het internet

Configureer een FreeRADIUS-server om WPA2 en WPA3 Enterprise via wifi te gebruiken

0 4.444 8 minuten om te lezen

WiFi-netwerken gebruiken meestal een soort codering WPA2 of WPA3 Personal, of ook bekend als PSK (Pre-Shared Key), waarbij we een wachtwoord hebben om toegang te krijgen tot het draadloze netwerk, en alle WiFi-clients moeten deze sleutel gebruiken om toegang te krijgen en te coderen / ontcijfer informatie die in de lucht circuleert. FreeRADIUS is de software bij uitstek om een ​​RADIUS-server te configureren en clients te authenticeren met een gebruikersnaam, wachtwoord en digitaal certificaat, om WiFi-netwerken te configureren met WPA2 of WPA3-Enterprise, met behulp van verschillende protocollen zoals PEAP, TLS, TTLS en MSCHAPv2 onder andere . Vandaag gaan we in RedesZone uitleggen hoe je een RADIUS-server met FreeRADIUS in een pfSense configureert om draadloze clients te authenticeren.

Wat is een RADIUS-server?

RADIUS komt van het Engelse acroniem Remote Authentication Dial-In User Service, het is een authenticatie- en autorisatieprotocol voor netwerktoegang, standaard gebruikt het het 1812 UDP-protocol om verbindingen tussen computers tot stand te brengen om te authenticeren. Met RADIUS-servers kunnen zowel gebruikers van internetverbindingen worden geverifieerd met behulp van PPPoE, maar kunnen ook bekabelde gebruikers worden geverifieerd, gebruikers die zich willen authenticeren met een NAS-server of een service, en zelfs kunnen draadloze Wi-Fi-clients worden geverifieerd met behulp van WPA2 / WPA3 Onderneming.

RADIUS-servers gebruiken doorgaans verschillende authenticatieprotocollen, waaronder PAP, CHAP en EAP. Een van de meest interessante functies is dat we hiermee sessies, het begin van authenticatie, het einde van de verbinding en vele andere instellingen kunnen beheren. Afhankelijk van het gebruik van de RADIUS-server, wordt deze geconfigureerd om de ene of de andere service te leveren.

Wat is FreeRADIUS?

FreeRADIUS is de software bij uitstek voor het monteren van een RADIUS-server, het is modulair, gratis en biedt hoge prestaties en uitstekende beveiliging. FreeRADIUS ondersteunt alle gangbare authenticatieprotocollen. Het is in feite de basis voor veel commerciële RADIUS-producten en -diensten. Daarnaast hebben we een groot aantal modules opgenomen en andere die kunnen worden ingebouwd. De meegeleverde modules maken bijvoorbeeld LDAP, MySQL, PostgreSQL en zelfs Oracle en andere databases mogelijk, als het gaat om authenticatietypes, ondersteunt het EAP inclusief PEAP, EAP-TTLS en ook EAP-TLS.

FreeRADIUS maakt het mogelijk om het te beheren via extra tools, zodat u het niet handmatig hoeft te configureren door complexe tekstbestanden te bewerken en de configuratie later te laden. pfSense heeft een volledige grafische gebruikersinterface waarmee we alle parameters in detail kunnen configureren, daarnaast hebben we de mogelijkheid om de onbewerkte configuratietekstbestanden te zien, voor het geval we zelf wijzigingen moeten aanbrengen.

Wat is het nut van het instellen van een RADIUS-server voor WiFi?

Als we het hebben over wifi-netwerken, gebruiken we meestal WPA2 of WPA3-Personal, waarbij we voor elk apparaat hetzelfde wachtwoord gebruiken. Deze sleutel is vooraf gedeeld, dat wil zeggen dat alle WiFi-clients die verbinding willen maken, deze moeten kennen. Dit soort netwerken worden over het algemeen aangevallen met brute kracht of woordenboek, hoewel logischerwijs WPA3-netwerken veiliger zijn en beter bestand tegen verschillende aanvallen. Als we een RADIUS-server koppelen, kunnen we onze WiFi-router of ons WiFi-toegangspunt configureren om WPA2 / WPA3-Enterprise-authenticatie te gebruiken, waarbij we niet voor alle gebruikers een vooraf gedeelde sleutel hebben, maar elke gebruiker zijn eigen gebruikersnaam en wachtwoord om toegang te krijgen tot het wifi-netwerk.

Een RADIUS-server gebruikt een certificeringsinstantie (CA) omdat er enkele authenticatieprotocollen zijn die openbare-sleutelinfrastructuur gebruiken voor clientauthenticatie. Bovendien is dit erg belangrijk omdat alle clients altijd de certificaat-CA moeten hebben om te verifiëren dat we inderdaad verbinding maken met een legitieme WiFi-netwerk. Sommige aanvallen op wifi-netwerken bestaan ​​uit het vervalsen van de identiteit van het legitieme toegangspunt, op deze manier kan het slachtoffer zijn inloggegevens naar een cybercrimineel sturen. Om deze reden wordt het ten zeerste aanbevolen dat we niet alleen de gebruikersnaam en het wachtwoord van het wifi-netwerk hebben, maar dat we dit certificaat van de CA gebruiken om te verifiëren dat het wifi-netwerk waarmee we verbinding maken legitiem is.

