Atualmente, a utilização de notebooks numa infraestrutura de redes corporativa é algo natural. Esses computadores móveis trazem tecnologias, como wireless, da qual, profissionais de tecnologia devem tomar atenção especial.
O Microsoft Windows Server 2003 possibilita implementação, gerenciamento e manutenção de políticas de segurança específicas para conectividade sem fio que é o caso da Wireless Network Policy.
Configurar uma Wireless Network Policy é realizada inicialmente da mesma forma como outras política de segurança.
Inicialmente, abrimos uma Microsoft Managenment Console e adicionamos a snap-in Group Policy Object Editor para que possamos, por exemplo, editar a política padrão do domínio conhecida como Default Domain Policy. Conforme Figura 01.
Start – Run – mmc
File – Add/Remove Snap-in
Clique no botão Add e então selecione Group Policy Object Editor e então novamente Add.
Clicando no botão Browse, podemos localizar uma GPO para editarmos, neste caso, selecionamos a Default Domain Policy e então clicamos em OK. Depois Finish e em Close.
O Microsoft Windows Server 2003 possibilita implementação, gerenciamento e manutenção de políticas de segurança específicas para conectividade sem fio que é o caso da Wireless Network Policy.
Configurar uma Wireless Network Policy é realizada inicialmente da mesma forma como outras política de segurança.
Inicialmente, abrimos uma Microsoft Managenment Console e adicionamos a snap-in Group Policy Object Editor para que possamos, por exemplo, editar a política padrão do domínio conhecida como Default Domain Policy. Conforme Figura 01.
Start – Run – mmc
File – Add/Remove Snap-in
Clique no botão Add e então selecione Group Policy Object Editor e então novamente Add.
Clicando no botão Browse, podemos localizar uma GPO para editarmos, neste caso, selecionamos a Default Domain Policy e então clicamos em OK. Depois Finish e em Close.
Após console customizada, com o botão direito em Wireless Network (IEEE 802.11) Policies, selecionamos a opção Create Wireless Network Policy para que seja apresentada a tela do Wizard. Clicando no botão Next, podemos inserir um nome para a política e sua respectiva descrição .Em seguida, deixamos a opção Edit Properties marcada e clicamos no botão Finish para que finalizemos a criação da política e possamos editá-la assim que o Wizard fechar.A janela de propriedades da políta criada abrirá e poderemos verificar as seguintes opções conforme Figura 02:
Check for policy changes every: 180 minutes
Essa configuração padrão especifica em qual frequência os clientes wireless do seu domínio verificação qualquer mudança dessa política de segurança.
Networks to access: Any available network (access point preferred)
Essa configuração padrão especifica qual topologia de rede sem fio os clientes poderão ter acesso.
(Uma infraestrutura de redes Wireless realizam suas conexões através de um Access Point, já uma rede do tipo Ad Hoc realiza suas conexões através dispositivos sem um Access Point fixo).
Na guia Preferred Networks, clique no botão Add para que a janela New Preferred Settings Properties seja aberta conforme Figura 03.
Na guia Preferred Networks, clique no botão Add para que a janela New Preferred Settings Properties seja aberta conforme Figura 03.
Nesta janela, configuramos o nome da rede, conhecida como SSID (Service Set Identifier). Vale a pena lembrar que este Network Name (SSID) deve ser o mesmo nome do SSID configurado nos Wireless Access Points da rede. Por exemplo: ITCentral WLAN.
Na seção Wireless network key, poderemos verificar as seguintes opções relacionadas a segurança:
Network Authentication:
Essa configuração especifica a forma de autenticação dos clientes wireless. Utilizando o modo Open utiliza o endereço MAC do cliente wireless para identificação da conexão de forma que não utiliza nenhuma autenticação. Com o modo Shared utiliza uma autenticação definida pelo padrão IEEE 802.11. Podemos utlizar também WPA (Wireless Protocol Authentication) ou WPA-PSK (Wireless Protocol Authentication – Pre Shared Key).
Data Encryption:
Essa configuração especifica chave criptográfica para os dados transmitidos através da rede wireless. Wireless Encryption Protocol é o padrão que a Microsoft utiliza para criptografia de dados.
Na aba IEEE 802.11x, podemos verificar outras opções relacionadas a segurança, conforme Figura 04:
Na seção Wireless network key, poderemos verificar as seguintes opções relacionadas a segurança:
Network Authentication:
Essa configuração especifica a forma de autenticação dos clientes wireless. Utilizando o modo Open utiliza o endereço MAC do cliente wireless para identificação da conexão de forma que não utiliza nenhuma autenticação. Com o modo Shared utiliza uma autenticação definida pelo padrão IEEE 802.11. Podemos utlizar também WPA (Wireless Protocol Authentication) ou WPA-PSK (Wireless Protocol Authentication – Pre Shared Key).
Data Encryption:
Essa configuração especifica chave criptográfica para os dados transmitidos através da rede wireless. Wireless Encryption Protocol é o padrão que a Microsoft utiliza para criptografia de dados.
Na aba IEEE 802.11x, podemos verificar outras opções relacionadas a segurança, conforme Figura 04:
O primeiro item habilita a forma como será negociado as requisições de acesso e autenticação dos clientes wireless através do EAPOL-Start message. Podemos forçar o cliente a transmita uma requisição assim que reconhecido na rede, para não transmitir, ou transmitir por IEEE 802.1x. Transmit Per IEEE 802.11x configura o cliente wireless autenticar cada pacote antes de transmitir os dados. De fato, isto seria mais seguro, mas causa também uma certa latência. Os parâmetros para a Start-message podem também ser ajustados em segundos (Figura 04). Podemos definir quanto tempo você a requisição seja examinada e autenticada antes que seja transmitida. Os valores padrão para a seção Parameters (seconds) estão configurados para tempo suficiente numa negociação desse tipo.
Podemos configurar a forma pelo qual o EAP irá atuar controle de acesso a rede wireless, clicando no botão Settings logo abaixo o item EAP type.
A janela Smart Cards or other Certificate Properties irá abrir, conforme Figura 05.
No item When connecting, a opção padrão verifica um certificado válido no cliente para que seja realizado a autenticação. Vale lembrar que clientes Windows XP não utilizam Smart Cards para autenticação em redes sem fio. O próximo item Validate server certificate deve estar marcado para que possamos indicar um Certificate Authority para validação do certificado, podemos utilizar o próprio Windows Server 2003 pois este oferece o serviço de CA quando configurado.
Clicando no botão OK, retornaremos as propriedades IEEE 802.1x.
Os últimos itens de configuração gerenciam a forma pelo qual a autenticação é realizada. O primeiro item, quando marcado, possibilita autenticação como Guest quando as credenciais não estiverem disponíveis. O segundo item, Authenticate As Computer When Computer Information Is Available, possibilita o cliente aceitar requisições baseados na identificação do computador em vez de usuário. Podemos definir também autenticação de computador e de usuário juntos. O menu Computer Authentication possiblita três configurações:With user authentication: O cliente autentica por credenciais do computador se nenhum usuário estiver logado. Se um usuário logar, as credenciais serão mantidas utilizando ambas credenciais do usuário e do computador. Se o usuário sair, a conexão está perdida porque ambas credenciais não mais estarão disponíveis (computador e usuário).
With user re-authentication:
As credenciais do computador serão utilizadas caso nenhum usuário estiver logado. Se um usuário logar, as credenciais do usuário serão utilizadas; se o usuário sair, as credenciais do computador voltarão a ser utilizadas novamente. Por padrão, esta configuração é utilizada pois fornce uma conexão do cliente, mesmo se um usuário estiver ou não logado.Computer Only:
Utiliza somente as credenciais do computador ignorando as de usuário.
Finalizando esse procedimento, clicamos no botão OK e retornaremos a janela Preferred Networks e podemos visualizar a rede configurada conforme Figura 06. Clicando no botão OK novamente, retornaremos a console.
Com isso, criamos uma política para uma rede wireless dentro de um domínio baseado em Windows Server 2003 e aplicamos ela a nível de domínio, uma vez que esta foi configurada pela Default Domain Policy.
Material enviado pelo Colaborador
Luiz Henrique Zanatta
Depto. de Tecnologia
UNISCASTELO
Nenhum comentário:
Postar um comentário