Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Configuración de Puntos de Acceso Inalámbrico Seguros

    Hochgeladen von

    Nestor Ivan Villa Castañeda
    13 Ansichten64 Seiten

    Originaltitel

    Configuración de puntos de acceso inalámbrico seguros

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    13 Ansichten64 Seiten

    Configuración de Puntos de Acceso Inalámbrico Seguros

    Hochgeladen von

    Nestor Ivan Villa Castañeda

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 64

    Configuracin de puntos de acceso inalmbrico seguros

    Personas que lo han encontrado til: 4 de 6


    En esta pgina

    Introduccin Definiciones Retos Soluciones Resumen

    Introduccin
    Este documento forma parte de la coleccin de guas de seguridad para medianas empresas. Microsoft espera que esta informacin le ayude a crear un entorno informtico ms seguro y productivo.

    Resumen ejecutivo
    Las redes de rea local inalmbricas (WLAN) constituyen un tema que ha suscitado controversia en el mundo empresarial; en la mayora de las empresas ya se ha implementado una WLAN de algn tipo o, al menos, se han sopesado las ventajas y los inconvenientes de la tecnologa inalmbrica. En cualquier caso, a las empresas que han implementado redes inalmbricas les suele preocupar la seguridad de la solucin utilizada, en tanto que a las que han rehuido de la tecnologa inalmbrica les inquieta haber podido perder una evidente productividad y un considerable ahorro en infraestructura. La mayora de los responsables de tomar decisiones tecnolgicas han sentido en el pasado un miedo justificado acerca de la seguridad de la tecnologa inalmbrica e, incluso en la actualidad, dicha tecnologa lleva el estigma de no haber sido nunca segura, debido a la deteccin y divulgacin de brechas de seguridad en la primera generacin de protocolos de seguridad WLAN IEEE 802.11. A pesar de que se han desarrollado muchas soluciones alternativas a lo largo de los aos, las soluciones habituales que se han diseado para abordar los problemas de la seguridad inalmbrica han tenido un coste excesivo o han presentado imperfecciones inherentes. Desde aquella primera etapa de las redes inalmbricas se han producido numerosos desarrollos y, al igual que la tecnologa ha avanzado para admitir velocidades superiores y una mayor confiabilidad, tambin han evolucionado los estndares empleados para garantizar la seguridad de las transmisiones inalmbricas. Los ltimos protocolos de seguridad inalmbrica, WPA y WPA2, basados en el estndar IEEE 802.11i, contribuyen a ofrecer una mayor proteccin del trfico inalmbrico incluso en los entornos con una seguridad ms rigurosa. Estos estndares actuales, si se configuran correctamente, son mucho ms seguros y se pueden utilizar con un elevado nivel de confianza en el entorno de una mediana empresa.

    Descripcin general
    Este documento consta de cuatro secciones principales que analizan los detalles necesarios para disear e implementar una solucin eficaz que garantice la seguridad de la red inalmbrica de una mediana empresa. Estas secciones son las siguientes: Introduccin. Esta seccin presenta un resumen ejecutivo del documento, junto con una descripcin general del esquema del documento e informacin sobre los destinatarios recomendados del mismo.

    Definiciones. Esta seccin ofrece informacin y definiciones tiles para comprender la terminologa empleada en el documento. Retos. Esta seccin describe algunas de las cuestiones comunes a las que se enfrentan las medianas empresas cuando se plantean usar redes inalmbricas y ofrece un marco general de la solucin que pretende abordar este documento. Soluciones. Esta seccin analiza en detalle orientaciones paso a paso especficas que sern tiles para planear, desarrollar e implementar una infraestructura inalmbrica segura y ofrecer compatibilidad con ella. De ah que la seccin de soluciones se divida en tres subsecciones principales: Evaluacin de la seguridad de las redes WLAN. Esta seccin explica la informacin necesaria y las posibles opciones para sentar una base sobre la que desarrollar un plan de soluciones. Desarrollo de una solucin WLAN segura. Esta seccin utiliza la informacin obtenida en la fase de evaluacin anterior para tomar decisiones, crear un plan y desarrollar la base de la solucin. Implementacin y administracin. Esta seccin presenta en detalle la solucin real paso a paso, junto con informacin til para administrar y validar la solucin de red inalmbrica segura que se describe en este documento.

    Quin debera leer este documento


    Este documento est destinado al personal tcnico, los implementadores de tecnologa y los administradores tcnicos de medianas empresas que estn plantendose utilizar la solucin Acceso protegido Wi-Fi (WPA) o Acceso protegido Wi-Fi 2 (WPA2) para garantizar la seguridad de la infraestructura inalmbrica. En este documento se asume que el lector posee conocimientos tcnicos generales sobre dispositivos inalmbricos, conceptos de red bsicos, Microsoft Windows Server 2003, Servicio de autenticacin Internet (IAS), Servicios de Certificate Server, servicio de directorio de Active Directory, y configuracin y aplicacin de la directiva de grupo. Principio de la pgina

    Definiciones
    El lector debe comprender y estar familiarizado con los siguientes trminos y conceptos que se utilizan en este documento. AES. El Estndar de cifrado avanzado (AES) utiliza una tcnica de cifrado simtrico de datos de bloque y forma parte de WPA2. EAP. El Protocolo de autenticacin extensible (EAP) es un estndar 802.1X que permite a los programadores transferir datos de autenticacin entre los servidores RADIUS y los puntos de acceso inalmbrico. EAP dispone de una serie de variantes, entre las que se incluyen las siguientes: EAP MD5, EAP-TLS, EAP-TTLS, LEAP y PEAP. EAP-TLS. Microsoft desarroll EAP-Seguridad de la capa de transporte (EAP-TLS) sobre la base del estndar 802.1X para utilizar certificados digitales en el proceso de autenticacin. Actualmente, constituye el estndar del sector para la autenticacin 802.11i. IEEE 802.1X. El estndar IEEE 802.1X controla el proceso de encapsulacin EAP que se produce entre los suplicantes (clientes), los autenticadores (puntos de acceso inalmbrico) y los servidores de autenticacin (RADIUS). IEEE 802.11. El estndar IEEE 802.11 controla las comunicaciones de red por aire e incluye varias especificaciones que abarcan desde el estndar 802.11g, que proporciona un trfico de 20+ Mbps en la banda de 2,4 GHz, y el estndar 802.11i, que controla la autenticacin y el cifrado WPA2. IEEE 802.11i. La enmienda IEEE 802.11i al estndar 802.11 especifica los mtodos de seguridad (WPA2) que utilizan cifrado

    IEEE 802.11i. La enmienda IEEE 802.11i al estndar 802.11 especifica los mtodos de seguridad (WPA2) que utilizan cifrado de bloque AES para garantizar la seguridad de los procesos de autenticacin de origen (EAP) con el fin de solucionar las deficiencias anteriores de las especificaciones y los estndares de seguridad inalmbrica. MS-CHAP v2. El Protocolo de autenticacin por desafo mutuo de Microsoft, versin 2 (MS-CHAP v2) es un protocolo de autenticacin mutua de desafo-respuesta que se basa en contrasea y utiliza el cifrado MD4 y DES. Se utiliza junto con PEAP (PEAP-MS-CHAP v2) para garantizar la seguridad de las comunicaciones inalmbricas. PEAP. El Protocolo de autenticacin extensible protegido (PEAP) es un tipo de comunicacin EAP que soluciona problemas de seguridad asociados con transmisiones EAP de texto no cifrado al crear un canal seguro cifrado y protegido mediante TLS. SSID. El Identificador de red SSID es el nombre asignado a una WLAN y que el cliente utiliza para identificar la configuracin correcta y las credenciales que se necesitan para tener acceso a una WLAN. TKIP. El Protocolo de integridad de clave temporal (TKIP) forma parte del estndar de cifrado WPA para redes inalmbricas. TKIP es la siguiente generacin de WEP, que proporciona una combinacin de claves por paquete para solucionar las imperfecciones detectadas en el estndar WEP. WEP. La Privacidad equivalente por cable (WEP) forma parte del estndar IEEE 802.11 y utiliza el cifrado RC4 de 64 o 128 bits. En 2001 se detectaron brechas de seguridad graves en el estndar WEP, principalmente ocasionadas porque la longitud del vector de inicializacin del cifrado de secuencias RC4 permita la descodificacin pasiva de la clave RC4. WLAN. Red de rea local inalmbrica. WPA. Como respuesta a las deficiencias detectadas en el estndar WEP, en 2003 se present la solucin Acceso protegido Wi-Fi (WPA) como un subconjunto interoperable de especificaciones de seguridad inalmbrica del estndar IEEE 802.11. Este estndar ofrece funciones de autenticacin y utiliza TKIP para el cifrado de datos. WPA2. La Wi-Fi Alliance estableci en septiembre de 2004 el estndar WPA2, que constituye la versin interoperable certificada de la especificacin IEEE 802.11i completa ratificada en junio de 2004. Al igual que su predecesor, WPA2 es compatible con la autenticacin IEEE 802.1X/EAP o la tecnologa PSK, pero incluye un nuevo mecanismo de cifrado avanzado que utiliza CCMP (del ingls Counter-Mode/CBC-MAC Protocol) que se conoce como Estndar de cifrado avanzado (AES). Principio de la pgina

    Retos
    Muchas organizaciones son conscientes de las ventajas que supone el uso de la tecnologa inalmbrica para mejorar la productividad y la colaboracin, pero dudan en implementarla porque les preocupan, de forma justificada, las vulnerabilidades que aparentemente presentan las redes inalmbricas en el entorno de una organizacin. Confunden an ms la amplia variedad de mtodos propuestos que se pueden utilizar para garantizar la seguridad de las comunicaciones inalmbricas y la existencia de informes con posturas divergentes respecto a la eficacia de estas medidas. La tecnologa inalmbrica plantea un buen nmero de retos a las medianas empresas, no slo con relacin a cmo garantizar la seguridad de la implementacin, sino tambin respecto a si se debe o no implementar. A continuacin se indican algunas de las cuestiones ms frecuentes relacionadas con las redes inalmbricas que se van a tratar en este documento. Decidir si se debe implementar una WLAN Comprender y mitigar los riesgos de las redes inalmbricas Determinar el modo de hacer seguro un entorno WLAN

    Determinar el modo de hacer seguro un entorno WLAN Seleccionar las opciones de seguridad adecuadas para una red WLAN Validar el nivel de seguridad de una implementacin de red inalmbrica Incorporar activos existentes a una solucin de seguridad inalmbrica Detectar y prevenir las conexiones malintencionadas de dispositivos inalmbricos Principio de la pgina

    Soluciones
    En esta seccin se describe el diseo, el desarrollo, la implementacin y la compatibilidad de las soluciones inalmbricas seguras que se pueden implementar en los entornos de las medianas empresas. Como se ha mencionado anteriormente, hay muchos interrogantes en torno al uso de la tecnologa inalmbrica. Se analizar cada uno de ellos de forma que se pueda sacar provecho, del modo ms eficaz y seguro posible, de las ventajas que aporta el uso de las redes inalmbricas.

    Evaluacin de la seguridad de las redes WLAN


    Aunque la tecnologa inalmbrica ha avanzado hasta el punto de que actualmente ofrece una velocidad y seguridad suficientes para implementarse en una mediana empresa, hay todava muchos factores que se deben tener en cuenta y diversos mtodos para garantizar la seguridad de una red inalmbrica. En esta seccin se analizan los mtodos ms frecuentes que se utilizan para hacer que las redes inalmbricas sean ms seguras, se ofrece orientacin para determinar cul es la mejor solucin para un determinado entorno y se proponen argumentos a favor y en contra de cada enfoque.
    Ventajas de las redes inalmbricas

    Las ventajas que aporta la implementacin de la tecnologa WLAN se pueden incluir en una de las dos siguientes categoras: ventajas empresariales y ventajas operativas. Entre las ventajas operativas se incluyen un coste de administracin ms bajo y una inversin reducida en activos fijos; por otro lado, entre las ventajas empresariales se incluyen una mejora de la productividad, unos procesos empresariales ms eficaces y un mayor potencial para crear nuevas funciones empresariales.
    Ventajas empresariales

    La mayora de las principales ventajas empresariales que se derivan del uso de la tecnologa WLAN son fruto de una mayor flexibilidad y movilidad de los empleados. Cuando se utilizan redes inalmbricas, los recursos ya no estn atados a una mesa y pueden moverse por la oficina con relativa facilidad. Este tipo de libertad puede generar las siguientes ventajas: Los miembros de los recursos mviles de una empresa, como el personal de ventas, pueden desplazarse sin esfuerzo entre las oficinas o llegar de un lugar y conectarse de forma transparente a la red de la empresa. La conectividad es prcticamente instantnea y se realiza sin tener que buscar un puerto de red ni desenredar cables, con lo que se ahorra mucho tiempo y se reducen las preocupaciones asociadas a las redes cableadas. El personal tcnico puede permanecer en contacto constante con los sistemas que administra, independientemente de dnde se encuentre, en el edificio, en una reunin o fuera de su puesto de trabajo. El uso de tecnologa porttil, como equipos porttiles, Tablet PC o equipos de mano, permite al personal de TI de una empresa responder al instante a cualquier necesidad. La informacin siempre se encuentra al alcance de la mano. Las reuniones ya no se retrasarn cuando alguien tenga que hacer copias de un informe o buscar informes en su puesto de trabajo. Las presentaciones se comparten en el equipo en lugar de tener que verlas en una exposicin general en la que las imgenes aparecen borrosas y, en las reuniones, se pueden utilizar tecnologas interactivas para colaborar con las oficinas remotas y los teletrabajadores. La flexibilidad organizativa mejora enormemente debido a que los cambios estructurales se pueden implementar

    La flexibilidad organizativa mejora enormemente debido a que los cambios estructurales se pueden implementar rpida y fcilmente, incluso es posible reestructurar oficinas completas porque el cableado de la red ya no supone un problema. La tecnologa inalmbrica introduce toda una nueva gama de aplicaciones y soluciones tecnolgicas en un entorno empresarial. Dispositivos tales como los asistentes digitales personales (PDA) o los Tablet PC se pueden integrar perfectamente en un entorno de red. Los empleados y las funciones empresariales que anteriormente se encontraban fuera del mbito de TI ahora pueden beneficiarse de la conectividad de red; los comedores, las salas de conferencias, las salas de hospital, los puntos de venta, los restaurantes e incluso las fbricas pueden lograr una mayor productividad gracias al uso de soluciones tecnolgicas de fcil acceso.
    Ventajas operativas

    Las ventajas operativas de la tecnologa inalmbrica tambin son muy variadas y dependen del tipo especfico de empresa y de las instalaciones y los servicios empleados. Algunas de estas ventajas incluyen: Los costes de aprovisionamiento de la red son considerablemente reducidos, ya que disminuye la dependencia de las infraestructuras de red cableada. Las reas en las que la conectividad de red era poco prctica ahora son accesibles de forma econmica a travs de la tecnologa WLAN, incluidas las zonas al aire libre o las zonas de las oficinas distribuidas. La escalabilidad de la red tiene una mayor capacidad de respuesta y es ms eficaz con respecto a los niveles variables de demanda, ya que resulta mucho ms fcil implementar o mover puntos de acceso inalmbrico a otras ubicaciones que aumentar el nmero de puertos de red si hay que solucionar un problema de congestin. Se reduce la cantidad de capital destinado a la infraestructura de las instalaciones, porque el equipo de red inalmbrica no es un accesorio fijo tan permanente como la infraestructura del cableado de una red convencional. Esto permite una mayor flexibilidad a la hora de realizar ampliaciones o si, por cualquier motivo, es necesario trasladar la oficina a otra ubicacin. Una red inalmbrica de alta velocidad (802.11a/g/n) tambin constituye una alternativa rentable a reemplazar antiguos sistemas de red cableada Ethernet o Token Ring de baja velocidad.
    Vulnerabilidades de las redes inalmbricas

    Para comprender el nivel de seguridad que ofrecen las distintas soluciones de seguridad disponibles para redes inalmbricas, es importante conocer las amenazas habituales a las que este tipo de redes se pueden enfrentar. Las vulnerabilidades y los perfiles de ataque de las redes tradicionales se conocen muy bien, pero las redes inalmbricas presentan vulnerabilidades que van ms all de los riesgos tradicionales. Tabla 1. Amenazas de seguridad habituales de las redes WLAN Amenaza Divulgacin de datos a travs de la escucha informtica Descripcin Los ataques de escucha informtica a un trfico inalmbrico que no es seguro pueden ocasionar una divulgacin de datos confidenciales, el descubrimiento de credenciales de usuario e incluso un robo de identidades. Los atacantes sofisticados pueden utilizar informacin recopilada a travs de una escucha informtica para organizar ataques a sistemas que, de otro modo, no seran vulnerables. Interceptacin y modificacin de datos transmitidos Un atacante que obtiene acceso a los recursos de una red tambin puede instalar sistemas malintencionados en ella para interceptar y modificar los datos que se transfieren de un sistema legtimo a otro.

    Suplantacin de identidad (spoofing)

    El acceso a una red interna brinda al atacante la oportunidad de falsificar datos para que parezca que son parte del trfico legtimo. Tales ataques pueden incluir mensajes de correo electrnico simulados en los que los usuarios internos confiarn ms fcilmente que si se tratasen de comunicaciones procedentes de fuentes exteriores, lo que proporciona una plataforma para ataques de ingeniera social y propagacin de troyanos.

    Denegacin de servicio (DoS)

    Independientemente del tipo de solucin de seguridad que se implemente, una WLAN est excepcionalmente expuesta a ataques por denegacin de servicio, tanto intencionados como accidentales. Tales interrupciones pueden tener su origen en algo tan simple como el desbordamiento de la red ante el trfico indiscriminado generado por un microondas o un conjunto de dispositivos.

    Acceso gratuito (robo de recursos)

    Es posible que algunos intrusos slo deseen obtener acceso gratuito a Internet. Aunque su intencin no sea directamente malintencionada o daina, tales actividades pueden provocar una conectividad de red ms lenta para los usuarios legtimos o un vector no administrado para las amenazas de malware. En los entornos WLAN no seguros, cualquier visitante puede obtener acceso a la red interna con tan slo iniciar un dispositivo que pueda tener acceso a redes inalmbricas. Estos dispositivos no administrados pueden haberse puesto ya en peligro o proporcionar a un atacante un punto vulnerable de ataque contra una red. Aunque una empresa no disponga de una red inalmbrica, puede ser vulnerable a amenazas de seguridad desde redes inalmbricas no administradas. El hardware inalmbrico es relativamente econmico, por lo que cualquier empleado puede configurar una red no administrada y desprotegida dentro de un entorno.

    Amenazas accidentales y conexiones no administradas Puntos de acceso WLAN malintencionados

    Aunque muchos de los riesgos de seguridad asociados a la transmisin de datos por aire son bastante evidentes en el entorno actual preocupado por la seguridad, estas cuestiones no eran tan obvias cuando surgi la primera generacin de la tecnologa de seguridad inalmbrica. Cuando se cre WEP para garantizar la seguridad de las difusiones inalmbricas de datos, apenas pareca necesario compensar la falta inherente de seguridad, en comparacin con la seguridad inherente de la transmisin de datos en las redes cableadas, porque la tecnologa era tan reciente que muy pocas personas se haban planteado las posibles amenazas a las que dichas redes podran tener que hacer frente. Cuando los mtodos empleados por los atacantes evolucionaron, se puso de manifiesto que la transmisin de datos por aire atravesaba entornos potencialmente hostiles y que deba protegerse y hacerse tan segura como las comunicaciones LAN cableadas. Cuando se empezaron a conocer pblicamente las brechas de seguridad del estndar WEP, el entorno de seguridad de las redes fue cambiando con rapidez. Los casos de hackers de redes inalmbricas se destacaban en los principales medios de comunicacin y los gobiernos aplicaban leyes para regular la seguridad de los datos y las identidades en los sectores. A consecuencia de estos sucesos, muchas empresas rechazaron la tecnologa inalmbrica por inviable o insegura o bien desarrollaron soluciones complejas como respuesta a las brechas de seguridad inherentes del estndar WEP. Algunas de estas soluciones complejas se siguen utilizando y comercializando en la actualidad. Sin embargo, como se pone de manifiesto en las siguientes secciones, tales soluciones ya no son necesarias para proteger a las redes inalmbricas de dichas amenazas y es posible que se tengan que volver a evaluar porque la tecnologa inalmbrica ha evolucionado como respuesta a un panorama de seguridad en constante cambio.
    Seleccin de la solucin de seguridad adecuada para una red WLAN

    Desde que se conocieron pblicamente las debilidades de la primera generacin de la tecnologa WLAN se ha hecho un gran esfuerzo para solucionar las vulnerabilidades del sistema inalmbrico. Mientras el sector de sistemas inalmbricos, Microsoft y otros proveedores dedicaban sus esfuerzos a mejorar el estndar inalmbrico, otros analistas, proveedores de

    Microsoft y otros proveedores dedicaban sus esfuerzos a mejorar el estndar inalmbrico, otros analistas, proveedores de seguridad de red, etc., encontraron modos de solucionar las debilidades del antiguo estndar inalmbrico. Esta situacin ha desembocado en la disponibilidad de una amplia variedad de enfoques para tratar los problemas relacionados con la seguridad inalmbrica. En la siguiente tabla se comparan las principales alternativas, excepto el enfoque ms frecuente, que es optar por no implementar la tecnologa WLAN. Tabla 2. Comparacin de los enfoques de seguridad para las redes WLAN WPA y WPA2 S WEP esttico No

    Caracterstica

    VPN

    IPsec

    Autenticacin firme (vase la nota)

    S, slo cuando no se utiliza Autenticacin de clave compartida

    S, si se utiliza un certificado o la autenticacin Kerberos

    Cifrado de datos de alta seguridad Conexin y reconexin transparente Autenticacin de usuario (vase la nota) Autenticacin de equipo (vase la nota) Proteccin del trfico de difusin y multidifusin Se necesitan dispositivos de red adicionales

    No

    No

    No

    No

    No

    No

    S, servidores RADIUS S

    No

    S, servidores VPN y RADIUS

    No

    Acceso seguro a la WLAN en lugar de solo a los paquetes

    No

    No

    Nota Con relacin a la autenticacin firme, muchas implementaciones VPN que emplean el modo de tnel IPsec utilizan un esquema de autenticacin de clave compartida poco seguro denominado XAuth. Las versiones actuales del sistema operativo Windows no son compatibles con la autenticacin de usuario de las asociaciones IPsec, pero esta funcionalidad estar disponible con Windows Vista y Longhorn. La autenticacin de equipo implica que el equipo permanecer conectado a la WLAN y LAN incluso cuando ningn usuario haya iniciado sesin en el equipo. Esta funcin es necesaria para que algunas funcionalidades basadas en dominio, como los perfiles mviles, funcionen correctamente. Como se observa en esta tabla, hay una serie de factores que se deben tener en cuenta al examinar las distintas posibilidades disponibles para garantizar la seguridad de las redes inalmbricas. Esta evaluacin implica todo, desde los costes asociados a la implementacin y administracin hasta la seguridad general de la solucin concreta. Cada uno de los

    costes asociados a la implementacin y administracin hasta la seguridad general de la solucin concreta. Cada uno de los enfoques presenta ventajas e inconvenientes, y es necesario examinar de forma ms detallada cada una de las soluciones para garantizar que se toma una decisin justificada. Para facilitar la comprensin de las opciones disponibles a la hora de garantizar la seguridad de las implementaciones WLAN, se analizarn en detalle los siguientes temas, ordenados por el grado de seguridad que ofrecen. No implementacin de la tecnologa WLAN Uso de WPA con EAP-TLS Uso de WPA con PEAP-MS-CHAP v2 Uso de WPA con PEAP-MS-CHAP v2 y Servicios de Certificate Server Uso de VPN Uso de IPsec Uso de WEP Seguridad nula en WLAN
    No implementacin de la tecnologa WLAN

    Existe una mxima comn entre las profesiones relacionadas con la seguridad: el sistema ms seguro es el que nunca se enciende. Por tanto, el mtodo ms seguro de implementar una tecnologa, incluidas las redes inalmbricas, consiste en no implementarla nunca. Por supuesto, el problema de este enfoque es que las empresas que no utilizan tecnologa pueden no ser competitivas en el entorno empresarial actual, en el que cada ventaja cuenta, sobre todo las relacionadas con la tecnologa. Tal y como se ha mencionado anteriormente, es importante que las empresas evalen sus propias necesidades, su tolerancia al riesgo y la cantidad de riesgo que conlleva la adopcin de cualquier tecnologa que estn considerando; en esto, la tecnologa inalmbrica no es una excepcin. Hay muchas ventajas que las redes inalmbricas pueden ofrecer, pero se pueden subestimar o incluso no ser aplicables para una determinada organizacin. Al evaluar la solucin de seguridad inalmbrica apropiada para una empresa, considere todas las opciones, incluida la alternativa de no implementar ninguna solucin inalmbrica. Sin embargo, si una organizacin decide que no est preparada para implementar una WLAN, esta decisin debera formar parte de una directiva de empresa que se respete rigurosamente para evitar que usuarios finales implementen WLAN malintencionadas y se ponga de este modo en peligro la seguridad de la red.
    Uso de WPA con EAP-TLS

    WPA o WPA2 con Protocolo de autenticacin extensible-Seguridad de la capa de transporte (EAP-TLS) y con certificados de usuario y equipo constituye el mtodo ms firme de autenticacin 802.1X compatible con las versiones actuales de los clientes inalmbricos basados en Windows. EAP-TLS utiliza certificados digitales para la autenticacin mutua, donde el cliente inalmbrico se autentica en un servidor de autenticacin y viceversa. La autenticacin EAP-TLS requiere una infraestructura de clave pblica (PKI) para emitir y mantener actualizados los certificados. Para obtener el mximo nivel de seguridad, la PKI se debe configurar para que se emitan certificados de usuario y equipo para el acceso inalmbrico. Debido a los costes administrativos y de implementacin asociados con las PKI, esta solucin tan segura sola estar limitada a las medianas y grandes empresas, pero ahora se puede utilizar en los entornos de las pequeas empresas gracias al lanzamiento de Microsoft Small Business Server, que ofrece los servicios de certificado subyacentes que se necesitan para implementar EAP-TLS.

    Nota Actualmente no hay ningn objeto de directiva de grupo (GPO) compatible con el estndar WPA2 que pueda afectar a la capacidad de implementar eficazmente dicho estndar en entornos de mayores dimensiones. No obstante, se estn desarrollando actualizaciones para Windows Server 2003 y Windows XP que agreguen compatibilidad de GPO con WPA2. La siguiente generacin de Windows, Vista y Longhorn, incluir compatibilidad nativa para el estndar WPA2.
    Uso de WPA con PEAP-MS-CHAP v2

    WPA o WPA2 con EAP protegido (PEAP) y Protocolo de autenticacin por desafo mutuo de Microsoft versin 2 (MS-CHAP v2), as como con el requisito de usar contrasea segura, es la segunda implementacin segura ms eficaz compatible con las versiones actuales de los clientes basados en Windows. Si no es factible implementar una PKI, PEAP-MS-CHAP v2 constituye una opcin viable y segura de implementar una red inalmbrica confiable. PEAP es un esquema de autenticacin unidireccional que utiliza TLS para crear un canal cifrado desde el servidor de autenticacin, a travs del que el cliente usa otro protocolo para autenticarse. Diseado originalmente para el acceso telefnico y el acceso remoto VPN, MS-CHAP v2 es compatible con la autenticacin basada en contrasea segura de los clientes inalmbricos, pero slo cuando se emplea junto con directivas de contrasea segura de usuario en la red.
    Uso de WPA con PEAP-MS-CHAP v2 y Servicios de Certificate Server

    Es posible combinar el uso de Servicios de Certificate Server con una solucin PEAP-MS-CHAP v2 basada en contrasea para las empresas cuya solucin necesite elementos de ambos enfoques. Sin embargo, PEAP-MS-CHAP v2 no agrega ninguna ventaja de seguridad adicional relevante reconocida a la solucin EAP-TLS, que ya es razonablemente segura, al menos hasta el momento de la redaccin del presente documento. De hecho, el uso de PEAP-MS-CHAP v2 con EAP-TLS ralentiza el proceso de autenticacin porque crea dos canales TLS, uno dentro del otro. Este cifrado doble no proporciona ningn valor adicional.
    Uso de VPN

    Cuando se empezaron a detectar brechas de seguridad en el estndar WEP, una de las primeras respuestas que propusieron muchos expertos en seguridad y lderes del sector fue la de utilizar redes privadas virtuales (VPN) para hacer seguras las redes inalmbricas. La tecnologa VPN es sin duda un mtodo seguro y confiable a lo largo del tiempo para proteger las comunicaciones de red que atraviesan redes hostiles, como Internet, y esta solucin al problema de las brechas de seguridad del estndar WEP se sigue utilizando en numerosos entornos. Aunque parezca una solucin ventajosa desde el punto de vista de la seguridad, presenta algunas imperfecciones obvias que la convierten en una opcin poco atractiva si se compara con la flexibilidad que ofrecen las soluciones que utilizan WPA, que se dise especficamente para hacer frente a las amenazas de los sistemas inalmbricos. Aunque es perfectamente posible implementar soluciones WPA junto con la tecnologa VPN para garantizar la seguridad de una red inalmbrica, dicha solucin no ofrece ninguna ventaja con respecto a una solucin pura basada en WPA, especialmente si se considera el nivel adicional de complejidad que se agrega a la red inalmbrica si se utiliza en combinacin con una solucin VPN. La funcionalidad es otra de las cuestiones que se deben tener en cuenta a la hora de decidir si se debe agregar una VPN como parte de la solucin de seguridad para la red WLAN. Aunque cuando los usuarios se conectan a una red empresarial a travs de Internet esperan que existan requisitos de autenticacin adicionales y lmites de tiempo de espera asociados al uso de una VPN, estos pasos adicionales pueden resultar pesados para los usuarios que estn acostumbrados a conectarse fcilmente a recursos desde dentro de una red de rea local. Algunas empresas pueden estar interesadas en utilizar esta solucin porque simplemente ya cuentan con una solucin VPN para los usuarios remotos y consideran que es necesario hacer un mayor uso de dicho sistema para justificar los costes. Si ste es el caso, deben tenerse en cuenta cuestiones adicionales antes de seleccionar este mtodo, incluidos los siguientes aspectos: Puesto que es necesario establecer una conexin VPN antes de que se permita la comunicacin a travs del tnel, la directiva de grupo del equipo no se aplicar si el usuario se conecta a la VPN despus de iniciar sesin en el equipo local. (Si el usuario selecciona Iniciar sesin mediante una conexin de acceso telefnico al iniciar sesin en el

    local. (Si el usuario selecciona Iniciar sesin mediante una conexin de acceso telefnico al iniciar sesin en el equipo, la conexin VPN finaliza primero y se aplicar la directiva de grupo.) La mayora de los servidores VPN estn diseados para proteger las conexiones ms lentas, como de acceso telefnico o de trfico de banda ancha, y pueden crear cuellos de botella en la red si se establecen muchas conexiones de alta velocidad. En funcin de la configuracin de VPN, los usuarios pueden experimentar problemas al pasar entre los puntos de acceso inalmbrico porque las VPN cortan a menudo las conexiones, incluso tras las desconexiones ms breves, lo que obliga al usuario a tener que volver a autenticarse manualmente cada vez que pasa de un punto de acceso a otro. Esto mismo tambin ocurre cuando el equipo de un usuario entra en el modo de espera.
    Uso de IPsec

    El uso de IPsec para garantizar la seguridad de las redes inalmbricas surge de la misma necesidad que utilizar VPN para hacer seguras las WLAN, es decir, como una solucin a las brechas de seguridad detectadas en WEP. Por supuesto, IPsec ofrece un modo confiable de garantizar la seguridad de muchos tipos especficos de trfico de red y su uso en las WLAN proporciona algunas ventajas, como la transparencia, la independencia de las limitaciones del hardware WLAN y el bajo coste, ya que no necesita servidores adicionales ni software para su funcionamiento. Sin embargo, el uso de IPsec para hacer seguras las redes inalmbricas presenta algunos problemas, entre los que se incluyen los siguientes: IPsec no puede proteger el trfico de difusin ni de multidifusin, ya que slo controla la comunicacin entre dos partes que se han autenticado mutuamente y que han intercambiado claves. IPsec no protege la red inalmbrica, slo los paquetes de red. Aunque IPsec es transparente para los usuarios, no lo es totalmente para los dispositivos de red porque funciona en el nivel de red, no en el de MAC. Esto agrega requisitos adicionales para las normas del firewall. Cualquier dispositivo que no pueda utilizar IPsec estar expuesto a sondeos o ataques por parte de los usuarios que puedan supervisar el trfico de la WLAN. La administracin de la directiva IPsec en entornos de mayores dimensiones puede resultar muy complicada si IPsec se utiliza para proporcionar una proteccin de un extremo a otro para otras aplicaciones, adems de para el trfico de la red inalmbrica.
    Uso de WEP

    La forma ms bsica de seguridad basada en 802.11 es el WEP esttico, que utiliza una clave compartida para controlar el acceso y emplea esa misma clave como base para cifrar el trfico inalmbrico. El principal atractivo de este mtodo radica en su simplicidad y, aunque ofrezca una seguridad ligeramente superior a la de una configuracin inalmbrica desprotegida, presenta problemas graves de administracin y seguridad; concretamente, se puede tardar desde un par de minutos hasta unas horas en detectar la clave compartida y el SSID (si no se difunde) en una WLAN basada en WEP y, por tanto, obtener acceso a una red con un porttil convencional y con herramientas sencillas que estn disponibles en Internet. Una forma de mejorar adicionalmente el WEP esttico consiste en configurar los puntos de acceso de modo que nicamente se permita a un grupo predefinido de clientes el acceso a la red mediante filtrado MAC. No obstante, tambin es posible atacar fcilmente un sistema que emplee este enfoque si se utilizan herramientas para detectar y suplantar las direcciones MAC de los equipos conectados a una WLAN. Es posible combinar algunas tecnologas de seguridad con WEP para aumentar ligeramente la seguridad de los entornos que no disponen de compatibilidad con WPA o WPA2, pero estas configuraciones tambin se desaconsejan, excepto si se

    que no disponen de compatibilidad con WPA o WPA2, pero estas configuraciones tambin se desaconsejan, excepto si se usan durante la fase de transicin entre una implementacin de WLAN no segura y una configuracin basada en WPA seguro. Estos mtodos, en orden de mayor a menor seguridad, son los siguientes: WEP con autenticacin 802.1X basada en EAP-TLS con certificados de usuario y equipo y reautenticacin peridica obligatoria. WEP con autenticacin 802.1X basada en PEAP-MS-CHAP v2 con directivas de contrasea segura de usuario y reautenticacin peridica obligatoria.
    Seguridad nula en WLAN

    Aunque nunca debe recomendarse la implementacin de una red inalmbrica no segura en el entorno de una mediana empresa, existen algunas situaciones en las que una configuracin de red inalmbrica no segura puede ser la solucin preferida. Por ejemplo, muchas ciudades y municipios han considerado o incluso implementado zonas de acceso inalmbrico libre y, en tales casos, se puede preferir utilizar una red de puntos de acceso inalmbrico no seguros que slo proporcione conexiones directas a Internet. Sin embargo, ya sea una u otra la finalidad o intencin, se debe tener en cuenta que las redes inalmbricas no seguras son enormemente vulnerables a una amplia variedad de ataques.
    WPA o WPA2

    Los protocolos Acceso protegido Wi-Fi (WPA) y Acceso protegido Wi-Fi 2 (WPA2) se han diseado especficamente para hacer frente a las amenazas que atentan contra las redes inalmbricas basadas en IEEE 802.11. No obstante, hay algunas diferencias entre ambos protocolos. WPA se desarroll en 2003 como respuesta a las brechas de seguridad detectadas en el estndar WEP y solucion dichas brechas con bastante eficacia gracias a la implementacin de compatibilidad con la autenticacin mutua, el uso de TKIP para el cifrado de datos y la incorporacin de una comprobacin de la integridad de los mensajes firmados con el fin de frustrar la suplantacin de identidad y los ataques de reproduccin. WPA2 mejora adicionalmente dicha seguridad al utilizar AES en lugar de TKIP para garantizar la seguridad del trfico de red y, por tanto, este protocolo debera preferirse siempre frente al estndar WPA. Los protocolos WPA y WPA2 son mucho ms seguros que WEP y, si la proteccin se realiza correctamente, no existen hasta la fecha brechas de seguridad en ninguno de ellos. Sin embargo, WPA2 se sigue considerando mucho ms seguro que WPA y se debe utilizar, cuando sea posible, si la infraestructura lo permite y se pueden mitigar los gastos administrativos adicionales. La mayora de los dispositivos de acceso inalmbrico fabricados actualmente estn certificados para el uso con WPA2, al igual que la mayora de las versiones ms recientes de Windows, concretamente Windows XP con Service Pack 2 (SP2) y Windows Server 2003 con SP1. Los dispositivos inalmbricos y los clientes compatibles con WPA2 tambin pueden usar el antiguo estndar WPA si algunos de los puntos de acceso inalmbrico o clientes implementados en el entorno no son compatibles con WPA2. Nota Los clientes basados en el SP2 de Windows XP necesitan un paquete de actualizacin adicional, la actualizacin Acceso protegido Wi-Fi 2 (WPA2) y Elemento de informacin de los Servicios de aprovisionamiento inalmbricos (WPS IE), para que se permite la compatibilidad con la certificacin WPA2. Para obtener ms informacin sobre esta actualizacin, vaya a la direccin URL http://support.microsoft.com/default.aspx?scid=kb;es-es;893357. Asimismo, las versiones actuales de Windows no ofrecen compatibilidad de GPO con WPA2, lo que constituye una desventaja considerable desde el punto de vista de administracin que hace que la implementacin de WPA2 resulte mucho ms compleja que la de WPA. Puede que ste sea un factor determinante para elegir entre WPA y WPA2, ya que ambos estndares son relativamente seguros.

    Desarrollo de una solucin WLAN segura


    En la seccin anterior se han explicado algunos de los antecedentes sobre las distintas opciones de seguridad que se pueden considerar para las redes WLAN y se ha ofrecido una descripcin de las amenazas ms frecuentes a las que se enfrentan las redes inalmbricas y cmo cada uno de estos enfoques hace frente o es vulnerable a dichas amenazas. Con

    enfrentan las redes inalmbricas y cmo cada uno de estos enfoques hace frente o es vulnerable a dichas amenazas. Con esa informacin es posible tomar decisiones justificadas sobre cmo se puede aplicar cada opcin a entornos empresariales especficos. Las ltimas mejoras de seguridad realizadas en los estndares de redes inalmbricas con la implementacin de WPA y WPA2 se han centrado en las graves brechas de seguridad de WEP y, por tanto, han marginado la necesidad de buscar soluciones, como el uso de IPsec o de una VPN, para garantizar la seguridad de las conexiones inalmbricas. No se recomienda en absoluto la alternativa de utilizar el estndar WEP esttico o dinmico y, por otro lado, el enfoque de no utilizar ninguna funcionalidad de seguridad slo es til en un nmero reducido de situaciones. Si se considera lo anterior, slo quedan un par de opciones que se pueden tener en cuenta al formular una solucin de seguridad completa y eficaz para las implementaciones de WLAN. Esta seccin gua a los responsables de tomar las decisiones a travs de los dems enfoques recomendados para garantizar la seguridad de las redes inalmbricas. Estas soluciones recomendadas de Microsoft se consideran ampliamente como los mtodos ms seguros de implementar una red inalmbrica segura y eficaz por parte de los analistas del sector, los expertos en seguridad y los principales proveedores. Aunque este documento se centra en el mtodo que mejor se adapta al entorno de una mediana empresa, es importante tener en cuenta todas las opciones y realizar un proceso de toma de decisiones, puesto que siempre hay excepciones vlidas a la norma.
    Proceso de toma de decisiones para una WLAN segura de Microsoft

    Hay dos procesos de seguridad recomendados entre los que se puede elegir para las redes WLAN, adems de un tercer enfoque combinado. Las dos principales soluciones, ordenadas por nivel de seguridad, son: WPA2 con EAP-TLS y Servicios de Certificate Server WPA2 con PEAP-MS-CHAPv2 Aparte del nivel de seguridad proporcionado por cada una de estas soluciones, el factor determinante bsico para elegir entre estos dos enfoques se reduce a los recursos necesarios para implementar las soluciones y ofrecer compatibilidad con ellas. WPA o WPA2 con PEAP-MS-CHAPv2 tiene menos requisitos en cuanto a conocimientos tcnicos y equipamiento porque no necesita una infraestructura de certificados subyacente. Puesto que todos los dispositivos que hay actualmente en el mercado estn certificados para el uso con WPA2 y no son prohibitivos desde el punto de vista de los costes, tiene cierto sentido utilizar dispositivos compatibles con WPA2, incluso si se decide usar WPA por las ventajas administrativas que presenta actualmente con respecto a WPA2. El mtodo de cifrado AES de WPA2 se considera en general ms seguro que el mtodo TKIP de WPA y, si se considera que est previsto ofrecer compatibilidad de GPO con WPA2 en versiones futuras, conviene ir preparando las bases para una implementacin futura de WPA2. El uso de WPA o WPA2 con EAP-TLS es la opcin disponible ms segura para garantizar la seguridad de una WLAN, pero conlleva una implementacin mayor y tiene asociados unos costes superiores de administracin ya que depende de la infraestructura de certificados subyacente. Sin embargo, muchos entornos de medianas empresas ya disponen de sistemas que cumplen los requisitos necesarios para WPA2 con EAP-TLS, por lo que en realidad puede ser una opcin ms atractiva para muchas empresas. Incluso si no se dispone de la tecnologa necesaria, muchas empresas necesitan la misma tecnologa en la que se basa esta solucin, los certificados y RADIUS para cubrir otras necesidades, por lo que incluso en ese caso existen muy buenos motivos empresariales y tcnicos que justifican la implementacin de esta solucin.

    Figura 1. rbol de decisiones para una WLAN de Microsoft El diagrama de flujo de la figura 1 se ha utilizado en una gua anterior de Microsoft para ayudar a las organizaciones a determinar qu enfoque de seguridad para redes WLAN es el que mejor se ajusta al entorno concreto; asimismo, plantea algunas suposiciones con respecto a la definicin de un empresa grande. Cuando utilice este diagrama de flujo, tenga en cuenta que las empresas grandes deben contar con 500 o ms empleados y con un equipo de IT de al menos 5 profesionales de la tecnologa. Como se ha explicado anteriormente, el rbol de decisiones puede malinterpretarse en este caso, porque muchas medianas empresas, a las que est destinado este documento, tienen los recursos y la capacidad necesarios para implementar fcilmente WPA2 con EAP-TLS y Servicios de Certificate Server, dado que la mayora de las medianas empresas poseen al menos cinco profesionales de TI en plantilla y tienen capacidad para los requisitos de infraestructura adicionales de una implementacin bsica de EAP-TLS (cuatro servidores adicionales, uno de los cuales permanecer desconectado de la red). Ante estos hechos, queda claro que la mejor solucin para la mayora de las medianas empresas es WPA2 con EAP-TLS y Servicios de Certificate Server. Por tanto, ste ser el mtodo en el que nos centraremos en este documento. No obstante, siempre hay excepciones vlidas a la norma y, si una organizacin necesita un enfoque distinto, hay un gran nmero de guas para satisfacer dichas necesidades. Concretamente, si se prefiere usar WPA con PEAP-MS-CHAP v2, se puede encontrar informacin adicional en Proteccin de las LAN inalmbricas con PEAP y contraseas (en ingls), en la direccin http://go.microsoft.com/fwlink/?linkid=23459
    Requisitos de los servidores EAP-TLS

    Como se ha mencionado anteriormente, EAP-TLS necesita al menos cuatro servidores (o ms en el caso de un entorno distribuido o de mayores dimensiones), de los cuales dos se utilizarn como servidores redundantes del Servicio de

    distribuido o de mayores dimensiones), de los cuales dos se utilizarn como servidores redundantes del Servicio de autenticacin Internet (IAS) (la implementacin de Microsoft de un Servicio de autenticacin remota telefnica de usuario) y los otros dos formarn parte de una infraestructura de certificados bsica (PKI). Uno de los dos servidores de certificados servir para alojar la entidad de certificacin (CA) raz, ser independiente y permanecer desconectado de la red para proteger el certificado raz. Tabla 3. Requisitos de hardware recomendados para el servidor de la CA raz Componente CPU Memoria Interfaz de red Unidad de almacenamiento en disco Requisito CPU a 733 MHz o superior 256 MB de RAM Ninguna (o deshabilitada) Controlador IDE o SCSI RAID 2 discos duros de 18 GB configurados como un nico volumen RAID (unidad C) Unidad extrable de almacenamiento local para la transferencia de datos (certificado raz).

    Como muestra la tabla, los requisitos (basados en los requisitos genricos de Windows Server 2003 Standard Edition) de la CA raz son en buena parte mnimos e incluso se pueden crear en una plataforma ms antigua que se vaya a retirar o como una mquina virtual si fuese necesario. Para muchos clientes puede ser til emplear un equipo porttil porque es muy sencillo garantizar su seguridad fsica al guardarlo en una caja fuerte de la sala de equipos. Independientemente del enfoque que se adopte para crear la CA raz, es importante asegurarse de que el equipo en cuestin se pueda iniciar o restaurar de forma confiable si es necesario. Los requisitos de hardware de la entidad emisora de certificados (CA emisora) son similares, pero tienen requisitos de almacenamiento adicionales y es necesario que el servidor est conectado a la red. Como este servidor debe almacenar todos los certificados emitidos, se recomienda que el disco duro tenga una capacidad de al menos 2 GB por cada 1.000 usuarios. Los requisitos de los servidores RADIUS son superiores porque estos servidores son decisivos para mantener la funcionalidad de la WLAN y deben ser capaces de administrar un gran nmero de intentos de autenticacin en perodos breves de tiempo. Por este motivo, se necesita una plataforma de hardware slida para los entornos que vayan a tener miles de clientes inalmbricos. Asimismo, aunque las entidades emisoras de certificados slo necesitan utilizar Windows Server 2003 Standard Edition, es posible que los servidores IAS necesiten utilizar la versin Enterprise Edition porque la Standard Edition slo admite 50 clientes RADIUS. Por estos motivos, se suele recomendar la instalacin de IAS en controladores de dominio, ya que de este modo se reduce la necesidad de tener que disponer de hardware de servidor adicional al aprovechar las slidas plataformas de servidor ya existentes que necesitan los controladores de dominio; adems, el uso de IAS en controladores de dominio aumenta en realidad el rendimiento de IAS al reducir el trfico de red que se produce entre los controladores de dominio e IAS durante la autenticacin del usuario. La conmutacin por error y la redundancia, as como las consideraciones sobre la ubicacin remota, tambin entran en juego a la hora de determinar los requisitos de los servidores RADIUS. Aunque los requisitos mnimos recomendados son para dos servidores IAS, es posible que algunas empresas tengan muchas oficinas remotas y que necesiten servidores IAS en algunas de dichas ubicaciones. Algunas empresas tambin pueden tener requisitos superiores en cuanto a la redundancia o el equilibrio de carga de los servidores.

    Aunque no existen recomendaciones en contra del uso de servidores multifuncin, como los servidores RADIUS, es importante considerar la carga adicional que puede crearse en un servidor de este tipo y la naturaleza de dichas demandas. Un servidor RADIUS debe ser escalable para tolerar aquellas situaciones en las que todos los clientes inalmbricos se intenten conectar en un breve perodo de tiempo.
    Certificados

    Independientemente del enfoque WPA adoptado para garantizar la seguridad de una WLAN, se necesitan certificados de algn tipo como parte de la solucin. PEAP slo necesita certificados en el servidor de autenticacin y, por tanto, se puede utilizar simplemente un servicio de certificados de un tercero para proporcionar los certificados necesarios; de este modo, no sera necesario implementar una PKI. ste es el principal motivo por el que se recomienda el enfoque PEAP para las organizaciones pequeas que tal vez carezcan de los conocimientos o los recursos necesarios para ocuparse de la implementacin y compatibilidad de una infraestructura de certificados. La implementacin compatible con Windows de EAP-TLS con Servicios de Certificate Server no requiere que exista necesariamente una PKI subyacente para ofrecer compatibilidad con la emisin de certificados, pero como cada cliente debe tener un certificado para establecer la autenticacin con el servidor RADIUS, el uso de certificados de terceros puede tener un coste prohibitivo para todas las empresas, excepto para las ms pequeas. Estas mismas consideraciones tambin son aplicables si se utiliza PEAP combinado con el enfoque de Servicios de Certificate Server. Si una organizacin ya tiene una PKI, el proceso de toma de decisiones ser probablemente ms sencillo; al fin y al cabo, si los componentes ya estn instalados, tambin se podrn utilizar y ser posible implementar la opcin que sea ms segura para la seguridad de la WLAN. Incluso en el caso de que no haya establecida una implementacin de PKI, una mediana empresa puede seguir considerando acertada la decisin de invertir en una infraestructura de certificados si tiene en cuenta los otros usos que pueda dar a tales implementaciones, entre los que se incluyen: Firmas de cdigo Mensajera segura de correo electrnico Entrega segura de contenido web Seguridad de VPN Servicios de archivos cifrados Si se considera todo lo anterior, el uso de Servicios de Certificate Server con EAP-TLS o con PEAP es el enfoque ms adecuado para las medianas empresas, por lo que constituye el objeto de atencin de este documento.
    Creacin de una declaracin de prcticas de certificacin (CPS)

    La planeacin inicial de una PKI debe incluir documentacin acerca del modo en que los certificados se van a utilizar en el entorno empresarial. Aunque tales decisiones se pueden modificar a medida que surgen las necesidades, es importante exponer estas decisiones en una declaracin formal de directiva de certificados. En trminos formales, una directiva de certificados es un conjunto de reglas que rigen el funcionamiento de la PKI. Registra informacin relacionada con la aplicacin de certificados a determinados grupos o aplicaciones de la organizacin que tienen requisitos de seguridad comunes. La declaracin de prcticas de certificacin indica las prcticas que una empresa utiliza para administrar los certificados que emite. Describe cmo se interpreta la directiva de certificados en el contexto de la infraestructura de los sistemas empresariales y las directivas de los procedimientos operativos. Si bien una directiva de certificados es un documento aplicable a toda la organizacin, la declaracin de prcticas de certificacin es especfica de una CA, aunque las CA pueden tener una declaracin de prcticas de certificacin comn si realizan las mismas tareas. En el caso de algunas empresas, estas declaraciones son documentos legales de obligada creacin en virtud de requisitos

    En el caso de algunas empresas, estas declaraciones son documentos legales de obligada creacin en virtud de requisitos normativos que regulan los sectores en los que se lleva a cabo la actividad y para cuya creacin se necesita asistencia jurdica. No obstante, aunque una empresa no est regulada por tales requisitos, sigue siendo una buena idea crear estos documentos.
    Jerarqua de las entidades de certificacin

    El diseo especificado en esta gua utiliza un modelo de confianza jerrquico con una nica raz interna. Este enfoque presenta una serie de ventajas y desventajas, por lo que puede ser necesario realizar un anlisis posterior para determinar si este enfoque concreto es adecuado para la empresa en la que se va a implementar. Para obtener ms informacin sobre este tema, consulte el captulo Diseo de una infraestructura de clave pblica (en ingls) del Kit de implementacin de Windows Server 2003 en http://technet2.microsoft.com/WindowsServer/en/library/b1ee9920-d7ef-4ce5-b63c3661c72e0f0b1033.mspx.

    Figura 2. Jerarqua de las entidades de certificacin


    Seguridad de la entidad emisora raz

    La implementacin de Microsoft de EAP-TLS no funcionar a menos que la CA raz sea segura de forma inalmbrica (desconectada de la red). Existen algunos motivos de seguridad de peso para utilizar el diseo de una CA raz independiente de este tipo, en lugar de una CA raz de empresa y, por tanto, suele ser el enfoque recomendado para cualquier implementacin de PKI. Puesto que este enfoque tal vez se considere un derroche de recursos, hay algunos mtodos que una empresa puede utilizar para volver a implementar al menos una parte del hardware empleado para crear una CA raz que nunca se conectar a la red. Algunas de estas recomendaciones son: Despus de crear el certificado raz y distribuirlo a una CA emisora, las unidades de disco duro de la CA raz se pueden quitar y almacenar de forma segura hasta que se vuelvan a necesitar. El inconveniente de este enfoque es que si se necesita la CA raz, se tendr que reclamar el hardware correspondiente de dichas unidades. Despus de crear el certificado raz y distribuirlo a una CA emisora, se puede realizar una imagen del servidor si se hace una copia de seguridad y se guarda en cintas u otro tipo de medio sin conexin, lo que permitir volver a

    hace una copia de seguridad y se guarda en cintas u otro tipo de medio sin conexin, lo que permitir volver a utilizar el hardware del servidor. Una vez ms, existe el mismo problema si se necesita de nuevo: sera necesario reclamar dicho hardware. Utilice un servidor virtual, un PC virtual o algn otro tipo de software de mquina virtual para crear la CA raz; una vez creado y distribuido el certificado raz, la imagen de la mquina virtual se puede guardar en un medio de almacenamiento sin conexin y archivarse por si se vuelve a necesitar. Si se utiliza una plataforma genrica estndar (como el sistema de escritorio estndar de la organizacin si cumple los requisitos de hardware) para este enfoque, es ms sencillo reclamar el hardware necesario en caso de que se necesite de nuevo la CA raz. Cree la CA raz sin conexin en el equipo porttil del ao pasado y gurdelo en una caja fuerte de la sala de equipos. De este modo, dar uso a un recurso de hardware que, de otro modo, acabara desechando.
    Autenticacin de Internet

    El Servicio de autenticacin Internet (IAS) es la implementacin de Microsoft de un servidor proxy y RADIUS. IAS permite realizar procesos centralizados de autenticacin, autorizacin y contabilidad para una variedad de conexiones de red. IAS se puede utilizar con otros servidores RADIUS (como un reenviador de autenticacin, autorizacin y contabilidad), con otros servidores VPN (como servidores de acceso remoto y enrutamiento) o con otra infraestructura de red (como puntos de acceso inalmbrico). Al desarrollar un plan de implementacin para una infraestructura IAS, es importante aprovechar el valor de una infraestructura RADIUS basada en IAS, ya que no se ha diseado para proporcionar acceso a una sola red aislada. Por tanto, la planeacin e implementacin de una infraestructura IAS debe incluir una decisin sobre si se debe utilizar un servicio centralizado para administrar el acceso a la red, incluido el uso de una base de datos centralizada de cuentas como Active Directory, adems de garantizar que se vern satisfechas las necesidades presentes y futuras de la organizacin. En otras palabras, la implementacin de una infraestructura IAS tambin debe ser estratgica, no solamente tctica. Esta gua slo abordar los aspectos de la planeacin e implementacin de IAS relacionados con una infraestructura inalmbrica segura. Para conocer otras posibilidades y cuestiones relativas a la planeacin e implementacin de IAS, consulte la seccin "Recursos de implementacin" (en ingls) que est disponible en la pgina de inicio del Servicio de autenticacin Internet, en www.microsoft.com/technet/itsolutions/network/ias/default.mspx.
    Implementaciones de RADIUS ya existentes

    Aunque esta solucin puede integrarse en implementaciones de RADIUS ya existentes, esta gua no proporciona dicho proceso. En la mayora de los casos conviene utilizar IAS para las caractersticas descritas en la gua. Para tal fin, es posible actualizar las plataformas antiguas a Windows Server 2003 para que acten como servidores RADIUS bsicos o bien modificar los servidores RADIUS existentes en el trfico de proxy RADIUS en nuevos servidores RADIUS basados en Windows Server 2003. Para obtener una orientacin detallada de planeacin sobre la migracin de una infraestructura RADIUS existente a servidores RADIUS basados en Windows Server 2003, consulte la pgina de referencia tcnica de IAS (en ingls) en http://technet2.microsoft.com/WindowsServer/en/Library/8f5c89d5-fdaf-430c-9ef4-318f8c15baf11033.mspx o pngase en contacto con un representante de cuentas o un profesional de servicios de consultora de Microsoft.
    Conmutacin por error y equilibrio de carga de los servidores RADIUS

    Puesto que RADIUS es un componente crtico de cualquier solucin de seguridad inalmbrica 802.1X, la disponibilidad de una red inalmbrica depende de la disponibilidad de los servidores RADIUS. Por tanto, una solucin RADIUS compatible con redes inalmbricas debe ser confiable y redundante, adems de ofrecer capacidad de respuesta, para garantizar una disponibilidad y un rendimiento equivalentes a los de una red cableada. De ah que se suela recomendar la instalacin de IAS en controladores de dominio existentes. Antes de tomar una decisin sobre la estrategia de equilibrio de carga, es importante comprender que 802.1X implementa EAP dentro de RADIUS (EAP-RADIUS), entre el punto de acceso inalmbrico y el servidor RADIUS. Aunque RADIUS utilice

    UDP, EAP es un protocolo orientado a sesiones que crea un tnel dentro de RADIUS. Esto significa que los distintos paquetes EAP-RADIUS de una operacin de autenticacin individual deben devolverse al mismo servidor RADIUS o, de lo contrario, se generarn errores en el intento de autenticacin concreto. Hay dos enfoques disponibles para el equilibrio de carga y la conmutacin por error de los servidores IAS por lo que respecta a las redes inalmbricas. El primero consiste en el uso de servidores proxy IAS con grupos de servidores RADIUS; y el segundo, en la configuracin de los servidores RADIUS principales y secundarios con los valores de hardware de los puntos de acceso inalmbrico. En la siguiente lista se incluyen las ventajas y desventajas de cada uno de los enfoques. Tabla 4. Conmutacin por error y equilibrio de carga de RADIUS para EAP Mtodo Servidores proxy IAS con grupos de servidores RADIUS Ventajas Desventajas

    Deteccin de errores de los servidores RADIUS con conmutacin por error y conmutacin por recuperacin. Distribucin de la carga del trfico en funcin de las propiedades del trfico. Mantenimiento del estado de la sesin EAP durante el equilibrio de carga. Distribucin configurable de las peticiones a los servidores en funcin de valores de prioridad y peso.

    Se necesitan servidores IAS adicionales. Sigue siendo necesario configurar las direcciones de los servidores proxy RADIUS principales y secundarios.

    Configuracin de los servidores RADIUS principales y secundarios en los puntos de acceso inalmbrico

    Configuracin ms sencilla para los entornos ms pequeos. El punto de acceso inalmbrico detecta los errores en el trfico y realiza la conmutacin por error. Utiliza la funcionalidad nativa de los puntos de acceso inalmbrico.

    Conlleva costes superiores de planeacin y supervisin de la distribucin del trfico de los servidores RADIUS principales y secundarios. Algunos puntos de acceso inalmbrico siguen sin ser compatibles con la funcionalidad de conmutacin por recuperacin, lo que puede provocar cargas de trfico desequilibradas.

    Las empresas de mayores dimensiones deben considerar el uso de servidores proxy RADIUS configurados en grupos de servidores RADIUS para distribuir las cargas en los servidores RADIUS. Esta opcin proporciona un cierto grado de flexibilidad al permitir distribuir el trfico segn una serie de elementos configurables, como el tipo de trfico RADIUS y los

    flexibilidad al permitir distribuir el trfico segn una serie de elementos configurables, como el tipo de trfico RADIUS y los atributos de RADIUS, adems de en funcin de los valores de peso y prioridad. Este tipo de arquitectura tambin ofrece la mxima flexibilidad y escalabilidad a la hora de dar servicio a las peticiones de autenticacin, adems de ser menos estricta desde el punto de vista administrativo. La funcionalidad de conmutacin por error ms sencilla de los servidores RADIUS integrada en los puntos de acceso inalmbrico puede proporcionar un nivel suficiente de resistencia para la mayora de las organizaciones, pero no es una solucin tan sofisticada como utilizar grupos de servidores proxy. No obstante, la migracin de esta arquitectura a una solucin de conmutacin por error y equilibrio de carga basada en servidores proxy RADIUS es relativamente sencilla, por lo que esta solucin tambin deja cierta cabida para el crecimiento. Para las empresas que nicamente desean una cobertura inalmbrica pequea o limitada, esta solucin es eficaz y fcil de implementar. Sin embargo, a medida que aumente el tamao y la complejidad de la red inalmbrica, tambin crecer el esfuerzo de administracin e implementacin, ya que cada dispositivo necesita una supervisin y planeacin minuciosas para mantener el equilibrio de carga entre todos los servidores.

