Tarefa 1. Rede WiFi aberta

Nesta tarefa configuraremos varios APs ou routers e configuraremos a rede como aberta empregando simuladores na web.

Tarefa 1.1. Router Linksys

Nesta tarefa configuraremos o router Linksys WRT54GR empregando un simulador e:

• deixaremos a WiFi aberta
• cambiaremos o SSID por defecto
• cambiaremos a canle
• aprenderemos a facer filtrado MAC
• revisaremos algunhas opcións de configuración

Acceso

Para iso, accedemos ao enlace do fabricante linksys e eliximos o router WRT54G. Vamos a configurar aspectos básicos desde punto de acceso sen fíos e establecer a rede como aberta.

Deshabilitamos DHCP

Aparece a seguinte ventá coa pestana Setup -> Basic Setup seleccionada por defecto. Nesta pantalla configuraremos a IP deste AP e a continuación desactivaremos o DHCP.

Cambiamos SSID e canle

A continuación, na pestana Wireless -> Basic Wireless Settings cambiamos o SSID do router e o canle:

Deixamos a WiFI aberta

Na opción Wireless Security da lapela Wireless, desactivamos a seguridade, polo que a rede estará aberta.

Filtramos por MAC

E na opción Wireless MAC Filter podemos permitir ou denegar algún equipo indicando a súa MAC:

Revisamos parámetros de configuración do firewall

Na lapela Security podemos configurar parámetros relacionados co firewall:

Revisamos configuración VPN

E na opción VPN Passthroough da mesma lapela, podemos habilitar o protocolo a empregar:

Configuramos políticas

Na lapela Access Restrictions, podemos establecer diferentes políticas a seguir, nas que se configurará:

• a conexión a determinadas horas do día (seccións Days e Timing Control)
• restrición a portos (sección Blocked Serviecs)
• o bloqueo a determinadas webs (seccións Website Blocked by URL Address e Website Blocked by Keyword)

Ademais, se facemos clic en Edit List of PCs poderemos indicar sobre que equipos aplicaremos as políticas establecidas, indicando as súas MACs ou IPs:

Revisamos configuración de redirección de portos e DMZ

Na lapela Aplications & Gaming podemos redireccionar portos ou configurar unha DMZ:

Cambiamos contrasinal de acceso ó router

Na pestana Administration cambiaremos o contrasinal de acceso ao router. É importante realizar este cambio periódicamente.

Revisamos a configuración

Por último, a lapela Status mostra o estado do router na que aparece a configuración que acabamos de facer. En cada unha das catro lapelas atopamos a información correspondente:

• Router
• Local Network
• Wireless
• Traffic Statistics

Na lapela Router indícase a versión do Firmware: cómpre recordar que é aconsellable a actualización a última versión por cuestións tanto de rendemento como de seguridade.

Tarefa 1.2. Outros routers

Neste caso realizarás os mesmos pasos que no exercicio anterior pero empregando outro router diferente.

Podes acceder a calquera das seguintes webs e examinar algún dos simuladores dispoñibles:

• http://www.tp-link.com/ar/support/emulators/
• http://support.dlink.com

Debes documentar todos os pasos seguidos

Tarefa 2. Seguridade WEP

Nesta tarefa configuraremos seguridade WEP na rede Wifi.

Tarefa 2.1. Router Linksys

Seguiremos co simulador do router LinkSys WRT54G empregado na tarefa anterior.

Seleccionamos a pestana Wireless -> Wireless Security e eliximos:

• Security mode: WEP
• Default transmition TX Key: indicaremos do 1 o 4 o número do contrasinal que queremos empregar (se escribes unha en Key 1, debes indicar o valor 1)
• WEP Encryption: 128 bits 26 hex digits
• Key 1: contrasinal que queremos empregar (debe ser forte)

O contrasinal que configures aquí será o que ten que empregar o cliente WiFi para conectarse a rede sen fíos.

Tarefa 2.2. Outros routers

Neste caso realizarás os mesmos pasos que no exercicio anterior pero empregando outro router diferente.

Podes acceder a calquera das seguintes webs e examinar algún dos simuladores dispoñibles:

• http://www.tp-link.com/ar/support/emulators/
• http://support.dlink.com

Debes documentar todos os pasos seguidos.

Tarefa 3. Comprobación da seguridade WEP

Nesta tarefa veremos o sinxelo que é descubrir o contrasinal dunha rede sen fíos con seguridade WEP.

Para iso utilizaremoa Aircrack para creackear esa rede con seguridade WEP

Tarefa 4. Seguridade WPA2-Personal

Nesta tarefa configuraremos seguridade WPA2-Personal na rede WiFi.

