Implementar puntos de acceso inalámbrico

El proceso para implementar APs inalámbricas varía dependiendo del protocolo de seguridad que se utilice.

• Autenticación 802.1x: El proceso y los pasos se definen en la siguiente sección.

• WPA: La guía está disponible en el siguiente URL:

  https://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/swlanrn.mspx

• WEP: WEP no requiere una configuración del lado del servidor y es relativamente sencillo de configurar utilizando las instrucciones de configuración que proporciona el proveedor.

En esta página

Prerrequisitos
Configurar una infraestructura de red inalámbrica segura

Prerrequisitos

Los servicios de red inalámbrica que se describen en Small IT Solution se basan en Windows Small Business Server 2003 y Microsoft Windows XP Professional. Los elementos que se necesitan implementar antes de implementar los APs inalámbricos incluyen:

• LAN física a la que se conectan los servidores.

• Windows Small Business Server 2003.

• Servicios DHCP de Windows Small Business Server 2003.

• Servicios de la Entidad emisora de certificados (CA) de Windows Small Business Server 2003, Entidad emisora de certificados (CA) y servicio de autenticación e Internet (IAS).

• Los clientes inalámbricos que se agregaron al dominio de Windows Small Business Server 2003 Active Directory.

Configurar una infraestructura de red inalámbrica segura

Para que la autenticación 802.1x funcione, complete las siguientes tareas:

• Configurar el servidor: Es necesario configurar Windows Small Business Server 2003 antes de realizar los pasos que se presentan en la sección “Configurar el servidor”. Para configurar Windows Small Business Server 2003, siga los pasos que se proporcionan en el capítulo "Small Business Server".

• Configurar el AP inalámbrico: El dispositivo AP inalámbrico necesita dar soporte a la autenticación 802.1x.

• Configurar clientes inalámbricos: Observe que muchos dispositivos de cliente inalámbricos tales como cámaras Web y PDAs es posible que no den soporte a la autenticación 802.1x.

Configurar el servidor

La norma 802.1x, que utiliza el Protocolo de autenticación extensible (EAP) para autenticación del cliente inalámbrico, cumple con los requisitos de seguridad de una LAN inalámbrica. WEP proporciona encriptación de tráfico, pero cuenta con una funcionalidad deficiente de administración de claves. Para administrar el proceso de utilizar WEP para la encriptación, Microsoft, junto con otros proveedores, ha desarrollado métodos para administrar las claves de encriptación WEP de manera más segura cuando utiliza TLS o TTLS. Estos métodos permiten que el AP inalámbrico cree claves de sesión únicas para la encriptación WEP entre el punto de acceso y el cliente.

La norma WPA es un conjunto de estándares basados en la industria. Incluye todas las normas y un protocolo estandarizado para la administración de claves conocido como Temporal Key Integrity Protocol (TKIP). Este es un paso importante para la seguridad de la red inalámbrica, y la mayoría de los analistas lo aprobaron.

Nota: Ninguna de las mejoras de WPA aborda las debilidades de la Denegación de servicios (DoS) de las normas 802.11 y 802.1x. Sin embargo, las debilidades DoS no son tan graves como las otras fallas de WEP debido a que casi todas los ataques DoS demostrados provocan únicamente una interrupción temporal. Sin embargo, estas debilidades siguen siendo una preocupación importante para algunas organizaciones y es poco probable que se resuelva el problema antes del lanzamiento de la norma (IEEE) 802.11i del Institute of Electrical and Electronics Engineers, Inc. en el 2004.

Durante la fase de diseño de esta solución, Microsoft lanzó una actualización para Windows XP para brindar soporte al WPA. Además, los proveedores de AP inalámbrico empezaron a liberar los dispositivos que brindan soporte a WPA y actualizaciones para las versiones anteriores de manera que brinden soporte a WPA. Por lo tanto, Small IT Solution fue diseñada para funcionar con ambas implementaciones de los WEP y WPA dinámicos de Microsoft. Sin embargo, debido a que WEP cuenta con soporte de la mayoría de los proveedores AP inalámbricos y clientes inalámbricos, la solución se enfoca principalmente en el uso de WEP. Para obtener mayor información sobre la implementación de dispositivos inalámbricos seguros con WPA, refiérase al siguiente URL:

https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifisoho.mspx

El Protocolo de autenticación extensible -TLS utiliza una autenticación de dos vías basada en certificados. La solución 802.1x se puede implementar utilizando los certificados tanto para el lado del cliente y del servidor, o utilizando contraseñas para el lado del cliente y un certificado para el lado del servidor. La segunda solución que utiliza contraseñas para el lado del cliente y certificados para el lado del servidor se denomina Protocolo de autenticación extensible (PEAP). La solución para las redes inalámbricas seguras para la pequeña empresa se basa en PEAP debido a la complejidad involucrada en administrar los certificados del usuario.

Configurar componentes del servidor de autenticación

Se necesita configurar a dos componentes de servidor para la autenticación 802.1x:

• Servicio de autenticación de Internet (servidor RADIUS)

• Entidad emisora de certificados para autenticación cliente–servidor (Protocolo de autenticación extensible – Autenticación TLS)

Para que la autenticación 802.1x se configure como se describe en este capítulo, se supone que el ambiente se está ejecutando en Windows Small Business Server 2003. Se requiere esta base para garantizar que los servicios de Active Directory ofrecieron los servicios de autorización y autenticación.

Instalar el servicio de autenticación de Internet

Instale IAS en Windows Small Business Server 2003 realizando los siguientes pasos:

1. Abra Agregar o quitar programas en el Panel de control.

2. Haga clic en Agregar o quitar componentes de Windows.

3. En el cuadro de diálogo Asistente para los componentes Windows cuadro de diálogo Asistente para los componentes Windows Servicios de red, y después en Detalles.

4. En el Servicios de red cuadro de diálogo, seleccione Servicios de autenticación de Internet, haga clic en Aceptar, y después en Siguiente.

5. Cuando se le pida, inserte el CD de Windows Small Business Server 2003.

6. Después de instalar IAS, haga clic en Finalizar , y después haga clic en Cerrar.

7. Abra el indicador de comando y ejecute el comando netsh ras add registeredserver. command.

El último paso garantiza que el servidor IAS se coloque dentro del grupo de seguridad Servidores RAS e IAS en el dominio de Active Directory. Esto garantiza que los servidores IAS tengan los permisos adecuados para leer las propiedades de acceso remoto de las cuentas de usuario y PC.

Instalar el servicio Entidad emisora de certificados

IAS requiere un certificado de servidor para la autenticación EAP-TLS. Usted puede adquirir un certificado de autenticación de servidor de un proveedor que no es de Microsoft, o instalar el servicio de la Entidad emisora de certificados (CA) que se incluyen con los productos de la familia Windows Server™ 2003. Esta sección describe el proceso de instalación de la CA y la cómo emitir el certificado para la autenticación inalámbrica.

Siga estos pasos, para instalar el servicio CA:

1. Inicie sesión en Windows Small Business Server como un Administrador.

2. Abra Agregar o quitar programas en el Panel de control.

3. Haga clic en el botón Agregar o quitar Componentes de Windows.

4. En el diálogo Asistente de componentes Windows, seleccione el cuadro Servicios de certificado. Un cuadro de mensaje indica que el PC no se puede renombrar y que no puede agregar ni quitar de un dominio después de haber instalado los servicios de autenticación. Haga clic en Sí y después en el botón Siguiente.

5. Seleccione la opción CA raíz de la empresa.

6. En el campo Nombre común para este CA, ingrese el nombre común del CA, como BusinessName CA.

7. En el campo Periodo de Validez, especifique 10 años como el periodo de validez para el CA raíz y haga clic en el botón Siguiente.

8. Acepte las ubicaciones de almacenamiento predeterminadas y haga clic en el botón Siguiente.

9. Aparecerá un cuadro de mensaje que indica los "Los servicios de certificación deben detener temporalmente los Servicios de información de Internet". Haga clic en Sí..

