CISCO
Infraestructura y NPS Microsoft Authentication
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
Introducción
Para
algunos casos y limitaciones de recursos, algunos clientes necesitan a falta de
opciones, de un servidor de identidades que permita la autenticacion de
servicios básicos como la WLAN y la VPN de usuarios.
En
lo consecutivo abordaremos una solucion práctica y sencilla, además de estar
apoyados con material disponible acerca de las configuraciones necesarias para
la infraestructura Cisco que ya hemos hecho llegar.
Microsoft
a través de sus sistemas operativos para servidores proporciona un servicio
denominado Network Policy Service NPS, que permite la creación de un servidor
Radius.
Un
servicio Radius sobre Microsoft requiere de activar tres (3) roles: Internet
Information Services (IIS), Active Directory Certificate Services y Network
Policy Service.
Se
ha probado exitosamente, la configuracion de servidor Radius sobre las plataformas
Windows Server 2008 y 2012, preferiblemente en su segunda revision, R2.
Proceso
1: Instalando servicio Internet Information Services (IIS)
Paso 1: Conéctese
escritorio remoto o su herramienta de administración sobre el servidor
destinado a cumplir el rol de Radius.
Paso
2: De
inicio al administrador de servidor o Server
Manager. Sobre la ventana emergente, y en la sección derecha de éste
servidor local, inicie el proceso de agregar un nuevo rol. Validar Figura1.
Figura1.:
Ventana de Server Manager, agregando un Nuevo Rol, WinServer 2k8
Figura2.:
Ventana de Server Manager, agregando un Nuevo Rol, WinServer 2k12
Paso
3: Sobre
la sección Berfore you Begin, haga
clic en el botón Next, ubicado en la
sección izquierda inferior.
Paso
4: Para
WinServer 2k12 la siguiente sección Installation
Type, optar por Role-based or
feature-based installation. En WinServer 2k8 esta sección no está
disponible. Validar Figura3.
Figura3.:
Server Manager, agregando un Nuevo Rol, tipo de instalación sobre WinServer 2k12
Paso 5: Para WinServer 2k12 la siguiente sección Server Selection, optar por Select a server from the server pool. Y
elegir el determinado para la instalación. En WinServer 2k8 esta sección no
está disponible. Validar Figura4.
Figura4.:
Server Manager, agregando un Nuevo Rol, selección de servidor sobre WinServer
2k12
Paso 6: Ahora bien, el siguiente paso es similar entre ambas
versiones de WinServer. Sobre la sección de Server Roles, marcar la casilla Web Server (IIS). Clic en botón Next. Validar Figura5.
Figura5.:
Server Manager, agregando un Nuevo Rol, Web Server (IIS)
Paso 7: Sobre la sección Introduction to Web Server (IIS), hacer
clic sobre botón Next. Validar Figura6.
Figura6.:
Server Manager, agregando un Nuevo Rol, Introducción a Web Server (IIS)
Paso 8: Sobre la ventana Role Select (Web Server (IIS)), marcar
las casillas como se muestra en la Figura7.
Figura7.:
Server Manager, agregando un Nuevo Rol, Role Services en Web Server (IIS)
Paso 9: En
la siguiente ventana, Confirmation, hacer
clic en el botón Install. Validar Figura8.
Figura8.:
Server Manager, agregando un Nuevo Rol, Confirmando instalación Web Server
(IIS)
Paso 10: Luego
de finalizado el proceso de instalación, el asistente mostrara la ventana de
confirmación. Hacer clic en el boton Close.
Validar Figura9.
Figura9.:
Server Manager, agregando un Nuevo Rol, finalizada instalación Web Server (IIS)
Proceso
2: Instalando servicio Active Directory Certificate Services
Paso 1: Conéctese
escritorio remoto o su herramienta de administración sobre el servidor
destinado a cumplir el rol de Radius.
Paso
2: De
inicio al administrador de servidor o Server
Manager. Sobre la ventana emergente, y en la sección derecha de éste
servidor local, inicie el proceso de agregar un nuevo rol. Validar Figura10.
Figura10.:
Ventana de Server Manager, agregando un Nuevo Rol, WinServer 2k8
Figura11.:
Ventana de Server Manager, agregando un Nuevo Rol, WinServer 2k12
Paso
3: Sobre
la sección Berfore you Begin, haga
clic en el botón Next, ubicado en la
sección izquierda inferior.
