Relatório Geração de Registros de Acesso ao Serviço Eduroam em
Contents
1.2. Relat rio Gera o de Registros de Acesso ao Servi o Eduroam em Base de Dados Projeto Eduroam br Education Roaming em Universidades Brasileiras Dezembro de 2011 Equipe Profa D bora C Muchaluat Saade UFF IC coordenadora Prof C lio Vinicius Neves de Albuquerque UFF IC Prof Luiz Cl udio Schara Magalh es UFF TET Prof Lu s Henrique Maciel Kosmalski Costa UFRJ Prof Miguel Elias Mitre Campista UFRJ Prof Marcelo Luiz Drumond Lanza UFRJ Prof Ronaldo Alves Ferreira UFMS Profa Hana Karina Salles Rubinsztejn UFMS Edelberto Franco Silva UFF IC Esdras Caleb Oliveira Silva IC UFF Augusto Tundis Ferreira UFRJ Brivaldo Junior UFMS Juliano T Bergamo UFMS P ricles C M Lopes UFMS Thiago Rodines UNICAMP 1 Introdu o O presente relat rio apresenta os conceitos envolvidos na implanta o da funcionalidade de accounting em servidores RADIUS Radius 00 cujo intuito armazenar registros referentes s solicita es de acesso realizadas pelos usu rios de cada institui o seja localmente ou em roaming entre as universidades envolvidas no projeto tamb m introduzido um manual de configura o para a funcionalidade de accounting do servi o RADIUS e em complemento administra o desta fun o um manual de instala o e configura o do banco de dados PostgreSQL assim como da ferramenta web phppgadmin O restante do texto est organizado da seguinte forma A Se
3. abordado como criar a base de dados utilizada pelo FreeRADIUS para o accounting assim como os arquivos de configura o envolvidos neste processo Ao final como complemento e intencionando facilitar a visualiza o e administra o do banco de dados utilizado pelo accounting e do PostgreSQL de forma geral descrita a instala o da ferramenta phppgadmin 3 1 PostgreSQL A instala o do banco de dados PostgreSQL simples e necessita apenas de pouca configura o para que esteja em funcionamento Sendo assim necess rio realizar apenas os passos das Listagens 1 e 2 apt get install postgresql 8 4 Listagem 1 Instala o do PostgreSQL su postgres psql c ALTER USER postgres WITH PASSWORD novasenha Listagem 2 Alterando a senha do administrador do PostgreSQL A Listagem 1 exibe o comando referente instala o do banco de dados em si j a Listagem 2 considerado tamb m um passo importante uma vez que altera a senha padr o do usu rio administrador do banco de dados PostgreSQL Caso deseje adicionar algum IP para a administra o remota da base de dados verifique o arquivo contido em Yetc postgresql 8 4 main pg hba conf Recomendamos adicionar tamb m o conte do da Listagem 3 que representa a libera o do usu rio radius localmente base denominada radius que futuramente ser criada local radius radius md5 Listagem 3 Libera
4. o 2 apresenta os principais conceitos do accounting A Se o 3 exibe um guia de instala o e configura o de todos os servi os envolvidos na realiza o do accounting pelo FreeRADIUS Na Se o 4 resumida a busca por ferramentas de visualiza o e gera o de relat rios para os dados de accounting A Se o 5 exibe o status atual do funcionamento do accounting nas institui es envolvidas atualmente no projeto J a Se o 6 apresenta outras atividades desenvolvidas no per odo e a Se o 7 conclui o relat rio 2 Accounting Conceitos B sicos Accounting tamb m chamado de auditoria se refere ao monitoramento do comportamento dos usu rios e de que forma estes consomem os recursos da rede e foi introduzido no servi o RADIUS pela RFC 2866 RFC 2866 Essas informa es podem ser muito teis tanto sob a tica gerencial quanto por exemplo para contabiliza o e cobran a de servi os billing al m de auxiliar na vis o global da demanda da rede por exemplo na gera o de estat sticas a partir dos dados coletados H muito tempo j se utiliza o accounting em provedores de acesso Internet ISP Internet Service Provider surgindo como ferramenta essencial contabiliza o da utiliza o dos servi os para futura cobran a principalmente durante a fase de populariza o do acesso discado dial up Para que sua principal funcionalidade seja desempenhada interessante que os registros sejam a
5. allow deny from all allow from seu ip mascara kalliow from 127 0 0 0 255 0 0 0 3117 128 tallow from all lt IfModule mod php5 c gt php flag magic quotes gpc Off php flag track vars On php value include path lt IfModule gt lt Directory gt Listagem 13 Configura o do arquivo do phppgadmin cp etc phppgadmin apache conf etc apache2 conf d phppgadmin Listagem 14 C pia do arquivo de configura o do Apache para o phppgadmin necess rio reiniciar o servidor web Apache para que as configra es tenham efeito este passo compreendido pela Listagem 15 etc init d apache2 restart Listagem 15 Reiniciando o Apache com as novas configura es Para acessar a interface web do phppgadmin utilize o navegador da m quina em que o acesso foi liberado Listagem 13 e insira o endere o http maquina servidor postgresgl phppgadmin Ser visualizada uma tela como a Figura 2 O acesso aos dados foi realizado pelo usu rio radius que criamos durante a ativa o do accounting na Se o 3 2 ph pPRgAd min phpPgAdmin 4 2 3 SOL History Find Destogar ns q phpPgAdmin B Servers E PostgresaL Login to PostgreSQL Home de usu rio radius Senha ssss Identifica o Figura 2 Tela de acesso do phppgadmin Uma vez autenticado no sistema dever ser selecionada a base de dados que desejamos administrar no cas
6. armazenado provavelmente em um banco de dados O NAS do cliente recebe tamb m um pacote de retorno sobre a requisi o enviada A Figura 1 mostra as opera es mais b sicas realizadas pelo accounting o Accounting Request e o Accounting Response correspondentes respectivamente ao pedido de armazenamento das requisi es do cliente e resposta do servidor RADIUS NAS RADIUS Accounting Account Bling Reques Response Accounting Figura 1 Registro da requisi o de acesso do cliente Os atributos de accounting carregados no pacote podem conter mais ou menos informa es sobre o acesso dependendo do NAS em quest o Estas informa es variam desde o login do usu rio at o nome e modelo do ponto de acesso contatado Como complemento os pacotes de Accounting Request e Accounting Response podem ser referentes ao in cio start ou fim stop de uma sess o sendo assim poss vel contabilizar por exemplo o tempo em que o cliente ficou conectado ao servi o Ap s esta breve introdu o te rica ser o iniciados os passos de instala o e configura o do accounting em um servidor RADIUS 3 Instala o e configura o do suporte ao accounting Esta se o apresenta um guia passo a passo de habilita o do accounting para o servi o do FreeRADIUS utilizando como banco de dados o PostgreSQL PostgreSQL 11 Primeiramente ser apresentada a instala o do banco de dados PostgreSQL Ap s esta etapa ser
7. Password Access Reject NULL NULL 2011 12 13 16 12 08 721341 02 18 esilva midiacom uff br Chap Password Access Reject NULL NULL 2011 12 13 16 13 00 206265 02 19 esilva midiacom uff br Chap Password Access Reject NULL NULL 2011 12 13 16 13 16 940131 02 etar 20 esilva midiacom uff br Chap Password Access Accept NULL NULL 2011 12 13 16 26 27 060373 02 Deletar 21 a Chap Password Access Reject NULL NULL 2011 12 13 17 31 23 885334 02 Deletar 22 admin Chap Password Access Reject NULL NULL 2011 12 13 17 31 47 097817 02 Deletar 23 esiva midiacom uff br Chap Password Access Accept NULL NULL 2011 12 13 18 14 05 649209 02 24 esilva midiacom uff br Chap Password Access Accept NULL NULL 2011 12 13 18 14 18 720233 02 letar 25 esilvaomidiacom utf br Chap Password Access Reject NULL NULL 2011 12 13 18 17 02 752457 02 etar 26 esiva midiacom uff br Chap Passwrord Access Reject NULL NULL 2011 12 13 18 17 02 811524 02 Deletar 27 esilva omidiacom uff br Chap Passwrord Access Reject NULL NULL 2011 12 13 18 17 08 597145 02 etar 28 esilva midiacom uff br Chap Password Access Accept NULL NULL 2011 12 13 18 17 48 285094 02 Deletar 29 esilva Bmidiacom uff br Chap Password Access Accept NULL NULL 2011 12 13 18 18 21 537277 02 Deletar 30 caleb Chap Password Access Reject NULL NULL 2011 12 13 21 14 31 785872 02 Io i Figura 4 Relat rio de requisi o de autentica o dos usu rios Dive
