Visão Geral

Este artigo descreve as etapas necessárias para configurar a autenticação RADIUS do Microsoft Windows Server e o Sophos XG Firewall para usuários sem fio.

As seguintes seções são cobertas:

• Configurar RADIUS no Windows Server
• Configurar o XG Firewall
• Resultados

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall

Configurar RADIUS no Windows Server

Nota:

• Quando o XG firewall tem seu modo de segurança de rede sem fio definido como WPA2 Enterprise, a política de rede NPS do Windows com PEAP é necessária.
• A política de rede NPS com EAP não funciona para rede sem fio WPA2 Enterprise.
• Para configurar o PEAP, consulte Configurar modelos de certificado para requisitos PEAP e EAP.

Antes de instalar e configurar o RADIUS no Windows Server, a função do Active Directory deve ser definida e configurada.

O servidor RADIUS está localizado no painel Network Policy Server (NPS), a função Network Policy and Access Services pode ser adicionada em Server Manager > Adicionar funções e recursos no Windows Server 2012.

Siga o assistente como abaixo:

Clique em Fechar e reinicie o servidor.

Procure o servidor de política de rede.

Vá para NPS (Local) e clique com o botão direito para selecionar Registrar servidor no Active Directory.

Vá para NPS (Local) > Clientes e servidores RADIUS > Clientes RADIUS e clique com o botão direito para selecionar Novo.

Defina o endereço IP do XG Firewall e o Shared key. Anote esta shared Key para ser usado ao configurar o XG Firewall posteriormente.

Precisamos de uma política de solicitação de conexão, vá para NPS (Local) > Políticas > Políticas de solicitação de conexão e clique com o botão direito para selecionar Novo.

Siga o assistente como abaixo. 

Na página Especificar Condições, clique em Adicionar para adicionar uma condição.

Selecione Endereço IPv4 do cliente  e clique em Adicionar .

Insira o endereço IP do XG Firewall e clique em OK.

Depois de clicar em Concluir, a Política de solicitação de conexão deve ter esta aparência.

Também precisamos de uma Política de Rede para o teste de conectividade entre o Sophos XG Firewall e o NPS, vá para NPS (Local) > Políticas > Políticas de Rede e clique com o botão direito para selecionar Novo.

Insira o endereço IP do XG Firewall e clique em OK.

Desative os métodos de autenticação menos seguros já ativados por padrão e ative a autenticação não criptografada (PAP, SPAP). Isso será usado apenas ao testar a conectividade entre o Sophos XG Firewall e o NPS, como veremos mais adiante. A autenticação de todos os usuários sem fio será por meio de uma política de rede diferente usando o Microsoft Protected EAP (PEAP), como veremos mais adiante.

Finalmente, precisamos de uma Política de Rede para autenticação de usuários sem fio, vá para NPS (Local) > Políticas > Políticas de rede e clique com o botão direito para selecionar Novo.

Siga o assistente como abaixo.

Na página Especificar Condições, clique em Adicionar para adicionar uma condição.

Precisamos adicionar duas condições: Tipo de porta NAS e grupos de usuários.

Neste exemplo, adicionamos o grupo Usuários do domínio, que inclui todos os usuários do domínio. Você pode restringir o grupo de usuários sem fio de acordo com suas necessidades de negócios.

Na página Configurar Métodos de Autenticação, clique em Adicionar para selecionar EAP Protegido da Microsoft (PEAP) e clique em OK. Este método de autenticação PEAP será usado para autenticar usuários wireless.

Desative os métodos de autenticação menos seguros já ativados por padrão.

Certifique-se de que a política de Conexões sem fio seguras está acima do teste de conectividade SFOS com a política RADIUS, caso contrário, os usuários sem fio irão combinar o teste de conectividade SFOS com a política RADIUS e o NPS rejeitará sua solicitação de acesso.

As políticas de rede devem ser assim. 

Nota: Você pode adicionar mais condições de acordo com as necessidades do seu negócio. Como exemplo, a condição Restrições de dia e horário pode ser usada para restringir o acesso a determinados dias e horários.

Vá para Contabilidade e clique em Configurar Contabilidade.

Siga o assistente para configurar uma opção de contabilidade NPS. Neste exemplo, usamos Log para um arquivo de texto no computador local.

Configure o registro de arquivo local conforme a seguir e clique em Avançar.

Verifique o resumo e clique em Avançar.

A contabilidade agora está configurada, clique em Fechar para finalizar.

Configurar o XG Firewall

Vá para Authentication > Servers e clique em Add. O shared Key é o mesmo configurado anteriormente no NPS, o atributo do nome do grupo é um campo obrigatório, mas não tem correspondência no NPS neste exemplo, portanto, podemos defini-lo como qualquer coisa. Ative Enable Accounting para que o XG Firewall envie eventos de login e logoff para o NPS. 

Vá para Authentication > Services para definir o servidor radius no topo da lista em Firewall Authentication Methods.

Vá para Wireless > Wireless Settings.

Nota: No SFOS 17.5 e acima, foi adicionada a capacidade de adicionar um servidor RADIUS secundário, como um substituto para a autenticação corporativa. Se o servidor RADIUS primário falhar, o servidor secundário será usado, concedendo tempo zero de inatividade para autenticação.

Vá para Wireless > Wireless Networks e clique em Add.

Vá para Rules and Policies > Firewall Rules > Add Firewall Rule e selecione New Firewall Rule para criar uma regra da zonas WiFi para WAN permitindo o tráfego para usuários sem fio. Também aplique perfis de segurança e controles de acordo com suas necessidades de negócios.

Clique em Create Linked NAT Rule e configure de acordo com a captura de tela abaixo.

Clique em Save e depois Save também para a regra de firewall.

Resultados

Vá para Authentication >Servers para selecionar o servidor RADIUS criado recentemente e clique em Test Conection. Insira o nome de um usuário que já está no Active Directory com sua senha e clique em Test Connection.

A conexão de teste deve ser bem-sucedida.

Opcionalmente, verifique o Visualizador de Eventos no Windows Server para verificar qual Política de Solicitação de Conexão e Política de Rede foi aplicada.

Agora, faça com que um usuário sem fio se conecte ao SSID criado recentemente.

O usuário pode ignorar o certificado e clicar em Conectar .

O usuário agora está conectado.

No XG Firewall, vá para Wireless > Wireless Client List para verificar os usuários conectados.

Opcionalmente, verifique o Visualizador de Eventos no Windows Server para verificar qual Política de Solicitação de Conexão e Política de Rede foi aplicada.

Para verificar eventos de contabilidade de logon e logoff, você pode instalar o Wireshark no Windows Server e filtrar o tráfego para a porta configurada para contabilidade no XG Firewall, que é a porta 1813 em nosso exemplo.

Além disso, você pode verificar o arquivo de log configurado anteriormente na contabilidade do NPS. Em nosso exemplo, está em C:\Windows\System32\LogFiles.

do original em: https://support.sophos.com/support/s/article/KB-000038383?language=en_US