Story Transcript
Ejemplo de configuración de Wi-Fi Protected Access 2 (WPA 2) Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Antecedentes Compatibilidad de WPA 2 con equipos Cisco Aironet Configuración en modo empresa Configuración de la red Configuración del AP Configuración del adaptador del cliente Verificación Resolución de problemas Configuración en modo personal Configuración de la red Configuración del AP Configuración del adaptador del cliente Verificación Resolución de problemas
Introducción Este documento explica las ventajas que ofrece Wi-Fi Protected Access 2 (WPA 2) en una LAN inalámbrica (WLAN). Asimismo, proporciona dos ejemplos de configuración sobre cómo implementar WPA 2 en una WLAN. El primero muestra cómo configurar WPA 2 en modo empresa y el segundo, cómo hacerlo en modo personal. Nota: WPA funciona con el Protocolo de autenticación ampliable (EAP).
Requisitos previos Requisitos Es necesario un conocimiento básico sobre estos temas antes de intentar esta configuración: WPA Soluciones para la seguridad de WLAN Nota: consulte Cisco Aironet Wireless LAN Security Overview (Información general sobre la seguridad de LAN inalámbrica Cisco Aironet) para obtener información sobre soluciones de seguridad en redes WLAN de Cisco.
Componentes utilizados La información de este documento se basa en estas versiones de software y hardware: Punto de acceso (AP)/puente Cisco Aironet 1310G que ejecuta la versión 12.3(2)JA del software Cisco IOS® Adaptador del cliente Aironet 802.11a/b/g CB21AG que ejecuta la versión 2.5 del firmware Utilidad de escritorio Aironet (ADU) que ejecuta la versión 2.5 del firmware Nota: el software del adaptador del cliente Aironet CB21AG y PI21AG no es compatible con otro software de adaptador del cliente Aironet. Debe utilizar ADU con tarjetas CB21AG y PI21AG, así como la utilidad del cliente Aironet (ACU) y todos los otros adaptadores del cliente
Aironet. Consulte Installing the Client Adapter (Instalación del adaptador del cliente) para obtener más información sobre cómo instalar la tarjeta CB21AG y ADU. Nota: en este documento se utiliza un AP/puente con una antena integrada. Si utiliza un AP/puente que requiera una antena externa, asegúrese de que las antenas estén conectadas a él. De lo contrario, el AP/puente no podrá conectarse a la red inalámbrica. Ciertos modelos de AP/puente están equipados con antenas integradas, mientras que otros necesitan de una antena externa para su funcionamiento general. Para obtener información sobre los modelos de AP/puente que están equipados con antenas internas o externas, consulte la guía de pedidos o de productos del dispositivo en cuestión. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.
Convenciones Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.
Antecedentes WPA es una solución de seguridad de Wi-Fi Alliance que se basa en estándares y que trata las vulnerabilidades en WLAN nativas. WPA proporciona una mejor protección de datos y un mayor control de acceso para sistemas WLAN. WPA aborda todas las vulnerabilidades de Privacidad alámbrica equivalente (WEP) en la implementación original de seguridad IEEE 802.11 y brinda una solución de seguridad inmediata para WLAN, tanto en entornos para empresas como en entornos de oficinas pequeñas u oficinas residenciales (SOHO). WPA 2 es la siguiente generación en seguridad Wi-Fi. WPA 2 es la implementación de interoperabilidad del estándar aprobado IEEE 802.11i de Wi-Fi Alliance. WPA 2 implementa el algoritmo de cifrado del Estándar de cifrado avanzado (AES) recomendado por el Instituto Nacional de Estándares y Tecnología (NIST), con el uso del modo contador junto con el Protocolo de código de autenticación de mensaje encadenado de bloqueo de cifrado (CCMP). El modo contador AES es un cifrado en bloque que cifra paquetes de datos de 128 bit por vez con una clave cifrada de 128 bits. El algoritmo CCMP produce un código de integridad del mensaje (MIC) que proporciona autenticación del origen de los datos e integridad de datos para la trama inalámbrica. Nota: CCMP también se conoce como CBC-MAC. WPA 2 ofrece un mayor nivel de seguridad comparado con WPA, ya que AES brinda un cifrado más sólido que el Protocolo de integridad de clave temporal (TKIP). TKIP es el algoritmo de cifrado que utiliza WPA. WPA 2 crea nuevas claves de sesión en cada asociación. Las claves cifradas que se utilizan para cada cliente de la red son únicas y específicas para ese cliente. Finalmente, cada paquete que se envía está cifrado con una clave única. La seguridad se mejora mediante el uso de una clave cifrada nueva y única, ya que no hay reutilización de claves. WPA todavía se considera seguro y TKIP no ha sido violado hasta la fecha. No obstante, Cisco recomienda la transición de sus clientes a WPA 2 tan pronto como sea posible. Consulte Wi-Fi Protected Access, WPA2 and IEEE 802.11i (Wi-Fi Protected Access, WPA2 e IEEE 802.11i) para obtener más información sobre WPA y WPA 2. Tanto WPA como WPA 2 admiten dos modos de funcionamiento: Modo de empresa Modo personal Este documento analiza la implementación de estos dos modos con WPA 2.