Paso
4: Para
WinServer 2k12 la siguiente sección Installation
Type, optar por Role-based or
feature-based installation. En WinServer 2k8 esta sección no está
disponible. Validar Figura12.
Figura12.:
Server Manager, agregando un Nuevo Rol, tipo de instalación sobre WinServer
2k12
Paso 5: Para WinServer 2k12 la siguiente sección Server Selection, optar por Select a server from the server pool. Y
elegir el determinado para la instalación. En WinServer 2k8 esta sección no está
disponible. Validar Figura13.
Figura13.:
Server Manager, agregando un Nuevo Rol, selección de servidor sobre WinServer
2k12
Paso 6: Ahora bien, el siguiente paso es similar entre ambas
versiones de WinServer. Sobre la sección de Server Roles, marcar la casilla Active Directory Certificate Services Clic en botón Next. Validar Figura14.
Figura14.:
Server Manager, agregando un Nuevo Rol, AD CS
Paso
7: Sobre
la sección Introduction to Active
Directory Certificate hacer clic sobre botón Next. Validar Figura15.
Figura15.:
Server Manager, agregando un Nuevo Rol, Introducción a AD CS
Paso 8: En
la ventanilla Select Role Services, marcar
las casillas Certification Authority y
Certification Authority Web Enrollment, aparecerá una ventana emergente,
hacer clic en el botón Add Requerired
Role Services. Validar Figura16. Hacer
clic en el botón Next.
Figura16.:
Server Manager, agregando un Nuevo Rol, Select Role Services AD CS
Paso 8 (Optativo): Para
WinServer2k12 la siguiente sección, Role
Service es configurada en una nueva tarea. Para WinServer2k8, continua
sobre el asistente de instalación del servicio.
En WinServer2k12, en
la ventana de Server Manager, hacer clic sobre AD CS, en la sección inferior
hacer clic sobre All Servers Task
Details, y allí sobre el link Configure
Active Directory Certificate Services. Validar
Figura17.
Figura17.:
Server Manager, agregando un Nuevo Rol, Select Role Services AD CS sobre
WinServer2k12
Paso
9: En
la sección Specify Setup Type, seleccione
Enterprise y haga clic en Next. Validar Figura18.
Figura18.:
Server Manager, agregando un Nuevo Rol, Specify Setup Type sobre AD CS
Paso
10: En
la sección CA Type, seleccione Root CA y haga clic en Next. Validar Figura19.
Figura19.:
Server Manager, agregando un Nuevo Rol, CA Type sobre AD CS
Paso
11: En
la siguiente ventana, Private Key, optar
por Create a new private key. Validar Figura 20.
Figura20.:
Server Manager, agregando un Nuevo Rol, Private Key sobre AD CS
Paso
12: En
la siguiente ventana, Specify the
cryptographic options, seleccionar RSA#Microsoft
Software Key Storage Provider como proveedor criptográfico, 2048 como longitud y SHA1 como logaritmo de integridad.
Hacer clic en Next. Validar Figura 21.
Figura21.:
Server Manager, agregando un Nuevo Rol, Criptografía sobre AD CS
Paso 13: En
la siguiente ventana, Configure CA Name,
hacer clic en Next. Validar Figura 22.
Figura22.:
Server Manager, agregando un Nuevo Rol, CA Name sobre AD CS
Paso 13: En
la siguiente ventana, Validity Period, colocar
el periodo de validez del certificado según su diseño, clic sobre el botón Next. Validar Figura23.
Figura23.:
Server Manager, agregando un Nuevo Rol, Validity Period sobre AD CS
Paso
14: Sobre
la secci[on Configure Certificate
Database, haga clic sobre el botón Next.
Paso 15: Para
Winserver2k8, la siguiente ventana corresponde a la sección Introduction to Web Sever (IIS), clic
sobre el botón Next. En la siguiente
ventanilla Role Services for IIS
seleccione las casillas como muestra la Figura24,
y continue haciendo clic sobre el botón Next.
En
el caso de Winserver2k12, la ventanilla anterior no se muestra, sino más bien
lo lleva a la sección de Confirmation.
Figura24.:
Server Manager, agregando un Nuevo Rol, IIS Role sobre AD CS
Paso 16: Una
vez en la seccion Confirmation, tanto
para WinServer2k8 como para WinServer 2k12, haga clic sobre Install o Configure, respectivamente. Validar Figura25 y 26.
