Autenticación 802.1x para Nuestra Red Inalámbrica - Blog ASIR

Login
Inicio
diciembre
15
NPS: Autenticacin 802.1x para nuestra red inalmbrica
por Santiago Buitrago (ASIR INTRASITE) el 15/12/2012 20:02
Categora: Windows Serer
Too! "ono"#i! la! e$iliae! e la! ree! inal%&$ri"a!' pero luego a la (ora e la "on)igura"i*n para"e +ue &u"(o! t#"ni"o! tienen p%ni"o a "on)igurar ,02-1.- /o0 en
"one"ti1ia inal%&$ri"a' tanto para la re e ato! "o&o la e 1o2' 0 la e 1o2 "aa a e!t% &%! pre!ente en "a!i too! lo! %&$ito!-Seguro +ue &u"(o! e 1o!otro! "ono"
3irele!! e otra per!ona' !in !u "on!enti&iento 0 en"i&a "on!u&i#nole too el an"(o e $ana e !u "one.i*n a Internet- 4o no 1o0 a e"ir naa al re!pe"to !o$re e!ta p
re!peta&o! a nue!tro pr*5i&o ---- &al ana&o!- 6ero e!to no e! e lo +ue +uiero (a$laro!' ni &u"(o &eno!' pero 1a&o! a 1er "o&o poe&o! tratar e &ini&i2ar el rie!go
7a&o! por parte!' pri&ero ienti)i"are&o! +ue ne"e!ita&o! para "on)igurar ,02-1. en nue!tra e&pre!a- 6artieno e la $a!e e +ue +uere&o! autenti"ar a lo! u!uario 0/o
"erti)i"ao!' e!to e! lo +ue 1a&o! a ne"e!itar:
8na CA para e&itir lo! i!tinto! "erti)i"ao! a u!uario! 0 e+uipo! 1-
8n A6 +ue !oporte ,02-1. 2-
Ser1ior Raiu!: 9ino3! 2000:200; IAS 0 9ino3! 200, : 2012 N6S ;-
Co&o 1e&o! lo! re+ui!ito! no !on naa e.igente!' (o0 por (o0 un A6 +ue !oporte ,02-1. (96A2:Enterpri!e) tiene un "o!te entre <0= 0 120=- 6or lo +ue e! a!e+ui$le par
&u"(o! e 1o!otro! 0a ten#i! e!e e+uipo en 1ue!tra e&pre!a- Si 0a i!pone&o! e too lo ne"e!ario para i&ple&entar ,02-1. en nue!tra e&pre!a' 1a&o! a "o&en2ar "on
!"N#$%&'A!$(N !A
Intala"i*n e una CA: o! e5o a+ui un enla"e a un art"ulo anterior +ue (a$a e!"rito one po#i! 1er "o&o "on)igurar una CA en 9ino3! Ser1er 2012 (e! &u0 !i&ilar en
2012) $nstalacin de una !A
8na 1e2 +ue (e&o! in!talao la CA 1a&o! a "on)igurar una >6? para +ue e&ita "erti)i"ao! e e+uipo 0 u!uario auto&%ti"a&ente' e tal )or&a +ue )or"e&o! la !oli"tu e
6ara ello pri&ero a$ri&o la "on!ola e A&ini!traor e @ire"ti1a! e Seguria 0 "rea&o! una >6? +ue 1in"ulare&o! a ni1el e o&inio' e tal )or&a +ue no! a!egura&o
u!ario!' !i +uere&o! +ue !e apli+ue a too! a e."ep"i*n e alguno! e+uipo! o u!uario!' )iltrare&o! i"(a ire"ti1a-
NPS: Autenticacin 802.1x para nuestra red inalmbrica - Blog ASIR http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?List=9cdf87d5-c7...
1 de 43 16/05/2014 10:08 a.m.

8na 1e2 "reaa la >6? e&pe2a&o! a eitarla' tene&o! +ue "on)igurar la! o! parte! e la ire"ti1a' a ni1el e e+uipo 0 e u!uario:
!on*i+uracin del e,uipo
!on*i+uracin del -,uipo . !on*i+uracin de Windows . !on*i+uracn de Se+uridad . /irectias de clae p0blica . !on*i+uracin de la solicitud de certi
certi*icados automtica ...
2 de 43 16/05/2014 10:08 a.m.
pul!a&o! en Si+uiente
3 de 43 16/05/2014 10:08 a.m.
!ele""iona&o! -,uipo 0 en Si+uiente
4 de 43 16/05/2014 10:08 a.m.
pul!a&o! en #inali1ar
5 de 43 16/05/2014 10:08 a.m.
0 0a tene&o! nue!tra !oli"itu auto&%ti"a e "erti)i"ao! e e+uipo "o&pletaa
6 de 43 16/05/2014 10:08 a.m.
!on*i+uracin de &suarios
!on*i+uracin de &suario . /irectias . !on*i+uracin de Windows . /irectias de clae p0blica . !liente de Sericios de seridor de certi*icados . $nscr
7 de 43 16/05/2014 10:08 a.m.
pero )i5aro! +ue $onita !orpre!a tene&o! a+ui' e!e e!ta ire"ti1a !oli"itar% el "erti)i"ao e u!uario 0 e+uipo a la 1e2' ae&%! "on)igurare&o! la reno1a"i*n auto&%ti"a
Con)igurano e!ta ire"ti1a no ne"e!ita&o! "on)igurar la parte e ire"ti1a el e+uipo' pero (e apro1e"(ao para &o!trar "o&o !e (ara !i ne"e!it%i! "on)igurar !olo la in
autenti"a"i*n e lo! e+uipo! e! la &%! re"o&enaa !i lo! e+uipo! perten"en al o&inio' pue!to +ue el e+uipo 0a !e (a autenti"ao en la re inal%&$ri"a ante! e +ue el u!
i&po!i$le (a &eno! +ue teng%i! (a$ilitao lo! ini"io! e !e!i*n en "a"(e (para &i' no re"o&enao) )- A(ora +ue lo (e&o! "on)igurao Ani"a&ente e$e&o! e!perar a +ue
1a0an e&itieno lo! "erti)i"ao!- @e pa!o 1o0 a e.pli"aro! "o&o poe&o! e1itar +ue a "ierto! u!uario! !e le! apli+ue e!ta "on)igura"i*n' 1a&o! a "rear un grupo e o&in
apli+ue e!ta ire"ti1a a lo! u!uario! +ue !ean &ie&$ro! e i"(o grupo- El grupo +ue (e "reao !e lla&a %P" /en2 $nscripcion !erti*icados 0 (e aBaio "o&o &ie&$
u!uario "ual+uiera' e1itano a! +ue !e le! apli+ue a e!to! u!uario!- 6ero tener en "uenta +ue !i (a"e&o! e!to' 0 !olo (e&o! "on)igurao la parte e ire"ti1a "orre!poni
ini"ien !e!i*n no !oli"itar% el "orre!poniente "erti)i"ao' a! +ue !i +uer#i! porai! e5ar la "on)igurai*n e e+uipo (a$ilitaa- A(ora agregare&o! el grupo
enegare&o! +ue !e apli+ue la ire"ti1a:
8 de 43 16/05/2014 10:08 a.m.
!"N#$%&'A!$(N AP
7o0 a &o!traro! o! A6 i)erente! para +ue 1e%i! "o&o poe&o! "on)igurar "aa uno e ello!' para +ue en1e la! !oli"itue! e autenti"a"i*n a un !er1ior N6S (RA@I8S)-
3A'!A 3"/-4"
LINCS4S 9A6200 9irele!!:> A""e!! 6oint
CISC? C11D0:CE9F:G
WAP200 Wireless.% Access Point
9 de 43 16/05/2014 10:08 a.m.

!isco !1150.67W8.3
aaa new.model
aaa +roup serer radius 'adius-AP
serer 172.198.2:0.12 aut;.port 1812 acct.port 181<
=
dot11 ssid Asirsl.com
max.associations 10
aut;entication open eap -AP>W$#$
aut;entication networ?.eap -AP>W$#$
aut;entication ?e2.mana+ement wpa ersion 2
=
inter*ace /ot11'adio0
encr2ption mode cip;ers aes.ccm t?ip
ssid Asirsl.com
=
radius.serer ;ost 172.198.2.12 aut;.port 1812 acct.port 181< ?e2 clae>conectar>nps

Co&o 1e&o! la "on)igura"i*n e lo! A6 (cliente radius) e! &u0 !en"illa' Ani"a&ente e$e&o! elegir el &oo e !eguria' la I6 el !er1ior RA@I8S 0 la "la1e "o&parti
ello!- A(ora Ani"a&ente no! +uea "on)igura el !er1ior RA@I8S o N6S !egAn la 1er!i*n e 9ino3! Ser1er +ue tenga&o!- 8na 1e2 in!talao el rol e Ser1ior e @ire"ti1
"on)igura"i*n' 0 "on!ta e lo! !iguiente! pa!o!:
'e+istrar Seridor en Actie /irector2 1-
10 de 43 16/05/2014 10:08 a.m.
A@adir los !lientes 'adius 2-
!rear las /irectias de 'ed ;-
A(ora 1o0 a e.pli"ar "aa uno e lo! punto! "o&entao!' 1a&o! a e&pe2ar por Regi!tra el Ser1ior en el A"ti1e @ire"tor0- E!to per&ite (a$ilitar lo! !er1iore! N6S para +u
"uenta e u!uario 0 la! propieae! e a""e!o tele)*ni"o en A"ti1e @ire"tor0' el !er1ior +ue e5e"uta N6S e$e e!tar regi!trao en A"ti1e @ire"tor0- E!to poe&o! (a"erlo
%&$' e!e la "on!ola el Ser1ior e ire"ti1a! e ree! pul!a&o! "on el $ot*n !e"unario el rat*n en"i&a el no&$re el !er1ior 0 pul!a&o! en
pueo &o!trar por+ue lo (a$a (e"(o "on anterioria' pero Ani"a&ente e! pul!ar en Regi!trar -- 0 Aceptar la 1entana e "on)ir&a"i*n)

!4$' e!e una lnea e "o&ano! (CG@) "on ere"(o! a&ini!trati1o! e$e&o! e5e"utar el !iguiente "o&ano:
nets; ras add re+isteredserer
Si +uere&o! aBair nue!tro N6S en otro o&inio e nue!tro $o!+ue' poe&o! (a"erlo ta&$i#n e o! )or&a!- Si lo (a"e&o! &eiante >8I Ani"a&ente e$e&o! agregar a
Seridores 'AS e $AS e i"(o o&inio- 4 !i lo (a"e&o! e!e una lnea e "o&ano! lo (are&o! "on el !iguiente "o&ano: nets; ras add re+isteredserer
8na 1e2 +ue (e&o! regi!trao el N6S' e&pe2are&o! la "on)igura"i*n- A$ri&o! la "on!ola e Ser1ior e ire"ti1a! e Ree! 0 agrega&o! lo! A6 "o&o "liente! Raiu!:
Nombre /escriptio: No&$re "on el +ue i!tinga&o! el A6 +ue e!ta&o! "on)igurano
/ireccin A$P /NSB: La I6 o HI@N el i!po!iti1o !i tene&o! el regi!tro @NS "reao
Secreto !ompartido: Cla1e utili2aa para autenti"ar!e entre a&$o!
!on*irmar Secreto !ompartido: Con)ir&a"i*n e la "la1e utili2aa para autenti"ar!e entre a&$o!

11 de 43 16/05/2014 10:08 a.m.

12 de 43 16/05/2014 10:08 a.m.

A(ora e$e&o! "on)iguar la ire"ti1a e re en la "ual e)inire&o! la! i)erente! "oni"ione! +ue e$e "u&plir un u!uario o e+uipo para autenti"ar!e- 7a&o! a e&pe2ar po
o&inio' 1a&o! a la op"i*n /irectias de red 0 pul!a&o! "on el $ot*n !e"unario el rat*n 0 (a"e&o! "li"J en Nueo 0 poe&o! guiarno! "on el a!i!tente

pri&ero e!"ri$i&o! el no&$re e la ire"ti1a' e$e&o! e!"ri$ir algo e!"ripti1o para +ue no! per&ita ienti"arla' en nue!tro "a!o Autenticacin -,uipos Wireless
13 de 43 16/05/2014 10:08 a.m.

a(ora e$e&o! e&pe2ar a e)inir la! "oni"ione! +ue tenr%n +ue "u&plir lo! e+uipo! para "ontinuar pro"e!ano la ire"ti1a' pu!l!a&o! en A+re+ar
14 de 43 16/05/2014 10:08 a.m.

!ele""iona&o! %rupo de -,uipos 0 pul!a&o! en A+re+ar
15 de 43 16/05/2014 10:08 a.m.

16 de 43 16/05/2014 10:08 a.m.

0o 1o0 a elegir el grupo E+uipo! el @o&inio' pero !i no +uer#i! +ue too! lo! e+uipo! el o&inio puean utili2ar la re 9irele!! "on Certi)i"ao!' e$#i! "rearo! otro g
17 de 43 16/05/2014 10:08 a.m.
18 de 43 16/05/2014 10:08 a.m.

A(ora tene&o! nue!tra pri&era "oni"i*n +ue e$en "u&plir lo! e+uipo! !i !e +uieren "one"tar utili2ano e!ta ire"ti1a e re' tene&o! &Altiple! op"ione! para "on)igurar

19 de 43 16/05/2014 10:08 a.m.

20 de 43 16/05/2014 10:08 a.m.
21 de 43 16/05/2014 10:08 a.m.
22 de 43 16/05/2014 10:08 a.m.
Co&o 1e&o! tene&o! in)inia e po!i$iliae!' a! +ue o! e5o a 1o!otro! la! re1i!#i! "on etalle "aa una e ella!- A(ora +ue (e&o! e)inio la! "oni"ione! ne"e!aria!'
Acceso concedido +ue e! lo +ue $u!"a&o! en e!ta ire"ti1a 0 pul!a&o! en Si+uente

23 de 43 16/05/2014 10:08 a.m.

A(ora llega la parte &%! intere!ante 0 en la "ual e$e&o! pre!tar &u"(a aten"i*n' e!&ar"a&o! toa! lo! 3Ctodos de autenticacin menos se+uros

24 de 43 16/05/2014 10:08 a.m.

a(ora e$e&o! elegir el &#too e autenti"a"i*n +ue per&ita&o! en e!ta regla e re' !ele""iona&o! 3icroso*t: DarEeta inteli+ente u otro certi*icado

25 de 43 16/05/2014 10:08 a.m.

pul!a&o! en -ditar) !ele""iona&o! el "erti)i"ao +ue utili2ar% el !er1ior para ienti)i"ar!e ante! lo! e+uipo! +ue utili"en e!ta regla e re' Aceptamos
26 de 43 16/05/2014 10:08 a.m.
27 de 43 16/05/2014 10:08 a.m.

6oe&o! "on)igurar re!tri""ione!' !i la !oli"itu no "u&ple "on toa! la! re!tri""ione! !e eniega la "one.i*n' no!otro! 1a&o! a e!pe"i)i"ar +ue !e apli"ar% e!ta ire"ti1
e! una "one.i*n inal%&$ri"a- 6ero poe&o! e)inir otra! op"ione!:
Diempo de espera de inactiidad: el tie&po en &inuto! +ue utili2ar% el !er1ior para e!"one"tar una !e!i*n en ina"ti1ia
Diempo de espera de sesin: el tie&po &%.i&o en &inuto! +ue un u!uario puee e!tar "one"tao a la re inal%&$ri"a (en nue!tro "a!o)
$denti*icador de llamada: e!to e! para "one.ione! e &ar"ao' !i +uere&o! (a$ilitar la "one.i*n a eter&inao! nA&ero! e tel#)ono
'estricciones de dFa 2 ;ora: ia! 0 (ora! en lo! +ue !e per&ite la "one.i*n
28 de 43 16/05/2014 10:08 a.m.

pul!a&o! en Si+uiente

a(ora poe&o! "on)igurar atri$uto! ai"ione! e RA@I8S' 6ro1eeore!' Cu&pli&iento e NA6' et"--- e!to lo 1ere&o! en otro art"ulo' pul!a&o! en Si+uiente
29 de 43 16/05/2014 10:08 a.m.

a(ora no! &ue!tra un re!u&en e la ire"ti1a +ue (e&o! ter&inao e "on)igurar 0 pul!a&o! en #inali1ar

30 de 43 16/05/2014 10:08 a.m.

a(ora la tene&o! i!poni$le en la ra&a @ire"ti1a! e Re
31 de 43 16/05/2014 10:08 a.m.

Si a(ora +uere&o! "on)igurar la ire"ti1a para autenti"ar el a""e!o a la re inal%&$ri"a pero en 1e2 e autenti"ar lo! e+uipo! +uere&o! autenti"ar lo! u!uario!' poe&o!
!olo +ue e$e&o! "a&$iar la! "oni"ione!- 6ri&ero 1a&o! a "lonar la ire"ti1a' pul!a&o! "on el $ot*n !e"unario el rat*n 0 !ele""iona&o! /uplicar /irectia

32 de 43 16/05/2014 10:08 a.m.
a(ora !e (a "reao "on el no&$re !opia ..... 0 !e en"uentra e!(a$ilitaa' a! +ue a(ora pri&ero 1a&o! a eitarla 0 1a&o! a la pe!taBa !ondiciones)

33 de 43 16/05/2014 10:08 a.m.
a(ora !ele""iona&o! >rupo! e u!uario! 0 agrega&o! el grupo e u!uario! +ue +uere&o! +ue puean "one"tar!e a la re inal%&$ri"a' 0o 1o0 a aBair
)iltrar +uien !e puee "one"tar

34 de 43 16/05/2014 10:08 a.m.
35 de 43 16/05/2014 10:08 a.m.

a(ora e$e&o! (a$ilitarla' pul!a&o! "on el $ot*n !e"unario el rat*n 0 !ele""iona&o! /a$ilitar
36 de 43 16/05/2014 10:08 a.m.

La! ire"ti1a! e pro"e!an en oren !e"uen"ial e arri$a a a$a5o' la pri&era +ue "oin"ia e! +ue !e apli"a por lo +ue e$e&o! tenerlo &u0 en "uenta- Lo +ue 0o 1o0 a (a"er
pul!o "on el $ot*n !e"unario el rat*n en "aa una e la! ire"ti1a! 0 !ele""iona subir o baEar !egAn pro"ea-

37 de 43 16/05/2014 10:08 a.m.

6or Alti&o +ueara "on)igurar lo! e+uipo! "liente!' "o&o 0a a&o! por (e"(o e +ue tienen lo! "erti)i"ao! "orre!poniente!' !olo e$e&o! "on)igurar el per)il e la re
"one.i*n inal%&$ri"a +ue autenti"ar% lo! e+uipo!:

38 de 43 16/05/2014 10:08 a.m.
39 de 43 16/05/2014 10:08 a.m.

para "on)igurar la "one.i*n +ue autenti+ue "on el "erti)i"ao el u!uario! e$e&o! &oi)i"ar Ani"a&ente la !on*i+uracin aan1ada 0 !ele""ionar
40 de 43 16/05/2014 10:08 a.m.
8na 1e2 "on)igurao el e+uipo intentar% "one"tar a la re inal%&$ri"a 0 el A6 en1iar% la !oli"itu e autenti"a"i*n al N6S' all poe&o! re1i!ar el L?> para 1er !i !e (a
toa! la! "oni"ione! e!ta$le"ia!' !e "one"tar% a la re e&pre!arial

