View
142
Download
0
Category
Preview:
Citation preview
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 1/11
Prodabel Empresa de Inform ática de Informação do
Municí pio de Belo Horizonte
DT Diretoria de Tecnologia
STT Superintend ência de TecnologiaGLTT Ger ência de Software Livre para Ambientes Operacionais
Guia de Instalação do FreeRadius em servidores com
Sistema Operacional Debian 4.0 Etch utilizando certificados digitais
Responsável
Dennis da Silva Faria
Analistas de Suporte e TI
GLTT – Gerência de Software Livre
Julho de 2008
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 2/11
Informações sobre este Documento
I. Tipo de documento: Guia de instalação
II. Tí tulo do documento: Guia de Instalação do FreeRadius em servisdores com sistema
operacional Debian 4.0 Etch utilizando EAP TLS.
III. Estado do documento: ConcluídoIV. Responsáveis: Dennis da Silva Faria
V. Elaborado por: Dennis da Silva Faria
VI. Palavras Chaves: Software Livre, Wireless, Wpa_supplicant, configuração, instalação,
WPA2, EAP, AES, Radius, Freeradius
VII. Resumo: Este guia tem como objetivo prover aos técnicos de informática da Prodabel,
referências na instalação e configuração do aplicativo Freeradius em servidores com
sistema operacional Debian 4.0 Etch, utilizando autenticação através de certificados
digitais.
VIII.Número de Páginas: 11
IX. Software Utilizados: OpenOffice (Processador de Textos)
X. Versão: 1.0
XI. Data: 30 de julho de 2008
XII. Alterações:
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 3/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 3
Sumário
1 Introdu ção...................................................................................................................................4
2 A quem destina se este guia !.....................................................................................................4
3 Pacotes necess ários para instalação do Freeradius [6]..............................................................4
3.1 Verificar o sources.list para o reposit ório desejado...............................................................44 Buscando o pacote freeradius com TLS ativo.............................................................................5
5 Procedimento de instala ção e configuração do Freeradius.........................................................5
5.1 Instalando o pacote freeradius compilado ...........................................................................5
5.2 Obtendo os certificados digitais para o servidor...................................................................5
5.3 Descompactando arquivo.....................................................................................................5
5.4 Configurando o clients.conf..................................................................................................6
5.5 Configurando o arquivo eap.conf..........................................................................................6
5.6 Gerando as chaves da CA....................................................................................................8
5.7 Finalizando: reiniciando o servi ço freeradius........................................................................8
6 Gloss ário.....................................................................................................................................9
7 Refer ências Bibliográficas.........................................................................................................11
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 4/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 4
1 Introdu ção
Este guia tem como objetivo prover aos técnicos de informática da Prodabel, referências
para instalação e configuração do aplicativo Freeradius [6] em servidores com sistema operacional
Debian 4.0 Etch [12], utilizando autenticação com certificados digitais [3]. Portanto, aplica se as
regras de autenticação forte com a utilização de WPA2 [14] e AES [15] . Qualquer dúvida sobre
estes serviços, deverá ser reportado a GLTT Gerencia de Software Livre para devidas
providências.
2 A quem destina se este guia !
Este guia é destinado aos analistas de suporte de ambientes operacionais e técnicos de
informática com experiência mínima em administração de sistemas operacionais GNU/Linux [16].
Isto, não suprime a utilização deste guia por qualquer pessoa que deseje utilizálo para instala ção
em qualquer ambiente externo.
3 Pacotes necess ários para instalação do Freeradius [6]
Os pacotes necessários para instalação no servidor e suas dependências estão descritos
abaixo no item 3.1.
3.1 Verificar o sources.list para o reposit ório desejado
Nota: para instalação dos pacotes listados acima, caso os mesmos não esteja disponível pela
instalação prédefinida pelo Sistema Operacional, utilize os seguintes comandos e configura ções:
a) Configure o sources.list do sistema debian com as seguintes linhas
deb http:// repo.pbh/debian/ etch main contrib non free
deb http:// repo.pbh/debiansecurity/ etch/updates main contrib non free
b) Execute do comando, aptitude update;
c) Depois execute o comando, aptitude install <informe_o_nome_do_pacote> para
instalar os pacotes necessários caso não estejam instalados. Veja a seguir os pacotes
necessários: freeradius, libltdl3, libperl5.8. Nota: a instalação pacote freeradius,
construirá toda a árvore de diretórios necessária para configuração do freeradius
posteriormente.
