0 calificaciones0% encontró este documento útil (0 votos)
45 vistas11 páginas
Zeroshell es una distribución de Linux que permite configurar fácilmente un servidor Radius sin necesidad de instalar mucha infraestructura adicional. Proporciona servicios de red como balanceo de carga, conexiones WiFi seguras, portal cautivo, QoS y firewall. Se puede descargar e instalar directamente desde un CD-ROM sin necesidad de instalarlo en el disco duro. Requiere configurar la dirección IP, contraseña y crear un perfil de almacenamiento antes de poder acceder a la interfaz gráfica para administrar completamente el servidor
Zeroshell es una distribución de Linux que permite configurar fácilmente un servidor Radius sin necesidad de instalar mucha infraestructura adicional. Proporciona servicios de red como balanceo de carga, conexiones WiFi seguras, portal cautivo, QoS y firewall. Se puede descargar e instalar directamente desde un CD-ROM sin necesidad de instalarlo en el disco duro. Requiere configurar la dirección IP, contraseña y crear un perfil de almacenamiento antes de poder acceder a la interfaz gráfica para administrar completamente el servidor
Zeroshell es una distribución de Linux que permite configurar fácilmente un servidor Radius sin necesidad de instalar mucha infraestructura adicional. Proporciona servicios de red como balanceo de carga, conexiones WiFi seguras, portal cautivo, QoS y firewall. Se puede descargar e instalar directamente desde un CD-ROM sin necesidad de instalarlo en el disco duro. Requiere configurar la dirección IP, contraseña y crear un perfil de almacenamiento antes de poder acceder a la interfaz gráfica para administrar completamente el servidor
Zeroshell es una potente herramienta que permite disponer rápidamente de un
servidor Radius sin tener que montar toda la infraestructura software que ello requiere y evitando la complejidad que supone, además de una fácil e intuitiva forma de administración de certificados digitales. Es una distribución OpenSource para servidores y dispositivos embebidos cuyo objetivo es ofrecer los principales servicios que una red LAN o WLAN requiere. Las principales características de esta distribución de Linux para aplicaciones de red se enumeran a continuación: De equilibrio de carga y conmutación por error de varias conexiones a Internet; UMTS/HSDPA conexiones mediante el uso de módems 3G; Servidor RADIUS para proporcionar una autenticación segura y la gestión automática de las claves de cifrado para el Wireless 802.11b, 802.11g y 802.11a redes que soportan el protocolo 802.1x en el EAP-TLS, EAP-TTLS y PEAP forma o la autenticación menos seguro del cliente de dirección MAC, WPA con TKIP y WPA2 con CCMP (802.11i queja) se apoyan demasiado, el servidor RADIUS también puede, en función del nombre de usuario, grupo o dirección MAC del suplicante, permitir el acceso de un 802.1Q VLAN ; Portal Cautivo para apoyar el inicio de sesión web, en redes cableadas e inalámbricas. Zeroshell actúa como puerta de enlace de las redes en la que el portal cautivo está activo y en la que las direcciones IP (por lo general pertenecientes a las subredes privadas) son asignadas dinámicamente por el servidor DHCP. Un cliente que tiene acceso a esta red privada debe autenticarse a través de un navegador web utilizando Kerberos 5 nombre de usuario y contraseña antes de que el firewall del Zeroshell permite al público acceder a la LAN. El Captive Portal se utiliza a menudo para proporcionar acceso autenticado a Internet en los hotspots en alternativa al protocolo de autenticación 802.1X demasiado complicado de configurar para los usuarios. Zeroshell implementa la funcionalidad de Portal Cautivo en forma nativa, sin necesidad de utilizar otro software específico NoCat o Chillispot; QoS (Quality of Service) y de gestión de tráfico para controlar el tráfico en una red congestionada. Usted será capaz de garantizar el ancho de banda mínimo, limitar el ancho de banda máximo y asignar una prioridad a una clase de tráfico (útil en aplicaciones de red sensibles a la latencia como VoIP). El ajuste anterior se puede aplicar en interfaces Ethernet, redes privadas virtuales, bridges y bondings VPN. Es posible clasificar el tráfico mediante el uso de L7 filtros que