10. Cuando se indique, inserte el CD de Windows Small Business Server 2003.

11. Haga clic en Terminar para completar el asistente.

De manera predeterminada, el CA emite un certificado del Controlador de dominio para todos los controladores de dominio. El servicio IAS utiliza este certificado para la autenticación EAP-TLS.

Configurar la política del servicio de autenticación de Internet inalámbrico

El Servicio de autenticación de Internet (IAS) debe estar configurado con la política de acceso remoto y las configuraciones de solicitud de conexión para la autenticación y autorización de usuarios y PCs inalámbricos en la red inalámbrica. Además, el IAS debe estar configurado para aceptar las conexiones de los clientes RADIUS (APs inalámbricos). Los APs inalámbricos se deben configurar para utilizar los servidores IAS para pasar las solicitudes de autenticación.

Nota: Debe esperar por lo menos 30 minutos después de instalar la Entidad emisora de certificados antes de crear la política de acceso remoto. De otra manera, no podrá agregar el certificado de autenticación del servidor a la política de acceso inalámbrico, como se describe en los siguientes pasos.

Realice los siguientes pasos utilizando la consola de administración del Servicio de autenticación de Internet (IAS) en el menú Herramientas administrativas.

1. Haga clic con el botón alterno en la carpeta Políticas de acceso remoto y seleccione la opción Nueva política de acceso remoto.

2. Titule la política Habilitar acceso inalámbrico y seleccione la opción Utilizar el asistente para configurar la política típica para un escenario común.

3. Seleccione Inalámbrico como el método de acceso.

4. Otorgue el acceso, con base en el grupo y agregue el grupo de seguridad Usuarios móviles a la lista de grupos que cuentan con derechos de acceso inalámbrico.

5. Seleccione EAP protegido (PEAP) para el Tipo de EAP.

6. Seleccione Configurar y después agregue el certificado de autenticación del certificado de autenticación del servidor que se instaló para IAS.

7. Haga clic en el botón Finalizar y salga del asistente.

   Nota: La política Permitir el acceso inalámbrico que se creó durante la instalación de IAS puede coexistir con otras políticas de acceso remoto. Sin embargo, asegúrese que otras políticas de acceso remoto se incluyan en la siguiente lista de políticas Permitir acceso inalámbrico en la carpeta. Las políticas que se encuentran en la parte superior de la lista de políticas invalidan las configuraciones establecidas en las políticas con nivel de prioridad más bajo. Utilice las flechas que aparecen junto a la lista para mover la política Permitir acceso inalámbrico a la parte superior de la lista.

Agregar clientes RADIUS al Servicio de autenticación de Internet

Debe agregar APs inalámbricos como clientes RADIUS a IAS antes de que se puedan configurar para conectarse al servidor IAS. Realice los siguientes pasos, para agregar un AP inalámbrico como un cliente RADIUS, utilizando la consola de administración Servicio de autenticación de Internet (IAS):

1. Haga clic con el botón alterno en la carpeta Clientes RADIUS y seleccione Nuevo cliente RADIUS. .

2. Ingrese un nombre amigable y la dirección IP de la AP inalámbrica. Este es el mismo nombre y dirección IP que se ingresó para el AP inalámbrico. Si aún no tiene configurado el AP inalámbrico, utilice estos mismos valores cuando configure el AP inalámbrico.

3. Seleccione la Norma RADIUS como el atributo cliente-proveedor y después ingrese el secreto compartido para este AP inalámbrico en particular. Después seleccione en el cuadro la Solicitud de contener el atributo Autenticador de mensajes. Si no ha instalado aún el AP inalámbrico, utilice el mismo secreto compartido cuando configure el AP inalámbrico.

   Nota: La mayoría de los APs inalámbricos no requieren los atributos específicos del proveedor (VSA). Sin embargo, algunos clientes RADIUS pueden necesitar el configurar VSA para que funcione correctamente. Para obtener más información sobre requisitos VSA, refiérase a la documentación específica de su proveedor.

Modifique las configuraciones del perfil de la política de acceso inalámbrico

Configure Active Directory para ignorar las configuraciones de marcación del usuario, para evitar problemas potenciales con algunos APs inalámbricos. Además, los atributos RADIUS se deben establecer para la reautenticación del cliente en intervalos de tiempo que garanticen que las claves de sesión WEP se actualicen.

