Planejamento da implantação de acesso sem fio

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Antes de implantar o acesso sem fio, é necessário planejar os seguintes itens:

  • Instalação de PAs (pontos de acesso sem fio) em sua rede

  • Acesso e configuração sem fio do cliente

As seções a seguir fornecem detalhes dessas etapas de planejamento.

Planejamento de instalações de PA sem fio

Ao criar sua solução de acesso à rede sem fio, é necessário fazer o seguinte:

  1. Determinar a quais padrões seus PAs sem fio devem dar suporte
  2. Determinar as áreas de cobertura na qual você deseja fornecer serviço sem fio
  3. Determinar onde você deseja posicionar os PAs sem fio

Além disso, é necessário planejar um esquema de endereços IP para seus clientes e PAs sem fio. Consulte a seção Planejar a configuração de PAs sem fio no NPS abaixo para obter informações relacionadas.

Verificar o suporte a PA sem fio para padrões

É recomendável implantar PAs sem fio da mesma marca e modelo para obter consistência e facilidade de implantação e gerenciamento de PA.

Os PAs sem fio implantados devem dar suporte ao seguinte:

  • IEEE 802.1X

  • Autenticação RADIUS

  • Autenticação e codificação sem fio. Listada na ordem das mais indicadas para as menos indicadas:

    1. WPA2-Enterprise com AES

    2. WPA2-Enterprise com TKIP

    3. WPA-Enterprise com AES

    4. WPA-Enterprise com TKIP

Observação

Para implantar a WPA2, você deve usar adaptadores de rede sem fio e PAs sem fio que também dão suporte ao WPA2. Caso contrário, use a WPA-Enterprise.

Além disso, para fornecer segurança aprimorada para a rede, os PAs sem fio devem dar suporte às seguintes opções de segurança:

  • Filtragem DHCP. O PA sem fio deve filtrar as portas IP para impedir a transmissão de mensagens de difusão DHCP nas ocorrências em que o cliente sem fio está configurado como um servidor DHCP. O PA sem fio deve impedir que o cliente envie pacotes IP da porta UDP 68 para a rede.

  • Filtragem de DNS. O PA sem fio deve filtrar as portas IP para impedir que um cliente seja executado como um servidor DNS. O PA sem fio deve impedir que o cliente envie pacotes IP da porta TCP ou UDP 53 para a rede.

  • Isolamento do cliente Se o ponto de acesso sem fio fornecer recursos de isolamento do cliente, habilite o recurso para evitar possíveis explorações de falsificação do Protocolo de Resolução de Endereços (ARP).

Identificar áreas de cobertura para usuários sem fio

Use desenhos arquitetônicos de cada andar e cada edifício para identificar as áreas nas quais você deseja fornecer cobertura sem fio. Por exemplo, identifique os escritórios adequados, salas de conferências, lobbies, cafeterias ou pátios.

Nos desenhos, indique todos os dispositivos que interferem nos sinais sem fio, como equipamentos médicos, câmeras de vídeo sem fio, telefones sem fio que operam no intervalo industrial, científico e médico (ISM) de 2,4 a 2,5 GHz e dispositivos habilitados para Bluetooth.

No desenho, marque aspectos do edifício que podem interferir nos sinais sem fio. Objetos de metal usados na construção de um edifício podem afetar o sinal sem fio. Por exemplo, os seguintes objetos comuns podem interferir na propagação de sinais: elevadores, dutos de aquecimento e ar-condicionado e vigas de concreto.

Consulte o fabricante do PA para obter informações sobre fontes que podem causar atenuação de radiofrequência do PA sem fio. A maioria dos PAs fornece software de teste para que você possa verificar a intensidade do sinal, a taxa de erro e a taxa de transferência de dados.

Determinar onde instalar os PAs sem fio

Nos desenhos arquitetônicos, posicione seus PAs sem fio próximos o suficiente para fornecer ampla cobertura sem fio, mas distante o suficiente para que eles não interfiram uns com os outros.

A distância necessária entre os PAs depende do tipo do PA e da antena do PA, aspectos do edifício que bloqueiam sinais sem fio e outras fontes de interferência. Você pode marcar posicionamentos de PA sem fio para que cada PA sem fio não fique a mais de 90 metros de distância de um PA sem fio adjacente. Consulte a documentação do fabricante do PA sem fio para obter especificações e diretrizes para posicionamento de PA.

Instale temporariamente os PAs sem fio nos locais especificados em seus desenhos arquitetônicos. Em seguida, usando um laptop equipado com um adaptador sem fio 802.11 e o software de pesquisa de site que normalmente é fornecido com adaptadores sem fio, determine a intensidade do sinal dentro de cada área de cobertura.

Em áreas de cobertura em que a intensidade do sinal é baixa, posicione o PA para melhorar a intensidade do sinal nessa área de cobertura, instale PAs sem fio adicionais para fornecer a cobertura necessária, realoque ou remova fontes de interferência de sinal.

Atualize os desenhos arquitetônicos para indicar o posicionamento final de todos os PAs sem fio. Mais tarde, ter um mapa de posicionamento de AP preciso ajudará durante as operações de solução de problemas ou quando você desejar atualizar ou substituir PAs.

Planejar a configuração do cliente RADIUS do NPS e PA sem fio

Você pode usar o NPS para configurar PAs sem fio individualmente ou em grupos.

Se você estiver implantando uma rede sem fio grande com muitos PAs, será muito mais fácil configurar PAs em grupos. Para adicionar os PAs como grupos de clientes RADIUS no NPS, é necessário configurar os PAs com essas propriedades.

  • Os PAs sem fio são configurados com endereços IP do mesmo intervalo de endereços IP.

  • Todos os PAs sem fio são configurados com o mesmo segredo compartilhado.

Planejar o uso da Reconexão Rápida de PEAP

Em uma infraestrutura 802.1X, os pontos de acesso sem fio são configurados como clientes RADIUS para servidores RADIUS. Quando a reconexão rápida de PEAP é implantada, um cliente sem fio que usar perfil móvel entre dois ou mais pontos de acesso não precisa ser autenticado com cada nova associação.

A reconexão rápida de PEAP reduz o tempo de resposta para autenticação entre o cliente e o autenticador porque a solicitação de autenticação é encaminhada a partir do novo ponto de acesso para o NPS que originalmente executou a autenticação e autorização para a solicitação de conexão do cliente.

Como o cliente PEAP e o NPS usam propriedades de conexão TLS (Transport Layer Security) armazenadas em cache anteriormente (a coleção cujo nome é o identificador TLS), o NPS pode determinar rapidamente que o cliente está autorizado para uma reconexão.

Importante

Para que a reconexão rápida funcione corretamente, os PAs devem ser configurados como clientes RADIUS do mesmo NPS.

Se o NPS original ficar indisponível ou se o cliente for movido para um ponto de acesso configurado como um cliente RADIUS para um servidor RADIUS diferente, a autenticação completa deverá ocorrer entre o cliente e o novo autenticador.

Configuração de PA sem fio

A lista a seguir resume os itens normalmente configurados em PAs sem fio compatíveis com 802.1X:

Observação

Os nomes dos itens podem variar de acordo com a marca e o modelo e podem ser diferentes dos listados a seguir. Consulte a documentação de PA sem fio para obter detalhes específicos da configuração.

  • SSID (Service Set Identifier). Esse é o nome da rede sem fio (por exemplo, ExampleWlan) e o nome que é anunciado para clientes sem fio. Para reduzir a confusão, o SSID que você anunciar não deve corresponder ao SSID que é transmitido por outras redes sem fio que estejam dentro do intervalo de recepção da sua rede sem fio.

    Nas ocorrências em que vários PAs sem fio são implantados como parte da mesma rede sem fio, configure cada PA sem fio com o mesmo SSID. Nas ocorrências em que vários PAs sem fio são implantados como parte da mesma rede sem fio, configure cada PA sem fio com o mesmo SSID.

    Nas ocorrências em que você precisa implantar redes sem fio diferentes para atender a necessidades comerciais específicas, os PAs sem fio em uma rede devem transmitir um SSID diferente do SSID de suas outras redes. Por exemplo, se você precisar de uma rede sem fio separada para seus funcionários e convidados, é possível configurar os PAs sem fio para a rede de negócios com o SSID definido para transmitir ExampleWLAN. Para sua rede de convidado, é possível definir o SSID de cada PA sem fio para transmitir GuestWLAN. Dessa forma, seus funcionários e convidados podem se conectar à rede pretendida sem confusões desnecessárias.

