MANUAL ORIENTATIVO de autenticação radius para ISP’s Speedy

ÍNDICE

1.     OBJETIVOS.............................................................................................................................. 3

2.     ACRÔNIMOS E ABREVIATURAS........................................................................................ 3

3.     INTRODUÇÃO:......................................................................................................................... 3

4.     REQUISITOS BÁSICOS:........................................................................................................ 3

5.     AUTENTICAÇÃO DO ACESSO À INTERNET................................................................... 4

6.     OBSERVAÇÕES...................................................................................................................... 6

6.1.      Provedores que possuem usuários Speedy IP fixo (Home e Business)        6

6.1.1.  Infra-Estrutura Necessária no ISP................................................................. 6

6.2.      Servidores radius...................................................................................................... 6

6.2.1.  Considerações quanto ao Endereçamento do RADIUS do ISP........ 8

6.2.2.  Configuração do Servidor RADIUS do ISP.................................................... 8

6.3.      Especificação de um servidor radius........................................................... 8

6.4.      Parâmetros do ISP a serem fornecidos à Telefônica Empresas para a configuração do serviço na Rede IP.......................................................................... 9

7.     CONSIDERAÇÕES.................................................................................................................. 9

ANEXO I-       PROCEDIMENTO PARA INSTALAÇÃO E CONFIGURAÇÃO DO SISTEMA RADIUS FREE.            10

ANEXO II-      FORMULÁRIO PARA ISPS.................................................................................. 14

ANEXO III-     GUIA PARA UTILIZAÇÃO DO PORTAL DE SERVIÇOS PARA USUÁRIOS CORPORATIVOS........................................................................................................................... 16

 

1.      OBJETIVOS

O objetivo deste documento é iniciar a adequação dos ISP’s (Provedores de Acesso à Internet) para autenticação dos usuários Speedy provisionados com IP Fixo (Home e Business).

Esse documento refere-se aos ISP’s e usuários Speedy (Speedy Home PPPoE, Speedy Home IP Fixo e Speedy Business) exceto os primeiros relacionados ao Speedy ATM.

 

2.      ACRÔNIMOS E ABREVIATURAS

ISP

Internet Service Provider

PPPoE

Point to Point Protocol over Ethernet

ADSL

Asymmetric Digital Subscriber Line

ATM

Asynchronous Transfer Mode

RADIUS

Remote Authentication Dial In User Service

OTF

Operadora de Telefonia Fixa

DSLAM

Digital Subscriber Line Access Multiplexer

SABA

Servidor e Acesso Banda Ancha

PVC

Permanent Virtual Circuit

TCP/IP

Transmission Control Protocol / Internet Protocol

ISP

Internet Service Provider

 

3.      INTRODUÇÃO:

A nova plataforma que está sendo implantada pela Telefônica e que passará a ser oferecida a todos os usuários Speedy, possui a funcionalidade de permitir que os ISPs também autentiquem os seus usuários provisionados com IP Fixo.

 

1.      REQUISITOS BÁSICOS:

Os IPS’s que só possuem usuários provisionados com IP Fixo devem dimensionar um servidor de autenticação, utilizando protocolo radius, para autenticar todos os seus usuários. Além de criação e disponibilização das novas informações de usuário e senha.

 

2.      AUTENTICAÇÃO DO ACESSO À INTERNET

O processo de autenticação para usuários provisionados com IP Dinâmico (PPPoE) não sofrerá alterações.

Para o IP Fixo, a postagem de informações de usuário e senha do ISP é realizada através de um formulário para a plataforma, o qual “converte” a solicitação de autenticação http do usuário em uma autenticação radius a partir do roteador (6400) seguindo o mesmo processo da autenticação IP Dinâmico (PPPoE) de acordo com a topologia abaixo.

 

 

 

 

 

 

 

 

Na figura 4.1, temos a troca de mensagens do processo de autenticação para ambos os casos.

A formatação desse usuário e senha deve seguir as mesmas regras adotadas para a autenticação PPPoE atual:

Usuário: nomedousuarionoprovedor@realmdoprovedor (.com.br)

Senha: senhadousuarionoprovedor

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Figura 4.1 – Troca de mensagens de uma conexão entre OTF e ISP.

 Um dos objetivos é que o processo de autenticação dos usuários IP Fixo se assemelhe com o atual processo de autenticação dos usuários PPPoE. Para maiores informações, consulte o documento: GUIA SPEEDY LINK AUTENTICADO, que pode ser encontrado no Link "http://www.telefonicaempresas.com.br/autenticado/guia.zip".

3.      OBSERVAÇÕES

As observações a seguir devem ser consideradas para adequação à autenticação de usuários IP Fixo.

3.1.  Provedores que possuem usuários Speedy IP Fixo (Home e Business)

Deverão possuir servidores radius (devidamente configurados com a Telefônica Empresas – Speedy Link*) para a autenticação dos seus usuários Speedy IP Fixo.

 Deverão prover novos usuários e senhas para todos os usuários Speedy IP Fixo.

 (*) As características do Speedy Link variam de acordo com a capacidade necessária de autenticação do ISP. Consultar a Telefônica Empresas para o seu dimensionamento e requisitos.

3.1.1.     Infra-Estrutura necessária no ISP

Para o ISP poder fornecer o serviço, deverá ter:

·        Um servidor Radius;

·        Um acesso IP Dedicado* com a Rede IP da Telefônica Empresas, onde serão configurados dois PVC’s:

·        Tráfego Radius: por onde tramitarão somente os  pacotes RADIUS entre a Rede IP e o servidor RADIUS do ISP;

·        Tráfego de Dados: Tráfego normal.

*O mesmo utilizado pelo serviço Speedy atual

3.2.  Servidores Radius

Os servidores radius dos ISP’s devem se comunicar com o servidor radius da Telefônica Empresas através do protocolo radius sobre tcp/ip (Speedy Link*).

Os servidores radius dos ISP’s devem autenticar usuários e senhas de todos os seus usuários Speedy.

Caso se aplique, os servidores radius existentes dos ISP’s devem estar dimensionados para suportar a autenticação dos novos usuários IP Fixo.

Os servidores radius dos ISP’s devem estar preparados para receber informações referentes ao tipo de serviço, autorizando apenas os tipos de serviços que o usuário tiver direito (contratado).

Os servidores radius dos ISP’s devem estar preparados para receber informações referentes ao nível de serviço, autorizando apenas os níveis de serviços que o usuário tiver direito (contratado).

Nas tabelas a seguir, temos exemplos de tipos de serviços e níveis de serviços que poderão ser disponibilizados para os usuários Speedy.

Tipo de serviço

Speedy Home 2.0

PPPoE

Speedy Home 4.0

PPPoE

Speedy Home 6.0

PPPoE

Speedy Business 2.0

PPPoE

Speedy Business 4.0

PPPoE

Speedy Business 6.0

PPPoE

Speedy Home 2.0

IP Fixo

Speedy Home 4.0

IP Fixo

Speedy Home 6.0

IP Fixo

Speedy Business 2.0

IP Fixo

Speedy Business 4.0

IP Fixo

Speedy Business 6.0

IP Fixo

Obs: O Tipo de serviço "Speedy Business"2.0/4.0/6.0 PPPoE não existe atualmente, porém sua nomenclatura já foi reservada em caso de uso futuro

Tabela 4.2.1 – Exemplos de tipos de serviços.

Nível de serviço

256kbps

512kbsp

2048kbps

Tabela 4.2.2 – Exemplo de níveis de serviço.

Os servidores radius dos ISP’s devem estar preparados para realizar o controle, medição e tarifação do uso de diferentes tipos e níveis de serviços por demanda do usuário.

3.2.1.     Considerações quanto ao Endereçamento do RADIUS do ISP

Para que o Radius do ISP seja visível para a tramitação de pacotes Radius entre a Rede IP e o seu servidor é necessário o ISP configurar os endereços IP’s que realizarão proxy a partir da Telefônica Empresas, conforme segue:

 200.204.0.15

 200.204.0.142

 200.204.0.21

 200.204.0.22

 200.204.0.72

 200.204.0.73

 200.204.0.195

 200.204.0.196

3.2.2.     Configuração do Servidor RADIUS do ISP

O ISP deverá configurar somente os seus usuários Speedy Autenticado em seu RADIUS, com os seguintes parâmetros:

*Login = usuário@realm

**Password

***Atributo Class = profgenADSL1

*O realm será o que o ISP contratou com a Telefônica para poder fornecer o serviço Speedy Autenticado, por exemplo: realm = nome do ISP

**A senha será definida pelo ISP segundo a sua política atual

***Este atributo deverá ser encaminhado no momento da autenticação

Obs: A identificação do tipo de usuário é feita pelo atributo RADIUS "NAS-PORT-TYPE", que por padrão temos NAS-PORT-TYPE = "16'" (xDSL) para usuários ADSL, ou seja, a TEmpresas estará passando para os ISPs o valor "16" no atributo "NAS-PORT-TYPE para que o ISP saiba que este é um usuário Speedy.

3.3.  Especificação de um servidor radius

O servidor de autenticação pode ser qualquer um que se comunique através do protocolo radius e atenda as necessidades do ISP.

Os requisitos mínimos necessários para instalação de um servidor Radius são:

 

 

 

 

 

Como exemplo, a seguir temos a configuração de um simples servidor Radius, utilizando plataforma comum e softwares livres.

Conexão

-         Acesso IP Dedicado 256Kbps

Hardware

-         PENTIUN III 450MHz ou equivalente

-         64MB de memória RAM

-         6 GB de HD

-         Placa Ethernet 10/100

Sistema Operacional

Conectiva LINUX 6 ou equivalente

Onde encontrar: www.conectiva.com.br

Servidor radius

Cistron 1.6 ou equivalente

Onde encontrar: www.freeradius.org

Capacidade

01 autenticação(*) por segundo

(*) apenas autenticação simples de usuário e senha com troca de parâmetros.

É de responsabilidade do ISP o redimensionamento do servidor para suportar a demanda de trafego assim como para os demais processos que poderão ser implantados (como tarifação completa, por exemplo).

Em Anexo segue um procedimento para auxilio na instalação do Radius Cistron e do Sistema Operacional Linux.

3.4.  Parâmetros do ISP a serem fornecidos à Telefônica Empresas para a configuração do serviço na Rede IP

·        Realm que o ISP utilizará no serviço;

·        Endereço IP do seu servidor RADIUS;

·        Port’s de Autenticação e Accounting.

Senha (shared secret) para comunicação entre os RADIUS da Rede IP e o RADIUS ISP

4.      CONSIDERAÇÕES

As informações deste documento poderão ser modificadas conforme definições da Telefônica.

ANEXO I-                   PROCEDIMENTO PARA INSTALAÇÃO E CONFIGURAÇÃO DO SISTEMA RADIUS FREE.

Para que o Free Radius possa ser instalado, é necessária a instalação do Sistema Operacional LINUX. Abaixo seguem informações para que essa instalação possa ser feita.

·        LINUX (Conectiva)

1) Preparar o servidor, inclusive com o modem do acesso IP dedicado corretamente instalado;

2a) Através de um micro com acesso à Internet, baixar as imagens (arquivos .iso) dos CD's de instalação do LINUX ("http://www.conectiva.com.br/cpub/pt/downloads/index.php");

3a) Com as imagens (.iso), criar os CD's de instalação do LINUX com um gravador de CD;

4a) Seguir a instalação a partir do primeiro CD (com boot a partir do CD);

2b) Através de um micro com acesso à Internet, baixar todos os arquivos (estruturados por CD) de instalação em um HD

("http://www.conectiva.com.br/cpub/pt/downloads/index.php")

3b) Executar o aplicativo "dosutil\rawrite.exe" (com o aquivo

"imagens\boot.img"), do primeiro CD, para criar um diskette de boot do LINUX

4b) Seguir a instalação a partir do diskette criad

5) Através do linuxconf, configurar os seguintes parâmetros de rede:

-         Endereço IP do servidor e sua máscara (linuxconf => Ambiente de rede => Nome da máquina e dispositivos IP de rede => Nome da máquina e Adaptador 1).

-         Servidores DNS (linuxconf => Ambiente de rede => DNS – especificação do servidor de nomes).

Caso o acesso IP dedicado possua o serviço de DHCP, ativar o DHCP client no LINUX e os parâmetros serão obtidos automaticamente (todas essas informações devem ser obtidas junto ao provedor do acesso IP dedicado).