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 5/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 5
d) Feita a instalação dos pacotes acima, agora devemos instalar o pacote do freeradius
compilado com TLS ativo. Este procedimento, permitirá a instalação do módulo WPA2 [14]
que permite autenticação de modo seguro utilizando certificados digitais.
4 Buscando o pacote freeradius com TLS ativoO pacote do freeradius [6] compilado exclusivamente para este tipo de autenticação, “TLS”,
deverá ser baixado do link ftp://libertas.pbh/libertasDebian/compiladosLibertas/stable/, para isso
execute o comando seguinte comando:
wget ftp://libertas.pbh/libertasDebian/compiladosLibertas/stable/freeradius_1.1.3 4_i386.deb
5 Procedimento de instala ção e configuração do Freeradius
5.1 Instalando o pacote freeradius compilado
Execute o comando a seguir com a permissão de usuário root em um diretório temporário,
ou no diretório do usuário root.
# dpkg i freeradius_1.1.3 4_i386.deb
5.2 Obtendo os certificados digitais para o servidor
Os certificados digitais estão no arquivo certs_server.tar.gz, que foi entregue pela
responsável pelo projeto Libertas Debian [8], Erika Ceciane. Este arquivo e suas senhas não
estão disponíveis para download por segurança. Caso o responsável pela instalação não os
possua, deverá ser contado o responsável pelo gerenciamento na SMED ou ainda a funcionária
citada anteriormente.
5.3 Descompactando arquivo
Mude o para o diretó
rio /etc/freeradius/certs e execute os comandos a seguir:
a) Descompactando arquivo com os certificados digitais
#~/etc/freeradius/certs/tar xvfz certs_server.tar.gz
b) Removendo o arquivo compactado
#~/etc/freeradius/certs/rm certs_server.tar.gz
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 6/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 6
b) Alterando as permissões
#~/etc/freeradius/certs/chmod 644 *.pem
5.4 Configurando o clients.conf
Mude para o diretório /etc/freeradius, e edite o arquivo clients.conf e insira ao final do
arquivo os seguintes parâmetros:
client 10.xxx.xxx.xxx {secret = senhashortname = sigla_da_escola
}
Nota: Onde 10.xxx.xxx.xxx informe endereço IP do Access Point [9], este endereço deverá ser
informando pela gerencia de redes locais GSRT. Deverá ser incluído neste arquivo tantos
parâmetros de Access Points [9] quantos forem necessários. Existem escolas que possuem mais
de um Acess Point [9], e isso deverá ser observado com rigor pois, estes foram colocados em
locais estratégicos visando “visada”, ou seja, visando a área de amplitude do sinal pela estações
clientes wireless [1].
5.5 Configurando o arquivo eap.conf
Neste arquivo, vários parâmetros devem ser alterados. Abaixo seguem os fragmentos do
arquivo que serão modificados a partir do original instalado: Mudar a linha da seção eap para que
fique idêntica ao fragmento em negrito abaixo:
eap {# Invoke the default supported EAP type when# EAP Identity response is received.#
# The incoming EAP messages DO NOT specify which EAP# type they will be using, so it MUST be set here.## For now, only one default EAP type may be used at a time.## If the EAP Type attribute is set by another module,# then that EAP type takes precedence over the# default type configured here.## default_eap_type = md5
default_eap_type = tls
Nota: O parâmetro “default_eap_type = md5” foi alterado para “default_eap_type = tls”
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 7/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 7
Na seção tls, deverão ser alterados os parâmetros “private_key_password =”, “certificate_file =”,
“CA_file =”, com mostrado no fragmento em negrito a seguir:
tls {private_key_password = “Senha do certificado”
private_key_file = ${raddbdir}/certs/key.pem
# If Private key & Certificate are located in# the same file, then private_key_file &# certificate_file must contain the same file# name.
certificate_file = ${raddbdir}/certs/cert.pem
# Trusted Root CA list CA_file = ${raddbdir}/certs/cacert.pem
dh_file = ${raddbdir}/certs/dhrandom_file = ${raddbdir}/certs/random
Depois retire o comentário com mostrado em negrito nos próximos fragmentos, os parâmetros
são “fragment_size” e “include_length”.
