Configurando os modos de seguridade WiFi
Sumario
- 1 Tarefa 1. Rede WiFi aberta
- 1.1 Tarefa 1.1. Router Linksys
- 1.1.1 Acceso
- 1.1.2 Deshabilitamos DHCP
- 1.1.3 Cambiamos SSID e canle
- 1.1.4 Deixamos a WiFI aberta
- 1.1.5 Filtramos por MAC
- 1.1.6 Revisamos parámetros de configuración do firewall
- 1.1.7 Revisamos configuración VPN
- 1.1.8 Configuramos políticas
- 1.1.9 Revisamos configuración de redirección de portos e DMZ
- 1.1.10 Cambiamos contrasinal de acceso ó router
- 1.1.11 Revisamos a configuración
- 1.2 Tarefa 1.2. Outros routers
- 1.1 Tarefa 1.1. Router Linksys
- 2 Tarefa 2. Seguridade WEP
- 3 Tarefa 3. Comprobación da seguridade WEP
- 4 Tarefa 4. Seguridade WPA2-Personal
- 5 Tarefa 5. Seguridade WPA2-Enterprise
- 6 Ampliación
- 7 Autoavaliación das tarefas
- 8 Referencias
Tarefa 1. Rede WiFi aberta
Nesta tarefa configuraremos varios APs ou routers e configuraremos a rede como aberta empregando simuladores na web.
Tarefa 1.1. Router Linksys
Nesta tarefa configuraremos o router Linksys WRT54GR empregando un simulador e:
- deixaremos a WiFi aberta
- cambiaremos o SSID por defecto
- cambiaremos a canle
- aprenderemos a facer filtrado MAC
- revisaremos algunhas opcións de configuración
Acceso
Para iso, accedemos ao enlace do fabricante linksys e eliximos o router WRT54G. Vamos a configurar aspectos básicos desde punto de acceso sen fíos e establecer a rede como aberta.
Deshabilitamos DHCP
Aparece a seguinte ventá coa pestana Setup -> Basic Setup seleccionada por defecto. Nesta pantalla configuraremos a IP deste AP e a continuación desactivaremos o DHCP.
Cambiamos SSID e canle
A continuación, na pestana Wireless -> Basic Wireless Settings cambiamos o SSID do router e o canle:
Deixamos a WiFI aberta
Na opción Wireless Security da lapela Wireless, desactivamos a seguridade, polo que a rede estará aberta.
Filtramos por MAC
E na opción Wireless MAC Filter podemos permitir ou denegar algún equipo indicando a súa MAC:
Revisamos parámetros de configuración do firewall
Na lapela Security podemos configurar parámetros relacionados co firewall:
Revisamos configuración VPN
E na opción VPN Passthroough da mesma lapela, podemos habilitar o protocolo a empregar:
Configuramos políticas
Na lapela Access Restrictions, podemos establecer diferentes políticas a seguir, nas que se configurará:
- a conexión a determinadas horas do día (seccións Days e Timing Control)
- restrición a portos (sección Blocked Serviecs)
- o bloqueo a determinadas webs (seccións Website Blocked by URL Address e Website Blocked by Keyword)
Ademais, se facemos clic en Edit List of PCs poderemos indicar sobre que equipos aplicaremos as políticas establecidas, indicando as súas MACs ou IPs:
Revisamos configuración de redirección de portos e DMZ
Na lapela Aplications & Gaming podemos redireccionar portos ou configurar unha DMZ:
Cambiamos contrasinal de acceso ó router
Na pestana Administration cambiaremos o contrasinal de acceso ao router. É importante realizar este cambio periódicamente.
Revisamos a configuración
Por último, a lapela Status mostra o estado do router na que aparece a configuración que acabamos de facer. En cada unha das catro lapelas atopamos a información correspondente:
- Router
- Local Network
- Wireless
- Traffic Statistics
Na lapela Router indícase a versión do Firmware: cómpre recordar que é aconsellable a actualización a última versión por cuestións tanto de rendemento como de seguridade.
Tarefa 1.2. Outros routers
Neste caso realizarás os mesmos pasos que no exercicio anterior pero empregando outro router diferente.
Podes acceder a calquera das seguintes webs e examinar algún dos simuladores dispoñibles:
Debes documentar todos os pasos seguidos
Tarefa 2. Seguridade WEP
Nesta tarefa configuraremos seguridade WEP na rede Wifi.
Tarefa 2.1. Router Linksys
Seguiremos co simulador do router LinkSys WRT54G empregado na tarefa anterior.
Seleccionamos a pestana Wireless -> Wireless Security e eliximos:
- Security mode: WEP
- Default transmition TX Key: indicaremos do 1 o 4 o número do contrasinal que queremos empregar (se escribes unha en Key 1, debes indicar o valor 1)
- WEP Encryption: 128 bits 26 hex digits
- Key 1: contrasinal que queremos empregar (debe ser forte)
O contrasinal que configures aquí será o que ten que empregar o cliente WiFi para conectarse a rede sen fíos.
Tarefa 2.2. Outros routers
Neste caso realizarás os mesmos pasos que no exercicio anterior pero empregando outro router diferente.
