SEGURIDAD DE REDES LAN

[Seleccione la fecha]

1. Cifrado IEEE 802.1AE MACSEC

802.1AE es el estándar de seguridad de la IEEE MAC (también conocido como MACsec) que define la confidencialidad de los datos sin conexión y la integridad de protocolos de acceso a los medios de comunicación independientes. It is standardized by the working group. Es estandarizado por el IEEE 802.1.

La gestión de claves y la creación de asociaciones de seguridad están fuera del alcance de 802.1AE, pero se especifica mediante 802.1X-2010.

The 802.1AE standard specifies the implementation of a MAC Security Entities (SecY) that can be thought of as part of the stations attached to the same LAN, providing secure MAC service to the client. El estándar 802.1AE especifica la aplicación de unas Entidades de seguridad para Mac (Secy) que pueden ser considerados como parte de las estaciones conectadas a la misma LAN, proporcionando servicio de seguridad de la MAC al cliente. The standard defines Este estándar define:

MACsec frame format , which is similar to the frame, but includes additional fields: El formato de trama MACsec, es similar a la de Ethernet, sino que incluye campos adicionales:

o Security Tag , which is an extension of the Security Tag, que es una extensión de la EtherType

o ( ICV ) Código de autenticación de mensajes (ICV) Secure Connectivity Associations that represent groups of stations

connected via unidirectional Secure Channels Asociaciones de conectividad segura que representan a grupos de estaciones unidireccionales conectados a través de canales seguros

Security Associations within each secure channel. Asociaciones de seguridad dentro de cada canal seguro. Each association uses its own key (SAK). Cada asociación utiliza su propia clave (SAK). More than one association is permitted within the channel for the purpose of key change without traffic interruption (standard requires devices to support at least two) Más de una asociación está permitida dentro del canal para el propósito de cambio de clave sin interrupción del tráfico (El estándar requiere dispositivos para soportar al menos dos)

Default cipher suite ( of cipher with 128-bit key) La Suite predeterminada de cifrado ( Galois / Modo de contador de Advanced Encryption Standard de cifrado con clave de 128 bits)

of cipher with 256-bit key is being added to the standard.Security tag inside each frame in addition to includes:Etiqueta de seguridad dentro de cada trama, además de EtherType incluye:

association number within the channel Numero de asociación dentro de casa canal.

packet number to provide unique for encryption and authentication algorithms as well as protection against Número de paquete que provee vector de inicialización único para los algoritmos de cifrado y autenticación, así como protección contra el ataque de replicación.|

optional LAN-wide secure channel identifier (not required on point-to-point links).Identificador opcional del canal seguro en toda la red LAN (no es necesario en los enlaces punto a punto).

The IEEE 802.1AE (MACsec) standard specifies a set of protocols to meet the security requirements for protecting data traversing Ethernet LANs. El estándar IEEE 802.1AE (MACsec) específica un conjunto de protocolos para cumplir con los requisitos de seguridad para proteger los datos que circulen por las redes LAN Ethernet. This norm assures incomplete

network operations by identifying unauthorized actions on a LAN and preventing communication from them. Esta norma garantiza las operaciones incompletas de la red mediante la identificación de acciones no autorizadas en una red LAN y la prevención de la comunicación de los mismos.

MACsec allows unauthorised LAN connections to be identified and excluded from communication within the network. MACsec permite conexiones no autorizadas de LAN para ser identificados y excluidos de la comunicación dentro de la red. In common with IPsec and SSL, MACsec defines a security infrastructure to provide data confidentiality, data integrity and data origin authentication. En común con IPsec y SSL, MACsec define una infraestructura de seguridad para garantizar la confidencialidad de datos, integridad de datos y autenticación del origen de datos. By assuring that a frame comes from the station that claimed to send it, MACSec can mitigate attacks on Layer 2 protocols. Al asegurar que la trama viene de la estación que pretendía enviarla, MACSec puede mitigar los ataques en la capa 2 de protocolos.

2. Cifrado IEEE 802.1X

Definición:

El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalámbrica). Esto se hace a través del uso de un servidor de autenticación.

La IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo de autenticación extensible (EAP– RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748.

802.1X está disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos.

Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación sólo del cliente o, más apropiadamente, una autenticación mutua fuerte utilizando protocolos como EAP-TLS.

El 802.1x se basa en el protocolo EAP (Protocolo de autenticación extensible), definido por el IETF. Este protocolo se usa para transportar la información de identificación del usuario.

Protocolo EAP:

La forma en que opera el protocolo EAP se basa en el uso de un controlador de acceso llamado autenticador, que le otorga o deniega a un usuario el acceso a la red. El usuario en este sistema se llama solicitante. El controlador de acceso es un firewall básico que actúa como intermediario entre el usuario y el servidor de autenticación, y que necesita muy pocos recursos para funcionar. Cuando se trata de una red inalámbrica, el punto de acceso actúa como autenticador.

El servidor de autenticación (a veces llamado NAS, que significa Servicio de autenticación de red o Servicio de acceso a la red) puede aprobar la identidad del usuario transmitida por el controlador de la red y otorgarle acceso según sus credenciales. Además, este tipo de servidor puede almacenar y hacer un seguimiento de la información relacionada con los usuarios. En el caso de un proveedor de servicio, por ejemplo, estas

características le permiten al servidor facturarles en base a cuánto tiempo estuvieron conectados o cuántos datos transfirieron.

Generalmente el servidor de autenticación es un servidor RADIUS (Servicio de usuario de acceso telefónico de autenticación remota), un servidor de autenticación estándar definido por la RFC 2865 y 2866, pero puede utilizarse cualquier otro servicio de autenticación en su lugar.

A continuación encontrará un resumen sobre cómo funciona una red segura que usa el estándar 802.1x:

1. El controlador de acceso, después de recibir la solicitud de conexión del usuario, envía una solicitud de autenticación.

2. El usuario envía una respuesta al controlador de acceso, quien enruta la respuesta al servidor de autenticación.

3. El servidor de autenticación envía un "challenge" al controlador de acceso, quien lo transmite al usuario. El challenge es un método para establecer la identificación. Si el cliente no puede evaluar el challenge, el servidor prueba con otro y así sucesivamente.

4. El usuario responde al challenge. Si la identidad del usuario es correcta, el servidor de autenticación envía la aprobación al controlador de acceso, quien le permite al usuario ingresar a la red o a parte de ella, según los derechos otorgados. Si no se pudo verificar la identidad del usuario, el servidor de autenticación envía un mensaje de denegación y el controlador de acceso le deniega al usuario el acceso a la red.

Intercambio de claves de cifrado:

Además de autenticar usuarios, el estándar 802.1x les proporciona una manera segura de intercambiar claves de cifrado para mejorar la seguridad en general.