Microsoft Lync Server
Header

Lync: Grupos de Respuesta (Parte II)

abril 16th, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

Seguramente cuando configuramos nuestro IVR (respuesta interactiva de voz) queremos que se reproduzca una locución cuando alguien llame a nuestra empresa. Para esto debemos crear primero el fichero de Audio con el siguiente formato:

  • Archivo de 8 bits o de 16 bits
  • Formato de modulación lineal por impulsos codificados (LPCM), A-Law o mu-Law
  • Mono o estéreo
  • 4 MB o menos
Podemos crear este fichero de audio con Microsoft Expression Encoder 4 u otras aplicaciones. Yo personalmente utilizo Audacity por el soporte de múltiples formatos de audio que soporta y la facilidad de utilización.
Los ficheros de audio utilizados en nuestros Flujos de Trabajo (Grupos de búsqueda o Interactivo)  son utilizados para el mensaje de Bienvenida, Música en Espera (MOH), Fuera de Horario Comercial, Vacaciones y los Menús interactivos, pero todos utilizan el mismo formato de audio.
audio_lync_gr_18.jpg
Lo primero que debemos hacer es instalar el Audacity, para ello lo podemos descargar desde aqui y su instalación es muy simple
audio_lync_gr_1.jpgaudio_lync_gr_2.jpg
audio_lync_gr_3.jpgaudio_lync_gr_4.jpg
audio_lync_gr_5.jpgaudio_lync_gr_6.jpg
audio_lync_gr_7.jpgaudio_lync_gr_8.jpgUna vez que hemos finalizado la instalación vamos a ver como podemos configurar este software para grabar nuestros ficheros de audio con el formato que necesita nuestro Lync:

audio_lync_gr_9.jpg
seleccionamos el altavoz del equipo para las reproducciones de lo que hemos grabado, el micrófono que utilizaremos para la grabación y los canales de entrada (1 Mon, 2 Estéreo)
audio_lync_gr_11.jpg
Una vez que hayamos configurado todas las opciones disponibles únicamente debemos pulsar en el botón de grabar y comenzará la grabación
audio_lync_gr_12.jpg
Como todo editor de audio que se precie podemos editar el la grabación, subir volúmen, quitar ruidos externos, etc.. y por supuesto elegir que parte de la grabación queremos guardar o eliminar.
audio_lync_gr_19.jpg
Si queremos guardar solo una parte de la grabación  únicamente debemos seleccionar la parte de la grabación que queremos exportar (esto creará el fichero de audio con el formato que deseemos)
audio_lync_gr_20.jpgAhora nos preguntará la ubicación del fichero que vamos a guardar y su formato en nuestro caso WAV (Microsoft) PCM de 16 bits con signo

audio_lync_gr_21.jpg
Para la utilización de otros formatos es posible que necesitéis descargar los códecs necesarios, los tenéis aqui disponibles:
Estos son los formatos que soporta Audacity cuando vamos a guardar el ficheros de audio y cada uno con su codificación
audio_lync_gr_26.jpg
Podemos elegir formatos específicos tipo AU para los códecs U-Law, A-Law, G721, G723, etc…
audio_lync_gr_27.jpg
Una vez que tenemos guardado el fichero con el formato adecuado solo tenemos que subirlo a nuestro Flujo de Trabajo:
Mensaje de Bienvenida
audio_lync_gr_22.jpg
Mensaje Fuera de Horario Comercial
audio_lync_gr_23.jpgMensaje de Vacaciones

audio_lync_gr_24.jpg
Música en Espera (MOH)
audio_lync_gr_25.jpgAhora que tenemos los ficheros de audio preparados ya podemos empezar con la configuración de IVR, ahora debemos tener claro el enrutamiento de llamadas que tendremos en nuestro sistema. Esto lo veremos en el próximo y último artículo de Grupos de Respuesta

Espero que os sea de utilidad!!!

,

Lync: Grupos de Respuesta (Parte I)

abril 16th, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

Seguramente parte del éxito de Lync para ser una de las tecnologías más afianzadas en el mercado de las comunicaciones unificadas, es debido a su IVR (Respuesta Interactiva de Voz). Esto hace que Lync se convierta en un firme competidor frente a otras tecnologías cuando estamos pensando en reemplazar nuestras IP-PBX.

Lync_IVR_Esquema.jpg

Configurar un IVR en algunas tecnologías es por lo menos complejo, además de oblligarte a conocer distintos lenguajes de creación de scripts, etc… Con Lync tenemos la posibilidad de montar toda la parte de IVR en menos de 10 minutos para una empresa de tamaño medio. Además, de que las configuraciones son muy sencillas tienen múltiples opciones como os iré comentando a lo largo de estos artículos de los Grupos de Respuesta.

Un Grupo de Respuesta nos permite poner en cola o enviar las llamadas entrantes a un grupo de usuarios conocidos como agentes. Pensad por ejemplo en un grupo de técnicos de HelpDesk que están constantemente recibiendo llamadas de soporte, un único agente no puede contestar todas las llamadas y debemos tener una solución profesional para que distribuya esas llamadas entre todos los agentes del departamento. De tal forma que todos los agentes puedan recibir llamadas de los clientes sin que nadie tenga que transferirlas manualmente, de esta forma tendremos un sistema de telefonía que será capaz de decidir que agente está «libre» para poder contestar la llamada. Esto claramente nos permite ser más eficientes, además de lograr que los clientes sean atendidos más rápidamente o que estén a la espera en la cola de llamadas para que pueda ser antentido por un agente.  Una de las ventajas que tiene Lync es que los usuarios pueden estar en cualquier parte del mundo y contestar a las llamadas sin problema alguno, con que estén conectados es suficiente. Esto es una gran diferencia con el resto de lo sistemas de comunicaciones, con esto logramos que el teletrabajo sea algo normal y cotidiano.

Los Grupos de Respuesta de Lync por supuesto son multiidioma y, de forma predeterminada se instalana 26 paquetes de idiomas

Lync_IVR_2.jpg
El idioma seleccionamos será el utilizado para la conversión de los mensajes de bienvenida a voz o la función de reconocimiento de voz

Lync_IVR_3.jpg

IVR (Respuesta Interactiva de Voz) nos permite configurar un sistema de preguntas y respuestas para gestionar las llamadas entrantes. Esto suele ser muy común cuando tenemos varios departamentos dentro de la empresa y queremos optimizar la recepción de las llamadas al SAT (Servicio de Atención al Cliente). De esta forma mostraremos al usuario una locución para que el usuario pueda elegir con que departamento quiere hablar, aqui tenéis un ejemplo que seguro os sonará:

«Bienvenido a Lync Corporate, pulse el 1 para hablar con el departamento de Soporte, pulse el 2 si quiere hablar con el departamento de Ventas, pulse el 3 si quiere hablar con el departamento de Calidad, pulse el 4 si quiere hablar con Administración, en caso contrario espere y será atendido por un operador, muchas gracias»

Si dejamos que Lync lo convierta a voz este sería el resultado (en inglés funciona mejor), en caso de que la calidad de la traducción no sea la más «acertada» siempre podemos ir ajustando el texto para que lo pueda reproducir mejo. Por ejemplo en vez de poner números (1) podemos escribirlos (uno) y veréis como lo convertirá mejor:

640,360,http://www.youtube.com/v/Np3l58Vm8po?version=3&hl=es_ES,true
Además una vez que el usuario ha elegido una primera opción, podemos tener más opciones de enrutamiento para que el usuario pueda hablar con la persona más adecuada para atender su llamada:

Opción 2: «Pulse el 1 para hablar con Soporte de Servidores, Pulse el 2 para hablar con Soporte de Redes, Pulse 3 para hablar con Soporte de Aplicaciones, en caso contrario espere y será atentido por un agente»

También podemos definir los horarios disponibles: Horario Comercial, Fuera del Horario Comercial y Vacaciones, esto es siempre muy útil para alinear las horas de soporte con la disponisiblidad de los agentes. Además de informar al cliente nuestro horario, podemos enviar su llamada a un buzón de voz y este a su vez a una lista de dsitribución de correo para que los agentes puedan reproducirlo en cualquier momento y ponerse en contacto con la persona que ha llamado.

Horario Comercial y Fuera del Horario Comercial

Lync_IVR_4.jpg
Una vez comentado esto, vamos a ver como podemos configurarlo en nuestro Lync Server 2013 (Lync 2010 también tiene soporte de IVR). La configuración podemos hacerla mediante PowerShello el Panel de Control de Lync, Microsoft recomienda que si tenemos más de 300 WF (Flujos de Trabajo ) lo hagamos mediante PowerShell, mientras lo haremos mediante el Panel  de Control . Abrimos el Panel de Control de Lync y vamos a la opción Grupos de Respuesta

Lync_IVR_1.jpg

Tenemos disponibles tres opciones:

  • Flujo de Trabajo: en donde configuraremos la parte de IVR (Grupo de búsqueda o Interactivo)
  • Cola: crearemos las colas de llamadas y sus parametrizaciones
  • Grupo: crearemos los grupos de agentes y como se enrutarán las llamadas

En el siguiente artículo veremos como configurar un Grupo de búsqueda y sus diferentes opciones de configuración, la idea es configurar algo similar al esquema que he puesto al principio del artículo (Esquema)

Espero que os sea de utilidad!!!

,

NPS: Autenticación 802.1x para nuestra red inalámbrica

abril 16th, 2013 | Posted by Santiago Buitrago in Directivas de Grupo | Lync Server | Windows Server - (0 Comments)

​Todos conocéis las debilidades de las redes inalámbricas, pero luego a la hora de la configuración parece que muchos técnicos tienen pánico a configurar 802.1x. Hoy en día es vital para muchas empresas disponer de conectividad inalámbrica, tanto para la red de datos como la de voz, y la de voz cada día está más presente en casi todos los ámbitos. Seguro que muchos de vosotros conocéis a alguien que se ha conectado a una red Wireless de otra persona, sin su consentimiento y encima consumiéndole todo el ancho de banda de su conexión a Internet. Yo no voy a decir nada al respecto sobre esta práctica cada día más común, creo que sino respetamos a nuestro prójimo …. mal andamos. Pero esto no es de lo que quiero hablaros, ni mucho menos, pero vamos a ver como podemos tratar de minimizar el riesgo de ataques a este tipo de redes.

