Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Cliente de servicios de Cisco Secure con autenticación EAP-FAST

Anuncio 
Cliente de servicios de Cisco Secure con autenticación EAP-FAST
Contenido
Introducción
Requisitos previos
Requisito
Componentes utilizados
Convenciones
Parámetros de diseño
Base de datos
Cifrado
Credenciales de inicio de sesión único y de la máquina
Diagrama de la red
Configuración de Access Control Server (ACS)
Adición de puntos de acceso como cliente AAA (NAS) en ACS
Configuración de ACS para consultar la base de datos externa
Activación del soporte EAP-FAST en ACS
Controlador para redes WLAN de Cisco
Configuración del controlador para redes LAN inalámbricas
Funcionamiento básico y registro de LAP en el controlador
Autenticación RADIUS mediante Cisco Secure ACS
Configuración de los parámetros de WLAN
Verificación del funcionamiento
Apéndice
Captura de sabueso para intercambio EAP-FAST
Depuración en el controlador para redes WLAN
Introducción
Este documento describe cómo configurar cliente de servicios de Cisco Secure (CSSC) con los controladores para redes LAN inalámbricas, el
software de Microsoft Windows 2000® y Cisco Secure Access Control Server (ACS) 4.0 mediante EAP-FAST. Este documento presenta la
arquitectura de EAP-FAST y proporciona ejemplos de implementación y configuración. CSSC es el componente de software de cliente que
proporciona la comunicación de credenciales de usuario a la infraestructura para autenticar un usuario en la red y asignar un acceso adecuado.
Éstas son algunas de las ventajas de la solución CSSC descritas en este documento:
Autenticación de cada usuario (o dispositivo) antes de concederle acceso a la WLAN/LAN con el protocolo de autenticación extensible
(EAP)
Solución de seguridad de WLAN de extremo a extremo con componentes de servidor, autenticador y cliente
Solución común para autenticación alámbrica e inalámbrica
Proceso dinámico, gracias a claves de cifrado de usuario derivadas en el proceso de autenticación
Ningún requisito para infraestructura de claves públicas (PKI) o certificados (verificación de certificados opcional)
Asignación de política de acceso o marco EAP activado por NAC
Nota: Consulte Plano SAFE inalámbrico de Cisco (en inglés) para obtener información sobre la implementación de una red inalámbrica segura.
El marco de autenticación 802.1x se ha incorporado como parte de la norma 802.11i (Seguridad de redes LAN inalámbricas) para permitir las
funciones de autenticación, autorización y contabilidad basada en capa 2 en una red LAN inalámbrica 802.11. Hoy en día, hay varios protocolos
EAP disponibles para la implementación en redes alámbricas e inalámbricas. Entre los protocolos EAP más implementados se incluyen LEAP,
PEAP y EAP-TLS. Además de estos protocolos, Cisco ha definido e implementado el protocolo de autenticación EAP flexible mediante túnel
seguro (EAP-FAST), como un protocolo EAP basado en normas disponible para implementación en redes LAN alámbricas e inalámbricas. La
especificación del protocolo EAP-FAST está a disposición del público en el sitio Web de IETF (en inglés).
Al igual que con otros protocolos EAP, EAP-FAST es una arquitectura de seguridad de cliente-servidor que cifra transacciones EAP en un túnel
TLS. Aunque es similar a PEAP o EAP-TTLS en este sentido, la diferencia radica en que el establecimiento de túneles EAP-FAST se basa en
claves secretas compartidas seguras que son únicas para cada usuario, mientras que en PEAP/EAP-TTLS se utiliza un certificado X.509 de
servidor para proteger la sesión de autenticación. Estas claves secretas compartidas se denominan credenciales de acceso protegido (PAC) y se
pueden distribuir de forma automática (aprovisionamiento automático o en banda) o manual (aprovisionamiento manual o fuera de banda) a los
dispositivos cliente. Puesto que las entradas en contacto basadas en secretos compartidos son más eficaces que las basadas en una infraestructura
PKI, EAP-FAST es el tipo de EAP más rápido y que menos uso de procesador exige entre los que proporcionan intercambios de autenticación
protegidos. EAP-FAST también está diseñado para simplificar la implementación, puesto que no requiere ningún certificado en el cliente de LAN
inalámbrica o en la infraestructura RADIUS e incorpora un mecanismo de aprovisionamiento integrado.
Éstas son algunas de las principales capacidades del protocolo EAP-FAST:
Inicio de sesión único (SSO) con nombre de usuario/contraseña de Windows
Compatibilidad con la ejecución de secuencia de comandos de conexión
Compatibilidad con acceso Wi-Fi protegido (WPA) sin un solicitante de terceros (sólo Windows 2000 y XP)
Implementación sencilla sin requisitos de infraestructura PKI
Desactualización de contraseñas de Windows (es decir, compatibilidad con el vencimiento de contraseñas basado en servidor)
Integración con Cisco Trust Agent para el control de admisión a la red con el software de cliente adecuado
Requisitos previos
Requisito
Se asume que el instalador tiene conocimientos sobre la instalación básica de Windows 2003 y la instalación del WLC de Cisco puesto que este
documento sólo abarca las configuraciones específicas para facilitar las pruebas.
Para obtener información sobre la instalación y configuración iniciales de los controladores de la serie 4400 de Cisco, consulte Quick Start
Guide: Cisco 4400 Series Wireless LAN Controllers (Guía de inicio rápido: controladores para redes LAN inalámbricas de la serie 4400 de
Cisco). Para obtener información sobre la instalación y configuración iniciales de los controladores de la serie 2000 de Cisco, consulte Quick
Start Guide: Cisco 2000 Series Wireless LAN Controllers (Guía de inicio rápido: controladores para redes LAN inalámbricas de la serie 2000 de
Cisco).
Antes de empezar, instale Microsoft Windows Server 2000 con el software del último service pack. Instale los controladores y los puntos de
acceso ligeros (LAP) y asegúrese de que se han configurado las últimas actualizaciones de software.
Componentes utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware:
Controlador de la serie 2006 o 4400 de Cisco que ejecute 4.0.155.5
Cisco 1242 LWAPP AP
Windows 2000 con Active Directory
Switch Catalyst 3750G de Cisco
Windows XP con tarjeta adaptadora CB21AG y cliente de servicios de Cisco Secure versión 4.05
Convenciones
Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.
Parámetros de diseño
Base de datos
Al implementar una red WLAN y buscar un protocolo de autenticación, se suele preferir el uso de una base de datos actual para la autenticación
usuario/máquina. Las bases de datos típicas que se pueden utilizar son Windows Active Directory, LDAP o una base de datos One Time
Password (OTP) (es decir, RSA o SecureID). Todas estas bases de datos son compatibles con el protocolo EAP-FAST, pero al planificar la
implementación se deben tener en cuenta algunos requisitos de compatibilidad. La implementación inicial de un archivo PAC en clientes se
realiza mediante aprovisionamiento automático anónimo, aprovisionamiento autenticado (mediante el certificado X.509 de cliente actual) o
aprovisionamiento manual. Para este documento se consideran el aprovisionamiento automático anónimo y el aprovisionamiento manual.
El aprovisionamiento de PAC automático utiliza el protocolo de acuerdo de claves Diffie-Hellman autenticado (ADHP) para establecer un túnel
seguro. El túnel seguro se puede establecer de forma anónima o mediante un mecanismo de autenticación del servidor. En la conexión de túnel
establecida, MS-CHAPv2 se utiliza para autenticar al cliente y, una vez realizada la autenticación correctamente, para distribuir el archivo PAC al
cliente. Una vez aprovisionado correctamente el PAC, no se puede utilizar el archivo PAC para iniciar una nueva sesión de autenticación EAPFAST con el fin de obtener acceso a la red segura.
El aprovisionamiento de PAC automático es relevante para la base de datos en uso porque, como el mecanismo de aprovisionamiento automático
confía en MSCHAPv2, la base de datos utilizada para autenticar usuarios debe ser compatible con este formato de contraseña. Si utiliza EAPFAST con una base de datos que no admita el formato MSCHAPv2 (como OTP, Novell o LDAP), es necesario emplear otro mecanismo (es
decir, aprovisionamiento manual o autenticado) para implementar archivos PAC de usuario. Este documento ofrece un ejemplo del
aprovisionamiento automático con una base de datos de usuario de Windows.
Cifrado
La autenticación EAP-FAST no requiere el uso de un tipo de cifrado de WLAN concreto. El tipo de cifrado de WLAN que se va a utilizar está
determinado por las capacidades de la tarjeta NIC de cliente. Se recomienda emplear el cifrado WPA2 (AES-CCM) o WPA (TKIP), según las
capacidades de la tarjeta NIC en la implementación concreta. Tenga en cuenta que la solución de WLAN de Cisco permite la coexistencia de
dispositivos cliente WPA2 y WPA en un SSID común.
Si los dispositivos cliente no admiten WPA2 o WPA, es posible implementar la autenticación 802.1X con claves WEP dinámicas, pero, debido a
los ataques conocidos contra las claves WEP, no se recomienda este mecanismo de cifrado de WLAN. Si se necesita compatibilidad con clientes
sólo WEP, se recomienda emplear un intervalo de tiempo de espera de la sesión, que requiere que los clientes deriven una nueva clave WEP en
un intervalo frecuente. El intervalo de sesión recomendado para velocidades de datos de WLAN típicas es treinta minutos.
Credenciales de inicio de sesión único y de la máquina
El inicio de sesión único hace referencia a la capacidad de utilizar un inicio de sesión de usuario único o entrada de credenciales de autenticación
para acceder a varias aplicaciones o varios dispositivos. Para efectos de este documento, el inicio de sesión único hace referencia al uso de las
credenciales para iniciar sesión en un PC para la autenticación en la WLAN.
Con el cliente de servicios de Cisco Secure, se pueden utilizar las credenciales de inicio de sesión de un usuario para autenticarse también en la
red WLAN. Si se desea autenticar una PC en la red antes de que el usuario inicie sesión en el PC, es necesario utilizar credenciales de usuario
almacenadas o vinculadas a un perfil de máquina. Cualquiera de estos métodos resulta útil en casos en los que se desea ejecutar secuencias de
comandos de inicio de sesión o asignar unidades al iniciar el PC, en contraposición a cuando un usuario inicia sesión.
Diagrama de la red
Éste es el diagrama de la red utilizado en el documento. En esta red se utilizan cuatro subredes. Tenga en cuenta que no es necesario segmentar
estos dispositivos en distintas redes, pero permite la mayor flexibilidad para la integración con redes reales. El controlador para redes LAN
inalámbricas integradas Catalyst 3750G proporciona puertos de switches de alimentación a través de Ethernet (POE), conmutación L3 y
capacidad de controlador para redes WLAN en un chasis común.
1.
2.
3.
4.
La red 10.1.1.0 es la red del servidor donde reside ACS.
La red 10.10.80.0 es la red de administración utilizada por el controlador para redes WLAN.
La red 10.10.81.0 es la red donde residen los AP.
La red 10.10.82.0 se utiliza para los clientes de WLAN.
Configuración de Access Control Server (ACS)
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados
en este documento.
Adición de puntos de acceso como cliente AAA (NAS) en ACS
Esta sección describe cómo configurar ACS para EAP-FAST con aprovisionamiento PAC en banda con Windows Active Directory como base de
datos externa.
1. Inicie sesión en ACS > Network Configuration (ACS > Configuración de red) y haga clic en Add Entry (Agregar entrada).
2. Complete el nombre del controlador para redes WLAN, la dirección IP, la clave secreta compartida y, en Authenticate Using (Autenticarse
mediante), seleccione RADIUS (Cisco Airespace), que también incluye atributos del IETF de RADIUS.
Nota: Si están activados los grupos de dispositivos de red (NDG), elija primero el NDG adecuado y agréguele el controlador para redes
WLAN. Consulte ACS Configuration Guide (Guía de configuración de ACS) para obtener más información sobre los NDG.
3. Haga clic en Submit + Restart (Enviar + Reiniciar).
Configuración de ACS para consultar la base de datos externa
Esta sección describe cómo configurar ACS para consultar la base de datos externa.
1. Haga clic en External User Databases > Database Configuration > Windows Database > Configure (Bases de datos usuarios externos
> Configuración de la base de datos > Base de datos de Windows > Configurar).
2. En Configure Domain List (Configurar lista de dominio), mueva dominios de Available Domains (Dominios disponibles) a Domain List
(Lista de dominio).
Nota: El servidor que ejecuta ACS debe tener conocimientos sobre estos dominios para que la aplicación ACS detecte y utilice esos
dominios para la autenticación.
3. En Windows EAP Settings (Configuraciones EAP de Windows), configure la opción para permitir el cambio de contraseña en una sesión
PEAP o EAP-FAST. Consulte Configuration Guide for Cisco Secure ACS 4.1 (Guía de configuración para Cisco Secure ACS 4.1) para
obtener más información sobre EAP-FAST y la desactualización de contraseñas de Windows.
4. Haga clic en Submit (Enviar).
Nota: También puede activar la función Dialin Permission (Permiso de marcación) para EAP-FAST en la configuración de la base de datos
de usuarios de Windows para permitir que la base de datos externa de Windows controle los permisos de acceso. La configuración de MSCHAP para el cambio de contraseña en la página de configuración de la base de datos de Windows sólo se aplica a la autenticación MSCHAP que no sea EAP. Para permitir el cambio de contraseña junto con EAP-FAST, es necesario activar el cambio de contraseña en
Windows EAP Settings (Configuraciones EAP de Windows).
5. Haga clic en External User Databases > Unknown User Policy (Bases de datos de usuarios externas > Política de usuario desconocida) y
seleccione el botón de radio Check the following external user databases (Comprobar las siguientes bases de datos de usuarios externas).
6. Mueva Windows Database (Base de datos de Windows) de External Databases (Bases de datos externas) a Selected Databases (Bases de
datos seleccionadas).
7. Haga clic en Submit (Enviar).
Nota: De ahora en adelante, ACS comprueba la base de datos de Windows. Si no se encuentra el usuario en la base de datos de ACS local,
lo coloca en el grupo predeterminado de ACS. Consulte la documentación de ACS para obtener más información sobre asignaciones de
grupos de bases de datos.
Nota: A medida que ACS consulta la base de datos de Microsoft Active Directory para verificar las credenciales de usuario, es necesario
configurar valores de derechos de acceso adicionales en Windows. Consulte Installation Guide for Cisco Secure ACS for Windows Server
(Guía de instalación de Cisco Secure ACS para Windows Server) para obtener más información.
