The Cable GuyAutenticación de redes cableadas IEEE 802.1X
Joseph Davies
Este artículo se basa en una versión preliminar de Windows Server 2008. Por tanto, los detalles de este documento están sujetos a cambios.
Con el aumento de la popularidad de IEEE 802.1X para las redes inalámbricas IEEE 802.11, los administradores de red desean usar este estándar también para sus conexiones de red cableada. Del mismo modo que un cliente inalámbrico debe enviar un conjunto de credenciales para que se validen antes de que las tramas inalámbricas se reenvíen a la intranet, un
cliente de red cableada IEEE 802.1X debe realizar una autenticación antes de poder usar su puerto del conmutador. La autenticación IEEE 802.1X proporciona una barrera adicional de seguridad para la intranet. Así, puede impedir que los equipos invitados, malintencionados o no administrados puedan llevar a cabo una autenticación correcta de la conexión a la intranet.
Es probable que los conmutadores de red cableada admitan la autenticación IEEE 802.1X y sólo sea necesario habilitarla y configurarla. Para la autenticación y la autorización de una conexión de red cableada, los conmutadores compatibles con 802.1X normalmente usan el protocolo del servicio de autenticación remota telefónica de usuario (RADIUS) para enviar la información de solicitud de conexión a un servidor RADIUS, como un Servidor de directivas de redes (NPS, Network Policy Server) basado en Windows Server® 2008 o un servidor Internet Authentication Service (IAS) de Windows Server 2003.
Después de configurar los conmutadores para RADIUS, pero antes de requerir la autenticación 802.1X, tendrá que habilitar y configurar la autenticación 802.1X en los equipos de red cableada. La autenticación IEEE 802.1X para conexiones de red cableada se admite en Microsoft® Windows® desde Windows XP. No obstante, debe establecer manualmente la configuración de autenticación 802.1X en Windows XP y Windows Server 2003 en cada cliente de red cableada (desde la ficha Autenticación para las propiedades de una conexión de red en la carpeta Conexiones de red). Lamentablemente, no existe modo de configurar de forma centralizada o mediante script la configuración 802.1X de red cableada para sistemas operativos anteriores.
Afortunadamente, la compatibilidad para la configuración de red cableada en la directiva de grupo y la compatibilidad de scripting con la herramienta Netsh en Windows Vista® y Windows Server 2008 supone que la implementación de la configuración de red cableada 802.1X es mucho más simple que antes.
Configuración de red cableada en la directiva de grupo
Uso del servicio de configuración automática de redes cableadas
En Windows XP y Windows Server 2003, el comportamiento de 802.1X en conexiones de red cableada se controla mediante el servicio de configuración inalámbrica rápida. En estos sistemas operativos, este servicio estaba habilitado de forma predeterminada y las conexiones de red cableada se situaban en modo de escucha pasiva, a la espera de que el conmutador iniciara la autenticación.
Por el contrario, en Windows Vista y Windows Server 2008, el servicio de configuración automática de redes cableadas controla el comportamiento de 802.1X en conexiones de red cableada pero está deshabilitado de forma predeterminada. Por lo tanto, la ficha Autenticación para las propiedades de conexiones de red no aparece hasta después de que se inicie el servicio de configuración automática de redes cableadas.
Para un cliente de red cableada individual que ejecute Windows Vista o Windows Server 2008, puede usar el complemento Servicios para iniciar el servicio de configuración automática de redes cableadas y configurarlo para el inicio automático. Cuando se inicia el servicio de configuración automática de redes cableadas, las conexiones de red cableada actúan en modo de escucha activa en el que la conexión de red intenta iniciar la autenticación con el conmutador.
Para un dominio de Active Directory, puede usar la directiva de grupo para configurar el servicio de configuración automática de redes cableadas para el inicio automático. Con el complemento Editor de administración de directivas de grupo, establezca Configuración del equipo | Configuración de Windows | Configuración de seguridad | Servicios del sistema | Configuración automática de redes cableadas en el modo de inicio automático.
Para centralizar y automatizar la configuración de la red cableada, los servicios de dominio de Active Directory® de Windows Server 2008 y Windows Server 2003 admiten la configuración de directiva de red cableada en la directiva de grupo. Esta configuración permite establecer las opciones de red cableada como parte de la directiva de grupo de configuración de equipo para un objeto de directiva de grupo basado en dominio.
