CCN-STIC-647B Configuracion Equipos Red Aruba para Entornos WiFi

USO OFICIAL
CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi
Guía de Seguridad de las TIC

CCN-STIC 647-B
Configuración segura de equipos de red Aruba para

entornos WiFi
Enero 2018
USO OFICIAL 1
Centro Criptológico Nacional USO OFICIAL
USO OFICIAL
Edita:
CENTRO CRIPTOLOGICO NACIONAL
2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrónico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2018.02.20 09:56:37 +01'00'
 Centro Criptológico Nacional, 2018
Fecha de Edición: enero de 2018

El Departamento de Ingeniería de Sistemas Telemáticos de la Universidad Politécnica de Madrid, ha
participado en la elaboración del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando
expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso,
el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito
o extraordinario derivado de la utilización de la información y software que se indican incluso cuando se
advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier
medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de
ejemplares del mismo mediante alquiler o préstamo públicos.
Centro Criptológico Nacional USO OFICIAL 2

USO OFICIAL
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los
ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán
conflictos y agresiones, y donde existen ciberamenazas que atentarán contra la seguridad
nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el
normal funcionamiento de la sociedad y de las administraciones públicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI),

encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la
seguridad de las tecnologías de la información en su artículo 4.e), y de protección de la
información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado
Director la responsabilidad de dirigir el Centro Criptológico Nacional (CCN) en su artículo
9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades

en materia de riesgos emergentes, el Centro realiza, a través de su Centro Criptológico
Nacional, regulado por el Real Decreto 421/2004, de 12 de marzo, diversas actividades
directamente relacionadas con la seguridad de las TIC, orientadas a la formación de
personal experto, a la aplicación de políticas y procedimientos de seguridad, y al empleo
de tecnologías de seguridad adecuadas.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica (ENS, en adelante), al que se refiere el apartado
segundo del artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público, establece la política de seguridad en la utilización de medios electrónicos que permita
una protección adecuada de la información.
Precisamente el Real Decreto 3/2010 de 8 de Enero, modificado por el Real Decreto 951/2015,
de 23 de octubre, fija los principios básicos y requisitos mínimos así como las medidas de
protección a implantar en los sistemas de la Administración, y promueve la elaboración y
difusión de guías de seguridad de las tecnologías de la información y las comunicaciones
(STIC) por parte de CCN para facilitar un mejor cumplimiento de dichos requisitos
mínimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los

cometidos del Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de
Seguridad, conscientes de la importancia que tiene el establecimiento de un marco de
referencia en esta materia que sirva de apoyo para que el personal de la Administración lleve
a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las
TIC bajo su responsabilidad.
Enero de 2018
Félix Sanz Roldán

Secretario de Estado
Director del Centro Criptológico Nacional

USO OFICIAL
ÍNDICE
1. INTRODUCCIÓN ............................................................................................................... 8
2. OBJETO............................................................................................................................ 8
3. ALCANCE ......................................................................................................................... 8
4. CERTIFICACIÓN ................................................................................................................ 9
5. ARQUITECTURA DE REDES WIFI CORPORATIVAS ............................................................... 9
6. MODELO DE SEGURIDAD ................................................................................................ 11
6.1. NIVEL 1: AUTENTICACIÓN WPA2-ENTERPRISE CON EAP-TLS............................................. 11
6.2. NIVEL 2: COMPROBACIÓN DEL ESTADO DEL DISPOSITIVO ................................................ 12
6.3. NIVEL 3: ESTABLECIMIENTO DE TÚNEL CIFRADOS (VPN/IPSEC) ........................................ 14
7. INFORMACIÓN PREVIA A LA CONFIGURACIÓN DE RED .................................................... 15
8. EJEMPLO DE CASO DE USO ............................................................................................. 15
8.1. INTRODUCCIÓN .................................................................................................................. 15
8.2. ELEMENTOS ........................................................................................................................ 17
8.3. REDES VIRTUALES (VLAN) ................................................................................................... 18
8.4. APLICACIÓN DEL MODELO DE SEGURIDAD ........................................................................ 19
8.4.1. NIVEL 1: AUTENTICACIÓN WPA-ENTERPRISE CON EAP-TLS ......................................... 19
8.4.2. NIVEL 2: COMPROBACIÓN DEL ESTADO DEL DISPOSITIVO ........................................... 19
8.4.3. NIVEL 3: ESTABLECIMIENTO DE TÚNEL VPN/IPSEC....................................................... 20
8.4.4. RESUMEN DE POLÍTICAS DE FILTRADO ......................................................................... 21
8.5. CONECTIVIDAD Y ASILAMIENTO DE LOS EQUIPOS............................................................. 22
8.6. REQUISITOS DEL CLIENTE WIFI ........................................................................................... 22
9. CONFIGURACIÓN DE LOS EQUIPOS DE RED ..................................................................... 23
9.1. LICENCIAS ........................................................................................................................... 23
9.1.1. CONTROLADOR ............................................................................................................. 24
9.1.2. CLEARPASS .................................................................................................................... 25
9.2. TRANSFERENCIA DE FICHEROS, ACTUALIZACIONES Y COPIAS DE SEGURIDAD.................. 26
9.2.1. CONTROLADOR ............................................................................................................. 27
9.2.2. CLEARPASS .................................................................................................................... 28
9.3. CONFIGURACIONES INICIALES............................................................................................ 29
9.3.1. CONTROLADOR ............................................................................................................. 30
9.3.2. CLEARPASS .................................................................................................................... 32
9.3.3. PUNTOS DE ACCESO ...................................................................................................... 34
9.4. MODO FIPS ......................................................................................................................... 35
9.4.1. CONTROLADOR ............................................................................................................. 35
9.4.2. CLEARPASS .................................................................................................................... 35
9.5. CPSEC.................................................................................................................................. 35
9.6. BANNER DE ACCESO A LOS EQUIPOS ................................................................................. 36
9.6.1. CONTROLADOR ............................................................................................................. 36
9.6.2. CLEARPASS .................................................................................................................... 36
9.7. CERTIFICADOS .................................................................................................................... 37
9.7.1. CONTROLADOR ............................................................................................................. 37
9.7.2. CLEARPASS .................................................................................................................... 38
9.8. VLAN ................................................................................................................................... 38
9.9. ALTA DE EQUIPOS............................................................................................................... 40
9.9.1. ESPECIFICACIÓN DE UN SERVIDOR RADIUS EN EL CONTROLADOR .............................. 40
9.9.2. ESPECIFICACIÓN DE UN SERVIDOR RFC 3576 EN EL CONTROLADOR ........................... 42
9.9.3. ESPECIFICACIÓN DEL CONTROLADOR EN CLEARPASS .................................................. 42
9.10. SERVIDOR DHCP ............................................................................................................... 43
9.11. CONFIGURACIÓN DE SSID ................................................................................................ 44

USO OFICIAL
9.12. CONFIGURACIONES EN CLEARPASS ................................................................................. 45

9.12.1. SERVICES ..................................................................................................................... 46
9.12.2. ENFORCEMENT POLICIES ............................................................................................ 46
9.12.3. ENFORCEMENT PROFILES ........................................................................................... 47
9.12.4. POSTURE POLICIES ...................................................................................................... 47
9.12.5. LOCAL USERS ............................................................................................................... 47
9.13. ROLES DE USUARIO Y POLÍTICAS DE CORTAFUEGOS ....................................................... 47
9.14. ALMACENAMIENTO DE CREDENCIALES DE USUARIOS .................................................... 50
9.14.1. BASE DE DATOS INTERNA DE CLEARPASS ................................................................... 50
9.14.2. BASE DE DATOS INTERNA DEL CONTROLADOR .......................................................... 51
9.15. CONFIGURACIÓN DE LOS CORTAFUEGOS DE LA RED ...................................................... 51
9.15.1. CORTAFUEGOS RED ACCESO WIFI – RED INTERNA ..................................................... 52
9.15.2. CORTAFUEGOS CLEARPASS - SERVIDORES .................................................................. 52
10. CONFIGURACIÓN DE LOS NIVELES DE SEGURIDAD ......................................................... 52
10.1. NIVEL 1: AUTENTICACIÓN 802.1X MEDIANTE EAP-TLS .................................................... 52
10.1.1. CONTROLADOR ........................................................................................................... 52
10.1.2. CLEARPASS .................................................................................................................. 53
10.2. NIVEL 2: COMPROBACIÓN DEL ESTADO DEL DISPOSITIVO .............................................. 56
10.2.1. CONTROLADOR ........................................................................................................... 56
10.2.2. CLEARPASS .................................................................................................................. 56
10.3. NIVEL 3: TÚNELES VPN/IPSEC........................................................................................... 61
10.3.1. CONTROLADOR ........................................................................................................... 61
10.3.2. CLEARPASS .................................................................................................................. 67
10.4. MONITORIZACIÓN DEL ACCESO A LA RED WIFI ............................................................... 71
10.4.1. CONTROLADOR ........................................................................................................... 71
10.4.2. CLEARPASS .................................................................................................................. 71
11. RECOMENDACIONES DE SEGURIDAD ............................................................................ 74
11.1. CONSIDERACIONES INICIALES .......................................................................................... 74
11.2. LICENCIAS ......................................................................................................................... 75
11.3. ACTUALIZACIONES Y COPIAS DE SEGURIDAD .................................................................. 75
11.4. MÉTODOS Y CONDICIONES DE ACCESO ........................................................................... 76
11.5. CONFIGURACIÓN DE SERVICIOS EN EL EQUIPOS ............................................................. 76
11.6. POLÍTICAS DE USUARIO Y REGLAS DE CORTAFUEGOS ..................................................... 77
11.7. CONTRO DE USO DE RECURSOS DEL SISTEMA ................................................................. 77
11.8. OTRAS RECOMENDACIONES ............................................................................................ 78
ANEXO A. GLOSARIO.......................................................................................................... 79
ANEXO B. COMANDOS BÁSICOS DE LOS EQUIPOS............................................................... 81
ANEXO C. CONFIGURACIÓN DE UN SERVIDOR LDAP ........................................................... 82
ANEXO D. CLEARPASS ........................................................................................................ 84
ANEXO E. GENERACIÓN DE CERTIFICADOS DE CURVA ELÍPTICA ........................................... 87
ANEXO F. GENERACIÓN DE CERTIFICADOS WEB .................................................................. 90
ANEXO G. LISTA DE COMPROBACIÓN DE CONFIGURACIONES ............................................. 91
ANEXO H. MAPA DE LA RED DEL CASO DE USO ................................................................... 94
ANEXO I. BIBLIOGRAFÍA ..................................................................................................... 95

USO OFICIAL
ÍNDICE DE ILUSTRACIONES
Ilustración 1 - Topología de una red corporativa ........................................................................ 10
Ilustración 2 - Autenticación del cliente a la red WiFi................................................................. 12
Ilustración 3 - Comprobación del estado del dispositivo a través del agente NAC .................... 13
Ilustración 4 - Estado del dispositivo verificada su seguridad..................................................... 13
Ilustración 5 - Estado del dispositivo en cuarentena .................................................................. 14
Ilustración 6 – Algoritmos criptográficos recomendados ........................................................... 14
Ilustración 7 - Levantamiento del túnel VPN/IPsec..................................................................... 15
Ilustración 8 - Mapa de red del escenario del caso de uso ......................................................... 16
Ilustración 9 – Resumen de equipos empleados en el caso de uso ............................................ 17
Ilustración 10 - Resumen de las políticas de filtrado de roles de usuario................................... 21
Ilustración 11 - Puertos de Acceso a ClearPass OnGuard ........................................................... 21
Ilustración 12 - Puertos de Acceso al servicio de VPN/IPsec ...................................................... 22
Ilustración 13 - Licencias en el Controlador ................................................................................ 25
Ilustración 14 - Introducción licencia en ClearPass ..................................................................... 26
Ilustración 15 – Actualización de la imagen del Controlador...................................................... 27
Ilustración 16 - Copia del backup de la memoria flash del Controlador mediante SCP.............. 27
Ilustración 17 - Actualizaciones de software de ClearPass ......................................................... 28
Ilustración 18 - Copia de seguridad de ClearPass........................................................................ 29
Ilustración 19 - Copia de seguridad de una "Posture Policy " en ClearPass ................................ 29
Ilustración 20 - Modificación de la dirección IP del Controlador ................................................ 30
Ilustración 21 - Configuración del servidor NTP .......................................................................... 30
Ilustración 22 - Configuración de autenticación del servidor NTP .............................................. 31
Ilustración 23 - Modificación de las credenciales de acceso al Controlador .............................. 31
Ilustración 24 - Configuración del modo de funcionamiento del Controlador ........................... 31
Ilustración 25 - Direcciones IP de las interfaces de ClearPass .................................................... 32
Ilustración 26 - Configuración de autenticación NTP en ClearPass............................................. 33
Ilustración 27 - Modificación de credenciales de acceso en WebUI de ClearPAss ..................... 33
Ilustración 28 - Modificación de la contraseña del cluster en ClearPass .................................... 34
Ilustración 29 - Restricciones de acceso a ClearPass .................................................................. 34
Ilustración 30 - Selección del grupo de AP .................................................................................. 35
Ilustración 31 - Habilitación del modo FIPS en el Controlador ................................................... 35
Ilustración 32 - Modo FIPS en ClearPass ..................................................................................... 35
Ilustración 33 - Habilitación de CPsec en el Controlador ............................................................ 36
Ilustración 34 - Configuración del mensaje de acceso a ClearPass ............................................. 37
Ilustración 35 - Resumen de certificados necesarios a instalar en el Controlador ..................... 38
Ilustración 36 – Certificado RADIUS de ClearPass ....................................................................... 38
Ilustración 37 - Configuración "Trunk" del puerto 0 del Controlador ......................................... 39
Ilustración 38 - Definición del servidor RADIUS en el Controlador ............................................. 40
Ilustración 39 - Configuración del servidor RADIUS en el Controlador ....................................... 41
Ilustración 40 - Server Group en el Controlador ......................................................................... 41
Ilustración 41 - Servidores definidos dentro del Server Group en el Controlador ..................... 41
Ilustración 42 - Definición del servidor RFC 3576 en Controlador .............................................. 42
Ilustración 43 - Clave compartida entre servidor RFC 3576 (ClearPass) y Controlador .............. 42
Ilustración 44 – Definición del Controlador en ClearPass ........................................................... 42
Ilustración 45 - Configuración del servidor de DHCP en el Controlador ..................................... 43
Ilustración 46 - Listado de SSID asociados al “GrupoA1” en el Controlador ............................... 45
Ilustración 47 - Configuración de funcionalidades en ClearPass ................................................ 46
Ilustración 48 - Resumen de la configuración de los roles de usuario ........................................ 48
Ilustración 49 - Resumen de las políticas de cortafuegos para cada rol de usuario ................... 49
Ilustración 50 - Definición del "Rol_Estado Saludable" en el Controlador ................................. 49
Ilustración 51 - Definición de las reglas asociadas al "Rol_EstadoSaludable" ............................ 50
Ilustración 52 - Creación de usuario local en ClearPass Policy Manager .................................... 51

USO OFICIAL
Ilustración 53 - Configuración del usuario "administrador" en el Controlador .......................... 51

Ilustración 54 - Listado de usuarios en la base de datos interna del Controlador ...................... 51
Ilustración 55 - Definición de los usuarios que acceden a la red WiFi en ClearPass ................... 53
Ilustración 56 - Definición del servicio “Servicio1-Autenticación_802.1X”................................. 54
Ilustración 57 - Definición del Enforcement Profile "Perfil1-Validacion" ................................... 55
Ilustración 58 - Definición de Enforcement Policy "Politica1-AccesoCertificado" ...................... 55
Ilustración 59 - Configuración del Agente ClearPass OnGuard ................................................... 57
Ilustración 60 - Configuración del agente ClearPass OnGuard ................................................... 57
Ilustración 61 - Definición del servicio que comprueba el estado del dispositivo ...................... 58
Ilustración 62 - Definición del Enforcement Profile para notificación al cliente ........................ 59
Ilustración 63 - Definición de política a aplicar en nivel 2 del modelo de seguridad.................. 59
Ilustración 64 - Configuración de una Posture Policy en ClearPass ............................................ 60
Ilustración 65 - Especificación de parámetros de servicio en ClearPass ..................................... 61
Ilustración 66 – Configuración de L2TP y XAuth en VPN............................................................. 62
Ilustración 67 - Pool de direcciones IP para conexión VPN/IPsec ............................................... 62
Ilustración 68 - Definición de una nueva "IPsec Dynamic Map" en el Controlador .................... 63
Ilustración 69 - "IPsec Dynamic Map" definidas en el Controlador ............................................ 63
Ilustración 70 - Creación de un "VIA Authentication Profile" en el Controlador ........................ 64
Ilustración 71 - Configuración (I) de un "VIA Connection Profile" en el Controlador ................. 66
Ilustración 72 - Configuración (II) de un "VIA Connection Profile" en el Controlador ................ 66
Ilustración 73 - Configuración (III) de un "VIA Connection Profile" en el Controlador ............... 67
Ilustración 74 - Creación de un "VIA Web Authentication Profile" en el Controlador................ 67
Ilustración 75 - Definición del "Rol_VPN_IPsec" en Controlador................................................ 67
Ilustración 76 - Definición del servicio túnel VPN "Servicio3-EstablecimientoVPN" .................. 68
Ilustración 77 - Definición del Enforcement Profile "Perfil6-TunelVPN" .................................... 69
Ilustración 78 - Definición de la Enforcement Policy "Politica3-LevantamientoVPN" ................ 69
Ilustración 79 - Definición del servicio para descarga del perfil VPN en ClearPass .................... 70
Ilustración 80 - Enforcement Policy que permite la descarga del perfil de VPN ........................ 70
Ilustración 81 - Enforcement Profile que permite la descarga del perfil VPN ............................ 71
Ilustración 82 - Vista clientes conectados al Controlador ........................................................... 71
Ilustración 83 - Access Tracker de ClearPass Policy Manager ..................................................... 72
Ilustración 84 - Vista de OnGuard Activity .................................................................................. 72
Ilustración 85 - ClearPass Endpoints ........................................................................................... 73
Ilustración 86 - ClearPass System Monitor ................................................................................. 73
Ilustración 87 - Audit Viewer de ClearPass Policy Manager........................................................ 74
Ilustración 88 - Configuración de un servidor LDAP en ClearPass .............................................. 82
Ilustración 89 - Configuración de un servidor LDAP en el Controlador ...................................... 82
Ilustración 90 - Mapa de red del ejemplo de caso de uso ampliado .......................................... 94

USO OFICIAL
1. INTRODUCCIÓN
1. El presente documento pretende servir de guía para establecer una configuración
de una red WiFi corporativa según los principios de seguridad del CCN. A lo largo
de los diferentes capítulos, se ofrecen consejos y recomendaciones sobre la
activación o desactivación de diversos servicios y funcionalidades de los equipos
de la red con el fin de establecer una configuración acorde a dichos principios.
2. La estructura del documento y sus contenidos no exigen una lectura lineal del
mismo. Se recomienda al lector utilizar el índice de contenidos para localizar el
capítulo que trate el aspecto sobre el que esté interesado.
3. Los equipos a los que está referida esta guía son aquellos del fabricante Aruba
Networks, una compañía de Hewlett Packard Enterprise, concretamente el
sistema ClearPass 6.6.8 y aquellos de la familia ArubaOS 6.5.4. No obstante, la
mayoría de las recomendaciones de seguridad aquí descritas son aplicables a otros
equipos de red que utilizan el mismo sistema operativo (ArubaOS).
2. OBJETO
4. Analizar los mecanismos de seguridad disponibles para proteger los entornos de
sistemas de información y comunicaciones que emplean equipos de red Aruba.
Como consecuencia, se establece un marco de referencia que contemple
recomendaciones en la implantación y utilización de dichos equipos.
5. Ayudar en la configuración de equipos de red Aruba en entornos WiFi a través de
la generación de una serie de recomendaciones y normas.
6. Mostrar los pasos a seguir para implementar las recomendaciones y normas de
seguridad dadas, ejemplificándolo a través de un caso particular.
3. ALCANCE
7. Las recomendaciones y normas aportadas a lo largo del presente documento
aplican a cualquier sistema de red inalámbrica WiFi. Para ello se darán pautas de
buenas prácticas que se deben seguir para una correcta configuración. Además,
este documento servirá como base para aquellos organismos que pretendan
implementar túneles cifrados sobre la infraestructura WiFi.
8. En esta guía no se han tenido en cuenta aspectos de planificación WiFi radio.
9. La aplicación de las recomendaciones y configuraciones de la presente guía deben
cumplir además las normas dadas en la guía de seguridad en redes inalámbricas
(CCN-STIC-816) y en la guía de seguridad en VPN (CCN-STIC-836).
10. Las autoridades responsables de la aplicación de la política STIC determinarán el
análisis y aplicación de este documento a los equipos de red Aruba bajo su
responsabilidad.
11. Esta guía nos sustituye en ningún caso la formación y conocimientos sobre
seguridad en redes inalámbricas, así como aquellos sobre la conexión de los
equipos y el funcionamiento de los mismos dados por el fabricante.
12. Se recomienda que el despliegue de un servicio como el descrito en este

USO OFICIAL
documento se lleve a cabo mediante personal cualificado a través de

certificaciones o equivalentes.
13. Queda fuera del alcance de este documento el uso de virtualización para la
instalación de ciertos servicios. También queda fuera del ámbito de ésta guía la
generación, almacenamiento y distribución de certificados de usuario.
14. Este documento sólo incluirá referencias sobre los equipos de movilidad Aruba
como Puntos de Acceso y Controladores de Puntos de Acceso, así como el sistema
ClearPass. La configuración de conmutadores, enrutadores, cortafuegos, y otros
elementos de la red -equipos que pueden ser de otros fabricantes distintos a
Aruba y que son interoperables con los equipos de movilidad Aruba, permitiendo
un correcto funcionamiento de la red- quedan fuera del ámbito de este
documento.
15. Las recomendaciones realizadas en el presente documento quedan sometidas a
una continua revisión debido al constante avance tecnológico, creación y aparición
de nuevos estándares, así como a la aparición de nuevas herramientas y
vulnerabilidades.
4. CERTIFICACIÓN
16. Los equipos empleados para el montaje de la red inalámbrica WiFi descrita en esta
guía son Puntos de Acceso, Controladores de Puntos de Acceso y el sistema
ClearPass.
17. Tanto el Controlador como los Puntos de Acceso cuentan con certificación FIPS
140-2, que permite emplear algoritmos criptográficos más robustos y certificación
Common Criteria (ISO/IEC 15408) para la evaluación del nivel de seguridad,
gestión de protocolos, mecanismos de autenticación, vulnerabilidades y selección
de parámetros como suites de cifrado.
18. El sistema ClearPass cuenta con certificación FIPS 140-2 que al igual que en el caso
anterior, permite emplear algoritmos criptográficos más fuertes, así certificación
Common Criteria. Además, ese sistema soporta el empleo de la suites
criptográficas avanzadas tanto en ClearPass Policy Manager así como actuando de
servidor RADIUS.
5. ARQUITECTURA DE REDES WIFI CORPORATIVAS

19. Dentro de la arquitectura de una red WiFi corporativa, la más común es aquella
compuesta por una sede principal, donde reside el núcleo de la red o centro de
datos a través de la que se conectan los usuarios, además de por una serie de
accesos remotos desde otras sedes de la misma organización o desde otros
lugares a los que se hayan desplazado los usuarios. Esta arquitectura se representa
en la siguiente figura.

USO OFICIAL
Ilustración 1 - Topología de una red corporativa
20. La sede principal corporativa está formada por:

 Red de acceso: es la que provee de conexión a los clientes, compuesta por:
o Cortafuegos que controla el acceso del tráfico entrante y saliente de la
red corporativa, filtrándolo en función de un conjunto de políticas de
seguridad establecidas.
o Enrutadores de Acceso, que proveen de acceso a Internet a los clientes.
o Puntos de Acceso WiFi, que permiten proveer de acceso a la red a los
clientes WiFi.
 Red interna: es aquella en la que residen aquellos equipos sensibles a accesos
no autorizados (área de acceso restringido) así como los equipos encargados de
realizar las labores de agregación, permitiendo la incorporación de los tráficos
entrantes y salientes (corporativo-Internet, Internet-corporativo). Los

USO OFICIAL
elementos que suelen encontrarse en esta zona de la red son:

o Enrutadores de agregación, que permiten concentrar el tráfico de los
clientes de la red interna.
o Controladores de Puntos de Acceso, que gestionan de manera
centralizada los Puntos de Acceso, servicios IP y políticas de seguridad
de la red.
o Servidores de acceso (AAA) como RADIUS o TACACS, de DHCP, proxys, y
bases de datos (LDAP, Directorio Activo), que permitirán suministrar
todo tipo de información necesaria para responder a las solicitudes
presentadas en la red.
o Infraestructura de clave pública (PKI), encargada de generar y expedir
certificados de identidad necesarios para la identificación de usuarios y
sistemas, cifrado de datos digitales, firma de datos, garantía de no
repudio y aseguramiento de las comunicaciones entre otros. Es un
elemento imprescindible que, por seguridad, debe de estar aislado con
el fin de que no se vea comprometida su disponibilidad, integridad y
autenticidad.
21. Las conexiones remotas pueden establecerse a través de un Punto de Acceso
remoto, un Punto de Acceso conectado a un Controlador remoto, el propio
enrutador de acceso a internet de un usuario desplazado, etc.
6. MODELO DE SEGURIDAD
22. En este apartado se pretende mostrar el modelo de seguridad basado en una
arquitectura de tres capas o niveles que se recomienda implementar para
configurar una red WiFi corporativa segura.
23. Para ello, se han de seguir los requisitos de seguridad especificados a lo largo de
este documento en los equipos y establecer mecanismos que permitan la
autenticación y verificación de usuarios y equipos que acceden a la red.
24. El planteamiento a lo largo de este apartado se realiza desde un punto de vista
genérico. A lo largo de este documento se aplicará este modelo para la
configuración de una red corporativa inalámbrica utilizando equipos y sistemas del
fabricante Aruba Networks, en un caso particular de despliegue de red WiFi. No se
garantiza la validez de interoperabilidad para otros fabricantes.
6.1. NIVEL 1: AUTENTICACIÓN WPA2-ENTERPRISE CON EAP-TLS

25. Se recomienda emplear como método de autenticación de usuarios en el acceso a
la red WiFi, WPA2-Enterprise con EAP-TLS, ya que emplea el protocolo IEEE 802.1x
para el intercambio de certificados entre cliente y servidor, realizándose una doble
verificación (el cliente comprueba que el servidor contra el que se está
autenticando es el adecuado y el servidor, que ese cliente está autorizado a
acceder a la red). Además, se aconseja el uso de servidores RADIUS como
servidores de autenticación.
26. Con esto, sólo se permite el acceso a la red WiFi presentando un certificado de

USO OFICIAL
identidad en el proceso de autenticación.

27. Para la implementación de este nivel será necesario contar con una
infraestructura que permita generar los certificados de cliente y servidor (PKI), así
como de bases de datos para almacenar esas credenciales como, por ejemplo, un
LDAP, un Directorio Activo o cualquier otra base de datos.
28. El cliente presentará como credenciales de autenticación un certificado de
identidad, instalado en su máquina, que llegará al servidor RADIUS a través del
Controlador. El servidor RADIUS verificará si ese cliente se encuentra autorizado
para acceder a la red, comprobando en el almacén de credenciales que ese
usuario existe y que la Autoridad de Certificación que ha expedido ese certificado
es válida. En el caso de que sí esté autorizado, el servidor RADIUS enviará su
certificado de servidor al cliente para que este lo coteje con el que tiene instalado
como certificado de servidor RADIUS y, en el caso de que ambos coincidan, se
realiza el proceso de autenticación y se establece la conexión.
29. Si el certificado de identidad presentado por el cliente no se encuentra en la base
de datos de credenciales conectada al servidor RADIUS o el certificado que envía
el servidor RADIUS es distinto del que tienen instalado el cliente como certificado
de servidor, no se produce el proceso de autenticación de la red por lo que se
rechaza la conexión pidiéndose que se introduzcan las credenciales de acceso de
nuevo.
Servidor RADIUS
RADIUS
Controller
802.1X à EAP-TLS
Ilustración 2 - Autenticación del cliente a la red WiFi
30. Un cliente WiFi no sólo se autenticará contra la red en el caso de que acceda a la
misma por primera vez, sino que también lo hará cuando se produzca un cambio
entre los distintos niveles del modelo de seguridad además de realizarse una
autenticación periódica al menos una vez al día para verificar que se Servidor
cumple este
primer requisito de seguridad. Es recomendable habilitar esta autenticación
periódica por el riesgo de seguridad que puede presentar un sistema conectado a
Agente NAC
la red durante largos periodos de tiempo sin que éste se autentique.

Controller
Red Espera
6.2. NIVEL 2: COMPROBACIÓN DEL ESTADO DEL DISPOSITIVO
31. Se recomienda emplear un programa, agente o sistema (agente NAC) instalado en
el equipo del usuario que vaya a acceder a la red que permita verificar que el
terminal con el que se va a acceder, cuenta con unos requisitos mínimos de
seguridad. Estos requisitos mínimos recomendados son:
 Que el sistema operativo del equipo cliente esté actualizado con versiones no

USO OFICIAL
anteriores a dos meses (o lo que determine la Política de Seguridad de la

Organización).
 Sistemas de protección como Antivirus instalado y en ejecución, con instalación
de actualizaciones no anteriores a dos meses (o lo determinado por el Análisis
de Riesgos que se haya hecho).
32. El agente NAC enviará el estado del dispositivo a un servidor de estado que
permita verificar el estado del equipo conectado. Este agente se ejecutará de
manera periódica (se recomienda hacerlo cada 30 segundos), permitiendo Servidor RADIUS
conocer si ha cambiado el estado del dispositivo con lo que se pueden definir y

aplicar distintas políticas de acceso a la red en función del cumplimento
Controller
de los
requisitos de acceso a la misma. 802.1X à EAP-TLS
33. Cada vez que el cliente se autentique en la red y hasta que no se conozca si el
dispositivo cumple o no con los requisitos, éste permanece en una red de espera.
Servidor
Agente NAC
Controller
Red Espera
Ilustración 3 - Comprobación del estado del dispositivo a través del agente NAC
34. Si el cliente cumple con los requisitos especificados anteriormente, el servidor

notificará al cliente de un cambio en su estado y se le trasladará a una red de
estado en el que se ha verificado su nivel de seguridad.
Servidor
Agente NAC
Controller
Red Estado Saludable
Ilustración 4 - Estado del dispositivo verificada su seguridad

USO OFICIAL
35. Por el contrario, si el cliente no cumple con los requisitos especificados, el cliente
será notificado de que su estado ha pasado a ser “cuarentena” y será trasladado a
una red de cuarentena donde existan procedimientos de remediación que
permitan cambiar su estado.
Servidor
Agente NAC
Controller
Red Cuarentena
Ilustración 5 - Estado del dispositivo en cuarentena
6.3. NIVEL 3: ESTABLECIMIENTO DE TÚNEL CIFRADOS (VPN/IPSEC)

36. El establecimiento de túneles cifrados (VPN/IPsec) permitirá proteger la
información en tránsito a través de mecanismos robustos de cifrado Servidor y
autenticación. En el proceso de establecimiento del túnel, es necesario que se
negocien una serie de parámetros de seguridad a través del protocolo IKE, entre
Agente NAC
los que VIAse encuentra la suite criptográfica. Se recomienda hacer uso de los
Controller
siguientes algoritmos.
Algoritmo Red Túnel MEDIO ALTO
Cifrado
128 bits 256 bits
Advanced Standard (AES)
Firma Digital
256 bit curve 384 bit curve
Elliptic Curve Digital Signature Algorithm (ECDSA)
Intercambio de claves
256 bit curve 384 bit curve
Elliptic Curve Diffie-Hellman (ECDH)
Hashing
SHA-256 SHA-384
Secure Hash Algorithm (SHA)
Ilustración 6 – Algoritmos criptográficos recomendados
37. El establecimiento del túnel VPN/IPsec sólo se permitirá si el cliente se encuentra

en la “Red de Estado Saludable”, es decir, una vez que se ha autenticado en la red
WiFi y que se ha verificado que el equipo a través del que se conecta cumple con
los requisitos mínimos de seguridad especificados. Para el establecimiento del
túnel será necesario contar con un software que permita levantar túneles
VPN/IPsec (cliente VPN).
38. Una vez que el túnel esté en funcionamiento, el cliente contará con dos
conexiones distintas; La conexión mediante la “Red de Estado Saludable” y la
conexión de la Red Túnel. Todo el tráfico intercambiado por el cliente viajará a
través del túnel.

Controller
RedUSO OFICIAL
Cuarentena
Servidor
Agente NAC
VIA
Controller
Red Túnel
Ilustración 7 - Levantamiento del túnel VPN/IPsec
7. INFORMACIÓN PREVIA A LA CONFIGURACIÓN DE RED

39. A continuación, se describe un ejemplo de caso de uso de una red WiFi
corporativa para la que se han empleado equipos de red y sistemas del fabricante
Aruba Networks. Se tendrá en cuenta que los usuarios no se conectan a la red a
través de una red pública o similar, es decir, que no se permiten accesos remotos y
la conexión sólo se realiza en la misma sede de la organización.
40. Esta guía no pretende ser un curso de configuración de los equipos de red Aruba
sino un conjunto de recomendaciones y normas para efectuar una configuración
lo más segura posible de la red inalámbrica.
41. Es recomendable aplicar los consejos de seguridad que contiene esta guía antes de
desplegar los equipos en la red. El objetivo de la guía es establecer un marco que
permita incrementar la seguridad de la red, describiendo las configuraciones que
deben llevarse a cabo como mínimo para prevenir accesos no deseados a los
equipos, a los datos que éstos almacenan y a las interacciones entre los mismos.
42. Para obtener la última versión estable del software de los equipos y sistemas, se
recomienda seguir las recomendaciones del apartado 11.3, Actualizaciones y
copias de seguridad.
43. Se asume que existirá un usuario a nivel administrador que podrá llevar a cabo la
configuración de todas las funcionalidades requeridas.
44. Todos los equipos empleados en el caso de uso se presuponen instalados y
actualizados a la última versión recomendada.
45. Se recuerda que, en el caso del Controlador de Puntos de Acceso, es necesario ir
guardando manualmente los cambios realizados ya que, el sistema no almacena
los cambios automáticamente. Por ello, es recomendable siempre que se realice
un cambio pulsar sobre “Apply” y posteriormente sobre “Save Configuration”. En
el caso del sistema ClearPass, los cambios se guardan automáticamente.
46. El tipo de direccionamiento que se ha empleado en el caso de uso es IPv4.
8. EJEMPLO DE CASO DE USO
8.1. INTRODUCCIÓN
47. El siguiente caso de uso pretende ilustrar la aplicación del modelo de seguridad

USO OFICIAL
descrito en el apartado 6, Modelo de seguridad, a través de los elementos

mínimos que permitan definir una red WiFi corporativa, aplicando a equipos del
fabricante Aruba Networks. El escenario de referencia utilizado es el que se
muestra en la siguiente figura. En él se representa un edificio como sede
corporativa, compuesto por tres plantas y un centro de datos o red interna,
ubicado en una zona de acceso restringido.
Sistema de Admon. INTERNET
CA Red Interna (CPD)
Servidores
Router Acceso
Internet
.96
Firewall
VLAN 110
(Red Gestión): VLAN 25
10.1.110.0/24 (Red Acceso Internet):
.96 10.1.25.128/25 .129 VLAN 170
(Red Primera .128
Firewall Planta):
10.1.170.0/24
.170 WPA2-Enterprise
Firewall
.64
.96
.64 .64 .64 .64 VLAN 180
(Red Segunda
VLAN 120 Planta):
(Red Datos): .96 10.1.180.0/24
10.1.120.0/24 .64 .128
VLAN 190 WPA2-Enterprise

(Red Tercera
Planta): .96
10.1.190.0/24
.128
VLAN 130 VLAN 140 VLAN 150 VLAN 160

(Red Validación): (Red Cuarentena): (Red Estado Saludable): (Red Túnel): Clientes
10.1.130.0/24 10.1.140.0/24 10.1.150.0/24 10.1.160.0/24 Wi-Fi
Ilustración 8 - Mapa de red del escenario del caso de uso
48. Para poder ver mejor el escenario, en el anexo H se adjunta el mismo diagrama en
un tamaño ampliado.
49. La administración de los sistemas se llevará a cabo fuera de banda mediante
sistemas de administración y gestión que sólo se conecten a la red cuando se
precisen realizar dichas funciones.
50. Los elementos empleados en este caso de uso, siguiendo los definidos en el
apartado 5, Arquitectura de redes WiFi corporativas, son:
 Servidor RADIUS: se utilizará como servidor RADIUS el sistema ClearPass (anexo
D).
 Servidor de estado del dispositivo: será el propio ClearPass el que verifique el
cumplimiento de los requisitos del estado de salud del dispositivo.
 Agente NAC: se empleará el software propietario de Aruba, ClearPass OnGuard.
 Cliente VPN/IPsec: será el propio ClearPass OnGuard con el componente VIA
activado.
 PKI: se utilizará como Autoridad de Certificación una CA de OpenSSL instalada
en un equipo aislado (sin conexión a internet). En determinados casos, existe la
posibilidad de emplear como Autoridad de Certificación el módulo ClearPass
Onboard para generar certificados de RootCA y de clientes.
 Servidor de credenciales: se empleará como almacén de credenciales la base de
datos interna de ClearPass Policy Manager.
 Servidor de DHCP: se empleará el servidor interno del Controlador de Puntos

USO OFICIAL
de Acceso.
Caso Global Caso de uso
Servidores de Bases de datos Base de datos local de ClearPass Policy Manager
PKI CA de OpenSSL
Servidor RADIUS ClearPass
Servidores de estado del dispositivo ClearPass
Agente NAC Agente ClearPass OnGuard
Cliente VPN Agente ClearPass OnGuard + VIA
Servidor DHCP Controlador
Ilustración 9 – Resumen de equipos empleados en el caso de uso
8.2. ELEMENTOS
51. Los elementos que componen el escenario se organizan en las siguientes áreas:
 Red de acceso:
o Puntos de Acceso WiFi: se contará con una serie de puntos WiFi que
provean de acceso a la red a los clientes inalámbricos. Estos puntos de
acceso estarán configurados en modo “Campus AP” ya que permitirá
que estos adquieran la configuración dada por el Controlador. La
versión de sistema operativo que emplean es ArubaOS 6.5.4.
 Red interna:
o Una PKI compuesta por una CA de OpenSSL [Ref 2] instalada en un
equipo aislado con capacidad capaz de generar certificados de identidad
del cliente que permitan la autenticación de los usuarios a la red WiFi, y
certificados de curva elíptica, para el establecimiento del túnel
VPN/IPsec. Todos ellos han de estar instalados en el equipo que el
usuario vaya a utilizar para establecer la conexión WiFi.
o Un conmutador que permita realizar las labores de agregación y
conmutación de tráfico de la red.
o Un Controlador de Puntos de Acceso en modo máster, que permita
entre otros, configurar los Puntos de Acceso de una manera
centralizada, finalizar los túneles VPN/IPsec, actuar como servidor DHCP
y almacenar políticas y roles de usuario. Este equipo emplea como
sistema operativo ArubaOS 6.5.4.
o ClearPass (anexo D) como sistema que controla el acceso a la red por
usuarios, máquinas y aplicaciones. Realizará las funciones de Servidor
RADIUS, servidor de estado del dispositivo que permita recibir la
información de la ejecución del agente ClearPass OnGuard para conocer
el estado del dispositivo periódicamente. Para optimizar el
funcionamiento, gestión y administración de este sistema de una
manera segura, se configurarán las dos interfaces de conexión
disponibles, “Management Interface”, y “Data Interface”.
 Un equipo o equipos que permitan realizar las tareas de administración y
gestión de la red, que se encuentran aislados.

USO OFICIAL
 Cortafuegos: existirán como mínimo tres cortafuegos que permitan aislar:

o La red corporativa de Internet.
o La red de acceso de los clientes de la red interna corporativa.
o El sistema ClearPass de la red de servidores.
8.3. REDES VIRTUALES (VLAN)

52. Para un correcto agrupamiento y aislamiento de los distintos equipos que
componen la red, se han definido las siguientes redes virtuales (VLAN) en el
ejemplo de caso de uso que se está describiendo:
 Red de acceso: a estas redes se encuentran conectados los Puntos de Acceso,
equipos que permitirán posteriormente que los clientes accedan a la red WiFi.
También se pueden conectar a estas redes equipos a través de la red cableada.
Estas redes son las de Primera Planta, Segunda Planta y Tercera Planta (VLAN
170, 180 y 190).
 Red interna, compuesta por:
o Red de Acceso a Internet (VLAN 25): permitirá proveer a la red
corporativa de acceso a internet a través de un enrutador de acceso.
o Red de Gestión (VLAN 110): servirá para realizar las tareas de
administración y configuración de todos los sistemas conectados a la
misma (ClearPass, Controlador, conmutador, etc.).
o Red de Datos (VLAN 120): permitirá intercambiar las peticiones RADIUS
entre los clientes WiFi y los datos sobre el estado del dispositivo
conectado a la red WiFi generadas por ClearPass OnGuard entre
Controlador y ClearPass.
 Redes de transición de los usuarios: son redes que sólo se definirán en el
Controlador de Puntos de Acceso con el objetivo de implementar el modelo de
seguridad definido en el apartado 6, Modelo de seguridad. Estas son:
o Red de Validación (VLAN 130): red en la que se establecerá al cliente
una vez que éste haya concluido satisfactoriamente el proceso de
autenticación WiFi 802.1X (nivel 1 del modelo de seguridad) y hasta que
se conozca si cumple o no con los requisitos de estado de salud del
dispositivo.
o Red de Cuarentena (VLAN 140): red a la que se deriva a aquellos clientes
que no cumplen con los requisitos de seguridad del estado del
dispositivo definidos en el apartado 6.2, comprobación del estado del
dispositivo, y donde existirán una serie de procedimientos de
remediación definidos por la política corporativa que permitan corregir
el estado del mismo. Queda fuera del ámbito cómo se realiza este
proceso de remediación.
o Red de Estado Saludable (VLAN 150): red a la que se conectan aquellos
clientes que además de autenticarse satisfactoriamente en la red WiFi,
cuentan con dispositivos que cumplen con los requisitos de estado de
salud de la misma. Es desde esta red desde la cual los clientes tienen

USO OFICIAL
permiso para establecer el túnel VPN/IPsec. En esta red existirá un

servidor de direcciones IP que permita aportar una nueva dirección IP a
través de la que se transmita y reciba tráfico encapsulado.
o Red Túnel (VLAN 160): es la red a través de la que se encapsula el tráfico
mediante un túnel VPN/IPsec. Queda fuera del ámbito de la guía cuáles
son las redes a las que se tiene acceso a través del túnel ya que variará
en función de los intereses y políticas de la corporación donde se realice
la instalación.
8.4. APLICACIÓN DEL MODELO DE SEGURIDAD

53. Para el caso concreto de este ejemplo, se ha seguido el modelo definido en el
apartado 6, Modelo de seguridad.
54. El cliente se verá trasladado de un nivel a otro en función del cumplimiento de los
distintos requisitos especificados en cada uno de ellos. Para cada nivel, se definen
unos roles de usuario en los que se especifican entre otros, las redes a las que
estarán conectados esos clientes, políticas de acceso a los distintos servicios,
permisos para establecer túneles VPN/IPsec, etc.
55. El cliente podrá subir de nivel si cumple con los requisitos exigidos, o bajar si en
algún momento de la conexión deja de cumplirlos.
8.4.1. NIVEL 1: AUTENTICACIÓN WPA-ENTERPRISE CON EAP-TLS
56. Para que el cliente alcance este nivel, será necesario que las credenciales de
acceso presentadas a través del certificado de identidad de usuario instaladas en
el equipo cliente se encuentren en el almacén de credenciales que ClearPass
consulta, que en este caso es la base de datos local de ClearPass, así como que la
Autoridad de Certificación que haya expedido dicho certificado sea válida. Además,
el certificado de servidor que tiene instalado el cliente tiene que ser el mismo que
el ClearPass presente al cliente durante el proceso de autenticación.
57. Una vez que el cliente supere el proceso de autenticación satisfactoriamente, se le
asignará un “Rol_Validacion”, en el que permanecerá hasta conocer el estado de
salud del dispositivo con el que se ha conectado. Este “Rol_Validacion” permitirá:
 Que se le asigne como identificador de VLAN la VLAN 130, “Red de Validación”.
 Que se sean aplicadas las siguientes políticas de cortafuegos:
o Permiso para ejecutar el servicio de DHCP y así adquirir una dirección IP
de la “Red de Validación” (VLAN 130).
o Permiso para poder conectarse con ClearPass según la especificación
realizada en el apartado 8.4.4, resumen de políticas de cortafuegos para
que sea posible ejecutar el agente ClearPass OnGuard.
o Prohibición del resto de conexiones.
8.4.2. NIVEL 2: COMPROBACIÓN DEL ESTADO DEL DISPOSITIVO
58. En este te nivel se examina al equipo cliente conectado, que previamente ha

superado el proceso de autenticación descrito en el nivel 1, a través de la

USO OFICIAL
ejecución del agente ClearPass OnGuard. Si el cliente cumple con los requisitos de
estado de salud del dispositivo especificado, adquiere el “Rol_EstadoSaludable”; Si
no los cumple, el “Rol_Cuarentena”.
59. El “Rol_EstadoSaludable” posibilita:
 Que se le asigne como identificador de VLAN la VLAN 150, “Red de Estado
Saludable”.
 Que se le apliquen las siguientes políticas de cortafuegos:
de la “Red de Estado Saludable” (VLAN 150).
realizada en el apartado 8.4.4, resumen de políticas de cortafuegos para
que sea posible ejecutar el agente ClearPass OnGuard.
o Permiso para conectarse al servidor de direcciones IP que permita al
cliente obtener una nueva dirección IP y establecer el túnel VPN/IPsec.
o Prohibición del resto de conexiones
60. El “Rol_Cuarentena” permite:
 Que se le asigne como identificador de VLAN la VLAN 140, “Red de Cuarentena”.
de la “Red de Validación” (VLAN 140).
realizada en el apartado 8.4.4, resumen de políticas del cortafuegos,
para que sea posible ejecutar el agente ClearPass OnGuard.
o Permiso para conectarse con los servidores o equipos que permitan salir
del estado de cuarentena. Variará en función de la política de cada
corporación.
8.4.3. NIVEL 3: ESTABLECIMIENTO DE TÚNEL VPN/IPSEC
61. Una vez que el cliente tiene asociado el “Rol_EstadoSaludable”, obtendrá

permisos para levantar el túnel VPN/IPsec a través del cliente ClearPass Onguard +
VIA (cliente VPN). Para ello será necesario que en el equipo cliente se encuentren
instalados antes de que se conecte a la VPN por primera vez, el certificado de
curva elíptica de usuario, el certificado de curva elíptica de Autoridad de
Certificación y el perfil de autenticación de VPN (“VIA Authentication Profile”).
62. El cliente levantará el túnel VPN/IPsec utilizando el certificado de cliente de curva
elíptica. Para ello, adquiere el “Rol_VPN/IPsec” mediante el cual se permite:
 No asignar un identificador de VLAN a este rol de usuario.
 Asignar el perfil de conexión VIA (“VIA Connection Profile”) “PerfilConexion-
VPN” descrito en el apartado 10.3.1, configuración del controlador, para

USO OFICIAL
implementar el nivel 3 de seguridad.

de la “Red de Túnel” (VLAN 160).
realizada en el apartado 8.4.4 de puertos de acceso al servicio ClearPass
OnGuard, necesario para que se pueda ejecutar el agente ClearPass
OnGuard.
o Permiso para permitir la conexión con las redes o equipos a través del
túnel VPN que considere oportuno la corporación.
8.4.4. RESUMEN DE POLÍTICAS DE FILTRADO
63. En la siguiente tabla se resumen las políticas de cortafuegos asociadas a los roles
de usuario definidos para el caso de uso.
Red Red Red Estado Resto
Servidor DHCP
Datos Gestión Saludable redes
Rol_Validación Red Validación OnGuard deny deny deny
Rol_Cuarentena Red Cuarentena OnGuard deny deny deny
Red Estado Intercambios
Rol_EstadoSaludable OnGuard deny deny
Saludable IPsec
Rol_VPN/Ipsec Red Túnel OnGuard deny deny deny
Ilustración 10 - Resumen de las políticas de filtrado de roles de usuario
64. A los clientes WiFi en los roles de Validación, Cuarentena, Estado Saludable y de
VPN/IPsec sólo se les permitirá acceder a los servicios de ClearPass necesarios
para que lleguen las peticiones y respuestas del agente instalado en los clientes
ClearPass OnGuard. Los puertos empleados son los siguientes.
Descripción Servicio Protocolo Puerto

Protocolo de Autenticación RADIUS RADIUS UDP 1812
Protocolo de Contabilidad RADIUS RADIUS UDP 1813
Cambio de Autorización en RADIUS RFC 3576 UDP 3799
Protocolo seguro de transferencia de
HTTPS TCP 443
hipertexto
Comunicación OnGuard <-> ClearPass Control
TCP 6658
Policy Manager Channel
Ilustración 11 - Puertos de Acceso a ClearPass OnGuard
65. A los clientes WiFi en el “Rol_EstadoSaludable” hay que permitirles además la

conectividad con los servicios que les permitan establecer la VPN. Esto es posible a
través de los siguientes puertos.
Descripción Servicio Protocolo Puerto

NAT transversal IPsec/NAT-T UDP 4500

USO OFICIAL
Internet Key Exchange IKE UDP 500

Ilustración 12 - Puertos de Acceso al servicio de VPN/IPsec
66. En el apartado 9.14, Roles de usuario y políticas de cortafuegos, se describen en

profundidad las reglas de cortafuegos a configurar para cada uno de los roles de
usuario.
8.5. CONECTIVIDAD Y ASILAMIENTO DE LOS EQUIPOS

67. El objetivo del despliegue de la red WiFi es proveer de acceso a clientes
corporativos (no invitados) buscando obtener el mayor grado de seguridad posible.
Esto se traduce en aislar lo máximo posible a los equipos, redes y sistemas que
componen la red. Por ello, se recomienza aplicar los requisitos de conectividad
definidos en este apartado.
68. ClearPass es la infraestructura que va a permitir o denegar el acceso a la red tanto
a los clientes (usuarios finales) como a las máquinas a través de las cuáles estos se
conectan. Por ello será necesario:
 En la medida de lo posible, aislar este sistema de conexión a Internet. Por ello,
las actualizaciones del sistema deberán descargarse en otro equipo, y ser
instaladas en ClearPass a través de un procedimiento seguro (“Local File”).
 Se establecerán distintas políticas en el cortafuegos asociadas a una serie de
roles de usuarios que permitan intercambiar peticiones RADIUS, respuestas
sobre el estado de salud del dispositivo y peticiones de autenticación
VPN/IPsec. Esto se realizará a través de la habilitación e inhabilitación de las
conexiones hacia los distintos servicios mediante el permiso de acceso a los
puertos asociados a esos servicios.
69. Será necesario habilitar la conexión a la “Red de Acceso a Internet” del
Controlador de Puntos de Acceso ya que se trata del equipo encargado de realizar
la agregación del tráfico de la red.
70. La Autoridad de Certificación o en su caso la PKI, deberán de estar aisladas lógica y
físicamente del resto de equipos de la red, con la finalidad de proteger la
integridad, autenticidad y disponibilidad de la misma.
71. Los sistemas que se empleen para la administración y gestión de los equipos han
de encontrarse aislados de cualquier conectividad a la red. Para realizar dichas
tareas, se conectarán los sistemas de administración a los equipos de la red fuera
de banda.
72. El equipo cliente debe tener habilitado el puerto 6658 TCP para que ClearPass
OnGuard se comunique con ClearPass Policy Manager.
8.6. REQUISITOS DEL CLIENTE WIFI

73. Antes de que el equipo le sea entregado al usuario final que vaya a hacer uso de la
red WiFi corporativa, el departamento de informática, IT o de administración de
sistemas, deberá de incorporar en los mismos los elementos que se describen a
continuación para cumplir con el modelo de seguridad especificado en el apartado
6, Modelo de seguridad:

USO OFICIAL
 Certificado de autenticación WiFi de usuario, necesario para que se autorice al

cliente a acceder a la red inalámbrica.
 Certificado del servidor RADIUS, que permite identificar de manera unívoca y
fiable al servidor RADIUS. Este se puede exportar al cliente a través de
ClearPass Policy Manager > Administration > Certificates > Server Certificate >
Export Server Certificate. El usuario cotejará este certificado con el que le envíe
el servidor RADIUS en el proceso de autenticación de la red. Si ambos coinciden,
se considerará que el servidor con el que se está conectando es fiable y válido.
 Agente ClearPass OnGuard + VIA, que permitirá enviar el estado del dispositivo
del cliente a ClearPass. Para realizar la instalación, el administrador de la red
realizará la descarga del mismo a través de ClearPass desde ClearPass Policy
Manager > Agents and Software Updates > OnGuard Settings > Agent
Installers > Installer Mode > “Install and enable Aruba VIA component”.
 Perfil de conectividad VIA, configuración de VPN que pertenece a cada cliente y
que es necesario para establecer el túnel VPN/IPsec. El administrador de la red
deberá descargar e instalar el perfil VIA asignado al equipo cliente antes de que
se levante por primera vez el túnel IPsec.
 Certificado de usuario y de RootCA de curva elíptica, necesarios para que el
cliente pueda levantar el túnel VPN/IPsec utilizando los algoritmos
recomendados.
74. Para realizar la instalación de los certificados y del agente ClearPass OnGuard +
VIA en el equipo del cliente, se ha de emplear un canal seguro. Además, los
certificados se instalarán de tal forma que no se puedan exportar, copiar o borrar.
9. CONFIGURACIÓN DE LOS EQUIPOS DE RED

75. En este apartado se va a llevar a cabo la configuración de los equipos de red del
caso de uso, desde un punto de vista de configuración segura de los servicios
necesarios para implementar el modelo de seguridad descrito en apartados
anteriores.
76. Las configuraciones descritas a lo largo de este documento se realizarán siempre
que se puedan a través de la interfaz web de los sistemas y equipos. Éstas se
centrarán en los equipos de movilidad (Controlador de Puntos de Acceso y Puntos
de Acceso) así como ClearPass. El conmutador se empleará sólo para interconectar
el escenario del caso de uso y, por ello, sólo se definirán en él las VLAN y los
puertos asociados a cada una de ellas.
9.1. LICENCIAS
77. La instalación de licencias en los equipos es imprescindible para desempeñar sus
funciones correctamente. La descarga de las mismas se realizará a partir de la
página oficial de Aruba Networks - Hewlett Packard Enterprise, siempre y cuando
se establezcan protocolos seguros que permitan realizar esta descarga. Para ello,
será necesaria el alta en el servicio y disponer de usuario y contraseña.

USO OFICIAL
9.1.1. CONTROLADOR
78. Existen diversos tipos de licencias. Se puede encontrar información más detallada
sobre ellas en [Ref 3]. Para el caso de uso presentado, las licencias necesarias a
instalar en el controlador son las siguientes:
 “Policy Enforcement Firewall for VPN Users”: es la licencia que permite habilitar
las políticas que se han de cumplir en el cortafuegos (“firewall” de los roles de
usuario).
 “Access Points”: licencia que especifica el número de puntos de acceso que se
permite conectar al controlador.
 “Next Generation Policy Enforcement Firewall Module”: licencia que activa los
roles de usuarios, derechos de acceso, controles de tráfico en las capas 4 y 7,
QoS, APIs de autenticación, interfaces de servicio externo (ESI), voz y vídeo.
Está limitada a un cierto número de Puntos de Acceso.
 “RF Protect”: licencia que permite proteger la red contra amenazas de
seguridad inalámbricas, proporcionando un sistema de análisis de espectro que
permite conocer las fuentes de interferencia en radiofrecuencia y el efecto que
producen en la red. Esto hace que se pueda habilitar la función de sistema de
detección de intrusiones (WIPS) incluido en el Controlador. Esta licencia aplica
a un número determinado de Puntos de Acceso WiFi.
 “Advanced Criptography”: licencia necesaria para utilizar criptografía avanzada
en IPsec. A través de la misma se controlan comportamientos como número de
conexiones IPsec concurrentes.
79. Para instalarlas se debe navegar por el menú Configuration > NETWORK >
Controller > Licenses y pegar el ID generado en la página de Hewlett Packard
Enterprise en “Add License Key”.

USO OFICIAL
Ilustración 13 - Licencias en el Controlador
80. Es posible que al añadir ciertas licencias se pida reiniciar el controlador. Por ello se
han de seguir siempre las indicaciones que nos den los equipos.
9.1.2. CLEARPASS
81. La primera vez que se accede a ClearPass a través de la interfaz web, aparece una
pantalla en la que se nos pide introducir la licencia. La licencia a introducir es la
denominada “Policy Manager License Key”, que se obtiene a través de Aruba
Networks.

USO OFICIAL
Ilustración 14 - Introducción licencia en ClearPass
9.2. TRANSFERENCIA DE FICHEROS, ACTUALIZACIONES Y COPIAS DE

SEGURIDAD
82. Cuando sea necesario realizar una transferencia de ficheros (certificados a los
clientes WiFi y controladores, actualizaciones del Sistema Operativo, etc.) entre
los distintos equipos que componen la red, se empleará un canal seguro que
utilice mecanismos que protejan la confidencialidad e integridad de los ficheros
intercambiados. Por ello se recomienda:
 Realizar las actualizaciones localmente a través de la opción “Local File”, en la
consola de administración.
 En caso de que no exista la opción de transferencia a través de “Local File”, se
recomienda hacer uso de SCP (Secure Copy Protocol), protocolo que cifra los
datos al realizar la transferencia de los ficheros.
 No se deben usar protocolos como FTP (File Transfer Protocol) y TFTP (Trivial
File Transfer Protocol), por no utilizar mecanismos de autenticación ni cifrado
para la transferencia de la información, lo que puede provocar que un atacante
capture ese tráfico y acceda al equipo o se apodere de los archivos transferidos.
83. Se deben realizar las descargas de las actualizaciones a través de los proveedores
oficiales de los fabricantes mientras se ofrezca dicho servicio a través de un
protocolo seguro de comunicación, de tal manera que se impide que el software
podría sufrir manipulaciones por parte de terceros con los correspondientes
problemas de seguridad asociados.
84. Se aconseja realizar copias de seguridad periódicas con el objetivo de poder
realizar una recuperación rápida de los sistemas por si existiese algún fallo de
hardware, software o por cualquier ataque que se pudiese recibir en la
infraestructura.

USO OFICIAL
9.2.1. CONTROLADOR
85. En el caso del Controlador, las actualizaciones a través de transferencia local de

fichero (“Local File”) se realizan por medio de Management > Image
Management > Master Configuration > Local File.
Ilustración 15 – Actualización de la imagen del Controlador
86. La copia de seguridad de este sistema se compone de:

 Backup de la memoria flash: navegando a través de Configuration >
Maintenance > FILE > Backup Flash > Create Backup, se crea un fichero en la
memoria flash denominado “flashbackup.tar.gz”. Este fichero se puede copiar a
cualquier sistema en el mismo menú, a través de “Copy Backup”, o bien a partir
de Configuration > Maintenance > FILE > Copy Files. Se recomienda realizar la
copia de seguridad utilizando el protocol SCP (Secure Copy Protocol) > Create
Backup que habrá que copiar mediante SCP desde el controlador hasta el
sistema donde queramos almacenar la copia de seguridad de la memoria flash.
Ilustración 16 - Copia del backup de la memoria flash del Controlador mediante SCP
También es posible descargar una copia de los ficheros mediante la opción

“USB Drive”, añadiendo en la opción “Partition”, el nombre del dispositivo
conectado por USB. El nombre del mismo se puede comprobar a través del
comando “dir usb”.
 Backup de las licencias: se recomienda copiar los identificadores de licencias
que aparecen en Configuration > NETWORK > Controller > Licenses > License
Table. También, a través de la línea de comandos del Controlador (CLI) y

USO OFICIAL
mediante la ejecución del comando “license export key”, se crea un fichero en

la memoria flash donde se guardan las licencias, que posteriormente puede ser
copiado a través de SCP a cualquier sistema, de la misma manera que el backup
de la memoria flash.
87. Para realizar una restauración del backup del Controlador:
 Se restaura la memoria flash copiando el fichero “flashbackup.tar.gz” mediante
SCP al Controlador. Después se comprueba que se ha copiado el fichero
observando si aparece listado a través del comando “dir” y se ejecuta el
comando “restore flash” que permite restaurar la copia de seguridad.
 Se copian los identificadores de las licencias que se han copiado en el apartado
anterior y se pegan sobre Configuration > NETWORK > Controller > Licenses >
Add New License Key.
88. Es importante tener en cuenta que las contraseñas que se hayan empleado para el
despliegue de los distintos servicios como, por ejemplo, para autenticar al servidor
RADIUS, no se guardan (aparecen vacías) con lo que habrá que restaurarlas de
nuevo.
9.2.2. CLEARPASS
89. En el caso de que se quiera actualizar el Sistema Operativo de ClearPass, se

recomienda realizar una descarga del fichero de actualización en un sistema ajeno
a ClearPass, y utilizar un canal seguro para su transmisión. Posteriormente se ha
de importar ese fichero a ClearPass navegando a través de Administration >
Agents and Software Updates > Software Updates > Firmware & Patch Updates >
Import Updates.
90. Las actualizaciones referidas a las “Posture Policies”, válidas para que ClearPass
siempre compruebe que los clientes que se conectan a la red cuentan con la sus
últimas actualizaciones y parches que el fabricante tiene, también se descargan en
ClearPass a través de un fichero local, importándose posteriormente en
Administration > Agents and Software Updates > Software Updates > Posture &
Profile Data Updates > Import Updates.
Ilustración 17 - Actualizaciones de software de ClearPass
91. La copia de seguridad del sistema ClearPass se puede realizar de diversas maneras
en función de la plataforma sobre la que este se instale. Una forma de hacerla es a

USO OFICIAL
través de ClearPass Policy Manager > Administration > Server Manager > Server
Configuration > Selección del servidor > Backup. Aparece una nueva ventana en la
que se seleccionarán las opciones “Generate file name”, “Back up CPPM
configuration data”, “Back up CPPM session log data” y “Back up Insight data”
para llevar a cabo una copia de seguridad completa del sistema. Posteriormente se
pulsará sobre “Start” y, cuando finalice el proceso de recolección de datos, se
permitirá descargar de forma local el fichero con la copia de seguridad pulsando
sobre “Download”.
Cabe la posibilidad adicional de que en el caso de que ClearPass se despliegue a
través de una máquina virtual, realizar una copia de seguridad a través de un
“snapshot” de la máquina virtual donde se encuentre desplegada.
Ilustración 18 - Copia de seguridad de ClearPass
92. Se puede crear una copia concreta de un “service”, “profile”, “policy”, etc.,
accediendo al menú de configuración de cada uno de. De esta forma se descarga
un fichero XML que puede ser importado a otras máquinas de ClearPass.
Ilustración 19 - Copia de seguridad de una "Posture Policy " en ClearPass
9.3. CONFIGURACIONES INICIALES

93. Antes de configurar cualquier servicio en cada uno de los equipos, es necesario
realizar una serie de configuraciones básicas. Las que se describen en este
apartado tienen que ver con aquellas que permitan modificar la dirección IP de los
equipos, modificar las credenciales de acceso a los mismos, restringir el acceso a
aplicaciones, redes, etc., configurar la fecha y hora a través de un reloj

USO OFICIAL
sincronizado entre todos ellos y el establecimiento del modo correcto de

funcionamiento de los mismos.
94. Los datos necesarios a tener en cuenta para realizar estas configuraciones básicas
son:
 Cambio de dirección IP del equipo: conocer cuál es la nueva IP que se quiere
asignar a través del diseño de la red.
 Fecha y hora de los equipos: conocer la dirección IP de un servidor NTP
(Network Time Protocol) fiable que permita tener sincronizados todos los
equipos con la misma hora para que en el caso de que se produzca una
incidencia o se lleve a cabo un análisis de un fallo o problema, se pueda
procesar la información correctamente, encontrándose los registros
temporales de acuerdo con la realidad.
 Modificación de las credenciales de acceso: saber qué nuevas credenciales de
acceso se van a emplear (usuario-contraseña) y qué permisos se quieren dar a
cada uno de los usuarios, cumpliendo los requisitos definidos en el apartado
8.4.4, resumen de políticas del cortafuegos.
 Restricción del acceso a los equipos: se deberá conocer cuáles son las políticas
de restricción de acceso a los equipos a aplicar.
 Cambios de modo de funcionamiento: se deberá conocer en qué modo quiere
que esté en funcionamiento el Controlador: en modo master o en modo local
en función del número de controladores que haya y de la funcionalidad que
desempeñe cada uno. En este ejemplo de caso de uso, sólo se empleará un
Controlador de Puntos de Acceso con modo de funcionamiento master.
9.3.1. CONTROLADOR
95. Se puede modificar la dirección IP dada en el Setup a través de Configuration >

NETWORK > Controller > System Settings > Controler IP Details, IPv4 Address.
Ilustración 20 - Modificación de la dirección IP del Controlador
96. Esta es la IP principal del controlador y es la que en un momento dado, se le

proporciona a los AP para que contacten. Podría emplearse con mejor criterio la
VLAN 120 para asegurar la conectividad de los AP.
97. Se configura la fecha, hora y zona temporal en Configuration > MANAGEMENT >
Clock, introduciéndose la dirección IP de un servidor NTP de confianza, así como la
zona horaria. Se pueden añadir tantos servidores NTP como se desee.
Ilustración 21 - Configuración del servidor NTP

USO OFICIAL
98. Además, se recomienda configurar la autenticación NTP para que los “logs”
muestren registros fiables de fecha y hora, previniendo un ataque que permita
modificar la fecha y la hora de los mismos. Para ello se debe de habilitar la opción
“NTP Authentication”, introduciendo las claves de identificación en “NTP
identification keys”.
Ilustración 22 - Configuración de autenticación del servidor NTP
99. La modificación de la contraseña de acceso a través de la interfaz de comandos se

realiza a través de los siguientes comandos:
(Aruba XXXX) #configure-terminal
Enter Configuration commands, one per line. End with CNTL/Z
(Aruba XXXX) (config) # mgmt-user admin root
Password:
100.La modificación de la contraseña de acceso a través de la interfaz web ser realiza

desde Configuration > WIZARDS > Controller tal y como aparece en la siguiente
imagen:
Ilustración 23 - Modificación de las credenciales de acceso al Controlador
101.El modo de funcionamiento se puede modificar a través de Configuration >

NETWORK > Controller > System Settings > Controler Role, eligiéndose para este
caso de uso el modo “Master”.
Ilustración 24 - Configuración del modo de funcionamiento del Controlador

USO OFICIAL
9.3.2. CLEARPASS
102.Para realizar cambios en las direcciones IP de las interfaces “Data” y

“Management” se navega a través ClearPass Policy Manager > Administration >
Server Manager > Server Configuration > Selección del servidor > System >
Configure Management Port, Data/External Port, DNS Settings.
Ilustración 25 - Direcciones IP de las interfaces de ClearPass
103.La configuración de fecha y hora a través de NTP se realiza mediante ClearPass

Policy Manager > Administration > Server Manager > Server Configuration > “Set
Date & Time” (menú arriba a la derecha). En esta ventana se selecciona el servidor
NTP primario y secundario.

USO OFICIAL
Ilustración 26 - Configuración de autenticación NTP en ClearPass
104.La modificación de las credenciales de acceso al sistema se realiza a través de

ClearPass Policy Manager > Administration > Users and Privileges > Admin Users.
Ilustración 27 - Modificación de credenciales de acceso en WebUI de ClearPAss
105.También se recomienda modificar la contraseña empleada en el clúster a través de

ClearPass Policy Manager > Administration > Server Configuration > Change
Cluster Password Link. Esta es la nueva contraseña que se empleará en el acceso a
través del CLI (Command Line Interface).

USO OFICIAL
Ilustración 28 - Modificación de la contraseña del cluster en ClearPass
106.Existe la posibilidad de bloquear el acceso a ClearPass desde ciertas VLAN, túneles

VPN, etc. Estas restricciones se definen en ClearPass Policy Manager >
Administration > Server Manager > Server Configuration > Selección del servidor >
Network.
Ilustración 29 - Restricciones de acceso a ClearPass
9.3.3. PUNTOS DE ACCESO
107.Posteriormente será necesario asociar cada nuevo Punto de Acceso a un grupo

Puntos de Acceso (“AP Group”). Para ello habrá que crear un nuevo grupo a través
Configuration > WIRELESS > AP Configuration > AP Group > Add. Este grupo se
denomina en el ejemplo de esta guía “GrupoA1”. Posteriormente, en
Configuration > WIRELESS > AP Installation, seleccionar el Punto de Acceso que se
haya añadido nuevo al escenario, pulsar el botón “Provision” y seleccionar como
AP Parameters > AP Group el nuevo grupo de AP creado.

USO OFICIAL
Ilustración 30 - Selección del grupo de AP
9.4. MODO FIPS

108.Se recomienda habilitar este modo. Como consecuencia de habilitarlo, se
configuran los servicios criptográficos con un mínimo de 112 bits. Todos aquellos
servicios de seguridad que provean menos de 112 bits como RSA-1024, SHA1,
MD5 o DES no pueden configurarse.
9.4.1. CONTROLADOR
109.El modo FIPS se habilita en el Controlador a partir de Configuration > NETWORK >
Controller > System Settings > FIPS Mode > Enable.
Ilustración 31 - Habilitación del modo FIPS en el Controlador
9.4.2. CLEARPASS
110.La habilitación del modo FIPS en ClearPass se realiza a partir de ClearPass Policy
Manager > Administration > Server Manager > Server Configuration > Selección del
servidor > FIPS > Enable.
Ilustración 32 - Modo FIPS en ClearPass
9.5. CPSEC
111.CPsec (Control Plane Security) es un servicio que fuerza a que todo el tráfico de
control que se intercambia entre los equipos de red Aruba, viaje a través de un
túnel IPsec. Estos túneles se autentican utilizando certificados X.509 que se
encuentran ya provisionados en los dispositivos de red Aruba. La clave privada del
certificado se almacena en un módulo de plataforma confiable (TPM, Trusted
Platform Module) que provee protección hardware y resistencia a la manipulación.
Normalmente CPsec se despliega entre los Controladores y los Puntos de Acceso.
112.La activación de esta funcionalidad en el Controlador de Puntos de Acceso se
realiza a través de Configuration > NETWORK > Controller > Control Plane

USO OFICIAL
Security > “Enabled”.
Ilustración 33 - Habilitación de CPsec en el Controlador
9.6. BANNER DE ACCESO A LOS EQUIPOS

113.Los mensajes de acceso o “banner messages” son mensajes que aparecen al
acceder a los equipos, informando al usuario de los derechos legales que éste
tiene al utilizar esa máquina. Es interesante configurar este tipo de mensajes para
generar el consentimiento de monitorización del usuario y para eliminar la
protección legal contra las expectativas de privacidad que un usuario pueda tener
al acceder al sistema.
9.6.1. CONTROLADOR
114.Para establecer un mensaje de acceso al Controlador es necesario acceder al

mismo a través de la interfaz de comandos (CLI) y configurar el mensaje a través
de las siguientes instrucciones:
(Aruba XXXX) #configure-terminal
Enter Configuration commands, one per line. End with CNTL/Z
(Aruba XXXX) (config) #banner motd <delimeter><mensaje><delimeter>
9.6.2. CLEARPASS
115.En el caso de ClearPass, éste se puede configurar en ClearPass Policy Manager >
Administration > Server Manager > Server Configuation > Cluster-Wide
Parameters > General > Login Banner Text.

USO OFICIAL
Ilustración 34 - Configuración del mensaje de acceso a ClearPass
9.7. CERTIFICADOS
116.La instalación de certificados se hace necesaria para poder implementar el modelo
de seguridad definido en el apartado 6. Además, puede ocurrir que, en ciertos
sistemas, no se pueda acceder vía web tras el “setup” debido a que el certificado
web que incorporan está expedido por una Autoridad de Certificación que ha
pasado de ser válida a no válida. Por ello es necesario contar con una Autoridad de
Certificación con capacidad para generar certificados, incluyendo aquellos de
curva elíptica.
117.En este apartado se describe cómo se deben importar los certificados a cada uno
de los equipos de red. En los anexos E y F se detalla cómo deberían generarse los
certificados necesarios.
9.7.1. CONTROLADOR
118.La instalación se realizará a través de Configuration > MANAGEMENT >

Certificates > Upload > Upload a Certificate.
119.Las condiciones para importar los certificados de curva elíptica son las siguientes:
 El certificado de RootCA (Autoridad de Certificación raíz que expide los
certificados de curva elíptica) se importa en formato PEM y de tipo “Trusted
CA”.
 El certificado de servidor de curva elíptica se importa en formato PEM y de tipo
“Server Cert”.

USO OFICIAL
Ilustración 35 - Resumen de certificados necesarios a instalar en el Controlador
9.7.2. CLEARPASS
120.La instalación se realizará a través de ClearPass Policy Manager > Administration >
Certificates > Server Certificate > Import Server Certificate. Aparecerá una ventana
a través de la cual se seleccionará el certificado a importar (la subida se hace en
local).
Ilustración 36 – Certificado RADIUS de ClearPass
9.8. VLAN
121.La configuración de redes virtuales (VLAN) en el escenario se llevará a cabo en el
Controlador de Puntos de Acceso y en el Conmutador. En este documento sólo
trataremos la configuración de las mismas en el Controlador.
122.Se recomienda que se eliminen los nombres, identificadores, direcciones y puertos
asociados a las VLAN que los equipos traen por defecto. Si no fuese posible
eliminar la VLAN, se aconseja eliminar todos los datos asociados a la misma y
deshabilitar su uso. Para añadir un nivel más de seguridad, se pueden crear listas
de acceso a determinadas VLAN y restringir quién accede a cada una de las redes
en cada momento.
123.Los requisitos necesarios para realizar la configuración son conocer el diseño
general de la red que incluya las direcciones IP de todas las redes a configurar, con
su correspondiente dimensionamiento (número de equipos que van a estar
conectados a cada una de ellas). Además, se deberán tener definidas las normas
de interconexión de las redes en cuanto a enrutamiento y NAT (Network Access

USO OFICIAL
Translation). En este caso de uso se presupone que no existirá la función de NAT y

que se tendrán aisladas estas redes con lo que la opción de “Inter-VLAN Rounting”
estará deshabilitada para todas las VLAN definidas.
124.Para el caso de ejemplo de esta guía, se ha decidido que todo el tráfico del
Controlador se intercambiará a través del puerto 0 por lo que las VLAN 110, 120,
170, 180 y 190 deberán estar configuradas en modo “Trunk” en ese puerto (no se
configuran en este modo las VLAN de transición de los usuarios). Esto se configura
a través de Configuration > NETWORK > Ports > Selección del puerto 0 > Port Mode
= “Trunk”. Además, deberán especificarse en Port Mode > Allow VLANs, todas las
VLANs definidas en el escenario del caso de uso.
Ilustración 37 - Configuración "Trunk" del puerto 0 del Controlador
125.Las VLAN a configurar en el escenario se añaden en Controlador> Configuration >

NETWORK > VLANS> Add a VLAN, asignándoles el puerto 0 del Controlador.
126.Posteriormente, se modificarán las siguientes configuraciones de cada una de las
VLAN creadas, a partir de Controlador > Configuration > NETWORK > IP > Selección
de la VLAN > Edit:
 Dirección IP y máscara de red.
 No permitir “Inter-VLAN routing” con lo que se detendrá la inundación de
solicitudes ARP desconocidas para tunelizar o descifrar un túnel Virtual AP que
se encuentra en la misma VLAN desde la que se recibe la solicitud ARP.
 El resto de las configuraciones se dejan como vienen por defecto.

USO OFICIAL
9.9. ALTA DE EQUIPOS

127.Una vez que se tienen asignadas las diferentes direcciones IP a los distintos
equipos, se procede a conectarlos entre ellos para que las peticiones y respuestas
se transmitan de manera adecuada.
128.Para ello, se tendrá que tener en cuenta que se va a configurar ClearPass como
servidor RADIUS (RFC 3576 [Ref 4]), necesario para poder realizar los cambios
dinámicos de autorización que precisa el modelo de seguridad definido. Además,
el Controlador de Puntos de Acceso se configurará como una base de datos
interna que almacenará credenciales genéricas del tipo “administrador”,
“empleado”, etc., lo que permitirá el acceso a la red en el caso de que la base de
datos local de ClearPass sufra un fallo o se encuentre inaccesible.
129.La base de datos interna del Controlador ya viene configurada en el equipo por lo
que está lista para que se configuren las credenciales de usuario que se estimen
oportunas en ellas. En el apartado 9.15, almacenamiento de credenciales de
usuario, se describe cómo se añaden estas credenciales.
130.Para ello será necesario conocer:
 Dirección IP de ClearPass, que actuará como servidor RADIUS y servidor RFC
3576. Además, ClearPass almacenará las credenciales de acceso de los
usuarios a la red inalámbrica.
 Dirección IP del Controlador de Puntos de Acceso.
9.9.1. ESPECIFICACIÓN DE UN SERVIDOR RADIUS EN EL CONTROLADOR
131.En Configuration > SECURITY > Authentication > Servers > RADIUS Server, se
introduce el nombre del servidor RADIUS a añadir y se hace click en “Add”. En este
caso se ha creado un nuevo servidor con nombre “ServidorRadius01”.
Ilustración 38 - Definición del servidor RADIUS en el Controlador
132.Se configura el servidor creado pulsando sobre el nombre “ServidorRadius01”. En

este punto se establecerá la dirección IP del servidor y una clave para autorizar la
conexión. La configuración del resto de parámetros se deja tal y como viene por
defecto.

USO OFICIAL
Ilustración 39 - Configuración del servidor RADIUS en el Controlador
133.Se recomienda crear un “Server Group” a través de Configuration > SECURITY >
Authentication > Server Group > Add, al que se añade el servidor RADIUS creado
anteriormente. También se añade a este mismo grupo el servidor “Internal”, que
es la base de datos interna del Controlador.
Ilustración 40 - Server Group en el Controlador
Ilustración 41 - Servidores definidos dentro del Server Group en el Controlador
134.Es importante que se respete el orden que aparece en la ilustración, es decir, que
aparezca primero en la lista de servidores ClearPass y después la base de datos
interna del Controlador. Esto significa que las credenciales de usuarios se buscarán
en primer lugar en ClearPass y sólo en el caso de que se caiga ese servidor o exista
algún error de conexión hacia el mismo, se utilizará la base de datos interna del
Controlador. Esto no significa que cuando no se encuentre al usuario en el servidor
RADIUS se vaya a ir a buscarlo a la base de datos interna del Controlador.

USO OFICIAL
9.9.2. ESPECIFICACIÓN DE UN SERVIDOR RFC 3576 EN EL CONTROLADOR
135.Se añade el nuevo servidor en Configuration > SECURITY > Authentication >
Servers > RFC 3576 Server > Add, añadiendo la dirección IP de la interfaz “Data” de
ClearPass. Posteriormente se pulsará sobre la dirección IP del servidor añadido y
se introducirá una clave que tiene que ser la misma en Controlador y Servidor
RADIUS.
Ilustración 42 - Definición del servidor RFC 3576 en Controlador
Ilustración 43 - Clave compartida entre servidor RFC 3576 (ClearPass) y Controlador
9.9.3. ESPECIFICACIÓN DEL CONTROLADOR EN CLEARPASS
136.Es necesario especificar en ClearPass quién es el Controlador para que puedan

intercambiar peticiones entre ellos. La definición del Controlador se realiza a partir
de ClearPass Policy Manager > Configuration > Network > Devices > Add,
rellenando los campos tal y como aparece en la ilustración:
Ilustración 44 – Definición del Controlador en ClearPass
137.El secreto compartido entre ClearPass y Controlador es “RADIUS Shared Secret”.

En el Controlador se establece al definir el servidor RADIUS y servidor RFC 3576 y,

USO OFICIAL
en ClearPass, al definir el Controlador.
9.10. SERVIDOR DHCP

138.Para el caso de uso se ha empleado el servidor de DHCP del Controlador de Puntos
de Acceso. No obstante, se recomienda que este servidor resida en un equipo
ajeno al Controlador ya que permitirá facilitar la administración y gestión de
usuarios.
139.En el caso de que el despliegue se realice en el Controlador, habrá que tener en
cuenta la capacidad máxima de direcciones IP que éste puede proveer a través de
DHCP (esto varía entre un modelo y otro de los Controladores de Puntos de
Acceso de Aruba Networks).
140.Para desplegar los distintos pools de DHCP es necesario conocer el rango de
direcciones IP que se va a emplear, que va en función del dimensionamiento de la
red. Esta consideración deberá tenerse en cuenta a la hora de realizar el diseño de
la red inalámbrica ya que va en función del número de clientes que se vayan a
conectar a la misma.
141.Para el caso de uso, se emplearán servidores de DHCP en las redes de Validación
(VLAN 130), Cuarentena (VLAN 140) y Estado Saludable (VLAN 150).
142.Para realizar la configuración dentro del Controlador, hay que desplazarse por
Configuration > NETWORK > IP > DHCP Server. En este punto se llevará a cabo:
 La habilitación del servidor DHCP en IPv4.
 La configuración del pool de direcciones a través de Pool Configuration > Add.
 La configuración del rango de direcciones IPv4 excluidas en Excluded Address
Range > IPv4 Excluded Address > Add. Esto es necesario ya que el controlador
soporta un número máximo de clientes conectados simultáneamente. Como se
hace necesario definir una serie de redes de transición según la arquitectura
del ejemplo de caso de uso, se reparten las direcciones entre las VLAN en las
que se emplea DHCP.
Ilustración 45 - Configuración del servidor de DHCP en el Controlador

USO OFICIAL
9.11. CONFIGURACIÓN DE SSID

143.La configuración de SSID (Service Set Identifier) se lleva a cabo en el Controlador
de Puntos de Acceso. Para ello es necesario conocer una serie de datos sobre las
SSID que se desean desplegar como nombre, capacidades radio, modo de
forwarding, etc.
144.La creación de SSID se realiza a través de Configuration > WIZARDS > Campus
WLAN, siguiendo los siguientes pasos:
 Primera pantalla del asistente de configuración, “WLAN”:
o Especificación del Grupo de Puntos de Acceso al que pertenece la SSID.
Se recomienda utilizar el grupo creado en el apartado 9.3.3 ya que es al
que está asociado el Punto de Acceso a través del cual los clientes se
van a conectar.
o Creación de una nueva WLAN que pertenezca al Grupo de Puntos de
Acceso creado anteriormente. En este caso la SSID se va a denominar
“WLAN_P1”.
 Segunda pantalla del asistente de configuración, “Forwarding Mode”: se
configura el modo de forwarding de tipo “Tunnel” para que el tráfico
intercambiado entre el cliente y la red viaje encapsulado en un túnel IPsec
entre cliente y Controlador.
 Tercera pantalla del asistente de configuración, “Radio & VLAN”: se deja la
configuración que viene por defecto en la que se soportan ambas bandas (2,4
GHz y 5 GHz), la tasa se encuentra seleccionada en modo “High Performance”,
y no se le asigna ninguna VLAN a es SSID (se deja en blanco el campo VLAN).
 Cuarta pantalla del asistente de configuración, “Internal/Guest”: se configura la
SSID de uso interno ya que esta guía no contempla el acceso a la red de
invitados. Por ello se configura como “Internal”.
 Quita pantalla del asistente de configuración, “Authentication and Encryption”:
se selecciona “Strong encryption with 802.1x authentication” con autenticación
“WPA-2 Enterprise” y cifrado “AES”, que permitirá implementar el modelo de
seguridad definido en el apartado 6.
 Sexta pantalla del asistente de configuración, “Authentication Server”: se
añadirá se añadirá el servidor RADIUS (ClearPass) definido en el apartado 9.10,
alta de equipos a través Add > Select from known servers > Authentication
Servers > ServidorRadius01.
 Séptima pantalla del asistente de configuración, “Role Assignment”: se
especificará el rol que el usuario adquirirá tras realizar el proceso de
autenticación. En apartados posteriores se comentará cómo se cambia este rol
por defecto al rol que realmente se quiere asignar al usuario en función de los
requisitos que éste cumpla al acceder a la red. Este cambio se define en los
llamados “Enforcement Profiles”, definidos en ClearPass (en el apartado 9.13 se
comentarán cuáles son los servicios a configurar en ClearPass). En este ejemplo
se ha seleccionado el rol por defecto denominado “logon”.
 La octava pantalla del asistente de configuración, “WLAN Configured”, muestra

USO OFICIAL
un resumen de la configuración realizada. Si se está de acuerdo con la misma,

se pulsa sobre “Finish” y si no se está de acuerdo, se cancela a través de
“Cancel” y se vuelve a empezar de nuevo la configuración de la SSID.
145.Se pueden ver todas los SSID que se han incluido en un mismo Grupo de Puntos de
Acceso a través de Configuration > WIRELESS > AP Configuration > Selección del
Grupo de Puntos de Acceso > Wireless LAN > Virtual AP.
Ilustración 46 - Listado de SSID asociados al “GrupoA1” en el Controlador
146.Cada SSID queda definido por un perfil de Virtual AP donde residen las
configuraciones de “AAA Profile”, perfil donde se especifican entre otros el rol de
acceso por defecto, el uso de DHCP para los usuarios que se conectan a ese SSID y
la dirección IP del servidor RFC 3576 y un “SSID Profile”, perfil donde se especifica
el tipo de cifrado y la autenticación que se emplean en dicha SSID. La
especificación del modo de forwarding y de las bandas de RF empleadas se
encuentra en el “VirtualAP Profile”.
147.Es importante añadir a los SSID la dirección IP del servidor RFC 3576 para permitir
cambiar de manera dinámica la autorización de acceso a los distintos servicios
RADIUS. Esto se realiza a partir de Configuration > ADVANCED SERVICES > All
Profiles > Wireless LAN > AAA > SSID a configurar > RFC 3576 server y, dentro del
mismo, hacer click en “Add a profile” y añadir la dirección IP del servidor RFC 3576.
148.Cuando se desee realizar un cambio en la configuración de algunos de los perfiles
de SSID, se puede acceder a los mismos a través de Configuration > ADVANCED
SERVICES > All Profiles > Wireless LAN.
9.12. CONFIGURACIONES EN CLEARPASS

149.A lo largo de este apartado, se describe cómo configurar los servicios y políticas
necesarios para que la red del ejemplo de caso de uso implemente el modelo se
seguridad especificado en este documento.
150.Este apartado no entra en detalle en la configuración a llevar a cabo para la
implementación del modelo de seguridad definido en el apartado 6. Será a lo largo
de apartado 10, configuración de los niveles de seguridad, donde se muestren los
detalles específicos.

USO OFICIAL
Ilustración 47 - Configuración de funcionalidades en ClearPass
9.12.1. SERVICES
151.Los “Services” (servicios) de ClearPass permiten descubrir y clasificar de manera

dinámica el tráfico que atraviesa la red, quién lo genera y cuál es su destino.
Existen una gran variedad de servicios a implementar, pero, para nuestro caso de
uso, se emplearán los servicios del tipo “Aruba 802.1X Wireless” para realizar la
autenticación WiFi 802.1X definida en el nivel 1 del modelo de seguridad, “Web-
based Health Check Only” para la comprobación del estado del dispositivo,
definido en el nivel 2 del modelo de seguridad y “RADIUS Authorization”, para
poder autorizar al levantamiento del túnel VPN/IPsec del nivel 3 del modelo de
seguridad.
152.Las características de implementación de cada uno de estos servicios varían,
siendo común a todos ellos la definición de una “Enforcement Policy” (política de
cumplimiento) para cada uno de ellos, que se ha de aplicar tras una ejecución
correcta del servicio donde se encuentre definida.
153.Su configuración se realiza a través de ClearPass Policy Manager > Configuration >
Services > Add.
9.12.2. ENFORCEMENT POLICIES
154.Se define una “Enforcement Policy” o política de aplicación para cada uno de los
servicios que se definen, ya que agrupa en forma de condiciones una serie de
reglas que se aplican tras la correcta ejecución de cada uno de los servicios. En

USO OFICIAL
función del cumplimiento o no de esas condiciones, se ejecutan unos perfiles

definidos a través de “Enforcement Profiles” o perfiles de cumplimiento. Para este
caso de uso particular, se emplearán policies de tipo “RADIUS” y “WEBAUTH”.
155.Su creación se lleva a cabo a través de ClearPass Policy Manager > Configuration >
Enforcement > Policies.
9.12.3. ENFORCEMENT PROFILES
156.Un “Enforcement Profile” o perfil de aplicación es aquella configuración que se

aplica dentro de una “Enforcement Policy” cuando se cumple alguna de las
condiciones especificadas. En el caso de uso particular de esta guía se emplearán
para ejecutar los cambios de rol de usuario en función de los distintos niveles de
seguridad definidos y del cumplimiento de los requisitos por parte del cliente. Se
definirán perfiles de tipo “RADIUS” y “Agent”.
157.Se crean a través de ClearPass Policy Manager > Configuration > Enforcement >
Policies > Add.
9.12.4. POSTURE POLICIES
158.Se trata de políticas que definen los requisitos sobre el estado de salud del
dispositivo que se va a conectar a la red a través de unos “Posture Plugins”. Para
este caso de uso particular se definen los requisitos especificados en el apartado
6.2, nivel 2: comprobación del estado del dispositivo. Estos requisitos serán
verificados por el agente NAC ClearPass OnGuard para decidir si el estado del
equipo es Healthy, Quarentine o Unknown.
159.Su configuración se realiza a través de ClearPass Policy Manager > Configuration >
Posture > Posture Policies > Add.
9.12.5. LOCAL USERS
160.Ubicada en ClearPass Policy Manager > Configuration > Identity > Local Users, es la
base de datos interna de ClearPass. Se empleará como almacén de credenciales de
usuario. Cada vez que se genere un certificado de identidad de usuario que se
quiera conectar a la red WiFi o un certificado de usuario de curva elíptica, debe ser
creado un usuario en esta base de datos interna para que ClearPass lo acepte
como usuario con permisos de acceso al sistema.
9.13. ROLES DE USUARIO Y POLÍTICAS DE CORTAFUEGOS

161.La configuración de roles de usuario se realiza en el Controlador de Puntos de
Acceso en Configuration > SECURITY > Access Control > User Roles > Add,
introduciéndose los siguientes campos:
 “Role name”: nombre del rol de usuario.
 “Re-authentication Interval”: tiempo de en el cuál se pide volver a autenticar al
cliente. Se recomienda configurarlo tal que se autentique al cliente al menos
una vez a día (1440 minutos).
 “Role VLAN ID”: identificador de VLAN a la que está asociado el rol.

USO OFICIAL
 “VIA Connection Profile”: perfil de conexión VIA al que está asociado ese rol (en
el caso de que esté asociado a una conexión VPN/IPsec).
 “Firewall Policy”: permisos de acceso asociados que tiene ese rol de usuario. Se
definirán a través de la creación de distintas políticas y reglas de cortafuegos.
Se definen dentro del rol de usuario, en la pestaña Firewall Policies > Add a
partir de alguna que ya se encuentren configuradas de fábrica en el
Controlador, creadas a partir de algunas ya existentes o generando algunas
nuevas. Para el caso de uso de esta guía, se crearán nuevas políticas de la
siguiente manera a través de la opción “Create New Policy”, configurando:
o Un nombre a la política de cortafuegos.
o Tipos de política de tipo “Session” que nos permitan crear
posteriormente reglas de filtrado diferenciando dirección IP de la fuente
y del destino, servicio, aplicación o red a filtrar y acción a realizar entre
otros parámetros.
o Añadimos reglas haciendo click en “Add”, y guardamos la política de
cortafuegos a través de “Done”.
162.Se recomienda definir una política de cortafuegos para cada rol de usuario ya que,
si una misma política de cortafuegos se emplea para varios roles de usuario, puede
darse el caso de que se quiera modificar el acceso que tiene uno de los roles de
usuario a un determinado servicio, pero no para todos los roles de usuarios que
empleen esa política, con lo que se crearía un agujero de seguridad.
163.Se Recomienda que la definición de los roles de usuario en el Controlador se lleve
a cabo en el orden definido en el apartado 10, configuración de los niveles de
seguridad.
164.En este caso de uso se han implementado los roles de usuario definidos en el
apartado 8.4, Aplicación del modelo de seguridad. A continuación, se muestra una
tabla resumen con los parámetros definidos para cada rol de usuario:
VIA
Role Re-Authentication
Connection Firewall Policy
VLAN ID Interval
Profile
Rol_Validacion 130 1440 min. (1 día) Not Assigned FW-Validacion
FW-
Rol_Cuarentena 140 1440 min. (1 día) Not Assigned
Cuarentena
FW-
Rol_EstadoSaludable 150 1440 min. (1 día) Not Assigned
Est.Saludable
PerfilConexion-
Rol_VPN/Ipsec 160 1440 min. (1 día) FW-VPN/IPsec
VPNSuiteB
Ilustración 48 - Resumen de la configuración de los roles de usuario
165.En la siguiente tabla se resumen las reglas de filtrado de cada una de las políticas
de cortafuegos:

USO OFICIAL
Política de IP
Source Destination Service/Application Action
Cortafuegos Version
IPv4 Any Any svc-dhcp Permit
IPv4 Any ClearPass tcp 6658 Permit
FW-Validacion IPv4 Any ClearPass udp 3799 Permit
IPv4 Any ClearPass udp 1812-1813 Permit
IPv4 Any ClearPass svc-https Permit
tcp 6658 (Control
IPv4 Any ClearPass Permit
Channel)
IPv4 Any ClearPass udp 3799 Permit
FW-Cuarentena
Otras definidas por la política corporativa (Servidores
Remediación)
IPv4 Any ClearPass tcp 6658 Permit
IPv4 Any ClearPass udp 3799 Permit
FW-Est.Saludable
IPv4 Any Controlador svc-https Permit
IPv4 Any Controlador svc-ike (udp 500) Permit
IPv4 Any Controlador svc-natt (udp 4500) Permit
IPv4 Any Controlador tcp 6658 Permit
IPv4 Any Controlador udp 3799 Permit
FW-VPN/IPsec
IPv4 Any Controlador udp 1812-1813 Permit
IPv4 Any Controlador svc-https Permit
Otras definidas por la política corporativa (Finalización del túnel)
Ilustración 49 - Resumen de las políticas de cortafuegos para cada rol de usuario
166.Para ilustrar cómo son los menús de configuración de los roles de usuario, se
muestra en la siguiente ilustración cómo quedaría definido el
“Rol_EstadoSaludable” y el cortafuegos asociado al mismo:
Ilustración 50 - Definición del "Rol_Estado Saludable" en el Controlador

USO OFICIAL
Ilustración 51 - Definición de las reglas asociadas al "Rol_EstadoSaludable"
9.14. ALMACENAMIENTO DE CREDENCIALES DE USUARIOS

167. Como se ha comentado en apartados anteriores, se utilizará como base de datos
de las credenciales de usuario, la base de datos interna de ClearPass. Como
respaldo a ese almacén de credenciales y con el objetivo de poder acceder al
sistema en caso de fallo o caída de ClearPass, se empelará como almacén de
credenciales genéricas de acceso la base de datos interna del Controlador.
9.14.1. BASE DE DATOS INTERNA DE CLEARPASS
168.Se recomienda crear un usuario dentro de esta base de datos asociado a cada
certificado de identidad de los clientes. De esta forma, cada cliente deberá contar
con dos entradas en esta base de datos: la perteneciente al certificado de
autenticación de la red empleado en el nivel 1 del modelo de seguridad y la
perteneciente al certificado de curva elíptica del nivel 3 del modelo de seguridad.
169.El acceso a la misma se ha descrito en el apartado 9.13.5 Local Users. Se
recomienda rellenar los campos “Name”, “User ID” con el nombre del certificado
de identidad, “Password” y “Role” (permite etiquetar, sólo nombrar, al usuario
con el rol que le corresponde).
170.Dentro de la definición de las credenciales de usuario también se pueden añadir
distintos atributos al mismo como por ejemplo correo electrónico, teléfono o
departamento a través del campo Attributes > Attribute > Department, Email,
Phone, etc.

USO OFICIAL
Ilustración 52 - Creación de usuario local en ClearPass Policy Manager
9.14.2. BASE DE DATOS INTERNA DEL CONTROLADOR
171.Se recomienda crear usuarios con identificadores genéricos del tipo

“administrador”, “empleado”, etc. Esto se puede realizar desde Configuration >
SECURITY > Authentication > Servers > Internal DB > Add User. Un ejemplo de su
implementación se puede ver en las siguientes ilustraciones:
Ilustración 53 - Configuración del usuario "administrador" en el Controlador
Ilustración 54 - Listado de usuarios en la base de datos interna del Controlador
9.15. CONFIGURACIÓN DE LOS CORTAFUEGOS DE LA RED

172.Se contará con tres cortafuegos de red que permitan filtrar el tráfico que llega a
las distintas zonas de la misma. No se definen recomendaciones para la
configuración del cortafuegos existente entre la red corporativa e Internet, ya que

USO OFICIAL
las reglas de filtrado de tráfico dependerán de la empresa donde se despliegue la

red. Las configuraciones a realizar en los cortafuegos entre la red de acceso WiFi y
la red interna así como el cortafuegos entre ClearPass y los servidores, se muestra
a lo largo de este apartado.
9.15.1. CORTAFUEGOS RED ACCESO WIFI – RED INTERNA
173.Será obligatorio habilitar el puerto UDP/4500 para ISAKMP/IKE NAT Transversal

ya que es el empleado por el cliente VIA (cliente VPN) y Puntos de Acceso
trabajando en modo CPsec.
174.Es opcional configurar los siguientes puertos:
 El puerto 67/DHCP que es empleado de manera opcional por la infraestructura
(Puntos de Acceso y Conmutadores). Se habilitará en el caso de que en el
Controlador de Puntos de Acceso resida el servidor DHCP de infraestructura de
red.
 El puerto 443/HTTPS que es el utilizado por el cliente VIA para realizar la
descarga del perfil VPN a través de una conexión cableada (cuando no se
realice mediante WiFi).
9.15.2. CORTAFUEGOS CLEARPASS - SERVIDORES
175. Será necesario abrir únicamente estos puertos para la comunicación ClearPass-
Controladora:
 TCP/UDP 1812 RADIUS
 TCP/UDP 1813 RADIUS
 TCP/UDP 3799 RADIUS CoA - RFC3576
176.Estos puertos serán necesarios para que los clientes, puedan reportar su estado de
salud a ClearPass:
 TCP 443 HTTPS
 TCP 6658 OnGuard to CPPM
10. CONFIGURACIÓN DE LOS NIVELES DE SEGURIDAD
10.1. NIVEL 1: AUTENTICACIÓN 802.1X MEDIANTE EAP-TLS

177.Para implementar este nivel de seguridad, son requisitos indispensables los
siguientes:
 Tener desplegados los equipos de red: Puntos de Acceso en modo “Campus AP
(CAP)”, Controlador de Puntos de Acceso en modo “master” y ClearPass.
 El cliente WiFi deberá tener instalados los certificados de autenticación WiFi de
cliente y el certificado de servidor RADIUS (ClearPass).
10.1.1. CONTROLADOR
178.Se deberán realizar las siguientes configuraciones en el Controlador de Puntos de

USO OFICIAL
Acceso:
 Creación de las SSID necesarias para desplegar la red inalámbrica según los
parámetros especificados en el apartado 9.12, Configuración de SSID.
 Definición de ClearPass como servidor RADIUS y servidor RFC 3576 en el
Controlador de Puntos de Acceso según las descripciones realizadas en los
apartados 9.10.1 y 9.10.2 de alta de equipos.
 Definición de los roles de usuario “Rol_Validacion”, “Rol_Cuarentena”,
“Rol_EstadoSaludable” y “Rol_Administración” conforme a las especificaciones
realizadas en los apartados 8.4 y 9.14.
 Definición de una serie de usuarios genéricos en la base de datos interna del
Controlador.
10.1.2. CLEARPASS
179.A partir de las descripciones de las distintas configuraciones a realizar en ClearPass

según el apartado 9.13, se definirán las siguientes funcionalidades:
 Especificación del Controlador como dispositivo de red para permitir la
aplicación de los distintos roles de usuario y sus características asociadas
siguiendo las recomendaciones realizadas en el apartado 9.10.3 de alta de
equipos.
 Definición en la base de datos interna de ClearPass Policy Manager los
identificadores de usuarios que están habilitados para conectarse a la red WiFi.
Ilustración 55 - Definición de los usuarios que acceden a la red WiFi en ClearPass
 Definición de un servicio de tipo “Aruba 802.1X Wireless” que permita el acceso

WiFi a los clientes. Este servicio con nombre “Servicio1-Autenticacion_802.1X”
tendrá las siguientes características:
o “Service Rules” (reglas del servicio): se generan tres reglas por defecto,
“Nas-Port-Type”, “Service Type” y “Aruba-Essid-Name”. En esta última
se introduce en el campo “Value” el nombre del SSID a través del cual se
vaya a realizar la conexión (el definido en el punto anterior). De esta
forma sólo se permite realizar el proceso de autenticación a la red WiFi
802.1X a través de esa SSID.
o “Authentication” (autenticación): el método de autenticación que se

USO OFICIAL
recomienda emplear es EAP-TLS con fuente de autenticación “Local

User Repository”, que es la base de datos interna de ClearPass Policy
Manager.
o “Enforcement” (Aplicación): una vez que la ejecución del servicio se ha
realizado de manera satisfactoria, se ejecutará la “Enforcement Policy”
indicada en la definición del servicio. Es importante que en este servicio
se habilite la opción “Used cached Roles and Posture attributes fom
previus sessions” ya que permite almacenar en caché el estado anterior
del dispositivo, utilidad empleada para el proceso de reautenticación
necesario para llevar a cabo el cambio de nivel definido en el modelo de
seguridad.
Un resumen de cómo queda definido el servicio es el que se muestra en la
siguiente imagen:
Ilustración 56 - Definición del servicio “Servicio1-Autenticación_802.1X”
 Definición de un “Enforcement Profile”. Será necesario crear tres perfiles para

añadirlos posteriormente a una “Enforcement Policy” de tipo “RADIUS”:
o “Perfil1-Validacion”: perfil en el que al cliente se le aplicará al usuario el
rol “Rol_Validación” definido en el Controlador.
o “Perfil2-Cuarentena”: perfil en el que al cliente se le aplicará al usuario
el rol “Rol_Cuarentena” definido en el Controlador.
o “Perfil3-Estado_Saludable”: perfil en el que al cliente se le aplicará el rol
de usuario “Rol_Estado Saludable” definido en el Controlador.
A continuación se muestra a modo de ejemplo, cómo quedaría definido
el ”Enforcement Profile”, “Perfil1-Validacion”. El resto de perfiles se
configurarían de la misma manera.

USO OFICIAL
Ilustración 57 - Definición del Enforcement Profile "Perfil1-Validacion"
 Definición de una “Enforcement Policy” de tipo “RADIUS”. Será necesario

generar una política que, en función del cumplimiento de una serie de
condiciones, aplique los distintos perfiles definidos. En este caso, se creará una
con nombre “Politica1-AccesoCertificado” en el que se definan tres reglas o
“Rules” cuyas condiciones incluyan:
o El campo “Type” como “Tips”.
o El campo “Name” como “Posture”.
o El campo “Operator” como “EQUALS”.
o El campo “Value” como “UNKNOWN”, “QUARENTINE” y “HEALTHY” para
cada uno de los estados del dispositivo.
Cada una de estas reglas contendrá un “Enforcement Profile” que será la acción
que se llevará a cabo en función de si la regla se cumple o no. Estas acciones
(“Actions”) serán:
o Si el estado de salud del dispositivo cliente autenticado UNKNOWN, se
traslada al cliente a la “Red de Validación”.
o Si el estado del dispositivo cliente autenticado es QUARENTINE, se
traslada al cliente a la “Red de Cuarentena”.
o Si el estado del dispositivo cliente autenticado es HEALTHY, se traslada
al cliente a la “Red de Estado Saludable”.
A continuación, se muestra cómo queda definida esta “Enforcement Policy”.
Ilustración 58 - Definición de Enforcement Policy "Politica1-AccesoCertificado"

USO OFICIAL
 Definición de los usuarios en la base de datos interna de ClearPass: se crearán

en la base de datos de ClearPass Policy Manager los usuarios que tienen
certificado de acceso WiFi 802.1X, con los mismos nombres e identificadores
que aparezcan en el certificado de identidad de los mismos. Esta base de datos
de usuarios se actualizará, borrando o modificando a aquellos usuarios cuyos
permisos hayan sido modificados.
10.2. NIVEL 2: COMPROBACIÓN DEL ESTADO DEL DISPOSITIVO

siguientes:
 Tener desplegado el nivel 1, autenticación 802.1X con EAP-TLS según la
configuración descrita en el apartado anterior.
 Contar en el dispositivo cliente con el agente NAC ClearPass OnGuard + VIA
instalado. (Aunque el componente VIA no se vaya a utilizar en este nivel, será
necesario contar con el mismo para implementar el nivel 3 del modelo de
seguridad).
10.2.1. CONTROLADOR
181.No se realizará ninguna configuración adicional sobre el Controlador de Puntos de

Acceso.
10.2.2. CLEARPASS
182.A partir de los requisitos definidos en el apartado 8.4.2, se definirán las siguientes
funcionalidades en ClearPass:
 Para que el administrador de la red o el departamento de IT configure e instale
adecuadamente el agente ClearPass OnGuard en los equipos de los clientes, se
realizará la descarga del software desde ClearPass Policy Manager >
Administration > Agents and Software Updates. Además, deberá estar
habilitada la opción en el “Installer Mode” de “Install and enable Aruba VIA
component”, en Agent Customization > Mode de “Check health – no
authentication” y en “Native Dissolvable Agent Customization” seleccionadas
“Wired”, “Wireless” y “VPN”. Se puede ver en la siguiente ilustración la
configuración a aplicar con mayor claridad:

USO OFICIAL
Ilustración 59 - Configuración del Agente ClearPass OnGuard
El tiempo que el agente OnGaurd almacena la caché de los usuarios se puede

modificar a través de ClearPass Policy Manager > Administration > Agents and
Software Updates > OnGuard Settings > Global Agent Settings.
Ilustración 60 - Configuración del agente ClearPass OnGuard
 Definición de un servicio de tipo “Web-based Health Check Only” que permita

crear un diagnóstico sobre el estado del dispositivo a través del resultado de la
ejecución del agente ClearPass OnGuard. Este servicio con nombre “Servicio2-
ComprobacionEstadoDispositivo” tendrá las siguientes características:
o Habilitar opción “Posture Compliance” para permitir añadir cuáles son
las “Posture Policies” que se quieren aplicar al servicio. Esto creará una
nueva pestaña en la que se seleccionará la “Posture Policy” “Validación
de Estado de Dispositivo” definida en los siguientes apartados.
o Reglas del servicio: por defecto se genera una regla de tipo “CheckType”

USO OFICIAL
en la que se comprueba que sólo se estará en estado HEALTHY si

coincide el resultado de la ejecución de ClearPass OnGuard con las
definiciones realizadas en “Posture Policies”.
o Se aplicará la “Enforcement Policy” definida como “Politica2-
ComprobacionEstadoDispositivo”, que se aplicará una vez que el cliente
se haya autenticado satisfactoriamente en la red WiFi 802.1X y esté
esperando a conocer el resultado del estado de su dispositivo a través
del agente ClearPass OnGuard.
siguiente imagen:
Ilustración 61 - Definición del servicio que comprueba el estado del dispositivo
 Se emplearán los siguientes “Enforcement Profiles”:

o Un par de perfiles de tipo “Agent” que permiten ejecutar una
notificación en el equipo del cliente informándole de qué acciones debe
realizar. Estos perfiles son “Perfil4-NotificacionBienvenida” en el caso de
que el resultado de la ejecución de ClearPass OnGuard sea HEALTHY y
un perfil “Perfil5-NotificacionCuarentena” para el caso en el que el
resultado de la ejecución del agente OnGuard sea cuarentena
(QUARENTINE) y mediante el cual se informe al cliente de su equipo no
cumple con los requisitos de la red establecidos. A continuación, se
muestra cómo queda definido el “Perfil4-NotificacionBienvenida. La
notificación de cuarentena se definiría de la misma manera.

USO OFICIAL
Ilustración 62 - Definición del Enforcement Profile para notificación al cliente
o Además, se aplicará el perfil definido por defecto en ClearPass como

“Aruba Terminate Session” que permitirá realizar un cambio en la
autorización (CoA) con lo que se podrá pasar de la “Red de Validación” a
la “Red de Cuarentena” y a la “Red de Estado Saludable”.
 Definición de una “Enforcement Policy” de tipo “WEBAUTH”. Será necesario
generar una política que permita verificar las siguientes condiciones:
o Si el estado de salud del dispositivo es HEALTHY entonces se manda una
petición de cambio de autorización (“Aruba Terminate Session”) que
permita trasladar al cliente a la “Red de Estado Saludable” y se le envía
una notificación cliente (“Perfil4-NotificacionBienvenida”) informándole
del cambio.
o Si por el contrario el equipo cliente se encuentra en estado cuarentena
(QUARENTINE), se traslada al cliente a la “Red de Cuarentena”,
notificando al cliente del cambio a través del “Perfil5-
NotificacionCuarentena”.
Esta política ha sido definida con el nombre “Politica2-
ComprobacionEstadoDispositivo” como se presenta a continuación:
Ilustración 63 - Definición de política a aplicar en nivel 2 del modelo de seguridad
 Definición de una “Posture Policy” con nombre “ValidacionEstadoDispositivo”

en la que se especifique:
o Nombre y descripción de la política
o “Posture Agent”: “OnGuard Agent” (Persistent or Dissolvable)

USO OFICIAL
o “Host Operating System”: Windows

o “Posture Plugins”: se selecciona y configura “ClearPass Windows
Universal System Health Validator” con los dos requisitos mínimos
definidos en el apartado 8.4.2, nivel 2: comprobación del estado del
dispositivo: que el sistema operático del equipo cliente esté actualizado
al menos a versiones no posteriores a dos meses y que exista un
antivirus instalado y en ejecución en el equipo, con instalación de
actualizaciones no posteriores a dos meses.
o “Rules”: se especifican dos reglas con las siguientes condiciones:
 Si se cumplen todos los requisitos, se establece que el estado de
seguridad del dispositivo ha sido verificado. Para definir esta
regla se especifica:
 “Select Plugin Checks” como “Passes all SHV checks”.
 “Select Plugins”, habilitada la opción “ClearPass Windows
Universal System Health Validator”.
 “Posture Tokens” como “HEALTHY(0)”.
 Se no se cumplen uno o más requisitos, se establece que el
estado del dispositivo es de cuarentena. Para definir esta regla
se especifica:
 “Select Plugin Checks” como “Fails one or more SHV
checks”.
 “Select Plugins”, habilitada la opción “ClearPass Windows
Universal System Health Validator”.
 “Posture Tokens” como “QUARENTINE(20)”.
El resumen de la política configurada se muestra a continuación:
Ilustración 64 - Configuración de una Posture Policy en ClearPass
 Se especificará el periodo de comprobación el estado de salud del dispositivo

en ClearPass Policy Manager > Administration > Server Manager > Server

USO OFICIAL
Configuration > Selección del servidor a configurar > Service Parameters en un

valor de 30 segundos (por defecto viene configurado de esta manera).
Ilustración 65 - Especificación de parámetros de servicio en ClearPass
10.3. NIVEL 3: TÚNELES VPN/IPSEC

siguientes:
 Tener desplegados el nivel 1, autenticación 802.1X con EAP-TLS y el nivel 2,
comprobación del estado del dispositivo, según las configuraciones descritas en
los apartados anteriores.
 El cliente WiFi deberá tener instalados los certificados de autenticación tanto
de cliente como de raíz de Autoridad de Certificación (OpenSSL) así como el
perfil de VPN necesario para levantar el túnel.
 En la base de datos interna del Controlador deben estar definidos los
identificadores de usuario que tienen certificado de autenticación, necesario
para poder establecer el túnel VPN/IPsec.
10.3.1. CONTROLADOR
184.Se deberán realizar las siguientes configuraciones en el Controlador de Puntos de

Acceso:
 Importar certificados de curva elíptica en el controlador según el apartado 9.8,
certificados. Deberán importarse los certificados raíz de Autoridad de
Certificación (RootCA) de OpenSSL y el certificado de servidor. Para más
información sobre este tipo de certificados, consultar el anexo E, generación de
certificados de curva elíptica.
 Configurar los siguientes servicios de VPN a través de Configuration >
ADVANCED SERVICES > VPN Services:
o “L2TP and XAUTH Parameters”: deshabilitar las opciones “Enable L2TP”,
“Enable XAuth” y “Authentication Protocols > PAP” que vienen definidas
por defecto. Aportar las direcciones IP de los DNSs primario y
secundario en la opción “Primary DNS Server” y “Secondary DNS Server”.

USO OFICIAL
Ilustración 66 – Configuración de L2TP y XAuth en VPN
o “Address Pools”: añadir las direcciones a asignar para el túnel VPN. Para
el ejemplo del caso de estudio se ha elegido asignar las direcciones
pertenecientes a la VLAN 60 en el rango 10.1.160.1/24 a 10.1.160.96/24.
Ilustración 67 - Pool de direcciones IP para conexión VPN/IPsec
o “IKE Server Certificate”: seleccionar el certificado de servidor importado

en el apartado anterior.
o “CA Certificate Assigned for VPN-Clients”: seleccionar el certificado raíz
de Autoridad de Certificación (RootCA) importado en el apartado
anterior.
o “IKE Policies”: deben encontrarse añadidas las siguientes políticas IKE
para que funcione el establecimiento del túnel:
 Default 10008
 Default 10009
o “IPsec Dynamic Map”: son necesarias para llevar a cabo las
negociaciones de IPsec. Se crea una nuevo que cumpla con los
siguientes requisitos a través del botón “Add”:
 Nombre: se pone un identificador significativo. En este caso se
ha elegido “SuiteB-IPsec”.
 Priority: 10000
 Version: V2
 Set PFS: GROUP 20
 Transform Set: default-GCM256

USO OFICIAL
Ilustración 68 - Definición de una nueva "IPsec Dynamic Map" en el Controlador
En la siguiente imagen se puede observar cuáles son las “IPsec Dynamic Map”
definidas en el Controlador:
Ilustración 69 - "IPsec Dynamic Map" definidas en el Controlador
 Crear el rol de usuario asociado al establecimiento del túnel VPN/IPSec, con

nombre “Rol_VPN/IPsec” según las configuraciones descritas en los 8.4.4 y 9.14.
 Configurar la autenticación a nivel 3 a través de Configuration > SECURITY >
Authentication >L3 Authentication. Para ello es necesario llevar a cabo las
siguientes configuraciones:
o “VIA Authentication Profile” (Perfil de Autenticación VIA): se añade a
través de VIA Authentication > Add. Se le asigna como rol por defecto el
rol de usuario asociado al establecimiento del túnel VPN,
“Rol_VPN/IPsec” y se habilita la opción de “Check certificate common
name against AAA server”. Si se quisiese realizar la descarga del perfil
VPN vía WiFi, es recomendable utilizar como protocolo de autenticación
“PAP”. A este VIA Authentication Profile se le ha denominado
“PerfilAutenticacion-VPNSuiteB”.
Dentro de la definición de este perfil (“PerfilAutenticacion-VPNSuiteB”),
en la opción “Server Group”, se especificará cuál es el servidor de
autenticación que se va a utilizar para el establecimiento del túnel
VPN/IPsec. Para ello, se establecerá como Server Group el creado en el
apartado 9.10, con nombre “ServidoresRADIUS”, ya que tiene como
primera fuente de autenticación ClearPass y, como segunda, la base de
datos interna del Controlador. Cabe la posibilidad de definir otro grupo
de servidores para utilizar fuentes de autenticación distintas para la
autenticación WiFi (nivel 1 del modelo de seguridad) y para la
autenticación del túnel VPN/IPsec (para el nivel 3 del modelo de
seguridad).

USO OFICIAL
Se puede configurar la opción “Max Authentication Failures” para

especificar el número máximo de intentos fallidos permitidos. Por
defecto está configurado como “0”.
Ilustración 70 - Creación de un "VIA Authentication Profile" en el Controlador
o “VIA Connection Profile” (Perfil de Conexión VIA): se añade un nuevo

perfil a través de VIA Connection > Add con las siguientes características:
 Nombre: se le da un nombre al perfil de conexión, en este caso,
“PerfilConexion-VPNSuiteB”.
En la configuración “Advanced” se añade:
 “VIA Servers”: se indican quiénes son los servidores del túnel. En
nuestro caso:
“Hostname/IP Address”: 10.1.150.64
“Internal IP Address”: 10.1.160.64
“Description”: una breve descripción para saber cuáles son los
servidores externos e internos del túnel.
 “Client Auto-Login”: habilitado, para que los clientes puedan
conectarse de manera automática.
 “VIA Authentication Profiles to Provision”: se añade el perfil de
autenticación VIA creado anteriormente, “PerfilAutenticacion-
VPNSuiteB”.
 “Allow client to auto-upgrade”: habilitarlo para permitir que el
agente ClearPass OnGuard + VIA se actualice automáticamente
cuando exista una actualización disponible en ClearPass.
 “VIA tunneled networks”: se añaden las redes a las que tiene
permiso el cliente llegar a través del túnel VPN/IPsec. Esto
variará en función del diseño de la red corporativa.

USO OFICIAL
 “Allow client side logging”: se recomienda habilitarlo ya que

almacena los logs con el fin de enviarlos posteriormente a
soporte para su posible análisis.
 “VIA IKE V2 Policy”: es una lista de políticas de IKEv2 que pueden
ser usadas como parte de la autenticación. Como usaremos
IKEv2 en esta configuración, es necesario que esté seleccionada
una la política, “Default 10009 - AES256/SHA2-384-192/ECDSA-
384/GROUP 20[300-86400]”.
 “VIA IKE Policy”: se recomienda configurar la política “20 –
AES256/SHA/PRE-SHARE/GROUP 14/[300-86400]”.
 “Enable IKEv2”: se debe habilitar para hacer uso de IKEv2.
 “Use Suite B Cryptography”: habilitado para poder hacer uso de
la suite criptográfica “Suite B”.
 “IKEv2 Authentication method”: utilizaremos IKEv2 para
autenticación de certificado nativo con lo que seleccionaremos
como método de autenticación “user-cert”.
 “VIA IPsec V2 Crypto Map”: es la IPsec Dynamic Crypto Map que
el cliente VIA utiliza para conectarse al controlador.
Seleccionaremos la nueva creada en el anteriormente con
nombre “SuiteB-IPsec”.
 “VIA IPsec Crypto Map”: se emplea para conectar al cliente con el
controlador. Se debe configurar el que lleva por nombre
“default-dynamicmap/10000-undefined/PFS-/default-transform,
default-aes”.
 “Allow users to save passwords”: deshabilitado para que cada
vez que el usuario acceda a la VPN, tenga que seleccionar el
certificado a través del cual realizar la autenticación.
 “VIA Client Network Mask”: es la máscara que obtendrá el cliente
cuando se conecte mediante el túnel VPN/IPsec. En el ejemplo
de caso de uso de esta guía tendremos 255.255.255.255.
 “Validate Server Certificate”: debe estar habilitado puesto que,
de lo contrario, el agente ClearPass OnGuard + VIA no validaría
el certificado del servidor con lo que se podría realizar un ataque
de suplantación del servidor.
 “Allow user to disconnect VIA”: se recomienda habilitarla puesto
que es la configuración que permite al usuario desconectarse de
la sesión VPN/IPsec.

USO OFICIAL
Ilustración 71 - Configuración (I) de un "VIA Connection Profile" en el Controlador
Ilustración 72 - Configuración (II) de un "VIA Connection Profile" en el Controlador

USO OFICIAL
Ilustración 73 - Configuración (III) de un "VIA Connection Profile" en el Controlador
o “VIA Web Authentication” (Autenticación VIA WEB): se añade el nuevo

perfil de autenticación VIA (“PerfilAutenticacion-VPNSuiteB”) al grupo
“default” para que el administrador de la red sea capaz de descargarlo
en el dispositivo del cliente. Para ello, seleccionar el perfil de
autenticación VIA a través del desplegable “VIA Authentication Profile” y
posteriormente añadirlo mediante el botón “Add”.
Ilustración 74 - Creación de un "VIA Web Authentication Profile" en el Controlador
 Se asocia el perfil de conexión VIA PerfilConexion-VPNSuiteB al rol de usuario

“Rol_VPN/IPsec”.
Ilustración 75 - Definición del "Rol_VPN_IPsec" en Controlador
 Se definen en la base de datos interna del Controlador de Puntos de Acceso, las

credenciales de usuario asociadas a los certificados de curva elíptica, necesario
para llevar a cabo el proceso de autenticación.
10.3.2. CLEARPASS
185.Se definirán las funcionalidades descritas a continuación en ClearPass:

 Definición de un servicio de tipo “RADIUS Authorization” que permita levantar
el túnel VPN/IPsec a los clientes. Este servicio con nombre “Servicio3-

USO OFICIAL
EstablecimientoVPN” tendrá las siguientes características:

o “More Options”: se desactiva la opción “Authorization” que viene
habilitada por defecto.
o “Service Rule”: se genera por defecto una regla “Service-Type” para
realizar el proceso de autorización. Se añadirá otra regla “NAS-Port-
Type” con valor “Virtual (5)” para poder establecer el túnel.
o “Enforcement”: una vez que la ejecución del servicio se ha realizado de
manera satisfactoria, se ejecutará la “Enforcement Policy” definida
como “Politica3-LevantamientoVPN”.
siguiente imagen:
Ilustración 76 - Definición del servicio túnel VPN "Servicio3-EstablecimientoVPN"
 Definición de un “Enforcement Profile” de tipo “RADIUS”. Será necesario crear

el siguiente perfil a añadir posteriormente en una “Enforcement Policy”:
o “Perfil6-TunelVPN”: perfil en el que al cliente se le aplicará al usuario el
rol “Rol_VPN/IPsec” definido en el Controlador.
Un ejemplo de cómo se define el “Enforcement Profile” “Perfil6-TunelVPN” es el
que se muestra a continuación:

USO OFICIAL
Ilustración 77 - Definición del Enforcement Profile "Perfil6-TunelVPN"
 Definición de una “Enforcement Policy” de tipo “RADIUS” con nombre

“Politica3-LevantamientoVPN”. Como se ha comentado a lo largo de este
documento, las condiciones y acciones a llevar a cabo en esta “Enforcement
Policy” varían en función de la política de la corporación donde se aplique. Con
el objetivo de mostrar una configuración completa en esta guía, se ha
especificado en este caso que sólo se pueda levantar el túnel VPN/IPsec (es
decir, que se pueda aplicar el perfil “Perfil6-TunelVPN” si el acceso se realiza en
un horario de 08:00 a 22:00 de lunes a viernes. Su definición sería la siguiente:
Ilustración 78 - Definición de la Enforcement Policy "Politica3-LevantamientoVPN"
 La descarga del perfil VPN no se recomienda realizarla a través de la conexión

WiFi. No obstante, se describe le servicio que es necesario definir en ClearPass
para llevar a cabo misma desde el agente ClearPass OnGuard.
o Definición de un servicio de tipo “RADIUS Enforcement Generic” con dos
“Service Rule” como las que aparecen en la siguiente ilustración, con
“Authentication” de tipo “PAP” y como fuente de autenticación, “Local
User Repository” y al que se le aplique la “Enforcement Policy” definida
en el punto siguiente.

USO OFICIAL
Ilustración 79 - Definición del servicio para descarga del perfil VPN en ClearPass
o Definición de una “Enforcement Policy” cuyas condiciones permitan la

descarga del perfil. Se ha definido en este ejemplo de caso de uso que la
descarga del perfil sólo pueda realizarse en horario laboral, es decir, de
lunes a viernes de ocho de la mañana a diez de la noche.
Ilustración 80 - Enforcement Policy que permite la descarga del perfil de VPN
o Definición de un “Enforcement Profile” de tipo “RADIUS” que aplique el

“Rol_VPN/IPsec” cuando una vez que la ejecución del servicio de
descarga del perfil se ejecute correctamente.

USO OFICIAL
Ilustración 81 - Enforcement Profile que permite la descarga del perfil VPN
10.4. MONITORIZACIÓN DEL ACCESO A LA RED WIFI

186.La observación del estado de un sistema o equipo resulta importante en cuanto
permite ser consciente del estado de los mismos y de los cambios que éstos sufren
a lo largo del tiempo.
187.En este apartado se recogen las formas básicas e monitorización que se incluyen
en los equipos de red empleados.
10.4.1. CONTROLADOR
188.Conocer qué clientes están conectados en el momento en el que se realiza la

consulta, así como dónde se encuentran localizados y el rol de usuario que tienen,
qué puntos de acceso se encuentran activos, qué SSID se están emitiendo, etc.,
puede verse reflejado en el menú Monitoring> NETWORK, CONTROLLER, WLAN,
etc. Esto puede resultar útil para detectar errores, conocer el estado de la red y
hacer pruebas para verificar que la configuración es correcta entre otros.
Ilustración 82 - Vista clientes conectados al Controlador
10.4.2. CLEARPASS
189.El sistema ClearPass incorpora una serie de pantallas a través de las cuáles se
pueden llevar a cabo tareas de monitorización, visualizando las siguientes trazas:
 Para conocer los servicios ejecutados, orden de ejecución de los mismos,
resultados que provocan, logs en la ejecución, etc, se puede navegar a través

USO OFICIAL
de ClearPass Policy Manager > Monitoring > Live Monitoring > Access Tracker.
En esta pantalla se puede verificar qué servicio se ha ejecutado y qué
resultados ha provocado, incluyendo fuente, destino, nombre de usuario, datos
temporales, alertas, etc.
Ilustración 83 - Access Tracker de ClearPass Policy Manager
 Se pueden conocer cuáles son los usuarios que en algún momento han
intercambiado los resultados de la ejecución del agente ClearPass OnGuard con
el sistema ClearPass a través de ClearPass Policy Manager > Monitoring > Live
Monitoring > OnGuard Activity.
Ilustración 84 - Vista de OnGuard Activity
 Los equipos que han realizado algún intercambio de datos con ClearPass
pueden verse a través de ClearPass Policy Manager > Configuration > Identity >
Endpoints.

