Introducción a la configuración WPA

Transcripción

1 Introducción a la configuración WPA Necesita una cuenta válida de Ciscocom para poder descargar los controladores, el firmware y las utilidades de Cisco Aironet de la página de descargas inalámbricas ( sólo para clientes registrados) Si no dispone de una cuenta de Ciscocom, regístrese de forma gratuita en la página Ciscocom Registration (Registro en Ciscocom) Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Teoría precedente Convenciones Configuración EAP de red o autenticación abierta con EAP Configuración de la CLI Configuración de la GUI Verificación Resolución de problemas Procedimiento de resolución de problemas Comandos para resolución de problemas Introducción Este documento brinda un ejemplo de configuración para Wi-Fi Protected Access (WPA), la norma de seguridad provisional utilizada por los miembros de Wi-Fi Alliance Requisitos previos Requisitos Antes de utilizar esta configuración, asegúrese de cumplir con los siguientes requisitos: Amplio conocimiento de las redes inalámbricas y de los problemas de seguridad inalámbrica Conocimiento de los métodos de seguridad del Protocolo de autenticación ampliable (EAP) Componentes utilizados La información de este documento se basa en estas versiones de software y hardware: Puntos de acceso (AP) basados en el software Cisco IOS Versión 122(15)JA o posterior del software Cisco IOS Nota: preferiblemente, use la última versión del software Cisco IOS, aunque WPA se admita en la 122(11)JA y posteriores Para obtener la última versión del software Cisco IOS, consulte la página de descargas ( sólo para clientes registrados) Una tarjeta de interfaz de red (NIC) y su software cliente compatibles con WPA La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada) Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando

2 Teoría precedente Las funciones de seguridad en una red inalámbrica, como WEP, son vulnerables El grupo industrial de Wi-Fi Alliance (o WECA) diseñó una norma de seguridad provisional de nueva generación para las redes inalámbricas Esta norma proporciona protección contra deficiencias hasta que la organización de IEEE ratifique la norma 80211i Este nuevo esquema se basa en la autenticación actual EAP/8021x y la administración de claves dinámicas, y agrega un cifrado más fuerte Una vez que el dispositivo cliente y el servidor de autenticación establecen una asociación EAP/8021x, la administración de claves WPA se negocia entre el AP y el dispositivo cliente compatible con WPA Los productos de AP de Cisco también proporcionan una configuración híbrida mediante la cual los clientes EAP basados en WEP heredados (con o sin administración de claves heredada) trabajan en conjunto con los clientes WPA Esta configuración se denomina modo de migración El modo de migración permite un enfoque por fases para migrar a WPA Este documento no trata el modo de migración, sino que ofrece un esquema de una red con seguridad WPA pura Además de referirse a problemas de seguridad de nivel corporativo o de empresa, WPA también proporciona una versión de clave previamente compartida (WPA-PSK) destinada a redes SOHO o domésticas inalámbricas La utilidad del cliente Aironet (ACU) de Cisco no admite WPA-PSK La utilidad Configuración cero inalámbrica de Microsoft Windows admite WPA-PSK para la mayoría de las tarjetas inalámbricas, de igual forma que estas utilidades: Cliente AEGIS de Meetinghouse Communications Nota: consulte las soluciones de Meetinghouse Cliente Odyssey de Funk Software Nota: visite el centro de soporte al cliente de Juniper Networks Utilidades de cliente de fabricante de equipo original (OEM) de algunos fabricantes Puede configurar WPA-PSK cuando: Define el modo de cifrado como TKIP en la ficha Encryption Manager Define el tipo de autenticación, el uso de la administración de claves autenticadas y la clave previamente compartida en la ficha Service Set Identifier (SSID) Manager de la GUI No se necesita configuración en la ficha Server Manager Para poder habilitar WPA-PSK a través de la interfaz de línea de comandos (CLI), ejecute estos comandos Comience con el modo de configuración: AP(config)#interface dot11radio 0 AP(config-if)#encryption mode ciphers tkip AP(config-if)#ssid ssid_name AP(config-if-ssid)#authentication open AP(config-if-ssid)#authentication key-management wpa AP(config-if-ssid)#wpa-psk ascii pre-shared_key Nota: en esta sección encontrará únicamente la configuración relevante a WPA-PSK El objetivo de que se incluya aquí es que aprenda a habilitar WPA-PSK, pero no es el tema central de este documento En este documento se explica cómo configurar WPA Convenciones Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento Configuración WPA se basa en los métodos de EAP/8021x En este documento se supone que cuenta con una configuración de EAP ligero (LEAP), EAP o EAP protegido (PEAP) en funcionamiento antes de agregar la configuración para utilizar WPA Esta sección presenta los datos para configurar las características descritas en este documento Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos

3 utilizados en esta sección EAP de red o autenticación abierta con EAP En cualquier método de autenticación basado en EAP/8021x, puede preguntarse qué diferencias existen entre la opción de EAP de red y la de autenticación abierta con EAP Estos elementos se refieren a valores del campo de algoritmo de autenticación en los encabezados de paquetes de administración y asociación La mayoría de los fabricantes de clientes inalámbricos configuran este campo en un valor 0 (autenticación abierta) y luego indican su intención de utilizar la autenticación EAP más adelante en el proceso de asociación Cisco establece un valor distinto ya desde el comienzo de la asociación con el indicador de EAP de red Use el método de autenticación que indica esta lista si su red tiene clientes que son: Clientes de Cisco: utilice EAP de red Clientes de terceros (incluidos los productos compatibles con Cisco Compatible Extensions [CCX]): use autenticación abierta con EAP Una combinación de clientes de Cisco y de terceros: seleccione tanto EAP de red como autenticación abierta con EAP Configuración de la CLI Este documento usa estas configuraciones: Configuración LEAP que existe y funciona La versión 122(15)JA del software Cisco IOS para AP basados en Cisco IOS AP ap1#show running-config Building configuration aaa new-model aaa group server radius rad_eap server auth-port 1645 acct-port 1646 aaa authentication login eap_methods group rad_eap bridge irb interface Dot11Radio0 no ip address no ip route-cache encryption mode ciphers tkip --- De esta forma se define el método de cifrado que usa WPA El método de TKIP --- es el más seguro, ya que usa la versión definida de Wi-Fi de TKIP ssid WPAlabap1200 authentication open eap eap_methods --- de terceros --- De esta forma se define el método para EAP subyacente cuando se utilizan clientes authentication network-eap eap_methods --- De esta forma se define el método para EAP subyacente cuando se utilizan clientes de Cisco

4 authentication key-management wpa --- De esta forma se capta la administración de claves WPA speed basic-10 basic-20 basic-55 basic-110 rts threshold 2312 channel 2437 station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled interface BVI1 ip address Dirección de esta unidad no ip route-cache ip default-gateway ip http server ip http help-path ip radius source-interface BVI1 snmp-server community cable RO snmp-server enable traps tty radius-server host auth-port 1645 acct-port 1646 key shared_secret --- De esta forma se define la ubicación del servidor RADIUS y la clave entre el AP y el servi radius-server retransmit 3 radius-server attribute 32 include-in-access-req format %h radius-server authorization permit missing Service-Type radius-server vsa send accounting bridge 1 route ip line con 0 line vty 5 15 end end Configuración de la GUI Siga estos pasos para configurar el AP para WPA: 1 Siga estos pasos para configurar Encryption Manager: a b c d Active el cifrado para TKIP Borre el valor de Encryption Key 1 Establezca Encryption Key 2 como Transmit Key Haga clic en Apply-Radio#

5 2 Siga estos pasos para configurar SSID Manager: a b Seleccione el SSID que desee de la lista Current SSID Elija un método de autenticación adecuado Base esta decisión en el tipo de tarjetas de cliente que utiliza Consulte la sección EAP de red o autenticación abierta con EAP de este documento para obtener más información Si EAP funcionaba antes de agregar WPA, posiblemente no sea necesario ningún cambio c Siga estos pasos para habilitar la administración de claves: a b Elija Mandatory en el menú desplegable Key Management Marque la casilla de verificación WPA d Haga clic en Apply-Radio#

6 Verificación Utilice esta sección para confirmar que la configuración funciona de manera adecuada La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show Utilice OIT para ver un análisis de los resultados del comando show show dot11 association mac_address : este comando muestra información sobre un cliente asociado identificado específicamente Verifique que el cliente negocie la administración de claves como WPA y el cifrado como TKIP La entrada en la tabla Association para un cliente particular también debe indicar la administración de claves como WPA y el

7 cifrado como TKIP En la tabla Association, haga clic en una dirección MAC de un cliente para ver los detalles de la asociación con ese cliente Resolución de problemas En esta sección encontrará información que puede utilizar para solucionar problemas sobre la configuración Procedimiento de resolución de problemas Esta información es importante para esta configuración Siga estos pasos para resolver problemas con la configuración: 1 Si esta configuración de LEAP, EAP o PEAP no está totalmente probada antes de la implementación de WPA, deberá completar estos pasos: a b c Desactive temporalmente el modo de cifrado WPA Vuelva a habilitar el EAP apropiado Confirme que la autenticación funcione 2 Verifique que la configuración del cliente coincida con la del AP Por ejemplo, cuando configure el punto de acceso para WPA y TKIP, confirme que los ajustes coincidan con los efectuados en el cliente Comandos para resolución de problemas Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug La administración de claves WPA implica una comunicación de cuatro vías después de haber completado correctamente la autenticación EAP Puede ver estos cuatro mensajes en las depuraciones Si EAP no autentica satisfactoriamente al cliente o si los mensajes no se ven, complete los siguientes pasos: Desactive temporalmente WPA Vuelva a habilitar el EAP apropiado Confirme que la autenticación funcione Esta lista describe las depuraciones: debug dot11 aaa manager keys: esta depuración muestra la comunicación entre el punto de acceso y el cliente WPA mientras negocian la clave transitoria por par (PTK) y la clave transitoria grupal (GTK) Esta depuración se introdujo en la versión 122(15)JA del software Cisco IOS

