Tecnología inalámbrica : Cisco Aironet de la serie 1100

Autenticación EAP con servidor RADIUS

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (19 Octubre 2009) | Comentarios

Consulte la página de descargas para redes inalámbricas de Cisco para obtener los controladores, el firmware y el software de Cisco Aironet.


Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     EAP de red o autenticación abierta con EAP
     Definición del servidor de autenticación
     Definición de los métodos de autenticación de cliente
Verificación
Resolución de problemas
     Procedimiento de resolución de problemas
     Comandos para resolución de problemas

Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona una configuración de ejemplo de un punto de acceso basado en Cisco IOS® para la autenticación mediante el Protocolo de autenticación extensible (EAP) de usuarios inalámbricos en una base de datos a la que accede un servidor RADIUS.

Dado el papel pasivo que desempeña el punto de acceso en EAP (conecta mediante puentes los paquetes inalámbricos del cliente con paquetes cableados destinados al servidor de autenticación y viceversa), esta configuración se utiliza con prácticamente todos los métodos EAP. Estos métodos incluyen, sin limitaciones, LEAP, Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP) EAP protegido (PEAP) versión 2, Tarjeta token genérica (GTC) PEAP, Autenticación flexible EAP a través de tunelización segura (FAST), Seguridad de capa de transporte (TLS) EAP y TLS tunelizada (TTLS) EAP. Debe configurar correctamente el servidor de autenticación para cada uno de estos métodos EAP.

Este documento sólo muestra cómo configurar el punto de acceso.

Requisitos previos

Requisitos

Antes de utilizar esta configuración, asegúrese de cumplir con los siguientes requisitos:

  • Está familiarizado con la GUI o la CLI de Cisco IOS.

  • Está familiarizado con los conceptos relacionados con la autenticación EAP.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • Los productos de punto de acceso (AP) de Cisco Aironet que ejecutan Cisco IOS.

  • Suposición de que hay sólo una LAN virtual (VLAN) en la red.

  • Un producto de servidor de autenticación RADIUS que se integra correctamente en una base de datos de usuario.

    • Los siguientes son los servidores de autenticación compatibles con LEAP de Cisco y EAP-FAST:

      • Cisco Secure Access Control Server (ACS)

      • Cisco Access Registrar (CAR)

      • Funk Steel Belted RADIUS

      • Interlink Merit

    • Estos son los servidores de autenticación compatibles con la versión 2 de PEAP-MS-CHAP de Microsoft y PEAP-GTC:

      • Internet Access Service (IAS) de Microsoft

      • Cisco Secure ACS

      • Funk Steel Belted RADIUS

      • Interlink Merit

      • Cualquier servidor de autenticación adicional que Microsoft pueda autorizar.

      Nota: GTC o las contraseñas de uso único requieren otros servicios que precisan de software adicional en el cliente y el servidor, además de generadores de token de hardware o software.

    • Consulte al fabricante del solicitante del cliente para obtener información detallada sobre los servidores de autenticación que admiten sus productos para EAP-TLS, EAP-TTLS y otros métodos EAP.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

Esta configuración describe la forma de configurar la autenticación EAP en un punto de acceso basado en IOS.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Como ocurre con la mayoría de los algoritmos de autenticación basados en contraseñas, LEAP de Cisco es vulnerable a los ataques de diccionario. Este tipo de ataque o vulnerabilidad no es nuevo en LEAP de Cisco. La creación de una política de contraseñas fuertes es la manera más efectiva de mitigar los ataques de diccionario. Esto incluye el uso de contraseñas resistentes y el vencimiento periódico de las contraseñas. Consulte Dictionary Attack on Cisco LEAP (Ataque de diccionario sobre LEAP de Cisco) para obtener más información sobre los ataques de diccionario y cómo evitarlos.

EAP de red o autenticación abierta con EAP

En cualquier método de autenticación basado en EAP/802.1x, puede preguntarse qué diferencias existen entre la opción de EAP de red y la de autenticación abierta con EAP. Estos elementos se refieren a valores del campo de algoritmo de autenticación en los encabezados de paquetes de administración y asociación. La mayoría de los fabricantes de clientes inalámbricos configuran este campo en un valor 0 (autenticación abierta) y luego indican su intención de utilizar la autenticación EAP más adelante en el proceso de asociación. Cisco establece un valor distinto ya desde el comienzo de la asociación con el indicador de EAP de red.