    Dica

    Algumas PAs sem fio têm a capacidade de transmitir vários SSIDs para acomodar implantações de várias redes. PAs sem fio que podem transmitir vários SSIDs podem reduzir os custos de implantação e manutenção operacional.

  • Autenticação e criptografia sem fio.

    A autenticação sem fio é a autenticação de segurança usada quando o cliente sem fio é associado a um ponto de acesso sem fio.

    A criptografia sem fio é a criptografia de segurança usada com autenticação sem fio para proteger as comunicações enviadas entre o PA sem fio e o cliente sem fio.

  • Endereço IP (estático) do PA sem fio. Em cada PA sem fio, configure um endereço IP estático exclusivo. Se a sub-rede for atendida por um servidor DHCP, verifique se todos os endereços IP da PA estão dentro de um intervalo de exclusão DHCP para que o servidor DHCP não tente emitir o mesmo endereço IP para outro computador ou dispositivo. Os intervalos de exclusão são documentados no procedimento "Para criar e ativar um novo Escopo DHCP" no Guia de Rede Principal. Se você estiver planejando configurar PAs como clientes RADIUS por grupo no NPS, cada PA no grupo deve ter um endereço IP do mesmo intervalo de endereços IP.

  • Nome DNS. Alguns PAs sem fio podem ser configurados com um nome DNS. Configurar cada PA sem fio com um nome exclusivo. Por exemplo, se você tem um PA sem fio implantado em um prédio de vários andares, é possível nomear os três primeiros PAs sem fio implantados no terceiro andar AP3-01, AP3-02 e AP3-03.

  • Máscara de sub-rede de PA sem fio. Configure a máscara para designar qual parte do endereço IP é a ID de rede e qual parte do endereço IP é o host.

  • Serviço DHCP de PA. Se o PA sem fio tiver um serviço DHCP interno, desabilite-o.

  • Segredo compartilhado RADIUS. Use um segredo compartilhado RADIUS exclusivo para cada PA sem fio, exceto se estiver planejando configurar clientes RADIUS do NPS em grupos, pois nessa circunstância você deve configurar todos os PAs no grupo com o mesmo segredo compartilhado. Os segredos compartilhados devem ter uma sequência aleatória de pelo menos 22 caracteres, com letras maiúsculas e minúsculas, números e pontuação. Para garantir a aleatoriedade, é possível usar um programa de geração de caracteres aleatórios para criar seus segredos compartilhados. É recomendável gravar o segredo compartilhado de cada PA sem fio e armazená-lo em um local seguro, como um cofre do escritório. Ao configurar clientes RADIUS no console do NPS, você criará uma versão virtual de cada PA. O segredo compartilhado configurado em cada PA virtual no NPS deve corresponder ao segredo compartilhado no PA físico real.

  • Endereço IP do servidor RADIUS. Digite o endereço IP do NPS que você deseja usar para autenticar e autorizar solicitações de conexão para esse ponto de acesso.

  • Portas UDP. Por padrão, o NPS usa as portas UDP 1812 e 1645 para mensagens de autenticação RADIUS e portas UDP 1813 e 1646 para mensagens de contabilização RADIUS. É recomendável não alterar as configurações de portas UDP RADIUS padrão.

  • VSAs. Alguns PAs sem fio exigem VSAs (atributos específicos do fornecedor) para fornecer funcionalidade completa de PA sem fio.

  • Filtragem DHCP. Configure os PAs sem fio para impedir que clientes sem fio enviem pacotes IP da porta UDP 68 para a rede. Consulte a documentação de seu PA sem fio para configurar a filtragem DHCP.

  • Filtragem de DNS. Configure os PAs sem fio para impedir que clientes sem fio enviem pacotes IP da porta UDP ou TCP 53 para a rede. Consulte a documentação de seu PA sem fio para configurar a filtragem DNS.

Planejamento do acesso e configuração sem fio do cliente

Ao planejar a implantação do acesso sem fio autenticado em 802.1X, você deve considerar diversos fatores específicos do cliente:

  • Planejamento do suporte para vários padrões.

