Rede WIFI ESMF-RADIUS Preliminar: Rede minedu.

Manual de configurao para rede RADIUS 802.1x Escola Dr. Manuel Fernandes

2009/2010 Jorge Miguel O. L. Ferreira

-1-

Reviso ESMF 2010-03-31

ndice de contedos
Nota informativa...........................................................................................................3 Certificado raiz..............................................................................................................5 Como obter e instalar o Certificado RAIZ..............................................................5 Conexo Rede RADIUS..........................................................................................10 Conexo Windows XP...........................................................................................10 Credenciais de autenticao...................................................................................11 Windows VISTA....................................................................................................13 Resoluo de problemas encontrados..............................................................................14 Sem certificado.......................................................................................................14 Windows Vista. .....................................................................................................18 Windows 7, XP, 2000, Vista; Linux; OsX Erro de encriptao ou A configurao no corresponde:.......................................................................................................22 Windows7 . Erro de configurao, limpeza de configurao.....................................24 Windows XP: No aceita nem pede autenticao..................................................25

2009/2010 Jorge Miguel O. L. Ferreira

-2-

Reviso ESMF 2010-03-31

Nota informativa.
O propsito da rede RADIUS permitir a utilizao de uma forma segura, por parte dos utilizadores, uma ligao aos recursos Internet a partir da rede sem fios da escola. O processo de autenticao semelhante ao WPA com a excepo em que a chave de autenticao no partilhada. Actualmente existem 2 redes acessveis a Professores e Alunos. A rede ESMF.PT, a partir das mesmas AP, disponibiliza os servios mnimos de acesso web (estando disponvel entre as 9:00 e as 21:00 devido a restries comerciais do ISP). Uma nota a ter em conta relativamente s redes abertas: Devido ao facto de estas redes estarem em modo aberto o mesmo permite que a utilizao seja capturada por terceiros. Por isso a sua privacidade est em causa, as palavras-chave utilizadas em servios http (entre outros no SSL) so expostas e como consequncia a sua identidade poder estar em risco. Uma das solues actualmente a funcionar na rede a utilizao de codificao forte baseada no OpenVPN (rede privada virtual). Este sistema permite criar um tnel de conectividade segura, permitindo que todo o trfego dirigido para a rede Internet seja extremamente codificado. Tecnicamente o sistema autentica com algoritmo TLS, estabelecem-se as chaves sob sistema DH e a codificao de canal est em AES-CBC 256 bit. O principal inconveniente desta soluo tem de se criar certificados para cada utilizador a pedido e para funcionar necessrio a instalao do programa de controlo, e do controlador (driver) TUN/TAP conexo. A rede RADIUS uma soluo compromisso codificao/simplicidade. Esta soluo utiliza um nvel necessariamente inferior de codificao, mas ainda robusto, recorrendo ao sistema WPA-AES. Necessariamente que a autenticao aos dispositivos de rede tem que ser efectuada de um modo pessoal visto que de um modo prtico os sistemas baseados em chave partilhada (comum a muitos) passa em pouco tempo por ficar fora de controlo dos gestores da rede. Segue abaixo um manual de conexo rede para os vrios sistemas operativos, que possam ser utilizados com maior probabilidade. A verso actual instalada do sistema RADIUS necessita de um certificado global, pblico, que serve para cripta da autenticao esta fase necessria para que o cliente possa autenticar-se com a AP. Ou seja, a informao codificada em sistema de cripta assimtrica (cifra de chaves pblicas), onde somente o receptor (o servidor radius) poder recuperar a informao enviada pelo emissor (o computador do utilizador). Para o efeito o ficheiro certificado dever ser descarregado a partir do servidor da escola no endereo http://escola.esmf.pt/wifi . Nesta localizao esto contidos ficheiros com instrues, constantes deste manual, e um ficheiro designado ca-esmf.der. Este dever ser descarregado para posterior instalao. Dever haver o cuidado de guardar o ficheiro como e no abrir directamente da localizao, como se explica neste manual na parte para o efeito.

2009/2010 Jorge Miguel O. L. Ferreira

-3-

Reviso ESMF 2010-03-31

IMPORTANTE: Estamos a migrar o sistema para utilizao na nova rede minedu - qual as mesmas credenciais sero utilizadas. A tempo ir ser actualizada informao relativamente a esta norma. Informao preliminar: As credenciais sero agrupadas da seguinte norma para acesso a rede minedu: fxxx (rede esmf-radius) passaro a ser fxxx@esmf.pt para os acessos indicados. Para os alunos o acesso ser axxxx@esmf.pt onde o xxxx o nmero de processo. Para fxxx as chaves so as mesmas atribudas; Para axxxx as chaves so as mesmas do cdigo GIAE ONLINE; NO ENTANTO EM QUALQUER DOS CASOS SE NO TEM CREDENCIAIS DE ACESSO (iguais aos acessos dos terminais) NO TENTE ACEDER O sistema operativo poder guardar credenciais erradas devido a este facto.

2009/2010 Jorge Miguel O. L. Ferreira

-4-

Reviso ESMF 2010-03-31

Certificado raiz.
O certificado raiz necessrio para que a autenticao seja efectuada entre o servidor e o cliente. Durante o processo de negociao de autenticao, a informao de utilizador e palavra-chave submetida a um processo de cripta. O servidor por outro lado s poder obter a informao, processo reverso da cripta, tendo o mesmo certificado como parte comum do clculo. Este processo permite que a autenticao seja fechada. Finalmente quando o processo de autenticao for satisfeito ser permitida a utilizao da rede, onde o trfego continuar a ser codificado utilizando uma chave criada, somente vlida na actual sesso, sendo renegociada outra para a prxima vez que se ligue. O sistema permite roaming entre os diversos AP instalados nas instalaes da Escola.

Como obter e instalar o Certificado RAIZ.

1. Se estiver na escola com acesso de rede sem fios dever conectar-se rede aberta ESMF.PT. Poder aceder ao mesmo local a partir da Internet segundo o passo 2 a seguir. 2. Com um navegador de Internet ir pgina interna da escola em http://www.esmf.net/wifi ou pela Internet em http://escola.esmf.pt/wifi 3. Deslocar na pgina at tabela de ficheiros para download. - Dever haver uma referencia ao ficheiro ca-esmf.der . 4. Descarregar (com a funo Guardar Como) o certificado raiz (ca-esmf.net), para um local do disco local. Escolha um qualquer, desde que tenha depois acesso ao mesmo. No importa onde, porque aps a insero deste no sistema (passo seguinte), este mesmo ficheiro poder ser eliminado sem problemas.

5. Instalar o certificado. Este passo tem que ser efectuado com ateno. 1. Sobre o ficheiro descarregado, faa-se double-click. Alguns sistemas podero pedir confirmao:

2009/2010 Jorge Miguel O. L. Ferreira

-5-

Reviso ESMF 2010-03-31

2. Observar com ateno as caractersticas do certificado, e premir o boto instalar.

2009/2010 Jorge Miguel O. L. Ferreira

-6-

Reviso ESMF 2010-03-31

3. Aps a actuao no boto Seguinte, ir aparecer um dilogo de opes de Arquivo de Certificados. A opo por defeito no dever ser tomada. Ao invs, dever ser seleccionada a opo Colocar o certificado no seguinte arquivo, seguidamente deve-se premir o boto Procurar.

No quadro seguinte espectvel a seguinte apresentao:

Dever ser colocado o visto em Mostrar arquivos fsicos e rodar para cima a lista, at aparecer novamente Autoridades de certificao de raiz fidedigna. Ateno Raiz Fidedigna. Se no for tomado este cuidado o certificado ser instalado noutras zonas de certificao e no poder ser utilizvel para o fim pretendido. Uma vez estando nesse local, clica-se no [+] antes do arquivo, e depois selecciona-se REGISTO, como se mostra de seguida.

2009/2010 Jorge Miguel O. L. Ferreira

-7-

Reviso ESMF 2010-03-31

Aps a seleco do campo correcto, actua-se no boto OK. O dilogo fecha-se e ser afectado o campo abaixo ilustrado.

Dever actuar-se no boto Seguinte, e concluir o assistente.

Ao concluir o processo, o sistema volta a pedir confirmao no carregar a tecla ENTER, uma vez que por defeito a ordem para cancelar. Em vez disso dever premir no boto Sim, como se mostra de seguida.
2009/2010 Jorge Miguel O. L. Ferreira

-8-

Reviso ESMF 2010-03-31

Por fim, dever aparecer o dilogo de confirmao da instalao:

2009/2010 Jorge Miguel O. L. Ferreira

-9-

Reviso ESMF 2010-03-31

Conexo Rede RADIUS.

No esquecer de instalar primeiro o certificado, caso no o tenha efectuado, tal como se descreve anteriormente.

Para a conexo rede sem fios RADIUS necessitar da autenticao utilizador / palavra-chave. Na rede escola, os funcionrios e professores podero utilizar a mesma autenticao utilizada na rede LDAP (os mesmos acessos criados para os computadores). Aos alunos a autenticao efectuada pelo sistema de palavra-chave criada no GIAE On Line que foi distribuda juntamente com os cartes de aluno.

Conexo Windows XP
1. (Desligar-se da rede ESMF.PT caso tenha utilizado para descarregar o certificado raiz). 2. Procurar as redes e conectar-se rede RADIUS:

2009/2010 Jorge Miguel O. L. Ferreira

- 10 -

Reviso ESMF 2010-03-31

Este dilogo dever aparecer, eventualmente, se estava o computador estava ligado rede ESMF.PT.

Escolhe-se a rede SIGMA-RADIUS e actua-se no boto Ligar. O sistema vai identificar o tipo de conexo e ir mostrar, passado algum tempo, algumas questes relativas a este acesso.

Credenciais de autenticao.
espectvel uma mensagem desta natureza no systray:

2009/2010 Jorge Miguel O. L. Ferreira

- 11 -

Reviso ESMF 2010-03-31

Ao clicar-se sobre a mensagem ir aparecer um dilogo a pedir a seleco de certificado ou, outro a pedir as credenciais (utilizador / palavra chave). Dever preencher com cuidado, tendo em conta que a autenticao sensvel a maisculas e minsculas. No dever conter espaos nem caracteres especiais. Deixar o campo Domnio de incio de sesso sem ser preenchido.

Aguarde-se alguns instantes at o sistema indicar efectiva autenticao com sucesso.

2009/2010 Jorge Miguel O. L. Ferreira

- 12 -

Reviso ESMF 2010-03-31

Windows VISTA.
Parte-se do principio que o certificado est instalado. 1. Activar o adaptador de rede sem fios e pedir a ligao a uma rede ao centro de rede e partilha:

2. Seleccionar a rede ESMF-RADIUS da lista.

3. Esperar que o sistema se conecte.

4. Dever aparecer um quadro a confirmar as credenciais : Primeiro a confirmar o certificado a utilizar (dever ser o ESMFPT) e depois de confirmado, aparecer um segundo quadro a pedir as credenciais utilizador/chave. Na parte de domnio nada ser colocado.

2009/2010 Jorge Miguel O. L. Ferreira

- 13 -

Reviso ESMF 2010-03-31

Resoluo de problemas encontrados.

Sem certificado.
O sistema devolve uma mensagem que no encontra o certificado de sesso.

Soluo: Verifique se efectuou todos os passos criteriosamente na parte de instalao de certificado raiz. (Certificado Raiz) Soluo 2: Normalmente acontece no WINDOWS uma situao provocada pela tentativa anterior de conexo a este tipo de redes sem o certificado previamente instalado. O sistema operativo regista essa situao, anmala, e no capaz por si de reverter o problema. Segue-se alguns passos para sanar a situao. 1. Clica-se no cone da rede notificada

Selecciona-se Ver redes sem fios, de seguida ir aparecer um dilogo com as redes sem fios e algumas opes do lado esquerdo. Dever seleccionar em Tarefas relacionadas -> Mudar a ordem das redes preferidas. (zona esquerda do dilogo).

