Habilitar a Segurança WPA2/WPA3 Enterprise (802.1X) em uma WLAN

Habilite o WPA2/WPA3 Enterprise em sua WLAN para autenticação avançada usando um servidor RADIUS.

Esses tópicos orientam você pelas etapas básicas para habilitar a segurança 802.1x e adicionar seu servidor RADIUS, com informações adicionais sobre várias opções.

Defina o Tipo de Segurança da WLAN e adicione seu servidor RADIUS

O Wi-Fi 7 (802.11be), bem como o uso do espectro de rádio de 6 GHz, exigem os tipos de segurança WPA3 ou Enhanced Open (baseado em OWE). Para Wi-Fi 7, você também deve habilitar a opção Wi-Fi 7 Segurança . Embora suportados, os tipos de segurança WPA2 e Open não estão disponíveis por padrão. Para usá-los, você precisa desmarcar Wi-Fi 6 e Wi-Fi 7 em Protocolos Wi-Fi e desmarcar 6 GHz em Banda de rádio no modelo de WLAN ou na página de configuração,

Os APs Juniper Mist Wi-Fi 7 e Wi-Fi 6E com firmware versão 0.15.34098 ou posterior oferecem suporte à segurança Wi-Fi 7.

Para definir o tipo de segurança WLAN e adicionar seu servidor RADIUS:

Navegue até a WLAN.
- Se o WLAN estiver em um modelo de WLAN, selecione Organização > sem fio | Modelos de WLAN, clique no modelo e, em seguida, clique no botão WLAN.
- Para obter uma WLAN no nível do site, selecione Site > Wireless> WLANs e clique no WLAN.
Na seção Segurança da janela Editar WLAN:
1. Clique em WPA3 ou WPA2.
2. Clique em Empresa (802.1X).
A autenticação RADIUS está disponível somente quando você seleciona WPA2/WPA3 e Enterprise (802.1X) na seção Segurança.
Na seção Servidores de autenticação, adicione seu servidor.
1. Selecione RADIUS como o tipo de servidor.
2. Clique em Adicionar servidor.
3. Insira o nome do host e o segredo compartilhado.
  
  Observação:
  Você pode usar variáveis de site em vez de inserir o nome do host. Consulte (Opcional) Usar variáveis de site para adicionar um servidor.
4. Clique no botão de marca de seleção.
(Opcional) Configure opções adicionais para sua WLAN, se necessário (conforme descrito nas seções restantes deste documento).
Salve a configuração da WLAN e salve as alterações do modelo (se a WLAN fizer parte de um modelo da WLAN).

(Opcional) Usar variáveis de site para adicionar um servidor

Usando variáveis de site para identificar seu servidor RADIUS, você pode aplicar facilmente a mesma configuração de WLAN a APs em locais diferentes, mesmo que certos atributos sejam diferentes. Nesse cenário, imagine que o Site A e o Site B usem servidores RADIUS diferentes. Você usará variáveis para adicionar o servidor RADIUS na configuração da WLAN. Em seguida, você definirá as variáveis de forma diferente nas duas configurações de site.

Para usar variáveis de site para adicionar um servidor:

Defina as variáveis de site na configuração do site para o primeiro site:
1. Selecione Organização > Configuração do Site no menu à esquerda do portal Juniper Mist.
2. Clique no site que você deseja configurar, como o Site A.
3. Na seção Variáveis do site, clique em Adicionar variável.
4. Insira um nome e um valor de variável para o endereço IP do servidor RADIUS e clique em Salvar.
  
  Conforme mostrado abaixo, insira {{RADIUS_IP}} para Variável. Insira o endereço IP real para Valor.
5. Adicione uma variável para o Segredo compartilhado, como {{RADIUS_Secret}}, e insira o Segredo compartilhado real para este servidor como o Valor.
  
  Depois de adicionar as duas variáveis, elas aparecem na seção Variáveis do site da página Configuração do site.
Adicione as mesmas variáveis ao próximo site (Site B) e insira os valores corretos para o servidor RADIUS desse site.
Por exemplo, na configuração do site para o Site B, adicione a mesma variável {{RADIUS_Server}}. No campo Valor , insira o endereço IP real do servidor RADIUS do Site B. Adicione também a mesma variável {{RADIUS_Secret}} e insira o Segredo compartilhado correto para o Valor.
Clique em Salvar no canto superior direito da página Configuração do site.
Defina o Tipo de Segurança da WLAN e adicione seu servidor RADIUS e insira variáveis para os detalhes do servidor.