Tarefa 4.1. Router Linksys

Seguiremos co simulador do router Linksys WRT54G

Seleccionamos a lapela Wireless -> Wireless Security e eliximos:

• Security mode: WPA2 Personal
• WPA Algorithms: as alternativas serán AES ou TKIP+AES.
• WPA Shared Key: contrasinal que queremos empregar (debe ser forte)
• Key Renewal: por defecto 3600 segundos (1 hora)

O contrasinal que configures aquí será o que ten que empregar o cliente WiFi para conectarse a rede sen fíos.

Tarefa 4.2. Outros routers

Neste caso realizarás os mesmos pasos que no exercicio anterior pero empregando outro router diferente.

Podes acceder a calquera das seguintes webs e examinar algún dos simuladores dispoñibles:

• http://www.tp-link.com/ar/support/emulators/
• http://support.dlink.com
• http://ui.linksys.com/

Debes documentar todos os pasos seguidos

Tarefa 5. Seguridade WPA2-Enterprise

Nesta tarefa imos a incrementar a seguridade instalando un servidor RADIUS na nosa rede e configurando seguridade WPA empresarial tanto nos sistemas Windows coma Linux.

Temos que realizar 3 tarefas:

• Instalar un servidor RADIUS.
• Configurar o router ou AP para indicarlle que utilice WPA2-enterprise
• Configurar un cliente Windows e outro Linux para que poidan empregar a rede WiFi.

A configuración será a seguinte:

Tarefa 5.1. Instalación e configuración do servidor RADIUS

Hai duas alternativas:

• Instalac FreeRADIUS en pfSense
• Instalar o servidor RADIUS nun equipo conectado directamente ao noso router sen fíos.

Para a instalación e configuración con pfSense, podes seguir este tutorial ou este outro.

Para a instalación e configuración de FreeRADIUS e clientes, tes a continuacións as indicacións.

Instalación de FreeRADIUS

Neste caso instalaremos o servidor radius gratuíto FreeRADIUS co comando:

sudo apt-get install freeradius

Configuración de FreeRADIUS

Unha vez instalado, temos que configurar varios ficheiros para indicarlle:

• Os clientes que se conectarán ao servidor RADIUS, xa que so atenderá as peticións dos que configuremos
• Os usuarios que vai a autenticar.
• E o tipo de autenticación. Neste caso, PEAP, pois os contrasinais empregarémolos en texto plano.

Configuramos o noso AP no arquivo:

/etc/freeradius/3.0/clients.conf

Indicámoslle que o noso AP 192.168.0.1 empregará o contrasinal “probando”.

Configuramos os usuarios que se conectarán a rede wifi no arquivo:

/etc/freeradius/3.0/users 

Indicámoslle o nome de usuario e o contrasinal que empregará. Podemos descomentar para deixar o usuario bob con contrasinal hello:

Configuramos o tipo de autenticación no arquivo:

/etc/freeradius/3.0/mods-enabled/eap

Indicámoslle que usaremos peap en vez de md5:

Comentando a liña 
#default_eap_type = md5

Engadingo a liña
default_eap_type = peap

A continuación xa podemos arrancar o servidor para ver as peticións que recibe:

sudo freeradius –X 

O servidor está preparado para recibir peticións de conexión.

Comprobación do Freeradius

Para comprobar que FreeRadius está operativo e funcionando correctamente podes usar a ferramente radtest para probar unha conta desde a liña de comandos:

radtest username password servername NAS-Port secret

Así, se o teu usuario e bob con contrasinal hello, o teu servidor e local localhost e está usando o NAS-Port 0 e tes localhost (ou a ip de localhost) en clients.conf con un segredo testing123, sería:

radtest bob hello localhost 0 testing123

Se algo sae mal, podes desinstalar borrando os ficheiros de configuración con

sudo apt-get purge freeradius-common

Podes arrincar, parar e reiniciar o servizo con:

radiusctl start
radiusctl restart
radiusctl stop

Tarefa 5.2. Configuración do AP

Configuramos o noso router para indicarlle que empregaremos seguridade WPA2-enterprise.

Primeiro comprobamos cal é a IP do servidor RADIUS, xa que teremos que indicarlla ao router:

ifconfig

ou

ip a

Exemplo 1 - Nun router Conceptronic

Podemos comprobar que está na IP 192.168.0.111.

A continuación procedemos a configurar o AP.

Neste caso empregaremos un router Conceptronic. Investigamos as súas opcións e vemos que temos que acceder a Wireless -> Security.

As opcións a configurar son:

• Security mode: WPA2 enterprise
• WPA algorithms: TKIP&AES
• Radius IP Address: 192.168.0.111 (a IP do noso Radius)
• Radius Port: 1812 (porto por defecto do RADIUS)
• Shared key: testing123 (é a que configuramos en clients.conf)

Facemos clic en “Apply” e xa temos configurado o AP.

