Configurando o Servidor Radius 802.1x no Windows Server 2008

 Publicado em:
15/10/2011

Fonte: Fábio Augusto

Configurando o Servidor Radius para conexões – 802.1x 

No Windows Server 2003, para permitir a autenticação Radius Serviço de Autenticação da Internet este serviço precisava ser instalado e configurado. Agora no Windows Server 2008 este serviço foi substituído pelo servidor Diretiva de Rede, conhecido como o NPS (Network Policy Server )

O Network Policy Server (NPS) é o serviço que  habilita a implementação de vários serviços da Microsoft e um deles é o  Remote Authentication Dial-in User Service (RADIUS) e também existe o servidor de proxy Radius no Windows Server 2008. O NPS é o substituto do Internet Authentication Service (IAS) encontrado na versão do Windows Server 2003.
Como um servidor RADIUS, o NPS executa a autenticação de conexão centralizada, autorização e contabilidade para muitos tipos de acesso à rede, incluindo wireless e rede privada virtual (VPN).

 Já o proxy RADIUS,  encaminha mensagens de autenticação para a frente e mensagens de contabilidade para outros servidores RADIUS. O NPS também atua como um servidor de avaliação de saúde para Network Access Protection (NAP), resumindo conforme já mencionei, o NPS centralizou todo o método de autenticação e autorização.

Instalação 

Abra Configuration Tasks, e clique em  Add Roles ( Adicionar função) Selecione Network Policy and Access Services, e clique em Avançar.

 Clique em Avançar depois de ter verificado informações através do help na Introdução da função.

 O Network Policy Server precisa ser selecionado para usar qualquer um dos itens que fazem parte da função. Basta clicar em “‘Add Required Role Services” Algo do tipo (Adicionar Serviços de Função Necessários),

Você será solicitado com uma caixa de diálogo que parece um pouco com isso:

 

A próxima tela você será orientado sobre o Serviço, todos esses itens são necessários para a seção deste papel da função. Selecione o Prtocolo Host Credential Authorization Protocol,(HCAP) Protocolo de Autorização de credenciais,

 Basta clicar e ir avançando até chegar à página de conclusão,  verifique se você tem todas as funções selecionadas, que são necessárias, e clique em Install ( instalar )

 Uma vez que o NPS foi instalado e reiniciado, o servidor Radius já pode começar a ser configurado. 

Clique em Iniciar –> Ferramentas Administrativas –> abra o Network Policy Server

 
A Criação da política Radius é agora mais fácil com o assistente do Network Access Protection (NAP). Basta selecionar servidor RADIUS 802.1X para redes sem fio ou conexões com fio na tela inicial do NPS e clique em Configure NAP.

Selecione a opção Secure Wireless Connections que é o nosso caso de configuração. 

 

 Cada configuração de Access Point (AP)  varia, mas a maioria possui a criptografica WPA2-Enterprise que é a recomendada, Digite o endereço IP do servidor que vai adicionar, e digite o Shared Secret ” segredo ou senha”.  Devemos consultar os  manuais de APs ou fóruns sobre a localização de sua configuração de cada um. 

Isso funciona criando uma ligação segura entre o servidor e o cliente,  no nosso caso o AP, por isso na próxima página você deve criar um cliente Radius com suas configurações. 

 

Digite um nome amigável para o seu cliente, e coloque o IP do servidor para o assistente tentar se comunicar com o destino. 

Escolha um Shared Secret  “segredo de senha” conforme solicitado acima, ele é usado para autenticar no seu ponto de acesso (AP), esta será a forma como o cliente e o servidor vai se comunicar com o AP para poder verificar a conexão.

Agora clique em avançar depois de ter criado o seu Radius Client. 

Agora selecione Microsoft: Smart Card ou outro certificado, caso queira  usar qualquer o certificado existente que foi criado ou se possui uma autoridade certificadora (CA) no servidor.

 
Agora adicione os grupos de usuários que você quer tenha permissão ao acesso de autenticação radius. 

Agora clique em avançar e Finish, Pronto! você criou uma política de autenticação Radius.

Dependendo do tipo de marca do fabricante do seu Access Point (AP) , a configuração será diferente. Mas essencialmente se quiser segurança na autenticação e dispositivos,  você terá que configurar uma autenticação desta finalidade.

