Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de PEAP para autenticación MAC RADIUS

El protocolo de autenticación extensible (EAP) es un protocolo extensible que proporciona soporte para varios métodos de autenticación, incluidos métodos de autenticación basados en contraseñas y métodos de autenticación basados en certificados más seguros. EAP facilita la negociación entre el autenticador, o dispositivo de conmutación, y el servidor de autenticación, para determinar qué método de autenticación usar para un suplicante. El método de autenticación predeterminado utilizado para la autenticación MAC RADIUS es EAP-MD5, en el cual el servidor envía al cliente un valor de desafío aleatorio y el cliente demuestra su identidad mediante el hash de la desafío y su contraseña con MD5. Dado que EAP-MD5 solo proporciona autenticación de cliente y no de servidor, puede ser vulnerable a ataques de suplantación de identidad.

Puede configurar el protocolo de autenticación extensible protegida, también conocido como EAP protegido o simplemente PEAP, para abordar las vulnerabilidades de seguridad de EAP-MD5. PEAP es un protocolo que encapsula paquetes EAP dentro de un túnel de seguridad de capa de transporte (TLS) cifrado y autenticado. PEAP se conoce como el protocolo de autenticación externo porque configura el túnel y no está directamente involucrado con la autenticación de los puntos de conexión. El protocolo de autenticación interno, que se usa para autenticar la dirección MAC del cliente dentro del túnel, es microsoft Challenge Handshake Authentication Protocol versión 2 (MS-CHAPv2). El intercambio cifrado de información dentro del túnel garantiza que las credenciales de usuario estén a salvo de escuchas.

Una de las ventajas de PEAP, cuando se utiliza con MS-CHAPv2, es que solo requiere un certificado del lado del servidor para establecer el túnel seguro, y utiliza certificados de clave pública del lado del servidor para autenticar el servidor. Esto elimina la sobrecarga que implica la implementación de certificados digitales para cada cliente que requiere autenticación.

Una vez que un cliente se ha autenticado en el conmutador mediante la autenticación MAC RADIUS, los clientes posteriores pueden usar el mismo túnel externo que el primer cliente estableció para comunicarse con el servidor. Esto se logra mediante la funcionalidad de reanudación de sesión proporcionada por SSL. La reanudación de la sesión reduce la latencia que puede producirse a medida que los clientes posteriores esperan que se establezca un nuevo túnel TLS.

Antes de configurar el protocolo de autenticación PEAP para la autenticación MAC RADIUS, asegúrese de que el servidor de autenticación también esté configurado para usar PEAP con MS-CHAPv2 como protocolo de autenticación interno. Para obtener más información acerca de cómo configurar el servidor de autenticación, consulte la documentación del servidor.

Nota:

El protocolo de autenticación se puede configurar globalmente mediante la interface all opción, así como localmente mediante el nombre de interfaz individual. Si el protocolo de autenticación está configurado tanto para una interfaz individual como para todas las interfaces, la configuración local de esa interfaz invalida la configuración global.

Para configurar el protocolo de autenticación PEAP para la autenticación MAC RADIUS:

  1. Configure la eap-peap opción para la authentication-protocol instrucción:
  2. (Opcional) Habilite la reanudación de la sesión para permitir una autenticación más rápida de los clientes posteriores:
  3. Cargue el certificado SSL del lado del servidor mediante el nombre de archivo o la ruta.
    1. Para cargar el certificado con el nombre de archivo:
    2. Para cargar el certificado mediante la ruta del archivo:
      Nota:

      Si utiliza un certificado SSL con una ruta que no sea la ruta predeterminada de , primero debe configurar la ruta del /var/tmp/certificado SSL mediante el siguiente comando:

    3. Para comprobar los certificados: