Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red, en nuestro caso red inalámbrica (WiFi). Cuando se realiza la conexión con un punto de acceso WiFi, en lugar de una clave de red típica, se enviará un nombre de usuario y una contraseña.
- 1 Access Point (UniFi AC-PRO)
- Software controlador de nuestro AP (UniFi Controller)
- Instancia de PfSense configurada
- Paquete de FreeRadius para PfSense
- Instalación del paquete “FreeRadius”
- Verificamos que se nos ha creado una CA
- Configuración de las interfaces de nuestro servidor FreeRadius
- Damos de alta todos los AP’s
- Añadir usuarios a nuestro servidor FreeRadius
- Configuración de nuestro AP
- Configurar la autenticación WPA2 / Enterprise
- (TEST) Prueba de autenticación
Lo primero que debemos realizar es instalar el paquete necesario para realizar la configuración.
Lo encontraremos en la siguiente ruta una vez nos situemos en el panel de control de PfSense:
System →Package Manager
Una vez nos situamos en el manejador de paquetes de PfSense debemos buscar en “Available Packages” la instancia necesaria de FreeRadius.
Una vez hemos instalado nuestro paquete FreeRadius podemos ver como se nos ha creado automáticamente una autoridad gestora de certificados con el nombre de FreeRadius CA y un certificado para la autenticación llamado FreeRadius Server Certificate.
Lo podemos comprobar si nos situamos en la siguiente ruta:
System → Cert Manager → CA’s
System → Cert Manager → Certificates
Una vez realizada la instalación podemos continuar con la configuración de nuestras interfaces por la que un usuario al acceder al Wifi va a poder autenticarse con nuestro servidor.
Para configurar nuestro servidor Radius debemos ir a Services → FreeRadius → Interfaces
Crearemos en nuestro caso una para la “Autenticación”:
Añadiremos una nueva interfaz con los siguientes parámetros:
Añadiremos una segunda interfaz de tipo “Accounting” con los siguientes parámetros:
Listo por ahora deberían verse dos interfaces en nuestro dashboard tal que así:
Para dar de alta nuestros puntos de acceso debemos ir a la siguiente ruta:
Services → FreeRadius → Nas / Clients
Cabe destacar que si tenemos algún controlador en nuestra red por ejemplo un Ruckus también debemos incluirlo.
Añadiremos uno configurando los siguientes parámetros:
Client IP: Dirección IP del AP.
Client IP Version: Versión de la IP del AP.
Client Shortname: Nombre corto del AP que nosotros le ponemos para identificarla.
Client Shared Secret: Clave compartida que debemos configurar en el AP más adelante y que usarán nuestro servidor Radius y nuestro AP para autenticarse.
Despues de añadir los distintos AP's que se encuentran en nuestra red pasaríamos a la creación de usuarios en nuestro servidor.
Para añadir usuarios a nuestro servidor debemos ir a la siguiente ruta:
Services → FreeRadius → Users
Una vez allí solo tenemos que añadir nuevos usuarios usando los siguientes parámetros por defecto:
Una vez configurado nuestro servidor Radius debemos ir a cada punto de acceso para configurar la autenticación WPA2 / Enterprise y dar de alta nuestro servidor Radius.
Tenemos que configurar cada Access Point uno a uno. En nuestro caso se realizaron pruebas con Ruckus pero me resultó bastante lioso y tuve varios errores ya que no conocía el software de Ruckus.
Luego probé con el UniFi AC-PRO y la configuración fue bastante sencilla la verdad.
En este tutorial vamos a realizar la configuración con el UniFi AC-PRO.
Para configurar inicialmente este dispositivo vamos a tener que conectarlo a un cable de red POE y conectarnos también con un cable ethernet.
Si conectamos nuestro AP a la red directamente este obtendrá una dirección por DHCP.
Debemos tener instalada el controlador de UniFi, el cual voy a dejar los links de las versiones de Windows y Ubuntu para que no tengáis que buscarlos arriba:
Una vez instalada la aplicación y estando conectados al Access Point abriremos la aplicación.
Se nos iniciará una interfaz web dónde podemos configurar el punto de acceso.
Se nos abrirá una pestaña en la que tendremos que autenticarnos con nuestra cuenta de UniFi. Si no posees una puedes registrarte accediendo a través de este link.
Una vez hemos iniciado sesión con nuestra cuenta debemos configurar nuestro servidor radius.
Para ello accederemos a la configuración del punto de acceso tal y como se muestra en la siguiente imagen:
Para ello debemos darle de alta en los perfiles de nuesto AP:
En esta pestaña encontraremos un apartado dedicado a los perfiles del servidor radius:
Crearemos un perfil nuevo. Configurando los siguientes parámetros:
Name: Nombre que le daremos al perfil y que hace referencia a nuestro servidor Radius.
Radius Assigned VLAN Support: Esta configuración hace que según con el usuario que nos autenticamos nos asigna una VLAN que deberíamos tener previamente configurada en nuestro controlador. (Nosotros omitimos esta configuración).
Authentication Servers: IP del servidor Radius junto con la interfaz a la que hace referencia. Nosotros usaremos las dos que creamos previamente (1812 = “Authentication” y 1813 = “Accounting”). También tenemos que aportar el “Shared Secret” que usamos para dar de alta a nuestro AP. Si estos Shared Secrets no coinciden nuestro AP no podrá solicitar la autenticación a nuestro servidor Radius.
Habilitar la red WiFi creada para que la autenticación sea por WPA2 / Enterprise usando nuestro servidor Radius.
Para ello debemos ir al apartado de configuración de nuestra WiFi:
Seleccionamos nuestra red:
Una vez abierta la configuración de nuestra red debemos acceder a la configuración avanzada:
Y en el apartado de seguridad debemos seleccionar la autenticación WPA2 / Enterprise a la vez que elegimos el perfil Radius que creamos previamente.
Por ahora ya tendríamos la autenticación WPA2 / Enterprise habilitada, notaremos que nuestro Punto de Acceso se reiniciará durante unos segundos y volverá a levantar nuestra WiFi pero esta vez utilizando las medidas de seguridad que le hemos configurado.
Para realizar una prueba de autentificación voy a realizarla en un iPhone 12, en el cual me conectaré al punto WiFi que acabamos de crear para verificar que se me instala el certificado y se me conecta adecuadamente.
Seleccionamos nuestro AP:
Insertamos nuestras credenciales:
Instalamos el certificado generado por nuestra entidad de confianza:
Comprobamos la conexión:
Hemos verificado que tenemos acceso con nuestras credenciales y que el punto de acceso queda configurado.