Por exemplo, use variáveis ao adicionar um servidor RADIUS ou um servidor CoA/DM.

Neste exemplo, o nome do host é {{RADIUS_IP}} e o segredo compartilhado é {{RADIUS_Secret}}.
Salve as configurações de WLAN.

(Opcional) Adicionar um identificador NAS e um endereço IP NAS

Ao habilitar a segurança 802.1X em uma WLAN, você pode adicionar um identificador NAS ou endereço IP NAS para personalizar as informações que são passadas para o servidor RADIUS.

Por exemplo, você pode inserir o ID do site (em uma WLAN no nível do site) ou uma variável de nome de site (em um modelo de WLAN) como o identificador NAS. Com essa abordagem, você pode associar todas as atividades a um site para facilitar seus processos de auditoria/contabilidade ou para criar diferentes regras de RADIUS para diferentes sites. Outro exemplo é inserir a palavra Mist como o identificador NAS. Dessa forma, você pode criar uma regra RADIUS ou uma experiência de portal de convidado diferente para o tráfego proveniente da Mist.

Se você deixar o campo Identificador de NAS em branco, o ID da WLAN será usado como o ID do NAS.

Você pode inserir texto sem formatação e variáveis. As seguintes variáveis são válidas neste campo:

Nome do dispositivo — {{DEVICE_NAME}}
Modelo—{{DEVICE_MODEL}}
Endereço MAC — {{DEVICE_MAC}}
Nome do site—{{SITE_NAME}}

Este exemplo mostra como você pode usar texto e variáveis na ID.

Example: Using Variables in the NAS Identifier Field

Como mostrado abaixo, quando um AP nesta WLAN envia uma solicitação de acesso, as variáveis são transformadas para identificar o AP.

Example: Access-Request Contents Including NAS-ID

Como alternativa, especifique um endereço IP NAS. Normalmente, a Mist passa pelo endereço IP real do AP. Mas talvez você queira especificar um endereço IP a ser usado para todas as atividades, para que possa referenciá-lo em suas políticas RADIUS.

Você pode adicionar o identificador NAS ou o endereço IP do NAS na janela Editar/Criar WLAN.

(Opcional) Adicionar um servidor CoA/DM

Ao habilitar a segurança 802.1X em uma WLAN, você também pode adicionar um servidor CoA/DM.

A mudança de autorização (CoA) permite que você modifique sessões RADIUS autorizadas após a autenticação inicial para atender às mudanças nos requisitos de acesso. Por exemplo, habilite casos de uso como redefinições de sessão iniciadas pelo administrador.

Observação:

Para obter mais informações, consulte Alteração de autorização (CoA).

(Opcional) Ativar RadSec

RadSec é um protocolo que permite que servidores RADIUS transfiram dados por TCP e TLS para maior segurança. Com os recursos RadSec, você pode transferir pacotes RADIUS por redes públicas enquanto ainda garante a segurança de ponta a ponta por meio da camada de transporte.

Para habilitar o RadSec e instalar os certificados:

Depois de definir o tipo de segurança da WLAN e adicionar seu servidor RADIUS, adicione seu servidor RadSec:
1. Na seção Servidores de autenticação, selecione RadSec na lista suspensa.
2. Digite o nome do servidor.
3. Clique em Adicionar servidor e insira o nome do host.
4. Clique no botão de marca de seleção para adicionar o servidor.
5. Salve a configuração da WLAN e salve as alterações do modelo (se a WLAN fizer parte de um modelo da WLAN).
Obtenha seu certificado Mist nas configurações da sua organização:
1. Selecione Configurações da Organização > no menu à esquerda do portal Mist Juniper.
2. Em Certificado do Mist, clique em Exibir Certificado. Copie o certificado. Você precisará dele para a próxima etapa.
Vá para o seu servidor RadSec e conclua estas tarefas:
1. Carregue o certificado Mist copiado.
2. Copie seu certificado RadSec do seu servidor RadSec. Você precisará dele para a próxima etapa.
Retorne à página Configurações da organização no portal do Juniper Mist e adicione seu certificado RadSec:
1. Em Certificados RadSec, clique em Adicionar um certificado RadSec.
2. Cole o conteúdo do certificado do seu servidor RadSec.
3. Clique em Adicionar.
(Opcional) Se você quiser usar seus próprios certificados RadSec do AP (em vez do certificado exclusivo gerado pela Mist para cada AP), clique em Adicionar certificado RadSec do AP e insira a chave privada e o certificado assinado para o certificado da CA.
Clique em Salvar no canto superior direito da página Configurações da organização.

NESTA PÁGINA