1. Información general de la solución

Esta guía se divide en Tres secciones, cada una de las cuales corresponde a una fase del ciclo de la solución, que incluye el planeamiento, la implementación, la prueba y el funcionamiento. Dichas fases se vuelven a dividir en capítulos.



 Figura 1.1. Información general de la solución para la seguridad en LAN inalámbricas con PEAP y contraseñas

La sección sobre planeamiento consiste en una introducción, que en nuestro caso ya la estamos aplicando ,"Elección de una estrategia para la seguridad en LAN inalámbricas" y el capítulo 2, "Planeamiento de la implementación de seguridad en LAN inalámbricas". Los cuatro capítulos siguientes constituyen la sección de la guía dedicada a la creación e implementación. Estos capítulos ofrecen instrucciones para implementar los servidores del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) utilizando el Servicio de autenticación de Internet (IAS) de Windows Server 2003, así como para implementar los clientes inalámbricos y la infraestructura compatible. Cada capítulo proporciona procedimientos detallados sobre la instalación y configuración de los componentes de software y sobre cómo integrarlos en una solución que pueda usar en su organización. También incluyen procedimientos de comprobación para ayudar a minimizar errores.

La sección dedicada a la prueba cubre un capítulo que explica cómo comprobar que la solución funciona correctamente antes de su implementación. Por último, la guía viene acompañada de un conjunto de herramientas y secuencias de comandos que puede utilizar para automatizar muchas de las tareas de implementación y funcionamiento. Las cuales las entrego junto con el documento en un medio magnético Cd-Rom o si gustas puedes bajar las versiones actualizadas del centro de descargas de Microsoft.

0. Capítulo 1: Seguridad en LAN inalámbricas con PEAP y contraseñas

Este capítulo es el que nos ocupa y proporciona información general sobre el contenido de la guía de la solución.

1. Capítulo 2: Planeamiento de la implementación de seguridad en LAN inalámbricas

Este capítulo describe el diseño de la arquitectura de la solución de seguridad en LAN inalámbricas. Cubre los siguientes temas:

•	Funcionamiento de una solución basada en el protocolo 802.1X y en el Protocolo de autenticación extensible protegido (PEAP).
•	Descripción de la organización de destino para esta solución y los criterios de diseño clave de la solución.
•	Desarrollo de un diseño de la solución de seguridad en WLAN según las necesidades de la organización de destino.

2. Capítulo 3: Preparación del entorno

Este capítulo se ocupa de la tecnología de la información (TI) subyacente necesaria para admitir esta solución de WLAN. Describe la preparación del directorio activo de Microsoft Active Directory®, el Protocolo de configuración dinámica de host (DHCP), los servicios del Sistema de nombres de dominio (DNS) y los requisitos de redes subyacentes. Además incluye una serie de procedimientos para aplicar las configuraciones de seguridad y para instalar las actualizaciones de seguridad necesarias en los servidores utilizados en la solución.

3. Capítulo 4: Creación de la entidad emisora de certificados de red

Este capítulo describe cómo instalar una sencilla entidad emisora de certificados en un controlador de dominio con el objetivo de proporcionar certificados a los servidores IAS. Los procedimientos para su consecución se automatizan en gran parte mediante secuencias de comandos incluidas en la guía. La entidad emisora creada para esta solución se dedica a la tarea específica de emitir certificados para los servidores IAS y, en consecuencia, requiere un mantenimiento escaso o periódico.

4. Capítulo 5: Creación de la infraestructura de seguridad en LAN inalámbricas

Este capítulo ofrece instrucciones sobre la implementación de los componentes de seguridad en WLAN, los servidores IAS y los puntos de acceso inalámbricos. Incluye instrucciones paso a paso sobre cómo instalar IAS en un controlador de dominio (o servidor miembro), cómo establecer la configuración y las directivas de IAS, cómo instalar puntos de acceso inalámbricos para utilizar los servidores IAS y cómo replicar la configuración de IAS entre los servidores IAS.

5. Capítulo 6: Configuración de clientes de LAN inalámbricas

Este capítulo contiene los procedimientos necesarios para configurar los clientes compatibles con esta solución. Las tres secciones principales del capítulo se centran en el control del acceso de usuarios y equipos a la WLAN, la configuración de las directivas de grupo para clientes WLAN en Windows XP .

6. Capítulo 7: Prueba de soluciones de seguridad en LAN inalámbricas

Los capítulos dedicados a la creación (3-6) contienen procedimientos de comprobación habituales utilizados en todo el proceso de creación para comprobar que todo avanzaba correctamente. Este capítulo complementa aquellos procedimientos con un conjunto de pruebas adicionales que debería llevar a cabo antes de implementar la solución en producción.

7. Apéndices
1. Apéndice D:Secuencias de comandos y archivos auxiliares

Los procedimientos descritos en los capítulos dedicados a la implementación y funcionamiento utilizan una serie de secuencias de comandos y otros archivos auxiliares. Este apéndice describe las secuencias de comandos y su funcionamiento. Esta información también aparece en el archivo SecuringWirelessLANs.rtf incluido con las secuencias de comandos.

Apéndice B: Uso de WPA en la solución

Capítulo 2

Planeamiento de la implementación de seguridad en LAN inalámbricas

El objetivo de este capítulo, que trata las pautas generales de diseño de la solución de red de área local inalámbrica (WLAN) segura, reside en describir minuciosamente el diseño de la solución y las razones para hacerlo de tal forma. Asimismo, proporciona toda la información precisa para adaptar el diseño a las necesidades particulares de la organización.

El capítulo comienza con una descripción del funcionamiento de 802.1X y del protocolo de autenticación extensible (PEAP) para proteger el acceso a la red. A continuación, se especifica la organización de destino de la solución, al tiempo que se explican algunos de los requisitos clave.

A mediados del capítulo se describe el diseño de la solución de WLAN, y así, aspectos como el diseño de la red; la situación del servidor del servicio de autenticación de Internet (IAS); la selección del hardware y del software; la obtención de certificados y la configuración del cliente.

Si desea sacar el máximo partido del capítulo, sería conveniente que se familiarizara con los siguientes temas:

•	Conceptos relacionados con la red, en concreto LAN inalámbricas.
•	Windows Server™ 2003.
•	Conceptos del servicio de directorio Microsoft Active Directory®, incluidos los dominios y bosques de Active Directory, las herramientas de administración, el uso de la directiva de grupo y la manipulación de usuarios, grupos y otros objetos de Active Directory.
•	Conceptos de Servicios de Certificate Server e infraestructura de claves públicas.
•	Conceptos generales de seguridad como la autenticación, la autorización y el cifrado.
•	Características de seguridad de Windows como usuarios, grupos, auditorías y listas de control de acceso.
•	Aplicación de la configuración de seguridad mediante la directiva de grupo. Nota: si bien esta solución puede implementarse sin poseer un amplio conocimiento técnico, o bien, conocimiento y experiencia equivalentes. Modo de funcionamiento de la seguridad de LAN inalámbrica En la introducción, se han tratado con detenimiento algunos de los métodos para proteger las WLAN, con especial atención al uso de la autenticación segura para WLAN a través de 802.1X y del cifrado del tráfico de red mediante la privacidad equivalente por cable (WEP) dinámica o el acceso protegido Wi-Fi (WPA). A continuación se señalan los puntos clave relacionados con este tema: El esquema de seguridad de WLAN 802.11 original (conocido como WEP), contiene graves deficiencias de seguridad que posibilitan que un atacante descubra la clave de red para poder adentrarse en ella. Este esquema también se conoce como "WEP estática", debido a que emplea un acceso a red fijo y una clave de cifrado que todos los miembros de la WLAN comparten. El uso de IEEE 802.1X proporciona un mecanismo de control de acceso seguro para la WLAN que ha de asociarse al mismo tiempo con un método de protocolo de autenticación extensible (EAP). La elección de este método de EAP define el tipo de credenciales que pueden usarse a la hora de autenticar usuarios y equipos en la WLAN.  Microsoft admite y recomienda el uso, por un lado, de PEAP con MS-CHAP v2 en el caso de la autenticación de contraseñas y, por otro, de EAP-TLS para la autenticación de certificados. PEAP constituye un medio de protección de otro método de EAP (como pueda ser MS-CHAP v2) en el canal de seguridad. De este modo, PEAP se convierte en un elemento esencial para evitar ataques a métodos de EAP basados en contraseñas. Una buena protección de datos del tráfico de WLAN puede conseguirse por medio tanto de una WEP dinámica como de una WPA. Las claves de cifrado maestras para la protección de datos se generan como parte del proceso de autenticación 802.1X (aunque la WEP dinámica y WPA emplean estas claves de manera distinta). La distinción entre WEP estática y WEP dinámica es crucial, ya que ésta última emplea los mismos algoritmos de cifrado que la WEP estática, si bien actualiza las claves de cifrado de forma constante para acabar con ataques conocidos a la WEP estática. La WEP dinámica sólo hace referencia al mecanismo de protección de los datos de la red, en tanto que la autenticación de red se controla de forma separada mediante 802.1X.

1. Funcionamiento de 802.1X con PEAP y contraseñas

Microsoft admite el uso de PEAP con MS-CHAP v2 para la autenticación de la WLAN basada en contraseñas. La figura 2.2 ilustra el modo en que 802.1X con PEAP y MS-CHAP v2 funciona.



Figura 2.1. Autenticación 802.1X y PEAP para la LAN inalámbrica

La figura muestra los siguientes cuatro componentes principales:

•	Cliente inalámbrico: se trata de un equipo o dispositivo que ejecuta una aplicación que requiere acceso a los recursos de red. El propietario de las credenciales que se usan para autenticar al cliente en la red puede ser tanto un usuario como un equipo. El cliente debe tener un adaptador de red WLAN que sea compatible con 802.1X y la WEP dinámica o con el cifrado de WPA. Este cliente, además, es conocido como estación (STA) en una gran cantidad de documentos sobre estándares de red. Antes de que el cliente pueda tener acceso a la WLAN, deberá ponerse de acuerdo con el servicio de autenticación (el servidor RADIUS y el directorio) en una serie de credenciales mediante una operación fuera de banda. En tal caso, las cuentas de dominio del usuario y del equipo se crean antes de que se produzca la conexión a WLAN. El cliente sabe la contraseña que le corresponde, mientras que el controlador de dominio (el directorio) puede comprobarla. Asimismo, el cliente ha de reconfigurarse con los valores de configuración de WLAN adecuados, que engloban el nombre WLAN y el método de autenticación que ha de utilizarse.
•	Punto de acceso inalámbrico: el punto de acceso inalámbrico tiene como función el control del acceso a la WLAN y, al mismo tiempo, la unión de la conexión del cliente a la LAN interna. Debe ser compatible con 802.1X y la WEP dinámica o con el cifrado de WPA. En términos de conexión a red estándar, los puntos de acceso cumplen la función del Servicio de acceso a la red (NAS).Asimismo, el punto de acceso inalámbrico y el servidor RADIUS comparten un secreto que les permite identificarse mutuamente sin riesgo alguno.
•	El servidor RADIUS y el directorio: el servidor RADIUS utiliza el directorio para comprobar las credenciales de los clientes WLAN, al tiempo que toma decisiones relativas a la autorización en función de una directiva de acceso a red. También puede recopilar información de responsabilidad y de auditoria sobre el acceso de los clientes a la red. Esto se conoce como servicio de autenticación (AS) en términos de estándares de red.
•	La red interna: se trata de una red segura a la que la aplicación cliente inalámbrica debe obtener acceso.

Los siguientes pasos indican el modo en que el cliente realiza una solicitud y recibe permiso para tener acceso a la WLAN (y, en consecuencia, a la red interna). La numeración de estos pasos se corresponde con los números de la figura 2.1.