Con esta configuración de directiva de red cableada, puede especificar el método de autenticación y otras opciones de configuración de 802.1X para los clientes de red cableada que ejecutan Windows Server 2008 o Windows Vista. Al unirse al dominio, iniciarse o periódicamente después de iniciar, estos sistemas operativos descargan automáticamente la configuración de directiva de grupo de red cableada y la aplican. Tenga en cuenta que un dominio de Active Directory de Windows Server 2003 se debe extender para admitir estas nuevas directivas. Para obtener información acerca de cómo extender un dominio de Active Directory de Windows Server 2003, consulte technet.microsoft.com/bb727029.
Puede configurar las directivas de red cableada en el nodo Configuración del equipo | Configuración de Windows | Configuración de seguridad | Directivas de red cableada (IEEE 802.3) en el complemento Editor de administración de directivas de grupo. De forma predeterminada, no hay directivas de red cableada (IEEE 802.3). Para crear una directiva nueva, haga clic con el botón secundario en Directivas de red cableada (IEEE 802.3) en el árbol de la consola y haga clic en Crear una nueva directiva de Windows Vista.
El cuadro de diálogo de propiedades de una directiva de red cableada de Windows Vista consta de una ficha General y de una ficha Seguridad. En la Figura 1 se muestra la ficha General predeterminada. En la ficha General, puede configurar un nombre y la descripción para la directiva y especificar si se usa el servicio Configuración automática de redes cableadas, que controla el comportamiento de 802.1X en conexiones de red cableada. Para obtener más información, consulte la barra lateral "Usar el servicio de configuración automática de redes cableadas" en esta columna.
Figura 1** Ficha General predeterminada de una directiva de red cableada de Windows Vista **
En la Figura 2 se muestra la ficha Seguridad predeterminada de una directiva de red cableada de Windows Vista. En la ficha Seguridad, puede habilitar o deshabilitar la autenticación 802.1X, seleccionar y configurar el método de autenticación de Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol), seleccionar el modo de autenticación (reautenticación de usuario, sólo equipo, autenticación de usuario o autenticación de invitado), configurar el número de intentos de autenticación con error antes de que se abandone la autenticación y configurar si se almacenará en caché la información de usuario para las conexiones posteriores. Cuando el almacenamiento en caché está deshabilitado, Windows quita los datos de credenciales de usuario del Registro cuando el usuario cierra la sesión. El resultado es que al siguiente usuario se le pedirán sus credenciales (como el nombre de usuario y la contraseña) al iniciar sesión.
Figura 2** Ficha Seguridad predeterminada de una directiva de red cableada de Windows Vista **
Al hacer clic en el botón Opciones avanzadas de la ficha Seguridad, puede configurar las opciones avanzadas de 802.1X e inicio de sesión único. En la Figura 2 se muestra el cuadro de diálogo Configuración de seguridad avanzada predeterminado de una directiva de red cableada de Windows Vista. En el cuadro de diálogo Configuración de seguridad avanzada puede configurar las opciones de 802.1X que se muestran en la Figura 4.
Figure 4 Configuración de 802.1X en el cuadro de diálogo Configuración de seguridad avanzada
| Configuración | Descripción |
| Máximo de mensajes EAPOL-Start | El número de mensajes sucesivos de EAP sobre LAN (EAPOL)-Start que se envían cuando no se recibe ninguna respuesta a los mensajes iniciales de EAPOL-Start. |
| Período de retención | El intervalo de tiempo entre la retransmisión de los mensajes EAPOL-Start cuando no se recibe ninguna respuesta al mensaje EAPOL-Start. |
| Período de inicio | El período de tiempo durante el cual el cliente de autenticación no realizará ninguna actividad de autenticación 802.1X después de que reciba una indicación de error de autenticación por parte del autenticador. |
| Período de autenticación | El período de tiempo que el cliente de autenticación esperará antes de retransmitir solicitudes 802.1X después de que se haya iniciado la autenticación 802.1X de extremo a extremo. |
| Mensaje EAPOL-Start | Cuando el cliente de red cableada envía el mensaje EAPOL-Start. |
Figura 3** Cuadro de diálogo Configuración de seguridad avanzada predeterminado de una directiva de red cableada de Windows Vista **
Los clientes de red cableada que ejecutan Windows Server 2008 admiten el inicio de sesión único para las conexiones de red cableada. Esta característica también se ha planeado para el próximo lanzamiento de Windows Vista Service Pack 1. Hay más información disponible en línea en technetmagazine.com/issues/2007/11/CableGuy.