#
# This can never exceed the size of a RADIUS# packet (4096 bytes), and is preferably half# that, to accomodate other attributes in# RADIUS packet. On most APs the MAX packet# length is configured between 1500 1600# In these cases, fragment size should be# 1024 or less.#fragment_size = 1024f
# include_length is a flag which is# by default set to yes If set to
# yes, Total Length of the message is# included in EVERY packet we send.# If set to no, Total Length of the# message is included ONLY in the# First packet of a fragment series.#include_length = yes
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 8/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 8
5.6 Gerando as chaves da CA
Ainda não acabou, agora temos a fase mais importante que é a geração da chave da CA.
Isto possibilitará definir o tamanho que as chaves trabalharão. Atenção: Este comando deverá ser
executado no diretório “/etc/freeradius/certs”.
# openssl dhparam check text 5 512 out dh
5.7 Finalizando: reiniciando o servi ço freeradius
Para que tudo rode conforme configurado, deveremos reiniciar o serviço radius. Execute o
comando a seguir:
# /etc/init.d/freeradius restart
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 9/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 9
6 Gloss ário
Access Point Ponto de Acesso [9], ou tamb ém conhecido como Hotspot 'Wi Fi' é utilizando
como ponto de acesso para uma conexão de Internet ou a uma rede indoor (Rede local). O ponto
de acesso transmite um sinal sem fio numa pequena distância – cerca de 100 metros. Quando um
periférico ou dispositivo de rede detecta um sinal de mesma freqüência, este permite acesso à
uma rede local ou uma WAN(Rede Pública, Wireless outdoor).
AES – (Advanced Encription Standard ), ou "Padrão de criptografia avançada", também conhecido
como Rijndael, permite encriptar os dados, utiliza cifra de bloco como padrão de criptografia, é
muito utilizada pelo governo americano.
CA (Certificate authority ) (Autoridade Certificadora) – Uma Autoridade Certificadora Raiz da
cadeia da ICP Brasil tem como fun ção básica a execução das políticas de certificados e normas
técnicas e operacionais aprovadas pelo Comitê Gestor, atuando: na emissão, expedição,
distribuição, revogação e gerenciamento de certificados de autoridades certificadoras de nível
imediatamente inferior ao seu, chamadas Autoridades Certificadoras Principais; no gerenciamento
da lista de certificados revogados (LCR), emitidos e vencidos; e na execução, fiscalização e
auditoria das autoridades certificadoras, de registro e prestadoras de serviço de suporte
habilitadas na ICP BRASIL.
Certificação Digital [3] O Certificado Digital funciona como uma esp écie de carteira de
identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de
computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos
bastante complexos para assegurar confidencial idade, integridade das informações e
confirmação de autoria. O Certificado Digital é um documento eletrônico, assinado digitalmente
por uma terceira parte confiável, que identifica uma pessoa, seja ela física ou jurídica, associando
a a uma chave pública. Um certificado digital contém os dados de seu titular como, por exemplo,
nome, e mail, CPF, chave p ública, nome e assinatura da Autoridade Certificadora que o emitiu.
Fedora Core [7] Sistema Operacional GNU/Linux, inicialmente suportado pela RedHat, O Fedora
Core tornou se um projeto mantido pela comunidade e por programadores da Empresa Redhat.
Firmware Tamb ém conhecido como software embarcado, trata se de um software que controla
o hardware diretamente. É armazenado permanentemente em um chip de memória de hardware,
como uma ROM ou EPROM.
GNU/Linux [16] O Projeto GNU desenvolveu um sistema operacional livre completo chamado
"GNU" (GNU's Not Unix, ou GNU não é Unix) que é um superset do Unix. O documento inicial de
Richard Stallman sobre o Projeto GNU é chamado de O Manifesto GNU (31k caracteres), que foi
traduzido para várias outras línguas. Este projeto foi escrito em 1983.
Libertas Desktop Linux [8] Distribui ção desenvolvida para UOI Unidade de Arquitetura e
Ambiente Operacional, hoje STT – Superintendência de Tecnologia, PRODABEL, com o propósito
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 10/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 10
de ser uma distribuição voltada para a Secretaria de Educação da Prefeitura de Belo Horizonte
para estações clientes.
