Seguridad en LAN inalámbricas con PEAP y contraseñas
Capítulo 6: Configuración de clientes de LAN inalámbricas
Ver todos los temas de la guía de seguridad
En esta página
Información general
En este capítulo se proporciona información sobre la implementación y la configuración de red de los clientes de la red de área local inalámbrica (WLAN) y la conexión de los clientes a la WLAN. Se incluyen los procedimientos para conectar clientes Microsoft® Windows® XP (Professional y Tablet Edition) y Pocket PC 2003 a la WLAN.
En el capítulo también se proporcionan detalles sobre la comprobación de la pertenencia al grupo de seguridad de los usuarios y equipos de la WLAN, la configuración de la WLAN utilizando la directiva de grupo de los clientes Windows XP y los procedimientos para configurar clientes Pocket PC.
Requisitos previos del capítulo
Además de los requisitos previos que se describen en el capítulo 3, "Preparación del entorno", debe estar familiarizado con los siguientes temas:
| • | Configuración de Windows XP e instalación de controladores. |
| • | Configuración y uso de Pocket PC 2003. |
Debe leer e implementar la información que se proporciona en el capítulo 3, "Preparación del entorno", el capítulo 4, "Creación de la entidad emisora de certificados de red" y el capítulo 5, "Creación de la infraestructura de seguridad de LAN inalámbricas". Asimismo, se recomienda leer también la información sobre el diseño y el planeamiento que se incluye en el capítulo 2, "Planeamiento de la implementación de seguridad en LAN inalámbricas" y entender la arquitectura y el diseño de la solución.
Preparación de la implementación
Para realizar los procedimientos de configuración de directivas de grupo de este capítulo, debe iniciar la sesión con una cuenta que sea miembro del grupo Admins. del dominio para el dominio en el que se instala la configuración de WLAN. De forma predeterminada, la cuenta de administrador integrada del dominio pertenece a este grupo, aunque puede utilizar cualquier otra cuenta que pertenezca al grupo.
Para realizar los procedimientos de verificación del equipo cliente Windows XP, debe pertenecer al grupo de administradores local de ese equipo.
Herramientas necesarias
En la tabla siguiente se enumeran las herramientas necesarias para implementar los procedimientos de este capítulo.
Tabla 6.1. Herramientas necesarias
| Herramienta | Descripción | Fuente |
Consola de administración de directivas de grupo (GPMC) | Herramienta de administración avanzada para importar y exportar grupos de directiva de grupo. | Los pasos de instalación se incluyen en el capítulo 3, "Preparación del entorno". |
Usuarios y equipos de Active Directory | Herramienta Microsoft Management Console (MMC) para administrar usuarios, grupos y equipos del servicio de directorio de Microsoft Active Directory® y otros objetos de Active Directory. | Se instala como parte de Windows Server™ 2003. |
Configuración de cliente WLAN
En la tabla siguiente se enumeran algunas de las principales configuraciones que se utilizan en este capítulo.
Tabla 6.2. Configuración de cliente WLAN
| Elemento de configuración | Valor de configuración |
Grupo para permitir el acceso a la WLAN | Acceso a LAN inalámbrica |
Grupo para permitir el acceso a la WLAN de los usuarios | Usuarios de LAN inalámbrica |
Grupo para permitir el acceso a la WLAN de los equipos | Equipos de LAN inalámbrica |
Nombre de objeto de directiva de grupo de WLAN | Configuración de cliente WLAN |
Grupo de seguridad de filtrado de objetos de directiva de grupo | Configuración del equipo de LAN inalámbrica |
Nombre de directiva de red inalámbrica | Configuración de cliente WLAN de Windows XP (Protocolo de autenticación extensible protegido (PEAP)-Privacidad equivalente por cable (WEP)) |
Nombre de red de WLAN (SSID) | LucerneWLAN (cambie este valor por el identificador del conjunto de servicios (SSID) de la WLAN) |
Tipo de Protocolo de autenticación extensible (EAP) | PEAP |
Método de autenticación de PEAP | Contraseña protegida (EAP-MSCHAP v2) |
Reconexión rápida de PEAP | Habilitado |
Los valores que aparecen en cursiva se tienen que sustituir por los valores relativos a su entorno.
Acceso de los usuarios y los equipos a la WLAN
Para controlar el acceso de los usuarios y los equipos a un servidor de acceso a red (por ejemplo, a un punto de acceso inalámbrico), establezca el permiso de acceso telefónico en la cuenta de dominio del usuario o el equipo. Éste era el método que utilizaba Windows NT® 4.0 para controlar el acceso de usuarios al servicio de acceso remoto (RAS). No obstante, con este método, el control del acceso a la red de un gran número de usuarios se complica bastante. Además, se trata de un valor de configuración de "todo o nada ", es decir, que no puede permitir el acceso a una red privada virtual (VPN) y bloquear al mismo tiempo el acceso a la WLAN de un usuario determinado.
El Servicio de autenticación de Internet (IAS), con Windows 2000 y Windows Server 2003, permite controlar el acceso a los servicios de red utilizando los grupos de seguridad de Active Directory asociados con una directiva de acceso remoto. Este método es más flexible y mucho más fácil de gestionar, ya que permite utilizar las pertenencias a grupos para controlar el acceso a un servicio de red.
Control del acceso a la WLAN utilizando grupos de seguridad
La directiva de acceso remoto (RAP) de IAS controla el acceso a la WLAN. La RAP de esta solución se ha configurado en el capítulo 5, "Creación de la infraestructura de seguridad de LAN inalámbricas". Esta directiva incluye un filtro para que sólo puedan tener acceso a la WLAN los miembros del grupo de seguridad Acceso a LAN inalámbrica.
El grupo Acceso a LAN inalámbrica no se rellena directamente con cuentas de usuario y de equipo. Tiene como miembros a dos grupos de seguridad: Usuarios de LAN inalámbrica y Equipos de LAN inalámbrica. La solución convierte en miembros de estos grupos a los usuarios del domino y a los equipos del dominio, respectivamente, lo que permite a todos los usuarios y equipos conectarse a la WLAN de forma predeterminada. Puede encontrar más información sobre este tema en la sección "Modelo de administración de usuario y equipo de WLAN" del capítulo 2, "Planeamiento de la implementación de seguridad en LAN inalámbricas".
Utilización de grupos de seguridad para realizar un control más específico
Permitir a todos los usuarios y equipos tener acceso a la WLAN es un modelo de administración muy sencillo, pero puede que tenga que realizar un control más específico sobre qué usuarios y equipos pueden tener acceso a la WLAN. Para ello, elimine usuarios del dominio y equipos del dominio de Usuarios de LAN inalámbrica y Equipos de LAN inalámbrica, respectivamente. A continuación, puede agregar los usuarios y los equipos específicos a los que desee otorgar acceso como miembros de estos grupos.
No agregue directamente usuarios y grupos al grupo Acceso a LAN inalámbrica, ya que es un grupo universal y, por lo tanto, sus miembros se publican en el catálogo global de bosque. La publicación en el catálogo local implica que los cambios de pertenencia se replicarán en todos los controladores de dominio de la organización. Al agregar usuarios y grupos a los grupos específicos de dominio (Usuarios de LAN inalámbrica y Equipos de LAN inalámbrica), los cambios de replicación se limitan a los controladores de dominio con un solo dominio.
Nota: los Pocket PC no tienen cuentas de equipo de Active Directory, por lo que no es necesario agregarlos al grupo Equipos de LAN inalámbrica. Sólo utilizan la cuenta de usuario para autenticarse en la WLAN, por lo que sólo es relevante la cuenta del usuario de Pocket PC.
Los usuarios sólo reciben información modificada sobre la pertenencia al grupo al iniciar la sesión. Por lo tanto, los usuarios deberán cerrar la sesión y volverla a iniciar después de crear y rellenar los grupos de acceso a la WLAN. De la misma forma, los equipos cliente también se deben reiniciar después de realizar cambios de pertenencia a grupos.
Configuración de clientes WLAN en Windows XP
En esta sección se describen los procedimientos para establecer la configuración del cliente WLAN en Windows XP. Estos procedimientos permiten configurar la autenticación de contraseña PEAP utilizando la privacidad equivalente por cable (WEP) con clave dinámica en la protección de los datos. La configuración se puede aplicar a Windows XP Professional y Windows XP Tablet Editions.
