📡 Xarxa Wi-Fi per assistents
✅ Justificació de la solució Wi-Fi
Per a la LAN Party 4.0, he implementat una xarxa Wi-Fi corporativa que compleix els estàndards de seguretat professionals. Les decisions tècniques clau són:
- SSID "LAN-Party-Guests": Nom clar i identificable per als assistents, evitant ambigüitats amb altres xarxes.
- Autenticació WPA2 Enterprise (802.1x): Ofereix autenticació individual per usuari mitjançant servidor RADIUS. A diferència del WPA2 Personal (PSK), cada assistent té credencials úniques, evitant que la contrasenya es filtri.
- Servidor RADIUS integrat: Gestiona la base d'usuaris, registra intents d'accés (logging) i permet aplicar polítiques per temps o ample de banda.
- Controlador WLC (Wireless LAN Controller): Centralitza la gestió dels punts d'accés (APs), simplifica la configuració i permet escalar l'arquitectura.
- Segmentació per VLAN: El tràfic Wi-Fi es assigna a una VLAN específica (VLAN 40 a les evidències), aïllada de la xarxa interna de gestió.
Alternatives descartades: WPA2 Personal (PSK) és menys segur perquè la contrasenya es comparteix. Captive Portal sense autenticació prèvia no registra l'usuari. Open Wi-Fi és completament insegur.
🔧 Configuració de la xarxa Wi-Fi
SSID i paràmetres generals
Autenticació 802.1x / RADIUS
Polítiques de seguretat avançades
⚙️ Configuració detallada
🔐 Configuració WLC - SSID WPA2 Enterprise
# Crear SSID amb WPA2 Enterprise
config wlan create 1 LAN-Party-Guests
config wlan security 1 wpa enable
config wlan security 1 wpa akm 802.1x enable
config wlan security 1 wpa akm psk disable
config wlan security 1 wpa ciphers aes enable
config wlan security 1 wpa ciphers tkip disable
# Assignar VLAN
config wlan interface 1 vlan 40
# Configurar servidor RADIUS
radius auth add 1 192.168.1.100 1812 sharedsecret
radius acct add 1 192.168.1.100 1813 sharedsecret
# Activar SSID
config wlan enable 1
🖥️ Configuració Servidor RADIUS (FreeRADIUS)
# /etc/freeradius/3.0/users
"lanparty-user1" Cleartext-Password := "P@ssw0rd2026"
"lanparty-user2" Cleartext-Password := "Gam3r#Secure"
# /etc/freeradius/3.0/clients.conf
client wlc {
ipaddr = 192.168.1.50
secret = sharedsecret
shortname = wlc-lanparty
nastype = cisco
}
# /etc/freeradius/3.0/sites-enabled/default
# Accounting activat per logging
accounting {
detail
radutmp
}
"Necessito configurar una xarxa Wi-Fi corporativa amb WPA2 Enterprise (802.1x) i servidor RADIUS per a una LAN Party. Vull autenticació individual per usuari, registre d'accessos i segmentació per VLAN. Mostra'm els passos al WLC i al servidor RADIUS."
📸 Evidències de configuració
Les següents captures demostren la implementació completa. Fes clic sobre qualsevol imatge per ampliar-la i veure'n els detalls.
📡 Evidència 1: WLC - Configuració SSID
✓ SSID "LAN-Party-Guests" configurat
✓ WPA2 Enterprise activat
✓ VLAN 40 assignada als clients Wi-Fi
🔐 Evidència 2: Servidor RADIUS
✓ Clients RADIUS configurats (WLC, APs)
✓ Usuaris definits amb credencials úniques
✓ Logging d'autenticacions activat
💻 Evidència 3: Client connectat
✓ Autenticació 802.1x exitosa
✓ IP assignada per DHCP (VLAN 40)
✓ Accés a Internet verificat
📁 Evidència 4: Estructura del projecte
✓ Documentació organitzada
✓ Fitxers de configuració RADIUS
✓ Scripts d'automatització
🗺️ Evidència 5: Topologia Wi-Fi
✓ Diagrama de la xarxa sense fils
✓ Ubicació APs i WLC
✓ Flux d'autenticació RADIUS
Per què WPA2 Enterprise i no WPA2 Personal?
WPA2 Personal (PSK)
- ❌ Contrasenya compartida per tots
- ❌ Si es filtra, qualsevol pot accedir
- ❌ No registra qui es connecta
- ❌ Difícil de revocar un usuari
WPA2 Enterprise (802.1x)
- ✅ Credencials úniques per usuari
- ✅ Autenticació individual amb RADIUS
- ✅ Logging complet d'accessos
- ✅ Revocació immediata d'un usuari
- ✅ Polítiques per usuari (temps, ample de banda)