Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Antes de implantar o acesso sem fio, você deve planejar os seguintes itens:
Instalação de pontos de acesso sem fios (APs) na sua rede
Configuração e acesso de clientes sem fio
As seções a seguir fornecem detalhes sobre essas etapas de planejamento.
Planejando instalações de AP sem fio
Ao projetar sua solução de acesso à rede sem fio, você deve fazer o seguinte:
- Determine quais padrões seus APs sem fio devem suportar
- Determine as áreas de cobertura onde você deseja fornecer serviço sem fio
- Determine onde você deseja localizar APs sem fio
Além disso, você deve planejar um esquema de endereço IP para seus APs sem fio e clientes sem fio. Consulte a seção Planejar a configuração de APs sem fio no NPS abaixo para obter informações relacionadas.
Verifique o suporte de padrões para AP sem fios
Para fins de consistência e facilidade de implantação e gerenciamento de AP, é recomendável implantar APs sem fio da mesma marca e modelo.
Os APs sem fio implantados devem oferecer suporte ao seguinte:
IEEE 802.1X
Autenticação RADIUS
Autenticação sem fio e cifra. Listados por ordem de preferência do mais para o menos:
WPA2-Enterprise com AES
WPA2-Enterprise com TKIP
WPA-Enterprise utilizando AES
WPA-Enterprise com TKIP
Note
Para implantar WPA2, você deve usar adaptadores de rede sem fio e APs sem fio que também suportam WPA2. Caso contrário, use WPA-Enterprise.
Além disso, para fornecer segurança aprimorada para a rede, os APs sem fio devem suportar as seguintes opções de segurança:
Filtragem DHCP. O AP sem fio deve filtrar as portas IP para impedir a transmissão de mensagens de difusão DHCP nos casos em que o cliente sem fio está configurado como um servidor DHCP. O AP sem fio deve impedir que o cliente envie pacotes IP da porta UDP 68 para a rede.
Filtragem de DNS. O AP sem fio deve filtrar as portas IP para impedir que um cliente funcione como um servidor DNS. O AP sem fio deve impedir que o cliente envie pacotes IP da porta TCP ou UDP 53 para a rede.
Isolamento do cliente Se o seu ponto de acesso sem fio fornecer recursos de isolamento de cliente, você deverá habilitar o recurso para evitar possíveis explorações de falsificação do protocolo ARP (Address Resolution Protocol).
Identificar áreas de cobertura para usuários sem fio
Use desenhos arquitetônicos de cada andar para cada edifício para identificar as áreas onde você deseja fornecer cobertura sem fio. Por exemplo, identifique os escritórios, salas de conferências, lobbies, cafeterias ou pátios apropriados.
Nos desenhos, indique quaisquer dispositivos que interfiram com os sinais sem fios, tais como equipamento médico, câmaras de vídeo sem fios, telefones sem fios que operam na gama Industrial, Científica e Médica (ISM) de 2,4 a 2,5 GHz e dispositivos compatíveis com Bluetooth.
No desenho, marque aspetos do edifício que possam interferir com os sinais sem fio; Objetos metálicos usados na construção de um edifício podem afetar o sinal sem fio. Por exemplo, os seguintes objetos comuns podem interferir na propagação do sinal: Elevadores, dutos de aquecimento e ar condicionado e vigas de suporte de concreto.
Consulte o fabricante do AP para obter informações sobre fontes que podem causar atenuação da radiofrequência do AP sem fio. A maioria dos APs fornece software de teste que você pode usar para verificar a intensidade do sinal, a taxa de erro e a taxa de transferência de dados.
Determinar onde instalar APs sem fio
Nos desenhos arquitetônicos, localize seus APs sem fio próximos o suficiente para fornecer ampla cobertura sem fio, mas distantes o suficiente para que eles não interfiram uns com os outros.
A distância necessária entre APs depende do tipo de AP e antena AP, aspetos do edifício que bloqueiam os sinais sem fio, e outras fontes de interferência. Você pode marcar posicionamentos de AP sem fio para que cada AP sem fio não esteja a mais de 300 pés de qualquer AP sem fio adjacente. Consulte a documentação do fabricante do AP sem fio para obter as especificações e diretrizes do AP para posicionamento.
