Microsoft Lync Server
Header

NPS: Autenticación 802.1X y Asignación de VLAN

abril 16th, 2013 | Posted by Santiago Buitrago in Lync Server

​Después de configurar la autenticación 802.1x tanto para las redes ​cableadas como inalámbricas, vamos a ver como podemos asignar a los usuarios a distintas VLANs directamente desde el NPSAsignacion_VLAN_Esquema_1.jpg

Como imagino que os habréis leido los dos anteriores artículos (NPS: Autenticación 802.1x para nuestra red inalámbrica y NPS: Autenticación 802.1X Red Cableada) en donde hemos configurado las redes inalámbricas y cableadas con autenticación 802.1x, voy a mostrar únicamente la configuración necesaria para asignar a cada usuario una VLAN una vez autenticado. Lo que quiero mostraros es algo muy sencillo, y como véis en el esquema anterior tenemos varias VLAN:

VLAN 5: Red de usuarios corporativos

VLAN 10: Servidores de la empresa: Controlador de Dominio, Servidor NPS y Servidor de PKI

VLAN 15: Red de usuarios externos: cliente, colaboradores, etc….
Disponemos del siguiente hardware, he tratado de hacerlo pensando siempre en un cliente que no puede realizar grandes inversiones en hardware, para que veáis que todo el mundo puede disponer de una red con cierto grado de seguridad:
Switch: VLANs, Autenticación 802.1x y TRUNK
Acess Point: Soporte 802.1x
Router: Router-on-Stick o tener varias interfaces L3
Como véis no son tan exigentes los requisitos, son características que cualquier hardware profesional debería soportar. Bueno al grano, la idea es que tengamos una configuración simple pero que nos permita de manera fácil asignar a los usuarios a una VLAN u otra en función de la directiva de red que los autentique. Yo propongo tener dos directivas, una para los usuarios corporativos y otra para los usuarios externos a la organización. La configuración inicial es exactamente igual que la configuración de autenticación 802.1x, pero vamos a ver que tenemos que configurar a mayores para asignar a los usuarios a una u otra VLAN. Editamos la directiva de red y vamos a la pestaña Configuración  y vamos a la opción Estándar. Estos son los atributos que debéis añadir:

Asignacion_VLAN_1.jpg
Añadimos el atributo Service-Type y elegimos Authenticate Only
Asignacion_VLAN_2.jpg

Añadimos Tunnel-Medium-Type y seleccionamos 802 (includes all 802 media plus Ethernet canonical format)
Asignacion_VLAN_3.jpg
Asignacion_VLAN_4.jpg

 

Este es el atributo que debe corresponder con el número de VLAN que teneís creada en el Switch, elegimos Tunnel-Pvt-Group-ID
Asignacion_VLAN_5.jpg
Asignacion_VLAN_6.jpg
Por último añadimos el tipo de tunel con el atributo Tunnel-Type y elegimos Virtual Lans (VLAN)
Asignacion_VLAN_7.jpg
Asignacion_VLAN_8.jpg
Ya hemos finalizado la configuración del NPS para los usuarios que deben moverse a la VLAN 5, ahora debemos hacer lo propio para los usuarios de la VLAN 15. No vamos a tocar la VLAN 10 porque ahi están los servidores, únicamente la he añadido para que esten fuera del resto de redes. Cuidado con el tipo de autenticación, puesto que para los usuarios inalámbricos debéis elegir un tipo de autenticación más «relajado» para que cualquier tipo de dispositivo se pueda conectar sin que para ello tengáis que realizar ciertas configuraciones en sus dipositivos:Asignacion_VLAN_9.jpg

 

En la configuración de la red inalámbrica el punto de acceso debe soportar el modo TRUNk en su puerto de red, lo que permita subir el tráfico de ambas VLANs que asignaremos a los distintos usuarios. En la interface en donde conectemos el AP debe estar configurado en modo TRUNK  y permitiendo únicamente subir tráfico de las VLAN 5 Y 15, evitando así que cualquier usuario qu epueda enviar tráfico etiquetado de la VLAN 10 y tener acceso a dicha VLAN. En la parte del switch para los equipos que se conectan a la red cableada, el concepto  es el mismo. Una cosa es estar en la VLAN 10 y otra tener acceso, tener acceso lo tendremos mediante un dispositivo de Capa 3 (L3) y para esto tenemos el router. Podemos tener Switchs de L3 pero tienen un coste considerable, por eso he comenzado el artículo comentando que era una implementación para todas las empresas con hardware más modesto. La configuración del Router es en donde debemos prestar más atención, puesto que el será el encargado  de comunicar a nivel de red las distintas VLANs. Imaginemos que el esquema lógico es el siguiente:

 

Asignacion_VLAN_Esquema_IP.jpg
No voy a poner las configuraciones de las ACL, etc.. porque cada uno tendrá su propio hardware y sus configuraciones. Yo lo he simulado con tecnología Cisco, de ahí que pueda utilziar términos como Router-on-Stick. La idea es que entre la VLAN 5 y 10 se puedan conectar libremente entre si, pero los usuarios de la VLAN 15 solo tengan acceso a Internet. La conexión a Internet de los usuarios de la VLAN 15 debería estar limitada a los siguientes protocolos:

 

DNS (UDP 53)

HTTP (TCP 80)

HTTPS (TCP 443)

SMTP CLIENTE (TCP 587)

PO3 (TCP 110)

Si les queréis habilitar más protocolos ya sería cosa vuestra o de máxima necesidad, pero se supone que tenemos que asegurar las comunciaciones de la empresa. Además, los usuarios externos tendrán sus propios equipos, con o sin actualizaciones, antivirus, etc.. así que no debéis arriesgar.

Por cierto con esta configuración para los usuarios de la red inalámbrica evitamos tener dos SSID, puesto que en función del usuario que se haya autenticado ya estará o no en la red de la empresa sin necesidad de configurar varios SSID o tener varios AP.

Os recuerdo que esta es una configuración muy simple para empresas con pocos recursos económicos para manejar la seguridad de la empresa, porque se deberían ampliar las medidades de seguridad de la red, pero por lo menos tienen algo con ciertas garantías

Espero que os sea de utilidad!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *