El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar Secure Client Network Analysis Module (NAM) en Windows.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Este documento describe cómo configurar Secure Client NAM en Windows. Se utilizan la opción de implementación previa y el Editor de perfiles para realizar la autenticación dot1x. Asimismo, se proporcionan algunos ejemplos de cómo se logra.
En la red, un suplicante es una entidad en un extremo de un segmento LAN punto a punto que busca ser autenticado por un autenticador conectado al otro extremo de ese link. El estándar IEEE 802.1X utiliza el término suplicante para referirse al hardware o al software. En la práctica, un solicitante es una aplicación de software instalada en un equipo de usuario final. El usuario invoca al solicitante y envía las credenciales para conectar el equipo a una red segura. Si la autenticación se realiza correctamente, el autenticador normalmente permite que el equipo se conecte a la red.
Acerca del Administrador de acceso de red
Network Access Manager es un software cliente que proporciona una red segura de capa 2 de acuerdo con sus políticas. Detecta y selecciona la red de acceso de capa 2 óptima y realiza la autenticación de dispositivos para acceder a redes por cable e inalámbricas. Network Access Manager gestiona la identidad de usuarios y dispositivos, así como los protocolos de acceso a la red necesarios para un acceso seguro. Funciona de forma inteligente para evitar que los usuarios finales realicen conexiones que infrinjan las políticas definidas por el administrador.
El administrador de acceso de red está diseñado para ser de enlace único, lo que permite una sola conexión de red a la vez. Además, las conexiones con cables tienen mayor prioridad que las inalámbricas, por lo que si se conecta a la red mediante una conexión con cables, el adaptador inalámbrico se desactiva sin dirección IP.
Es crucial entender que para las autenticaciones dot1x se necesitan 3 partes; el suplicante que puede hacer dot1x, el autenticador también conocido como NAS/NAD que sirve como proxy encapsulando el tráfico dot1x dentro de RADIUS, y el servidor de autenticación.
En este ejemplo, el suplicante se instala y configura de diferentes maneras. Más adelante, se muestra un escenario con la configuración del dispositivo de red y el servidor de autenticación.
Descarga de software de Cisco
En la barra de búsqueda del nombre del producto, escriba Secure Client 5.
Inicio > Seguridad > VPN and Endpoint Security Clients > Secure Client (incluido AnyConnect) > Secure Client 5 > AnyConnect VPN Client Software.
En este ejemplo de configuración, se utiliza la versión 5.1.2.42.
Hay varias formas de implementar Secure Client en dispositivos Windows; desde SCCM, desde Identity Service Engine y desde la cabecera VPN. Sin embargo, en este artículo, el método de instalación utilizado es el método previo a la implementación.
En la página, busque el archivo Paquete de implementación de cabecera de Cisco Secure Client (Windows).
Una vez descargado y extraído, haga clic en Setup.
Instale el Administrador de acceso de red y los módulos de la Herramienta de diagnóstico e informes.
Advertencia: Si utiliza el Asistente de Cisco Secure Client, el módulo VPN se instala automáticamente y se oculta en la GUI. El NAM no funciona si el módulo VPN no está instalado. Si utiliza archivos MSI individuales o un método de instalación diferente, asegúrese de instalar el módulo VPN.
Haga clic en Instale la opción seleccionada.
Acepte el CLUF.
Es necesario reiniciar después de la instalación de NAM.
Una vez instalado, se puede encontrar y abrir desde la barra de búsqueda de Windows.
Se necesita el editor de perfiles del administrador de acceso de red de Cisco para configurar las preferencias Dot1x.
Desde la misma página donde se descarga Secure Client, se encuentra la opción Profile Editor.
Este ejemplo utiliza la opción con la versión 5.1.2.42.
Una vez descargado, continúe con la instalación.
Ejecute el archivo msi.
Utilice la opción de configuración Típica.
Haga clic en Finish (Finalizar).
Una vez instalado, abra Network Access Manager Profile Editor desde la barra de búsqueda.
La instalación de Network Access Manager y Profile Editor ha finalizado.
Todos los escenarios presentados en este artículo contienen configuraciones para:
Vaya a la sección Redes.
El perfil de red predeterminado se puede eliminar.
Haga clic en Add (Agregar).
Asigne un nombre al perfil de red.
Seleccione Global para Membership Group. Seleccione medios de red con cables.
Haga clic en Next (Siguiente).
Seleccione Authenticating Network y utilice el valor predeterminado para el resto de las opciones de la sección Security Level.
Haga clic en Siguiente para continuar con la sección Tipo de conexión.
