Servidor RADIUS para conexiones cableadas o inalámbricas 802.1X

Para implementar el acceso inalámbrico 802.1X, debe instalar y configurar puntos de acceso inalámbrico. Para implementar el acceso cableado 802.1X, debe instalar y configurar conmutadores de autenticación 802.1X.

Importante

Los equipos cliente, como los equipos portátiles inalámbricos u otros equipos con sistemas operativos cliente, no son clientes de RADIUS. Los clientes de RADIUS son servidores de acceso a la red, como puntos de acceso inalámbrico, conmutadores compatibles con 802.1X, servidores de red privada virtual (VPN) y servidores de acceso telefónico. Esto se debe a que usan el protocolo RADIUS para comunicarse con los servidores RADIUS, como los Servidores de directivas de redes (NPS).

En ambos casos, estos servidores de acceso a la red deben cumplir los siguientes requisitos:

• Compatibilidad con la autenticación 802.1X estándar IEEE (Institute of Electrical and Electronics Engineers)
  
  
• Compatibilidad con la autenticación RADIUS y las cuentas RADIUS
  
  

Si usa aplicaciones de cuentas y facturación que requieren correlación de sesiones, es necesario:

• Compatibilidad con el atributo de clase según define el Grupo de trabajo de ingeniería de Internet (IETF) en RFC 2865, "Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)", para permitir la correlación de sesiones en los registros de cuentas y autenticación RADIUS. Para la correlación de sesiones, cuando configura cuentas RADIUS en el servidor o proxy NPS, debe registrar todos los datos de cuentas que permiten a las aplicaciones (como aplicaciones de facturación) consultar la base de datos, correlacionar campos relacionados y devolver una vista unificada de cada sesión en los resultados de la consulta. Como mínimo, para proporcionar una correlación de sesiones, debe registrar los siguientes datos de cuentas NPS: Dirección IP de NAS, Identificador de NAS (necesita la Dirección IP de NAS y el Identificador de NAS porque el servidor de acceso puede enviar cualquiera de los atributos), Clase, Identificador de sesión de cuenta, Acct-Multi-Session-Id, Tipo de paquete, Acct-Status-Type, Acct-Interim-Interval, Puerto de NAS y Event-Timestamp.
  
  
• Compatibilidad con solicitudes temporales de cuentas, que algunos servidores de acceso a la red (NAS) envían periódicamente durante una sesión de usuario, que se puedan registrar. Este tipo de solicitud se puede usar cuando se configura el atributo RADIUS de intervalo temporal de cuenta para admitir solicitudes periódicas en el perfil de acceso remoto del servidor NPS. Si desea que se registren solicitudes temporales en el servidor NPS, el NAS debe admitir el uso de solicitudes temporales de cuentas.
  
  

Si usa redes de área local virtuales (VLAN), los NAS deben admitir VLAN.

Para entornos de red de área extensa (WAN), los servidores de acceso a la red deben incluir:

• Compatibilidad con cálculo de tiempo de espera de retransmisión (RTO) dinámico o interrupción exponencial para tratar la congestión y los retrasos en un entorno WAN.
  
  

Además, existen características de filtrado que los servidores de acceso a la red deben admitir para suministrar una seguridad mejorada a la red. Estas opciones de filtrado son:

• Filtros DHCP. Los NAS deben filtrar por los puertos IP para evitar la transmisión de los mensajes de difusión del protocolo de configuración dinámica de host (DHCP) si el cliente es un servidor DHCP. Los servidores de acceso a la red deben bloquear el cliente en el envío de paquetes IP del puerto 68 a la red.
  
  
• Filtros DNS. Los NAS deben filtrar en puertos IP para evitar que un cliente actúe como servidor DNS. Los NAS deben bloquear el cliente en el envío de paquetes IP del puerto 53 a la red.
  
  

Si está implementado puntos de acceso inalámbrico, es preferible la compatibilidad con Acceso protegido Wi-Fi (WPA). WPA es compatible con Windows Vista® y Windows XP con Service Pack 2. Para implementar WPA, use también adaptadores de red inalámbricos compatibles con WPA.

Para conexiones cableadas e inalámbricas 802.1X, puede usar los siguientes métodos de autenticación:

• Protocolo de autenticación extensible (EAP) con Seguridad de la capa de transporte (TLS), también llamado EAP-TLS.
  
  
• EAP protegido (PEAP) con el Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2), también llamado PEAP-MS-CHAP v2.
  
  
• PEAP con EAP-TLS, también llamado PEAP-TLS.
  
  

Para EAP-TLS y PEAP-TLS, debe implementar una infraestructura de clave pública (PKI) mediante la instalación y configuración de los Servicios de certificados de Active Directory® (AD CS) para enviar certificados a los equipos cliente pertenecientes a un dominio y a los servidores NPS. Estos certificados se usan durante el proceso de autenticación como prueba de identidad tanto de los clientes como de los servidores NPS. Si lo prefiere, puede implementar tarjetas inteligentes en lugar de usar certificados de equipos cliente. En este caso, debe emitir tarjetas inteligentes y lectores de tarjetas inteligentes para los empleados de la organización.

Para PEAP-MS-CHAP v2, puede implementar su propia entidad de certificación (CA) con AD CS para emitir certificados a servidores NPS o puede adquirir certificados de servidor de una CA raíz pública de confianza que los clientes conocen, como VeriSign.

Para obtener más información, vea Introducción a EAP e Introducción a PEAP.

Cuando configura NPS como servidor RADIUS, debe configurar clientes RADIUS, directivas de redes y cuentas RADIUS.