquina virtual: Para el escenario a simular, el servidor radius
funcionará como puerta de salida de la red. Para ello, configuraremos 2 tarjetas de red, la eth0 se
encontrará en la red local con la dirección IP 192.168.1.254 en modo puente a la tarjeta de red
del puerto ethernet del equipo host y la eth1 se conectará a la red que nos proporciona el servicio
de internet en modo puente a la tarjeta inalámbrica del equipo host.

Fig. 5. Configuración de Adaptador de Red 1

Fig. 6. Configuración de Adaptador de Red 2

4. Instalar el sistema operativo: Realizamos las acciones de instalación que nos pide un sistema
Linux:
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

o Selección de Idioma
o Selección de Teclado
o Selección de Tipos de Dispositivos
o Selección de Zona Horaria
o Definición de Contraseña de usuario root (practicaRadius)
o Selección de Tipo de Instalación: optamos por el tipo de instalación minimal (en nuestro
caso, nos descargamos la versión minimal del Sistema operativo en el paso 1, por lo que
la instalación por defecto será minimal)

Fig. 7. Instalación de Sistema operativo en curso

Configuración de Red

1. Configurar la interfaz eth0 con la dirección IP estática asignada en el esquema de red que se
detalla al inicio de la guía. (192.168.1.254) Para ello ingresamos al archivo ifcfg-eth0 y lo
modificamos, utilizando el comando: vi /etc/sysconfig/network-scripts/ifcfg-eth0

Fig. 8. Configuración de interfaz eth0

 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

1. Configurar la interfaz eth1 con dhcp para que reciba automáticamente la dirección IP que le
proporciona internet al equipos host. Para ello ingresamos al archivo ifcfg-eth1 y lo modificamos,
utilizando el comando: vi /etc/sysconfig/network-scripts/ifcfg-eth0

Fig. 9. Configuración de interfaz eth1

2. Verificar la configuración de direcciones IP asignada, mediante la ejecución del comando:

ifconfig

Fig. 10. Verificación de Configuración de Interfaces

3. Reiniciar el servicio de red, para ello utilizamos el comando: service network restart
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

INSTALACIÓN Y CONFIGURACIÓN DE RADIUS

1. Instalar los paquetes necesarios:

- yum -y install freeradius freeradius-mysql freeradius-utils freeradius-devel freeradius-debuginfo
- yum -y install mysql mysql-server

2. Si los paquetes no se encuentran disponibles realizar lo siguiente, para actualizar la lista de

repositorios disponibles y descargar el repositorio epel.
- yum update
- yum -y install wget
- wget http://mirror.pnl.gov/epel/6/x86_64/epel-release-6-8.noarch.rpm
- rpm -Uvh epel-release-6-8.noarch.rpm

3. Generar los certificados predeterminados, ejecutando: radiusd -X

Esto iniciará el servicio radiusd e iniciará la generación de los certificados. Cuando el diálogo lo
pida, definir los datos de país, estado, nombre del anfitrión y cuenta de correo del administrador.
Al concluir pulsar CTRL-C para terminar el servicio y continuar configuración.

4. Iniciar el servicio mysql: service mysqld start

5. Anadir el servicio mysqld al arranque del sistema: chkconfig mysqld on

6. Asignar la clave de acceso al usuario root: mysqladmin -uroot password ‘pr4ct1c4r4d1u5’

7. Generar una nueva base de datos con el nombre radius:

mysqladmin -uroot -ppr4ct1c4r4d1u5 create radius

8. Ingresar a la consola mysql para configuración de la base de datos:

mysql -uroot -ppr4ct1c4r4d1u5

9. Crear el usuario y la clave de acceso para acceder a la base de datos creada: GRANT all ON radius.*
TO radius@localhost IDENTIFIED BY 'pr4ct1c4r4d1u5';

10. Salir de mysql: exit

11. Utilizando el usuario radius o el que haya designado para utilizar la base de datos recién creada,
llene la base de datos que acaba de crear con los esquemas incluidos con freeradius:
- mysql -uradius - ppr4ct1c4r4d1u5 radius < /etc/raddb/sql/mysql/cui.sql
- mysql -uradius - ppr4ct1c4r4d1u5 radius < /etc/raddb/sql/mysql/ippool.sql
- mysql -uradius -ppr4ct1c4r4d1u5 radius < /etc/raddb/sql/mysql/nas.sql
- mysql -uradius -ppr4ct1c4r4d1u5 radius < /etc/raddb/sql/mysql/schema.sql
- mysql -uradius -ppr4ct1c4r4d1u5 radius < /etc/raddb/sql/mysql/wimax.sql
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

Nota: Puede usar los siguientes comandos para comprobar que las tablas se encuentran
creadas:
use radius;
show tables;

12. Editar el archivo radius.conf: vi /etc/raddb/radiusd.conf

- Descomentar la línea que dice $INCLUDE sql.conf, lo cual se localiza aproximadamente
alrededor de la línea 700:
$INCLUDE sql.conf