Si su red posee clientes que son:

  • Clientes de Cisco: utilice EAP de red.

  • Clientes de terceros (incluidos los productos compatibles con CCX): use autenticación abierta con EAP.

  • Una combinación de clientes de Cisco y de terceros: seleccione tanto EAP de red como autenticación abierta con EAP.

Definición del servidor de autenticación

El primer paso de la configuración de EAP consiste definir el servidor de autenticación y establecer una relación con él.

  1. En la ficha Server Manager del punto de acceso (en el elemento de menú Security > Server Manager), siga estos pasos:

    1. Escriba la dirección IP del servidor de autenticación en el campo Server.

    2. Especifique la clave secreta compartida y los puertos.

    3. Haga clic en Aplicar para crear la definición y rellene las listas desplegables.

    4. En el campo Priority 1 de EAP Authentication, en la sección Default Server Priorities, establezca la dirección IP del servidor.

    5. Haga clic en Apply.

    server-mgr.gif

    También puede ejecutar estos comandos desde la CLI:

    AP#configure terminal
    
    Enter configuration commands, one per line.  End with CNTL/Z.
    
    AP(config)#aaa group server radius rad_eap
    
    AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646
    
    AP(config-sg-radius)#exit
    
    AP(config)#aaa new-model
    
    AP(config)#aaa authentication login eap_methods group rad_eap
    
    AP(config)#radius-server host 10.0.0.3 auth-port 1645
    acct-port 1646 key labap1200ip102
    
    AP(config)#end
    
    AP#write memory
                   
  2. El punto de acceso se debe configurar en el servidor de autenticación como cliente AAA.

    Por ejemplo, en Cisco Secure ACS, esto ocurre en la página Network Configuration, donde se definen el nombre del punto de acceso, la dirección IP, la clave secreta compartida y el método de autenticación (Cisco Aironet RADIUS o Cisco IOS/PIX RADIUS). Para otros servidores de autenticación no relacionados con ACS, consulte la documentación del fabricante.

    acs-aaa-cl.gif

    Asegúrese de que el servidor de autenticación esté configurado para realizar el método de autenticación EAP deseado. Por ejemplo, para Cisco Secure ACS con LEAP, configure la autenticación LEAP en la página System Configuration - Global Authentication Setup. Haga clic en System Configuration y, a continuación, en Global Authentication Setup. Para otros servidores de autenticación no relacionados con ACS u otros métodos EAP, consulte la documentación del fabricante.

    acs_sys_conf.gif

    Esta imagen muestra Cisco Secure ACS configurado para PEAP, EAP-FAST, EAP-TLS, LEAP y EAP-MD5.

    acs_glob_auth2.gif

Definición de los métodos de autenticación de cliente

Una vez que el punto de acceso conoce el lugar al que debe enviar las solicitudes de autenticación del cliente, configúrelo para que acepte esos métodos.

Nota: estas instrucciones pertenecen a una instalación basada en WEP. Para WPA (que usa cifrados en lugar de WEP), consulte Introducción a la configuración WPA.

  1. En la ficha Encryption Manager del punto de acceso (en el elemento de menú Security > Encryption Manager), siga estos pasos:

    1. Especifique que desea usar WEP Encryption.

    2. Especifique que WEP es Mandatory.

    3. Verifique que el tamaño de clave sea 128 bit.

    4. Haga clic en Apply.

    encrypt-mgr.gif

    También puede ejecutar estos comandos desde la CLI:

    AP#configure terminal
    
    Enter configuration commands, one per line.  End with CNTL/Z.
    
    AP(config)#interface dot11radio 0
    
    AP(config-if)#encryption mode wep mandatory
    
    AP(config-if)#end
    
    AP#write memory
                   
  2. Complete estos pasos en la ficha SSID Manager del punto de acceso (en el elemento de menú Security > SSID Manager):

    1. Seleccione el SSID deseado.

    2. En "Authentication Methods Accepted", marque la casilla Open y use la lista desplegable para seleccionar With EAP.

    3. Marque la casilla denominada Network EAP si dispone de tarjetas de cliente de Cisco. Consulte la descripción de la sección EAP de red o autenticación abierta con EAP.