Seleccione el tipo de conexión Conexión de usuario.
Haga clic en Next para continuar con la sección User Auth que ahora está disponible.
Seleccione PEAP como el método EAP general.
No cambie los valores predeterminados en la configuración EAP-PEAP.
Continúe con la sección Métodos internos basados en el origen de credenciales.
De los múltiples métodos internos que existen para EAP-PEAP, seleccione Authenticate using a Password y seleccione EAP-MSCHAPv2.
Haga clic en Siguiente para continuar con la sección Certificado.
Nota: se muestra la sección Certificate porque la opción Validate Server Identity en EAP-PEAP Settings está seleccionada. Para EAP-PEAP, realiza la encapsulación utilizando el certificado del servidor.
En la sección Certificados, en Reglas de servidor de confianza de certificados, se utiliza la regla Nombre común que termina con c.com. Esta sección de la configuración hace referencia al certificado que el servidor utiliza durante el flujo PEAP EAP. Si se utiliza Identity Service Engine (ISE) en su entorno, puede utilizar el nombre común del certificado EAP de nodo de servidor de políticas.
Se pueden seleccionar dos opciones en Certificate Trusted Authority. Para este escenario, en lugar de agregar un certificado de CA específico que firmó el certificado EAP RADIUS, se utiliza la opción Confiar en cualquier autoridad de certificación raíz (CA) instalada en el sistema operativo.
Con esta opción, el dispositivo Windows confía en cualquier certificado EAP firmado por un certificado incluido en el programa Administrar certificados de usuario Certificados: Usuario actual > Entidades de certificación raíz de confianza > Certificados.
Haga clic en Next (Siguiente).
En la sección Credenciales sólo se cambia la sección Credenciales de Usuario.
La opción Pedir credenciales > No recordar nunca está seleccionada, por lo que en cada autenticación, el usuario que realiza la autenticación debe introducir sus credenciales.
Haga clic en Done (Listo).
Guarde el perfil de Secure Client Network Access Manager, como configuration.xml con la opción File > Save As.
Para que Secure Client Network Access Manager utilice el perfil que se acaba de crear, sustituya el archivo configuration.xml del siguiente directorio por el nuevo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: El archivo debe llamarse configuration.xml; de lo contrario, no funcionará.
Abra NAM Profile Editor y navegue hasta la sección Networks.
Haga clic en Add (Agregar).
Introduzca un nombre en el perfil de red.
Seleccione Global para Membership Group. Seleccione WiredNetwork Media.
Haga clic en Next (Siguiente).
Seleccione Authenticating Network y no cambie los valores predeterminados para el resto de las opciones de esta sección.
Haga clic en Siguiente para continuar con la sección Tipo de conexión.
Configure la autenticación de usuario y máquina simultáneamente seleccionando la tercera opción.
Haga clic en Next (Siguiente).
En la sección Machine Auth, seleccione EAP-FAST como el método EAP. No cambie los valores predeterminados de Configuración de EAP FAST. En la sección Métodos internos basados en el origen de credenciales, seleccione Autenticar mediante una contraseña y EAP-MSCHAPv2 como método. A continuación, seleccione la opción Use PACs.
Haga clic en Next (Siguiente).
En la sección Certificados, en Reglas de servidor de confianza de certificados, el nombre común de la regla termina con c.com. Esta sección hace referencia al certificado que utiliza el servidor durante el flujo PEAP EAP. Si se utiliza Identity Service Engine (ISE) en su entorno, se puede utilizar el nombre común del certificado EAP del nodo del servidor de políticas.
Se pueden seleccionar dos opciones en Certificate Trusted Authority. Para este escenario, en lugar de agregar un certificado de CA específico que firmó el certificado EAP RADIUS, utilice la opción Confiar en cualquier autoridad de certificados raíz (CA) instalada en el sistema operativo.
Con esta opción, Windows confía en cualquier certificado EAP firmado por un certificado incluido en el programa Administrar certificados de usuario (Usuario actual > Entidades de certificación raíz de confianza > Certificados).
Haga clic en Next (Siguiente).
Seleccione Usar credenciales de máquina en la sección Credenciales de máquina.
Haga clic en Next (Siguiente).
Para User Auth, seleccione EAP-FAST como el método EAP.
No cambie los valores predeterminados en la sección de configuración EAP-FAST.
Para la sección Método interno basado en el origen de credenciales, seleccione Autenticar mediante una contraseña y EAP-MSCHAPv2 como método.
Seleccione Usar PACs.
