Cliente de servicios de Cisco Secure con autenticación EAP-FAST Contenido Introducción Requisitos previos Requisito Componentes utilizados Convenciones Parámetros de diseño Base de datos Cifrado Credenciales de inicio de sesión único y de la máquina Diagrama de la red Configuración de Access Control Server (ACS) Adición de puntos de acceso como cliente AAA (NAS) en ACS Configuración de ACS para consultar la base de datos externa Activación del soporte EAP-FAST en ACS Controlador para redes WLAN de Cisco Configuración del controlador para redes LAN inalámbricas Funcionamiento básico y registro de LAP en el controlador Autenticación RADIUS mediante Cisco Secure ACS Configuración de los parámetros de WLAN Verificación del funcionamiento Apéndice Captura de sabueso para intercambio EAP-FAST Depuración en el controlador para redes WLAN Introducción Este documento describe cómo configurar cliente de servicios de Cisco Secure (CSSC) con los controladores para redes LAN inalámbricas, el software de Microsoft Windows 2000® y Cisco Secure Access Control Server (ACS) 4.0 mediante EAP-FAST. Este documento presenta la arquitectura de EAP-FAST y proporciona ejemplos de implementación y configuración. CSSC es el componente de software de cliente que proporciona la comunicación de credenciales de usuario a la infraestructura para autenticar un usuario en la red y asignar un acceso adecuado. Éstas son algunas de las ventajas de la solución CSSC descritas en este documento: Autenticación de cada usuario (o dispositivo) antes de concederle acceso a la WLAN/LAN con el protocolo de autenticación extensible (EAP) Solución de seguridad de WLAN de extremo a extremo con componentes de servidor, autenticador y cliente Solución común para autenticación alámbrica e inalámbrica Proceso dinámico, gracias a claves de cifrado de usuario derivadas en el proceso de autenticación Ningún requisito para infraestructura de claves públicas (PKI) o certificados (verificación de certificados opcional) Asignación de política de acceso o marco EAP activado por NAC Nota: Consulte Plano SAFE inalámbrico de Cisco (en inglés) para obtener información sobre la implementación de una red inalámbrica segura. El marco de autenticación 802.1x se ha incorporado como parte de la norma 802.11i (Seguridad de redes LAN inalámbricas) para permitir las funciones de autenticación, autorización y contabilidad basada en capa 2 en una red LAN inalámbrica 802.11. Hoy en día, hay varios protocolos EAP disponibles para la implementación en redes alámbricas e inalámbricas. Entre los protocolos EAP más implementados se incluyen LEAP, PEAP y EAP-TLS. Además de estos protocolos, Cisco ha definido e implementado el protocolo de autenticación EAP flexible mediante túnel seguro (EAP-FAST), como un protocolo EAP basado en normas disponible para implementación en redes LAN alámbricas e inalámbricas. La especificación del protocolo EAP-FAST está a disposición del público en el sitio Web de IETF (en inglés). Al igual que con otros protocolos EAP, EAP-FAST es una arquitectura de seguridad de cliente-servidor que cifra transacciones EAP en un túnel TLS. Aunque es similar a PEAP o EAP-TTLS en este sentido, la diferencia radica en que el establecimiento de túneles EAP-FAST se basa en claves secretas compartidas seguras que son únicas para cada usuario, mientras que en PEAP/EAP-TTLS se utiliza un certificado X.509 de servidor para proteger la sesión de autenticación. Estas claves secretas compartidas se denominan credenciales de acceso protegido (PAC) y se pueden distribuir de forma automática (aprovisionamiento automático o en banda) o manual (aprovisionamiento manual o fuera de banda) a los dispositivos cliente. Puesto que las entradas en contacto basadas en secretos compartidos son más eficaces que las basadas en una infraestructura PKI, EAP-FAST es el tipo de EAP más rápido y que menos uso de procesador exige entre los que proporcionan intercambios de autenticación protegidos. EAP-FAST también está diseñado para simplificar la implementación, puesto que no requiere ningún certificado en el cliente de LAN inalámbrica o en la infraestructura RADIUS e incorpora un mecanismo de aprovisionamiento integrado. Éstas son algunas de las principales capacidades del protocolo EAP-FAST: Inicio de sesión único (SSO) con nombre de usuario/contraseña de Windows Compatibilidad con la ejecución de secuencia de comandos de conexión Compatibilidad con acceso Wi-Fi protegido (WPA) sin un solicitante de terceros (sólo Windows 2000 y XP) Implementación sencilla sin requisitos de infraestructura PKI Desactualización de contraseñas de Windows (es decir, compatibilidad con el vencimiento de contraseñas basado en servidor) Integración con Cisco Trust Agent para el control de admisión a la red con el software de cliente adecuado Requisitos previos Requisito Se asume que el instalador