Podes acceder a calquera das seguintes webs e examinar algún dos simuladores dispoñibles:
Debes documentar todos os pasos seguidos.
Tarefa 3. Comprobación da seguridade WEP
Nesta tarefa veremos o sinxelo que é descubrir o contrasinal dunha rede sen fíos con seguridade WEP.
Para iso utilizaremoa Aircrack para creackear esa rede con seguridade WEP
Tarefa 4. Seguridade WPA2-Personal
Nesta tarefa configuraremos seguridade WPA2-Personal na rede WiFi.
Tarefa 4.1. Router Linksys
Seguiremos co simulador do router Linksys WRT54G
Seleccionamos a lapela Wireless -> Wireless Security e eliximos:
- Security mode: WPA2 Personal
- WPA Algorithms: as alternativas serán AES ou TKIP+AES.
- WPA Shared Key: contrasinal que queremos empregar (debe ser forte)
- Key Renewal: por defecto 3600 segundos (1 hora)
O contrasinal que configures aquí será o que ten que empregar o cliente WiFi para conectarse a rede sen fíos.
Tarefa 4.2. Outros routers
Neste caso realizarás os mesmos pasos que no exercicio anterior pero empregando outro router diferente.
Podes acceder a calquera das seguintes webs e examinar algún dos simuladores dispoñibles:
Debes documentar todos os pasos seguidos
Tarefa 5. Seguridade WPA2-Enterprise
Nesta tarefa imos a incrementar a seguridade instalando un servidor RADIUS na nosa rede e configurando seguridade WPA empresarial tanto nos sistemas Windows coma Linux.
Temos que realizar 3 tarefas:
- Instalar un servidor RADIUS.
- Configurar o router ou AP para indicarlle que utilice WPA2-enterprise
- Configurar un cliente Windows e outro Linux para que poidan empregar a rede WiFi.
A configuración será a seguinte:
Tarefa 5.1. Instalación e configuración do servidor RADIUS
Hai duas alternativas:
- Instalac FreeRADIUS en pfSense
- Instalar o servidor RADIUS nun equipo conectado directamente ao noso router sen fíos.
Para a instalación e configuración con pfSense, podes seguir este tutorial ou este outro.
Para a instalación e configuración de FreeRADIUS e clientes, tes a continuacións as indicacións.
Instalación de FreeRADIUS
Neste caso instalaremos o servidor radius gratuíto FreeRADIUS co comando:
sudo apt-get install freeradius
Configuración de FreeRADIUS
Unha vez instalado, temos que configurar varios ficheiros para indicarlle:
- Os clientes que se conectarán ao servidor RADIUS, xa que so atenderá as peticións dos que configuremos
- Os usuarios que vai a autenticar.
- E o tipo de autenticación. Neste caso, PEAP, pois os contrasinais empregarémolos en texto plano.
Configuramos o noso AP no arquivo:
/etc/freeradius/3.0/clients.conf
Indicámoslle que o noso AP 192.168.0.1 empregará o contrasinal “probando”.
Configuramos os usuarios que se conectarán a rede wifi no arquivo:
/etc/freeradius/3.0/users
Indicámoslle o nome de usuario e o contrasinal que empregará. Podemos descomentar para deixar o usuario bob con contrasinal hello:
Configuramos o tipo de autenticación no arquivo:
/etc/freeradius/3.0/mods-enabled/eap
Indicámoslle que usaremos peap en vez de md5:
Comentando a liña #default_eap_type = md5 Engadingo a liña default_eap_type = peap
A continuación xa podemos arrancar o servidor para ver as peticións que recibe:
sudo freeradius –X
O servidor está preparado para recibir peticións de conexión.
Comprobación do Freeradius
Para comprobar que FreeRadius está operativo e funcionando correctamente podes usar a ferramente radtest para probar unha conta desde a liña de comandos:
radtest username password servername NAS-Port secret
Así, se o teu usuario e bob con contrasinal hello, o teu servidor e local localhost e está usando o NAS-Port 0 e tes localhost (ou a ip de localhost) en clients.conf con un segredo testing123, sería:
radtest bob hello localhost 0 testing123
Se algo sae mal, podes desinstalar borrando os ficheiros de configuración con
sudo apt-get purge freeradius-common
Podes arrincar, parar e reiniciar o servizo con:
radiusctl start radiusctl restart radiusctl stop
Tarefa 5.2. Configuración do AP
Configuramos o noso router para indicarlle que empregaremos seguridade WPA2-enterprise.
Primeiro comprobamos cal é a IP do servidor RADIUS, xa que teremos que indicarlla ao router:
ifconfig
ou
ip a
Exemplo 1 - Nun router Conceptronic
Podemos comprobar que está na IP 192.168.0.111.
A continuación procedemos a configurar o AP.
Neste caso empregaremos un router Conceptronic. Investigamos as súas opcións e vemos que temos que acceder a Wireless -> Security.