permitan la inspección profunda de paquetes (DPI), que puede ser útil para dar forma a las aplicaciones de VoIP y P2P; Servidor proxy de HTTP que es capaz de bloquear las páginas web que contienen virus. Esta característica se implementa con la solución antivirus ClamAV y el servidor proxy HAVP. El servidor proxy trabaja en proxy transparente el modo en el que, no es necesario configurar los navegadores de los usuarios a usarlo, pero las peticiones http será redirigido automáticamente; Punto de acceso inalámbrico con múltiples SSID y VLAN de apoyo utilizando las tarjetas de red WiFi basada en el chipset Atheros. En otras palabras, un cuadro de Zeroshell con uno de tales tarjetas WiFi podría convertirse en un punto de acceso IEEE 802.11a/b/g proporciona autenticación fiable y el intercambio de claves dinámicas de 802.1X y protocolos WPA. Por supuesto, la autenticación se lleva a cabo con EAP-TLS y PEAP sobre el servidor RADIUS integrado; Host-a-LAN VPN con L2TP/IPsec en el que L2TP (Layer 2 Tunneling Protocol) autenticado con Kerberos v5 nombre de usuario y la contraseña es encapsulado dentro de IPSec autenticada con IKE que utiliza certificados X.509; VPN Lan-to-LAN con la encapsulación de datagramas Ethernet en SSL/TLS de túnel, con soporte para VLAN 802.1Q y configurar en la vinculación de balanceo de carga (aumento de banda) o la tolerancia a fallos (aumentar la fiabilidad); Enrutador con rutas estáticas y dinámicas (RIPv2); Bridge 802.1d con protocolo Spanning Tree para evitar bucles, incluso en la presencia de rutas redundantes; LAN virtual 802.1Q (VLAN etiquetado); Firewall Packet Filter y Stateful Packet Inspection (SPI) con filtros aplicables en las dos rutas y bridges en todo tipo de interfaces, incluyendo VPN y VLAN; Es posible rechazar o forma de uso compartido de archivos P2P tráfico mediante el uso de iptables IPP2P módulo en el Firewall y QoS clasificador; NAT para utilizar la red LAN clase de direcciones privadas ocultas en la WAN con direcciones públicas; Port Forwarding TCP/UDP (PAT) para crear servidores virtuales. Esto significa que clúster de servidores reales se verán con una única dirección IP (la IP del servidor virtual) y cada solicitud será distribuida con Round Robin algoritmo a los servidores reales; Multizona servidor DNS con la gestión automática de la Resolución Inversa inaddr.arpa; Subred multi servidor DHCP con la posibilidad de IP fija en función de la dirección MAC del cliente; Cliente PPPoE para la conexión a la WAN a través de ADSL, DSL y líneas de cable (requiere un adecuado MODEM); Cliente de DNS dinámico para llegar fácilmente a la sede, incluso cuando la IP es dinámica; NTP (Network Time Protocol) del cliente y el servidor host para mantener sincronizados los relojes; Servidor Syslog para la recepción y catalogación de los registros del sistema producido por los hosts remotos, incluidos los sistemas Unix, routers, switches, puntos de acceso Wi-Fi, impresoras de red y otros compatibles con el protocolo syslog; Autenticación Kerberos 5 utilizando un enfoque integrado y transversal KDCautenticación entre reinos (cross-authentication); LDAP, NIS y RADIUS autorización; X509 entidad emisora de certificados para la emisión y gestión de certificados electrónicos; Unix y Windows Active Directory mediante la interoperabilidad LDAP y Kerberos 5 de autenticación reino cruz. Descarga de Zeroshell Zeroshell es una distribución Live CD, es decir, que no es necesario instalarlo en el disco duro, ya que puede operar directamente desde el CD-ROM en el que se distribuye. En la página de Zeroshell podemos descargar el ISO de esta distribución. Podemos descargarlo entrando a la página: http://www.zeroshell.org/download/
4.4.1. Instalación de Zeroshell
