Configuração de rede Wi-Fi com autenticação de servidor NPS

Impressão amigável, PDF & E-mail

En este documento vamos a tratar de explicar cómo establecer un nivel de seguridad en nuestra red wifi, para el acceso de equipos controlado y seguro, basandonos en una autenticación mediante los usuarios de nuestro Directorio Activo,

Lo primero que vamos a necesitar es instalar una Entidad Certificadora Enterprise en nuestro Dominio para poder securizar el acceso wifi de nuestros clientes.

 

Una vez instalada la Entidad Certificadora vamos a generar un Certificado de equipo que utilizaremos para nuestra validación Radius. Para ello abrimos una consola MMC y agregamos la consola de certificados.

 

Ahora realizaremos una solicitud de un nuevo certificado, en este caso de tipo Domain Controller ya que es un Controlador de Dominio donde instalaremos nuestro Servidor NPS. No caso de ser diferente, solicitaremos um certificado de Equipamento.

 

Clicamos em Inscrever.

 

Uma vez obtido o certificado, passaremos a configurar um grupo de Diretório Ativo que vai conter os utilizadores e equipamentos aos quais queremos dar permissões de acesso.

 

Para isso, abrimos Utilizadores e Computadores do Active Directory e criamos um Grupo Universal no Diretório Ativo que vai conter os utilizadores e equipamentos aos quais queremos dar permissões na Autenticação da nossa rede WIFI.

 

A este grupo adicionaremos os utilizadores e equipamentos aos quais permitimos o acesso.

 

Já temos a base para começar a trabalhar o nosso servidor NPS. Agora instalaremos a Função Serviços de Política de Rede e Acesso”,

 

Deixamos assinalado “Servidor de Política de Rede”, “Serviços de Roteamento e Acesso Remoto”, “Serviço de Acesso Remoto” & “Roteamento”

 

Ahora vamos a NPS y crearemos una configuración Standard: “RADIUS para 802.1X Wirelessy pulsamos el botónConfigure 802.1X”,

 

Assinalar Secure Wireless Connectionsy le damos un nombre,

 

Añadimos nuestros clientes Radius que serán nuestros Puntos de Acceso

 

Le damos un nombre al AP, su dirección IP y creamos una contraseña que compartirá con el AP

 

Añadiremos tantos APs como tengamos que autenticar por Radius.

Explicación de los diferentes Metodos de Autenticación existentes:
EAP (Extensible Authentication Protocol) uses an arbitrary authentication method, such as certificates, smart cards, or credentials.
EAP-TLS (EAP-Transport Layer Security) is an EAP type that is used in certificate-based security environments, and it provides the strongest authentication and key determination method.
EAP-MS-CHAP v2 (Protocolo de Autenticação de Desafio Handshake EAP-Microsoft versão 2) é um método de autenticação mútua que suporta autenticação de utilizador ou computador baseada em palavra-passe.
– PEAP (EAP Protegido) é um método de autenticação que utiliza TLS para melhorar a segurança de outros protocolos de autenticação EAP.

Ao selecionar o mecanismo de autenticação, é necessário equilibrar entre os níveis de segurança requeridos e o esforço necessário para a implementação. Para o mais alto nível de segurança, escolha PEAP com certificados (EAP-TLS). Para a maior facilidade de implementação, escolha PEAP com palavras-passe (EAP-MS-CHAP v2).

 

Escolhemos o tipo de autenticação EAP Protegido da Microsoft (PEAP)” e clique em “Pôr” para escolher o certificado que gerámos anteriormente da nossa CA.

 

Escolhemos o Certificado gerado anteriormente pela nossa CA e neste caso vamos utilizar o método de autenticação EAP-MSCHAPv2

Ok e Seguinte

 

Agora especificamos os Grupos do Active Directory aos quais damos acesso, ou seja, o grupo que criámos anteriormente "Utilizadores Wireless". “Próximo”,

 

Seguinte,

 

Fim.

 

Registamos o Servidor NPS no Active Directory. Botão direito no NPS e Registar Servidor no Active Directory.

 

“OKEY”,

 

Aceitar.

Com isto concluímos o assistente e já temos configurado o nosso servidor NPS de uma forma rápida para aceitar ligações de APs e Clientes.

 

Para ajustar a configuração realizada podemos editar dentro de Políticas de Rede a política criada no Assistente

 

Ou incluir novos APs, por exemplo, em Clientes RADIUS

 

Configuração do AP,

Nesta parte do documento veremos a configuração do nosso ponto de acesso,

 

Configuramos o AP para que se ligue ao servidor NPS com os seguintes parâmetros:

– WPA2 Enterprise
– Encriptação: AES
– IP do nosso servidor RADIUS
– Palavra-passe partilhada com o servidor NPS

 

Política para computadores do domínio,

Criamos uma nova política para os computadores do domínio para que tenham configurada a Rede Wifi através de uma GPO caso nos interessasse.

 

Para isso vamos a Gestão de Política de Grupo e criamos uma nova política que aplicaremos aos computadores que colocámos no grupo criado no início do documento 'Utilizadores Wireless'’ na qual configuraremos o seguinte.

VamosConfiguração do Computador” > Rede Wireless” > Criar uma Nova Política de Rede Wireless para Windows Vista e Lançamentos Posteriores”,

 

Damos um nome à política, uma descrição e “Adicionar…” > “Infraestrutura”,

 

Damos um nome e adicionamos a rede wifi.

Configuramos todos os parâmetros como realizámos na nossa rede e dirigimo-nos a “EAP Protegido da Microsoft (PEAP)” > “Propriedades”

 

Ativamos “Validar Certificado do Servidor” y marcamos a CA do domínio e Aceitamos

 

Vamos novamente a la pestaña “Segurança” y pusamos en “Avançado” para ativar elSingle Sign-on”.

Aceitamos Todo e já temos configurada uma directiva de configuração automática de conexão a nossa red Wifi.

Postagens recomendadas

VPN com Citrix NetScaler III - Autenticação com certificados
Ler
VPN com Citrix NetScaler I - Implantação & Pré-autenticação
Ler
Implantando o Crowdsec centralmente
Ler
Implementando a LAPS do Windows
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Fortigate VM

26 Fevereiro de 2013

ownCloud - Montando nosso Dropbox corporativo

4 de março de 2013