Capítulo 5:

Creación de la infraestructura de seguridad de LAN inalámbricas

En este capítulo se proporcionan instrucciones para la instalación y configuración del Servicio de autenticación de Internet (IAS) con el fin de proporcionar servicios del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para una red de área local inalámbrica (WLAN) y la configuración de puntos de acceso inalámbricos para utilizar los servicios RADIUS de IAS.

Los temas principales del capítulo son los siguientes:

•	Preparación e instalación de IAS
•	Configuración del servidor IAS principal
•	Adición de puntos de acceso inalámbrico como clientes RADIUS a IAS
•	Configuración de los puntos de acceso inalámbricos

1. Recuerde :

Antes de implementar las instrucciones proporcionadas en este capítulo, debe leer e implementar los procedimientos del capítulo 3, "Preparación del entorno", y 4, "Creación de la entidad emisora de certificados de red".

Además, resultará útil que esté familiarizado con los siguientes temas:

	•	IAS y RADIUS
	•	Conceptos de WLAN
		Preparación para la implementación Permisos necesarios Para llevar a cabo los procedimientos de este capítulo, debe iniciar sesión con una cuenta que pertenezca al grupo de administradores del dominio en el que se van a instalar los servidores IAS. Herramientas necesarias Para realizar los procedimientos de este capítulo son necesarias las siguientes herramientas. Tabla 5.1. Herramientas necesarias
Herramienta			Descripción	Fuente
Secuencias de comandos para la seguridad en WLAN de MSS			Conjunto de secuencias de comandos y herramientas que se incluyen en esta solución.	Se proporciona en el capítulo 3, "Preparación del entorno".
Servicio de autenticación de Internet			Herramienta de Microsoft® Management Console (MMC) utilizada para administrar la configuración y las directivas de IAS.	Se proporciona como parte de Windows Server™ 2003.
Usuarios y equipos de Active Directory			Herramienta de MMC utilizada para administrar los equipos, grupos y usuarios del servicio de directorio de Microsoft Active Directory®, así como otros objetos de Active Directory.	Se proporciona como parte de Windows Server 2003.

2. Parámetros de IAS

En la siguiente tabla se muestran los parámetros principales utilizados en la instalación y configuración del servidor IAS.

Tabla 5.2. Parámetros de configuración del servidor IAS

Elemento de configuración	Valor de configuración
Registro IAS en el registro de sucesos de Windows
Solicitudes de autenticación rechazadas	Habilitado
Solicitudes de autenticación correctas	Habilitado
Registro de RADIUS IAS	Deshabilitado
Directiva de acceso remoto
Nombre de directiva de acceso remoto	Permitir acceso a LAN inalámbrica
Grupo de seguridad al que se concede acceso	Acceso a LAN inalámbrica
Tipo de EAP utilizado	Protocolo de autenticación extensible protegido (PEAP)
Tipo de PEAP utilizado	EAP MS-CHAP v2
Reconexión rápida	Habilitado
Perfil de directiva de acceso remoto
Minutos que el cliente puede estar conectado (tiempo de espera de sesión)	15 minutos
Atributos de RADIUS	Ignorar propiedades de acceso telefónico del usuario = "True" Acción-Terminación = "RADIUS-Request"
Directiva de solicitud de conexión
Nombre de directiva	Usar autenticación de Windows para todos los usuarios
Condiciones de la directiva	Restricciones de fecha y hora = Todas las horas

1. Comprobación de la preparación para la instalación

IAS depende de la correcta configuración y conectividad de la red y de Active Directory. Para la instalación y el mantenimiento adecuados de IAS son necesarias varias herramientas.

1. Validación del entorno IAS

Antes de instalar IAS en el servidor, debemos realizar una serie de comprobaciones para garantizar que puede ponerse en contacto con el controlador de dominio y que se han instalado todas las herramientas necesarias siguiendo los procedimientos descritos en el capítulo 3, "Preparación del entorno". El siguiente procedimiento utiliza una secuencia de comandos para realizar estas comprobaciones por usted de forma automática.

