1

Contenido Seguridad Ethernet 802.1x ........................................................................................................................2 1. 2. 3. 4. 5. 6. 7. Cmo funciona 802.1X ...................................................................................................................2 Contenido del estndar...................................................................................................................3 Principios de operacin ..................................................................................................................3 Descripcin de rol o caracterstica ................................................................................................3 Protocolos auxiliares: EAP, EAPOL .............................................................................................4 Sistemas operativos en los que se aplica. ..................................................................................4 Como es la seguridad de Ethernet e Internet?. ..........................................................................4

SEGURIDAD ETHERNET 802.1X |

Seguridad Ethernet 802.1x

Seguridad IEEE 802.1X es un estndar IEEE para el control de acceso a la red basado en puerto ("puerto ", es decir un nico punto de unin a la infraestructura LAN). Proporciona una autenticacin, mecanismo para dispositivos que deseen conectarse a una LAN, o bien el establecimiento de un punto - a punto conexin o evitando que si la autenticacin falla. Un beneficio de 802.1X es los interruptores y / o puntos de acceso en s no necesita saber cmo autenticar el cliente. Todo lo que hacen es pasar la informacin de autenticacin entre el cliente y la autenticacin servidor. Si un dispositivo no se puede completar el proceso de 802.1X con xito, el dispositivo puede ser puesto en una VLAN correctivas o incluso tener su puerto de red administrativamente desactivada.

1. Cmo funciona 802.1X Explicaremos un escenario tpico de autenticacin 802.1X. Como se explica ms abajo, existen tres actores principales en la autenticacin 802.1X: El Suplicante El Autenticador (el Punto de Acceso o Bridge) Servidor de Autenticacin (tpicamente RADIUS (Remote Authentication Dial- In User Server)). La comunicacin comienza con un Suplicante no autenticado (i.e., dispositivo cliente) que intenta conectar con un autenticado (por ejemplo., un punto de acceso 802.11 ). El punto de acceso responde permitiendo al puerto pasar solamente paquetes EAP desde el cliente al servidor de autenticacin situado en la red cableada. Pone al puerto en estado No Autorizado. El punto de acceso bloquea cualquier otro tipo de trfico como paquetes HTTP, DHCP, POP3 , hasta que el punto de acceso verifique la identidad del cliente mediante un Servidor de Autenticacin (por ejemplo RADIUS ).

El cliente enva un mensaje EAP-start. El Punto de acceso responde con EAP-request identity para obtener la identidad del cliente. El cliente contesta con su identidad y el Punto de Acceso reenva este mensaje al Servidor de Autenticacin. La autenticacin se realiza de acuerdo con el algoritmo de autenticacin seleccionado y el resultado (Aceptacin) lo enva el Servidor de Autenticacin al Punto de Acceso.Una vez autenticado el punto de acceso abre el puerto del cliente para otros tipos de trfico del cliente. El estado del puerto pasa a Autorizado. Para

SEGURIDAD ETHERNET 802.1X |

3
desconectar, el cliente enviar un mensaje EAP-logoff, con lo que el Punto de Acceso pone el puerto en estado No Autorizado.

2. Contenido del estndar El objetivo del estndar es especificar un mtodo general de provisin de control de acceso a la red basado en puerto. Entre su contenido cabe destacar que: describe un marco de referencia en el que se produce la autenticacin, define los principios de funcionamiento de los mecanismos de control de acceso, los niveles de control de acceso y el comportamiento asociado a ellos (en cuanto a transmisin y recepcin de tramas), los requisitos del protocolo entre Autenticador-Suplicante y entre Autenticador y Servidor de Autenticacin.

Tambin especifica mecanismos y procedimientos que soportan control de acceso a la red por medio de protocolos de autorizacin y autenticacin, la codificacin de las Unidades de Datos del Protocolo (PDUs) utilizadas por dichos protocolos, establece los requisitos de gestin del control de acceso basado en puerto (definiendo los objetos gestionados y las operaciones de gestin) y el acceso remoto a las operaciones de gestin va SNMP. 3. Principios de operacin Los principios de operacin bsicos son los siguientes: Direccionalidad de control de puerto (una o ambas direcciones permitidas en el enlace) La autenticacin es configurable con granularidad de puerto. Los puertos se autentican de uno en uno. Unos puertos pueden estar controlados y otros no. Puede tener caducidad la autenticacin y requerirse reautenticacin pasado un tiempo. Si falla pasa a estado no autorizado.

4. Descripcin de rol o caracterstica La autenticacin IEEE 802.1X proporciona una barrera de seguridad adicional para la intranet que puede usar para impedir que equipos invitados, no autorizados o no administrados que no pueden autenticarse correctamente se conecten a la intranet. Los administradores implementan la autenticacin IEEE 802.1X para redes inalmbricas IEEE 802.11 para lograr una seguridad mejorada. Por el mismo motivo, los administradores de red desean implementar el estndar IEEE 802.1X para proteger sus conexiones de red cableadas.

Del mismo modo en que un cliente inalmbrico autenticado debe enviar un conjunto de credenciales para su validacin con el fin de poder enviar tramas inalmbricas a la intranet, un cliente cableado mediante IEEE 802.1X tambin debe autenticarse para poder enviar trfico a travs de su puerto de conmutador.
SEGURIDAD ETHERNET 802.1X |

5. Protocolos auxiliares: EAP, EAPOL En la autenticacin se utiliza el protocolo de Autenticacin Extensible (EAP) (especificado en RFC2284) para intercambiar informacin de autenticacin entre Suplicante y Servidor de Autenticacin. EAP fue definido para evitar la proliferacin de protocolos de autenticacin cada uno con un nmero de protocolo punto a punto (PPP) distinto, fijando un nico protocolo e identificador, para mltiples mecanismos de autenticacin. EAP puede utilizar diversos mecanismos de autenticacin tales como Kerberos, encriptacin con clave pblica (PKE), contraseas de un solo uso (OTPs), etc. EAP consiste en un simple encapsulado que puede correr sobre diferentes niveles de enlace. Las tramas de autenticacin deben ser transportadas entre el Suplicante y el Servidor de Autenticacin.

6. Sistemas operativos en los que se aplica. Se aplica a: o o o o o o o Windows 7 Windows 8 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Vista Windows XP

7. Cmo es la seguridad de Ethernet e Internet? Si planea utilizar Conexin compartida a Internet en una red domstica Ethernet y usa una tarjeta Ethernet para la misma, debe instalar un segundo adaptador Ethernet en el equipo que la comparta. Una tarjeta Ethernet permanece conectada a Internet y la otra se conecta al
SEGURIDAD ETHERNET 802.1X |

5
concentrador Ethernet con el resto de los equipos. (Se recomienda no conectar un mdem por cable o DSL directamente al concentrador).

Al disponer de dos tarjetas se elimina el riesgo de que el contenido de su equipo quede visible a cualquier extrao y pueda ser vulnerable a los piratas informticos. Tenga en cuenta que no necesita dos tarjetas Ethernet si tiene un adaptador DSL interno o si comparte una conexin a travs del mdem.

SEGURIDAD ETHERNET 802.1X |