Instale temporariamente APs sem fio nos locais especificados em seus desenhos arquitetônicos. Em seguida, usando um laptop equipado com um adaptador sem fio 802.11 e o software de pesquisa de local que é comumente fornecido com adaptadores sem fio, determine a intensidade do sinal dentro de cada área de cobertura.
Em áreas de cobertura onde a intensidade do sinal é baixa, posicione o AP para melhorar a intensidade do sinal para a área de cobertura, instale APs sem fio adicionais para fornecer a cobertura necessária, realoque ou remova fontes de interferência de sinal.
Atualize seus desenhos arquitetônicos para indicar o posicionamento final de todos os APs sem fio. Ter um mapa de posicionamento de AP preciso ajudará mais tarde durante as operações de solução de problemas ou quando você quiser atualizar ou substituir APs.
Planejar a configuração do AP sem fio e do cliente RADIUS NPS
Você pode usar o NPS para configurar APs sem fio individualmente ou em grupos.
Se você estiver implantando uma grande rede sem fio que inclui muitos APs, é muito mais fácil configurar APs em grupos. Para adicionar os APs como grupos de clientes RADIUS no NPS, você deve configurar os APs com essas propriedades.
Os APs sem fio são configurados com endereços IP do mesmo intervalo de endereços IP.
Os APs sem fio são todos configurados com o mesmo segredo compartilhado.
Planejar o uso do PEAP Fast Reconnect
Em uma infraestrutura 802.1X, os pontos de acesso sem fio são configurados como clientes RADIUS para servidores RADIUS. Quando a reconexão rápida PEAP é implementada, um cliente sem fio que se desloca entre dois ou mais pontos de acesso não precisa ser autenticado a cada nova associação.
A reconexão rápida do PEAP reduz o tempo de resposta para autenticação entre o cliente e o autenticador porque a solicitação de autenticação é encaminhada do novo ponto de acesso para o NPS que originalmente executou a autenticação e a autorização para a solicitação de conexão do cliente.
Como o cliente PEAP e o NPS usam propriedades de conexão TLS (Transport Layer Security) previamente armazenadas em cache (cuja coleção é chamada de identificador TLS), o NPS pode determinar rapidamente que o cliente está autorizado para uma reconexão.
Important
Para que a reconexão rápida funcione corretamente, os APs devem ser configurados como clientes RADIUS do mesmo NPS.
Se o NPS original ficar indisponível ou se o cliente for movido para um ponto de acesso configurado como um cliente RADIUS para um servidor RADIUS diferente, a autenticação completa deverá ocorrer entre o cliente e o novo autenticador.
Configuração de AP sem fio
A lista a seguir resume os itens normalmente configurados em APs sem fio compatíveis com 802.1X:
Note
Os nomes dos itens podem variar de acordo com a marca e o modelo e podem ser diferentes dos da lista a seguir. Consulte a documentação do AP sem fio para obter detalhes específicos da configuração.
Identificador do conjunto de serviços (SSID). Este é o nome da rede sem fio (por exemplo, ExampleWlan) e o nome que é anunciado para clientes sem fio. Para reduzir a confusão, o SSID que você escolher anunciar não deve corresponder ao SSID que é transmitido por quaisquer redes sem fio que estejam dentro do alcance de receção da sua rede sem fio.
Nos casos em que vários APs sem fio são implantados como parte da mesma rede sem fio, configure cada AP sem fio com o mesmo SSID. Nos casos em que vários APs sem fio são implantados como parte da mesma rede sem fio, configure cada AP sem fio com o mesmo SSID.
Nos casos em que você precisa implantar redes sem fio diferentes para atender às necessidades comerciais específicas, seus APs sem fio em uma rede devem transmitir um SSID diferente do SSID de suas outras redes. Por exemplo, se você precisar de uma rede sem fio separada para seus funcionários e convidados, poderá configurar seus APs sem fio para a rede corporativa com o SSID definido para transmitir ExampleWLAN. Para sua rede convidada, você pode definir o SSID de cada AP sem fio para transmitir GuestWLAN. Desta forma, seus funcionários e convidados podem se conectar à rede pretendida sem confusão desnecessária.