Vamos por partes, primero identificaremos que necesitamos para configurar 802.1x en nuestra empresa. Partiendo de la base  de que queremos autenticar a los usuario y/o equipos del dominio con sus correspondientes certificados, esto es lo que vamos a necesitar:

  1. Una CA para emitir los distintos certificados a usuarios y equipos
  2. Un AP que soporte 802.1x
  3. Servidor Radius: Windows 2000-2003 IAS y Windows 2008 – 2012 NPS

Como vemos los requisitos no son nada exigentes, hoy por hoy un AP que soporte 802.1x (WPA2-Enterprise) tiene un coste entre 60€ y 120€. Por lo que es asequible para todas la empresas, y estoy seguro de que muchos de vosotros ya tenéis ese equipo en vuestra empresa. Si ya disponemos de todo lo necesario para implementar 802.1x en nuestra empresa, vamos a comenzar con la configuración

CONFIGURACIÓN CA

Instalación de una CA: os dejo aquí un enlace a un artículo anterior que había escrito donde podéis ver como configurar una CA en Windows Server 2012 (es muy similar en las versiones anteriores): Windows Server 2012, Instalación de una CA

Una vez que hemos instalado la CA vamos a configurar una GPO para que emita certificados de equipo y usuario automáticamente, de tal forma que forcemos la solicitud de ambos certificados en nuestra infraesctura. Para ello primero abrimos la consola de Administrador de Directivas de Seguridad y creamos una GPO que vincularemos a nivel de dominio, de tal forma que nos aseguramos de que se aplica a todos los equipos y usarios, si queremos que se aplique a todos a excepción de algunos equipos o usuarios, filtraremos dicha directiva.Autenticacion_802.1x_Wireless_2.jpg

Una vez creada la GPO empezamos a editarla, tenemos que configurar las dos partes de la directiva, a nivel de equipo y de usuario:

Configuración del equipo

Configuración del Equipo – Configuración de Windows – Configuracón de Seguridad – Directivas de clave pública – Configuración de la solicitud de certificados automática – Nuevo – Solicitud de certificados automática …Autenticacion_802.1x_Wireless_3.jpg

pulsamos en Siguiente
Autenticacion_802.1x_Wireless_4.jpg

seleccionamos Equipo y en SiguienteAutenticacion_802.1x_Wireless_5.jpg
pulsamos en Finalizar
Autenticacion_802.1x_Wireless_6.jpg

y ya tenemos nuestra solicitud automática de certificados de equipo completadaAutenticacion_802.1x_Wireless_7.jpg

Configuración de Usuarios

Configuración de Usuario – Directivas – Configuración de Windows – Directivas de clave pública – Cliente de Servicios de servidor de certificados – Inscripción automáticaAutenticacion_802.1x_Wireless_8.jpg
pero fijaros que bonita sorpresa tenemos aqui, desde esta directiva solicitará el certificado de usuario y equipo a la vez, además configuraremos la renovación automática de ambos  al 10% de expiración del mismoAutenticacion_802.1x_Wireless_9.jpg

Configurando esta directiva no necesitamos configurar la parte de directiva del equipo, pero he aprovechado para mostrar como se haría si necesitáis configurar solo la inscripción de certificados de equipos. La autenticación de los equipos es la más recomendada si los equipos pertencen al dominio, puesto que el equipo ya se ha autenticado en la red inalámbrica antes de que el usuario haya iniciado sesión, sino resultaría imposible (a menos que tengáis habilitado los inicios de sesión en cache (para mi, no recomendado) ). Ahora que lo hemos configurado únicamente debemos esperar a que se aplique la directiva a los usuarios y se vayan emitiendo los certificados. De paso  voy a explicaros como podemos evitar que a ciertos usuarios se les aplique esta configuración, vamos a crear un grupo de dominio local y lo utilizaremos  para evitar que se aplique esta directiva a los usuarios que sean miembros de dicho grupo. El grupo que he creado se llama GPO Deny Inscripcion Certificados y he añadido como miembros al grupo Admins. del Dominio y otro usuario cualquiera, evitando así que se les aplique a estos usuarios. Pero tener en cuenta que si hacemos esto, y solo hemos configurado la parte de directiva correspondiente a los usuarios, los equipos donde ellos inicien sesión no solicitará el correspondiente certificado, así que si queréis podríais dejar la configuradión de equipo habilitada. Ahora agregaremos el grupo GPO Deny Inscripcion Certificados a la GPO y denegaremos que se aplique la directiva:
Autenticacion_802.1x_Wireless_10.jpg

CONFIGURACIÓN AP

Voy a mostraros dos AP diferentes para que veáis como podemos configurar cada uno de ellos, para que envíe las solicitudes de autenticación a un servidor NPS (RADIUS). Los modelos que tengo son los siguientes:

MARCA​ MODELO​
LINKSYS ​WAP200 Wireless-G Access Point
​CISCO C1140-K9W7-M

​WAP200 Wireless-G Access Point

Autenticacion_802.1x_Wireless_11.jpg

Cisco AP C1140-K9W7-M
aaa new-model
aaa group server radius RadiusEAP
 server 192.168.250.12 auth-port 1812 acct-port 1813
!
dot11 ssid Asirsl.com
   max-associations 10
   authentication open eap EAP_WIFI
   authentication network-eap EAP_WIFI
   authentication key-management wpa version 2
!
interface Dot11Radio0
 encryption mode ciphers aes-ccm tkip
 ssid Asirsl.com
!
radius-server host 192.168.2.12 auth-port 1812 acct-port 1813 key clave_conectar_nps

Como vemos la configuración de los AP (cliente radius) es muy sencilla, únicamente debemos elegir el modo de seguridad, la IP del servidor RADIUS y la clave compartida que utilizarán ambos para autenticarse entre ellos. Ahora únicamente nos queda configura el servidor RADIUS o NPS según la versión de Windows Server que tengamos. Una vez instalado el rol de Servidor de Directivas de Redes (NPS) podemos empezar con la configuración, y consta de los siguientes pasos:

  1. Registrar Servidor en Active Directory
  2. Añadir los Clientes Radius
  3. Crear las Directivas de Red

Ahora voy a explicar cada uno de los puntos comentados, vamos a empezar por Registra el Servidor en el Active Directory. Esto permite habilitar los servidores NPS para que pueda tener acceso a las credenciales de la cuenta de usuario y las propiedades de acceso telefónico en Active Directory, el servidor que ejecuta NPS debe estar registrado en Active Directory. Esto podemos hacerlo vía GUI o línea de comandos:

GUI, desde la consola del Servidor de directivas de redes pulsamos con el botón secundario del ratón encima del nombre del servidor y pulsamos en Registrar servidor en Active Directory ((en mi caso no os lo puedo mostrar porque lo había hecho con anterioridad, pero únicamente es pulsar en Registrar .. y Aceptar la ventana de confirmación)

Autenticacion_802.1x_Wireless_12.jpg
CLI, desde una línea de comandos (CMD) con derechos administrativos debemos ejecutar el siguiente comando:

netsh ras add registeredserver

Si queremos añadir nuestro NPS en otro dominio de nuestro bosque, podemos hacerlo también de dos formas. Si lo hacemos mediante GUI únicamente debemos agregar al servidor como miembro del grupo Servidores RAS e IAS  de dicho dominio. Y si lo hacemos desde una línea de comandos lo haremos con el siguiente comando:  netsh ras add registeredserver Dominio ServidorNPS

Una vez que hemos registrado  el NPS, empezaremos la configuración. Abrimos la consola de Servidor de directivas de Redes y agregamos los AP como clientes Radius:

Nombre Descriptivo: Nombre con el que distingamos el AP que estamos configurando

Dirección (IP ó DNS): La IP o FQDN del dispositivo si tenemos el registro DNS creado

Secreto Compartido: Clave utilizada para autenticarse entre ambos

Confirmar Secreto Compartido: Confirmación de la clave utilizada para autenticarse entre ambos

Autenticacion_802.1x_Wireless_13.jpg
Autenticacion_802.1x_Wireless_14.jpg
Ahora debemos configuar la directiva de red en la cual definiremos las diferentes condiciones que debe cumplir un usuario o equipo para autenticarse. Vamos a empezar por la directiva que autenticará los equipos del dominio, vamos a la opción Directivas de red y pulsamos con el botón secundario del ratón y hacemos click en Nuevo y podemos guiarnos con el asistente
Autenticacion_802.1x_Wireless_15.jpg
primero escribimos el nombre de la directiva, debemos escribir algo descriptivo para que nos permita identificarla, en nuestro caso Autenticación Equipos Wireless
Autenticacion_802.1x_Wireless_16.jpg
ahora debemos empezar a definir las condiciones que tendrán que cumplir los equipos para continuar procesando la directiva, pulsamos en Agregar para añadir las distintas condiciones

Autenticacion_802.1x_Wireless_17.jpg

seleccionamos Grupo de Equipos y pulsamos en Agregar
Autenticacion_802.1x_Wireless_18.jpg
Autenticacion_802.1x_Wireless_19.jpg
yo voy a elegir el grupo Equipos del Dominio, pero si no queréis que todos los equipos del dominio puedan utilizar la red Wireless con Certificados, debéis crearos otro grupo y añadirlo sin más
Autenticacion_802.1x_Wireless_20.jpg
Autenticacion_802.1x_Wireless_21.jpg
Ahora tenemos nuestra primera condición que deben cumplir los equipos si se quieren conectar utilizando esta directiva de red, tenemos múltiples opciones para configurar:

Autenticacion_802.1x_Wireless_23.jpg

 

Autenticacion_802.1x_Wireless_24.jpg
Autenticacion_802.1x_Wireless_25.jpg
Autenticacion_802.1x_Wireless_26.jpg
Autenticacion_802.1x_Wireless_27.jpg
Autenticacion_802.1x_Wireless_28.jpg
Autenticacion_802.1x_Wireless_29.jpg
Como vemos tenemos infinidad de posibilidades, así que os dejo a vosotros las reviséis con detalle cada una de ellas. Ahora que hemos definido las condiciones necesarias, pulsamos en Siguiente, seleccionamos Acceso concedido que es lo que buscamos en esta directiva y pulsamos en Siguiente
Autenticacion_802.1x_Wireless_30.jpg
Ahora llega la parte más interesante y en la cual debemos prestar mucha atención, desmarcamos todas los Métodos de autenticación menos seguros y pulsamos en Agregar
Autenticacion_802.1x_Wireless_31.jpg
ahora debemos elegir el método de autenticación que permitamos en esta regla de red, seleccionamos Microsoft: Tarjeta inteligente u otro certificado

Autenticacion_802.1x_Wireless_32.jpg

pulsamos en Editar, seleccionamos el certificado que utilizará el servidor para identificarse antes los equipos que utilicen esta regla de red, Aceptamos y pulsamos en Siguiente
Autenticacion_802.1x_Wireless_33.jpg
Autenticacion_802.1x_Wireless_34.jpg
Podemos configurar restricciones, si la solicitud no cumple con todas las restricciones se deniega la conexión, nosotros vamos a especificar que se aplicará esta directiva cuando el medio conexión que se trata de utilizar es una conexión inalámbrica. Pero podemos definir otras opciones:

Tiempo de espera de inactividad: el tiempo en minutos que utilizará el servidor para desconectar una sesión en inactividad

Tiempo de espera de sesión: el tiempo máximo en minutos que un usuario puede estar conectado a la red inalámbrica (en nuestro caso)

Identificador de llamada: esto es para conexiones de marcado, si queremos habilitar la conexión a determinados números de teléfono

Restricciones de día y hora: dias y horas en los que se permite la conexión

pulsamos en Siguiente

Autenticacion_802.1x_Wireless_35.jpg
ahora podemos configurar atributos adiciones de RADIUS, Proveedores, Cumplimiento de NAP, etc… esto lo veremos en otro artículo, pulsamos en Siguiente
Autenticacion_802.1x_Wireless_36.jpg

 

ahora nos muestra un resumen de la directiva que hemos terminado de configurar y pulsamos en Finalizar

 

Autenticacion_802.1x_Wireless_37.jpg

 

ahora la tenemos disponible en la rama Directivas de Red
Autenticacion_802.1x_Wireless_38.jpg
Si ahora queremos configurar la directiva para autenticar el acceso a la red inalámbrica pero en vez de autenticar los equipos queremos autenticar los usuarios, podemos «clonar» la directiva porque es exactamente igual solo que debemos cambiar las condiciones. Primero vamos a clonar la directiva, pulsamos con el botón secundario del ratón y seleccionamos Duplicar Directiva

 

Autenticacion_802.1x_Wireless_39.jpg
ahora se ha creado con el nombre Copia ….. y se encuentra deshabilitada, así que ahora primero vamos a editarla y vamos a la pestaña Condiciones, quitamos la condiciones que tenemos y pulsamos en Agregar
Autenticacion_802.1x_Wireless_41.jpg
ahora seleccionamos Grupos de usuarios y agregamos el grupo de usuarios que queremos que puedan conectarse a la red inalámbrica, yo voy a añadir Usuarios del Dominio, pero lo suyo sería un grupo nuevo para filtrar quien se puede conectar
Autenticacion_802.1x_Wireless_23.jpg
Autenticacion_802.1x_Wireless_42.jpg
ahora debemos habilitarla, pulsamos con el botón secundario del ratón y seleccionamos Habilitar
Autenticacion_802.1x_Wireless_43.jpg
Las directivas de procesan en orden secuencial de arriba a abajo, la primera que coincida es que se aplica por lo que debemos tenerlo muy en cuenta. Lo que yo voy a hacer es subirlas a las primera posiciones, para ello pulso con el botón secundario del ratón en cada una de las directivas y selecciona subir o bajar según proceda.
Autenticacion_802.1x_Wireless_44.jpg
Por último quedaría configurar los equipos clientes, como ya damos por hecho de que tienen los certificados correspondientes, solo debemos configurar el perfil de la red inalámbrica. Vamos a empezar por configurar la conexión inalámbrica que autenticará los equipos:
Autenticacion_802.1x_Wireless_45.jpg
Autenticacion_802.1x_Wireless_46.jpg
para configurar la conexión que autentique con el certificado del usuarios debemos modificar únicamente la Configuración avanzada y seleccionar Autenticación de usuariosAutenticacion_802.1x_Wireless_47.jpg
Una vez configurado el equipo intentará conectar a la red inalámbrica y el AP enviará la solicitud de autenticación al NPS, allí podemos revisar el LOG para ver si se ha concedido o no el acceso a la red. Si se cumplen todas las condiciones establecidas, se conectará a la red empresarial
Autenticacion_802.1x_Wireless_48.jpg
LOG de NPS:
192.168.0.50,host/Asirport01.asirsl.com,12/15/2012,19:35:48,IAS,SRV-CENTRAL1,4,192.168.0.50,5,0,30,FC-FB-FB-02-6A-09,31,A0-88-B4-09-D4-CC,12,1400,61,19,77,CONNECT 11Mbps 802.11b,4108,192.168.100.3,4116,0,4128,SRV-VMM00,4154,Usar autenticación de Windows para todos los usuarios,4155,1,4129,ASIRSL\ASIRPORT01$,4127,5,4149,Autenticacion Equipos Wireless,25,311 1 192.168.250.10 09/13/2012 00:21:28 17985,8136,1,8153,0,8111,0,4130,asirsl.com/Asirsl/Equipos/Equipos/ASIRPORT01,4132,Microsoft: Tarjeta inteligente u otro certificado,4136,1,4142,0
192.168.0.50,host/Asirport01.asirsl.com,12/15/2012,19:35:48,IAS,SRV-CENTRAL1,25,311 1 192.168.250.10 09/13/2012 00:21:28 17985,8153,0,8111,0,4132,Microsoft: Tarjeta inteligente u otro certificado,4108,192.168.100.3,4116,0,4128,SRV-VMM00,4154,Usar autenticación de Windows para todos los usuarios,4155,1,4129,ASIRSL\ASIRPORT01$,4127,5,4149,Autenticacion Equipos Wireless,8136,1,7,1,6,2,4294967207,2,4294967206,4,4130,asirsl.com/Asirsl/Equipos/Equipos/ASIRPORT01,4136,2,4142,0

Nos os fijéis en los nombres de la directiva ni servidores, puesto que no utilizo el LAB para configurar mi red inalámbrica, con más condiciones y restricciones pero la autenticación se con el certificado de equipo.

Autenticacion_802.1x_Wireless_49.jpg
Si utilizase la autenticación de usuario sería con el siguiente certificado

Autenticacion_802.1x_Wireless_50.jpg

Esto se puede complicar tanto como queráis, ya es cosa vuestra la adaptación a vuestra empresa. Pero como véis no es excesivamente complejo, pero tiene múltiples opciones que lo hacen muy potente. Porque no hemos visto NAP, pero lo haré en otro artículo pero es muy interesante.

Ahora tendremos un nivel de seguridad interesante, además de poder controlar desde el AD quien puede conectarse, un registros de LOGS, etc…

Espero que os sea de utilidad!!!

NPS: Autenticación 802.1X y Asignación de VLAN

abril 16th, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

​Después de configurar la autenticación 802.1x tanto para las redes ​cableadas como inalámbricas, vamos a ver como podemos asignar a los usuarios a distintas VLANs directamente desde el NPSAsignacion_VLAN_Esquema_1.jpg

Como imagino que os habréis leido los dos anteriores artículos (NPS: Autenticación 802.1x para nuestra red inalámbrica y NPS: Autenticación 802.1X Red Cableada) en donde hemos configurado las redes inalámbricas y cableadas con autenticación 802.1x, voy a mostrar únicamente la configuración necesaria para asignar a cada usuario una VLAN una vez autenticado. Lo que quiero mostraros es algo muy sencillo, y como véis en el esquema anterior tenemos varias VLAN:

VLAN 5: Red de usuarios corporativos

VLAN 10: Servidores de la empresa: Controlador de Dominio, Servidor NPS y Servidor de PKI

VLAN 15: Red de usuarios externos: cliente, colaboradores, etc….
Disponemos del siguiente hardware, he tratado de hacerlo pensando siempre en un cliente que no puede realizar grandes inversiones en hardware, para que veáis que todo el mundo puede disponer de una red con cierto grado de seguridad:
Switch: VLANs, Autenticación 802.1x y TRUNK
Acess Point: Soporte 802.1x
Router: Router-on-Stick o tener varias interfaces L3
Como véis no son tan exigentes los requisitos, son características que cualquier hardware profesional debería soportar. Bueno al grano, la idea es que tengamos una configuración simple pero que nos permita de manera fácil asignar a los usuarios a una VLAN u otra en función de la directiva de red que los autentique. Yo propongo tener dos directivas, una para los usuarios corporativos y otra para los usuarios externos a la organización. La configuración inicial es exactamente igual que la configuración de autenticación 802.1x, pero vamos a ver que tenemos que configurar a mayores para asignar a los usuarios a una u otra VLAN. Editamos la directiva de red y vamos a la pestaña Configuración  y vamos a la opción Estándar. Estos son los atributos que debéis añadir:

Asignacion_VLAN_1.jpg
Añadimos el atributo Service-Type y elegimos Authenticate Only
Asignacion_VLAN_2.jpg

Añadimos Tunnel-Medium-Type y seleccionamos 802 (includes all 802 media plus Ethernet canonical format)
Asignacion_VLAN_3.jpg
Asignacion_VLAN_4.jpg

 

Este es el atributo que debe corresponder con el número de VLAN que teneís creada en el Switch, elegimos Tunnel-Pvt-Group-ID
Asignacion_VLAN_5.jpg
Asignacion_VLAN_6.jpg
Por último añadimos el tipo de tunel con el atributo Tunnel-Type y elegimos Virtual Lans (VLAN)
Asignacion_VLAN_7.jpg
Asignacion_VLAN_8.jpg
Ya hemos finalizado la configuración del NPS para los usuarios que deben moverse a la VLAN 5, ahora debemos hacer lo propio para los usuarios de la VLAN 15. No vamos a tocar la VLAN 10 porque ahi están los servidores, únicamente la he añadido para que esten fuera del resto de redes. Cuidado con el tipo de autenticación, puesto que para los usuarios inalámbricos debéis elegir un tipo de autenticación más «relajado» para que cualquier tipo de dispositivo se pueda conectar sin que para ello tengáis que realizar ciertas configuraciones en sus dipositivos:Asignacion_VLAN_9.jpg

 

En la configuración de la red inalámbrica el punto de acceso debe soportar el modo TRUNk en su puerto de red, lo que permita subir el tráfico de ambas VLANs que asignaremos a los distintos usuarios. En la interface en donde conectemos el AP debe estar configurado en modo TRUNK  y permitiendo únicamente subir tráfico de las VLAN 5 Y 15, evitando así que cualquier usuario qu epueda enviar tráfico etiquetado de la VLAN 10 y tener acceso a dicha VLAN. En la parte del switch para los equipos que se conectan a la red cableada, el concepto  es el mismo. Una cosa es estar en la VLAN 10 y otra tener acceso, tener acceso lo tendremos mediante un dispositivo de Capa 3 (L3) y para esto tenemos el router. Podemos tener Switchs de L3 pero tienen un coste considerable, por eso he comenzado el artículo comentando que era una implementación para todas las empresas con hardware más modesto. La configuración del Router es en donde debemos prestar más atención, puesto que el será el encargado  de comunicar a nivel de red las distintas VLANs. Imaginemos que el esquema lógico es el siguiente:

 

Asignacion_VLAN_Esquema_IP.jpg
No voy a poner las configuraciones de las ACL, etc.. porque cada uno tendrá su propio hardware y sus configuraciones. Yo lo he simulado con tecnología Cisco, de ahí que pueda utilziar términos como Router-on-Stick. La idea es que entre la VLAN 5 y 10 se puedan conectar libremente entre si, pero los usuarios de la VLAN 15 solo tengan acceso a Internet. La conexión a Internet de los usuarios de la VLAN 15 debería estar limitada a los siguientes protocolos:

 

DNS (UDP 53)

HTTP (TCP 80)

HTTPS (TCP 443)

SMTP CLIENTE (TCP 587)

PO3 (TCP 110)

Si les queréis habilitar más protocolos ya sería cosa vuestra o de máxima necesidad, pero se supone que tenemos que asegurar las comunciaciones de la empresa. Además, los usuarios externos tendrán sus propios equipos, con o sin actualizaciones, antivirus, etc.. así que no debéis arriesgar.

Por cierto con esta configuración para los usuarios de la red inalámbrica evitamos tener dos SSID, puesto que en función del usuario que se haya autenticado ya estará o no en la red de la empresa sin necesidad de configurar varios SSID o tener varios AP.

Os recuerdo que esta es una configuración muy simple para empresas con pocos recursos económicos para manejar la seguridad de la empresa, porque se deberían ampliar las medidades de seguridad de la red, pero por lo menos tienen algo con ciertas garantías

Espero que os sea de utilidad!!!

NPS: Autenticación 802.1X Red Cableada

abril 16th, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

No voy a explicar como configurar el NPS porque es la misma configuración que para la red inalámbrica, ni tampoco la emisión de certificados para los equipos del dominio puesto que todo está comentado en el artículo Autenticación 802.1x en Redes Inalámbricas. Por lo que directamente iremos a la configuración que voy a tratar de explicar ahora, que es la configuración de un Switch CIsco  2960 con 802.1x. Los datos de la red son los siguientes:

Switch Cisco 2960 (Cliente RADIUS)

NPS: Windows Server 2008 R2 (SERVIDOR NPS/RADIUS)

CA: Windows Server 2008 R2 (SERVIDOR PKI)

Equipo: Windows 7 Ultimate (EQUIPO CLIENTE)

La idea es que el equipo con Windows 7 se conecte a un puerto del Switch y este le  solicite autenticación que enviará al NPS para que en función de la directiva de Red que he configurado, se le conoceda acceso o no. Como no voy a volver a comentar como se configura el NPS únicamente voy a comentar la directiva de red creada para este LAB. Debemos añadir el cliente RADIUS al NPS, para ello vamos a Clientes y servidores RADIUS – Clientes RADIUS – Nuevo y añadimos como cliente radius al Switch (IP: 192.168.100.2)

nps_red_cableada_cisco_sw_18.jpg
Ahora he creado una directiva de red con dos condiciones, la primera es que al cliente Radius sea el Switch Cisco (192.168.100.2) y la segunda ese que el equipo o usuario sea miembro de un grupo de seguridad del dominio
nps_red_cableada_cisco_sw_10.JPG
para que esta regla que puede ser parecida a otras no se solape con otra he añadido la concidión Dirección IPv4 del cliente (es la del cliente RADIUS (en nuestro caso el Switch)) , de tal forma que esta diretiva de red solo se procesará si la petición proviene del Switch. Luego además el usuario o equipo que trate de iniciar sesión debe ser miembro del grupo ACL Wireless ASIR
nps_red_cableada_cisco_sw_11.JPG
añadimos el tipo de  EAP Microsoft: EAP protegido (PEAP) (podemos añadir lo que queramos)nps_red_cableada_cisco_sw_12.JPG

seleccionamos el certificado de servidor y el tipo(s) de EAP que permitiremos
nps_red_cableada_cisco_sw_13.JPG

Ahora vamos a configurar el Switch, estos son los comandos que debemos utilizar para habilitar la autenticación 802.1x en el switch

Modo de configuración: Configuración Global

aaa new-model

aaa group server radius RadiusAuth
 server IP_SERVIDOR_NPS auth-port 1812 acct-port 1813

aaa authentication dot1x default group RadiusAuth

radius-server hostIP_SERVIDOR_NPS  auth-port 1812 acct-port 1813 key CLAVE_COMPARTIDA_AUTENTICACION_NPS

Debemos habilitar 802.1x a nivel de Switch, para ello debemos ejecutar el comando

Modo de configuración: Configuración Global

dot1x system-auth-control

Una vez que hemos configurado la parte de Radius, debemos habilitar cada puerto que queramos utilizar 802.1x, para ello accedemos a la interface correspondiente y escribimos los siguientes comandos:

Modo de configuración: Configuración Interface

interface FastEthernet0/13

 dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
dot1x reauthentication

* Si queremos aplicar la configuración a varias interfaces a la vez podemos hacerlo con el siguiente comando:

Modo de configuración: Configuración Interface

interface range FastEthernet0/1 – 24

 dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
dot1x reauthentication

Ahora que ya hemos configurado el NPS y el Switch debemos configurar nuestro equipo, primero debemos iniciar el servicio Configuración automática de redes cableadas, el cual nos permitirá habilitar su utilización y configuración desde la pestaña de Autenticación en las conexiones de red. Una vez iniciado y modificado el tipo de inicio a Automático (esta configuración podemos realizarla mediante una GPO)

nps_red_cableada_cisco_sw_2.jpg

Ahora podemos ir a las propiedades de la conexión de área local  (la red cableada) e ir a la pestaña Autenticación, seleccionamos Microsoft: EAP protegido (PEAP) y en la ventana de Configuración en la opción de Autenticación seleccionamos Contraseña Segura (EAP-MSCHAP v2)

nps_red_cableada_cisco_sw_5jpg.JPG

si pulsamos en Configurar desmarcamos la casilla Usar automáticamente el nombre de inicio de sesión …  (esto lo hago así para que veáis como os solicita el usuario y contraseña para validaros, pero la idea es que la autenticación sea por equipo y con su certificado digital)

nps_red_cableada_cisco_sw_6.JPG

Una vez que tenemos todo configuramos, vamos a probarlo!!! Conectamos un cable de red al equipo y a la interface del switch en donde hemos configurado la autenticación 802.1x y vemos que nos solicita la autenticación

nps_red_cableada_cisco_sw_7.JPG

ahora introducimos un usuario y contraseña válidos (activo en el dominio, que sea miembro del grupo habiiltado en al directiva de red)

nps_red_cableada_cisco_sw_8.JPG

nps_red_cableada_cisco_sw_15.jpg

En dos o tres segundos estamos autenticados y con los datos de red necesarios (IP, DNS, etc..). Podemos hacer muchas más configuraciones, por ejemplo si el usuario o equipo no se valida correctamente que vaya a una VLAN de invitados, que una vez autenticado mover al equipo a una VLAN en concreto, etc.. pero será en otro artículo.

Por supuesto tenemos un registros de LOGS, tanto a nivel de NPS como de Swtich, pero también podemos enviarlos a un SYSLOG sinproblema:

NPS

192.168.100.2,staboas@asirsl.com,12/26/2012,17:15:50,IAS,NPSSERVER,6,2,12,1500,30,64-16-8D-87-3D-8D,31,5C-26-0A-49-D7-66,61,15,5,50013,87,FastEthernet0/13,4,192.168.100.2,4108,192.168.100.2,4116,0,4128,Switch ASIR,4154,Usar autenticación de Windows para todos los usuarios,4155,1,4129,ASIRSL\Staboas,4149,SWITCH_ASIR,25,311 1 192.168.XXX.XXX 12/22/2012 18:06:02
Switch (debug, se han eliminado partes del debug)
Dec 26 18:01:34.575: %LINK-3-UPDOWN: Interface FastEthernet0/14, changed state to up
Dec 26 18:02:11.023: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:11.023: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:11.023: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:11.023: RADIUS(0000003A): sending
Dec 26 18:02:11.023: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:11.023: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/98, len 169
Dec 26 18:02:11.023: RADIUS:  authenticator D0 BF AE C7 12 A7 4A C3 – 82 AB A6 1F 54 8A 54 12
Dec 26 18:02:11.023: RADIUS:  User-Name           [1]   20  «staboas@asirsl.com»
Dec 26 18irsl.c]
Dec 26 18:02:11.023: RADIUS:   6F 6D                [ om]
Dec 26 18:02:11.023: RADIUS:  Message-Authenticato[80]  18  :02:11.023: RADIUS:  Service
Dec 26 18:02:11.023: RADIUS:   7E 5A 03 CA 5E AD 95 6F AB D8 D6 01 17 02 0B D4              [ ~Z^o]
Dec 26 18:02:11.023: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
Dec 26 18:02:11.023: RADIUS:  NAS-Port            [5]   6   50014
Dec 26 18:02:11.023: RADIUS:  NAS-Port-Id         [87]  18  «FastEthernet0/14»
Dec 26 18:02:11.023: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:11.057: RADIUS: Received from id 1645/98 192.168.250.10:1812, Access-Challenge, len 90
Dec 26 18:02:11.057: RADIUS:  authenticator 32 7A 21 BC 63 A0 F7 F8 – 73 08 7F 55 D1 94 25 DF-Type        [6]       [27]  6   30
Dec 26 18:02:11.057: RADIUS:  EAP-Message         [79]  8
Dec 26 18:02:11.057: RADIUS:   01 03 00 06 19 20                 [  ]
Dec 26 18:02:11.057: RADIUS:  State               [24]  38
Dec 26 18:02:11.065: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.065: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.065: RADIUS:   BA 6F E3 11 25 55 C6 7A BE 54 60 8E C6 70 58 7D         [ o?UzTpX}]
Dec 26 18:02:11.065: RADIUS(0000003A): Received from id 1645/986   Framed
Dec 26 18:02:11.065: RADIUS/DECODE: EAP-Message fragments, 6, total 6 bytes
Dec 26 18:02:11.065: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:11.073: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:11.073: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:11.073: RADIUS(0000003A): sending
Dec 26 18:02:11.073: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:11.073: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/99, len 289
Dec 26 18:02:11.073: RADIUS:  authenticator FC 0E 04 AF 84 DF 62 9B - FB 43 42 B4 27 FD A8 25  [2]
Dec 26 18:02:11.023: RAD   [1]   20  "staboas@asirsl.com"
Dec 26 18:02:11.073: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Dec 26 18:02:11.073: RADIUS:  Framed-MTU          [12]  6   1500
Dec 26 18:02:11.073: RADIUS:  Called-Station-Id   [30]  19  "64-16-8D-87-3D-8E"
Dec 26 18:02:11.073: RADIUS:  Calling-Station-Id  [31]  19  "00-0A-E4-31-18-B1"
Dec 26 18:02:11.073: RADIUS:  EAP-Message         [79]  107 IUS:  Framed-MTU          [12]  6   1500
Dec 26 18:02:11.073: RADIUS:   02 03 00 69 19 80 00 00 00 5F 16 03 01 00 5A 01 00 00 56 03 01 50 DB 3B D6 03 02 F4 ED 12 97 5F 85 D6 18 E3 A7 55 62 BE 50 B6 64 3C D1 5A 4D 63 09 1F E0 34  [i_ZVP;_UbPd<ZMc4]
Dec 26 18:02:11.073: RADIUS:   27 00 00 18 00 2F 00 35 00 05 00 0A C0 13 C0 14 C0 09 C0 0A 00 32 00 38 00 13 00 04 01 00 00 15 FF 01 00 01 00 00 0A 00 06 00 04 00 17 00 18 00 0B 00 02 01 00             [ '/528]
Dec 26 18:02:11.073: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.073: RADIUS:   B3 F2 B7 52 7A 04 54 0A 34 14 B5 F2 DF 1A 6E 52            [ RzT4nR]
Dec 26 18:02:11.073: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
De
Dec 26 18:02:11.073: RADIUS:  NAS-Port-Id         [87]  18  "FastEthernet0/14"
Dec 26 18:02:11.073: RADIUS:  State               [24]  38
Dec 26 18:02:11.073: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.073: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:11.099: RADIUS: Received from id 1645/99 192.168.250.10:1812, Access-Challenge, len 1590
Dec 2c6 18:02:11.099: RADIUS:  authenticator 5A 94 A5 7B C9 7C BC 09 - 9F 4D 6F 41 78 35 43 B0 26 18:02:11.023: RADIUS:  Called-
Dec 26 18:02:11.099: RADIUS:  Session-Timeout     [27]  6   30
Dec 26 18:02:11.099: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.099: RADIUS:   01 04 05 D8 19 C0 00 00 0C D1 16 03 01 0C CC 02 00 00 4D 03 01 50 DB 3B D3 CD 77 83 1D 3F 10 09 FC F9 2F 82 45 BB C8 E9 40 FD 97 F1 C4 6D F3 64 28 61 0D 24 C8 20 5E 1B 00 00 39  [MP;w?/E@md(a$ ^9]
Dec 26 18:02:11.099: RADIUS:   BC E5 00 CF 01 1D 4D 84 33 7C 6E F0 C7 52 FE 20 3C F7 AC 08 31 16 31 DE 26 1E 17 00 2F 00 00 05 FF 01 00 01 00 0B 00 05 0A 00 05 07 00 05 04 30 82 05 00 30 82 03 E8 A0 03 02 01 02 02 0A 49 5E 10 S11 00 00 00 00 01 F8 30  [M3|nR <11&/00I^0]tation-Id   [30]  19  "64-1 F7 0D 01 01 05 05 00 30 45 31 13 30 11 06 0A 09 92 26 89 93 F2 2C 64 01 19 16 03 63 6F 6D 31 16 30 14 06 0A 09 92 26 89 93 F2 2C  [*H0E10&,dcom10&,]
Dec 26 18:02:11.107: RADIUS:   64 01 19 16 06 61 73 69 72 73 6C 31 16 30 14 06 03 55 04 03 13 0D 41 53 49 52 53 4C  [dasirsl10UASIRSL]
Dec 26 18:02:11.107: RADIUS:   2D 43 41 52 6F 6F 74 30 1E 17 0D 31 32 30 39 32 39 32 30  [-CARoot012092920]
Dec 26 18:02:11.107: RADIUS:   34 32 34 32 5A 17 0D 31 33 30 39 32 39 32 30 34 32 34  [4242Z13092920424]
Dec 26 18:02:11.107: RADIUS:   32 5A 30 22 31 20            [ 2Z0"1 ]
Dec 26 18:02:11.107: RADIUS:  EAP-Message         [79]  255 6-8D-87-3D-8E"
Dec 26 18:02:11.115: RADIUS:   72 61 74 69 6F 6E 2C 44 43 3D 61       [ ration,DC=a]
Dec 26 18:02:11.115: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.115: RADIUS:   73 69 72 73 6C 2C 44 43 3D 63 6F 6D 3F 63 65 72  [sirsl,DC=com?cer]
Dec 26 18:02:11.115: RADIUS:   74 69 66 69 63 61 74 65 52 65 76 6F 63 61 74 69  [tificateRevocati]
Dec 26 18:02:11.115: RADIUS:   6F 6E 4C 69 73 74 3F 62 61 73 65 3F 6F 62 6A 65  [onList?base?obje]
Dec 26 18:02:11.115: RADIUS:   63 74 43 6C 61 73 73 3D 63 52 4C 44 69 73 74 72  [ctClass=cRLDistr]
Dec 26 18:02:11.115: RADIUS:   69 62 75 74 69 6F 6E 50 6F 69 6E 74 86 2B 68 74 74  [ibutionPoint+htt]18:02:11.023: RADIUS:   02 02 00 17 01 73 74 61 62 6F 61 73 40 61 73 69 72 73 6C 2E 63  [staboas@as
Dec 26 18:02:11.057: RADIUS:  Session-Timeout
Dec 26 18:02:11.073: RADIUS:  User-Name
Dec 26 18:02:11.073: RADIUS:  NAS-Port            [5]   6   50014
Dec 26 18:02:11.107: RADIUS:   0D 06 09 2A 86 48 86
Dec 26 18:02:11.124: RADIUS:  EAP-Message         [79]  233
Dec 26 18:02:11.124: RADIUS:   AD ED 27 BD D4 3D 23 FC D5 8D 7D AF E9 62 38 B8 8A 06 35 E0 36 95 73 05 19 D3 ED C4 7C A5 17 58 5F A1 9D 43 70 A6 F8 78 20  ['=#}b856s|X_Cpx ]
Dec 26 18:02:11.124: RADIUS:   FC 4C 69 C8 57 FE 32 FA FC 9F 8E 46 FE 09 89 26 84 2F A3 80 FC FE 4E 21 84 85 04 65 8F FD 83 E9 4E A3 9E 33 AF 78 B3 D5 8B 89 0D CB D9 76 7B E4 81 5A  [LiW2F&/N!eN3xv{Z]
Dec 26 18:02:11.124: RADIUS:   18 26 0C 50 29 44 62 21 BD 53 97 A8 AD 41 D5 21 2C C0 12 07 ED 49 DF 9E 77 7F A4 C0 38 D4 05 0B A2 89 0D 00 07 65 03 01 02 40 07 5F  [&P)Db!SA!,Iw8e@_]
Dec 26 18:02:11.124: RADIUS:   00 47 30 45 31 13 30 11 06 0A 09 92 26 89 93 F2 2C 64 01 19 16 03 63 6F 6D 31 16 30 14 06 0A 09 92 26 89 93 F2 2C 64  [G0E10&,dcom10&,d]
Dec 26 18:02:11.124: RADIUS:   01 19 16 06 61 73 69 72 73 6C 31 16 30 14 06 03 55 04 03 13 0D 41 53 49 52 53 4C 2D  [asirsl10UASIRSL-]
Dec 26 18:02:11.132: RADIUS:   43 41 52 6F 6F 74 00 71 30 6F 31 0B 30 09 06 03 55 04 06 13 02 53 45 31 14 30  [CARootq0o10USE10]
Dec 26 18:02:11.132: RADIUS:   12 06 03
Dec 26 18:02:11.132: RADIUS:  State               [24]  38
Dec 26 18:02:11.132: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.132: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.132: RADIUS:   82 D9 EC 0F FC 9A 09 07 29 A6 B0 9F 22 CD 0D 43               [ )"C]
Dec 26 18:02:11.132: RADIUS(0000003A): Received from id 1645/99
Dec 26 18:02:11.132: RADIUS/DECODE: EAP-Message fragments, 253+253+253+253+253+231, total 1496 bytes
Dec 26 18:02:11.141: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:11.141: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:11.141: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:11.141: RADIUS(0000003A): sending
Dec 26 18:02:11.141: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:11.141: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/100, len 190
Dec 26 18:02:11.141: RADIUS:  authenticator 5B A3 81 3D D0 89 A6 3E - 43 F2 09 63 DB 31 6E 6C
Dec 26 18:02:11.141: RADIUS:  User-Name           [1]   20  "staboas@asirsl.com"
Dec 26 18:02:11.141: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Dec 26 18:02:11.141: RADIUS:  Framed-MTU          [12]  6   1500
Dec 26 18:02:11.141: RADIUS:  Called-Station-Id   [30]  19  "64-16-8D-87-3D-8E"
Dec 26 18:02:11.141: RADIUS:  Calling-Station-Id  [31]  19  "00-0A-E4-31-18-B1"
Dec 26 18:02:11.141: RADIUS:  EAP-Message         [79]  8
Dec 26 18:02:11.141: RADIUS:   02 04 00 06 19 00
Dec 26 18:02:11.141: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.141: RADIUS:   96 E8 26 D7 98 AA CB A9 DB B2 29 81 AE 44 2E E6              [ &)D.]
Dec 26 18:02:11.141: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
Dec 26 18:02:11.141: RADIUS:  NAS-Port            [5]   6   50014
Dec 26 18:02:11.141: RADIUS:  NAS-Port-Id         [87]  18  "FastEthernet0/14"
Dec 26 18:02:11.141: RADIUS:  State               [24]  38
Dec 26 18:02:11.141: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.141: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:11.166: RADIUS: Received from id 1645/100 192.168.250.10:1812, Access-Challenge, len 1590
Dec 26 18:02:11.166: RADIUS:  authenticator 30 6E 4D A7 DF 8F D5 24 - 2B 46 39 CE A9 1D 29 6A
Dec 26 18:02:11.166: RADIUS:  Session-Timeout     [27]  6   30
Dec 26 18:02:11.166: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.166: RADIUS:   01 05 05 D8 19 40 55 04 0A 13 0B 41 64 64 54 72 75 73 74 20 41 42 31 26 30  [@UAddTrust AB1&0]
Dec 26 18:02:11.166: RADIUS:   24 06 03 55 04 0B 13 1D 41 64 64 54 72 75 73 74 20 45 78 74 65 72  [$UAddTrust Exter]
Dec 26 18:02:11.166: RADIUS:   6E 61 6C 20 54 54 50 20 4E 65 74 77 6F 72 6B 31  [nal TTP Network1]
Dec 26 18:02:11.166: RADIUS:   22 30 20 06 03 55 04 03 13 19 41 64 64 54 72 75 73 74 20 45 78 74  ["0 UAddTrust Ext]
Dec 26 18:02:11.166: RADIUS:   65 72 6E 61 6C 20 43 41 20 52 6F 6F 74 00 CD 30 81 CA 31 0B 30  [ernal CA Root010]
Dec 26 18:02:11.166: RADIUS:   09 06 03 55 04 06 13 02 55 53 31 17 30 15 06 03 55 04 0A 13 0E 56 65 72 69 53 69 67 6E 2C 20  [UUS10UVeriSign, ]
Dec 26 18:02:11.166: RADIUS:   49 6E 63 2E 31 1F 30 1D 06 03 55 04 0B 13 16 56 65 72 69 53 69 67 6E 20  [Inc.10UVeriSign ]
Dec 26 18:02:11.166: RADIUS:   54 72 75 73 74 20 4E 65 74 77 6F 72 6B 31 3A 30  [Trust Network1:0]
Dec 26 18:02:11.166: RADIUS:   38 06 03 55 04 0B 13 31 28 63 29 20 32 30 30 36 20 56 65 72 69  [8U1(c) 2006 Veri]
Dec 26 18:02:11.174: RADIUS:   53 69 67 6E 2C 20 49 6E 63 2E 20 2D 20 46 6F 72  [Sign, Inc. - For]
Dec 26 18:02:11.174: RADIUS:   20 61 75 74 68 6F 72 69 7A 65 64 20 75 73 65 20  [ authorized use ]
Dec 26 18:02:11.174: RADIUS:   6F 6E 6C 79 31 45 30 43 06 03 55 04 03 13 3C 56 65 72 69 53 69  [only1E0CU<VeriSi]
Dec 26 18:02:11.174: RADIUS:   67 6E                [ gn]
Dec 26 18:02:11.174: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.174: RADIUS:   20 43 6C 61 73 73 20 33 20 50 75 62 6C 69 63 20  [ Class 3 Public ]
Dec 26 18:02:11.174: RADIUS:   50 72 69 6D 61 72 79 20 43 65 72 74 69 66 69 63  [Primary Certific]
Dec 26 18:02:11.174: RADIUS:   61 74 69 6F 6E 20 41 75 74 68 6F 72 69 74 79 20  [ation Authority ]
Dec 26 18:02:11.174: RADIUS:   2D 20 47 35 00 61 30 5F 31 0B 30 09 06 03 55 04 06 13 02 55 53 31 17 30 15 06 03 55 04 0A 13 0E 56  [- G5a0_10UUS10UV]
Dec 26 18:02:11.174: RADIUS:   65 72 69 53 69 67 6E 2C 20 49 6E 63 2E 31 37 30  [eriSign, Inc.170]
Dec 26 18:02:11.174: RADIUS:   35 06 03 55 04 0B 13 2E 43 6C 61 73 73 20 33 20 50 75 62 6C 69  [5U.Class 3 Publi]
Dec 26 18:02:11.174: RADIUS:   63 20 50 72 69 6D 61 72 79 20 43 65 72 74 69 66  [c Primary Certif]
Dec 26 18:02:11.174: RADIUS:   69 63 61 74 69 6F 6E 20 41 75 74 68 6F 72 69 74  [ication Authorit]
Dec 26 18:02:11.174: RADIUS:   79 00 B7 30 81 B4 31 14 30 12 06 03 55 04 0A 13 0B 45 6E 74 72 75 73 74 2E 6E 65 74  [y010UEntrust.net]
Dec 26 18:02:11.174: RADIUS:   31 40 30 3E 06 03 55 04 0B 14 37 77 77 77 2E 65 6E 74 72 75 73  [1@0>U7www.entrus]
Dec 26 18:02:11.174: RADIUS:   74 2E 6E 65 74 2F 43 50 53 5F 32 30 34 38 20 69  [t.net/CPS_2048 i]
Dec 26 18:02:11.174: RADIUS:   6E 63 6F 72 70 2E 20 62 79 20 72 65 66 2E 20 28  [ncorp. by ref. (]
Dec 26 18:02:11.174: RADIUS:   6C 69 6D 69 74 73 20 6C 69 61 62 2E 29 31 25 30  [limits liab.)1?0]
Dec 26 18:02:11.174: RADIUS:   23 06 03 55 04 0B                [ #U]
Dec 26 18:02:11.174: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.174: RADIUS:   13 1C 28 63 29 20 31 39 39 39 20 45 6E 74 72 75 73 74  [(c) 1999 Entrust]
Dec 26 18:02:11.174: RADIUS:   2E 6E 65 74 20 4C 69 6D 69 74 65 64 31 33 30 31  [.net Limited1301]
Dec 26 18:02:11.174: RADIUS:   06 03 55 04 03 13 2A 45 6E 74 72 75 73 74 2E 6E 65 74 20 43 65  [U*Entrust.net Ce]
Dec 26 18:02:11.174: RADIUS:   72 74 69 66 69 63 61 74 69 6F 6E 20 41 75 74 68  [rtification Auth]
Dec 26 18:02:11.174: RADIUS:   6F 72 69 74 79 20 28 32 30 34 38 29 00 6E 30 6C 31  [ority (2048)n0l1]
Dec 26 18:02:11.174: RADIUS:   0B 30 09 06 03 55 04 06 13 02 55 53 31 15 30 13 06 03 55 04 0A 13 0C 44 69 67 69 43 65 72 74 20  [0UUS10UDigiCert ]
Dec 26 18:02:11.174: RADIUS:   49 6E 63 31 19 30 17 06 03 55 04 0B 13 10 77 77 77 2E 64 69 67 69 63 65  [Inc10Uwww.digice]
Dec 26 18:02:11.183: RADIUS:   72 74 2E 63 6F 6D 31 2B 30 29 06 03 55 04 03 13 22 44 69 67 69  [rt.com1+0)U"Digi]
Dec 26 18:02:11.183: RADIUS:   43 65 72 74 20 48 69 67 68 20 41 73 73 75 72 61  [Cert High Assura]
Dec 26 18:02:11.183: RADIUS:   6E 63 65 20 45 56 20 52 6F 6F 74 20 43 41 00 C4 30 81 C1 31  [nce EV Root CA01]
Dec 26 18:02:11.183: RADIUS:   0B 30 09 06 03 55 04 06 13 02 55 53 31 17 30 15 06 03 55 04 0A 13 0E 56 65 72 69 53 69 67 6E 2C  [0UUS10UVeriSign,]
Dec 26 18:02:11.183: RADIUS:   20 49 6E 63 2E 31 3C 30 3A 06 03 55 04 0B 13 33 43 6C 61 73   [  Inc.1<0:U3Clas]
Dec 26 18:02:11.183: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.183: RADIUS:   73 20 33 20 50 75 62 6C 69 63 20 50 72 69 6D 61  [s 3 Public Prima]
Dec 26 18:02:11.183: RADIUS:   72 79 20 43 65 72 74 69 66 69 63 61 74 69 6F 6E  [ry Certification]
Dec 26 18:02:11.183: RADIUS:   20 41 75 74 68 6F 72 69 74 79 20 2D 20 47 32 31  [ Authority - G21]
Dec 26 18:02:11.183: RADIUS:   3A 30 38 06 03 55 04 0B 13 31 28 63 29 20 31 39 39 38 20 56 65  [:08U1(c) 1998 Ve]
Dec 26 18:02:11.183: RADIUS:   72 69 53 69 67 6E 2C 20 49 6E 63 2E 20 2D 20 46  [riSign, Inc. - F]
Dec 26 18:02:11.183: RADIUS:   6F 72 20 61 75 74 68 6F 72 69 7A 65 64 20 75 73  [or authorized us]
Dec 26 18:02:11.183: RADIUS:   65 20 6F 6E 6C 79 31 1F 30 1D 06 03 55 04 0B 13 16 56 65 72 69 53 69 67  [e only10UVeriSig]
Dec 26 18:02:11.183: RADIUS:   6E 20 54 72 75 73 74 20 4E 65 74 77 6F 72 6B 00 AC 30  [n Trust Network0]
Dec 26 18:02:11.183: RADIUS:   81 A9 31 0B 30 09 06 03 55 04 06 13 02 55 53 31 15 30 13 06 03 55 04 0A 13 0C 74 68 61 77 74 65 2C 20  [10UUS10Uthawte, ]
Dec 26 18:02:11.183: RADIUS:   49 6E 63 2E 31 28 30 26 06 03 55 04 0B 13 1F 43 65 72 74 69 66 69  [Inc.1(0&UCertifi]
Dec 26 18:02:11.183: RADIUS:   63 61 74 69 6F 6E 20 53 65 72 76 69 63 65 73 20  [cation Services ]
Dec 26 18:02:11.183: RADIUS:   44 69 76 69 73 69 6F 6E 31 38 30 36 06 03 55 04 0B 13 2F 28 63  [Division1806U/(c]
Dec 26 18:02:11.183: RADIUS:   29 20 32 30 30 36 20 74 68 61 77 74 65 2C 20 49  [) 2006 thawte, I]
Dec 26 18:02:11.183: RADIUS:   6E                 [ n]
Dec 26 18:02:11.183: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.183: RADIUS:   63 2E 20 2D 20 46 6F 72 20 61 75 74 68 6F 72 69  [c. - For authori]
Dec 26 18:02:11.183: RADIUS:   7A 65 64 20 75 73 65 20 6F 6E 6C 79 31 1F 30 1D 06 03 55 04 03 13 16 74  [zed use only10Ut]
Dec 26 18:02:11.183: RADIUS:   68 61 77 74 65 20 50 72 69 6D 61 72 79 20 52 6F  [hawte Primary Ro]
Dec 26 18:02:11.183: RADIUS:   6F 74 20 43 41 00 77 30 75 31 0B 30 09 06 03 55 04 06 13 02 55 53 31 18 30 16 06 03 55  [ot CAw0u10UUS10U]
Dec 26 18:02:11.183: RADIUS:   04 0A 13 0F 47 54 45 20 43 6F 72 70 6F 72 61 74 69 6F 6E 31  [GTE Corporation1]
Dec 26 18:02:11.191: RADIUS:   27 30 25 06 03 55 04 0B 13 1E 47 54 45 20 43 79 62 65 72 54 72 75  ['0?UGTE CyberTru]
Dec 26 18:02:11.191: RADIUS:   73 74 20 53 6F 6C 75 74 69 6F 6E 73 2C 20 49 6E  [st Solutions, In]
Dec 26 18:02:11.191: RADIUS:   63 2E 31 23 30 21 06 03 55 04 03 13 1A 47 54 45 20 43 79 62 65 72  [c.1#0!UGTE Cyber]
Dec 26 18:02:11.191: RADIUS:   54 72 75 73 74 20 47 6C 6F 62 61 6C 20 52 6F 6F  [Trust Global Roo]
Dec 26 18:02:11.191: RADIUS:   74 00 C6 30 81 C3 31 0B 30 09 06 03 55 04 06 13 02 55 53 31 14 30 12 06 03 55 04 0A 13 0B 45 6E 74 72 75 73  [t010UUS10UEntrus]
Dec 26 18:02:11.191: RADIUS:   74 2E 6E 65 74 31 3B 30 39 06 03 55 04 0B 13 32 77 77 77 2E 65  [t.net1;09U2www.e]
Dec 26 18:02:11.191: RADIUS:   6E 74 72 75 73 74 2E 6E 65 74 2F 43 50 53 20   [ ntrust.net/CPS ]
Dec 26 18:02:11.191: RADIUS:  EAP-Message         [79]  233
Dec 26 18:02:11.191: RADIUS:   69 6E 63 6F 72 70 2E 20 62 79 20 72 65 66 2E 20  [incorp. by ref. ]
Dec 26 18:02:11.191: RADIUS:   28 6C 69 6D 69 74 73 20 6C 69 61 62 2E 29 31 25  [(limits liab.)1?]
Dec 26 18:02:11.191: RADIUS:   30 23 06 03 55 04 0B 13 1C 28 63 29 20 31 39 39 39 20 45 6E 74 72  [0#U(c) 1999 Entr]
Dec 26 18:02:11.191: RADIUS:   75 73 74 2E 6E 65 74 20 4C 69 6D 69 74 65 64 31  [ust.net Limited1]
Dec 26 18:02:11.191: RADIUS:   3A 30 38 06 03 55 04 03 13 31 45 6E 74 72 75 73 74 2E 6E 65 74  [:08U1Entrust.net]
Dec 26 18:02:11.191: RADIUS:   20 53 65 63 75 72 65 20 53 65 72 76 65 72 20 43  [ Secure Server C]
Dec 26 18:02:11.191: RADIUS:   65 72 74 69 66 69 63 61 74 69 6F 6E 20 41 75 74  [ertification Aut]
Dec 26 18:02:11.191: RADIUS:   68 6F 72 69 74 79 00 59 30 57 31 0B 30 09 06 03 55 04 06 13 02 42 45 31 19 30  [horityY0W10UBE10]
Dec 26 18:02:11.191: RADIUS:   17 06 03 55 04 0A 13 10 47 6C 6F 62 61 6C 53 69 67 6E 20 6E 76 2D 73  [UGlobalSign nv-s]
Dec 26 18:02:11.191: RADIUS:   61 31 10 30 0E 06 03 55 04 0B 13 07 52 6F 6F 74 20 43 41 31 1B 30 19 06 03 55 04 03 13 12 47 6C  [a10URoot CA10UGl]
Dec 26 18:02:11.191: RADIUS:   6F 62 61 6C 53 69 67 6E 20 52 6F 6F 74 20 43 41  [obalSign Root CA]
Dec 26 18:02:11.191: RADIUS:   00 44 30 42 31 0B 30 09 06 03 55            [ D0B10U]
Dec 26 18:02:11.191: RADIUS:  State               [24]  38
Dec 26 18:02:11.191: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.191: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.191: RADIUS:   FA 50 DF EC 05 3F 53 BA 84 DD 71 62 38 D7 DA D5            [ P?Sqb8]
Dec 26 18:02:11.199: RADIUS(0000003A): Received from id 1645/100
Dec 26 18:02:11.199: RADIUS/DECODE: EAP-Message fragments, 253+253+253+253+253+231, total 1496 bytes
Dec 26 18:02:11.208: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:11.208: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:11.208: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:11.208: RADIUS(0000003A): sending
Dec 26 18:02:11.208: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:11.208: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/101, len 190
Dec 26 18:02:11.208: RADIUS:  authenticator 24 D6 2B 2C A1 69 5D 18 - 31 84 77 78 D3 37 CE DB
Dec 26 18:02:11.208: RADIUS:  User-Name           [1]   20  "staboas@asirsl.com"
Dec 26 18:02:11.208: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Dec 26 18:02:11.208: RADIUS:  Framed-MTU          [12]  6   1500
Dec 26 18:02:11.208: RADIUS:  Called-Station-Id   [30]  19  "64-16-8D-87-3D-8E"
Dec 26 18:02:11.208: RADIUS:  Calling-Station-Id  [31]  19  "00-0A-E4-31-18-B1"
Dec 26 18:02:11.208: RADIUS:  EAP-Message         [79]  8
Dec 26 18:02:11.208: RADIUS:   02 05 00 06 19 00
Dec 26 18:02:11.208: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.208: RADIUS:   89 FB DA 9E C1 CC 6A 07 07 89 96 E3 22 E2 EC 86                [ j"]
Dec 26 18:02:11.208: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
Dec 26 18:02:11.208: RADIUS:  NAS-Port            [5]   6   50014
Dec 26 18:02:11.208: RADIUS:  NAS-Port-Id         [87]  18  "FastEthernet0/14"
Dec 26 18:02:11.208: RADIUS:  State               [24]  38
Dec 26 18:02:11.208: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.208: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:11.233: RADIUS: Received from id 1645/101 192.168.250.10:1812, Access-Challenge, len 397
Dec 26 18:02:11.233: RADIUS:  authenticator 30 1E C0 77 0D 49 D4 90 - 08 C8 74 D5 9B 8F 59 3A
Dec 26 18:02:11.233: RADIUS:  Session-Timeout     [27]  6   30
Dec 26 18:02:11.233: RADIUS:  EAP-Message         [79]  255
Dec 26 18:02:11.233: RADIUS:   01 06 01 37 19 00 04 06 13 02 55 53 31 16 30 14 06 03 55 04 0A 13 0D 47 65 6F 54 72 75 73 74 20 49  [7US10UGeoTrust I]
Dec 26 18:02:11.233: RADIUS:   6E 63 2E 31 1B 30 19 06 03 55 04 03 13 12 47 65 6F 54 72 75 73 74 20 47  [nc.10UGeoTrust G]
Dec 26 18:02:11.233: RADIUS:   6C 6F 62 61 6C 20 43 41 00 72 30 70 31 2B 30 29 06 03 55  [lobal CAr0p1+0)U]
Dec 26 18:02:11.233: RADIUS:   04 0B 13 22 43 6F 70 79 72 69 67 68 74 20 28 63 29 20 31  ["Copyright (c) 1]
Dec 26 18:02:11.233: RADIUS:   39 39 37 20 4D 69 63 72 6F 73 6F 66 74 20 43 6F  [997 Microsoft Co]
Dec 26 18:02:11.233: RADIUS:   72 70 2E 31 1E 30 1C 06 03 55 04 0B 13 15 4D 69 63 72 6F 73 6F 66 74 20  [rp.10UMicrosoft ]
Dec 26 18:02:11.233: RADIUS:   43 6F 72 70 6F 72 61 74 69 6F 6E 31 21 30 1F 06 03 55 04 03 13 18 4D  [Corporation1!0UM]
Dec 26 18:02:11.233: RADIUS:   69 63 72 6F 73 6F 66 74 20 52 6F 6F 74 20 41 75  [icrosoft Root Au]
Dec 26 18:02:11.233: RADIUS:   74 68 6F 72 69 74 79 00 61 30 5F 31 13 30 11 06 0A 09 92 26 89 93 F2 2C 64 01 19 16 03 63  [thoritya0_10&,dc]
Dec 26 18:02:11.233: RADIUS:   6F 6D 31 19 30 17 06 0A 09 92 26 89 93 F2 2C 64 01 19 16 09 6D 69 63 72 6F 73 6F 66 74  [om10&,dmicrosoft]
Dec 26 18:02:11.233: RADIUS:   31 2D 30 2B 06 03 55 04 03 13 24 4D 69 63 72 6F 73 6F 66 74   [ 1-0+U$Microsoft]
Dec 26 18:02:11.233: RADIUS:  EAP-Message         [79]  60
Dec 26 18:02:11.233: RADIUS:   20 52 6F 6F 74 20 43 65 72 74 69 66 69 63 61 74  [ Root Certificat]
Dec 26 18:02:11.241: RADIUS:   65 20 41 75 74 68 6F 72 69 74 79 00 19 30 17 31 15 30 13 06 03 55 04 03 13 0C 4E  [e Authority010UN]
Dec 26 18:02:11.241: RADIUS:   54 20 41 55 54 48 4F 52 49 54 59 0E 00 00 00       [ T AUTHORITY]
Dec 26 18:02:11.241: RADIUS:  State               [24]  38
Dec 26 18:02:11.241: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.241: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.241: RADIUS:   A2 7A EB 91 1C D6 4B D7 58 22 F5 73 01 AE F7 39            [ zKX"s9]
Dec 26 18:02:11.241: RADIUS(0000003A): Received from id 1645/101
Dec 26 18:02:11.241: RADIUS/DECODE: EAP-Message fragments, 253+58, total 311 bytes
Dec 26 18:02:11.250: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:11.250: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:11.258: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:11.258: RADIUS(0000003A): sending
Dec 26 18:02:11.258: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:11.258: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/102, len 399
Dec 26 18:02:11.258: RADIUS:  authenticator 1C 90 1F 79 0B AC EB 21 - 0C 08 57 DF 7A CD A5 A3
Dec 26 18:02:11.258: RADIUS:  User-Name           [1]   20  "staboas@asirsl.com"
Dec 26 18:02:11.258: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Dec 26 18:02:11.258: RADIUS:  Framed-MTU          [12]  6   1500
Dec 26 18:02:11.258: RADIUS:  Called-Station-Id   [30]  19  "64-16-8D-87-3D-8E"
Dec 26 18:02:11.258: RADIUS:  Calling-Station-Id  [31]  19  "00-0A-E4-31-18-B1"
Dec 26 18:02:11.258: RADIUS:  EAP-Message         [79]  217
Dec 26 18:02:11.258: RADIUS:   02 06 00 D7 19 80 00 00 00 CD 16 03 01 00 8D 0B 00 00 03 00 00 00 10 00 00 82 00 80 59 E8 55 CF 71 9C 9E 88 97 97 2C C2 7C 71 B5 A8 6A F6 AA AD FF DB 8C 51 02 D0 E6 7B B3 EB E9 2D C4 B2 6D 11 69 D3 B1 61 6C 14 9F 49 6D  [YUq,|qjQ{-mialIm]
Dec 26 18:02:11.258: RADIUS:   32 FE 2C 6D FC 61 1C FF F8 F0 A1 76 E5 0A 4A 2B B5 95 9E BD A7 A7 0C 79 CA 48 8A 1E 8A 11 82 C2 5E D9 ED 59 10 92 E8 85 85 73 AE 76 65 B7 4B A5 0C C0 21  [2,mavJ+yH^YsveK!]
Dec 26 18:02:11.258: RADIUS:   09 81 23 DF D2 09 0E 4D 0D 36 F8 D5 87 6F C6 4A 54 21 6D E0 F4 38 4B F6 5A E1 8E 00 68 8E C9 DD 14 03 01 00 01 01 16 03 01 00 30 E5 4F 60 9E 10 66  [#M6oJT!m8KZh0Of]
Dec 26 18:02:11.258: RADIUS:   EE C3 12 68 83 F9 DC 5C E5 FD B3 FC C2 09 31 4B A7 02 D8 AF E4 7A F7 62 0C 32 55 A2 79 96 76 CE C9 C7 21 47 4A 6B 5F D6 FD 60  [ h\1Kzb2Uyv!GJk_`]
Dec 26 18:02:11.258: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:11.258: RADIUS:   0D A6 46 E9 CB 0C 9E A7 64 70 3C 49 2B 6B FE B9           [ Fdp<I+k]
Dec 26 18:02:11.258: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
Dec 26 18:02:11.258: RADIUS:  NAS-Port            [5]   6   50014
Dec 26 18:02:11.258: RADIUS:  NAS-Port-Id         [87]  18  «FastEthernet0/14″
Dec 26 18:02:11.258: RADIUS:  State               [24]  38
Dec 26 18:02:11.266: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:11.266: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:12.089: RADIUS: Received from id 1645/102 192.168.250.10:1812, Access-Challenge, len 153
Dec 26 18:02:12.089: RADIUS:  authenticator 06 A0 3F C2 49 B0 51 35 – C9 33 E3 01 7D 9A 97 D4
Dec 26 18:02:12.089: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:12.089: RADIUS:   72 32 9A B0 58 26 C9 BD D6 1A 50 C9 DC 1E 3A 6C           [ r2X&P:l]
Dec 26 18:02:12.097: RADIUS(0000003A): Received from id 1645/102
