Configurar firewalls para tráfego RADIUS

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Firewalls podem ser configurados para permitir ou bloquear tipos de tráfego IP de e para o computador ou dispositivo no qual o firewall está em execução. Se os firewalls não estiverem configurados corretamente para permitir o tráfego RADIUS entre clientes RADIUS, proxies RADIUS e servidores RADIUS, a autenticação de acesso à rede poderá falhar, impedindo que os usuários acessem recursos da rede.

Talvez seja necessário configurar dois tipos de firewalls para permitir o tráfego RADIUS:

  • Windows Defender Firewall com Segurança Avançada no servidor local que executa o NPS (Servidor de Políticas de Rede).
  • Firewalls em execução em outros computadores ou dispositivos de hardware.

Firewall do Windows no NPS local

Por padrão, o NPS envia e recebe tráfego RADIUS usando as portas UDP 1812, 1813, 1645 e 1646. O Windows Defender Firewall no NPS deve ser configurado automaticamente com exceções, durante a instalação do NPS, para permitir que esse tráfego RADIUS seja enviado e recebido.

Com o Server 2019, essa exceção de firewall requer uma modificação no identificador de segurança da conta de serviço para detectar e permitir efetivamente o tráfego RADIUS. Se essa alteração do identificador de segurança não for executada, o firewall bloqueará o tráfego RADIUS. Em um prompt de comandos com privilégios elevados, execute sc sidtype IAS unrestricted. Esse comando altera o serviço IAS (RADIUS) para usar um SID exclusivo em vez de compartilhar com outros serviços do SERVIÇO DE REDE.

Portanto, se você estiver usando as portas UDP padrão, não precisará alterar a configuração do firewall Windows Defender para permitir o tráfego RADIUS de e para NPSs.

Em alguns casos, talvez você queira alterar as portas que o NPS usa para o tráfego RADIUS. Se você configurar o NPS e os servidores de acesso à rede para enviar e receber tráfego RADIUS em portas diferentes dos padrões, deverá fazer o seguinte:

  • Remova as exceções que permitem o tráfego RADIUS nas portas padrão.
  • Crie novas exceções que permitem o tráfego RADIUS nas novas portas.

Para obter mais informações, consulte Configurar informações de porta UDP do NPS.

Outros firewalls

Na configuração mais comum, o firewall está conectado à Internet e o NPS é um recurso da intranet conectado à rede de perímetro.

Para acessar o controlador de domínio dentro da intranet, o NPS pode ter:

  • Uma interface na rede de perímetro e uma interface na intranet (o roteamento de IP não está habilitado).
  • Uma única interface na rede de perímetro. Nessa configuração, o NPS se comunica com controladores de domínio por meio de outro firewall que conecta a rede de perímetro à intranet.

Configurar o firewall da Internet

O firewall conectado à Internet deve ser configurado com filtros de entrada e saída em sua interface da Internet (e, opcionalmente, sua interface de perímetro de rede), para permitir o encaminhamento de mensagens RADIUS entre os clientes NPS e RADIUS ou proxies na Internet. Filtros adicionais podem ser usados para permitir a passagem de tráfego para servidores Web, servidores VPN e outros tipos de servidores na rede de perímetro.

Filtros separados de pacotes de entrada e saída podem ser configurados na interface da Internet e na interface da rede de perímetro.

Configurar filtros de entrada na interface da Internet

Configure os seguintes filtros de pacote de entrada na interface da Internet do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1812 (0x714) do NPS. Esse filtro permite o tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2865. Se você estiver usando uma porta diferente, substitua o número da porta por 1812.
  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1813 (0x715) do NPS. Esse filtro permite o tráfego contábil RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1645 (0x66D) do NPS. Esse filtro permite o tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP usada por clientes RADIUS mais antigos.
  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1646 (0x66E) do NPS. Esse filtro permite o tráfego contábil RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP usada por clientes RADIUS mais antigos.

Configurar filtros de saída na interface da Internet

Configure os seguintes filtros de saída na interface da Internet do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1812 (0x714) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2865. Se você estiver usando uma porta diferente, substitua o número da porta por 1812.
  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1813 (0x715) do NPS. Esse filtro permite o tráfego contábil RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1645 (0x66D) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP usada por clientes RADIUS mais antigos.
  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1646 (0x66E) do NPS. Esse filtro permite o tráfego contábil RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP usada por clientes RADIUS mais antigos.

Configurar filtros de entrada na interface da rede de perímetro

Configure os seguintes filtros de entrada na interface da rede de perímetro do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1812 (0x714) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2865. Se você estiver usando uma porta diferente, substitua o número da porta por 1812.
  • Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1813 (0x715) do NPS. Esse filtro permite o tráfego contábil RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1645 (0x66D) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP usada por clientes RADIUS mais antigos.
  • (Opcional) Endereço IP de origem da interface da rede de perímetro e porta de origem UDP de 1646 (0x66E) do NPS. Esse filtro permite o tráfego contábil RADIUS do NPS para clientes RADIUS baseados na Internet. Essa é a porta UDP usada por clientes RADIUS mais antigos.

Configurar filtros de saída na interface da rede de perímetro

Configure os seguintes filtros de pacote de saída na interface da rede de perímetro do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1812 (0x714) do NPS. Esse filtro permite o tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2865. Se você estiver usando uma porta diferente, substitua o número da porta por 1812.
  • Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1813 (0x715) do NPS. Esse filtro permite o tráfego contábil RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP padrão usada pelo NPS, conforme definido no RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1645 (0x66D) do NPS. Esse filtro permite o tráfego de autenticação RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP usada por clientes RADIUS mais antigos.
  • (Opcional) Endereço IP de destino da interface da rede de perímetro e porta de destino UDP de 1646 (0x66E) do NPS. Esse filtro permite o tráfego contábil RADIUS de clientes RADIUS baseados na Internet para o NPS. Essa é a porta UDP usada por clientes RADIUS mais antigos.

Para maior segurança, você pode usar os endereços IP de cada cliente RADIUS que envia os pacotes por meio do firewall para definir filtros para o tráfego entre o cliente e o endereço IP do NPS na rede de perímetro.

Filtros na interface da rede de perímetro

Configure os seguintes filtros de pacote de entrada na interface da rede de perímetro do firewall da intranet para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro do NPS. Esse filtro permite o tráfego do NPS na rede de perímetro.

Configure os seguintes filtros de saída na interface da rede de perímetro do firewall da intranet para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro do NPS. Esse filtro permite o tráfego para o NPS na rede de perímetro.

Filtros na interface da intranet

Configure os seguintes filtros de entrada na interface da intranet do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de destino da interface da rede de perímetro do NPS. Esse filtro permite o tráfego para o NPS na rede de perímetro.

Configure os seguintes filtros de pacote de saída na interface da intranet do firewall para permitir os seguintes tipos de tráfego:

  • Endereço IP de origem da interface da rede de perímetro do NPS. Esse filtro permite o tráfego do NPS na rede de perímetro.

Para obter mais informações sobre como gerenciar o NPS, consulte Gerenciar o Servidor de Políticas de Rede.

Para obter mais informações sobre o NPS, confira NPS (Servidor de Políticas de Rede).