Para comprobar el entorno IAS

1.	Abra un shell de comandos utilizando el acceso directo MSS WLAN Tools que se encuentra en el servidor en el que desea instalar IAS.
2.	Ejecute el comando siguiente: MSSSetup CheckIASEnvironment
3.	La secuencia de comandos confirma el nombre del dominio al que pertenece el servidor. Haga clic en Aceptar para confirmar.
4.	Cuando finalice las comprobaciones, aparecerá un cuadro de diálogo indicando si cada una de ellas se ha realizado correctamente o no. Haga clic en Aceptar para cerrar el cuadro de diálogo.
5.	Si todas las comprobaciones se realizaron correctamente, continúe con el siguiente procedimiento. De lo contrario, compruebe el registro de instalación (%systemroot%\debug\MSSWLAN-Setup.log) para determinar la causa del error y corregir el problema antes de volver a ejecutar la secuencia de comandos.

0. Comprobación de la configuración de DHCP

El protocolo de configuración dinámica de host (DHCP) se utilizará para asignar automáticamente direcciones IP a los clientes WLAN. Asegúrese de que los ámbitos DHCP asignados en cada sitio disponen de suficientes direcciones IP para abarcar el máximo número posible de clientes WLAN que pueden estar activos en el sitio. Si el ámbito se comparte con clientes por cable, debe ser lo suficientemente grande como para dar cabida a ambos conjuntos de clientes.

2. Instalación de IAS

1. Instalación de componentes de software de IAS

Puede instalar los componentes de software de IAS utilizando la secuencia de comandos que se proporciona en esta guía. Esta secuencia de comandos utiliza el administrador de instalación de componentes opcionales de Windows para instalar IAS y crea todos los archivos de configuración necesarios a medida que se ejecuta.

Para instalar IAS

1.	Abra un shell de comandos utilizando el acceso directo MSS WLAN Tools.
2.	Ejecute el siguiente comando para instalar los componentes de software de IAS: MSSSetup InstallIAS



3.

La secuencia de comandos creará el archivo de parámetros de instalación. Cuando finalice esta operación, se le solicitará que continúe con la instalación. Necesitará el CD de instalación de Windows Server 2003 (o la ruta de red que contiene el origen de instalación de Windows) para finalizar la instalación. Haga clic en Aceptar para continuar o en Cancelar para detener la instalación antes de que finalice.   Nota: si decide cancelar la instalación, el archivo de parámetros de componentes opcionales de IAS (OC_IAS.txt) permanecerá en la carpeta de trabajo actual. Puede modificar la ubicación y usarla en la instalación personalizada si no desea aceptar los valores predeterminados de la solución.





4.

Cuando finalice la instalación, se mostrará un mensaje de confirmación. Haga clic en Aceptar. Comprobación de la instalación Para comprobar la instalación, haga clic en Inicio, elija Todos los programas, seleccione Herramientas administrativas y haga clic en Servicio de autenticación de Internet. IAS debe aparecer tal y como se instaló y ejecutándose en el servidor.

 

Figura 5.5 Comprobando Instalación

3. 

Figura 5.6 Instalación Con éxito

4. Registro de IAS en Active Directory

Todos los servidores IAS se deben registrar en Active Directory. Su registro significa la adición de la cuenta de equipo del servidor IAS para el grupo de seguridad Servidores RAS e IAS, lo que garantiza que los servidores IAS tengan permiso para leer las propiedades de acceso remoto de las cuentas de usuario y equipo en Active Directory.

Puede registrar los servidores de las siguientes maneras:

•	Al agregar manualmente los servidores al grupo (utilizando Usuarios y equipos de Active Directory).
•	Al utilizar el elemento Registrar con Active Directory del menú Acción de la MMC del Servicio de autenticación de Internet.
•	Al utilizar el comando Netsh. Este último método (con el comando Netsh) se muestra en esta guía porque es fácil de ejecutar como secuencia de comandos y permite registrar el servidor en otros dominios. Para registrar IAS en el dominio predeterminado Figura 5.7 Registro de IAS Active Directory Configuración del servidor IAS principal En esta sección se proporcionan instrucciones para la configuración del servidor IAS principal. Los servidores IAS posteriores se configurarán mediante la replicación de la configuración de este servidor y utilizando los procedimientos descritos más adelante en este capítulo. Inscripción automática de un certificado de servidor IAS En el capítulo 4, "Creación de la entidad emisora de certificados de red", se proporcionaron los pasos que se deben seguir para instalar un objeto de directiva de grupo (GPO) con el fin de permitir a los miembros del grupo Servidores RAS e IAS inscribir automáticamente certificados de equipo. Al registrar el servidor IAS en Active Directory se agrega la cuenta del servidor a este grupo. Sin embargo, será necesario reiniciar el servidor para que el equipo pueda agregar este grupo al token de inicio de sesión y pueda inscribir un certificado correctamente. Nota: al igual que ocurre con los usuarios, los equipos no reciben la modificación de la pertenencia de grupo en el token de acceso hasta que vuelven a iniciar sesión en el dominio. En los equipos, esto ocurre durante el inicio. Antes de continuar con el siguiente procedimiento, reinicie el servidor. Comprobación de la implementación de certificados de servidores IAS Después de reiniciar el servidor, asegúrese de que el certificado de servidor IAS se ha inscrito correctamente. Para comprobar el certificado de autenticación de servidor IAS

Para habilitar el registro de las solicitudes de autenticación en IAS

1.	Abra la MMC del Servicio de autenticación de Internet, haga clic en Inicio, elija Todos los programas, seleccione Herramientas administrativas y haga clic en Servicio de autenticación de Internet. Figura 5.9 Habilitando Registro de Solicitud
2.	Haga clic con el botón secundario en Servicio de autenticación de Internet (local) y, a continuación, seleccione Propiedades.
3.	Asegúrese de que Solicitudes de autenticación rechazadas y Solicitudes de autenticación correctas están habilitadas.
4.	Haga clic en Aceptar.

 

5. Configuración del registro de solicitudes de autenticación y de cuentas en registros RADIUS

IAS también puede registrar información de autenticación y de cuentas en registros RADIUS. IAS no crea registros RADIUS de forma predeterminada y no se ha habilitado el registro RADIUS en esta solución con el fin de reducir la carga de administración.

6. Creación de una directiva de acceso remoto IAS para WLAN

Realice el siguiente procedimiento para crear una directiva de acceso remoto en el servidor IAS.

Para crear una directiva de acceso remoto en IAS

7. 
8.  
9. Modificación de la configuración del perfil de la directiva de acceso a WLAN

El asistente para Nueva directiva de acceso remoto (según se ha utilizado en el procedimiento anterior) crea una directiva de acceso remoto válida, pero los dos siguientes valores se deben configurar de forma manual. La primera agrega el atributo de RADIUS Ignorar propiedades de acceso telefónico del usuario. De este modo se indica a IAS que ignore el valor de configuración de permiso de acceso remoto que se especifica en la ficha Acceso telefónico del objeto de usuario de Active Directory. También se evita que IAS envíe esta información en las respuestas de RADIUS a los puntos de acceso inalámbrico, ya que en algunas ocasiones puede causar problemas de compatibilidad.

La segunda categoría permite que el servidor IAS termine la conexión del cliente una vez transcurrido el tiempo de vigencia especificado y forzar al cliente a reautenticarse. Esta configuración es particularmente importante cuando se utiliza la protección de datos mediante la privacidad equivalente por cable (WEP) dinámica (la opción predeterminada para esta solución). El tiempo de espera de la sesión controla la frecuencia con la que se generan nuevas claves de red de cifrado de datos.

Debe configurar el tiempo de espera de sesión del cliente y el atributo Acción-Terminación de RADIUS en el valor adecuado de manera que el servidor IAS pueda forzar al cliente a reautenticarse en el intervalo necesario.

Para modificar la configuración del perfil de la directiva de acceso inalámbrico

1.	En la MMC del Servicio de autenticación de Internet, haga clic con el botón secundario en la directiva Permitir acceso a LAN inalámbrica y seleccione Propiedades. A continuación, haga clic en Editar perfil. Figura 5.14 Editando Perfil Directiva
2.	Haga clic en la ficha Restricciones de marcado y, a continuación, seleccione la opción Minutos que el cliente puede estar conectado (tiempo de espera de sesión) y escriba el valor 60 (minutos) si utiliza una WLAN 802.11b (de 11 Mbps) o 15 (minutos) si utiliza una WLAN 802.11a de velocidad superior o una 802.11g (de 54 Mbps). Figura 5.15 Restricciones de Marcado Nota: si utiliza una WLAN con protección WPA en lugar de WEP dinámica, establezca este valor en ocho horas. Un valor de ocho horas garantizará que los clientes tengan unas credenciales actualizadas válidas para un período de tiempo razonable. Al mismo tiempo, garantizará que un cliente no pueda permanecer conectado durante períodos de tiempo excesivos una vez desactivada la cuenta. Sin embargo, en entornos de alta seguridad donde es necesario reducir el tiempo de retraso entre desactivar una cuenta y forzar al cliente a desactivarse de la red, este valor se puede disminuir a una hora.
3.	Haga clic en la ficha Avanzadas, agregue el atributo Ignorar propiedades de acceso telefónico del usuario y establézcalo en True. A continuación, agregue el atributo Acción-Terminación y establézcalo en RADIUS Request.

 

Figura 5.16 Agregando atributos a la Directiva

Figura 5.17 Valores de los atributos

Figura 5.18 Agregando atributos a la Directiva, Valores

Comprobación de la directiva de solicitud de conexión para WLAN

La directiva de solicitud de conexión IAS predeterminada está configurada para indicar a IAS que autentique los usuarios y los clientes directamente en Active Directory. Lleve a cabo los pasos siguientes para comprobar la configuración de la directiva de solicitud de conexión predeterminada.

Para comprobar la configuración de la directiva de solicitud de conexión predeterminada

1.	Abra la MMC del Servicio de autenticación de Internet, vaya hasta la carpeta Procesamiento solicitud de conexión\Directivas de solicitud de conexión y haga clic con el botón secundario en la directiva de solicitud de conexión Usar autenticación de Windows para todos los usuarios. A continuación, seleccione Propiedades.   Figura 5.19 Comprobación de la Directiva
2.	Compruebe que las condiciones de la directiva contienen Coincidencias de restricciones de fecha y hora"Dom 00:00-24:00; Lun 00:00-24:00; Mar 00:00-24:00; Mié 00:00-24:00; Jue 00:00-24:00; Vie 00:00-24:00; Sáb 00:00-24:00". Figura 5.21 Autentificar Solicitud en el servidor
3.	Haga cl ic en el botón Modificar perfil y asegúrese de que ha seleccionado Autenticar solicitudes en este servidor en la ficha Autenticación. Figura 5.20 Condicione de Fecha y Hora
4.	Asegúrese de que no hay reglas especificadas en la ficha Atributo.

Adición de puntos de acceso como clientes RADIUS a IAS

Debe agregar puntos de acceso inalámbrico como clientes RADIUS a IAS para que se les permita utilizar los servicios de autenticación y cuentas RADIUS.

Los puntos de acceso inalámbrico de una ubicación concreta se configurarán de la forma habitual para que utilicen un servidor IAS de la misma ubicación para el servidor RADIUS principal y otro servidor IAS de la misma u otra ubicación para el servidor RADIUS secundario. Los términos "principal" y "secundario" no hacen referencia a una relación jerárquica ni a una diferencia de configuración entre los propios servidores IAS. Los términos son relevantes sólo para los puntos de acceso inalámbrico, cada uno de los cuales tiene designados un servidor

RADIUS principal y secundario (o de copia de seguridad). Antes de configurar los puntos de acceso inalámbrico, debe decidir qué servidor IAS será el servidor RADIUS principal y cuál será el secundario para cada punto de acceso.

0. Adición de puntos de acceso al servidor IAS principal

En esta sección se describe cómo agregar puntos de acceso inalámbrico al servidor IAS principal. Se proporciona una secuencia de comandos para automatizar la creación de un secreto (contraseña) seguro y aleatorio de RADIUS, y agregar el cliente a IAS. La secuencia de comandos también crea un archivo (de forma predeterminada es Clients.txt) que registra los detalles de cada punto de acceso inalámbrico agregado. Este archivo registra el nombre, la dirección IP y el secreto de RADIUS creados para cada punto de acceso inalámbrico. Estos datos serán necesarios para configurar el servidor IAS secundario y los puntos de acceso inalámbrico.

Para agregar un cliente RADIUS al servidor IAS principal

2.

Ejecute el siguiente comando para agregar un punto de acceso inalámbrico a IAS: MSSTools AddRADIUSClient [/path:ArchivoSalida.txt] Nota: el parámetro de ruta path es opcional. Puede especificar el nombre del archivo (más una ruta de carpeta opcional) donde se almacenará el resultado del comando. La ruta debe estar escrita entre comillas si incluye espacios. Si no se especifica ningún parámetro de ruta, el comando guardará el resultado en el archivo Clients.txt en el directorio actual.

3.

Cuando se le indique, escriba un nombre para el punto de acceso inalámbrico. Éste debe ser una referencia descriptiva para la MMC del Servicio de autenticación de Internet y no tiene por qué ser necesariamente el nombre que se le ha asignado en la configuración del punto de acceso inalámbrico. Utilice el nombre de un sistema de nombre de dominio (DNS) o cualquier otra cadena.

Importante: no deje el archivo de salida de clientes RADIUS en el servidor.

Contiene los secretos de los clientes RADIUS sin cifrar. Después de agregar los puntos de acceso inalámbrico, debe mover el archivo a un disco u otro medio extraíble con permiso de escritura y almacenarlo en un lugar seguro.

El procedimiento de "Adición de clientes RADIUS al servidor IAS principal" descrito anteriormente utiliza una herramienta de ejemplo que se incluye en esta solución (AddRADIUSClient.exe). Esta herramienta es una aplicación de Visual Basic.NET sencilla que utiliza la interfaz Objetos de datos de servidor para configurar un servidor IAS. Puede utilizarla para escribir su propia secuencia de comandos con el fin de agregar clientes al servidor IAS.

Esta herramienta no es compatible con Microsoft y no se ha probado minuciosamente. Sin embargo, el código fuente de esta aplicación se ha incluido en caso de que necesite examinarlo o modificarlo antes de su uso.

Configuración de puntos de acceso inalámbrico

Una vez agregadas las entradas de clientes RADIUS para los puntos de acceso inalámbrico a IAS, es necesario que configure dichos puntos de acceso. Asimismo, debe agregar las direcciones IP de los servidores IAS y los secretos de clientes RADIUS que utilizará cada punto de acceso para comunicarse con estos servidores de forma segura. Cada punto de acceso inalámbrico se configurará con un servidor IAS principal y uno secundario (o de copia de seguridad). Debe realizar los procedimientos de esta sección para los puntos de acceso inalámbrico en cada sitio de la organización.

El procedimiento para configurar puntos de acceso inalámbrico varía según la marca y el modelo del dispositivo en nuestro caso utilizaremos un Dlink DWL 2100 AP.

Antes de establecer la configuración de seguridad para los puntos de acceso inalámbrico, debe establecer la configuración de red básica. Entre ellas se incluyen las siguientes:

•	Dirección IP y máscara de subred del punto de acceso inalámbrico
•	Puerta de enlace predeterminada
•	Nombre descriptivo del punto de acceso inalámbrico
•	Nombre de red inalámbrica (SSID)

Esta lista incluirá otros parámetros que afectan a la implementación de varios puntos de acceso inalámbrico: valores de configuración que controlan el alcance de radio correcto en todo el sitio; por ejemplo, canal de radio 802.11, velocidad y potencia de transmisión, etc.

Las instrucciones de este capítulo consideran que ha establecido estos elementos correctamente y que puede conectarse al punto de acceso inalámbrico desde un cliente WLAN utilizando una conexión no autenticada. Debe probar estas condiciones antes de configurar los parámetros de autenticación y seguridad que se enumeran en las siguientes secciones.

0. Habilitación de autenticación de seguridad de WLAN en puntos de acceso

Debe configurar cada punto de acceso inalámbrico con un servidor RADIUS principal y secundario. El punto de acceso utilizará por lo general el servidor principal para todas las solicitudes de autenticación y pasará al secundario si el principal no está disponible.

