Beruflich Dokumente
Kultur Dokumente
Requisitos previos
Le ser til conocer los conceptos de diseo de infraestructuras de TI y estar
familiarizado con los componentes clave que forman parte de dicho diseo. Los
componentes clave son los siguientes: WLAN y componentes de red, RADIUS, el
servicio de directorio Active Directory y PKI. No se necesita un conocimiento
profundo de estos componentes.
definir los criterios de diseo de la solucin para el diseo lgico y las fases posteriores
del diseo tcnico detallado.
producir un diseo lgico coherente que constituya la base para el diseo detallado en
los captulos siguientes.
explicar la forma en que puede modificarse la solucin para cumplir los requisitos de
organizaciones de diferentes tamaos.
explicar en detalle algunas de las formas en que puede ampliarse el diseo propuesto o
utilizarse como base para generar otras soluciones de acceso de red (por ejemplo, redes
privadas virtuales y control de acceso a redes por cable) y examinar el modo en que el
componente PKI del diseo puede servir de punto de partida para varias aplicaciones
de seguridad.
En los captulos siguientes examinaremos el proceso de diseo detallado para cada uno
de los componentes principales del diseo lgico (WLAN, RADIUS y PKI) como
preparacin para generar y poner la solucin en funcionamiento.
Principio de la pgina
Diseo conceptual
La red interna. Se trata de un rea segura de servicios conectados a la red a los que la
aplicacin cliente inalmbrica debe obtener acceso.
Los nmeros del diagrama ilustran el proceso de acceso a la red, que se describe con
ms detalle en los pasos siguientes:
1.El cliente inalmbrico debe establecer credenciales con el servicio de autenticacin
antes de que se establezca el acceso a la red inalmbrica. (Esto podra realizarse con
algunos medios fuera de banda como, por ejemplo, mediante un intercambio de
disquetes, o bien podra realizarse en una red segura por cable o de otro tipo.)
Cuando se encuentra al alcance del punto de acceso inalmbrico, el equipo cliente
2.intenta conectarse a la WLAN activa en el punto de acceso. Para su identificacin, la
WLAN cuenta con un identificador del conjunto de servicios (SSID, Service Set
Identifier). El cliente detecta el SSID de la WLAN y lo usa para determinar la
configuracin correcta y el tipo de credencial que debe utilizarse para esta WLAN
especfica.
El punto de acceso inalmbrico se configura para permitir nicamente conexiones
seguras (autenticadas de 802.1X). Cuando el cliente intenta conectarse a l, el punto
de acceso enva un desafo al cliente. A continuacin, el punto de acceso configura un
canal restringido que permite al cliente comunicarse slo con el servidor RADIUS.
Este canal bloquea el acceso al resto de la red. El servidor RADIUS solamente
aceptar una conexin de un punto de acceso inalmbrico de confianza o de uno que
haya sido configurado como cliente RADIUS en el servicio de autenticacin de
Internet (IAS, Internet Authentication Service) de Microsoft y que proporcione el
secreto compartido para dicho cliente RADIUS.
El cliente intenta realizar la autenticacin con el servidor RADIUS a travs del canal
restringido por medio de 802.1X. Como parte de la negociacin EAP-TLS, el cliente
establece una sesin de seguridad de la capa de transporte (TLS, Transport Layer
Security) con el servidor RADIUS. El uso de una sesin de TLS tiene las finalidades
siguientes:
Organizacin de destino
La descripcin de la organizacin en esta seccin slo tiene la finalidad de proporcionar
un contexto para los criterios de diseo. Al evaluar la utilidad de esta solucin para su
organizacin, procure centrarse en averiguar si los criterios de diseo pueden serle de
Requisitos de la organizacin
Los requisitos siguientes suelen aplicarse al tipo de organizacin descrita en este
escenario:
la organizacin debe mejorar la seguridad de la WLAN para eliminar o reducir
considerablemente las amenazas siguientes:
seguridad slida (incluyendo una renovacin regular) de las credenciales y las claves
utilizadas en la solucin.