L?> e N6S:

1E2-1<,-0-50'(o!t/A!irport01-a!ir!l-"o&'12/15/2012'1E:;5:D,'IAS'SR7:CENTRAL1'D'1E2-1<,-0-50'5'0';0'HC:HB:HB:02:<A:0E';1'A0:,,:BD:0E:@D:CC'12'1D00'<1'1E'FF'
,02-11$'D10,'1E2-1<,-100-;'D11<'0'D12,'SR7:7GG00'D15D'8!ar autenti"a"i*n e 9ino3! para too! lo! u!uario!'D155'1'D12E'ASIRSLKASIR6?RT01L'D12F'5'D1DE'Au
41 de 43 16/05/2014 10:08 a.m.
1E2-1<,-250-10 0E/1;/2012 00:21:2, 1FE,5',1;<'1',15;'0',111'0'D1;0'a!ir!l-"o&/A!ir!l/E+uipo!/E+uipo!/ASIR6?RT01'D1;2'Gi"ro!o)t: Tar5eta inteligente u otro "erti)i
1E2-1<,-0-50'(o!t/A!irport01-a!ir!l-"o&'12/15/2012'1E:;5:D,'IAS'SR7:CENTRAL1'25';11 1 1E2-1<,-250-10 0E/1;/2012 00:21:2, 1FE,5',15;'0',111'0'D1;2'Gi"ro!o)t
"erti)i"ao'D10,'1E2-1<,-100-;'D11<'0'D12,'SR7:7GG00'D15D'8!ar autenti"a"i*n e 9ino3! para too! lo! u!uario!'D155'1'D12E'ASIRSLKASIR6?RT01L'D12F'5'D1DE'A
9irele!!',1;<'1'F'1'<'2'D2EDE<F20F'2'D2EDE<F20<'D'D1;0'a!ir!l-"o&/A!ir!l/E+uipo!/E+uipo!/ASIR6?RT01'D1;<'2'D1D2'0

No! o! )i5#i! en lo! no&$re! e la ire"ti1a ni !er1iore!' pue!to +ue no utili2o el LAB para "on)igurar &i re inal%&$ri"a' "on &%! "oni"ione! 0 re!tri""ione! pero la a

Si utili2a!e la autenti"a"i*n e u!uario !era "on el !iguiente "erti)i"ao
E!to !e puee "o&pli"ar tanto "o&o +uer%i!' 0a e! "o!a 1ue!tra la aapta"i*n a 1ue!tra e&pre!a- 6ero "o&o 1#i! no e! e."e!i1a&ente "o&ple5o' pero tiene &Altiple! op"ion
(e&o! 1i!to NA6' pero lo (ar# en otro art"ulo pero e! &u0 intere!ante-
A(ora tenre&o! un ni1el e !eguria intere!ante' ae&%! e poer "ontrolar e!e el A@ +uien puee "one"tar!e' un regi!tro! e L?>S' et"---
E!pero +ue o! !ea e utiliaMMM
N N 1 !omentarioAsB
Como sabis he creado una comunidad tcnica (UCOMSSP) para que todos podamos comparr nuestras inquietudes y experien
comentarios sobre algn ar!culo" consultas o dudas las hag#is directamente en UCOMSSP (hp://www.ucomsenespanol.com
por $uestra colaboraci%n
An+el castro
errosesG;otmail.com
$S!
/ola' tiene algun li&ite e "liente! raiu!' en lo parti"ular para 3ino3! !er1er 2012 e!tanarO-->ra"ia!
Co&entario!
42 de 43 16/05/2014 10:08 a.m.
el 0E/0,/201; 20:5F
No&$re
E&ail
Ttulo
Cuerpo *
Capt"(a *
Agregar "o&entario
43 de 43 16/05/2014 10:08 a.m.

Autenticación 802.1x para Nuestra Red Inalámbrica - Blog ASIR

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Autenticación 802.1x para Nuestra Red Inalámbrica - Blog ASIR

Uploaded by

Copyright:

Available Formats

Login

You might also like