In questo documento cercheremo di spiegare come stabilire un livello di sicurezza nella nostra rete wifi, per un accesso controllato e sicuro alle apparecchiature, basato sull'autenticazione tramite gli utenti della nostra Active Directory,

La prima cosa di cui avremo bisogno è installare un'autorità di certificazione aziendale nel nostro dominio per garantire l'accesso Wi-Fi dei nostri clienti.

Una volta installata l'autorità di certificazione, genereremo un certificato del computer che utilizzeremo per la convalida Radius. A tale scopo, viene aperta una console MMC e viene aggiunta la console dei certificati.

A questo punto verrà effettuata una richiesta per un nuovo certificato, in questo caso di tipo Controller di dominio poiché si tratta di un controller di dominio in cui installeremo il nostro Server dei criteri di rete. Nel caso in cui sia diverso, richiederemo un certificato di Attrezzatura.

Premiamo Iscriviti.

Una volta effettuato il certificato, andremo a configurare un gruppo Active Directory che conterrà gli utenti e i computer a cui vogliamo concedere i permessi di accesso.

Per loro apriamo utenti e computer di Active Directory e creiamo un gruppo universale in Active Directory che conterrà gli utenti e i computer a cui vogliamo dare le autorizzazioni nell'autenticazione della nostra rete WIFI.

A questo gruppo aggiungeremo gli utenti e i computer a cui consentiamo l'accesso.

Ora abbiamo le basi per iniziare a lavorare con il nostro server NPS. Ora installeremo il ruolo “Criteri di rete e servizi di accesso”,

Lasciamo il segno “Server dei criteri di rete”, “Servizi di routing e accesso remoto”, “Servizio di accesso remoto” & “Instradamento”

Ora andiamo su Server dei criteri di rete e creiamo una configurazione Standard: “RADIUS per wireless 802.1X” e premere il tasto “Configurazione di 802.1X”,

Segno “Connessioni wireless sicure” E noi gli diamo un nome,

Aggiungiamo i nostri clienti Radius che saranno i nostri Access Point

Diamo un nome all'AP, il tuo indirizzo IP e creiamo una password che condividerai con l'AP

Aggiungeremo tutti i punti di accesso necessari per l'autenticazione tramite Radius.

Spiegazione dei diversi metodi di autenticazione esistenti:
– EAP (Protocollo di autenticazione estendibile) utilizza un metodo di autenticazione arbitrario, come i certificati, Carte intelligenti, o credenziali.
– EAP-TLS (Sicurezza del livello di trasporto EAP) è un tipo EAP utilizzato in ambienti di protezione basati su certificati, e fornisce il metodo di autenticazione e determinazione della chiave più forte.
– EAP-MS-CHAP v2 (Versione del protocollo di autenticazione EAP-Microsoft Challenge Handshake 2) è un metodo di autenticazione reciproca che supporta l'autenticazione di utenti o computer basata su password.
– PEAP (EAP protetto) è un metodo di autenticazione che utilizza TLS per migliorare la sicurezza di altri protocolli di autenticazione EAP.

Quando si seleziona il meccanismo di autenticazione, È necessario bilanciare i livelli di sicurezza richiesti con l'impegno richiesto per l'implementazione. Per il massimo livello di sicurezza, scegli PEAP con certificati (EAP-TLS). Per la massima facilità di implementazione, scegli PEAP con password (EAP-MS-CHAP v2).

Elegimos el tipo de autenticación “EAP protetto da Microsoft (PEAP)” e clicca su “Mettere” para elegir el certificado que hemos generado anteriormente de nuestra CA.

Elegimos el Certificado generado anteriormente por nuestra CA y en este caso vamos utilizar el metodo de autenticación EAP-MSCHAPv2

Ok e Avanti

A questo punto viene specificato i gruppi di Active Directory a cui viene concesso l'accesso, Voglio dire, Il gruppo che abbiamo creato in precedenza “Utenti wireless”. “Prossimo”,

Seguente,

Fine.

Il Server dei criteri di rete viene registrato in Active Directory. Fare clic con il pulsante destro del mouse su Server dei criteri di rete e registrare il server in Active Directory.

“OK”,

Accettare.

Con questo abbiamo terminato la procedura guidata e abbiamo già configurato il nostro server NPS in modo rapido per accettare connessioni da AP e clienti..

Per modificare la configurazione possiamo modificare all'interno Criteri di rete il criterio creato nella procedura guidata

Oppure includere nuovi AP, ad esempio in Clienti RADIUS

Configurazione AP,

In questa parte del documento esamineremo la configurazione del nostro access point,

Configuriamo l'access point per sparare contro il server dei criteri di rete con i seguenti parametri:

– WPA2 Enterprise
– Codifica: AES
– IP del nostro server RADIUS
– Password condivisa con il Server dei criteri di rete

Politica sulle apparecchiature del dominio,

Abbiamo creato un nuovo criterio per i computer nel dominio in modo che abbiano la rete Wi-Fi configurata tramite un oggetto Criteri di gruppo, se siamo interessati.

Per fare ciò, andiamo su Gestione criteri di gruppo e creiamo un nuovo criterio che applicheremo alle apparecchiature che abbiamo inserito nel gruppo creato all'inizio del documento 'Utenti wireless'’ in cui configureremo quanto segue.

Andiamo “Configurazione dell'attrezzatura” > “Rete wireless” > “Creazione di un nuovo criterio di rete wireless per Windows Vista e versioni successive”,

Diamo un nome alla politica, una descrizione e “Aggiungere…” > “Infrastruttura”,

Diamo un nome e aggiungiamo la rete Wi-Fi.

Configuriamo tutti i parametri man mano che abbiamo realizzato la nostra rete e andiamo su “EAP protetto da Microsoft (PEAP)” > “Proprietà”

Attivare “Convalida certificato server” e controlliamo la CA del dominio e accettiamo

Torniamo alla scheda “Sicurezza” e ci mettiamo “Avanzato” per attivare il “Single Sign-on”.

Accettiamo tutto e abbiamo già configurato una policy di configurazione automatica per la connessione alla nostra rete Wifi.