Figura25.:
Server Manager, agregando un Nuevo Rol, Confirm Installation sobre AD CS,
WinServer2k8
Figura26.:
Server Manager, agregando un Nuevo Rol, Confirm Installation sobre AD CS,
WinServer2k12
Paso 17: Una
vez en la sección Result, tanto para
WinServer2k8 como para WinServer 2k12, haga clic sobre Close, respectivamente.
Proceso 3: Instalando servicio Network Policy and
Access Services
Paso
1: Conéctese
escritorio remoto o su herramienta de administración sobre el servidor
destinado a cumplir el rol de Radius.
Paso
2: De
inicio al administrador de servidor o Server
Manager. Sobre la ventana emergente, y en la sección derecha de éste
servidor local, inicie el proceso de agregar un nuevo rol. Validar Figura27.
Figura27.:
Ventana de Server Manager, agregando un Nuevo Rol, WinServer 2k8
Figura28.:
Ventana de Server Manager, agregando un Nuevo Rol, WinServer 2k12
Paso
3: Sobre
la sección Berfore you Begin, haga
clic en el botón Next, ubicado en la
sección izquierda inferior.
Paso
4: Para
WinServer 2k12 la siguiente sección Installation
Type, optar por Role-based or
feature-based installation. En WinServer 2k8 esta sección no está disponible.
Validar Figura29.
Figura29.:
Server Manager, agregando un Nuevo Rol, tipo de instalación sobre WinServer
2k12
Paso 5: Para WinServer 2k12 la siguiente sección Server Selection, optar por Select a server from the server pool. Y
elegir el determinado para la instalación. En WinServer 2k8 esta sección no
está disponible. Validar Figura30.
Figura30.:
Server Manager, agregando un Nuevo Rol, selección de servidor sobre WinServer
2k12
Paso 6: Ahora bien, el siguiente paso es similar entre ambas versiones
de WinServer. Sobre la sección de Server
Roles, marcar la casilla Network
Policy and Access Services. Clic en botón Next. Validar Figura31.
Figura31.:
Server Manager, agregando un Nuevo Rol, NPS
Paso
7: Sobre
la sección Introduction to Network Policy
and Access Services hacer clic sobre botón Next. Validar Figura32.
Figura32.:
Server Manager, agregando un Nuevo Rol, Introducción a NPS
Paso 8: En
la ventanilla Select Role Services, marcar
la casilla Network Policy Services. Validar Figura33. Hacer clic en el botón
Next.
Figura33.:
Server Manager, agregando un Nuevo Rol, NPS
Paso 9: En
la siguiente ventana, Confirmation, hacer
clic en el botón Install. Validar Figura34.
Figura34.:
Server Manager, agregando un Nuevo Rol, Confirmando instalación NPS
Paso 10: Luego
de finalizado el proceso de instalación, el asistente mostrara la ventana de
confirmación. Hacer clic en el boton Close.
Validar Figura35.
Figura35.:
Server Manager, agregando un Nuevo Rol, finalizada instalación NPS
Proceso 4: Configurando NPS CertificateTemplate and
Autoenrollment
Paso 1: Sobre
el servidor NPS, abrir la consola Server
Manager. Navegar a través de la ruta Server
Manager > Local Manager, en la sección derecha hacer clic en TASKS y luego sobre Ceritification Authority.
Paso 2: En
nueva ventanilla emergente, navegar a través de la ruta Certification Authority > yourdomian. Hacer clic derecho sobre Certificate Templates y luego izquierdo en Manage. Validar Figura36.
Figura36.: Server
Manager, Certification Authority, Manage Templates
Paso 3: En
nueva ventanilla emergente, navegar a través de la ruta Certificate Template. En la seccion derecha hacer clic derecho
sobre RAS e IAS Server y luego
izquierdo en Duplicate Template. Validar Figura37
Figura37.: Server
Manager, Certification Authority, Manage and Duplicate Templates
Paso 4: En
nueva ventanilla emergente, Properties
of New Template, clic en la pestaña General,
llenar los campos Template display
name y Template Name. Tambien
tildar la casilla Publish Certificate in
Active Directory. Validar Figura38.
Figura38.: Server Manager, Certification Authority, Manage and Duplicate Templates, General Properties
Paso 5: De
igual manera sobre la misma ventanilla, Properties
of New Template, clic sobre la pestana Security.