tiene conocimientos sobre la instalación básica de Windows 2003 y la instalación del WLC de Cisco puesto que este documento sólo abarca las configuraciones específicas para facilitar las pruebas. Para obtener información sobre la instalación y configuración iniciales de los controladores de la serie 4400 de Cisco, consulte Quick Start Guide: Cisco 4400 Series Wireless LAN Controllers (Guía de inicio rápido: controladores para redes LAN inalámbricas de la serie 4400 de Cisco). Para obtener información sobre la instalación y configuración iniciales de los controladores de la serie 2000 de Cisco, consulte Quick Start Guide: Cisco 2000 Series Wireless LAN Controllers (Guía de inicio rápido: controladores para redes LAN inalámbricas de la serie 2000 de Cisco). Antes de empezar, instale Microsoft Windows Server 2000 con el software del último service pack. Instale los controladores y los puntos de acceso ligeros (LAP) y asegúrese de que se han configurado las últimas actualizaciones de software. Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: Controlador de la serie 2006 o 4400 de Cisco que ejecute 4.0.155.5 Cisco 1242 LWAPP AP Windows 2000 con Active Directory Switch Catalyst 3750G de Cisco Windows XP con tarjeta adaptadora CB21AG y cliente de servicios de Cisco Secure versión 4.05 Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento. Parámetros de diseño Base de datos Al implementar una red WLAN y buscar un protocolo de autenticación, se suele preferir el uso de una base de datos actual para la autenticación usuario/máquina. Las bases de datos típicas que se pueden utilizar son Windows Active Directory, LDAP o una base de datos One Time Password (OTP) (es decir, RSA o SecureID). Todas estas bases de datos son compatibles con el protocolo EAP-FAST, pero al planificar la implementación se deben tener en cuenta algunos requisitos de compatibilidad. La implementación inicial de un archivo PAC en clientes se realiza mediante aprovisionamiento automático anónimo, aprovisionamiento autenticado (mediante el certificado X.509 de cliente actual) o aprovisionamiento manual. Para este documento se consideran el aprovisionamiento automático anónimo y el aprovisionamiento manual. El aprovisionamiento de PAC automático utiliza el protocolo de acuerdo de claves Diffie-Hellman autenticado (ADHP) para establecer un túnel seguro. El túnel seguro se puede establecer de forma anónima o mediante un mecanismo de autenticación del servidor. En la conexión de túnel establecida, MS-CHAPv2 se utiliza para autenticar al cliente y, una vez realizada la autenticación correctamente, para distribuir el archivo PAC al cliente. Una vez aprovisionado correctamente el PAC, no se puede utilizar el archivo PAC para iniciar una nueva sesión de autenticación EAPFAST con el fin de obtener acceso a la red segura. El aprovisionamiento de PAC automático es relevante para la base de datos en uso porque, como el mecanismo de aprovisionamiento automático confía en MSCHAPv2, la base de datos utilizada para autenticar usuarios debe ser compatible con este formato de contraseña. Si utiliza EAPFAST con una base de datos que no admita el formato MSCHAPv2 (como OTP, Novell o LDAP), es necesario emplear otro mecanismo (es decir, aprovisionamiento manual o autenticado) para implementar archivos PAC de usuario. Este documento ofrece un ejemplo del aprovisionamiento automático con una base de datos de usuario de Windows. Cifrado La autenticación EAP-FAST no requiere el uso de un tipo de cifrado de WLAN concreto. El tipo de cifrado de WLAN que se va a utilizar está determinado por las capacidades de la tarjeta NIC de cliente. Se recomienda emplear el cifrado WPA2 (AES-CCM) o WPA (TKIP), según las capacidades de la tarjeta NIC en la implementación concreta. Tenga en cuenta que la solución de WLAN de Cisco permite la coexistencia de dispositivos cliente WPA2 y WPA en un SSID común. Si los dispositivos cliente no admiten WPA2 o WPA, es posible implementar la autenticación 802.1X con claves WEP dinámicas, pero, debido a los ataques conocidos contra las claves WEP, no se recomienda este mecanismo de cifrado de WLAN. Si se necesita compatibilidad con clientes sólo WEP, se recomienda emplear un intervalo de tiempo de espera de la sesión, que requiere que los clientes deriven una nueva clave WEP en un intervalo frecuente. El intervalo de sesión recomendado para velocidades de datos de WLAN típicas es treinta minutos. Credenciales de inicio de sesión único y de la máquina El inicio de sesión único hace referencia a la capacidad de utilizar un inicio de sesión de usuario único o entrada de credenciales de autenticación para acceder a varias aplicaciones o varios dispositivos. Para efectos de este documento, el inicio de sesión único hace referencia al uso de las credenciales para iniciar sesión en un PC para la autenticación en la WLAN. Con