guia - informe radius - seguridad en wireless-cn-upb

7/24/2019 Guia - Informe Radius - Seguridad en Wireless-CN-UPB

1/49


2/49

Objetivo:

Realizar los pasos necesarios para la configuracin de una red inalmbrica con

autenticacin de usuarios a travs de un servidor Radius con Active Directory

Requisitos:

Sistema Operativo: Windows Server 2008

Habilitacin del servicio Active Directory(Controlador de dominio)

Habilitacin del servicio DNS(Servidor de nombres)

Habilitacin del Servicio IAS

Habilitacin del Servicio de Autoridad Certificadora

Habilitacin del Servicio IIS

I. Configuracin del Windows 2008 Server

1. En la ventana Initial Configuration Tasks hacer click en la opcin Provide

computer name and domain


3/49

2. Entrar en la descripcin del equipo y hacer click en el botn Change para

cambiar el nombre del equipo. Se usara de modo de ejemplo el nombre y

descripcin WLAN-DC.


4/49

Luego de ingresar el nombre del equipo se deber reinicia el servidor para que los cambios

sean realizados.

II.

Configurando el Servidor como Controlador de Dominio

3. Para este ejemplo se configurara un nuevo bosque en el controlador de dominio para

el dominio wlan.net. En la ventana del Administrador del Servidor (Server

Manager) hacer click en Roles, ah se elige la opcin Active Directory Domain

Services para agregar el servidor de Active directory, por ltimo se hace click en

Add Roles


5/49

4. Se selecciona el rol de Active Directory Domain Services


6/49

5. Luego de hacer click aparecer una ventana de confirmacin y hacer click en la

opcin de Instalar, luego de realizar esto se debera ver el progreso de la instalacin

y al finalizar mostrara un mensaje de instalacin finalizada con xito o installation

success que pedir ejecutar el comando dcpromo.exe el cual configurara el

dominio. Hacer click en el enlace para ejecutar dcpromo.exe o hacer click en el

botn de Inicio de Windows, seleccionar Ejecutar o Run y ingresar

dcpromo.exe. Una vez realizado esto se debera mostrar el asistente de instalacin

de Active Directory Domain Service. Para continuacin hacer click en

Siguiente o Next

6. Escoger la opcin Create a new domain in a new forest y hacer click en Next.


7/49

7. Para continuar con el ejemplo del dominio se usara wlan.net. Hacer click en

Next y el servidor comprobara si el nombre esta siendo usado en la red.


8/49

8. Cuando pregunte Forest Functional Level seleccionar:


9/49

9. En la siguiente pantalla se mostrara un mensaje de advertencia de que el servicio de

DNS no se encuentra instalado y preguntara instalarlo, Hacer click en Next para

aceptar y instalar.


10/49

10.

En el siguiente mensaje que muestra hacer click en Yes para continuar.

11.

Se dejan los valores por omisin y hacer click en Next


11/49

12.

Ingresar la contrasea del Directory Services Restore Mode Administrator

Password y hacer click en Next.


12/49

13.En la pantalla de resumen hacer click en Next


13/49

14.

Durante la instalacin de los servicios de DNS y de Active Directory seleccionar laopcin del checkbox Reboot on completion para reiniciar una vez terminada la

instalacin


14/49

15.

Luego en el administrador de directivas de grupo se necesita activar la opcin"reversible password encryption" para todos los usuarios del dominio


15/49

16.

Para habilitar almacenar contraseas con cifrado reversible:


16/49

17.

Ahora hay que reiniciar el dominio para que los cambios sean tomados.


17/49

III. Configurar la Autoridad Certificadora

18.Para habilitar PEAP o EAP-TLS necesitaremos instalar el servicio de Certificados

para habilitar una Autoridad Certificador (CA) para generar y firmar certificados

para nuestro dominio. De nuevo, agregar el Rol va Administrador del Servidor o

Server Manager y seleccionar Active Directory Certificate Services y hacer

click en Next.

19.Hacer click en la pantalla de confirmacin y seleccin Certification Authority y

Certificate Authority Web Enrollment, las cuales solicitaran que el servicio IIS

ser instalado para poder usar el servicio Certificate Authority Web Enrollment,

hacer click en Add Required Role Services y hacer click en Next para

continuar.


18/49

20.Cual solicite seleccionar que tipo de Autoridad Certificado instalar seleccionar

Enterprise.

21.En el siguiente paso pide seleccionar el tipo de CA, seleccionar Root CA y hacer

click en Next.


19/49

22.En el siguiente paso para configurar la clave privada seleccionar Create a new

private key y hacer click en Next.


20/49

23.En el siguiente paso para configurar la criptografa que ser usada por la CA,aceptar

los valores predeterminados y hacer click en Next en las siguientes pantallas de

confirmacin .


21/49

IV. Emitir Certificados

24.Ahora que se tiene la Autoridad Certificadora (CA) lista y funcionando se necesitan

solicitar peticiones de certificados para el Servidor de Autenticacin.

Se necesita crear una Microsoft Management Console (MMC) que nos permita realizarpeticiones y instalar certificados en nuestro servidor para realizar esto se debe hacer click

en el botn de Inicio de Windows y en ejecutar ingresar MMC para abrir MMC. El

siguiente pas ser instalar el Certificado (Para el equipo local), en el menu File escoger

la opcin Add/Remove Snap-in. Seleccionar Certificates y hacer click enAdd


22/49

25.Seleccionar la opcin Computer Account y hacer click en Next.


23/49

26.Escoger Local Computer, y hacer click en Finish yOK.