Realice los siguientes pasos para modificar las configuraciones del perfil de la política de acceso remoto:

1. Seleccione la carpeta de Políticas de acceso remoto y la política Permitir acceso remoto que se creó para el acceso remoto.

2. Abra las propiedades de la política y después haga clic en Editar perfil. .

3. En la pestaña Restricciones de marcación, seleccione la opción Se pueden conectar los clientes por minuto (tiempo de espera de la sesión) , y después ingrese 30 minutos por valor.

4. En la pestaña Avanzado:

   1. Establezca el atributo Ignorar propiedades de marcación del usuario a Verdadero.

   2. Establezca el atributo Terminación-Acción a Solicitud de RADIUS.

5. Cierre los cuadros de diálogo y salga de la consola de administración del Servicio de autenticación de Internet (IAS).

   Nota: En algunos APs 802.1x de soporte inalámbrico, la condición de política “corresponde con el tipo del puerto NAS” se tendrá que eliminar.

Agregar usuarios

Es necesario que los usuarios agreguen el grupo Usuarios móviles para poder conectarse a la red inalámbrica.

Al agregar usuarios al grupo de Usuarios móviles, realice los siguientes pasos:

1. Abra la consola de Administración del servidor y amplié el contenedor Grupos de seguridad.

2. Agregue a los usuarios a los que se les permite acceder a la LAN inalámbrica al grupo Usuarios móviles.

3. Agregue los PCs a los que se les permite acceder a la LAN inalámbrica al grupo de Usuarios móviles.

Crear objetos de la política de grupos (GPO) para propiedades inalámbricas en el PC cliente

1. Abra la consola de Administración del servidor y amplié el contenedor Administración avanzada.

2. Seleccione el contenedor Administración de política de grupo y navegue al dominio businessname

3. Haga clic con el botón alterno en el dominio *businessname.*y seleccione la opción Crear y vincular un GPO aquí.

4. Escriba el nombre de la “Política de la red inalámbrica” para el GPO.

5. Haga clic con el botón alterno en el GPO y seleccione Editar.

6. Desplácese a \Computer Configuration\Windows Settings\Security Settings\Wireless Network (IEEE 802.11) Policies. .

7. Selección el objeto Políticas de la red inalámbrica  (IEEE 802.11) desde el panel de navegación y seleccione Crear política de red inalámbrica... desde el menú Acción. Utilice el asistente para titular la política Configuración inalámbrica del PC cliente. Seleccione el cuadro Editar  propiedades y haga clic en Finalizar para cerrar el asistente.

8. Seleccione Agregar desde la pestaña Redes preferidas de la política Configuración inalámbrica del PC cliente, escriba el Nombre de la red o la Identificación de servicio establecido (SSID) de la red inalámbrica y seleccione los siguientes cuadros:

   1. Encriptación de datos (habilitado para el WEP)

   2. Autenticación de la red (Modo compartido)

   3. Se proporciona la clave automáticamente

9. Haga clic en la pestaña IEEE 802.1x, y cambie el tipo EAP a “EAP protegido (PEAP)”

10. Haga clic en el botón Configuraciones para el Tipo EAP. En Entidades de certificación raíz probadas, , seleccione la entidad de certificación raíz para certificados del servidor IAS (que se configuró como BusinessName CA en la sección BusinessName CA "Instalar el servicio de la entidad de certificación" en este capítulo).

11. Haga clic en Aceptar en todos los cuadros de diálogo y cierre el Editor de objetos de política de grupo.

Configurar el punto de acceso inalámbrico

El procedimiento para configurar los APs inalámbricos varía, dependiendo de la forma en que se fabricó y del modelo del dispositivo. Sin embargo, los proveedores de AP inalámbrico generalmente proporcionan instrucciones para configurar el dispositivo. Utilizando las instrucciones que proporcionó el proveedor, realice los siguientes cambios en la configuración al AP inalámbrico:

1. Dirección IP del AP inalámbrico: Dirección IP del AP inalámbrico: Asegúrese que la dirección IP del AP inalámbrico sea la misma que la dirección IP que se ingresó en el paso “Agregar clientes RADIUS al servicio de autenticación de Internet” mientras se configura el IAS.

