NPS PEAP-MSCHAPV2 + WLC CISCO e WLC HP

No ultimo post foi explicado os conceitos de autenticação. Hoje vamos aplicar esses conceitos em um ambiente real. No fim deste artigo você será capaz de:

  • Configurar uma WLC com um serviço Wireless 802.1X fazendo os apontamentos necessários para o servidor Radius.
  • Instalar e configurar Active Directory para criação de usuários.
  • Instalar e configurar serviço DHCP.
  • Instalar e configurar serviço DNS.
  • Instalar e configurar serviço NPS.
O primeiro passo para uma implementação bem sucedida é planejar as políticas de acesso que você pretende implementar e de que forma isso irá afetar o usuário final.

Vamos imaginar uma situação em que você deseja atender três perfis de usuários:

  1. Atender os usuários Corporativos de sua empresa.
  2. Atender os usuários BYOD ( De uma maneira direta, são os usuários que trazem dispositivos pessoais e pretendem utilizá-los em sua rede Corporativa).
  3. Usuários Guest. 
Seguindo a linha de raciocínio acima, podemos planejar a maneira que vamos fazer a estrutura de regras do servidor NPS.

No meu caso segui a seguinte lógica para atender os usuários acima:

  1. Os usuários corporativos que utilizam maquinas da empresa, ou seja, estão no domínio e tem os controles de acesso já definidos terão uma regra baseada em autenticação por maquina no NPS.
  2. Os usuários que desejam usar seus dispositivos pessoais para se conectar a rede da empresa terão sua autenticação baseada em usuário e senha sendo que terão acesso somente a rede externa (Internet).
  3. Por fim os usuários Guest vão ter acesso através de um Portal com registro no banco de dados da controladora.
O primeiro passo para avançarmos com nosso cenário é a instalação do serviço do AD (Estou levando em consideração que você já possui um Windows Server instalado).

Vou utilizar a versão mais recente do Windows Server disponível  até o momento (Windows Server 2012 R2).

Antes de começar a instalação do AD vou alterar o nome do computador para facilitar na identificação:


Acesse a Dashboard do Windows e selecione "Add roles and features'':



Em Installation Type selecione a primeira opção conforme imagem:


Em Seguida selecione o Servidor que será instalada a feature:


Em seguida vamos selecionar a role do AD DS para instalação:


Por padrão a feature de GPO Management é instalada. Caso não deseje instalar essa feature desmarque a opção:


Next na próxima tela:


Em seguida confirme as roles e features a serem instalada e clique em install para começar:


Aguarde o termino da instalação:



Após o termino da instalação feche essa janela e volte a Dashboard do Server Manager. Agora vamos configurar o servidor para ser o servidor de domínio:


Selecione para adicionar uma nova floresta e em seguida insira o nome que deseja utilizar para o seu domínio:


Em Domain Controller Options selecione a opção dizendo que o servidor em questão será o servidor DNS e configure uma senha para caso precise utilizar o DSRM:


As próximas duas opções deixar como padrão pois não irá interferir no nosso Laboratório:



Na tela a seguir será mostrado os caminhos de instalação do Database do AD. Não é recomendado a alteração desses caminhos:


Depois de selecionar todas as opções necessárias para a configuração será apresentada uma tela com um Review de suas configurações. Cheque se tem algo que deseja alterar e caso esteja tudo OK clique em Next:


A próxima tela irá mostrar os pré requisitos de instalação. Se tiver algum pré requisito que não esteja sendo cumprido você não conseguira prosseguir a instalação:


Aguarde o termino da instalação. Assim que a instalação for finalizado será solicitado o reboot da maquina:


Após a maquina ser reinicializada, as configurações estarão prontas e você poderá começar a utilizar a base de usuarios do AD:


Os grupos que vamos utilizar inicialmente para aplicar nossas políticas de segurança será o grupo de Computers e Users:



Com o nosso AD configurado, o próximo passo é a instalação e configuração do serviço CA e NPS.

Inicialmente vamos configurar o serviço de CA que será utilizado pelo MSCHAP-V2 para validar a autenticidade do servidor Radius (NPS).

Instalação do Serviço CA

Siga os passos a seguir para instalação da CA:




Após a instalação do serviço, vamos fazer as configurações necessárias para o funcionamento da autenticação via MSCHAP-v2:





Podemos aplicar a configuração default de private key. Essa configuração de chave é utilizada para geração dos certificados por padrão. Podemos futuramente criar templates específicos para cada tipo de serviço podendo redefinir as configurações de private key conforme necessidades.
 



