Gui a Instal a Free Radius Deb Ian

5/6/2018 Gui a Instal a Free Radius Deb Ian - slidepdf.com

http://slidepdf.com/reader/full/gui-a-instal-a-free-radius-deb-ian 1/11

Prodabel Empresa de Inform ática de Informação do

Municí pio de Belo Horizonte

DT Diretoria de Tecnologia

STT Superintend ência de TecnologiaGLTT Ger ência de Software Livre para Ambientes Operacionais

Guia de Instalação do FreeRadius em servidores com

Sistema Operacional Debian 4.0 Etch utilizando certificados digitais

Responsável

Dennis da Silva Faria

Analistas de Suporte e TI

GLTT – Gerência de Software Livre

Julho de 2008



Informações sobre este Documento

I. Tipo de documento: Guia de instalação

II. Tí tulo do documento: Guia de Instalação do FreeRadius em servisdores com sistema

operacional Debian 4.0 Etch utilizando EAP TLS.

III. Estado do documento: ConcluídoIV. Responsáveis: Dennis da Silva Faria

V. Elaborado por: Dennis da Silva Faria

VI. Palavras Chaves: Software Livre, Wireless, Wpa_supplicant, configuração, instalação,

WPA2, EAP, AES, Radius, Freeradius

VII. Resumo: Este guia tem como objetivo prover aos técnicos de informática da Prodabel,

referências na instalação e configuração do aplicativo Freeradius em servidores com

sistema operacional Debian 4.0 Etch, utilizando autenticação através de certificados

digitais.

VIII.Número de Páginas: 11

IX. Software Utilizados: OpenOffice (Processador de Textos)

X. Versão: 1.0

XI. Data: 30 de julho de 2008

XII. Alterações:



Guia de Instalação do FreeRadius em servidores com Sistema Operacional Debian 4.0 Etch utilizando certificados digitais 3

Sumário

1 Introdu ção...................................................................................................................................4

2 A quem destina se este guia !.....................................................................................................4

3 Pacotes necess ários para instalação do Freeradius [6]..............................................................4

3.1 Verificar o sources.list para o reposit ório desejado...............................................................44 Buscando o pacote freeradius com TLS ativo.............................................................................5

5 Procedimento de instala ção e configuração do Freeradius.........................................................5

5.1 Instalando o pacote freeradius compilado ...........................................................................5

5.2 Obtendo os certificados digitais para o servidor...................................................................5

5.3 Descompactando arquivo.....................................................................................................5

5.4 Configurando o clients.conf..................................................................................................6

5.5 Configurando o arquivo eap.conf..........................................................................................6

5.6 Gerando as chaves da CA....................................................................................................8

5.7 Finalizando: reiniciando o servi ço freeradius........................................................................8

6 Gloss ário.....................................................................................................................................9

7 Refer ências Bibliográficas.........................................................................................................11




1 Introdu ção

Este guia tem como objetivo prover aos técnicos de informática da Prodabel, referências

para instalação e configuração do aplicativo Freeradius [6] em servidores com sistema operacional

Debian 4.0 Etch [12], utilizando autenticação com certificados digitais [3]. Portanto, aplica se as

regras de autenticação forte com a utilização de WPA2 [14] e AES [15] . Qualquer dúvida sobre

estes serviços, deverá ser reportado a GLTT Gerencia de Software Livre para devidas

providências.

2 A quem destina se este guia !

Este guia é destinado aos analistas de suporte de ambientes operacionais e técnicos de

informática com experiência mínima em administração de sistemas operacionais GNU/Linux [16].

Isto, não suprime a utilização deste guia por qualquer pessoa que deseje utilizálo para instala ção

em qualquer ambiente externo.

3 Pacotes necess ários para instalação do Freeradius [6]

Os pacotes necessários para instalação no servidor e suas dependências estão descritos

abaixo no item 3.1.