8. eRADIUS A instala o desta interface de administra o web se mostrou simples e pode ser acompanhada a seguir Caso n o tenha instalado um servidor web em seu servidor aconselhamos a instala o do Apache e ao menos o suporte linguagem PHP em sua ltima vers o como pode ser visto pela Listagem 11 apt get insta apache2 apt get insta libapache2 mod php5 Listagem 11 Instala o do Apache 2 e suporte a PHP5 Ap s a instala o do servidor web e como j temos nosso servidor de banco de dados PostgreSQL instalado e configurado Se o 3 1 podemos instalar o phppgadmin conforme a Listagem 12 apt get install phppgadmin Listagem 12 Instala o do phppgadmin Por padr o o phppgadmin ir aceitar somente conex es vindas da m quina local portanto caso deseje acessar a base de dados de outro computador pela interface web aconselhamos que altere o arquivo localizado em etc phppgadmin apache conf como na Listagem 13 O mesmo arquivo pode j estar contido em etc apache2 conf d com o nome de phpgadmin e sendo assim ser este que dever ser alterado Por m caso exista apenas o arquivo etc phppgadmin apache conf copie o para a pasta correta conforme a Listagem 14 Alias phppgadmin usr share phppgadmin lt Directory usr share phppgadmin gt DirectoryIndex index php Options FollowSymLinks AllowOverride None order deny
9. ing no FreeRADIUS modules SINCLUDE confdir modules SINCLUDE eap conf SINCLUDE sql conf Listagem 9 Indica o da configura o de conex o ao SQL Para que sejam armazenadas as requisi es e respostas de forma simult nea para solicita es de autentica o dos usu rios necess rio realizar a configura o do arquivo etc freeradius sql postgresql dialup conf conforme a Listagem 10 simul count query SELECT COUNT FROM Sflacct tablel WHERE UserName SQOL User Name AND AcctStopTime IS NULL simul verify query SELECT RadAcctId AcctSessionld UserName NASIPAddress NASPortId FramedIPAddress CallingStationld FramedProtocol FROM Sf acct tablel WHERE UserName SQL User Name AND AcctStopTime IS NULL Listagem 10 Liberando o armazenamento de conex es simult neas Feitas as configura es o ideal que seja reiniciado o servi o do FreeRADIUS em modo debug e sejam acompanhadas as tentativas de conex o com o banco de dados Para a visualiza o dos dados armazenados aconselhamos que sejam seguidos os passos a serem expostos na Se o 3 3 que faz refer ncia instala o da ferramenta web phppgadmin 3 3 Phppgadmin Foi instalada uma ferramenta web para administra o do banco de dados PostgreSQL onde poss vel visualizar os dados de solicita es de acesso coletados pelo accounting do Fre
10. l psql U radius radius lt schema sqgl Listagem 6 Criando as tabelas da base de dados radius Nesse momento j temos tanto a base de dados como o usu rio que a administrar criados e configurados ent o deve se configurar os arquivos referentes ao FreeRADIUS para habilitar a grava o no banco de dados Os arquivos do FreeRADIUS que dever o ser alterados s o etc freeradius sgl conf etc freeradius sites enabled default etc freeradius radiusd conf etc freeradius sql postgresql dialup conf No arquivo Yetc freeradius sgl conf dever ser alterada apenas a senha do usu rio radius e o endere o do servidor de banco de dados como na Listagem 7 sql database postgresql driver rim sql Sf database server localhost login radius password senha do usuario radius no bd radius db radius Listagem 7 Configura o de conex o do RADIUS com a base de dados necess rio habilitar o accounting nos arquivos de configura o do FreeRADIUS que j est o configurados em sua instala o Estes arquivos s o apresentados pela Listagem 8 e Listagem 9 equivalentes respectivamente aos arquivos etc freeradius sites enabled default e etc freeradius radiusd conf accounting detail daily unix radutmp sql exec attr_filter accounting_response session radutmp sql Listagem 8 Ativa o do account
11. la 1 apresenta o panorama atual Tabela 1 Status da implanta o do Accounting Institui o Accounting em funcionamento UFF SIM UFRJ em andamento UFMS SIM UFES N O UFRGS N O UNICAMP SIM UFSC N O UFMG N O 6 Outras Atividades Durante o per odo foram realizadas outras atividades no mbito do projeto como o suporte s institui es interessadas para que se integrem ao projeto eduroam Al m da UFMG que se encontra em fase de testes de roaming entre institui es foi dado in cio integra o da UFPA que ainda est instalando a infraestrutura RADIUS necess ria ao oferecimento do servi o Foram feitos testes de roaming internacional com um usu rio da University of Waterloo no Canad utilizando o servi o eduroam atrav s da rede da UFRJ A autentica o foi bem sucedida mostrando que o piloto eduroam br est conectado n o s a Europa mas s outras confedera es internacionais tamb m A documenta o dispon vel no site do projeto www midiacom uff br eduroam br foi ampliada incluindo uma p gina de FAQ frequently asked questions com esclarecimentos gerais sobre o servi o eduroam 7 Conclus es Este documento apresentou os conceitos envolvidos na fun o de accounting para o servi o RADIUS a ser incorporado ao projeto eduroam br como forma de visualiza o e ger ncia das solicita es de autentica o recebidas pelos servidores RADIUS das in