Haga clic en Next (Siguiente).
En la sección Certificados, en Reglas de servidor de confianza de certificados, la regla es Nombre común termina con c.com. Estas configuraciones son para el certificado que el servidor utiliza durante el flujo EAP PEAP. Si se utiliza ISE en su entorno, se puede utilizar el nombre común del certificado EAP del nodo del servidor de políticas.
Se pueden seleccionar dos opciones en Certificate Trusted Authority. Para este escenario, en lugar de agregar un certificado de CA específico que firmó el certificado EAP RADIUS, se utiliza la opción Confiar en cualquier autoridad de certificación raíz (CA) instalada en el sistema operativo.
Haga clic en Next (Siguiente).
En la sección Credenciales, sólo se cambia la sección Credenciales de Usuario.
La opción Solicitar credenciales > No recordar nunca está seleccionada. Por lo tanto, en cada autenticación, el usuario que realiza la autenticación debe ingresar sus credenciales.
Haga clic en el botón Finalizado.
Seleccione File > Save as y guarde el perfil de Secure Client Network Access Manager como configuration.xml.
Para hacer que el Secure Client Network Access Manager utilice el perfil que se acaba de crear, reemplace el archivo configuration.xml en el siguiente directorio por el nuevo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: El archivo debe llamarse configuration.xml; de lo contrario, no funcionará.
Abra NAM Profile Editor y navegue hasta la sección Networks.
Haga clic en Add (Agregar).
Asigne un nombre al perfil de red; en este caso, el nombre se asigna al protocolo EAP utilizado para este escenario.
Seleccione Global para Membership Group. y medios de red por cable.
Haga clic en Next (Siguiente).
Seleccione Authenticating Network y no cambie los valores predeterminados para el resto de las opciones de la sección Security Level.
Este escenario es para la autenticación de usuario mediante un certificado. Por esta razón se utiliza la opción User Connection.
Configure EAP-TLS como el método EAP. No cambie los valores predeterminados en la sección Configuración de EAP-TLS.
Para la sección Certificados, cree una regla que coincida con el certificado EAP-TLS de AAA. Si utiliza ISE, busque esta regla en la sección Administración > Sistema > Certificados.
Para la sección Certificate Trusted Authority, seleccione Trust any Root Certificate Authority (CA) instalado en el sistema operativo.
Haga clic en Next (Siguiente).
En la sección Credenciales de usuario, no cambie los valores predeterminados de la primera parte.
Es importante configurar una regla que coincida con el certificado de identidad que el usuario envía durante el proceso EAP-TLS. Para ello, haga clic en la casilla de verificación junto a Usar regla de asignación de certificados (máximo 10).
Haga clic en Add (Agregar).
Reemplace el valor My Internal OR 3rd Party CA.com por el CN del certificado de usuario.
Haga clic en Finalizado para finalizar la configuración.
Seleccione File > Save as para guardar el perfil de Secure Client Network Access Manager como configuration.xml.
Para hacer que el Secure Client Network Access Manager utilice el perfil que se acaba de crear, reemplace el archivo configuration.xml en el siguiente directorio por el nuevo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: El archivo debe llamarse configuration.xml; de lo contrario, no funcionará.
Configuración del router ISR 1100.
Esta sección trata sobre la configuración básica que debe tener el NAD para que funcione dot1x.
Nota: Para la implementación de ISE de varios nodos, apunte a cualquier nodo que tenga activada la persona del nodo del servidor de políticas. Para comprobarlo, vaya a ISE en la pestaña Administration > System > Deployment.
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
Configuración de Identity Service Engine 3.2.
Configure el dispositivo de red.
Agregue el ISR NAD a ISE Administration > Network Resources > Network Devices.
Haga clic en Add (Agregar).
Asigne un nombre al NAD que está creando. Agregue la IP del dispositivo de red.
En la parte inferior de la misma página, agregue la misma clave secreta compartida que utilizó en la configuración del dispositivo de red.
Guarde los cambios.
Configure la identidad que se utiliza para autenticar el extremo.
Se utiliza la autenticación local de ISE. La autenticación externa de ISE no se explica en este artículo.
Vaya a la pestaña Administration > Identity Management > Groups y cree el grupo del que el usuario forma parte. El grupo de identidad creado para esta demostración es iseUsers.
Haga clic en Submit (Enviar).
Vaya a Administration > Identity Management > Identity Tab.
Haga clic en Add (Agregar).
Como parte de los campos obligatorios, empiece por el nombre del usuario. En este ejemplo se utiliza el nombre de usuario iseiscool.