27.Se necesita salvar la consola MMC en el escritorio puesto que se necesitara mas

adelante. Para emitir certificados para el servidor (Si no se quiere usar el certificado

predeterminado) se expande la opcin Certificates (Local Computer Account),

Personal, y hacer click con el botn derecho del mouse en Certificates y

seleccionar All Tasks, Request New Certificate


24/49

28.Hacer click en la pantalla para escoger la configuracin que se desea para el

certificado.

V. Configurando Network Policy and Access Services


25/49

29.En el Administrador del Servidor o Server Manager hacer click en Add a

Role y se selecciona Network Policy and Access Services y hacer click en la

pantalla de confirmacin.

30.Seleccionar Network Policy Server, Routing and Remote Access Services,

Remote Access Service y Routing. Hacer Click en Next, aceptar en todas las

pantallas de confirmacin y click en Install.


26/49

La instalacin podra tomar algunos minutos y presentara un resumen de instalacin, Hacer

click en Close.

31.Ahora que NPS est instalado, hacer click en el botn de inicio de Windows y en el

campo de ejecutar ingresar nps.msc. Se abrir la consola de NPS MMC el cual

permite seleccionar RADIUS server for 802.1X Wireless or Wired Connections

que es un asistente de instalacin del menu Standard Configuration, hacer click en

Configure 802.1X.


27/49

32.De la pagina Select 802.1X Connections Type, seleccionar Secure Wireless

Connections y hacer click en Next.


28/49

33.De la pantalla Specify 802.1X Switches hacer click en Add y ingrese la

configuracin del cliente Radius y presione OK.


29/49

34.Para la pantalla Configure an Authentication Method, seleccionar PEAP y hacer

click en Configure


30/49

35.Seleccionar el certificado apropiado para usar en el servidor. En este caso se usar

el certificado WLAN-DC.wlan.net, hacer click en OK.


31/49

36.Para la pantalla Specify User Groups seleccionar los usuarios y/o lista de grupos a

los cuales se le permitirn acceder a la red inalmbrica, para este ejemplo se

permitir el ingreso a usuarios del dominio Domain Users y Equipos del Dominio

Domain Computers

37.

En la siguiente pantalla hacer click en Next y Finish.

VI. Configuracin del Cliente Radius

38.Para configurar el cliente Radius se debe ingresar en el browser la direccin Ip del

Access Point que se va a configurar, se ingresa el nombre de usuario y password


32/49

39.Luego se configura el servidor dhcp y direccin ip en el cliente


33/49

40.En la Opcin Seguridad Inalmbrica, se configura el cliente y se coloca la clave pre

compartida que se coloco al agregar el cliente en Windows Server, Se uso como

ejemplo el modo de seguridad Wpa-Enterprise


34/49

VII.

Configuracin del Cliente

Ya finalizado la configuracin del Servidor de Windows con Radius y configurado el

Access point cliente de Radius se debe configurar el equipo cliente para poder ingresar a la

red inalmbrica, se deben seguir los siguientes pasos:

1. Verificar que la hora del cliente este sincronizada con la del servidor (Este

paso es esencial para el funcionamiento correcto del ejemplo)


35/49

2. El nombre del equipo cliente debe ser agregado en el dominio del servidor

Nota:No se debe agregar el equipo al dominio solo se debe agregar el

nombre del equipo

3. Generar el certificado digital del servidor para ser usado en el cliente


36/49

i. Hacer double click en la consola MMC salvada en escritorio en el

paso 27 y seleccionar wlan-WLAN-DC-CA en Certificados,

Personal en la consola MMC

ii. Luego hacer click con el botn derecho del mouse en el certificado

que se desea exportar, seleccionar Todas las tareas o All Tasks y

hacer click en Exportar o Export, Se iniciara el asistente para

exportar certificados


37/49

iii. Seleccionar los certificados a exportar, solo es necesario seleccionar

la opcin Controlador de dominio y seguir con el asistente, al

finalizar solicitara el nombre del archivo para salvar el certificado,

salvarlo en escritorio ya que se necesitara para autenticar los clientesya que se esta usando como mtodo de autenticacin Protected EAP

(PEAP)


38/49

4. Instalar el certificado emitido por el servidor en el cliente


39/49

Colocar el certificado en Entidades de Certificacin raz de confianza


40/49

5. Configurar el acceso a la red inalmbrica


41/49

Para configurar el acceso inalmbrico en Windows 7 se debe ir al men de

Administrar redes inalmbricas y hacer click en Agregar

Se crea un nuevo perfil de red manualmente y se llenan los datos de la red

inalmbrica


42/49


43/49

Una vez finalizado, en la siguiente pantalla hacer click en la opcin

Cambiar la configuracin de conexin, luego en Propiedades de la red

inalmbrica seleccionar la pestaa Seguridad

Luego hacer click en configuracin del mtodo de autenticacin y realizar la

siguiente configuracin (Seleccionar el certificado instalado) y Aceptar.


44/49

De nuevo en Propiedades de la red inalmbrica seleccionar

Configuracin Avanzada y realizar los siguientes cambios


45/49

6. Una vez configurada la red inalmbrica se prueba el ingreso con un usuario

del Active Directory, para fines prcticos del ejercicio se uso el usuario

administrador para ingresar a la red inalmbrica

En caso de error en nombre de usuario o contrasea mostrara el siguiente

mensaje:

En caso de no presentarse ningn problema se podr ingresar con xito a la

red inalmbrica:


46/49

7. Verificar en el visor de eventos del Servidor de Windows por posibles fallas,

en caso de xito debera mostrar los siguientes mensajes de Log:


47/49


48/49


49/49

Referencias

http://www.windowsnetworking.com/articles_tutorials/Setting-up-Wi-Fi-Authentication-

Windows-Server-2008-Part1.html

http://www.fatofthelan.com/technical/using-windows-2008-for-radius-authentication/

guia - informe radius - seguridad en wireless-cn-upb

Documents