SISTEMAS AUTENTICACION Laboratorio N 4 WIRELESS

Tecsup

EAP-TLS
OBJETIVOS ! Instalacin y configuracin de Redes Inalmbricas segura. ! Implementar soluciones de EAP-TLS (Certificados). EQUIPOS ! 3 Computadora. ! 1 Access Point PROCEDIMIENTO CONEXIN FISICA ! Realice las conexiones fsicas del AP. ! Con un cable crossover, conecte la PCL (REAL) y el AP. ! La PC WIRELESS retire el cable de RED LAN y coloque su antena. PARTE 1 Instalacin de Servidor RAD, AP y CLIENTE (PCW). El PCW se conectara al AP sin ningn mtodo de autenticacin INSTALACION DEL AP Nota: Al AP entregado esta configurando para un acceso libre. Deber de personalizar el nmero de canal y el SSID. Esto es necesario debido a que esta existiendo varios AP en una misma rea. Los canales recomendados son (1,6,11). Use el canal asignado. DATOS SSID CANAL VALORES ap__ __

AP CISCO 1. (AP) Accediendo al AP va browser desde PCL: http://192.168.90.130 ! Seccin SETUP ! En la Fila que empieza con AP RADIO o ROOT RADIO seleccionar el cuadro Hardware: SSID: ap__ Default Radio Channel: Canal asignado <OK> AP DLINK 2. (AP) Accediendo al AP va browser desde PCL: http://192.168.90.130 Usuario: Admin Password: Dejar en Blanco Botn WIRELESS SSID: ap__ Default Radio Channel: Canal asignado Authentication: Open System <OK>

-1-

Tecsup

CONFIGURACION DEL CLIENTE WIRELESS 3. (PCW) Configurando la tarjeta WIRELESS: ! Configure su respectiva direccin IP. ! Visualice las Redes Inalmbricas Disponibles. Si no aparece realice un refresco. ! Deber de visualizar su SSID y conctese a su SSID. 4. (PCW) Realice pruebas de acceso a la RED LAN: ! Realize PING a PCL: ping 192.168.90.139 PARTE 2 Activaremos un CERTIFICADOR (CA), para que provea certificados MAQUINA VIRTUAL PREPARADA CA 5. (CA) Se h preparado una Maquina Virtual WINDOWS 2003 SERVER: ! Descomprima Windows 2003 CERTI.rar ! Active la maquina virtual. ! En la maquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT ! La maquina virtual esta configurada con los siguientes datos: Nombre: spdc.laborsa.com.pe Dominio: laborsa.com.pe IP: 192.168.90.136 DNS: 127.0.0.1 INSTALAR EL IIS 6. (CA) Instalar el Servicio de WEB: Agregar o Quitar programas Windows:

>

Agregar

Quitar

Componentes

de

[x] Servidor de Aplicaciones <Siguiente>

INSTALACION DE CERTIFICATE SERVER 7. (CA) Instalando el CERTIFICATE SERVER: Agregar o Quitar programas > Agregar Windows: [x] Servicios de Certificate Server (Acepte el mensaje de advertencia: si) <Siguiente> Tipo de entidad emisora de certificados (.) Entidad Emisora raz independiente <siguiente>

Quitar

Componentes

de

Identificacin de la entidad emisora de Certificados Nombre Comn: spdc Sufijo de Nombre Completo: Dejar en blanco Periodo de validez: 5 aos <siguiente> ! Aceptar las siguientes ventanas.

-2-

Tecsup PARTE 3 Instalaremos el RADIUS (RAD). MAQUINA VIRTUAL PREPARADA SPDC 8. (RAD) Se h preparado una Maquina Virtual WINDOWS 2000 SERVER: ! Descomprima Windows 2000 ACS01.rar ! Active la maquina virtual. ! En la maquina virtual en vez del CTRL + ALT + DEL use CTRL + ALT + INSERT ! La maquina virtual esta configurada con los siguientes datos: Nombre: acs01.labo.com.pe Dominio: labo.com.pe IP: 192.168.90.133 DNS: 192.168.90.133 INSTALACION DEL ACS 9. (RAD) Obteniendo el SOFTWARE ACS: ! Archivo: eval-ACS-41-SW-K9.zip ! Ubicacin: Consulte al instructor para descargarlo. ! Copiarlo a una carpeta soft de la Maquina Virtual. 10. (RAD) Instalando el ACS: ! Descomprimir el software. ! Ejecutar setup.exe. Nota: Las ventanas que no se mencionan, aceptar sus valores por defecto: Aceptar el Warning. Ventana Before You Begin " Seleccionar todo. Next. Ventana Authentication Database Configuration: (.) Also check the Windows 2000/NT User Database ! ! ! Next. Ventana Advanced Options [x] [x] [x] [x] ! ! Next. Ventana Cisco Secure ACS Service Initiation Password: base2000 Retype: base2000 ! Aceptar todo lo siguiente. max sessions Default Time-of-day/Day-of-Week Specification distribution System Settings database replication

! ! ! ! !