Para obtener instrucciones sobre la configuración de la administración de claves y la protección de datos de acceso inalámbrico protegido (WPA), consulte el Apéndice B, "Uso de WPA en la solución".
Instalación de las revisiones y actualizaciones necesarias
Asegúrese de que se hayan aplicado todas las revisiones y actualizaciones necesarias a los equipos cliente, por ejemplo:
| • | Las revisiones críticas de seguridad. |
| • | Los Service Packs de Windows XP (Service Pack 1 o posterior). |
| • | El cliente WPA de Windows XP (si es necesario). |
| • | Las revisiones de Windows relacionadas con WLAN, como Wireless Update Rollup Package para Windows XP (consulte el artículo 826942 de Knowledge Base). Este paquete es el recomendado a menos que esté instalado Windows XP SP2. |
| • | Los controladores actualizados de WLAN del adaptador de red o el proveedor del equipo. |
Creación de objetos de directiva de grupo de la configuración de WLAN
Para automatizar la entrega de la configuración del cliente WLAN, utilice la directiva de grupo de Active Directory. El editor de directivas de grupo en Windows Server 2003 incluye un grupo de configuraciones denominado Directiva de red inalámbrica, que permite establecer configuraciones de cliente específicos de la WLAN.
Importante: se supone que los equipos cliente están unidos al dominio y que pueden conectarse a una LAN con cable para recibir la configuración de cliente WLAN.
Puede crear objetos de directiva de grupo utilizando GPMC o Usuarios y equipos de Active Directory.
Importante: la configuración del objeto de directiva de grupo de directiva de red inalámbrica no aparecerá en el editor del objeto de directiva de grupo si lo edita desde un sistema Windows 2000 o Windows XP. Debe modificar esta configuración desde un sistema Windows Server 2003 o un sistema con las herramientas de administración de Windows Server 2003 instaladas. No obstante, la configuración funciona con los controladores de dominio de Windows 2000 y Windows Server 2003. Esta configuración no existe en el objeto de directiva local de ninguna versión de Windows.
Para crear un objeto de directiva de grupo de cliente WLAN utilizando GPMC
1. | Abra la GPMC y seleccione el objeto de dominio del dominio que esté configurando. |
2. | Haga clic con el botón secundario en el dominio y seleccione Crear y vincular aquí un GPO. Nota: el objeto de directiva de grupo está vinculado en el nivel del dominio; por lo tanto, la configuración estará disponible en todos los equipos del dominio. Si lo prefiere, puede restringir el ámbito del objeto de directiva de grupo vinculándolo con una unidad organizativa (OU) de nivel inferior. |
3. | Cuando se le solicite el nombre, escriba Configuración de cliente WLAN. |
4. | En el panel derecho, haga doble clic en el objeto de directiva de grupo Configuración de cliente WLAN que acaba de crear. En el panel derecho aparecen ahora las propiedades del objeto de directiva de grupo. |
5. | Haga clic en la ficha Ámbito. En la lista Filtrado de seguridad, seleccione Usuarios autenticados y elimínelo utilizando el botón Quitar. |
6. | Haga clic en Agregar para agregar otro grupo. |
7. | Escriba (o explore hasta encontrar) Configuración del equipo de LAN inalámbrica. Nota: la pertenencia eficaz del grupo Configuración del equipo de LAN inalámbrica es el grupo Equipos del dominio. Este grupo es miembro de Equipos de LAN inalámbrica, que a su vez es miembro del grupo Configuración del equipo de LAN inalámbrica. El objeto de directiva de grupo en el nivel del dominio (consulte el paso 1) permite a todos los equipos del dominio recibir la configuración de cliente WLAN. Si desea restringir la configuración a un subconjunto menor, elimine Equipos del dominio de la pertenencia del grupo Equipos de LAN inalámbrica. |
8. | Haga clic en la ficha Detalles y seleccione Parámetros de configuración de usuario deshabilitados en la lista desplegable Estado de GPO. Haga clic en Aceptar para confirmar la operación. |
9. | Haga clic con el botón secundario en el panel izquierdo y seleccione Editar para editar la configuración del objeto de directiva de grupo. |
10. | Cuando se abra el editor del objeto de directiva de grupo, desplácese hasta \Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de red inalámbrica (IEEE 802.11). |
11. | Seleccione el objeto Directivas de red inalámbrica (IEEE 802.11) en el panel de exploración y, a continuación, seleccione Crear directiva de red inalámbrica en el menú Acción. |
12. | Utilice el asistente para llamar a la directiva Configuración de cliente WLAN de Windows XP (PEAP-WEP). Deje seleccionada la casilla de verificación Modificar propiedades y, a continuación, haga clic en Finalizar para cerrar el asistente. |
13. | Haga clic en la ficha Redes preferidas y, a continuación, haga clic en Agregar para agregar una nueva red preferida. |
14. | En el campo Nombre de red (SSID), escriba el nombre de la red inalámbrica. |
15. | En el campo Descripción, escriba una descripción de la red. Nota: si ya tiene configurada una WLAN y desea ejecutarla en paralelo con la WLAN basada en 802.1X de esta solución, debe utilizar un SSID para la nueva WLAN. |
16. | Haga clic en la ficha IEEE 802.1x y seleccione EAP protegido (PEAP) en la lista desplegable Tipo de EAP. |
17. | Haga clic en el botón Configuración para modificar la configuración PEAP. En la lista Entidades emisoras raíz confiables, seleccione el certificado de entidad emisora raíz de la entidad emisora que haya instalado en el capítulo 4, "Creación de la entidad emisora de certificados de red". Importante: si necesita instalar de nuevo la entidad emisora desde cero (no sólo restaurarla desde la copia de seguridad), modifique el objeto de directiva de grupo y seleccione el certificado de entidad emisora raíz de la nueva entidad emisora. |
18. | Seleccione Contraseña protegida (EAP-MSCHAP v2) en Seleccione el método de autenticación y seleccione la opción Habilitar reconexión rápida. |
19. | Cierre cada una de las ventanas de propiedades haciendo clic en Aceptar. |
20. | Cierre el editor del objeto de directiva de grupo y la GPMC. |
Para crear el objeto de directiva de grupo utilizando Usuarios y equipos de Active Directory (si no ha instalado la GPMC), realice los siguientes pasos en lugar de los pasos del 1 al 10 del procedimiento anterior.
Para crear un objeto de directiva de grupo utilizando Usuarios y equipos de Active Directory
1. | Abra Usuarios y equipos de Active Directory y seleccione el objeto de dominio. |
2. | Haga clic con el botón secundario en el objeto de domino y seleccione Propiedades. |
3. | Haga clic en la ficha Directiva de grupo y, a continuación, en el botón Nueva. |
4. | Escriba Configuración de cliente WLAN como nombre de objeto de directiva de grupo. |
5. | Haga clic en el botón Propiedades y, a continuación, en la ficha Seguridad. |
6. | Seleccione Usuarios autenticados en la lista Nombres de grupos o usuarios y haga clic en el botón Quitar. |
7. | Haga clic en Agregar y escriba (o explore hasta encontrar) Configuración del equipo de LAN inalámbrica. Haga clic en Aceptar. |
8. | Con el nombre del grupo Configuración del equipo de LAN inalámbrica resaltado en la lista Nombres de grupos o usuarios, haga clic en los permisos de Lectura y Aplicar directiva de grupo en la columna Permitir de la lista Permisos. |
9. | Haga clic en la ficha General y en Deshabilitar los parámetros de configuración de usuario. Haga clic en Sí si aparecen mensajes de advertencia. |
10. | Haga clic en Aceptar para aplicar los cambios y cerrar la ventana de propiedades del objeto de directiva de grupo. |
11. | Haga clic en el botón Modificar para modificar la directiva y desplácese hasta \Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de red inalámbrica (IEEE 802.11). |
12. | Repita los pasos del 11 al 20 del procedimiento anterior. |
Implementación de la configuración de WLAN
Si realiza la migración de una WLAN existente (WEP estática no protegida o de otro tipo), deberá implementar la configuración de la directiva de grupo de WLAN de la nueva red basada en 802.1X durante varios días, o incluso semanas, antes de establecer la configuración de 802.1X en los puntos de acceso inalámbrico y activar la nueva WLAN. De esta forma, los equipos cliente tendrán una amplia oportunidad de descargar y aplicar la directiva de grupo Configuración de cliente WLAN, aunque sólo se conecten con la configuración de la LAN con cable de manera ocasional.