=> Maiores informações, consultar:

" http://www.conectiva.com.br/cpub/pt/incConectiva/suporte/pr/instalacao.html "

Uma vez que o LINUX já estiver instalado e devidamente conectado a rede, realizar a instalação do Servidor RADIUS.

·        RADIUS (Cistron 1.6)

1)     Iniciar o LINUX com o usuário root para instalação do Cistron.

2)     No LINUX, baixar o arquivo ftp://ftp.freeradius.org/pub/radius/radiusd-cistron-1.6.6.tar.gz

a.       [root]# ftp ftp.freeradius.org¿

b.      Usuário: anonymous¿

c.      Senha: ¿

d.      ftp> cd pub/radius/¿

e.      ftp> get radiusd-cistron-1.6.6.tar.gz¿

f.        ftp> quit¿

 

3)     Executar os seguintes passos (comandos) para a instalação:

[root]# cd /root¿ (ir para o diretório onde foi feito o download do arquivo radiusd-cistron-1.6.6.tar.gz)

[root]# tar zxvf radiusd-cistron-1.6.6.tar.gz¿ (desconpactar arquivos e diretórios)

[root]# cd radiusd-cistron-1.6.6.tar.gz/src¿ (mudar de diretório)

[src]# make¿ (compilar arquivos)

[src]# make install¿ (instalar arquivos e diretórios)

 

4)     Editar o arquivo /etc/raddb/clients conforme a tabela abaixo (o parâmetro Shared Secret é definido pelo ISP):

# Client Name                  Shared Secret

#----------                            ----------

200.204.0.15                    # KEY DEFINIDO PELO ISP

200.204.0.142                  # KEY DEFINIDO PELO ISP

200.204.0.21                    # KEY DEFINIDO PELO ISP

200.204.0.22                    # KEY DEFINIDO PELO ISP

200.204.0.72                    # KEY DEFINIDO PELO ISP

200.204.0.73                    # KEY DEFINIDO PELO ISP

200.204.0.195                  # KEY DEFINIDO PELO ISP

200.204.0.195                  # KEY DEFINIDO PELO ISP

 

5)     Editar o arquivo /etc/raddb/naslist conforme a tabela abaixo:

# NAS Name                    Short Name                      Type

#----------                            ----------                               ----------

200.204.0.15                    RTE01                               cisco

200.204.0.142                  RTE02                               cisco

200.204.0.21                    RTE03                               cisco

200.204.0.22                    RTE04                               cisco

200.204.0.72                    RTE05                               cisco

200.204.0.73                    RTE06                               cisco

200.204.0.195                  RTE07                               cisco

200.204.0.196                  RTE08                               cisco

 

6)     Editar o arquivo /etc/raddb/users conforme a tabela a seguir. Inserir todos os usuário e senhas conforme os exemplos (entre parênteses).

usuario1@isp.com.br                                                Password = senha1

                                                                                        Class = profgenADSL1

 

usuario2@isp.com.br                                                Password = senha2

                                                                                        Class = profgenADSL1

 

usuario3@isp.com.br                                                Password = senha3

                                                                                        Class = profgenADSL1

 

Obs: Os parâmetros aqui configurados são os básicos para o funcionamento da autenticação, porém poderão ser incluídos outros parâmetros de acordo com as necessidades dos serviços.

O arquivo /etc/raddb/users deve ser editado e mantido pelo ISP. No exemplo acima temos três usuários fictícios:

Usuário:

Senha:

usuario1@isp.com.br

senha1

usuario2@isp.com.br

senha2

usuario3@isp.com.br

senha3

Onde as informações após o @ (isp.com.br) variam de acordo com o ISP.

O nome do usuário não deve conter espaços (nem caracteres inválidos como tabulações, aspas, sinal de igual e vírgula) e o seu tamanho não deve exceder 31 caracteres.

A senha não deve conter espaços (nem caracteres inválidos como tabulações, aspas, sinal de igual, vírgula e exclamação).

Antes dos atributos Password e Class, devem existir um caractere de tabulação ou de espaço.

A senha deve ser inserida apenas após um espaço depois do sinal de igual, conforme os exemplos descritos.