13. Edite el archivo /etc/raddb/sql.conf: vi /etc/raddb/sql.conf

- Definir los valores para acceder a la base de datos, lo cual se localiza aproximadamente
alrededor de la línea 35:

# Connection info:
server = "localhost"
#port = 3306
login = "radius"
password = "pr4ct1c4r4d1u5"
- Descomentar el parámetro readclients con valor yes, lo cual se localiza aproximadamente
alrededor de la línea 100:
readclients = yes

14. Editar el archivo /etc/raddb/sites-enabled/default: vi /etc/raddb/sites-enabled/default

- Descomentar en la sección authorize, lo cual se localiza aproximadamente alrededor de
la línea 177:
sql
- Descomentar en la sección accounting , lo cual se localiza aproximadamente alrededor de
la línea 378:
sql

15. Editar el archivo /etc/raddb/sites-enabled/default: vi /etc/raddb/sites-enabled/inner-tunel

- Descomentar en la sección authorize, lo cual se localiza aproximadamente alrededor de
la línea 131:
sql

16. Regresar al símbolo de sistema y acceda a MySQL para dar de alta un usuario para probar: mysql
-uradius -ppr4ct1c4r4d1u5 radius

17. Desde el símbolo de sistema de MySQL, ejecutar lo siguiente para dar de alta un usuario de
pruebas usuarioPrueba con una clave de acceso (prU3bA en el ejemplo):
INSERT INTO radcheck (username, attribute,op, value) VALUES ('usuarioPrueba',
'Password', ':=', 'prUebA');

- Lo anterior equivale a añadir usuarioPrueba Cleartext-Password := "pr4ct1c4r4d1u5" en

el archivo /etc/raddb/users. Verifique que el usuario se dio de alta correctamente:
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019
select * from radcheck where username=' usuarioPrueba ';

18. Debe mostrarse algo similar a lo siguiente:

+----+--------------------+--------------+----+------------------------+
| id | username | attribute | op | value |
+----+--------------------+--------------+-----+-----------------------+
| 6 | usuarioPrueba | Password | == | prUebA |
+----+--------------------+--------------+-----+-----------------------+
1 row in set (0.00 sec)

19. Salga de mysql: exit;

20. Iniciar el servicio radiusd: service radiusd start

21. Añadir el servicio radiusd a los servicios de arranque del sistema: chkconfig radiusd on

22. Editar el archivo hosts: vi /etc/hosts, añadiendo las siguientes líneas, al final del archivo:

23. Verificar que el servicio puede autenticar a través de MySQL:

- radtest usuarioPrueba pr4ct1c4r4d1u5 localhost 1812 testing123

24. Se mostrará algo muy similar a lo siguiente:

Sending Access-Request of id 251 to 127.0.0.1 port 1812
User-Name = "usuarioPrueba"
User-Password = "pr4ct1c4r4d1u5"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=251, length=20

25. A partir de este punto, solo podrá autenticar usuarios de manera local. Para poder conectar el
punto de acceso hacia el servidor Freeradius, vuelva a conectarse a MySQL:
mysql -uradius -ppr4ct1c4r4d1u5 radius

26. Ejecutar lo siguiente, definiendo la dirección IP del punto de acceso, nombre corto, tipo de NAS
(other, cisco, livingston, computon, max40xx, multitech, natserver , pathras, patton, portslave,
tc o usrhiper). Si utiliza un punto de acceso casero, defina el tipo other.
INSERT INTO nas (nasname, shortname, type, secret) VALUES ('192.168.1.1',
'APX', 'other', 'pr4ct1c4r4d1u5');
Nota: nasname es la dirección IP asignada al punto de acceso, shortname es el
nombre identificativo del AP (cliente radius) y secret es la contraseña del usuario
radius que creamos al principio, en nuestro caso pr4ct1c4r4d1u5. La X representa
su número de grupo asignado para la práctica.
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019
27. Para verificar, ejecute desde el símbolo de sistema de MySQL lo siguiente:
select * from nas where shortname='APX';
28. Se mostrará en pantalla lo siguiente:

+----+----------------+----------------+--------+---------+-----------------------+----------------+--------------------+
| id | nasname | shortname | type | ports | secret | community | description |
+----+----------------+----------------+--------+---------+-----------------------+----------------+--------------------+
| 3 | 192.168.1.1| APX | other | NULL | pr4ct1c4r4d1u5 | NULL | RADIUS Client |
+----+----------------+----------------+--------+---------+-----------------------+----------------+--------------------+
1 row in set (0.00 sec)

