A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Rede Wireless segura com WPA/WPA2 e RADIUS Por Patrick Brandão – TMSoft www.tmsoft.com.br.

Apresentações semelhantes


Apresentação em tema: "Rede Wireless segura com WPA/WPA2 e RADIUS Por Patrick Brandão – TMSoft www.tmsoft.com.br."— Transcrição da apresentação:

1 Rede Wireless segura com WPA/WPA2 e RADIUS Por Patrick Brandão – TMSoft

2 Métodos e tecnologias comuns Ruim: Controle de IP/MAC (e arp) Ruim: Controle de IP/MAC (e arp) Clonagem fácil e rápida Clonagem fácil e rápida Ruim: WEP Ruim: WEP Tecnologia insegura, fácil de quebrar Tecnologia insegura, fácil de quebrar A senha pode ser facilmente compartilhada entre usuários A senha pode ser facilmente compartilhada entre usuários Ruim: WPA/WPA2 com chave única Ruim: WPA/WPA2 com chave única A senha pode ser facilmente compartilhada A senha pode ser facilmente compartilhada

3 Métodos tecnologias seguras WPA/WPA2 onde cada MAC tem sua senha cadastrada no equipamento wireless. WPA/WPA2 onde cada MAC tem sua senha cadastrada no equipamento wireless. Vantagem: Ótima solução para redes pequenas. Vantagem: Ótima solução para redes pequenas. Desvantagens: Poucos APs tem suporte a essa técnica. Com a expansão da rede, cresce a mão de obra e a incoerência entre os clientes ativos e as configurações. Desvantagens: Poucos APs tem suporte a essa técnica. Com a expansão da rede, cresce a mão de obra e a incoerência entre os clientes ativos e as configurações. WPA/WPA2 com cadastro remoto centralizado via RADIUS WPA/WPA2 com cadastro remoto centralizado via RADIUS Vantagem: Seguro, atende grandes redes, gerenciamento centralizado, reduz severamente a mão de obra, imune a incoerência entre banco de dados e acessos efetivos a rede wireless. Vantagem: Seguro, atende grandes redes, gerenciamento centralizado, reduz severamente a mão de obra, imune a incoerência entre banco de dados e acessos efetivos a rede wireless. Em redes de larga escala, requer que o servidor RADIUS seja imune a falhas (fail-over ou servidor RADIUS backup). Em redes de larga escala, requer que o servidor RADIUS seja imune a falhas (fail-over ou servidor RADIUS backup).

4 Pré-requisitos Servidor RADIUS para consulta de MACs cadastrados no banco de dados de clientes. Servidor RADIUS para consulta de MACs cadastrados no banco de dados de clientes. Exemplos: Servidor MyAuth3 ou Freeradius Exemplos: Servidor MyAuth3 ou Freeradius Concentrador Wireless (AP) com suporte a WPA/WPA2 via RADIUS. Concentrador Wireless (AP) com suporte a WPA/WPA2 via RADIUS. Exemplo: Mikrotik RouterOS. Exemplo: Mikrotik RouterOS. Comunicação IP entre o AP e o servidor RADIUS Comunicação IP entre o AP e o servidor RADIUS Faça testes via ping, do AP para o servidor e vice-versa. Sem comunicação IP o Access Point não conseguirá solicitar a chave WPA/WPA2 ao RADIUS. O servidor pode estar localizado em qualquer lugar no planeta, desde que haja comunicação IP. Faça testes via ping, do AP para o servidor e vice-versa. Sem comunicação IP o Access Point não conseguirá solicitar a chave WPA/WPA2 ao RADIUS. O servidor pode estar localizado em qualquer lugar no planeta, desde que haja comunicação IP.

5 Como fazer – parte 1 No servidor RADIUS No servidor RADIUS Sistema MyAuth3: Sistema MyAuth3: Menu SISTEMA -> Configurações -> Concentardores RADIUS Menu SISTEMA -> Configurações -> Concentardores RADIUS Cadastre o IP do Access Point/Mikrotik Cadastre o IP do Access Point/Mikrotik Informe a secret (senha responsável por tornar segura a comunicação entre o AP e o servidor RADIUS Informe a secret (senha responsável por tornar segura a comunicação entre o AP e o servidor RADIUS Pronto! Pronto! Servidor Freeradius criado manualmente Servidor Freeradius criado manualmente Edite o arquivo /etc/raddb/clients.conf Edite o arquivo /etc/raddb/clients.conf Cadastre o concentrador no arquivo (nome, ip e secret) Cadastre o concentrador no arquivo (nome, ip e secret) Reinicie o Freeradius Reinicie o Freeradius Pronto! Pronto!