1.	Cuando el equipo cliente se encuentra dentro del alcance del punto de acceso inalámbrico, intenta conectarse a la WLAN que se encuentre activa en este punto y que el Identificador del conjunto de servicios (SSID) haya identificado. El SSID es el nombre de la WLAN que el cliente utiliza para identificar la configuración correcta y el tipo de credencial para esta WLAN en particular.
2.	Permite que el cliente autentique el servidor RADIUS; esto significa que el cliente sólo establecerá la sesión con un servidor que cuente con un certificado en el que confíe el cliente.
3.	Protege el protocolo de autenticación MS-CHAP v2 frente al rastreo de paquetes.
4.	La negociación de la sesión TLS genera una clave que el cliente y el servidor RADIUS pueden utilizar a fin de establecer claves maestras comunes (que, a su vez, se usan para generar aquellas claves que van a emplearse para cifrar el tráfico de WLAN).
5.	En caso de que el cliente necesitara una dirección IP, podría solicitar el alquiler de un protocolo de configuración dinámica de host (DHCP) de un servidor de la LAN. Una vez se haya asignado la dirección IP, el cliente podrá empezar a comunicarse con normalidad con los restantes sistemas de la red.

1. Autenticación del equipo y del usuario en la WLAN

El proceso que se acaba de describir señala el modo en que un cliente (sea usuario o equipo) se conecta con éxito a la WLAN. Windows XP autentica tanto al usuario como al equipo de manera independiente. Cuando un equipo se inicia por primera vez, utiliza una cuenta de dominio y una contraseña para autenticarse en la WLAN. La autorización del equipo a la WLAN tiene lugar exactamente tal y como se ha especificado en la sección anterior. Aun cuando ningún usuario haya iniciado sesión, el equipo se podrá administrar si se conecta a la WLAN a través de sus propias credenciales. Por ejemplo, se podrá aplicar una configuración de directiva de grupo en el equipo, así como distribuir software y revisiones.

Cuando un usuario inicia sesión en el equipo, este proceso de autenticación y autorización se repite, pero, en este caso, con el nombre de usuario y la contraseña del usuario. La sesión de un usuario sustituye la sesión de WLAN del equipo, de modo que no hay dos sesiones activas al mismo tiempo. Además, esto evita que un usuario no autorizado utilice un equipo autorizado para obtener acceso a la WLAN.

1. Perfil de la organización de destino

El diseño de esta solución está pensado para pequeñas empresas de entre 100 y 200 personas. Si bien la organización es ficticia, las características y requisitos son producto de una intensa investigación en el mundo real. Estos requisitos del

mundo real han servido para modelar el estilo y el alcance de la guía, así como las preferencias de diseño.

Es importante comprender que esta solución no está limitada exclusivamente a organizaciones de este tamaño, dado que la sencillez del diseño y la escalabilidad de los componentes utilizados hacen de ella una solución de WLAN basada en PEAP adecuada para organizaciones mucho más pequeñas y mucho más grandes (con miles de usuarios). Si comprende las características de la organización de destino, sabrá con mayor seguridad las características del diseño y, en consecuencia, podrá adaptarlas a la organización.

1. Diseño de la organización

La siguiente figura muestra el diseño físico y de tecnología de la información (TI) de la organización



Figura 2.2. Diseño físico y de TI de la organización de destino

Hay una gran oficina central donde se encuentran la mayoría de los sistemas de TI y gran parte de los usuarios. Todos los controladores de dominio de Active

Directory se hallan aquí. La conexión a Internet en esta oficina se realiza a través de un servidor de seguridad. Existe un número de clientes WLAN y puntos de acceso inalámbrico conectados a la red interna.

También hay una o varias oficinas remotas con muy pocos servicios de TI locales aparte de la conexión de red con la oficina central. El número de clientes (todos inalámbricos, posiblemente) es pequeño en esta oficina, que con frecuencia recibe visitantes de la oficina central que disponen de sus propios clientes WLAN para que puedan volver a conectarse a sus aplicaciones y datos en la oficina central.

La conectividad de la red de área extensa (WAN) entre oficinas se suministra bien mediante líneas privadas (así, una T1 a 1,5 Mbps), bien mediante conexiones DSL y un vínculo entre enrutadores de una red privada virtual (VPN) a través de Internet. Normalmente, la conexión WAN es proclive a dar errores.

2. Entorno de TI

Active Directory, que en esta organización consiste en un solo bosque de dominios con al menos dos controladores de dominio, autentica usuarios en el dominio y proporciona servicios de directorio y autenticación a varias aplicaciones, como Microsoft Exchange Server y Outlook® para el correo electrónico. Los controladores de dominio han pasado recientemente de Windows 2000 Server a Windows Server 2003, versión Standard Edition. Para algunas aplicaciones heredadas, estos controladores de dominio ejecutan también otro tipo de servicios, como el Sistema de nombres de dominio (DNS), DHCP y el Servicio de nombres de Internet de Windows (WINS).