Activación del soporte EAP-FAST en ACS
Esta sección describe cómo activar la compatibilidad de EAP-FAST en ACS.
1. Vaya a System Configuration > Global Authentication Setup > EAP-FAST Configuration (Configuración del sistema > Configuración
de autenticación global > Configuración EAP-FAST).
2. Seleccione Allow EAP-FAST (Permitir EAP-FAST).
3. Configure estas recomendaciones: Master key TTL/Retired master key TTL/PAC TTL (TTL de clave maestra/TTL de clave maestra
retirada/TTL de PAC). Estos parámetros están configurados de forma predeterminada en Cisco Secure ACS:
Master Key TTL:1 month (TTL de clave maestra: 1 mes)
Retired Key TTL: 3 months (TTL de clave retirada: 3 meses)
PAC TTL: 1 week (TTL de PAC: 1 semana)
4. Complete el campo Authority ID Info (Información de ID de autoridad). Este texto se muestra en algún software de cliente EAP-FAST en
el que la selección de la autoridad de PAC es el controlador.
Nota: El cliente de servicios de Cisco Secure no emplea este texto descriptivo para la autoridad de PAC.
5. Seleccione el campo Allow in-band PAC provisioning (Permitir aprovisionamiento PAC en banda). Este campo permite el
aprovisionamiento PAC automático para los clientes EAP-FAST activados correctamente. Para este ejemplo se emplea el
aprovisionamiento automático.
6. En Allowed inner methods (Métodos internos permitidos), seleccione EAP-GTC y EAP-MSCHAP2. Esto permite el funcionamiento de
los clientes EAP-FAST v1 y EAP-FAST v1a. El cliente de servicios de Cisco Secure admite EAP-FAST v1a. Si no es necesario admitir
clientes EAP-FAST v1, sólo es necesario activar EAP-MSCHAPv2 como método interno.
7. Active la casilla de verificación EAP-FAST Master Server (Servidor maestro EAP-FAST) para activar este servidor EAP-FAST como
maestro. Esto permite que otros servidores ACS utilicen este servidor como autoridad de PAC maestra para impedir el aprovisionamiento
de claves únicas para cada ACS de una red. Consulte ACS Configuration Guide (Guía de configuración de ACS) para obtener más
información.
8. Haga clic en Submit + Restart (Enviar + Reiniciar).
Controlador para redes WLAN de Cisco
A los efectos de esta guía de implementación, se utiliza un controlador para redes LAN inalámbricas (WLC) integradas Cisco WS3750G con AP
ligeros (LAP) AP1240 de Cisco para proporcionar la infraestructura de WLAN para las pruebas de CSSC. La configuración es aplicable a
cualquier controlador para redes WLAN de Cisco. La versión de software empleada es 4.0.155.5.
Configuración del controlador para redes LAN inalámbricas
Funcionamiento básico y registro de LAP en el controlador
Utilice el asistente de configuración de inicio en la interfaz de línea de comandos (CLI) a fin de configurar WLC para un funcionamiento básico.
Asimismo, puede utilizar la interfaz gráfica de usuario para configurar WLC. Este documento explica la configuración de WLC con el asistente
de configuración de inicio en la CLI.
Después de iniciar WLC por primera vez, accede al asistente de configuración de inicio. Utilice el asistente de configuración para realizar la
configuración básica. Puede acceder el asistente a través de la CLI o la interfaz gráfica de usuario. A continuación se muestra un ejemplo del
asistente de configuración de inicio de la CLI:
Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_33:84:a0]: ws-3750
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): *****
Management Interface IP Address: 10.10.80.3
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.80.2
Management Interface VLAN Identifier (0 = untagged):
Management Interface DHCP Server IP Address: 10.10.80.2
AP Manager Interface IP Address: 10.10.80.4
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (172.16.1.1):
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: Security
Network Name (SSID): Enterprise
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code (enter 'help' for a list of countries) [US]:
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes
Configuration saved!
Resetting system with new configuration.
Estos parámetros configuran el WLC para un funcionamiento básico. En esta configuración de ejemplo, WLC utiliza 10.10.80.3 como dirección
IP de la interfaz de administración y 10.10.80.4 como dirección IP de la interfaz del administrador de AP.
Antes de poder configurar cualquier otra función en los WLC, se tienen que registrar los LAP con el WLC. En este documento se asume que el
LAP está registrado en WLC. Consulte la sección sobre registro del AP ligero en WLC (en inglés) de Ejemplo de configuración de error del
controlador para redes WLAN para puntos de acceso ligeros (en inglés) para obtener más información sobre cómo se registran los AP ligeros con
WLC. Como referencia a este ejemplo de configuración, los AP1240 se implementan en una subred independiente (10.10.81.0/24) del
controlador para redes WLAN (10.10.80.0/24) y la opción 43 del DHCP se utiliza para proporcionar la detección de controlador.
