Configura tu router con WPA2 o WPA3 Enterprise y FreeRADIUS

Localizar y configurar la IP del NAS que tendrá el servidor RADIUS

Lo primero que debemos hacer es localizar el servidor NAS en la red, es muy importante conocer su dirección IP privada, porque en la configuración de la red inalámbrica tendremos que introducir esta dirección IP para autenticar a los clientes inalámbricos. Es muy recomendable que esta dirección IP privada nunca cambie, por tanto, tenemos dos posibles opciones:

• Poner IP fija en el servidor NAS
• Configurar el Static DHCP del router, y fijar una dirección IP estática siempre.

De esta forma, forzaremos a que este servidor NAS nunca cambie de dirección IP privada, algo muy importante para que todo funcione correctamente.

Una vez que hemos configurado correctamente el NAS o el router para que el servidor NAS nunca cambie de dirección IP, vamos a configurar el servidor.

Configurar el servidor FreeRADIUS

FreeRADIUS es el software por excelencia para configurar un servidor RADIUS con opciones muy avanzadas, este software dispone de soporte para diferentes tipos de autenticación y funciona realmente bien. Una característica muy importante es que dispone de compatibilidad con cualquier sistema operativo, algo fundamental para tener la máxima compatibilidad.

Configurar este servidor es muy complejo, hay que configurar ficheros de configuración de forma avanzada, crear una autoridad de certificación y más. Si hacemos uso de un servidor NAS como los QNAP, nos facilitará enormemente la tarea de no tener que configurar un servidor en un ordenador, en un servidor basado en Linux o en una Raspberry Pi. Todos los servidores NAS de QNAP soportan la posibilidad de configurar un servidor de forma fácil y rápida.

Lo único que tenemos que hacer es meternos en la sección de «Panel de control / Aplicaciones / Servidor RADIUS«. Una vez dentro, lo que tenemos que hacer es habilitar el servidor y permitir acceso a las cuentas de usuario del sistema, aunque esto último es opcional y no es necesario.

Una vez activado el servidor, en la sección de «Clientes RADIUS» deberemos dar de alta directamente al router que va a reenviar toda la autenticación al servidor. Los datos que tendremos que poner son los siguientes:

• Nombre: le ponemos un nombre al cliente
• Dirección IP: ponemos la dirección IP privada del router, en nuestro caso, 192.168.50.1
• Longitud del prefijo: ponemos 32, indicando que solamente esa dirección IP será el cliente.
• Clave secreta: definimos una contraseña robusta, es la clave de autenticación entre el router y el servidor FreeRADIUS. Esta clave no es la de los clientes.

La configuración quedaría de la siguiente forma:

Una vez que hayamos configurado el cliente, ahora tendremos que crear los usuarios. En este caso tendremos que crear un usuario por cada cliente WiFi que vayamos a conectar a la red inalámbrica, deberemos indicar el nombre del usuario y también su contraseña. Todos los clientes que estén en este listado de «Usuarios» tendrán permiso para autenticarse en el servidor, y por tanto, conseguir conectividad WiFi sin limitaciones de ningún tipo.

Una vez que hemos configurado el servidor, nos deberemos ir al router para configurarlo correctamente, ya que debemos fijar la autenticación WPA2-Enterprise o WPA3-Enterprise, e indicar diferentes datos.

Configurar el router con WPA2/WPA3-Enterprise y autenticación en RADIUS

Lo primero que tenemos que hacer es irnos a la sección de «Configuración avanzada / Inalámbrico«. En este menú tendremos que seleccionar el tipo de cifrado WPA2-Enterprise y automáticamente se nos desplegarán varios menús adicionales que tendremos que completar:

• Método de autenticación: WPA2-Enterprise
• Cifrado WPA: AES
• Dirección IP del servidor: 192.168.50.141
• Puerto del servidor: 1812
• Secreto de conexión: 123456789 (en nuestro caso, es la contraseña que pusimos en el servidor en la sección de «Clientes RADIUS»).

A continuación, podéis ver cómo quedaría en nuestro caso:

Toda esta información que hemos indicado, se debe ver reflejada en la sección de «Configuración de RADIUS» con la banda de frecuencias que hayamos configurado. Aquí nos aparecerá la dirección IP privada del servidor, puerto y también el secreto de conexión.

