las tarjetas inteligentes, tarjetas de identificacin y calculadoras de cifrado.

EAP
proporciona una arquitectura estndar para aceptar mtodos de autenticacin
adicionales junto con PPP.
Mediante EAP, se pueden admitir esquemas de autenticacin adicionales,
conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de
identificacin, contraseas de un solo uso, autenticacin por clave pblica
mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP
seguros, es un componente tecnolgico crtico para las conexiones de red privada
virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados,
ofrecen mayor seguridad frente a ataques fsicos o de diccionario, y de
investigacin de contraseas, que otros mtodos de autenticacin basados en
contrasea, como CHAP o MS-CHAP.
Para averiguar si se est utilizando un tipo de EAP en su organizacin, pngase
en contacto con el administrador de la red.
Para configurar una conexin con EAP, vea Configurar la autenticacin de la
identidad y el cifrado de datos.
La familia Windows Server 2003 admite dos tipos de EAP:

EAP-MD5 CHAP (equivalente al protocolo de autenticacin CHAP)

EAP-TLS (utilizado para autenticacin basada en certificados de usuario).

EAP-TLS es un mtodo de autenticacin mutua, lo que significa que tanto el

cliente como
un aumento de mantenimiento por parte del administrador de la red, lo que
conlleva, en la mayora de ocasiones, que la clave se cambie poco o nunca.
El algoritmo de encriptacin utilizado es RC4 con claves (seed), segn el
estndar, de 64 bits. Estos 64 bits estn formados por 24 bits correspondientes al
vector de inicializacin ms 40 bits de la clave secreta. Los 40 bits son los que se
deben distribuir manualmente. El vector de inicializacin (IV), en cambio, es
generado dinmicamente y debera ser diferente para cada trama. El objetivo
perseguido con el IV es cifrar con claves diferentes para impedir que un posible
atacante pueda capturar suficiente trfico cifrado con la misma clave y terminar
finalmente deduciendo la clave. Como es lgico, ambos extremos deben conocer
tanto la clave secreta como el IV. Lo primero sabemos ya que es conocido puesto
que est almacenado en la configuracin de cada elemento de red. El IV, en
cambio, se genera en un extremo y se enva en la propia trama al otro extremo,
por lo que tambin sera conocido. Observemos que al viajar el IV en cada trama
es sencillo de interceptar por un posible atacante.
El algoritmo de encriptacin de WEP es el siguiente:
1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el mtodo que
propone WEP para garantizar la integridad de los mensajes (ICV, Integrity
Check Value).
2. Se concatena la clave secreta a continuacin del IV formado el seed.

3. El PRNG (Pseudo-Random Number Generator) de RC4 genera una WPA

WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la
asociacin de empresas Wi-Fi a la seguridad que demandan los usuarios y que
WEP no puede proporcionar.
El IEEE tiene casi terminados los trabajos de un nuevo estndar para reemplazar
a WEP, que se publicarn en la norma IEEE 802.11i a mediados de 2004. Debido
a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se
encontraron en 2001), Wi-Fi decidi, en colaboracin con el IEEE, tomar aquellas
partes del futuro estndar que ya estaban suficientemente maduras y publicar as
WPA. WPA es, por tanto, un subconjunto de lo que ser IEEE 802.11i. WPA (2003)
se est ofreciendo en los dispositivos actuales.
WPA soluciona todas las debilidades conocidas de WEP y se considera
suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no
vean necesidad de cambiar a IEEE 802.11i cuando est disponible.
Caractersticas de WPA
Las principales caractersticas de WPA son la distribucin dinmica de claves,
utilizacin ms robusta del vector de inicializacin (mejora de la confidencialidad) y
nuevas tcnicas de integridad y autentificacin.
WPA incluye las siguientes tecnologas:
IEEE 802.1X. Estndar del IEEE de 2001 para proporcionar un control de acceso
en redes basadas en puertos. El concepto de puerto, en un principio pensado para
las ramas de un switch, tambin se puede aplicar a las distintas conexiones de un
over LAN) . TKIP (Temporal Key Integrity Protocol). Segn indica Wi-Fi, es el
protocolo encargado de la generacin de la clave para cada trama . MIC (Message
Integrity Code) o Michael. Cdigo que verifica la integridad de los datos de las
tramas.
de acceso de una longitud entre 8 y 63 caracteres, que es la clave compartida. Al
igual que ocurra con WEP, esta clave hay que introducirla en cada una de las
estaciones y puntos de acceso de la red inalmbrica. Cualquier estacin que se
identifique con esta contrasea, tiene acceso a la red. Las caractersticas de WPAPSK lo definen como el sistema, actualmente, ms adecuado para redes de
pequeas oficinas o domsticas, la configuracin es muy simple, la seguridad es
aceptable y no necesita ningn componente adicional.

