Logica Libre Headline Animator

lunes, 28 de octubre de 2013

Configuración de Servidor de NPS (RADIUS) Windows Server 2008 R2 para autenticar Redes Inalámbricas FORTINET.

Este día quiero compartir con ustedes esta combinación de tecnologías, las cuales nos permiten integrar y desarrollar una gran variedad de soluciones de ingeniería para diferentes escenarios en los cuales es necesario implementar políticas de seguridad para proteger nuestras redes inalámbricas. Cabe mencionar que esta aplicación del servidor NPS puede utilizarse también para cuando necesitamos leer usuarios del AD para autenticar los accesos a la administración de nuestros equipos activos(routers, firewalls, switches, etc.).



Instalamos el rol de Servicio de acceso y directivas de Redes (NPS).

Inicio>Administrador del Servidor>Funciones (Click derecho → Agregar funciones).





Chequeamos que este seleccionado → Servicio de acceso y directivas de Redes → Click Boton Siguiente → hasta dar Click al boton Finalizar.







Una vez instalado iniciaremos el servidor NPS para configurar las políticas necesarias para que el cliente de RADIUS embebido en el Fortigate pueda leer los usuarios del AD pertenecientes a los grupos que necesitamos autenticar.



Inicio → Administrador de Servidor → Funciones → Servidor NPS.

Nos aparecera la siguiente ventana.








Para configurar el acceso del equipo Fortinet seleccionaremos en la parte de la selección de escenario: “Servidor RADIUS para conexiones cableadas o inalámbricas 802.1X”




Luego Daremos click en configurar 802.1X, luego nos aparecera la siguiente ventana:








Luego de ello crearemos el cliente RADIUS aca colocamos la información del equipo cliente, en este caso FORTINET.










Para ello es necesario que tomemos en cuenta lo siguiente:




- El nombre de host o la IP que coloquemos de nuestro equipo debemos verificar que tenga conectividad con nuestro servidor Windows.




- La clave de secreto pre-compartida no olvidarla ya que la utilizaremos posteriormente en la configuración del equipo Fortinet.




En nuestro caso utilizaremos “Pruebaradius2013”




En la siguiente ventana visualizamos la información agregada.








Damos click en aceptar y nos mostrara la ventana de Configuración de método de autenticación.

Seleccionamos “Microsoft: Contraseña Segura [EAP-MSCHAP v2]”








Luego damos click al botón Siguiente.




Nos aparecerá la ventana de selección de grupos que el servicio de RADIUS deberá consultar para validar la autenticación de los usuarios deseados.








Damos click al botón agregar y escribimos los nombres de los Grupos de Seguridad o Unidades Organizativas a las que nuestros usuarios son miembros.




Por ej:








Debería verse de esta manera:








Damos click al botón Siguiente y en la ventana que le sigue damos click al botón Siguiente nuevamente.




Nos aparecerá la siguiente ventana, tenemos que tomar en cuenta la Directiva de solicitud de conexión y la Directiva de red.










Ya que tenemos que modificar algunos parámetros para que podamos comunicarnos con el equipo Fortinet.







Luego damos click en Finalizar.







Nos dirigimos a Inicio → Administrador de Servidor → NPS → Directivas

Acá personalizaremos algunas opciones para permitir las conexiones del equipo Fortinet sin problemas.



En la parte de Directivas de solicitud de conexión:




Nuestra política deberá estar sobre las por defecto de Windows Server.





Luego damos doble click sobre nuestra politica en este caso:

“Conexiones Inalámbricas Seguras”




Aca tendremos que realizar la personalización de las configuraciones en las siguientes pestañas:

- Condiciones.

En las demas simplementar dar click en siguiente.




Condiciones




En esta pantalla deberemos verificar que el tipo de puerto de NAS sea para:

- Interfaces Ethernet

- Inalámbrica IEEE 802.11





En la parte de Directivas de red:




Siempre verificamos que nuestra política este por sobre las demás .








Damos doble click sobre nuestra política en este caso: ”Conexiones Inalámbricas seguras ”.




Tendremos que verificar las siguientes pestañas:

- Información general

- Condiciones

- Restricciones




En la parte de Información General verificamos que la directiva esta habilitada, que concedemos el acceso y que omitimos las propiedades de marcado.





Luego en la parte de Condiciones verificamos que este agregado el Grupo de Seguridad de Windows al cual necesitamos realizar la consulta de autenticación. Si no esta lo agregamos.





Luego en la pestaña de Restricciones → Métodos de autenticación




Agregamos el tipo de EAP en este caso sera el siguiente:





Habilitamos la Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2)

y tambien la parte de que el usuario puede cambiar la contraseña despues de haber expirado.




Luego de esto damos click en el botón Aceptar para finalizar la configuración.









Configuración de Cliente de RADIUS – FORTINET (FORTIGATE)




Para la parte de la configuración del cliente nos dirigiremos a:




Usuarios y dispositivos → Autenticación → Servidor RADIUS




Acá colocaremos la información de nuestro Servidor de RADIUS (NPS Windows Server 2008 R2)





Recordando que usaremos nuestro Server Secret: “Pruebaradius2013”




Luego de ello ya podemos utilizar nuestro Servidor de RADIUS para agregarlo a algun grupo de Usuarios:





Luego de ello ya podemos utilizarlo para Politicas de filtrado web, autenticación de SSID Wifi, etc.




Configuración de Cliente de RADIUS en autenticación WIFI




Realizamos las configuraciones necesarias para difundir una red inalámbrica y en la parte de modo de seguridad podemos utilizar Portal captivo o WPA2 – enterprise:








Como podemos ver en la parte de user groups seleccionamos el Grupo RADIUS_GROUP, que es donde tenemos asociado nuestro servidor de RADIUS.




Podemos ver el efecto de esto al momento de asociarnos a la red inalámbrica ejemplo “RADIUS_WIFI” y al empezar a navegar nos aparecerá el siguiente portal captivo:





Utilizamos nuestro usuario de Active Directory ejemplo:




Usuario: neli

Contraseña: Prueba123





Como nuestro usuario pertenece al grupo AD\Wifis nos permitira la navegación.






Y el acceso aparecerá logueado en la parte de Monitor de Usuarios:




Espero les sea de bastante ayuda este pequeño tutorial y me disculpo de antemano por la redacción ya que tenia días de no publicar.