Una vez que hemos configurado correctamente el router, ahora mismo ya podremos autenticar a los diferentes clientes WiFi con su correspondiente usuario y contraseña que hemos creado anteriormente. Os vamos a enseñar cómo conectar un equipo con Windows 10 y un dispositivo Android.

Tipos de WPA3

Como hemos visto, WPA3 es el cifrado más seguro para proteger nuestras redes, y cada vez más dispositivos en el mercado lo implementan para que todo el mundo pueda darles uso, y estar un poco más seguros. Existen diferentes tipos de WPA3, como veremos, y con cada uno estaremos protegidos de forma diferente, siempre dentro de la gran protección que ofrecen.

WPA3 Personal

Es el primer tipo que conocemos, y es el más común a nivel doméstico para conectarse a las redes. Nos permite establecer una contraseña, la que nosotros queramos, a pesar de no ser la opción más segura que podemos llevar a cabo. Con esta clave, se podrán conectar todos los dispositivos que estén al alcance de la red Wi-Fi.

Con WPA3 podremos crear contraseñas que resulten más sencillas a la hora de recordarlas, pero esto no es lo ideal. Cuanto más compleja sea, más seguros estaremos. Un buen indicador de si la contraseña es lo suficientemente compleja o no, es al recordarla. Cuando más complicado sea recordarla, más variada o larga será la contraseña, y por lo cual, más segura.

WPA3 Enterprise

En este caso nos encontramos ante un nuevo nivel de seguridad, especialmente diseñado para empresas o instituciones. Utilizará un cifrado mínimo de 128 bits, con una clave de derivación de 256 bits.

Se basa en servidores de autenticación, y no en la contraseña en sí, como sí ocurre en el caso de la WPA3 Personal. Esto se le conoce como RADIUS, como hemos visto anteriormente en este tutorial, y tiene la función de autenticar a diferentes usuarios con claves de acceso y un certificado en vigor. Por lo cual no es algo que se vaya a utilizar mucho a nivel doméstico. Esto sí nos permite una protección mucho mayor, la cual es ideal para proteger datos muy sensibles, a la vez que nos da nuevas capas de seguridad.

Conectar un PC con Windows al WiFi usando WPA2-Enterprise

Para poder configurar una red WiFi con WPA2-Enterprise vamos a tener que configurar de forma manual la conexión a la red. Tenemos que irnos a la sección de «Panel de control / Centro de redes y recursos compartidos«. En este menú tenemos que pinchar sobre «Configurar una nueva conexión o red«.

En el listado de opciones disponibles, tenemos que pinchar en «Conectarse manualmente a una red inalámbrica» y pinchamos en siguiente.

Ahora tendremos que introducir el nombre de la red WiFi a la que vamos a conectarnos, este nombre de red o SSID debe ser exactamente igual que en el router. En tipo de seguridad elegimos «WPA2-Enterprise», el tipo de cifrado será AES obligatoriamente, no permite cambiarlo. La sección de «Clave de seguridad» estará deshabilitada, es completamente normal.

Ahora pinchamos en «Iniciar esta conexión automáticamente» para deshabilitarlo, y lo mismo con la opción de «Conectarse aunque la red no difunda su nombre«.

Al pinchar en siguiente, tenemos que pinchar en «Cambiar configuración» tal y como nos indica el asistente de Windows. Nos saldrá un menú con todo lo que hemos configurado hasta el momento.

En la pestaña de «Seguridad» elegimos la opción de «Microsoft: EAP Protegido (PEAP)» y pinchamos en «Configuración»:

En este menú tendremos que pinchar en «Verificar la identidad del servidor validando el certificado» para deshabilitar esta opción. El resto de opciones las dejamos tal y como vienen predeterminadamente.

Al conectarnos a la red inalámbrica WiFi, ahora nos pedirá que iniciemos sesión, tendremos que introducir el nombre de usuario y contraseña que hemos dado de alta en el servidor en el menú de «Usuarios RADIUS».

Una vez que introduzcamos las credenciales, si no nos hemos equivocado a la hora de introducir las credenciales de usuario, podremos ver perfectamente que hemos iniciado sesión y tenemos conexión a Internet sin problemas.

Una vez que hemos configurado correctamente un PC con Windows, vamos a ver cómo conectar un smartphone con Android.

Conectar smartphone Android al WiFi con WPA2-Enterprise

En los smartphones Android tenemos que pulsar sobre la red WiFi a la que queremos conectarnos, no es necesario añadir de forma manual una red inalámbrica como sí ocurre en sistemas operativos Windows. En este caso, en cuanto pulsamos sobre la red inalámbrica WiFi nos saldrán diferentes opciones de configuración. Tenemos que rellenarlo de la siguiente forma:

• Método EAP: PEAP
• Autenticación de fase 2: MSCHAPv2
• Certificado de CA: No validar

En la sección de «Identidad» tendremos que introducir nuestro nombre de usuario que hemos dado de alta en el servidor, y en «Contraseña» tendremos que introducir la clave de acceso. Automáticamente nos conectaremos a la red inalámbrica WiFi, y podremos navegar por Internet sin ningún problema, haciendo uso de WPA2-Enterprise y  el tipo de cifrado 802.1x EAP que nos indica nuestro smartphone..

Otra posible configuración en estos smartphones sería la siguiente:

• Método EAP: TTLS
• Autenticación de fase 2: MSCHAPv2
• Certificado de CA: No validar

En la sección de «Identidad» y «Contraseña» tendremos también que introducir nuestras credenciales, como antes.

Ventajas de un servidor RADIUS

El uso de un servidor FreeRADIUS ofrece varias ventajas significativas para la gestión de la autenticación y la autorización en una red. A continuación, se detallan algunas de las ventajas más destacadas:

• Escalabilidad: FreeRADIUS es altamente escalable y puede manejar un gran número de usuarios y servicios simultáneamente. Esto es especialmente importante en entornos de red empresariales o proveedores de servicios que requieren una solución robusta y capaz de gestionar un alto volumen de autenticaciones.
• Flexibilidad: Es compatible con una amplia gama de métodos de autenticación, incluyendo contraseñas almacenadas localmente, bases de datos externas, autenticación basada en certificados y sistemas de autenticación externos como LDAP y Active Directory. Esto proporciona flexibilidad para adaptarse a los requisitos específicos de autenticación de una organización y permite una integración fluida con otros sistemas y servicios.
• Seguridad: FreeRADIUS ofrece un sólido conjunto de características de seguridad para proteger las comunicaciones y los datos sensibles. Utiliza protocolos de cifrado fuertes para garantizar la confidencialidad y la integridad de la información transmitida. Además, cuenta con funciones avanzadas de autenticación, como autenticación basada en certificados, que proporcionan un nivel adicional de seguridad para la verificación de identidad.
• Control de acceso granular: Con este sistema, es posible definir políticas de acceso granulares para cada usuario o grupo de usuarios. Esto permite establecer reglas personalizadas sobre qué servicios o recursos están disponibles para cada usuario, lo que mejora la seguridad y facilita la administración de la red. También se pueden aplicar políticas de cuotas y límites de uso para controlar el consumo de recursos por parte de los usuarios.
• Registro y auditoría: FreeRADIUS registra de manera detallada todas las actividades de autenticación y autorización, lo que permite realizar un seguimiento exhaustivo de los eventos y facilita la auditoría de seguridad. Esto es particularmente valioso en entornos en los que se requiere un registro preciso de las actividades de los usuarios, como en organizaciones reguladas o aquellas que deben cumplir con estándares de seguridad específicos.
• Interoperabilidad: Se trata de una solución de código abierto y ampliamente utilizada, lo que significa que es compatible con una amplia variedad de dispositivos de red y sistemas operativos. Esto facilita su integración con infraestructuras existentes y permite su implementación en entornos heterogéneos.

Tal y como habéis visto, configurar la autenticación WPA2-Enterprise en un router es muy sencillo, y mucho más si hacemos uso de un servidor de autenticación como el que está integrado en los QNAP. No obstante, no podemos descargarnos la CA para instalarla en todos y cada uno de los clientes inalámbricos WiFi, por tanto, aún podríamos sufrir un ataque de Rogue AP donde un ciberdelincuente se haga pasar por el punto de acceso legítimo, algo que si tuviéramos la CA en nuestro sistema no pasaría porque se valida antes de establecer una conexión. Para poder disponer de esta seguridad, será necesario montar nuestro propio servidor FreeRADIUS desde cero, o en un sistema como pfSense donde sí tengamos todas las opciones de configuración disponibles.