Cum se configurează routerul WiFi cu WPA2 sau WPA3 Enterprise și RADIUS

Configurați routerul WiFi cu WPA2 sau WPA3 Enterprise și RADIUS

În mod normal, în casele noastre folosim securitatea WPA2-Personal sau WPA3-Personal, acest tip de securitate constă în configurarea unei chei „master” pe care toți clienții wireless o vor folosi, această cheie se numește cheie pre-partajată și toți clienții care doresc să conectarea trebuie să o știe și să o pună pe dispozitivele dvs. pentru a se conecta. În multe routere de acasă avem posibilitatea de a configura WPA2-Enterprise sau WPA3-Enterprise, în acest caz, autentificarea se face prin nume de utilizator și parolă și este necesar să folosiți un server RADIUS pentru autentificarea clienților. Astăzi, în acest articol, vă vom arăta cum am putea configura WPA2 / WPA3-Enterprise pe orice router folosind un NAS pentru a autentifica clienții Wi-Fi.

Localizați și configurați IP-ul NAS care va avea serverul RADIUS

Primul lucru pe care trebuie să-l facem este să localizăm serverul NAS în rețea, este foarte important să îi cunoaștem adresa IP privată, deoarece în configurația rețelei wireless va trebui să introducem această adresă IP pentru a autentifica clienții wireless. Este foarte recomandat ca această adresă IP privată să nu se schimbe niciodată, prin urmare, avem două opțiuni posibile:

  • Puneți IP fix pe serverul NAS
  • Configurați DHCP static al routerului și setați o adresă IP statică în orice moment.

În acest fel, vom forța acest server NAS să nu-și schimbe niciodată adresa IP privată, ceva foarte important pentru ca totul să funcționeze corect.

Odată ce am configurat corect NAS-ul sau routerul astfel încât serverul NAS să nu-și schimbe niciodată adresa IP, vom configura serverul.

Configurați serverul FreeRADIUS

FreeRADIUS este software-ul prin excelență pentru a configura un server RADIUS cu opțiuni foarte avansate, acest software are suport pentru diferite tipuri de autentificare și funcționează foarte bine. O caracteristică foarte importantă este că este compatibil cu orice sistem de operare, ceea ce este esențial pentru o compatibilitate maximă.

Configurarea acestui server este foarte complexă, trebuie să configurați fișierele de configurare într-un mod avansat, să creați o autoritate de certificare și multe altele. Dacă folosim un server NAS precum QNAP, acesta va facilita mult sarcina de a nu fi nevoie să configurați un server pe un computer, pe un Linux-based server sau pe un Raspberry Pi. Toate serverele QNAP NAS acceptă posibilitatea de a configura ușor și rapid un server.

Tot ce trebuie să facem este să mergem la secțiune ” Panou de control / Aplicații / Server RADIUS „. Odată ajuns în interior, ceea ce trebuie să facem este să activăm serverul și să permitem accesul la conturile de utilizator ale sistemului, deși acesta din urmă este opțional și nu este necesar.

Odată ce serverul este activat, în secțiunea „Clienți RADIUS” trebuie să înregistrăm direct routerul care va redirecționa toată autentificarea către server. Datele pe care va trebui să le punem sunt următoarele:

  • Nume : punem un nume clientului
  • Adresa IP : punem adresa IP privată a routerului, în cazul nostru, 192.168.50.1
  • Lungimea prefixului : am pus 32, indicând că numai acea adresă IP va fi clientul.
  • Cheie secreta : definim o parolă puternică, este cheia de autentificare între router și serverul FreeRADIUS. Această parolă nu este a clientului.

Configurația va fi după cum urmează:

Odată ce am configurat clientul, acum va trebui să creăm utilizatorii. În acest caz va trebui să creăm un utilizator pentru fiecare WiFi clientului pe care urmează să îl conectăm la rețeaua wireless, va trebui să indicăm numele utilizatorului și, de asemenea, parola acestuia. Toți clienții care se află în această listă de „Utilizatori” vor avea permisiunea de a se autentifica pe server și, prin urmare, vor obține conectivitate WiFi fără niciun fel de limitări.

Odată ce am configurat serverul, trebuie să mergem la router pentru a-l configura corect, deoarece trebuie să setăm autentificarea WPA2-Enterprise sau WPA3-Enterprise și să indicăm date diferite.

Configurați routerul cu autentificarea WPA2 / WPA3-Enterprise și RADIUS

Primul lucru pe care trebuie să-l facem este să mergem la „ Setări avansate / wireless " secțiune. În acest meniu va trebui să selectăm tipul de criptare WPA2-Enterprise și vor fi afișate automat mai multe meniuri suplimentare pe care va trebui să le completăm:

  • Metoda de autentificare : WPA2-Enterprise
  • Criptare WPA : AES
  • Adresa IP a serverului : 192.168.50.141
  • Port server : 1812
  • Secretul conexiunii : 123456789 (în cazul nostru, este parola pe care am pus-o pe server în secțiunea „Clienți RADIUS”).

