En este post quiero enseñar a configurar una red segura cableada utilizando 802.1X con switches Cisco y servidor NPS y NAP de Microsoft, bajo un Windows Server 2008 R2, utilizando como clientes equipos con Windows 7.
El esquema seria el siguiente:
En este esquema tengo un dominio de Active Directory que voy a utilizar para autenticar a equipos o usuarios mediante PEAP y MS-CHAPV2 (aunque también lo voy a hacer con certificados) que es una forma de establecer el 802.1X. En este esquema hay una OU con los equipos y usuarios que quiero autenticar y a los que aplicare dos GPO, una para que usuarios y equipos obtengan certificados de forma automática y otra para configurar los servicios de Windows y la autenticacion de las tarjetas de red de los clientes.
Primer paso, una vez que tengo mi dominio necesito una entidad certificadora que genere certificados, con lo cual la instalo. También voy a necesitar un NPS y NAP con lo cual en otro servidor miembro instalo esos roles.
El segundo paso es generar para el servidor de NPS un certificado de equipo valido, ya que cuando vaya a configurar el NPS para 802.1X me lo pedirá. Lo puedo hacer desde la consola de certificados o por GPO.
El tercer paso es en este caso, es generar los certificados para los equipos de Windows 7 y los usuarios del dominio. Los genero para los dos ya que cuando configuro la autenticacion puedo escoger entre autenticar el equipo o el usuario o ambos. Esto lo hago por GPO.
Una vez comprobado que tengo lo certificados para los equipos y los usuarios, el siguiente paso es configurar el NPS. Aquí os dejo un paso a paso de Intel de como hacerlo de como (No os hago uno porque hay múltiples guías en Internet de como hacerlo):
Simple NPS Configuration as Radius
Fijaros que en la pagina 18 es donde configura los switches que son clientes de dicho servidor de radius, hay tendreis que indicar el nombre del switch, la IP y el secreto compartido entre el servidor de radius y el switch.
En la pagina 20 especificáis como vais a autenticar a los clientes. Lógicamente es por PEAP, aunque una vez finalizado el asistente podéis modificar la directiva y añadir certificado o tarjeta inteligente (pag. 36). Fijaros también que escoge MS-CHAPv2, eso significa que nuestros clientes no necesitan certificados y se van autenticar con la cuenta de equipo de Windows o de usuario. Puedo añadir certificados de tal forma que vaya con PEAP y certificados.
Ahora tocaría configurar la GPO que afecta a los equipos cliente de Windows 7 con los servicios y la configuración de la conexión de red.
Navegamos a
El primer servicio es para hacer que el cliente de Windows 7 tome en cuenta NPA y el segundo es para 802.1X en redes cableadas.Este habilita una nueva pestaña en la conexión de red llamada Autenticación que me servirá para configurar la autenticación.
Ahora toca configurar las conexiones de red por GPO
Si utilizo PEAP y MSCHAPV2 entonces seria:
Fijaros que justo de bajo de PEAP permite escoger a quien quereis autenticar (Equipo o Usuario)
También puedo combinar PEAP con certificados
o solo certificados
Ahora solo queda el switch Cisco, aqui teneis un ejemplo de configuracion:
Nombre Switch
hostname S1
Configuracion de AAA para dot1x con Radius
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server host IPServidorNPS auth-port 1645 acct-port 1646 key clavecompartida
Activacion de 802.1X
dot1x system-auth-control
interface range FastEthernet0/1 – 24
switchport mode access
dot1x port-control auto
spanning-tree portfast
Pues a probarlo.