KB 132912 – Sophos XG Firewall: Como configurar RADIUS para autenticação sem fio corporativa com Windows Server 2012

Visão Geral

Este artigo descreve as etapas necessárias para configurar a autenticação RADIUS do Microsoft Windows Server e o Sophos XG Firewall para usuários sem fio.

As seguintes seções são cobertas:

  • Configurar RADIUS no Windows Server
  • Configurar o XG Firewall
  • Resultados

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall

Configurar RADIUS no Windows Server

Nota:

  • Quando o XG firewall tem seu modo de segurança de rede sem fio definido como WPA2 Enterprise, a política de rede NPS do Windows com PEAP é necessária.
  • A política de rede NPS com EAP não funciona para rede sem fio WPA2 Enterprise.
  • Para configurar o PEAP, consulte Configurar modelos de certificado para requisitos PEAP e EAP.

Antes de instalar e configurar o RADIUS no Windows Server, a função do Active Directory deve ser definida e configurada.

O servidor RADIUS está localizado no painel Network Policy Server (NPS), a função Network Policy and Access Services pode ser adicionada em Server Manager > Adicionar funções e recursos no Windows Server 2012.

tidy_fix_alt

Siga o assistente como abaixo:

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Clique em Fechar e reinicie o servidor.

tidy_fix_alt

Procure o servidor de política de rede.

tidy_fix_alt

Vá para NPS (Local) e clique com o botão direito para selecionar Registrar servidor no Active Directory.

tidy_fix_alt

Vá para NPS (Local) > Clientes e servidores RADIUS > Clientes RADIUS e clique com o botão direito para selecionar Novo.

tidy_fix_alt

Defina o endereço IP do XG Firewall e o Shared key. Anote esta shared Key para ser usado ao configurar o XG Firewall posteriormente.

tidy_fix_alt

Precisamos de uma política de solicitação de conexão, vá para NPS (Local) > Políticas > Políticas de solicitação de conexão e clique com o botão direito para selecionar Novo.

tidy_fix_alt

Siga o assistente como abaixo. 

tidy_fix_alt

Na página Especificar Condições, clique em Adicionar para adicionar uma condição.

tidy_fix_alt

Selecione Endereço IPv4 do cliente  e clique em Adicionar .

tidy_fix_alt

Insira o endereço IP do XG Firewall e clique em OK.

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Depois de clicar em Concluir, a Política de solicitação de conexão deve ter esta aparência.

tidy_fix_alt

Também precisamos de uma Política de Rede para o teste de conectividade entre o Sophos XG Firewall e o NPS, vá para NPS (Local) > Políticas > Políticas de Rede e clique com o botão direito para selecionar Novo.

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Insira o endereço IP do XG Firewall e clique em OK.

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Desative os métodos de autenticação menos seguros já ativados por padrão e ative a autenticação não criptografada (PAP, SPAP). Isso será usado apenas ao testar a conectividade entre o Sophos XG Firewall e o NPS, como veremos mais adiante. A autenticação de todos os usuários sem fio será por meio de uma política de rede diferente usando o Microsoft Protected EAP (PEAP), como veremos mais adiante.

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Finalmente, precisamos de uma Política de Rede para autenticação de usuários sem fio, vá para NPS (Local) > Políticas > Políticas de rede e clique com o botão direito para selecionar Novo.

tidy_fix_alt

Siga o assistente como abaixo.

tidy_fix_alt

Na página Especificar Condições, clique em Adicionar para adicionar uma condição.

tidy_fix_alt

Precisamos adicionar duas condições: Tipo de porta NAS e grupos de usuários.

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Neste exemplo, adicionamos o grupo Usuários do domínio, que inclui todos os usuários do domínio. Você pode restringir o grupo de usuários sem fio de acordo com suas necessidades de negócios.

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Na página Configurar Métodos de Autenticação, clique em Adicionar para selecionar EAP Protegido da Microsoft (PEAP) e clique em OK. Este método de autenticação PEAP será usado para autenticar usuários wireless.

tidy_fix_alt

Desative os métodos de autenticação menos seguros já ativados por padrão.

tidy_fix_alt
tidy_fix_alt
tidy_fix_alt
tidy_fix_alt

Certifique-se de que a política de Conexões sem fio seguras está acima do teste de conectividade SFOS com a política RADIUS, caso contrário, os usuários sem fio irão combinar o teste de conectividade SFOS com a política RADIUS e o NPS rejeitará sua solicitação de acesso.

tidy_fix_alt

As políticas de rede devem ser assim. 

tidy_fix_alt

Nota: Você pode adicionar mais condições de acordo com as necessidades do seu negócio. Como exemplo, a condição Restrições de dia e horário pode ser usada para restringir o acesso a determinados dias e horários.

tidy_fix_alt

Vá para Contabilidade e clique em Configurar Contabilidade.

tidy_fix_alt

Siga o assistente para configurar uma opção de contabilidade NPS. Neste exemplo, usamos Log para um arquivo de texto no computador local.

tidy_fix_alt

Configure o registro de arquivo local conforme a seguir e clique em Avançar.

tidy_fix_alt

Verifique o resumo e clique em Avançar.

tidy_fix_alt

A contabilidade agora está configurada, clique em Fechar para finalizar.

tidy_fix_alt

Configurar o XG Firewall

Vá para Authentication > Servers e clique em Add. O shared Key é o mesmo configurado anteriormente no NPS, o atributo do nome do grupo é um campo obrigatório, mas não tem correspondência no NPS neste exemplo, portanto, podemos defini-lo como qualquer coisa. Ative Enable Accounting para que o XG Firewall envie eventos de login e logoff para o NPS. 

Vá para Authentication > Services para definir o servidor radius no topo da lista em Firewall Authentication Methods.

Vá para Wireless > Wireless Settings.

tidy_fix_alt

Nota: No SFOS 17.5 e acima, foi adicionada a capacidade de adicionar um servidor RADIUS secundário, como um substituto para a autenticação corporativa. Se o servidor RADIUS primário falhar, o servidor secundário será usado, concedendo tempo zero de inatividade para autenticação.

tidy_fix_alt

Vá para Wireless > Wireless Networks e clique em Add.

Vá para Rules and Policies > Firewall Rules > Add Firewall Rule e selecione New Firewall Rule para criar uma regra da zonas WiFi para WAN permitindo o tráfego para usuários sem fio. Também aplique perfis de segurança e controles de acordo com suas necessidades de negócios.

Clique em Create Linked NAT Rule e configure de acordo com a captura de tela abaixo.

Clique em Save e depois Save também para a regra de firewall.

Resultados

Vá para Authentication >Servers para selecionar o servidor RADIUS criado recentemente e clique em Test Conection. Insira o nome de um usuário que já está no Active Directory com sua senha e clique em Test Connection.

tidy_fix_alt

A conexão de teste deve ser bem-sucedida.

tidy_fix_alt

Opcionalmente, verifique o Visualizador de Eventos no Windows Server para verificar qual Política de Solicitação de Conexão e Política de Rede foi aplicada.

tidy_fix_alt

Agora, faça com que um usuário sem fio se conecte ao SSID criado recentemente.

tidy_fix_alt

O usuário pode ignorar o certificado e clicar em Conectar .

tidy_fix_alt

O usuário agora está conectado.

tidy_fix_alt

No XG Firewall, vá para Wireless > Wireless Client List para verificar os usuários conectados.

tidy_fix_alt

Opcionalmente, verifique o Visualizador de Eventos no Windows Server para verificar qual Política de Solicitação de Conexão e Política de Rede foi aplicada.

tidy_fix_alt

Para verificar eventos de contabilidade de logon e logoff, você pode instalar o Wireshark no Windows Server e filtrar o tráfego para a porta configurada para contabilidade no XG Firewall, que é a porta 1813 em nosso exemplo.

tidy_fix_alt

Além disso, você pode verificar o arquivo de log configurado anteriormente na contabilidade do NPS. Em nosso exemplo, está em C:\Windows\System32\LogFiles.

tidy_fix_alt
tidy_fix_alt

do original em: https://support.sophos.com/support/s/article/KB-000038383?language=en_US

Newsletter

Insira seu endereço de e-mail abaixo para receber novidades

Deixar uma resposta

Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124