También puede aplicar la configuración de directiva de grupo en los equipos cliente antes de que Windows instale y configure un adaptador de red de WLAN. La configuración de WLAN se omitirá hasta que se instale un adaptador de red de WLAN. Cuando se instale el adaptador de red, se configurará automáticamente con la configuración de la directiva de grupo de WLAN.
Comprobación de la aplicación de la Directiva de grupo de WLAN
Para comprobar la aplicación correcta de la configuración de objetos de directiva de grupo de la WLAN, debe iniciar una sesión en un equipo cliente. El grupo Equipos del dominio es miembro del grupo de seguridad Configuración del equipo de LAN inalámbrica, que se utiliza para filtrar qué equipos reciben la configuración de WLAN en el objeto de directiva de grupo Configuración de cliente WLAN. Por lo tanto, todos los equipos del dominio deben haber recibido esta configuración del objeto de directiva de grupo. Puede que tenga que reiniciar el equipo si no se ha reiniciado desde la creación del grupo Configuración del equipo de LAN inalámbrica.
Nota: tiene que tener instalado un adaptador de red de WLAN en el equipo para poder ver la configuración de red inalámbrica.
Para comprobar la implementación correcta de la configuración de WLAN
1. | Inicie una sesión como miembro del grupo de administradores local en un equipo cliente. |
2. | Haga doble clic en la carpeta Conexiones de red en el Panel de control. |
3. | Vea las propiedades del icono de Conexión de red inalámbrica correspondiente a la tarjeta inalámbrica. En la ficha Redes inalámbricas, verá el nuevo SSID (nombre) de red inalámbrica en Redes preferidas. |
4. | Seleccione el nuevo SSID de red inalámbrica y haga clic en Propiedades para ver las propiedades y comprobar que coincidan con las seleccionadas en la Directiva de grupo de WLAN. |
5. | Si el SSID no aparece en Redes preferidas o la configuración de la red que aparece para este SSID no coincide con la de la Directiva de grupo de WLAN, cierre todos los cuadros de diálogo de redes inalámbricas y ejecute el siguiente comando desde el símbolo del sistema. Gpupdate /force Después de un par de minutos, vuelva a comprobar la configuración. Si la configuración continúa sin aparecer, consulte la sección "Solución de problemas" en el capítulo 8, "Mantenimiento de soluciones de seguridad en LAN inalámbricas". |
Comprobación del certificado de entidad emisora raíz en el cliente
Para autenticarse en el servidor IAS utilizando PEAP, los clientes deben tener el certificado de la entidad emisora de red (que se instala mediante las instrucciones del capítulo 4, "Creación de la entidad emisora de certificados de red") en el almacenamiento de la entidad emisora raíz de confianza. Este certificado se ha publicado en Active Directory como parte de la instalación de la entidad emisora. Todos los miembros del bosque de Active Directory descargarán e instalarán automáticamente este certificado en el almacenamiento de la entidad emisora raíz de confianza.