Autenticación RADIUS mediante Cisco Secure ACS
WLC se debe configurar para reenviar las credenciales de usuario al servidor Cisco Secure ACS. A continuación, el servidor ACS valida las
credenciales de usuario (mediante la base de datos de Windows configurada) y proporciona acceso a los clientes inalámbricos.
Complete estos pasos para configurar WLC de forma que se comunique con el servidor ACS:
1. Haga clic en Security (Seguridad) y RADIUS Authentication (Autenticación RADIUS) en la interfaz gráfica de usuario del controlador
para visualizar la página RADIUS Authentication Servers (Servidores de autenticación RADIUS). A continuación, haga clic en New
(Nuevo) para definir el servidor ACS.
2. Defina los parámetros del servidor ACS en la página RADIUS Authentication Servers > New (Servidores de autenticación RADIUS >
Nuevo). Entre estos parámetros se incluyen la dirección IP del servidor, la contraseña, el número de puerto y el estado del servidor.
Nota: Los números de puerto 1645 o 1812 son compatibles con ACS para autenticación RADIUS.
Las casillas de verificación Network User (Usuario de red) y Management (Administración) determinan si la autenticación basada en
RADIUS se aplica a usuarios de red (por ejemplo, clientes WLAN) y a la administración (es decir, usuarios administrativos). La
configuración de ejemplo utiliza Cisco Secure ACS como servidor RADIUS con la dirección IP 10.1.1.12:
Configuración de los parámetros de WLAN
Esta sección describe la configuración del cliente de servicios de Cisco Secure. En este ejemplo, CSSC v4.0.5.4783 se utiliza con un adaptador de
cliente CB21AG de Cisco. Antes de la instalación del software CSSC, verifique que sólo están instalados los controladores para CB21AG, no
Aironet Desktop Utility (ADU).
Una vez que el software se instala y se ejecuta como servicio, busca redes disponibles y las muestra.
Nota: CSSC desactiva la configuración rápida de Windows.
Nota: Sólo se encuentran visibles los SSID activados para transmisión.
Nota: El controlador para redes WLAN, de forma predeterminada, transmite el SSID, por lo que se muestra en la lista de Create Networks (Crear
redes) de los SSID buscados. Para crear un perfil de red, puede simplemente hacer clic en el SSID en la lista (Enterprise) y en el botón de radio
Create Network (Crear red).
Si la infraestructura de WLAN se configura con el SSID de multidifusión desactivado, debe agregarlo manualmente. Haga clic en el botón de
radio Add (Agregar) en Access Devices (Dispositivos de acceso) e introduzca manualmente el SSID adecuado (por ejemplo, Enterprise).
Configure el comportamiento del sondeo activo para el cliente, es decir, dónde el cliente realiza el sondeo activo de su SSID configurado.
Especifique Actively search for this access device (Buscar activamente este dispositivo de acceso) después de introducir el SSID en la ventana
Add Access Device (Agregar dispositivo de acceso).
Nota: La configuración de puerto no permite los modos de empresa (802.1X) si no se configura primero la autenticación EAP para el perfil.
El botón de radio Create Network (Crear red) inicia la ventana Network Profile (Perfil de red), que permite asociar el SSID seleccionado (o
configurado) con un mecanismo de autenticación. Asigne un nombre descriptivo al perfil.
Nota: Se pueden asociar varios tipos de seguridad de WLAN o SSID en este perfil de autenticación.
Para que el cliente se conecte automáticamente a la red cuando esté dentro de la cobertura RF, seleccione Automatically establish User
connection (Establecer automáticamente una conexión de usuario). Desactive Available to all users (Disponible para todos los usuarios) si no
desea utilizar este perfil con otras cuentas de usuario en la máquina. Si no se selecciona Automatically establish (Establecer automáticamente),
es necesario que el usuario abra la ventana de CSSC e inicie automáticamente la conexión WLAN con el botón de radio Connect (Conectar).
Si desea iniciar la conexión WLAN antes de que el usuario inicie sesión, active Before user account (Antes que la cuenta de usuario). Esto
permite una operación de inicio de sesión único con credenciales de usuario guardadas (contraseña o certificado/tarjeta inteligente cuando utiliza
TLS en EAP-FAST).
Nota: Para un operación WPA/TKIP con el adaptador de cliente de la serie 350 de Cisco Aironet, es necesario desactivar la validación de entrada
en contacto de WPA puesto que actualmente existe una incompatibilidad entre el cliente CSSC y los controladores 350 con respecto a la
validación de hash de la entrada en contacto de WPA. Esto se desactiva en Client > Advanced Settings > WPA/WPA2 Handshake Validation
(Cliente > Parámetros avanzados > Validación de entrada en contacto de WPA/WPA2). La validación de entrada en contacto desactivada sigue
permitiendo las funciones de seguridad inherentes en WPA (codificación por paquete TKIP y verificación de la integridad del mensaje), pero
desactiva la autenticación inicial con clave WPA.
