Cuando invitamos amigos a nuestra casa es com\u00fan que nos pidan la contrase\u00f1a para conectarnos a internet, la mayor\u00eda de las conexiones a internet en casa ( domesticas ) son un simple password por lo que cuando se lo hemos dado a una persona tenemos que confiar que esta persona no va a d\u00e1rsela a otras mas como el vecino o a la vecina que le hable mas bonito, en un descuido toda la colonia podr\u00eda tener nuestra clave WI-FI.<\/p>\n
Sucede lo mismo en las oficinas, cuando llega un visitante suelen pedir internet para bajar documentos de sus nubes privadas y si es una clave entonces ya le hemos abierto las puertas a intrusiones de compa\u00f1\u00edas rivales.<\/p>\n
En ambos casos solo basta con que una persona mal intencionada este al alcance de la se\u00f1al WIFI para poderse conectar sabiendo la clave de acceso, la cual una vez confiada en alguna persona es muy f\u00e1cil de divulgar. Un simple me permites la clave para enviar un correo es toda la ingenier\u00eda social que se necesita para que el que sabe la clave la entregue incluso sin preguntarle al due\u00f1o del acceso Access point.<\/p>\n
Desventaja de tener solo una clave de acceso<\/strong><\/p>\n Al ser solo una clave adem\u00e1s de lo ya escrito en los p\u00e1rrafos anteriores, al ser una \u00fanica clave de igual forma pudiera ser vulnerable a ataques de diccionario, donde el que intenta entrar a la red simplemente pasa un diccionario y podr\u00eda lograr adivinar la contrase\u00f1a lo cual es un problema incluso si nadie le da la contrase\u00f1a tiene la oportunidad de adivinarla.<\/p>\n Ventajas de tener WPA2 + Enterprise<\/strong><\/p>\n Se puede tener un usuario y contrase\u00f1a para cada persona que vaya a conectar al Access Point , La conexi\u00f3n puede ser auditada en que IP fue asignada, La conexi\u00f3n puede ser tarificada en cuanto tiempo duro la conexi\u00f3n, ETC.<\/p>\n Requerimientos<\/strong><\/p>\n Free Radius en CentOS 7, un Access Point con la IP 192.168.1.1 en este ejemplo es un Linksys, GNU\/Linux CentOS 7 con la IP 192.168.1.253<\/p>\n Instalar Free Radius desde los repositorios<\/em><\/p>\n 1 los archivos de configuracion de Radius estan en \/etc\/raddb\/<\/p>\n 2 Archivo users <\/p>\n cada usuario es una l\u00ednea como la siguiente, Cada usuario es una cuenta que puede acceder por alg\u00fan cliente.<\/p>\n 3 archivo clients.conf , Cada Access Point se considera un cliente de Radius <\/p>\n La cerpeta certs contiene certificados que vienen por default, para generar propios ejecutar<\/p>\n Esto borra los certificados default pero conserva los script para generar nuevos si es que se desean usar o se pueden hacer manualmente con el openssl creando una CA ROOT y un Cert Server firmado por CA ROOT<\/p>\n el CA debe estar en la llave privada debe adjuntarse en server.pem<\/p>\n Los certificados para clientes son obligatorios en EAP-TLS pero opcionales en EAP-TTLS Im\u00e1genes de como se ve una autenticaci\u00f3n via WPA2 + Enterprise en un Android, En un GNU\/Linux Ubuntu y la configuraci\u00f3n del Linksys para ser cliente de Radius.<\/p>\nyum install freeradius<\/code><\/p>\nlastdragon Cleartext-Password := \"yosoylastdragon\"<\/code><\/p>\nclient 192.168.1.1 {
\n secret = passwordlinksys
\n shortname = linksyssala
\n}<\/code><\/p>\nrm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt*<\/code><\/p>\n
\n\/etc\/raddb\/certs\/ca.pem<\/code>
\nEl cert server debe estar en
\n\/etc\/raddb\/certs\/server.pem<\/code><\/p>\n
\nand PEAP<\/p>\n
![\"\"](\"https:\/\/www.lastdragon.net\/misarchivos\/radius\/usuarioandroid1.jpg\")
<\/a><\/p>\n