el cliente de servicios de Cisco Secure, se pueden utilizar las credenciales de inicio de sesión de un usuario para autenticarse también en la red WLAN. Si se desea autenticar una PC en la red antes de que el usuario inicie sesión en el PC, es necesario utilizar credenciales de usuario almacenadas o vinculadas a un perfil de máquina. Cualquiera de estos métodos resulta útil en casos en los que se desea ejecutar secuencias de comandos de inicio de sesión o asignar unidades al iniciar el PC, en contraposición a cuando un usuario inicia sesión. Diagrama de la red Éste es el diagrama de la red utilizado en el documento. En esta red se utilizan cuatro subredes. Tenga en cuenta que no es necesario segmentar estos dispositivos en distintas redes, pero permite la mayor flexibilidad para la integración con redes reales. El controlador para redes LAN inalámbricas integradas Catalyst 3750G proporciona puertos de switches de alimentación a través de Ethernet (POE), conmutación L3 y capacidad de controlador para redes WLAN en un chasis común. 1. 2. 3. 4. La red 10.1.1.0 es la red del servidor donde reside ACS. La red 10.10.80.0 es la red de administración utilizada por el controlador para redes WLAN. La red 10.10.81.0 es la red donde residen los AP. La red 10.10.82.0 se utiliza para los clientes de WLAN. Configuración de Access Control Server (ACS) En esta sección encontrará la información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en este documento. Adición de puntos de acceso como cliente AAA (NAS) en ACS Esta sección describe cómo configurar ACS para EAP-FAST con aprovisionamiento PAC en banda con Windows Active Directory como base de datos externa. 1. Inicie sesión en ACS > Network Configuration (ACS > Configuración de red) y haga clic en Add Entry (Agregar entrada). 2. Complete el nombre del controlador para redes WLAN, la dirección IP, la clave secreta compartida y, en Authenticate Using (Autenticarse mediante), seleccione RADIUS (Cisco Airespace), que también incluye atributos del IETF de RADIUS. Nota: Si están activados los grupos de dispositivos de red (NDG), elija primero el NDG adecuado y agréguele el controlador para redes WLAN. Consulte ACS Configuration Guide (Guía de configuración de ACS) para obtener más información sobre los NDG. 3. Haga clic en Submit + Restart (Enviar + Reiniciar). Configuración de ACS para consultar la base de datos externa Esta sección describe cómo configurar ACS para consultar la base de datos externa. 1. Haga clic en External User Databases > Database Configuration > Windows Database > Configure (Bases de datos usuarios externos > Configuración de la base de datos > Base de datos de Windows > Configurar). 2. En Configure Domain List (Configurar lista de dominio), mueva dominios de Available Domains (Dominios disponibles) a Domain List (Lista de dominio). Nota: El servidor que ejecuta ACS debe tener conocimientos sobre estos dominios para que la aplicación ACS detecte y utilice esos dominios para la autenticación. 3. En Windows EAP Settings (Configuraciones EAP de Windows), configure la opción para permitir el cambio de contraseña en una sesión PEAP o EAP-FAST. Consulte Configuration Guide for Cisco Secure ACS 4.1 (Guía de configuración para Cisco Secure ACS 4.1) para obtener más información sobre EAP-FAST y la desactualización de contraseñas de Windows. 4. Haga clic en Submit (Enviar). Nota: También puede activar la función Dialin Permission (Permiso de marcación) para EAP-FAST en la configuración de la base de datos de usuarios de Windows para permitir que la base de datos externa de Windows controle los permisos de acceso. La configuración de MSCHAP para el cambio de contraseña en la página de configuración de la base de datos de Windows sólo se aplica a la autenticación MSCHAP que no sea EAP. Para permitir el cambio de contraseña junto con EAP-FAST, es necesario activar el cambio de contraseña en Windows EAP Settings (Configuraciones EAP de Windows). 5. Haga clic en External User Databases > Unknown User Policy (Bases de datos de usuarios externas > Política de usuario desconocida) y seleccione el botón de radio Check the following external user databases (Comprobar las siguientes bases de datos de usuarios externas). 6. Mueva Windows Database (Base de datos de Windows) de External Databases (Bases de datos externas) a Selected Databases (Bases de datos seleccionadas). 