MAGSTER DE REDES Y TELECOMUNICACIONES

MDULO DE CRIPTOGRAFA

SEGURIDAD DE ACCESO EN CAPA 2 POR MEDIO DEL

ESTNDAR 802.1x
FERNANDO FERNNDEZ VALENZUELA

Arquitectura de autenticacin
Elemento suplicante: Es el cliente no autenticado que
se intenta autentificar ante la red de acceso.
El autenticador: Es el encargado del reenvo de
autenticacin, no es ms, que el elemento que da
acceso a la red, que puede ser un punto de acceso
inalmbrico o un conmutador.
El servidor de autenticacin: El servidor de
autenticacin es el encargado de permitir o denegar el
acceso del suplicante, tpicamente se suele usar un
servidor RADIUS.

Infraestructura simplificada de 802.1x.

Arquitectura de autenticacin
Posible arquitectura practica de autenticacin :

Suplicante/cliente que soporte 802.1x.

Autenticador/Conmutador.
Servidor Windows 2008 con RADIUS (NPS).
Servidor con directorio activo.
Servidor con IDM

Arquitectura de autenticacin

Arquitectura fsica de autenticacin

Arquitectura de autenticacin

Arquitectura lgica de autenticacin

Arquitectura de autenticacin
IDM (Identity Driven Manager)

La funcionalidad del IDM no es necesaria para el proceso de autenticacin. El

cometido de la funcionalidad del IDM es enriquecer la informacin de Radius
que se devuelve al equipo de acceso (autenticador) cuando se enva la
autenticacin al servidor Radius. Sin la instalacin de la gestin de IDM, la
peticin de autentificacin del cliente es enviada por medio del conmutador o
punto de acceso inalmbrico al servidor RADIUS mediante el protocolo
RADIUS. El servidor RADIUS enva la peticin al directorio activo y se valida la
peticin de acceso. Una vez ha sido validado de forma correcta el acceso del
usuario, el servidor RADIUS permite el acceso devolviendo la autorizacin al
equipo de acceso y este permite el acceso al usuario. Es necesario instalar un
agente IDM en el servidor Radius. El agente IDM filtra el trfico de las
peticiones de autenticacin de los usuarios pudiendo rechazarlas aunque el
directorio activo (LDAP) la de como correcta, tambin se encarga de aadir
parmetros a la respuesta. Estos parmetros son las ACLs, listas de QoS y la
VLAN. Para obtener estos parmetros el agente IDM contacta con software
IDM que tiene almacenado los diferentes perfiles.

Mecanismo de autenticacin
MECANISMO DE AUTENTICACIN
1. El cliente (suplicante) enva un mensaje EAPOL-Start.
1. Justamente despus, el conmutador responde con una
peticin de identidad del cliente. El cliente contesta con su
identidad (nombre de usuario y contrasea o certificado) y
justo despus el conmutador reenva el mensaje al servidor
RADIUS.
2. En el siguiente paso, el cliente y el servidor RADIUS negocian
el tipo de protocolo EAP y los parmetros de autenticacin a
usar.

CLIENTE

Proceso de autenticacin con RADIUS en Ethernet

EAP- XITO

EAP-RESPUESTA RETO

RADIUS ACCESO ADMITIDO

RADIUS RESPUESTA RETO

RADIUS PETICIN RETO

RADIUS PETICIN ACCESO

CONMUTADOR DE ACCESO

EAP-PETICIN RETO

EAP-RESPUESTA ID

EAP-PETICIN ID

EAPOL-START

Mecanismo de autenticacin

SERVIDOR RADIUS

Mecanismo de autenticacin
4. Una vez negociado el mtodo de autenticacin, el servidor
RADIUS enva un reto al conmutador y ste lo reenva al cliente. El
reto depender del algoritmo de autenticacin elegido, pudiendo
variar el nmero de mensajes y su contenido.

5. El cliente responde al reto a travs del conmutador, y ste reenva

la respuesta al servidor RADIUS, se enva una respuesta al
conmutador indicando que el acceso ha sido valido, y ste reenva
la respuesta de acceso vlido al cliente en forma de mensaje de
xito.
6. El conmutador ahora deja pasar todo tipo de trfico por el puerto
donde est conectado el cliente. Una vez que el cliente se ha
desconectado, se enviar un mensaje EAPOL-logoff, y como
consecuencia del mensaje el conmutador pondr el puerto en
estado no autorizado.

Mtodos de autenticacin
A continuacin
autenticacin:

se explica los diferentes mtodos de

EAP-MD5: es un estndar abierto, se basa en algoritmo de Hash

MD5 y funciona mediante el envo de un Hash del nombre de
usuario, clave y una cadena aleatoria. El servidor usa la clave sin
cifrar y la cadena aleatoria para generar su propio Hash y as
compararlo con el Hash creado por el cliente. En otras palabras,
requiere el uso de bases de datos de usuarios y contrasea sin
cifrar. La autenticacin es de una sola va, el autenticador es
capaz de reconocer el cliente, pero el cliente no sabe quin lo ha
autenticado. No soporta autenticacin mutua entre punto de
acceso y cliente.