La siguiente tabla muestra la configuración que debe establecer en los puntos de acceso inalámbrico. Aunque el nombre y la descripción de la configuración puede variar de un proveedor a otro, la documentación de estos puntos de acceso le ayudará a determinar los que corresponden a los elementos de la tabla.

Tabla 5.3. Configuración de puntos de acceso inalámbrico

Elemento	Configuración
Parámetros de autenticación
Modo de autenticación	Autenticación 802.1X
Reautenticación	Habilitar
Volver a crear claves de forma rápida/dinámica	Habilitar
Tiempo de espera de actualización de claves	60 minutos
Parámetros de cifrado (esta configuración suele hacer referencia al cifrado de WEP estática)	(Los parámetros de cifrado se pueden deshabilitar o sobrescribir al habilitar la opción para volver a crear claves.)
Habilitar cifrado	Habilitar
Denegar sin cifrado	Habilitar
Autenticación RADIUS
Habilitar autenticación RADIUS	Habilitar
Servidor de autenticación RADIUS principal	Dirección IP de IAS principal
Puerto de servidor RADIUS principal	1812 (predeterminado)
Servidor de autenticación RADIUS secundario	Dirección IP de IAS secundario
Puerto de servidor RADIUS secundario	1812 (predeterminado)
Secreto compartido de autenticación RADIUS	XXXXXX (sustituir por el secreto creado)
Límite de reintentos	5
Tiempo de espera de reintentos	5 segundos
Administración de cuentas RADIUS
Habilitar administración de cuentas RADIUS	Habilitar
Servidor de cuentas RADIUS principal	Dirección IP de IAS principal
Puerto de servidor RADIUS principal	1813 (predeterminado)
Servidor de cuentas RADIUS secundario	Dirección IP de IAS secundario
Puerto de servidor RADIUS secundario	1813 (predeterminado)
Secreto compartido de cuentas RADIUS	XXXXXX (sustituir por el secreto creado)
Límite de reintentos	5
Tiempo de espera de reintentos	5 segundos

Nota: si actualmente está utilizando puntos de acceso inalámbrico sin ninguna seguridad habilitada o sólo con WEP dinámica, deberá planear la migración a una WLAN basada en 802.1X.

Configuración de puntos de acceso inalámbrico

En esta sección se describe cómo agregar puntos de acceso inalámbrico como clientes RADIUS a los servidores IAS.

Figura 5.26 Parámetros configuración Punto de Acceso

Configuración adicional para proteger los puntos de acceso inalámbrico

Además de habilitar los parámetros 802.1X, debe configurar también los puntos de acceso inalámbrico con el nivel de seguridad más alto. La mayoría del hardware de red se proporciona con unos protocolos de administración habilitados que no son seguros y con unas contraseñas de administrador establecidas en unos valores predeterminados conocidos, lo que conlleva un riesgo de seguridad. Debe establecer la configuración según la siguiente tabla; sin embargo, esta lista no es exhaustiva. Cuando elija las contraseñas y los nombres de comunidad para el protocolo simple de administración de redes (SNMP), utilice valores complejos que incluyan letras en mayúsculas y minúsculas, números y signos de puntuación. Evite elegir caracteres que se puedan averiguar con facilidad a partir de información como el nombre de dominio, el nombre de la empresa y la dirección del sitio.

