Cách Cấu Hình Bộ định Tuyến WiFi Với WPA2 Hoặc WPA3 Enterprise ...

Định vị và cấu hình IP của NAS sẽ có máy chủ RADIUS

Điều đầu tiên chúng ta phải làm là xác định vị trí máy chủ NAS trên mạng, điều rất quan trọng là phải biết địa chỉ IP riêng của nó, vì trong cấu hình mạng không dây, chúng ta sẽ phải nhập địa chỉ IP này để xác thực các máy khách không dây. Chúng tôi rất khuyến khích rằng địa chỉ IP riêng tư này không bao giờ thay đổi, do đó, chúng tôi có hai tùy chọn khả thi:

• Đặt IP cố định trên máy chủ NAS
• Định cấu hình DHCP tĩnh của bộ định tuyến và đặt địa chỉ IP tĩnh mọi lúc.

Bằng cách này, chúng tôi sẽ buộc máy chủ NAS này không bao giờ thay đổi địa chỉ IP riêng của nó, một điều rất quan trọng để mọi thứ hoạt động bình thường.

Khi chúng ta đã định cấu hình chính xác NAS hoặc bộ định tuyến để máy chủ NAS không bao giờ thay đổi địa chỉ IP của nó, chúng ta sẽ cấu hình máy chủ.

Định cấu hình máy chủ FreeRADIUS

FreeRADIUS là phần mềm xuất sắc để cấu hình máy chủ RADIUS với các tùy chọn rất nâng cao, phần mềm này có hỗ trợ các loại xác thực khác nhau và nó hoạt động thực sự tốt. Một tính năng rất quan trọng là nó tương thích với bất kỳ hệ điều hành nào, điều này rất cần thiết để có khả năng tương thích tối đa.

Cấu hình máy chủ này rất phức tạp, bạn phải cấu hình các tệp cấu hình theo cách nâng cao, tạo cơ quan cấp chứng chỉ và hơn thế nữa. Nếu chúng ta sử dụng một máy chủ NAS như QNAP, nó sẽ tạo điều kiện thuận lợi rất nhiều cho công việc không cần phải cấu hình máy chủ trên máy tính, trên một Linuxmáy chủ dựa trên hoặc trên một Raspberry Pi. Tất cả các máy chủ QNAP NAS đều hỗ trợ khả năng cấu hình máy chủ dễ dàng và nhanh chóng.

Tất cả những gì chúng tôi phải làm là đi đến phần ” Bảng điều khiển / Ứng dụng / Máy chủ RADIUS “. Khi vào bên trong, những gì chúng ta phải làm là kích hoạt máy chủ và cho phép truy cập vào tài khoản người dùng của hệ thống, mặc dù sau này là tùy chọn và không cần thiết.

Sau khi máy chủ được kích hoạt, trong phần “Khách hàng RADIUS”, chúng ta phải đăng ký trực tiếp bộ định tuyến sẽ chuyển tiếp tất cả xác thực đến máy chủ. Dữ liệu mà chúng tôi sẽ phải đặt như sau:

• Họ tên : chúng tôi đặt tên cho khách hàng
• Địa chỉ IP : chúng tôi đặt địa chỉ IP riêng của bộ định tuyến, trong trường hợp của chúng tôi là 192.168.50.1
• Độ dài tiền tố : chúng tôi đặt 32, chỉ ra rằng chỉ địa chỉ IP đó mới là máy khách.
• Chìa khoá bí mật : chúng tôi xác định một mật khẩu mạnh, nó là khóa xác thực giữa bộ định tuyến và máy chủ FreeRADIUS. Mật khẩu này không phải của khách hàng.

Cấu hình sẽ như sau:

Khi chúng ta đã định cấu hình máy khách, bây giờ chúng ta sẽ phải tạo người dùng. Trong trường hợp này, chúng tôi sẽ phải tạo một người dùng cho mỗi WiFi khách hàng mà chúng tôi sẽ kết nối với mạng không dây, chúng tôi sẽ phải chỉ ra tên của người dùng và cả mật khẩu của họ. Tất cả các máy khách nằm trong danh sách «Người dùng» này sẽ có quyền xác thực trong máy chủ và do đó, có được kết nối WiFi mà không có giới hạn nào dưới bất kỳ hình thức nào.

Khi chúng ta đã định cấu hình máy chủ, chúng ta phải truy cập bộ định tuyến để định cấu hình nó một cách chính xác, vì chúng ta phải đặt xác thực WPA2-Enterprise hoặc WPA3-Enterprise và chỉ ra dữ liệu khác nhau.

Định cấu hình bộ định tuyến với xác thực WPA2 / WPA3-Enterprise và RADIUS

Điều đầu tiên chúng tôi phải làm là đi đến ” Cài đặt nâng cao / không dây " phần. Trong menu này, chúng tôi sẽ phải chọn loại mã hóa WPA2-Enterprise và một số menu bổ sung sẽ được hiển thị tự động mà chúng tôi sẽ phải hoàn thành:

• Phương pháp xác thực : WPA2-Doanh nghiệp
• Mã hóa WPA : AES
• Địa chỉ IP máy chủ : 192.168.50.141
• Cổng máy chủ : 1812
• Kết nối bí mật : 123456789 (trong trường hợp của chúng tôi, đó là mật khẩu mà chúng tôi đặt trên máy chủ trong phần “Khách hàng RADIUS”).

Tiếp theo, bạn có thể xem nó sẽ trông như thế nào trong trường hợp của chúng tôi:

Tất cả thông tin mà chúng tôi đã chỉ ra này phải được phản ánh trong phần “Cấu hình RADIUS” với dải tần mà chúng tôi đã định cấu hình. Ở đây chúng ta sẽ thấy địa chỉ IP riêng của máy chủ, cổng và cả bí mật kết nối.