    Figura 3. Mtodos de conmutacin por error y equilibrio de carga en una WLAN RADIUS El equilibrio de carga con la funcionalidad integrada de puntos de acceso inalmbrico implica la configuracin de aproximadamente la mitad de puntos de acceso inalmbrico en cada ubicacin para su utilizacin en el servidor RADIUS principal con otro conjunto como secundario, mientras que la otra mitad de los puntos de acceso inalmbrico utilizan asignaciones inversas en los campos principal y secundario, tal y como se muestra en la figura 3. Es evidente la elevada sobrecarga, ya que puede haber ms carga en algunos puntos de acceso inalmbrico que en otros, lo que conlleva una supervisin superior para alcanzar y mantener un nivel eficaz del equilibrio de carga.
    Requisitos de registro de RADIUS

    Los servidores IAS pueden registrar dos tipos de eventos opcionales:

    Intentos correctos e incorrectos de autenticacin Informacin sobre las cuentas y la autenticacin RADIUS Los eventos de autenticacin se generan cuando los dispositivos y los usuarios intentan tener acceso a la WLAN. IAS los registra en el registro de eventos del sistema de Windows Server 2003. Estos eventos son tiles para solucionar problemas y como parte de una auditora de seguridad y del sistema de deteccin de intrusiones. Es necesario habilitar inicialmente el registro de los eventos correctos e incorrectos, aunque puntualmente se deban filtrar para evitar un desbordamiento del registro de eventos del sistema. Si se registran las peticiones de autenticacin RADIUS puede que sea innecesario utilizar estos eventos por motivos de seguridad.
    Servidores IAS centralizados o distribuidos

    Como diseo de punto de partida, se debe considerar una arquitectura centralizada de servidores IAS para la mayora de las medianas empresas, ya que la mayor parte de ellas tienen conexiones WAN resistentes de alta velocidad a instalaciones remotas y el trfico de RADIUS no consume mucho ancho de banda porque se ha diseado para funcionar con conexiones de acceso telefnico y vnculos WAN. El diseo centralizado es ms rentable si hay instalada una infraestructura WAN redundante y de alta velocidad. Incluso en ese caso, se debe analizar minuciosamente la capacidad actual de los vnculos WAN existentes para determinar si se trata de la mejor opcin, ya que se puede agotar el tiempo de espera de otra comunicacin, como el trfico DHCP, mientras se espera a que finalice el intento de autenticacin 802.1X durante una conexin congestionada. La conectividad de los clientes no es la nica preocupacin a la hora de plantearse si se debe utilizar una arquitectura IAS centralizada, ya que la comunicacin entre los servidores IAS y los controladores de dominio requiere conexiones de red slidas para evitar tiempos de espera mientras se determinan los derechos de acceso a la red y la pertenencia a grupos. Es posible que algunas empresas no saquen provecho de una arquitectura centralizada debido a los costes asociados a las conexiones WAN redundantes de gran ancho de banda y al sofisticado equipo de red necesario. Estas empresas optarn por utilizar un diseo IAS distribuido, especialmente si ya tienen una infraestructura de servidores descentralizados. Hay por otro lado un tercer enfoque que es un hbrido de los dos anteriores y que permite ubicar de forma estratgica los servidores IAS en lugares compatibles con la infraestructura para que dichos servidores puedan proporcionar autenticacin a sucursales que tal vez no tengan una base subyacente de servidores, como se muestra en la siguiente figura.

    Figura 4. Enfoque mixto de infraestructura de WLAN con IAS En esta gua se incluyen los tres modelos y se ofrece orientacin para configurar oficinas de coordinacin grandes que tienen dos servidores RADIUS con capacidad para dar servicio a peticiones locales y remotas, as como instrucciones para configurar oficinas centrales grandes con sucursales que tienen un solo servidor opcional. Nota De nuevo, el acceso a la WLAN desde oficinas remotas sin una infraestructura de servidor depende de la disponibilidad de la WAN.
    Consideraciones sobre la colocacin y co-emplazamiento de los servidores IAS

    Para mantener la accesibilidad a los servicios WLAN, es necesario que haya al menos dos servidores RADIUS para cada bosque independiente de Active Directory. Aparte de este requisito bsico, hay una serie de factores que determinan el nmero de servidores necesarios y si stos pueden ser candidatos de un co-emplazamiento con otras funciones de servidor. En general, la colocacin de los servidores IAS debe ser posterior a la colocacin de los controladores de dominio; es decir, si una oficina depende del vnculo WAN de alta velocidad de otra oficina para disfrutar de los servicios del dominio, es probable que tambin deba utilizar un servidor RADIUS remoto. Las oficinas de mayor tamao que ya tienen controladores de dominio propios probablemente necesitarn disponer de al menos un servidor RADIUS, con una posible funcionalidad de conmutacin por error ubicada en otro lugar segn el vnculo WAN disponible. Se debe evaluar con mucha atencin la capacidad del vnculo WAN cuando se planea la colocacin de los servidores RADIUS para la confiabilidad de la autenticacin de usuario local y para la colocacin de controladores de dominio empleados para autenticacin debido al trfico adicional generado. Asimismo, para obtener un rendimiento mejorado, los servidores RADIUS deben ubicarse en el dominio raz de un bosque para optimizar las operaciones Kerberos. Otra consideracin puede estar relacionada con si es factible colocar servidores adicionales en ubicaciones remotas donde parece haber esa necesidad, ya que las oficinas ms pequeas tal vez no dispongan del espacio o la infraestructura necesarios para el hardware de servidor adicional. Para abordar estas cuestiones, es posible el co-emplazamiento de un servidor IAS con un controlador de dominio de Active Directory. En la siguiente tabla se describen algunas de las ventajas y desventajas de este enfoque. Tabla 5. Consideraciones sobre el co-emplazamiento de IAS y un controlador de dominio Ubicacin de IAS Co-emplazamiento Ventajas Desventajas

    Co-emplazamiento en el controlador de dominio

    Aumenta el rendimiento de la autorizacin y autenticacin de usuarios y equipos. Reduce la necesidad de hardware de servidor adicional.

    No hay separacin entre los grupos de administracin de IAS y los administradores de dominio. No hay separacin inherente de los errores o problemas de rendimiento asociados a los servicios de co-emplazamiento.

    Servidores IAS independientes

    Separacin de la administracin de IAS de los administradores de dominio. El comportamiento y la carga de IAS no afectan al controlador de dominio.

    Se necesita hardware de servidor adicional.

    Como se muestra en esta tabla, hay una razn de peso por la que muchas organizaciones disponen de directivas que aslan la funcionalidad de los controladores de dominio en los propios servidores, ya que son crticos para el entorno de red. Tambin puede que preocupe la seguridad si los servicios de IAS se colocan en un controlador de dominio y hay una separacin de las tareas que afectan a ambos grupos administrativos, porque no existe una separacin inherente de la administracin de IAS y las funciones del grupo local de administradores de Windows. Se deben tener en cuenta estas cuestiones antes de tomar una decisin sobre el posible co-emplazamiento de los servicios de IAS. No obstante, hay algunas ventajas de rendimiento si se toma esta decisin, adems de la obvia ventaja en cuanto a costes, sobre todo en las ubicaciones remotas. Para compensar los costes derivados de agregar hardware de servidor a las oficinas remotas, se pueden utilizar controladores de dominio existentes (tal vez ya existan en las ubicaciones remotas) como servidores IAS, bien directamente o si se agrega una mquina virtual al controlador de dominio existente.
    Estimacin de la carga en el servidor y los requisitos de hardware

    La evaluacin y planeacin de las posibles cargas en el servidor debe enfocarse desde la perspectiva de los peores casos. Concretamente, qu sucede si todos los posibles usuarios de la WLAN necesitan autenticarse en un breve perodo de tiempo durante un evento de conmutacin por error? Por supuesto, el diseo ptimo es aquel que implementa el nmero mnimo de servidores con los que es posible resistir y que deja al mismo tiempo espacio para un futuro crecimiento si es necesario. Es necesario tener en cuenta la siguiente informacin a la hora de planear los requisitos y las cargas de los servidores IAS: El nmero de usuarios y dispositivos que necesitan autenticacin y contabilidad. Las opciones de autenticacin, como el tipo de EAP, y la frecuencia de reautenticacin. Las opciones de RADIUS, como la informacin de registro y el seguimiento del software IAS. En el caso de que se utilice WPA o WPA2 con EAP-TLS y Servicios de Certificate Server para esta solucin, es importante tener en cuenta que WPA y WPA2, a diferencia de WEP, eliminan la necesidad de forzar la reautenticacin para actualizar las claves de sesin, por lo que la sobrecarga es menor en ese sentido. Tambin es importante considerar que EAP-TLS exige una operacin de clave pblica de CPU intensiva tras cada autenticacin inicial, pero ms adelante utiliza credenciales almacenadas en la memoria cach para obtener una reconexin rpida durante cada inicio de sesin posterior hasta que caduca la credencial almacenada en la memoria cach, que sucede de forma predeterminada cada 8 horas. Tambin merece la pena destacar que la reautenticacin se producir cuando un cliente se mueva de un punto de acceso

    inalmbrico que se autentica en un servidor RADIUS a un punto de acceso inalmbrico que se autentica en otro servidor de autenticacin; esto slo sucede una vez por cada servidor de autenticacin y el proceso es transparente para el usuario. Al calcular la capacidad del servidor IAS, es til usar el nmero de autenticaciones por segundo como estimacin de las posibles cargas. En la siguiente tabla se muestra la capacidad estimada de autenticacin por segundo de un servidor IAS con Active Directory en una plataforma con una CPU Intel Pentium 4 a 2 GHz. Tabla 6. Autenticaciones por segundo Tipo de autenticacin Nuevas autenticaciones de EAP-TLS Nuevas autenticaciones de EAP-TLS con compatibilidad con tarjeta de carga Autenticaciones con reconexin rpida Autenticaciones por segundo 36 50 166

    Nota La informacin de esta tabla slo se debe considerar como una estimacin que puede utilizarse a modo de orientacin para planear la capacidad. Segn esta tabla, un servidor de este tipo puede procesar 36 nuevas autenticaciones por segundo en caso de que se produzca una conmutacin por error o un pico de demanda; por lo tanto, la autenticacin de 100 usuarios tardara aproximadamente 3 segundos. Otro factor que se debe tener en cuenta es cmo afecta el registro basado en disco al tiempo de autenticacin. Un subsistema de disco lento puede afectar negativamente al tiempo de autenticacin si se utiliza el registro detallado para el seguimiento de la actividad de autenticacin. Asegrese de utilizar un subsistema de disco rpido para que el tiempo de respuesta de los servidores IAS sea razonable.
    Autenticacin 802.11 de WPA

    Hasta ahora se ha descrito el uso de una infraestructura de certificados y RADIUS para garantizar la seguridad de las comunicaciones inalmbricas mediante la autenticacin de usuarios y dispositivos. Ahora pasaremos a analizar cmo se protegen los datos transmitidos entre los dispositivos inalmbricos frente a los sondeos y otros riesgos. La utilizacin de transmisiones por radio siempre se ha considerado menos segura que las comunicaciones cableadas, ya que es mucho ms sencillo interceptar los datos transmitidos por aire que los datos que pasan por un cable o tablero de conexiones, especialmente si se utiliza seguridad en los puertos. Para contrarrestar la naturaleza inherentemente insegura de las comunicaciones inalmbricas, es necesario cifrar los datos para que, ante una interceptacin, los posibles interceptadores no consigan leer fcilmente la informacin. Las especificaciones WEP iniciales para el cifrado inalmbrico resultaron ser inadecuadas para esta tarea y por ello se cre el estndar WPA como una medida provisional y un subconjunto de la especificacin 802.11i, pendiente en aquel momento. Por ltimo, se elabor un borrador de WPA2 como una implementacin completa del actual estndar oficial 802.11i. La principal diferencia entre WPA y WPA2 es el mtodo de cifrado: WPA usa TKIP y WPA2 utiliza el estndar AES-CCMP, que es ms seguro. Aunque la solucin propuesta en esta gua se puede utilizar para proteger WEP o WPA, se recomienda usar WPA2, siempre que sea viable desde el punto de vista administrativo, si se desea disponer de la seguridad mxima y ms confiable que hay disponible actualmente para las comunicaciones inalmbricas. Si no es posible, el uso de WPA junto con la solucin proporcionada en esta gua tambin ofrece un nivel adecuado de seguridad.
    Requisitos de los clientes

    La solucin descrita en esta gua se ha diseado para equipos cliente con capacidad inalmbrica que utilicen

    La solucin descrita en esta gua se ha diseado para equipos cliente con capacidad inalmbrica que utilicen Windows XP Professional con SP2 o Windows XP Tablet Edition. Estas versiones del sistema operativo Windows ofrecen compatibilidad integrada para WLAN y 802.1X. Asimismo, los clientes basados en Windows XP disponen de funcionalidad de inscripcin automtica y renovacin de certificados, lo que hace que este tipo de solucin basada en certificados sea especialmente rentable cuando est asociada a una infraestructura de certificados. Aunque el SP2 de Windows XP incluye compatibilidad integrada para WPA, es necesario instalar una actualizacin adicional para habilitar la compatibilidad con WPA2 IEEE 802.11i en los clientes basados en el SP2 de Windows XP. Para obtener ms informacin sobre esta actualizacin adicional, adems de las instrucciones de descarga, consulte el artculo que informa que est disponible la actualizacin de Acceso protegido Wi-Fi 2 (WPA2) y el Elemento de informacin de los Servicios de aprovisionamiento inalmbricos (WPS IE) para Windows XP con Service Pack 2, en http://support.microsoft.com/default.aspx?scid=kb;es-es;893357.
    Requisitos de la infraestructura de servidor

    Como se ha comentado anteriormente, esta solucin requiere el uso de los componentes Servicios de Certificate Server e IAS de Windows Server 2003. Hay algunas caractersticas integradas compatibles con la implementacin de Windows Server 2003 de Servicios de Certificate Server e IAS que son especficas de las WLAN de 802.1X. Aunque Servicios de Certificate Server e IAS se pueden implementar en versiones anteriores de Windows, esta gua se ha elaborado especficamente para un entorno con Windows Server 2003 Active Directory.
    Requisitos de los puntos de acceso inalmbrico

    Esta gua se centra en el elemento de seguridad de una solucin WLAN, por lo que no se ofrece orientacin sobre la implementacin, ubicacin o seleccin de canales del hardware de los puntos de acceso inalmbrico. Para obtener ms informacin sobre problemas especficos, configuraciones o ubicacin del hardware de los puntos de acceso inalmbrico, consulte las instrucciones o el sitio web del proveedor. Esta solucin es ms segura si se utiliza hardware de punto de acceso inalmbrico que est certificado para el uso con WPA2 de IEEE 802.11i y que incluya funcionalidad integrada de conmutacin por error y conmutacin por recuperacin. Es posible implementar esta solucin con equipos certificados para el uso con WPA sin que apenas varen las orientaciones proporcionadas y, al mismo tiempo, mantener un nivel elevado de seguridad. Sin embargo, aunque tambin se puede implementar esta solucin con el estndar WEP, no se recomienda hacerlo y en esta gua no se apoya dicha decisin.

    Implementacin y administracin
    Aunque esta seccin incluye una orientacin paso a paso sobre la instalacin y configuracin de los servidores y servicios necesarios para la solucin, no contiene los pasos reales de instalacin y configuracin que es preciso seguir para sistemas operativos como Windows Server 2003 y Windows XP Professional. Se asume que en la mayora de las empresas se han establecido procesos de creacin y directrices de seguridad.
    Certificados

    Aunque esta seccin ofrece una orientacin detallada sobre la instalacin de una PKI, no incluye detalles relacionados con el proceso de creacin y proteccin de los servidores, ya que se considera que ya existe un proceso normalizado para estos procedimientos. Tambin se asume que los servidores de CA ya se han configurado con una imagen base y que se han protegido mediante un proceso estndar de la organizacin antes de llegar a esta fase de la solucin. Nota No olvide que la CA raz nunca se conectar a la red, por lo que ser necesario modificar los pasos del proceso de creacin y proteccin de servidores de la organizacin que impliquen una conexin a la red para ajustarse a esta excepcin.
    Informacin de configuracin necesaria definida por el usuario

    La siguiente tabla incluye parmetros especficos de la organizacin que deben recopilarse o sobre los que hay que tomar una decisin antes de comenzar a implementar la solucin proporcionada ms adelante en esta gua. A lo largo de la gua ver marcadores de posicin que sirven para describir los parmetros y que usan un formato similar al nombre del parmetro. Por ejemplo, el nombre DNS del dominio raz de un bosque de Active Directory puede aparecer como

    NombreDeDominio.com. Los valores que aparecen en cursiva se deben sustituir con la informacin especfica de la organizacin que se haya recopilado durante este proceso. Tabla 7. Informacin de configuracin definida por el usuario Elemento de configuracin Nombre DNS del bosque de Active Directory Nombre distintivo (DN) de la raz del bosque Nombre NetBIOS del dominio Nombre NetBIOS del grupo de trabajo de la CA raz Nombre del servidor de la CA raz Nombre del servidor de la CA emisora Nombre comn X.500 de la CA raz Nombre comn X.500 de la CA emisora Nombre completo de host del servidor web utilizado para publicar los certificados de la CA
    Elementos de configuracin necesaria que se recomiendan para la solucin

    Referencia

    Parmetro

    Pkiparams.vbs

    Pkiparams.vbs

    Los parmetros identificados en la siguiente tabla no necesitan cambiarse, excepto si se precisa otro parmetro. Antes de cambiar los parmetros de esta tabla, asegrese de comprender bien las repercusiones de tales cambios, as como las dependencias que pueden alterarse al modificarlos. Tabla 8. Elementos de configuracin recomendados para la solucin Elemento de configuracin Grupos de seguridad de funciones de administracin Administradores del contenedor de configuracin Servicios de clave pblica Grupo administrativo que puede publicar CRL y certificados de CA en el contenedor de configuracin Empresa. Grupo administrativo que configura y mantiene las CA y controla la posibilidad de asignar el resto de funciones de CA y renovar el certificado de CA. Grupo administrativo que aprueba las peticiones de inscripcin y revocacin de certificados (funcin de responsable de CA). ca_setup.wsf Administradores de PKI de empresa Publicadores de PKI de empresa Administradores de CA Referencia Parmetro

    ca_setup.wsf

    ca_setup.wsf

    ca_setup.wsf

    Administradores de certificados

    revocacin de certificados (funcin de responsable de CA). Grupo administrativo que administra la auditora de CA y los registros de seguridad. Grupo administrativo que administra las copias de seguridad de CA. Configuracin de IIS Nombre del directorio virtual de IIS que se utiliza para publicar la informacin de los certificados de CA y las CRL. Ruta fsica de la CA emisora asignada al directorio virtual de IIS. Parmetros de CA comunes Unidad y ruta de los archivos de peticin de Servicios de Certificate Server Unidad y ruta de los registros de base de datos de Servicios de Certificate Server. Configuracin de la CA raz Longitud de la clave de la CA raz (vase la nota) Perodo de validez del certificado de la CA raz (aos) Perodo de validez mximo de los certificados emitidos por la CA raz (aos) Intervalo de publicacin de la CRL de la CA raz (meses) Perodo de superposicin de la CRL (das) Perodo de publicacin de la CRL Delta (horas, 0=deshabilitado) Configuracin de la CA emisora Unidad y ruta de la base de datos de Servicios de Certificate Server Longitud de la clave de la CA emisora Perodo de validez del certificado de la CA emisora (aos) Perodo de validez mximo de los certificados de la CA emisora (aos) Pkiparams.vbs Pkiparams.vbs 4096 Pkiparams.vbs Pkiparams.vbs C:\CAConfig Pkiparams.vbs ca_setup.wsf

    certificados Auditores de CA

    ca_setup.wsf

    Operadores de copia de seguridad de CA

    pki

    C:\CAWWWPub

    Pkiparams.vbs

    Pkiparams.vbs

    %windir%\System32\CertLog

    16 8

    Pkiparams.vbs Pkiparams.vbs Pkiparams.vbs

    6 10 0

    D:\CertLog 2048 8 4

    Intervalo de publicacin de la CRL de la CA emisora (das) Perodo de superposicin de la CRL (das) Perodo de publicacin de la CRL Delta de la CA emisora (das, 0=deshabilitado) Perodo de superposicin de la CRL Delta (das) Varios Ruta de los scripts de instalacin

    Pkiparams.vbs Pkiparams.vbs Pkiparams.vbs

    7 4 1

    Pkiparams.vbs

    C:\MSSScripts

    Nota Si algunos dispositivos o software antiguo de otros proveedores utilizan claves de una longitud de 4.096 bits, pueden surgir problemas de compatibilidad. Es necesario comprobar con claves de certificado de este tamao todas las aplicaciones que puedan utilizar certificados emitidos por la CA raz para asegurarse de que funcionan correctamente. La longitud de la clave de la CA raz puede reducirse a 2.048 bits si surgen problemas de compatibilidad con la longitud de la clave.
    Instalacin de los scripts de configuracin en los servidores de CA

    Los scripts auxiliares que se suministran con esta gua estn diseados para ayudarle a configurar la solucin proporcionada en las siguientes secciones. Estos scripts se deben instalar en todos los servidores de CA y no se deben eliminar despus de su uso puesto que ayudan a su funcionamiento. Para instalar estos scripts, cree en primer lugar una carpeta denominada C:\MSSScripts y, a continuacin, copie los scripts en ese directorio.
    Instalacin y configuracin de IIS en el servidor de la CA emisora

    Los Servicios de Internet Information Server (IIS) se utilizan como punto de descarga para los clientes no basados en Windows con el fin de recuperar los certificados de CA y las CRL. La CA raz no necesita ofrecer este servicio, bsicamente porque se supone que no est conectada a una red, pero la CA emisora s debe tener acceso a este servicio. IIS tambin se puede utilizar para alojar las pginas web de inscripcin de Servicios de Certificate Server, aunque no se usen en esta solucin. Si las pginas web de inscripcin estn instaladas en un sistema distinto al de la CA emisora, dicho servidor debe estar marcado como Se confa para delegacin. Para ello, es necesario configurar esa propiedad en el objeto de equipo del servidor en Active Directory. IIS se puede instalar con el administrador de componentes opcionales de Windows, disponible a travs de la opcin Agregar o quitar componentes de Windows del Panel de control. La siguiente lista muestra los componentes que es necesario instalar: Servidor de aplicaciones Habilitar el acceso de red COM+ Servicios de Internet Information Server Archivos comunes Administrador de Servicios de Internet Information Server Servicio World Wide Web

    Para instalar IIS 1. Ejecute lo siguiente en un smbolo del sistema:

    S y s o c m g r/ i : s y s o c . i n f/ u : C : \ M S S S c r i p t s \ O C _ A d d I I S . t x t

    Este comando indica al administrador de componentes opcionales que debe utilizar las configuraciones de componentes especificadas en el archivo de instalacin desatendida C:\MSSScripts\OC_AddIIS.txt, tal como se muestra a continuacin:

    [ C o m p o n e n t s ] c o m p l u s n e t w o r k=O n i i s _ c o m m o n=O n i i s _ a s p=O n i i s _ i n e t m g r=O n i i s _ w w w=O n

    Nota Las pginas Active Server (ASP) estn habilitadas en este archivo de configuracin; sin embargo, si no se necesitan las pginas web de inscripcin de Servicios de Certificate Server, ASP se debe deshabilitar. Para ello, elimine la lnea iis_asp = on antes de ejecutar sysocmgr.exe. Este parmetro se puede habilitar posteriormente si es necesario. 2. Ejecute de nuevo el administrador de componentes opcionales como se indica a continuacin y compruebe que los componentes instalados coinciden con los enumerados anteriormente.

    s y s o c m g r/ i : s y s o c . i n f

    No se necesitan otros subcomponentes del Servidor de aplicaciones, por lo que no es necesario seleccionarlo. Configuracin de IIS para la publicacin de AIA y CDP de CRL en la CA emisora Se debe crear un directorio virtual en IIS para utilizarlo como la ubicacin HTTP de los puntos de publicacin de los certificados de CA y las CRL, que se conocen como AIA (Acceso a la informacin de entidad emisora) y CDP (Punto de distribucin de CRL), respectivamente. Para crear un directorio virtual en IIS 1. Inicie sesin en el servidor IIS con privilegios de administrador local.

