Microsoft.com
Bienvenido Iniciar sesión
Recursos para Profesionales de TI
 Versión imprimible       Enviar     
Evaluar y enviar comentarios
TechNet
Seguridad
 Uso de WPA en la solución
Seguridad en LAN inalámbricas con PEAP y contraseñas

Apéndice B: Uso de WPA en la solución

Actualizado: abril 2, aaaa

Ver todos los temas de guía de seguridad

La solución de red de área local inalámbrica (WLAN) descrita en esta documentación funciona correctamente tanto con la protección mediante WEP (privacidad equivalente por cable) dinámica como con la protección mediante WPA (acceso inalámbrico protegido) para WLAN. Las diferencias de implementación entre ambas son mínimas y se documentan en este apéndice.

En la actualidad existen ciertas dificultades al usar WPA, entre las que se encuentran:

  • Configuración manual de WPA: la configuración de WPA en clientes Windows® XP mediante directivas de grupo no es compatible con las versiones de Windows® anteriores a Windows Server™ 2003 Service Pack 1. Hasta que no disponga de Service Pack 1 y lo instale en la empresa, deberá configurar los equipos cliente manualmente (no se pueden ejecutar secuencias de comandos de la configuración de WLAN para Windows XP). No es necesario instalar Service Pack 1 en equipos cliente, controladores de dominio o servidores IAS, sino sólo en el servidor en el que modifica el objeto de directiva de grupo de la configuración de WLAN.

  • Disponibilidad restringida para clientes WLAN: en el momento de redacción de este documento, Microsoft® sólo ofrece compatibilidad de WPA con Windows XP Service Pack 1 y posteriores.

  • Disponibilidad para hardware compatible con WPA: aunque ahora ya es obligatorio que todo hardware con certificado Wi-fi sea compatible con WPA, puede que el equipo de red existente deba actualizarse para ser compatible con WPA. Deberá obtener actualizaciones de firmware para todos los puntos de acceso o adaptadores de red que actualmente no sean compatibles con WPA. En algunos casos (poco frecuentes), puede que deba reemplazar el equipo si el fabricante no proporciona actualizaciones de WPA.

En esta página

Uso de WPA en lugar de WEP
Migración de WEP a WPA
Referencias

Uso de WPA en lugar de WEP

Aunque gran parte de la guía se aplica tanto a WPA como a la WEP dinámica, existen dos puntos principales en la documentación en los que se ofrecen distintas instrucciones:

  • La sección "Creación de una directiva de acceso remoto IAS para WLAN" del capítulo 5 ("Creación de la infraestructura de seguridad de LAN inalámbricas").

  • La sección "Creación de objetos de directiva de grupo de la configuración de WLAN" del capítulo 6 ("Configuración de clientes de LAN inalámbricas").

Creación de una directiva de acceso remoto de IAS para WLAN con WPA

Para utilizar la protección de WLAN con WPA en lugar de con WEP dinámica, debe establecer el valor de tiempo de espera de la sesión en ocho horas (y no en 60 minutos). WPA dispone de un mecanismo integrado que genera claves de cifrado de WLAN, de forma que no necesita forzar a los clientes a volver a autenticarse con frecuencia. Un valor de ocho horas es suficiente para asegurar que los clientes dispongan de credenciales actualizadas válidas (por ejemplo, garantiza que un cliente no permanezca conectado durante un tiempo excesivo una vez que la cuenta se ha deshabilitado). En entornos de alta seguridad, puede reducir este valor de tiempo de espera, si es necesario.

Utilice el siguiente procedimiento, que se detalla en la sección "Modificación de la configuración del perfil de la directiva de acceso a WLAN" del capítulo 5, "Creación de la infraestructura de seguridad de LAN inalámbricas", para configurar el perfil de la directiva de acceso remoto:

Para modificar la configuración del perfil de la directiva de acceso inalámbrico:

  1. En el complemento MMC del Servicio de autenticación de Internet, abra las propiedades de la directiva Permitir acceso a LAN inalámbrica y haga clic en Modificar perfil.

  2. En la ficha Restricciones de marcado del campo Minutos que el cliente puede estar conectado (tiempo de espera de sesión), escriba 480 (480 minutos u 8 horas).

  3. En la ficha Avanzadas, agregue el atributo Ignorar propiedades de acceso telefónico del usuario y establézcalo en True; a continuación, agregue el atributo Acción-Terminación y establézcalo en RADIUS Request.

También debe modificar el tiempo de espera de la sesión en el punto de acceso inalámbrico para que se halle en el mismo nivel del valor de tiempo de espera establecido en este procedimiento (o lo supere).

Configuración manual de WLAN en Windows XP para WPA

Hasta que no disponga de compatibilidad con el objeto de directiva de grupo en Windows Server 2003 Service Pack 1, deberá configurar WPA en el equipo cliente de forma manual. WPA es compatible con Windows XP Service Pack 1 con la descarga del cliente WPA instalada (o en Windows XP Service Pack 2).

Nota: cuando disponga de compatibilidad con el objeto de directiva de grupo, podrá utilizar el siguiente procedimiento para crear una directiva de red inalámbrica con la misma configuración.

Para configurar manualmente la WLAN con WPA:

  1. Abra las propiedades de la interfaz Red inalámbrica. Si en la lista Redes disponibles aparece WLAN, selecciónela y haga clic en Configurar o en Agregar (en la sección Redes preferidas).

  2. Escriba el nombre de la WLAN en el campo Nombre de red (SSID) (si no aparece ya) y, en el campo Descripción, escriba una descripción para la red.

    Nota: si ya posee una WLAN configurada y desea ejecutarla en paralelo con la WLAN basada en 802.1X de esta solución, debe utilizar un Identificador del conjunto de servicios (SSID) para la nueva WLAN. Este nuevo SSID deberá utilizarse aquí.

