Guia - Informe Radius - Seguridad en Wireless-CN-UPB
-
Upload
patricio-pe -
Category
Documents
-
view
219 -
download
0
Transcript of Guia - Informe Radius - Seguridad en Wireless-CN-UPB
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
1/49
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
2/49
Objetivo:
Realizar los pasos necesarios para la configuracin de una red inalmbrica con
autenticacin de usuarios a travs de un servidor Radius con Active Directory
Requisitos:
Sistema Operativo: Windows Server 2008
Habilitacin del servicio Active Directory(Controlador de dominio)
Habilitacin del servicio DNS(Servidor de nombres)
Habilitacin del Servicio IAS
Habilitacin del Servicio de Autoridad Certificadora
Habilitacin del Servicio IIS
I. Configuracin del Windows 2008 Server
1. En la ventana Initial Configuration Tasks hacer click en la opcin Provide
computer name and domain
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
3/49
2. Entrar en la descripcin del equipo y hacer click en el botn Change para
cambiar el nombre del equipo. Se usara de modo de ejemplo el nombre y
descripcin WLAN-DC.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
4/49
Luego de ingresar el nombre del equipo se deber reinicia el servidor para que los cambios
sean realizados.
II.
Configurando el Servidor como Controlador de Dominio
3. Para este ejemplo se configurara un nuevo bosque en el controlador de dominio para
el dominio wlan.net. En la ventana del Administrador del Servidor (Server
Manager) hacer click en Roles, ah se elige la opcin Active Directory Domain
Services para agregar el servidor de Active directory, por ltimo se hace click en
Add Roles
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
5/49
4. Se selecciona el rol de Active Directory Domain Services
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
6/49
5. Luego de hacer click aparecer una ventana de confirmacin y hacer click en la
opcin de Instalar, luego de realizar esto se debera ver el progreso de la instalacin
y al finalizar mostrara un mensaje de instalacin finalizada con xito o installation
success que pedir ejecutar el comando dcpromo.exe el cual configurara el
dominio. Hacer click en el enlace para ejecutar dcpromo.exe o hacer click en el
botn de Inicio de Windows, seleccionar Ejecutar o Run y ingresar
dcpromo.exe. Una vez realizado esto se debera mostrar el asistente de instalacin
de Active Directory Domain Service. Para continuacin hacer click en
Siguiente o Next
6. Escoger la opcin Create a new domain in a new forest y hacer click en Next.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
7/49
7. Para continuar con el ejemplo del dominio se usara wlan.net. Hacer click en
Next y el servidor comprobara si el nombre esta siendo usado en la red.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
8/49
8. Cuando pregunte Forest Functional Level seleccionar:
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
9/49
9. En la siguiente pantalla se mostrara un mensaje de advertencia de que el servicio de
DNS no se encuentra instalado y preguntara instalarlo, Hacer click en Next para
aceptar y instalar.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
10/49
10.
En el siguiente mensaje que muestra hacer click en Yes para continuar.
11.
Se dejan los valores por omisin y hacer click en Next
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
11/49
12.
Ingresar la contrasea del Directory Services Restore Mode Administrator
Password y hacer click en Next.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
12/49
13.En la pantalla de resumen hacer click en Next
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
13/49
14.
Durante la instalacin de los servicios de DNS y de Active Directory seleccionar laopcin del checkbox Reboot on completion para reiniciar una vez terminada la
instalacin
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
14/49
15.
Luego en el administrador de directivas de grupo se necesita activar la opcin"reversible password encryption" para todos los usuarios del dominio
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
15/49
16.
Para habilitar almacenar contraseas con cifrado reversible:
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
16/49
17.
Ahora hay que reiniciar el dominio para que los cambios sean tomados.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
17/49
III. Configurar la Autoridad Certificadora
18.Para habilitar PEAP o EAP-TLS necesitaremos instalar el servicio de Certificados
para habilitar una Autoridad Certificador (CA) para generar y firmar certificados
para nuestro dominio. De nuevo, agregar el Rol va Administrador del Servidor o
Server Manager y seleccionar Active Directory Certificate Services y hacer
click en Next.
