Post on 10-Jan-2016
description
Rede Wireless seguraRede Wireless seguracom WPA/WPA2 e com WPA/WPA2 e
RADIUSRADIUS
Por Patrick Brandão – TMSoftPor Patrick Brandão – TMSoft
www.tmsoft.com.brwww.tmsoft.com.br
Métodos e tecnologias Métodos e tecnologias comunscomuns
►Ruim: Controle de IP/MAC (e arp)Ruim: Controle de IP/MAC (e arp) Clonagem fácil e rápidaClonagem fácil e rápida
►Ruim: WEPRuim: WEP Tecnologia insegura, fácil de quebrarTecnologia insegura, fácil de quebrar A senha pode ser facilmente A senha pode ser facilmente
compartilhada entre usuárioscompartilhada entre usuários
►Ruim: WPA/WPA2 com chave únicaRuim: WPA/WPA2 com chave única A senha pode ser facilmente A senha pode ser facilmente
compartilhadacompartilhada
Métodos tecnologias segurasMétodos tecnologias seguras► WPA/WPA2 onde cada MAC tem sua senha cadastrada no WPA/WPA2 onde cada MAC tem sua senha cadastrada no
equipamento wireless.equipamento wireless. Vantagem: Ótima solução para redes pequenas.Vantagem: Ótima solução para redes pequenas. Desvantagens: Poucos APs tem suporte a essa técnica. Desvantagens: Poucos APs tem suporte a essa técnica.
Com a expansão da rede , cresce a mão de obra e a Com a expansão da rede , cresce a mão de obra e a incoerência entre os clientes ativos e as configurações.incoerência entre os clientes ativos e as configurações.
► WPA/WPA2 com cadastro remoto centralizado via RADIUSWPA/WPA2 com cadastro remoto centralizado via RADIUS Vantagem: Seguro, atende grandes redes, Vantagem: Seguro, atende grandes redes,
gerenciamento centralizado, reduz severamente a gerenciamento centralizado, reduz severamente a mão de obra, imune a incoerência entre banco de mão de obra, imune a incoerência entre banco de dados e acessos efetivos a rede wireless.dados e acessos efetivos a rede wireless.
Em redes de larga escala, requer que o servidor Em redes de larga escala, requer que o servidor RADIUS seja imune a falhas (fail-over ou servidor RADIUS seja imune a falhas (fail-over ou servidor RADIUS backup).RADIUS backup).
Pré-requisitosPré-requisitos► Servidor RADIUS para consulta de MACs cadastrados Servidor RADIUS para consulta de MACs cadastrados
no banco de dados de clientes.no banco de dados de clientes. Exemplos: Servidor MyAuth3 ou FreeradiusExemplos: Servidor MyAuth3 ou Freeradius
► Concentrador Wireless (AP) com suporte a Concentrador Wireless (AP) com suporte a WPA/WPA2 via RADIUS.WPA/WPA2 via RADIUS. Exemplo: Mikrotik RouterOS.Exemplo: Mikrotik RouterOS.
► Comunicação IP entre o AP e o servidor RADIUSComunicação IP entre o AP e o servidor RADIUS Faça testes via ping, do AP para o servidor e vice-Faça testes via ping, do AP para o servidor e vice-
versa. Sem comunicação IP o Access Point não versa. Sem comunicação IP o Access Point não conseguirá solicitar a chave WPA/WPA2 ao RADIUS. conseguirá solicitar a chave WPA/WPA2 ao RADIUS. O servidor pode estar localizado em qualquer lugar O servidor pode estar localizado em qualquer lugar no planeta, desde que haja comunicação IP.no planeta, desde que haja comunicação IP.
Como fazer – parte 1Como fazer – parte 1►No servidor RADIUSNo servidor RADIUS
Sistema MyAuth3:Sistema MyAuth3:►Menu SISTEMA -> Configurações -> Concentardores Menu SISTEMA -> Configurações -> Concentardores
RADIUSRADIUS Cadastre o IP do Access Point/MikrotikCadastre o IP do Access Point/Mikrotik Informe a secret (senha responsável por tornar segura a Informe a secret (senha responsável por tornar segura a
comunicação entre o AP e o servidor RADIUScomunicação entre o AP e o servidor RADIUS Pronto!Pronto!
Servidor Freeradius criado manualmenteServidor Freeradius criado manualmente►Edite o arquivo /etc/raddb/clients.confEdite o arquivo /etc/raddb/clients.conf
Cadastre o concentrador no arquivo (nome, ip e secret)Cadastre o concentrador no arquivo (nome, ip e secret) Reinicie o FreeradiusReinicie o Freeradius Pronto!Pronto!
Como fazer – parte 2Como fazer – parte 2► No Access Point MikrotikNo Access Point Mikrotik
Abra o menu Abra o menu RADIUSRADIUS►Clique em Clique em ++ (adicionar) (adicionar)
Marque o item Marque o item WIRELESSWIRELESS Cadastre o IP do Servidor RADIUS em Cadastre o IP do Servidor RADIUS em ADDRESSADDRESS Informe a Informe a SecretSecret (a mesma que cadastrou no servidor (a mesma que cadastrou no servidor
RADIUS).RADIUS). Na porta de autenticação (Na porta de autenticação (authentication portaauthentication porta), informe a ), informe a
porta, normalmente é 1812 e a porta de contabilidade porta, normalmente é 1812 e a porta de contabilidade ((accounting portaccounting port) normalmente 1813.) normalmente 1813.
