Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Networking Essentials. Mi nombre Ricardo Cobos y en este video hablaré de laboratorio número cuatro, el cual trata de 802.1X, EAP-TLS. 802.1X es un framework de autenticación que utiliza protocolos como EAP, "Extensible Authentication Protocol", para realizar este proceso. Es importante entender que es una autenticación en capa dos, lo que significa que el cliente no podrá obtener o generar ningún tipo de tráfico en la red, a menos de que complete la autenticación, satisfactoriamente. El laboratorio va a constar de tres tareas. La primera es validar que uno de mis clientes en este cableado tenga conectividad a la red, esto va a ser simplemente para efectos de probar que la conectividad existe. Después, una vez que esta conectividad a través de 3810 es confirmada, usaré a Aruba ClearPass, especÃficamente sus servicios de Onboard, para poder instalar certificados digitales. EAP-TLS es un método en el cual certificados digitales son requeridos tanto desde el punto de vista del servidor, de RADIUS, como del cliente, para que los dos se autentifiquen simultáneamente. Sin embargo, el cliente no tiene en un inicio ningún certificado digital, él va a requerir que alguien le firme un certification quest y asà él poder presentar ese certificado cuando él se conecte a la red e intenta realizar la autenticación con 802.1X. Y un detalle importante es que en esta P-K-I o "Public-Key Infraestructure" que tenemos en el laboratorio, existe realmente dos autoridades certificadoras. La raÃz va a ser Active Directory y esta autoridad firmó un certificado de una autoridad intermediaria, que, en este caso, será "ClearPass Onboard". Esto significa que ClearPass Onboard realmente va a ser una C-A, pero será una intermediaria la cual va a firmar los certificados de los clientes. En pocas palabras, tenemos una autoridad raÃz, abajo de ella a ClearPass Onboard como una intermediaria, quien firmará el certificado del cliente cableado, en este caso. Y finalmente, configuraré en 6810 un servidor de raÃz, que será ClearPass mismo, y también configuraré la puerta que conecta a este cliente para que se solicite la autenticación de 802.1X Esto son, en general, los pasos que voy a hacer. Lo primero es acceder al laboratorio. Este es el ambiente laboratorio. Como ya mencioné, tenemos un cliente, que será ese cliente de prueba, el cual tiene tanto un adaptador de red inalámbrico como 2 ethernet, el de la derecha se conecta en la puerta número 16 del switch 3810, y es en esta puerta donde confirmaremos eventualmente 802.1X. Sin embargo, primero hay que validar esa conectividad y segundo, aquà es donde tengo mis autoridades certificadoras. Active Directory es la raÃz, la cual firma el certificado digital de una autoridad intermediaria que será ClearPass Onboard; y ClearPass Onboard es también un servidor a través del cual este cliente va a recibir todas las cadenas de confianza de certificados, es decir, cuando este cliente hable con ClearPass Onboard, él recibirá tanto el certificado digital de la autoridad raÃz como la de la autoridad intermediaria [Foreign]. Y, finalmente, también recibirá el certificado digital de el mismo. Voy a comenzar. Me voy a mover al lado del cliente y voy a revisar los adaptadores de red, en este caso, en "Network", en "Internet Settings", en la parte de Ethernet, "Change Adapter Options". Vemos que este cliente tiene realmente varias interfaces, está la interfaz inalámbrica, las dos interfaces cableadas, esta es la que conecta el cliente al switch 3810 y, finalmente, la de gestión. Aparentemente, todo está en orden. Voy a validar la conectividad a ciegas, desde el nuevo ClearPass. Primero veo que el cliente realmente tiene una dirección I-P en la interfaz que va al 3810, y si hago clic al seguro de ClearPass, que es el 10.254.1.23, él está contestando. Entonces, hasta este momento, la conectividad está ahÃ. Voy a proceder ahora a acceder al ClearPass mismo; en el navegador web voy a acceder a esta URL, clearpass punto training punto arroba network punto com, ese es el punto de arubanetworks, diagonal onboard, diagonal "lab 13", en este caso. Y aquà tengo ya la página de onboarding. En esta página lo primero que se me va solicitar es que me autentique como un usuario de la red, en ese caso utilizaré table 13, perfecto. Ahora lo que me presenta es el acceso a la aplicación QuickConnect, esta aplicación de QuickConnect es la que realizará este proceso de aprovisionamiento dónde se instalarán los certificados digitales, al directorio de raÃz, de la intermediaria y a través de la cual el cliente va también enviarnos certification quest para que onboard firme el certificado de este dispositivo. Finalmente, también se pueden instalar perfiles de conectividad cableada e inalámbrica. Ya lo descargó, voy a proceder a abrirlo. Y aquÃ, "Aruba QuickConnect" acepto y me presenta el wiser y doy siguiente. Lo primero que me presenta es el certificado digital de la autoridad de "Active Directory" aquà lo podemos ver, "Active Certificate Authority", ésta es la autoridad raÃz. Lo voy instalar. Después me instala una serie de certificados, el certificado de ClearPass, asà como genera el Certification Quest del mismo dispositivo. Y al final, lo que podemos ver es que también está instalando un perfil de red inalámbrica, esto es porque cómo se configuró el servidor de Onboard, es también