Criterios
autenticacin slida de los clientes inalmbricos.
Seguridad
control de acceso que solamente permita el acceso de red
a clientes autorizados.
cifrado eficaz del trfico de red inalmbrica.
administracin segura de las claves de cifrado.
resistencia a ataques de denegacin de servicio.
Escalabilidad
Nmero mnimo/mximo de
usuarios admitidos
de 500 a 15000 (o ms) usuarios de certificados.
mltiples sitios grandes, con controladores de dominio
Nmero de sitios admitidos de autenticacin locales y servicio de autenticacin de
Internet (IAS, Internet Authentication Service) de
Microsoft, admitidos con resistencia a errores de red de
rea extensa (WAN, Wide Area Network).
mltiples sitios pequeos admitidos sin resistencia a
errores de WAN.
Reutilizacin de componentesUtilizacin de Active Directory, servicios de red y clientes
Factor de diseo
Criterios
(uso de la infraestructura
existente)
Diseo lgico
La figura anterior divida los componentes lgicos para facilitar la comprensin del
proceso de acceso a la WLAN. Sin embargo, una ligera reagrupacin de los
componentes puede ayudar a simplificar los procesos de implementacin y
administracin.
La agrupacin de componentes elegida permite una visualizacin modular del diseo
completo que permite una mxima reutilizacin de estos componentes. Por ejemplo,
sera posible implementar el componente PKI nicamente como medio de autenticacin
de usuarios de WLAN. Sin embargo, esto podra limitar la reutilizacin del componente
PKI para otras aplicaciones. De manera similar, el componente RADIUS debe disearse
teniendo en cuenta otras aplicaciones que podran requerirse en el futuro.
Los servicios de TI del diseo se agruparn en los siguientes grupos lgicos:
Componente RADIUS
Es posible que la sucursal pequea cuente con cierta infraestructura de TI, como, por
ejemplo, un servidor de archivos y una impresora, pero generalmente no dispondr de
una infraestructura de autenticacin. Algunas organizaciones consideran que este tipo de
oficina no requiere ni justifica el uso de servicios de WLAN. Sin embargo, se trata de
una posibilidad atractiva para otras organizaciones que tienen la flexibilidad de utilizar
oficinas temporales, ya que se elimina la necesidad de tender y administrar cables de
red.
El diagrama siguiente ilustra cmo puede escalarse el diseo en forma ascendente para
abarcar una gran cantidad de usuarios en una oficina central y en oficinas regionales
grandes. Probablemente, los servidores IAS tambin se utilizarn para otras aplicaciones
de red, como VPN. Para obtener ms informacin, consulte la seccin "Extensin del
diseo" incluida ms adelante en este captulo. Esta consideracin podra influir en la
cantidad y estructura precisa de los servidores. Los servidores IAS adicionales se
muestran nicamente con fines ilustrativos.
Los servidores adicionales requeridos para la versin escalada de la solucin se
muestran sombreados.
Al otro lado del espectro, la solucin puede implementarse con una cantidad modesta de
sistemas de hardware y software nuevos. Esto se logra principalmente ejecutando el
servicio IAS en controladores de dominio existentes. Se trata de una alternativa
ampliamente probada por el grupo de productos IAS en Microsoft y se recomienda para
varios escenarios. El siguiente diagrama ilustra esta variante del diseo.
Otros servicios de acceso a la red que podran utilizar los componentes RADIUS son la
VPN y el acceso telefnico remoto. Es probable que, particularmente en las
organizaciones grandes, sea necesario realizar algunas adiciones al diseo original,
como la adicin de servidores proxy RADIUS. La figura siguiente muestra la apariencia
que podra presentar la solucin extendida.
Estructura de la organizacin de TI. Resulta esencial tener como mnimo una base
de especializacin con WLAN en el departamento de TI de la organizacin para
implementar y administrar una solucin de este tipo.
Resumen
Este captulo describe a nivel conceptual una solucin de red de LAN inalmbrica
segura basada en el protocolo 802.1X y EAP-TLS. Los componentes clave se explican