Llegamos a ustedes gracias a:



Reportajes y análisis

Configurar Wi-Fi seguro en un entorno BYOD

[04/12/2012] Implementar el modo empresarial de Wi-Fi Protected Access (WPA2) con autenticación 802.1X proporciona gran seguridad Wi-Fi, pero complica la configuración del cliente y el proceso de conexión. En los entornos de traiga su propio dispositivo (BYOD), esto puede provocar la frustración del usuario y un aumento en las llamadas a la mesa de ayuda. La solución consiste en implementar un proceso automatizado de configuración para que los usuarios puedan conectar sus dispositivos sin necesidad de intervención del personal de TI.
En esta revisión, consideramos tres herramientas que ayudan a distribuir su red Wi-Fi y la configuración de 802.1X para los usuarios: ClearPass QuickConnect de Aruba, XpressConnect de CloudPath, y SU1X de código abierto. Aunque hay diferencias entre ellas, todas ayudan a generar un programa de configuración personalizado o aplicación que los usuarios pueden ejecutar en sus computadoras, teléfonos inteligentes o tablets para configurar los ajustes de red cableada o inalámbrica. El programa de configuración o aplicación puede ser distribuido a los usuarios a través de un sitio web, portal cautivo en una configuración SSID, o por otros medios, como un CD o una unidad flash.
Además, cada herramienta puede instalar un certificado Certificate Authority del servidor RADIUS en los clientes. Y algunos de ellos también soportan la configuración o instalación de otras características y configuraciones que no son inalámbricas, como las aplicaciones de terceros, modificar la configuración del proxy de un navegador, lo que permite las actualizaciones de Windows y Firewall de Windows, e incluso la instalación de una impresora de red.
Estas son las opiniones individuales:
ClearPass QuickConnect
ClearPass QuickConnect de Aruba es un servicio basado en la nube que da soporte a los clientes que utilizan Windows, Mac OS X, iOS y Android. Además de la configuración de 802.1X, también puede instalar el certificado de servidor RADIUS Certificado de AutCertificate Authority del servidor RADIUS; pero no certificados de usuario -aunque esta funcionalidad se añadirá en una actualización programada para el próximo mes.
QuickConnect soporta el suplicante de terceros SecureW2 además del suplicante nativo de un dispositivo. También es compatible con la configuración de cliente de ambos modos WPA: 802.1X y Pre-Shared Key (PSK). Sin embargo, a diferencia de otras soluciones, tiene que elegir entre WPA o WPA2, pero no puede elegir las dos; una como la mejor opción y la otra como salvaguarda. QuickConnect 802.1X le permite activar la protección de acceso a redes (NAP) en el cliente e instalar un cliente NAP (o cualquier otro programa/instalador).
A diferencia de otras soluciones, QuickConnect le permite empaquetar aplicaciones de otros fabricantes o instaladores con el programa de configuración del cliente. Además de instalar el suplicante de terceros SecureW2, podría darle la oportunidad de instalar otras aplicaciones/clientes de red u otras aplicaciones que abarquen toda la organización.
Para empezar con QuickConnect, inicie sesión en su sitio web, donde encontrará una sencilla interfase. Agregue una red para definir la red y la configuración del programa cliente.
La configuración es bastante sencilla, pero le falta información sobre las herramientas u otro método de descripción para la configuración. La guía de administración para el usuario proporciona una descripción detallada de la mayoría de los entornos, pero podría utilizar algunas mejoras al diseño y el flujo de la documentación.
Un inconveniente importante de QuickConnect es que se debe definir ajustes separados para cada tipo de sistema operativo: Windows XP, Windows Vista y superior, Mac OS X 10.5/10.6, Mac OS X 10.7, iOS y Android. Debe definir la configuración inalámbrica y cableada para cada uno, incluso si quisiera que fueran lo mismo.
QuickConnect le permite realizar una personalización básica de la interfase de usuario del programa cliente, como el nombre de su organización, y ayudar a restablecer la contraseña, enlaces a la mesa de ayuda y el logotipo.
Una vez que haya terminado, puede generar y descargar el paquete de archivos. Y entonces puede subirlo a un servidor web para que los usuarios accedan y descarguen automáticamente el programa/aplicación apropiada para su sistema operativo, o distribuirlos individualmente a través de otros medios.
El proceso de prueba de la configuración del cliente a través de un servidor web se desarrolló sin problemas para cada tipo de sistema operativo. Pero hay que señalar que al configurar un dispositivo Android, se requirió establecer un PIN/contraseña de dispositivo con el fin de instalar el certificado Certificate Authority del servidor RADIUS. Aunque se trata de un requisito de Android para almacenar el certificado de Certificate Authority en el almacén de claves local, la solución siguiente (XpressConnect) le permite almacenar el certificado, opcionalmente, en otro lugar para evitar este requisito.
En Windows y Mac OS X 10.6 y versiones anteriores, se descarga una sencilla aplicación tipo asistente donde se escribe el nombre de usuario y contraseña para configurar los ajustes de red y entonces puede optar por conectarse o cerrar la aplicación.
En Mac OS X 10.7 o posteriores y en los dispositivos iOS, se descarga e instala el perfil de configuración inalámbrica. En los dispositivos Android, se le pide al usuario que descargue la aplicación QuickConnect, donde deberán ingresar su nombre de usuario y contraseña para poder configurar la red WiFi.
XpressConnect
XpressConnect de Cloudpath Networks es un servicio basado en la nube similar a ClearPass QuickConnect soporta Windows, Mac OS X, Ubuntu, iOS y Android. Además de la configuración de 802.1X, también puede distribuir el certificado Certificate Aurhority del servidor RADIUS y los certificados de usuario desde su XpressConnect de Microsoft CA a través del módulo de Integración de Microsoft CA.
Tenga en cuenta, que Cloudpath Networks también ofrece otro servicio dirigido para entornos BYOD, XpressConnect Enrollment System. Está diseñado para manejar una gran variedad de casos de uso, incluye tanto una PKI a bordo y la capacidad de hablar con otros Certificate Aurhorities, incluyendo Microsoft Certificate Authority.
XpressConnect soporta el suplicante nativo de un dispositivo o también puede trabajar con los suplicantes de terceros Xsupplicant o SecureW2. Al igual que QuickConnect, también soporta redes inalámbricas aseguradas con el modo de clave pre compartida (PSK) de WPA/WPA2 (o incluso el viejo WEP). Y para cualquiera de los modos 802.1X o PSK, puede forzar el uso de WPA (con TKIP) o WPA2 (con AES), o seleccionar WPA2 y WPA por si falla. Puede incluso elegir los estándares inalámbricos requeridos/preferidos: 802.11n luego G luego B, sólo N, solo G, etc.,
XpressConnect también le permite abordar SSID conflictivos al permitirle escribir el nombre de la red inalámbrica para que la configuración de la aplicación establezca que se conecten manualmente o los elimine de la lista de redes. Esto puede ayudar a reducir las posibilidades de que un cliente haga roaming a otras redes inalámbricas, por lo que permanecen conectados a la red segura.
También puede definir casi cualquier otra configuración suplicante. Por ejemplo, la configuración de validación del certificado de servidor de Windows. Incluso puede hacer que compruebe el reloj del sistema del cliente; una fecha incorrecta puede causar problemas con la validación del certificado del servidor.
XpressConnect también le permite configurar algunos parámetros no inalámbricos, como permitir las actualizaciones automáticas y el Firewall de Windows si aún no están activos. Puede habilitar NAC o incluso instalar un agente NAC. También puede establecer la configuración del proxy para los navegadores web. Y para los dispositivos Android e iOS, incluso puede habilitar las restricciones de bloqueo de pantalla para ayudar a que los dispositivos de los usuarios sean más seguros", como reforzar la contraseña, caducidad, y requisitos.
Para configurar los ajustes de red y personalizar la marca del programa cliente XpressConnect, se utiliza la consola basada en web Cloudpath Administrative Console. Los parámetros se presentan en forma de asistente y están bien explicados, y la documentación está completa. Además de los textos e imágenes personalizables de la interfase del cliente, se puede cambiar los colores del texto y las líneas.
Después de la configuración inicial, puede acceder a la configuración avanzada y ajustar la configuración de cada tipo de sistema operativo.
Después de haber definido su configuración de red y apariencia para la aplicación cliente, tiene varios métodos que puede utilizar para implementar: servidor web, independiente (para CD, una unidad flash, etc), o la integración con una CA de Microsoft alojándola en un servidor web unido al dominio para que pueda entregar certificados de usuario automáticamente a las redes que utilizan EAP-TLS.
Cuando los usuarios visitan la URL donde ha subido los archivos XpressConnect, verán su página de bienvenida personalizada, que por defecto los hace aceptar el acuerdo de usuario final.
A continuación, se descarga la aplicación para su sistema operativo detectado, y en nuestras pruebas la configuración de cada sistema operativo se realizó tranquilamente. Al igual que con la solución anterior (QuickConnect), la instalación del certificado Certificate Authority en dispositivos Android requiere que el dispositivo tenga establecida una contraseña/PIN de bloqueo de pantalla.
Pero con XpressConnect tiene la opción de no aplicar este requisito, al permitir almacenar el certificado en una ubicación distinta al almacén local predeterminado para contraseñas.