    4. Haga clic en Apply.

ssid-mgr.gif

También puede ejecutar estos comandos desde la CLI:

AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#ssid ssid labap1200

AP(config-if-ssid)#authentication open eap eap_methods

AP(config-if-ssid)#authentication network-eap eap_methods

AP(config-if-ssid)#end

AP#write memory
         

Una vez que confirme la funcionalidad básica con una configuración EAP, puede agregar características adicionales y la administración de claves más adelante. Una capa más compleja opera sobre las bases funcionales para facilitar la resolución de problemas.

Verificación

En esta sección encontrará información que puede utilizar para comprobar que la configuración funciona correctamente.

Algunos comandos show son compatibles con la herramienta intérprete de resultados ( sólo para clientes registrados) , que permite ver un análisis del resultado del comando show.

  • show radius server-group all: muestra una lista de todos los grupos de servidores RADIUS configurados en el AP.

Resolución de problemas

Procedimiento de resolución de problemas

Siga estos pasos para resolver problemas con la configuración.

  1. En la utilidad o el software del cliente, cree un nuevo perfil o conexión con los mismos o similares parámetros para asegurarse de que no haya daños en la configuración del cliente.

  2. Para eliminar la posibilidad de problemas de RF que eviten una correcta autenticación, inhabilite temporalmente la autenticación como se muestra en estos pasos:

    • Desde la CLI, ejecute los comandos no authentication open eap eap_methods, no authentication network-eap eap_methods y authentication open.

    • Desde la GUI, en la página SSID Manager, quite la marca de Network EAP, marque Open y devuelva el valor de la lista desplegable a No Addition.

    Si el cliente realiza la asociación de forma correcta, el problema no se debe a RF.

  3. Verifique que todas las contraseñas secretas compartidas estén sincronizadas entre el punto de acceso y el servidor de autenticación.

    • Desde la CLI, compruebe la línea radius-server host x.x.x.x auth-port x acct-port x key <shared_secret>.

    • En la GUI, en la página Server Manager, vuelva a escribir la contraseña secreta compartida del servidor adecuado en el cuadro "Shared Secret".

    La entrada de contraseña secreta compartida para el punto de acceso en el servidor RADIUS debe contener la misma contraseña secreta mencionada anteriormente.

  4. Elimine cualquier grupo de usuarios del servidor RADIUS. Puede ocurrir que se presenten conflictos entre los grupos de usuarios definidos por el servidor RADIUS y los grupos de usuarios en el dominio subyacente. Verifique los registros del servidor RADIUS en busca de intentos fallidos y sus motivos.

Comandos para resolución de problemas

Algunos comandos show son compatibles con la herramienta intérprete de resultados ( sólo para clientes registrados) , que permite ver un análisis del resultado del comando show.

En Debugging Authentications (Depuración de las autenticaciones) se proporcionan numerosos detalles sobre cómo recopilar e interpretar el resultado de las depuraciones relacionadas con EAP.

Nota: antes de ejecutar los comandos debug, consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración).

  • debug dot11 aaa authenticator state-machine: muestra las principales divisiones (o estados) de la negociación entre el cliente y el servidor de autenticación.

    Nota: en las versiones del software Cisco IOS anteriores a la 12.2(15)JA, la sintaxis de este comando debug es debug dot11 aaa dot1x state-machine.

  • debug dot11 aaa authenticator process: muestra las entradas individuales del cuadro de diálogo de la negociación entre el cliente y el servidor de autenticación.

    Nota: en las versiones del software Cisco IOS anteriores a la 12.2(15)JA, la sintaxis del comando de depuración es debug dot11 aaa dot1x process.

  • debug radius authentication: muestra las negociaciones RADIUS entre el servidor y el cliente, conectados ambos en un puente mediante el punto de acceso.

  • debug aaa authentication: muestra las negociaciones AAA para la autenticación entre el dispositivo cliente y el servidor de autenticación.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 44844