    Determine se os computadores sem fio estão todos usando a mesma versão do Windows ou se eles são uma mistura de computadores que executam sistemas operacionais diferentes. Se eles forem diferentes, certifique-se de entender as diferenças nos padrões compatíveis com os sistemas operacionais.

    Determine se todos os adaptadores de rede sem fio em todos os computadores cliente sem fio dão suporte aos mesmos padrões sem fio ou se é necessário dar suporte a padrões variados. Por exemplo, determine se alguns drivers de hardware do adaptador de rede dão suporte a WPA2-Enterprise e AES, enquanto outros dão suporte apenas a WPA-Enterprise e TKIP.

  • Planejamento do modo de autenticação do cliente. Os modos de autenticação definem como os clientes Windows processam credenciais de domínio. Você pode selecionar entre os três modos de autenticação de rede a seguir nas políticas de rede sem fio.

    1. Reautenticação do usuário. Esse modo especifica que a autenticação sempre é executada usando credenciais de segurança com base no estado atual do computador. Quando nenhum usuário fez logon no computador, a autenticação é executada usando as credenciais do computador. Quando um usuário tiver feito logon no computador, a autenticação sempre é executada usando as credenciais do usuário.

    2. Computador somente. O modo somente computador especifica que a autenticação sempre é executada usando apenas as credenciais do computador.

    3. Autenticação do usuário. O modo de autenticação do usuário especifica que a autenticação só é executada quando o usuário está conectado ao computador. Quando não há usuários conectados ao computador, as tentativas de autenticação não são executadas.

  • Planejamento das restrições sem fio. Determine se você deseja fornecer a todos os usuários sem fio o mesmo nível de acesso à sua rede sem fio ou se deseja restringir o acesso para alguns de seus usuários sem fio. Você pode aplicar restrições no NPS a grupos específicos de usuários sem fio. Por exemplo, definir dias e horas específicos que determinados grupos têm permissão para acessar a rede sem fio.

  • Métodos de planejamento para adicionar novos computadores sem fio. Em computadores com capacidade sem fio ingressados no domínio antes de você implantar a rede sem fio, se o computador estiver conectado a um segmento da rede com fio que não está protegido pelo 802.1X, as definições de configuração sem fio serão aplicadas automaticamente depois que você configurar as políticas de Rede Sem Fio (IEEE 802.11) no controlador de domínio e depois que Política de Grupo for atualizada no cliente sem fio.

    No entanto, em computadores que ainda não estão ingressados no domínio, você deve planejar um método para aplicar as configurações necessárias para acesso autenticado em 802.1X. Por exemplo, determine se você deseja adicionar o computador no domínio usando um dos métodos a seguir.

    1. Conecte o computador a um segmento da rede com fio que não esteja protegido pelo 802.1X e, em seguida, adicione o computador no domínio.

    2. Forneça aos usuários sem fio as etapas e configurações necessárias para que adicionem o próprio perfil de inicialização sem fio, o que permite que eles adicionem o computador no domínio.

    3. Atribuir equipe de TI para adicionar clientes sem fio no domínio.

Planejamento do suporte para vários padrões

A extensão de Políticas de Rede Sem Fio (IEEE 802.11) no Política de Grupo fornece uma ampla gama de opções de configuração para dar suporte a uma variedade de opções de implantação.

Você pode implantar PAs sem fio configurados com os padrões aos quais você deseja dar suporte e, em seguida, configurar vários perfis sem fio nas Políticas de Rede Sem Fio (IEEE 802.11), com cada perfil especificando um conjunto de padrões necessários.

Por exemplo, se sua rede tem computadores sem fio que dão suporte a WPA2-Enterprise e AES, outros computadores que dão suporte a WPA-Enterprise e AES e outros computadores que dão suporte apenas a WPA-Enterprise e TKIP, você deve determinar se deseja:

  • Configure um único perfil para dar suporte a todos os computadores sem fio usando o método de criptografia mais fraco ao qual todos os seus computadores dão suporte – nesse caso, WPA-Enterprise e TKIP.
  • Configure dois perfis para fornecer a melhor segurança possível compatível com cada computador sem fio. Nesse caso, você configuraria um perfil que especifica a criptografia mais forte (WPA2-Enterprise e AES) e um perfil que usa a criptografia WPA-Enterprise e TKIP mais fraca. Neste exemplo, é essencial posicionar o perfil que usa WPA2-Enterprise e AES no nível mais alto na ordem de preferência. Computadores que não são capazes de usar WPA2-Enterprise e AES seguirão automaticamente para o próximo perfil na ordem de preferência e processarão o perfil que especifica WPA-Enterprise e TKIP.