2. Configuraciones de la red 802.1x: Es posible que haya una opción para seleccionar EAP-TLS o la opción MD5/Password. Seleccione el tipo Autenticación EAP-TLS.

3. Dirección IP del servidor de autenticación RADIUS principal: Esta dirección tiene que ser la misma que la dirección IP de Windows Small Business Server. Si se requiere, ingrese el Puerto del servidor Radius como 1812.

4. Dirección IP del servidor de contabilidad RADIUS principal, en caso de que se requiera: Esta es la dirección IP de Windows Small Business Server.

5. Secreto compartido de RADIUS con el servidor RADIUS principal: Asegúrese que el secreto compartido sea el mismo que se ingresó en el paso “Agregar clientes RADIUS al servicio de autenticación de Internet” mientras se configuraba IAS.

En los escenarios donde se utilizaron múltiples APs inalámbricos, todos los AP inalámbricos necesitan configurarse con los mismos valores. Asegúrese que los SSIDs sean los mismos, pero que los canales sean diferentes para cada AP inalámbrico.

Configurar los PCs cliente inalámbricos

La configuración del cliente involucra dos elementos; la configuración del dominio del cliente y la configuración de las propiedades inalámbricas del PC.

Nota: : Las cuentas del usuario y PC deben estar en el mismo Dominio de Active Directory que el servidor IAS.

Configurar dominios del PC cliente

Si el PC aún no está conectado al dominio, realice los siguientes pasos para unir el PC al dominio:

1. En Windows Small Business Server, utilice la consola de Administración del servidor y seleccione el contenedor PCs cliente.

2. Elija Configurar PCs cliente. Siga las instrucciones para crear una entrada de Active Directory para el PC cliente.

3. Mientras esté conectado a la LAN alámbrica, desplácese a http://<Small Business Server Name>/Connect Computer, seleccione el PC que se creó en los pasos anteriores y complete los pasos que se requieren para conectarse al dominio de la pequeña empresa. Esto puede requerir varios reinicios del PC cliente.

Configuración del manual del cliente inalámbrico

Si el GPO de “Configuración inalámbrica del PC cliente” no está configurado en Windows Small Business Server, entonces es necesario configurar los clientes inalámbricos de manera manual.

Para configurar manualmente Windows XP para la autenticación PEAP/802.1x, realice los siguientes pasos:

1. Abra el Panel de control y haga clic en Conexiones de red..

2. Haga clic con el botón alterno en el adaptador de red inalámbrica y seleccione Propiedades.

3. Haga clic en la pestaña Redes inalámbricas.

4. Haga clic en Agregar para agregar redes inalámbricas SSID y configurar la autenticación.

5. En la Red de nombre SSID, ingrese el SSID o el nombre de la red inalámbrica conforme se haya configurado en el AP inalámbrico.

6. Realice las siguientes configuraciones. Se deben conservar los valores predeterminados para el resto de las configuraciones.

   1. En el cuadro desplegable Encriptación de datos, seleccione WEP .

   2. En el cuadro de la lista desplegable Autenticación de la red, seleccione Compartida.

   3. Seleccione el cuadro Me proporcionaron la clave automáticamente.

7. Seleccione la pestaña Autenticación.

8. Seleccione el cuadro Habilitar la autenticación IEEE para esta red.

9. En el cuadro de la lista desplegable tipo EAP, seleccione PEAP.

10. Click OK and close the Properties dialog.

• Small IT Solution

• Introducción a Small IT Solution

• Diseñar la Red

  • Resumen ejecutivo

  • Visión

  • Planear la red alámbrica de área local

  • Conectarse a Internet de manera segura

  • Proporcionar servicios inalámbricos seguros

  • Visión

  • Planear un servicio inalámbrico seguro

  • Implementar puntos de acceso inalámbrico

  • Casos de prueba

  • Resumen

• Small Business Services

• Servicios de administración y soporte remotos

• Almacenamiento de Windows

• Probar Small IT Solution