Assim, quando você  ligar o seu Access Point , ele tentará autenticar, os usuários que se conectarem a ele serão obrigados a obter um certificado. Será necessário solicitar ao servidor para que confirme a autenticidade e faça parte dos recursos da rede.

Um abraço

[ ]’s

Anúncios

Autenticação do roteador no AD (Windows Server 2008)

Publicado em:
15/10/2011

Fonte: http://www.brainwork.com.br

Olá Galera,

Existem vários métodos de configuração sobre a tecnologia radius, vários roteadores dependendo a marca do seu fabricante , mas a vantagem é somente uma, a centralização de autenticação, usado para oferecer serviços de autorização e contabilidade de rede.

Agora, evoluindo a solução, vamos ver como fazer a integração do equipamento com o AD (Microsoft Active Directory), e assim utilizar o mesmo usuário da rede para acessar o roteador. Para isso, além do roteador e do AD, vamos precisar do IAS, ( Chamado na Versão Windows Server 2003,

Neste exemplo utilizamos o Windows Server 2008 R2 com AD e IAS e um roteador Cisco 2801.

Configuração do Roteador

Apesar de usarmos um roteador no exemplo, as mesmas configurações podem ser aplicadas aos switches.

Temos que criar um usuário local, para que caso a comunicação com o servidor IAS falhe ainda tenhamos acesso ao equipamento. Depois basta habilitar o AAA e especificar o IP do Servidor, bem como a shared secret.

Habilitando autenticação via Radius/AD

!Criando um usuário local
username brain privi 15 secret cisco
! Habilitando o aaa
aaa new-model
! Especificando os métodos de autenticação (primeiro via Radius, depois Local)
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization console
aaa authorization exec default group radius local
! IP do Servidor onde está instalado o IAS (Radius) e a shared Secret
radius-server host 192.168.1.41 auth-port 1812 acct-port 1813 key cisco@123
! IP que o roteador enviará para o servidor, durante a autenticação
ip radius source-interface f0/0
!

Com esta configuração o acesso via Telnet e console já será autenticado via Radius. Caso o SSH esteja habilitado, também passará a usar a autenticação via Radius.

Já para o acesso HTTP, caso necessário, devemos adicionar o comando ip http authentication aaa.

Configuração no AD

Considerando-se que o AD já esteja funcionando, com as contas de usuários e tudo mais, não será necessário nenhuma configuração adicional.

Opcionalmente podem ser criados grupos, onde os usuários que terão acesso aos equipamentos devem ser adicionados.

Neste exemplo, temos dois grupos no AD: Acesso Priv 1 para Roteadores e Acesso Priv 15 para Roteadores. No grupo Priv 1 estão os usuários que não podem acessar o modo privilegiado e no grupo Priv 15 estão os usuários que tem acesso full ao roteador.

Instalando o IAS (Radius Microsoft)

O Internet Authentication Server – IAS é o servidor Radius da Microsoft, e neste exemplo vamos utilizá-lo para fazer o “proxy” entre os equipamentos e o AD. Ou seja, ao logar no roteador o mesmo enviará as credenciais para o Radius (IAS), que por sua vez passará estas informações para o AD.

Se o usuário for válido (usuário existir e a senha estiver correta) ele terá acesso ao equipamento, caso contrário o acesso será negado.

Apesar de extensa a configuração é simples… so don’t worry :)

1°) No Windows Server 2008, Clique em Start > Administrative Tools > Server Manager e em seguida Add Roles.

2°) Na tela Add Roles Wizard, selecione a opção Network Policy and Access Services. Depois Next duas vezes.

3°) Selecione a opção Network Policy Server e clique em Next.

4°) Por fim clique Install, espere a instalação ser concluída, clique em Close e reinicie o servidor.

Configurando o IAS

Agora, com o IAS instalado, vamos configurá-lo.

1°) De volta ao Sever Manager, expanda a árvore Roles > Network Policy and Access Service > NPS (Local), e então clique com o botão direito do mouse e selecione a opção Register service in Active Directory.

Obs.: Nesse momento será solicitada a autenticação de um login com permissões administrativas no domínio para integração do serviço.

Nas duas mensagens que aparecerão em seguida (liberação de Dial-in para os usuários do AD e confirmação), clique Ok.

 

3°) Agora expanda a árvore NPS (Local) RADIUS Clients and Servers > RADIUS Client, e clique com o botão direito. Em seguida selecione New Radius Client. Nesse momento iremos informar que roteador poderá utilizar o serviço de autenticação.