Tip
Alguns APs sem fio têm a capacidade de transmitir vários SSIDs para acomodar implantações de várias redes. APs sem fio que podem transmitir vários SSIDs podem reduzir os custos de implantação e manutenção operacional.
Autenticação e encriptação sem fios.
A autenticação sem fio é a autenticação de segurança usada quando o cliente sem fio se associa a um ponto de acesso sem fio.
A criptografia sem fio é a cifra de criptografia de segurança usada com a autenticação sem fio para proteger as comunicações enviadas entre o AP sem fio e o cliente sem fio.
Endereço IP AP sem fio (estático). Em cada AP sem fio, configure um endereço IP estático exclusivo. Se a sub-rede for atendida por um servidor DHCP, verifique se todos os endereços IP AP estão dentro de um intervalo de exclusão DHCP para que o servidor DHCP não tente emitir o mesmo endereço IP para outro computador ou dispositivo. Os intervalos de exclusão estão documentados no procedimento "Para criar e ativar um novo Âmbito DHCP" no Guia da Rede Principal. Se você estiver planejando configurar APs como clientes RADIUS por grupo no NPS, cada AP no grupo deve ter um endereço IP do mesmo intervalo de endereços IP.
Nome DNS. Alguns APs sem fio podem ser configurados com um nome DNS. Configure cada AP sem fio com um nome exclusivo. Por exemplo, se você tiver um AP sem fio implantado em um prédio de vários andares, poderá nomear os três primeiros APs sem fio implantados no terceiro andar como AP3-01, AP3-02 e AP3-03.
Máscara de sub-rede AP sem fio. Configure a máscara para designar qual parte do endereço IP é o ID de rede e qual parte do endereço IP é o host.
Serviço DHCP AP. Se o seu AP sem fios tiver um serviço DHCP incorporado, desative-o.
RADIUS segredo compartilhado. Use um segredo compartilhado RADIUS exclusivo para cada AP sem fio, a menos que você esteja planejando configurar clientes RADIUS NPS em grupos - circunstância em que você deve configurar todos os APs no grupo com o mesmo segredo compartilhado. Os segredos compartilhados devem ser uma sequência aleatória de pelo menos 22 caracteres, com letras maiúsculas e minúsculas, números e pontuação. Para garantir a aleatoriedade, você pode usar um programa de geração de caracteres aleatórios para criar seus segredos compartilhados. É recomendável que você grave o segredo compartilhado para cada AP sem fio e armazene-o em um local seguro, como um cofre de escritório. Ao configurar clientes RADIUS no console do NPS, você criará uma versão virtual de cada AP. O segredo compartilhado que você configura em cada AP virtual no NPS deve corresponder ao segredo compartilhado no AP físico real.
Endereço IP do servidor RADIUS. Digite o endereço IP do NPS que você deseja usar para autenticar e autorizar solicitações de conexão para esse ponto de acesso.
Porta(s) UDP. Por padrão, o NPS usa as portas UDP 1812 e 1645 para mensagens de autenticação RADIUS e as portas UDP 1813 e 1646 para mensagens de contabilização RADIUS. É recomendável que você não altere as configurações padrão das portas UDP RADIUS.
VSAs. Alguns APs sem fio exigem atributos específicos do fornecedor (VSAs) para fornecer funcionalidade completa de AP sem fio.
Filtragem DHCP. Configure APs sem fio para impedir que clientes sem fio enviem pacotes IP da porta UDP 68 para a rede. Consulte a documentação do seu AP sem fio para configurar a filtragem DHCP.
Filtragem de DNS. Configure APs sem fio para impedir que clientes sem fio enviem pacotes IP da porta TCP ou UDP 53 para a rede. Consulte a documentação do seu AP sem fio para configurar a filtragem de DNS.
Planejando a configuração e o acesso de clientes sem fio
Ao planejar a implantação do acesso sem fio autenticado 802.1X, você deve considerar vários fatores específicos do cliente:
Suporte de planejamento para vários padrões.
Determine se os computadores sem fios estão todos a utilizar a mesma versão do Windows ou se são uma mistura de computadores com sistemas operativos diferentes. Se forem diferentes, certifique-se de que compreende quaisquer diferenças nos padrões suportados pelos sistemas operativos.
