Guida alla configurazione PPSK

Private Pre-Shared Key (PPSK) è una soluzione di sicurezza che permette di gestire singoli client diminuendo la complessità di configurazione. Con PPSK, a ogni utente viene assegnata una passphrase di autenticazione, è anche possibile associare una passphrase all'indirizzo MAC di un dispositivo in modo che solo i dispositivi specificati possano utilizzare la stessa per l'autenticazione.

In PPSK è anche possibile creare liste PPSK e applicarle a più network Wi-Fi, con un conseguente risparmio di tempo in fase di configurazione.

1. Introduzione alla PPSK.

Omada SDN Controller support due tipi di PPSK, PPSK senza RADIUS e PPSK con RADIUS.

• PPSK senza RADIUS: i profili PPSK vengono creati utilizzando Omada SDN Controller.
• PPSK con RADIUS:
  • L'EAP svolge la funzione di Network Access Server (NAS). È necessario creare i client nel server RADIUS per permettere agli EAP di presentare la richiesta di autenticazione.
  • Quando il client si connette all'SSID, l'EAP utilizza l'indirizzo MAC del client (nel formato "xx:xx:xx:xx:xx") come utente RADIUS e User-password, la PPSK presentata come Tunnel-password e presenta le informazioni al  RADIUS server per l'autenticazione. Pertanto è necessario creare gli utenti nel RADIUS server in un formato adeguato.

2. Guida alla configurazione PPSK senza RADIUS.

Prima di tutto creiamo un nuovo Profilo PPSK in Settings > Profiles > PPSK, nominiamo il profilo e aggiungiamo la PPSKs manualmente, automaticamente oppure importandola. Per maggiori info sui profili PPSK fai riferimento alla User Guide.

Nella seguente immagine vediamo la creazione di una PPSK. Il nome “TP-Link” identifica la PPSK, mentre la passphrase “tplink123” è utilizzata per permettere al client di connettersi al Wi-Fi.

Inserendo nel profilo un indirizzo MAC solo i client speficificati potranno utilizzare la passphrase di autenticazione. Inserendo l'assegnazione VLAN, una volta effettuata l'autenticazione i client si connetteranno alle corrispondenti VLAN.

Dopo aver creato il profilo PPSK andiamo in Settings > Wireless Networks, creiamo un nuovo wireless network selezioniamo PPSK senza RADIUS e il profilo PPSK.

3. Guida alla configurazione PPSK con RADIUS.

Step 1. Configuriamo il server RADIUS.

Nell'esempio stiamo eseguendo un FreeRADIUS^® server su un server Linux. Pe maggiori info sull'installazione e configurazione consulta FreeRADIUS documentation.

Prima di tutto editiamo il file “clients.conf”. Nell'esempio l'EAP si trova nel network 192.168.0.0/24, la shared secret condivisa utilizzata per le comunicazioni tra gli EAP e il server RADIUS è “tplink”. Il “clients.conf” file apparirà quindi come nell'immagine seguente:

Ora editiamo il file “users”. Nell'esempio sotto sono stati creati 3 profili PPSK.

• Quando il client con indirizzo MAC “xx:xx:xx:xx:xx:xx” presenta la PPSK “xxx_tplink”, l'autenticazione andrà a buon fine.
• Quando il client con indirizzo MAC “yy:yy:yy:yy:yy:yy” presenta la PPSK “yyy_tplink”, l'autenticazione andrà a buon fine e verrà connesso alla VLAN 10.
• Quando il client con indirizzo MAC sconosciuto presenta la password di default “default”, l'autenticazione andrà a buon fine e verrà connesso alla rete “Guest” nella VLAN 20.

Step 2. Creiamo il profilo RADIUS.

Andiamo in Settings > Authentication > RADIUS Profile e creiamo un nuovo profilo legato al server RADIUS. Se necessario selezioniamo “Enable VLAN Assignment for Wireless Network”.

Step 3. Creiamo più interfacce per l'assegnazione VLAN (opzionale)

Andiamo in Settings > Wired Networks > LAN e creiamo due interfacce con VLAN10 e VLAN20.

Step 4. Creiamo una rete wireless criptata con PPSK con RADIUS

Andiamo in Settings > Wireless Networks e creiamo la nuova rete Wi-Fi mostrata nell'immagine di seguito.