USO OFICIAL
Ilustración 85 - ClearPass Endpoints
 A través de ClearPass Policy Manager > Monitoring > Live Monitoring > System
Monitor se pueden conocer datos de ClearPass como uso de la CPU, memoria
que está ocupada y que está libre, etc.
Ilustración 86 - ClearPass System Monitor
 ClearPass cuenta con un registro de todas las modificaciones que se realizan en

el sistema en cada momento. A este registro se encuentra situado en ClearPass
Policy Manager > Monitoring > Audit Viewer.

USO OFICIAL
Ilustración 87 - Audit Viewer de ClearPass Policy Manager
 Se pueden obtener reportes, análisis y alertas de seguridad a través de la

configuración de la generación de reportes con el histórico de datos sobre
usuarios y dispositivos autenticados, políticas aplicadas y medidas adoptadas a
través de ClearPass Insight.
11. RECOMENDACIONES DE SEGURIDAD

190.En este apartado se recogen una serie de recomendaciones de seguridad que se
deben tener en cuenta a la hora de desplegar la red. En apartados anteriores se ha
visto cómo se deben configurar en el caso de ejemplo de esta guía algunas de ellas.
191.Par ampliar la información aquí descrita, se pueden consultar las guías “ArubaOS
Hardening Guide” [Ref 5] y “ClearPass Hardening Guide” [Ref 6].
11.1. CONSIDERACIONES INICIALES

192. Realice un análisis y gestión de riesgos antes de comenzar con el despliegue de la
red que incluya la disponibilidad de los sistemas y servicios, la integridad de los
datos y las transacciones, el nivel de confidencialidad de los mismos, la
autenticidad de los datos intercambiados y la trazabilidad de estos intercambios
sobre el equipamiento que se va a utilizar, las conexiones que se van a establecer
entre ellos y quién y cómo va a operarlos.
193.Elaborar una serie de políticas de seguridad que definan quiénes tienen acceso
físico a los equipos de red, quiénes tiene acceso para administrarlos y qué
procedimientos deben ejecutarse en caso de intrusión. Esta política también debe
especificar qué métodos emplear para recuperar el funcionamiento habitual de los
dispositivos en caso de fallos, errores, intrusiones, etc.
194.Realice comprobaciones periódicas del cumplimiento de las políticas de seguridad.

USO OFICIAL
195.Desactive todos los servicios que no vaya a emplear.

196.Elimine en la medida de lo posible, toda la información que viene configurada por
defecto de aquellos servicios de los que vaya a hacer uso.
197.Instale equipos redundantes de aquellos equipos que en caso de fallo, error o
ataque no permitan un funcionamiento normal de la red.
198.Utilice sistemas de autenticación centralizada como servidores RADIUS o TACACS
con el fin de prevenir ataques internos.
199.Emplee en la medida de lo posible, un servidor DHCP ajeno al Controlador de
Puntos de Acceso. Además, se recomienda configurarlo de tal manera que la
asignación de direcciones IP sea fija para cada cliente en cada una de las distintas
redes.
200.Utilice servidores externos del tipo SNMP y syslog que permitan recoger datos
específicos sobre los equipos y las transacciones producidas en la red.
201.Cree una red dedicada de gestión que sólo transporte tráfico de gestión y
administración.
202.Almacene las credenciales cifradas.
11.2. LICENCIAS
203.Adquiera las licencias necesarias para implementar todas las características
definidas en los tres niveles del modelo de seguridad del apartado 6. Se recuerda
que en función del dimensionamiento de la red inalámbrica (número de puntos de
acceso, número de clientes, etc.), variarán alguna de las licencias a adquirir. Éstas
son:
 “Policy Enforcement Firewall for VPN Users”.
 “Access Points”.
 “Next Generation Policy Enforcement Firewall Module”.
 “RF Protect”.
 “Advanced Criptography”.
11.3. ACTUALIZACIONES Y COPIAS DE SEGURIDAD

204.Mantenga sus equipos actualizados a la última versión.
205.Realice copias de seguridad periódicamente, almacenándolas en equipos distintos
a aquellos que se están copiando.
206.Establezca mecanismos que definan procedimientos de recuperación de la
información, así como mecanismos de pruebas de su correcto funcionamiento
antes de su puesta en marcha.
207.Descargue las actualizaciones a través de los proveedores oficiales de los
fabricantes en tanto se ofrezca dicho servicio mediante un protocolo seguro de
comunicación.

USO OFICIAL
11.4. MÉTODOS Y CONDICIONES DE ACCESO

208.Configure las interfaces de “Management” y “Data” en ClearPass para un correcto
funcionamiento y aislamiento del equipo.
209.Utilice como métodos de acceso a los equipos seguros como el acceso mediante
interfaz de comandos (CLI), interfaz web (Web GUI) o SSH (puerto 22 TCP) con
listas de acceso.
210.Deshabilite el acceso a través de TELNET (puerto 23 TCP).
211.Establezca procedimientos seguros que permitan llevar un control sobre el
establecimiento y cambio de credenciales de acceso (ya sea usuario-contraseña o
certificado).
212.Solicite siempre credenciales de usuario para acceder a los equipos, cualquiera
que sea el método que se emplee.
213.Defina un tiempo máximo de inactividad (session timeout) a partir del cual se
bloquea el equipo y se solicita volver a introducir las credenciales de acceso del
usuario.
214.Genere las credenciales tipo usuario-contraseña y certificados de manera
individual ya que se facilita el proceso de trazabilidad del usuario.
215.Utilice canales seguros para transferir información entre equipos como
certificados, agentes, software, etc.
216.Instale los certificados de autenticación WiFi de manera que no sean exportables o
borrables.
217.Bloquee todos aquellos accesos que no desee a los sistemas, ya sea mediante
cortafuegos o configurando restricciones de acceso en los propios equipos.
11.5. CONFIGURACIÓN DE SERVICIOS EN EL EQUIPOS

218.Prohíba o deshabilite todas aquellas configuraciones que empleen IPv6 si no lo va
a emplear en su red.
219.Habilite el modo FIPS.
220.Habilite la autenticación NTP.
221.Utilice SNMPv3 puesto que incluye mejoras de seguridad de autenticación y envío
de datos cifrados con respecto a SNMPv1 y SNMPv2.
222.Transfiera ficheros a través de la opción de subida local (local file) o SCP.
Deshabilite el uso de FTP y TFTP.
223.Habilite el uso de CPsec en el Controlador de Puntos de Acceso.
224.Establezca mensajes de acceso a los equipos (banners) para informar al usuario de
sus derechos legales.
225.Establezca el mecanismo de adopción de direcciones IP de los clientes WiFi a
través de DHCP para que un cliente no obtenga una dirección IP hasta que éste se
haya autenticado en la red y, por consiguiente, no tenga acceso a la red antes del
proceso de autenticación. Evite ataques de denegación de servicio a través del

USO OFICIAL
establecimiento de controles de broadcast.

226.Establezca una configuración segura a nivel 3 en los conmutadores.
227.Configure los tres niveles de seguridad del modelo definido en el apartado 6 para
la conexión de los clientes usuarios vía WiFi.
228.Emplee el acceso WiFi a través del protocolo IEEE 802.1X con EAP-TLS. Deshabilite
la opción de uso en ClearPass de TLSv1.0 y TLSv1.1 a través de ClearPass Policy
Manager > Administration > Server Manager > Cluster-Wide Parameters >
General > Disable TLSv1.0 = none, Disable TLSv1.1 = none.
229.Utilice IKEv2 para el establecimiento de túneles IPsec.
230.Configure ClearPass de tal forma que cada 30 segundos realice una comprobación
sobre el estado de salud del dispositivo.
231.Emplee Listas de Acceso para configurar los servicios habilitados para cada equipo
o dispositivo cliente.
232.Habilite el sistema de detección de intrusiones inalámbrico (Wireless IDS) del
Controlador dado por la licencia “RF Protect”.
11.6. POLÍTICAS DE USUARIO Y REGLAS DE CORTAFUEGOS

233.Establezca roles de usuarios que permitan realizar un acceso jerárquico (con
distintos permisos) a los servicios definidos.
234.Limite el tráfico entre los usuarios conectados a la red: prohibición de
comunicación peer-to-peer a través de la prevención de tráfico Inter-User,
limitación en el acceso a puertos, etc.
235.Establezca listas de acceso (ACL) de direcciones IP válidas sólo para clientes WiFi.
236.Limite los puertos que han de estar abiertos en los equipos de red a los servicios
que estos estén empleando.
237.Incluya mecanismos que eviten o mitiguen tanto ARP Spoofing como IP Spoofing
con el fin de evitar ataques del tipo Man-In-The-Middle y de
clonación/suplantación de direcciones IP.
238.Proteja la asignación de direcciones IP mediante DHCP o de manera estática.
239.Habilite la opción de proxy ARP en el Controlador de Puntos de Acceso.
240.Establezca un control de defensa a través de la configuración de una serie de
reglas del cortafuegos del Controlador.
11.7. CONTRO DE USO DE RECURSOS DEL SISTEMA

241.Un punto importante a tener en cuenta es el uso de memoria de los equipos que
se estén empleando en el despliegue ya que, si no se tiene espacio suficiente en
disco, no se podrán almacenar datos que resultan significativos a nivel de
seguridad. Algunos ejemplos de ello son los ficheros de logs, ficheros de
monitorización, ficheros de copias de seguridad, reportes de auditorías, ficheros
con almacenamiento de cuentas expiradas, etc.
242.Para prevenir esta falta de espacio, en ClearPass existe un parámetro, expresado

USO OFICIAL
en forma de porcentaje, denominado “Free disk space threshold value”, que se

encuentra localizado en ClearPass Policy Manager > Administration > Server
Manager > Server Configuration > Cluster-Wide Parameters. Este indica que, si se
alcanza ese porcentaje de disco vacío, se realizará una limpieza de datos ya
existentes para, de esa manera, liberar espacio.
11.8. OTRAS RECOMENDACIONES

243.Utilice identificadores de SSID que no ofrezcan información útil para atacantes del
tipo ubicación del punto de acceso, fabricante del equipo, etc.
244.Realice una buena planificación radio antes de desplegar el sistema.
245.Limite el acceso físico a los equipos y apáguelos cuando no se estén utilizando.
246.Lleve un control sobre el uso de memoria consumida por los equipos y la que
queda libre.
247.Implemente sistemas de Detección de Intrusiones (IDS) para la detección de
posibles anomalías que generen alarmas.
248.Monitorice el tráfico de la red y realice una búsqueda periódica de anomalías.
249.Realice un inventario de dispositivos y una revisión periódica de ese inventario.
250.Realice un análisis periódico de vulnerabilidades y valorar otras configuraciones
que mejoren la seguridad de su red.
251.Implemente mayores medidas de seguridad que la comprobación de instalación
de últimas actualizaciones de sistema operativo y ejecución de un antivirus
actualizado a la hora de comprobar el estado de salud de los dispositivos que se
conectan la red.

USO OFICIAL
ANEXO A. GLOSARIO
 AAA (Authentication, Authorization, Accounting): acrónimo de Autenticación,
Autorización y Contabilización, es un protocolo que permite la autenticación de
usuarios a través de la identificación de los mismos, la autorización a través de
un sistema de control de acceso y la contabilización de recursos que este
usuario consume en la red.
 Autoridad de Certificación (CA): entidad perteneciente a una PKI
(Infraestructura de Clave Pública) confiable, que permite crear y asignar
certificados de clave pública.
 Certificado (certificado digital): documento electrónico que permite asociar una
clave criptográfica pública a una entidad propietaria de dicha clave (usuario,
equipo, etc.), protegido criptográficamente para garantizar su integridad y
autenticidad.
 DHCP (Dynamic Host Configuration Protocol, protocolo de configuración
dinámica de host): es un protocolo cliente-servidor que permite asignar
direcciones IP a los equipos de forma dinámica conforme estos se conectan a la
red.
 DNS (Domain Name System, sistema de nombres de dominio): método de
nomenclatura de los equipos que se conectan a una red IP, jerárquico y
descentralizado.
 ESP (Encapsulating Security Payload): cabecera IP que proporciona autenticidad
de origen, integridad de la conexión, protección de la confidencialidad del
paquete y anti-reaplay.
 EAP-TLS (Extensible Authentication Protocol – Transport Layer Security):
protocolo de autenticación en redes punto a punto a través del protocolo TLS,
última versión del protocolo SSL (Secure Socket Layer). Está basado en una
arquitectura 802.1X. El proceso de autenticación se lleva a cabo de manera
dinámica a través del cliente y servidor, presentando ambos sus certificados de
autenticación y comparando los recibidos con los almacenados. En el caso de
que ambos sean los mismos, la autenticación resulta exitosa.
 FIPS (Federal Information Processing Standard, Estándares Federales de
Procesamiento de la Información): normativa pública de los Estados Unidos
cuyo objetivo es establecer un nivel común de calidad y de garantías de
interoperabilidad. Se llama FIPS 140-2 al estándar de seguridad en ordenadores
del gobierno estadounidense para la acreditación de módulos criptográficos.
 FTP (File Transfer Protocol, protocolo de transferencia de ficheros): basado en
una arquitectura cliente-servidor, se trata de un protocolo de red que permite
transferir ficheros a través de sistemas conectados a una red TCP.
 HTTP (Hyper Text Transfer Protocol, protocol de transferencia de hipertexto):
protocol de comunicación que permite la transferencia de información a través
de la WWW (World Wide Web).
 HTTPS (Hyper Text Transfer Protocol Secure, protocol de transferencia de
hipertexto seguro): version segura de HTTP, es un protocol basado en el uso de

USO OFICIAL
SSL/TLS para crear un canal cifrado.

 IEEE 802.1X: norma del IEEE para realizar un control de acceso basado en
puertos. Forma parte de la familia de protocolos IEEE 802. Este protocolo
permite la autenticación de los dispositivos conectados a una LAN
estableciendo una conexión punto a punto. Se emplea en la autenticación en
redes inalámbricas basándose en el protocolo de autenticación extensible EAP
(RFC 2284)..
 IKE (Internet Key Exchange): protocolo empleado para el establecimiento de
una asociación de seguridad (SA) en el protocolo IPsec.
 IPsec (IP security): conjunto de mecanismos de protección que extienden los
protocolos IP para proporcionar servicios de control de acceso, integridad,
autenticidad de origen, confidencialidad y detección y rechazo de duplicados.
 NAT-T (NAT transversal): Mecanismo IPsec para encapsulación UDP de los
paquetes ESP. Permite mantener una conexión de red establecida utilizando los
protocolos TCP/IP o UDP que atraviesan NAT.
 NTP (Network Time Protocol): protocolo que permite sincronizar el reloj de los
equipos de una red.
 RADIUS (Remote Access Dial-In User Server): protocolo que provee de
autenticación, autorización y contabilidad (AAA) para aquellos clientes que se
quieran conectar a la red, de manera centralizada.
 RFC 3576 (Dynamic Authorization Extensions to Remote Authentication Dial In
User Service (RADIUS)): extensión del protocolo RADIUS que permite modificar
de manera dinámica una sesión de usuario (desconexión del mismo, cambio de
autorizaciones, etc.).
 SSH (Secure Shell): protocolo que permite establecer una conexión segura entre
dos sistemas empleando una arquitectura cliente/servidor. Este protocolo cifra
la información de sesión de la conexión.
 TCP (Transmission Control Protocol): protocolo de la capa de transporte (nivel 4)
del modelo TCP/IP orientado a conexión.
 UDP (User Datagram Protocol): protocolo de la capa de transporte (nivel 4) del
modelo TCP/IP, no orientado a conexión.
 VPN (Virtual Private Network, Red Privada Virtual): tecnología que permite
conectar entre sí equipos de red asegurando la confidencialidad, integridad y
disponibilidad del tráfico intercambiado en la comunicación.

USO OFICIAL
ANEXO B. COMANDOS BÁSICOS DE LOS EQUIPOS

 Controlador de Puntos de Acceso Aruba:
o “?”: muestra todos los tipos de comandos que se pueden ejecutar en el
sistema.
o “configure terminal”: permite acceder al menú a través del cual se
configura el equipo.
o “dir”: lista todos los ficheros y contenidos almacenados en la memoria
del Controlador con detalles de permisos, tamaño y fecha de
modificación. Puede resultar útil para realizar copias
o “ping <direccionIP>”: permite realizar un ping a cualquier sistema con lo
que se puede comprobar el estado de la comunicación entre el
Controlador y el sistema al que se realice.
o “show”: lista todos los comandos que se pueden aplicar sobre el sistema.
Se combina con otros comandos escribiendo “show <comando>” para
mostrar detalles específicos sobre <comando>.
o “show running-config”: presenta la configuración completa del
Controlador que se tenga en el momento de la ejecución.
o “write erase all”: borra todas las configuraciones realizadas en el
Controlador, incluidas las licencias, devolviéndolo a la configuración de
fábrica.
 ClearPass:
o “help”: muestra todos los comandos que se pueden ejecutar sobre el
acceso a través de interfaz de comandos a ClearPass.
o “configure date -s <ntpserver> […]”: permite configurar el reloj del
sistema a través de la dirección IP de un servidor NTP.
o “configure ip <mgmt|data> <direccionIP> netmask <mascara> gateway
<direccionIPGateway>”: permite configurar las direcciones IP de las
interfaces de ClearPass y el gateway asociado a cada una de ellas.
o “network ping <direccionIP>”: comando empleado para ejecutar un ping
entre ClearPass y el sistema indicado en el campo <direccionIP>.
o “show”: lista todos los comandos que se pueden aplicar sobre el sistema.
Se combina con otros comandos escribiendo “show [comando]” para
mostrar detalles específicos sobre [comando].

USO OFICIAL
ANEXO C. CONFIGURACIÓN DE UN SERVIDOR LDAP

252.En este anexo se describen cuáles son las configuraciones que se deben realizar si
se desea utilizar como almacén de credenciales un LDAP (Lightweight Directory
Access Protocol).
253.La definición del LDAP desde ClearPass se realiza a partir de ClearPass Policy
Manager > Configuration > Authentication > Sources > Add, eligiendo la opción
“Generic LDAP” en el campo “Type” y rellenando los campos solicitados. En la
referencia [Ref 7] se puede encontrar más información sobre cómo configurar un
LDAP en ClearPass.
Ilustración 88 - Configuración de un servidor LDAP en ClearPass
254.En el Controlador de Puntos de acceso se debería de especificar la dirección IP del

servidor LDAP a añadir en la red a través de Configuration > SECURITY >
Authentication > Servers > LDAP Server > Add.
Ilustración 89 - Configuración de un servidor LDAP en el Controlador

USO OFICIAL
255.Se deberá modificar la fuente de autenticación empleada en el ejemplo de caso de

uso de “ServidorRADIUS01” a “LDAP” en todas las configuraciones que necesiten
acceder a la base de datos de credenciales de usuarios.

USO OFICIAL
ANEXO D. CLEARPASS
256. ClearPass es la solución de Aruba Networks de control de acceso a la red de
usuarios, máquinas o aplicaciones desde una misma plataforma, con el objetivo de
aplicar políticas dinámicas que proporcionen una experiencia de usuario adecuada
a los requisitos definidos para cada momento, buscando la protección de los
recursos existentes en la red, así como la remediación de amenazas reales.
257.Esta solución permite llevar a cabo una administración central de las políticas a
aplicar en la red, configurar dispositivos automáticamente, proporcionar acceso a
la red a usuarios invitados evaluar el estado de los dispositivos tanto que se
conectan a la red como los que ya están conectados y distribuir certificados de
seguridad.
258.Este control de acceso se basa en la definición de distintos roles de usuario y
políticas de cortafuegos asociadas a los mismos, dispositivo a través del que se
conecta el cliente y hora de conexión entre otros [Ref 8].
259. Sus características principales son:
 Acceso a la red basado en reglas para redes WiFi, cableadas y VPN de múltiples
y distintos proveedores.
 Escalabilidad, alto rendimiento, alta disponibilidad y balanceo de carga.
 Interfaz de usuario web que permite simplificar la configuración de políticas y
resolución de problemas.
 Permite realizar controles de acceso al medio (NAC), controles de acceso a la
red (NAP), controles de estado e integración de la gestión de dispositivos
móviles (MDM) para comprobar y verificar las acciones que puedan realizar los
dispositivos móviles.
 Uso del lenguaje SAML v2.0 para inicios de sesión.
 Incorpora una autoridad de certificación (CA) que permite expedir certificados
para aquellos dispositivos que no forman parte de la red (BYOD, Bring Your
Own Device).
 Generación de informes avanzados de todos los procesos de autenticación.
 Permite el envío de informes y de alertas (por ejemplo, a través de SMS) sobre
cualquier alarma en la red.
 API HTTP/RESTful para la integración del sistema con terceros, proporcionar
seguridad de Internet y para la gestión de dispositivos móviles (MDM).
 Soporte a IPv6
260.Para poder proporcionar estas características, ClearPass está compuesta por
cuatro módulos:

USO OFICIAL
 ClearPass Policy Manager: es un software que permite gestionar los dispositivos

con los que se acceden a la red, integrando controles de acceso a la red como
servidor AAA (autenticación, autorización y contabilidad). Puede utilizar los
protocolos RADIUS, TACACS, SNMP, etc., así como distintas fuentes de
autenticación (LDAP, Directorio Activo de Microsoft, bases de datos SQL, etc.).
Dentro del mismo reside el servicio OnGuard, aplicación de control de acceso
que permite bloquear o llevar a una red de cuarentena a aquellos equipos que
no cumplan con los requisitos mínimos
 ClearPass OnBoard: permite realizar el aprovisionamiento de distintos tipos de
ficheros como, por ejemplo, ficheros de configuración de red o certificados.
Además, al contar con una CA integrada, se permite la generación y expedición
de certificados de identidad a los clientes de tal manera que éstos puedan
autenticarse en la red a través del protocolo IEEE 802.1x.
 ClearPass Guest: es el módulo encargado de permitir el acceso de invitados a la
red y de gestionar los dispositivos y usuarios que se conectan.
 ClearPass Insight: es una plataforma que ofrece al administrador de la red
diversos análisis e informes sobre el estado de la red como, por ejemplo,
seguimientos sobre registros de autenticación, auditorías, informes
sistemáticos sobre las tendencias de acceso a la red, etc.  
261.Este sistema está disponible tanto como hardware como a través de una
aplicación virtual que soporta 500, 5000 y 25000 dispositivos de autenticación.
Para ver cómo se puede instalar y desplegar en el modo aplicación virtual, se
puede consultar la referencia [Ref 9].

USO OFICIAL
262.La comunicación entre ClearPass y el resto de dispositivos de la red se lleva a cabo

a través de la configuración de dos interfaces: la interfaz “Management
Interface/Management Port” y la interfaz “Data Interface/Data Port”. Si no se
configura la “Data Interface”, todo el tráfico irá a través de la “Management
Interface”. En el caso de que se configuren ambas interfaces, la selección de ruta
se realiza en función de los sistemas que estén conectados a ClearPass de la
siguiente manera:
 En la selección de ruta entre Clientes y ClearPass Policy Manager, se devuelve el
tráfico por la misma interfaz por la que ha llegado.
 En la selección de ruta entre servicios que no son clientes, como por ejemplo
NTP, LDAP, Directorio Activo, OSCP u otros dispositivos de la red y ClearPass:
o Si el destino está en la subred de “management”, se utiliza la
“Management Interface”
o Si el destino está en la red “data”, entonces se utiliza la “Data Interface”
o Si el destino no se encuentra ni en la red “data” ni en la red
“management”, por defecto se utiliza la “Data Interface”.
263.Se recomienda consultar las guías de instalación y actualización, de usuario y de
conexión rápida, así como las notas técnicas y las notas de lanzamiento
disponibles en [Ref 10].

USO OFICIAL
ANEXO E. GENERACIÓN DE CERTIFICADOS DE CURVA ELÍPTICA

264.Para el caso de uso especificado en esta guía, se ha instalado una Autoridad de
Certficación (CA) de OpenSSL en Ubuntu GNU/Linux. Esta CA ha permitido generar
tanto los certificados de acceso WiFi de los clientes y del servidor ClearPass, como
los certificados de curva elíptica necesarios de clientes y servidor.
265.La referencia que se ha seguido ha sido “Elliptic Curve Certificate Creation using
OpenSSl, 6 de enero de 2013, Aruba Networks, Inc.”. En el caso de querer generar
estos certificados a través de un Windows Server, se puede consultar la guía
“Elliptic Curve Certificate Creation for Suite B using Windows server 2008 R2”.
266.Los pasos seguidos para generar estos certificados son:
 Instalar OpenSSL a partir de https://www.openssl.org/source/
 Verificar que se han creado tras la instalación los siguientes ficheros en
/usr/local/openssl: “cert”, “man”, “misc”, “openSSL.conf”, “private”.
 Crear los siguientes directorios:
o /usr/local/openssl/CertificadosSuiteBCasoEjemplo
o /usr/local/openssl/CertificadosSuiteBCasoEjemplo/newcerts
o /usr/local/openssl/CertificadosSuiteBCasoEjemplo/private
 Crear un fichero index.txt en el que se escribe”01”:
root:/usr/local/openssl # touch CertificadosSuiteBCasoEjemplo /index.txt
root:/usr/local/openssl # echo 01 >> CertificadosSuiteBCasoEjemplo
/index.txt
 Generar un certificado de curva elíptica de RootCA:

o Generar una petición de certificado de RootCA desde el directorio
/usr/local/openssl, aplicando los siguientes comandos y rellenando los
campos que se presenten:
root:/usr/local/openssl # openssl ecparam –out
CertificadosSuiteBCasoEjemplo/private/cakey384.pem –name secp384r1 –
genkey
root:/usr/local/openssl # openssl req –new –sha384 –key

CertificadosSuiteBCasoEjemplo/private/cakey384.pem –days 1095 –
extensions v3_ca –out CertificadosSuiteBCasoEjemplo/cacert384req.pem
o Autofirmar el certificado de RootCA (self-signed CA certificate)

root:/usr/local/openssl # openssl ca –selfsign –extensions v3_ca –md
sha384 –in CertificadosSuiteBCasoEjemplo/cacert384req.pem –keyfile
CertificadosSuiteBCasoEjemplo/private/cakey384.pem –out
CertificadosSuiteBCasoEjemplo/CAcertSuiteB.pem
o Modificar el formato del certificado para que se pueda importar al

cliente Windows y al Controlador:
root:/usr/local/openssl # cp
CertificadosSuiteBCasoEjemplo/CAcertSuiteB.pem
CertificadosSuiteBCasoEjemplo/CAcertSuiteB.cer

USO OFICIAL
 Generar un certificado de curva elíptica de servidor:

o Generar una clave privada y posteriormente una petición de certificado
de servidor desde el directorio /usr/local/openssl a través de los
siguientes comandos:
CertificadosSuiteBCasoEjemplo/private/servkey384.pem –name secp384r1
–genkey
root:/usr/local/openssl # openssl req –new –key
CertificadosSuiteBCasoEjemplo/private/servkey384.pem –out
CertificadosSuiteBCasoEjemplo/servcert384req.pem
o Generar el certificado del servidor a través de la firma de la CA:

root:/usr/local/openssl # openssl ca –in
CertificadosSuiteBCasoEjemplo/servcert384req.pem –days 730 –cert
CertificadosSuiteBCasoEjemplo/CAcertSuiteB.pem –keyfile
CertificadosSuiteBCasoEjemplo/ServCertSuiteB.pem –md sha384
o Incluir la clave privada del servidor junto con el certificado para que
posteriormente se pueda instalar en el Controlador:
root:/usr/local/openssl # cat
CertificadosSuiteBCasoEjemplo/private/servkey384.pem
CertificadosSuiteBCasoEjemplo/ServCertSuiteB.pem >
CertificadosSuiteBCasoEjemplo/ServSuiteB.pem
 Generar los certificados de curva elíptica de los clientes Windows:

o Generar las claves privadas de los clientes Windows y posteriormente
las peticiones de certificado desde /usr/local/openssl con la ejecución
de los siguientes comandos:
CertificadosSuiteBCasoEjemplo/private/cliente1key384.pem –name
secp384r1 –genkey
root:/usr/local/openssl # openssl req –new –key
CertificadosSuiteBCasoEjemplo/private/cliente1key384.pem –out
CertificadosSuiteBCasoEjemplo/cliente1cert384req.pem
o Generar el certificado del cliente a través de la firma de la CA:

root:/usr/local/openssl # openssl ca –in
CertificadosSuiteBCasoEjemplo/ cliente1cert384req.pem –days 365 –
cert CertificadosSuiteBCasoEjemplo/CAcertSuiteB.pem –keyfile
CertificadosSuiteBCasoEjemplo/Client1CertSuiteB.pem –md sha384
o Exportar el certificado al formato pkcs12 (.pfx), formato adecuado para

Windows que protege la instalación del certificado a través del uso de
criptografía (es necesario conocer una clave para poder instalar el
certificado).
root:/usr/local/openssl # openssl pkcs12 –export –in
CertificadosSuiteBCasoEjemplo/Client1CertSuiteB.pem -inkey
CertificadosSuiteBCasoEjemplo/private/client1key384.pem –certfile
CertificadosSuiteBCasoEjemplo/CAcertSuiteB.pem –out
CertificadosSuiteBCasoEjemplo/Cliente1CertSuiteB.pfx
267.Por lo tanto, será necesario instalar los siguientes certificados de curva elíptica en
cada uno de los equipos:

USO OFICIAL
 Controlador de Puntos de Acceso:

o Certificado de servidor: ServSuiteB.pem
o Certificado de RootCA: CAcertSuiteB.cer
 Equipo Windows del cliente:
o Certificado de RootCA: CAcertSuiteB.cer
o Certificado de Cliente Windows: Cliente1CertSuiteB.pfx

USO OFICIAL
ANEXO F. GENERACIÓN DE CERTIFICADOS WEB

268.A lo largo del despliegue del caso de uso que se describe en esta guía, ha sido
necesario generar un certificado web que permitiese acceder a la interfaz web del
Controlador de Puntos de Acceso mediante un navegador web. Todo este
problema surge a raíz de las modificaciones en los navegadores web modernos en
los que se ha obligado a migrar a https y es necesario tener un certificado para
poder realizar la conexión [Ref 11]. Para ello se han seguido los siguientes pasos:
 Se genera una petición de certificado (CSR) en el Controlador:
(Aruba Controller) # crypto pki csr rsa key_len 2048 common_name WebCert
country <pais> state or province <estado> city <ciudad> organization
<organizacion> unit <departamento> email <direccion_correo>
 Se muestra la petición del certificado (CSR):

(Aruba Controller) # show crypto pki csr
 Se copia en un editor de texto plano los datos que aparecen entre “-----BEGIN
CERTIFICATE REQUEST----- “ y “-----END CERTIFICATE REQUEST----- ” y se guarda
como “CertificadoWebControlador.csr”
 Se genera el certificado a través de la firma del CSR por parte de la Autoridad
de Certificación. En este caso se ha hecho mediante OpenSSL con el siguiente
comando:
openssl ca -in CertificadoWebControlador.csr -
out CertificadoWebControlador.pem -config /root/ca/config.txt
 Se importa el certificado (CertificadoWebControlador.pem) al Controlador a

través de SCP.
 Se configura el certificado importado como el certificado web a usar:
(Aruba Controller) # crypto pki-import ServerCert “CertificadoWeb”
“CertificadoWebControlador.pem”
(Aruba Controller) # configure terminal
(Aruba Controller) (config)# web-server profile
(Aruba Controller) (Web Server Configuration)# switch-cert
CertificadoWeb
(Aruba Controller) (Web Server Configuration)# exit
(Aruba Controller) (config)# exit
(Aruba Controller) # process restart httpd
(Aruba Controller) # reload
 Cuando el Controlador se vuelve a iniciar, ya se puede acceder al mismo

mediante cualquier navegador web, aceptando la excepción de seguridad.

USO OFICIAL
ANEXO G. LISTA DE COMPROBACIÓN DE CONFIGURACIONES

269.A continuación, se muestra un listado con las medidas de seguridad que se han
descrito a lo largo de la presente guía con el objetivo de que el lector pueda
comprobar de una manera rápida la implementación de las mismas.
CONFIGURACIONES INICIALES:
o Configuración de la dirección IP.
o Importación de las licencias.
o Configuración del reloj del sistema (NTP) y autenticación NTP.
o Habilitación del modo FIPS.
o Modificación de credenciales de acceso al equipo.
o Configuración del modo de funcionamiento (master/local).
o Configuración del banner de acceso al equipo.
o Activación de CPsec.
 ClearPass:
o Configuración de las direcciones IP de las interfaces “Management” y
“Data”.
o Importación de las licencias.
o Configuración del reloj del sistema (NTP) y autenticación NTP.
o Habilitación del modo FIPS.
o Modificación de credenciales de acceso al equipo.
o Configuración del bloqueo de acceso al equipo por parte de aplicaciones,
VLAN, túneles IPsec, etc.
o Configuración del banner de acceso al equipo.
 Puntos de Acceso:
o Configuración de la dirección IP.
o Asociación a un grupo de Puntos de Acceso (“AP Group”).
CONFIGURACIONES GENERALES:
o Importación de certificados.
o Creación de usuarios genéricos en la base de datos interna del
Controlador
o Configuración de VLAN, direcciones IP y puertos asociados del
Controlador.
o Alta de ClearPass como servidor RADIUS.
o Alta de ClearPass como servidor RFC 3576.
o Configuración del servidor DHCP.
o Definición de SSID.
 ClearPass:
o Importación de los certificados.
o Alta del Controlador como dispositivo de red.
o Alta de la base de datos local de ClearPass Policy Manager como
almacén de credenciales de usuarios.

USO OFICIAL
REQUISITOS DEL CLIENTE WIFI (PC):

 Instalación de los siguientes elementos por parte de un administrador de red::
o Certificado de autenticación WiFi de usuario.
o Certificado de servidor RADIUS (ClearPass).
o Certificado de curva elíptica de usuario
o Certificado de curva elíptica de RootCA
o Agente ClearPass OnGuard + VIA con configuraciones definidas en el
apartado 10.2.2, configuración del nivel 2 en ClearPass.
o Perfil de conectividad VIA
CONFIGURACIÓN DEL NIVEL 1 DEL MODELO DE SEGURIDAD:

o Definición del rol de usuario “Rol_Validacion” y su política de
cortafuegos asociada.
o Definición del rol de usuario “Rol_Cuarentena” y su política de
o Definición del rol de usuario “Rol_EstadoSaludable” y su política de
o Definición del rol de usuario “Rol_Administracion” y su política de
 ClearPass:
o Creación de un servicio de tipo “Aruba 802.1X Wireless” para permitir la
autenticación 802.1X con EAP-TLS que contenga:
 Una “Enforcement Policy” de tipo “RADIUS” que englobe:
 Tres “Enforcement Profiles” de tipo “RADIUS”.

 ClearPass:
o Creación de un servicio de tipo “Web-based Health Check Only” para
realizar las comprobaciones del estado del dispositivo que contenga:
 Una “Enforcement Policy” de tipo “WEBAUTH” con:
 Un par de “Enforcement Profile” de tipo “Agent” para las
notificaciones del agente.
 El “Enforcement Profile” “Aruba Terminate Session”
definido por defecto en ClearPass para el cambio de rol
de usuario.
 Una “Posture Policy” para definir los requisitos que ha de cumplir
el dispositivo que quiera conectarse a Internet a través de la red
inalámbrica.

o Configuración de los siguientes servicios:
 VPN Services
 VIA Authentication Profile

USO OFICIAL
 VIA Connection Profile

 VIA Web Authentication
o Definición del rol de usuario “Rol_VPN/IPsec” y su política de
cortafuegos asociada con asociación al VIA Connection Profle creado en
el punto anterior
o Definición en la base de datos interna del Controlador de los
identificadores de los certificados de curva elíptica de los usuarios.
 ClearPass:
o Creación de un servicio de tipo “RADIUS Authorization” para establecer
el túnel VPN que contenga:
 Un “Enforcement Policy” de tipo “RADIUS” con:
 Un “Enforcement Profile” de tipo “RADIUS”.
o Creación de un servicio de tipo “RADIUS” si se va a realizar la descarga
del perfil de conectividad VIA a través de la red WiFi que contenga:
 Un “Enforcement Policy” de tipo “RADIUS” con:
 Un “Enforcement Profile” de tipo “RADIUS”.

CA Sistema de Admon. INTERNET
Red Interna (CPD)
Centro Criptológico Nacional

Servidores
Router Acceso
Internet
.96
VLAN 110
VLAN 25
Firewall
(Red Gestión):
10.1.110.0/24 (Red Acceso Internet):
.96 10.1.25.128/25 .129 VLAN 170
(Red Primera .128
Firewall Planta):
10.1.170.0/24
.170 WPA2-Enterprise
.64
.96
Firewall
.64 .64 .64 .64 VLAN 180
(Red Segunda
VLAN 120 Planta):
(Red Datos): 10.1.180.0/24
USO OFICIAL
.96
USO OFICIAL
10.1.120.0/24 .64 .128

ANEXO H. MAPA DE LA RED DEL CASO DE USO
VLAN 190 WPA2-Enterprise

(Red Tercera
Planta): .96
10.1.190.0/24
.128
Ilustración 90 - Mapa de red del ejemplo de caso de uso ampliado

VLAN 130 VLAN 140 VLAN 150 VLAN 160
(Red Validación): (Red Cuarentena): (Red Estado Saludable): (Red Túnel): Clientes
10.1.130.0/24 10.1.140.0/24 10.1.150.0/24 10.1.160.0/24 Wi-Fi
94
USO OFICIAL
ANEXO I. BIBLIOGRAFÍA
[Ref 1] – RFC 6378, IETF: https://tools.ietf.org/html/rfc6379
[Ref 2] – OpenSSL, OpenSSL Software Foundation: https://www.openssl.org/
[Ref 3] – Working with Licenses, Aruba Networks: http://ow.ly/RVqn30hmKlg
[Ref 4] – RFC 3576, IETF: https://tools.ietf.org/html/rfc3576
[Ref 5] – ArubaOS Hardening Guide, Aruba Networks: http://ow.ly/QumL30hmLMN
[Ref 6] – ClearPass Hardening Guide, Aruba Networks: http://ow.ly/cwVs30hmM0gh
[Ref 7] – LDAP Authentication Source Configuration, Aruba Networks:
http://ow.ly/RHeq30hmSKI
[Ref 8] – ClearPass, Aruba Networks: http://ow.ly/DwRA30hmSTt
[Ref 9] – ClearPass on a Virtual Machine, Aruba Networks: http://ow.ly/oUQ830hmSXD
[Ref 10] – Guías de consulta de ClearPass: http://ow.ly/a9dp30hmT7h
[Ref 11] – Certificados web en navegadores: http://ow.ly/9y2q30hmTeo

CCN-STIC-647B Configuracion Equipos Red Aruba para Entornos WiFi

Cargado por

Copyright:

Formatos disponibles

CCN-STIC-647B Configuracion Equipos Red Aruba para Entornos WiFi

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCN-STIC-647B Configuracion Equipos Red Aruba para Entornos WiFi

Cargado por

Copyright:

Formatos disponibles

USO OFICIAL

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

Guía de Seguridad de las TIC

Configuración segura de equipos de red Aruba para

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

 Centro Criptológico Nacional, 2018

Fecha de Edición: enero de 2018

Centro Criptológico Nacional USO OFICIAL 2

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI),

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los

Félix Sanz Roldán

Centro Criptológico Nacional USO OFICIAL 3

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

Centro Criptológico Nacional USO OFICIAL 4

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

9.12. CONFIGURACIONES EN CLEARPASS ................................................................................. 45

Centro Criptológico Nacional USO OFICIAL 5

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

Centro Criptológico Nacional USO OFICIAL 6

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

Ilustración 53 - Configuración del usuario "administrador" en el Controlador .......................... 51

Centro Criptológico Nacional USO OFICIAL 7

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

Centro Criptológico Nacional USO OFICIAL 8

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

documento se lleve a cabo mediante personal cualificado a través de

5. ARQUITECTURA DE REDES WIFI CORPORATIVAS

Centro Criptológico Nacional USO OFICIAL 9

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

Ilustración 1 - Topología de una red corporativa

20. La sede principal corporativa está formada por:

Centro Criptológico Nacional USO OFICIAL 10

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

elementos que suelen encontrarse en esta zona de la red son:

6.1. NIVEL 1: AUTENTICACIÓN WPA2-ENTERPRISE CON EAP-TLS

Centro Criptológico Nacional USO OFICIAL 11

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

identidad en el proceso de autenticación.

Ilustración 2 - Autenticación del cliente a la red WiFi

la red durante largos periodos de tiempo sin que éste se autentique.

Centro Criptológico Nacional USO OFICIAL 12

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

anteriores a dos meses (o lo que determine la Política de Seguridad de la

conocer si ha cambiado el estado del dispositivo con lo que se pueden definir y

34. Si el cliente cumple con los requisitos especificados anteriormente, el servidor

Ilustración 4 - Estado del dispositivo verificada su seguridad

Centro Criptológico Nacional USO OFICIAL 13

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

Ilustración 5 - Estado del dispositivo en cuarentena

6.3. NIVEL 3: ESTABLECIMIENTO DE TÚNEL CIFRADOS (VPN/IPSEC)

37. El establecimiento del túnel VPN/IPsec sólo se permitirá si el cliente se encuentra

Centro Criptológico Nacional USO OFICIAL 14

7. INFORMACIÓN PREVIA A LA CONFIGURACIÓN DE RED

8. EJEMPLO DE CASO DE USO

Centro Criptológico Nacional USO OFICIAL 15

CCN-STIC-647-B Configuración segura de equipos de red Aruba para entornos WiFi

descrito en el apartado 6, Modelo de seguridad, a través de los elementos