Het bedieningsschema van een RADIUS-server, die zich op een NAS-server van QNAP of een andere fabrikant bevindt, ziet er als volgt uit:

In ons geval hebben we FreeRADIUS in het pfSense-besturingssysteem zelf geïnstalleerd en verifiëren we de draadloze clients die rechtstreeks vanaf hier verbinding maken met het toegangspunt. De configuratie van de access points is bij elke fabrikant anders, maar het enige waar we rekening mee zullen moeten houden zijn drie parameters:

  • RADIUS server IP, in dit geval pfSense zelf
  • Luisterpoort van de RADIUS-server, configureerbaar, maar standaard is dit 1812.
  • Authenticatiesleutel van het toegangspunt met de RADIUS-server.

Het proces voor authenticatie van een WiFi-client met WPA2 of WPA3-Enterprise is als volgt:

  1. Een wifi-client maakt via een toegangspunt verbinding met het wifi-netwerk. U wordt gevraagd om gebruikersreferenties (gebruikersnaam en wachtwoord) in te voeren en ook om het CA-certificaat te uploaden ter bescherming tegen mogelijke MitM-aanvallen.
  2. Het WiFi-toegangspunt stuurt de inloggegevens naar de RADIUS-server in pfSense, die we eerder hebben geconfigureerd. Als de inloggegevens geldig zijn, mag u verbinding maken met internet, als de inloggegevens niet geldig zijn, mislukt de authenticatie en krijgt u een foutmelding in de WiFi-client.

Zodra u het netwerk mag betreden omdat de inloggegevens geldig zijn, krijgt u natuurlijk een IP-adres van DHCP en krijgt u toegang tot alle bronnen van het WiFi-netwerk.

Zodra we een beetje weten wat een RADIUS-server is en wat FreeRADIUS ons toestaat te doen, beginnen we met het configureren van de FreeRADIUS-server in pfSense.

Installatie van FreeRADIUS op pfSense

De FreeRADIUS-software is niet standaard geïnstalleerd in pfSense, om het te installeren moet je naar het gedeelte "Systeem / Pakketbeheer" gaan en zoeken naar de freeradius3-software die we hebben in de lijst met beschikbare pakketten. We klikken op "Installeren" en bevestigen de actie. Zodra we het hebben geïnstalleerd en klaar om te gaan werken, krijgen we de typische groene balk om aan te geven dat alles goed werkte.

Zodra we het hebben geïnstalleerd, kunnen we zien dat we het in het gedeelte "Services" beschikbaar hebben om het te configureren:

Het is nu tijd om het te configureren, om de gebruikers te registreren en ook om de verschillende WiFi-toegangspunten te authenticeren met de RADIUS-server.

Configuratie-opties beschikbaar in pfSense

Als we naar de "FreeRADIUS"-configuratie in het gedeelte "Services" gaan, kunnen we de grafische gebruikersinterface zien om de RADIUS-server in detail te configureren. In dit menu zullen we verschillende tabbladen vinden om verschillende aspecten te configureren:

  • Gebruikers : we zullen de gebruikers configureren die via wifi worden geverifieerd, we zullen de gebruiker / het wachtwoord en vele andere geavanceerde parameters kunnen definiëren.
  • MAC's : we kunnen het gedrag van RADIUS instellen als het een specifieke MAC vindt, hetzelfde IP-adres, een specifieke VLAN-ID biedt, de bandbreedte, een time-out en andere geavanceerde instellingen beperkt.
  • NAS / clients : dit is waar we een of meer toegangspunten moeten configureren die zullen authenticeren met de RADIUS-server. Als we in totaal 4 professionele WiFi-toegangspunten hebben die WPA2 / WPA3-Enterprise toestaan, moeten we hier hun IP-adres en de PSK-sleutel invoeren.
  • interfaces : u kunt de fysieke of logische interface definiëren waarnaar de RADIUS-server zal luisteren, en ook de luisterpoort definiëren, deze zal altijd het UDP-protocol gebruiken.
  • Parameters : we zullen de globale opties van de server kunnen configureren, inclusief de opname van de verschillende gebruikers en de volledige logs van de server.
  • EAP : Algemene instellingen van het EAP-authenticatieprotocol, het wordt aanbevolen om zwakke EAP-typen die kunnen worden aangevallen uit te schakelen. Dit is waar we de CA voor TTLS en TLS moeten laden.
  • SQL en LDAP : hiermee kan de software worden geïntegreerd in een database en ook in de LDAP van de organisatie.