Nota: Podemos también editar el archivo: /etc/raddb/clients.conf y añadir la dirección IP del

punto de acceso, una clave de acceso, nombre corto y tipo de NAS como other.
client 192.168.1.1 {
secret = practicaRadius
shortname = AP1
nastype = other
}
Para que surta efecto el cambio, hay que reiniciar el servicio radiusd: service radiusd restart
Para añadir otro punto de acceso, solo basta repetir las líneas con los datos que correspondan:
INSERT INTO nas (nasname, shortname, type, secret) VALUES ('192.168.1.2',
'APX', 'other', ' pr4ct1c4r4d1u5');

29. Para realizar pruebas de conectividad remota, debe añadir cada nuevo equipo siguiendo el
procedimiento anterior y desde este equipo ejecutar el mandato radtest (incluido en el paquete
freeradius-utils) de la siguiente forma, donde x.x.x.x corresponde a la dirección IP del servidor
Freeradius:
radtest usuarioPrueba pr4ct1c4r4d1u5 192.168.1.254 1812 pr4ct1c4r4d1u5
Para comprobar la conectividad desde un cliente remoto, añadiremos la IP del servidor radius
(192.168.1.254) y utilizaremos la utilidad radtest. Luego de las pruebas, podremos eliminar este
registro de la tabla:
INSERT INTO nas (nasname, shortname, type, secret) VALUES ('192.168.1.254',
'servidor', 'other', ' pr4ct1c4r4d1u5');
Se mostrará el resultado de la prueba:

30. La consulta debe mostrarle, lo siguiente:

Sending Access-Request of id 225 to 192.168.1.254 port 1812
User-Name = "fulano"
User-Password = "123qwe"
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019
NAS-IP-Address = 127.0.0.1
NAS-Port = 1812
rad_recv: Access-Accept packet from host 192.168.1.254 port 1812, id=225,
length=20

CONFIGURACIÓN DEL PUNTO DE ACCESO

(Dependiendo del modelo y marca del equipo que use, la configuración puede variar)

1. Conectar el punto de acceso al punto de red de su laptop, ingresar a la dirección 192.168.1.1

desde un browser. (Acceso por defecto para el AP Linksys usado en la guía, usuario: admin,
contraseña: admin)

2. Cambiar el nombre del SSID que va a publicar el punto de acceso.

3. Configurar la dirección IP estática que recibirá el punto de acceso, 192.168.1.1, con dirección de
puerta de enlace predeterminada 192.168.1.254 (corresponde a la IP del sevidor radius).
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

4. Establecer la configuración DHCP: seleccionaremos la red 192.168.2.0/24 para direccionamiento

de equipos clientes que se conecten al punto de acceso. En este caso, habilitaremos un máximo
de 50 usuarios dentro de este direccionamiento.
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

5. Configurar la seguridad WPA/WPA2 – Enterprise: Dependiendo de la marca y modelo de servidor

el modo de seguridad WPA 2 enterprise puede aparecer con diferentes nombres. En este caso, se
selecciona la el modo WPA2/WPA Enterprise mixto. En el puerto, colocamos el puerto de servicio
de radius para peticiones de autenticación (1812) y en la opción clave compartida, colocamos la
clave del usuario radius de mysql que configuramos al inicio del proceso de configuración de
radius en el servidor.

CONFIGURACIÓN DE CLIENTES

1. Configuración en Clientes Windows

a. Para versiones 8 , 8.1 o superiores, la conexión es totalmente transparente y no se
necesita realizar ninguna configuración especial. Solo compruebe que la maquina host
localiza la red inalámbrica y conéctese a ella. Le pedirá un usuario y una contraseña, utilice
el usuario usuarioPrueba creado en el paso 17 de la configuración de radius y su
respectiva contraseña.
b. Para versiones 7 o inferiores es necesario realizar configuraciones adicionales para poder
conectarse a redes inalámbricas con seguridad WPA/WPA2-Enterprise.
i. Acceder a la pantalla de selección para conectarse a las redes inalámbricas al
alcance de la máquina. En este caso, se debe escoger la opción Configurar una
conexión o red.
ii. Seleccionar la opción, conectarse manualmente a una red inalámbrica y dar clic
en siguiente:
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

iii. Escoger las siguientes opciones para configurar la red inalámbrica:

iv. Desde el menú de administración de redes inalámbricas, acceder a la

configuración de la red creada recientemente, para definir los niveles de
seguridad que han quedado pendientes.
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019
v. Al seleccionar el botón Configuración de la opción EAP protegido, verificamos la
siguiente información:

vi. Cambiar el método de autenticación a “Autenticación de Usuarios”:

vii. Autenticarse en la red inalámbrica con el usuario y contraseña asignados.

 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

2. Clientes Windows Phone

En los clientes Windows Phone que cuentan con la versión 8.1 o superiores la conexión es
transparente y no se necesita realizar ninguna configuración especial.
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019

3. Clientes Android y Clientes Apple

En los clientes Android que cuentan con la versión 4.4 o superior y en clientes Apple la conexión
es transparente y no se necesita realizar ninguna configuración especial.
 UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
DISEÑO DE REDES II – CICLO II 2018 -2019