Radius server su Wi-Fi LAN

Una piccola esercitazione che prevede la configurazione di una rete LAN con Wi-Fi ma configurata per autenticare gli utenti attraverso account su server RADIUS, invece che la classica password di rete.

Introduzione

Il server RADIUS utilizza un protocollo eseguito nel livello di applicazione e può utilizzare il protocollo TCP o UDP. I server di accesso alla rete, i router che controllano l’accesso ad una rete,  di solito contengono un componente client che comunica con il RADIUS server. Solitamente è il processo che si occupa della gestione è in esecuzione su un server UNIX o Microsoft Windows. Il server RADIUS può essere utilizzato però per controllare e gestire gli accessi anche di PC ad una rete LAN qualsiasi, e quale migliore circostanza se non quella di una rete Wi-Fi dove la necessità di riconoscere chi accede è quanto mai più necessaria rispetto alle prese fisiche. Il classi modo di accedere ad una rete Wi-Fi con il classico SSID a disposizione, visibile o meno, richiede una chiave segreta condivisa, una password insomma, che potrebbe essere più pericoloso condividere con utenti soprattutto “ospiti”, mentre col RADIUS, tutti gli utenti affidabili avrebbero un proprio account personale da usare e gestire.

In questo esercizio vedremo anche un WLC, wireless LAN (WLAN) controller, un piccolo congegno che si occupa della gestione delle reti Wi-Fi e degli Access Point ad esse collegati. L’idea, semplicistica, è di avere AP sostanzialmente “stupidi”, senza configurazioni di rilievo, per avere una semplicità di installazione e manutenzione, mentre le funzionalità più importanti vengono lasciate al cuore appunto del WLC. Solitamente siamo abituati ad avere in casa AP economici che vanno configurato singolarmente ma in un edificio molto grande con copertura ampia di diverse decine di “hot spot” potrebbe risultare vantaggioso dotarsi di AP “leggeri”.

Per configurare il nostro piccolo test dobbiamo predisporre una rete come la seguente, seguendo i passaggi sotto elencati. Per la simulazione abbiamo usato Packet Tracer versione 8.0.0 su Linux Ubuntu Studio 20.04

Configurazione

Scheda di rete del server

Come in ogni servizio che prevede un server, si deve configurare la scheda di rete del server AAA radius. E’ prassi usare un indirizzo IP statico. Qui abbiamo scelto un indirizzo di classe C 192.168.1.*. Ricordate essere fondamentale usare lo stesso indirizzamento/maschera di rete per comunicare in una LAN

Servizio Radius

Configurare il servizio AAA sul server radius con la parte centrale che punta al dispositivo WLC con una password condivisa ed un paio di utenti con username/password che saranno abilitati alla connessione wifi

Configurare il WLC

Configurare un WLC e la sua scheda di rete “management” con un indirizzo IP e maschera. Occhio deve corrispondere a quello del punto 2!

Servizio DHCP

4. configurare il DHCP sul server RADIUS con particlare premura alla voce WLC Address

WiFi su WLC

5. Configurare la sezione Wireless del WLC per connettersi al server RADIUS. Noi scegliamo una wpa2 enterprise con utente/password nominali per gli utenti, e non il classico wap2 a password condivisa per tutti.

Configurazione host

6. Configurare due dispositivi laptop o tablet con scheda di rete Wi-Fi con l’accesso WPA2 e i rispettivi account RADIUS. In foto, abbiamo inserito solo uno dei due

Non ci resta che testare la nostra rete, se tutte le configurazioni sono state fatte a dovere. I due dispositivi laptop/tablet dovrebbero collegarsi col simbolo del segnale wireless ma potrebbero metterci anche quasi un minuto a completare la configurazione simulata. A questo punto per verificare possiamo usare il classico ping su uno dei dispositivi della rete già costruita oppure possiamo aggiungere un pc o un dispositivo di rete generico. Qui in foto abbiamo scelto un “Generic Wired”, configurato con un IP 192.168.1.2, denominato NAS e pingato dal pc utente1.

Ultima modifica 5 Giugno 2022