Confira se todas as informações estão corretas conforme imagem abaixo e clique em "configure" para configurar o serviço:





Instalação do serviço NPS

Siga os seguintes passos para instalação do serviço NPS:



 Em seguida confirme as configurações selecionadas e prossiga a instalação. Assim que terminar a instalação do serviço NPS, vamos instalar um certificado no servidor que será utilizado para validação dos usuarios que se autenticarem na nossa rede Wireless. Siga os passos a seguir para instalação do certificado.

Abra o MMC vá até Snap-in e selecione Certificates:

  Agora selecione Computer account:


Local computer ( No caso estamos gerando um certificado para o servidor local. Se o serviço de CA ficasse em um servidor e o serviço NPS em outro teríamos que selecionar "Another computer" e buscar o computador com o serviço NPS instalado. Este computador já teria que estar no domínio):


Na próxima tela vamos selecionar a pasta "Personal" e em seguida ir em "Certificates":


Agora vamos gerar o certificado para o servidor. Clique com o botão direito e selecione "Request New Certificate":


Siga os próximos passos para geração do certificado:




Podemos ver que um novo certificado está instalado para o servidor com o serviço NPS conforme imagem abaixo:



 Configuração de políticas NPS

Seguindo a definição inicial, vamos configurar as políticas de acesso para os usuarios corporativos e os usuarios BYOD no NPS. As regras criadas no NPS são "Top/Down", ou seja, as regras serão checadas de cima para baixo e a partir do momento em que o usuário der "match" em alguma regra ela será aplicada ao usuário. Devemos tomar cuidado com a estrutura de políticas para não "jogarmos" o usuário e uma regra errada. Caso o usuário não caia em nenhuma regra ele será negado na fase de autenticação pois existem duas regras default que fazem o papel de "deny all".

A imagem abaixo mostra as duas regras que criei para o nosso cenário. A regra inicial é a regra baseada no grupo de computadores. Essa regra autentica os computadores pertencentes ao domínio. Caso o usuário esteja com um dispositivo não pertencente ao domínio ele será direcionado para a regra BYOD. Essa regra é baseada em um grupo de usuarios. Se o usuário não se enquadrar a nenhuma das regras ele será negado automaticamente:


Segue imagens da estrutura das regras. Estou mostrando apenas a estrutura da regra Computers. A diferença entre as regras são os grupos selecionados para dar "match" e a VLAN em que o usuário será direcionado em cada regra:


Em "Conditions" selecionei o "NAS Port Type" selecionando o valor destinado a frames Wireless e selecionei uma condição de Windows Groups. Os meus computadores com permissão de acesso a rede estão configurados neste grupo. O mesmo acontece com os usuarios da regra BYOD:


Em "Constraints" devemos configurar o metodo de autenticação. Devemos adicionar o tipo EAP que no caso será PEAP e selecionar a versão 2 do MSCHAP para autenticação conforme imagem abaixo:

 O protocolo EAP utiliza TLS (Transport Level Security) para criar um canal criptografado entre o cliente e o autenticador. O PEAP não é responsável pelo método de autenticação, o método de autenticação é responsabilidade do MSCHAP-V2. Qualquer dúvida veja o primeiro post sobre protocolos de autenticação.

Abaixo vamos fazer as configurações finais para autenticação. Não podemos esquecer dos valores "Tunnel-Type" e "Tunnel-Pvt-Group-ID" que são responsáveis por direcionar o usuário a VLAN correta. No Tunnel-Pvt-Group-ID coloque o valor da VLAN que será destinada ao usuário pertencente a esta regra:


Desta maneira terminados as configurações de regras no NPS. Para configurar as regras do BYOD alterar o grupo para um grupo destinado a usuarios e configure a VLAN correta para o grupo em questão.

A minha ideia foi explicar de uma maneira direta como funciona a estrutura de regras no NPS. Dei uma ideia inicial de configuração mas podemos configurar essas regras de muitas maneiras diferentes. Espero que com as explicações acima você consiga entender o processo de autenticação e estruturar as regras de acordo com as necessidades de seus cliente ou empresa.

O próximo post encerra este assunto mostrando as configurações de SSIDs para as controladoras (CISCO e HP) e as configurações do usuário guest utilizando o Portal e o banco de usuarios da controladora.

Qualquer dúvida deixe um comentário!

Comentários

Postagens mais visitadas deste blog

Introdução Remote Access Point Aruba

802.11 Medium Access - CSMA/CA Overview