Los sistemas de TI son en su mayoría tecnologías Microsoft, con Windows XP en los equipos cliente y Windows Server 2003 en los sistemas servidor. Asimismo, existe un determinado número de servidores que ejecutan Windows 2000, algo que la compañía planea mejorar en tanto la prueba y la compatibilidad de las aplicaciones lo permitan. La organización empieza a invertir en sistemas móviles como Windows XP, Tablet Edition y Pocket PC 2003, en especial para el personal de ventas, de distribución y de almacén.

Entre las aplicaciones de servidor clave se incluyen Microsoft Exchange Server, SQL Server (que ejecuta varias aplicaciones de línea de negocios), Servicios de Internet Information Server (IIS) y Windows SharePoint™ Team Services.

Las aplicaciones se implementan en equipos cliente por medio de la directiva de grupo de Active Directory. En cuanto a las revisiones del sistema operativo, se implementan por medio de Microsoft Software Update Service (SUS) y el servicio Windows AutoUpdate.

El seguimiento del sistema se realiza directamente en los sistemas servidor mediante la revisión diaria de los registros de sucesos, los registros de rendimiento y los registros de aplicaciones. Las alertas importantes relativas al software y al hardware se envían al administrador de TI por medio de correos electrónicos y alertas en las consolas del sistema.

La organización cuenta con dos personas responsables de TI a tiempo completo que se encargan del planeamiento de TI, la entrega de servicios y la asistencia diaria. Tanto el administrador de TI como el ingeniero asistente de TI poseen las certificaciones MCSE más recientes y años de experiencia en este ámbito.

Capítulo 3:

Preparación del entorno

Este capítulo ayuda a preparar el entorno de tecnología de la información (TI) para implementar la infraestructura de seguridad para su red de área local inalámbrica (WLAN). Las principales tareas para preparar el entorno incluyen:

•	Preparar el dominio del servicio de directorio Microsoft® Active Directory® creando grupos de seguridad necesarios.
•	Preparar sus servidores para instalar el Servicio de autenticación de Internet (IAS) y los Servicios de Certificate Server. Esta tarea también incluye las tres subtareas siguientes:
Aplicar configuración de seguridad a los servidores.
Instalar herramientas necesarias en los servidores.
Actualizar los servidores para garantizar que no tienen vulnerabilidades de seguridad.

1. Requisitos previos

Antes de continuar, debe tener un buen conocimiento de la arquitectura y el diseño de esta solución que se describe en el capítulo 2, "Planeamiento de la implementación de seguridad en LAN inalámbricas". Además, debe estar familiarizado con la instalación y administración de Microsoft Windows® 2000 Server o Microsoft Windows Server™ 2003. También puede ser útil el conocimiento de los siguientes temas:






2. Instalación de herramientas de la solución

Con esta guía se proporcionan una serie de secuencias de comandos y herramientas para ayudar a simplificar la configuración y el funcionamiento de esta solución. Debe instalar estas secuencias de comandos y herramientas en cada uno de los servidores IAS. por lo que no debe eliminarlas después de completar la instalación. De forma predeterminada, las secuencias de comandos se encuentran ubicadas en la carpeta en C:\Archivos de programa\Microsoft\Microsoft WLAN-PEAP Tools.

Para instalar las secuencias de comandos y las herramientas en cada servidor

1.	Copie el archivo PEAPWLAN.msi proporcionado con la solución en el servidor.
2.	En el Explorador de Windows, haga doble clic en el archivo PEAPWLAN.msi y, a continuación, haga clic en Siguiente para iniciar la instalación.
3.	Si desea instalar las secuencias de comandos en una ubicación que no sea la predeterminada C:\Archivos de programa\Microsoft\Microsoft WLAN-PEAP Tools, especifíquela. Se le preguntará si desea instalar las secuencias de comandos para una sola cuenta o para todos los usuarios. Haga clic en Todos los usuarios y en Siguiente para continuar y, a continuación, vuelva a hacer clic en Siguiente de nuevo para confirmar.
4.	Tras completar la instalación, aparece el archivo Tools Readme. Este archivo contiene una renuncia importante y una breve descripción de las secuencias de comandos que se han instalado. Debe leerlo antes de continuar. Haga clic en Siguiente para continuar y, a continuación, haga clic en Finalizar para completar la instalación.

