Compartir a través de

Planificación de la implementación de acceso inalámbrico

Antes de implementar el acceso inalámbrico, debe planear los siguientes elementos:

  • Instalación de puntos de acceso (AP) inalámbricos en la red

  • Configuración y acceso de clientes inalámbricos

En las secciones siguientes se proporcionan detalles sobre estos pasos de planeamiento.

Planeamiento de instalaciones de AP inalámbricos

Al diseñar la solución de acceso a la red inalámbrica, debe hacer lo siguiente:

  1. Determinar qué estándares deben admitir los AP inalámbricos
  2. Determinar las áreas de cobertura en las que quiere proporcionar un servicio inalámbrico
  3. Determinar dónde quiere localizar los AP inalámbricos

Además, debe planear un esquema de direcciones IP para los clientes y AP inalámbricos. Consulte la sección Planear la configuración de los AP inalámbricos en NPS a continuación para obtener información relacionada.

Comprobación de la compatibilidad de AP inalámbricos con estándares

Para fines de coherencia y facilidad de implementación y administración de AP, se recomienda implementar AP inalámbricos de la misma marca y modelo.

Los AP inalámbricos que implemente deben admitir lo siguiente:

  • IEEE 802.1X

  • Autenticación RADIUS

  • Autenticación inalámbrica y cifrado. Enumerarse en orden del más preferido al menos preferido:

    1. WPA2-Enterprise con AES

    2. WPA2-Enterprise con TKIP

    3. WPA-Enterprise con AES

    4. WPA-Enterprise con TKIP

Nota

Para implementar WPA2, debe usar adaptadores de red inalámbricos y AP inalámbricos que también admitan WPA2. De lo contrario, use WPA-Enterprise.

Además, para proporcionar seguridad mejorada para la red, los AP inalámbricos deben admitir las siguientes opciones de seguridad:

  • Filtros DHCP. El AP inalámbrico debe filtrar los puertos IP para evitar la transmisión de mensajes de difusión DHCP en aquellos casos en los que el cliente inalámbrico esté configurado como un servidor DHCP. El AP inalámbrico debe impedir que el cliente envíe paquetes IP desde el puerto UDP 68 a la red.

  • Filtros DNS. El AP inalámbrico debe filtrar los puertos IP para evitar que un cliente actúe como servidor DNS. El AP inalámbrico debe impedir que el cliente envíe paquetes IP desde el puerto TCP o UDP 53 a la red.

  • Aislamiento de cliente Si el punto de acceso inalámbrico proporciona funcionalidades de aislamiento de cliente, debe habilitar la característica para evitar posibles aprovechamientos de suplantación de identidad del Protocolo de resolución de direcciones (ARP).

Identificación de áreas de cobertura para usuarios inalámbricos

Utilice dibujos arquitectónicos de cada piso para cada edificio para identificar las áreas en las que desea proporcionar cobertura inalámbrica. Por ejemplo, identifique las oficinas adecuadas, salas de conferencias, vestíbulos, cafeterías o patios.

En los dibujos, indique cualquier dispositivo que interfiera con las señales inalámbricas, como equipos médicos, cámaras de vídeo inalámbricas, teléfonos sin cable que operan en el intervalo industrial, científico y médico (ISM) de 2,4 a 2,5 GHz y dispositivos habilitados para Bluetooth.

En el dibujo, marque aspectos del edificio que podrían interferir con señales inalámbricas; los objetos metálicos utilizados en la construcción de un edificio pueden afectar a la señal inalámbrica. Por ejemplo, los siguientes objetos comunes pueden interferir con la propagación de señales: ascensores, conductos de calefacción y aire acondicionado y vigas metálicas de carga.

Consulte al fabricante del AP para obtener información sobre los orígenes que podrían causar la atenuación de la frecuencia de radio del AP inalámbrico. La mayoría de los AP proporcionan software de prueba que puede usar para comprobar la intensidad de la señal, la tasa de errores y el rendimiento de los datos.

Determinación de la ubicación de instalación de los AP inalámbricos

En los dibujos arquitectónicos, localice los AP inalámbricos lo suficientemente cerca para proporcionar una amplia cobertura inalámbrica, pero lo suficientemente lejos como para que no interfieran entre sí.