Existen configuraciones de inicio de sesión único para realizar la autenticación 802.1X de nivel de usuario antes o después del proceso del inicio de sesión de usuario y para esperar el número de segundos configurado a que se complete la autenticación 802.1X de nivel de usuario antes de iniciar el proceso de inicio de sesión del usuario. También puede determinar si desea que se muestren los cuadros de diálogo de autenticación de nivel de usuario más allá de la consolidación de campos de entrada en la pantalla de inicio de sesión de Windows. Por ejemplo, si un tipo EAP desea que el usuario confirme el certificado enviado desde el servidor RADIUS durante la autenticación, el tipo EAP puede mostrar el cuadro de diálogo.
Asimismo, puede especificar que después de realizar la autenticación de nivel de usuario, el sistema inicie una renovación del Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) de la configuración TCP/IP del adaptador de red cableada. Seleccione esta opción si hay LAN virtuales (VLAN) independientes para los clientes de red cableada de nivel de equipo y de nivel de usuario y si esas VLAN son subredes IPv4 o IPv6 diferentes.
Compatibilidad de scripting con la herramienta Netsh
Windows Server 2008 y Windows Vista admiten comandos en el contexto de netsh lan de la herramienta Netsh para configurar opciones de red cableada o bien para exportar o importar un perfil de red cableada, que es un conjunto con nombre de configuraciones de red cableada en formato XML. Con la configuración de la línea de las opciones de red cableada, puede implementar más fácilmente redes cableadas mediante la creación de scripts automatizados para configuraciones de red cableada sin usar la directiva de grupo. La configuración de la directiva de grupo Directivas de red cableada (IEEE 802.3) sólo se aplica a un dominio de Active Directory. Para un entorno sin una infraestructura de directiva de grupo, un script que automatiza la configuración de conexiones de red cableada puede ejecutarse de forma manual o automática, incluido como parte del script de inicio de sesión.
Para realizar la configuración de la línea de comandos de los clientes de red cableada con Windows Vista o Windows Server 2008, ejecute los comandos netsh lan con los parámetros adecuados. Por ejemplo, el siguiente comando habilita el inicio de sesión único para la conexión de red denominada "Local Area Connection" y configura el inicio de sesión único para efectúe la autenticación de usuario antes del inicio de sesión de usuario:
netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon
Para obtener más información acerca de la sintaxis del comando netsh lan, consulte technet.microsoft.com/aa905084.
Los perfiles XML de red cableada se pueden exportar de un cliente de red cableada de Windows Server 2008 o Windows Vista y, a continuación, importarlos en un cliente de red cableada de Windows Server 2008 o Windows Vista con la herramienta Netsh. Para exportar un perfil de red cableada, use el comando netsh lan export profile. Si desea importar un perfil de red cableada, use el comando netsh lan add profile. Para ver algunos ejemplos útiles de perfiles de red cableada, consulte msdn2.microsoft.com/aa816372.
Con la línea de comandos y la compatibilidad de perfil XML, puede arrancar un cliente de red cableada en una red cableada autenticada mediante 802.1X de la organización. Un equipo cliente de red cableada que no sea miembro del dominio no puede conectarse a la red cableada mediante las credenciales de equipo. Además, un equipo no puede unirse al dominio hasta que se haya conectado correctamente con la red cableada. No obstante, la línea de comandos y la compatibilidad de perfil XML permiten que un equipo de red cableada se conecte a la red cableada de la organización con las credenciales de usuario y, a continuación, unir el equipo al dominio. Para obtener más información, consulte technet.microsoft.com/bb727031.
Joseph Davieses escritor técnico en Microsoft y ha enseñado y escrito acerca de temas de red de Windows desde 1992. Ha escrito cinco libros para Microsoft Press y es el autor de la columna mensual Cable Guy de TechNet.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.