O O timeouttimeout de 300ms é suficiente para redes locais, caso o de 300ms é suficiente para redes locais, caso o servidor RADIUS não esteja localizado na mesma rede local do servidor RADIUS não esteja localizado na mesma rede local do Mikrotik, aumente para 900ms.Mikrotik, aumente para 900ms.
Clique em OK.Clique em OK.
► Veja o exemplo no próximo quadro.Veja o exemplo no próximo quadro.
Como fazer – parte 2Como fazer – parte 2
1
2
3
4
Como fazer – parte 3Como fazer – parte 3►No Access Point MikrotikNo Access Point Mikrotik
Abra o menu Abra o menu WirelessWireless►Clique na guia Clique na guia Security ProfilesSecurity Profiles►Clique em Clique em ++ (adicionar) (adicionar)
Clique na guia Clique na guia GENERALGENERAL Coloque o nome do perfil no campo Coloque o nome do perfil no campo NameName.. Marque todos os itens em Marque todos os itens em Authentication typesAuthentication types Em Em WPA Pre-Shared KeyWPA Pre-Shared Key e e WPA2 Pre-Shared KeyWPA2 Pre-Shared Key informe a informe a
senha mestre de acesso, essa senha dispensa o uso do senha mestre de acesso, essa senha dispensa o uso do servidor RADIUS e só deve ser utilizada para fins servidor RADIUS e só deve ser utilizada para fins administrativos.administrativos.
Clique na guia Clique na guia RADIUSRADIUS Marque a opção MAC AuthenticationMarque a opção MAC Authentication Altere a opção Altere a opção MAC ModeMAC Mode para as para as username and passwordusername and password
► Veja os exemplos nos próximos quadros.Veja os exemplos nos próximos quadros.
Como fazer – parte 3Como fazer – parte 3
1 2
3
Como fazer – parte 3Como fazer – parte 3
4 7
5
Como fazer – parte 3Como fazer – parte 3►No Access Point MikrotikNo Access Point Mikrotik
Abra o menu Abra o menu WirelessWireless►Clique na guia Clique na guia InterfacesInterfaces►Clique 2 vezes na interface wireless em modo Clique 2 vezes na interface wireless em modo AP BridgeAP Bridge
Clique na guia Clique na guia WirelessWireless Em Security Profile, selecione o perfil criado no passo Em Security Profile, selecione o perfil criado no passo
anterior.anterior. Clique em OK.Clique em OK. Pronto!Pronto!
► Veja o exemplo no próximo quadro.Veja o exemplo no próximo quadro.
Como fazer – parte 3Como fazer – parte 31
4
3
2
5
Solução para migraçãoSolução para migração► Problema: em redes em produção a configuração Problema: em redes em produção a configuração
da criptografia WPA/WPA2 pode negar acesso a da criptografia WPA/WPA2 pode negar acesso a todos os clientes.todos os clientes.
► Solução:Solução:
1 – Crie um VAP (Virtual AP) com um novo SSID 1 – Crie um VAP (Virtual AP) com um novo SSID no mesmo cartão wireless do AP.no mesmo cartão wireless do AP.
2 – Associe o 2 – Associe o Security ProfileSecurity Profile criado apenas ao criado apenas ao VAP. Inclua o VAP na bridge.VAP. Inclua o VAP na bridge.
► Resultado:Resultado: Os clientes continuarão acessando pelo AP SSID atual.Os clientes continuarão acessando pelo AP SSID atual. Calmamente, faça a migração dos clientes para o Calmamente, faça a migração dos clientes para o
novo SSID com criptografia.novo SSID com criptografia.
Dicas!Dicas!
►1 - Antes de aplicar as configurações 1 - Antes de aplicar as configurações de WPA/WPA2 com RADIUS no de WPA/WPA2 com RADIUS no Mikrotik, teste antes, simule em uma Mikrotik, teste antes, simule em uma rede piloto.rede piloto.
►2 - Antes de alterar as configurações, 2 - Antes de alterar as configurações, faça backup!faça backup!
►3 – Se algo der errado, recupere o 3 – Se algo der errado, recupere o backup e pratique na rede piloto.backup e pratique na rede piloto.
Mais informações:Mais informações:
►Site de documentações da TMSoft:Site de documentações da TMSoft: http://manual.tmsoft.com.br/http://manual.tmsoft.com.br/
►Site de documentações do Mikrotik:Site de documentações do Mikrotik: http://wiki.mikrotik.com/wiki/Manual:Interfhttp://wiki.mikrotik.com/wiki/Manual:Interf
ace/Wireless#ace/Wireless#RADIUS_MAC_authenticationRADIUS_MAC_authentication
►Google (ooohhhh).Google (ooohhhh).
Obrigado pela atenção!Patrick Brandão