    2. Cree una carpeta denominada C:\CAWWWPub para almacenar en ella los certificados de CA y las CRL. 3. Configure la seguridad de la carpeta segn se indica en la siguiente tabla: Tabla 9. Permisos del directorio virtual Usuario o grupo Administradores Sistema Propietarios del creador Usuarios IIS_WPG Cuenta de invitado para Internet Permiso Control total Control total Control total (slo subcarpetas y archivos) Leer y Mostrar el contenido de la carpeta Leer y Mostrar el contenido de la carpeta Escribir Permitir o denegar Permitir Permitir Permitir Permitir Permitir Denegar

    4. Utilice la consola de administracin de IIS para crear un nuevo directorio virtual en el sitio web predeterminado: Asigne al directorio virtual el nombre pki. Especifique la ruta C:\CAWWWPub. 5. Desactive la opcin Ejecutar secuencias de comandos en los permisos de acceso al directorio virtual. 6. Asegrese de que se ha habilitado la autenticacin annima para el directorio virtual. Seleccin de un alias DNS para el punto de publicacin HTTP Se debe crear un alias DNS genrico (CNAME) para resolver el modo en el que el servidor IIS aloja CDP y AIA. Este alias DNS debe utilizarse al configurar las rutas de CDP y AIA para las CA en las secciones posteriores. Si se utilizan alias, los puntos de publicacin de CA se pueden mover fcilmente a otros servidores o ubicaciones de red sin que sea necesario volver a emitir los certificados de CA.
    Otros elementos de configuracin y componentes del sistema operativo

    Adems de los pasos de configuracin descritos hasta ahora, hay otros elementos recomendados que requieren atencin, entre los que se incluyen: Servicio de actualizacin de certificados raz. El servicio de actualizacin de certificados raz debe estar deshabilitado, ya que no es recomendable que se actualice automticamente la confianza de la raz de las CA. Para quitar este servicio, ejecute lo siguiente en un smbolo del sistema:

    s y s o c m g r/ i : s y s o c . i n f/ u : C : \ M S S S c r i p t s \ O C _ R e m o v e R o o t U p d a t e . t x t

    El archivo OC_RemoveRootUpdate.txt contiene las siguientes lneas:

    [ C o m p o n e n t e s ] r o o t a u t o u p d a t e=o f f

    Asegrese de que la CA raz no tiene conectividad de red y de que la CA emisora no tiene conectividad de entrada ni de salida a Internet. Compruebe si se necesitan Service Pack y actualizaciones adicionales debido a la instalacin de IIS. Instale las herramientas de soporte de Windows Server 2003. Aunque no son necesarias, es muy til contar con estas herramientas para realizar ciertas operaciones de CA y solucionar problemas generales. Instale CAPICOM. Es necesario que CAPICOM 2.1 se encuentre en la CA raz y la CA emisora para algunos de los scripts de configuracin y administracin que se facilitan con esta gua. Para obtener ms informacin sobre CAPICOM y un vnculo a la ubicacin de descarga, vaya a la pgina http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=860ee43a-a843-462f-abb5ff88ea5896f6.
    Preparacin de Active Directory para la PKI

    Los requisitos fundamentales que debe cumplir una infraestructura de dominio de Active Directory que se describen en esta seccin se basan en una arquitectura de Microsoft Windows Server 2003 Active Directory. Si la implementacin de Active Directory en uso se basa en Windows 2000, es posible que los requisitos sean diversos. Para obtener ms informacin sobre los requisitos adicionales de una estructura de dominio basada en Windows 2000, consulte el artculo Cmo elevar los niveles funcionales de dominio y bosque en Windows Server 2003 en http://support.microsoft.com/kb/322692. Esta solucin tambin exige un nivel funcional mnimo de dominio en el modo nativo de Windows 2000, al menos para el dominio en el que se van a instalar los servidores de CA. Este requisito existe porque la solucin utiliza grupos universales de Active Directory, que estn disponibles en el modo nativo de Windows 2000 y posteriores. Creacin de la PKI y los grupos de administracin de CA Esta solucin define varios grupos de seguridad que se corresponden con funciones administrativas independientes. Este enfoque proporciona un alto grado de control sobre la delegacin de la administracin de CA si se utiliza junto con principios de seguridad de menos privilegios. Sin embargo, no hay ningn otro motivo que exija su utilizacin si no se corresponden con un determinado modelo administrativo de la organizacin. Para crear grupos de administracin de CA en un dominio 1. Inicie sesin en un equipo miembro del dominio con una cuenta con permisos para crear objetos de usuario y grupo en el contenedor Usuarios. 2. Ejecute el siguiente comando para crear los grupos de administracin de CA del dominio:

    C s c r i p t/ / j o b : C e r t D o m a i n G r o u p sC : \ M S S S c r i p t s \ c a _ s e t u p . w s f

    C s c r i p t/ / j o b : C e r t D o m a i n G r o u p sC : \ M S S S c r i p t s \ c a _ s e t u p . w s f

    Este script crear los grupos de seguridad que se indican en la siguiente tabla. Estos grupos se crean como grupos universales en el contenedor Usuarios del dominio y se pueden mover a una unidad organizativa ms adecuada si as lo requiere cualquier directiva vigente de la organizacin. Tabla 10. Nombres y funciones de los grupos Nombre del grupo Administradores de PKI de empresa Publicadores de PKI de empresa Administradores de CA Funcin Administradores del contenedor de configuracin Servicios de clave pblica.

    Pueden publicar CRL y certificados de CA en el contenedor de configuracin Empresa. Tienen funciones administrativas completas sobre la CA, incluida la capacidad de determinar la pertenencia de otras funciones. Administran la emisin y revocacin de certificados.

    Administradores de certificados Auditores de CA Operadores de copia de seguridad de CA

    Administran los datos de auditora de la CA. Tienen permisos para hacer copias de seguridad y restauraciones de los datos y las claves de CA.

    Los procedimientos de configuracin que se describen en el resto del documento requieren el uso de cuentas que sean miembro de Administradores de PKI de empresa, Publicadores de PKI de empresa y Administradores de CA. Por tanto, es necesario rellenar estos grupos con las cuentas adecuadas antes de continuar. Si slo hay una persona responsable de todas las funciones relacionadas con CA, se puede asignar una sola cuenta a todos los grupos; sin embargo, en la mayora de las empresas existe un cierto grado de separacin de las funciones y tareas entre el personal, aunque no sea tan compleja como la que se indica en la tabla anterior. Para aquellas empresas con una separacin simplificada de tareas, el siguiente grfico ofrece las divisiones de responsabilidad ms comunes. Tabla 11. Modelo de administracin simplificado Funcin administrativa Administrador de CA Pertenencia a grupos Administradores de PKI de empresa, Administradores de CA, Administradores de certificados, Administradores Auditores de CA, Administradores Operadores de copia de seguridad de CA

    Auditor de CA Operador de copia de seguridad de CA

    Estructura propuesta para las unidades organizativas del dominio

    Hay varias cuentas de usuario y grupos que se asociarn a la administracin y operacin de una PKI. En funcin de las directivas establecidas vigentes, puede que sea necesario organizar estos grupos y usuarios en una estructura de unidades organizativas especfica. Como esta estructura puede regirse por instrucciones de la empresa ya existentes, a continuacin se ofrece una propuesta de estructura que puede modificarse si es necesario. Para crear una jerarqua de unidades organizativas de Servicios de Certificate Server 1. Inicie sesin con una cuenta que tenga permisos para crear unidades organizativas y delegar permisos dentro de esas unidades organizativas. 2. Cree una estructura de unidades organizativas que se base en lo indicado en la siguiente tabla: Tabla 12. Ejemplo de estructura de unidades organizativas Unidad organizativa Servicios de Certificate Server \-Administracin de Servicios de Certificate Server \-Administracin de plantillas de certificados \-Inscripcin de plantillas de certificados \-Usuarios de prueba de Servicios de Certificate Server Contiene grupos que tienen permisos de inscripcin o inscripcin automtica de las plantillas con el mismo nombre. El control de estos grupos se puede delegar al personal adecuado sin modificar las propias plantillas. Contiene cuentas de prueba temporales.

    Funcin

    Unidad organizativa principal

    Contiene grupos administrativos para administrar las CA y la configuracin de la PKI de empresa.

    Contiene grupos para administrar las plantillas de certificados individuales.

    3. Conceda permisos al grupo Administradores de PKI de empresa para crear y eliminar grupos de la unidad organizativa de Servicios de Certificate Server y sus contenedores secundarios. Concesin de permisos al contenedor Servicios de clave pblica La seguridad del contenedor Servicios de clave pblica debe modificarse para que los Administradores de PKI de empresa puedan instalar las CA de empresa y configurar las plantillas de certificados, sin que sea necesario que las cuentas de este grupo formen parte del grupo Administradores de empresa. Tambin es necesario permitir a los Publicadores de PKI de empresa publicar listas de revocacin de certificados y certificados de CA sin tener derechos de Administradores de empresa. Para realizar los siguientes cambios, es necesario utilizar una cuenta equivalente a Administradores de empresa de Active Directory. Para conceder permisos al grupo Administradores de PKI de empresa

    1. Inicie sesin como miembro del grupo de seguridad Administradores de empresa. 2. En el complemento MMC de Sitios y servicios de Active Directory, expanda el nodo Servicios del men Ver y, a continuacin, busque el subcontenedor Servicios de clave pblica y abra sus propiedades. 3. En la ficha Seguridad, agregue el grupo de seguridad Administradores de PKI de empresa y conceda el permiso Control total a este grupo. 4. En Vista avanzada, edite los permisos de este grupo para garantizar que se aplica el permiso Control total a este objeto y todos los objetos secundarios. 5. Seleccione el contenedor Servicios y abra sus propiedades. 6. En la ficha Seguridad, agregue el grupo de seguridad Administradores de PKI de empresa y conceda el permiso Control total a este grupo. 7. En Vista avanzada, edite los permisos de este grupo para garantizar que se aplica el permiso Control total slo a este objeto. Para conceder permisos al grupo Publicadores de PKI de empresa 1. Inicie sesin como miembro del grupo de seguridad Administradores de empresa. 2. En el complemento MMC de Sitios y servicios de Active Directory, expanda el nodo Servicios y abra las propiedades del contenedor Servicios de clave pblica\AIA. 3. En la ficha Seguridad, agregue el grupo de seguridad Publicadores de PKI de empresa y conceda los siguientes permisos a este grupo: Leer Escribir Crear todos los objetos secundarios Eliminar todos los objetos secundarios 4. En Vista avanzada, edite los permisos de este grupo para garantizar que se aplican los permisos a este objeto y a todos los objetos secundarios. 5. Repita los pasos del 2 al 4 para los siguientes contenedores: Servicios de clave pblica\CDP Servicios de clave pblica\Entidades de certificacin Concesin de permisos al grupo Publicadores de certificados Todas las cuentas de equipos de CA de empresa del dominio residirn en el grupo de seguridad Publicadores de certificados. Este grupo se utilizar para aplicar permisos a los objetos de usuario y equipo, as como a los objetos del contenedor CDP que se han mencionado en el procedimiento anterior. Siempre que se instale una CA, se deber agregar la cuenta de equipo a este grupo.

    cuenta de equipo a este grupo. Para permitir que los miembros del grupo Administradores de PKI de empresa instalen CA de empresa, se deben cambiar los permisos de este grupo. Para conceder permisos para modificar la pertenencia a grupos al grupo Publicadores de certificados 1. Inicie sesin como miembro del grupo Administradores de dominio para el dominio en el que se van a instalar las CA emisoras. 2. Abra el complemento MMC de Usuarios y equipos de Active Directory. 3. En el men Ver de MMC, asegrese de seleccionar Caractersticas avanzadas. 4. Busque el grupo Publicadores de certificados (de forma predeterminada, en el contenedor Usuarios) y vea las propiedades del grupo. 5. En la ficha Seguridad, agregue el grupo Administradores de PKI de empresa y haga clic en el botn Configuracin avanzada. 6. Seleccione el grupo Administradores de PKI de empresa en la lista y haga clic en el botn Modificar. 7. Seleccione la ficha Propiedades y asegrese de activar la opcin Slo este objeto en el cuadro Aplicar en. 8. Desplcese hacia abajo y haga clic en el cuadro Escribir miembros y, a continuacin, en la columna Permitir. 9. Guarde los cambios y cierre los cuadros de dilogo. Para ello, haga clic en Aceptar en cada uno de los cuadros de dilogo. 10. Reinicie el servidor de la CA emisora antes de instalar el componente Servicios de Certificate Server. Al reiniciar, el servidor puede asumir la pertenencia al nuevo grupo en el token de acceso. Concesin de permisos de restauracin al grupo Administradores de PKI de empresa El proceso de instalacin de Servicios de Certificate Server requiere el derecho de usuario Restaurar archivos y directorios en el dominio en el que se colocar la CA de empresa. En concreto, este derecho es necesario para permitir descriptores de seguridad en las plantillas y en otros de objetos de directorio que se van a combinar, y conceder de este modo los permisos correctos a los objetos de PKI del dominio. Los grupos integrados del dominio Administradores, Opers. de servidores y Operadores de copia de seguridad tienen este derecho de forma predeterminada. Como el grupo Administradores de PKI de empresa se utilizar para instalar la CA, es necesario conceder el derecho de usuario Restaurar archivos y directorios a este grupo. Para conceder derechos de restauracin al grupo Administradores de PKI de empresa 1. Inicie sesin como miembro del grupo Administradores de dominio en el dominio en el que se instalar la CA emisora. 2. Abra el complemento MMC de Usuarios y equipos de Active Directory. 3. Seleccione la unidad organizativa Controladores de dominio y abra las propiedades de dicha unidad organizativa. 4. En la ficha Directiva de grupo, seleccione GPO de Directiva predeterminada de controladores de dominio y, a continuacin, haga clic en Editar.

    5. Vaya a Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas locales\Asignacin de derechos de usuario y haga doble clic en Restaurar archivos y directorios. 6. Agregue el grupo Administradores de PKI de empresa a la lista mostrada. 7. Cierre el cuadro de dilogo y el MMC de edicin del objeto de directiva de grupo (GPO). Nota Si hay otros GPO que configuran el derecho de usuario Recuperar archivos y directorios en los controladores de dominio, se debe llevar a cabo este procedimiento en el GPO con la mxima prioridad en lugar de en la directiva predeterminada de controladores de dominio. La configuracin de los derechos de usuario no es acumulativa y slo ser vlida en el ltimo GPO aplicado que tenga configurado este derecho.
    Implementacin de un servidor de CA raz

    Como se ha mencionado con anterioridad, esta gua no ofrece instrucciones paso a paso para instalar Windows Server 2003, ya que la mayora de las empresas ya tienen un proceso documentado de creacin de servidores. Sin embargo, los servidores de CA raz son en cierto modo distintos de otros servidores porque nunca se deben conectar a una red con el fin de garantizar que nunca se van a poner en peligro. Por tanto, es importante asegurarse de que el servidor de CA raz no est conectado a la red durante el proceso de creacin, as como que los adaptadores de red estn deshabilitados en un determinado momento para garantizar que no se realice nunca una conexin por error. Tambin es importante tener en cuenta que, puesto que el servidor no se conectar a la red, residir en un grupo de trabajo cuyo nombre se debe seleccionar y documentar antes de la instalacin. Nota Aunque la CA raz se cree y se mantenga desconectada, es importante que su nombre sea nico en el entorno de red. Archivo CAPolicy.inf Despus de hacerse con el hardware de servidor necesario para el servidor de CA raz y de instalar el sistema operativo, el siguiente paso debe ser la creacin de un archivo capolicy.inf. El archivo capolicy.inf se necesita para crear una CA raz porque especifica caractersticas del certificado autofirmado de la CA raz, como la longitud de la clave y el perodo de validez del certificado. La informacin de CRL y AIA no se necesita para un certificado de CA raz, por lo que los parmetros CRLDistributionPoint y AuthorityInformationAccess se configuran como Empty en el archivo capolicy.inf. Para crear un archivo CAPolicy.inf 1. Mediante un editor de texto, como el Bloc de notas, cree un archivo de texto sin formato que incluya el siguiente texto:

    [ v e r s i o n ] S i g n a t u r e = $ W i n d o w sN T $ [ C e r t s r v _ s e r v e r ] R e d n e w a l K e y L e n g t h = 4 0 9 6 R e n e w a l V a l i d i t y P e r i o d = Y e a r s R e n e w a l V a l i d i t y P e r i o d U n i t s = 1 6 [ C R L D i s t r i b u t i o n P o i n t ]

    E m p t y = t r u e [ A u t h o r i t y I n f o r m a t i o n A c c e s s ] E m p t y = t r u e

    2. Si esta CA tiene definida una declaracin de prcticas de certificacin (CPS), incluya el siguiente texto en el archivo capolicy.inf y sustituya los valores en cursiva por los especficos de esta implementacin:

    [ C A P o l i c y ] P o l i c i e s = n o m b r ed el aC P Sd el ae m p r e s a [ n o m b r ed el aC P Sd el ae m p r e s a ] O I D = O I D . d e . l a . e m p r e s a U R L = h t t p : / / w w w . u r l D e L a E m p r e s a . c o m / n o m b r e D e L a P g i n a D e C p s . h t m

    3. Guarde este archivo de texto como %windir%\Capolicy.inf (sustituya %windir% por la ruta absoluta de la carpeta en la que est instalado Windows; por ejemplo, C:\Windows). Para realizar este paso, se debe utilizar la cuenta del administrador o una cuenta con permisos equivalentes para guardar el archivo en la carpeta de Windows. Instalacin de los componentes de software de Servicios de Certificate Server Utilice el Asistente para componentes de Windows para instalar los componentes de software de CA. Tenga en cuenta que los medios de instalacin de Windows Server 2003 deben ser accesibles para que se pueda realizar la instalacin. Para instalar Servicios de Certificate Server 1. Inicie sesin como miembro del grupo local Administradores y ejecute el administrador de componentes opcionales o, en el Panel de control, abra Agregar o quitar programas o bien Agregar o quitar componentes de Windows.

    s y s o c m g r/ i : s y s o c . i n f

    2. Seleccione el componente Servicios de Certificate Server (haga clic en S para omitir la advertencia de cambio de nombre). 3. Seleccione Entidad emisora de certificados raz independiente como tipo de CA y asegrese de activar la casilla Usar la configuracin personalizada. 4. Deje los valores predeterminados en el cuadro de dilogo Pareja de claves pblica y privada, excepto en los campos Longitud de la clave , que debe configurarse como 4096, y Tipo de proveedor de servicios de cifrado, que debe establecerse como Microsoft Strong Cryptographic Provider. 5. Especifique la informacin de identificacin de la entidad de certificacin, tal como se ha recopilado en la fase de

