Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es 802.1X?

[17/10/2012] Entender lo que es el estándar IEEE 802.1X y por qué le debe importar significa entender tres conceptos distintos: PPP, EAP y 802.1X en sí mismo.
PPP y EAP definidos
La mayoría de la gente está familiarizada con el PPP -Point-to-Point Protocol. PPP es más comúnmente utilizado para el acceso a Internet dial-up. PPP también es utilizado por algunos proveedores de Internet para la autenticación DSL y de cable modem. El PPP es parte de Layer 2 Tunneling Protocol, una parte fundamental de la solución de seguridad de acceso remoto para Windows 2000 en adelante.
PPP evolucionó más allá de su uso original como un método de acceso dial-up, y ahora se utiliza en todo el Internet. Una pieza de PPP define un mecanismo de autenticación. Con el acceso dial-up a Internet, es el nombre de usuario y la contraseña que está acostumbrado a usar. La autenticación PPP se utiliza para identificar al usuario en el otro extremo de la línea PPP antes de darle acceso.
La mayoría de las empresas quieren hacer más por la seguridad que solo usar nombres de usuario y contraseñas para el acceso, por lo que se ha diseñado un nuevo protocolo de autenticación, llamado Extensible Authentication Protocol (EAP). EAP se encuentra dentro del protocolo de autenticación PPP, y proporciona un marco general para varios métodos de autenticación diferentes. Se supone que EAP está a la cabeza de los sistemas de autenticación propietarios y permite que las contraseñas, tokens y certificados públicos de infraestructura pública trabajen sin problemas.
Con un estándar EAP, la interoperabilidad y la compatibilidad de los métodos de autenticación se hace más simple. Por ejemplo, al marcar a un servidor de acceso remoto y utilizar EAP como parte de su conexión PPP, RAS no necesita saber los detalles sobre su sistema de autenticación. Solo usted y el servidor de autenticación deben estar coordinados. Mediante el apoyo de la autenticación EAP un servidor RAS deja de actuar como intermediario, y solo los agrupa paquetes EAP para transferirlos a un servidor RADIUS que va a hacer la autenticación.
Esto nos lleva a la norma IEEE 802.1X, que es simplemente una norma para pasar EAP a través de una LAN cableada o inalámbrica. Con 802.1X, se empaqueta los mensajes EAP en tramas Ethernet y no utiliza PPP. Su autenticación y nada más. Eso es deseable en situaciones en las que el resto de los productos PPP no son necesarios, en las que está usando otros protocolos de TCP/IP, o donde la sobrecarga y la complejidad de la utilización de productos PPP no son deseables.
802.1X utiliza tres términos que necesita saber. El usuario o cliente que desea ser autenticado se llama suplicante. El servidor que hace la autenticación, por lo general un servidor RADIUS, se llama el servidor de autenticación. Y el dispositivo en el medio, tal como un punto de acceso inalámbrico, se llama el autenticador. Uno de los puntos claves de 802.1X es que el autenticador puede ser simple y tonto -todos los cerebros tienen que estar en el suplicante y el servidor de autenticación. Esto hace que 802.1X sea ideal para puntos de acceso inalámbricos, los que por lo general suelen ser pequeños y tienen poca memoria y potencia de procesamiento.
El protocolo en 802.1X es llamado encapsulación de EAP sobre LAN (EAPOL). En la actualidad está definido para redes LAN tipo Ethernet incluyendo redes inalámbricas 802.11, así como redes Token Ring tales como FDDI. EAPOL no es particularmente sofisticado. Hay una serie de modos de operación, pero el caso más común sería algo como esto:
1. El autenticador envía un paquete "de solicitud/identidad EAP (Request/Identity)" para el suplicante tan pronto como detecta que el enlace está activo (por ejemplo, el sistema solicitante se ha asociado con el punto de acceso).
2. El solicitante envía un paquete "de respuesta/identidad EAP (Response/Identity)" para el identificador, que luego se pasa al servidor de autenticación (RADIUS).
3. El servidor de autenticación envía un desafío al autenticador, como por ejemplo un sistema de contraseña token. El autenticador descomprime esto de IP y reorganiza en EAPOL y lo envía al suplicante. Diferentes métodos de autenticación variarán este mensaje y el número total de mensajes. EAP soporta la autenticación solo del cliente y la autenticación mutua fuerte. Solo una fuerte autenticación mutua se considera apropiada para el caso de redes inalámbricas.
4. El solicitante responde al desafío a través de la autentificación y pasa la respuesta al servidor de autenticación.
5. Si el solicitante proporciona identidad propia, el servidor de autenticación responde con un mensaje de éxito, que luego se pasa al suplicante. El autenticador permite ahora el acceso a la LAN -posiblemente restringida según los atributos que vienen desde el servidor de autenticación. Por ejemplo, el autenticador puede cambiar el solicitante a una red LAN virtual o instalar un conjunto de reglas de firewall.
¿Cómo ayudar a la seguridad inalámbrica 802.1X?
El protocolo Wired Equivalent Privacy (WEP), de 13 años de edad, se ha desacreditado hasta tal punto que su autenticación y cifrado no se consideran suficientes para su uso en las redes empresariales. En respuesta al fiasco de WEP, muchos proveedores inalámbricos de LAN se han enganchado en el estándar 802.1X IEEE para ayudar a autenticar y asegurar la LAN inalámbrica y cableada. El comodín con el protocolo 802.1x es la interoperabilidad.
La autenticación 802.1X ayuda a mitigar muchos de los riesgos involucrados en el uso de WEP. Por ejemplo, uno de los mayores problemas con WEP es la larga vida de las claves y el hecho de que son compartidas entre muchos usuarios y son bien conocidas. Con 802.1X, cada estación puede tener una clave única para cada sesión de WEP. El autenticador (punto de acceso inalámbrico) también podría optar por cambiar la clave WEP con mucha frecuencia, como por ejemplo una vez cada 10 minutos o cada mil marcos. 802.1X no garantiza una mayor seguridad. Por ejemplo, un autenticador no puede cambiar la clave que le da a cada solicitante. O bien, el administrador de red puede seleccionar un método de autenticación que no permite la distribución de claves WEP. Sin embargo, 802.1X le da al administrador de red informado la posibilidad de diseñar e implementar una mayor seguridad de WLAN.
Joel Snyder, Network World (EE.UU.)