1
Contenido Seguridad Ethernet 802.1x ........................................................................................................................ 2 1.
Cómo funciona 802.1X ................................................................................................................... 2
2.
Contenido del estándar ................................................................................................................... 3
3.
Principios de operación .................................................................................................................. 3
4.
Descripción de rol o característica ................................................................................................ 3
5.
Protocolos auxiliares: EAP, EAPOL ............................................................................................. 4
6.
Sistemas operativos en los que se aplica. .................................................................................. 4
7.
Como es la seguridad de Ethernet e Internet?. .......................................................................... 4
SEGURIDAD ETHERNET 802.1X |
2
Seguridad Ethernet 802.1x
Seguridad IEEE 802.1X es un estándar IEEE para el control de acceso a la red basado en puerto ("puerto ", es decir un único punto de unión a la infraestructura LAN). Proporciona una autenticación, mecanismo para dispositivos que deseen conectarse a una LAN, o bien el establecimiento de un punto - a – punto conexión o evitando que si la autenticación falla. Un beneficio de 802.1X es los interruptores y / o puntos de acceso en sí no necesita saber cómo autenticar el cliente. Todo lo que hacen es pasar la información de autenticación entre el cliente y la autenticación servidor. Si un dispositivo no se puede completar el proceso de 802.1X con éxito, el dispositivo puede ser puesto en una VLAN correctivas o incluso tener su puerto de red administrativamente desactivada.
1. Cómo funciona 802.1X Explicaremos un escenario típico de autenticación 802.1X. Como se explica más abajo, existen tres actores principales en la autenticación 802.1X:
El Suplicante
El Autenticador (el Punto de Acceso o Bridge)
Servidor de Autenticación (típicamente RADIUS (Remote Authentication Dial- In User Server)).
La comunicación comienza con un Suplicante no autenticado (i.e., dispositivo cliente) que intenta conectar con un autenticado (por ejemplo., un punto de acceso 802.11 ). El punto de acceso responde permitiendo al puerto pasar solamente paquetes EAP desde el cliente al servidor de autenticación situado en la red cableada. Pone al puerto en estado No Autorizado. El punto de acceso bloquea cualquier otro tipo de tráfico como paquetes HTTP, DHCP, POP3 , hasta que el punto de acceso verifique la identidad del cliente mediante un Servidor de Autenticación Autenticación (por ejemplo ejemplo RADIUS RADIUS ).
El cliente envía un mensaje EAP-start. El Punto de acceso responde con EAP-request identity para obtener la identidad del cliente. El cliente contesta con su identidad y el Punto de Acceso reenvía este mensaje al Servidor de Autenticación. La autenticación se realiza de acuerdo con el algoritmo de autenticación seleccionado y el resultado (Aceptación) lo envía el Servidor de Autenticación Autenticación al Punto de Acceso.Una Acceso.Una vez autenticado autenticado el punto de acceso abre el puerto del cliente para otros tipos de tráfico del cliente. El estado del puerto pasa a Autorizado. Para
SEGURIDAD ETHERNET 802.1X |
3
desconectar, el cliente enviará un mensaje EAP-logoff, con lo que el Punto de Acceso pone el puerto en estado No Autorizado.
2. Contenido del estándar El objetivo del estándar es especificar un método general de provisión de control de acceso a la red basado en puerto. Entre su contenido cabe destacar que: describe un marco de referencia en el que se produce la autenticación, define los principios de funcionamiento de los mecanismos de control de acceso, los niveles de control de acceso y el comportamiento asociado a ellos (en cuanto a transmisión y recepción de tramas), los requisitos del protocolo entre Autenticador-Suplicante y entre Autenticador y Servidor de Autenticación.
También especifica mecanismos y procedimientos que soportan control de acceso a la red por medio de protocolos de autorización y autenticación, la codificación de las Unidades de Datos del Protocolo (PDUs) utilizadas por dichos protocolos, establece los requisitos de gestión del control de acceso basado en puerto (definiendo los objetos gestionados y las operaciones de gestión) y el acceso remoto a las operaciones de gestión vía SNMP. 3. Principios de operación Los principios de operación básicos son los siguientes:
Direccionalidad de control de puerto (una o ambas direcciones permitidas en el enlace)
La autenticación es configurable con granularidad de puerto. Los puertos se autentican de uno en uno. Unos puertos pueden estar controlados y otros no.
Puede tener caducidad la autenticación y requerirse reautenticación pasado un tiempo. Si falla pasa a estado no autorizado.
4. Descripción de rol o característica La autenticación IEEE 802.1X proporciona una barrera de seguridad adicional para la intranet que puede usar para impedir que equipos invitados, no autorizados o no administrados que no pueden autenticarse correctamente se conecten a la intranet. Los administradores implementan la autenticación IEEE 802.1X para redes inalámbricas IEEE 802.11 para lograr una seguridad mejorada. Por el mismo motivo, los administradores de red desean implementar el estándar IEEE 802.1X para proteger sus conexiones de red cableadas.
Del mismo modo en que un cliente inalámbrico autenticado debe enviar un conjunto de credenciales para su validación con el fin de poder enviar tramas inalámbricas a la intranet, un cliente cableado mediante IEEE 802.1X también debe autenticarse para poder enviar tráfico a través de su puerto de conmutador. SEGURIDAD ETHERNET 802.1X |
4
5. Protocolos auxiliares: EAP, EAPOL En la autenticación se utiliza el protocolo de Autenticación Extensible (EAP) (especificado en RFC2284) para intercambiar información de autenticación entre Suplicante y Servidor de Autenticación. Autenticación. EAP fue definido para evitar la proliferación de protocolos de autenticación autenticación cada uno con un número de protocolo punto a punto (PPP) distinto, fijando un único protocolo e identificador, para múltiples mecanismos de autenticación. EAP puede utilizar diversos mecanismos de autenticación tales como Kerberos, encriptación con clave pública (PKE), contraseñas de un solo uso (OTPs), etc. EAP consiste en un simple encapsulado que puede correr sobre diferentes niveles de enlace. Las tramas de autenticación deben ser transportadas entre el Suplicante y el Servidor de Autenticación. Autenticación.
6. Sistemas operativos en los que se aplica. Se aplica a: o
Windows 7
o
Windows 8
o
Windows Server 2008
o
Windows Server 2008 R2
o
Windows Server 2012
o
Windows Vista
o
Windows XP
7. ¿Cómo es la seguridad de Ethernet e Internet? Si planea utilizar Conexión compartida a Internet en una red doméstica Ethernet y usa una tarjeta Ethernet para la misma, debe instalar un segundo adaptador Ethernet en el equipo que la comparta. Una tarjeta Ethernet permanece conectada a Internet y la otra se conecta al SEGURIDAD ETHERNET 802.1X |
5
concentrador Ethernet con el resto de los equipos. (Se recomienda no conectar un módem por cable
o
DSL
directamente
al
concentrador).
Al disponer disponer de dos tarjetas tarjetas se elimina elimina el riesgo de de que el contenido contenido de su equipo quede visible visible a cualquier cualqui er extraño y pueda ser vulnerable a los “piratas informáticos”. Tenga en cuenta que no necesita dos tarjetas Ethernet si tiene un adaptador DSL interno o si comparte una conexión a través del módem.
SEGURIDAD ETHERNET 802.1X |