    5. Especifique la informacin de identificacin de la entidad de certificacin, tal como se ha recopilado en la fase de requisitos, en los siguientes campos: Nombre comn para esta entidad emisora de certificados: Sufijo de nombre completo: Perodo de validez: 8 aos En este momento, el proveedor de servicios de cifrado (CSP) genera el par de claves y las escribe en el almacn de claves del equipo local. Nota Si se instal una CA previamente en el sistema, aparecer un cuadro de dilogo para advertirle de que se puede sobrescribir la clave privada de la instalacin anterior. Antes de continuar, asegrese de que no va a volver a necesitar esta clave. 6. Deje los valores predeterminados para las ubicaciones de la base de datos de certificados, los registros de la base de datos y la carpeta de configuracin. En ese momento, el administrador de componentes opcionales instalar los componentes de Servicios de Certificate Server y se necesitarn los medios de instalacin de Windows Server 2003. 7. Haga clic en Aceptar para rechazar las advertencias sobre IIS y contine la instalacin hasta que finalice. Configuracin de las propiedades de la CA raz Al configurar la CA raz, se utilizarn varios parmetros especficos del entorno, tal como se describe en esta seccin. Antes de continuar, se deben haber recopilado estos parmetros tal como se ha descrito anteriormente en la seccin de informacin necesaria de esta gua. Para configurar las propiedades de la CA raz 1. Inicie sesin en el servidor de CA como miembro del grupo local Administradores. 2. Personalice el script C:\MSSScripts\pkiparams.vbs de modo que incluya lo siguiente: Cambie el valor del parmetro AD_ROOT_DN para que coincida con el DN del dominio raz del bosque de Active Directory. Cambie el parmetro HTTP_PKI_VROOT para que coincida con la ruta HTTP de acceso al directorio virtual de IIS configurado anteriormente. 3. Ejecute el siguiente script:

    C s c r i p t/ / j o b : R o o t C A C o n f i gC : \ M S S S c r i p t s \ c a _ s e t u p . w s f

    Configuracin de las funciones administrativas Es necesario asignar los grupos de seguridad creados anteriormente a las funciones administrativas, como auditor y administrador de certificados, que se vayan a utilizar. Nota Aunque la mayora de las medianas empresas probablemente utilicen el modelo de delegacin simplificado que se ha mencionado anteriormente en esta gua, aqu se muestra un modelo ms flexible por si se necesita una separacin de

    funciones mayor. Para configurar las funciones administrativas de una CA raz 1. En la Consola de administracin de entidades de certificacin, haga clic en Propiedades. 2. Haga clic en la ficha Seguridad y agregue los grupos de seguridad locales que figuran en la siguiente tabla, adems del permiso mostrado para cada uno de ellos. Tabla 13. Entradas de permiso de CA Grupo Administradores de CA Administradores de certificados Permiso Administrar entidad emisora Emitir y administrar certificados Permitir o denegar Permitir Permitir

    3. Otras funciones de seguridad de CA ya se han definido para este servidor mediante la directiva de seguridad aplicada anteriormente. Transferencia del certificado y la CRL de la CA raz al disco El certificado y la CRL de la CA raz deben copiarse de la CA para que se puedan publicar en Active Directory y en el servidor de publicacin de certificados IIS y CRL. Aunque en este ejemplo se menciona el uso de un disco, se puede utilizar cualquier medio porttil, incluidas las unidades USB. Para copiar el certificado y la CRL de la CA raz en el disco 1. Inicie sesin en la CA raz como miembro del grupo local Administradores de CA e inserte el medio porttil en el servidor. 2. Ejecute el siguiente script para copiar el certificado de CA en el disco:

    C s c r i p t/ / j o b : G e t C A C e r t sC : \ M S S S c r i p t s \ C A _ O p e r a t i o n s . w s f

    3. Ejecute el siguiente script para copiar la CRL de CA en el disco:

    C s c r i p t/ / j o b : G e t C R L sC : \ M S S S c r i p t s \ C A _ O p e r a t i o n s . w s f

    4. Etiquete, feche y conserve este disco para futuros usos.


    Publicacin de la informacin de la CA raz

    Antes de instalar la CA emisora, es necesario publicar el certificado de la CA raz en el almacn raz de confianza de

    Antes de instalar la CA emisora, es necesario publicar el certificado de la CA raz en el almacn raz de confianza de Active Directory, y la CRL raz, en el contenedor CDP de Active Directory. Este proceso provocar que todos los miembros del dominio importen el certificado de la CA raz en sus propios almacenes raz de confianza, lo que les permitir comprobar el estado de revocacin de los certificados emitidos por la CA raz. Se recomienda utilizar la CA emisora para realizar este procedimiento, ya que tiene instalados los archivos y las bibliotecas Certutil.exe, certadm.dll y certcli.dll necesarios. No obstante, se puede utilizar cualquier servidor miembro que tenga instalados el archivo certutil.exe y los archivos DLL auxiliares en el sistema basado en Windows Server 2003. Para publicar el certificado y la CRL de la CA raz en Active Directory 1. Inicie sesin en un equipo miembro del dominio que cumpla los requisitos indicados anteriormente como miembro del grupo Administradores de PKI de empresa e inserte el disco creado para almacenar el certificado y la CRL de la CA raz. 2. Ejecute la siguiente secuencia de comandos para publicar el certificado de la CA en Active Directory:

    C s c r i p t/ / j o b : P u b l i s h C e r t s t o A DC : \ M S S S c r i p t s \ C A _ O p e r a t i o n s . w s f

    3. Ejecute la siguiente secuencia de comandos para publicar la CRL en Active Directory:

    C s c r i p t/ / j o b : P u b l i s h C R L s t o A DC : \ M S S S c r i p t \ C A _ O p e r a t i o n s . w s f

    Publicacin del certificado y la CRL de la CA raz en el servidor web Es necesario realizar esta tarea porque las versiones de HTTP de las URL de CDP y AIA estn especificadas en las extensiones de los certificados emitidos por esta CA. Si estas extensiones estn presentes, las CRL y los certificados que se publiquen deben incluirlas en las URL configuradas. Nota Este procedimiento no depende de si el servidor web de publicacin de CDP y AIA se encuentra en la CA emisora. Sin embargo, se considera que el directorio virtual coincide con el establecido anteriormente para configurar IIS (C:\CAWWWPub). Si se seleccion otra ruta, ser necesario modificar el valor WWW_LOCAL_PUB_PATH en el script PKIParams.vbs. Para publicar el certificado y la CRL de la CA raz en la URL del servidor web 1. Inicie sesin en el servidor web como administrador local o con una cuenta equivalente. 2. Asegrese de insertar el disco que contiene el certificado y la CRL de la CA raz. 3. Ejecute el siguiente script para publicar el certificado de la CA en la carpeta del servidor web:

    C s c r i p t/ / j o b : P u b l i s h R o o t C e r t t o I I S C : \ M S S S c r i p t s \ C A _ O p e r a t i o n s . w s f

    4. Ejecute el siguiente script para publicar las CRL de la CA en la carpeta del servidor web:

    C s c r i p t/ / j o b : P u b l i s h R o o t C R L s t o I I S C : \ M S S S c r i p t s \ C A _ O p e r a t i o n s . w s f

    Implementacin del servidor de la CA emisora

    Una vez instalada la CA raz y publicados los certificados correspondientes, se puede implementar el servidor de la CA emisora. La instalacin de Servicios de Certificate Server conlleva un complejo conjunto de interacciones entre la CA emisora, la CA raz, Active Directory y el servidor web. Es posible que sea ms sencillo comprender estas interacciones si se utiliza el siguiente diagrama como referencia.

    Figura 5. Proceso de instalacin de certificados Las interacciones numeradas que aparecen en este diagrama son:

    1. Publicar el certificado y la CRL de la CA raz en Active Directory mediante medios extrables. 2. Publicar el certificado y la CRL de la CA raz en el servidor web mediante medios extrables. 3. Instalar el software Servicios de Certificate Server, que genera una peticin de certificado que tendr que entregarse a la CA raz mediante medios extrables y donde se emitir un certificado basado en dicha peticin. 4. Instalar el certificado de la CA emisora correspondiente mediante medios extrables. 5. Publicar el certificado y la CRL de la CA emisora en el servidor web. x. Este paso se ejecuta automticamente durante la rutina de instalacin de la CA de empresa. Preparacin del archivo Capolicy.inf para la CA emisora Aunque la CA emisora no necesita el archivo CAPolicy.inf, ste es necesario si se debe cambiar el tamao de la clave que utiliza la CA. Este archivo se debe crear antes de instalar la CA emisora, aunque posteriormente se pueda agregar otro y, a continuacin, renovar el certificado de la CA, si es necesario. Para crear un archivo CAPolicy.inf 1. Inicie sesin en el servidor de la CA emisora con la cuenta local Administrador o con una cuenta equivalente. 2. Utilice un editor de texto, como el Bloc de notas, para crear un archivo de texto sin formato que incluya la siguiente informacin:

    [ V e r s i o n ] S i g n a t u r e = $ W i n d o w sN T $ [ C e r t s r v _ S e r v e r ] R e n e w a l K e y L e n g t h = 2 0 4 8

    3. Si se define una CPS para esta CA, incluya las siguientes lneas en el archivo Capolicy.inf:

    [ C A P o l i c y ] P o l i c i e s = n o m b r e D e L a D i r e c t i v a [ n o m b r e D e L a D i r e c t i v a ] O I D = O I D . d e . l a . o r g a n i z a c i n U R L = h t t p : / / U R L . d e . l a . o r g a n i z a c i n / p g i n a D e C P S . h t m

    Nota Los elementos en cursiva se deben reemplazar por la informacin especfica de la organizacin. 4. Guarde el archivo como %windir%\Capolicy.inf (reemplace %windir% por la ruta absoluta de la carpeta de

    instalacin de Windows; por ejemplo, C:\Windows). Instalacin de los componentes de software de Servicios de Certificate Server Al igual que en la instalacin de Servicios de Certificate Server en la CA raz, en este paso tambin ser necesario usar los medios de instalacin de Windows Server 2003 junto con el Asistente para componentes de Windows. Para instalar Servicios de Certificate Server 1. Inicie sesin en la CA emisora como miembro del grupo local Administradores o con una cuenta equivalente y ejecute el administrador de componentes opcional:

    s y s o c m g r/ i : s y s o c . i n f

    2. Seleccione el componente Servicios de Certificate Server y haga clic en Aceptar para omitir el cuadro de mensaje de advertencia de cambio de nombre. 3. Seleccione Entidad emisora subordinada de la empresa como tipo de CA y asegrese de activar la casilla de verificacin Usar la configuracin personalizada. 4. Deje los valores predeterminados en el cuadro de dilogo Pareja de claves pblica y privada, excepto en los siguientes campos: Longitud de la clave: 2.048 bits Tipo de proveedor de servicios de cifrado: Microsoft Strong Cryptographic Provider 5. Especifique la informacin de identificacin de la entidad de certificacin del siguiente modo: Nombre comn para esta entidad emisora de certificados Sufijo de nombre completo Perodo de validez: (segn lo determine la CA principal) 6. En este momento, el proveedor de servicios de cifrado (CSP) generar un par de claves y las escribir en el almacn de claves del equipo local. 7. Especifique las ubicaciones de la base de datos de certificados, los registros de la base de datos y la configuracin, tal como se propone a continuacin: Base de datos de certificados: D:\CertLog Registro de la base de datos de certificados: %windir%\System32\CertLog Carpeta compartida: Deshabilitada Los registros y la base de datos de la CA se deben almacenar en volmenes fsicamente independientes, siempre que sea posible, por motivos de rendimiento y resistencia. La base de datos de certificados y los registros de la base de datos deben residir en unidades locales con formato NTFS.

    de datos deben residir en unidades locales con formato NTFS. 8. Llegados a este punto, se genera un archivo de peticiones de certificados que debe copiarse en un disco. El administrador de componentes opcionales instalar a continuacin los componentes de Servicios de Certificate Server que necesitan tener acceso a los medios de instalacin de Windows Server 2003. 9. Haga clic en Aceptar para omitir la advertencia sobre IIS y contine con la instalacin hasta que finalice. El Asistente para configuracin mostrar el aviso de que, antes de continuar, se necesita un certificado de la CA principal. Envo de la peticin de certificado a la CA raz En este momento, la peticin de certificado de la CA emisora se debe enviar a la CA raz para solicitarle que firme la peticin y emita un certificado a la CA emisora. Para enviar la peticin de certificado a la CA raz 1. Inicie sesin en la CA raz con la cuenta de un miembro del grupo Administradores de certificados. 2. Asegrese de que el disco utilizado para almacenar el archivo de la peticin de certificado est insertado en la unidad. 3. En el men Tareas de CA de la Consola de administracin de entidades de certificacin, seleccione Enviar solicitud nueva y, a continuacin, enve la peticin transferida desde la CA emisora. 4. Busque el certificado que se acaba de emitir en el contenedor Certificados emitidos y bralo. 5. Compruebe que los detalles del certificado son correctos y, a continuacin, exporte el certificado a un archivo. Para ello, haga clic en Copiar en archivo. Guarde este archivo en un disco como un archivo PKCS#7 y seleccione la opcin de incluir todos los posibles certificados en la cadena. Actualizacin de la informacin del certificado en la CA emisora El certificado de la CA raz ya se ha publicado en el almacn raz de confianza de Active Directory y ahora es necesario comprobar que la CA emisora ha descargado esta informacin y ha colocado el certificado en su propio almacn raz. Para actualizar y comprobar la informacin de confianza del certificado en la CA emisora 1. Inicie sesin en la CA emisora con la cuenta local Administrador o con una cuenta equivalente. 2. Ejecute lo siguiente en un smbolo del sistema:

    c e r t u t i l p u l s e

    Este comando har que la CA descargue la nueva informacin raz de confianza del directorio y coloque el certificado de la CA raz en su propio almacn raz de confianza. Aunque este paso no es necesario, sirve para comprobar que los pasos de publicacin anteriores se realizaron correctamente antes de continuar. 3. Ejecute mmc.exe y agregue el complemento Certificados.

    4. Seleccione Cuenta de equipo como el almacn de certificados que desea administrar. 5. Asegrese de que el certificado de la CA raz se encuentra en la carpeta Entidades emisoras de certificados raz de confianza. Instalacin del certificado en la CA emisora La respuesta firmada de la CA raz se ha creado como un paquete de certificados PKCS#7 y est preparada para su instalacin en la CA emisora. Para publicar el certificado de la CA en el almacn NTAuth de Active Directory, que identifica a la CA como una CA de empresa, es necesario instalar el certificado de la CA con una cuenta que sea miembro tanto del grupo Administradores de PKI de empresa como del grupo local Administradores en la CA emisora. El primer grupo tiene derechos para instalar el certificado de la CA en el directorio, y el segundo, para instalar el certificado en el servidor de la CA. Si se utiliza el modelo de administracin simple mencionado anteriormente, la funcin Administradores de CA ya es miembro de ambos grupos. Para instalar el certificado de la CA emisora 1. Inicie sesin en la CA emisora con una cuenta que sea miembro tanto del grupo Administradores de PKI de empresa como del grupo local Administradores. 2. Inserte el disco que contiene el certificado firmado emitido por la CA raz. 3. Seleccione Instalar certificado en el men Tareas de CA en la Consola de administracin de entidades de certificacin para instalar el certificado de la CA emisora desde el disco. La CA debe iniciarse en este momento. Configuracin de las propiedades de la CA emisora Mediante el siguiente procedimiento se configurarn los parmetros especficos del entorno que se han recopilado en la seccin de requisitos de la CA emisora. Antes de continuar con este paso, es importante asegurarse de que la informacin especfica de la organizacin (recopilada en los pasos de requisitos) se ha insertado en el archivo C:\MSSScripts\pkiparams.vbs de la CA raz y de que estos cambios tambin se han transferido a la CA emisora. Para configurar las propiedades de la CA emisora 1. Inicie sesin en el servidor de la CA emisora como miembro del grupo local Administradores. 2. Compruebe que los cambios realizados en el archivo C:\MSSScripts\pkiparams.vbs coinciden con los valores especficos del entorno que se han descrito anteriormente en esta seccin. 3. Ejecute el siguiente script:

    C s c r i p t/ / j o b : I s s C A C o n f i gC : \ M S S S c r i p t s \ c a _ s e t u p . w s f

    Configuracin de las funciones administrativas de la CA emisora Para utilizar las funciones administrativas descritas en esta gua, es necesario asignarlas a grupos de seguridad. Como se ha mencionado anteriormente, aunque las funciones simplificadas sean suficientes para la mayora de las medianas empresas,

    mencionado anteriormente, aunque las funciones simplificadas sean suficientes para la mayora de las medianas empresas, con este proceso se implementarn funciones detalladas para ofrecer una flexibilidad mxima y una separacin de responsabilidades. Para configurar funciones en la CA emisora 1. Inicie sesin en el servidor de la CA emisora como miembro del grupo local Administradores. 2. Haga clic en Propiedades en la Consola de administracin de entidades de certificacin para editar las propiedades de la CA. 3. Haga clic en la ficha Seguridad y agregue los grupos de seguridad de dominio que figuran en la siguiente tabla, as como los permisos mostrados para cada uno de ellos. Tabla 14. Permisos de la CA emisora Grupo Administradores de CA Administradores de certificados Permiso Administrar entidad emisora Emitir y administrar certificados Permitir o denegar Permitir Permitir

    4. El grupo Auditores de CA se debe agregar al grupo local Administradores, aunque este grupo ya se haya definido de forma parcial mediante la directiva de seguridad aplicada anteriormente.
    Publicacin de la informacin de la CA emisora

    Aunque los certificados y las CRL se publican automticamente desde la CA emisora en Active Directory, no ocurre as con la publicacin del certificado de CA y las CRL en las rutas HTTP de CDP y AIA. Para automatizar la publicacin del certificado de CA en las rutas HTTP de CDP y AIA, debe existir un trabajo programado que realice esa tarea. Los certificados de CA se actualizan en raras ocasiones, por lo que se pueden publicar en AIA de forma manual si se sigue el siguiente proceso. Para publicar el certificado de la CA emisora 1. Inicie sesin en la CA emisora con una cuenta que tenga permisos de escritura en la carpeta del servidor web de publicacin. 2. Actualice el parmetro WWW_REMOTE_PUB_PATH del archivo C:\MSSScripts\PKIParams.vbs para que coincida con la ruta de destino de la carpeta del servidor web. 1. Si el servidor web se encuentra en un servidor remoto, asegrese de que la carpeta del servidor web est compartida y registre esa ruta UNC para la carpeta compartida. 2. Si el servidor web se encuentra en el mismo servidor que la CA, registre la ruta local a esa carpeta (el valor predeterminado es la ruta local C:\CAWWWPub). 3. Ejecute el siguiente script para publicar el certificado de CA en el servidor web:

    C s c r i p t/ / j o b : P u b l i s h I s s C e r t s T o I I S C : \ M S S S c r i p t s \ C A _ O p e r a t i o n s . w s f

    Nota Este procedimiento se ha diseado para servidores web internos. Si los certificados se van a publicar en un servidor web de Internet, ser necesario llevar a cabo pasos adicionales porque esta solucin se basa en el uso compartido de archivos de la red de Windows, que suele estar bloqueado en los firewall para Internet. Las CRL se publican con ms frecuencia que los certificados de CA, por lo que es necesario utilizar un mtodo automtico para publicarlas en el servidor web. Para automatizar la publicacin de las CRL 1. Inicie sesin en la CA emisora con una cuenta que sea miembro del grupo local Administradores. 2. Asegrese de que la carpeta del servidor web es accesible desde este servidor. 3. Si el servidor web es remoto, la CA emisora necesitar disponer de acceso con permiso de escritura a la carpeta del sistema de archivos (permitir Modificar acceso) y al recurso compartido (permitir Cambiar acceso). Si el servidor web remoto es miembro del bosque, se debe utilizar el grupo Publicadores de certificados para conceder acceso con el fin de garantizar que cualquier CA de empresa puede publicar certificados y CRL. 4. Cree un trabajo programado para copiar las CRL. Para ello, ejecute el siguiente comando: Nota Algunas partes del siguiente fragmento de cdigo se han dispuesto en varias lneas nicamente para facilitar su lectura. Deben especificarse en una sola lnea.

    s c h t a s k s/ c r e a t/ t n P u b l i s hC R L s / t r c s c r i p t . e x e/ / j o b : P u b l i s h I s s C R L s T o I I SC : \ M S S S c r i p t s \ C A _ O p e r a t i o n s . w s f / s cH o u r l y/ r u S y s t e m

