802.1X – Configuración de Access Point Cisco

Después de la introducción a 802.1X y la configuración del servidor radius con EAP-TLS, configuraremos un punto de acceso inalámbrico Cisco con WPA2 Enterprise. Esto es, WPA2 con 802.1x

8021x-freeradius-raspberry-Cisco

En esta topología de red estamos usando:

Access Point Cisco AIR-AP1121G-E-K9:
 IOS c1100-k9w7-mx.123-8.JEE
Raspberry Pi como servidor Freeradius
Switch Cisco 3750 PoE

Para completar nuestra red inalámbrica segura, si no disponemos de un Access Point empresarial como el del ejemplo, nos puede servir un router wifi que soporte radius y métodos EAP. Los routers wireless que ofrecen los proveedores de servicio a Internet o ISP’s suelen incorporar esta tecnología.
En cualquier caso, si no dispones de un servidor radius o no te has animado a instalar uno como ya hemos visto en el post anterior, los routers inalámbricos y la mayoría de Access Points permiten configurar un radius local. Esto es el servidor radius estará en propio router o AP.
Es más seguro usar un servidor radius en la autenticación inalámbrica (métodos WPA-Enterprise y WPA2-Enterprise) que el método de clave compartida o PSK (WPA-PSK o WPA2-PSK).
Si nuestro dispositivo lo soporta, será mejor usar WPA2 porque incoporpora cifrado AES y el método Enterprise ya que incorpora soporte radius.

La configuración que veremos a continuación está aplicada sobre un punto de acceso autónomo Cisco AIR-AP1121G-E-K9. La última versión de IOS para este dispositivo, ahora en End-Of-Life, provee compatibilidad con WPA2.
La configuración sirve para cualquier método EAP. Es decir si queremos usar como método 802.1x EAP-PEAP, EAP-TLS, EAP-TTLS etc esta configuración es válida porque el método EAP lo negocian cliente y servidor. El punto de acceso inalámbrico sólo necesita conocer la ip del radius, el secreto compartido y el protocolo de seguridad inalámbrica a utililizar.

Resumen de la configuración:

IP del radius (raspy) = 192.168.5.6
secreto radius = shhh
IP de Gestión del AP = 192.168.5.7
Un único SSID llamado capa3.es
WPA2 (cifrado AES CCM)

Para neófitos en 802.1x, el secreto compartido radius no es la contraseña de la wifi.
El método de autenticación será el que configuremos en el servidor radius.

Configuración completa del Access Point Cisco:

ap-capa3.es#sh run
Building configuration...

Current configuration : 2543 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap-capa3.es
!
no logging console
enable secret 5 xxxxxxx
!
ip subnet-zero
ip domain name capa3.es
!
!
aaa new-model
!
!
aaa group server radius rad_eap
 server 192.168.5.6 auth-port 1812 acct-port 1813
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa group server radius rad_acct2
 server 192.168.5.6 auth-port 1812 acct-port 1813
!
aaa group server radius rad_eap2
 server 192.168.5.6 auth-port 1812 acct-port 1813
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authentication login eap_methods2 group rad_eap2
aaa authorization exec default local 
aaa accounting network acct_methods start-stop group rad_acct
aaa accounting network acct_methods2 start-stop group rad_acct2
aaa session-id common
dot11 syslog
!
dot11 ssid capa3.es
   vlan 1
   authentication open eap eap_methods2 
   authentication key-management wpa
   accounting acct_methods2
   mbssid guest-mode
!
!
!
username capa3 privilege 15 secret 5 xxxxxxxxxxxxxxxxx
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption vlan 1 mode ciphers aes-ccm 
 !
 ssid capa3.es
 !
 mbssid
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Dot11Radio0.1
 encapsulation dot1Q 1 native
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 192.168.5.7 255.255.255.0
 no ip route-cache
!
ip default-gateway 192.168.5.1
no ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1 
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.5.6 auth-port 1812 acct-port 1813 key 7 14041A0304
radius-server vsa send accounting
bridge 1 route ip
!
!
!
line con 0
login local
line vty 0 4
 transport input ssh
!
end

Si arrancamos inSSIDer o cualquier otra aplicación de escaneo wireless veremos que efectivamente publicamos WPA2-Enterprise

wpa2-enterprise-cisco

Seguridad adicional:
Muchos puntos de acceso soportan múltiples SSID sobre la misma antena.
Por motivos de seguridad podemos separar en vlans los diferentes SSID’s. La red de gestión la mantendremos en otro segmento no publicado de forma inalámbrica.

Si deseamos usar una vlan separada para los usuarios de la red inalámbrica de la vlan del radius, configuraremos dot1q en el AP. En el puerto del switch que conecta con el AP configuraremos un trunk con la vlan de gestión y la de los diferentes SSID’s que publiquemos.
La vlan de gestión del AP y del tráfico radius será la vlan 1 (limitación del “bridge route ip” sobre otras vlans diferentes a la 1)
La vlan del ssid “capa3.es” para los usuarios será la vlan 190.
Para no repetir líneas, a continuación vemos las modificaciones a realizar respecto a la configuración completa anterior:

dot11 vlan-name wifi-capa3 vlan 190
!
dot11 ssid capa3.es
   vlan 190
   authentication open eap eap_methods2 
   authentication key-management wpa
   accounting acct_methods2
   mbssid guest-mode
!
interface Dot11Radio0.190
 encapsulation dot1Q 190
 no ip route-cache
 bridge-group 190
 bridge-group 190 subscriber-loop-control
 bridge-group 190 block-unknown-source
 no bridge-group 190 source-learning
 no bridge-group 190 unicast-flooding
 bridge-group 190 spanning-disabled
!
interface FastEthernet0.190
 encapsulation dot1Q 190
 no ip route-cache
 bridge-group 190
 no bridge-group 190 source-learning
 bridge-group 190 spanning-disabled
!
access-list 30 remark acceso GESTION y RADIUS
access-list 30 permit 192.168.5.0 0.0.0.255
!
line con 0
 session-timeout 30 
 access-class 30 in
 login local
line vty 0 4
 session-timeout 30 
 access-class 30 in
 login local
 transport input ssh
!

2 Comments

  • Carmen
    15/11/2013 - 10:50 am | Permalink

    Muy bueno

  • Leave a Reply

    Your email address will not be published. Required fields are marked *