  3. En la sección Clave de red inalámbrica, seleccione WPA (no seleccione WPA PSK) como el tipo de Autenticación de red y TKIP como el tipo de Cifrado de datos. Si el hardware es compatible, seleccione el estándar de cifrado avanzado más seguro (AES en lugar de TKIP).

  4. Haga clic en la ficha IEEE 802.1x y seleccione EAP protegido (PEAP) de la lista desplegable Tipo de EAP.

  5. Haga clic en el botón Configuración para modificar la configuración PEAP. En la lista Entidad emisora raíz de confianza, seleccione el certificado de entidad emisora raíz para la entidad emisora, que es la que instaló para emitir certificados del servidor IAS (consulte el capítulo 4 para obtener más información).

    Importante: si necesita instalar de nuevo la entidad emisora desde cero (no sólo restaurarla desde la copia de seguridad), deberá modificar la configuración del cliente y seleccionar el certificado de entidad emisora para la nueva entidad emisora.

  6. Asegúrese de que selecciona Contraseña protegida (EAP-MS-CHAP v2) en Seleccione el método de autenticación y compruebe la opción Habilitar reconexión rápida.

  7. Cierre cada una de las ventanas de propiedades haciendo clic en Aceptar.

Configuración de Pocket PC 2003 para WPA

Cuando se redactó este documento, WPA no era compatible en su origen con Pocket PC 2003. Sin embargo, puede que se implemente en el futuro. Es posible que otros fabricantes también ofrezcan compatibilidad con WPA para Pocket PC.

Migración de WEP a WPA

Si ha implementado una solución WLAN segura basada en WEP dinámica y desea migrar a WPA, deberá seguir los pasos que se indican en esta sección. Antes de realizar la migración, debe asegurarse de que ha implementado los elementos de compatibilidad con WPA, tanto el software (por ejemplo, el componente WPA de Windows XP) como el hardware (actualizaciones del firmware del punto de acceso y del controlador del adaptador de red). Toda referencia en este procedimiento sobre la configuración de WPA en objetos de directiva de grupo es válida solamente si estos objetos se modifican desde Windows Server 2003 Service Pack 1 o posterior. En el momento de redacción del documento, este Service Pack aún no se ha lanzado al mercado. Si no utiliza Windows Server 2003 Service Pack 1 o una versión posterior, siga las instrucciones de la sección "Configuración manual de WLAN en Windows XP para WPA" de este apéndice.

Para realizar una migración de WEP a WPA cuando el punto de acceso admite simultáneamente WEP dinámica y WPA:

  1. Configure todos los puntos de acceso inalámbrico para que admitan WEP dinámica y WPA a la vez.

  2. Cree un nuevo objeto de directiva de grupo de la configuración del cliente WLAN. Cree una directiva de red inalámbrica que establezca la configuración adecuada para WPA (consulte el procedimiento de la sección "Configuración manual de WLAN en Windows XP para WPA" de este apéndice). A continuación, deshabilite el objeto de directiva de grupo de la WEP actual y habilite el de WPA para que todas las configuraciones de WPA se envíen a todos los clientes. Los clientes comenzarán a utilizar WPA en la WLAN una vez se haya actualizado el objeto de directiva de grupo.

    Nota: si configura los clientes de forma manual, deberá deshabilitar el objeto de directiva de grupo que contenga la configuración WEP, ya que, de no hacerlo, el objeto de directiva de grupo sobrescribirá la configuración WPA manual.

  3. Finalmente, debe actualizar el tiempo de espera de la sesión de la directiva de acceso remoto IAS y de la sesión de cliente en el punto de acceso (tal y como se describe en la sección sobre la directiva de acceso remoto IAS anterior de este apéndice).

Para realizar una migración de WEP a WPA cuando el punto de acceso no admite WEP y WPA simultáneamente:

  1. Cree un nuevo SSID de WLAN para la red WPA.

  2. Modifique el objeto de directiva de grupo de la configuración de red del cliente y agregue el nuevo SSID con los parámetros de WPA (tal y como se describe en la sección "Configuración manual de WLAN en Windows XP para WPA" anterior de este apéndice). Si configura los clientes de forma manual, deberá hacerlo con el nuevo SSID y, asimismo, con la configuración de WPA para ese SSID. En cualquier caso, no quite la configuración del SSID de la WEP anterior.

  3. De forma simultánea, vuelva a configurar los puntos de acceso que admitían WEP para que sean compatibles con WPA y modifique el SSID del punto de acceso. A medida que vaya configurando cada punto de acceso, los clientes cambiarán al nuevo SSID y utilizarán WPA.

  4. Una vez que haya reconfigurado todos los puntos de acceso, podrá actualizar las directivas de acceso remoto en todos los servidores IAS. Será necesario aumentar el valor de tiempo de espera de la sesión en la directiva de acceso remoto (de 60 minutos a 8 horas) y, además, modificar la misma configuración en los puntos de acceso inalámbrico (tal y como se describe en la sección sobre la directiva de acceso remoto IAS anterior de este apéndice).

  5. Una vez que ha finalizado la migración, puede quitar el SSID de la WEP del objeto de directiva de grupo.

Referencias

Esta sección incluye referencias a otra información complementaria importante u otro material informativo de relevancia para este apéndice.

(Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)

Descargue la solución completa en

Seguridad en LAN inalámbricas con PEAP y contraseñas

Descargar la solución completa

Guía de defensa en profundidad antivirus

En esta guía

Descargue la solución completa en

Seguridad en LAN inalámbricas con PEAP y contraseñas


© 2009 Microsoft Corporation. Reservados todos los derechos. Aviso legal | Marcas registradas | Privacidad
Page view tracker