4°) Preencha os campos com os dados do equipamento que utilizará o Radius para autenticação, onde Friendly name = hostname, Address = IP do equipamento. Selecione a opção Manual e informe a Shared Secret (cisco@123, neste exemplo). Essa chave também é cadastrado no roteador. Na opção Vendor Name selecione RADIUS Standard e clique ok.

Obs: O Friendly name pode ser qualquer coisa, mas fica mais fácil a administração se associarmos o hostname.

Repita este passo para todos os equipamentos que forem utilizar a autenticação via IAS (Radius).

5°) Novamente no menu do lado esquerdo, expanda a árvore Policies e selecione Network Policies. Renomeie “Connections to Microsoft Routing and Remote Access Server” para “Priv 1“ e renomeie “Connections to other access servers” para “Priv 15“.

7°) Após renomear as Policies, clique com o botão direito em Priv 1 > Propriedades. Na tela Priv 1 Properties, marque a opção Grant Access. Grant Access if the connection request matches the policy, no item Access Permission.

8°) Agora, na aba Conditions, remova o grupo padrão, e em seguida clique em Add e selecione a opção Windows Groups.

9°) Busque o grupo que terá acesso somente leitura aos equipamentos (nível 1), previamente definido no AD. No exemplo Acesso Priv 1 para Roteadores.

10°) Na aba Constraints, remova as opções em EAP Types. A única opção selecionada nesta tela será: Unencrypted authentication (PAP, SPAP).

11°) Agora na aba Settings RADIUS ATTRIBUTES, remova o item chamado “Framed-Protocol”. Em seguida clique Service-Type > Edit. Na janela Attribute Information selecione a opção Others > Login e Ok.

Novamente Ok. Irá aparecer uma mensagem perguntando se você quer ver um tópico da ajuda, pois foi selecionando um método de autenticação “inseguro” (PAP). Clique No.

12°) No menu do lado esquerdo selecione a opção Vendor Specific e em seguida Add…. Na janela que se abrirá selecione Cisco e novamente clique em Add….

Continuando, clique em Add…, no campo Attribute Value insira shell:priv-lvl=1. Clique em Ok, Ok, Close, Ok, No, Ok.
ATENÇÃO: É nesse momento que definimos que o grupo Acesso Priv 1 para Roteadores terá permissão 1 (um), ou seja, acesso limitado (modo usuário).

Pronto. O IAS foi instalado e configurado para os usuários do grupo Acess Priv 1 para Roteadores (grupo criado no AD), que terão acesso limitado.

Para os usuários do grupo Acesso Priv 15 para Roteadores (modo privilegiado), repita o procedimento, selecionando em Network Policies o grupo “Priv 15” e repetindo os passos anteriores, alterando o grupo Acesso Priv 15 para Roteadores (grupo existente no AD) no item 7 e o Atributte Value para shell:priv-lvl=15 no item 12.

Assim, basta o administrador adicionar os usuários a um dos dois grupos no AD para que o usuário tenha acesso limitado ou completo.

Throubleshoot

Para verificar o funcionamento da solução, podemos utilizar os seguintes comandos no roteador:

debug aaa authentication
debug aaa authorization
debug radius authentication

Também é possível visualizar o status da autenticação no servidor (IAS), através do Event Viewer (Start > Administrative Tools > Event Viewer).

Com o Event Viewer aberto, clique em Custom Views > Server Roles > Network Policy and Account. No centro serão exibidos os eventos relacionados a login/falha no roteador.

Lembrando que isso varia de roteador para roteador, de fabricante para fabricante, mas a configuração de autenticação se mantém no padrão dependendo de que forma configurar.

até a próxima

[  ]’s

[ ]’s

Configurando o IPSEC no Windows Server 2008

Publicado em:
04/01/2011

Visão Geral

Configurando o IPSEC no Windows Server 2008

O IPSEC é um conjunto de procolos (RFC 2401-2409). Com o IPSec utilizamos dois meios, AH – Autenticação de cabeçalho garantindo a integridade e o ESP -Encapsulating Security Payload criptografando os dados. IPSEC é o mais seguro e efetivo metodo de manter os dados seguros durante a transmissão dos mesmos.
Podemos utilizar o IPsec em toda ou em uma parte da rede, mantendo os servidores seguros contra diversos tipos de ataque, entre eles Spoofing Identity (e o famoso Man-in-the-middle (alguém capturando dados utilizando Sniffer).