 

7)     As portas TCP padrão utilizadas são:

Acct-port (accounting port)

1813

Auth-port (authentication port)

1812

8)     ATIVANDO O RADIUS. Em um shell do LINUX, devemos ativar o processo radiusd:

 

[root]# cd /root/radiusd-cistron-1.6.6/src ¿ (caso o diretório de instalação for o /root)

[src]# ./radiusd¿ (ativar o processo no modo normal)

[src]# ./radiusd -x¿ (ativar o processo no modo log)

 

Após este passo o RADIUS deverá estar em funcionamento, autenticando todos usuários que estiverem configurados no arquivo /etc/raddb/users.

 

9)     DESATIVANDO O RADIUS. Em um shell do LINUX, devemos desativar o processo radiusd:

Ativo no modo normal,

-         executar (em qualquer diretório): [root]# ps –ef¿ (listar todos os processo ativos)

-         identificar o processo ./radiusd e anotar o número PID correspondente (pode haver dois números PID, anotar qualquer um dos dois números)

-         executar: [root]# kill (+ o número PID anotado)¿ (parar o processo)

 

Ativo no modo log,

-         Apenas teclar simultaneamente as teclas “control” e “c” no shell onde é exibido o log, para parar o processo)

 

10) ALTERANDO A CONFIGURAÇÃO. Depois de qualquer alteração nas configurações do Radius Cistron (por exemplo, adição de um novo usuário no arquivo /etc/raddb/users), será necessário reinicializar o processo radiusd, desativando e ativando conforme os passos (9) e (8) descritos acima, para que as alterações tenham efeito.

 

11) LOG DE ATUTENTICAÇÃO. Para obter informações das autenticações, verificar todos os arquivos no diretório: /var/log/radacct.

 

ð     Para maiores informações, consultar: " http://www.radius.cistron.nl/faq/ "

 

ANEXO II-                FORMULÁRIO PARA ISPS

 

Informações Comerciais

Razão Social do Cliente:

 

CNPJ/MF:

 

IE :

 

Responsável

 

Telefone :

 

e-mail:

 

Cargo:

 

Gerente de Contas/Atendente:

 

Telefone:

 

 

Informações Técnicas

Informação de Domínio

Qual é o Realm que o ISP utilizará para o Serviço Speedy? (ex: usuário@realm)

 

Informações do RADIUS

Possui servidor com o software RADIUS ?

Sim Não

Qual o software RADIUS instalado?

 

Qual a versão do RADIUS?

 

Qual o endereço IP do servidor RADIUS?

 

Qual a Senha (Shared Secret) utilizada atualmente entre os RADIUS da TEmpresas e do ISP?

 

Qual é o Port de Autenticação?

 

Qual é o Port de Accounting?

 

Obs: Caso o ISP não possua um Servidor RADIUS deverá providenciar de acordo com os requisitos mínimos.

 

 

Informações de Acesso

Possui acesso Speedy Link ?

Sim Não

Qual o nº de LP do acesso Ip dedicado?

 

Roteador de acesso é gerência Telefônica ?

 

O roteador de acesso é de propriedade da Telefônica?

 

Obs: Caso o ISP não possua o acesso Speedy Link, deverá providenciar .

 

ANEXO I-                   GUIA PARA UTILIZAÇÃO DO ACESSO AUTENTICADO PARA USUÁRIOS SPEEDY IP FIXO

 

Objetivo

O objetivo deste anexo é esclarecer a utilização do Speedy autenticado para usuários  provisionados com IP Fixo, pois existe a necessidade do conhecimento do processo de autenticação para que o correto funcionamento do serviço Speedy seja possível.

 

Autenticação do Acesso

Para maior confiabilidade e controle do Speedy, a Telefônica está incluindo em seu serviço uma autenticação do acesso do usuário, ou seja, para o usuário "navegar" na Internet, ele deverá inserir a senha de seu provedor e somente após uma aprovação deste, o usuário poderá utilizar o serviço.

Fluxo de utilização:

Ao se conectar, o usuário será obrigado a se autenticar, pois ao acessar o Speedy, ele é direcionado para uma tela de autenticação, na qual é necessário que ele forneça o username e password de seu ISP (provedor de Internet) para que este possa fazer a autenticação para sua validação na Internet.

O usuário poderá também salvar suas informações de login pressionando o botão “Salvar Senha”, assim da próxima vez que entrar na tela de autenticação não será mais necessário informar seu  “Usuário” e “Senha”, apenas pressionar o botão “OK”.

Uma outra opção, para usuários que desejem que a autenticação seja automática por completo, deve-se criar um arquivo sem conteúdo com o nome “AutAuto.txt” no diretório raiz do seu computador, caso deseje desativar a autenticação automática remova este arquivo.

É necessário que o usuário desse acesso tenha conhecimento de sua conta (username e password), além de estar com sua situação regular com o ISP para que este possa ser autenticado.

Exemplo de uma tela de autenticação:

Salvar

Senha

 

 

Assim que o usuário de Speedy com IP Fixo esteja autenticado, sua conexão com a Internet é estabelecida e com isso o usuário poderá "navegar" livremente.

Para os usuários de IP Fixo, caso ocorra um desligamento do Modem ou da máquina, as condições de autenticação são mantidas, ou seja, reiniciando a máquina e ligando o Modem o acesso continua habilitado (autenticado).

 

1.      Aplicativos que necessitam de Internet (para usuários de IP Fixo)

 

Com a entrada da autenticação dos usuários de IP Fixo, alguns aplicativos existentes (e-mail, Messenger, ICQ, etc.) perderão sua funcionalidade automática, caso o usuário não esteja autenticado, ou seja, para que este serviço continue a ser utilizado do mesmo modo, é necessário que seja feita a autenticação antes de tentar acessá-lo.

 

·        Caso o usuário entre em seu "navegador" de Internet para verificar e-mail e seu acesso não esteja autenticado, ele será direcionado para a tela de autenticação do acesso (fig. III.1)

·        Caso o acesso não esteja autenticado, se o aplicativo não utilizar o navegador, ocorrerá um erro, pois estará tentando se comunicar com a Internet que não estará habilitada.

Em ambos os casos o usuário deverá entrar em seu "navegador" para que possa se autenticar através da tela de autenticação (fig. III.1).

 

2.      Usuários Corporativos

 

2.1.  Descrição:

Se caracteriza por um usuário corporativo, neste documento, aquele cliente Speedy que possui mais de uma máquina ligado ao seu Modem Router no seu acesso Speedy Business.

2.2.  Fluxo de utilização:

·        1º Acesso (Autenticação):

Ao se conectar, o usuário será obrigado a se autenticar, pois no 1º Acesso ele é direcionado para uma tela de autenticação, na qual é necessário que ele forneça o username e password de seu ISP (provedor de Internet) para que este possa fazer a autenticação para sua validação na Internet (Fig III.1).

Com isso é necessário que o usuário do acesso Speedy  esteja com sua situação regular com o ISP para que este possa ser autenticado. É também necessário que os usuários desse acesso sejam informados, pois pode ocorrer o caso de um usuário qualquer ser o primeiro a acessar a Internet após a conexão ser feita e com isso este usuário deverá autenticar o acesso, caso tenha o conhecimento da conta do acesso (username e password), ou entrar em contato com alguém responsável por tal autenticação. 

·        Demais acessos:

Para os demais acessos a "entrada" na Internet se torna transparente pois como o acesso já vai estar autenticado, o usuário terá acesso instantâneo sem passar pela tela de autenticação.

·        Usuários simultâneos em um acesso não autenticado:

Quando vários usuários entrarem na Internet antes que a autenticação seja feita, todos eles receberão antes de sua tela inicial a tela de autenticação.

A partir do momento que uma pessoa se autenticar, os demais usuários poderão acessar a Internet. Tanto clicando em "Home" como inserindo uma direção URL (site) no seu Web Browser padrão.

Caso mais de um usuário tente se autenticar, apenas a primeira autenticação é considerada e as outras são ignoradas, ficando assim o acesso livre para "navegação".

2.3.  Possibilidades para utilização:

1.      Todos usuários de um acesso compartilhado devem ter conhecimento sobre a necessidade de autenticação do sistema, e portanto devem conhecer a senha para saber atuar em caso de uma autenticação.

2.      Existir um funcionário responsável pela verificação do status do acesso, caso este não esteja em funcionamento este deve autenticar o acesso para que os demais usuários possam utilizar. Para este caso todos os usuários deverão ser informados que caso apareça esta pagina de autenticação, ele deverá entrar em contato com o responsável em manter o acesso.