Configuración de PEAP para la autenticación MAC RADIUS

El Protocolo de autenticación extensible (EAP) es un protocolo extensible que proporciona compatibilidad con varios métodos de autenticación, incluidos los métodos de autenticación basados en contraseña y los métodos de autenticación basados en certificados más seguros. EAP facilita la negociación entre el autenticador, o dispositivo de conmutación, y el servidor de autenticación para determinar qué método de autenticación usar para un suplicante. El método de autenticación predeterminado utilizado para la autenticación MAC RADIUS es EAP-MD5, en el que el servidor envía al cliente un valor de desafío aleatorio y el cliente prueba su identidad mediante el hash del desafío y su contraseña con MD5. Dado que EAP-MD5 solo proporciona autenticación de cliente y no autenticación de servidor, puede ser vulnerable a ataques de suplantación de identidad.

Puede configurar el Protocolo de autenticación extensible protegido, también conocido como EAP protegido o simplemente PEAP, para abordar las vulnerabilidades de seguridad de EAP-MD5. PEAP es un protocolo que encapsula paquetes EAP dentro de un túnel cifrado y autenticado de Seguridad de la capa de transporte (TLS). PEAP se conoce como el protocolo de autenticación externa porque configura el túnel y no está directamente involucrado con la autenticación de los puntos de conexión. El protocolo de autenticación interno, utilizado para autenticar la dirección MAC del cliente dentro del túnel, es Microsoft Challenge Handshake Authentication Protocol versión 2 (MS-CHAPv2). El intercambio cifrado de información dentro del túnel garantiza que las credenciales de usuario estén a salvo de escuchas.

Una de las ventajas de PEAP, cuando se utiliza con MS-CHAPv2, es que sólo requiere un certificado del lado del servidor para establecer el túnel seguro y utiliza certificados de clave pública del lado del servidor para autenticar el servidor. Esto elimina la sobrecarga involucrada en la implementación de certificados digitales para cada cliente que requiere autenticación.

Una vez que un cliente se ha autenticado en el conmutador mediante la autenticación MAC RADIUS, los clientes siguientes pueden utilizar el mismo túnel exterior que estableció el primer cliente para comunicarse con el servidor. Esto se logra utilizando la funcionalidad de reanudación de sesión proporcionada por SSL. La reanudación de la sesión reduce la latencia que puede producirse cuando los clientes posteriores esperan a que se establezca un nuevo túnel TLS.

Antes de configurar el protocolo de autenticación PEAP para la autenticación MAC RADIUS, asegúrese de que el servidor de autenticación también está configurado para utilizar PEAP con MS-CHAPv2 como protocolo de autenticación interno. Para obtener información acerca de cómo configurar el servidor de autenticación, consulte la documentación del servidor.

Nota:

El protocolo de autenticación se puede configurar globalmente usando la interface all opción, así como localmente usando el nombre de interfaz individual. Si el protocolo de autenticación está configurado tanto para una interfaz individual como para todas las interfaces, la configuración local de esa interfaz invalida la configuración global.

Para configurar el protocolo de autenticación PEAP para la autenticación MAC RADIUS:

Configure la eap-peap opción para la authentication-protocol instrucción:

(Opcional) Habilite la reanudación de la sesión para permitir una autenticación más rápida de los clientes posteriores:

Cargue el certificado SSL del lado del servidor utilizando el nombre de archivo o la ruta de acceso.
1. Para cargar el certificado con el nombre de archivo:
2. Para cargar el certificado mediante la ruta del archivo:
  Nota:
  Si utiliza un certificado SSL con una ruta distinta de la ruta predeterminada de , primero debe configurar la ruta del /var/tmp/certificado SSL mediante el siguiente comando:
3. Para verificar los certificados: