Configuració Xarxa Wifi amb Autenticació contra Servidor NPS

Print Friendly, PDF i correu electrònic

En aquest document vam a tractar d'explicar com establir un nivell de seguretat en el nostre red wifi, per a l'accés d'equips controlats i segurs, basant-nos en una autenticació mitjançant els usuaris del nostre Director Actiu,

Lo primer que vam a necessitar es instal·lar una Entitat Certificadora Enterprise en el nostre Domini per poder assegurar l'accés wifi dels nostres clients.

 

Una vegada instal·lada l'Entitat Certificadora vam generar un Certificat d'equip que utilitzarem per a la nostra validació Radius. Per a ells abrimos una consola MMC i agregarem la consola de certificats.

 

Ara realitzaremos una sol·licitud d'un nou certificat, en aquest cas de tipus Domain Controller ja que és un Controlador de Domini on instal·laremos el nostre Servidor NPS. En el cas que sigui diferent sol·licitarem un certificat d'Equip..

 

Premem Enroll.

 

Un cop realitzat el certificat passarem a configurar un grup de Directori Actiu que contindrà els usuaris i equips a els quals volem donar permisos d'accés.

 

Per això obrirem usuaris i equips d'Active Directory i crearem un Grup Universal al Directori Actiu que contindrà els usuaris i equips als quals volem donar permisos en l'Autenticació de la nostra xarxa WIFI.

 

A aquest grup afegirem els usuaris i equips als quals permetem l'accés..

 

Ja tenim la base per començar a treballar el nostre servidor NPS. Ara instal·larem el Rol Network Policy and Access Services”,

 

Deixem marcat “Network Policy Server”, “Routing and Remote Access Services”, “Remote Access Service” & “Routing”

 

Ahora vamos a NPS y crearemos una configuración Standard: “RADIUS para 802.1X Wirelessy pulsamos el botónConfigure 802.1X”,

 

Marquem Secure Wireless Connectionsy le damos un nombre,

 

Añadimos nuestros clientes Radius que serán nuestros Puntos de Acceso

 

Le damos un nombre al AP, su dirección IP y creamos una contraseña que compartirá con el AP

 

Añadiremos tantos APs como tengamos que autenticar por Radius.

Explicación de los diferentes Metodos de Autenticación existentes:
EAP (Extensible Authentication Protocol) uses an arbitrary authentication method, such as certificates, smart cards, or credentials.
EAP-TLS (EAP-Transport Layer Security) is an EAP type that is used in certificate-based security environments, and it provides the strongest authentication and key determination method.
EAP-MS-CHAP v2 (El Protocol d'Autenticació per desplaçament de MCP de Microsoft 2) és un mètode d'authentificació mútua que suporta autenticació d'usuari o d'ordinador basada en contrasenyes.
– PEAP (EAP Protegit) és un mètode d'authentificació que utilitza TLS per millorar la seguretat d'altres protocols d'authentificació EAP.

En seleccionar el mecanisme d'authentificació, heu d'equilibrar entre els nivells de seguretat requerits amb l'esforç necessari per al desplegament. Per al màxim nivell de seguretat, trieu PEAP amb certificats (EAP-TLS). Per a la màxima facilitat de desplegament, trieu PEAP amb contrasenyes (EAP-MS-CHAP v2).

 

Triem el tipus d'authentificació EAP Protegit de Microsoft (PEAP)” i posem en “Configure” per triar el certificat que hem generat anteriorment de la nostra CA.

 

Triem el certificat generat anteriorment per la nostra CA i en aquest cas utilitzarem el mètode d'authentificació EAP-MSCHAPv2

D'acord i Següent

 

Ara especifiquem els Grups de Directori Actiu als quals donem accés, és a dir, el grup que hem creat anteriormentUsuaris Wireless. “Next”,

 

Següent,

 

Finalitzar.

 

Registrem el Servidor NPS al Directori Actiu. Clic dret a NPS i Registrar Servidor al Directori Actiu.

 

“OK”,

 

Acceptem.

Amb això hem acabat l'assistent i ja tenim configurat el nostre servidor NPS d'una manera ràpida per acceptar connexions d'APs i Clients.

 

Per retocar la configuració realitzada podem retocar dins de Polítiques de Xarxa la política creada a l'Assistent

 

O incloure nous APs per exemple a Clients RADIUS

 

Configuració de l'AP,

En aquesta part del document veurem la configuració del nostre punt d'accés,

 

Configurem l'AP perquè connecti amb el servidor NPS amb els següents paràmetres:

– WPA2 Enterprise
– Encriptació: AES
– IP del nostre servidor RADIUS
– Contrasenya compartida amb el servidor NPS

 

Política per a equips del domini,

Creem una nova política per als equips del domini perquè tinguin configurada la Xarxa Wi-Fi mitjançant una GPO si ens interessés.

 

Per això anirem a Group Policy Management i crearem una nova política que aplicarem als equips que hem posat al grup creat al principi del document ‘Usuaris Wireless'’ en la qual configurarem el següent.

AnemConfiguració d'Equip” > Xarxa Inalàmbrica” > Crear una nova política de xarxa inalàmbrica per a Windows Vista i versions posteriors”,

 

Donem un nom a la política, una descripció i “Add…” > “Infraestructura”,

 

Donem un nom i afegim la xarxa Wi-Fi.

Configurem tots els paràmetres com hem realitzat a la nostra xarxa i ens dirigim a “EAP Protegit de Microsoft (PEAP)” > “Propietats”

 

Activem “Validate Server Certificate” y marcamos la CA del domini y Aceptamos

 

Vamos nuevamente a la pestaña “Security” y pusamos en “Advanced” para activar elSingle Sign-on”.

Acceptamos Todo i ja hem configurada una directiva de configuració automàtica de connexió a la nostra red Wifi.

Posts recomanats

Implementant Windows LAPS
Llegir
Desplegant Crowdsec de manera centralitzada
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir
VPN amb Citrix NetScaler I - Desplegament & preautenticació
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Fortigate VM

26 de February de 2013

ownCloud - Montando el nostre Dropbox corporatiu

4 de March de 2013