UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO

Transcripción

1 UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Nombre del proyecto CONDUMEX WIRELESS NETWORK Empresa Arneses Eléctricos Automotrices S.A DE C.V Memoria Que como parte de los requisitos para obtener El título de Ingeniero en Tecnologías de la Información y Comunicación Presenta José Roberto Hernández Gutiérrez Asesor de la UTEQ ISC. Marco Antonio Arreguin Molina Asesor de la EMPRESA LIC. Manuel Tomas Lopez Ruiz Santiago de Querétaro, Qro., a 22 de Mayo del 2013

2 RESUMEN En este documento se describen los procesos que se utilizaron para implementar la red inalámbrica de Condumex del Centro Técnico Querétaro (CTQ). Se describen las herramientas utilizadas así como las diferentes configuraciones que se realizaron. Esto proyecto se implementó con la finalidad de ayudar al CTQ con los diferentes problemas que presentaba con los usuarios al no contar con este servicio, como el no poder moverse de un lugar a otro sin perder la conexión a la red, la pérdida de tiempo al conectar dispositivos de red en las salas de juntas. Las distintas herramientas que se utilizaron fueron la utilización de Active Directory para la autenticación de los usuarios en la red, Servidor Radius y certificados de Windows para la seguridad de la red, utilización de Wlan Controller para llevar un control de los usuario que están conectados, políticas de seguridad para la restricción del acceso o la forma de distribución del servicio. Este beneficio no solo será para los usuarios del CTQ en general ya que en el Centro Técnico se reciben constantes visitas de colaboradores que vienen de diferentes plantas y el darles acceso a la red es indispensable. Palabras Clave: (Active Directory, Servidor Radius, Wlan Controller). 2

3 ABSTRACT This document describes the processes used to implement wireless network Condumex Querétaro Technical Center (QTC). It describes the tools used and the different configurations that were performed. This project was implemented in order to help the QTC with different problems presented to users by not having this service, such as not being able to move from one place to another without losing the connection to the network, the loss of time to network devices in the boardrooms. The various tools used were using Active Directory to authenticate users on the network, Radius Server and Windows certificates for network security, Wlan Controller use to keep track of the user who is connected, security policies for restricting access or how service delivery. This will benefit not only to users of the CTQ in general and in the Technical Center received constant visits from colleagues who come from different plants and give them Access. 3

4 AGRADECIMIENTOS Primeramente Gracias a DIOS por regalarme el don de vida, por darme unos padres excelentes y cariñosos. GRACIAS a todas las personas que durante este proceso estuvieron conmigo. Quiero agradecer especialmente a mis PADRES Y HERMANOS que me apoyaron en todo momento, en los momentos que más los necesite me tendieron la mano y me ayudaron a salir adelante. Por su apoyo y dedicación. GRACIAS. Agradecer a mis AMIGOS que me acompañaron a lo largo de toda la carrera, juntos salimos adelante, en los días de desvelo y preocupación me apoyaron y a pesar de los malos momentos aún seguimos juntos. A todos mis maestros que me brindaron su conocimiento y me ayudaron a ser una mejor persona. Y de una forma muy especial quiero agradecer a mi asesor de estadía y compañeros de área, Manuel Tomás López Ruiz, Leopoldo Antonio Gracia, Hugo Lozano y Salvador Téllez. Gracias por haberme recibido dentro de la empresa, por todo el conocimiento brindado y el apoyo que me dieron al final de mi estadía ya que gracias a ellos estoy presentando este proyecto. 4

5 Índice Pagina Resumen.. 2 Abstract 3 Agradecimientos 4 Índice. 5 I. INTRODUCCION. 6 II. ANTECEDENTES 8 III. JUSTIFICACION.. 9 IV. OBJETIVOS.. 10 V. ALCANCES VI. FUNDAMENTACION TEÓRICA 12 VII. PLAN DE ACTIVIDADES 21 VIII. RECURSOS MATERIALES Y HUMANOS.. 22 IX. DESARROLLO DEL PROYECTO. 24 X. RESULTADOS OBTENIDOS. 55 XI. ANALISIS DE RIESGO 56 XII. CONCLUSIONES. 57 XIII. RECOMENDACIONES 58 XIV. REFERENCIAS BIBLIOGRAFICAS. 59 5

6 I.INTRODUCCIÓN El Centro técnico Querétaro desde ahora (CTQ), cuenta con 500 empleados distribuidos en diferentes áreas las cuales son las siguientes: Electrical/Electronic Distribution Systems (Sistemas de Distribución Eléctrica y Electrónica). Connection Systems & Component Design (Diseño de Componentes y Sistemas de Conexión). Electronics and Safety (E&S). Debido al negocio de la empresa se requieren diferentes equipos para realizar las actividades de los usuarios, estos dispositivos van desde una computadora de escritorio hasta teléfonos móviles que requieren estar conectados a la red. El CTQ cuenta con una Red cableada por el cual las PC de los usuarios están conectadas a la red, el problema se encuentra en los dispositivos portátiles que están en constante movimiento y el hecho de llevar consigo un cable de red no es factible. Debido que el CTQ tiene empresas filiales en todo el país hay constantes visitas, visitas que presencian reuniones de la junta directiva y de alta gerencia, para estas juntas el estar conectado a la red es de vital importancia y el conectar equipo de comunicaciones como lo son Switches y cables requiere de tiempo muy valioso. 6

7 Este documento está dividido por tres etapas; la etapa uno contiene los capítulos de introducción, antecedentes justificación, objetivos y alcances. Esta etapa se enfoca en las necesidades de la empresa, el porqué del proyecto y su objetivo. La segunda etapa describe el desarrollo del proyecto de forma detallada la elaboración y estructura en que se llevó a cabo. Los estándares y procesos que se siguieron serán claramente especificados para que las actualizaciones futuras sean sencillas de realizar. La tercera y última etapa muestra los capítulos de conclusiones, logros obtenidos, dificultades, recomendaciones y la aportación que el proyecto dejó a la institución. 7

8 II.ANTECEDENTES El departamento de Information Tecnology desde ahora (IT) es el encargado de llevar el control de las dos redes LAN que se tienen implementadas en el CTQ, estas redes locales pertenecen a las 2 diferentes empresas que pertenecen al CTQ, la primera red es la red de Delphi, esta red proporciona servicios al área de Electronics and Safety (E&S). Y esta la red de Condumex, esta red proporciona servicios al área de Connection Systems & Component Design. Diariamente se realizan juntas de negocio por lo cual se tiene que conectar un Switch y esto implica conectar el número de nodos que nos indiquen, configurar el switch para que les brinde acceso a la red a la que pertenecen los equipos de cómputo y esto genera pérdidas de tiempo y en la industria el tiempo es dinero. El mantener actualizado y protegido el equipo de cómputo es fundamental para mantener segura la red y el hecho de que gran cantidad de ingenieros del CTQ requieran dos equipos de cómputo para realizar sus actividades hace que una la tengan conectada a la red y la otra no, ya que solo se tiene un nodo de red en cada lugar de trabajo. 8

9 III.JUSTIFICACIÓN La operación del negocio requiere de gastos económicos y de tiempo por parte del área de IT al tener que instalar Switches de forma constante en las salas de juntas. Los usuarios que utilizan dispositivos móviles no sacan el provecho del equipo de cómputo que tienen asignado ya que la diferencia de una laptop a una computadora de escritorio la movilidad, es para que este en constante movimiento y el hecho de estar sujeta a un cable le resta funcionalidad. Se reducirán costos debido a que los cables se dañan con facilidad, el tiempo que el área de IT invierte en transportar cables a las salas de juntas, conectar dispositivos y configurar los equipos, se puede utilizar de forma más eficiente. El aumento de la seguridad del personal ya que ahora evitando cableados se reduce los riesgos de accidentes por tropiezos con estos. Ya no se requerirá invertir en la creación de nuevos nodos de red en el área de laboratorios para poder conectar de manera independiente los equipos portátiles que se tienen en el CTQ. Potencialización de la conectividad LAN ahora a los equipos portátiles utilizando una infraestructura inalámbrica segura ya que solo equipos y usuarios dados de alta en él podrán conectarse a ella. 9

10 IV.OBJETIVOS Implementar el servicio Wireless para brindar acceso a la red a los usuarios del CTQ esto a través de la utilización de Access Point (AP). Controlar y administrar dicho servicio a través de un servidor RADIUS esto con la finalidad de mantener segura la información manejada en la empresa. Eliminar tiempos muertos al proveer servicio Wireless en red Condumex para las salas de juntas que albergan reuniones de la junta directiva y de alta gerencia. La productividad de los usuarios se obtendrá sin interrumpir las operaciones cuando no estén conectados a la red cableada de Condumex. Poder conectar a todos los Usuarios de Condumex, mientras estén en las salas de reuniones o distantes de algún nodo de red. Mejorar la imagen corporativa en las reuniones que se tienen con empresas filiales. Evitar retraso con el inicio de los cursos que se imparten en el CTQ al no tener que instalar dispositivos adicionales para que se lleven a cabo. 10

