Habilite a segurança da WPA2/WPA3 Enterprise (802.1X) em uma WLAN

Habilite a WPA2/WPA3 Enterprise em sua WLAN para autenticação avançada usando um servidor RADIUS.

Esses tópicos orientam você através das etapas básicas para habilitar a segurança 802.1x e adicionar seu servidor RADIUS, com informações adicionais sobre várias opções.

Defina o tipo de segurança WLAN e adicione seu servidor RADIUS

A Juniper Mist oferece suporte à segurança IEEE 802.1X para WPA2 e WPA3.

Nota:

WPA3 ou OWE são obrigatórios em 6 GHz. Adotar 6 GHz também significa adotar a WPA3.

Para definir o tipo de segurança WLAN e adicionar seu servidor RADIUS:

Navegue até a WLAN.
- Se a WLAN estiver em um modelo de WLAN, selecione A Organização > Sem Fio | Modelos de WLAN, clique no modelo e clique na WLAN.
- Para uma WLAN no nível do site, selecione Site > Sem fio> WLANs e clique na WLAN.
Na seção de segurança da janela Editar WLAN:
1. Clique em WPA3 ou WPA2.
2. Clique em Empresa (802.1X).
A autenticação RADIUS só estará disponível quando você tiver selecionado WPA2/WPA3 e Enterprise (802.1X) na seção de Segurança.
Na seção Servidores de autenticação, adicione seu servidor.
1. Selecione RADIUS como tipo de servidor.
2. Clique em Adicionar servidor.
3. Insira o nome de host e o segredo compartilhado.
  
  Nota:
  Você pode usar variáveis de site em vez de entrar no nome do host. Veja (opcional) usar variáveis de site para adicionar um servidor.
4. Clique no botão de marca de verificação.
(Opcional) Configure opções adicionais para sua WLAN, se necessário (conforme descrito nas seções restantes deste documento).
Reserve a configuração da WLAN e reserve as alterações de modelo (se a WLAN fizer parte de um modelo de WLAN).

(Opcional) Use variáveis de site para adicionar um servidor

Ao usar variáveis de site para identificar seu servidor RADIUS, você pode facilmente aplicar a mesma configuração de WLAN a APs em diferentes locais, embora certos atributos sejam diferentes. Neste cenário, imagine que o Site A e o Site B usem diferentes servidores RADIUS. Você usará variáveis para adicionar o servidor RADIUS na configuração da WLAN. Em seguida, você definirá as variáveis de forma diferente nas duas configurações do site.

Usar variáveis de site para adicionar um servidor:

Definir as variáveis do site na configuração do site para o primeiro site:
1. Selecione a organização > a configuração do site no menu esquerdo do portal Juniper Mist.
2. Clique no site que você deseja configurar, como o Site A.
3. Na seção Variáveis do site, clique em Adicionar Variável.
4. Insira um nome e valor variáveis para o endereço IP do servidor RADIUS e clique em Salvar.
  
  Como mostrado abaixo, digite {{RADIUS_IP}} para Variável. Digite o endereço IP real para Valor.
5. Adicione uma variável para o segredo compartilhado, como {{RADIUS_Secret}}, e insira o segredo compartilhado real para este servidor como o Valor.
  
  Depois de adicionar as duas variáveis, elas aparecem na seção Variáveis de site da página de configuração do site.
Adicione as mesmas variáveis ao próximo site (Site B) e digite os valores corretos para o servidor RADIUS daquele site.
Por exemplo, na configuração do site para o Site B, adicione a mesma variável {{RADIUS_Server}} No campo Valor , digite o endereço IP real para o servidor RADIUS do Site B. Adicione também a mesma variável {{RADIUS_Secret}} e digite o segredo compartilhado correto para o valor.
Clique em Salvar no canto superior direito da página de configuração do site.
Defina o tipo de segurança WLAN e adicione seu servidor RADIUS e insira variáveis para os detalhes do servidor.

Por exemplo, use variáveis ao adicionar um servidor RADIUS ou um servidor CoA/DM.

Neste exemplo, o nome de host é {{RADIUS_IP}} e o segredo compartilhado é {{RADIUS_Secret}}.
Reserve as configurações da WLAN.

(Opcional) Adicione um identificador NAS e um endereço IP NAS

Quando você está habilitando a segurança 802.1X em uma WLAN, você pode adicionar um Identificador NAS ou endereço IP NAS para personalizar as informações que são passadas ao seu servidor RADIUS.

Por exemplo, você pode inserir o ID do site (em uma WLAN no nível do site) ou uma variável de nome de site (em um modelo de WLAN) como identificador NAS. Com essa abordagem, você pode associar todas as atividades a um site para facilitar seus processos de auditoria/contabilidade ou criar diferentes regras RADIUS para diferentes sites. Outro exemplo é inserir a palavra Mist como identificador NAS. Dessa forma, você pode criar uma regra RADIUS diferente ou uma experiência de portal de convidados para tráfego vinda da Mist.

Se você deixar o campo identificador NAS em branco, o ID da WLAN será usado como ID NAS.

Você pode inserir texto e variáveis simples. As variáveis a seguir são válidas neste campo:

Nome do dispositivo —{{DEVICE_NAME}}
Modelo —{{DEVICE_MODEL}}
Endereço MAC —{{DEVICE_MAC}}
Nome do site —{{SITE_NAME}}

Este exemplo mostra como você pode usar texto e variáveis no ID.

Example: Using Variables in the NAS Identifier Field

Como mostrado abaixo, quando um AP nesta WLAN envia uma Solicitação de Acesso, as variáveis são transformadas para identificar o AP.

Example: Access-Request Contents Including NAS-ID

Alternativamente, especifique um endereço IP NAS. Normalmente, a Mist passa pelo endereço IP real do AP. No entanto, você pode querer especificar um endereço IP a ser usado para todas as atividades, para que possa fazer referência em suas políticas RADIUS.

Você pode adicionar o identificador NAS ou o endereço IP NAS na janela Editar/Criar WLAN.

(Opcional) Adicione um servidor CoA/DM

Quando você está habilitando a segurança 802.1X em uma WLAN, você também pode adicionar um servidor CoA/DM.

A mudança de autorização (CoA) permite que você modifique as sessões de RADIUS autorizadas após a autenticação inicial para atender às mudanças nos requisitos de acesso. Por exemplo, habilite casos de uso, como resets de sessão iniciados pelo administrador.

Nota:

Para obter mais informações, veja Mudança de Autorização (CoA).

(Opcional) Habilite o RadSec

RadSec é um protocolo que permite que os servidores RADIUS transfiram dados por TCP e TLS para aumentar a segurança. Com os recursos do RadSec, você pode transferir pacotes RADIUS por redes públicas enquanto ainda garante a segurança de ponta a ponta por meio da camada de transporte.

Para habilitar a RadSec e instalar os certificados:

Depois de definir o tipo de segurança WLAN e adicionar seu servidor RADIUS, adicione seu servidor RadSec:
1. Na seção Servidores de autenticação, selecione RadSec na lista de quedas.
2. Digite o nome do servidor.
3. Clique em Adicionar servidor e insira o nome de host.
4. Clique no botão de marca de verificação para adicionar o servidor.
5. Reserve a configuração da WLAN e reserve as alterações de modelo (se a WLAN fizer parte de um modelo de WLAN).
Obtenha seu certificado Mist nas configurações de sua organização:
1. Selecione As configurações da organização > do menu esquerdo do portal Juniper Mist.
2. Sob o Certificado Mist, clique em Ver Certificado. Copie o certificado. Você vai precisar dele para a próxima etapa.
Vá ao seu servidor RadSec e preencha essas tarefas:
1. Carregue o certificado Mist copiado.
2. Copie seu certificado RadSec do seu servidor RadSec. Você vai precisar dele para a próxima etapa.
Retorne à página de Configurações da organização no portal Juniper Mist e adicione seu certificado RadSec:
1. Nos certificados RadSec, clique em Adicionar um certificado RadSec.
2. Cole o conteúdo do certificado do seu servidor RadSec.
3. Clique em Adicionar.
(Opcional) Se você quiser usar seus próprios certificados AP RadSec (em vez do certificado exclusivo que a Mist gera para cada AP), clique em Adicionar certificado AP RadSec e digite a chave privada e o certificado assinado para o certificado CA.
Clique em Salvar no canto superior direito da página Configurações da organização.

NESTA PÁGINA