Determine se todos os adaptadores de rede sem fio em todos os computadores cliente sem fio suportam os mesmos padrões sem fio ou se você precisa suportar padrões variados. Por exemplo, determine se alguns drivers de hardware do adaptador de rede suportam WPA2-Enterprise e AES, enquanto outros suportam apenas WPA-Enterprise e TKIP.
Planejando o modo de autenticação do cliente. Os modos de autenticação definem como os clientes Windows processam credenciais de domínio. Você pode selecionar entre os três modos de autenticação de rede a seguir nas diretivas de rede sem fio.
Reautenticação do usuário. Esse modo especifica que a autenticação é sempre executada usando credenciais de segurança com base no estado atual do computador. Quando nenhum usuário está conectado ao computador, a autenticação é executada usando as credenciais do computador. Quando um usuário está conectado ao computador, a autenticação é sempre executada usando as credenciais do usuário.
Somente computador. O modo somente computador especifica que a autenticação é sempre executada usando apenas as credenciais do computador.
Autenticação do usuário. O modo de autenticação do usuário especifica que a autenticação só é executada quando o usuário está conectado ao computador. Quando não há usuários conectados ao computador, as tentativas de autenticação não são executadas.
Planejamento de restrições sem fio. Determine se pretende fornecer a todos os utilizadores sem fios o mesmo nível de acesso à rede sem fios ou se pretende restringir o acesso a alguns utilizadores sem fios. Você pode aplicar restrições no NPS contra grupos específicos de usuários sem fio. Por exemplo, você pode definir dias e horas específicos em que determinados grupos têm acesso permitido à rede sem fio.
Métodos de planejamento para adicionar novos computadores sem fio. Para computadores com capacidade sem fio que ingressaram no seu domínio antes de implantar a rede sem fio, se o computador estiver conectado a um segmento da rede com fio que não esteja protegido pelo 802.1X, as definições de configuração sem fio serão aplicadas automaticamente depois que você configurar as Diretivas de Rede Sem Fio (IEEE 802.11) no controlador de domínio e depois que a Diretiva de Grupo for atualizada no cliente sem fio.
No entanto, para computadores que ainda não ingressaram no seu domínio, você deve planejar um método para aplicar as configurações necessárias para o acesso autenticado por 802.1X. Por exemplo, determine se você deseja associar o computador ao domínio usando um dos seguintes métodos.
Ligue o computador a um segmento da rede com fios que não esteja protegido pelo 802.1X e, em seguida, associe o computador ao domínio.
Forneça aos usuários sem fio as etapas e configurações necessárias para adicionar seu próprio perfil de inicialização sem fio, o que permite que eles associem o computador ao domínio.
Atribua a equipe de TI para unir clientes sem fio ao domínio.
Suporte de planejamento para vários padrões
A extensão de diretivas de rede sem fio (IEEE 802.11) na Diretiva de Grupo fornece uma ampla gama de opções de configuração para oferecer suporte a uma variedade de opções de implantação.
Você pode implantar APs sem fio configurados com os padrões aos quais deseja oferecer suporte e, em seguida, configurar vários perfis sem fio em Políticas de Rede sem Fio (IEEE 802.11), com cada perfil especificando um conjunto de padrões necessários.
Por exemplo, se a sua rede tiver computadores sem fios que suportem WPA2-Enterprise e AES, outros computadores que suportem WPA-Enterprise e AES e outros computadores que suportem apenas WPA-Enterprise e TKIP, tem de determinar se pretende:
- Configure um único perfil para suportar todos os computadores sem fio usando o método de criptografia mais fraco que todos os seus computadores suportam - neste caso, WPA-Enterprise e TKIP.
- Configure dois perfis para fornecer a melhor segurança possível suportada por cada computador sem fio. Nesse caso, você configuraria um perfil que especifica a criptografia mais forte (WPA2-Enterprise e AES) e um perfil que usa a criptografia WPA-Enterprise e TKIP mais fraca. Neste exemplo, é essencial que você coloque o perfil que usa WPA2-Enterprise e AES mais alto na ordem de preferências. Os computadores que não são capazes de usar WPA2-Enterprise e AES pularão automaticamente para o próximo perfil na ordem de preferência e processarão o perfil que especifica WPA-Enterprise e TKIP.
