Antro di Jacopo

802.1x per tutti!

Introduzione

Tutti coloro che frequentano una qualsiasi università europea avranno sicuramente notato la rete "eduroam" con sicurezza WPA Enterprise oppure con la criptica sigla di "802.1x"

Magari qualcuno di voi l'ha anche usata, oppure ha usato una rete 802.1x sul posto di lavoro.

Beh, sapevate che non è difficile implementare una rete identica anche a casa vostra, se avete un minimo di conoscenze di networking*?

In questo articolo vi spiegherò come fare e i vantaggi che ciò comporta.

Perché 802.1x? Che vantaggi e/o svantaggi comporta?

I vantaggi di una rete Wi-Fi WPA(WPA2) Enterprise con autenticazione RADIUS sono numerosi anche in ambito casalingo e non solo universitario e lavorativo.

  • Maggiore sicurezza: non dovrete più cambiare la password di tutti gli access point se per caso qualcuno la scopre.
  • Maggiore flessibilità: è possibile creare un account per ogni membro della famiglia, con profili totalmente configurabili (ad esempio per i propri figli si può impostare un limite di tempo o un'ora oltre la quale non è consentito collegarsi ad Internet) e tutto in modo automatico.
  • Maggiore comodità di amministrazione: questo è specialmente vero se si ha una casa grande con tanti access point. Infatti può risultare scomodo collegarsi a ogni access point per variare la password oppure i parametri del "controllo genitori" (sempre che ci sia su quel particolare modello).
  • Rete "amici": per i più intraprendenti è possibile creare una VLAN dedicata agli amici e ospiti, in modo che non abbiano accesso alla rete locale.
  • Fattore "wow": se avete qualche amico geek, 802.1x può essere un buono spunto per una conversazione che durerà almeno 4 ore; in cui il vostro amico (che non ha letto questo articolo) parlerà di un certo "freeradius" e di come sia impossibile da configurare senza avere una tripla laurea in ingegneria informatica ;-)

Naturalmente 802.1x non è la risposta a tutti i problemi esistenti sul pianeta Terra e come tale si porta anche degli svantaggi:

  • Incompatibilità: alcuni apparecchi NON sono compatibili con 802.1x.
    • SONY PSP: non supporta 802.1x
    • SONY PS3: a memoria non supportava 802.1x ma non ho potuto verificare in quanto non la possiedo più.
    • Nintendo DS/DSi etc: non supporta 802.1x (e nemmeno WPA-PSK, quindi dovreste creare una rete WEP, totalmente insicura!)
    • Nintendo WII: non supporta 802.1x.
    • Range extender: molti range extender NON supportano l'estensione di reti 802.1x. Tuttavia, riconfigurati come Access Point (con un cavo di rete attaccato) molti supportano 802.1x.
      Personalmente suggerirei di sostituire o riconfigurare i range extender come accesspoint in quanto sono spesso causa di problemi.

Prerequisiti

  • Se si vuole creare SOLO una rete Wi-Fi con autenticazione 802.1x senza altri fronzoli, basta un PC anche molto vecchio con una sola scheda di rete.
    Vengono supportate queste funzioni:
    • Autenticazione 802.1x
    • Limitazioni orarie
  • Se si vuole usufruire anche degli altri vantaggi di 802.1x quali le VLAN avrete bisogno di un PC con DUE schede di rete da impostare come router oppure bridge. Siccome questa soluzione è già stata ampiamente spiegata da altre persone, vi invito a leggere la documentazione su zeroshell.net.
    Dopo che Zeroshell è stato configurato come bridge oppure router si può continuare a leggere questo articolo.

Se NON avete un PC da dedicare allo scopo leggete questo articolo che spiega come acquistarne uno adatto con meno di 30€.
Naturalmente è possibile usare anche un computer portatile, che ha il vantaggio di avere un "UPS" integrato (la batteria!), così come schermo e tastiera.