7. Haga clic en Submit (Enviar). Nota: De ahora en adelante, ACS comprueba la base de datos de Windows. Si no se encuentra el usuario en la base de datos de ACS local, lo coloca en el grupo predeterminado de ACS. Consulte la documentación de ACS para obtener más información sobre asignaciones de grupos de bases de datos. Nota: A medida que ACS consulta la base de datos de Microsoft Active Directory para verificar las credenciales de usuario, es necesario configurar valores de derechos de acceso adicionales en Windows. Consulte Installation Guide for Cisco Secure ACS for Windows Server (Guía de instalación de Cisco Secure ACS para Windows Server) para obtener más información. Activación del soporte EAP-FAST en ACS Esta sección describe cómo activar la compatibilidad de EAP-FAST en ACS. 1. Vaya a System Configuration > Global Authentication Setup > EAP-FAST Configuration (Configuración del sistema > Configuración de autenticación global > Configuración EAP-FAST). 2. Seleccione Allow EAP-FAST (Permitir EAP-FAST). 3. Configure estas recomendaciones: Master key TTL/Retired master key TTL/PAC TTL (TTL de clave maestra/TTL de clave maestra retirada/TTL de PAC). Estos parámetros están configurados de forma predeterminada en Cisco Secure ACS: Master Key TTL:1 month (TTL de clave maestra: 1 mes) Retired Key TTL: 3 months (TTL de clave retirada: 3 meses) PAC TTL: 1 week (TTL de PAC: 1 semana) 4. Complete el campo Authority ID Info (Información de ID de autoridad). Este texto se muestra en algún software de cliente EAP-FAST en el que la selección de la autoridad de PAC es el controlador. Nota: El cliente de servicios de Cisco Secure no emplea este texto descriptivo para la autoridad de PAC. 5. Seleccione el campo Allow in-band PAC provisioning (Permitir aprovisionamiento PAC en banda). Este campo permite el aprovisionamiento PAC automático para los clientes EAP-FAST activados correctamente. Para este ejemplo se emplea el aprovisionamiento automático. 6. En Allowed inner methods (Métodos internos permitidos), seleccione EAP-GTC y EAP-MSCHAP2. Esto permite el funcionamiento de los clientes EAP-FAST v1 y EAP-FAST v1a. El cliente de servicios de Cisco Secure admite EAP-FAST v1a. Si no es necesario admitir clientes EAP-FAST v1, sólo es necesario activar EAP-MSCHAPv2 como método interno. 7. Active la casilla de verificación EAP-FAST Master Server (Servidor maestro EAP-FAST) para activar este servidor EAP-FAST como maestro. Esto permite que otros servidores ACS utilicen este servidor como autoridad de PAC maestra para impedir el aprovisionamiento de claves únicas para cada ACS de una red. Consulte ACS Configuration Guide (Guía de configuración de ACS) para obtener más información. 8. Haga clic en Submit + Restart (Enviar + Reiniciar). Controlador para redes WLAN de Cisco A los efectos de esta guía de implementación, se utiliza un controlador para redes LAN inalámbricas (WLC) integradas Cisco WS3750G con AP ligeros (LAP) AP1240 de Cisco para proporcionar la infraestructura de WLAN para las pruebas de CSSC. La configuración es aplicable a cualquier controlador para redes WLAN de Cisco. La versión de software empleada es 4.0.155.5. Configuración del controlador para redes LAN inalámbricas Funcionamiento básico y registro de LAP en el controlador Utilice el asistente de configuración de inicio en la interfaz de línea de comandos (CLI) a fin de configurar WLC para un funcionamiento básico. Asimismo, puede utilizar la interfaz gráfica de usuario para configurar WLC. Este documento explica la configuración de WLC con el asistente de configuración de inicio en la CLI. Después de iniciar WLC por primera vez, accede al asistente de configuración de inicio. Utilice el asistente de configuración para realizar la configuración básica. Puede acceder el asistente a través de la CLI o la interfaz gráfica de usuario. A continuación se muestra un ejemplo del asistente de configuración de inicio de la CLI: Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_33:84:a0]: ws-3750 Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Management Interface IP Address: 10.10.80.3 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.80.2 Management Interface VLAN Identifier (0 = untagged): Management Interface DHCP Server IP Address: 10.10.80.2 AP Manager Interface IP Address: 10.10.80.4 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (172.16.1.1): Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: Security Network Name (SSID): Enterprise Allow Static IP Addresses [YES][no]: yes Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configuration saved! Resetting system with new configuration. Estos parámetros configuran el WLC para un funcionamiento básico. En esta configuración de ejemplo, WLC utiliza 10.10.80.3 como dirección IP de la interfaz de administración y 10.10.80.4 como dirección IP de la interfaz del administrador de AP. Antes de poder configurar cualquier otra función en los WLC, se tienen que registrar los LAP con el WLC. En este documento se asume que el LAP está registrado en WLC. Consulte la sección sobre registro del AP ligero en WLC (en inglés) de Ejemplo de configuración de error del controlador para redes WLAN para puntos de acceso ligeros (en inglés) para obtener más información sobre cómo se registran los AP ligeros con WLC. Como referencia a este ejemplo de configuración, los AP1240 se implementan en una subred independiente (10.10.81.0/24) del controlador para redes WLAN (10.10.80.0/24) y la opción 43 del DHCP se utiliza para proporcionar la detección de controlador. Autenticación RADIUS mediante Cisco Secure ACS WLC se debe configurar para reenviar las credenciales de usuario al servidor Cisco Secure ACS. A continuación, el servidor ACS valida las credenciales de usuario (mediante la base de datos de Windows configurada) y proporciona acceso a los clientes inalámbricos. Complete estos pasos para configurar WLC de forma que se comunique con el servidor ACS: 1. Haga clic en Security (Seguridad) y RADIUS Authentication (Autenticación RADIUS) en la interfaz gráfica de usuario del controlador para visualizar la página RADIUS Authentication Servers (Servidores de autenticación RADIUS). A continuación, haga clic en New (Nuevo) para definir el servidor ACS. 2. Defina los parámetros del servidor ACS en la página RADIUS Authentication Servers > New (Servidores de autenticación RADIUS > Nuevo). Entre estos parámetros se incluyen la dirección IP del servidor, la contraseña, el número de puerto y el estado del servidor. Nota: Los números de puerto 1645 o 1812 son compatibles con ACS para autenticación RADIUS. Las casillas de verificación Network User (Usuario de red) y Management (Administración) determinan si la autenticación basada en RADIUS se aplica a usuarios de red (por ejemplo, clientes WLAN) y a la administración (es decir, usuarios administrativos). La configuración de ejemplo utiliza Cisco Secure ACS como servidor RADIUS con la dirección IP 10.1.1.12: Configuración de los parámetros de WLAN Esta sección describe la configuración del cliente de servicios de Cisco Secure. En este ejemplo, CSSC v4.0.5.4783 se utiliza con un adaptador de cliente CB21AG de Cisco. Antes de la instalación del software CSSC, verifique que sólo están instalados los controladores para CB21AG, no Aironet Desktop Utility (ADU). Una vez que el software se instala y se ejecuta como servicio, busca redes disponibles y las muestra. Nota: CSSC desactiva la configuración rápida de Windows. Nota: Sólo se encuentran visibles los SSID activados para transmisión. Nota: El controlador para redes WLAN, de forma predeterminada, transmite el SSID, por lo que se muestra en la lista de Create Networks (Crear redes) de los SSID buscados. Para crear un perfil de red, puede simplemente hacer clic en el SSID en la lista (Enterprise) y en el botón de radio Create Network (Crear red). Si la infraestructura de WLAN se configura con el SSID de multidifusión desactivado, debe agregarlo manualmente. Haga clic en el botón de radio Add (Agregar) en Access Devices (Dispositivos de acceso) e introduzca manualmente el SSID adecuado (por ejemplo, Enterprise). Configure el comportamiento del sondeo activo para el cliente, es decir, dónde el cliente realiza el sondeo activo de su SSID configurado. Especifique Actively search for this access device (Buscar activamente este dispositivo de acceso) después de introducir el SSID en la ventana Add Access Device (Agregar dispositivo de acceso). Nota: La configuración de puerto no permite los modos de empresa (802.1X) si no se configura primero la autenticación EAP para el perfil. El botón de radio Create Network (Crear red) inicia la ventana Network Profile (Perfil de red), que permite asociar el SSID seleccionado (o configurado) con un mecanismo de autenticación. Asigne un nombre descriptivo al perfil. Nota: Se pueden asociar varios tipos de seguridad de WLAN o SSID en este perfil de autenticación. Para que el cliente se conecte automáticamente a la red cuando esté dentro de la cobertura RF, seleccione Automatically establish User connection (Establecer automáticamente una conexión de usuario). Desactive Available to all users (Disponible para todos los usuarios) si no desea utilizar este perfil con otras cuentas de usuario en la máquina. Si no se selecciona Automatically establish (Establecer automáticamente), es necesario que el usuario abra la ventana de CSSC e inicie automáticamente la conexión WLAN con el botón de radio Connect (Conectar). Si desea iniciar la conexión WLAN antes de que el usuario inicie sesión, active Before user account (Antes que la cuenta de usuario). Esto permite una operación de inicio de sesión único con credenciales de usuario guardadas (contraseña o certificado/tarjeta inteligente cuando utiliza TLS en EAP-FAST). Nota: Para un operación WPA/TKIP con el adaptador de cliente de la serie 350 de Cisco Aironet, es necesario desactivar la validación de entrada en contacto de WPA puesto que actualmente existe una incompatibilidad entre el cliente CSSC y los controladores 350 con respecto a la validación de hash de la entrada en contacto de WPA. Esto se desactiva en Client > Advanced Settings > WPA/WPA2 Handshake Validation (Cliente > Parámetros avanzados > Validación de entrada en contacto de WPA/WPA2). La validación de entrada en contacto desactivada sigue permitiendo las funciones de seguridad inherentes en WPA (codificación por paquete TKIP y verificación de la integridad del mensaje), pero desactiva la autenticación inicial con clave WPA. En Network Configuration Summary (Resumen de configuración de red), haga clic en Modify (Modificar) para configurar los valores de EAP/credenciales. Especifique Turn On (Activar) para la autenticación, seleccione FAST como protocolo y elija Use 'Anonymous' as Identity (Usar "Anónimo" como identidad), para no utilizar ningún nombre de usuario en la solicitud de EAP inicial. Se puede utilizar Use Username as Identity (Usar nombre de usuario como identidad) como identidad de EAP externa, pero muchos clientes no desean exponer sus ID de usuario en la solicitud de EAP no cifrada inicial. Especifique Use Single Sign on Credentials (Utilizar credenciales de inicio de sesión único) para utilizar credenciales de inicio de sesión para la autenticación de red. Haga clic en Configure (Configurar) para configurar parámetros de EAP-FAST. En FAST settings (Configuración de FAST), se puede especificar Validate Server Certificate (Validar certificado de servidor), que permite al cliente validar el certificado de servidor EAP-FAST (ACS) antes de establecer una sesión EAP-FAST. Esto proporciona protección a los dispositivos cliente frente a la conexión a un servidor EAP-FAST desconocido o no autorizado y el envío involuntario de las credenciales de autenticación a un origen no confiable. Esto requiere que el servidor ACS tenga un certificado instalado y el cliente también tenga instalado el correspondiente certificado de la autoridad de certificación raíz. En este ejemplo, no está activada la validación de certificado de servidor. En FAST settings (Configuración de FAST), es posible especificar Allow Fast Session Resumption (Permitir reanudación de sesión rápida) que permite reanudar una sesión EAP-FAST según la información del túnel (sesión de TLS) en lugar de tener que realizar una autenticación EAPFAST completa. Si el servidor EAP-FAST y el cliente conocen la información de la sesión de TLS negociada en el intercambio de autenticación EAP-FAST inicial, se puede producir la reanudación de la sesión. Nota: El servidor y el cliente EAP-FAST deben estar configurados para reanudar sesiones EAP-FAST. En Tunneled Method > EAP-TLS Settings (Método de túnel > Configuración EAP-TLS), especifique Any Method (Cualquier método) para permitir EAP-MSCHAPv2 para el aprovisionamiento automático de PAC y EAP-GTC para la autenticación. Si utiliza una base de datos con formato de Microsoft, como Active Directory, y no admite clientes EAP-FAST v1 en la red, también puede especificar el uso exclusivo de MSCHAPv2 como opción de Tunneled Method (Método de túnel). Nota: En esta ventana la opción Validate Server Certificate (Validar certificado de servidor) está activada de forma predeterminada en EAP-TLS settings (Configuración de EAP-TLS). Puesto que en el ejemplo no se utiliza EAP-TLS como método de autenticación interno, este campo no se aplica. Si se activa este campo, permite al cliente validar el certificado de servidor además de la validación de servidor del certificado de cliente en EAP-TLS. Haga clic en OK (Aceptar) para guardar la configuración de EAP-FAST. Puesto que el cliente está configurado para el "establecimiento automático" en el perfil, inicia automáticamente una asociación/autenticación con la red. En la ficha Manage Networks (Administrar redes), los campos Network (Red), Status (Estado) y Data Security (Seguridad de datos) indican el estado de conexión del cliente. En el ejemplo, se utiliza el perfil de red Enterprise y el dispositivo de acceso a red es el SSID Enterprise, que indica Connected:Authenticated (Conectado:Autenticado) y utiliza Autoconnect (Conectar automáticamente). El campo Data Security (Seguridad de datos) indica el tipo de cifrado 802.11 empleado, que para este ejemplo es WPA2. Una vez autenticado el cliente, elija SSID en el perfil en la ficha Manage Networks (Administrar redes) y haga clic en Status (Estado) para consultar los detalles de conexión. La ventana Connection Details (Detalles de conexión) proporciona información sobre el dispositivo cliente, el estado de conexión y estadísticas, así como el método de autenticación. La ficha WiFi Details (Detalles de WiFi) ofrece detalles sobre el estado de la conexión 802.11, que incluye RSSI, el canal 802.11 y la autenticación/cifrado. Como administrador del sistema, tiene autorización para la utilidad de diagnóstico Informe del sistema del cliente de servicios de Cisco Secure, que está disponible con la distribución estándar de CSSC. Esta utilidad está disponible en el menú Start (Inicio) o en el directorio CSSC. Para obtener