En Network Configuration Summary (Resumen de configuración de red), haga clic en Modify (Modificar) para configurar los valores de
EAP/credenciales. Especifique Turn On (Activar) para la autenticación, seleccione FAST como protocolo y elija Use 'Anonymous' as Identity
(Usar "Anónimo" como identidad), para no utilizar ningún nombre de usuario en la solicitud de EAP inicial. Se puede utilizar Use Username as
Identity (Usar nombre de usuario como identidad) como identidad de EAP externa, pero muchos clientes no desean exponer sus ID de usuario en
la solicitud de EAP no cifrada inicial. Especifique Use Single Sign on Credentials (Utilizar credenciales de inicio de sesión único) para utilizar
credenciales de inicio de sesión para la autenticación de red. Haga clic en Configure (Configurar) para configurar parámetros de EAP-FAST.
En FAST settings (Configuración de FAST), se puede especificar Validate Server Certificate (Validar certificado de servidor), que permite al
cliente validar el certificado de servidor EAP-FAST (ACS) antes de establecer una sesión EAP-FAST. Esto proporciona protección a los
dispositivos cliente frente a la conexión a un servidor EAP-FAST desconocido o no autorizado y el envío involuntario de las credenciales de
autenticación a un origen no confiable. Esto requiere que el servidor ACS tenga un certificado instalado y el cliente también tenga instalado el
correspondiente certificado de la autoridad de certificación raíz. En este ejemplo, no está activada la validación de certificado de servidor.
En FAST settings (Configuración de FAST), es posible especificar Allow Fast Session Resumption (Permitir reanudación de sesión rápida) que
permite reanudar una sesión EAP-FAST según la información del túnel (sesión de TLS) en lugar de tener que realizar una autenticación EAPFAST completa. Si el servidor EAP-FAST y el cliente conocen la información de la sesión de TLS negociada en el intercambio de autenticación
EAP-FAST inicial, se puede producir la reanudación de la sesión.
Nota: El servidor y el cliente EAP-FAST deben estar configurados para reanudar sesiones EAP-FAST.
En Tunneled Method > EAP-TLS Settings (Método de túnel > Configuración EAP-TLS), especifique Any Method (Cualquier método) para
permitir EAP-MSCHAPv2 para el aprovisionamiento automático de PAC y EAP-GTC para la autenticación. Si utiliza una base de datos con
formato de Microsoft, como Active Directory, y no admite clientes EAP-FAST v1 en la red, también puede especificar el uso exclusivo de
MSCHAPv2 como opción de Tunneled Method (Método de túnel).
Nota: En esta ventana la opción Validate Server Certificate (Validar certificado de servidor) está activada de forma predeterminada en EAP-TLS
settings (Configuración de EAP-TLS). Puesto que en el ejemplo no se utiliza EAP-TLS como método de autenticación interno, este campo no se
aplica. Si se activa este campo, permite al cliente validar el certificado de servidor además de la validación de servidor del certificado de cliente
en EAP-TLS.
Haga clic en OK (Aceptar) para guardar la configuración de EAP-FAST. Puesto que el cliente está configurado para el "establecimiento
automático" en el perfil, inicia automáticamente una asociación/autenticación con la red. En la ficha Manage Networks (Administrar redes), los
campos Network (Red), Status (Estado) y Data Security (Seguridad de datos) indican el estado de conexión del cliente. En el ejemplo, se utiliza
el perfil de red Enterprise y el dispositivo de acceso a red es el SSID Enterprise, que indica Connected:Authenticated (Conectado:Autenticado) y
utiliza Autoconnect (Conectar automáticamente). El campo Data Security (Seguridad de datos) indica el tipo de cifrado 802.11 empleado, que
para este ejemplo es WPA2.
Una vez autenticado el cliente, elija SSID en el perfil en la ficha Manage Networks (Administrar redes) y haga clic en Status (Estado) para
consultar los detalles de conexión. La ventana Connection Details (Detalles de conexión) proporciona información sobre el dispositivo cliente, el
estado de conexión y estadísticas, así como el método de autenticación. La ficha WiFi Details (Detalles de WiFi) ofrece detalles sobre el estado
de la conexión 802.11, que incluye RSSI, el canal 802.11 y la autenticación/cifrado.
Como administrador del sistema, tiene autorización para la utilidad de diagnóstico Informe del sistema del cliente de servicios de Cisco Secure,
que está disponible con la distribución estándar de CSSC. Esta utilidad está disponible en el menú Start (Inicio) o en el directorio CSSC. Para
obtener datos, haga clic en Collect Data > Copy to Clipboard > Locate Report File (Recopilar datos > Copiar en portapapeles > Localizar
archivo de informe). De esta forma, se dirige una ventana del Explorador de archivos de Microsoft al directorio que contiene el archivo de
informe comprimido. En el archivo comprimido, los datos más útiles están en el registro (log_current).