Para permitir un mejor acceso a estas secuencias de comandos, puede crear un acceso directo para abrir un shell de comandos en la carpeta donde se almacenan las secuencias de comandos.

Para crear un acceso directo a MSS WLANS Tools

1.	Desde el Explorador de Windows desplácese a la carpeta MSS WLAN Tools, cuya ubicación predeterminada es C:\Archivos de programa\Microsoft\Microsoft WLAN-PEAP Tools.
2.	Haga doble clic en el archivo de secuencia de comandos por lotes CreateShortcut.cmd. Esto crea un acceso directo denominado MSS WLAN Tools en el escritorio.
3.	Puede que desee mover o copiar este acceso directo a su menú Inicio.

1. Utilización de las secuencias de comandos

Las secuencias de comandos se escriben en Windows Scripting Host utilizando lenguaje VBScript. Todas las secuencias de comandos funcionan de manera similar. Se deben ejecutar utilizando los dos archivos por lotes (MSSSetup.cmd y MSSTools.cmd) en lugar de ejecutarlos directamente. Los archivos por lotes simplifican la sintaxis de las secuencias de comandos.

La mayoría de las secuencias de comandos toman un solo parámetro que especifica la función que se va a realizar. Algunas secuencias de comandos toman parámetros adicionales (se explican en la guía). Las secuencias de comandos se ejecutan desde la carpeta en que se instalaron, es decir, desde un shell de comandos con el directorio de trabajo actual establecido en la carpeta de instalación de herramientas.

Las secuencias de comandos producen los siguientes tipos de resultados:

•	Cuadros de mensaje que muestran información o texto de alerta, solicitud de decisión o solicitud de entrada de datos.
•	Información de progreso detallada enviada a una ventana desplegable mientras la secuencia de comando se ejecuta. Si la secuencia de comandos encuentra un error, muestra información de error en la ventana. Cuando la ejecución de la secuencia de comandos se completa, se le solicita que cierre la ventana o que la deje abierta para una inspección posterior (por ejemplo, puede que desee mantener la ventana abierta para investigar errores).
•	Para muchas tareas, la información de progreso detallada también se escribe en un archivo de registro (%systemroot%\debug\ MSSWLAN-Setup.log). Su finalidad es la de utilizarlo en la resolución de problemas y la auditoría de instalación. Todas las tareas de instalación y configuración, así como la exportación e importación de la configuración de IAS se archivan en este registro. Por razones de seguridad, las tareas que crean los secretos de RADIUS (contraseñas) para los puntos de acceso inalámbrico no se registran.

3. Configuración de la infraestructura de directorio y de red
1. Configuración de la red

Debe conectar los componentes a la red como se muestra en la siguiente ilustración o según los requisitos específicos de su red.



Figura 3.1 Configuraciones simples de red WLAN

Esta ilustración muestra la configuración más simple posible, donde los servidores IAS, los puntos de acceso y el resto de su red interna se conectan a la misma LAN. En instalaciones de mayor tamaño, la red está, normalmente, segmentada en varias LAN virtuales (VLAN) que se conectan mediante enrutadores o conmutadores de nivel 3. La configuración precisa cambiará considerablemente dependiendo de los requisitos individuales de la organización. La descripción detallada de este tema no entra en el ámbito de esta guía.

0. Configuración de la red IP

La solución es, en gran parte, independiente de la distribución de la subred y la VLAN. puede elegir tener sus clientes inalámbricos en una VLAN diferente del resto de la red. Sin embargo, esta solución sólo se ha probado para el caso más simple, es decir, para un sitio determinado, los clientes inalámbricos se colocan en la misma LAN que el resto de la red y comparten la misma subred IP.

2. DHCP

La información de direcciones IP y red IP necesita asignarse a los clientes WLAN. Esta solución utiliza el servicio DHCP de Windows para ello; así, debe haber un servicio DHCP para que lo utilicen los clientes WLAN.

Necesita asignar un ámbito DHCP independiente para cada subred donde implementará los clientes. Por ejemplo, si cuenta con dos sitios independientes con una conexión de red de área extensa (WAN) enrutada entre ellos, debe crear un ámbito DHCP para cada subred. Si va a asignar subredes independientes para sus clientes WLAN y LAN con cable, necesitará configurar un ámbito independiente para cada subred de WLAN. Además, si ha enrutado conexiones entre sus puntos de conexión y sus servidores DHCP, necesitará configurar agentes de retransmisión DHCP en los enrutadores o instalar el agente de retransmisión DHCP de Windows en un servidor de la misma subred que los puntos de acceso.

3. DNS

Active Directory depende de un servicio de sistema de nombres de dominio (DNS) que debe funcionar correctamente. Esta solución se basa en el supuesto de que tal servicio está en vigor y operativo. Tendrá instalado DNS como parte del proceso de instalación de Active Directory o lo tendrá configurado por separado.

4. Active Directory

Esta solución se ha diseñado y probado utilizando la siguiente configuración de Active Directory:

•	Un bosque Active Directory de un solo dominio.
•	Los controladores de dominio de Windows Server

1. Requisitos para todas las versiones de Active Directory

Un dominio en modo nativo permite crear grupos de seguridad universal de Active Directory. La utilización de grupos universales facilita la administración de directivas de acceso a redes de varios dominios. Sin embargo, para implementaciones de dominio único, esta configuración no tiene relevancia. Los comandos de instalación comprueban si el dominio está o no en modo nativo. Si el dominio está en modo nativo, la secuencia de comandos utilizará grupos universales pero, en caso contrario, sólo utilizará grupos globales.

Active Directory debe tener un esquema de Windows Server 2003. Es necesario para admitir la configuración de objetos de directiva de grupo de directivas de red inalámbrica.

2. Comprobación de la seguridad de las directivas de cuenta de dominio

Esta solución se basa en contraseñas de usuario y equipo para autenticar usuarios y equipos para la WLAN. Por esta razón, es muy importante que no permita la utilización de contraseñas en blanco o poco seguras. Las contraseñas fácilmente predecibles facilitarán a un atacante la entrada a la WLAN. Ya que se utilizan las mismas contraseñas para autenticar al usuario o al equipo en el dominio, esto proporcionará también acceso al atacante a todos los recursos de red.

3. Creación de grupos de seguridad

Utilice el procedimiento que se ofrece más adelante en esta sección para crear grupos de seguridad en Active Directory que utilizará con esta solución. Los grupos creados se enumeran en la tabla siguiente y, donde se indica, se muestran sus miembros. De forma predeterminada, estos grupos se crean en el contenedor de usuarios.

Tabla 3.2. Miembros y grupos de seguridad

Grupo de seguridad	Finalidad	Tipo de grupo	Miembros
Usuarios de LAN inalámbrica	Especifica qué usuarios pueden autenticarse en la WLAN.	Global	Usuarios de dominio
Equipos de LAN inalámbrica	Especifica qué equipos pueden autenticarse en la WLAN.	Global	Equipos de dominio
Acceso a LAN inalámbrica	Este grupo se utiliza en la directiva de acceso de RADIUS para controlar el acceso a la WLAN.	Universal	Usuarios de LAN inalámbrica Equipos de LAN inalámbrica.
Configuración del equipo de LAN inalámbrica	Especifica qué equipos reciben configuración de WLAN de la directiva de grupo.	Dominio local	Equipos de LAN inalámbrica.

Para crear y llenar los grupos de seguridad

1.	Abra un shell de comandos con el acceso directo MSS WLAN Tools.
2.	En el símbolo del sistema, escriba MSSSetup CreateWLANGroups y, a continuación, presione ENTRAR.

0. Sistemas operativos compatibles

Esta solución se ha creado y probado utilizando Windows Server 2003, Standard Edition para todos los componentes de servidor. Sin embargo, las secuencias de comandos de la instalación y la guía son las mismas para Windows Server 2003, Enterprise Edition.