Compatibilidad de WPA 2 con equipos Cisco Aironet Los siguientes equipos admiten el uso de WPA 2: AP Aironet series 1130AG y 1230AG AP Aironet serie 1100 AP Aironet serie 1200 AP Aironet serie 1300 Nota: equipe estos AP con radios 802.11g y use la versión 12.3(2)JA o posterior del software Cisco IOS. WPA 2 y AES también se admiten en: los módulos de radio de la serie Aironet 1200 con los números de parte AIR-RM21A y AIR-RM22A
Nota: el módulo de radio Aironet 1200 con el número de parte AIR-RM20A no admite WPA 2. los adaptadores del cliente Aironet 802.11a/b/g con la versión 2.5 del firmware Nota: los productos de la serie Cisco Aironet 350 no admiten WPA 2 debido a que sus radios carecen de compatibilidad con AES. Nota: WPA2 no se admite en routers de servicios integrados (ISR) o en tarjetas de interfaz WAN de alta velocidad (HWIC)-AP. Nota: los puentes inalámbricos Cisco Aironet serie 1400 no admiten WPA 2 o AES.
Configuración en modo empresa El término modo empresa hace referencia a los productos que se evalúan para que puedan funcionar tanto en modo de operación de autenticación de clave previamente compartida (PSK) como en IEEE 802.1x. Se considera que 802.1x es más seguro que cualquier otro de los sistemas de autenticación heredados, debido a su flexibilidad para admitir diversos mecanismos de autenticación y algoritmos de cifrado más sólidos. WPA 2 en modo empresa realiza la autenticación en dos etapas. En la primera se realiza la configuración de la autenticación abierta. La segunda es la autenticación 802.1x con uno de los métodos EAP. AES proporciona el mecanismo de cifrado. En modo empresa, clientes y servidores de autenticación se autentifican entre sí con el uso de un método de autenticación EAP, y el cliente y el servidor generan una clave maestra Pairwise (PMK). Con WPA 2, el servidor genera la PMK en forma dinámica y la transmite al AP. Esta sección trata la configuración necesaria para implementar WPA 2 en el modo de empresa.
Configuración de la red En esta configuración, un AP/puente Aironet 1310G que ejecuta el Protocolo de autenticación ampliable ligero de Cisco (LEAP) autentifica a un usuario con un adaptador del cliente compatible con WPA 2. La administración de claves ocurre con el uso de WPA 2, con el cifrado AESCCMP configurado. El AP se configura como un servidor local RADIUS que ejecuta la autenticación LEAP. Debe configurar el adaptador del cliente y el AP para poder implementar esta configuración. Las secciones Configuración del AP y Configuración del adaptador del cliente muestran la configuración del AP y del adaptador del cliente.
Configuración del AP Complete estos pasos: 1. Configure el AP como un servidor local RADIUS que ejecuta la autenticación LEAP. a. Elija Security > Server Manager en el menú de la izquierda y defina la dirección IP, los puertos y la clave secreta compartida del servidor RADIUS. Dado que esta configuración configura el AP como un servidor local RADIUS, utilice la dirección IP del AP. Emplee los puertos 1812 y 1813 para el funcionamiento del servidor local RADIUS. b. En el área Default Server Priorities, defina la prioridad como 10.0.0.1. Nota: 10.0.0.1 es el servidor local RADIUS.
2. Elija Security > Encryption Manager en el menú de la izquierda y complete estos pasos: a. En el menú Cipher, elija AES CCMP. Esta opción habilita el cifrado AES con el uso del modo contador con CBC-MAC.
b. Haga clic en Apply. 3. Elija Security > SSID Manager y cree un nuevo identificador de conjuntos de servicios (SSID) para usar con WPA 2. a. Marque la casilla de verificación Network EAP en la zona Authentication Methods Accepted.
Nota: utilice las siguientes pautas cuando configure el tipo de autenticación en la interfaz de radio: Clientes de Cisco: utilice Network EAP. Clientes de terceros (incluidos los productos compatibles con Cisco Compatible Extensions [CCX]): utilice Open Authentication con EAP. Una combinación de clientes de Cisco y de terceros: seleccione tanto Network EAP como Open Authentication con EAP. b. Desplácese hacia abajo por la ventana Security: SSID Manager hasta el área Authenticated Key Management y complete estos pasos: a. En el menú Key Management, seleccione Mandatory. b. Marque la casilla WPA a la derecha. c. Haga clic en Apply. Nota: la definición de VLAN es opcional. Si define VLAN, los dispositivos clientes asociados con el uso de este SSID se agrupan en la VLAN. Consulte Configuring VLANs (Configuración de VLAN) para obtener más información sobre cómo implementar VLAN.
4. Elija Security > Local Radius Server y complete estos pasos: a. Haga clic en la ficha General Set-Up en la parte superior de la ventana. b. Marque la casilla LEAP y haga clic en Apply. En el área Network Access Servers, defina la dirección IP y la clave secreta compartida del servidor RADIUS.
c. Para el servidor local RADIUS, utilice la dirección IP del AP.
d. Haga clic en Apply. 5. Desplácese hacia abajo de la ventana General Set-Up hasta el área Individual Users y defina los usuarios individuales. La definición de grupos de usuarios es opcional.
Esta configuración define un usuario con el nombre "user1" y una contraseña. Además, la configuración selecciona NT hash para la contraseña. Una vez finalizado el procedimiento en esta sección, el AP está preparado para aceptar solicitudes de autenticación de los clientes. El próximo paso es configurar el adaptador del cliente.
Configuración del adaptador del cliente Complete estos pasos: Nota: en este documento se utiliza un adaptador del cliente Aironet 802.11a/b/g que ejecuta la versión 2.5 del firmware y se explica su configuración con la versión 2.5 de ADU. 1. En la ventana Profile Management de ADU, haga clic en New para crear un perfil nuevo. Se muestra una nueva ventana donde es posible establecer la configuración para el funcionamiento en modo empresa. En la ficha General, introduzca el nombre del perfil y el SSID que utilizará el adaptador del cliente.
En este ejemplo, el nombre del perfil y del SSID es WPA2: Nota: el SSID debe coincidir con el SSID que configuró en el AP para WPA 2.
2. Haga clic en la ficha Security, seleccione WPA/WPA2/CCKM y elija LEAP en el menú WPA/WPA2/CCKM EAP Type. Esta acción puede habilitar tanto WPA como WPA 2, según lo que haya configurado previamente en el AP.
3. Haga clic en Configure para definir los parámetros de LEAP. 4. Elija el nombre de usuario y contraseña apropiados, conforme a los requisitos, y haga clic en OK. Esta configuración elige la opción Automatically Prompt for User Name and Password, que permite introducir manualmente el nombre de usuario y la contraseña cuando se lleva a cabo la autenticación LEAP.
5. Haga clic en OK para cerrar la ventana Profile Management. 6. Haga clic en Activate para habilitar este perfil en el adaptador del cliente.
Nota: si utiliza la configuración inalámbrica cero de Microsoft (WZC) para configurar el adaptador del cliente, de forma predeterminada, WPA 2 no está disponible con WZC. Por lo tanto, para que un cliente con WZC habilitado pueda ejecutar WPA 2, debe instalar una revisión para Microsoft Windows XP. Consulte la actualización para Windows XP (KB893357) del centro de descargas de Microsoft para obtener más información. Después de instalar la revisión, podrá configurar WPA 2 con WZC.
Verificación Utilice esta sección para confirmar que la configuración funciona de manera adecuada. 1. Cuando se muestre la ventana Enter Wireless Network Password, escriba el nombre de usuario y la contraseña de la red inalámbrica.
La próxima ventana muestra el estado de la autenticación LEAP. En esta fase se comparan las credenciales del usuario con las del servidor local RADIUS. 2. Verifique el área Status para ver el resultado de la autenticación.
Cuando la autenticación es correcta, el cliente se conecta a la red inalámbrica. 3. Compruebe el estado actual de ADU para verificar que el cliente utiliza cifrado AES y autenticación LEAP. Esto indica que se ha implementado WPA 2 con autenticación LEAP y cifrado AES en la WLAN.
4. Compruebe el registro de eventos del AP/puente para verificar que el cliente se ha autenticado correctamente con WPA 2.