Paso 6: Sobre
el campo Group or user names, clic
sobre el grupo RAS and IAS Servers. En el campo inferior clic sobre la casilla Autoenroll. Validar Figura39.
Figura39.: Server Manager, Certification Authority, Manage and Duplicate Templates, Security Properties
Paso 7: Clic
en Apply y luego en OK. Cierre la ventana Certificate Template Console.
Paso 8: Nuevamente
sobre la ventana Certification
Authority, clic derecho sobre la sección derecha y luego izquierdo New y posteriormente
sobre Certificate Template to Issue. Validar Figura40.
Paso 10: Sobre
la nueva ventana, Enable Certificate
Template, opte por el certificado personalizado en el Paso 4 y haga clic en
OK. Validar Figura41.
Figura40.: Server
Manager, Certification Authority, New Certificate Template to Issue
Figura41.: Server
Manager, Certification Authority, Enable Certificate Template.
Paso 10: Abrir
el Group Policy Management. Navegar a través de la ruta: Group Policy Management > Forest: dominio > Domains > dominio
> Group Policy Objects. Clic derecho sobre Default Domain Policy y Edit. Validar
Figura42.
Figura42.:
Configurando NPS CertificateTemplate and Autoenrollment, GPO
Paso 11: En
la nueva ventanilla, Group Policy
Management Editor, navegar a través de la ruta: Computer Configuration > Policies > Windows Settings >
Security Settings > Public Key Policies. Clic derecho sobre Certificate Services Client –
Auto-Enrollment e izquierdo sobre Propeties.
Validar Figura43.
Figura43.:
Configurando NPS CertificateTemplate and Autoenrollment, GPO Editor
Paso 12: En
nueva ventanilla, marcar casillas y llenar campos como se muestra en la Figura44. Clic en OK. Cerrar todas las ventanillas.
Figura44.:
Configurando NPS CertificateTemplate and Autoenrollment, Certificate Services
Client
Paso
13: Abrir
la consola NPS. Sobre WinServer2k12, equivale a abrir la consola Server Manager y hacer clic sobre Local Server, clic en la seccion
derecha sobre TASKS… y luego en Network Policy Server. En WinServer2k8 Start
> Administrative Tools > Server Manager > Roles > Network Policy
and Access Services. Validar Figuras 45 y 46.
Paso
14: Clic
derecho sobre NPS (Local) y luego
sobre Register Server in Active
Directory.
Paso
15: Clic
en OK sobre solicitud de
autorización y OK sobre la
notificación de finalización.
Figura45.: Configurando
NPS CertificateTemplate and Autoenrollment, Register Server, WinServer2k12
Figura46.: Configurando
NPS CertificateTemplate and Autoenrollment, Register Server, WinServer2k8
Paso
16: Sobre
la consola de comandos o la consola de Windows PowerShell, introducir el
comando gpupdate / force. Validar Figuras 47.
Figura47.: Configurando
NPS CertificateTemplate and Autoenrollment, Register Server, Updating Policy
Proceso 5: Configurando NPS para operación Radius y
Autenticación.
El
procedimiento es similar tanto para WinServer2k8 como para 2k12.
Paso 1: Sobre
la consola Network Policy Services >
NPS (Local) > RADIUS Clients and Servers, clic derecho sobre RADIUS Clients y luego en New. Validar Figura48.
Figura48.:
Configurando NPS y Dispositivos, RADIUS Server
Paso 2: En
nueva ventanilla, Radius Clients, hacer
clic sobre la pestana Settings. Validar Figura49.
Paso 3: Hacer
clic sobre la casilla Enable this RADIUS
client. Llenar los
campos Friendly Name y Address (IP or
DNS). Un Radius
Clients es el dispositivo que enviara solicitudes de autentication y
conectara a los clientes finales.
Paso 4: Hacer
clic sobre la casilla Manual, llenar
Shared Secret y Confirm Shared Secret. Tanto el cliente como el NPS deben compartir
la misma contraseña.
Figura49.:
Configurando NPS y Dispositivos, agregando un RADIUS Client
Paso
5: Repetir
con cada dispositivo que se deba ingresar al sistema.
Figura49.:
Configurando NPS y Dispositivos, agregando RADIUS Client según diseño
Paso
6: En
la sección derecha hacer clic sobre NPS
(Local).