La utilidad ofrece el estado actual del CSSC, la interfaz y detalles del controlador, junto con la información de WLAN (SSID detectado, estado
de asociación, etc.). Esto puede resultar útil, especialmente para diagnosticar problemas de conectividad entre el CSSC y el adaptador de WLAN.
Verificación del funcionamiento
Después de configurar el servidor Cisco Secure ACS, el controlador para redes WLAN y el cliente CSSC, y de que la configuración y la
inclusión de información de la base datos sean correctas, la red WLAN está configurada para la autenticación EAP-FAST y para la comunicación
segura del cliente. Existen varios puntos que se pueden supervisar para comprobar el progreso o lo errores de una sesión segura.
Para comprobar la configuración, intente asociar un cliente inalámbrico al controlador para redes WLAN con la autenticación EAP-FAST.
1. Si CSSC está configurado para conexión automática, el cliente intenta la conexión automáticamente. Si no se ha configurado para conexión
automática ni para el inicio de sesión único, el usuario debe iniciar la conexión WLAN mediante el botón de radio Connect (Conectar).
Así se inicia el proceso de asociación de 802.11 con el que se produce la autenticación EAP.
A continuación se ofrece un ejemplo:
2. Posteriormente se solicita al usuario que proporcione el nombre de usuario y, a continuación, la contraseña para la autenticación EAPFAST (de la autoridad de PAC EAP-FAST o ACS).
A continuación se ofrece un ejemplo:
3. El cliente CSSC, mediante WLC, transfiere las credenciales de usuario al servidor RADIUS (Cisco Secure ACS) para validarlas. ACS
verifica las credenciales de usuario comparándolas con los datos y la base de datos configurada (en la configuración de ejemplo, la base de
datos externa es Windows Active Directory), y proporciona acceso al cliente inalámbrico siempre que las credenciales de usuario sean
válidas. El informe Passed Authentications (Autenticaciones aprobadas) del servidor ACS muestra que el cliente ha pasado correctamente
la autenticación RADIUS/EAP.
A continuación se ofrece un ejemplo:
4. Tras una autenticación RADIUS/EAP correcta, el cliente inalámbrico (00:40:96:ab:36:2f en este ejemplo) se autentica con el controlador
AP/WLAN.
Apéndice
Además de la información de diagnóstico y de estado, que está disponible en el servidor Cisco Secure ACS y en el controlador para redes WLAN
de Cisco, existen puntos adicionales que se pueden utilizar para diagnosticar la autenticación EAP-FAST. Aunque se pueden diagnosticar la
mayoría de problemas de autenticación sin utilizar un sabueso de WLAN ni depurar intercambios de EAP en el controlador para redes WLAN,
este material de referencia se incluye para ayudar a solucionar problemas.
Captura de sabueso para intercambio EAP-FAST
Esta captura de sabueso 802.11 muestra el intercambio de autenticación.
Este paquete muestra la respuesta EAP inicial de EAP-FAST.
Nota: Tal y como se configuró en el cliente CSSC, se utiliza "anónimo" como identidad de EAP externa en la respuesta EAP inicial.
Depuración en el controlador para redes WLAN
Se pueden emplear estos comandos de depuración en el controlador para redes WLAN para supervisar el progreso del intercambio de
autenticación:
debug aaa events enable
debug aaa detail enable
debug dot1x events enable
debug dot1x states enable
A continuación, se muestra un ejemplo del inicio de una transacción de autenticación entre el cliente CSSC y ACS, como se supervisa en el
controlador para redes WLAN con las depuraciones:
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
00:40:96:a0:36:2f Processing RSN IE type 48, length 20 for mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f Received RSN IE with 0 PMKIDs from mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Connecting state
00:40:96:a0:36:2f Sending EAP-Request/Identity to mobile 00:40:96:a0:36:2f (EAP Id 1)
00:40:96:a0:36:2f Received Identity Response (count=1) from mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f EAP State update from Connecting to Authenticating for mobile 00:40:96:a0:
00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticating state
00:40:96:a0:36:2f Entering Backend Auth Response state for mobile 00:40:96:a0:36:2f
AuthenticationRequest: 0x138dd764
Callback.....................................0x10372764
protocolType.................................0x00040001
proxyState...................................00:40:96:A0:36:2F-11:00
Packet contains 15 AVPs (not shown)
00:40:96:a0:36:2f Successful transmission of Authentication Packet (id 84) to 10.1.1.12:1812
****Enter processIncomingMessages: response code=11
****Enter processRadiusResponse: response code=11
00:40:96:a0:36:2f Access-Challenge received from RADIUS server 10.1.1.12 for mobile 00:40:96
AuthorizationResponse: 0x11c8a394
structureSize................................147
resultCode...................................255
protocolUsed.................................0x00000001
proxyState...................................00:40:96:A0:36:2F-11:00
Packet contains 4 AVPs (not shown)