3.1 Verificar o sources.list para o reposit ório desejado

Nota: para instalação dos pacotes listados acima, caso os mesmos não esteja disponível pela

instalação prédefinida pelo Sistema Operacional, utilize os seguintes comandos e configura ções:

a) Configure o sources.list do sistema debian com as seguintes linhas

deb http:// repo.pbh/debian/ etch main contrib non free

deb http:// repo.pbh/debiansecurity/ etch/updates main contrib non free

b) Execute do comando, aptitude update;

c) Depois execute o comando, aptitude install <informe_o_nome_do_pacote> para

instalar os pacotes necessários caso não estejam instalados. Veja a seguir os pacotes

necessários: freeradius, libltdl3, libperl5.8. Nota: a instalação pacote freeradius,

construirá toda a árvore de diretórios necessária para configuração do freeradius

posteriormente.




d) Feita a instalação dos pacotes acima, agora devemos instalar o pacote do freeradius

compilado com TLS ativo. Este procedimento, permitirá a instalação do módulo WPA2 [14]

que permite autenticação de modo seguro utilizando certificados digitais.

4 Buscando o pacote freeradius com TLS ativoO pacote do freeradius [6] compilado exclusivamente para este tipo de autenticação, “TLS”,

deverá ser baixado do link ftp://libertas.pbh/libertasDebian/compiladosLibertas/stable/, para isso

execute o comando seguinte comando:

wget ftp://libertas.pbh/libertasDebian/compiladosLibertas/stable/freeradius_1.1.3 4_i386.deb

5 Procedimento de instala ção e configuração do Freeradius

5.1 Instalando o pacote freeradius compilado

Execute o comando a seguir com a permissão de usuário root em um diretório temporário,

ou no diretório do usuário root.

# dpkg i freeradius_1.1.3 4_i386.deb

5.2 Obtendo os certificados digitais para o servidor

Os certificados digitais estão no arquivo certs_server.tar.gz, que foi entregue pela

responsável pelo projeto Libertas Debian [8], Erika Ceciane. Este arquivo e suas senhas não

estão disponíveis para download por segurança. Caso o responsável pela instalação não os

possua, deverá ser contado o responsável pelo gerenciamento na SMED ou ainda a funcionária

citada anteriormente.

5.3 Descompactando arquivo

Mude o para o diretó

rio /etc/freeradius/certs e execute os comandos a seguir:

a) Descompactando arquivo com os certificados digitais

#~/etc/freeradius/certs/tar xvfz certs_server.tar.gz

b) Removendo o arquivo compactado

#~/etc/freeradius/certs/rm certs_server.tar.gz




b) Alterando as permissões

#~/etc/freeradius/certs/chmod 644 *.pem

5.4 Configurando o clients.conf

Mude para o diretório /etc/freeradius, e edite o arquivo clients.conf e insira ao final do

arquivo os seguintes parâmetros:

client 10.xxx.xxx.xxx {secret = senhashortname = sigla_da_escola

}

Nota: Onde 10.xxx.xxx.xxx informe endereço IP do Access Point [9], este endereço deverá ser

informando pela gerencia de redes locais GSRT. Deverá ser incluído neste arquivo tantos

parâmetros de Access Points [9] quantos forem necessários. Existem escolas que possuem mais

de um Acess Point [9], e isso deverá ser observado com rigor pois, estes foram colocados em

locais estratégicos visando “visada”, ou seja, visando a área de amplitude do sinal pela estações

clientes wireless [1].

5.5 Configurando o arquivo eap.conf

Neste arquivo, vários parâmetros devem ser alterados. Abaixo seguem os fragmentos do

arquivo que serão modificados a partir do original instalado: Mudar a linha da seção eap para que

fique idêntica ao fragmento em negrito abaixo:

eap {# Invoke the default supported EAP type when# EAP Identity response is received.#

# The incoming EAP messages DO NOT specify which EAP# type they will be using, so it MUST be set here.## For now, only one default EAP type may be used at a time.## If the EAP Type attribute is set by another module,# then that EAP type takes precedence over the# default type configured here.## default_eap_type = md5

default_eap_type = tls

Nota: O parâmetro “default_eap_type = md5” foi alterado para “default_eap_type = tls”




Na seção tls, deverão ser alterados os parâmetros “private_key_password =”, “certificate_file =”,

“CA_file =”, com mostrado no fragmento em negrito a seguir:

tls {private_key_password = “Senha do certificado”

private_key_file = ${raddbdir}/certs/key.pem

# If Private key & Certificate are located in# the same file, then private_key_file &# certificate_file must contain the same file# name.

certificate_file = ${raddbdir}/certs/cert.pem

# Trusted Root CA list CA_file = ${raddbdir}/certs/cacert.pem

dh_file = ${raddbdir}/certs/dhrandom_file = ${raddbdir}/certs/random

Depois retire o comentário com mostrado em negrito nos próximos fragmentos, os parâmetros

são “fragment_size” e “include_length”.

