Configuracin Red Wifi con Autenticacin contra

Servidor NPS

En este documento vamos a tratar de explicar cmo establecer un nivel de seguridad en

nuestra red wifi, para el acceso de equipos controlado y seguro, basndonos en una
autenticacin mediante los usuarios de nuestro Directorio Activo,

Lo primero que vamos a necesitar es instalar una Entidad Certificadora Enterprise en

nuestro Dominio para poder securizar el acceso wifi de nuestros clientes.

Una vez instalada la Entidad Certificadora vamos a generar un Certificado de equipo

que utilizaremos para nuestra validacin Radius. Para ello abrimos una consola MMC y
agregamos la consola de certificados.
Ahora realizaremos una solicitud de un nuevo certificado, en este caso de tipo Domain
Controller ya que es un Controlador de Dominio donde instalaremos nuestro Servidor
NPS. En el caso que sea en diferente solicitaremos un certificado de Equipo.

Pulsamos Enroll.
Una vez realizado el certificado pasaremos a configurar un grupo de Directorio Activo
que va a contenerlos usuarios y equipos a los que queremos dar permisos de acceso.

Para ellos abrimos usuarios y equipos de Active Directory y creamos un Grupo

Universal en el Directorio Activo que va a contener a los usuario y equipos que
queremos dar permisos en la Autenticacin de nuestra red WIFI.
A este grupo aadiremos a los usuarios y equipos a los que permitimos el acceso.

Ya tenemos la base para empezar a trabajar nuestro servidor NPS. Ahora instalaremos el
Rol Network Policy and Access Services,
Dejamos marcado Network Policy Server, Routing and Remote Access Services,
Remote Access Service & Routing

Ahora vamos a NPS y crearemos una configuracin Standard: RADIUS para 802.1X
Wireless y pulsamos el botn Configure 802.1X,
Marcamos Secure Wireless Connections y le damos un nombre,
Aadimos nuestros clientes Radius que sern nuestros Puntos de Acceso

Le damos un nombre al AP, su direccin IP y creamos una contrasea que compartir

con el AP
Aadiremos tantos APs como tengamos que autenticar por Radius.

Explicacin de los diferentes Metodos de Autenticacin existentes:

EAP (Extensible Authentication Protocol) uses an arbitrary authentication method,
such as certificates, smart cards, or credentials.
EAP-TLS (EAP-Transport Layer Security) is an EAP type that is used in certificate-
based security environments, and it provides the strongest authentication and key
determination method.
EAP-MS-CHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol
version 2) is a mutual authentication method that supports password-based user or
computer authentication.
PEAP (Protected EAP) is an authentication method that uses TLS to enhance the
security of other EAP authentication protocols.
When selecting the authentication mechanism, you need to balance between the levels of
security required with the effort required for deployment. For the highest level of
security, choose PEAP with certificates (EAP-TLS). For the greatest ease of
deployment, choose PEAP with passwords (EAP-MS-CHAP v2).
Elegimos el tipo de autenticacin Microsoft Protected EAP (PEAP) y pulsamos en
Configure para elegir el certificado que hemos generado anteriormente de nuestra CA.
Elegimos el Certificado generado anteriormente por nuestra CA y en este caso vamos
utilizar el metodo de autenticacin EAP-MSCHAPv2

Ok y Siguiente

Ahora especificamos los Grupos de Directorio Activo a los que damos acceso, es decir,
el grupo que creamos anteriormente Usuarios Wireless. Next,
Siguiente,
Finalizar.

Registramos el Servidor NPS en el Directorio Activo. Boton derecho en NPS y

Registrar Servidor en Directorio Activo.
OK,

Aceptamos.

Con esto hemos acabado el wizard y ya tenemos configurado nuestro servidor NPS de
una manera rapida para aceptar conexiones de APs y Cientes.

Para retocar la configuracin realizada podemos retocar dentro de Network Policies la

politica creada en el Wizard
O incluir nuevos APs por ejemplo en RADIUS Clientes

Configuracin del AP,

En esta parte del documento veremos la configuracin de nuestro punto de acceso,

Configuramos el AP para que tiren contra el servidor NPS con los siguiente parmetros:

WPA2 Enterprise
Encriptacion: AES
IP de nuestro servidor RADIUS
Password compartida con el servidor NPS

Poltica para equipos del dominio,

Creamos una nueva poltica para los equipos del dominio para que tengan configurada
la Red Wifi mediante una GPO si nos interesase.

Para ello vamos a Group Policy Management y creamos una nueva politica que
aplicaremos a los equipos que hemos metido en el grupo creado al principio del
documento Usuarios Wireless en la que configuraremos lo siguiente.

Vamos Configuracin de Equipo > Wireless Network > Create a New Wireless
Network Policy for Windows Vista and Later Releases,
Damos un nombre a la poltica, una descripcin y Add > Infrastructure,
Damos un nombre y aadimos la red wifi.
Configuramos todos los parametros como hemos realizado nuestra red y nos dirigimos a
Microsoft Protected EAP (PEAP) > Propiedades
Activamos Validate Server Certificate y marcamos la CA del dominio y Aceptamos