Tabla 5.4. Configuración de seguridad de puntos de acceso inalámbrico

Elemento	Valor de configuración recomendado	Notas
General
Contraseña de administrador	XXXXXX	Establecer una contraseña compleja.
Otras contraseñas de administración	XXXXXX	Algunos dispositivos utilizan varias contraseñas de administración para mejorar la protección del acceso mediante diversos protocolos de administración. Asegúrese de que se modifican todos los valores predeterminados para que sean más seguros.
Protocolos de administración
Serial Console	Habilitar	Si no hay ningún protocolo cifrado disponible, este método es el más seguro para configurar puntos de acceso inalámbrico, aunque requiere conexiones físicas por cable serie entre los puntos de acceso y el terminal, por lo que no se pueden utilizar de forma remota.
Telnet	Deshabilitar	Todas las transmisiones de Telnet se realizan en texto sin formato, por lo que las contraseñas y los secretos de clientes RADIUS estarán visibles en la red. Si el tráfico de Telnet se puede asegurar mediante la seguridad de protocolos de Internet (IPSec) o SSH, podrá habilitar este servicio y usarlo de forma segura.
HTTP	Deshabilitar	La administración HTTP suele estar en texto sin formato y padece de las mismas debilidades que Telnet sin cifrar. Se recomienda HTTPS, si está disponible.
HTTPS (SSL o TLS)	Habilitar	Siga las instrucciones del proveedor para configurar las claves y los certificados que se necesitan.
Comunidades SNMP		SNMP es el protocolo predeterminado para la administración de redes. Utilice SNMP v3 con protección por contraseña para obtener el nivel más alto de seguridad. Éste suele ser el protocolo utilizado por las herramientas de configuración de GUI y los sistemas de administración de redes. Sin embargo, puede deshabilitarlo si no lo utiliza.
Nombre de comunidad 1	XXXXXX	El valor predeterminado suele ser "pública". Cámbielo a un valor complejo.
Nombre de comunidad 2	Deshabilitado	Todos los nombres de comunidad que no sean necesarios deben estar deshabilitados o establecidos en valores complejos.

No debe deshabilitar la difusión de SSID (nombre de red WLAN), ya que podría interferir en la capacidad de Windows XP para conectar con la red adecuada. Aunque se suele recomendar deshabilitar la difusión de SSID como medida de seguridad, el nivel de seguridad que proporciona no es muy alto si se utiliza un método de autenticación segura 802.1X. Incluso si la difusión de SSID desde el punto de acceso está deshabilitada, es relativamente fácil para un atacante determinar el SSID capturando paquetes de conexiones del cliente. Si le preocupa que se difunda la existencia de la WLAN, puede utilizar un nombre genérico para el SSID, el cual no será atribuible a la organización.

Resumen

En este capítulo se han proporcionado instrucciones sobre los siguientes temas:

•	Instalación y configuración del servidor IAS principal.
•	Instalación de servidores IAS adicionales y replicación en ellos de la configuración del servidor principal.
•	Adición de puntos de acceso inalámbrico a IAS como clientes RADIUS.
•	Configuración de puntos de acceso inalámbrico para que utilicen servidores IAS y modificación de la configuración predeterminada para mejorar la seguridad.

Si te ha gustado mi trabajo envíame un email a Juceles[arroba]hotmail.com y te enviare los capitulos 6 y 7, Asi como los Anexos.

Bibliografía

http://www.microsoft.com/technet/

http://www.microsoft.com/windowsxp/pro/techinfo/planning/pkiwinxp/default.asp

http://ww.download.microsoft.com/download/9/f/d

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/

http://go.microsoft.com/fwlink/?LinkId=4716

http://msdn.microsoft.com/library/en-us/sdo/sdo/server_data_objects_.asp

http://support.microsoft.com/default.aspx?scid=kb;en-us;827824

http://www.microsoft.com/windowsxp/pro/techinfo/administration/

http://msdn.microsoft.com/library/en-us/wcemain4/

http://www.Elrincondelvago.com

http://www.seguridadWireless.net

http://www.monografias.com

http://www.lawebdelprogramador.com

Julio Cesar Leon Escobar

juceles[arroba]hotmail.com

Ingeniero de Sistemas de la fundación Universitaria de Popayán - Cauca - Colombia

Certificado en redes Inalámbricas con Dlink People Program.

Anteriormente Publique un Documento, titulado:

Redes bajo el sistemas Operativo Netware de Novell 5.0.

Informe Diplomado: Gestión & Seguridad en Redes

Modulo: Servicios Seguros y no Seguros

Informe Final del Diplomado

FUNDACION UNIVERSITARIA DE POPAYAN

CORPORACION UNIVERSITARIA MINUTO DE DIOS

PROGRAMA INGENIERIA DE SISTEMAS

Partes: 1, 2, 3, 4

Colombia , Popayán – Cauca Noviembre de 2007