11 V.ALCANCES Implementar, controlar y administrar la red Wireless de Condumex para brindar un servicio de calidad a los usuarios. Configurar los Access Point desde ahora (AP), para que estos puedan ser controlados por un dispositivo de directivas de red, ya que de otra forma la red seria vulnerable ya que cualquiera se podría conectar a la red y eso ocasionaría lentitud en la red. Administrar el acceso a la red Inalámbrica mediante el uso de Active Directory, creando grupos de usuarios que tendrán derecho a conectarse a la Wlan, y así lograr que solo los usuarios hagan uso de este servicio. Crear un certificado de seguridad para que los equipos de cómputo autorizados a utilizar este servicio puedan validarse con Active Directory. Para la parte de Seguridad se considera la conexión con el servidor IAS el cual definirá las políticas de acceso a la red corporativa Wireless de la empresa. 11

12 VI.FUNDAMENTACION TERICA 1.1 RED Es un conjunto de dispositivos físicos "hardware" y de programas "software", mediante el cual podemos comunicar computadoras para compartir recursos (discos, impresoras, programas, etc.) A cada una de las computadoras conectadas a la red se le denomina un nodo. Se considera que una red es local si solo alcanza unos pocos kilómetros. [ Carmen S. (2009), Redes, Recuperado el 20 de marzo del 2013, de ] 1.2 LAN Es la interconexión de una o varias computadoras y periféricos. Antiguamente su extensión estaba limitada físicamente a un edificio o a un entorno de 200 metros, que con repetidores podía llegar a la distancia de un campo de 1 kilómetro, sin embargo, hoy en día y gracias a la mejora de la potencia de redes inalámbricas, es común observar complejos de edificios separados a más distancia que mantienen una red de área local estable. Su aplicación más extendida es la interconexión de computadoras personales y estaciones de trabajo. 12

13 1.3 WLAN Es un sistema de comunicación inalámbrica flexible, muy utilizada como alternativa a las redes de área local cableada o como extensión de éstas. Usan tecnologías de radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones cableadas, Conectividad ya no significa conexión física. Las áreas locales ya no se miden en pies ni en metros, sino en millas o kilómetros. Una infraestructura no necesita estar enterrada u oculta detrás de los muros, sino que puede desplazarse y cambiar según las necesidades de una organización. Una WLAN, al igual que una LAN, requiere un medio físico a través del cual pasan las señales de transmisión. En lugar de utilizar par trenzado o cable de fibra óptica, las WLANs utilizan luz infrarroja (IR) o frecuencias de radio (RFs). El uso de la RF es mucho más popular debido a su mayor alcance, mayor ancho de banda y más amplia cobertura. Las WLANs utilizan las bandas de frecuencia de 2,4 GHz y de 5 GHz. Estas porciones del espectro de RF están reservadas en la mayor parte del mundo para dispositivos sin licencia. Las WLANs no eliminan la necesidad de la existencia de los Proveedores de Servicios de Internet (ISPs). La conectividad a Internet aún requiere de acuerdos de servicios con portadoras de intercambio locales o ISPs para un acceso a la Internet. Además, las WLANs no reemplazan la 13

14 necesidad de los Routers, Switches y servidores cableados tradicionales de una LAN típica. Las señales inalámbricas son ondas electromagnéticas, que pueden viajar a través del espacio. Ningún medio físico es necesario para las señales inalámbricas, que viajan también en el vacío del espacio como lo hacen a través del aire en un edificio de oficinas. La capacidad de las ondas de radio de atravesar las paredes y abarcar grandes distancias. 1.4 Access Point Los puntos de acceso, también llamados AP, son equipos hardware configurados en redes Wi-fi y que hacen de intermediario entre el ordenador y la red externa (local o Internet). El Access Point, tiene la función de receptor de las señales de radio en una red Wireless. Los puntos de acceso normalmente van conectados físicamente por medio de un cable de pares a otro elemento de red. Cuando se crea una red de puntos de acceso, el alcance de este equipo para usuarios que se quieren conectar a él se llama área de cobertura. Usualmente se hace un estudio para que dichas áreas estén lo más cerca posible, incluso solapándose un poco. De este modo, un usuario con un portátil, podría moverse de un AP a otro sin perder su conexión de red. Para que la integridad de nuestros datos no se vean vulnerados, tenemos la opción de utilizar métodos de encriptación como WEP, WPA, WPA2 etc 14