00:40:96:a0:36:2f Processing Access-Challenge for mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f Entering Backend Auth Req state (id=249) for mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f WARNING: updated EAP-Identifer 1 ===> 249 for STA 00:40:96:a0:36:2f
00:40:96:a0:36:2f Sending EAP Request from AAA to mobile 00:40:96:a0:36:2f (EAP Id 249)
00:40:96:a0:36:2f Received EAP Response from mobile 00:40:96:a0:36:2f (EAP Id 249, EAP Type
Ésta es la finalización correcta del intercambio de EAP desde la depuración del controlador (sin autenticación WPA2):
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
qosLevel: -1, dscp:
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
Thu Aug 24 18:20:54
2006: 00:40:96:a0:36:2f Processing Access-Accept for mobile 00:40:96:a0:36:2f
2006: 00:40:96:a0:36:2f Applying new AAA override for station 00:40:96:a0:36:2f
2006: 00:40:96:a0:36:2f Override values for station 00:40:96:a0:36:2f source: 4, valid bits: 0x0
0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, r1'
2006: 00:40:96:a0:36:2f Unable to apply override policy for station 00:40:96:a0:36:2f - VapAllowRa
2006: 00:40:96:a0:36:2f Creating a new PMK Cache Entry for station 00:40:96:a0:36:2f (RSN 2)
2006: 00:40:96:a0:36:2f Adding BSSID 00:14:1b:5a:33:d0 to PMKID cache for station 00:40:96:a0:36:2
2006: New PMKID: (16)
2006:
[0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b
2006: 00:40:96:a0:36:2f Sending EAP-Success to mobile 00:40:96:a0:36:2f (EAP Id 0)
2006: Including PMKID in M1 (16)
2006:
[0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Thu
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
Aug
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
24
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:54
18:20:57
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
2006:
00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state INITPMK (messa
00:40:96:a0:36:2f Entering Backend Auth Success state (id=0) for mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f Received Auth Success while in Authenticating state for mobile 00:40:96:a0
00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticated state
00:40:96:a0:36:2f Received EAPOL-Key from mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36:
00:40:96:a0:36:2f Received EAPOL-key in PKT_START state (message 2) from mobile 00:40:96:a0:
00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state PTKINITNEGOTIA
00:40:96:a0:36:2f Received EAPOL-Key from mobile 00:40:96:a0:36:2f
00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36:
00:40:96:a0:36:2f Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 00:
AccountingMessage Accounting Interim: 0x138dd764
Packet contains 20 AVPs:
AVP[01] User-Name................................enterprise (10 bytes)
AVP[02] Nas-Port.................................0x0000001d (29) (4 bytes)
AVP[03] Nas-Ip-Address...........................0x0a0a5003 (168448003) (4 bytes)
AVP[04] Class....................................CACS:0/28b5/a0a5003/29 (22 bytes)
AVP[05] NAS-Identifier...........................ws-3750 (7 bytes)
AVP[06] Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes)
AVP[07] Acct-Session-Id..........................44ede3b0/00:40:96:a0:36:2f/14 (29
AVP[08] Acct-Authentic...........................0x00000001 (1) (4 bytes)
AVP[09] Tunnel-Type..............................0x0000000d (13) (4 bytes)
AVP[10] Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes)
AVP[11] Tunnel-Group-Id..........................0x3832 (14386) (2 bytes)
AVP[12] Acct-Status-Type.........................0x00000003 (3) (4 bytes)
AVP[13] Acct-Input-Octets........................0x000b99a6 (760230) (4 bytes)
AVP[14] Acct-Output-Octets.......................0x00043a27 (277031) (4 bytes)
AVP[15] Acct-Input-Packets.......................0x0000444b (17483) (4 bytes)
AVP[16] Acct-Output-Packets......................0x0000099b (2459) (4 bytes)
AVP[17] Acct-Session-Time........................0x00000a57 (2647) (4 bytes)
AVP[18] Acct-Delay-Time..........................0x00000000 (0) (4 bytes)
AVP[19] Calling-Station-Id.......................10.10.82.11 (11 bytes)
AVP[20] Called-Station-Id........................10.10.80.3 (10 bytes)
00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f
User admin authenticated
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 15 Abril 2008
http://www.cisco.com/cisco/web/support/LA/9/97/97993_CSSC_Deployment_Guide.html
Documentos relacionados
paños para plastico
paños para plastico
Entrega de notas de la Segunda Evaluación
Entrega de notas de la Segunda Evaluación
Prime ra Se man a d e C lase s - Pre se n tar Ru tin as y Pro ce d
Prime ra Se man a d e C lase s - Pre se n tar Ru tin as y Pro ce d
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Propuesta de trabajo a distancia
Actividad de clase: Propuesta de trabajo a distancia
Tectónica
Tectónica
IVe-Traducción
IVe-Traducción
Grupo editor - La Palabra Universitaria
Grupo editor - La Palabra Universitaria
Hecho Relevante: prenda financiación OPA
Hecho Relevante: prenda financiación OPA
Descargar
Anuncio
Anuncio