con este perfil de WiFi, porque el cliente también es un cliente inalámbrico que necesita conectarse a la red que se está propagando en el ambiente de laboratorio, también eso me está instalando. Vamos a validar ahora qué es lo que yo tengo en la consola de certificados. Le doy aquà en "Certificates", le voy a dar refresh y lo que veo es que tenemos aquà ya ese certificado digital, A-D Certificate Authority, que es el certificado digital de Active directory. Si voy para personal, veo que también ya tengo el certificado digital que fue generado especÃficamente para este cliente. Con esto ya el dispositivo está con los certificados que requiere. Lo siguiente es preparar la red cableada para que en este puerto se esté solicitando autenticación de 802.1X y también tengo que preparar el supplicant del lado de la computadora. Voy a hacer eso. Me voy a ir a la interfaz cableado, doy clic derecho y me voy a propiedades. Aquà hay una segunda pestaña, "Authentication". Aquà ya tenemos que está habilitando 802.1X, el modo de EAP que quiero utilizar es "smart card or other certificates", me voy a settings. También quiero que se valide el certificado digital del servidor de RADIUS cuando se realiza esta conexión y, en especÃfico, quiero que se valide con estos certificados de C-A Key, en las cuales confÃo, asà como estos que están aquà también. Le voy a dar "Okey" y voy a salvar. Ahora ya vemos que el adaptador de red está intentando autenticarse, sin embargo, va a fallar. Y la razón por la cual va a fallar es porque aún no he configurado al switch, eso es la siguiente tarea. Voy a acceder a ese switch 3810 y en él configuraré primero al seguro de los radius. Entonces, "radius server host 10.254.1.23 T-L-S, esto es para realizar una conexión de vÃa radsec con certificados digitales. Es importante saber que del mismo modo que se instaló un certificado digital en los laboratorios anteriores para móviles y control, a este switch también ya se le instaló el certificado digital de la autoridad del laboratorio y también se le generó uno mismo para que entre ClearPass y el switch estén estableciendo un túnel de T-L-S sobre el cual hablarán el servicio de radius o tendrás una cooperación vÃa radius, y a eso se le llama radsec. Tenemos aquà "radius server host", con T-S-L, después voy a habilitar también la dinámica Authorization y, para este servidor también voy a definir un time window de 300 segundos. Eso quiere decir que si hay un desfase entre los relojes entre del servidor ClearPass y el switch, bueno lo máximo que se va a tolerar es de 300 en segundos o cinco minutos. Ahora puedo yo validar el estado de conectividad con el seguro de radius, "show radius host" 10.254.1.23 y veo que ya se encuentra arriba, aquà lo que tengo es que el servicio de T-L-S está habilitado, la conexión de radsec también se encuentra establecida, entonces, todo está en orden. En el siguiente punto es habilitar 802.1X en un puerto de red. Esto lo haré con el comando triple "a", "port access authenticator" y el número de la puerta es la 16. Después, triple "a", "authentication port access eap radius", para decir que hay que utilizar radius como el seguro de autenticación para 802.1X. Y finalmente, triple "a", "port access authenticator active". Con esto ya estoy habilitando 802.1X de manera global. Voy a regresarme al cliente de prueba y vemos que ya se autenticó. De todas maneras voy a deshabilitar la interfaz y la voy a habilitar una vez más para que se haga nuevamente. Aquà ya completó el proceso de autentificación, ya tiene acceso a la red, puedo validar que tenga conectividad I-P y la tiene. Si en este momento me voy al switch y realizo una validación, "show port access auntenticator" lo que veo es que ya en la puerta 16 tenemos un cliente autenticado, está recibiendo la VLAN 31 y todo parece estar todo en orden. Vamos a revisar este proceso de autentificación en Access Tracker de ClearPass. Me voy a la computadora de gestión y vamos a abrir una nueva pestaña hacia el ClearPass. Y en "Access Tracker" lo que veo es, efectivamente, aquà hay dos intentos intentos de autenticación de Radset. Este fue el primero. Tan pronto habilité 802.1X en el puerto en switch, el cliente se autenticó, después deshabilité el adaptador de red del cliente y lo volvà a habilitar, y ese es el segundo intento de autenticación. Aquà podemos ver que se está autentificando como host table 13 a, voy a acceder a él. Y lo que veo es, la solicitud de autenticación está yendo del switch 3810, especÃficamente el puerto 16. La autenticación que se está realizando es con EAP-TLS, que es el más seguro. La fuente autenticación es Active Directory, porque esa es la autoridad raÃz. Recuerda que el certificado digital fue generado por ClearPass onboard, pero la autoridad raÃz es Active Directory. Obviamente, aquà ya vemos que el folder profile es "Alow Access Profile", lo que nos dice que la autenticación fue realmente satisfactoria. Con esto yo ya completé el laboratorio. Ya pudimos ver, se realiza este proceso de onboard, cómo se tiene que configurar el laboratorio de red del lado del cliente con los parámetros del supplicant, cómo se tiene que configurar también el switch con un servidor de radius y también con 802.1X en la puerta y, del mismo modo, cuál serÃa el resultado cuando el cliente se autentica de manera satisfactoria. Espero que te haya gustado el video, te veo en el próximo.
