Tecnología inalámbrica : Cisco Aironet de la serie 350

Introducción a la configuración WPA

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (23 Junio 2008) | Inglés (20 Diciembre 2015) | Comentarios


Necesita una cuenta válida de Cisco.com para descargar drivers de Cisco Aironet, firmware, y utilidades de Downloads - Wireless (clientes registrados solamente). . Si no tiene una cuenta Cisco.com, regístrese gratis en la página de RegistroCisco.com.


Contenido


Introducción

Este documento proporciona una configuración de ejemplo de WPA (Wi-Fi Protected Access), el estándar de seguridad interina que utilizan los miembros de Wi-Fi Alliance.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento completo de las redes inalámbricas y de los problemas de seguridad inalámbrica

  • Conocimiento de los métodos de seguridad del Protocolo de Autenticación Extensible (EAP)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • (APS) basado en software de los Puntos de acceso de Cisco IOS�

  • Cisco IOS Software Release 12.2(15)JA o Posterior

    Nota: Preferiblemente, utilice la última versión de Cisco IOS Software, aunque el WPA se soporta en el Cisco IOS Software Release 12.2(11)JA y Posterior. Para obtener la última versión de Cisco IOS Software, refiera a las descargas (clientes registrados solamente).

  • Un Network Interface Cards WPA-obediente (NIC) y su software de cliente WPA-obediente

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Teoría Precedente

Las funciones de seguridad en una red inalámbrica, como WEP, son vulnerables. El grupo industrial del Wi-Fi Alliance (o WECA) ideó una última generación, estándar de seguridad interino para las redes inalámbricas. El estándar proporciona la defensa contra las debilidades hasta que la organización IEEE ratifique el estándar 802.11i.

Este nuevo esquema se basa en la autenticación actual EAP/802.1x y la administración de claves dinámicas y agrega un encripción de cifras más fuerte. Después del dispositivo del cliente y del servidor de autenticación haga una asociación del EAP/802.1x, negocian a la administración de claves WPA entre el AP y el dispositivo del cliente WPA-obediente.

Los Productos de Cisco AP también preven una Configuración de Híbrido en la cual ambos clientes EAP basados en WEP de la herencia (con la herencia o ninguna administración de claves) trabajen conjuntamente con los clientes WPA. Esta configuración se refiere como modo de migración. El modo de migración tiene en cuenta un acercamiento organizado emigrar al WPA. Este documento no cubre al modo de migración. Este documento proporciona un delinear para una red WPA-asegurada pura.

Además de los problemas de seguridad de la empresa o del nivel corporativo, el WPA también proporciona una versión de la clave previamente compartida (WPA-PSK) que se piense para el uso en el oficina pequeña, oficina en el hogar (SOHO) o las redes inalámbricas caseras. La utilidad de cliente del Cisco Aironet (ACU) no soporta el WPA-PSK. La utilidad de configuración de la Tecnología inalámbrica cero de Microsoft Windows soporta el WPA-PSK para la mayoría de las placas de red inalámbrica, al igual que estas utilidades:

Usted puede configurar el WPA-PSK cuando:

  • Usted define al modo de encripción como Temporal Key Integrity Protocol (TKIP) de la cifra en la ficha Manager del cifrado.

  • Usted define el tipo de autenticación, el uso de la administración de claves autenticada, y la clave previamente compartida en la ficha Manager del Service Set Identifier (SSID) del GUI.

  • No se necesita configuración en la ficha Server Manager (Administrador de servidor).

Para habilitar el WPA-PSK a través del comando line interface(cli), ingrese estos comandos. Salga del modo de configuración:

AP(config)#interface dot11Radio 0
AP(config-if)#encryption mode ciphers tkip
AP(config-if)#ssid ssid_name

AP(config-if-ssid)#authentication open
AP(config-if-ssid)#authentication key-management wpa
AP(config-if-ssid)#wpa-psk ascii pre-shared_key

Nota: Esta sección proporciona solamente la configuración que es relevante al WPA-PSK. La configuración en esta sección es solamente darle una comprensión en cómo habilitar el WPA-PSK y no es el foco de este documento. Este documento explica cómo configurar el WPA.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

WPA se basa en los métodos de EAP/802.1x. Este documento asume que usted tiene una luz EAP (SALTO), EAP, o la configuración protegida EAP (PEAP) que trabaja antes de que usted agregue la configuración para dedicar el WPA.

Esta sección presenta los datos para configurar las características descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Red EAP (Protocolo de autenticación extensible) o autenticación abierta con EAP.

En cualquier método de autentificación EAP/802.1x-based, usted puede preguntar cuáles están las diferencias entre el Network EAP y la autenticación abierta con el EAP. Estos ítems se refieren a valores en el campo de autenticación de algoritmos en los encabezados de paquetes de administración y asociación. La mayoría de los fabricantes de conjunto de los clientes de red inalámbrica este campo en el valor 0 (autenticación abierta), y entonces señalan su deseo de hacer la autenticación EAP más adelante en el proceso de asociación. Cisco establece un valor distinto, desde el comienzo de la asociación con el indicador de red EAP.

