You are on page 1of 20

Configuración Red Wifi con Autenticación contra

Servidor NPS

En este documento vamos a tratar de explicar cómo establecer un nivel de seguridad en
nuestra red wifi, para el acceso de equipos controlado y seguro, basándonos en una
autenticación mediante los usuarios de nuestro Directorio Activo,

Lo primero que vamos a necesitar es instalar una Entidad Certificadora Enterprise en
nuestro Dominio para poder securizar el acceso wifi de nuestros clientes.

Una vez instalada la Entidad Certificadora vamos a generar un Certificado de equipo
que utilizaremos para nuestra validación Radius. Para ello abrimos una consola MMC y
agregamos la consola de certificados.

Ahora realizaremos una solicitud de un nuevo certificado, en este caso de tipo Domain
Controller ya que es un Controlador de Dominio donde instalaremos nuestro Servidor
NPS. En el caso que sea en diferente solicitaremos un certificado de Equipo.

Pulsamos Enroll.

Para ellos abrimos usuarios y equipos de Active Directory y creamos un Grupo Universal en el Directorio Activo que va a contener a los usuario y equipos que queremos dar permisos en la Autenticación de nuestra red WIFI. .Una vez realizado el certificado pasaremos a configurar un grupo de Directorio Activo que va a contenerlos usuarios y equipos a los que queremos dar permisos de acceso.

Ya tenemos la base para empezar a trabajar nuestro servidor NPS. .A este grupo añadiremos a los usuarios y equipos a los que permitimos el acceso. Ahora instalaremos el Rol “Network Policy and Access Services”.

“Remote Access Service” & “Routing” Ahora vamos a NPS y crearemos una configuración Standard: “RADIUS para 802. “Routing and Remote Access Services”.1X”.Dejamos marcado “Network Policy Server”.1X Wireless” y pulsamos el botón “Configure 802. .

Marcamos “Secure Wireless Connections” y le damos un nombre. .

Añadimos nuestros clientes Radius que serán nuestros Puntos de Acceso Le damos un nombre al AP. su dirección IP y creamos una contraseña que compartirá con el AP .

or credentials. . When selecting the authentication mechanism. Explicación de los diferentes Metodos de Autenticación existentes: – EAP (Extensible Authentication Protocol) uses an arbitrary authentication method.Añadiremos tantos APs como tengamos que autenticar por Radius. For the highest level of security. For the greatest ease of deployment. – EAP-TLS (EAP-Transport Layer Security) is an EAP type that is used in certificate- based security environments. – EAP-MS-CHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol version 2) is a mutual authentication method that supports password-based user or computer authentication. you need to balance between the levels of security required with the effort required for deployment. such as certificates. – PEAP (Protected EAP) is an authentication method that uses TLS to enhance the security of other EAP authentication protocols. and it provides the strongest authentication and key determination method. smart cards. choose PEAP with certificates (EAP-TLS). choose PEAP with passwords (EAP-MS-CHAP v2).

Elegimos el tipo de autenticación “Microsoft Protected EAP (PEAP)” y pulsamos en “Configure” para elegir el certificado que hemos generado anteriormente de nuestra CA. .

“Next”. . el grupo que creamos anteriormente “Usuarios Wireless”. es decir.Elegimos el Certificado generado anteriormente por nuestra CA y en este caso vamos utilizar el metodo de autenticación EAP-MSCHAPv2 Ok y Siguiente Ahora especificamos los Grupos de Directorio Activo a los que damos acceso.

Siguiente. .

Registramos el Servidor NPS en el Directorio Activo. Boton derecho en NPS y Registrar Servidor en Directorio Activo.Finalizar. .

Aceptamos. Con esto hemos acabado el wizard y ya tenemos configurado nuestro servidor NPS de una manera rapida para aceptar conexiones de APs y Cientes.“OK”. Para retocar la configuración realizada podemos retocar dentro de Network Policies la politica creada en el Wizard .

. En esta parte del documento veremos la configuración de nuestro punto de acceso.O incluir nuevos APs por ejemplo en RADIUS Clientes Configuración del AP. Configuramos el AP para que tiren contra el servidor NPS con los siguiente parámetros: – WPA2 Enterprise – Encriptacion: AES – IP de nuestro servidor RADIUS – Password compartida con el servidor NPS Política para equipos del dominio.

Creamos una nueva política para los equipos del dominio para que tengan configurada la Red Wifi mediante una GPO si nos interesase. Para ello vamos a Group Policy Management y creamos una nueva politica que aplicaremos a los equipos que hemos metido en el grupo creado al principio del documento ‘Usuarios Wireless’ en la que configuraremos lo siguiente. . Vamos “Configuración de Equipo” > “Wireless Network” > “Create a New Wireless Network Policy for Windows Vista and Later Releases”.

Damos un nombre a la política. . una descripción y “Add…” > “Infrastructure”.

Damos un nombre y añadimos la red wifi. .

Configuramos todos los parametros como hemos realizado nuestra red y nos dirigimos a “Microsoft Protected EAP (PEAP)” > “Propiedades” .

Activamos “Validate Server Certificate” y marcamos la CA del dominio y Aceptamos .