estndar que permita tanto la autenticacin como el intercambio dinmico de

contraseas, de forma fcil y segura. El estndar IEEE 802.1X proporciona un
sistema de control de dispositivos de red, de admisin, de trfico y gestin de
claves para dispositivos tos en una red inalmbrica. 802.1X se basa en puertos,
para cada cliente dispone de un puerto que utiliza para establecer una conexin
punto a punto. Mientras el cliente no se ha validado este puerto permanece
cerrado. Cada una de estas funcionalidades se puede utilizar por separado,
permitiendo a WPA, por ejemplo, utilizar 802.1X para aceptar a una estacin
cliente. Para el control de admisin 802.1X utiliza un protocolo de autenticacin
denominado EAP y para el cifado de datos CCMP y esto es lo que se conoce
como RSN (Robust Secure Network) o tambin WPA2. No todo el hardware
admite CCMP. EAP Hemos visto que 802.1X utiliza un protocolo de autenticacin
llamado EAP (Extensible Authentication Protocol) que admite distintos mtodos de
autenticacin como certificados, tarjetas inteligentes, ntlm, Kerberos, ldap, etc. En
realidad EAP acta como intermediario entre un solicitante y un motor de
validacin permitiendo la comunicacin entre ambos.
El proceso de validacin est conformado por tres elementos, un solicitante que
quiere ser validado mediante unas credenciales, un punto de acceso y un sistema
de validacin situado en la parte cableada de la red. Para conectarse a la red, el
solicitante se identifica mediante una credenciales que pueden ser un certificado
digital, una pareja nombre/usuario u otros datos. Junto con las credenciales, el
cliente solicitante tiene que aadir tambin qu sistema de validacin tiene que
utilizar. Evidentemente no podemos pretender que el punto de acceso disponga
del sistema de validacin. Por ejemplo, si queremos utilizar como credenciales los
usuarios de un sistema, ser el punto de acceso el que tendr que preguntar al
sistema si las credenciales son correctas. En general EAP acta de esta forma,
recibe una solicitud de validacin y la remite a otro sistema que sepa como
resolverla y que formar parte de la red cableada. De esta forma vemos como el
sistema EAP permite un cierto trfico de datos con la red local para permitir la
validacin de un solicitante. El punto de acceso rechaza todas las tramas que no
estn validadas, que provengan de un cliente que no se he identificado, salvo
aqullas que sean una solicitud de validacin. Estos paquetes EAP que circulan
por la red local se denominan EAPOL (EAP over LAN). Una vez validado, el punto
de acceso admite todo el trfico del cliente.
El sistema de autenticacin puede ser un servidor RADIUS situado en la red local.
Los pasos que sigue el sistema de autenticacin 802.1X son:
1) El cliente enva un mensaje de inicio EAP que inicia un intercambio de
mensajes para permitir autenticar al cliente.

2) El punto de acceso responde con un mensaje de solicitud de identidad EAP

para solicitar las credenciales del cliente.
3) El cliente enva un paquete respuesta EAP que contiene las credenciales de
validacin y que es remitido al servidor de validacin en la red local, ajeno al punto
de acceso.
4) El servidor de validacin analiza las credenciales y el sistema de validacin
solicitado y determina si autoriza o no el acceso. En este punto tendrn que
coincidir las configuraciones del cliente y del servidor, las credenciales tienen que
coincidir con el tipo de datos que espera el servidor.
5) E
se basa en una identificacin de un usuario y contrasea que se transmiten
cifrados mediante TLS, para evitar su transmisin en texto limpio. Es decir se crea
un tnel mediante TLS para transmitir el nombre de usuario y la contrasea. A
diferencia de EAP-TLS slo requiere un certificado de servidor.

PEAP
El significado de PEAP se corresponde con Protected EAP y consiste en un
mecanismo de validacin similar a EAP-TTLS, basado en usuario y contrasea
tambin protegidos.