Configuració Xarxa Wifi amb Autenticació contra Servidor NPS

Print Friendly, PDF i correu electrònic

En este documento vamos a tratar de explicar cómo establecer un nivel de seguridad en nuestra red wifi, para el acceso de equipos controlado y seguro, basandonos en una autenticación mediante los usuarios de nuestro Directorio Activo,

Lo primero que vamos a necesitar es instalar una Entidad Certificadora Enterprise en nuestro Dominio para poder securizar el acceso wifi de nuestros clientes.

 

Una vez instalada la Entidad Certificadora vamos a generar un Certificado de equipo que utilizaremos para nuestra validación Radius. Para ello abrimos una consola MMC y agregamos la consola de certificados.

 

Ahora realizaremos una solicitud de un nuevo certificado, en este caso de tipo Domain Controller ya que es un Controlador de Dominio donde instalaremos nuestro Servidor NPS. En el cas que sigui diferent sol·licitarem un certificat d'Equip..

 

Premem Enroll.

 

Un cop realitzat el certificat passarem a configurar un grup de Directori Actiu que contindrà els usuaris i equips a els quals volem donar permisos d'accés.

 

Per això obrirem usuaris i equips d'Active Directory i crearem un Grup Universal al Directori Actiu que contindrà els usuaris i equips als quals volem donar permisos en l'Autenticació de la nostra xarxa WIFI.

 

A aquest grup afegirem els usuaris i equips als quals permetem l'accés..

 

Ja tenim la base per començar a treballar el nostre servidor NPS. Ara instal·larem el Rol Network Policy and Access Services”,

 

Deixem marcat “Network Policy Server”, “Routing and Remote Access Services”, “Remote Access Service” & “Routing”

 

Ahora vamos a NPS y crearemos una configuración Standard: “RADIUS para 802.1X Wirelessy pulsamos el botónConfigure 802.1X”,

 

Marquem Secure Wireless Connectionsy le damos un nombre,

 

Añadimos nuestros clientes Radius que serán nuestros Puntos de Acceso

 

Le damos un nombre al AP, su dirección IP y creamos una contraseña que compartirá con el AP

 

Añadiremos tantos APs como tengamos que autenticar por Radius.

Explicación de los diferentes Metodos de Autenticación existentes:
EAP (Extensible Authentication Protocol) uses an arbitrary authentication method, such as certificates, smart cards, or credentials.
EAP-TLS (EAP-Transport Layer Security) is an EAP type that is used in certificate-based security environments, and it provides the strongest authentication and key determination method.
EAP-MS-CHAP v2 (El Protocol d'Autenticació per desplaçament de MCP de Microsoft 2) és un mètode d'authentificació mútua que suporta autenticació d'usuari o d'ordinador basada en contrasenyes.
– PEAP (EAP Protegit) és un mètode d'authentificació que utilitza TLS per millorar la seguretat d'altres protocols d'authentificació EAP.

En seleccionar el mecanisme d'authentificació, heu d'equilibrar entre els nivells de seguretat requerits amb l'esforç necessari per al desplegament. Per al màxim nivell de seguretat, trieu PEAP amb certificats (EAP-TLS). Per a la màxima facilitat de desplegament, trieu PEAP amb contrasenyes (EAP-MS-CHAP v2).

 

Triem el tipus d'authentificació EAP Protegit de Microsoft (PEAP)” i posem en “Configure” per triar el certificat que hem generat anteriorment de la nostra CA.

 

Triem el certificat generat anteriorment per la nostra CA i en aquest cas utilitzarem el mètode d'authentificació EAP-MSCHAPv2

D'acord i Següent

 

Ara especifiquem els Grups de Directori Actiu als quals donem accés, és a dir, el grup que hem creat anteriormentUsuaris Wireless. “Next”,

 

Següent,

 

Finalitzar.

 

Registrem el Servidor NPS al Directori Actiu. Clic dret a NPS i Registrar Servidor al Directori Actiu.

 

“OK”,

 

Acceptem.

Amb això hem acabat l'assistent i ja tenim configurat el nostre servidor NPS d'una manera ràpida per acceptar connexions d'APs i Clients.

 

Per retocar la configuració realitzada podem retocar dins de Polítiques de Xarxa la política creada a l'Assistent

 

O incloure nous APs per exemple a Clients RADIUS

 

Configuració de l'AP,

En aquesta part del document veurem la configuració del nostre punt d'accés,

 

Configurem l'AP perquè connecti amb el servidor NPS amb els següents paràmetres:

– WPA2 Enterprise
– Encriptació: AES
IP de nuestro servidor RADIUS
Password compartida con el servidor NPS

 

Política para equipos del dominio,

Creamos una nueva política para los equipos del dominio para que tengan configurada la Red Wifi mediante una GPO si nos interesase.

 

Para ello vamos a Group Policy Management y creamos una nueva politica que aplicaremos a los equipos que hemos metido en el grupo creado al principio del documento ‘Usuarios Wirelessen la que configuraremos lo siguiente.

AnemConfiguración de Equipo” > Wireless Network” > Create a New Wireless Network Policy for Windows Vista and Later Releases”,

 

Damos un nombre a la política, una descripción y “Add…” > “Infrastructure”,

 

Damos un nombre y añadimos la red wifi.

Configuramos todos los parametros como hemos realizado nuestra red y nos dirigimos a “EAP Protegit de Microsoft (PEAP)” > “Propietats”

 

Activamos “Validate Server Certificate” y marcamos la CA del domini y Aceptamos

 

Vamos nuevamente a la pestaña “Security” y pusamos en “Advanced” para activar elSingle Sign-on”.

Acceptamos Todo i ja hem configurada una directiva de configuració automàtica de connexió a la nostra red Wifi.

Posts recomanats

Desplegant Crowdsec de manera centralitzada
Llegir
VPN amb Citrix NetScaler I - Desplegament & preautenticació
Llegir
Implementant Windows LAPS
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Fortigate VM

26 de February de 2013

ownCloud - Montando el nostre Dropbox corporatiu

4 de March de 2013