#

# This can never exceed the size of a RADIUS# packet (4096 bytes), and is preferably half# that, to accomodate other attributes in# RADIUS packet. On most APs the MAX packet# length is configured between 1500 1600# In these cases, fragment size should be# 1024 or less.#fragment_size = 1024f

# include_length is a flag which is# by default set to yes If set to

# yes, Total Length of the message is# included in EVERY packet we send.# If set to no, Total Length of the# message is included ONLY in the# First packet of a fragment series.#include_length = yes




5.6 Gerando as chaves da CA

Ainda não acabou, agora temos a fase mais importante que é a geração da chave da CA.

Isto possibilitará definir o tamanho que as chaves trabalharão. Atenção: Este comando deverá ser

executado no diretório “/etc/freeradius/certs”.

# openssl dhparam check text 5 512 out dh

5.7 Finalizando: reiniciando o servi ço freeradius

Para que tudo rode conforme configurado, deveremos reiniciar o serviço radius. Execute o

comando a seguir:

# /etc/init.d/freeradius restart




6 Gloss ário

Access Point Ponto de Acesso [9], ou tamb ém conhecido como Hotspot 'Wi Fi' é utilizando

como ponto de acesso para uma conexão de Internet ou a uma rede indoor (Rede local). O ponto

de acesso transmite um sinal sem fio numa pequena distância – cerca de 100 metros. Quando um

periférico ou dispositivo de rede detecta um sinal de mesma freqüência, este permite acesso à

uma rede local ou uma WAN(Rede Pública, Wireless outdoor).

AES – (Advanced Encription Standard ), ou "Padrão de criptografia avançada", também conhecido

como Rijndael, permite encriptar os dados, utiliza cifra de bloco como padrão de criptografia, é

muito utilizada pelo governo americano.

CA (Certificate authority ) (Autoridade Certificadora) – Uma Autoridade Certificadora Raiz da

cadeia da ICP Brasil tem como fun ção básica a execução das políticas de certificados e normas

técnicas e operacionais aprovadas pelo Comitê Gestor, atuando: na emissão, expedição,

distribuição, revogação e gerenciamento de certificados de autoridades certificadoras de nível

imediatamente inferior ao seu, chamadas Autoridades Certificadoras Principais; no gerenciamento

da lista de certificados revogados (LCR), emitidos e vencidos; e na execução, fiscalização e

auditoria das autoridades certificadoras, de registro e prestadoras de serviço de suporte

habilitadas na ICP BRASIL.

Certificação Digital [3] O Certificado Digital funciona como uma esp écie de carteira de

identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de

computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos

bastante complexos para assegurar confidencial idade, integridade das informações e

confirmação de autoria. O Certificado Digital é um documento eletrônico, assinado digitalmente

por uma terceira parte confiável, que identifica uma pessoa, seja ela física ou jurídica, associando

a a uma chave pública. Um certificado digital contém os dados de seu titular como, por exemplo,

nome, e mail, CPF, chave p ública, nome e assinatura da Autoridade Certificadora que o emitiu.

Fedora Core [7] Sistema Operacional GNU/Linux, inicialmente suportado pela RedHat, O Fedora

Core tornou se um projeto mantido pela comunidade e por programadores da Empresa Redhat.

Firmware Tamb ém conhecido como software embarcado, trata se de um software que controla

o hardware diretamente. É armazenado permanentemente em um chip de memória de hardware,

como uma ROM ou EPROM.

GNU/Linux [16] O Projeto GNU desenvolveu um sistema operacional livre completo chamado

"GNU" (GNU's Not Unix, ou GNU não é Unix) que é um superset do Unix. O documento inicial de

Richard Stallman sobre o Projeto GNU é chamado de O Manifesto GNU (31k caracteres), que foi

traduzido para várias outras línguas. Este projeto foi escrito em 1983.

Libertas Desktop Linux [8] Distribui ção desenvolvida para UOI Unidade de Arquitetura e

Ambiente Operacional, hoje STT – Superintendência de Tecnologia, PRODABEL, com o propósito




de ser uma distribuição voltada para a Secretaria de Educação da Prefeitura de Belo Horizonte

para estações clientes.

