WPA2 + Enterprise con Free Radius en GNU/Linux CentOS 7

Manual de configuración de WPA2+Enterprise para iniciar el año.

¿ Usos de WPA2 + Enterprise ?

Cuando invitamos amigos a nuestra casa es común que nos pidan la contraseña para conectarnos a internet, la mayoría de las conexiones a internet en casa ( domesticas ) son un simple password por lo que cuando se lo hemos dado a una persona tenemos que confiar que esta persona no va a dársela a otras mas como el vecino o a la vecina que le hable mas bonito, en un descuido toda la colonia podría tener nuestra clave WI-FI.

Sucede lo mismo en las oficinas, cuando llega un visitante suelen pedir internet para bajar documentos de sus nubes privadas y si es una clave entonces ya le hemos abierto las puertas a intrusiones de compañías rivales.

En ambos casos solo basta con que una persona mal intencionada este al alcance de la señal WIFI para poderse conectar sabiendo la clave de acceso, la cual una vez confiada en alguna persona es muy fácil de divulgar. Un simple me permites la clave para enviar un correo es toda la ingeniería social que se necesita para que el que sabe la clave la entregue incluso sin preguntarle al dueño del acceso Access point.

Desventaja de tener solo una clave de acceso

Al ser solo una clave además de lo ya escrito en los párrafos anteriores, al ser una única clave de igual forma pudiera ser vulnerable a ataques de diccionario, donde el que intenta entrar a la red simplemente pasa un diccionario y podría lograr adivinar la contraseña lo cual es un problema incluso si nadie le da la contraseña tiene la oportunidad de adivinarla.

Ventajas de tener WPA2 + Enterprise

Se puede tener un usuario y contraseña para cada persona que vaya a conectar al Access Point , La conexión puede ser auditada en que IP fue asignada, La conexión puede ser tarificada en cuanto tiempo duro la conexión, ETC.

Requerimientos

Free Radius en CentOS 7, un Access Point con la IP 192.168.1.1 en este ejemplo es un Linksys, GNU/Linux CentOS 7 con la IP 192.168.1.253

Instalar Free Radius desde los repositorios

1 yum install freeradius

los archivos de configuracion de Radius estan en /etc/raddb/

2 Archivo users

cada usuario es una línea como la siguiente, Cada usuario es una cuenta que puede acceder por algún cliente.

lastdragon Cleartext-Password := "yosoylastdragon"

3 archivo clients.conf , Cada Access Point se considera un cliente de Radius

client 192.168.1.1 {
secret = passwordlinksys
shortname = linksyssala
}

La cerpeta certs contiene certificados que vienen por default, para generar propios ejecutar

rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt*

Esto borra los certificados default pero conserva los script para generar nuevos si es que se desean usar o se pueden hacer manualmente con el openssl creando una CA ROOT y un Cert Server firmado por CA ROOT

el CA debe estar en
/etc/raddb/certs/ca.pem
El cert server debe estar en
/etc/raddb/certs/server.pem

la llave privada debe adjuntarse en server.pem

Los certificados para clientes son obligatorios en EAP-TLS pero opcionales en EAP-TTLS
and PEAP

Imágenes de como se ve una autenticación via WPA2 + Enterprise en un Android, En un GNU/Linux Ubuntu y la configuración del Linksys para ser cliente de Radius.

Add a Comment

Comment spam protected by SpamBam