3. Corporativa inalmbrico y por cable 802.

1X (Nativo Suplicante)
Una de las caractersticas ms comunes implementados en ISE es la
autenticacin 802.1X para dispositivos corporativos. Aqu hablamos de dos
protocolos de autenticacin ms populares: PAEP (nombre de usuario /
contrasea basada) y EAP-TLS (certificado basado). Nuestras manifestaciones
son slo aplicables al equipo con Windows, pero usted puede hacer que
funcione en Macintosh. Como notas al margen, esta caracterstica tambin se
puede implementar en Cisco ACS as que esto es nada nico a ISE.

SEC0043 - ISE 1.1 con cable 802.1X y autenticacin en la mquina con PEAP
SEC0044 - ISE 1.1 inalmbrico 802.1X y autenticacin en la mquina con PEAP
SEC0045 - ISE 1.1 con cable 802.1X y autenticacin en la mquina con EAP-TLS
SEC0046 - ISE 1.1 inalmbrico 802.1X y autenticacin en la mquina con EAPTLS

Tambin hemos incluido aqu cmo utilizar GPO para distribuir la configuracin
de red para el cliente de Windows para aquellos ingenieros de redes por ah
que pueden no saber demasiado acerca de GPO. :-)

SEC0042 - Windows 2008 con cable e inalmbrica Configurar Despliegue con

GPO

-------------------------------------------------------------------Qu son las GPO, polticas de grupo en Windows Server?

Vamos a tratar de comprender que son las polticas de grupo o GPO de
Windows Server, una herramienta fundamental que nos da Microsoft para
administrar la infraestructura de nuestro dominio.

Bsicamente las polticas nos dan el control de los equipos de la red, pudiendo
establecer configuraciones para los distintos componentes de sistema
operativo, para poder lograrlo vamos a necesitar un Windows Server que tenga
el servicio o rol de active directory, y podremos aplicar la configuracin a sitios,
dominios, unidades organizativas. Tambin debemos tener en claro que las
polticas pueden aplicarse a equipos y usuarios.

gpopolicy

Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre,

son aplicadas a su vez a sus hijos, es decir:

Las OUs de primer nivel heredan del Dominio

Las OUs hijas heredan de las de primer nivel
Las OUs de nivel 3 heredan de las hijas
Vamos a familiarizarnos con algunos conceptos fundamentales sobre las GPO:

Herencia de GPOs: si aplico una poltica en el nivel ms alto del dominio,

bosque o sitio, se distribuir a los equipos o usuarios que esten en los niveles
inferiores.
Bloqueo de Herencia de GPOs: sirve para evitar que se apliquen
configuraciones a determinados equipos o usuarios del dominio, por lo general
se usa para no aplicarle a los administradores de dominio o equipos puntuales.
GPOs Exigidas: vamos a usar esta opcin cuando queremos estar seguros que
desde usuarios hasta administradores tengan aplicadas las polticas en la
infraestructura, por lo tanto si esta exigida se va a forzar a que se aplique la
herencia.

--------------------------------------------------------------------

El video que usted gua a travs la configuracin de cableado 802.1X con PEAP
en Cisco ISE. Vamos a ver cmo configurar las polticas de autenticacin y
autorizacin para apoyar tanto la autenticacin de usuario y la mquina, cmo
restringir el acceso a la red con DACL, y cmo usar Restriccin de acceso de la
mquina (MAR) para correlacionar las sesiones de usuario y de la mquina para
asegurar un usuario puede tener acceso a la red slo desde un ordenador
(corporativa) de dominio. Vamos a realizar las pruebas de los equipos, tanto de
dominio y no de dominio y observar los resultados de la autenticacin.

Tema:
Autenticacin de usuarios y de la mquina con PEAP
Poltica Elemento Condicin
Autorizacin (Condicin Compuesto)

Elemento Poltica Resultado

Autenticacin (Protocolo de mascotas)
Autorizacin (Descargable ACL)
Autorizacin (Autorizacin Perfil)
poltica de autenticacin
poltica de autorizacin
Nota:
PEAP es una autenticacin basada en contraseas con MSCHAPv2.
Con PEAP, aunque no se requiere certificado de cliente, el certificado raz de
servidor tiene que ser de confianza o la validacin del certificado debe ser
exento en el suplicante cliente
Autenticacin de la mquina slo ocurre en el inicio de sesin de Windows
Cuenta log-off o una mquina de reinicio puede ser necesario para forzar la
autenticacin del equipo