ESTANDAR 802.1x

802.1x es un protocolo de control de acceso y autenticación basado en la arquitectura cliente/servidor, que restringe la conexión de equipos no autorizados a una red. El protocolo fue inicialmente creado por la IEEE para uso en redes de área local alambradas, pero se ha extendido también a las redes inalámbricas.Muchos de los puntos de acceso que se fabrican en la actualidad ya son compatibles con 802.1x.

Se caracteriza por tener tres participantes en su proceso:

1. Suplicante o cliente, que desea conectarse con la red.2. El servidor de autorización/autenticación, que contiene toda la

información necesaria para saber cuáles equipos y/o usuarios están autorizados para acceder a la red.

3. El autenticador, que es el equipo de red (switch, Acces Point) que recibe la conexión del suplicante. El autenticador actúa como intermediario entre el suplicante y el servidor de autenticación, y solamente permite el acceso del suplicante a la red cuando el servidor de autenticación así lo autoriza.

DISPOSITIVOS QUE INTERVIENEN EN EL ESTANDAR 802.1X

METODOS DE AUTENTICACION USADOS POR 802.1X

802.1X utiliza el Protocolo de autenticación extensible (EAP) para el intercambio de mensajes durante el proceso de autenticación y el Protocolo de autenticación extensible utilizado en la LAN (EAPoL, EAP Over LAN) usado para transportar EAP. Con EAP se utilizan métodos de autenticación arbitrarios, como contraseñas , tarjetas inteligentes o certificados para autenticar la conexión inalámbrica. La compatibilidad que 802.1x ofrece con los tipos de EAP le permite utilizar cualquiera de los siguientes métodos de autenticación

TIPOS DE AUTENTICACION EAP PARA 802.1X

Método EAP-LEAP

Utiliza un usuario y contraseña, y soporta claves WEP dinámicas. Por ser una tecnología propietaria de CISCO, exige que los equipos sean de Cisco y que el servidor RADIUS sea compatible con LEAP. EAP-MD5

Utiliza nombre de usuario y contraseña para autenticación. La contraseña es transmitida de forma cifrada a través del algoritmo MD5. No suministra un nivel de protección alto pues puede sufrir ataques de " diccionario", es decir, un atacante puede enviar varías veces contraseñas hasta encontrar una válida. No hay modo de autentificar el servidor, y no genera claves WEP dinámicas.

EAP-TLS

Fue desarrollado por Microsoft ,requiere la instalación de certificados de seguridad en el servidor y en los clientes. Proporciona autenticación mutua, es decir, el servidor autentifica el cliente y viceversa utilizando el protocolo TLS (Transparent Layer Substrate).

EAP-TTLS: ¿Certificados Cliente?

Es similar al EAP-TLS. Sin embargo, el certificado solamente se instala en el servidor, lo que permite la autenticación del servidor por parte del cliente. La autenticación del cliente por parte del servidor se hace después de establecer una sesión TLS utilizando otro método como PAP, CHAP, MS-CHAP o MS-CHAP v2.

EAP-PEAP

Fue Propuesto conjutamente por Microsoft/Cisco/RSA Security

No requiere Certificados También utiliza Transport Layer Security (TLS) para establecer el túnel Se incluye en SP1 de Windows XP Se incluye enWindows 2003 Server

CONCLUCION

Se debe tomar en cuenta el mejor método de autenticación ,acompañado de un buen servidor de autenticación, sin olvidar el software y el hardware(AccessPoint /targetas wi-fi) .Aplicable a las necesidades de la red a proteger .