Al comenzar la instalación se muestra un menú y para continuar pulsar el número 1, que significa un normal inicio del sistema. Se muestra cómo se van cargando los componentes de Zeroshell. Este es el menú de configuraciones de Zeroshell tipo terminal, abre por default la sesión del administrador. En este menú se puede activar o desactivar un perfil, cambiar la contraseña del administrador, se pude ver la tabla de enrutamiento, las reglas del cortafuegos, mostrar las interfaces de red, administrar las IP’s de las interfaces, entre otras opciones. Lo primero que se debe hacer es cambiar la dirección IP del servidor, para poder ingresar a su configuración mediante un navegador web, entonces pulsar la tecla I para que se muestre las opciones de configuración de la tarjeta de red del servidor. Por defecto se instala con la dirección IP 192.168.0.75/24. Luego escogemos la <M>, para poder modificar la dirección IP de una interfaz especifica. Esta primera opción es para escribir la interfaz a la cual le deseamos asignar o modificar la dirección IP. Entonces como vamos a configurar al interfaz 0, escribimos al frente eth00 y damos enter. Esto muestra las especificaciones de la interfaz seleccionada, y la siguiente línea aparecerá para escribir cual IP vamos a modificar, como en este caso solo es una, escribimos: 1 y damos enter. Luego sale otra línea que indica la IP que tiene asignada esta interfaz y al frente tenemos que escribir la nueva IP, y damos enter. Para este caso la IP nueva será: 192.168.1.X. Esta dirección IP debe ser diferente a la que manejan o tenga asignada un host, para no crear conflictos. Después aparece en otro línea la máscara de subred que tenía asignada, y al frente toca escribir la máscara de la red que tenemos, es decir, 255.255.255.0. Y por último pide el estado de la interfaz, allí escribimos up. Así queda modificada con éxito, la IP de la interfaz eth00. También es importante asignarle un default Gateway al servidor, para que pueda establecer comunicación con el resto de host que forman parte de la red. Para esto se ingresa la letra G. El default Gateway será la dirección del Access Point, en este caso es: 192.168.1.1. Es necesario cambiar la clave de ingreso para la configuración vía web que ofrece Zeroshell, por defecto el login es admin y la clave es zeroshell. Para configurar una clave se pulsa la letra P, se pedirá el ingreso de una nueva clave y su respectiva confirmación. Iniciar Sesión Ahora para seguir con las configuraciones, podemos ingresar a través del navegador a la sesión del administrador y seguir configurando el servidor de seguridad. Para ingresar a la interfaz web de Zeroshell, solo debemos colocar en el navegador la dirección IP de la interfaz eth00. Al cargar la página, se muestra un mensaje indicando que el servidor posee un certificado de seguridad no válido, porque aún no se lo ha configurado. Así que, hacer clic sobre la opción añadir una excepción y aparecerá una ventana donde se puede confirmar la excepción de seguridad. Se tiene que confirmar la excepción de seguridad porque el servidor aún no tiene creados sus certificados. Realizado esto, se muestra la pantalla de acceso a Zeroshell, en el cual se ingresa el username que es admin y la contraseña configurada anteriormente. Después de haberse autenticado, se muestra la interfaz gráfica que posee este software, además de todas las opciones que presenta. Es necesario crear una partición en el disco duro virtual mediante un perfil para guardar los ajustes. Un perfil es la base de datos donde se van a guardar los ajustes. Mientras no se cree un perfil, cada vez que arranque Zeroshell se iniciará con la configuración por defecto. Para ello, hacer clic en Storage y seleccionar el disco duro en el que se va a guardar el perfil. Como se está trabajando en máquina virtual en la que no se ha creado ninguna partición aparece un mensaje de error. Así que hay que crear una partición. Para ello, seleccionar la opción Model: VMware y hacer clic en el botón “New partition”. Se muestra una pantalla, en la que se debe ingresar un nombre para el disco virtual en Label y hacer clic en “CreatePartition”. Una vez creada la partición, aparecerá una ventana en la que se seleccionara el disco hda1, para guardar ahí el perfil. Se indica que la creación de la partición, puede tardar varios minutos. Se debe crear un perfil, para esto seleccionar la partición creada anteriormente, y elegir la opción créate DB. Debe aparecer una ventana en la que hay que ingresar la descripción, Hostname, Realm, LDAP Base, la contraseña de administrador y la IP del gateway por defecto. Una vez especificados estos datos, pulsar el botón Create y se creará un perfil. Luego se muestra la base de datos creada anteriormente Para activar este perfil solo se selecciona Luego de pulsar aparece un resumen del perfil creado, en el cual aparece un mensaje de que no está activado. Pulsar nuevamente el botón activar, aparece un mensaje indicando si está seguro de activar la base de datos, Para aplicar los cambios realizados anteriormente el sistema se reiniciara, y hay que autentificarse nuevamente en el servidor, para que no se genere errores al querer ingresar por el navegador, hay que eliminar el cache ya que todavía no es válido el certificado que está configurado. 