Exemplo 2 - Nun router Linksys WRT1900ACS

As opcións a configurar son as da pantalla que se amosa:

Tarefa 5.3. Configuración do cliente Wi-fi

Configuraremos:

• un cliente nunha máquina Ubuntu 20.04 que será o usuario “usuario-1”
• un cliente nunha máquina Windows 10 que será o usuario “usuario-2”
• un cliente nun smartphone Android que será o usuario "usuario-3"

Tarefa 5.3.1 Ubuntu 20.04

Para configurar o noso cliente wifi, accedemos á configuración da conexión wifi WLAN_50 (Herramientas del sistema->Preferencias->Conexiones de red), na que configuraremos os parámetros do mesmo xeito que no servidor e no router:

• Seguridade: WPA2 enterprise
• Autenticación: PEAP
• Non eliximos certificado CA
• Autenticación interna: MSCHAPv2
• Nome de usuario: usuario-1 (ten que coincidir con algún dos configurados no arquivo users)
• Contrasinal: usu-1 (ten que coincidir coa indicada para o usuario-1 no arquivo users)

IMAGEN

Como non indicamos certificado CA, mostra a seguinte ventá:

IMAGEN

Pulsamos “ignorar” e xa estamos conectados a wifi WLAN_50.

AMPLIACIÓN. E se quixéramos empregar un certificado para validar a conexión co RADIUS? 
Teríamos que instalar neste cliente o certificado do servidor que está no arquivo /etc/freeradius/certs do equipo do RADIUS.

Tarefa 5.3.2 Windows 10

A conexión nun equipo con Windows 10 tamén é bastante sinxela; deberemos engadir a rede sen fíos de xeito manual para posteriormente editar a configuración da autenticación.

Engadimos a rede sen fíos de xeito manual

Accedemos a:

Panel de Control -> Redes e Internet -> Centro de redes y recursos compartidos

E pulsamos sobre "Configurar una nueva conexión o red".

Deberemos seleccionar "Conectarse manualmente a una red inalámbrica" e pulsamos en siguiente.

No seguiente menú deberemos introducir os mesmos parámetros que no caso anterior:

• no campo "Nombre de la red" o SSID correcto (prueba24)
• no campo "Tipo de seguridad" seleccionaremos AES WPA2-Enterprise
• no campo "Método EAP" seleccionaremos EAP protegido (PEAP).
• no campo "Método de autenticación" seleccionaremos Contraseña segura (EAP-MSCHAP v2).
• na casilla "Iniciar esta conexión automáticamente""'deixámola marcada se queremos que conecte automáticamente

Cando intentemos conectar, pediranos usuario e contrasinal (por exemplo bob e hello e xa quedaremos conectados).

Tarefa 5.3.3 Android

PENDENTE

Ampliación

• Atacando con Dumb Down redes Wifi empresariales
• Uso de un servidor AAA

Autoavaliación das tarefas

Rúbrica

Indicadores	Si	Non	Observacións
Configurou a rede WiFi como aberta empregando o router Linksys
Configurou a rede WiFi como aberta empregando outro router diferente
Incorporou seguridade WEP a rede WiFi empregando o router Linksys
Incorporou seguridade WEP a rede WiFi empregando outro router
Conseguiu descubrir o contrasinal de acceso a rede WiFi con seguridade WEP
Incorporou seguridade WPA2-Personal a rede WiFi empregando o router Linksys
Incorporou seguridade WPA2-Personal a rede WiFi empregando outro router
Instalou o servidor RADIUS
Configurou o AP con seguridade WPA2-Enterprise
Configurou o cliente Ubuntu para acceso a rede WiFi con seguridade WPA2-Enterprise
Configurou o cliente Windows para acceso a rede WiFi con seguridade WPA2-Enterprise
Configurou o cliente Android para acceso a rede WiFi con seguridade WPA2-Enterprise

Referencias

• Traballo realizado nunha licenza de formación retribuída pola Consellería de Cultura, Educación e Ordenación Universitaria con licenza Creative Commons BY-NC-SA por Amalia Falcón Docampo e Laura Fernández Nocelo

WPA2 Personal e WPA2 Enterprise

• https://www.tp-link.com/es/support/faq/500/

WPA2 e WPA3

• Diferenzas entre WPA2 e WPA3
• Protocolos de seguridad inalámbrica: WEP, WPA, WPA2, y WPA3
• Configuración de la seguridad inalámbrica WEP, WPA o WPA2 - linksys
• Configura WPA3 en tu router Wi-Fi y conéctate con seguridad

Radius

• Qué es un servidor radius y su funcionamiento
• Getting started
• Basic Configuration howto
• freeradius Debian
• freeradius Ubuntu
• How to install freeradius on Ubuntu
• Instalación de freeradius en Ubuntu
• freeRADIUS for Windows
• Seguridad wifi empresarial servidores radius I
• Seguridad wifi empresarial servidores radius II

Radius e configuración de clientes

• Configuración del RADIUS y la red Wi-Fi en el D-Link DAP-2610, y de cliente W10 y Android
• Radius en pfSense e clientes W10 e Android con WPA2-Enterprise