Software Livre [2] Pode se dizer que um software é livre quando é obedece as quatro
liberdades básicas que o fundamentam. Portanto, um sistema operacional, aplicativo, ou umsoftware qualquer pode ser chamado livre quando este permitir: Ser executado para qualquer
propósito (liberdade nº 0); É permitido estudar como o programa funciona, e adaptálo para as
suas necessidades (liberdade nº 1). Acesso ao código fonte é um prérequisito para esta
liberdade; O usuário tem a liberdade de redistribuir cópias de modo que você possa ajudar ao seu
próximo (liberdade nº 2); E finalmente o usuário tem a liberdade de aperfeiçoar o programa, e
liberar os seus aperfeiçoamentos, de modo que toda a comunidade se beneficie (liberdade nº 3).
Acesso ao código fonte é um prérequisito tamb ém para esta liberdade;
TKIP (Temporal Key Integrity Protocol) é um algoritmo de criptografia baseado em chaves que
se alteram a cada novo envio de pacote. A sua principal característica é a freqüente mudanças dechaves que garante mais segurança.
WEP – (Wired Equivalent Privacy) [10], e foi introduzido na tentativa de dar segurança na
autenticação, proteção e confiabilidade na comunicação entre os dispositivos sem fio(Wireless )
WPA ( Wi Fi Protected Access ) [13] surgiu de um esforço conjunto de membros da Wi Fi Aliance
e de membros do IEEE, empenhados em aumentar o nível de segurança das redes sem fio ainda
no ano de 2003, combatendo algumas das vulnerabilidades do WEP [10].
WPA2 (Wi Fi Protected Access ) [14] Tamb ém conhecido 802.11i é um recurso de criptografia em
redes Wi Fi 802.11b/g anteriores. Ele utiliza AES [15] ( Advanced Encription Standard ) para
encriptar os dados e veio em substituição do frágil WEP (Wired Equivalent Protocol ) e WPA [13].
WPA_Supplicant [17] – É uma aplicação em Software Livre, IEEE 802.11i para sistemas
operacionais Linux, BSD (Unix Likes ), e Microsoft Windows. O WPA Supplicant , tem como
finalidade dar sustentação aos protocolos WPA e WPA2 de forma segura em redes sem fio
(Wireless ).
5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com
http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 11/11
Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 11
7 Refer ências Bibliográficas
[1] Wireless, disponível em, http://pt.wikipedia.org/wiki/Wireless, último acesso em 30 de julho
de 2008.
[2] Software Livre, disponível em, http://pt.wikipedia.org/wiki/Software_livre, último acesso em
30 de julho de 2008.
[3] Cetificação Digital, disponível em, http://iti.br/twiki/bin/view/Main/Principal, último acesso em
30 de julho de 2008.
[4] Linux – Sistema Operacional, disponível em, http://pt.wikipedia.org/wiki/Linux, último
acesso em 30 de julho de 2008.
[5] Radius, disponível em, http://en.wikipedia.org/wiki/RADIUS, último acesso em 30 de julho de
2008.
[6] FreeRadius, disponível em, http://en.wikipedia.org/wiki/FreeRADIUS, último acesso em 30 de
julho de 2008.
[7] Fedora Core, distribuição Linux, disponível em, http://pt.wikipedia.org/wiki/Fedora_Core,
último acesso em 30 de julho de 2008.
[8] Libertas Desktop Linux, disponível em, http://libertas.pbh.gov.br/, último acesso em 30 de julho de 2008.
[9] Access Point, disponível em, http://pt.wikipedia.org/wiki/Wireless, último acesso em 30 de
julho de 2008.
[10] WEP, disponível em, http://pt.wikipedia.org/wiki/WEP, último acesso em 30 de julho de 2008.
[11] Windows, Sistema Operacional, disponível em, http://pt.wikipedia.org/wiki/Windows, último
acesso em 30 de julho de 2008.
[12] Debian, disponível em, http://pt.wikipedia.org/wiki/Debian, último acesso em 30 de julho de
2008.
[13] WPA, disponível em, http://en.wikipedia.org/wiki/Wi Fi_Protected_Access, último acesso em
30 de julho de 2008.
[14] WPA2, disponível em, http://en.wikipedia.org/wiki/WPA2, último acesso em 30 de julho de2008.
[15] AES, disponível em, http://en.wikipedia.org/wiki/Advanced_Encryption_Standard, último
acesso em 30 de julho de 2008.
[16] GNU/Linux, disponível em, http://www.gnu.org, último acesso em 30 de julho de 2008.
[17] WPA_Supplicant, disponível em, http://en.wikipedia.org/wiki/Wpa_supplicant, último acesso
em 30 de julho de 2008.
Recommended