Guía de configuración de autenticación EAP-TLS para WPA-Enterprise (con FreeRADIUS)

Escenario de aplicación del usuario

El Protocolo de autenticación extensible (EAP) es un marco de autenticación que se usa con frecuencia en las conexiones de red e Internet. Los estándares WPA-Enterprise han adoptado IEEE 802.1X (con varios tipos de EAP) como mecanismo de autenticación canónica. Hay muchos métodos EAP definidos por IETF RFC, como EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, etc. En este artículo, implementaremos un RADIUS (Servicio de usuario de marcación de autenticación remota ) servidor para lograr la autenticación WPA-Enterprise con el método EAP-TLS.

Nota:

Este tutorial es para fines de verificación y prueba. Si desea utilizar los servicios RADIUS para escenarios empresariales o comerciales, consulte con organizaciones profesionales.

FreeRADIUS es un servidor RADIUS de código abierto bajo licencia GPLv2. Sitio web del proyecto: github.com .

 

Configuración

 

Paso 1. Instale FreeRADIUS en Linux

Para obtener la guía de instalación del paquete de FreeRADIUS, consulte Paquetes de FreeRADIUS | RedRADIUS . También puede compilarlo a partir del código fuente siguiendo: github.com . Asegurarse de instalarlo correctamente. Si encuentra que su servicio RADIUS tiene errores durante los siguientes procedimientos, por ejemplo, no puede iniciar o procesar ninguna solicitud, verifique si lo instaló correctamente.

Entorno de esta Guía: Ubuntu 22.04 LTS con FreeRADIUS 3.2 (apt-installed)

 

Paso 2. Edite la configuración de los clientes FreeRADIUS

De forma predeterminada, FreeRADIUS 3.2 se instala en /etc/freeradius/.

En primer lugar, agregue su AP al archivo de configuración para que FreeRADIUS procese la solicitud de autenticación enviada desde el AP. Abra la terminal y ejecute el siguiente comando:

$ sudo nano /etc/freeradius/clients.conf

Agregue los siguientes contenidos al archivo:

cliente AP1 { #'AP1' es el alias de su punto de acceso

ipaddr = 192.168.0.100/24 ​​#La dirección IP de AP1

secret = testing123

#El 'secreto' será la 'Contraseña de autenticación'

# en la configuración del perfil RADIUS del controlador Omada

}

Nota: Para el cifrado WPA-Enterprise, los propios EAP, en lugar del controlador, serán los clientes de RADIUS, así que asegúrese de que las direcciones IP de todos los EAP estén incluidas en clients.conf.

Luego presione Ctrl+X y guarde el archivo.

 

Paso 3. Edite la configuración de FreeRADIUS EAP para habilitar TLS

Edite la configuración de EAP:

$ sudo nano /etc/freeradius/mods-enabled/eap

Busque el campo eap, cambie default_eap_type a tls. Por ejemplo:

eap{

default_eap_type = tls

…

…

…

Luego presione Ctrl+X y guarde el archivo.

 

Paso 4. Haz los certificados

FreeRADIUS crea certificados mediante OpenSSL. Los archivos de configuración y las CA se encuentran en /etc/freeradius/certs. Primero, cambia a esa carpeta:

$ sudo -s

$ cd /etc/freeradius/certificados

Tenga en cuenta que debe limpiar todas las CA cada vez antes de volver a crearlas; de lo contrario openssl devuelve "Nada por hacer" y no generará nuevas CA. Elimine los archivos existentes con el siguiente comando:

$ rm -f *csr *key *p12 *pem *crl *crt *der *mk *txt *attr *old serial dh

Puede editar esos archivos *.cnf para cumplir con sus requisitos. Aquí simplemente los dejamos a todos por defecto para fines de prueba. Después de limpiar las CA, ejecute el comando make para generar nuevas CA.

$ make

 

Paso 5. Inicie el servidor FreeRADIUS

Puede ejecutar el servidor FreeRADIUS en modo de depuración con registro mediante el siguiente comando:

$ sudo freeradius -X

La salida debe ser la siguiente. Una vez que aparece "Listo para procesar solicitudes", significa que el servidor FreeRADIUS se ha iniciado correctamente.

 

Paso 6. Configure los ajustes de autenticación de la red inalámbrica

En este paso, configurará la seguridad de la red inalámbrica en WPA-Enterprise y configurará el perfil RADIUS. La contraseña de autenticación del servidor RADIUS es 'testing123', tal como la configuramos en /etc/freeradius/clients.conf. La IP del servidor de autenticación es la IP de su servidor RADIUS. El puerto de autenticación es 1812 de forma predeterminada para los servicios RADIUS.

Si está utilizando el controlador Omada, consulte la Guía del usuario del controlador Omada SDN | TP-Link Capítulo 4.4.1--> WPA-Enterprise .

Si está utilizando el modo independiente de EAP, consulte configuring_eap_standalone_eap (tp-link.com) Capítulo 2.2 Config SSIDs--> WPA-Enterprise .

 

Paso 7. Instale los certificados en los Clientes y verifique la autenticación

Copie el archivo ca.der y client.p12 generado (en el paso 4) al cliente, como una computadora portátil o de escritorio con un adaptador inalámbrico. Tenga en cuenta que algunos teléfonos inteligentes tienen poca compatibilidad y pueden producirse errores al instalar las CA. Se supone que debe usar una PC con Windows para hacer la siguiente prueba.

Para instalar las CA en Windows 10/11, simplemente haga doble clic en ellas y siga los pasos. Si está utilizando Windows7, es posible que no pueda instalar las CA debido a problemas de compatibilidad.

Instalar ca.der:

 

Luego, instale client.p12. Tenga en cuenta que la contraseña de la clave privada es " cualquiera " por defecto (si no ha cambiado las configuraciones editando /etc/freeradius/certs/*.cnf).

 

Paso 8. Conéctese al SSID usando un certificado

Para Windows11:

Vaya a la configuración de WLAN --> Busque su SSID --> Haga clic en Conectar --> Conectar usando un certificado . Luego se conectará a la red inalámbrica mediante el método EAP-TLS. Puede verificar las salidas del terminal en el servidor RADIUS para ver los registros.

 

Para Windows10:

Vaya a Panel de control-->Redes e Internet-->Centro de redes y recursos compartidos-->Configurar una nueva conexión o red

Seleccione Conectarse manualmente a una red inalámbrica y haga clic en Siguiente.

Complete su nombre de red (SSID), elija el tipo de seguridad WPA2-Enterprise y haga clic en Siguiente .

Haga clic en Cambiar configuración de conexión.

En Etiqueta de seguridad --> Elija un método de autenticación de red , seleccione Microsoft: tarjeta inteligente u otro certificado y luego haga clic en configuración.

Desmarque la casilla ' Verificar la identidad del servidor mediante la validación del certificado ' y haga clic en Aceptar en todas las ventanas emergentes.

Ahora, en Configuración de WLAN, puede conectar el SSID usando un certificado .

 

Conozca más detalles de cada función y configuración, vaya al Centro de descargas para descargar el manual de su producto.