15 1.5 Servidor de directivas de redes Servidor de directivas de redes (NPS) permite crear y aplicar directivas de acceso a la red en toda la organización con fines de mantenimiento de clientes, autenticación de solicitudes de conexión y autorización de solicitudes de conexión. Además, puede usar NPS como un proxy RADIUS (Servicio de autenticación remota telefónica de usuario) para reenviar solicitudes de conexión a un servidor que ejecute NPS u otros servidores RADIUS que configure en grupos de servidores RADIUS remotos. NPS permite configurar y administrar de forma centralizada directivas de autenticación de acceso a la red, autorización y mantenimiento de clientes. [ Microsoft (2012) Servidor de Directivas de Red. Recuperado el 02 de Febrero del 2013, ] 1.6 Servidor RADIUS Como servidor RADIUS, NPS lleva a cabo la administración de cuentas, la autorización y la autenticación de conexión centralizada para muchos tipos de acceso a la red, incluso el inalámbrico, el conmutador de autenticación, el acceso telefónico o el acceso remoto de red privada virtual (VPN). Cuando un servidor que ejecuta NPS es miembro de un dominio de Servicios de dominio de Active Directory (AD), NPS usa el servicio de 15

16 directorio como su base de datos de cuentas de usuario y forma parte de una solución de inicio de sesión único. El mismo conjunto de credenciales se usa para el control de acceso a la red (autenticación y autorización del acceso a una red) y para iniciar sesión en un dominio de AD. RADIUS es un protocolo cliente-servidor que permite al equipo de acceso a la red enviar solicitudes de autenticación y de cuentas a un servidor RADIUS. Un servidor RADIUS tiene acceso a la información de las cuentas de usuario y puede comprobar las credenciales de autenticación de los accesos a la red. Si las credenciales del usuario se autentican y se autoriza el intento de conexión, el servidor RADIUS autoriza el acceso del usuario según las condiciones especificadas y, a continuación, registra la conexión de acceso a la red en un registro de cuentas. El uso de RADIUS permite que los datos de autenticación, autorización y cuentas del usuario se recopilen y conserven en una ubicación centralizada, en lugar de hacerlo en cada servidor de acceso. 16

17 La siguiente ilustración muestra el Servidor de directivas de redes (NPS) como un servidor RADIUS. NPS usa un dominio de AD para la autenticación de credenciales de usuario de mensajes RADIUS entrantes de solicitud de acceso. Fig. 1.1 Servidor Radius 17

18 1.6 ACTIVE DIRECTORY El Directorio Activo es una base de datos distribuida que permite almacenar información relativa a los recursos de una red con el fin de facilitar su localización y administración. Puede consultar el directorio con un nombre de usuario para obtener información como el número de teléfono o la dirección de correo electrónico de ese usuario. Los servicios de directorio también son lo suficientemente flexibles como para permitir la realización de consultas generalizadas como dónde están las impresoras? o bien cuáles son los nombres de servidores?, Para ver una lista resumida de las impresoras o servidores disponibles. Los servicios de directorio también ofrecen la ventaja de suponer un único punto de entrada para los usuarios a la red de toda la empresa. Los usuarios pueden buscar y usar recursos en la red sin conocer el nombre o la ubicación exactos del recurso. Igualmente, puede administrar toda la red con una vista lógica y unificada de la organización de la red y de sus recursos. [ Microsoft (2012) Active Directory, Recuperado 09 de febrero del ] 18

19 1.7 CERTIFICADOS Para la autenticación por Radius, se utilizan certificados, el certificado es único y solo puede ser usado para autentificar en un servidor de Radius, esto significa que el certificado que se creó para el servidor primario solo funcionara para la validación de los clientes con este servidor y será necesario crear un certificado nuevo para el servidor Secundario. Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales. Los certificados de servidor contienen también información sobre la clave pública del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor. [ Microsoft (2013) Creación de certificados, Recuperado 28 de febrero del ] 1.8 Power Over Ethernet (PoE) Es una tecnología que incorpora alimentación eléctrica a una infraestructura LAN. Permite que la alimentación eléctrica se suministre a un dispositivo de red (switch, punto de acceso, router, teléfono o cámara IP, etc) usando el mismo cable que se utiliza para la conexión de red. Elimina la necesidad de utilizar tomas de corriente en las ubicaciones del dispositivo alimentado. Power over Ethernet se regula en una norma denominada IEEE 802.3af, y está diseñado de manera que no haga disminuir el rendimiento de comunicación de los datos en la red o reducir el alcance de la red. La 19

20 corriente suministrada a través de la infraestructura LAN se activa de forma automática cuando se identifica un terminal compatible y se bloquea ante dispositivos preexistentes que no sean compatibles. 1.9 IEEE El protocolo IEEE o WI-FI es un estándar de protocolo de comunicaciones de la IEEE que define el uso de los dos niveles más bajos de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. En general, los protocolos de la rama 802.x definen la tecnología de redes de área local. La siguiente imagen muestra los diferentes estandares de la IEEE. Tabla. 1.1 Estándares

