Radius con Synology y conexión con punto de acceso unifi de ubiquiti. WPA ENTERPRISE (WPA-802.1x, RADIUS).

Publicada en Publicada en Redes, Security (EN), Seguridad, Tecnologia

Hola a todos. Hoy os voy a recrear una solucion para tu casa sobre seguridad informática con 2 equipos necesarios. Un servidor NAS de SYNOLOGY y punto de acceso de la marca UBITQUI. El tandem perfecto en conectividad y soluciones para implementar en una vivienda o pequeño negocio.

No voy a recrear un paso a paso , solamente voy a concretar los pasos exactos que teneis que crear.

En la parte de ubiquiti , teneis que descargar la ultima versión del software desde aqui. El enlace es para la versión de Windows.


Configuración con el software de Ubitiqui

Una vez instalado el software y abierto el navegador web con la direccion local de acceso , debeis de buscar el apartado de WIRELESS NETWORK.

Para crear una red RADIUS en el punto de Acceo se tiene que crear un perfil con un nombre. En este caso lo llamamos RADIUS.

En el menu de configuracion del perfil de RADIUS , rellenamos los parámetros como en siguiente ejemplo :

La ip Address : la ip del servidor de SYNOLOGy. El puerto de RADIUS standard es el 1812. El Password / shared secret : Es la clave que tenemos que poner y tiene que ser idéntica a la que rellenemos en el servidor de SYNOLOGY.

Por defecto puedes poner la ip dinámica para el punto de acceso de ubitiqui. Yo recomiendo poner ip fija al equipo. En el ejemplo actual relleno los campos con los datos de un caso real. el gateway o punto de enlace es 192.168.0.10 que corresponde a un cortafuego de Pfsense que despues sale al router y posteriormente a internet.

El nombre del HOST o Alias para este caso lo denominamos HABITACIÓN. En una empresa podría ser ADMINISTRACIÓN o AP010. Vamos el que nosotros diseñemos desde cero. Os recuerdo que esta solución es aplicable para una empresa o para tu casa. No os olvidéis que en internet hay que protegerse de todos , y en el momento que nos conectemos al router ya estamos “dentro” . no os olvidéis.


Configuración con el software de SYNOLOGY.

En la parte del software de SYNOLOGY debeis de descargar el paquete denominado RADIUS SERVER. Una vez descargado debeis hacer doble click sobre el y aparecerá la siguiente pantalla :

Como podeis observar a primera vista el puerto de autenticacion es el 1812 , el mismo que hemos configurado en el unifi. En este caso el control de usuarios lo va a gestionar el SYNOLOGY en local por lo que el usuario que sueles acceder al synology es un “usuario local”. La parte de Usuarios de LDAP es otro tema aparte que lo veremos otro dia y lo mismo con Usuarios de dominio.

Una vez terminado el apartado de configuracion nos vamos al del cliente. MUY IMPORTANTE y el que la gente no sabe como asociarlo. EL cliente NO es el telefono movil que nos queremos conectar. El CLIENTE es el PUNTO DE ACCESO. Por ello debeis de rellenar los datos asi : : NOMBRE el host (HABITACION )  , direccion ip : la ip fija que hemos puesto al AP, la mascara de red que es la que tiene el AP, el secreto compartido ( LA CLAVE QUE HEMOS DEFINIDO EN EL UNIFI Y QUE DEBE SER IGUAL ),  Habilitar por supuesto.

En este apartado por defecto aparecen todos los usuarios locales como bloqueados. Yo lo que he echo es quitarlos todos para probar uno por uno a los que tengo actualmente asignados.

Por ultimo hacer una prueba de acceso con el movil por ejemplo . A la red wifi que hemos creado nos pedira USUARIO y clave : Poner el mismo usuario de acceso a la configuracion del NAS y vereis como podeis entrar. Despues ya podeis pasar a la siguiente fase.

APLICAR MI REGLA DE SEGURIDAD.

Pensar quien tiene acceso al NAS, para que tiene acceso y por ultimo desde donde tiene acceso. Si diseñais un plan de seguridad según estas 3 reglas os será más fácil establecer perfiles de usuarios.