    Eliminacin de plantillas no deseadas de la CA emisora Suele ser una prctica recomendada quitar las plantillas correspondientes a cualquier tipo de certificado que no se va a utilizar para que no se puedan emitir por error. Estas plantillas se pueden volver a crear fcilmente si es necesario, ya que siempre estn disponibles en el directorio. Para quitar plantillas no deseadas de la CA emisora 1. Inicie sesin como miembro del grupo de dominio Administradores de CA. 2. Seleccione el contenedor Plantillas de certificado en la Consola de administracin de entidades de certificacin. 3. Quite los siguientes tipos de plantilla: Agente de recuperacin de EFS EFS bsico

    EFS bsico Servidor Web Equipo Usuario Entidad emisora de certificados subordinada Administrador
    Autenticacin de Internet

    Esta seccin incluye informacin detallada que le ayudar a implementar una infraestructura RADIUS compatible con la solucin WLAN segura proporcionada en esta gua. La infraestructura RADIUS implementada en esta gua se basa en el Servicio de autenticacin Internet (IAS) de Windows Server 2003.
    Diseo de la infraestructura RADIUS

    Las siguientes tablas se pueden utilizar como hojas de clculo en las que recopilar la informacin necesaria a la que se har referencia en la gua. Parte de esta informacin se ha configurado con los scripts proporcionados con esta gua o de forma manual, como se indica en las secciones correspondientes. Informacin de configuracin necesaria definida por el usuario La siguiente tabla incluye informacin que es especfica de cada organizacin. Antes de continuar, asegrese de que esta informacin se ha recopilado, se han tomado decisiones respecto a ella y se ha registrado. Tabla 15. Parmetros de configuracin definidos por el usuario Elemento de configuracin Nombre DNS del dominio raz del bosque de Active Directory Nombre NetBIOS del dominio Nombre del servidor IAS principal Nombre del servidor IAS secundario Informacin de configuracin necesaria definida por la solucin La siguiente tabla incluye parmetros que no deben cambiarse, excepto si hay una necesidad especfica para hacerlo. Asegrese de comprender completamente las repercusiones y dependencias que producen estos cambios y crear un plan antes de realizar cualquier modificacin, incluidos los cambios en los scripts que sean necesarios. Tabla 16. Parmetros de configuracin definidos por la solucin Elemento de configuracin Nombre completo del grupo administrativo que controla la configuracin de IAS Nombre completo del grupo que revisa los registros de solicitudes de cuentas y autenticacin IAS Parmetro Administradores de IAS Auditores de seguridad de IAS Parmetro

    Ruta de los scripts de instalacin Archivo por lotes de exportacin de configuracin IAS Archivo por lotes de importacin de configuracin IAS Archivo por lotes de exportacin de configuracin del cliente RADIUS IAS Archivo por lotes de importacin de configuracin del cliente RADIUS IAS Ruta de los archivos de copia de seguridad de configuracin Ubicacin de los registros de peticiones de auditora y autenticacin IAS Nombre del recurso compartido que contiene los registros de las peticiones RADIUS
    Implementacin del servidor IAS

    C:\MSSScripts IASExport.bat IASImport.bat IASClientExport.bat IASClientImport.bat D:\IASConfig D:\IASLogs IASLogs

    La solucin que se indica en las siguientes secciones est compuesta por dos servidores IAS ubicados de forma centralizada y configurados como servidores RADIUS para controlar el acceso a la WLAN. Tenga esto en cuenta esto y realice las siguientes tareas antes de continuar. El hardware de servidor se debe asignar y configurar. El sistema operativo del servidor se debe instalar y configurar para cada procedimiento organizativo establecido. Active Directory debe estar instalado y debe funcionar correctamente. Asimismo, se deben haber aplicado los procedimientos de proteccin del servidor organizativo y las aplicaciones adicionales que exijan las directivas establecidas. Instalacin de los scripts de configuracin Con esta solucin se proporcionan un gran nmero de scripts que facilitarn la implementacin. Estos scripts se deben instalar en todos los servidores antes de continuar y no deben eliminarse, ni siquiera despus de llevar a cabo los pasos descritos en esta gua. Para instalar los scripts de configuracin 1. Cree una carpeta denominada C:\MSSScripts. 2. Copie los scripts del origen de distribucin en la carpeta que acaba de crear. Requisitos adicionales del software de servidor Adems del sistema operativo del servidor y otras aplicaciones que pueden ser necesarias en virtud de una directiva de creacin de servidores establecida, se deben instalar el ejecutable CAPICOM 2.1 y las bibliotecas DLL auxiliares para que se admitan los scripts proporcionados en esta gua. Para obtener ms informacin sobre CAPICOM, incluida la ubicacin de descarga y las instrucciones de instalacin, vaya a http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6. Configuracin de los grupos de administracin de IAS

    Configuracin de los grupos de administracin de IAS El siguiente comando de script crear los grupos de seguridad Administradores de IAS y Auditores de seguridad de IAS:

    C s c r i p t/ / j o b : C r e a t e I A S G r o u p sC : \ M S S S c r i p t s \ I A S _ T o o l s . w s f

    En entornos de varios dominios, estos grupos se deben crear en el mismo dominio en el que residen los servidores IAS. Despus de crear los grupos necesarios, se deben configurar de modo que puedan realizar tareas de configuracin de IAS del siguiente modo: Agregue el grupo global de dominio Administradores de IAS al grupo local Administradores en todos los servidores IAS. Si se ha instalado IAS en los controladores de dominio, el grupo Administradores de IAS se debe agregar al grupo Administradores del dominio. Los grupos Administradores de IAS y Auditores de seguridad de IAS necesitan rellenarse con las cuentas de usuario correspondientes. Configuracin de los parmetros de seguridad del sistema del servidor Como se ha mencionado anteriormente, en esta gua se asume que en la mayora de las medianas empresas hay establecidos procedimientos y directivas de proteccin de los servidores. Por este motivo, no se proporcionan instrucciones detalladas sobre el proceso de garantizar la seguridad de los servidores que necesita esta solucin. Si no se han establecido directivas o procedimientos para la proteccin de los servidores o si se necesita ms informacin acerca de la proteccin de los servidores IAS, consulte la Gua de seguridad de Windows 2003 en http://go.microsoft.com/fwlink/? LinkId=14846 (puede estar en ingls).
    Instalacin y configuracin de IAS

    La siguiente seccin describe cmo instalar IAS en los servidores. Es importante que cada paso de instalacin y configuracin se lleve a cabo como se indica en cada servidor IAS. IAS se instala al seleccionar el componente Servicios de red Servicio de autenticacin Internet en el administrador de componentes opcionales de Windows (accesible desde la opcin Agregar o quitar componentes de Windows del Panel de control). Para simplificar este proceso, utilice el siguiente script:

    s y s o c m g r/ i : s y s o c . i n f/ u : C : \ M S S S c r i p t s \ O C _ A d d I A S . t x t

    Registro de IAS en Active Directory Los servidores IAS se deben registrar en los dominios y, para ello, la cuenta del equipo de cada servidor IAS debe ser miembro del grupo de seguridad Servidores RAS e IAS en los dominios en los que se necesitarn para la autenticacin. La pertenencia a estos grupos garantiza que los servidores IAS tienen permiso de lectura de las propiedades de acceso remoto de todas las cuentas de usuario y equipo de los dominios. Para registrar IAS en Active Directory

    Para registrar IAS en Active Directory 1. Inicie sesin en cada servidor con una cuenta que tenga privilegios de Administradores de dominio en los dominios en los que sea necesario registrar el servidor IAS. 2. En el caso del dominio predeterminado, ejecute lo siguiente en un smbolo del sistema:

    n e t s hr a sa d dr e g i s t e r e d s e r v e r

    3. En el caso de los dominios distintos del predeterminado, ejecute lo siguiente en un smbolo del sistema:

    n e t s hr a sa d dr e g i s t e r e d s e r v e rd o m a i n=D o m a i n N a m e

    Nota El objeto de equipo del servidor IAS tambin se puede agregar a los grupos de seguridad Servidores RAS e IAS mediante el complemento MMC de Usuarios y equipos de Active Directory. Creacin y proteccin de los directorios de datos de IAS Existen algunos requisitos para el directorio en el que se van a almacenar los datos de configuracin y registro de los servidores IAS. Con el fin de facilitar el proceso de configuracin para crear y garantizar la seguridad de estos directorios, se puede ejecutar el siguiente archivo por lotes en un smbolo del sistema:

    C : \ M S S S c r i p t s \ I A S _ D a t a . b a t

    Nota Puede que, antes de ejecutar este archivo por lotes, sea necesario editar y reemplazar las entradas %DomainName% para reflejar el nombre NETBIOS del dominio de un determinado entorno.
    Configuracin del servidor IAS principal

    El servidor seleccionado para actuar como servidor IAS principal se debe configurar antes que ningn otro servidor IAS del entorno, ya que se utilizar como plantilla para configurar los parmetros del resto de los servidores IAS. Registro de las peticiones de autenticacin y cuentas IAS registra de forma predeterminada las peticiones de autenticacin RADIUS y cuentas, pero es necesario habilitar las dos opciones correspondientes para garantizar el registro de los eventos de seguridad y su ulterior utilizacin en caso de que sea necesario llevar a cabo una investigacin. Para configurar el registro de las peticiones de autenticacin y cuentas 1. Seleccione Registro de acceso remoto en el complemento MMC de Servicio de autenticacin Internet y, a continuacin, consulte las propiedades del mtodo de registro Archivo local.

    continuacin, consulte las propiedades del mtodo de registro Archivo local. 2. Seleccione las opciones Solicitudes de cuentas y Solicitudes de autenticacin. 3. Asegrese de que el directorio del archivo de registro se ha configurado como D:\IASLogs y de que se ha seleccionado un formato compatible con la base de datos (de este modo, los registros se podrn importar directamente en bases de datos como Microsoft SQL Server).
    Autenticacin 802.1X de WLAN

    En esta seccin se ofrecen los pasos del proceso de implementacin de seguridad para WLAN con la especificacin del protocolo 802.1X, tal y como se aplica en las plataformas con Windows Server 2003 y el SP1 de Windows XP. Estas instrucciones incluyen informacin relacionada con la configuracin de los grupos de Active Directory, la implementacin de los certificados X.509, la modificacin de los parmetros del servidor IAS, la implementacin de la directiva de grupo de WLAN y algunas sugerencias para configurar los puntos de acceso inalmbrico para admitir la implementacin 802.1X de EAP-TLS en la que se basa esta gua.
    Preparacin del entorno para una WLAN segura

    Una vez establecidas las infraestructuras RADIUS y de los certificados subyacentes, se pueden implementar los pasos reales de configuracin especficos de 802.1X. Las siguientes tablas de parmetros necesarios pueden ayudarle en el proceso de recopilacin de informacin que se debe realizar antes de la implementacin real. Algunos de estos parmetros se habilitan manualmente y otros forman parte de los scripts proporcionados en esta gua. Parmetros de configuracin necesarios definidos por el usuario La siguiente tabla incluye parmetros especficos de la organizacin que se deben recopilar o sobre los que hay que tomar una decisin antes de continuar con esta fase de implementacin de una WLAN segura. El espacio facilitado se puede utilizar para registrar los parmetros necesarios para cada entorno concreto. Tabla 17. Parmetros necesarios definidos por el usuario Elemento de configuracin Nombre DNS del dominio raz del bosque de Active Directory Nombre NetBIOS del dominio Nombre del servidor IAS principal Nombre del servidor IAS secundario Parmetros de configuracin necesarios definidos por la solucin La siguiente tabla incluye parmetros que no deben cambiarse, excepto si hay una necesidad especfica para hacerlo. Asegrese de comprender completamente las repercusiones y dependencias que producen estos cambios y crear un plan antes de realizar cualquier modificacin, incluidos los cambios en los scripts que sean necesarios. Tabla 18. Parmetros de configuracin definidos por la solucin Elemento de configuracin Grupo global de Active Directory que controla la implementacin de certificados de autenticacin de usuario 802.1X Grupo global de Active Directory que controla la implementacin de Parmetro Inscribir automticamente autenticacin de usuario Certificado de usuario Inscribir automticamente autenticacin Parmetro

    Grupo global de Active Directory que controla la implementacin de certificados de autenticacin de equipo 802.1X Grupo global de Active Directory que contiene el servidor IAS que necesita certificados de autenticacin 802.1X Grupo global de Active Directory que contiene los usuarios que pueden tener acceso a la red inalmbrica Grupo global de Active Directory que contiene los equipos que pueden tener acceso a la red inalmbrica Grupo universal de Active Directory que contiene los grupos Usuarios inalmbricos y Equipos inalmbricos Grupo global de Active Directory que contiene los equipos que necesitan una configuracin de las propiedades de la red inalmbrica Plantilla de certificado que se utiliza para generar certificados para la autenticacin de usuario del cliente Plantilla de certificado que se utiliza para generar certificados para la autenticacin de equipo del cliente Plantilla de certificado que se utiliza para generar certificados para la autenticacin del servidor para IAS Ruta de los scripts de instalacin Ruta de los archivos de copia de seguridad de configuracin Ruta de los registros de auditora y autenticacin IAS Nombre de directiva Nombre GPO de Active Directory Directiva de red inalmbrica en el GPO anterior

    Inscribir automticamente autenticacin de usuario Certificado de equipo Inscribir automticamente certificado de autenticacin de servidor IAS y RAS Directiva de acceso remoto Usuarios inalmbricos Directiva de acceso remoto Equipos inalmbricos Directiva de acceso remoto Acceso inalmbrico Directiva de red inalmbrica Equipo

    Autenticacin del cliente Usuario

    Autenticacin del cliente Equipo

    Autenticacin del servidor IAS y RAS

    C:\MSSScripts D:\IASConfig D:\IASLogs Permitir acceso inalmbrico Directiva de red inalmbrica Configuracin inalmbrica de equipo cliente

    Creacin de los grupos de Active Directory necesarios para el acceso de WLAN El siguiente script se debe ejecutar con una cuenta que tenga permisos de creacin de grupos de seguridad de Active Directory, ya que crea los grupos necesarios para implementar la inscripcin de certificados de autenticacin inalmbrica, la directiva de acceso remoto y la directiva de grupo de red inalmbrica:

    C s c r i p t/ / j o b : C r e a t e W i r e l e s s G r o u p sC : \ M S S S c r i p t s \ w l _ t o o l s . w s f

    Nota En los entornos de bosque de varios dominios, los grupos se deben crear en el mismo dominio que los usuarios inalmbricos. Comprobacin de la configuracin DHCP Para admitir el uso de redes inalmbricas, los servidores DHCP se deben configurar con mbitos inalmbricos especficos y tiempos permitidos para la direccin IP ms breves que los de otros clientes cableados. Consulte a los administradores del servidor DHCP para asegurarse de que DHCP se ha configurado correctamente. Para obtener ms informacin sobre la planeacin de DHCP para las LAN inalmbricas, consulte el Kit de implementacin de Windows Server 2003 en www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx (puede estar en ingls).
    Configuracin de los certificados de autenticacin WLAN

    Para implementar una seguridad WLAN basada en EAP-TLS como se indica en esta gua, es necesario crear e implementar los siguientes tipos de certificados: Autenticacin del cliente Equipo Autenticacin del cliente Usuario Autenticacin del servidor IAS y RAS Creacin de una plantilla de certificado para la autenticacin del servidor IAS Los servidores IAS necesitan un certificado de servidor para que los equipos se autentiquen en los clientes durante el protocolo de enlace EAP-TLS. El administrador de Servicios de Certificate Server debe llevar a cabo los siguientes pasos para crear una plantilla de certificado de autenticacin de servidores que puedan utilizar los servidores IAS. Para crear una plantilla de certificado para la autenticacin de servidores 1. Inicie sesin en la CA emisora con una cuenta del grupo administrativo de CA y ejecute el complemento MMC de Plantillas de certificado. 2. Cree un duplicado de la plantilla de certificado de Servidor RAS e IAS. En la ficha General de las propiedades de la nueva plantilla, en el campo Nombre para mostrar plantilla, escriba Autenticacin del servidor IAS y RAS. 3. En la ficha Extensiones, asegrese de que las directivas de emisin slo incluyen la autenticacin del servidor (IDO 1.3.6.1.5.5.7.3.1). 4. Asimismo, en la ficha Extensiones, edite las directivas de emisin para agregar la directiva Seguridad media. 5. En la ficha Nombre de sujeto, seleccione Construido a partir de esta informacin de Active Directory. Asegrese tambin de que Formato de nombre de sujeto se ha configurado como Nombre comn y que slo se ha seleccionado Nombre DNS en Incluir esta informacin, en Nombre de sujeto alternativo. 6. En la ficha Tratamiento de la peticin, haga clic en el botn Proveedores de servicios de cifrado (CSP), asegrese de que se ha seleccionado Las solicitudes tienen que usar uno de los siguientes CSP y de que slo se ha seleccionado Microsoft RSA SChannel Cryptographic Provider. 7. En la ficha Seguridad, agregue el grupo de seguridad Inscribir automticamente certificado de autenticacin de servidor IAS y RAS con permisos de lectura, inscripcin e inscripcin automtica, y quite otros grupos que tengan permisos de inscripcin o inscripcin automtica de esta plantilla de certificado. Nota Puede que sea aconsejable configurar este certificado de modo que se necesite la aprobacin del

    Nota Puede que sea aconsejable configurar este certificado de modo que se necesite la aprobacin del administrador de certificados, ya que se considera que tiene un valor de seguridad relativamente alto. Al habilitar este valor, se contribuye a garantizar que no se va a inscribir un servidor IAS malintencionado, pero ser necesario realizar una aprobacin manual despus de que el servidor IAS emita y enve automticamente los certificados. Creacin de una plantilla de certificado para la autenticacin de usuarios Es necesario que los usuarios finales tengan certificados de usuario para autenticarse en el servidor IAS durante el proceso del protocolo de enlace EAP-TLS. De nuevo, es necesario que el titular de la cuenta designado como administrador de Servicios de Certificate Server lleve a cabo los siguientes pasos. Para crear una plantilla de certificado de autenticacin de usuarios 1. Inicie el complemento MMC de Plantillas de certificado en el servidor de la CA emisora. 2. Cree un duplicado de la plantilla Sesin autenticada y en la ficha General de la nueva plantilla, en el campo Nombre para mostrar plantilla, escriba Autenticacin del cliente Usuario. 3. En la ficha Tratamiento de la peticin, seleccione Proveedores de servicios de cifrado (CSP) y desactive las casillas de verificacin Microsoft Base DSS Cryptographic Provider. 4. En la ficha Nombre de sujeto, asegrese de que est seleccionada la opcin Construido a partir de esta informacin de Active Directory. En Formato de nombre de sujeto, seleccione Nombre comn. Asegrese de que Nombre principal del usuario (UPN) es la nica opcin que aparece seleccionada en Incluir esta informacin en Nombre de sujeto alternativo. 5. En la ficha Extensiones, asegrese de que nicamente se incluye Autenticacin del cliente (IDO 1.3.6.1.5.5.7.3.2) en Directivas de aplicacin. Edite tambin las directivas de emisin y agregue la directiva Seguridad baja. 6. En la ficha Seguridad, agregue el grupo de seguridad Inscribir automticamente autenticacin de usuario Certificado de usuario con permisos de lectura, inscripcin e inscripcin automtica. Tambin deben quitarse todos los grupos con permisos de inscripcin o inscripcin automtica. Creacin de una plantilla de certificado para la autenticacin de equipos Este certificado es el que utilizan los equipos cuando se autentican en el servidor IAS durante el protocolo de enlace EAPTLS. Una vez ms, el administrador de Servicios de Certificate Server debe realizar las siguientes tareas. Para crear una plantilla de certificado de autenticacin de equipos 1. Inicie el complemento MMC de Plantillas de certificado en la CA emisora. 2. Cree un duplicado de la plantilla Autenticacin de estacin de trabajo. En la ficha General de la nueva plantilla, en el campo Nombre para mostrar plantilla, escriba Autenticacin del cliente Equipo. 3. En la ficha Nombre de sujeto, asegrese de que est seleccionada la opcin Construido a partir de esta informacin de Active Directory. En Formato de nombre de sujeto, seleccione Nombre comn. Asegrese de que Nombre DNS es la nica opcin que aparece seleccionada en Incluir esta informacin en Nombre de sujeto alternativo. 4. En la ficha Extensiones, edite las directivas de aplicacin y asegrese de que nicamente se incluye Autenticacin del cliente (IDO 1.3.6.1.5.5.7.3.2). Edite tambin las directivas de emisin y agregue la directiva Seguridad baja. 5. En la ficha Seguridad, agregue el grupo de seguridad Inscribir automticamente autenticacin de usuario