Nota: El programa se accede va WEB. En el escritorio figura un acceso directo al ACS. Por seguridad puede suceder que pierda conectividad en el browser, en esta situacin deber de cerrar el navegador y volver a activar el acceso directo de ACS.

-3-

Tecsup PARTE 4 Agregando el Certificado del CA en el ACS, para que pueda validar ms adelante los certificados emitidos por el CA. DIRECTORIOS 11. (RAD) Crear los siguientes directorios: Directorio C:\CA C:\RADIUS Funcin Para descargar los certificados del CA Para descargar certificados y llaves del RADIUS

INSTALANDO CERTIFICADO DEL CA 12. (RAD) Acceda: http://192.168.90.136/certsrv ! Clic Descargar un certificado de entidad certificados o lista de revocacin" ! !

emisora,

cadena

de

Clic Descargar certificado de entidad emisora Guarde en el directorio: C:\CA

(certnew.cer)

13. (RAD) En el ACS agregue este Certificado del CA: ! Seccin: System Configuration ACS Certificate Setup ACS Certification Authority Setup CA Certificate File: c:\CA\certnew.cer <Submit> visualizara el se ha aadido: CA

Nota: En la ventana derecha Certificate Common Name spdc 14. (RAD) Aplicando los cambios: ! Seccin: System Configuration Service Control <stop> <start>

Espere hasta que aparezca Is Currently Stopped Espere hasta que aparezca Is Currently Running

15. (RAD) Comprobando y predeterminando: ! Seccin: System Configuration ACS Certificate Setup Edit Certificate Trus List Seleccione: [x] spdc <submit>

Nota: Esta al final de la Lista. Si no aparece spdc. Realic nuevamente el requerimiento del certificado. 16. (RAD) Aplicando los cambios: ! Seccin: System Configuration Service Control <stop> <start> Espere hasta que aparezca Is Currently Stopped Espere hasta que aparezca Is Currently Running

-4-

Tecsup PARTE 5 El RADIUS solicitara un requerimiento de un Certificado al CA. El CA autorizara la emisin del certificado. Luego se proceder a instalar el Certificado en el RADIUS entregado por el CA. REQUERIMIENTO 17. (RAD) Enviaremos una solicitud de requerimiento de Certificado: ! Seccin: System Configuration ACS Certificate Setup Generate Certificate Signing Request Certificate subject: cn=acs01 Private Key File: c:\RADIUS\private.txt Private Key Password: tecsup Retype Private Key Password: tecsup Key Length: 1024 Digest to sign with: sha1 <Submit> ! Aparecer al costado la informacin del requerimiento: ----- Begin Certificate Request ----. . ----- End Certificate Request ----! Copie este contenido en un archivo de texto (NOTEPAD) y gurdelo en c:\RADIUS\certreq.txt

ENVIANDO SOLICITUD DE CERTIFICADO ! En otra ventana del navegador. 18. (RAD) Va el navegador acceda al WEB del Certificador: http://192.168.90.136/certsrv Clic Solicitar un certificado Clic Solicitud avanzada de certificado Clic Enviar una solicitud de certificados usando un archivo cifrado de base64 CMC o PKCS #10 o una solicitud de renovacin usando un archivo cifrado de base64 PKCS#7 ! ! ! Solicitara la solicitud del certificado: Abra el archivo: c:\RADIUS\certreq.txt Copie y pegue el contenido en el cuadro [Guardar Solicitud] <enviar> Informara el numero de ID que le ha sido asignado.

ACEPTANDO LA SOLICITUD DE CERTIFICADO 19. (CA) Emitiendo el requerimiento del certificado: Herramientas Administrativas > Entidad Emisora de Certificados > spdc > Peticiones pendientes: ! Observara en cola su peticin ! Ubquese en su peticin. ! Clic derecho: Todas Las tareas > emitir ! Compruebe que su peticin ha pasado a la seccin: Certificados emitidos

-5-

Tecsup OBTENIENDO CERTIFICADO 20. (RAD) Descargando el certificado: ! Acceda via web: http://192.168.90.136/certsrv ! Clic: Ver el estado de una solicitud de certificado pendiente ! Clic Solicitud guardada (.)Cifrado Der Descargar Certificado ! Guardar en la unidad c:\RADIUS

Nota: EL nombre del certificado es certnew.cer INSTALANDO CERTIFICADO 21. (RAD) Instalando certificado emitido por el CA ! Seccin: System Configuration ACS Certificate Setup Install ACS Certificate <Install New Certificate> (.) Read Certificate from file Certificate file: c:\radius\certnew.cer Private Key File: c:\radius\private.txt Private Key Password: tecsup <Submit> Visualizara que el certificado fue aceptado y validado por el CA. Mostrando el siguiente mensaje: Issued to: acs01 Issued by: spdc Validity: OK 22. (RAD) Aplicando los cambios: ! Seccin: System Configuration Service Control <stop> <start> Espere hasta que aparezca STOP. Espere hasta que aparezca Is Currently Running

PARTE 6 La solucin EAP-TLS requiere que el CLIENTE PCW disponga de un Certificado Personal. Este certificado se usara luego para autenticarse. GENERANDO REQUERIMIENTO Nota: El cliente generara directamente un requerimiento de certificado va el WEB del CA e envindolo para su aprobacin.

-6-

Tecsup 23. (PCW) Solicitando certificado: ! Acceda va Web: http://192.168.90.136/certsrv Solicitar un Certificado Solicitud avanzada Crear e Enviar una solicitud a esta CA Nota: Si el navegador, muestra una advertencia Autoric la activacin de los controles. ! de seguridad.

Ubique los siguientes campos y rellnelos: Nota: El campo nombre debe rellenarlo con el user asignado. Nombre: user01 Tamao de Clave: 1024 <Enviar>

Aceptar la advertencia.

ACEPTANDO LA SOLICITUD DE CERTIFICADO 24. (CA) Emitiendo el requerimiento del certificado: Herramientas Administrativas > Entidad Emisora de Certificados > spdc > Peticiones pendientes: ! Observara en cola su peticin ! Ubquese en su peticin. ! Clic derecho: Todas Las tareas > emitir ! Compruebe que su peticin ha pasado a la seccin: Certificados emitidos OBTENIENDO CERTIFICADO 25. (PCW) Descargando el certificado: ! Acceda via web: http://192.168.90.136/certsrv Ver el estado de una solicitud de certificado pendiente Certificado de autenticacin del cliente Instalar este Certificado ! Aceptar la advertencia.

26. (PCW) Comprobando la instalacin del Certificado: ! En el navegador: Men Herramientas > Opciones de Internet > Lengeta Contenido > Botn Certificados: CERTIFICADO DEL CLIENTE Lengeta Personal > Doble clic user01: Lengeta General: Enviado a: user01 Emitido por: spdc Tiene una clave privada correspondiente a este certificado Lengeta Ruta de Certificacin: Clic user01 En la parte inferior deber decir: Certificado Valido

-7-

Tecsup Lengeta Detalles: Clic Asunto En la parte inferior deber decir: cn= user01 <Aceptar> CERTIFICADO DEL CA Lengeta Entidades Emisoras raz de confianza ! En la lista deber de aparecer: spdc ! Cierre el navegador. Nota: Entonces hemos comprobado que el certificado del Cliente esta aceptado. Se ha comprobado su validez de la firma con el Certificado del CA. Ahora podr validar certificados con otros que tengan Certificados emitidos por SPDC (En este caso ser el del RADIUS).

PARTE 7 Habilitaremos el soporte de EAP-TLS en el RADIUS, para que valide la autenticacin va certificados que enviara el cliente Wreless PCW mas adelante. AUTENTICACION CON EAP-TLS 27. (RAD) Habilite el soporte de EAP-TLS ! Seccin: System Configuration Global Authentication Setup ! Ubquese en la seccin EAP-TLS y seleccione lo siguiente: EAP-TLS [x] Allow EAP-TLS Select one or more of [x] Certificate [x] Certificate [x] Certificate

the following options: SAN comparison CN comparison Binary comparison <Submit + Restart>

Nota: Encontrara otros tipos de EAP que estn habilitados (EAP-MD5, LEAP), lo puede dejar. No usndose en esta solucin.

PARTE 8 En el RADIUS ACS, se registrara al CLIENTE AAA que es el AP. Activar que se valida las cuentas de Active Directory AD. REGISTRANDO EL AP EN EL RADIUS 28. (RAD) Personalizando un AAA CLIENTS: ! Seccin: NETWORK CONFIGURATION ! Ubique el Cuadro: AAA Clients ! Clic " Add Entry

-8-

Tecsup

AAA Client Hostname: ap__ AAA Client IP Address: 192.168.90.130 Shared secret: tecsup Authenticate Using: RADIUS (Cisco Aironet) [x] Log Update/Watchdog Packets from this AAA Client <Submit + Apply> CONFIGURANDO VALIDACION EXTERNA CON AD 29. (RAD) Seleccionando Base de datos externa para la validacin: ! SECCION: External User Databases Database Configuration Clic Windows Base " <Configure> Domain List LABO <Submit> 30. (RAD) Derivar las cuentas no registrada en el ACS al Active Directory: ! SECCION: External User Databases Unknown User Policy [x] Check the following external user databases. Selected Databases Windows NT/2000 <Submit> HABILITANDO EVENTOS 31. (RAD) Configurando para registrar eventos de validacion: ! SECCION: System Configuration Logging Passed Authentication: Configure [x] Log to CSV Passed <submit>