4.4.2. CREACIÓN DE LA AUTORIDAD CERTIFICADORA Seleccionar el botón CA X509 en el lado izquierdo de la interfaz web. Hacer clic en la opción setup, se muestra una pantalla en la que se debe agregar información como: nombre de la autoridad certificadora, tamaño en bits que tendrá la clave pública, número de días en los que el certificado digital es válido, país, provincia, organización, dirección de correo electrónico. Llenada la información requerida pulsar "Generate", y luego “Ok” en el mensaje que se muestra, indicando si está seguro o no de crear el certificado. Por último se acepta y la autoridad certificadora está correctamente configurada. Cuando se actualiza asegurarse de que todos los campos estén correctos. 4.4.3. CREAR USUARIOS A continuación hay que crear los usuarios de RADIUS, para esto hacer clic en el menú USERS y luego en la opción RADIUS. Y se despliega la lista de usuarios creados en el sistema, por el momento únicamente existe el usuario administrador. Para añadir nuevos usuarios, hacer clic en la pestaña Add. Llenar los datos requeridos como: nombre de usuario, home directory, nombre y apellido del usuario, descripción, correo electrónico y la contraseña. Pulsar submit y a continuación se muestra una pantalla con los detalles del certificado generado. Se debe seguir el mismo procedimiento para seguir añadiendo los usuarios que se necesiten. 4.4.4. CONFIGURACIÓN DEL SERVIDOR RADIUS Primero se tiene que activar la opción de RADIUS, para esto hacer clic en la opción “RADIUS” del menú “USERS” que se encuentra a la izquierda de la pantalla y marcar el casillero que indica enabled. Se debe registrar los puntos de acceso que van a tener acceso al servidor RADIUS, para configurar esto hacer clic en la pestaña "Access Point" en la barra de navegación de la parte superior. Para añadir un punto de acceso se debe ingresar un nombre para poder distinguirlo, la dirección IP y mascara de subred en este caso es 192.168.1.1/24, y la clave secreta que compartirá el servidor y el Access Point. Para que los usuarios que se conectan a la red inalámbrica puedan autentificarse. Deben tener en cuenta que la clave secreta no puede tener más de 32 caracteres. Una vez introducidos los datos de cada punto de acceso pulsar el botón “Add” y se añadirá a la lista. Cuando termine de añadir puntos de acceso pulsar el botón “Close”. Para que los cambios realizados tengan efecto reiniciar Zeroshell con la pestaña que se encuentra en la parte superior de la página web. Y el servidor RADIUS está listo para entrar en funcionamiento. 4.4.5. CONFIGURACIÓN DEL ACCESS POINT Para la implementación de un sistema con RADIUS, se debe utilizar un AP que soporte este protocolo, en este caso se muestra la configuración de un LYNKSYS GIGABIT WIRELESS-N modelo WRT310N. Se configura mediante un navegador web, colocando la dirección IP 192.168.1.1, es bastante sencillo ya que únicamente hay que ingresar en la opción wireless, en la pestaña wireless security, se tiene que escoger el modo de seguridad, algoritmo WPA que se va a utilizar, dirección IP del servidor RADIUS, número de puerto que utiliza este protocolo y la clave compartida que se configuro anteriormente en el servidor RADIUS. *NOTA: DEPENDIENDO EL MODELO DEL ACCESS POINT A UTILIZAR 4.4.6. CONFIGURACIÓN DE UN CLIENTE WINDOWS 4.4.6.1. Importación de la Clave Pública Primero se tiene que exportar la clave pública del servidor, para instalarlo en los clientes. Hacer clic en la opción x.509 CA que se encuentra dentro de SECURITY y escoger la pestaña TrustedCAs. Seleccionar la autoridad certificadora y pulsar en el botón exportar. Se descarga un archivo llamado TrustedCA.pem. 4.4.6.2. Importación de la clave Privada Hacer clic en el menú USERS, la opción Users y se desplegara la lista de los usuario registrados en el sistema. Seleccionar el usuario del cual se quiere exportar la clave privada y hacer clic en la pestaña de X509, que se encuentra en la parte superior de la lista de usuarios. Se muestra una nueva ventana con todos los detalles de la clave privada del usuario en mención. En la parte superior de la ventana mostrada en el paso anterior, hacer clic en el botón Export, teniendo en cuenta que el formato en que se debe exportar para un cliente de Windows es PKCS#12(PFX). Se indica el lugar en el que se va a guardar el archivo. Finalmente aceptar y verificar que se haya guardado en el lugar que se indicó. 4.4.6.3. Instalación de la Clave Pública Para instalar el certificado digital en el cliente pulsar ctrl + tecla de Windows, y escribir MMC. Hacer clic en aceptar y se muestra la siguiente consola Escoger la opción archivo, agregar o quitar complemento del menú archivo. En el menú que se muestra escoger la opción certificados y hacer clic en agregar. Seleccionar la opción para que el complemento administre los certificados de Mi cuenta de Usuario y finalizar. Al aceptar se muestra los Certificados del usuario actual, desplegar su contenido y escoger la carpeta entidades de certificación raíz de confianza y dentro de esta se encuentra certificados. Al costado derecho de esta ventana hacer clic en la opción Acciones adicionales, todas las tareas y finalmente en importar. Aparece el asistente para importación de certificados y pulsar siguiente. En la opción examinar, indicar la ubicación de certificado descargado anteriormente, el cual se va a importar y hacer clic en siguiente. Escoger como almacén de los certificados a Entidades de certificación raíz de confianza y siguiente. Se muestra un resumen de los detalles ingresados durante el proceso de instalación del certificado, para poder verificar si todo es correcto o realizar alguna corrección si es necesario. Pulsar finalizar y aparece un mensaje de advertencia indicando si está seguro o no de instalar el certificado en el sistema, aceptar. Se muestra un mensaje que comunica que la importación se ha realizado correctamente. Se observa que a la lista de autoridad certificadora anterior se ha añadido, la CA creada en el servidor RADIUS y llamada RADIUS CA. Al hacer doble clic sobre la CA se muestran todos los detalles de esta. 4.4.6.4. Instalación de la Clave Privada Hacer doble clic sobre el certificado que se exporto, se muestra el asistente para importación de certificados y pulsar siguiente. Se muestra el lugar donde se encuentra almacenado el certificado, verificar si es correcto y hacer clic en siguiente. Para mayor seguridad en la instalación, se pide ingresar la contraseña de la clave privada que se configuro al crearse el certificado, marcar el casillero para que se incluyan las propiedades extendidas y hacer clic en siguiente. A continuación hay que elegir el almacén del certificado. Marcar en la opción Colocar todos los certificados en el siguiente almacén y hacer clic en el botón examinar y se mostrara las opciones de almacén con las que cuenta. Como es la clave privada hay que elegir como almacén de certificado a Personal y no a Entidades de certificación de confianza como fue el caso de la clave pública y aceptar. Al hacer clic en siguiente se muestran los detalles del certificado que se quiere instalar, se debe revisar con mucha atención para verificar si existe algún error y regresar a corregirlo, caso contario hacer clic en finalizar. Por último se muestra un mensaje indicando que la importación se realizó correctamente. 