21 Fig. 1.2 Diagrama de Gantt VII. PLAN DE ACTIVIDADES Fig. 1.2 Plan de Actividades 21

22 VIII. RECURSOS MATERIALES 1.1 Access Point Cisco Aironet 1140 Punto de acceso con antena integrada proporciona alta capacidad, alta seguridad, funciones de clase empresarial en un diseño discreto. Fig. 1.3 AP Cisco Aironet Cisco Aironet Power Injector Proporcionando una opción alternativa a la alimentación eléctrica local, en línea conmutadores multipuerto con capacidad de potencia y paneles de conexión de energía multipuerto. Fig. 1.4 Power Injector 22

23 1.3 Cisco 2100 Series Wireless LAN Controller. 8 puertos 10/100 Ethernet 2 de ellos con Power over Ethernet (PoE), Tamaño pequeño, Soporte de estándar hasta n, Estándares de Seguridad WPA, WPA2, MD5, TLS. Encriptación WEP-TKIP y AES. Fig. 1.5 Wireless LAN Controller 1.4 Gabinete Panduit Fig. 1.6 Gabinete Panduit 1.5 Cables utp cable UTP categoría 5e (ver fig. 8.1), de 4 pares, garantiza una transmisión de 10 y 100 Mbps Fig. 1.7 Cable UTP 23

24 IX. DESARROLLO DEL PROYECTO El desarrollo del proyecto se llevó a cabo en el Centro Técnico Querétaro (CTQ) que se encuentra ubicado en Circuito Palma Cocotera #2059. Fraccionamiento Palmares, Querétaro, Querétaro. Fig. 1.8 Centro de Investigación y Desarrollo Carso La red local se encuentra distribuida por todo el edificio, este edificio cuenta con dos plantas y alberga alrededor de 300 empleados.el CTQ cuenta con dos redes locales implementadas que son la red Delphi y la red de Condumex. Se cuenta con 2 Sites en donde se albergan todos los dispositivos de comunicaciones, como son: Router, Switch, Servidores, Conmutador. 1. Propuesta del proyecto En esta primera etapa se presentó el proyecto a la junta directiva del centro técnico, se explicó el beneficio que se tendría al implementar la red Inalámbrica a los usuarios de la red Condumex. Se documentaron las 24

25 necesidades de los usuarios y se presentó este proyecto de mejora. Se dio a conocer el diagrama de Gantt para conocer el alcance del proyecto y el tiempo que se requeriría para poder implementar esta mejora. Ya que se dio la aprobación del proyecto de mejora, se realizó el análisis de los requerimientos, esto quiere decir todos los equipos necesarios para llevar a cabo el proyecto, debido a que la red inalámbrica de la red Delphi ya estaba implementada esta etapa fue muy crítica ya que se debía de lograr una interacción entre las dos redes sin que una afectara a la otra. El análisis hecho seria la base fundamental para lograr adquirir el equipo que se adaptaría a las necesidades de la empresa, en esta etapa se evaluaron distintos dispositivos que cumplían con las necesidades. Nota: El proceso de la compra del equipo no fue un alcance del proyecto ya que hay un área encargada de realizar esta tarea. 2. Análisis de Necesidades Para la implementación del servicio Wireless en el centro técnico se realizó el Análisis de necesidades junto con el proveedor, el cual consta de localizar las áreas de interés en donde la cobertura siempre tiene que estar disponible, este análisis también sirvió para determinar que Access Point (AP) sería el más indicado para implementar. 3. Área de Cobertura: Debido a que cada usuario tiene asignado un lugar de trabajo en el cual se tiene un nodo de red, el proporcionarles acceso a la red inalámbrica 25

26 en su lugar no es de suma prioridad, en cambio las salas de reuniones que constantemente albergan juntas importantes la prioridad del acceso a la red Wireless es sumamente alto. Por eso se tomó en cuenta este factor para la localización de los Access Point. 4. Diseño de Red A continuación se muestra el diseño preliminar de la red Inalámbrica en el cual podemos observar que hay un AP en cada piso, estos Access Point se conectan al Wlan Controller, este a su vez se conecta al Switch Core y al Switch están conectados servidores de datos y el servidor Radius. Fig. 1.9 Diseño de Red Inalámbrica 26

27 5. Implementación La primera instalación fue la de los gabinetes que albergarían a los Access Point, la función de estos gabinetes es la de proteger las antenas de cualquier accidente que pueda ocurrir, se protegen de la suciedad y de algún problema que puedan ocasionar los usuarios. Una vez instalados los gabinetes de los Access Point se procedió a realizar el cableado para conectar lo Access Point a la red local. Primeramente se metieron 2 cables por medio de una guía por el techo, un extremo se quedó en el Site y el otro extremo se fue metiendo por la canaleta que previamente se instaló ya que como sabemos los cables de energía electica y los cables de red no pueden estar juntos ya que ocasionan interferencia entre sí, se fue metiendo el cable a lo largo de 50 metros que es la distancia que hay del Site y los AP. Una vez que se tenían los dos extremos del cable disponibles se procedió a Ponchar los cables, esto quiere decir que se insertó el cable al conector Rj45. Una vez que se ponchó el cable se conectó un extremo al AP y el otro extremo al Core Switch. Una vez conectado el cable en ambos extremos se etiqueto esto con la finalidad de tener identificados cada uno de los cables del Rack. 27

