Rede Wireless segura com WPA/WPA2 e RADIUS - PowerPoint PPT Presentation

About This Presentation
Title:

Rede Wireless segura com WPA/WPA2 e RADIUS

Description:

Rede Wireless segura com WPA/WPA2 e RADIUS Por Patrick Brand o TMSoft www.tmsoft.com.br M todos e tecnologias comuns Ruim: Controle de IP/MAC (e arp) Clonagem ... – PowerPoint PPT presentation

Number of Views:69
Avg rating:3.0/5.0
Slides: 16
Provided by: Patri261
Category:
Tags: radius | wpa | com | rede | segura | wireless | wpa2

less

Transcript and Presenter's Notes

Title: Rede Wireless segura com WPA/WPA2 e RADIUS


1
Rede Wireless seguracom WPA/WPA2 e RADIUS
  • Por Patrick Brandão TMSoft
  • www.tmsoft.com.br

2
Métodos e tecnologias comuns
  • Ruim Controle de IP/MAC (e arp)
  • Clonagem fácil e rápida
  • Ruim WEP
  • Tecnologia insegura, fácil de quebrar
  • A senha pode ser facilmente compartilhada entre
    usuários
  • Ruim WPA/WPA2 com chave única
  • A senha pode ser facilmente compartilhada

3
Métodos tecnologias seguras
  • WPA/WPA2 onde cada MAC tem sua senha cadastrada
    no equipamento wireless.
  • Vantagem Ótima solução para redes pequenas.
  • Desvantagens Poucos APs tem suporte a essa
    técnica. Com a expansão da rede , cresce a mão de
    obra e a incoerência entre os clientes ativos e
    as configurações.
  • WPA/WPA2 com cadastro remoto centralizado via
    RADIUS
  • Vantagem Seguro, atende grandes redes,
    gerenciamento centralizado, reduz severamente a
    mão de obra, imune a incoerência entre banco de
    dados e acessos efetivos a rede wireless.
  • Em redes de larga escala, requer que o servidor
    RADIUS seja imune a falhas (fail-over ou servidor
    RADIUS backup).

4
Pré-requisitos
  • Servidor RADIUS para consulta de MACs cadastrados
    no banco de dados de clientes.
  • Exemplos Servidor MyAuth3 ou Freeradius
  • Concentrador Wireless (AP) com suporte a WPA/WPA2
    via RADIUS.
  • Exemplo Mikrotik RouterOS.
  • Comunicação IP entre o AP e o servidor RADIUS
  • Faça testes via ping, do AP para o servidor e
    vice-versa. Sem comunicação IP o Access Point não
    conseguirá solicitar a chave WPA/WPA2 ao RADIUS.
    O servidor pode estar localizado em qualquer
    lugar no planeta, desde que haja comunicação IP.

5
Como fazer parte 1
  • No servidor RADIUS
  • Sistema MyAuth3
  • Menu SISTEMA -gt Configurações -gt Concentardores
    RADIUS
  • Cadastre o IP do Access Point/Mikrotik
  • Informe a secret (senha responsável por tornar
    segura a comunicação entre o AP e o servidor
    RADIUS
  • Pronto!
  • Servidor Freeradius criado manualmente
  • Edite o arquivo /etc/raddb/clients.conf
  • Cadastre o concentrador no arquivo (nome, ip e
    secret)
  • Reinicie o Freeradius
  • Pronto!

6
Como fazer parte 2
  • No Access Point Mikrotik
  • Abra o menu RADIUS
  • Clique em (adicionar)
  • Marque o item WIRELESS
  • Cadastre o IP do Servidor RADIUS em ADDRESS
  • Informe a Secret (a mesma que cadastrou no
    servidor RADIUS).
  • Na porta de autenticação (authentication porta),
    informe a porta, normalmente é 1812 e a porta de
    contabilidade (accounting port) normalmente 1813.
  • O timeout de 300ms é suficiente para redes
    locais, caso o servidor RADIUS não esteja
    localizado na mesma rede local do Mikrotik,
    aumente para 900ms.
  • Clique em OK.
  • Veja o exemplo no próximo quadro.

7
Como fazer parte 2
4
2
3
1
8
Como fazer parte 3
  • No Access Point Mikrotik
  • Abra o menu Wireless
  • Clique na guia Security Profiles
  • Clique em (adicionar)
  • Clique na guia GENERAL
  • Coloque o nome do perfil no campo Name.
  • Marque todos os itens em Authentication types
  • Em WPA Pre-Shared Key e WPA2 Pre-Shared Key
    informe a senha mestre de acesso, essa senha
    dispensa o uso do servidor RADIUS e só deve ser
    utilizada para fins administrativos.
  • Clique na guia RADIUS
  • Marque a opção MAC Authentication
  • Altere a opção MAC Mode para as username and
    password
  • Veja os exemplos nos próximos quadros.

9
Como fazer parte 3
1
2
3
10
Como fazer parte 3
4
7
5
11
Como fazer parte 3
  • No Access Point Mikrotik
  • Abra o menu Wireless
  • Clique na guia Interfaces
  • Clique 2 vezes na interface wireless em modo AP
    Bridge
  • Clique na guia Wireless
  • Em Security Profile, selecione o perfil criado no
    passo anterior.
  • Clique em OK.
  • Pronto!
  • Veja o exemplo no próximo quadro.

12
Como fazer parte 3
1
2
5
3
4
13
Solução para migração
  • Problema em redes em produção a configuração da
    criptografia WPA/WPA2 pode negar acesso a todos
    os clientes.
  • Solução
  • 1 Crie um VAP (Virtual AP) com um novo SSID no
    mesmo cartão wireless do AP.
  • 2 Associe o Security Profile criado apenas ao
    VAP. Inclua o VAP na bridge.
  • Resultado
  • Os clientes continuarão acessando pelo AP SSID
    atual.
  • Calmamente, faça a migração dos clientes para o
    novo SSID com criptografia.

14
Dicas!
  • 1 - Antes de aplicar as configurações de WPA/WPA2
    com RADIUS no Mikrotik, teste antes, simule em
    uma rede piloto.
  • 2 - Antes de alterar as configurações, faça
    backup!
  • 3 Se algo der errado, recupere o backup e
    pratique na rede piloto.

15
Mais informações
  • Site de documentações da TMSoft
  • http//manual.tmsoft.com.br/
  • Site de documentações do Mikrotik
  • http//wiki.mikrotik.com/wiki/ManualInterface/Wir
    elessRADIUS_MAC_authentication
  • Google (ooohhhh).

Obrigado pela atenção! Patrick Brandão
Write a Comment
User Comments (0)
About PowerShow.com