Neste documento vamos tentar explicar como estabelecer um nível de segurança na nossa rede wifi, para o acesso de equipas controlado e seguro, basandonos em uma autenticação mediante os utilizadores do nosso Directorio Ativo,

O primeiro que vamos a necesitar é instalar uma Entidad Certificadora Enterprise no nosso Domínio para poder securizar o acesso wifi dos nossos clientes.

Una vez instalada la Entidad Certificadora vamos a gerar um Certificado de equipa que utilizaremos para nossa validação Radius. Para ele abrimos una consola MMC y agregamos la consola de certificados.

Ahora realizaremos um pedido de um novo certificado, neste caso de tipo Domain Controller ya que es un Controlador de Domínio onde instalaremos o nosso Servidor NPS. No caso de ser diferente, solicitaremos um certificado de Equipamento.

Clicamos em Inscrever.

Uma vez obtido o certificado, passaremos a configurar um grupo de Diretório Ativo que vai conter os utilizadores e equipamentos aos quais queremos dar permissões de acesso.

Para isso, abrimos Utilizadores e Computadores do Active Directory e criamos um Grupo Universal no Diretório Ativo que vai conter os utilizadores e equipamentos aos quais queremos dar permissões na Autenticação da nossa rede WIFI.

A este grupo adicionaremos os utilizadores e equipamentos aos quais permitimos o acesso.

Já temos a base para começar a trabalhar o nosso servidor NPS. Agora instalaremos a Função “Serviços de Política de Rede e Acesso”,

Deixamos assinalado “Servidor de Política de Rede”, “Serviços de Roteamento e Acesso Remoto”, “Serviço de Acesso Remoto” & “Roteamento”

Agora vamos a NPS y criaremos una configuração Standard: “RADIUS para 802.1X Wireless” y pulsamos el botón “Configure 802.1X”,

Assinalar “Secure Wireless Connections” y le damos un nombre,

Adicionamos os nossos clientes Radius que serão os nossos Pontos de Acesso

Damos um nome ao AP, o seu endereço IP e criamos uma palavra-passe que será partilhada com o AP

Adicionaremos tantos APs quantos precisarmos de autenticar via Radius.

Explicação dos diferentes Métodos de Autenticação existentes:
– EAP (Protocolo de Autenticação Extensível) utiliza um método de autenticação arbitrário, como certificados, cartões inteligentes, ou credenciais.
– EAP-TLS (EAP-Segurança de Camada de Transporte) é um tipo de EAP utilizado em ambientes de segurança baseados em certificados, e fornece o método de autenticação e determinação de chave mais forte.
– EAP-MS-CHAP v2 (Protocolo de Autenticação de Desafio Handshake EAP-Microsoft versão 2) é um método de autenticação mútua que suporta autenticação de utilizador ou computador baseada em palavra-passe.
– PEAP (EAP Protegido) é um método de autenticação que utiliza TLS para melhorar a segurança de outros protocolos de autenticação EAP.

Ao selecionar o mecanismo de autenticação, é necessário equilibrar entre os níveis de segurança requeridos e o esforço necessário para a implementação. Para o mais alto nível de segurança, escolha PEAP com certificados (EAP-TLS). Para a maior facilidade de implementação, escolha PEAP com palavras-passe (EAP-MS-CHAP v2).

Escolhemos o tipo de autenticação “EAP Protegido da Microsoft (PEAP)” e clique em “Pôr” para escolher o certificado que gerámos anteriormente da nossa CA.

Escolhemos o Certificado gerado anteriormente pela nossa CA e neste caso vamos utilizar o método de autenticação EAP-MSCHAPv2

Ok e Seguinte

Agora especificamos os Grupos do Active Directory aos quais damos acesso, ou seja, o grupo que criámos anteriormente "Utilizadores Wireless". “Próximo”,

Seguinte,

Fim.

Registamos o Servidor NPS no Active Directory. Botão direito no NPS e Registar Servidor no Active Directory.

“OKEY”,

Aceitar.

Com isto concluímos o assistente e já temos configurado o nosso servidor NPS de uma forma rápida para aceitar ligações de APs e Clientes.

Para ajustar a configuração realizada podemos editar dentro de Políticas de Rede a política criada no Assistente

Ou incluir novos APs, por exemplo, em Clientes RADIUS

Configuração do AP,

Nesta parte do documento veremos a configuração do nosso ponto de acesso,

Configuramos o AP para que se ligue ao servidor NPS com os seguintes parâmetros:

– WPA2 Enterprise
– Encriptação: AES
– IP do nosso servidor RADIUS
– Palavra-passe partilhada com o servidor NPS

Política para computadores do domínio,

Criamos uma nova política para os computadores do domínio para que tenham configurada a Rede Wifi através de uma GPO caso nos interessasse.

Para isso vamos a Gestão de Política de Grupo e criamos uma nova política que aplicaremos aos computadores que colocámos no grupo criado no início do documento 'Utilizadores Wireless'’ na qual configuraremos o seguinte.

Vamos “Configuração do Computador” > “Rede Wireless” > “Criar uma Nova Política de Rede Wireless para Windows Vista e Lançamentos Posteriores”,

Damos um nome à política, uma descrição e “Adicionar…” > “Infraestrutura”,

Damos um nome e adicionamos a rede wifi.

Configuramos todos os parâmetros como realizámos na nossa rede e dirigimo-nos a “EAP Protegido da Microsoft (PEAP)” > “Propriedades”

Ativamos “Validar Certificado do Servidor” y marcamos a CA do domínio e Aceitamos

Vamos novamente a la pestaña “Segurança” y pusamos en “Avançado” para ativar el “Single Sign-on”.

Aceitamos Todo e já temos configurada uma directiva de configuração automática de conexão a nossa red Wifi.