Paso
7: En
la nueva sección derecha, sobre Standard
Configuration, optar por RADIUS
sever for 802.1X Wireless or Wired Connections. Validar Figura50
Paso
8: Ahora
haga clic sobre Configure 802.1X.
Figura50.:
Configurando NPS, agregando Standard Configuration
Paso
9: En
nueva ventanilla, Select 802.1X
Connections Type, optar por Secure
Wireless Connections y llenar el campo Name.
Validar Figura51.
Paso
10: Haga
click en Next.
Paso
11: En
nueva sección, Specify 802.1X Switches, optar
por el WLC según diseño. Validar Figura52.
Paso12:
Haga
click en Next.
Figura51.: Configurando
NPS, agregando Type of 802.1X, secure Wireless connections
Figura52.: Configurando
NPS, Specify 802.1X Switches
Paso 13: Sobre
la sección Configure an Authentication
Method, haga clic en Configure.
Paso 14: En
nueva ventanilla opte por el certificado configurado en el Proceso 4 (Configurando
NPS CertificateTemplate and Autoenrollment). Haga clic en OK. Luego en Next. Validar Figura53.
Figura53.: Configurando
NPS, Configure an Authentication Method
Paso
15: Sobre
nueva ventanilla, Specfy User Groups, haga
clic sobre Add.
Paso
16: Llene
el campo Enter the object names to
select con el o los nombres de grupos de usuarios a autenticar. Validar Figura54.
Paso
17: Haga
clic en OK. Luego en Next.
Paso
18: Sobre
nueva ventanilla, Configure Traffic
Control, haga clic en Next.
Paso 19: Sobre nueva ventanilla, Completing New IEEE 802.1X Secured Wired and Wireless Connections and
RADIUS clients haga clic en Finish.
Figura54.: Configurando
NPS, Specify User Groups
Paso
20: Sobre
la ventana Network Policy Server navegue
sobre la ruta NPS (Local) > Policies
> Network Policies.
Paso
21:
Sobre ahora la sección derecha, haga clic derecho sobre la nueva política creada
recientemente, y luego izquierdo sobre Properties.
Validar Figura55.
Figura55.: Configurando
NPS, Properties of Network Policies
Paso
22:
Sobre la nueva ventana, hacer clic sobre la pestana Overview. Verificar que las casillas Policy
enabled, Grant Access, Ignore user account dial-in properties y Type of network access server (Unespecified)
esten marcadas. Validar Figura56.
Figura56.: Configurando
NPS, Properties of Network Policies. Overview
Paso
23:
Ahora hacer clic sobre la pestana Conditions,
verifique que dentro de las condiciones se nombre el grupo de seguridad de
AD que será utilizado para autenticar a los usuarios. Validar Figura57.
Figura57.: Configurando
NPS, Properties of Network Policies. Conditions
Paso 24: Ahora
hacer clic sobre la pestana Constraints,
a la izquierda hacer clic sobre Authentication
Methods y sobre el campo EAP Types,
asegurar que la secuencia sea la indicada como se muestra por la Figura58. Dejar tilde sobre las primeras cuatro casillas como también se
muestra.
Todas
las demás opciones disponibles a la izquierda pueden dejarse en su configuración
por defecto.
Figura58.:
Configurando NPS, Properties of Network Policies. Conditions
Paso
25: Ahora
hacer clic sobre la pestana Settings, a
la izquierda hacer clic sobre Standard.
Paso 26: Sobre
la derecha, y en el caso de que el cliente deba pertenecer a algún segmento de
red especifico, agregar los atributos Tunnel-Medium-Type
(Valor del campo: 802 includes all 802 media plus Ethernet canonical format),
Tunnel-Pvt-Group-ID (Valor del campo:
string 250, 250 corresponde al ID de Vlan diseñada para el grupo de usuarios) y
Tunnel-Type (Valor del campo:
Commonly used for 802.1X, Virtual LAN). Validar
Figura59.
Paso 27: Clic
en OK
Figura59.:
Configurando NPS, Properties of Network Policies. Settings
Repetir desde el paso
6 al 27 según diseño de redes Wireless o Wired.
En el caso de VPNs:
Paso
28: Sobre
la ventana Network Policy Server navegue
sobre la ruta NPS (Local) > Policies
> Network Policies.
Paso
29:
Haga clic derecho sobre Network Policies,
y luego clic sobre New. Validar Figura60.
Figura60.:
Configurando NPS, Nueva Network Policies
Paso 30:
Sobre la nueva ventana, hacer clic sobre la pestana Overview. Verificar que las casillas Policy
enabled, Grant Access, Ignore user account dial-in properties y Type of network access server (Unespecified)
esten marcadas. Validar Figura61.
Paso 31: Llenar
el campo Policy Name.
Figura61.: Configurando
NPS, Properties of Network Policies, Overview
Paso 32:
Ahora hacer clic sobre la pestana Conditions,
verifique que dentro de las condiciones se nombre el grupo de seguridad de
AD que será utilizado para autenticar a los usuarios. Agregue las condiciones NAS
Port Type (Valor de campo Virtual (VPN)) y Access Client IPv4 Address (Valor de campo: IP del EndPoint VPN,
Firewall cisco asa, por ejemplo) Validar Figura62.
Figura62.: Configurando
NPS, Properties of Network Policies. Conditions
Paso 33: Ahora
hacer clic sobre la pestana Constraints,
a la izquierda hacer clic sobre Authentication
Methods y sobre el campo EAP Types,
asegurar que la secuencia sea la indicada como se muestra por la Figura63, vacia. Dejar tilde sobre la casilla Unencrypted
authentication (PAP, SPAP)
Todas
las demás opciones disponibles a la izquierda pueden dejarse en su configuración
por defecto.
Figura63.: Configurando
NPS, Properties of Network Policies. Conditions
Paso
34: Ahora
hacer clic sobre la pestana Settings, a
la izquierda hacer clic sobre Standard.
Paso 35: Sobre
la derecha, y en el caso de que el cliente deba pertenecer a algún segmento de
red especifico, agregar los atributos Class
(Valor del campo: nombre de la lista de atributos para conexión VPN remota
de usuarios, tales como servidor DNS, filtro de tráfico interesante, manifestación
del domio y pool DHCP, configurada en Cisco ASA, validar el Proceso 6: Configurando Cisco ASA y VPN para
operación Radius.). Validar Figura64.
Paso 36: Clic
en OK
Repetir desde el paso 28
al 36 según diseño.
Figura64.:
Configurando NPS, Properties of Network Policies. Settings
Proceso 6: Configurando Cisco ASA y VPN para operación Radius.
Paso 1: Para
Cisco ASA versión 9.6, conectar ssh.
Paso 2: Configure
el grupo contentivo de las redes internas que deberán estar accesibles desde la
VPN de usuario.
object-group
network LOCAL_NET
network-object 172.17.250.0 255.255.255.0
network-object 172.17.251.0 255.255.255.0
network-object 172.17.252.0 255.255.255.0
network-object 172.17.253.0 255.255.255.0
exit
Paso 3: Agregar
las rutas en Cisco ASA de las redes internas.
route inside 172.17.250.0 255.255.255.0
172.17.0.1 1
route inside 172.17.251.0 255.255.255.0 172.17.0.1 1
route inside 172.17.252.0
255.255.255.0 172.17.0.1 1
route inside 172.17.253.0 255.255.255.0
172.17.0.1 1
Paso 4: Configurar
el (los) pool(s) para usuarios de conexión VPN remota.
ip
local pool VPN_Ath_by_NPS_pool_IP 172.17.11.1-172.17.11.254 mask 255.255.255.0
Paso 5: Configurar
lista de acceso y/o filtro de distinción del tráfico que deberá cruzar la VPN.
access-list VPN_Ath_by_NPS_acl extended permit ip
object-group LOCAL_NET 172.17.11.0
255.255.255.0
Paso 6: Configurar
el servidor Radius (NPS) sobre Cisco ASA, incluyendo clave precompartida.
aaa-server NPS protocol radius
aaa-server NPS (inside) host 172.17.1.15
key cvalasmercedes.local
exit
Paso 7: Configurar
atributos para conexión VPN remota de usuarios, tales como servidor DNS, filtro
de tráfico interesante, manifestación del domio y pool DHCP. Además de
configurar el alias que estará visible una vez se inicie la conexión remota por
parte del usuario.