Para comprobar que el certificado de entidad emisora raíz se ha instalado
1. | Inicie la sesión en el equipo cliente como Administrador. |
2. | Ejecute MMC.exe (desde la opción de menú Inicio, Ejecutar o desde un shell de comandos). |
3. | Desde el menú Archivo de MMC, seleccione Agregar o quitar complemento. |
4. | En la ventana Agregar o quitar complemento, haga clic en el botón Agregar. Seleccione el elemento Certificados en la lista de complementos disponibles. |
5. | Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente. |
6. | Haga clic en Finalizar. |
7. | Cierre las ventanas Agregar un complemento independiente y Agregar o quitar complemento. |
8. | En el panel izquierdo, desplácese hasta Certificados (equipo local)\Entidades emisoras raíz confiables\Certificados. |
9. | Busque el certificado de la entidad emisora, que aparecerá con el nombre que se le proporcionó durante la instalación de la entidad emisora. |
10. | Si el certificado no aparece en la lista, abra un shell de comandos y escriba el comando: Gpupdate /force |
11. | Vuelva a la consola de administración de Certificados. Haga clic con el botón secundario en el nodo Certificados (equipo local), seleccione Actualizar y vuelva a comprobar si aparece el certificado de entidad emisora. Si el certificado continúa sin aparecer, consulte la sección "Solución de problemas" en el capítulo 8, "Mantenimiento de soluciones de seguridad en LAN inalámbricas". |
Comprobación de la conexión con la WLAN
Si ha comprobado la configuración de objetos de directiva de grupo de la WLAN y el certificado de entidad emisora raíz, ahora ya puede probar la conexión con la WLAN utilizando un equipo cliente.
Para probar la conexión con la WLAN
1. | Inicie una sesión como usuario del dominio con acceso autorizado a la WLAN en un equipo cliente que tenga una tarjeta de WLAN instalada y que no esté conectado a la red con cable. De forma predeterminada, todos los usuarios del dominio tienen acceso a la WLAN. Nota: si la WLAN no funciona en este punto y el usuario no tiene credenciales en caché en el equipo, el inicio de sesión fallará. |
2. | Desde el símbolo del sistema, utilice el comando ping para comprobar la conexión a través de la red con otro equipo de la misma. Si el comando ping (o el inicio de sesión) falla, consulte la subsección sobre supervisión de la conexión del cliente con la WLAN de la sección "Solución de problemas" en el capítulo 8, "Mantenimiento de soluciones de seguridad en LAN inalámbricas". |
Si desea obtener más información sobre los procedimientos de prueba de los clientes WLAN, consulte el capítulo 7, "Prueba de soluciones de seguridad en LAN inalámbricas".
Configuración de clientes Pocket PC 2003
Pocket PC 2003 es totalmente compatible con las redes WLAN de 802.1X utilizando PEAP (con contraseñas) o EAP-TLS (Protocolo de autenticación extensible-Seguridad de la capa de transporte) (con certificados). No obstante, Pocket PC 2003 es un sistema operativo modular y el proveedor del dispositivo de mano puede elegir si desea incluir o no este servicio; por lo tanto, no debe asumir que todos los dispositivos Pocket PC 2003 tienen capacidad para WLAN. Los principales proveedores de estos dispositivos proporcionan sistemas con capacidad para WLAN de 802.1X, ya sea con hardware de WLAN integrado o con un adaptador de red de WLAN de complemento. En esta sección se describe la configuración de la interfaz genérica de WLAN de Pocket PC, basándose en HP IPAQ 5550 Pocket PC. No obstante, algunos proveedores implementan sus propios controladores e interfaces de WLAN. Puede que las siguientes instrucciones no sean correctas para estos últimos dispositivos, en cuyo caso debe seguir las instrucciones proporcionadas por el proveedor del dispositivo.
Algunos proveedores de dispositivos Pocket PC también ofrecen compatibilidad con WLAN de 802.1X en Pocket PC 2002. Pocket PC 2002 no se ha probado con esta solución. Consulte el sitio Web del proveedor para obtener más información sobre la compatibilidad con WLAN de Pocket PC 2002.
Preparación del dispositivo Pocket PC
Antes de configurar el dispositivo, obtenga e instale las actualizaciones pertinentes de Pocket PC que tenga disponibles el proveedor, por ejemplo:
| • | Actualizaciones de ROM (Memoria de sólo lectura). Pueden contener una amplia variedad de actualizaciones, incluso de controladores. |
| • | Actualizaciones de controladores de red. |
| • | Otras actualizaciones de red o de WLAN que sean relevantes para la red de 802.1X. Importante: antes de instalar las actualizaciones, lea atentamente la documentación que se incluye con cada una de ellas. Puede que algunas actualizaciones sean incompatibles con otras o con sus objetivos. Por ejemplo, HP ha publicado una actualización de la serie IPAQ 555x para que sea compatible con Cisco LEAP, pero es incompatible con la actualización del controlador de WLAN de 802.1X, por lo que PEAP no podrá funcionar. |
Disponibilidad del certificado de entidad emisora
Debe instalar el certificado de la entidad emisora de red en el almacenamiento de la entidad emisora raíz de confianza de todos los Pocket PC que se tengan que conectar a la WLAN. Para ello, debe exportar el certificado de entidad emisora y hacer que esté disponible para los usuarios de Pocket PC o el personal de tecnología de la información (TI).
Para exportar el certificado de entidad emisora
1. | Inicie una sesión en el servidor de la entidad emisora y abra un shell de comandos. |
2. | Ejecute el siguiente comando para exportar el certificado de entidad emisora a un archivo: certutil -ca.cert rootca.cer Puede especificar una ruta al archivo Rootca.cer si desea guardarlo en otra carpeta. Debe cerrar la ruta y el nombre del archivo entre comillas si contiene espacios incrustados. |
3. | Copie el archivo de certificado en un recurso compartido o un directorio de servidor Web para que los usuarios puedan descargarlo fácilmente cuando sea necesario para la instalación de Pocket PC. |
Configuración de Pocket PC
Debe configurar cada Pocket PC con la configuración de WLAN y el certificado de entidad emisora para poder conectarlo a la WLAN. Necesitará algún medio para copiar el archivo de certificado en Pocket PC. Este procedimiento asume el uso de la conexión ActiveSync® establecida utilizando una conexión de soporte de acoplamiento, infrarrojos o Bluetooth. También puede utilizar medios extraíbles (por ejemplo, Compact Flash, Secure Digital o una tarjeta multimedia) para transferir el archivo de certificado, o utilizar una conexión de WLAN no autenticada para que Pocket PC se descargue el certificado de un sitio Web. También puede enviar el certificado al usuario por correo electrónico y permitirle que realice la sincronización (para transferir el correo electrónico a Pocket Outlook®), para que ejecute después el archivo de certificado adjunto.
Para importar el certificado de entidad emisora a Pocket PC
1. | Conecte Pocket PC a un equipo host utilizando ActiveSync (puede que tenga que establecer una sociedad con ActiveSync para ello) y su método de conexión preferido. |
2. | En el equipo host, utilice la opción Explorar de ActiveSync para abrir una ventana de carpeta en el dispositivo; debe abrir la carpeta Mis documentos. |
3. | Obtenga el archivo de certificado de entidad emisora de la ubicación donde esté publicado y cópielo en la carpeta Mis documentos. Puede hacer caso omiso de la advertencia sobre la conversión de archivos. Ya puede desconectar el dispositivo de la conexión de ActiveSync. |
4. | En Pocket PC, busque el archivo de certificado de entidad emisora utilizando el Explorador de archivos y haga doble punteo en el archivo. |
5. | Se le preguntará si desea instalar el certificado. Compruebe que el nombre de la entidad emisora coincide con el nombre de la entidad emisora de red y haga clic en Sí para instalarlo. Para comprobar si el certificado se ha instalado correctamente, seleccione Configuración, Sistema, Certificados, y haga clic en la ficha Raíz. |
Para establecer la configuración de WLAN de 802.1X en Pocket PC
1. | Si el adaptador de WLAN no está habilitado en el dispositivo, habilítelo utilizando un conmutador de hardware o una herramienta de software. | ||||||
2. | Si aparece un mensaje emergente indicando que se ha encontrado una red nueva, seleccione Trabajo como la ubicación en la que conectará la WLAN. A continuación, puntee en Configuración. Si el mensaje emergente no aparece (porque la WLAN se ha detectado previamente), realice los pasos siguientes:
| ||||||
3. | En la ficha General, seleccione Trabajo en la lista Conecta a:. | ||||||
4. | En la ficha Autenticación, seleccione las siguientes opciones:
Desactive la opción Autenticación de red (modo compartido). | ||||||
5. | En la lista Tipo de Protocolo de autenticación extensible:, seleccione PEAP. | ||||||
6. | Puntee en Aceptar para cerrar la pantalla de configuración de WLAN. | ||||||
7. | Cuando tenga que especificar las credenciales de dominio para conectarse a la WLAN, escriba el nombre, la contraseña y el dominio de un usuario que esté autorizado para conectarse a la WLAN. Advertencia: sólo debe seleccionar la opción Guardar contraseña si se ha implementado un mecanismo de seguridad sólido para proteger el dispositivo del uso no autorizado. Por ejemplo, un mecanismo como la digitalización de huellas digitales o el acceso de contraseñas seguras. Recuerde que las credenciales de usuario se utilizan para autenticar los recursos del dominio así como la WLAN. Si están en peligro, permitirán a un intruso tener acceso a todos los recursos de red internos en la WLAN sin que se pueda detectar. | ||||||