8 debug dot11 aaa manager keys labap1200ip102# Apr 7 16:29:57908: dot11_dot1x_build_ptk_handshake: building PTK msg 1 for f74a Apr 7 16:29:59190: dot11_dot1x_verify_ptk_handshake: verifying PTK msg 2 from f74a Apr 7 16:29:59191: dot11_dot1x_verify_eapol_header: Warning: Invalid key info (exp=0x381, act=0x109 Apr 7 16:29:59191: dot11_dot1x_verify_eapol_header: Warning: Invalid key len (exp=0x20, act=0x0) Apr 7 16:29:59192: dot11_dot1x_build_ptk_handshake: building PTK msg 3 for f74a Apr 7 16:29:59783: dot11_dot1x_verify_ptk_handshake: verifying PTK msg 4 from f74a Apr 7 16:29:59783: dot11_dot1x_verify_eapol_header: Warning: Invalid key info (exp=0x381, act=0x109 Apr 7 16:29:59783: dot11_dot1x_verify_eapol_header: Warning: Invalid key len (exp=0x20, act=0x0) Apr 7 16:29:59788: dot11_dot1x_build_gtk_handshake: building GTK msg 1 for f74a Apr 7 16:29:59788: dot11_dot1x_build_gtk_handshake: dot11_dot1x_get_multicast_key len 32 index 1 Apr 7 16:29:59788: dot11_dot1x_hex_dump: GTK: 27 CA 88 7D 03 D9 C4 61 FD 4B BE 71 EC F7 43 B Apr 7 16:30:01633: dot11_dot1x_verify_gtk_handshake: verifying GTK msg 2 from f74a Apr 7 16:30:01633: dot11_dot1x_verify_eapol_header: Warning: Invalid key info (exp=0x391, act=0x301 Apr 7 16:30:01633: dot11_dot1x_verify_eapol_header: Warning: Invalid key len (exp=0x20, act=0x0) Apr 7 16:30:01633: %DOT11-6-ASSOC: Interface Dot11Radio0, Station f74a Associated KEY_MGMT[WPA] labap1200ip102# Si no aparecen resultados de depuración, verifique estos elementos: El monitor terminal term mon está habilitado (si usa una sesión de Telnet) Las depuraciones están habilitadas El cliente se configuró correctamente para WPA Si la depuración muestra que las comunicaciones PTK y/o GTK se realizan pero no se controlan, verifique que la configuración del software WPA del solicitante sea la correcta y que la versión esté actualizada debug dot11 aaa authenticator state-machine: esta depuración muestra los diferentes estados de negociación por los que pasa el cliente cuando se asocia y se autentica Los nombres indican cada estado Este comando de depuración se introdujo en la versión 122(15)JA del software Cisco IOS Deja obsoleto al comando debug dot11 aaa dot1x state-machine en la versión 122(15)JA de Cisco IOS y posteriores debug dot11 aaa dot1x state-machine: esta depuración muestra los diferentes estados de negociación por los que pasa el cliente cuando se asocia y se autentica Los nombres indican cada estado En las versiones de Cisco IOS anteriores a la 122(15)JA, esta depuración también muestra las negociaciones de administración de claves WPA debug dot11 aaa authenticator process: esta depuración resulta de utilidad para diagnosticar problemas en las comunicaciones negociadas La información detallada muestra lo que envía cada participante de una negociación y lo que el otro participante responde Puede utilizarlo en combinación con el comando debug radius authentication Este comando de depuración se introdujo en la versión 122(15)JA del software Cisco IOS Deja obsoleto al comando debug dot11 aaa dot1x process en la versión 122(15)JA de Cisco IOS y posteriores debug dot11 aaa dot1x process: esta depuración es la más útil para diagnosticar problemas en las comunicaciones negociadas La información detallada muestra lo que envía cada participante de una negociación y lo que el otro participante responde Puede utilizarlo en combinación con el comando debug radius authentication En las versiones de Cisco IOS anteriores a la 122(15)JA, esta depuración también muestra las negociaciones de administración de claves WPA Cisco Systems Inc Todos los Derechos Reservados Fecha de Generación del PDF: 23 Junio 2008

9