No Windows Server 2008 o IPsec pode ser implementados em diversos niveis, dominio, site, OU e localmente.

Neste tutorial criaremos uma politica IPSec local.

Innocent Criando uma Politica IPSEC.

1.Clique em Start / Run e digite secpol.msc para abrir o Snap-in Politica de Segurança Local.

2. Em IP Security Policies, clique com o lado direito do mouse e selecione Create IP Security Policy…

3. Clique em Next na tela do Assistente.

4.Forneça o nome e a descrição da politica.

5. Não marque a opção “Activate the default Response Rule” , pois queremos que apenas a nossa regra seja utilizada.

6. Deixe marcado a opção “Edit properties” e clique em finish

Innocent Criando um Filtro IPSec

1. Em Rules, desmarque a opção “Use Add Wizard“, pois este assistente é bom, mas irá abrir muitas janelas.
Clique em Add..

2. Esta é a janela de regras e aqui iremos definir tudo o que precisamos.
Através desta caixa é possivel também criar uma Lista de Filtros e definir a ação.

Não temos ainda uma lista de filtro, vamos criar um filtro clicando em Add.

3.Digite o nome do Filtro e uma descrição, novamente vamos desmarcar o “Use Add Wizard…” em Seguida clique em Add

4.Escolha os endereços de origem e destino:
Neste caso origem e Destino escolhemos Qualquer endereço IP

5. Em protocolo, selecione TCP, note que podemos escolher também as portas de origem e destino.

ObservaçãoVocê pode fazer as configurações desse tutorial e alterar o protocolo para ICMP. Faça isso em duas maquina e você poderá visualizar a negociação Ipsec ocorrer no momento em que pingar uma das maquinas.

6.Forneça a decrição clara sobre o filtro.

7.Clique OK para finalizar a criação do Filtro.

8.Selecione o filtro criado.

Innocent Criando uma Ação para o Filtro

1.Clique na aba “Filter Action“, desmarque a caixa “Use Add Wizard” e clique em Add

2.No metodo da Ação iremos determinar como a regra irá negociar para manter o trafego de rede seguro.
Com o IPSEC, podemos criar um filtro de procolos e como ação:

  • Permitir
  • Bloquear
  • Negociar Segurança.

Selecione Negotiate Security e clique Add…

Não marque as opções:
Accept unsecured communications, but always respond using IPsec” Aceita comunicação insegura.
Allow Fallback to unsecured communication if a secure connection can not established” Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
Use session key perfect forward secrecy (PFS) ” – Usar sessão chave perfeita transmitir sigilo (PFS)

3.Podemos especificar Integridade e Criptografia, integridade somente ou podemos customizar o metodo de segurança.
Neste tutorial não iremos customizar, portanto selecione “Integrity and encryption” e clique OK.

4.Identifique a Ação definindo um nome e descrição e clique OK.

Innocent Definindo o Metodo de Autenticação

1.Clique na guia “Authentication Methods” e em seguida clique em Add

2.Por padrão o metodo de autenticação é o Kerberos, porém podemos escolher também entre um certificado e uma chave pré-compartilhada. Neste exemplo foi definido uma chave “Palavra Secreta”.
Clique OK

3.Na guia Tunnel Setting, deixe o padrão.

4.Na guia Connection Type deixe o padrão e clique Apply e em seguida clique em close.

5.Na janela das regras IPSEC, selecione o filtro recem criado e clique OK

6.Clique com o lado direito do mouse sobre a politica IPSec e selecione Assign para atribuir e começar a utilizar a politica.

Innocent ATENÇÃO – Todos os computadores do ambiente devem possuir a mesma politica para que ocorra a comunicação segura.

Conclusão: Aprendemos que é simples definir um politica IPSEC e que podemos implementar diversos filtros e modos de negociar a segurança e a autenticação deixando o trafego de rede altamente seguro.
Ainda que podemos utilizar metodos como este altamente seguros, podemos também manter a interoperabilidade com outros sistemas utilizando configurações como:
Accept unsecured communications, but always respond using IPsec” Aceita comunicação insegura.
Allow Fallback to unsecured communication if a secure connection can not established” Aceita comunicação insegura se não conseguir estabelecer comunicação segura.

É isso pessoal

[ ]’s