Resolución de problemas Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración.
Configuración en modo personal El término modo personal hace referencia a los productos que se evalúan para que puedan funcionar únicamente en modo de funcionamiento de autenticación de PSK. Este modo requiere la configuración manual de una PSK en el AP y en los clientes. La PSK autentifica usuarios mediante una contraseña, o código de identificación, tanto en la estación del cliente como en el AP. No es necesario un servidor de autenticación. Un cliente sólo puede obtener acceso a la red si su contraseña coincide con la contraseña del AP. La contraseña también proporciona el material de codificación que TKIP o AES utilizan para generar las claves de cifrado para el cifrado de los paquetes de datos. El modo personal está orientado a entornos SOHO y no se lo considera seguro para entornos de empresas. Esta sección muestra la configuración necesaria para implementar WPA 2 en el modo de funcionamiento personal.
Configuración de la red En esta configuración, un usuario con un adaptador del cliente compatible con WPA 2 autentifica a un AP/puente Aironet 1310G. La administración de claves ocurre con el uso de una PSK de WPA 2, con el cifrado AES-CCMP configurado. Las secciones Configuración del AP y Configuración del adaptador del cliente muestran la configuración del AP y del adaptador del cliente.
Configuración del AP Complete estos pasos: 1. Elija Security > Encryption Manager en el menú de la izquierda y complete estos pasos: a. En el menú Cipher, elija AES CCMP. Esta opción habilita el cifrado AES con el uso del modo contador con CCMP.
b. Haga clic en Apply. 2. Elija Security > SSID Manager y cree un nuevo SSID para usar con WPA 2. a. Marque la casilla Open Authentication.
b. Desplácese hacia abajo por la ventana Security SSID Manager hasta el área Authenticated Key Management y complete estos pasos: a. En el menú Key Management, seleccione Mandatory. b. Marque la casilla WPA a la derecha.
c. Introduzca la clave secreta PSK de WPA o la palabra clave PSK de WPA. Esta clave debe coincidir con la clave PSK de WPA que configuró en el adaptador del cliente. d. Haga clic en Apply. Ahora el AP puede recibir solicitudes de autenticación de los clientes inalámbricos.
Configuración del adaptador del cliente
Complete estos pasos: 1. En la ventana Profile Management de ADU, haga clic en New para crear un perfil nuevo. Se muestra una nueva ventana donde es posible establecer la configuración para el funcionamiento en modo PSK de WPA 2. En la ficha General, introduzca el nombre del perfil y el SSID que utilizará el adaptador del cliente. En este ejemplo, el nombre del perfil es WPA2-PSK y el SSID WPA2PSK: Nota: el SSID debe coincidir con el SSID que configuró en el AP para la PSK de WPA 2.
2. Haga clic en la ficha Security y seleccione WPA/WPA2 Passphrase. Esta acción puede habilitar tanto la PSK de WPA como la PSK de WPA 2, según lo que haya configurado previamente en el AP.
3. Haga clic en Configure. Se muestra la ventana Define WPA/WPA2 Pre-Shared Key. 4. Solicite la palabra clave de WPA/WPA2 a su administrador de sistema e introdúzcala en el campo correspondiente. Obtenga la palabra clave para el AP en una red de infraestructura o la palabra clave para otros clientes en una red ad hoc. Use las siguientes pautas para introducir una palabra clave:
La palabra clave de WPA/WPA2 debe contener entre 8 y 63 caracteres ASCII o 64 caracteres hexadecimales. La palabra clave de WPA/WPA2 del adaptador del cliente debe coincidir con la palabra clave del AP con el cual desea comunicarse.
5. Haga clic en OK para guardar la palabra clave y volver a la ventana Profile Management.
Verificación Utilice esta sección para confirmar que la configuración funciona de manera adecuada. Una vez que se ha activado el perfil PSK de WPA 2, el AP autentifica el cliente según la palabra clave (PSK) de WPA 2 y permite el acceso a la WLAN. 1. Compruebe el estado actual de ADU para verificar que la autenticación se ha realizado correctamente. En esta ventana se ofrece un ejemplo. La ventana muestra que el cifrado utilizado es AES y que no se realiza ninguna autenticación basada en el servidor:
2. Compruebe el registro de eventos del AP/puente para verificar que el cliente se ha autentificado correctamente con el modo de autenticación PSK de WPA 2.
Resolución de problemas Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 23 Junio 2008 http://www.cisco.com/cisco/web/support/LA/7/77/77481_wpa2_config.html