28 6. Instalación de los Access Point Una vez realizado el cableado de los nodos de red para los Access Point se realizó la instalación de estos. Debido a que los AP s cuentan con la tecnología de PoE no fue necesaria la instalación de cables de energía eléctrica ya que esta tecnología permite suministrar la energía mediante el cable de datos, esto con la finalidad de hacer más ergonómica la red. Una vez instalados los Access Point dentro de sus gabinetes correspondientes, se realizó la conexión de los nodos en el centro de comunicaciones de la planta baja. Se etiquetaron y conectaron al Switch Core con la finalidad de que tuvieran acceso a la Red Local. En la planta baja se colocaron dos Access Point por lo cual se realizó el cableado necesario para brindarles acceso a la red, el cableado se inició desde el Site de la planta baja hasta el lugar en donde se instalarían los Access Point. En la planta alta se colocó un AP ya que el área de cobertura es menor a la planta baja, se realizó el cableado comenzando desde el Site de la planta baja debido que el Core Switch se encuentra en este lugar. 28

29 En la siguiente imagen se muestra la estructura final de la red inalámbrica de Condumex. Como se puede observar hay tres Access Point que se conectan al Lan Controller que es el encargado de la administración de los usuarios, el Lan controller se conecta al Switch Catalyst 3560 (Switch Core) que es el encargado de administrar las conexiones y el Switch Core se conecta a su vez a un Router. Fig Estructura de Red Inalámbrica 29

30 7. Instalación y configuración del servidor Radius Una parte fundamental del proyecto es la configuración del servidor Radius que servirá para administrar la autenticación de los usuarios que se conectaran al servicio de Wireless, para asegurar que solo los usuarios que pertenecen a la red de Condumex del CTQ se pudieran autenticar, el servidor Radius realizaría una matcheo de los usuarios que pertenecen al grupo de Active Directory con los usuarios y maquinas que están realizando la petición de conexión. El proceso de autenticación se describe a continuación: El equipo móvil intenta conectarse a la red mediante el AP, los Access Point al momento de recibir una solicitud de conexión le preguntan al Wlan Controller, Está Autorizado a conectarse este usuario?, el Wlan Controller se enlaza con el servidor Radius y verifica las políticas de acceso que están configuradas y toma una decisión, le da acceso a la red o lo deniega. Estas políticas verifican si el usuario pertenece al grupo de Active Directory establecido, en caso que SI pertenezca al grupo se le permitirá el acceso pero en caso de que el usuario no pertenezca al Grupo se le denegara el acceso a la red inalámbrica. 30

31 8. Certificado Digital Para la autenticación mediante un servidor Radius, se utilizan certificados de seguridad. El certificado es único y solo puede ser usado para autentificar en un servidor de Radius, esto significa que el certificado que se creó para el servidor primario solo funcionara para la validación de los clientes con este servidor. A continuación se describe el proceso para crear el certificado. Lo primero que se realizara es instalar el Microsoft IIS 6.0 Resource Kit en nuestro servidor. Una vez descargado Ejecutamos el instalador en forma Custom y dentro de la pantalla que aparece seleccionar solo el componente SelfSSL 1.0 Fig Instalación de SelfSSL

32 Una vez instalado el componente SelfSSL 1.0, abriremos una ventana de MSDOS y ejecutaremos el siguiente comando para la creación del certificado de seguridad. selfssl / N: CN = ServerName.YourDomain.com / K: 1024 / V: 1825 / S: 1 / P: 443 / N: CN Se debe establecer el Nombre del Servidor y el Nombre de dominio completo. / K: normalmente establecida en es el número de bits asignados a la clave RSA. / V: es el número de días antes de que caduque el certificado días es de 5 años. / S: Es el número del sitio en IIS. / P: Es el número de puerto TCP. 443 es el puerto SSL estándar. Nota: Por motivos de seguridad no se muestra la forma final del comando en donde se coloco el nombre del servidor y el nombre del dominio. El comando debe ser ejecutado desde la carpeta donde se instalo el componente SelfSS1.0 que por default es: C:\Program Files\IIS Resources\SelfSSL. 32