Important
Você deve colocar o perfil com os padrões mais seguros mais altos na lista ordenada de perfis, porque os computadores conectados usam o primeiro perfil que eles são capazes de usar.
Planejando o acesso restrito à rede sem fio
Em muitos casos, você pode querer fornecer aos usuários sem fio diferentes níveis de acesso à rede sem fio. Por exemplo, talvez você queira permitir acesso irrestrito a alguns usuários, a qualquer hora do dia, todos os dias da semana. Para outros usuários, talvez você queira permitir o acesso apenas durante o horário principal, de segunda a sexta-feira, e negar o acesso no sábado e no domingo.
Este guia fornece instruções para criar um ambiente de acesso que coloca todos os seus utilizadores sem fios num grupo com acesso comum a recursos sem fios. Você cria um grupo de segurança de utilizadores sem fio no snap-in Usuários e Computadores do Active Directory e, em seguida, torna todos os utilizadores aos quais pretende conceder acesso sem fio membros desse grupo.
Ao configurar diretivas de rede NPS, você especifica o grupo de segurança de usuários sem fio como o objeto que o NPS processa ao determinar a autorização.
No entanto, se sua implantação exigir suporte para vários níveis de acesso, você precisará apenas fazer o seguinte:
Crie mais de um Grupo de Segurança de Usuários Sem Fio para criar grupos de segurança sem fio adicionais em Usuários e Computadores do Ative Directory. Por exemplo, você pode criar um grupo que contenha usuários que tenham acesso total, um grupo para aqueles que só têm acesso durante o horário normal de trabalho e outros grupos que se encaixem em outros critérios que correspondam às suas necessidades.
Adicione usuários aos grupos de segurança apropriados que você criou.
Configure políticas de rede NPS adicionais para cada grupo de segurança sem fio adicional e configure as políticas para aplicar as condições e restrições necessárias para cada grupo.
Métodos de planejamento para adicionar novos computadores sem fio
O método preferido para associar novos computadores sem fios ao domínio e, em seguida, iniciar sessão no domínio é utilizar uma ligação com fios a um segmento da LAN que tenha acesso a controladores de domínio e não esteja protegido por um comutador Ethernet de autenticação 802.1X.
Em alguns casos, no entanto, pode não ser prático usar uma conexão com fio para unir computadores ao domínio ou, para um usuário, usar uma conexão com fio para sua primeira tentativa de logon usando computadores que já estão associados ao domínio.
Para associar um computador ao domínio utilizando uma ligação sem fios ou para que os utilizadores iniciem sessão no domínio pela primeira vez utilizando um computador associado a um domínio e uma ligação sem fios, os clientes sem fios têm primeiro de estabelecer uma ligação à rede sem fios num segmento que tenha acesso aos controladores de domínio de rede utilizando um dos seguintes métodos.
Um membro da equipa de TI associa um computador sem fios ao domínio e, em seguida, configura um perfil sem fios de inicialização de Single Sign-On. Com esse método, um administrador de TI conecta o computador sem fio à rede Ethernet com fio e, em seguida, une o computador ao domínio. Em seguida, o administrador distribui o computador para o usuário. Quando o usuário inicia o computador, as credenciais de domínio especificadas manualmente para o processo de logon do usuário são usadas para estabelecer uma conexão com a rede sem fio e fazer logon no domínio.
O usuário configura manualmente o computador sem fio com perfil de inicialização sem fio e, em seguida, ingressa no domínio. Com esse método, os usuários configuram manualmente seus computadores sem fio com um perfil de inicialização sem fio com base em instruções de um administrador de TI. O perfil de inicialização sem fio permite que os usuários estabeleçam uma conexão sem fio e, em seguida, associem o computador ao domínio. Depois de associar o computador ao domínio e reiniciar o computador, o utilizador pode iniciar sessão no domínio utilizando uma ligação sem fios e as respetivas credenciais de conta de domínio.
Para implantar o acesso sem fio, consulte Implantação de acesso sem fio.