Configura tu router con WPA2 o WPA3 Enterprise y FreeRADIUS

Normalmente en nuestros hogares utilizamos la seguridad WPA2-Personal o WPA3-Personal, este tipo de seguridad consiste en configurar una clave «maestra» que usarán todos los clientes inalámbricos, esta clave se denomina clave precompartida, y todos los clientes que quieran conectarse deberán conocerla y ponerla en sus dispositivos para conectarse. En muchos routers domésticos tenemos la posibilidad de configurar WPA2-Enterprise o WPA3-Enterprise, en este caso, la autenticación se realiza a través de usuario y contraseña, y es necesario usar un servidor RADIUS para autenticar a los clientes. Hoy en RedesZone os vamos a enseñar cómo podríamos configurar WPA2/WPA3-Enterprise en cualquier router haciendo uso de un NAS para la autenticación de los clientes Wi-Fi.

Localizar y configurar la IP del NAS que tendrá el servidor RADIUS

Lo primero que debemos hacer es localizar el servidor NAS en la red, es muy importante conocer su dirección IP privada, porque en la configuración de la red inalámbrica tendremos que introducir esta dirección IP para autenticar a los clientes inalámbricos. Es muy recomendable que esta dirección IP privada nunca cambie, por tanto, tenemos dos posibles opciones:

  • Poner IP fija en el servidor NAS
  • Configurar el Static DHCP del router, y fijar una dirección IP estática siempre.

De esta forma, forzaremos a que este servidor NAS nunca cambie de dirección IP privada, algo muy importante para que todo funcione correctamente.

Una vez que hemos configurado correctamente el NAS o el router para que el servidor NAS nunca cambie de dirección IP, vamos a configurar el servidor.

Configurar el servidor FreeRADIUS

FreeRADIUS es el software por excelencia para configurar un servidor RADIUS con opciones muy avanzadas, este software dispone de soporte para diferentes tipos de autenticación y funciona realmente bien. Una característica muy importante es que dispone de compatibilidad con cualquier sistema operativo, algo fundamental para tener la máxima compatibilidad.

Configurar este servidor es muy complejo, hay que configurar ficheros de configuración de forma avanzada, crear una autoridad de certificación y más. Si hacemos uso de un servidor NAS como los QNAP, nos facilitará enormemente la tarea de no tener que configurar un servidor en un ordenador, en un servidor basado en Linux o en una Raspberry Pi. Todos los servidores NAS de QNAP soportan la posibilidad de configurar un servidor de forma fácil y rápida.

Lo único que tenemos que hacer es meternos en la sección de «Panel de control / Aplicaciones / Servidor RADIUS«. Una vez dentro, lo que tenemos que hacer es habilitar el servidor y permitir acceso a las cuentas de usuario del sistema, aunque esto último es opcional y no es necesario.

Una vez activado el servidor, en la sección de «Clientes RADIUS» deberemos dar de alta directamente al router que va a reenviar toda la autenticación al servidor. Los datos que tendremos que poner son los siguientes:

  • Nombre: le ponemos un nombre al cliente
  • Dirección IP: ponemos la dirección IP privada del router, en nuestro caso, 192.168.50.1
  • Longitud del prefijo: ponemos 32, indicando que solamente esa dirección IP será el cliente.
  • Clave secreta: definimos una contraseña robusta, es la clave de autenticación entre el router y el servidor FreeRADIUS. Esta clave no es la de los clientes.

La configuración quedaría de la siguiente forma:

Una vez que hayamos configurado el cliente, ahora tendremos que crear los usuarios. En este caso tendremos que crear un usuario por cada cliente WiFi que vayamos a conectar a la red inalámbrica, deberemos indicar el nombre del usuario y también su contraseña. Todos los clientes que estén en este listado de «Usuarios» tendrán permiso para autenticarse en el servidor, y por tanto, conseguir conectividad WiFi sin limitaciones de ningún tipo.

Una vez que hemos configurado el servidor, nos deberemos ir al router para configurarlo correctamente, ya que debemos fijar la autenticación WPA2-Enterprise o WPA3-Enterprise, e indicar diferentes datos.

Configurar el router con WPA2/WPA3-Enterprise y autenticación en RADIUS

Lo primero que tenemos que hacer es irnos a la sección de «Configuración avanzada / Inalámbrico«. En este menú tendremos que seleccionar el tipo de cifrado WPA2-Enterprise y automáticamente se nos desplegarán varios menús adicionales que tendremos que completar:

  • Método de autenticación: WPA2-Enterprise
  • Cifrado WPA: AES
  • Dirección IP del servidor: 192.168.50.141
  • Puerto del servidor: 1812
  • Secreto de conexión: 123456789 (en nuestro caso, es la contraseña que pusimos en el servidor en la sección de «Clientes RADIUS»).

A continuación, podéis ver cómo quedaría en nuestro caso:

Toda esta información que hemos indicado, se debe ver reflejada en la sección de «Configuración de RADIUS» con la banda de frecuencias que hayamos configurado. Aquí nos aparecerá la dirección IP privada del servidor, puerto y también el secreto de conexión.

Una vez que hemos configurado correctamente el router, ahora mismo ya podremos autenticar a los diferentes clientes WiFi con su correspondiente usuario y contraseña que hemos creado anteriormente. Os vamos a enseñar cómo conectar un equipo con Windows 10 y un dispositivo Android.

Conectar un PC con Windows al WiFi usando WPA2-Enterprise

Para poder configurar una red WiFi con WPA2-Enterprise vamos a tener que configurar de forma manual la conexión a la red. Tenemos que irnos a la sección de «Panel de control / Centro de redes y recursos compartidos«. En este menú tenemos que pinchar sobre «Configurar una nueva conexión o red«.

En el listado de opciones disponibles, tenemos que pinchar en «Conectarse manualmente a una red inalámbrica» y pinchamos en siguiente.

Ahora tendremos que introducir el nombre de la red WiFi a la que vamos a conectarnos, este nombre de red o SSID debe ser exactamente igual que en el router. En tipo de seguridad elegimos «WPA2-Enterprise», el tipo de cifrado será AES obligatoriamente, no permite cambiarlo. La sección de «Clave de seguridad» estará deshabilitada, es completamente normal.

Ahora pinchamos en «Iniciar esta conexión automáticamente» para deshabilitarlo, y lo mismo con la opción de «Conectarse aunque la red no difunda su nombre«.

Al pinchar en siguiente, tenemos que pinchar en «Cambiar configuración» tal y como nos indica el asistente de Windows. Nos saldrá un menú con todo lo que hemos configurado hasta el momento.

En la pestaña de «Seguridad» elegimos la opción de «Microsoft: EAP Protegido (PEAP)» y pinchamos en «Configuración»:

En este menú tendremos que pinchar en «Verificar la identidad del servidor validando el certificado» para deshabilitar esta opción. El resto de opciones las dejamos tal y como vienen predeterminadamente.

Al conectarnos a la red inalámbrica WiFi, ahora nos pedirá que iniciemos sesión, tendremos que introducir el nombre de usuario y contraseña que hemos dado de alta en el servidor en el menú de «Usuarios RADIUS».

Una vez que introduzcamos las credenciales, si no nos hemos equivocado a la hora de introducir las credenciales de usuario, podremos ver perfectamente que hemos iniciado sesión y tenemos conexión a Internet sin problemas.

Una vez que hemos configurado correctamente un PC con Windows, vamos a ver cómo conectar un smartphone con Android.

Conectar smartphone Android al WiFi con WPA2-Enterprise

En los smartphones Android tenemos que pulsar sobre la red WiFi a la que queremos conectarnos, no es necesario añadir de forma manual una red inalámbrica como sí ocurre en sistemas operativos Windows. En este caso, en cuanto pulsamos sobre la red inalámbrica WiFi nos saldrán diferentes opciones de configuración. Tenemos que rellenarlo de la siguiente forma:

  • Método EAP: PEAP
  • Autenticación de fase 2: MSCHAPv2
  • Certificado de CA: No validar

En la sección de «Identidad» tendremos que introducir nuestro nombre de usuario que hemos dado de alta en el servidor, y en «Contraseña» tendremos que introducir la clave de acceso. Automáticamente nos conectaremos a la red inalámbrica WiFi, y podremos navegar por Internet sin ningún problema, haciendo uso de WPA2-Enterprise y  el tipo de cifrado 802.1x EAP que nos indica nuestro smartphone..

Otra posible configuración en estos smartphones sería la siguiente:

  • Método EAP: TTLS
  • Autenticación de fase 2: MSCHAPv2
  • Certificado de CA: No validar

En la sección de «Identidad» y «Contraseña» tendremos también que introducir nuestras credenciales, como antes.

Tal y como habéis visto, configurar la autenticación WPA2-Enterprise en un router es muy sencillo, y mucho más si hacemos uso de un servidor de autenticación como el que está integrado en los QNAP. No obstante, no podemos descargarnos la CA para instalarla en todos y cada uno de los clientes inalámbricos WiFi, por tanto, aún podríamos sufrir un ataque de Rogue AP donde un ciberdelincuente se haga pasar por el punto de acceso legítimo, algo que si tuviéramos la CA en nuestro sistema no pasaría porque se valida antes de establecer una conexión. Para poder disponer de esta seguridad, será necesario montar nuestro propio servidor FreeRADIUS desde cero, o en un sistema como pfSense donde sí tengamos todas las opciones de configuración disponibles.