Utilice el método de autentificación que esta lista indica si su red tiene los clientes que son:

  • Clientes de Cisco — Utilice el Network EAP.

  • Clientes de tercera persona (que incluyen los Ciscos Compatibles Extension que el [CCX] - los Productos obedientes) — utiliza la autenticación abierta con el EAP.

  • Una combinación de ambo Cisco y clientes de tercera persona — elija el Network EAP y la autenticación abierta con el EAP.

Configuración de CLI

En este documento, se utilizan estas configuraciones:

  • Una configuración LEAP que existe y trabaja

  • Cisco IOS Software Release 12.2(15)JA para el Cisco IOS AP basados en software

AP
ap1#show running-config 
 Building configuration...
 .
 .
 .
aaa new-model 
!
aaa group server radius rad_eap 
 server 192.168.2.100 auth-port 1645 acct-port 1646
.
.
aaa authentication login eap_methods group rad_eap
.
.
.
!         
bridge irb
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip  

!--- This defines the cipher method that WPA uses. The TKIP
!--- method is the most secure, with use of the Wi-Fi-defined version of TKIP.
  

 !
 ssid WPAlabap1200
    authentication open eap eap_methods
 

!--- This defines the method for the underlying EAP when third-party clients 
!--- are in use.

    authentication network-eap eap_methods
 

!--- This defines the method for the underlying EAP when Cisco clients are in use.

    authentication key-management wpa 

!--- This engages WPA key management.

 !
 speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
 rts threshold 2312
 channel 2437
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
.
.
.
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 192.168.2.108 255.255.255.0 

!--- This is the address of this unit.

 no ip route-cache
!
ip default-gateway 192.168.2.1
ip http server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
ip radius source-interface BVI1
snmp-server community cable RO
snmp-server enable traps tty
radius-server host 192.168.2.100 auth-port 1645 acct-port 1646 key shared_secret

!--- This defines where the RADIUS server is and the key between the AP and server.

radius-server retransmit 3
radius-server attribute 32 include-in-access-req format %h
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
bridge 1 route ip
!
!
line con 0
line vty 5 15
!
end
 !
 end

Configuración de la interfaz gráfica para el usuario

Complete estos pasos para configurar el AP para el WPA:

  1. Complete estos pasos para configurar al administrador del cifrado:

    1. Active el encripción para TKIP.

    2. Borre el valor en la clave de encripción 1.

    3. Fije la clave de encripción 2 como la clave de transmitir.

    4. Haga clic la Aplicar-radio #.

    /image/gif/paws/44721/WPAOverview1.gif

  2. Complete estos pasos para configurar al administrador SSID:

    1. Seleccione el SSID deseado de la lista actual SSID.

    2. Elija un método de autentificación apropiado.

      Base esta decisión en el tipo de placas cliente que usted utilice. Vea la red EAP o la autenticación abierta con la sección EAP de este documento para más información. Si el EAP trabajó antes de la adición de WPA, un cambio no es probablemente necesario.

    3. Complete estos pasos para habilitar la administración de claves:

      1. Elija obligatorio del menú desplegable de la administración de claves.

      2. Marque la casilla de verificación WPA.

    4. Haga clic la Aplicar-radio #.

    /image/gif/paws/44721/WPAOverview2.gif

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • muestre el mac_address de la asociación del dot11 — Este comando visualiza la información sobre un cliente asociado específicamente identificado. Verifique que el cliente negocie la administración de claves como WPA y el cifrado como TKIP.

    WPAOverview3.gif

  • La entrada de tabla de la asociación para un cliente particular debe también indicar la administración de claves como WPA y el cifrado como TKIP. En la tabla de asociación, haga clic un MAC Address determinado para un cliente para ver los detalles de la asociación para ese cliente.

    /image/gif/paws/44721/WPAOverview4.gif

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Procedimiento de resolución de problemas

Esta información es importante para esta configuración. Siga estos pasos para resolver problemas con su configuración:

  1. Si este SALTO, EAP, o configuración de PEAP no se ha probado a conciencia antes de la implementación de WPA, usted debe completar estos pasos:

    1. Inhabilite temporalmente al modo de encripción WPA.

    2. Vuelva a permitir el EAP apropiado.

    3. Confirme que la autenticación trabaja.

  2. Verifique que la configuración del cliente haga juego el del AP.

    Por ejemplo, cuando el AP se configura para el WPA y el TKIP, confirme que las configuraciones hacen juego las configuraciones que se configuran en el cliente.

