Configuración Red Wifi con Autenticación contra Servidor NPS
En este documento vamos a tratar de explicar cómo establecer un nivel de seguridad en nuestra red wifi, para el acceso de equipos controlado y seguro, basandonos en una autenticación mediante los usuarios de nuestro Directorio Activo,
Lo primero que vamos a necesitar es instalar una Entidad Certificadora Enterprise en nuestro Dominio para poder securizar el acceso wifi de nuestros clientes.
Una vez instalada la Entidad Certificadora vamos a generar un Certificado de equipo que utilizaremos para nuestra validación Radius. Para ello abrimos una consola MMC y agregamos la consola de certificados.
Ahora realizaremos una solicitud de un nuevo certificado, en este caso de tipo Domain Controller ya que es un Controlador de Dominio donde instalaremos nuestro Servidor NPS. En el caso que sea en diferente solicitaremos un certificado de Equipo.
Pulsamos Enroll.
Una vez realizado el certificado pasaremos a configurar un grupo de Directorio Activo que va a contenerlos usuarios y equipos a los que queremos dar permisos de acceso.
Para ellos abrimos usuarios y equipos de Active Directory y creamos un Grupo Universal en el Directorio Activo que va a contener a los usuario y equipos que queremos dar permisos en la Autenticación de nuestra red WIFI.
A este grupo añadiremos a los usuarios y equipos a los que permitimos el acceso.
Ya tenemos la base para empezar a trabajar nuestro servidor NPS. Ahora instalaremos el Rol “Network Policy and Access Services”,
Dejamos marcado “Network Policy Server”, “Routing and Remote Access Services”, “Remote Access Service” & “Routing”
Ahora vamos a NPS y crearemos una configuración Standard: “RADIUS para 802.1X Wireless” y pulsamos el botón “Configure 802.1X”,
Marcamos “Secure Wireless Connections” y le damos un nombre,
Añadimos nuestros clientes Radius que serán nuestros Puntos de Acceso
Le damos un nombre al AP, su dirección IP y creamos una contraseña que compartirá con el AP
Añadiremos tantos APs como tengamos que autenticar por Radius.
Explicación de los diferentes Metodos de Autenticación existentes:
– EAP (Extensible Authentication Protocol) uses an arbitrary authentication method, such as certificates, smart cards, or credentials.
– EAP-TLS (EAP-Transport Layer Security) is an EAP type that is used in certificate-based security environments, and it provides the strongest authentication and key determination method.
– EAP-MS-CHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol version 2) is a mutual authentication method that supports password-based user or computer authentication.
– PEAP (Protected EAP) is an authentication method that uses TLS to enhance the security of other EAP authentication protocols.
When selecting the authentication mechanism, you need to balance between the levels of security required with the effort required for deployment. For the highest level of security, choose PEAP with certificates (EAP-TLS). For the greatest ease of deployment, choose PEAP with passwords (EAP-MS-CHAP v2).
Elegimos el tipo de autenticación “Microsoft Protected EAP (PEAP)” y pulsamos en “Configure” para elegir el certificado que hemos generado anteriormente de nuestra CA.
Elegimos el Certificado generado anteriormente por nuestra CA y en este caso vamos utilizar el metodo de autenticación EAP-MSCHAPv2
Ok y Siguiente
Ahora especificamos los Grupos de Directorio Activo a los que damos acceso, es decir, el grupo que creamos anteriormente “Usuarios Wireless”. “Next”,
Siguiente,
Finalizar.
Registramos el Servidor NPS en el Directorio Activo. Boton derecho en NPS y Registrar Servidor en Directorio Activo.
“OK”,
Aceptamos.
Con esto hemos acabado el wizard y ya tenemos configurado nuestro servidor NPS de una manera rapida para aceptar conexiones de APs y Cientes.
Para retocar la configuración realizada podemos retocar dentro de Network Policies la politica creada en el Wizard
O incluir nuevos APs por ejemplo en RADIUS Clientes
Configuración del AP,
En esta parte del documento veremos la configuración de nuestro punto de acceso,
Configuramos el AP para que tiren contra el servidor NPS con los siguiente parámetros:
– WPA2 Enterprise
– Encriptacion: AES
– IP de nuestro servidor RADIUS
– Password compartida con el servidor NPS
Política para equipos del dominio,
Creamos una nueva política para los equipos del dominio para que tengan configurada la Red Wifi mediante una GPO si nos interesase.
Para ello vamos a Group Policy Management y creamos una nueva politica que aplicaremos a los equipos que hemos metido en el grupo creado al principio del documento ‘Usuarios Wireless’ en la que configuraremos lo siguiente.
Vamos “Configuración de Equipo” > “Wireless Network” > “Create a New Wireless Network Policy for Windows Vista and Later Releases”,
Damos un nombre a la política, una descripción y “Add…” > “Infrastructure”,
Damos un nombre y añadimos la red wifi.
Configuramos todos los parametros como hemos realizado nuestra red y nos dirigimos a “Microsoft Protected EAP (PEAP)” > “Propiedades”
Activamos “Validate Server Certificate” y marcamos la CA del dominio y Aceptamos
Vamos nuevamente a la pestaña “Security” y pusamos en “Advanced” para activar el “Single Sign-on”.
Aceptamos Todo y ya tenemos configurada una directiva de configuración automatica de conexión a nuestra red Wifi.