33 9. Certificado Raíz Una vez que el certificado digital se ha generado en el servidor de autenticación, se tendrá que exportar el certificado raíz para el certificado auto firmado. El certificado digital es diferente del certificado raíz. El certificado digital contiene los pares de claves públicas y privadas. El certificado raíz sólo contiene la clave pública. Se necesitará este certificado raíz para su publicación en un servidor web o servidor de archivos para el despliegue certificado raíz. Ejecutar el comando MMC para abrir una consola de mmc nueva. Dentro de la consola agregar un nuevo Snap-in. Fig Creación del Certificado Raíz 33

34 Damos click en Add para crear un nuevo archivo Root. Fig Creación del Certificado Raíz En la siguiente pantalla se selecciona que el archivo que estamos creando es un certificado y damos click en Add. Fig Creación del Certificado Raíz 34

35 En la siguiente pantalla se configura la opción de que el certificado que se está creando administrará cuentas de equipos. Fig Creación del Certificado Raíz En la última pantalla se elige la opción de que el servidor seria quien administrará el certificado y finalizamos la creación del certificado. Fig Creación del Certificado Raíz 35

36 Una vez agregado el Snap-In Certificates, expandimos certificates y damos click con el boton derecho del mouse sobre el certificado que nos aparece y dentro de All Tasks seleccionamos Export Fig Exportar Certificado Nos apareció el asistente para la exportación del certificado, damos click en Next. Fig Exportar Certificado 36

37 En la siguiente pantalla se le indico que el formato que se usaría es.cer ya que este formato es el que es soportado por Windows. Fig Exportar Certificado En esta pantalla se le asignó el nombre al certificado y se le indico la ubicación en donde seria guardado, de acuerdo a políticas de la empresa no se puede mostrar información confidencial por lo cual no se muestra el nombre del certificado. Fig Exportar Certificado 37

38 La última ventana solo nos confirma que se ha creado de forma satisfactoria el certificado. Fig Exportar Certificado 10. Creación de políticas Se realizó el siguiente procedimiento para que se instalara el certificado que creamos de forma automática a través de una política. Abrimos una consola de Group Policy Management y ubicamos la política existente para la instalación de certificados. Una vez localizada seleccionar edit. Dentro de la política entrar al siguiente ubicación: Computer Configuration, Windows Settings, Public Key Policies, Trusted Root Certification Authorities, boton derecho y seleccionamos Import. 38

39 Fig Creación de Politica En la primer pantalla solo damos en Next ya que solo es la pantalla de Bienvenida. Fig Creación de Política 39

40 En la siguiente pantalla le indicamos la ubicación del certificado que queremos que se instale, en esta ocasión será el certificado que creamos anteriormente. Fig Creación de Política La última pantalla solo es la confirmación de que se ha importado satisfactoriamente el certificado. Fig Creación de Política Con el procedimiento realizado anteriormente el certificado se instalara vía Active Directory. 40

41 11. Configuración de NPS (Servidor de directivas de redes) Las directivas de red son conjuntos de condiciones, restricciones y valores de configuración que le permiten designar quién está autorizado para conectarse a la red y bajo qué condiciones podrá o no conectarse. Cuando se implementa la Protección de acceso a redes (NAP), se agrega la directiva de mantenimiento a la configuración de directivas de la red para que el servidor de directivas de redes (NPS) pueda realizar comprobaciones de mantenimiento en el cliente durante el proceso de autorización. Al procesar las solicitudes de conexión como un servidor de Servicio de autenticación remota telefónica de usuario (RADIUS), NPS lleva a cabo la autenticación y la autorización para la solicitud de conexión. Durante el proceso de autenticación, NPS comprueba la identidad del usuario o equipo que se está conectando a la red. Durante el proceso de autorización, NPS determina si el usuario o equipo tiene permitido el acceso a la red. Para realizar esta determinación, NPS usa las directivas de red configuradas en el complemento Microsoft Management Console (MMC) de NPS. Además, NPS examina las propiedades de marcado de la cuenta del usuario en Servicios de dominio de Active Directory para realizar la autorización. 41

42 En las siguientes imágenes se muestra la forma en que se configuro el servidor de directivas de redes, se puede ver el servidor Radius y las políticas que se aplicaran para la administración del acceso a la red inalámbrica. Fig Configuración del NPS 42

43 Lo Primero que le indicaremos al servidor de Radius es por medio de quien se administraran las conexiones a la red inalámbrica, en nuestro caso el encargado de realizar esa acción es el Wlan controller. Fig Configuración del NPS.Como se puede ver en la imagen lo primero que hacemos es habilitar el cliente de Radius, Después le ponemos un nombre, en nuestro caso es CDX-CTQ-WLAN, después nos pedirá una dirección Ip, esta dirección ip es la que tiene asignada el Wlan controler ya que él será el encargado de administrar el acceso de los usuarios a la red y la última condición es utilizar 43

