Olá Pessoal,
Já faz um tempo que não escrevo aqui para vocês, entretanto acabei ficando sumido devido a outras características e obviamente não podemos negar que nosso tempo fica cada vez mais escasso.
Enfim, não é lugar para “muro de lamentações” o importante que sempre estamos por aqui e tentando apresentar novos conteúdos para vocês e alguns produtos que vocês podem utilizar/pesquisar para ajudar no entendimento maior do seu dia-a-dia.
Radius no Meraki
Como todos sabem hoje cada vez mais, estamos procurando formas de amenizar os impactos relacionados a segurança, e claro não podemos esquecer de utilizar o protocolo 802.1x para garantir o acesso seguro de seus usuários ao ambiente de WI-FI.
Desta forma, fiz alguns testes para habilitar o Radius no Meraki fazendo com ele pudesse especificamente em um SSID, fazer autenticação através de Radius + 802.1x.
Entretanto, estava procurando algo em cloud free que eu pudesse testar e não precisasse trabalhar localmente com algum free radius. Hoje sabemos que temos o free-radius, que acredito que ainda vou escrever sobre ele em nosso BLOG, entretanto fui em algo talvez mais rápido para testar os recursos.
Configuração no Meraki
Para esses recursos temos parâmetros rápidos e práticos que podem ser visualizados conforme abaixo:
Baseado na figura acima, precisamos garantir que estamos configurando no modo “Enterprise”, porém com a definição de seu Radius Server.
Após configurar no drop-down, podemos observar as configurações adicionais que necessitam ser executadas, para que eu possa autenticar em um servidor Radius. Vale ressaltar, que devido ao ambiente Meraki ser em Cloud, as definições podem também serem executadas em seu ambiente on-prem, porém o acesso ao servidor precisa ser liberado para que a Cloud Meraki possa alcançar esse servidor.
As configurações de EAP+EAPOL foram mantidas em modo “default”, pois são ambientes de testes, entretanto caso necessite executar no ambiente de produção você pode adequar as suas necessidade do ambiente de produção.
Os endereços adquiridos da JumpCloud pode ser visualizados através dessa documentação.
OBS.: Existe uma limitação via JumpCloud que a porta Radius 1813(accounting) não é suportado.
Configuração no JumpCloud
Para quem deseja conhecer um pouco do portfolio da JumpCloud recomendo acessar o site deles e visualizar as possibilidades de atendimento.
Eu acabei encontrando por acaso, pesquisando sobre opções de integração com o Meraki, na qual achei bastante documentação para fazer não somente o uso de Radius mas de outras facilidades, ainda como sendo um plano free. Futuramente, vou trazer alguns conceitos de SSO(Single Sign On) entre as plataformas.
Para configurar o Radius, basicamente precisamos obter o IP Público, executar o “match” da senha que será adicionada em ambas plataformas.
Conforme pode ser visualizado acima, temos a opção de utilização de MFA, porém na característica de autenticação do WIFI pelos documentos não é recomendado e poderia ser um caso em utilizar essa autenticação para uma característica de VPN.
Após esses passos devemos cadastrar os usuários na plataforma(10 são free), ou seja, será através desse “user” que você deverá utilizar quando solicitado o “join” para o SSID escolhido.
OBS.: Pode observar que para esse usuário eu criei um MFA para eu logar no portal Jumpcloud, caso em futuros testes(VPN, SSO) eu possa utilizar ele para adicionar mais uma camada de segurança.
Talvez vocês já devem estar pensando em uma situação onde tenho IP dinâmico que fica atrelado ao acesso para o ambiente que esta nosso AP, ou seja, vou ficar trocando o IP? Sim. Porém, existe uma forma de fazer atualização deles via API :). Caso, tenham interesse avise nos comentário, pois posteriormente executo um post explicado como fiz esse processo.
Autenticação no WI-FI
Para executar autenticação podemos observar que nesse momento é solicitado “user+pwd”, ou seja, não estamos mais no modo PSK. 🙂
Após autorização será notificado sobre o certificado, pois devido a estarmos utilizando EAP-TTLS/PAP ou EAP-PEAP e deveremos usar essa autenticação para garantir maior segurança nos dados transmitidos entre as pontas (Meraki+JumpCloud).
Conforme abaixo será apresentado o certificado para que você confirme a autenticação, bem como garantir a validade do certificado.
Vale lembrar que você também poderia fazer o download desse certificado e fazer a instalação do mesmo em seu ambiente para garantir que não tenha essa validação ao seu usuário. Você pode obter mais informações sobre o certificado.
Logs
Após todo o processo de configuração e autenticação sempre é interessante avaliarmos os logs capturados nas plataformas, para verificar se de fato como poderemos fazer um futuro “troubleshooting” e consequentemente observar se funcionou da forma que deveria. 🙂
Logo abaixo, podemos observar log sendo exposto pela ferramenta JumpCloud que pode ser visualizada através do menu Insight->Directory. Desta forma, vimos que autenticação foi executada utilizando serviço de Radius com os parâmetros EAP-PEAP via usuário especifico.
Após isso podemos observar ao mesmo tempo essa notificação no portal Meraki, onde conseguimos observar EAP e a característica de sucesso do usuário sendo autenticado via 802.1x. Temos ainda uma possibilidade de fazer um “check” ao servidor radius através do portal Meraki, para assim garantirmos e identificarmos como está o tempo de resposta até o seu servidor na Cloud(JumpCloud)
Posteriormente podemos ainda consolidar através do menu “Clients” e avaliar como está sendo feita associação desse usuário e ao mesmo tempo garantir qual “user” foi autenticado, bem como garantir associação via 802.1x.
Conclusão
Observando a facilidade de efetuar as configurações em ambas as plataformas, na minha visão faz todo sentido termos algo de Radius como serviço em Cloud, ainda mais quando temos ambas as soluções sendo gerenciadas em cloud. Obviamente, ainda existe muita coisa que acaba acontecendo nos “bastidores” e que com certeza iremos analisar posteriormente, principalmente nas características de segurança observando na perspectiva de como esse usuário e hash estão sendo encaminhado entre as pontas.
Entretanto, vale ressaltar que baseado no protocolo 802.1x já podemos ter a garantia de algumas metodologias de segurança para garantir essa autenticidade, bem como evitar alguns “eavesdropping” localmente.
O que vocês acharam desses parâmetros? Desejam observar mais algum detalhe sobre o que foi apresentado? Deixe seus comentários.
Abs,
Rodrigo
Comentários Recentes