Importante

Você deve posicionar no nível mais alto o perfil com os padrões mais seguros na lista ordenada de perfis, pois os computadores conectados usam o primeiro perfil que eles são capazes de usar.

Planejamento do acesso restrito à rede sem fio

Em muitas ocorrências, é aconselhável fornecer aos usuários sem fio diferentes níveis de acesso à rede sem fio. Por exemplo, é aconselhável permitir acesso irrestrito a alguns usuários, a qualquer hora do dia, todos os dias da semana. Para outros usuários, é aconselhável apenas permitir o acesso durante o horário integral, de segunda a sexta-feira, e negar o acesso aos sábados e domingos.

Este guia fornece instruções para criar um ambiente de acesso que coloca todos os usuários sem fio em um grupo com acesso comum a recursos sem fio. Você cria um grupo de segurança de usuários sem fio no snap-in Usuários e Computadores do Active Directory e, em seguida, torna membro desse grupo todos os usuários para os quais deseja conceder acesso sem fio.

Ao configurar políticas de rede NPS, você especifica o grupo de segurança de usuários sem fio como o objeto que o NPS processa ao determinar a autorização.

No entanto, se sua implantação exigir suporte para diferentes níveis de acesso, será necessário fazer o seguinte:

  1. Criar mais de um Grupo de Segurança de Usuários Sem Fio para criar grupos de segurança sem fio adicionais em Usuários e Computadores do Active Directory. Por exemplo, é possível criar um grupo que contém usuários que têm acesso completo, um grupo para aqueles que só têm acesso durante o horário de trabalho normal e outros grupos que se ajustam a outros critérios correspondentes aos seus requisitos.

  2. Adicionar usuários aos grupos de segurança apropriados que você criou.

  3. Configurar políticas de rede NPS adicionais para cada grupo de segurança sem fio adicional e configurar as políticas para aplicar as condições e restrições necessárias para cada grupo.

Métodos de planejamento para adicionar novos computadores sem fio

O método preferencial para adicionar novos computadores sem fio ao domínio e, em seguida, fazer logon no domínio é usando uma conexão com fio para um segmento da LAN que tem acesso a controladores de domínio e não é protegido por um comutador Ethernet de autenticação 802.1X.

Em algumas ocorrências, no entanto, pode não ser prático usar uma conexão com fio para adicionar computadores ao domínio ou, para um usuário usar uma conexão com fio para sua primeira tentativa de logon usando computadores que já estão adicionados ao domínio.

Para adicionar um computador no domínio usando uma conexão sem fio ou para que os usuários façam logon no domínio pela primeira vez usando um computador adicionado no domínio e uma conexão sem fio, primeiro os clientes sem fio devem estabelecer uma conexão com a rede sem fio em um segmento que tenha acesso aos controladores de domínio de rede usando um dos métodos a seguir.

  1. Um membro da equipe de TI adiciona um computador sem fio no domínio e configura um perfil sem fio de inicialização de logon único. Com esse método, um administrador de TI conecta o computador sem fio à rede Ethernet com fio e, em seguida, adiciona o computador no domínio. Em seguida, o administrador distribui o computador para o usuário. Quando o usuário inicia o computador, as credenciais de domínio especificadas manualmente para o processo de logon do usuário são usadas para estabelecer uma conexão com a rede sem fio e fazer logon no domínio.

  2. O usuário configura manualmente o computador sem fio com perfil sem fio de inicialização e adiciona o domínio. Com esse método, os usuários configuram manualmente seus computadores sem fio com um perfil sem fio de inicialização com base nas instruções de um administrador de TI. O perfil sem fio de inicialização permite que os usuários estabeleçam uma conexão sem fio e, em seguida, adicionem o computador no domínio. Depois de adicionar o computador no domínio e reiniciar o computador, o usuário pode fazer logon no domínio usando uma conexão sem fio e suas credenciais de conta de domínio.

Para implantar o acesso sem fio, confira Implantação de acesso sem fio.