8. | Si ha llegado a la configuración de WLAN a través del menú emergente Nueva red del paso 2, puntee en el icono Conectividad de la barra de títulos de Pocket PC y puntee en Configuración para abrir la pantalla Configuración de conexiones. | ||||||
9. | Puntee en la ficha Avanzadas y, a continuación, en el botón Tarjeta de red. (Ya estará en esta pantalla si no ha utilizado el menú emergente Nueva red del paso 2.) | ||||||
10. | En la lista Redes inalámbricas, aparecerá el nombre de la WLAN que acaba de configurar. El estado debería ser Conectada; si no es así, puntee y mantenga el lápiz en el nombre y, a continuación, puntee en Conectar. (Puede que tenga que volver a escribir las credenciales del usuario.) | ||||||
11. | Si la WLAN aparece ahora como Conectada, puntee en Aceptar para cerrar las pantallas Configurar redes inalámbricas y Configuración de conexiones. Nota: si va a proporcionar estas instrucciones a los usuarios de Pocket PC para que configuren sus propios dispositivos, pueden introducir sus credenciales de dominio cuando se les indique. No obstante, si los ingenieros de soporte técnico de TI preconfiguran los Pocket PC para los usuarios, debe proporcionarles cuentas de dominio válidas (con acceso a la WLAN); es muy importante que los ingenieros no seleccionen la opción Guardar contraseña cuando utilicen estas cuentas. De esta forma, los usuarios deberán introducir sus credenciales cuando se conecten la primera vez utilizando Pocket PC. |
Comprobación de la conexión de Pocket PC a la WLAN
Puede comprobar que Pocket PC se ha conectado correctamente a la WLAN de varias formas. La forma más sencilla es conectarse a una aplicación de la red, por ejemplo, un sitio Web. (Puede que tenga que configurar un servidor proxy en el dispositivo si el servidor Web no está en la LAN.)
Si la conexión falla, consulte la sección "Solución de problemas" en el capítulo 8, "Mantenimiento de soluciones de seguridad en LAN inalámbricas".
Resumen
En este capítulo se describe la configuración de red WLAN para clientes Windows XP y Pocket PC. Se proporciona información sobre el uso de grupos de seguridad para controlar el acceso a la WLAN, la configuración de directivas de grupo para implementar la configuración de WLAN en clientes Windows XP y los pasos de configuración de los clientes Pocket PC 2003.
Referencias
Esta sección ofrece referencias a otra información complementaria importante u otro material informativo de relevancia para el contenido de este capítulo.
| • | Si desea obtener más información sobre la administración del acceso a la WLAN de los grupos de seguridad y los usuarios, consulte el tema introductorio a las directivas de acceso remoto de la documentación del producto Windows Server 2003, que está disponible en el siguiente URL: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ |
| • | Para obtener más información sobre Wireless Update Rollup Package para Windows XP, consulte la siguiente dirección URL: |
| • | Para obtener más información sobre la configuración de la red WLAN utilizando directivas de grupo, consulte el tema sobre la definición de directivas de red inalámbrica basadas en Active Directory de la documentación del producto Windows Server 2003, que está disponible en la siguiente dirección URL: |
| • | Consulte al proveedor del dispositivo para obtener información técnica sobre la compatibilidad de WLAN en Pocket PC. Para obtener más información técnica, consulte la información general de la tecnología inalámbrica .NET de Windows CE en Microsoft Developer Network en la siguiente dirección URL: |
(Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)