2009/2010 Jorge Miguel O. L. Ferreira

- 14 -

Reviso ESMF 2010-03-31

Com a rede ESMF-RADIUS seleccionada, carregue no boto Propriedades:

De seguida, selecciona-se a opo Autenticao do quadro seguinte:

2009/2010 Jorge Miguel O. L. Ferreira

- 15 -

Reviso ESMF 2010-03-31

E como se pode observar o sistema operativo seleccionou, por defeito, um sistema de autenticao por Carto electrnico ou Certificado. Embora o sistema necessite do Certificado para cripta, no este modo de autenticao utilizado. Dever ser seleccionado o modo EAP Protegido: (o radius utiliza o modo de autenticao PEAP CHAP-V2).

Agora define-se os parmetros correctos de autenticao, para o efeito prime-se no boto Propriedades. No quadro seguinte selecciona-se o Certificado de raiz fidedigna ESMFPT

2009/2010 Jorge Miguel O. L. Ferreira

- 16 -

Reviso ESMF 2010-03-31

 E verifica-se se estamos efectivamente a utilizar o modo de autenticao Protegido por palavra-passe (EAP-MSCHAP v2). Aqui neste quadro ainda tem que se premir o boto Configurar para desactivar a autenticao automtica do Windows:

Tira-se o visto, que se encontra por defeito activo. E prime-se OK em todos os quadros at estarem todos fechados. Passados alguns segundos o sistema dever apresentar a seguinte mensagem:

2009/2010 Jorge Miguel O. L. Ferreira

- 17 -

Reviso ESMF 2010-03-31

Neste ponto prossiga para a parte de configurao dada em credenciais de autenticao em Conexo XP (ou outro sistema que esteja de momento a trabalhar). Que na prtica dever ser a colocao dos dados de autenticao (utilizador e chave).

Windows Vista.
O sistema devolve uma mensagem, extremamente informativa e com detalhes que explicam a causa:

Provavelmente deve-se ao facto que anteriormente j tera sido efectuada uma ligao a esta rede e esta ficou registada. Para o efeito remove-se a rede da lista das ligaes de redes sem fios e tenta-se de novo:

Agora, caso se encontre na lista, remove-se a conexo ESMF-RADIUS. Se a conexo no existir prossiga para a soluo 2. Soluo 2: Forar o modo de conexo caso o Windows no consiga detectar a topologia. Parte-se do principio que a placa de rede est instalada correctamente (drivers) e est ligada. Parte-se tambm do principio que o certificado global est previamente instalado. No Centro de Rede e Partilha clica-se em Ligar a uma rede.

2009/2010 Jorge Miguel O. L. Ferreira

- 18 -

Reviso ESMF 2010-03-31

Clicar na ligao em baixo Configurar uma ligao ou rede.

Ligar manualmente a uma rede sem fios.

Escrever nos campos tendo ateno que o nome da rede dever ser digitado em maiusculas ESMF-RADIUS, O tipo de segurana o WPA-Enterprise e o tipo de encriptao pode ser escolhido entre o AES ou TKIP (o sistema permite funcionar com
2009/2010 Jorge Miguel O. L. Ferreira

- 19 -

Reviso ESMF 2010-03-31

um dos modos livremente). Manter o visto Iniciar automaticamente esta ligao e prosseguir em Seguinte. No quadro seguinte seleccione a opo Alterar as definies de ligao:

Ir aparecer um dialogo com algumas opes, entre as quais seleccione a parte de segurana.

Deixe estar as definies.

