DISEO DE REDES

Fase #8
Implementacin de Access-Point

Introduccin
La corporacin requiere implementar Acces-Points (Puntos de acceso), para
esto tenemos varias opciones para implementarla, Solo varan en sus costos.
Como la corporacin requiere lo ltimo en tecnologa, implementaremos la
tecnologa cisco.

Infraestructura de la red
Para nuestros puntos de acceso , la tecnologa a implementar ser LAP
Lightweigth Access-Point de Cisco.
Esta tecnologa fue diseada para operar con un controlador (Wireless
Lightweight Controller WLC)
LAP provee:

Soporte para banda dual 802.11a / 802.11b / 802.11g simultaneo

Manejo de radio frecuencia en tiempo real
Monitoreo dinamico
Funcionalidad Mac en tiempo real

Topologa Actual
A continuacin, veremos la topologa actual de la corporacin sin puntos de
acceso

Access-Points
Para la implementacin de Access-Points contaremos con un modelo en
especifico.
CISCO AIRONET 2700i para instalacin interior, diseado para oficinas
medianas y grandes.

La serie Aironet 2700 soporta 802.11ac Wave 1 en su primera aplicacin,

proporcionando una velocidad de conexion teorica de hasta 1,3Gbps
(aproximadamente el triple de las tasas ofrecidas por los puntos de acceso
802.11n).
Su arquitectura RF basada en chipset de fines especficos le otorga una
extraordinaria calidad de robustez de seal

CISCO AIRONET 2700i

Caractersticas:

Funcionamiento Autonomo o Integrado a un controlador de

WLAN de cisco
Soporte para estndares WI-Fi 802.11 a/b/g/n(2.0)/ac (wave 1)
Dos radios en 2,4GHz y 5,0GHz
MIMO 3X4
Hasta 1,3Gbps de velocidad teorica en el aire (PHY) en 802.11ac
(hasta 450Mbps en 802.11n)
Detecta, clasifica y mitiga automticamente mas de 20 tipos de
interferencias
Cisco HDX (High Density Experiencie) para ambientes de alta
densidad BYOD
Cisco CleanAir hasya 80MHz
Cisco ClientLink 3.0
Cisco RF Turbo perfomance
Rogue AP Detection
Power Over Etherneth PoE standard 802.3af
Antenas internas integradas
Puerto Etherneth 10/100/1000
Max 200 MAC simultaneas. 60 clientes recomendados por radio
en 802.11ac / 20-25 en 802.11n

Wireless Lightweight Controller

El controlador de WLAN a implementar ser el Cisco 2500 Series Wireless
Controllers que proporciona una administracin de red inalmbrica a menor
escala, este ayuda a los puntos de acceso a comunicarse en tiempo real para
simplificar la instalacin y el funcionamiento de las redes inalmbricas.

Cisco 2500 Series Wireless Controllers

Caracteristicas:

Ofrece 802.11n /ac hasta 1Gbps

Conexiones para un mximo de 75 puntos de acceso y 1000 clientes
Diseado para pequeas y medianas redes y sucursales
Politicas de seguridad centralizadas para detectar puntos de acceso no
autorizados y proteger contra ataques de denegacin de servicio
Capa 2 y capa 3 la movilidad y la calidad de servicio para voz y video
El acceso de alta seguridad inalmbrico para invitados
Integrado Cisco Tecnologia CleanAir para una auto-curacion, red de autooptimizacion que evita la interferencia de RF

Auntenticacion y Credenciales
El mtodo de auntenticacion y credenciales para nuestra red ser basado en
un servidor RADIUS Una de las opciones mas seguras que permite controlar la
auntenticacion de usuarios se puede realizar mediante la configuracin de un
servidor radius.
Radius (Remote Authentication Dial In User Server), es un protocolo de
auntenticacion y autorizacin para aplicaciones de acceso a la red o movilidad
IP.
Utiliza los puertos 1812 y 1813 UDP para establecer sus conexiones.
Configuracion de AP con servidor Radius Linux

1.
La instalacin del paquete se realiza mediante: apt-get install freeradius.
Tras la instalacin tendremos que configurar los usuarios que se autenticarn en
radius. Esta autenticacin se realiza a travs del fichero/etc/freeradius/users que
contiene, en texto plano, los usuarios que tienen permitida la autenticacin.
Algunos usuarios se encuentran preconfigurados, podremos aadir las lneas de
usuarios que deseemos.
En dicho fichero introduciremos los usuarios que queremos autentificar y sus
respectivas contraseas tal y como muestra la imagen:

En este caso introducimos los usuarios david y subires con sus respectivas
contraseas en texto plano.

2.
Ahora tendremos que configurar los clientes, es decir, los puntos de acceso
sern los clientes de nuestro servidor radius.
Para introducir la informacio sobre los clientes (puntos de acceso que solicitarn la
verificacin de usuarios inalmbricos finales) en la configuracin Radius modificaremos
el archivo /etc/freeradius/clients.conf donde introduciremos la informacin de las
IP de los puntos de acceso que quieran emplear el servidor (192.168.1.1 en nuestro
caso), as como la contrasea entre punto de acceso y servidor (secret =
probandoradius , y el nombre de la red o SSID (shortname = FTE-EEFE) tal como
muestra la siguiente imagen:

Reiniciamos el servidor Radius mediante la siguiente orden: service freeradius

restart.
3.
A continuacin configuraremos el punto de acceso de manera que la
autentificacin la realice Radius. En nuestro caso accedemos a la seccin wireless
security settings del punto de acceso para configurar una clave WPA2enterprise y las
distintas opciones para Radius:

El servidor Radius como vemos se encuentra disponible en la IP 192.168.1.69

con la contrasea probandoradius, el puerto 1812 y el algoritmo de cifrado AES.
4.
Por ltimo, solo queda configurar en el usuario cliente final (tarjeta de red
inalmbrica) la conexin al punto de acceso de manera que la autenticacin pase a
Radius.
Si intentamos realizar una conexin con el punto de acceso, nos bloquear la conexin
ya que detectar que hay un servidor Radius en la red y el perfil de conexin del
cliente no est configurado para autenticacin en Radius. Para configurar un perfil de
conexin de un cliente Windows 7 (En Windows XP es muy similar) seguimos los

siguientes pasos:

1.
Entramos en panel de control, centro de redes y recursos compartidos.
2.
Configurar una nueva conexin de red- Conectarse manualmente a una red
inalmbrica
3.
Escribimos -> Nombre de la red: FTE-EEFE / Tipo de seguridad: WPA2Enterprise / Tipo de cifrado: AES / Marcamos la opcin: Iniciar esta configuracin
manualmente. Y pulsamos siguiente.
4.
Aparece FTE-EEFE se agreg correctamente. Pulsamos sobre Cambiar la
configuracin manualmente
5.
En la pestaa Conexin, dejamos la configuracin por defecto.

6.
Sobre la pestaa Seguridad -> Tipo de conexin: WPA2-Enterprise / Tipo
de cifrado: AES / Elija un mtodo de autenticacin de red: Microsoft EAP
protegido (PEAP)
7. Pulsamos sobre el botn configurar y aparece una ventana llamada
Propiedades de EAP protegido. Aqu desmarcamos la opcin: Validar un
certificado de servidor, en caso de querer dicha opcin tendramos que habilitar
uno en nuestro servidor en /etc/freeradius/certs. / En seleccione el mtodo de
autenticacin elegimos: Contrasea segura (EAP-MSCHAP v2) / Marcamos la
opcin: Habilitar reconexin rpida
8. Pulsamos sobre el botn configurar y desmarcamos la opcin: Usar
automticamente el nombre de inicio de sesin y la contrasea de Windows (y
dominio, si existe alguno) y pulsamos aceptar. Regresamos a la anterior
pantalla y pulsamos aceptar.
9. Por ltimo pulsamos en Configuracin avanzada y seleccionamos el modo de
autenticacin Autenticacin de usuarios

Tras esto, guardamos los cambios y nos volvemos a conectar al punto de

acceso. Ahora nos pedir el usuario y contrasea para comprobarlo en el
servidor Radius, a traves de nuestro router/AP.