datos, haga clic en Collect Data > Copy to Clipboard > Locate Report File (Recopilar datos > Copiar en portapapeles > Localizar archivo de informe). De esta forma, se dirige una ventana del Explorador de archivos de Microsoft al directorio que contiene el archivo de informe comprimido. En el archivo comprimido, los datos más útiles están en el registro (log_current). La utilidad ofrece el estado actual del CSSC, la interfaz y detalles del controlador, junto con la información de WLAN (SSID detectado, estado de asociación, etc.). Esto puede resultar útil, especialmente para diagnosticar problemas de conectividad entre el CSSC y el adaptador de WLAN. Verificación del funcionamiento Después de configurar el servidor Cisco Secure ACS, el controlador para redes WLAN y el cliente CSSC, y de que la configuración y la inclusión de información de la base datos sean correctas, la red WLAN está configurada para la autenticación EAP-FAST y para la comunicación segura del cliente. Existen varios puntos que se pueden supervisar para comprobar el progreso o lo errores de una sesión segura. Para comprobar la configuración, intente asociar un cliente inalámbrico al controlador para redes WLAN con la autenticación EAP-FAST. 1. Si CSSC está configurado para conexión automática, el cliente intenta la conexión automáticamente. Si no se ha configurado para conexión automática ni para el inicio de sesión único, el usuario debe iniciar la conexión WLAN mediante el botón de radio Connect (Conectar). Así se inicia el proceso de asociación de 802.11 con el que se produce la autenticación EAP. A continuación se ofrece un ejemplo: 2. Posteriormente se solicita al usuario que proporcione el nombre de usuario y, a continuación, la contraseña para la autenticación EAPFAST (de la autoridad de PAC EAP-FAST o ACS). A continuación se ofrece un ejemplo: 3. El cliente CSSC, mediante WLC, transfiere las credenciales de usuario al servidor RADIUS (Cisco Secure ACS) para validarlas. ACS verifica las credenciales de usuario comparándolas con los datos y la base de datos configurada (en la configuración de ejemplo, la base de datos externa es Windows Active Directory), y proporciona acceso al cliente inalámbrico siempre que las credenciales de usuario sean válidas. El informe Passed Authentications (Autenticaciones aprobadas) del servidor ACS muestra que el cliente ha pasado correctamente la autenticación RADIUS/EAP. A continuación se ofrece un ejemplo: 4. Tras una autenticación RADIUS/EAP correcta, el cliente inalámbrico (00:40:96:ab:36:2f en este ejemplo) se autentica con el controlador AP/WLAN. Apéndice Además de la información de diagnóstico y de estado, que está disponible en el servidor Cisco Secure ACS y en el controlador para redes WLAN de Cisco, existen puntos adicionales que se pueden utilizar para diagnosticar la autenticación EAP-FAST. Aunque se pueden diagnosticar la mayoría de problemas de autenticación sin utilizar un sabueso de WLAN ni depurar intercambios de EAP en el controlador para redes WLAN, este material de referencia se incluye para ayudar a solucionar problemas. Captura de sabueso para intercambio EAP-FAST Esta captura de sabueso 802.11 muestra el intercambio de autenticación. Este paquete muestra la respuesta EAP inicial de EAP-FAST. Nota: Tal y como se configuró en el cliente CSSC, se utiliza "anónimo" como identidad de EAP externa en la respuesta EAP inicial. Depuración en el controlador para redes WLAN Se pueden emplear estos comandos de depuración en el controlador para redes WLAN para supervisar el progreso del intercambio de autenticación: debug aaa events enable debug aaa detail enable debug dot1x events enable debug dot1x states enable A continuación, se muestra un ejemplo del inicio de una transacción de autenticación entre el cliente CSSC y ACS, como se supervisa en el controlador para redes WLAN con las depuraciones: Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 00:40:96:a0:36:2f Processing RSN IE type 48, length 20 for mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f Received RSN IE with 0 PMKIDs from mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Connecting state 00:40:96:a0:36:2f Sending EAP-Request/Identity to mobile 00:40:96:a0:36:2f (EAP Id 1) 00:40:96:a0:36:2f Received Identity Response (count=1) from mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f EAP State update from Connecting to Authenticating for mobile 00:40:96:a0: 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticating state 00:40:96:a0:36:2f Entering Backend Auth Response state for mobile 00:40:96:a0:36:2f AuthenticationRequest: 0x138dd764 Callback.....................................0x10372764 protocolType.................................0x00040001 proxyState...................................00:40:96:A0:36:2F-11:00 Packet contains 15 AVPs (not shown) 00:40:96:a0:36:2f Successful transmission of Authentication Packet (id 84) to 10.1.1.12:1812 ****Enter processIncomingMessages: response code=11 ****Enter processRadiusResponse: response code=11 00:40:96:a0:36:2f Access-Challenge received from RADIUS server 10.1.1.12 for mobile 00:40:96 AuthorizationResponse: 0x11c8a394 structureSize................................147 resultCode...................................255 protocolUsed.................................0x00000001 proxyState...................................00:40:96:A0:36:2F-11:00 Packet contains 4 AVPs (not shown) 00:40:96:a0:36:2f Processing Access-Challenge for mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f Entering Backend Auth Req state (id=249) for mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f WARNING: updated EAP-Identifer 1 ===> 249 for STA 00:40:96:a0:36:2f 00:40:96:a0:36:2f Sending EAP Request from AAA to mobile 00:40:96:a0:36:2f (EAP Id 249) 00:40:96:a0:36:2f Received EAP Response from mobile 00:40:96:a0:36:2f (EAP Id 249, EAP Type Ésta es la finalización correcta del intercambio de EAP desde la depuración del controlador (sin autenticación WPA2): Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 qosLevel: -1, dscp: Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-Accept for mobile 00:40:96:a0:36:2f 2006: 00:40:96:a0:36:2f Applying new AAA override for station 00:40:96:a0:36:2f 2006: 00:40:96:a0:36:2f Override values for station 00:40:96:a0:36:2f source: 4, valid bits: 0x0 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, r1' 2006: 00:40:96:a0:36:2f Unable to apply override policy for station 00:40:96:a0:36:2f - VapAllowRa 2006: 00:40:96:a0:36:2f Creating a new PMK Cache Entry for station 00:40:96:a0:36:2f (RSN 2) 2006: 00:40:96:a0:36:2f Adding BSSID 00:14:1b:5a:33:d0 to PMKID cache for station 00:40:96:a0:36:2 2006: New PMKID: (16) 2006: [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b 2006: 00:40:96:a0:36:2f Sending EAP-Success to mobile 00:40:96:a0:36:2f (EAP Id 0) 2006: Including PMKID in M1 (16) 2006: [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Thu Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug Aug 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 24 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:54 18:20:57 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state INITPMK (messa 00:40:96:a0:36:2f Entering Backend Auth Success state (id=0) for mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f Received Auth Success while in Authenticating state for mobile 00:40:96:a0 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticated state 00:40:96:a0:36:2f Received EAPOL-Key from mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36: 00:40:96:a0:36:2f Received EAPOL-key in PKT_START state (message 2) from mobile 00:40:96:a0: 00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state PTKINITNEGOTIA 00:40:96:a0:36:2f Received EAPOL-Key from mobile 00:40:96:a0:36:2f 00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36: 00:40:96:a0:36:2f Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 00: AccountingMessage Accounting Interim: 0x138dd764 Packet contains 20 AVPs: AVP[01] User-Name................................enterprise (10 bytes) AVP[02] Nas-Port.................................0x0000001d (29) (4 bytes) AVP[03] Nas-Ip-Address...........................0x0a0a5003 (168448003) (4 bytes) AVP[04] Class....................................CACS:0/28b5/a0a5003/29 (22 bytes) AVP[05] NAS-Identifier...........................ws-3750 (7 bytes) AVP[06] Airespace / WLAN-Identifier..............0x00000001 (1) (4 bytes) AVP[07] Acct-Session-Id..........................44ede3b0/00:40:96:a0:36:2f/14 (29 AVP[08] Acct-Authentic...........................0x00000001 (1) (4 bytes) AVP[09] Tunnel-Type..............................0x0000000d (13) (4 bytes) AVP[10] Tunnel-Medium-Type.......................0x00000006 (6) (4 bytes) AVP[11] Tunnel-Group-Id..........................0x3832 (14386) (2 bytes) AVP[12] Acct-Status-Type.........................0x00000003 (3) (4 bytes) AVP[13] Acct-Input-Octets........................0x000b99a6 (760230) (4 bytes) AVP[14] Acct-Output-Octets.......................0x00043a27 (277031) (4 bytes) AVP[15] Acct-Input-Packets.......................0x0000444b (17483) (4 bytes) AVP[16] Acct-Output-Packets......................0x0000099b (2459) (4 bytes) AVP[17] Acct-Session-Time........................0x00000a57 (2647) (4 bytes) AVP[18] Acct-Delay-Time..........................0x00000000 (0) (4 bytes) AVP[19] Calling-Station-Id.......................10.10.82.11 (11 bytes) AVP[20] Called-Station-Id........................10.10.80.3 (10 bytes) 00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f User admin authenticated © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 15 Abril 2008 http://www.cisco.com/cisco/web/support/LA/9/97/97993_CSSC_Deployment_Guide.html