19.Hacer click en la pantalla de confirmacin y seleccin Certification Authority y
Certificate Authority Web Enrollment, las cuales solicitaran que el servicio IIS
ser instalado para poder usar el servicio Certificate Authority Web Enrollment,
hacer click en Add Required Role Services y hacer click en Next para
continuar.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
18/49
20.Cual solicite seleccionar que tipo de Autoridad Certificado instalar seleccionar
Enterprise.
21.En el siguiente paso pide seleccionar el tipo de CA, seleccionar Root CA y hacer
click en Next.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
19/49
22.En el siguiente paso para configurar la clave privada seleccionar Create a new
private key y hacer click en Next.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
20/49
23.En el siguiente paso para configurar la criptografa que ser usada por la CA,aceptar
los valores predeterminados y hacer click en Next en las siguientes pantallas de
confirmacin .
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
21/49
IV. Emitir Certificados
24.Ahora que se tiene la Autoridad Certificadora (CA) lista y funcionando se necesitan
solicitar peticiones de certificados para el Servidor de Autenticacin.
Se necesita crear una Microsoft Management Console (MMC) que nos permita realizarpeticiones y instalar certificados en nuestro servidor para realizar esto se debe hacer click
en el botn de Inicio de Windows y en ejecutar ingresar MMC para abrir MMC. El
siguiente pas ser instalar el Certificado (Para el equipo local), en el menu File escoger
la opcin Add/Remove Snap-in. Seleccionar Certificates y hacer click enAdd
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
22/49
25.Seleccionar la opcin Computer Account y hacer click en Next.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
23/49
26.Escoger Local Computer, y hacer click en Finish yOK.
27.Se necesita salvar la consola MMC en el escritorio puesto que se necesitara mas
adelante. Para emitir certificados para el servidor (Si no se quiere usar el certificado
predeterminado) se expande la opcin Certificates (Local Computer Account),
Personal, y hacer click con el botn derecho del mouse en Certificates y
seleccionar All Tasks, Request New Certificate
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
24/49
28.Hacer click en la pantalla para escoger la configuracin que se desea para el
certificado.
V. Configurando Network Policy and Access Services
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
25/49
29.En el Administrador del Servidor o Server Manager hacer click en Add a
Role y se selecciona Network Policy and Access Services y hacer click en la
pantalla de confirmacin.
30.Seleccionar Network Policy Server, Routing and Remote Access Services,
Remote Access Service y Routing. Hacer Click en Next, aceptar en todas las
pantallas de confirmacin y click en Install.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
26/49
La instalacin podra tomar algunos minutos y presentara un resumen de instalacin, Hacer
click en Close.
31.Ahora que NPS est instalado, hacer click en el botn de inicio de Windows y en el
campo de ejecutar ingresar nps.msc. Se abrir la consola de NPS MMC el cual
permite seleccionar RADIUS server for 802.1X Wireless or Wired Connections
que es un asistente de instalacin del menu Standard Configuration, hacer click en
Configure 802.1X.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
27/49
32.De la pagina Select 802.1X Connections Type, seleccionar Secure Wireless
Connections y hacer click en Next.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
28/49
33.De la pantalla Specify 802.1X Switches hacer click en Add y ingrese la
configuracin del cliente Radius y presione OK.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
29/49
34.Para la pantalla Configure an Authentication Method, seleccionar PEAP y hacer
click en Configure
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
30/49
35.Seleccionar el certificado apropiado para usar en el servidor. En este caso se usar
el certificado WLAN-DC.wlan.net, hacer click en OK.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
31/49
36.Para la pantalla Specify User Groups seleccionar los usuarios y/o lista de grupos a
los cuales se le permitirn acceder a la red inalmbrica, para este ejemplo se
permitir el ingreso a usuarios del dominio Domain Users y Equipos del Dominio
Domain Computers
37.