group-policy VPN_Ath_by_NPS_gp internal
group-policy VPN_Ath_by_NPS_gp attributes
dns-server value 192.168.0.105
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN_Ath_by_NPS_acl
default-domain value cvalasmercedes.local
address-pools value VPN_Ath_by_NPS_pool_IP
exit
tunnel-group VPN_Ath_by_NPS_tunnel webvpn-attributes
group-alias VPN_Ath_by_NPS enable
exit
Paso 8: Configurar
Cisco ASA para al recibir una solicitud de conexión VPN que especifique el
alias VPN_Ath_by_NPS, la autenticacion sea
proporcionada por parte del servidor Radius NPS. Además
de aplicarlos atributos anteriormente configurados, VPN_Ath_by_NPS_gp.
tunnel-group VPN_Ath_by_NPS_tunnel type remote-access
tunnel-group VPN_Ath_by_NPS_tunnel general-attributes
authentication-server-group (inside) NPS
password-management
default-group-policy VPN_Ath_by_NPS_gp
exit
Proceso 7: Comprobando operación Radius sobre Cisco ASA y VPN
Paso 1: Descargue
el cliente Cisco AnyConnect Secure Mobility
Client.
Paso 2: Inicie
el cliente e ingrese la dirección IP pública configurada al Cisco ASA. Clic en Connect. Validar Figura65.
Figura65.:
Comprobando operación Radius sobre Cisco
ASA, ingresando credenciales sobre AnyConnect
Paso
3: Una
vez conectado el usuario, verifique la conexión sobre Cisco ASA y detalle los
atributos. Validar Figura66. Comando: ASA# show vpn-sessiondb
anyconnect
Figura66.:
Comprobando operación Radius sobre Cisco
ASA, verificando consola ASA
Paso
4: Sobre
servidor Radius, NPS. Ingrese al Event Viewer y navegue sobre la ruta: Event Viewer (Local) > Windows Logs >
Security. En la seccion derecha, verifique eventos con la categoría Network Policy Server. Validar Figura67 y 68.
Figura67.:
Comprobando operación Radius sobre NPS,
verificando consola Event Viewer
Paso
5: Sobre
servidor de monitoreo SNMP. Ingrese al dispositivo ASA y sus sensores.
Verifique detalles del sensor SNMP Cisco
ASA Vpn Users. Validar Figura69.
Figura69.:
Comprobando operación Radius sobre Monitor SNMP, verificando sensor VPN Users
Proceso 8: Configurando WLC y WLAN para operación Radius
Agregando Servidor Radius
Paso 1: Ingresar en el navegador de su preferencia y en la barra
dirección colocar el URL de administración del vWLC. Otorgar las credenciales
ya definidas. Ejemplo: https://172.19.50.48.
Una vez autenticado hacer click sobre la sección Avanced.
Paso 2: Navegar en la ruta Security > AAA >
Authentication. En la sección derecha hacer click en
el botón New.
Paso 3: Configurar los valores de los campos
correspondientes a la identificación del servidor Server
Index, Server Address... Click en Apply. Validar Figura70.
Figura70.:
Suministrando datos de servidor de autenticación RADIUS
Paso 4: Navegar en la ruta Security > AAA >
Authorization. En la sección derecha hacer click en
el botón New.
Paso 5: Configurar los valores de los campos
correspondientes a la identificación del servidor Server
Index, Server Address... Click en Apply. Validar Figura71.
Figura71.:
Suministrando datos de servidor de auditoria RADIUS
Agregando ACL de Pre-Authentication
Paso 6: Navegar en la ruta Security > Access Control
Lists > Access Control Lists. En
la sección derecha hacer click en el botón New.
Paso 7: Configurar los valores de los campos
correspondientes a la identificación de la ACL y sus reglas Access
List Name,... Validar Figura72.
La idea general es que esta lista sera aplicada a los dispositivos
que se asocian tanto a las redes WIFI que se autenticaran de algún modo, todo
esto con el fin de que éstos host solo tengan acceso y comunicación a los
destinos estrictamente necesarios como servidores DNS, DHCP y NPS.
Figura72.:
Configurando ACL de Pre-Autentication
Configurar interfaces en WLC
Paso 8: Navegar en la ruta Controller > Interfaces. En
la sección derecha hacer click en el botón New.
Paso 9: Configurar los valores de los campos correspondientes a
la identificación de la ACL y sus reglas Interface
Name,... Validar el ejemplo de
la Figura73.
En este punto se configuran las interfaces de red que se aplicaran a
cada clase de usuario con el resto de la LAN.