In de sectie "Configuratie weergeven" kunnen we de verschillende tekstbestanden zien met de onbewerkte configuratie van de FreeRADIUS-server. Als u gewend bent deze te configureren door het tekstbestand te bewerken, kunt u hiermee controleren of de configuratie correct is. Ten slotte kunnen we ook de XMLRPC Sync-configuratie zien, voor het geval we deze gebruiken.

Zodra we de configuraties hebben gezien die de grafische gebruikersinterface ons toestaat, zullen we deze in detail configureren.

Configuratie van de FreeRADIUS-server in pfSense

Om de FreeRADIUS-server correct te configureren, moeten we de toegangspunten registreren, de verschillende gebruikers registreren, de luisterinterface van de server configureren en ten slotte de EAP-authenticatie configureren.

NAS / Clients configureren

Het eerste dat we moeten doen, is de verschillende toegangspunten registreren, zodat ze correct worden geverifieerd bij de server. U moet naar het gedeelte "NAS / Clients" gaan om de verschillende AP's te registreren die de RADIUS-server zal gebruiken om draadloze gebruikers te authenticeren. In de volgende galerij kunt u alle beschikbare opties zien die we hebben:

We moeten de volgende gegevens invoeren:

  • IP-adres : het IP-adres dat het professionele toegangspunt op het netwerk heeft, normaal gesproken hebben we een beheersubnet waar al deze computers zich bevinden.
  • Client IP-versie : IPv4 normaal, maar staat ook IPv6 toe.
  • Korte naam van de klant : een identificatie van het toegangspunt dat we hebben geregistreerd
  • Client gedeeld geheim : het gedeelde wachtwoord, de AP en deze "NAS / Clients" moeten exact hetzelfde authenticatiewachtwoord hebben. Staat maximaal 31 tekens toe.

Als je in een organisatie zit waar je een wifi-controller hebt, en je beheert bijvoorbeeld 4 wifi-toegangspunten, dan moet je deze als volgt configureren:

  • Registreer alle toegangspunten met hun bijbehorende privé-IP
  • Zet hier alle geregistreerde toegangspunten, exact hetzelfde wachtwoord.
  • Zet hetzelfde wachtwoord in de WiFi-controller en alle toegangspunten authenticeren zich met dit wachtwoord bij de RADIUS-server.

De rest van de opties kunnen standaard blijven staan:

In ons geval hebben we in totaal 4 wifi-toegangspunten geconfigureerd, allemaal aangestuurd door de Nuclias Connect-controller.

Eenmaal geregistreerd, zullen we de sectie "Interfaces" configureren, dit is waar u zult luisteren.

Configureer de "Interfaces" waar u naar luistert

In de sectie Interfaces kunnen we het luisterende IP-adres van de server configureren, als we * plaatsen, betekent dit dat het op alle interfaces zal luisteren. Je moet ook de luisterpoort, het type interface (authenticatie, autorisatie, enz.), de IPv4-versie en een korte beschrijving vermelden.

In ons geval zijn we alleen geïnteresseerd in het luisteren naar het IP-adres van het beheernetwerk, in de rest van de interfaces zijn we niet geïnteresseerd in het luisteren naar de RADIUS-server.

U kunt meerdere interfaces handmatig toevoegen, en niet slechts één. In het hoofdmenu van "Interfaces" kunnen we de samenvatting van de configuratie zien.

Zodra dit is gedefinieerd, gaan we verder met het configureren van de gebruikers die moeten worden geverifieerd.

Registreer de verschillende gebruikers om uzelf te authenticeren

Om de verschillende gebruikers te registreren, gaat u naar de sectie "Gebruikers". In dit menu zullen we veel configuratie-opties hebben, maar als we alleen authenticatie via WiFi willen uitvoeren met WPA2 / WPA3-Enterprise, moeten we dit invullen:

  • Achternaam
0 4.444 8 minuten om te lezen

Vergelijkbare items

Foto van Snel controleren of je e-mail, mobiel of IP op het Dark Web staat

Controleer snel of je e-mail, mobiel of IP op het Dark Web staat

Juni 22, 2021
Foto van de voor- en nadelen van het gebruik van Netflix met VPN of proxy

Voor- en nadelen van het gebruik van Netflix met VPN of proxy

Juni 22, 2021
Foto van DNS via HTTPS inschakelen in Chrome en beveiliging verbeteren

Schakel DNS over HTTPS in Chrome in en verbeter de beveiliging

Juni 22, 2021
Foto van Hoe ontwerp je een winnende social media-strategie in sociale netwerken? Stap voor stap handleiding

Hoe ontwerp je een winnende social media-strategie in sociale netwerken? Stap voor stap handleiding

December 31, 2020

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Terug naar boven knop