    5. En la ficha Seguridad, agregue el grupo de seguridad Inscribir automticamente autenticacin de usuario Certificado de equipo con permisos de lectura, inscripcin e inscripcin automtica. Debe quitarse cualquier otro grupo con permisos. Cmo agregar certificados de autenticacin WLAN a la CA Una vez configuradas las plantillas de certificado, hay que agregarlas a la CA para habilitar la inscripcin. Para ello, el administrador de Servicios de Certificate Server tendr que realizar las siguientes tareas. Para agregar plantillas de certificado a la CA En la CA emisora, inicie el complemento MMC de Entidad de certificacin y haga clic con el botn secundario en la carpeta Plantillas de certificado, seleccione Nuevo y, a continuacin, haga clic en Plantilla de certificado que se va a emitir. Seleccione los siguientes certificados y, a continuacin, haga clic en Aceptar: Autenticacin del cliente Equipo Autenticacin del cliente Usuario Autenticacin del servidor IAS y RAS Inscripcin del certificado del servidor IAS La implementacin de los certificados de autenticacin de servidor en los servidores IAS es un proceso bastante sencillo y automtico. Para inscribir un servidor IAS 1. Inicie el complemento MMC de Usuarios y equipos de Active Directory y agregue las cuentas del equipo IAS al grupo de seguridad Inscribir automticamente certificado de autenticacin de servidor IAS y RAS. 2. Reinicie el servidor IAS e inicie sesin como miembro del grupo local Administradores. 3. En un smbolo del sistema, ejecute GPUPDATE /force. 4. Abra MMC y agregue el complemento Certificados. Cuando se le pida, seleccione la opcin Cuenta de equipo y, a continuacin, Equipo local. 5. Seleccione Certificados (equipo local) en el rbol de la consola y, en el men Accin, haga clic en Todas las tareas y, a continuacin, seleccione Inscribir certificados automticamente . Nota Si se activ la opcin de requerir la aprobacin del administrador de certificados, el administrador de CA tendr que comprobar la validez de esta peticin y emitir el certificado. Cmo agregar usuarios y equipos a los grupos de inscripcin automtica Los usuarios y equipos que requieren conectividad WLAN necesitarn certificados de usuario y equipo emitidos para poder autenticarse en la red y tener acceso a sta a travs de una conexin inalmbrica. El proceso de emisin y renovacin de estos certificados es transparente para el usuario final debido a los grupos de inscripcin automtica que se han configurado con anterioridad. Para agregar usuarios y sus equipos a los grupos de inscripcin automtica, slo tiene que utilizar el complemento MMC de Usuarios y equipos de Active Directory para agregar las cuentas de usuario al grupo Inscribir automticamente autenticacin del cliente Certificado de usuario y agregar sus equipos al grupo Inscribir automticamente autenticacin

    autenticacin del cliente Certificado de usuario y agregar sus equipos al grupo Inscribir automticamente autenticacin del cliente Certificado de equipo. Una vez realizada esta asignacin, el usuario en cuestin recibir los certificados de usuario y de equipo correspondientes tras reiniciar los equipos y volver a iniciar sesin en la red. Nota Esta solucin utiliza grupos personalizados para controlar qu usuarios y equipos pueden recibir certificados. Si el entorno exige que todos los usuarios y equipos requieran certificados, slo tiene que agregar los usuarios del dominio al grupo Inscribir automticamente autenticacin de cliente - Certificado de usuario, y los equipos del dominio, al grupo Inscribir automticamente autenticacin de cliente Certificado de equipo.
    Configuracin de la infraestructura de acceso WLAN

    El servidor IAS principal debe configurarse con una directiva de acceso remoto y la configuracin de solicitud de conexin que determina la autenticacin y autorizacin de los clientes inalmbricos en la WLAN. A continuacin, esta configuracin debe replicarse en otros servidores IAS y, posteriormente, cada uno de ellos debe configurarse de manera exclusiva para aceptar conexiones de clientes RADIUS, como los puntos de acceso inalmbrico. Despus, es necesario configurar estos puntos de acceso inalmbrico para que utilicen el servidor IAS como los orgenes de autenticacin y autorizacin para la red inalmbrica 802.1X. Creacin de una directiva de acceso remoto IAS para redes WLAN Utilice el complemento MMC de Servicio de autenticacin Internet en el servidor IAS principal para configurar IAS con una directiva de acceso remoto como se describe a continuacin. Para crear una directiva de acceso remoto 1. Haga clic con el botn secundario en la carpeta Directivas de acceso remoto y, a continuacin, seleccione Crear nueva directiva de acceso remoto. 2. Asigne un nombre a la nueva directiva Permitir acceso inalmbrico e indique al asistente que desea configurar Una directiva tpica para un escenario comn. 3. Seleccione Inalmbrico como mtodo de acceso. 4. Conceda acceso en funcin de los grupos y utilice el grupo de seguridad Directiva de acceso remoto Acceso inalmbrico. 5. Elija el tipo Tarjeta inteligente u otros certificados para el tipo Protocolo de autenticacin extensible (EAP) y, a continuacin, seleccione el certificado de autenticacin de servidor instalado para IAS. 6. Finalice el proceso y salga del asistente. 7. Abra las propiedades de la directiva Permitir acceso inalmbrico y, a continuacin, haga clic en Editar perfil. 8. En la ficha Opciones avanzadas, agregue el atributo Ignore-User-Dialin-Properties, configrelo como True y, a continuacin, agregue el atributo Termination-Action y defnalo como RADIUS Request. Nota La directiva Permitir acceso inalmbrico puede coexistir con otras directivas creadas por el usuario o con las directivas de acceso predeterminadas, pero, para que funcione correctamente, la directiva de acceso remoto predeterminada debe incluirse despus de la directiva Permitir acceso inalmbrico en la carpeta Directivas de acceso remoto. Cmo agregar clientes RADIUS a IAS Los puntos de acceso inalmbrico y los proxy RADIUS deben agregarse a IAS como clientes RADIUS para que puedan utilizar los servicios de autenticacin y cuentas mediante el protocolo RADIUS. Para agregar clientes RADIUS a IAS

    Para agregar clientes RADIUS a IAS 1. Inicie el complemento MMC de Servidor de autenticacin Internet. 2. Haga clic con el botn secundario en la carpeta Clientes RADIUS y, a continuacin, haga clic en Nuevo cliente RADIUS. 3. Especifique el nombre descriptivo y la direccin IP del punto de acceso inalmbrico. 4. Seleccione RADIUS/Estndar como atributo client-vendor y especifique el secreto compartido del punto de acceso inalmbrico especfico. A continuacin, seleccione el atributo Request Must Contain the Message Authenticator. Nota Este proceso debe repetirse en todos los servidores IAS para garantizar que cada uno tiene un conjunto nico de clientes y secretos compartidos de punto de acceso inalmbrico. Para facilitar este proceso, esta gua contiene un script que se puede utilizar para generar secretos compartidos que, a su vez, pueden almacenarse en una ubicacin segura por si es necesario realizar una restauracin del sistema. Para utilizar este script, escriba lo siguiente en un smbolo del sistema:

    C s c r i p t/ / j o b : G e n P W DC : \ M S S S c r i p t s \ w l _ t o o l s . w s f/ c l i e n t : C l i e n t N a m e

    Implementacin de configuraciones en varios servidores IAS

    Una vez configurados los siguientes elementos en el servidor IAS principal, podrn exportarse a archivos de texto mediante el comando netsh. Tras exportarse, estos archivos de texto se pueden importar a los servidores IAS que tengan una funcin similar en el entorno; de esta forma, se garantiza la existencia de una configuracin comn en todo el entorno. Los parmetros de configuracin que se pueden exportar son los siguientes: Configuracin de servidor Configuracin de registro Directivas de acceso remoto Clientes RADIUS Configuracin completa Los servidores IAS deben contener una lista nica propia de clientes RADIUS y secretos compartidos; por lo tanto, esta informacin se debe configurar de manera individual en cada servidor y es necesario hacer una copia de seguridad de esta informacin de forma independiente. Adems, un volcado completo de la configuracin contiene informacin muy confidencial que es necesario proteger, ya que esta informacin puede utilizarse para obtener acceso a la red inalmbrica si se roba. Exportacin de la configuracin del servidor IAS principal Los siguientes tipos de parmetros se deben exportar como archivos de texto para la replicacin en otros servidores IAS. Configuracin del servidor

    Configuracin de registro Directiva de acceso remoto Directivas de peticin de conexin Para facilitar este proceso, esta gua incluye archivos por lotes que contienen los comandos netsh, que permiten exportar la informacin comn de configuracin a archivos de texto en el directorio D:\IASConfig mediante la emisin de la siguiente lnea en un smbolo del sistema.

    C : \ M S S S c r i p t s \ I A S E x p o r t . b a t

    Importacin de la informacin de configuracin del servidor IAS principal Como se ha mencionado anteriormente, IAS utiliza el comando netsh para transferir los estados de configuracin entre los servidores. Este proceso permite que la implementacin sea ms eficaz y adems reduce las probabilidades de error durante el proceso de configuracin. Ahora que ya se ha exportado la configuracin del servidor IAS principal, los servidores IAS secundarios pueden importar el estado de configuracin. Para importar el estado de configuracin del servidor IAS principal en otros servidores IAS 1. Copie todos los archivos de configuracin del directorio D:\IASConfig del servidor IAS principal en el directorio D:\IASConfig correspondiente de los dems servidores IAS. 2. Utilice el siguiente archivo por lotes (incluido en esta gua) en una lnea de comandos en los servidores secundarios para importar el estado de configuracin:

    C : \ M S S S c r i p t s \ I A S I m p o r t . b a t

    Clientes y puntos de acceso inalmbrico

    El procedimiento de configuracin de los puntos de acceso inalmbrico puede variar notablemente en funcin de la marca y el modelo del dispositivo concreto. Sin embargo, los proveedores de puntos de acceso inalmbrico normalmente proporcionan instrucciones detalladas de configuracin de los dispositivos junto con los siguientes detalles necesarios: Configuracin de red 802.1X Configuracin de la direccin del servidor RADIUS principal Configuracin de la direccin del servidor RADIUS secundario Secreto compartido de RADIUS con el servidor RADIUS principal Secreto compartido de RADIUS con el servidor RADIUS secundario

    Para obtener ms instrucciones sobre la configuracin de un modelo y marca de dispositivo inalmbrico concreto, consulte las instrucciones del proveedor o el sitio web de soporte tcnico.
    Implementacin de los certificados de autenticacin WLAN

    En esta seccin se describen algunas tareas de configuracin importantes que es necesario realizar para habilitar la inscripcin automtica de certificados para los clientes basados en Windows XP. Aunque en las secciones anteriores se ha explicado cmo habilitar las directivas y plantillas para ofrecer compatibilidad con la inscripcin automtica de certificados en la infraestructura de certificados, la compatibilidad de Windows XP con esta funcionalidad est deshabilitada de forma predeterminada. Para habilitar la compatibilidad con la inscripcin automtica de certificados, es necesario configurar los parmetros adecuados mediante la directiva de grupo. Gracias a que los grupos de seguridad pueden controlar la inscripcin automtica, se puede habilitar esta capacidad para todos los usuarios y equipos de un dominio y estos grupos de seguridad pueden determinar quin recibir los certificados de cada tipo. Para habilitar la inscripcin automtica para todos los usuarios y equipos de un dominio 1. Inicie sesin con una cuenta que tenga permisos para crear GPO y vincular GPO al dominio. 2. En Usuarios y equipos de Active Directory, seleccione el objeto de dominio, haga clic sobre l con el botn secundario y elija Propiedades. 3. En la ficha Directiva de grupo, haga clic en Nuevo y, a continuacin, escriba un nombre para el GPO (por ejemplo, Directivas de PKI de dominio). 4. Haga clic en Editar y, a continuacin, busque Directivas de claves pblicas en Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad. 5. En el panel Detalles, haga doble clic en Configuracin de inscripcin automtica. 6. Asegrese de que estn seleccionados los siguientes elementos: Registrar certificados automticamente Renovar certificados caducados, actualizar certificados pendientes y quitar certificados revocados Actualizar certificados que usan plantillas de certificado 7. Repita los pasos 5 y 6 de la configuracin de inscripcin automtica de usuario en Configuracin de usuario\Configuracin de Windows\Configuracin de seguridad\Directivas de claves pblicas. 8. Cierre el GPO. 9. Asegrese de que el GPO tiene una prioridad mayor que el GPO de la directiva de dominio predeterminada. 10. Repita este proceso para cada dominio en el que se vaya a habilitar la inscripcin automtica de certificados si se encuentra en un bosque de varios dominios. Nota Si los usuarios no utilizan perfiles mviles y la inscripcin automtica est permitida universalmente, se emitirn certificados para los usuarios en todos los equipos en los que inicien sesin. Es posible que no desee que suceda esto cuando los usuarios administrativos inicien sesin en los servidores. Para evitarlo, se recomienda crear un GPO para servidores que deshabilite la inscripcin automtica. Adems, si no le interesa que se habilite la inscripcin automtica para todos los usuarios, se puede vincular un GPO con varias unidades organizativas que contengan el subconjunto de usuarios que necesitan la inscripcin automtica.

    contengan el subconjunto de usuarios que necesitan la inscripcin automtica.


    Habilitacin del acceso WLAN para usuarios y equipos

    Los ltimos pasos para permitir a los usuarios y equipos el acceso WLAN seguro incluyen algunas acciones que deben realizarse en objetos Active Directory. Estas acciones incluyen la modificacin de los permisos de cuenta y los permisos de grupo, adems de la implementacin de la configuracin de la directiva de grupo WLAN. Cmo agregar usuarios a grupos de directiva de acceso remoto La directiva de acceso remoto de IAS utiliza grupos de seguridad basados en Active Directory para determinar si los usuarios y equipos estn autorizados para establecer conexiones con la red WLAN. Estos grupos de seguridad que se han creado en secciones anteriores incluyen: Directiva de acceso remoto Usuarios inalmbricos Directiva de acceso remoto Equipos inalmbricos Directiva de acceso remoto Acceso inalmbrico Para agregar usuarios y equipos a los grupos de acceso WLAN 1. Abra el complemento MMC de Usuarios y equipos de Active Directory. 2. Agregue la Directiva de acceso remoto Usuarios inalmbricos y la Directiva de acceso remoto Equipos inalmbricos al grupo Acceso remoto Acceso inalmbrico. 3. Agregue los usuarios que tienen permiso de acceso a la WLAN al grupo Directiva de acceso remoto Usuarios inalmbricos. 4. Agregue los equipos que tiene permiso de acceso a la WLAN al grupo Directiva de acceso remoto Usuarios inalmbricos. Nota Si se decide que se prefiere permitir a todos los usuarios y equipos el acceso a la red WLAN de forma predeterminada, se pueden agregar los grupos Usuarios del dominio y Equipos del dominio a los grupos de directiva correspondientes para simplificar la administracin. Creacin de la directiva de grupo WLAN de Active Directory La directiva de grupo se puede utilizar para automatizar y hacer cumplir los parmetros de configuracin WLAN del equipo cliente ya que el MMC de Directiva de grupo de Windows Server 2003 contiene parmetros de directiva de red inalmbrica relacionados con los estndares 802.1X y 802.11. Para crear una directiva de grupo de red inalmbrica 1. Abra el complemento MMC de Usuarios y equipos de Active Directory en un servidor con Windows Server 2003 o en una estacin de trabajo con las herramientas de administracin de Windows Server 2003 instaladas. 2. Seleccione las propiedades del objeto de dominio y, en la ficha Directiva de grupo, haga clic en Nuevo y, a continuacin, asigne un nombre a la directiva de red inalmbrica de GPO. 3. Haga clic en el botn Propiedades y, en la ficha Seguridad, conceda al grupo de seguridad Directiva de red inalmbrica - Equipo los permisos Leer y Aplicar directiva de grupos. Adems, quite los permisos Aplicar directiva de grupos de los usuarios autenticados en el GPO.

    de grupos de los usuarios autenticados en el GPO. 4. En la ficha General, seleccione Deshabilitar los parmetros de configuracin de usuario en el objeto de directiva y haga clic en S en cualquier mensaje de advertencia que aparezca. Aplique los cambios y cierre la ventana. 5. Haga clic en el botn Editar y busque \Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas de redes inalmbrica (IEEE 802.11). 6. Seleccione el objeto de directiva de redes inalmbrica (IEEE 802.11) en el panel de exploracin y, a continuacin, en el men Accin, haga clic en Crear directiva de red inalmbrica. Utilice el asistente para asignar un nombre a la directiva Configuracin inalmbrica de equipo cliente . Deje seleccionada la opcin Modificar propiedades y, a continuacin, haga clic en Finalizar para cerrar el asistente. 7. En la directiva Configuracin inalmbrica de equipo cliente , en la ficha Redes preferidas, seleccione Agregar y, a continuacin, especifique el nombre de la red o el Identificador de red SSID de la red inalmbrica. 8. Haga clic en la ficha IEEE 802.1X y, a continuacin, abra los parmetros del tipo EAP de tarjeta inteligente u otro certificado. En Entidades de certificacin raz de confianza, seleccione el certificado de la CA raz para la PKI que emiti los certificados del servidor IAS. 9. Cierre las propiedades de Configuracin inalmbrica de equipo cliente y Editor de objetos de directiva de grupo. Nota WPA2 no se puede aplicar actualmente mediante GPO. No obstante, la compatibilidad con GPO de WPA2 se va a incluir en la versin de Windows Vista y Longhorn; adems, tambin hay planeadas actualizaciones para solucionar este problema en las versiones actuales de Windows. Cmo agregar equipos a grupos de seguridad para la directiva de grupo WLAN Los grupos de seguridad basados en Active Directory se utilizan para determinar qu equipos tendrn aplicadas las directivas de red inalmbrica para configurar automticamente los parmetros de 802.11 y 802.1X necesarios. Estos parmetros deben implementarse antes de configurar los parmetros de 802.1X en cualquier punto de acceso inalmbrico y antes de activar la red WLAN. Este mtodo garantiza que los equipos cliente tengan una oportunidad adecuada para descargar y aplicar la directiva de grupo basada en equipo, incluso si no se conectan con frecuencia a la red cableada. La configuracin de directiva de grupo se puede aplicar incluso antes de la instalacin del adaptador de interfaz de red WLAN (nic), porque recuperar y aplicar automticamente la configuracin correcta de la directiva de grupo de red inalmbrica. Para agregar equipos a los grupos de la directiva de grupo de red inalmbrica, utilice el complemento MMC de Usuarios y equipos de Active Directory para agregar los objetos de equipo autorizados al grupo Directiva de red inalmbrica Equipo. Nota La configuracin del GPO de la red inalmbrica se actualizar en los equipos cliente durante el siguiente intervalo de actualizacin de la directiva de grupo del equipo. Para forzar una actualizacin, slo tiene que emitir el comando GPUPDATE /force.
    Requisitos del cliente WPA2

    La solucin descrita en esta gua se ha diseado para equipos cliente con capacidad inalmbrica que utilicen Windows XP Professional con SP2 o Windows XP Tablet Edition. Estas versiones de Windows ofrecen compatibilidad integrada para 802.1X y WLAN. Asimismo, los clientes basados en Windows XP disponen de funcionalidad de inscripcin automtica y renovacin de certificados, lo que hace que este tipo de solucin basada en certificados sea especialmente rentable cuando est asociada a una infraestructura de certificados. Aunque Windows XP con SP2 incluye compatibilidad integrada para WPA, es necesario instalar una actualizacin adicional para habilitar la compatibilidad con WPA2 IEEE 802.11i en los clientes basados en el SP2 de Windows XP. Para obtener ms informacin sobre esta actualizacin adicional, adems de las instrucciones de descarga, consulte el artculo que informa

    informacin sobre esta actualizacin adicional, adems de las instrucciones de descarga, consulte el artculo que informa que est disponible la actualizacin de Acceso protegido Wi-Fi 2 (WPA2) y el Elemento de informacin de los Servicios de aprovisionamiento inalmbricos (WPS IE) para Windows XP con Service Pack 2, en http://support.microsoft.com/default.aspx?scid=kb;es-es;893357. Principio de la pgina

    Resumen
    Tras analizar la multitud de soluciones disponibles para solucionar las imperfecciones ms conocidas de los estndares anteriores de seguridad inalmbrica y ver cmo los estndares del sector han convertido en obsoletas esas soluciones, se ha aclarado cul es la solucin para mejorar la seguridad de las redes inalmbricas en el entorno de una mediana empresa. Actualmente, las medianas empresas pueden implementar con eficacia esta til tecnologa para aprovechar las grandes mejoras de productividad de una manera confiable y ms segura al utilizar la solucin WPA o WPA2 con EAP-TLS y Servicios de Certificate Server que se proporciona esta gua. Despus de seguir los pasos detallados y utilizar las herramientas que se proporcionan este documento, una empresa mediana puede disfrutar de una solucin inalmbrica confiable y ms segura que fomente la productividad, sin que el usuario final de la red sufra interrupciones. Principio de la pgina Descargar Obtener el documento Configuracin de puntos de acceso inalmbrico seguros

    Principio de la pgina 2013 Microsoft. Reservados todos los derechos.

    Das könnte Ihnen auch gefallen