Dec 26 18:02:12.097: RADIUS/DECODE: EAP-Message fragments, 69, total 69 bytes
Dec 26 18:02:12.273: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:12.273: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:12.273: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:12.273: RADIUS(0000003A): sending
Dec 26 18:02:12.273: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:12.281: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:12.281: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:13.112: RADIUS: Received from id 1645/103 192.168.250.10:1812, Access-Challenge, len 127
Dec 26 18:02:13.112: RADIUS:  authenticator B3 7A E3 97 23 34 2F 93 – 85 09 27 3D DC 88 F9 03
Dec 26 18:02:13.112: RADIUS:  Session-Timeout     [27]  6   30
Dec 26 18:02:13.112: RADIUS:  EAP-Message         [79]  45
Dec 26 18:02:13.120: RADIUS/DECODE: EAP-Message fragments, 43, total 43 bytes
Dec 26 18:02:13.917: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:13.917: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:13.917: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:13.917: RADIUS(0000003A): sending
Dec 26 18:02:13.917: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:13.926: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/104, len 243
Dec 26 18:02:13.926: RADIUS:  authenticator A7 28 75 71 DB 3C 8B EB – 86 6F 4B 9E 2D 65 DC E7
Dec 26 18:02:13.926: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:13.926: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:14.739: RADIUS: Received from id 1645/104 192.168.250.10:1812, Access-Challenge, len 143
Dec 26 18:02:14.739: RADIUS:  authenticator BA 99 B6 59 8F 80 CA D3 – F4 B2 D7 E7 8E 6C 87 BD
Dec 26 18:02:14.739: RADIUS:  Session-Timeout     [27]  6   60
Dec 26 18:02:14.739: RADIUS:  EAP-Message         [79]  61
Dec 26 18:02:14.764: RADIUS(0000003A): Received from id 1645/104
Dec 26 18:02:14.764: RADIUS/DECODE: EAP-Message fragments, 59, total 59 bytes
Dec 26 18:02:15.327: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:15.327: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:15.327: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:15.327: RADIUS(0000003A): sending
Dec 26 18:02:15.327: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:15.335: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/105, len 243″FastEthernet0/14»
Dec 26 18:02:15.335: RADIUS:  State               [24]  38
Dec 26 18:02:15.335: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:15.335: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:16.224: RADIUS: Received from id 1645/105 192.168.250.10:1812, Access-Challenge, len 127
Dec 26 18:02:16.232: RADIUS:  authenticator ED 2A A1 FF 88 72 91 54 – 68 CF 02 81 E9 AE 2E F1
Dec 26 18:02:16.232: RADIUS:  Session-Timeout     [27]  6   30
Dec 26 18:02:16.232: RADIUS:  EAP-Message         [79]  45
Dec 26 18:02:16.241: RADIUS/DECODE: EAP-Message fragments, 43, total 43 bytes
Dec 26 18:02:16.996: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:16.996: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:16.996: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:16.996: RADIUS(0000003A): sending
Dec 26 18:02:17.004: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:17.004: RADIUS(0000003A): Send Access-Request to 192.168.250.10:1812 id 1645/106, len 227
Dec 26 18:02:17.004: RADIUS:  authenticator 91 F4 26 95 7D F2 05 58 – 11 AE E1 63 E9 5A 0E 62
Dec 26 18:02:17.013: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:17.851: RADIUS: Received from id 1645/106 192.168.250.10:1812, Access-Challenge, len 159
Dec 26 18:02:17.851: RADIUS:  authenticator D7 11 CF 44 A4 22 71 0C – 6C 4F A0 59 A6 57 44 68
Dec 26 18:02:17.851: RADIUS:  Session-Timeout     [27]  6   60
Dec 26 18:02:17.851: RADIUS:  EAP-Message         [79]  77
Dec 26 18:02:17.851: RADIUS:   01 0B 00 4B 19 00 17 03 01 00 40 6F 72 53 AF 68 35 89 1B C9 E7 3E 08 C8 8A 7D A0 4F A9 27 CC 6B C1 A7 3D 25 36 0F E5 F1 01 D8 96 90 E4 21  [K@orSh5>}O’k=?6!]
Dec 26 18:02:17.851: RADIUS:   C4 5A 31 04 7F 0B 48 6F 02 42 01 26 E3 62 16 62 9D 13 C0 2D CE 79 13 1D E7 F5 7A C7 C7       [ Z1HoB&bb-yz]
Dec 26 18:02:17.851: RADIUS:  State               [24]  38
Dec 26 18:02:17.851: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:17.851: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:17.851: RADIUS:   8E 40 E2 A9 D0 85 BF 6E F4 A7 F2 7E 9C 90 79 F4              [ @n~y]
Dec 26 18:02:17.868: RADIUS(0000003A): Received from id 1645/106
Dec 26 18:02:17.868: RADIUS/DECODE: EAP-Message fragments, 75, total 75 bytes
Dec 26 18:02:18.690: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:18.690: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:19.521: RADIUS: Received from id 1645/107 192.168.250.10:1812, Access-Challenge, len 175
Dec 26 18:02:19.521: RADIUS:  authenticator AD E9 F4 4B B2 FE 95 A7 – D5 61 2D 97 5E 5C BF 67
Dec 26 18:02:19.521: RADIUS:  Session-Timeout     [27]  6   60
Dec 26 18:02:19.521: RADIUS:  EAP-Message         [79]  93
Dec 26 18:02:19.521: RADIUS:   54 C7 1C DB 90 35 E3 EF EC D4 DC 44 DC 22 50 32            [ T5D»P2]
Dec 26 18:02:19.538: RADIUS(0000003A): Received from id 1645/107
Dec 26 18:02:19.538: RADIUS/DECODE: EAP-Message fragments, 91, total 91 bytes
Dec 26 18:02:20.150: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:20.150: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:20.150: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:20.150: RADIUS(0000003A): sending
Dec 26 18:02:20.150: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:20.167: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:20.167: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:20.863: RADIUS: Received from id 1645/108 192.168.250.10:1812, Access-Challenge, len 191
Dec 26 18:02:20.863: RADIUS:  authenticator D2 A0 C6 99 A9 AC AC 3E – 0A B9 77 9D BC 50 34 0F
Dec 26 18:02:20.863: RADIUS:  Session-Timeout     [27]  6   30
Dec 26 18:02:20.863: RADIUS:  EAP-Message         [79]  109
Dec 26 18:02:20.863: RADIUS:  Message-Authenticato[80]  18
Dec 26 18:02:20.863: RADIUS:   68 28 C4 2D 32 23 FD BA 7E 88 08 CA EA B1 02 1F            [ h(-2#~]
Dec 26 18:02:20.871: RADIUS(0000003A): Received from id 1645/108
Dec 26 18:02:20.871: RADIUS/DECODE: EAP-Message fragments, 107, total 107 bytes
Dec 26 18:02:21.635: RADIUS/ENCODE(0000003A):Orig. component type = DOT1X
Dec 26 18:02:21.635: RADIUS(0000003A): Config NAS IP: 0.0.0.0
Dec 26 18:02:21.643: RADIUS/ENCODE(0000003A): acct_session_id: 57
Dec 26 18:02:21.643: RADIUS(0000003A): sending
Dec 26 18:02:21.643: RADIUS/ENCODE: Best Local IP-Address 192.168.100.2 for Radius-Server 192.168.250.10
Dec 26 18:02:21.652: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
Dec 26 18:02:21.652: RADIUS:  NAS-Port            [5]   6   50014
Dec 26 18:02:21.652: RADIUS:  NAS-Port-Id         [87]  18  «FastEthernet0/14»
Dec 26 18:02:21.652: RADIUS:  State               [24]  38
Dec 26 18:02:21.652: RADIUS:   42 D7 04 71 00 00 01 37 00 01 02 00 C0 A8 FA 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 68 6B C2 30            [ Bq7hk0]
Dec 26 18:02:21.652: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
Dec 26 18:02:22.499: RADIUS: Received from id 1645/109 192.168.250.10:1812, Access-Accept, len 308
Dec 26 18:02:23.673: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/14, changed state to
También he puesto una interface en modo promiscuo en el Switch (Catalyst Switched Port Analyzer (SPAN)) para capturar tráfico de red y ver que ocurre cuando el equipo trata de autenticarse y que paquetes envia el Switch. Para ello he habilitado el SPAM Port en el Switch y he definido una interface de entrada (en la que está el equipo para autenticarse) y otra interface de salida en donde tengo el Wireshark para recibir todo el tráfico del equipo.
nps_red_cableada_cisco_sw_17.jpg
Para habilitar el SPAN tenemos que introducir los siguientes comandos:
Modo de configuración: Configuración Global
monitor session 1 source interface fastethernet 0/13
monitor session 1 destination interface fastethernet 0/14
Una vez que iniciamos el sniffer en el equipo conectado a la interface fastethernet 0/14 e iniciamos el proceeso de autenticación de por parte del equipo cliente podemos ver el siguiente (filtradas a lo que queremos ver únicamente) tráfico de red:
nps_red_cableada_cisco_sw_16.jpg
Como véis es muy sencillo, lo único que debéis tener es un switch que soporte 802.1x y con vuestro Windows Serve 2003 y versiones posteriores podéis hacerlo perfectamente. Agradecerle a Samuel Táboas (un compañero en ASIR) la inestimable ayuda para hacer este LAB, él ha configurado el Switch Cisco y ha hecho la captura de tráfico con Wireshark
Espero que os sea de utilidad!!!!