La IEEE 802.1X es una norma del IEEE para elcontrol de acceso a red basada en puertos.

Es
parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticacin de dispositivos
conectados a un puerto LAN, estableciendo una conexin punto a punto o previniendo el acceso
por ese puerto si la autenticacin falla. Es utilizado en algunospuntos de acceso inalmbricos
cerrados y se basa en el protocolo de autenticacin extensible (EAP RFC 2284). El RFC
2284ha sido declarado obsoleto en favor del RFC 3748.

Descripcin general del x 802.1X

Es un protocolo de puerto de acceso para proteger las redes a travs de autenticacin. En

consecuencia, este tipo de mtodo de autenticacin es sumamente til en el entorno de Wi-Fi
debido a la naturaleza del medio. Si un usuario de Wi-Fi se autentica mediante 802.1X para el
acceso a la red, se abre un puerto virtual en el punto de acceso, lo que permite la comunicacin.
Si no se correctamente autorizado, un puerto virtual no estar disponible y se bloquean las
comunicaciones.

Existen tres piezas bsicas para la autenticacin 802.1X:

1. Solicitante Un cliente de software que se ejecutan en la estacin de trabajo de Wi-Fi.

2. Autenticador El punto de acceso Wi-Fi.

3. Servidor de autenticacin Una base de datos de autenticacin, por lo general, un servidor

radius como ACS de Cisco *, Funk Steel-Belted RADIUS * o Microsoft IAS *.

Protocolo de autenticacin ampliable (EAP) se utiliza para manejar la informacin de

autenticacin entre el solicitante (la estacin de trabajo de Wi-Fi) y el servidor de autenticacin
(Microsoft IAS u otro). La autenticacin real es definida y manejada por el tipo EAP. El punto
de acceso actuar como autenticador es slo un proxy para permitir que el solicitante y el servidor
de autenticacin para comunicarse.

Qu debo utilizar?

Qu tipo EAP para implementar, o si se va a implementar 802.1X en absoluto, depende el nivel

de seguridad que necesita la organizacin, la carga de trabajo administrativo y las caractersticas
lo desea. Esperamos que las descripciones que aparecen aqu y un grfico comparativo
facilitarn las dificultades en la comprensin de la variedad de tipos de EAP disponibles.
Entender lo que es el estndar IEEE 802.1X y por qu le debe importar significa entender tres conceptos
distintos: PPP, EAP y 802.1X en s mismo.

PPP y EAP definidos

La mayora de las empresas quieren hacer ms por la seguridad que solo usar nombres de usuario y
contraseas para el acceso, por lo que se ha diseado un nuevo protocolo de autenticacin, llamado
Extensible Authentication Protocol (EAP). EAP se encuentra dentro del protocolo de autenticacin PPP,
y proporciona un marco general para varios mtodos de autenticacin diferentes. Se supone que EAP
est a la cabeza de los sistemas de autenticacin propietarios y permite que las contraseas, tokens y
certificados pblicos de infraestructura pblica trabajen sin problemas.

Esto nos lleva a la norma IEEE 802.1X, que es simplemente una norma para pasar EAP a travs de una
LAN cableada o inalmbrica. Con 802.1X, se empaqueta los mensajes EAP en tramas Ethernet y no
utiliza PPP. Su autenticacin y nada ms. Eso es deseable en situaciones en las que el resto de los
productos PPP no son necesarios, en las que est usando otros protocolos de TCP/IP, o donde la
sobrecarga y la complejidad de la utilizacin de productos PPP no son deseables.

802.1X utiliza tres trminos que necesita saber. El usuario o cliente que desea ser autenticado se llama
suplicante. El servidor que hace la autenticacin, por lo general un servidor RADIUS, se llama el
servidor de autenticacin. Y el dispositivo en el medio, tal como un punto de acceso inalmbrico, se
llama el autenticador. Uno de los puntos claves de 802.1X es que el autenticador puede ser simple y
tonto -todos los cerebros tienen que estar en el suplicante y el servidor de autenticacin. Esto hace que
802.1X sea ideal para puntos de acceso inalmbricos, los que por lo general suelen ser pequeos y tienen
poca memoria y potencia de procesamiento.

El protocolo en 802.1X es llamado encapsulacin de EAP sobre LAN (EAPOL). En la actualidad est
definido para redes LAN tipo Ethernet incluyendo redes inalmbricas 802.11, as como redes Token
Ring tales como FDDI. EAPOL no es particularmente sofisticado. Hay una serie de modos de operacin,
pero el caso ms comn sera algo como esto:

1. El autenticador enva un paquete "de solicitud/identidad EAP (Request/Identity)" para el suplicante

tan pronto como detecta que el enlace est activo (por ejemplo, el sistema solicitante se ha asociado con
el punto de acceso).

2. El solicitante enva un paquete "de respuesta/identidad EAP (Response/Identity)" para el

identificador, que luego se pasa al servidor de autenticacin (RADIUS).

3. El servidor de autenticacin enva un desafo al autenticador, como por ejemplo un sistema de

contrasea token. El autenticador descomprime esto de IP y reorganiza en EAPOL y lo enva al
suplicante. Diferentes mtodos de autenticacin variarn este mensaje y el nmero total de mensajes.
EAP soporta la autenticacin solo del cliente y la autenticacin mutua fuerte. Solo una fuerte
autenticacin mutua se considera apropiada para el caso de redes inalmbricas.

4. El solicitante responde al desafo a travs de la autentificacin y pasa la respuesta al servidor de

autenticacin.

5. Si el solicitante proporciona identidad propia, el servidor de autenticacin responde con un mensaje

de xito, que luego se pasa al suplicante. El autenticador permite ahora el acceso a la LAN -posiblemente
restringida segn los atributos que vienen desde el servidor de autenticacin. Por ejemplo, el
autenticador puede cambiar el solicitante a una red LAN virtual o instalar un conjunto de reglas de
firewall.

Cmo ayudar a la seguridad inalmbrica 802.1X?

Muchos proveedores inalmbricos de LAN se han enganchado en el estndar 802.1X IEEE para
ayudar a autenticar y asegurar la LAN inalmbrica y cableada. El comodn con el protocolo 802.1x es
la interoperabilidad.

La autenticacin 802.1X ayuda a mitigar muchos de los riesgos involucrados en el uso de WEP. Por
ejemplo, uno de los mayores problemas con WEP es la larga vida de las claves y el hecho de que son
compartidas entre muchos usuarios y son bien conocidas. Con 802.1X, cada estacin puede tener una
clave nica para cada sesin de WEP. El autenticador (punto de acceso inalmbrico) tambin podra
optar por cambiar la clave WEP con mucha frecuencia, como por ejemplo una vez cada 10 minutos o
cada mil marcos. 802.1X no garantiza una mayor seguridad. Por ejemplo, un autenticador no puede
cambiar la clave que le da a cada solicitante. O bien, el administrador de red puede seleccionar un
mtodo de autenticacin que no permite la distribucin de claves WEP. Sin embargo, 802.1X le da al
administrador de red informado la posibilidad de disear e implementar una mayor seguridad de WLAN.

Joel Snyder, Network World (EE.UU.)