1 / 15

Rede Wireless segura com WPA/WPA2 e RADIUS

Rede Wireless segura com WPA/WPA2 e RADIUS. Por Patrick Brandão – TMSoft www.tmsoft.com.br. Métodos e tecnologias comuns. Ruim: Controle de IP/MAC (e arp) Clonagem fácil e rápida Ruim: WEP Tecnologia insegura, fácil de quebrar A senha pode ser facilmente compartilhada entre usuários

gwidon
Download Presentation

Rede Wireless segura com WPA/WPA2 e RADIUS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Rede Wireless seguracom WPA/WPA2 e RADIUS Por Patrick Brandão – TMSoft www.tmsoft.com.br

  2. Métodos e tecnologias comuns • Ruim: Controle de IP/MAC (e arp) • Clonagem fácil e rápida • Ruim: WEP • Tecnologia insegura, fácil de quebrar • A senha pode ser facilmente compartilhada entre usuários • Ruim: WPA/WPA2 com chave única • A senha pode ser facilmente compartilhada

  3. Métodos tecnologias seguras • WPA/WPA2 onde cada MAC tem sua senha cadastrada no equipamento wireless. • Vantagem: Ótima solução para redes pequenas. • Desvantagens: Poucos APs tem suporte a essa técnica. Com a expansão da rede , cresce a mão de obra e a incoerência entre os clientes ativos e as configurações. • WPA/WPA2 com cadastro remoto centralizado via RADIUS • Vantagem: Seguro, atende grandes redes, gerenciamento centralizado, reduz severamente a mão de obra, imune a incoerência entre banco de dados e acessos efetivos a rede wireless. • Em redes de larga escala, requer que o servidor RADIUS seja imune a falhas (fail-over ou servidor RADIUS backup).

  4. Pré-requisitos • Servidor RADIUS para consulta de MACs cadastrados no banco de dados de clientes. • Exemplos: Servidor MyAuth3 ou Freeradius • Concentrador Wireless (AP) com suporte a WPA/WPA2 via RADIUS. • Exemplo: Mikrotik RouterOS. • Comunicação IP entre o AP e o servidor RADIUS • Faça testes via ping, do AP para o servidor e vice-versa. Sem comunicação IP o Access Point não conseguirá solicitar a chave WPA/WPA2 ao RADIUS. O servidor pode estar localizado em qualquer lugar no planeta, desde que haja comunicação IP.

  5. Como fazer – parte 1 • No servidor RADIUS • Sistema MyAuth3: • Menu SISTEMA -> Configurações -> Concentardores RADIUS • Cadastre o IP do Access Point/Mikrotik • Informe a secret (senha responsável por tornar segura a comunicação entre o AP e o servidor RADIUS • Pronto! • Servidor Freeradius criado manualmente • Edite o arquivo /etc/raddb/clients.conf • Cadastre o concentrador no arquivo (nome, ip e secret) • Reinicie o Freeradius • Pronto!

  6. Como fazer – parte 2 • No Access Point Mikrotik • Abra o menu RADIUS • Clique em + (adicionar) • Marque o item WIRELESS • Cadastre o IP do Servidor RADIUS em ADDRESS • Informe a Secret (a mesma que cadastrou no servidor RADIUS). • Na porta de autenticação (authentication porta), informe a porta, normalmente é 1812 e a porta de contabilidade (accounting port) normalmente 1813. • O timeout de 300ms é suficiente para redes locais, caso o servidor RADIUS não esteja localizado na mesma rede local do Mikrotik, aumente para 900ms. • Clique em OK. • Veja o exemplo no próximo quadro.

  7. Como fazer – parte 2 4 2 3 1

  8. Como fazer – parte 3 • No Access Point Mikrotik • Abra o menu Wireless • Clique na guia Security Profiles • Clique em + (adicionar) • Clique na guia GENERAL • Coloque o nome do perfil no campo Name. • Marque todos os itens em Authentication types • Em WPA Pre-Shared Key e WPA2 Pre-Shared Key informe a senha mestre de acesso, essa senha dispensa o uso do servidor RADIUS e só deve ser utilizada para fins administrativos. • Clique na guia RADIUS • Marque a opção MAC Authentication • Altere a opção MAC Mode para as username and password • Veja os exemplos nos próximos quadros.

  9. Como fazer – parte 3 1 2 3

  10. Como fazer – parte 3 4 7 5

  11. Como fazer – parte 3 • No Access Point Mikrotik • Abra o menu Wireless • Clique na guia Interfaces • Clique 2 vezes na interface wireless em modo AP Bridge • Clique na guia Wireless • Em Security Profile, selecione o perfil criado no passo anterior. • Clique em OK. • Pronto! • Veja o exemplo no próximo quadro.

  12. Como fazer – parte 3 1 2 5 3 4

  13. Solução para migração • Problema: em redes em produção a configuração da criptografia WPA/WPA2 pode negar acesso a todos os clientes. • Solução: 1 – Crie um VAP (Virtual AP) com um novo SSID no mesmo cartão wireless do AP. 2 – Associe o Security Profile criado apenas ao VAP. Inclua o VAP na bridge. • Resultado: • Os clientes continuarão acessando pelo AP SSID atual. • Calmamente, faça a migração dos clientes para o novo SSID com criptografia.

  14. Dicas! • 1 - Antes de aplicar as configurações de WPA/WPA2 com RADIUS no Mikrotik, teste antes, simule em uma rede piloto. • 2 - Antes de alterar as configurações, faça backup! • 3 – Se algo der errado, recupere o backup e pratique na rede piloto.

  15. Mais informações: • Site de documentações da TMSoft: • http://manual.tmsoft.com.br/ • Site de documentações do Mikrotik: • http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless#RADIUS_MAC_authentication • Google (ooohhhh). Obrigado pela atenção! Patrick Brandão

More Related