Software Livre [2] Pode se dizer que um software é livre quando é obedece as quatro

liberdades básicas que o fundamentam. Portanto, um sistema operacional, aplicativo, ou umsoftware qualquer pode ser chamado livre quando este permitir: Ser executado para qualquer

propósito (liberdade nº 0); É permitido estudar como o programa funciona, e adaptálo para as

suas necessidades (liberdade nº 1). Acesso ao código fonte é um prérequisito para esta

liberdade; O usuário tem a liberdade de redistribuir cópias de modo que você possa ajudar ao seu

próximo (liberdade nº 2); E finalmente o usuário tem a liberdade de aperfeiçoar o programa, e

liberar os seus aperfeiçoamentos, de modo que toda a comunidade se beneficie (liberdade nº 3).

Acesso ao código fonte é um prérequisito tamb ém para esta liberdade;

TKIP (Temporal Key Integrity Protocol) é um algoritmo de criptografia baseado em chaves que

se alteram a cada novo envio de pacote. A sua principal característica é a freqüente mudanças dechaves que garante mais segurança.

WEP – (Wired Equivalent Privacy) [10], e foi introduzido na tentativa de dar segurança na

autenticação, proteção e confiabilidade na comunicação entre os dispositivos sem fio(Wireless )

WPA ( Wi Fi Protected Access ) [13] surgiu de um esforço conjunto de membros da Wi Fi Aliance

e de membros do IEEE, empenhados em aumentar o nível de segurança das redes sem fio ainda

no ano de 2003, combatendo algumas das vulnerabilidades do WEP [10].

WPA2 (Wi Fi Protected Access ) [14] Tamb ém conhecido 802.11i é um recurso de criptografia em

redes Wi Fi 802.11b/g anteriores. Ele utiliza AES [15] ( Advanced Encription Standard ) para

encriptar os dados e veio em substituição do frágil WEP (Wired Equivalent Protocol ) e WPA [13].

WPA_Supplicant [17] – É uma aplicação em Software Livre, IEEE 802.11i para sistemas

operacionais Linux, BSD (Unix Likes ), e Microsoft Windows. O WPA Supplicant , tem como

finalidade dar sustentação aos protocolos WPA e WPA2 de forma segura em redes sem fio

(Wireless ).




7 Refer ências Bibliográficas

[1] Wireless, disponível em, http://pt.wikipedia.org/wiki/Wireless, último acesso em 30 de julho

de 2008.

[2] Software Livre, disponível em, http://pt.wikipedia.org/wiki/Software_livre, último acesso em

30 de julho de 2008.

[3] Cetificação Digital, disponível em, http://iti.br/twiki/bin/view/Main/Principal, último acesso em


[4] Linux – Sistema Operacional, disponível em, http://pt.wikipedia.org/wiki/Linux, último

acesso em 30 de julho de 2008.

[5] Radius, disponível em, http://en.wikipedia.org/wiki/RADIUS, último acesso em 30 de julho de

2008.

[6] FreeRadius, disponível em, http://en.wikipedia.org/wiki/FreeRADIUS, último acesso em 30 de

julho de 2008.

[7] Fedora Core, distribuição Linux, disponível em, http://pt.wikipedia.org/wiki/Fedora_Core,

último acesso em 30 de julho de 2008.

[8] Libertas Desktop Linux, disponível em, http://libertas.pbh.gov.br/, último acesso em 30 de julho de 2008.

[9] Access Point, disponível em, http://pt.wikipedia.org/wiki/Wireless, último acesso em 30 de

julho de 2008.

[10] WEP, disponível em, http://pt.wikipedia.org/wiki/WEP, último acesso em 30 de julho de 2008.

[11] Windows, Sistema Operacional, disponível em, http://pt.wikipedia.org/wiki/Windows, último


[12] Debian, disponível em, http://pt.wikipedia.org/wiki/Debian, último acesso em 30 de julho de

2008.

[13] WPA, disponível em, http://en.wikipedia.org/wiki/Wi Fi_Protected_Access, último acesso em


[14] WPA2, disponível em, http://en.wikipedia.org/wiki/WPA2, último acesso em 30 de julho de2008.

[15] AES, disponível em, http://en.wikipedia.org/wiki/Advanced_Encryption_Standard, último


[16] GNU/Linux, disponível em, http://www.gnu.org, último acesso em 30 de julho de 2008.

[17] WPA_Supplicant, disponível em, http://en.wikipedia.org/wiki/Wpa_supplicant, último acesso

em 30 de julho de 2008.

Documents

Gui a Instal a Free Radius Deb Ian