Figura73.:
Configurando Interfaces en WLC
La idea de un grupo de interfaces, es que a través de la autenticación
del usuario y su posterior autorización por parte del NPS, se le asignará una
etiqueta al usuario que lo asignará una vlan específica. Es ésta etiqueta que
interpretará el WLC a fin de colocar al host del usuario dentro del segmento de
red al que debe pertenecer.
Configurar grupos de interfaces en WLC
Paso 10: Navegar en la ruta Controller > Interfaces Groups. En
la sección derecha hacer click en el botón Add Group.
Paso 11: Configurar los valores de los campos correspondientes a
la identificación del grupo y descripción Interface Group Name y Description. Click en Add,... Validar el ejemplo
de la Figura74.
Figura74.: Creando
Grupo de Interfaces
Paso 12: En la nueva
ventana es el menú desplegable Interface Nave, escoger la interfaz que
formará parte de este grupo y hacer click sobre Add Interface. Repetir
hasta que la última interfaz sea agregada. Validar la Figura75.
Figura75.: Agregando
interfaces al interface Groups
Configurar la red inalámbrica o WLAN.
Paso 13: Navegar en la ruta WLANs > WLANs En
la sección derecha hacer click en el botón New.
Paso 14: Configurar los valores de los campos correspondientes a
la identificación de la Red Wifi y SSID, además en el campo Interface/Interfaces
Groups(G) el cual asignara el direccionamiento y red a utilizar por el SSID.
Es aquí donde colocaremos especial atención, en este campo optaremos por el
grupo de interfaces ya creado anteriormente. Cisco en el diseño de la solución
a optado por marcar el grupo de interfaces con el símbolo (G),... Validar Figura76. Para el caso del
ejemplo, autenticaremos al usuario via Dot1X y NPS como servidor Radius.
Figura76.: Creando
Wlan y asociando el Interface Group
Configuración Seguridad, Capa 2, WLAN
Paso 15: Click sobre la pestaña Security y luego en Layer 2.
Paso 16: En
el campo Layer 2 Security optar por WPA+WPA2.
Paso 17: En
la sección WPA+WPA2 Parameter, marcar la casilla WPA2
Policy.
Paso 18: En la sección Authentication Key Management click para marcar la casilla 802.1X.
El resto de casillas deben quedar con los valores por defecto. Validar Figura77.
Figura77.: Configuración
General Wlan
Nota: en
la pestaña Layer 3 se debe dejar la configuración por
defecto (none).
Configuración Seguridad, AAA Servers, WLAN
Paso 19: Click sobre la pestaña Security y luego
en AAA Servers.
Paso 20: Marcar
las casillas Enable Authentication
Servers y Accouting Servers.
Paso 21: En
el campo Server 1 optar por el servidor Radius
configurado previamente tanto para la autenticación como para la auditoria. Validar Figura 78.
Paso 22: En
la última sección, Authentication
priority order for web-auth user, optar
por RADIUS como primera opción y única opción. Validar Figura 79.
Figura78.: Selección
de Servidor Radius para Auditoria y Autenticación
Figura79.: Selección
de prioridades y fuentes de autenticación de usuarios
Configuración Seguridad, Advanced , WLAN
Paso 23: Click sobre la pestaña Advanced.
Paso 24: Marcar la casilla correspondiente al
campo Allow AAA Overdrive.
Paso 25: En la sección DHCP marcar la casilla correspondiente
al campo DHCP Addr. Assignament. Validar Figura80.
Paso 26: Click
sobre el botón Apply.
Figura80.: Configuración
Avanzada WLAN
Proceso 9: Comprobando operación Radius sobre WLC y WLAN
Paso 1: Con
un dispositivo con capacidades de conexión inalámbrica, conéctese a la red Wifi
que se ha configurado para autenticación 802.1X, Radius.
Paso 2: Ingrese
las credenciales, recuérdese que dichas credenciales de AD deben pertenecer a
alguno de los grupos de seguridad configurados dentro de las políticas NPS.
Paso 3: Conéctese a la consola de administración web de su WLC y
suministre credenciales de administrador. Navegue a través de la ruta Monitor > Clients. Verifique la
conexión de las credenciales que usted suministro en el Paso 2. Validar Figura 81. Tambien puede
verificarse las estadísticas de la conexión del usuario, Validar Figura82.
Figura81.: Comprobando
operación Radius sobre WLC y WLAN
Figura82.: Estadísticas
de usuario, operación Radius sobre WLC y WLAN