Apoi, puteți vedea cum ar arăta în cazul nostru:

Toate aceste informații pe care le-am indicat trebuie reflectate în secțiunea „Configurare RADIUS” cu banda de frecvență pe care am configurat-o. Aici vom vedea adresa IP privată a serverului, portul și secretul conexiunii.

Odată ce am configurat corect routerul, chiar acum putem autentifica diferiții clienți WiFi cu numele lor de utilizator și parola corespunzătoare pe care le-am creat anterior. Vă vom arăta cum să vă conectați ferestre din 10 computer și un Android dispozitiv.

Conectați un PC Windows la WiFi utilizând WPA2-Enterprise

Pentru a configura o rețea WiFi cu WPA2-Enterprise va trebui să configurăm manual conexiunea la rețea. Trebuie să mergem la ” Panou de control / Reţea și Centrul de partajare " secțiune. În acest meniu trebuie să facem clic pe « Creează o conexiune sau o rețea nouă “.

În lista de opțiuni disponibile, trebuie să facem clic pe ” Conectați-vă manual la o rețea fără fir ”Și faceți clic pe următorul.

Acum va trebui să introducem numele rețelei WiFi la care urmează să ne conectăm, acest nume de rețea sau SSID trebuie să fie exact la fel ca în router. În tipul de securitate alegem „WPA2-Enterprise”, tipul de criptare va fi obligatoriu AES, nu permite schimbarea acestuia. „Securitate secțiunea „cheie” va fi dezactivată, este complet normal.

Acum facem clic pe « Porniți automat această conexiune »Pentru a o dezactiva, la fel cu opțiunea« Conectați-vă chiar dacă rețeaua nu își difuzează numele “.

Când facem clic pe următorul, trebuie să facem clic pe ” Schimbă setările ”Așa cum este indicat de expertul Windows. Vom primi un meniu cu tot ceea ce am configurat până acum.

În fila „Securitate” alegem opțiunea „Microsoft: EAP protejat (PEAP) ”și faceți clic pe„ Configurare ”:

În acest meniu va trebui să facem clic pe « Verificați identitatea serverului prin validarea certificatului »Pentru a dezactiva această opțiune. Lăsăm restul opțiunilor așa cum apar în mod implicit.

Când ne conectăm la rețeaua wireless WiFi, aceasta ne va cere acum să ne conectăm, va trebui să introducem numele de utilizator și parola pe care le-am înregistrat pe server în meniul „Utilizatori RADIUS”.

Odată ce am introdus acreditările, dacă nu am făcut o greșeală la introducerea acreditărilor de utilizator, putem vedea perfect că ne-am conectat și că avem o conexiune la Internet fără probleme.

Odată ce am configurat cu succes un PC Windows, să vedem cum să conectăm un smartphone Android.

Conectați smartphone-ul Android la WiFi cu WPA2-Enterprise

În smartphone-urile Android trebuie să facem clic pe rețeaua WiFi la care dorim să ne conectăm, nu este necesar să adăugăm manual o rețea wireless, așa cum se întâmplă în sistemele de operare Windows. În acest caz, imediat ce facem clic pe rețeaua wireless WiFi, vor apărea diferite opțiuni de configurare. Trebuie să o completăm în felul următor:

  • Metoda EAP: PEAP
  • Autentificare în faza 2: MSCHAPv2
  • Certificat CA: Nu validați

În secțiunea „Identitate” va trebui să introducem numele de utilizator pe care l-am înregistrat pe server, iar în „Parolă” va trebui să introducem codul de acces. Ne vom conecta automat la rețeaua wireless WiFi și vom putea naviga pe Internet fără nicio problemă, folosind WPA2-Enterprise și tipul de criptare 802.1x EAP pe care smartphone-ul nostru ni-l indică.

O altă posibilă configurație pe aceste smartphone-uri ar fi următoarea:

  • Metoda EAP: TTLS
  • Autentificare în faza 2: MSCHAPv2
  • Certificat CA: Nu validați

În secțiunea „Identitate” și „Parolă” va trebui, de asemenea, să introducem acreditările noastre, ca înainte.

După cum ați văzut, configurarea autentificării WPA2-Enterprise pe un router este foarte simplă și mult mai mult dacă folosim un server de autentificare precum cel integrat în QNAP. Cu toate acestea, nu putem descărca CA pentru a-l instala în fiecare dintre clienții fără fir WiFi, prin urmare, am putea încă suferi un atac Rogue AP în care un criminal cibernetic imită punctul de acces legitim, lucru care, dacă am avea CA în sistemul nostru nu ar trece deoarece este validat înainte de a stabili o conexiune. Pentru a avea această securitate, va fi necesar să ne configurăm propriul server FreeRADIUS de la zero, sau într-un sistem precum pfSense unde avem toate opțiunile de configurare disponibile.