Después de la introducción a 802.1X y la configuración del servidor radius con EAP-TLS, configuraremos un punto de acceso inalámbrico Cisco con WPA2 Enterprise. Esto es, WPA2 con 802.1x
En esta topología de red estamos usando:
Access Point Cisco AIR-AP1121G-E-K9: IOS c1100-k9w7-mx.123-8.JEE Raspberry Pi como servidor Freeradius Switch Cisco 3750 PoE
Para completar nuestra red inalámbrica segura, si no disponemos de un Access Point empresarial como el del ejemplo, nos puede servir un router wifi que soporte radius y métodos EAP. Los routers wireless que ofrecen los proveedores de servicio a Internet o ISP’s suelen incorporar esta tecnología.
En cualquier caso, si no dispones de un servidor radius o no te has animado a instalar uno como ya hemos visto en el post anterior, los routers inalámbricos y la mayoría de Access Points permiten configurar un radius local. Esto es el servidor radius estará en propio router o AP.
Es más seguro usar un servidor radius en la autenticación inalámbrica (métodos WPA-Enterprise y WPA2-Enterprise) que el método de clave compartida o PSK (WPA-PSK o WPA2-PSK).
Si nuestro dispositivo lo soporta, será mejor usar WPA2 porque incoporpora cifrado AES y el método Enterprise ya que incorpora soporte radius.
La configuración que veremos a continuación está aplicada sobre un punto de acceso autónomo Cisco AIR-AP1121G-E-K9. La última versión de IOS para este dispositivo, ahora en End-Of-Life, provee compatibilidad con WPA2.
La configuración sirve para cualquier método EAP. Es decir si queremos usar como método 802.1x EAP-PEAP, EAP-TLS, EAP-TTLS etc esta configuración es válida porque el método EAP lo negocian cliente y servidor. El punto de acceso inalámbrico sólo necesita conocer la ip del radius, el secreto compartido y el protocolo de seguridad inalámbrica a utililizar.
Resumen de la configuración:
IP del radius (raspy) = 192.168.5.6 secreto radius = shhh IP de Gestión del AP = 192.168.5.7 Un único SSID llamado capa3.es WPA2 (cifrado AES CCM)
Para neófitos en 802.1x, el secreto compartido radius no es la contraseña de la wifi.
El método de autenticación será el que configuremos en el servidor radius.
Configuración completa del Access Point Cisco:
ap-capa3.es#sh run Building configuration... Current configuration : 2543 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ap-capa3.es ! no logging console enable secret 5 xxxxxxx ! ip subnet-zero ip domain name capa3.es ! ! aaa new-model ! ! aaa group server radius rad_eap server 192.168.5.6 auth-port 1812 acct-port 1813 ! aaa group server radius rad_mac ! aaa group server radius rad_acct ! aaa group server radius rad_admin ! aaa group server tacacs+ tac_admin ! aaa group server radius rad_pmip ! aaa group server radius dummy ! aaa group server radius rad_acct2 server 192.168.5.6 auth-port 1812 acct-port 1813 ! aaa group server radius rad_eap2 server 192.168.5.6 auth-port 1812 acct-port 1813 ! aaa authentication login eap_methods group rad_eap aaa authentication login mac_methods local aaa authentication login eap_methods2 group rad_eap2 aaa authorization exec default local aaa accounting network acct_methods start-stop group rad_acct aaa accounting network acct_methods2 start-stop group rad_acct2 aaa session-id common dot11 syslog ! dot11 ssid capa3.es vlan 1 authentication open eap eap_methods2 authentication key-management wpa accounting acct_methods2 mbssid guest-mode ! ! ! username capa3 privilege 15 secret 5 xxxxxxxxxxxxxxxxx ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 1 mode ciphers aes-ccm ! ssid capa3.es ! mbssid speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ! interface Dot11Radio0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 ip address 192.168.5.7 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.5.1 no ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ip radius source-interface BVI1 ! radius-server attribute 32 include-in-access-req format %h radius-server host 192.168.5.6 auth-port 1812 acct-port 1813 key 7 14041A0304 radius-server vsa send accounting bridge 1 route ip ! ! ! line con 0 login local line vty 0 4 transport input ssh ! end
Si arrancamos inSSIDer o cualquier otra aplicación de escaneo wireless veremos que efectivamente publicamos WPA2-Enterprise
Seguridad adicional:
Muchos puntos de acceso soportan múltiples SSID sobre la misma antena.
Por motivos de seguridad podemos separar en vlans los diferentes SSID’s. La red de gestión la mantendremos en otro segmento no publicado de forma inalámbrica.
Si deseamos usar una vlan separada para los usuarios de la red inalámbrica de la vlan del radius, configuraremos dot1q en el AP. En el puerto del switch que conecta con el AP configuraremos un trunk con la vlan de gestión y la de los diferentes SSID’s que publiquemos.
La vlan de gestión del AP y del tráfico radius será la vlan 1 (limitación del “bridge route ip” sobre otras vlans diferentes a la 1)
La vlan del ssid “capa3.es” para los usuarios será la vlan 190.
Para no repetir líneas, a continuación vemos las modificaciones a realizar respecto a la configuración completa anterior:
dot11 vlan-name wifi-capa3 vlan 190 ! dot11 ssid capa3.es vlan 190 authentication open eap eap_methods2 authentication key-management wpa accounting acct_methods2 mbssid guest-mode ! interface Dot11Radio0.190 encapsulation dot1Q 190 no ip route-cache bridge-group 190 bridge-group 190 subscriber-loop-control bridge-group 190 block-unknown-source no bridge-group 190 source-learning no bridge-group 190 unicast-flooding bridge-group 190 spanning-disabled ! interface FastEthernet0.190 encapsulation dot1Q 190 no ip route-cache bridge-group 190 no bridge-group 190 source-learning bridge-group 190 spanning-disabled ! access-list 30 remark acceso GESTION y RADIUS access-list 30 permit 192.168.5.0 0.0.0.255 ! line con 0 session-timeout 30 access-class 30 in login local line vty 0 4 session-timeout 30 access-class 30 in login local transport input ssh !
2 Comments
Muy bueno
Muchas gracias Carmen!
🙂