Caso o problema persista poder tirar o visto de Informaes de utilizador na

cache para ligaes futuras rede (visto ter sido, talvez, colocado credenciais falsas ou mal digitadas), no entanto o sistema ir sempre pedir utilizador/chave cada vez que se religar. Clique agora em Definies e no quadro seguinte verifique se na lista de servidores est a entidade ESMFPT (se no aparecer porque no importou correctamente o certificado). Seleccione esse certificado e clique no boto Configurar:

2009/2010 Jorge Miguel O. L. Ferreira

- 20 -

Reviso ESMF 2010-03-31

Tirar o visto do quadro acima (No utilizar automaticamente as credenciais locais do windows, visto a autenticao ao radius ser diferente). Premir em OK em todos os quadros (a ultima Fechar). Tente-se agora ligar novamente rede. Se o problema persistir ter que utilizar um outro gestor de redes sem fios, ou o programa que vem com o sistema.

2009/2010 Jorge Miguel O. L. Ferreira

- 21 -

Reviso ESMF 2010-03-31

Windows 7, XP, 2000, Vista; Linux; OsX Erro de encriptao ou A configurao no corresponde:
Este erro deve-se a um problema existente, j resolvido, em que havia uma das AP configurada incorrectamente em modo WPA2, em vez do WPA que estamos a utilizar. Desta forma o sistema operativo (ou aplicao de gesto WIFI) guardou o modo WPA2 como sendo a utilizar na autenticao. Para o efeito dever haver uma modificao aos parmetros, os quais a sua localizao dependem dos gestores utilizados. Segue abaixo um exemplo para o Windows7 / Windows Vista, o sistema operativo devolve a seguinte mensagem:

Para o efeito, deve-se abrir o Centro de Rede e Partilha para verificar as definies guardadas, o exemplo abaixo, na gesto de redes sem fios:

Seguidamente aparecer um dialogo onde dever, entre outras possivelmente, aparecer a rede ESMF-RADIUS listada e associada com sistema WPA2, o que est errado:
2009/2010 Jorge Miguel O. L. Ferreira

- 22 -

Reviso ESMF 2010-03-31

Caso haja confirmao deste erro h que o corrigir, faa-se duplo clique sobre o item a qual dever aparecer um novo dialogo onde dever ser corrigido o modo, em Segurana no topo:

Trocar a seleco de WPA2-Enterprise para WPA-Enterprise e fechar o dialogo accionando no boto OK. Passados alguns segundos ir aparecer uma notificao a pedir novamente as credenciais de entrada na rede (utilizador e palavra chave).

2009/2010 Jorge Miguel O. L. Ferreira

- 23 -

Reviso ESMF 2010-03-31

Windows7 . Erro de configurao, limpeza de configurao.

Existem casos extremos em que a configurao fica presa no registo de tal ponto que ter de definir novamente os certificados, dentro das propriedades avanadas caso no aparea o certificado ESMFPT na lista porque a importao no foi efectuada correctamente e ter que ser repetida:

Procurar na lista e verificar a correcta seleco: (no esquecer de retirar o visto ligar a estes servidores caso esteja activa).

E verificar se os mtodos de autenticao esto a utilizar as credenciais a pedido (em configurar), tirando o visto da utilizao automtica do utilizador Windows, tal como revisto noutras verses do Windows.

2009/2010 Jorge Miguel O. L. Ferreira

- 24 -

Reviso ESMF 2010-03-31

Windows XP: No aceita nem pede autenticao.

Verifique se a janela de autenticao no est escondida em plano posterior das listas de redes sem fios este um problema comum, onde o XP cria uma janela de dilogo mas esta fica sobreposta pela anterior. Caso o sistema teime em no apresentar o pedido de credenciais, poder haver necessidade de limpar a cache deste (onde esto guardadas chaves anteriores, de eventuais tentativas). Para o efeito descarregue o ficheiro clean somente para o XP.reg na pgina da escola (parte wifi) para o disco local do computador e execute-o. Ir aparecer um aviso do registo do sistema, onde dever confirmar a aco. Este ficheiro serve apenas para eliminar no registo do windows as chaves relacionadas com ligaes anteriores em redes radius e seguras, pelo que poder limpar credenciais de outras redes, onde ter que repor as chaves.

2009/2010 Jorge Miguel O. L. Ferreira

- 25 -

Reviso ESMF 2010-03-31