44 una Clave compartida, esta cable será la que se utilizara para conectar el cliente de Radius con el Wlan controler. En la pestaña de Advance solo nos muestra una opción a configurar la cual dejaremos en Radius Estándard. Fig Configuración del NPS 44

45 Una vez que se haya configurado el servidor, nos aparecerá nuestro cliente Radius el cual será la forma en que se enlazara con el Wlan Controller. Fig Configuración del NPS Lo siguiente que haremos es la configuración de la política para que se pueda enlazar el Servidor de directivas de redes con Active Directory. Nos vamos a la pestaña de Policies y creamos una nueva política. Fig Configuración del NPS 45

46 Fig Configuración del NPS En el primer apartado configuraremos el nombre de la Política, en nuestro caso se llamara: Wi-Fi Access, habilitamos la opción de habilitar la política y una opción muy importante es la política de permiso de acceso. La opción de permisos de Acceso es la forma en la que trabajara la política, para esta política hay dos opciones que se pueden configurar. Garantizar el acceso: esta opción nos dice que los usuarios que hagan Match con esta política tendrán acceso a ella. Ejemplo: los usuarios que pertenezcan al grupo de Active Directory al que haga referencia esta política tendrán acceso a la red inalámbrica. Negar el Acceso: esta opción nos dice que los usuarios que hagan Match con esta política les negara el acceso a ella. Ejemplo: los usuarios que pertenezcan al grupo de Active Directory al que haga referencia esta política NO tendrán acceso a la red inalámbrica. 46

47 La siguiente pestaña es la de condiciones, aquí es donde le especificaremos que grupos o que usuarios serán a los que se le aplicara la política que acabamos de crear. Lo primero será agregar los Grupos de Active Directory que especifican la estrada a la red Wi-fi. Fig Configuración del NPS Le damos click y nos aparecerá la siguiente ventana. 47

48 Fig Configuración del NPS En esta pantalla es donde agregamos a los grupos de Active Directory que aplicaran las políticas, en nuestro caso son 2 grupos, uno para los usuarios y una más para los equipos de cómputo. 48

49 Ya que agregamos los dos grupos de Active Directory es hora de indicarle el tipo de acceso que se llevara cabo en esta política, en nuestro caso será acceso Wireless. El Estándar de este servicio es IEEE Fig Configuración del NPS 49

50 La siguiente pestaña es la de restricciones, esta opción es muy importante ya que es un punto de seguridad adicional. Aquí se le indicara que se tiene que aplicar el certificado que anteriormente creamos. Nota: si el usuario está habilitado en los Grupos de Active Directory pero no tiene instalado el certificado de Seguridad no podrá acceder a la red Inalámbrica. Fig Configuración del NPS agregar. Damos cliclk en la pestaña de método de autenticación y le damos 50

51 En la siguiente pestaña seleccionamos nuestro Certificado de Seguridad el cual se creó anteriormente y habilitamos la opción de reconexión rápida. Fig Configuración del NPS Una vez hecho que terminemos estas configuraciones nos aparecerá la política creada. Fig Configuración del NPS 51

52 Al terminar de configurar esta política ahora ya se tiene configurado el Servidor RADIUS para que sean instalados los certificados para garantizar la conectividad a la red inalámbrica solo a los equipos y usuarios que formen parte del dominio Condumex. La configuración del Wlan Controller fue realizada por el proveedor debido a eso solo se mostraran las imágenes de cómo quedo al final ya con todas las configuraciones establecidas. Fig Wlan Controller En esta imagen se pueden observar todas las configuraciones que se establecieron por el proveedor, se muestra la dirección ip del equipo, el SSID de la red inalámbrica, numero de Access Point que soporta el equipo, el puerto por donde se conecta a la red local. 52

53 Configuraciones Finales Fig Información del Dominio En esta imagen podemos observar como quedo configurado el dominio, El usuario que es propietario del dominio, la fecha en que fue creado y la última modificación y la dirección mac del equipo. Fig Información de Grupos Active Directory En esta imagen podemos observar los grupos de active Directory a los cuales aplicara las políticas el Wlan Controller, Son tres grupos diferentes, el primero para los usuarios, el segundo para los equipos y el tercero es para los administradores de la red. 53

54 Fig Información de perfil de la Red En esta imagen podemos observar el SSID de la red Inalámbrica, el tipo de autenticación, el tipo de encriptación y el protocolo que se esta utilizando. Fig Información de Certificado de seguridad En la última imagen podemos observar el certificado de autenticación, la fecha en la que expirara y el tipo de autenticación. 54