Como configurar o roteador WiFi com WPA2 ou WPA3 Enterprise e RADIUS

Localize e configure o IP do NAS que terá o servidor RADIUS

A primeira coisa que devemos fazer é localizar o servidor NAS na rede, é muito importante saber seu endereço IP privado, pois na configuração da rede wireless teremos que inserir este endereço IP para autenticar os clientes wireless. É altamente recomendável que este endereço IP privado nunca mude, portanto, temos duas opções possíveis:

• Coloque IP fixo no servidor NAS
• Configure o DHCP estático do roteador e defina um endereço IP estático o tempo todo.

Desta forma, forçaremos este servidor NAS a nunca alterar seu endereço IP privado, algo muito importante para que tudo funcione corretamente.

Uma vez que tenhamos configurado corretamente o NAS ou o roteador para que o servidor NAS nunca mude seu endereço IP, iremos configurar o servidor.

Configure o servidor FreeRADIUS

FreeRADIUS é o software por excelência para configurar um servidor RADIUS com opções muito avançadas, este software tem suporte para diferentes tipos de autenticação e funciona muito bem. Uma característica muito importante é que ele é compatível com qualquer sistema operacional, o que é essencial para a máxima compatibilidade.

Configurar este servidor é muito complexo, você tem que configurar os arquivos de configuração de forma avançada, criar uma autoridade de certificação e muito mais. Se usarmos um servidor NAS como o QNAP, vai facilitar muito a tarefa de não ter que configurar um servidor em um computador, em um Linuxbaseado em um servidor ou em um Raspberry Pi. Todos os servidores QNAP NAS suportam a capacidade de configurar um servidor de forma fácil e rápida.

Tudo o que precisamos fazer é ir para a seção ” Painel de controle / Aplicativos / Servidor RADIUS “. Uma vez lá dentro, o que temos que fazer é habilitar o servidor e permitir o acesso às contas de usuário do sistema, embora este último seja opcional e desnecessário.

Uma vez ativado o servidor, na seção “Clientes RADIUS” devemos cadastrar diretamente o roteador que encaminhará toda a autenticação ao servidor. Os dados que teremos que colocar são os seguintes:

• Nome : colocamos um nome para o cliente
• Endereço IP : colocamos o endereço IP privado do roteador, no nosso caso, 192.168.50.1
• Comprimento do prefixo : colocamos 32, indicando que apenas esse endereço IP será o cliente.
• Chave secreta : definimos uma senha forte, é a chave de autenticação entre o roteador e o servidor FreeRADIUS. Esta senha não é do cliente.

A configuração seria a seguinte:

Depois de configurar o cliente, agora teremos que criar os usuários. Neste caso, teremos que criar um usuário para cada Wi-fi cliente que vamos conectar na rede wireless, teremos que indicar o nome do usuário e também sua senha. Todos os clientes que estão nesta lista de «Usuários» terão permissão para se autenticar no servidor e, portanto, obter conectividade WiFi sem limitações de qualquer tipo.

Uma vez configurado o servidor, devemos ir ao roteador para configurá-lo corretamente, pois devemos definir a autenticação WPA2-Enterprise ou WPA3-Enterprise, e indicar dados diferentes.

Configure o roteador com autenticação WPA2 / WPA3-Enterprise e RADIUS

A primeira coisa que temos que fazer é ir para o ” Configurações avançadas / sem fio " seção. Neste menu teremos que selecionar o tipo de criptografia WPA2-Enterprise e vários menus adicionais serão exibidos automaticamente que teremos que completar:

• Método de autenticação : WPA2-Empresa
• Criptografia WPA : AES
• Endereço IP do servidor 192.168.50.141
• Porta do servidor 1812
• Segredo de conexão : 123456789 (no nosso caso, é a senha que colocamos no servidor na seção “Clientes RADIUS”).

A seguir, você pode ver como ficaria em nosso caso:

Todas essas informações que indicamos devem ser refletidas na seção “Configuração RADIUS” com a banda de frequência que configuramos. Aqui veremos o endereço IP privado do servidor, a porta e também o segredo da conexão.

Uma vez que tenhamos configurado corretamente o roteador, agora podemos autenticar os diferentes clientes WiFi com seu nome de usuário e senha correspondentes que criamos anteriormente. Vamos mostrar como conectar um Windows 10 computador e um Android dispositivo.

Conecte um PC com Windows a WiFi usando WPA2-Enterprise

Para configurar uma rede WiFi com WPA2-Enterprise, teremos que configurar manualmente a conexão à rede. Temos que ir para o ” Painel de controle / Network e Centro de Compartilhamento " seção. Neste menu temos que clicar em « Configurar uma nova conexão ou rede ".

Na lista de opções disponíveis, temos que clicar em ” Conectar-se manualmente a uma rede sem fio ”E clique em Avançar.

Agora teremos que inserir o nome da rede WiFi à qual vamos nos conectar, esse nome de rede ou SSID deve ser exatamente o mesmo do roteador. No tipo de segurança escolhemos “WPA2-Enterprise”, o tipo de criptografia será AES obrigatoriamente, não permite alteração. O "Segurança seção chave ”será desabilitada, é completamente normal.

Agora clicamos em « Inicie esta conexão automaticamente »Para desativá-lo, e o mesmo com a opção de« Conecte-se mesmo que a rede não transmita seu nome ".

Ao clicar em próximo, temos que clicar em ” Mudar configurações ”Conforme indicado pelo assistente do Windows. Teremos um menu com tudo o que configuramos até agora.

Na aba “Segurança” escolhemos a opção “Microsoft: EAP protegido (PEAP) ”e clique em“ Configuração ”:

Neste menu teremos que clicar em « Verifique a identidade do servidor validando o certificado »Para desativar esta opção. Deixamos o resto das opções como vêm por padrão.

Quando nos conectarmos à rede sem fio WiFi, agora será solicitado o login, teremos que inserir o nome de usuário e a senha que registramos no servidor no menu “Usuários RADIUS”.

Depois de inserir as credenciais, se não tivermos cometido um erro ao inserir as credenciais do usuário, podemos ver perfeitamente que efetuamos o login e temos uma conexão à Internet sem problemas.

Depois de configurar com êxito um PC com Windows, vamos ver como conectar um smartphone Android.

Conecte smartphone Android a WiFi com WPA2-Enterprise

Em smartphones Android, temos que clicar na rede WiFi à qual queremos nos conectar, não é necessário adicionar manualmente uma rede sem fio como acontece nos sistemas operacionais Windows. Neste caso, assim que clicarmos na rede sem fio WiFi, diferentes opções de configuração aparecerão. Temos que preenchê-lo da seguinte forma:

• Método EAP: PEAP
• Autenticação de fase 2: MSCHAPv2
• Certificado CA: não valide

Na seção “Identidade” teremos que inserir nosso nome de usuário que registramos no servidor, e em “Senha” teremos que inserir o código de acesso. Iremos ligar-nos automaticamente à rede sem fios WiFi, e poderemos navegar na Internet sem problemas, utilizando WPA2-Enterprise e o tipo de encriptação 802.1x EAP que o nosso smartphone nos indica.

Outra configuração possível nesses smartphones seria a seguinte:

• Método EAP: TTLS
• Autenticação de fase 2: MSCHAPv2
• Certificado CA: não valide

Na seção “Identidade” e “Senha” também teremos que inserir nossas credenciais, como antes.

Como você viu, configurar a autenticação WPA2-Enterprise em um roteador é muito simples, e muito mais se usarmos um servidor de autenticação como o integrado em QNAPs. No entanto, não podemos baixar o CA para instalá-lo em cada um dos clientes sem fio WiFi, portanto, ainda poderíamos sofrer um ataque de Rogue AP em que um cibercriminoso se faça passar pelo ponto de acesso legítimo, algo que se tivéssemos o CA em nosso sistema não seria aprovado porque é validado antes de estabelecer uma conexão. Para ter essa segurança, será necessário configurar nosso próprio servidor FreeRADIUS do zero, ou em um sistema como o pfSense onde temos todas as opções de configuração disponíveis.