Asigne una contraseña al usuario. Se utiliza VainillaISE97.
Asigne el usuario al grupo iseUsers.
Configure el conjunto de directivas.
Vaya al menú de ISE > Política > Conjuntos de políticas.
Se puede utilizar el conjunto de políticas predeterminado. Sin embargo, se crea una llamada Wired para este ejemplo.
Nota: la clasificación y diferenciación de los conjuntos de políticas ayuda a la hora de solucionar problemas,
Nota: Si el icono de añadir o más no está visible, se puede hacer clic en el icono de engranaje de cualquier conjunto de directivas y, a continuación, seleccionar Insertar nueva fila encima.
La condición utilizada es Wired 8021x. Arrástrelo y, a continuación, haga clic en Usar.
Seleccione Default Network Access en la sección Allowed Protocols.
Click Save.
2.d. Configure las directivas de autenticación y autorización.
Haga clic en el icono >.
Expanda la sección Política de autenticación.
Haga clic en el icono +.
Asigne un nombre a la política de autenticación. La autenticación interna se utiliza en este ejemplo.
Haga clic en el icono + en la columna de condiciones para esta nueva política de autenticación.
Se utiliza la condición preconfigurada Wired Dot1x.
Por último, en la columna Use, seleccione Internal Users.
Directiva de autorización.
La sección Política de autorización se encuentra en la parte inferior de la página. Expanda el icono y haga clic en el icono +.
Asigne un nombre a la directiva de autorización creada recientemente. En este ejemplo de configuración se utiliza el nombre Internal ISE Users.
Para crear una condición para esta directiva de autorización, haga clic en el icono + de la columna Condiciones.
Se utiliza el grupo IseUsers.
Haga clic en la sección Atributo.
Seleccione el icono IdentityGroup.
En el diccionario, seleccione el diccionario InternalUser que viene con el atributo IdentityGroup.
Seleccione el operador Equals.
En User Identity Groups, seleccione el grupo IseUsers.
Haga clic en Usar.
Agregue el perfil de autorización de resultados.
Se utiliza el perfil preconfigurado Permit Access.
Nota: Tenga en cuenta que las autenticaciones que llegan a ISE y que llegan a este conjunto de políticas de punto 1x cableado que no forman parte de los usuarios ISEU del grupo de identidad de usuarios, llegan a la política de autorización predeterminada, que tiene como resultado DenyAccess.
Click Save.
Una vez finalizada la configuración, Secure Client solicita las credenciales y especifica el uso del perfil PEAP MSCHAPv2.
Se introducen las credenciales creadas anteriormente.
Si el punto final se autentica correctamente,. NAM muestra que está conectado.
Al hacer clic en el icono de información y navegar a la sección Historial de Mensajes, se muestran los detalles de cada paso que NAM realizó.
En ISE, vaya a Operations > Radius LiveLogs para ver los detalles de la autenticación. Como se ve en la siguiente imagen, se muestra el nombre de usuario que se utilizó.
También otros detalles como:
Como puede ver que llega a las políticas correctas, y el resultado es un estado de autenticación exitoso, se concluye que la configuración es correcta.
Si el NAM no utiliza el nuevo perfil que se creó en el editor de perfiles, utilice la opción Network Repair para Secure Client.
Puede encontrar esta opción navegando hasta la Barra de Windows > Haciendo clic en el icono circumflex > Haga clic con el botón derecho en el icono Secure Client > Haga clic en Reparación de red.
Abra NAM y haga clic en el icono del engranaje.
Vaya a la pestaña Log Settings. Marque la casilla de verificación Enable Extended Logging.
Establezca el tamaño del archivo de captura de paquetes en 100 MB.
Una vez habilitado el registro extendido, reproduzca el problema varias veces para asegurarse de que se generen los registros y se capture el tráfico.
En Windows, vaya a la barra de búsqueda y escriba Cisco Secure Client Diagnostics and Reporting Tool.
Durante el proceso de instalación, también instaló este módulo. Es una herramienta que ayuda durante el proceso de solución de problemas mediante la recopilación de registros e información de sesión dot1x relevante.
Haga clic en Next en la primera ventana.
Una vez más, haga clic en Next para guardar el paquete de registro en el escritorio.
Si es necesario, marque la casilla de verificación Enable Bundle Encryption.
Se inicia la recopilación de registros DART.
Puede tardar 10 minutos o más hasta que el proceso finalice.
El archivo de resultados DART se encuentra en el directorio de escritorio.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
29-Apr-2024 |
Versión inicial |