La distancia necesaria entre los AP depende del tipo de AP y de antena de AP, aspectos del edificio que bloquean las señales inalámbricas y otras fuentes de interferencia. Puedes marcar las ubicaciones del AP inalámbrico para que cada AP inalámbrico no tenga más de 91 metros (300 pies) desde cualquier AP inalámbrico adyacente. Consulte la documentación del fabricante del AP inalámbrico para conocer las especificaciones de AP y las directrices para la selección de ubicación.

Instale temporalmente los AP inalámbricos en las ubicaciones especificadas en los dibujos arquitectónicos. A continuación, utilizando un equipo portátil equipado con un adaptador inalámbrico 802.11 y el software de encuesta de sitio que se suministra normalmente con adaptadores inalámbricos, determine la intensidad de señal dentro de cada área de cobertura.

En las áreas de cobertura en las que la intensidad de la señal es baja, coloque el AP para mejorar dicha intensidad para el área de cobertura, instale AP inalámbricos adicionales para proporcionar la cobertura necesaria y reubique o quite fuentes de interferencia de señal.

Actualice los dibujos arquitectónicos para indicar la ubicación final de todos los AP inalámbricos. Tener un mapa de selección de ubicación de AP preciso le ayudará más adelante durante las operaciones de solución de problemas o cuando quiera actualizar o reemplazar los AP.

Planeamiento de la configuración de clientes RADIUS NPS y del AP inalámbrico

Puede usar NPS para configurar los AP inalámbricos individualmente o en grupos.

Si va a implementar una red inalámbrica grande que incluye muchos AP, es mucho más fácil configurar los AP en grupos. Para agregar los AP como grupos de clientes RADIUS en NPS, debe configurar los AP con estas propiedades.

  • Los AP inalámbricos se configuran con direcciones IP del mismo intervalo de direcciones IP.

  • Todos los AP inalámbricos están configurados con el mismo secreto compartido.

Planeamiento del uso de la reconexión rápida de PEAP

En una infraestructura 802.1X, los puntos de acceso inalámbricos están configurados como clientes RADIUS a servidores RADIUS. Cuando se implementa la reconexión rápida de PEAP, no es necesario autenticar un cliente inalámbrico que usa un perfil itinerante entre dos o más puntos de acceso con cada nueva asociación.

La reconexión rápida de PEAP reduce el tiempo de respuesta para la autenticación entre cliente y autenticador porque la solicitud de autenticación se reenvía desde el nuevo punto de acceso al NPS que originalmente realizó la autenticación y autorización para la solicitud de conexión del cliente.

Como tanto el cliente PEAP como el NPS usan las propiedades de la conexión de Seguridad de la capa de transporte (TLS) previamente almacenadas en la memoria caché (la colección de dichas propiedades se denomina identificador de TLS), el NPS puede determinar rápidamente que el cliente está autorizado para una reconexión.

Importante

Para que la reconexión rápida funcione correctamente, los AP deben configurarse como clientes RADIUS del mismo NPS.

Si el NPS original deja de estar disponible o si el cliente se mueve a un punto de acceso configurado como cliente RADIUS en otro servidor RADIUS, la autenticación completa debe producirse entre el cliente y el nuevo autenticador.

Configuración de AP inalámbricos

En la lista siguiente se resumen los elementos configurados habitualmente en los AP inalámbricos compatibles con 802.1X:

Nota

Los nombres de los elementos pueden variar según la marca y el modelo y pueden ser diferentes de los de la lista siguiente. Consulte la documentación del AP inalámbrico para obtener detalles específicos de la configuración.

  • Identificador de conjuntos de servicios (SSID). Este es el nombre de la red inalámbrica (por ejemplo, ExampleWlan) y el nombre que se anuncia a los clientes inalámbricos. Para reducir la confusión, el SSID que decida anunciar no debe coincidir con el SSID que se transmite por cualquier red inalámbrica que esté dentro del intervalo de recepción de la red inalámbrica.

    En los casos en los que se implementan varios AP inalámbricos como parte de la misma red inalámbrica, configure cada AP inalámbrico con el mismo SSID. En los casos en los que se implementan varios AP inalámbricos como parte de la misma red inalámbrica, configure cada AP inalámbrico con el mismo SSID.

    En los casos en los que tenga que implementar diferentes redes inalámbricas para satisfacer necesidades empresariales específicas, los AP inalámbricos de una red deben difundir un SSID diferente al SSID de las otras redes. Por ejemplo, si necesita una red inalámbrica independiente para sus empleados e invitados, puede configurar los AP inalámbricos para la red empresarial con el SSID establecido para difundir ExampleWLAN. Para la red de invitados, podría establecer después el SSID de cada AP inalámbrico para difundir GuestWLAN. De este modo, los empleados e invitados pueden conectarse a la red prevista sin confusiones innecesarias.

    Sugerencia

    Algunos AP inalámbricos tienen la capacidad de difundir varios SSID para dar cabida a implementaciones de varias redes. Los API inalámbricos que pueden difundir varios SSID pueden reducir los costos de implementación y mantenimiento operativo.

  • Autenticación y cifrado inalámbricos.

    La autenticación inalámbrica es la autenticación de seguridad que se usa cuando el cliente inalámbrico se asocia a un punto de acceso inalámbrico.

    El cifrado inalámbrico es el cifrado de seguridad que se usa con autenticación inalámbrica para proteger las comunicaciones que se envían entre el AP inalámbrico y el cliente inalámbrico.

  • Dirección IP de AP inalámbrico (estática). En cada AP inalámbrico, configure una dirección IP estática única. Si un servidor DHCP atiende la subred, asegúrese de que todas las direcciones IP de AP se encuentran dentro de un intervalo de exclusión DHCP para que el servidor DHCP no intente emitir la misma dirección IP a otro equipo o dispositivo. Los intervalos de exclusión se documentan en el procedimiento "Para crear y activar un nuevo ámbito DHCP" en la Guía de red principal. Si tiene previsto configurar los AP como clientes RADIUS por grupo en NPS, cada AP del grupo debe tener una dirección IP desde el mismo intervalo de direcciones IP.

  • Nombre DNS. Algunos AP inalámbricos se pueden configurar con un nombre DNS. Configure cada AP inalámbrico con un nombre único. Por ejemplo, si tiene un AP inalámbrico implementado en un edificio de varias plantas, podría asignar a los tres primeros AP inalámbricos que se implementan en la tercera planta los nombres AP3-01, AP3-02 y AP3-03.

  • Máscara de subred de AP inalámbrico. Configure la máscara para designar qué parte de la dirección IP es el identificador de red y qué parte de la dirección IP es el host.

  • Servicio DHCP de AP. Si el AP inalámbrico tiene un servicio DHCP integrado, deshabilítelo.

  • Secreto compartido RADIUS. Use un secreto compartido RADIUS único para cada AP inalámbrico, a menos que tenga previsto configurar clientes RADIUS NPS en grupos, en cuyo caso, debe configurar todos los AP del grupo con el mismo secreto compartido. Los secretos compartidos deben ser una secuencia aleatoria de al menos 22 caracteres de longitud, con letras mayúsculas y minúsculas, números y puntuación. Para garantizar la aleatoriedad, puede usar un programa de generación de caracteres aleatorios para crear los secretos compartidos. Se recomienda grabar el secreto compartido para cada AP inalámbrico y almacenarlo en una ubicación segura, como la caja fuerte de una oficina. Al configurar clientes RADIUS en la consola NPS, creará una versión virtual de cada AP. El secreto compartido que configure en cada AP virtual en NPS debe coincidir con el secreto compartido en el AP físico real.

  • Dirección IP de servidor RADIUS. Escriba la dirección IP del NPS que desea usar para autenticar y autorizar las solicitudes de conexión a este punto de acceso.

  • Puertos UDP. De forma predeterminada, NPS usa los puertos UDP 1812 y 1645 para los mensajes de autenticación RADIUS y los puertos UDP 1813 y 1646 para los mensajes de contabilidad RADIUS. Se recomienda no cambiar la configuración predeterminada de los puertos UDP RADIUS.

  • VSA. Algunos AP inalámbricos requieren atributos específicos del proveedor (VSA) para proporcionar una funcionalidad completa de AP inalámbrica.

  • Filtros DHCP. Configure los AP inalámbricos para impedir que los clientes inalámbricos envíen paquetes IP desde el puerto UDP 68 a la red. Consulte la documentación del AP inalámbrico para configurar el filtrado DHCP.

  • Filtros DNS. Configure los AP inalámbricos para impedir que los clientes inalámbricos envíen paquetes IP desde el puerto TCP o UDP 53 a la red. Consulte la documentación del AP inalámbrico para configurar el filtrado DNS.

Planeamiento de la configuración y el acceso de clientes inalámbricos

Al planear la implementación del acceso inalámbrico autenticado por 802.1X, debe tener en cuenta varios factores específicos del cliente:

  • Planeamiento de la compatibilidad con varios estándares.

    Determine si todos los equipos inalámbricos usan la misma versión de Windows o si hay una mezcla de equipos que ejecutan diferentes sistemas operativos. Si son diferentes, asegúrese de comprender las diferencias en los estándares admitidos por los sistemas operativos.

    Determine si todos los adaptadores de red inalámbrica en todos los equipos cliente inalámbricos admiten los mismos estándares inalámbricos o si necesita admitir diferentes estándares. Por ejemplo, determine si algunos controladores de hardware del adaptador de red admiten WPA2-Enterprise y AES, mientras que otros solo admiten WPA-Enterprise y TKIP.

  • Planeamiento del modo de autenticación de cliente. Los modos de autenticación definen cómo procesan las credenciales de dominio los clientes Windows. Puede seleccionar entre los tres modos de autenticación de red siguientes en las directivas de red inalámbrica.

    1. Reautenticación de usuarios. Este modo especifica que la autenticación siempre se realiza mediante credenciales de seguridad basadas en el estado actual del equipo. Cuando no hay ningún usuario con la sesión iniciada en el equipo, la autenticación se lleva a cabo con las credenciales del equipo. Cuando un usuario inicia sesión en el equipo, la autenticación siempre se realiza utilizando las credenciales de usuario.

    2. Sólo equipo. El modo de solo equipo especifica que la autenticación siempre se realiza utilizando únicamente las credenciales del equipo.

    3. Autenticación de usuario. El modo de autenticación de usuario especifica que la autenticación solo se realiza cuando el usuario ha iniciado sesión en el equipo. Cuando no hay ningún usuario que haya iniciado sesión en el equipo, no se realizan intentos de autenticación.

  • Planeamiento de restricciones inalámbricas. Determine si desea proporcionar a todos sus usuarios inalámbricos el mismo nivel de acceso a la red inalámbrica o si desea restringir dicho acceso a algunos de los usuarios inalámbricos. Puede aplicar restricciones en NPS contra grupos específicos de usuarios inalámbricos. Por ejemplo, puede definir días y horas específicos a los que determinados grupos tienen permiso de acceso a la red inalámbrica.

  • Métodos de planeamiento para agregar nuevos equipos inalámbricos. Para los equipos compatibles con redes inalámbricas que están unidos al dominio antes de implementar la red inalámbrica, si el equipo está conectado a un segmento de la red cableada que no esté protegida por 802.1X, las opciones de configuración inalámbrica se aplican automáticamente después de configurar las directivas de red inalámbrica (IEEE 802.11) en la controladora de dominio y después de que la directiva de grupo se actualice en el cliente inalámbrico.

    Sin embargo, para los equipos que aún no están unidos al dominio, debe planear un método para aplicar la configuración necesaria para el acceso autenticado por 802.1X. Por ejemplo, determine si desea unir el equipo al dominio mediante uno de los métodos siguientes.

    1. Conecte el equipo a un segmento de la red cableada que no está protegida por 802.1X y, a continuación, una dicho equipo al dominio.

    2. Proporcione a los usuarios inalámbricos los pasos y la configuración que necesitan para agregar su propio perfil de arranque inalámbrico, lo que les permite unir el equipo al dominio.

    3. Asigne personal de TI para unir clientes inalámbricos al dominio.

Planeamiento de la compatibilidad con varios estándares

La extensión de directivas de red inalámbrica (IEEE 802.11) en directiva de grupo proporciona una amplia gama de opciones de configuración para admitir diferentes opciones de implementación.

Puede implementar AP inalámbricos configurados con los estándares que desea admitir y, a continuación, configurar varios perfiles inalámbricos en directivas de red inalámbrica (IEEE 802.11), con cada perfil que especifique un conjunto de estándares que necesite.

Por ejemplo, si la red tiene equipos inalámbricos que admiten WPA2-Enterprise y AES, otros equipos compatibles con WPA-Enterprise y AES, y otros equipos que solo admiten WPA-Enterprise y TKIP, debe determinar si desea:

  • Configurar un único perfil para admitir todos los equipos inalámbricos mediante el método de cifrado más débil que admiten todos los equipos (en este caso, WPA-Enterprise y TKIP).
  • Configure dos perfiles para proporcionar la mejor seguridad posible compatible con cada equipo inalámbrico. En este caso, configuraría un perfil que especifica el cifrado más seguro (WPA2-Enterprise y AES) y un perfil que usa el cifrado más débil WPA-Enterprise y TKIP. En este ejemplo, es esencial colocar el perfil que usa WPA2-Enterprise y AES más alto en el orden de preferencia. Los equipos que no son capaces de usar WPA2-Enterprise y AES pasarán automáticamente al siguiente perfil en el orden de preferencia y procesarán el perfil que especifica WPA-Enterprise y TKIP.

Importante

Debe colocar el perfil con los estándares más seguros en una posición más alta en la lista ordenada de perfiles, ya que los equipos que se conectan usan el primer perfil que son capaces de usar.

Planeamiento del acceso restringido a la red inalámbrica

En muchos casos, es posible que quiera proporcionar a los usuarios inalámbricos distintos niveles de acceso a la red inalámbrica. Por ejemplo, es posible que desee permitir el acceso sin restricciones a algunos usuarios, a cualquier hora del día, todos los días de la semana. En el caso de otros usuarios, es posible que solo quiera permitir el acceso durante las horas principales, de lunes a viernes, y denegar el acceso el sábado y el domingo.

En esta guía se proporcionan instrucciones para crear un entorno de acceso que coloque todos los usuarios inalámbricos en un grupo con acceso común a los recursos inalámbricos. Crea un grupo de seguridad de usuarios inalámbricos en el complemento Usuarios y equipos de Active Directory y, a continuación, convierte a todos los usuarios a los que desea conceder acceso inalámbrico en miembros de ese grupo.

Al configurar directivas de red NPS, se especifica el grupo de seguridad de usuarios inalámbricos como el objeto que NPS procesa al determinar la autorización.

Sin embargo, si la implementación requiere compatibilidad con distintos niveles de acceso, solo necesita hacer lo siguiente:

  1. Cree más de un grupo de seguridad de usuarios inalámbricos para crear grupos de seguridad inalámbricos adicionales en Usuarios y equipos de Active Directory. Por ejemplo, puede crear un grupo que contenga usuarios que tengan acceso total, un grupo para aquellos que solo tengan acceso durante el horario laboral normal y otros grupos que se ajusten a otros criterios que cumplan sus requisitos.

  2. Agregue usuarios a los grupos de seguridad adecuados que ha creado.

  3. Configure directivas de red NPS adicionales para cada grupo de seguridad inalámbrico adicional y configure las directivas para aplicar las condiciones y restricciones que necesita para cada grupo.

Métodos de planeamiento para agregar nuevos equipos inalámbricos

El método preferido para unir nuevos equipos inalámbricos al dominio y, a continuación, iniciar sesión en el dominio es mediante una conexión cableada a un segmento de la LAN que tenga acceso a las controladoras de dominio y no esté protegido por un conmutador Ethernet autenticado 802.1X.

Sin embargo, en algunos casos, es posible que no sea práctico usar una conexión cableada para unir equipos al dominio o que un usuario use una conexión cableada para su primer intento de inicio de sesión mediante equipos que ya están unidos al dominio.

Para unir un equipo al dominio mediante una conexión inalámbrica o para que los usuarios inicien sesión en el dominio la primera vez mediante un equipo unido a un dominio y una conexión inalámbrica, los clientes inalámbricos deben establecer primero una conexión con la red inalámbrica en un segmento que tenga acceso a las controladoras de dominio de red mediante uno de los métodos siguientes.

  1. Un miembro del personal de TI se une a un equipo inalámbrico al dominio y, a continuación, configura un perfil inalámbrico de arranque de inicio de sesión único. Con este método, un administrador de TI conecta el equipo inalámbrico a la red Ethernet cableada y, a continuación, une el equipo al dominio. Después, el administrador distribuye el equipo al usuario. Cuando el usuario inicia el equipo, las credenciales de dominio que se especifican manualmente para el proceso de inicio de sesión de usuario se usan para establecer una conexión a la red inalámbrica e iniciar sesión en el dominio.

  2. El usuario configura manualmente el equipo inalámbrico con el perfil inalámbrico de arranque y, a continuación, se une al dominio. Con este método, los usuarios configuran manualmente sus equipos inalámbricos con un perfil inalámbrico de arranque en función de las instrucciones de un administrador de TI. El perfil inalámbrico de arranque permite a los usuarios establecer una conexión inalámbrica y, a continuación, unir el equipo al dominio. Después de unir el equipo al dominio y reiniciar aquel, el usuario puede iniciar sesión en dicho dominio mediante una conexión inalámbrica y sus credenciales de cuenta de dominio.

Para implementar el acceso inalámbrico, consulte Implementación de acceso inalámbrico.