Mtodos de autenticacin
EAP-TLS: es un estndar abierto, esta variante de EAP ofrece una
mayor seguridad, debido a que tanto el cliente como el servidor
necesitan tener certificados instalados. La implementacin de EAP/TLS
es ms compleja, ya que la corporacin tiene que tener una
infraestructura pblica de claves (PKI) y una adecuada gestin de los
certificados. EAP-TLS proporciona autenticacin mutua y generacin
dinmica de claves WEP.
EAP-TTLS: tambin es un estndar abierto, que ofrece un buen nivel
de seguridad. Es una combinacin de EAP-TLS y mtodos basados en
contrasea tipo CHAP.Este mtodo intenta simplificar el estndar EAPTLS, ya que requiere el uso de certificados en el lado del servidor,
siendo opcional en el lado del cliente. Como primer paso el servidor se
debe autenticar ante el cliente por medio de un certificado,
estableciendo un tnel cifrado que permita al cliente autenticarse a
travs de un medio seguro.

Mtodos de autenticacin
EAP- PEAP: No es un protocolo de cifrado. Es un protocolo similar a
TTLS, solo necesita el uso de un certificado en el servidor de
autenticacin para establecer una conexin segura mediante TLS, y
as enviar el nombre de usuario y contrasea sobre un canal cifrado.
En este estndar se usa el protocolo MSCAHPv2 que opera sobre el
canal cifrado TLS proporcionado por PEAP como mtodo de
autenticacin. El protocolo PEAP realiza la autenticacin en dos
fases. La primera fase consiste en establecer un tnel seguro para el
intercambio de datos mediante la implementacin de EAP-TLS con el
servidor de autenticacin. La segunda fase se identifica al cliente a
travs del tnel cifrado. Para finalizar los administradores o los
usuarios debern instalar el certificado del servidor de autenticacin
en los equipos clientes.

Mtodos de autenticacin
Tabla de mtodos de autenticacin:

Debilidades de 802.1x
Ausencia de autenticacin mutua: se debe a la ausencia de
autenticacin mutua en la definicin del estndar. Al no definir un
sistema de autenticacin mutua se pueden producir ataques Man in the
Middle .

Ataque Man in the Middle en 802.1X.

Debilidades de 802.1x
Debilidad autenticacin EAP: Otra vulnerabilidad para redes
inalmbricas se debe a la debilidad de EAP en el envo de mensajes
de xito, mensaje que es enviado desde del autenticador al suplicante.
Este mensaje es enviado sin mecanismos para proteger la integridad, y
tambin el equipo suplicante es capaz de aceptar un cambio de estado
de autenticacin si tomar en cuenta el estado anterior. Un atacante
puede sacar provecho de esta vulnerabilidad mediante un ataque Man
in the Middle, enviando un paquete al suplicante suplantando al
autenticador.
El estndar 802.1x-2010, solventa problemas de seguridad de las especificaciones anteriores.
Utiliza el estndar IEEE 802.1AE (MACsec) para definir una topologa de seguridad que permite
garantizar la confidencialidad, integridad y autenticacin de los datos, y as poder evitar los
ataques que explotan la vulnerabilidades de los protocolos en capa 2. MACsec resguarda la
comunicacin entre el suplicante y el punto de acceso mediante la encapsulacin y el cifrado de la
informacin, proporcionando seguridad Hop by Hop a la red Ethernet. MACsec previene de
ataques Man in the Middle, filtrado del flujo de trfico, enmascaramiento y algunos ataques de
denegacin de servicio.

CONCLUSIONES
El protocolo 802.1x proporciona una gran variedad de mecanismos de
autenticacin entre el suplicante y el autenticador, ofreciendo una gran
flexibilidad a la hora de disear la solucin que mejor se adapte a la
corporacin. Este protocolo adems introduce un tercer elemento, el
servidor de autenticacin, que permite mediante un protocolo independiente
de EAP autentificar al cliente.
El mtodo de autenticacin EAP/MD5 no es seguro contra ataques de
diccionario, ya que el cliente no es capaz de reconocer qu punto de acceso
le ha autenticado. Por lo cual, se podra instalar un punto acceso
inalmbrico falso que permitiera generar peticiones EAP con reto esttico,
que tiene un cifrado ms dbil. De esta forma, el cliente podra conectarse a
un punto de acceso inalmbrico falso pensando que es autntico,
aprovechndose el atacante de esta vulnerabilidad para averiguar la clave
mediante un ataque de diccionario. Por los motivos comentados
anteriormente, EAP/MD5 es un mtodo ms apropiado para el uso en redes
cableadas, y se desaconseja el uso en redes inalmbricas LAN, debido a
que en EAP-MD5 no es posible generar claves WEP dinmicas.

GLOSARIO
ACL
CHAP
EAP
EAPOL
IDM
IEEE
LAN
LDAP
MAC
MACSEC
MD5
MSCHAP
NAP
NGFW
NPS
PEAP
PKI
RADIUS
QoS
TLS
TTLS
UTM
VLAN

Access Control List

Challenge Handshake Authentication Protocol
Extensible Authentication Protocol
Extensible Authentication Protocol over VLAN
Identity Driven Manager
Institute of Electrical and Electronics Engineers
Local Area Network
Lightweight Directory Access Protocol
Media access control
Media Access Control Security
Message-Digest Algorithm 5
Microsoft Challenge Handshake Authentication Protocol
Network Access Protection
Next Generation Firewalls
Network Policy Server
Protected EAP
Public Key Infrastructure
Remote Authentication Dial-In User Service
Quality of Service
Transport Layer Security
Tunneled Transport Layer Security
Unified Threat Management
Virtual Local Area Network

BIBLIOGRAFA
IEEE-SA STANDARDS BOARD. 802.1X - IEEE Standard for
Local and metropolitan area networks-Port-Based Network
Access Control, 2010.