Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INDICE
1. Introduccin ......................................................................................................................................................................... 3
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
1. Introduccin
Con el devenir de los aos, el progresivo desarrollo de las tecnologas de la informacin y las comunicaciones
han permitido la conexin ininterrumpida entre redes. La persistencia al conmutar entre redes inalmbricas o
fsicas y al mismo tiempo mantener la sesin de conexin, tiene por nombre itinerancia tambin llamada
roaming. En las redes inalmbricas, roaming se refiere a la capacidad de cambiar de un rea de cobertura a otra
sin interrupcin en el servicio o prdida en la conectividad. Permite a los usuarios seguir utilizando sus servicios
incluso cuando viajan fuera de su rea local.
El presente trabajo tiene como objetivo facilitar que nuestros usuarios mviles, sean capaces de conectarse a
cada red wifi configurada en las distintas UEB de la Empresa de Gases Industriales y estandarizar el mtodo de
acceso a la red wifi siempre que los puntos de accesos (AP) lo permitan. Para ello se decidi implementar un
Servidor de directivas de redes (NPS). El NPS permite crear, configurar, aplicar y administrar de forma
centralizada directivas de autenticacin de acceso a la red, autorizacin y mantenimiento de clientes con las tres
caractersticas siguientes:
RADIUS proxy: NPS como un proxy RADIUS puede configurar las directivas de solicitud de conexin,
que indican qu solicitudes de conexin debe reenviar a otros servidores RADIUS. Puede configurar
NPS para que reenve datos de cuentas que deben registrar uno o ms equipos en un grupo de
servidores RADIUS remotos.
Network Access Protection (NAP) policy server: NPS como un servidor de directivas de NAP, evala
los informes de mantenimiento (SoH) enviados por equipos clientes compatibles con NAP que
desean conectarse a la red.
Se decidi implementar NPS como proxy RADIUS, porque proporciona el enrutamiento de mensajes entre
clientes RADIUS y servidores proxy RADIUS que realizan autenticacin, autorizacin y reporte para el intento de
conexin. NPS es una central de conmutacin o enrutamiento a travs del cual fluyen los mensajes de acceso y
administracin de cuentas RADIUS.
RADIUS es un protocolo estndar de seguridad recogido en los RFCs 2865 y 2866. Diseado como protocolo de
servicio para TCP/IP con funcionalidad de autenticacin de acceso a servidores para autentificar usuarios. Los
elementos caractersticos que posee RADIUS le han permitido guardar un alto grado de compatibilidad con la
arquitectura dispuesta por las redes inalmbricas. Sigue un modelo cliente/servidor y las transacciones
realizadas entre el cliente y el servidor RADIUS son autenticadas mediante la utilizacin de una contrasea
secreta, que nunca viaja por la red.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
A continuacin, se describe la comunicacin entre los clientes server de acceso, Servidor RADIUS Proxy y los
servidores RADIUS clientes.
1. Los servidores de acceso telefnico a la red, los servidores de red privada virtual (VPN) y los puntos de
acceso inalmbrico, reciben las solicitudes de conexin de los clientes de acceso.
2. El servidor de acceso, configurado para usar RADIUS como protocolo de autenticacin, autorizacin y
registro, crea un mensaje de solicitud de acceso y lo enva al Servidor RADIUS Proxy Gases.
3. El Servidor RADIUS Proxy Gases recibe el mensaje de solicitud de acceso y basndose en las directivas
de solicitud de conexin configuradas localmente, determina hacia cual Servidor RADIUS Cliente (GEIQ,
Equifa, PRI, MTZ, CMG entre otros) reenviar el mensaje de solicitud de acceso.
4. El servidor RADIUS Clientes evala el mensaje de solicitud de acceso. Autentica y autoriza el intento de
conexin.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
6. El servidor de acceso completa el proceso de conexin con el cliente de acceso y enva un mensaje de
solicitud de registro de actividad al Servidor RADIUS Proxy Gases. El Servidor RADIUS Proxy Gases
registra los datos de cuentas y reenva el mensaje al servidor RADIUS Cliente.
7. El servidor RADIUS Cliente enva un mensaje de respuesta de cuenta al Servidor RADIUS Proxy Gases,
desde donde se reenva al servidor de acceso.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Siguiente (Next).
Escojemos el rol Servicio de certificado de Directorio Activo (Active Directory Certificate Services). Aadimos las
caractersticas por defecto.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Finalizar (Close).
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Una vez instalada la entidad certificadora, se debe generar un certificado de equipo que se utilizar para la
validacin del Radius.
Abrir una consola mmc y agregar el snap-ins de certificados. Se debe seleccionar certificado de cuenta de
equipo (computer account).
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Siguiente (Next).
Escojemos el rol Network Policy and Access Services y aadimos las caractersticas por defecto.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
En la interfas Features dejar las opciones por defecto y seleccionar Siguiente (Next). En la interfaz Servicio de Rol
(Role Services) marcar la opcin Network Policy Server y seleccionar siguiente (Next).
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
En la consola de Administracin del servidor (Server Manager), en el men herramientas (Tools) seleccionar la
opcin Network Policy Server.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
En la interfaz de administracin del Network Policy, seleccionar clic derecho encima del NPS (Local) y seleccionar
la opcin Registrar el servidor en el Directorio Activo (Register server in Active Directory). Esto solo es necesario
realizarlo una vez despues de desplegar el rol de Network Policy Server.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Modificar las opciones por defecto de la generacin de logs. Para ello se debe acceder al Men Accounting y
escoger la opcin Change Log File Properties. Recuerden que estos logs deben guardarse por el perodo
establecido (no menor de 1 ao).
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
En la pestaa Settings dejar los valores por defecto y en la pestaa Log File seleccionar que se cree un nuevo
fichero diario y configurar como directorio de salva una carpeta en la particin D:\Backup\NPS de su disco
duro. Esta carpeta debe estar creada con anterioridad. Adems, es recomendable salvar externamente estos
logs.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
En la ventana New Radius Client en la pestaa Ajustes (Settings) se debe: insertar un nombre identificativo del
AP (Friendly name), la direccin IP o dns del AP (usamos una direccin cualquiera de la UEB de Camaguey) e
insertar manualmente una contrasea que ser utilizada entre el AP y el Radius. Observar que esta misma
contrasea es la que deben configurar posteriormente en el AP.
Luego de aadir cada uno de los AP desplegados en la UEB, se debe aadir como cliente al servidor radius del
Nodo. Aqu deben especificar los siguientes parametros: nombre GNTIC, la direccin IP 172.16.254.151 y una
llave compartida. Esta ltima se les proporcionar una vez hayan contactado a los administradores del nodo.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Agregar un nombre de grupo (GNTIC), presionar el boton adicionar (Add) para agregar los Servidores
RADIUS remotos.
En la ventana Adicionar Servidor RADIUS (Add RADIUS Server), en la pestaa Direccin (Address) escribir
la direccin IP del servidor remoto (172.16.254.151)
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
En este punto se configurarn dos clases de polticas: una que permitir las solicitudes de los clientes wifi locales
y otra que atender las peticiones de clientes externos. El NPS determina si el cliente es local o externo mediante
el nombre de usuario y el dominio al que pertenece. Si el dominio es local las peticiones las atender el radius
de la UEB, en caso que sean externos, se reenviarn hacia el servidor radius del nodo. Por tanto, para
autenticarse ya sea a travs del mvil o una laptop, se deber utilizar como credenciales usuario@dominio,
ejemplo miguel.jorge@cmg.gases.co.cu
Para configurar la poltica de acceso local ir a la ventana de configuracin del Network Policy Server, desplegar a
la izquierda la opcin Polticas (Policies), seleccionar la opcin Polticas de conexin de solicitud (Connection
Request Policies), dar clic derecho y escoger nuevo (new).
En la pestaa Overview asignar un nombre a la poltica, por ejemplo, WIFI CMG y dar clic en siguiente
(Next)
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
2. Nombre de usuario (user name). Configurar de la manera que indica la figura siguiente,
especificando el dominio de la UEB, por ejemplo: @cmg\.gases\.co\.cu
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Nota: La convencin anterior es un patrn especial de sintaxis que debe interpretar el Radius
Proxy al analizar el dominio de una solicitud, delante de cada punto(.) se debe insertar el
carcter backslash (\). Esta debe ser la manera correcta de escribirlo.
Despus de este paso se deber dar Next dos veces sin cambiar ninguna opcin por defecto y luego
dar clic en finalizar para cerrar el wizard quedar habilitada la poltica configurada.
Para configurar la poltica de acceso externo seguir los siguientes pasos: ir a la ventana de configuracin del
Network Policy Server, desplegar a la izquierda la opcin Polticas (Policies), seleccionar la opcin Polticas de
conexin de solicitud (Connection Request Policies), dar clic derecho y escoger nuevo (new).
En la pestaa Overview asignar un nombre a la poltica, por ejemplo, GEIQ Roaming y dar clic en
siguiente (Next)
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
2. Nombre de usuario (user name). Configurar de la manera que indica la figura siguiente,
especificando todos los dominios externos a la UEB mediante la siguiente sintaxis: @*\.cu
Nota: La convencin anterior es un patrn especial de sintaxis que debe interpretar el Radius
Proxy al analizar el dominio de una solicitud, delante de cada punto(.) se debe insertar el carcter
backslash (\). Esta debe ser la manera correcta de escribirlo.
Despus de este paso se deber dar Next dos veces sin cambiar ninguna opcin por defecto y luego
dar clic en finalizar para cerrar el wizard quedar habilitada la poltica configurada.
En este punto se habilitan las polticas de red correspondiente al mtodo de autenticacin PEAP-MSCHAP v2
que utilizaran los clientes locales a la hora de validar sus credenciales en el servidor radius. En el directorio activo
debe existir un grupo global al que pertenezcan los usuarios con permisos de acceder a la Wifi.
En la ventana de configuracin del Network Policy Server, desplegar a la izquierda la opcin Polticas (Policy),
seleccionar la opcin Polticas de red (Network Policies), dar clic derecho y escoger nuevo (new).
En la pestaa Overview asignar un nombre a la poltica, por ejemplo, Wifi CMG y dar clic en Siguiente
(Next).
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
2. Windows Group y configurar de la manera en que indica la figura siguiente. En este punto es donde
deben habilitar la restriccin de pertenencia al grupo Wifi del directorio activo.
En la pestaa Especificar Permisos de acceso (Specify Access Permission), seleccionar la opcin por
defecto.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
Despus de este paso se deber dar Next dos veces sin cambiar ninguna opcin por defecto y luego
dar clic en finalizar para cerrar el wizard quedar habilitada la poltica de red.
Se debe configurar una regla de trfico con origen y destinos los servidores radius de la UEB y el servidor radius
del nodo permitiendo el servicio RADIUS. Este servicio viene declarado por defecto en el Kerio y utiliza los
puertos UDP 1812 Y 1813. El puerto UDP 1812 es usado para la autenticacin mientras que el puerto UDP 1813
como puerto de auditoria.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
DESARROLLO
En el campo Radius Server IP, insertar la direccin IP del servidor radius de la UEB.
En el campo Radius Password, insertar la contrasea definida en el servidor RADIUS de la UEB para el
Radius Client ap1 . Esta es la contrasea que se configur en el NPS en la seccin 2.4 sobre los clientes
Radius.
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.