Altro materiale:

  • Masterizzatore CD/DVD oppure chiavetta USB

Procedura

  1. Scaricare Zeroshell dal sito zeroshell.net
  2. Masterizzate l'immagine ISO su un CD, oppure usate Rufus per trasferirla su una chiavetta USB.
  3. Inserite la chiavetta o il CD nel PC prescelto e attendere che Zeroshell si avvii.
    Se non si avvia, dovrete andare nel BIOS e modificare l'ordine di avvio.
  4. Vi apparirà questa schermata (clic per ingrandire):
  5. Controllate se l'indirizzo IP di default (192.168.0.75) va bene con la vostra rete. Se va bene, passate al passaggio 8. Se NON va bene, seguite il passaggio 6.
  6. Premete il tasto "I". Vi apparirà questa schermata (clic per ingrandire):
     
  7. Premete il tasto "M" (modify). Seguite le istruzioni per modificare l'IP in modo che vada bene per la vostra rete.
  8. Premete il tasto "G" (gateway). Impostate il gateway che in genere corrisponde all'indirizzo del router o modem (generalmente 192.168.0.1 o 192.168.1.1 )
  9. A questo punto non dovremmo mai più accedere fisicamente a quel computer (a parte se ci sono problemi), perché si farà tutto da remoto.
    Apriamo quindi un qualsiasi browser eccetto Internet Explorer (raccomando Firefox) e colleghiamoci all'indirizzo IP che abbiamo impostato prima.
    Apparirà una schermata simile a questa:
  10. Collegatevi con il nome utente di default admin e la password zeroshell. Si aprirà una schermata simile a questa:
     
  11. Cliccate su "Profiles" e controllate che venga riconosciuto almeno un hard disk. se NON viene riconosciuto, inserite una chiavetta USB vuota e premete "rescan".
  12. Selezionate l'hard disk e fate clic su "Create Profile". Si aprirà una finestra.
    Inserite i dati richiesti. Se non avete un dominio, createne uno del tipo [qualcosa].LAN
    Impostate l'indirizzo IP che avevate messo prima.



  13. Selezionate il nuovo profilo e fate clic su "Activate". Poi riavviate il computer.
    Ora siamo pronti a configurare il server RADIUS vero e proprio.
  14. Una volta riavviato il PC, ricollegatevi all'interfaccia WEB e andate nella sezione "RADIUS". Mettete il segno di spunta accanto a "enabled" e poi cliccate  su "Save".
  15. Ora cliccate su "Authorised Clients". Vi si aprirà una finestrella, impostate i dati in questo modo e fate clic sul tasto "+":


    1. Client name: un nome qualunque
    2. IP or Subnet: l'indirizzo del gateway, con l'ultima cifra messa a zero. Es: 192.168.0.1 diventa 192.168.0.0. Nella casella accanto, mettete 24.
      Nota: per una rete di classe B (172.16.0.0) usate 16, per una di classe A (10.0.0.0) usate 8.
    3. Shared secret: una password che dovrete mettere negli access point.
  16. A questo punto andate sulla pagina del vostro Access Point. Configuratelo come WPA(2) Enterprise. Come Server RADIUS impostate l'IP del computer su cui è installato Zeroshell, come porta lasciate quella di default, e mettete il shared secret di cui sopra.
  17. Provate a collegarvi con il nome utente e la password dell'interfaccia web. Potreste ricevere un avviso che il certificato non è valido: ignoratelo.
    Controllate che Internet funzioni... se funziona passate al punto 18, altrimenti scrivetemi!
  18. A questo punto potete stappare la vostra bottiglia di champagne:
    AVETE CONFIGURATO CON SUCCESSO 802.1x!

Ora potete curiosare per l'interfaccia Web di Zeroshell per configurare le funzioni aggiuntive:

  • Gli utenti si aggiungono da "Users"
  • I limiti di tempo, banda etc. si aggiungono da "Accounting".

Sul sito di Zeroshell troverete le guide per configurare l'accounting, che comunque è estremamente intuitivo.