Servidor RADIUS para Ligações Com ou Sem Fios 802.1X

Para implementar o acesso sem fios 802.1X, tem de instalar e configurar pontos de acesso sem fios. Para instalar o acesso com fios 802.1X, tem de instalar e configurar comutadores de autenticação 802.1X.

Importante

Computadores cliente, tais como computadores portáteis sem fios e outros computadores que executam sistemas operativos de cliente, não são clientes RADIUS. Os clientes RADIUS são servidores NAS (tais como pontos de acesso sem fios, comutadores com capacidade 802.1X, servidores de rede privada virtual (VPN) e servidores de acesso telefónico) porque utilizam o protocolo RADIUS para comunicar com servidores RADIUS, tais como servidores do tipo Servidor de Políticas de Rede (NPS).

Em ambos os casos, estes servidores NAS têm de satisfazer os seguintes requisitos:

• Suporte para a autenticação da norma IEEE (Institute of Electrical and Electronics Engineers) 802.1X
  
  
• Suporte para a autenticação RADIUS e gestão de contas RADIUS
  
  

Se utilizar aplicações de facturação ou contabilidade que necessitem de correlação de sessões, será necessário o seguinte:

• Suporte para o atributo de Classe conforme definido pelo IETF (Internet Engineering Task Force) no RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)", para permitir a correlação de sessões para os registos de autenticação e gestão de contas RADIUS. Para a correlação de sessões, quando configurar a gestão de contas RADIUS no servidor NPS ou proxy, tem de registar todos os dados contabilísticos que permitem às aplicações (tais como aplicações de facturação) consultar a base de dados, correlacionar campos relacionados e devolver uma vista coesa de cada sessão nos resultados da consulta. No mínimo, para facultar a correlação de sessões, tem de registar os seguintes dados contabilísticos do NPS: Endereço-IP-NAS; Identificador-NAS (necessita de Endereço-IP-NAS e de Identificador-NAS porque o servidor de acesso pode enviar qualquer um dos atributos); Classe; Acct-Session-Id; Acct-Multi-Session-Id; Packet-Type; Acct-Status-Type; Acct-Interim-Interval; Porta-NAS; e Event-Timestamp.
  
  
• Suporte para pedidos de gestão de contas provisórios, enviados periodicamente por alguns servidores NAS durante uma sessão de utilizador, que possam ser registados. Este tipo de registo pode ser utilizado quando o atributo RADIUS Acct-Interim-Interval está configurado para suportar pedidos periódicos no perfil de acesso remoto no servidor NPS. O NAS tem de suportar a utilização de pedidos de gestão de contas provisórios se pretender que os pedidos provisórios sejam registados no servidor NPS.
  
  

Se utiliza VLANs (Redes Locais Virtuais), os servidores NAS têm de suportar VLANs.

Para ambientes WAN (wide area network), os servidores NAS devem fornecer o seguinte:

• Suporte para estimativa de RTO (retransmit timeout) dinâmico ou término exponencial para lidar com o congestionamento e os atrasos num ambiente WAN.
  
  

Além disso, existem funcionalidades de filtragem que os servidores NAS devem suportar para fornecer segurança avançada para a rede. Estas opções de filtragem incluem:

• Filtragem DHCP. Os servidores NAS têm de efectuar a filtragem nas portas IP para impedir a transmissão de mensagens de difusão DHCP (Dynamic Host Configuration Protocol) se o cliente for um servidor DHCP. Os servidores NAS têm de impedir que o cliente envie pacotes IP a partir da porta 68 para a rede.
  
  
• Filtragem DNS. Os servidores NAS têm de efectuar a filtragem nas portas IP para impedir que um cliente aja como um servidor DNS. Os servidores NAS têm de impedir que o cliente envie pacotes IP a partir da porta 53 para a rede.
  
  

Se estiver a implementar pontos de acesso sem fios, é preferencial o suporte para WPA (Wi-Fi Protected Access). O WPA é suportado pelo Windows Vista® e Windows XP com Service Pack 2. Para implementar o WPA, utilize também placas de rede sem fios que suportem WPA.

Para acesso com e sem fios 802.1X, pode utilizar os seguintes métodos de autenticação:

• Protocolo EAP (Extensible Authentication Protocol) com TLS (Transport Layer Security), também designado por EAP-TLS.
  
  
• Protocolo PEAP (Protected EAP) com MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2), também designado por PEAP-MS-CHAP v2.
  
  
• PEAP com EAP-TLS, também designado por PEAP-TLS.
  
  

Para EAP-TLS e PEAP-TLS, tem de implementar uma PKI (public key infrastructure) instalando e configurando o AD CS (Active Directory® Certificate Services) para emitir certificados para computadores cliente membros de domínio e servidores NPS. Estes certificados são utilizados durante o processo de autenticação como prova de identidade tanto pelos clientes como pelos servidores NPS. Se preferir, pode implementar smart cards em vez de utilizar certificados de computador cliente. Neste caso, tem de emitir smart cards e leitores de smart card para os empregados da organização.

Para PEAP-MS-CHAP v2, pode implementar a sua própria AC (Autoridade de Certificação) com o AD CS para emitir certificados para servidores NPS ou pode adquirir certificados de servidor de uma AC de raiz fidedigna pública, tal como a VeriSign.

Para mais informações, consulte Descrição Geral do EAP e Descrição Geral do PEAP.

Quando configurar o NPS como servidor RADIUS, tem de configurar clientes RADIUS, a política de rede e a gestão de contas RADIUS.