6 Como fazer – parte 2 No Access Point Mikrotik No Access Point Mikrotik Abra o menu RADIUS Abra o menu RADIUS Clique em + (adicionar) Clique em + (adicionar) Marque o item WIRELESS Marque o item WIRELESS Cadastre o IP do Servidor RADIUS em ADDRESS Cadastre o IP do Servidor RADIUS em ADDRESS Informe a Secret (a mesma que cadastrou no servidor RADIUS). Informe a Secret (a mesma que cadastrou no servidor RADIUS). Na porta de autenticação (authentication porta), informe a porta, normalmente é 1812 e a porta de contabilidade (accounting port) normalmente Na porta de autenticação (authentication porta), informe a porta, normalmente é 1812 e a porta de contabilidade (accounting port) normalmente O timeout de 300ms é suficiente para redes locais, caso o servidor RADIUS não esteja localizado na mesma rede local do Mikrotik, aumente para 900ms. O timeout de 300ms é suficiente para redes locais, caso o servidor RADIUS não esteja localizado na mesma rede local do Mikrotik, aumente para 900ms. Clique em OK. Clique em OK. Veja o exemplo no próximo quadro. Veja o exemplo no próximo quadro.

7 Como fazer – parte

8 Como fazer – parte 3 No Access Point Mikrotik No Access Point Mikrotik Abra o menu Wireless Abra o menu Wireless Clique na guia Security Profiles Clique na guia Security Profiles Clique em + (adicionar) Clique em + (adicionar) Clique na guia GENERAL Clique na guia GENERAL Coloque o nome do perfil no campo Name. Coloque o nome do perfil no campo Name. Marque todos os itens em Authentication types Marque todos os itens em Authentication types Em WPA Pre-Shared Key e WPA2 Pre-Shared Key informe a senha mestre de acesso, essa senha dispensa o uso do servidor RADIUS e só deve ser utilizada para fins administrativos. Em WPA Pre-Shared Key e WPA2 Pre-Shared Key informe a senha mestre de acesso, essa senha dispensa o uso do servidor RADIUS e só deve ser utilizada para fins administrativos. Clique na guia RADIUS Clique na guia RADIUS Marque a opção MAC Authentication Marque a opção MAC Authentication Altere a opção MAC Mode para as username and password Altere a opção MAC Mode para as username and password Veja os exemplos nos próximos quadros. Veja os exemplos nos próximos quadros.

9 Como fazer – parte

10 4 7 5

11 No Access Point Mikrotik No Access Point Mikrotik Abra o menu Wireless Abra o menu Wireless Clique na guia Interfaces Clique na guia Interfaces Clique 2 vezes na interface wireless em modo AP Bridge Clique 2 vezes na interface wireless em modo AP Bridge Clique na guia Wireless Clique na guia Wireless Em Security Profile, selecione o perfil criado no passo anterior. Em Security Profile, selecione o perfil criado no passo anterior. Clique em OK. Clique em OK. Pronto! Pronto! Veja o exemplo no próximo quadro. Veja o exemplo no próximo quadro.

12 Como fazer – parte

13 Solução para migração Problema: em redes em produção a configuração da criptografia WPA/WPA2 pode negar acesso a todos os clientes. Problema: em redes em produção a configuração da criptografia WPA/WPA2 pode negar acesso a todos os clientes. Solução: Solução: 1 – Crie um VAP (Virtual AP) com um novo SSID no mesmo cartão wireless do AP. 2 – Associe o Security Profile criado apenas ao VAP. Inclua o VAP na bridge. Resultado: Resultado: Os clientes continuarão acessando pelo AP SSID atual. Os clientes continuarão acessando pelo AP SSID atual. Calmamente, faça a migração dos clientes para o novo SSID com criptografia. Calmamente, faça a migração dos clientes para o novo SSID com criptografia.

14 Dicas! 1 - Antes de aplicar as configurações de WPA/WPA2 com RADIUS no Mikrotik, teste antes, simule em uma rede piloto. 1 - Antes de aplicar as configurações de WPA/WPA2 com RADIUS no Mikrotik, teste antes, simule em uma rede piloto. 2 - Antes de alterar as configurações, faça backup! 2 - Antes de alterar as configurações, faça backup! 3 – Se algo der errado, recupere o backup e pratique na rede piloto. 3 – Se algo der errado, recupere o backup e pratique na rede piloto.

15 Mais informações: Site de documentações da TMSoft: Site de documentações da TMSoft: Site de documentações do Mikrotik: Site de documentações do Mikrotik: Wireless#RADIUS_MAC_authentication Wireless#RADIUS_MAC_authentication Wireless#RADIUS_MAC_authentication Wireless#RADIUS_MAC_authentication Google (ooohhhh). Google (ooohhhh). Obrigado pela atenção! Patrick Brandão


Carregar ppt "Rede Wireless segura com WPA/WPA2 e RADIUS Por Patrick Brandão – TMSoft www.tmsoft.com.br."

Apresentações semelhantes


Anúncios Google