Esta solución no se ha diseñado para admitir versiones anteriores de Windows Server y no se ha probado con ninguna de ellas. Estas versiones de Windows Server 2000 de IAS y Servicios de Certificate Server pueden funcionar para algunas o todas las funciones de servidor de esta solución, pero las instrucciones para ello quedan fuera del ámbito de esta documentación.

1. Directrices del hardware

El primer servidor que instale ejecutará los Servicios de Certificate Server así como IAS. Los Servicios de Certificate Server necesitan recursos mínimos en esta solución. Sin embargo, debería asegurar que la carga que IAS coloca en el servidor no afecta negativamente al rendimiento de sus funciones de controlador de dominio. Esto sólo suele ocurrir en las implementaciones de IAS más amplias. Si fuera necesario, debería agregar un controlador de dominio adicional al mismo sitio de Active Directory como compensación.

Tabla 3.3. Hardware mínimo recomendado para el servidor IAS

Elemento	Requisito
CPU	Procesador a 1800 MHz o superior
Memoria	512MB
Interfaces de red	Adaptador único de red
Almacenamiento en disco	Controladora RAID SCSI o IDE 2 x 18 GB (SCSI) o 2 x 20 GB (IDE) configurado como volumen RAID 1 Almacenamiento local de medios extraíbles (CD-RW o cinta para copia de seguridad), si no hay ningún servicio de copia de seguridad en red. Unidad de disco de 1,44 MB para transferencia de datos.

2. Obtención e instalación de software compatible

Esta sección enumera el software adicional necesario en sus servidores. También describe cómo obtener e instalar el software.

1. Consola de administración de directivas de grupo

La consola de administración de directiva de grupo (GPMC) se utiliza para instalar y configurar los objetos de directiva de grupo utilizados por la solución. La GPMC sólo necesita instalarse en el primer servidor en el que se instala IAS, su instalación en servidores IAS posteriores es opcional.

Para instalar la consola de administración de directivas de grupo

1.	Descargue el archivo de instalación Gpmc.msi del Centro de descargas de Microsoft.
2.	Asegúrese de que ha iniciado sesión como miembro del grupo de administradores de dominio (o el grupo de administradores locales del equipo en el que va a instalar la GPMC, si no lo va a instalar en un controlador de dominio).
3.	En el Explorador de Windows haga doble clic en el archivo de instalación Gpmc.msi.
4.	Siga las indicaciones del asistente para instalar la GPMC; acepte todas las opciones predeterminadas. Importante: debe instalar la GPMC en la carpeta de Archivos de programa (aunque no importa la unidad que esté activada). También debe utilizar la carpeta de instalación predeterminada —GPMC— de Archivos de programa (si cambia el nombre de la carpeta, debe actualizar el nombre de la carpeta utilizada para instalar la GPMC en el archivo Constants.txt). Los procedimientos posteriores utilizan algunas de las herramientas instaladas por la GPMC y si lo instala en cualquier otro lugar no podrán encontrar las herramientas de GPMC.

3. Herramientas de soporte técnico de Windows Server 2003

Los procedimientos y las secuencias de comandos de configuración de esta solución utilizan algunas de las herramientas de soporte técnico de Windows. Debe instalarlas desde el disco de instalación de Windows Server 2003. Las secuencias de comandos de configuración e instalación de entidades emisoras las necesitan, así que debe instalarlas en el servidor en el que se van a instalar los Servicios de Certificate Server. No son necesarias, sin embargo, en los otros servidores aunque puede que desee instalarlas.

Para instalar las herramientas de soporte técnico de Windows Server 2003

1.	Asegúrese de que ha iniciado sesión como miembro del grupo de administradores de dominio (o el grupo de administradores locales del equipo en el que está instalando las herramientas de soporte técnico, si no lo está instalando en un controlador de dominio).
2.	Inserte el CD de instalación de Windows Server 2003 (o conéctese a la fuente de instalación si va a instalar desde la red o desde otros discos).
3.	Desde el Explorador de Windows, desplácese a la unidad de discos de instalación (unidad de CD o de disquete) y, a continuación, al archivo \support\tools\supptools.msi. Haga doble clic en el archivo para empezar la instalación.
4.	Siga las indicaciones del asistente para instalar las herramientas de soporte y acepte el contrato de licencia y la carpeta de instalación predeterminada.