Comandos para Troubleshooting

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

La administración de claves WPA implica un apretón de manos de cuatro terminales después de que la autenticación EAP complete con éxito. Usted puede ver estos cuatro mensajes en los debugs. Si el EAP no autentica con éxito al cliente o si usted no ve los mensajes, complete estos pasos:

  1. Inhabilite temporalmente el WPA.

  2. Vuelva a permitir el EAP apropiado.

  3. Confirme que la autenticación trabaja.

Esta lista describe los debugs:

  • claves del administrador aaa del dot11 del debug — Este debug muestra que el apretón de manos que sucede entre el AP y el cliente WPA como la clave en parejas transitoria (PTK) y la clave transitoria del grupo (GTK) negocian. Este debug fue introducido en el Cisco IOS Software Release 12.2(15)JA.

    claves del administrador aaa del dot11 del debug
    labap1200ip102#
    Apr  7 16:29:57.908: dot11_dot1x_build_ptk_handshake: building PTK msg 1 for 
    0030.6527.f74a
    Apr  7 16:29:59.190: dot11_dot1x_verify_ptk_handshake: verifying PTK msg 2 from 
    0030.6527.f74a
    Apr  7 16:29:59.191: dot11_dot1x_verify_eapol_header: Warning: Invalid key info
    (exp=0x381, act=0x109
    Apr  7 16:29:59.191: dot11_dot1x_verify_eapol_header: Warning: Invalid key len 
    (exp=0x20, act=0x0)
    Apr  7 16:29:59.192: dot11_dot1x_build_ptk_handshake: building PTK msg 3 for 
    0030.6527.f74a
    Apr  7 16:29:59.783: dot11_dot1x_verify_ptk_handshake: verifying PTK msg 4 from 
    0030.6527.f74a
    Apr  7 16:29:59.783: dot11_dot1x_verify_eapol_header: Warning: Invalid key info 
    (exp=0x381, act=0x109
    Apr  7 16:29:59.783: dot11_dot1x_verify_eapol_header: Warning: Invalid key len 
    (exp=0x20, act=0x0)
    Apr  7 16:29:59.788: dot11_dot1x_build_gtk_handshake: building GTK msg 1 for 
    0030.6527.f74a
    Apr  7 16:29:59.788: dot11_dot1x_build_gtk_handshake: dot11_dot1x_get_multicast_key 
    len 32 index 1
    Apr  7 16:29:59.788: dot11_dot1x_hex_dump: GTK: 27 CA 88 7D 03 D9 C4 61 FD 4B BE 71 
    EC F7 43 B5 82 93 57 83 
    Apr  7 16:30:01.633: dot11_dot1x_verify_gtk_handshake: verifying GTK msg 2 from 
    0030.6527.f74a
    Apr  7 16:30:01.633: dot11_dot1x_verify_eapol_header: Warning: Invalid key info 
    (exp=0x391, act=0x301
    Apr  7 16:30:01.633: dot11_dot1x_verify_eapol_header: Warning: Invalid key len 
    (exp=0x20, act=0x0)
    Apr  7 16:30:01.633: %DOT11-6-ASSOC: Interface Dot11Radio0, Station   0030.6527.f74a 
    Associated KEY_MGMT[WPA]
    labap1200ip102#

    Si aparecen ningunas salidas de los debugs, verifique estos elementos:

    • Se habilita el término terminal lunes del monitor (si usted utiliza a una sesión telnet).

    • Se habilitan los debugs.

    • Configuran al cliente apropiadamente para el WPA.

    Si el debug muestra que el PTK y/o las entradas en contacto GTK están construidos pero no verificados, marque el software del solicitante de WPA para la configuración correcta y la versión actualizada.

  • haga el debug de la estado-máquina del authenticator aaa del dot11 — Este debug muestra los diversos estados de las negociaciones a que va un cliente a través mientras que se asocian y autentican. Los nombres del estado indican estos estados. Este debug fue introducido en el Cisco IOS Software Release 12.2(15)JA. Los obsoletes del debug el comando debug dot11 aaa dot1x state-machine en el Cisco IOS Software Release 12.2(15)JA y Posterior.

  • estado-máquina del dot1x aaa del dot11 del debug — Este debug muestra los diversos estados de las negociaciones a que va un cliente a través mientras que se asocian y autentican. Los nombres del estado indican estos estados. En las versiones de Cisco IOS Software que son anteriores que el Cisco IOS Software Release 12.2(15)JA, este debug también muestra la negociación de la administración de claves WPA.

  • debug dot11 aaa authenticator process—Este comando de depuración es muy útil para diagnosticar problemas con comunicaciones negociadas. La información detallada muestra lo que envía cada participante en la negociación y muestra la respuesta del otro participante. Usted puede también utilizar este debug conjuntamente con el comando debug radius authentication. Este debug fue introducido en el Cisco IOS Software Release 12.2(15)JA. Los obsoletes del debug el comando debug dot11 aaa dot1x process en el Cisco IOS Software Release 12.2(15)JA y Posterior.

  • debug dot11 aaa dot1x process—Este comando de depuración es útil para diagnosticar problemas con comunicaciones negociadas. La información detallada muestra lo que envía cada participante en la negociación y muestra la respuesta del otro participante. Usted puede también utilizar este debug conjuntamente con el comando debug radius authentication. En las versiones de Cisco IOS Software que son anteriores que el Cisco IOS Software Release 12.2(15)JA, este debug muestra la negociación de la administración de claves WPA.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 44721