As opcións a configurar son:
- Security mode: WPA2 enterprise
- WPA algorithms: TKIP&AES
- Radius IP Address: 192.168.0.111 (a IP do noso Radius)
- Radius Port: 1812 (porto por defecto do RADIUS)
- Shared key: testing123 (é a que configuramos en clients.conf)
Facemos clic en “Apply” e xa temos configurado o AP.
Exemplo 2 - Nun router Linksys WRT1900ACS
As opcións a configurar son as da pantalla que se amosa:
Tarefa 5.3. Configuración do cliente Wi-fi
Configuraremos:
- un cliente nunha máquina Ubuntu 20.04 que será o usuario “usuario-1”
- un cliente nunha máquina Windows 10 que será o usuario “usuario-2”
- un cliente nun smartphone Android que será o usuario "usuario-3"
Tarefa 5.3.1 Ubuntu 20.04
Para configurar o noso cliente wifi, accedemos á configuración da conexión wifi WLAN_50 (Herramientas del sistema->Preferencias->Conexiones de red), na que configuraremos os parámetros do mesmo xeito que no servidor e no router:
- Seguridade: WPA2 enterprise
- Autenticación: PEAP
- Non eliximos certificado CA
- Autenticación interna: MSCHAPv2
- Nome de usuario: usuario-1 (ten que coincidir con algún dos configurados no arquivo users)
- Contrasinal: usu-1 (ten que coincidir coa indicada para o usuario-1 no arquivo users)
IMAGEN
Como non indicamos certificado CA, mostra a seguinte ventá:
IMAGEN
Pulsamos “ignorar” e xa estamos conectados a wifi WLAN_50.
AMPLIACIÓN. E se quixéramos empregar un certificado para validar a conexión co RADIUS? Teríamos que instalar neste cliente o certificado do servidor que está no arquivo /etc/freeradius/certs do equipo do RADIUS.
Tarefa 5.3.2 Windows 10
A conexión nun equipo con Windows 10 tamén é bastante sinxela; deberemos engadir a rede sen fíos de xeito manual para posteriormente editar a configuración da autenticación.
Engadimos a rede sen fíos de xeito manual
Accedemos a:
Panel de Control -> Redes e Internet -> Centro de redes y recursos compartidos
E pulsamos sobre "Configurar una nueva conexión o red".
Deberemos seleccionar "Conectarse manualmente a una red inalámbrica" e pulsamos en siguiente.
No seguiente menú deberemos introducir os mesmos parámetros que no caso anterior:
- no campo "Nombre de la red" o SSID correcto (prueba24)
- no campo "Tipo de seguridad" seleccionaremos AES WPA2-Enterprise
- no campo "Método EAP" seleccionaremos EAP protegido (PEAP).
- no campo "Método de autenticación" seleccionaremos Contraseña segura (EAP-MSCHAP v2).
- na casilla "Iniciar esta conexión automáticamente""'deixámola marcada se queremos que conecte automáticamente
Cando intentemos conectar, pediranos usuario e contrasinal (por exemplo bob e hello e xa quedaremos conectados).
Tarefa 5.3.3 Android
PENDENTE
Ampliación
Autoavaliación das tarefas
Indicadores | Si | Non | Observacións |
---|---|---|---|
Configurou a rede WiFi como aberta empregando o router Linksys | |||
Configurou a rede WiFi como aberta empregando outro router diferente | |||
Incorporou seguridade WEP a rede WiFi empregando o router Linksys | |||
Incorporou seguridade WEP a rede WiFi empregando outro router | |||
Conseguiu descubrir o contrasinal de acceso a rede WiFi con seguridade WEP | |||
Incorporou seguridade WPA2-Personal a rede WiFi empregando o router Linksys | |||
Incorporou seguridade WPA2-Personal a rede WiFi empregando outro router | |||
Instalou o servidor RADIUS | |||
Configurou o AP con seguridade WPA2-Enterprise | |||
Configurou o cliente Ubuntu para acceso a rede WiFi con seguridade WPA2-Enterprise | |||
Configurou o cliente Windows para acceso a rede WiFi con seguridade WPA2-Enterprise | |||
Configurou o cliente Android para acceso a rede WiFi con seguridade WPA2-Enterprise |
Referencias
- Traballo realizado nunha licenza de formación retribuída pola Consellería de Cultura, Educación e Ordenación Universitaria con licenza Creative Commons BY-NC-SA por Amalia Falcón Docampo e Laura Fernández Nocelo
WPA2 Personal e WPA2 Enterprise
WPA2 e WPA3
- Diferenzas entre WPA2 e WPA3
- Protocolos de seguridad inalámbrica: WEP, WPA, WPA2, y WPA3
- Configuración de la seguridad inalámbrica WEP, WPA o WPA2 - linksys
- Configura WPA3 en tu router Wi-Fi y conéctate con seguridad
Radius
- Qué es un servidor radius y su funcionamiento
- Getting started
- Basic Configuration howto
- freeradius Debian
- freeradius Ubuntu
- How to install freeradius on Ubuntu
- Instalación de freeradius en Ubuntu
- freeRADIUS for Windows
- Seguridad wifi empresarial servidores radius I
- Seguridad wifi empresarial servidores radius II