En la siguiente pantalla hacer click en Next y Finish.
VI. Configuracin del Cliente Radius
38.Para configurar el cliente Radius se debe ingresar en el browser la direccin Ip del
Access Point que se va a configurar, se ingresa el nombre de usuario y password
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
32/49
39.Luego se configura el servidor dhcp y direccin ip en el cliente
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
33/49
40.En la Opcin Seguridad Inalmbrica, se configura el cliente y se coloca la clave pre
compartida que se coloco al agregar el cliente en Windows Server, Se uso como
ejemplo el modo de seguridad Wpa-Enterprise
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
34/49
VII.
Configuracin del Cliente
Ya finalizado la configuracin del Servidor de Windows con Radius y configurado el
Access point cliente de Radius se debe configurar el equipo cliente para poder ingresar a la
red inalmbrica, se deben seguir los siguientes pasos:
1. Verificar que la hora del cliente este sincronizada con la del servidor (Este
paso es esencial para el funcionamiento correcto del ejemplo)
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
35/49
2. El nombre del equipo cliente debe ser agregado en el dominio del servidor
Nota:No se debe agregar el equipo al dominio solo se debe agregar el
nombre del equipo
3. Generar el certificado digital del servidor para ser usado en el cliente
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
36/49
i. Hacer double click en la consola MMC salvada en escritorio en el
paso 27 y seleccionar wlan-WLAN-DC-CA en Certificados,
Personal en la consola MMC
ii. Luego hacer click con el botn derecho del mouse en el certificado
que se desea exportar, seleccionar Todas las tareas o All Tasks y
hacer click en Exportar o Export, Se iniciara el asistente para
exportar certificados
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
37/49
iii. Seleccionar los certificados a exportar, solo es necesario seleccionar
la opcin Controlador de dominio y seguir con el asistente, al
finalizar solicitara el nombre del archivo para salvar el certificado,
salvarlo en escritorio ya que se necesitara para autenticar los clientesya que se esta usando como mtodo de autenticacin Protected EAP
(PEAP)
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
38/49
4. Instalar el certificado emitido por el servidor en el cliente
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
39/49
Colocar el certificado en Entidades de Certificacin raz de confianza
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
40/49
5. Configurar el acceso a la red inalmbrica
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
41/49
Para configurar el acceso inalmbrico en Windows 7 se debe ir al men de
Administrar redes inalmbricas y hacer click en Agregar
Se crea un nuevo perfil de red manualmente y se llenan los datos de la red
inalmbrica
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
42/49
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
43/49
Una vez finalizado, en la siguiente pantalla hacer click en la opcin
Cambiar la configuracin de conexin, luego en Propiedades de la red
inalmbrica seleccionar la pestaa Seguridad
Luego hacer click en configuracin del mtodo de autenticacin y realizar la
siguiente configuracin (Seleccionar el certificado instalado) y Aceptar.
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
44/49
De nuevo en Propiedades de la red inalmbrica seleccionar
Configuracin Avanzada y realizar los siguientes cambios
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
45/49
6. Una vez configurada la red inalmbrica se prueba el ingreso con un usuario
del Active Directory, para fines prcticos del ejercicio se uso el usuario
administrador para ingresar a la red inalmbrica
En caso de error en nombre de usuario o contrasea mostrara el siguiente
mensaje:
En caso de no presentarse ningn problema se podr ingresar con xito a la
red inalmbrica:
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
46/49
7. Verificar en el visor de eventos del Servidor de Windows por posibles fallas,
en caso de xito debera mostrar los siguientes mensajes de Log:
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
47/49
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
48/49
-
7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB
49/49
Referencias
http://www.windowsnetworking.com/articles_tutorials/Setting-up-Wi-Fi-Authentication-
Windows-Server-2008-Part1.html
http://www.fatofthelan.com/technical/using-windows-2008-for-radius-authentication/