En Windows, Mac OS X 10.6 o versiones anteriores, y Ubuntu, se descarga un asistente de tipo de aplicación en el que se puede introducir el nombre de usuario y contraseña para configurar y conectarse a la red.
En Mac OS X 10.7 o posteriores y en los dispositivos iOS, se descarga e instala el perfil de configuración inalámbrica. En los dispositivos Android, se le pide al usuario que descargue la aplicación XpressConnect, donde deben ingresar su nombre de usuario y contraseña para poder configurar la red Wi-Fi.
SU1X
SU1X es una solución de software de código abierto escrito por Gareth Ayres de Swansea University y publicado bajo licencia de Educational Community License, Versión 2.0. Está permitido su uso fuera de los ámbitos académicos, pero requiere la aprobación del desarrollador.
SU1X es compatible con Windows XP (SP2), Vista (cualquier SP), 7, u 8 para configurar 802.1X inalámbrico o cableado. A pesar de que no es compatible con los teléfonos inteligentes y las tablets, incluye instrucciones paso a paso sobre cómo crear una aplicación de configuración automática para los dispositivos iOS con una utilidad de Apple llamada iPhone Configuration Ultility (IPCU). SU1X tampoco pueden distribuir certificados de usuario, pero admite la instalación silenciosa de un certificado Certificate Uthority de servidor RADIUS.
SU1X puede detectar suplicantes de terceros, advertirle al usuario, e iniciará automáticamente el suplicante Windows. También cuenta con soporte de comprobaciones con scripts personalizados de API, como para el formato de nombre de usuario o controles de registro de usuarios. A continuación puede comprobar los resultados del usuario con una descripción y/o escribirla en un archivo. También puede interceptar re-autenticaciones, manipularlas en lugar del suplicante de Windows. Incluso puede configurar y conectarse a una red inalámbrica fallback para su uso en la realización de las comprobaciones y reporte de problemas.
Puede configurar SU1X para eliminar perfiles SSID, establecer prioridades SSID, y conectarse automáticamente con el SSID que configura. Para los clientes que no soportan WPA2, puede tener SU1X de reserva para un perfil WPA.
SU1X también soporta algunas funciones no inalámbricas. Puede tener que habilitar la protección de acceso a redes (NAP) en el cliente. También puede configurar el servidor proxy de Internet Explorer, Google Chrome o Firefox, según lo que utilice el cliente. Además, la interfase gráfica de usuario puede tener una pestaña que diga Imprimir en la que los usuarios pueden añadir/eliminar una impresora de red en Windows.
Después de descargar y extraer el zip SU1X encontrará un par de archivos o carpetas. En la carpeta de documentos se encuentra la guía del usuario, que le guiará a través del proceso de configuración y distribución del programa cliente SU1X que los usuarios ejecutan para configurar los ajustes de red. El proceso incluye la captura de la configuración inalámbrica desde una PC que ya está conectada a la red 802.1X, la edición de la configuración (. Ini), y la adición de imágenes personalizadas para la interfase de usuario del cliente. A continuación, podrá reunir los archivos necesarios y distribuirlos a los usuarios, como en un ZIP/EXE autoextraíble mediante cualquier medio, como una unidad flash, sitio Web o portal cautivo.
Cuando un usuario ejecuta el programa de instalación SU1X todo lo que tiene que hacer es introducir su nombre de usuario y contraseña y pulsar Iniciar configuración o Start Setup.
Si se encuentran problemas, los notificará o se conectará cuando la configuración esté completa. También puede seleccionar la pestaña Ayuda para que se ejecuten los controles y obtener apoyo. Y si ha habilitado la sección Impresión, pueden seleccionarla para configurar o eliminar los ajustes de la impresora que ha definido en la configuración del archivo (. Ini).
Resumen
ClearPass QuickConnect y XpressConnect son los más similares. Ambos son servicios basados en la nube que soportan clientes que ejecutan Windows, Mac OS X, iOS y Android -XpressConnect también es compatible con Ubuntu-, y ofrece una mayor personalización, funcionalidad avanzada, mejor ayuda y documentación que QuickConnect. Por otro lado, Aruba promete grandes actualizaciones para QuickConnect en diciembre del 2012, que incluye una interfase optimizada, distribución de los certificados de usuario, y más opciones de implementación.
La solución de código abierto, SU1X, es diferente de las otras dos soluciones. Involucra un proceso de personalización manual y solo es compatible con clientes Windows. Pero además de incluir muchas de las mismas funciones de las otras dos soluciones, proporciona una característica única: la capacidad de que los usuarios agreguen una impresora de red en Windows. Y lo mejor de todo, SU1X es completamente gratuito.
Eric Geier, Network World (EE.UU.)