12. ndo usu rio radius para administra o da base de dados Ap s a instala o b sica do banco de dados poss vel passarmos etapa cria o da base de dados utilizada pelo FreeRADIUS para o accounting como ser exposto pela Se o 3 2 3 2 FreeRADIUS Como primeiro passo caso o FreeRADIUS tenha sido instalado em uma distribui o com base em pacotes e g Ubuntu Debian necess rio apenas instalar o pacote com as informa es e m dulos necess rios ao acesso SQL como na Listagem 4 apt get install freeradius postgresql Listagem 4 Instala o do suporte ao PostgreSQL pelo FreeRADIUS Nosso pr ximo passo depois de instalado o suporte ao banco de dados criar o usu rio radius que administrar a base de dados chamada radius A base de dados radius conter todas as tabelas necess rias para que o sistema de accouting funcione e seu arquivo SQL disponibilizado ap s o passo da Listagem 5 su postgres createuser radius no superuser no createdb no createrole P createdb radius owner radius exit Listagem 5 Criando usu rio e base de dados radius Os arquivos relacionados ao accounting se encontram na pasta etc freeradius sql postgresq e a partir de um dos arquivos l presentes que ser o criadas as tabelas referentes base de dados radius criada como pode ser visto pela Listagem 6 t cd etc freeradius sql postgresg
13. o a chamada radius Como pode ser visto na Figura 3 ph pR g Admin PostgreSQL 8 4 9 rodando em localhost 5432 Voc est logado como usu rio radius 19th Dec 2011 12 24AM SQL History Find Destogar O prpposcmin F PostgresaL 8 E D E Banco de dados Conta Tablespaces Exportar Reportes Coment rio S Banco de dados Propiet rio Codifica o Tablespace Size 8 Esquemas T postgres postgres UTF po defaut 5600kB Deletar Q public radius radius UTFS po defaut 5744kB Deletar E B belas Actions on multiple lines nas Select all Unselect all gt gt Execute radacct radcheck Criar banco de dados radgroupch radgroupre adippool stauth radreply HOHH A E radusergroL so000000m4A z o iza es H amp Sequ ncias a amp Full Text Search Figura 3 Sele o do banco de dados radius Os dados armazenados na tabela radpostauth equivalem resposta da solicita o de autentica o do cliente e pode ser visualizada pela Figura 4 A partir deste relat rio simples encontrar se um acesso foi negado ou aceito a um cliente em especial e em qual momento isto ocorreu phpRgAdmin 123 Pr ximo Last gt gt a A es id username pass reply calledstationid callingstationid authdate Editar Deletar 1 teste Omidiacom uff br teste123 Access Accept NULL NULL 2011 12 09 16 14 10 06366 02 Edi
14. rmazenados em um banco de dados A partir deste armazenamento poss vel extrair informa es referentes tanto ao tempo de utiliza o quanto ao sucesso ou n o de uma autentica o solicitada por um usu rio por exemplo Conceitos chave necess rios ao estudo do accounting podem ser listados como e Modelo cliente servidor composto pelo NAS Network Access Server que pode ser considerado como o ponto de acesso AP rede quele respons vel pela comunica o entre o cliente o provedor remoto de recursos e g Servidor RADIUS que quem encaminha os dados ao servidor de accounting do RADIUS que por sua vez retorna com a resposta do cliente indicando sucesso ou n o em sua identifica o e libera o de acesso e Seguran a de rede a comunica o do accounting est relacionada seguran a de comunica o do servidor RADIUS onde por padr o utiliza se uma comunica o UDP e senha compartilhada por m podendo no caso da utiliza o do accounting para roaming funcionar sob o RadSec TCP TLS Cada pacote RADIUS accounting encapsulado em um segmento UDP cuja porta de destino por padr o a 1813 Os passos de registro realizados pelo servidor de accounting podem ser descritos como quando um cliente inicia uma conex o com o servidor RADIUS que disp e da fun o de accounting habilitada gerado e enviado pelo NAS um pacote de requisi o de nicio da sess o do cliente que dever ser
15. rsos dados podem ser habilitados para a coleta pelo accounting e armazenados no banco de dados aumentando assim as possibilidades de controle e avalia o do ambiente RADIUS administrado 4 Outras ferramentas de visualiza o Foram avaliadas tr s outras ferramentas de visualiza o para os dados coletados pelo accounting Foram elas a ferramenta gratuita recomendada pelos desenvolvedores do FreeRADIUS freeradius dialupadmin Dialup 10 uma ferramenta direcionada fun o de billing NETAMS Netams 07 e tamb m analisada a ferramenta Raptor Raptor 11 Esta ltima ferramenta mostrou que pode ser promissora futuramente por ter um bom suporte para servi os como o Shibboleth Shib 11 por m ainda n o disponibiliza o suporte ao accounting do RADIUS apesar de comentar que poder ter suporte estendido a este As demais ferramentas n o se mostraram de simples utiliza o para o usu rio final e n o atenderam a alguns objetivos b sicos como a realiza o de uma simples busca de autentica es bem sucedidas em certo per odo do tempo Sendo assim estabeleceu se a inten o do desenvolvimento de uma ferramenta web que mesmo que simples auxilie o administrador a obter dados objetivos e rapidamente da base de dados do accounting 5 Status atual da implanta o do Accounting Nesta se o s o expostos os status de cada uma das institui es participantes em rela o implanta o do accounting at o momento A Tabe
16. stitui es participantes Foi tamb m exposto um roteiro de configura o do accounting para um servidor FreeRADIUS com todo o embasamento ferramental envolvido neste processo passando pela habilita o do m dulo do FreeRADIUS at a ferramenta web de administra o do banco de dados PostgreSQL A partir deste relat rio acredita se fornecer uma base tanto do intuito do emprego do accounting em um servidor RADIUS assim como a realiza o de sua habilita o e configura o Acredita se tamb m que o processo de an lise e extra o de informa o dos dados armazenados pelo servi o sejam incrementais e portanto novas ferramentas e visualizadores poder o ser criados durante os pr ximos passos do projeto 8 Bibliografia Dialup 10 Dialup Admin Administration Interface 2010 dispon vel em http sourceforge net projects dialup admin Netams 07 Network Traffic Accounting and Monitoring Software 2007 dispon vel em http www netams com netams4 en html PostgreSQL 11 Site oficial dispon vel em http www postgresqgl org Radius 00 Remote Authentication Dial In User Service RADIUS IETF RFC 2865 junho de 2000 Raptor 11 RAPTOR Project 2011 dispon vel em http iam cf ac uk trac RAP TOR RFC 2866 RADIUS Accounting 2000 dispon vel em http www ietf org rfc rfc2866 txt Shib 11 Shibboleth A Project of the Internet Middleware Initiative 2011 dispon vel em http shibboleth internet2 edu
17. tar Deletar 2teste midiacom uff br SenhaErrada 21 Access Reject NULL NULL 2011 12 09 16 14 57 236136 02 Editar Deletar 3teste midiacom uff br Chap Passwrord Access Accept NULL NULL 2011 12 09 16 16 48 989808 02 Esquemas Editar Deletar 4teste midiacom uff br teste123 Access Accept NULL NULL 2011 12 09 16 18 35 696373 02 O public Editar Steste midiacom uff br Chap Password Access Accept NULL NULL 2011 12 09 16 18 36 761994 02 ft B Tabelas Editar el Steste midiacom uff br Chap Password Access Accept NULL NULL 2011 12 09 16 50 16 478408 02 Editar Deletar 7teste Chap Password Access Accept NULL NULL 2011 12 12 13 46 27 429422 02 Editar Editar Editar Editar Editar Editar Editar Edital 8 edelberto Chap Password Access Reject NULL NULL 2011 12 12 13 53 12 660675 02 9 Chap Password Access Reject NULL NULL 2011 12 12 14 37 13 034032 02 etar 1Oteste Chap Password Access Accept NULL NULL 2011 12 12 15 48 42 445194 02 etar 11 rafael Chap Password Access Accept NULL NULL 2011 12 12 17 55 19 458576 02 ar 12caleb Chap Password Access Accept NULL NULL 2011 12 12 18 29 58 509749 02 e 13 admin Chap Password Access Reject NULL NULL 2011 12 12 20 27 12 049404 02 ar 14 admin Chap Password Access Reject NULL NULL 2011 12 12 20 27 39 652498 02 ISteste Chap Password Access Accept NULL NULL 2011 12 13 16 10 40 190008 02 16 esilva midiacom uff br Chap Password Access Reject NULL NULL 2011 12 13 18 12 04 104805 02 17 esilva midiacom uff br Chap
Download Pdf Manuals
Related Search