CUENTA EN BASE DE DATOS DE WINDOWS 32. (RAD) Crear la siguiente cuenta de usuario en el Active Directory: Inicio " Programas " Herramientas Administrativas " Usuarios y Equipos de Active Directory usuario user01 ! Password Tecsup2007

Crear con la opcin que la contrasea no caduca: [x] El usuario no puede cambiar la contrasea [x] La contrasea nunca caduca

-9-

Tecsup PARTE 9 Configuraremos el AP para que soporte de EAP AP CISCO Nota: El punto 33 y 34 se realizara si tiene AP CISCO DERIVANDO A RADIUS 33. (AP) Configurando al AP para un acceso sin autenticacin: Setup > Security > Authentication Server 802.1x Protocol Version (for EAP authentication) = 802.1x-2001 Server Name IP Server 192.168.90.133 [x] EAP Authentication <ok> Nota: Solo rellene el primer grupo del RADIUS SOLICITANDO AUTENTICACION EAP AL CLIENTE 34. (AP) Configurando: Setup > Security > Radio Data Encryption (WEP) Accept Authentication Type Require EAP OPEN [x] [x] SHARED [ ] [ ] Key Size 128 bit NETWORK-EAP [x] Type RADIUS Port 1645 Shared Secret tecsup

WEP KEY 1 : 12345678901234567890123456 <OK>

Nota: Estamos usando una llave de 128 bit que son 26 Dgitos Setup > Security > Radio Data Encryption (WEP) Use of Data Encryption by Station is: <OK> Full Encryption

AP DLINK Nota: El punto 35 se realizara si tiene AP DLINK 35. (AP) Configurando al AP para un acceso sin autenticacin: ! Botn <Wreless> Authentication: WPA-EAP Radius Server Setting Chipre Tyype: Auto Radius Server: 192.168.90.133 Radius Port: 1645 Radius Secret: tecsup <Apply>

- 10 -

Tecsup PARTE 10 Ahora que esta preparado el AP, RADIUS. Habilitaremos al CLIENTE PCW el soporte de EAP-TLS que usa CERTIFICADO (En la PARTE 7, se obtuvo este certificado). SOPORTE DE EAP 36. (PCW) Ingrese a las Propiedades de la Tarjeta WIRELESS: ! Lengeta Redes Inalmbricas Seccin Redes Preferidas: o Ubquese en su AP (SSID). o Que su AP (SSID) figure como primero en la lista. o Personalic su AP(SSID): Clic <propiedades> ! Lengeta Asociacin Autenticacin de la RED: Abierta Cifrado de datos: WEP [x] La clave la proporciono yo automticamente ! Lengeta Autentication [x] Habilitar la autenticacin IEEE 802.1x en esta RED: Tarjeta Inteligente u otro certificado <Propiedades>

PRUEBA 37. (PCW) Comprobaremos la conexin: ! Desactive la Tarjeta WIRELESS. ! Active la Tarjeta WIRELESS. ! Visualice las Redes Inalmbricas Disponibles y asegure que se ha conectado a su AP
ap##

Nota: Si aparece un mensaje en la parte inferior en el icono de la tarjeta Wreless cerca de la hora. Clic al mensaje: validar un certificado de Servidor <aceptar>

- 11 -

Tecsup Compruebe la conectividad hacia PCL: ping 192.168.90.139

EVENTOS DEL RADIUS 38. (RAD) Visualizando el registro de aceptacin: ! Seccin: Reports and Activity Passed Authentication Passed Authentication active.csv ! Visualice en la columna: Message Type : Authen OK EAP Type Name : EAP-TLS

TECSUP GD

- 12 -

Tecsup

ANEXO Esta parte es para preparar configuracin limpia. AP CISCO

los

equipos

para

iniciar

una

nueva

RESETEANDO EL AP CISCO ! Conecte el cable consola y conctese va hypeterminal (9600) Setup > Cisco Service Setup > System Configuration > Reset all System Factory ! Al reiniciar por defecto toma la IP: 10.0.0.1 SSI: tsunami

CONFIGURANDO IP ID ETHE > Address > 192.168.90.130 > ok AP DLINK ! ! ! Presionar el botn reset por 15 seg. Por defecto toma la IP: 192.168.0.50 Va browser ingrese: http://192.168.0.50 Usuario: admin Password: Dejar en Blanco Botn <LAN> IP= 192.168.90.130 GATEWAY= 192.168.90.1 <Apply>

- 13 -