Khi chúng tôi đã định cấu hình chính xác bộ định tuyến, ngay bây giờ chúng tôi có thể xác thực các máy khách WiFi khác nhau bằng tên người dùng và mật khẩu tương ứng của chúng mà chúng tôi đã tạo trước đó. Chúng tôi sẽ chỉ cho bạn cách kết nối Windows 10 máy tính và một Android thiết bị.

Kết nối PC Windows với WiFi bằng WPA2-Enterprise

Để định cấu hình mạng WiFi với WPA2-Enterprise, chúng tôi sẽ phải định cấu hình thủ công kết nối với mạng. Chúng ta phải đi đến ” Bảng điều khiển / mạng và Trung tâm chia sẻ " phần. Trong menu này, chúng ta phải nhấp vào « Thiết lập kết nối hoặc mạng mới ".

Trong danh sách các tùy chọn có sẵn, chúng ta phải nhấp vào ” Kết nối thủ công với mạng không dây ”Và nhấp vào tiếp theo.

Bây giờ chúng ta sẽ phải nhập tên của mạng WiFi mà chúng ta sẽ kết nối, tên mạng hoặc SSID này phải giống hệt như trong bộ định tuyến. Trong loại bảo mật, chúng tôi chọn “WPA2-Enterprise”, loại mã hóa bắt buộc sẽ là AES, nó không cho phép thay đổi nó. Các "Bảo mật phần key ”sẽ bị vô hiệu hóa, điều đó là hoàn toàn bình thường.

Bây giờ chúng ta nhấp vào « Khởi động kết nối này tự động »Để vô hiệu hóa nó và tương tự với tùy chọn« Kết nối ngay cả khi mạng không phát tên của nó ".

Khi nhấp vào tiếp theo, chúng ta phải nhấp vào ” Thay đổi cài đặt ”Như được chỉ ra bởi trình hướng dẫn Windows. Chúng tôi sẽ nhận được một menu với mọi thứ chúng tôi đã cấu hình cho đến nay.

Trong tab “Bảo mật”, chúng tôi chọn tùy chọn “microsoft: EAP được bảo vệ (PEAP) ”và nhấp vào“ Cấu hình ”:

Trong menu này, chúng ta sẽ phải nhấp vào « Xác minh danh tính của máy chủ bằng cách xác thực chứng chỉ »Để tắt tùy chọn này. Chúng tôi để phần còn lại của các tùy chọn theo mặc định.

Khi chúng tôi kết nối với mạng không dây WiFi, nó sẽ yêu cầu chúng tôi đăng nhập, chúng tôi sẽ phải nhập tên người dùng và mật khẩu mà chúng tôi đã đăng ký trên máy chủ trong menu “Người dùng RADIUS”.

Khi chúng tôi nhập thông tin đăng nhập, nếu chúng tôi không mắc lỗi khi nhập thông tin đăng nhập người dùng, chúng tôi hoàn toàn có thể thấy rằng chúng tôi đã đăng nhập và có kết nối Internet mà không có vấn đề gì.

Khi chúng ta đã cấu hình thành công PC Windows, hãy xem cách kết nối với điện thoại thông minh Android.

Kết nối điện thoại thông minh Android với WiFi bằng WPA2-Enterprise

Trong điện thoại thông minh Android, chúng ta phải nhấp vào mạng WiFi mà chúng ta muốn kết nối, không cần thiết phải thêm mạng không dây theo cách thủ công như trong hệ điều hành Windows. Trong trường hợp này, ngay sau khi chúng ta nhấp vào mạng không dây WiFi, các tùy chọn cấu hình khác nhau sẽ xuất hiện. Chúng ta phải điền nó theo cách sau:

• Phương pháp EAP: PEAP
• Xác thực giai đoạn 2: MSCHAPv2
• Chứng chỉ CA: Không xác thực

Trong phần “Danh tính”, chúng ta sẽ phải nhập tên người dùng của mình mà chúng ta đã đăng ký trên máy chủ và trong “Mật khẩu”, chúng ta sẽ phải nhập mã truy cập. Chúng tôi sẽ tự động kết nối với mạng không dây WiFi và chúng tôi sẽ có thể lướt Internet mà không gặp bất kỳ sự cố nào, sử dụng WPA2-Enterprise và loại mã hóa EAP 802.1x mà điện thoại thông minh của chúng tôi chỉ ra cho chúng tôi.

Một cấu hình khác có thể có trên các điện thoại thông minh này sẽ như sau:

• Phương pháp EAP: TTLS
• Xác thực giai đoạn 2: MSCHAPv2
• Chứng chỉ CA: Không xác thực

Trong phần “Danh tính” và “Mật khẩu”, chúng tôi cũng sẽ phải nhập thông tin đăng nhập của mình, như trước đây.

Như bạn đã thấy, việc định cấu hình xác thực WPA2-Enterprise trên bộ định tuyến rất đơn giản và hơn thế nữa nếu chúng ta sử dụng máy chủ xác thực như máy chủ được tích hợp trong QNAP. Tuy nhiên, chúng tôi không thể tải xuống CA để cài đặt nó trong từng máy khách không dây WiFi, do đó, chúng tôi vẫn có thể bị tấn công Rogue AP trong đó tội phạm mạng mạo danh điểm truy cập hợp pháp, điều mà nếu chúng tôi có CA trong hệ thống của mình. sẽ không vượt qua vì nó được xác thực trước khi thiết lập kết nối. Để có được tính bảo mật này, cần phải thiết lập máy chủ FreeRADIUS của riêng chúng tôi từ đầu hoặc trong một hệ thống như pfSense nơi chúng tôi có sẵn tất cả các tùy chọn cấu hình.