4.4.7. CREAR LA RED INALÁMBRICA Es necesario crear un perfil de red inalámbrica que se ajuste a los parámetros configurados anteriormente en el servidor RADIUS y en el AP. Ingresar al panel de control, escoger la opción Redes e Internet, Centro de redes y recursos compartidos y en Administrar redes Inalámbricas. Hacer clic en la pestaña agregar. Escoger la opción crear un perfil de red manualmente. Ingresar el nombre de la red, el tipo de seguridad y cifrado que tendrá la red, estos parámetros deben coincidir con los configurados en el Access Point. Al aceptar se genera un mensaje indicando que la red ha sido agregada correctamente, para adecuar la red a los requerimientos de RADIUS, hacer clic en la opción cambiar la configuración de conexión. En la ventana que se abre, hacer clic en la pestaña seguridad y escoger como método de autentificación de red a Microsoft EAP protegido (PEAP) y hacer clic en el botón configuración. Desmarcar el casillero de Validar un certificado de servidor, en método de autentificación elegir Contraseña segura (EAP-MSCHAP v2) y hacer clic en el botón configurar. Se debe desmarcar la casilla que indica el uso automático del nombre de inicio de sesión y contraseña de Windows. Aceptar para que se guarden los cambios realizados, volver a la pantalla principal de las propiedades de la red inalámbrica que se está configurando y hacer clic en opciones avanzadas. En esta ventana se debe elegir el modo de autentificación que se va a utilizar, para esto hay que marcar la casilla de Especificar modo de autentificación y escoger únicamente la opción autentificación de usuarios. Finalmente pulsar en aceptar para que se guarde la configuración realizada, la red inalámbrica esta lista para ser usada. 4.4.8. REALIZACIÓN DE UNA PRUEBA Para probar el correcto funcionamiento del servidor, simplemente conectar el computador a la red inalámbrica configurada anteriormente y se va a mostrar un cuadro en el cual hay que ingresar el nombre de usuario y contraseña que se registró en el servidor RADIUS, recordando que únicamente se podrá autentificar con las credenciales asignadas al usuario del cual se instaló el certificado digital. Si el nombre de usuario y contraseña son correctos, el usuario será exitosamente autenticado a la red y podrá gozar de los recursos que esta posea. LO DE ACA NO IMPORTA POR AHORA: ANEXO Configurar Adaptadores de red Seleccionamos la opción NETWORK. Aquí la interfaz muestra las interfaces creadas anteriormente con sus IPs. Normalmente ETH00 es el adaptador de red interno (interfaz segura del servidor de seguridad) y ETH01 es el externo que comunicarse con router. Using xDSL Añadir botones de IP que puede configurar las direcciones IP estáticas para estas interfaces. He elegido para la interfaz interna 192.168.0.100 (ETH00) y 192.168.1.1 para el externo (ETH01), ahora me puedo asignar la puerta de enlace por defecto en el boton DEFAUT GW. Mi puerta de enlace es 192.168.0.1, ahora puedo comprobar las rutas de la estática en Menú del router: Ahora ya podemos empezar a crear políticas para nuestra red interna (192.168.0.0/24), o usar el portal cautivo para crear usuarios y contraseñas para los usuarios internos que quieren usar el navegador de internet. 4.5 Navegación por Internet Para que los clientes internos puedan hacer uso de la conexión a Internet, debemos activar Network Address Translation (NAT) para protegerlos. Usando el menú Router, hay que hacer clic en la opción NAT, y una ventana, donde tenemos que pasar la interfaz ETH01 a las interfaces visibles, así. 5. USUARIOS Esta configuración se hace en el menú USERS. 5.1 Agregar un usuario Para agregar un nuevo usuario, damos clic en Add. Esto abre dentro de la interfaz un formulario donde llenamos los datos del nuevo cliente a agregar. Se llenan los datos, aquí podemos asignar la contraseña a este usuario y para guardar, damos clic en Submit. 5.2 Ver listado de usuarios Para ver el listado de los usuarios de la red interna creados, damos clic en la pestaña List. Y esta mostrara la lista de los usuarios y un detalle de los datos básicos de estos. 5.3 Editar usuarios Para editar los usuarios, tenemos u elegir el usuario en la lista de usuarios y le damos clic a la pestaña editar. 6. Establecer autenticación Para activar la autenticación tenemos que ingresar al menú CAPTIVE PORTAL. Primero hay que agregar los servicios que serán autorizados por el servidor, por defecto este tiene el servicio DNS y el DHCP, agregamos el de HTTP, con el puerto 80. Ahora le damos clic a la pestaña autenticación y esta abre la siguiente visualización: Podemos modificar el formato http de la autenticación, para que quede personalizados, le damos guardar en SAVE, y luego ACTIVE. 7. FILTRAR PÁGINAS La única manera de filtrar páginas en a través de listas negras. Las listas negras se crean en el menú, HTTP PROXY, en Manage