Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
MDULO DE CRIPTOGRAFA
Arquitectura de autenticacin
Elemento suplicante: Es el cliente no autenticado que
se intenta autentificar ante la red de acceso.
El autenticador: Es el encargado del reenvo de
autenticacin, no es ms, que el elemento que da
acceso a la red, que puede ser un punto de acceso
inalmbrico o un conmutador.
El servidor de autenticacin: El servidor de
autenticacin es el encargado de permitir o denegar el
acceso del suplicante, tpicamente se suele usar un
servidor RADIUS.
Arquitectura de autenticacin
Posible arquitectura practica de autenticacin :
Arquitectura de autenticacin
Arquitectura de autenticacin
Arquitectura de autenticacin
IDM (Identity Driven Manager)
Mecanismo de autenticacin
MECANISMO DE AUTENTICACIN
1. El cliente (suplicante) enva un mensaje EAPOL-Start.
1. Justamente despus, el conmutador responde con una
peticin de identidad del cliente. El cliente contesta con su
identidad (nombre de usuario y contrasea o certificado) y
justo despus el conmutador reenva el mensaje al servidor
RADIUS.
2. En el siguiente paso, el cliente y el servidor RADIUS negocian
el tipo de protocolo EAP y los parmetros de autenticacin a
usar.
CLIENTE
EAP-RESPUESTA RETO
CONMUTADOR DE ACCESO
EAP-PETICIN RETO
EAP-RESPUESTA ID
EAP-PETICIN ID
EAPOL-START
Mecanismo de autenticacin
SERVIDOR RADIUS
Mecanismo de autenticacin
4. Una vez negociado el mtodo de autenticacin, el servidor
RADIUS enva un reto al conmutador y ste lo reenva al cliente. El
reto depender del algoritmo de autenticacin elegido, pudiendo
variar el nmero de mensajes y su contenido.
Mtodos de autenticacin
A continuacin
autenticacin:
Mtodos de autenticacin
EAP-TLS: es un estndar abierto, esta variante de EAP ofrece una
mayor seguridad, debido a que tanto el cliente como el servidor
necesitan tener certificados instalados. La implementacin de EAP/TLS
es ms compleja, ya que la corporacin tiene que tener una
infraestructura pblica de claves (PKI) y una adecuada gestin de los
certificados. EAP-TLS proporciona autenticacin mutua y generacin
dinmica de claves WEP.
EAP-TTLS: tambin es un estndar abierto, que ofrece un buen nivel
de seguridad. Es una combinacin de EAP-TLS y mtodos basados en
contrasea tipo CHAP.Este mtodo intenta simplificar el estndar EAPTLS, ya que requiere el uso de certificados en el lado del servidor,
siendo opcional en el lado del cliente. Como primer paso el servidor se
debe autenticar ante el cliente por medio de un certificado,
estableciendo un tnel cifrado que permita al cliente autenticarse a
travs de un medio seguro.
Mtodos de autenticacin
EAP- PEAP: No es un protocolo de cifrado. Es un protocolo similar a
TTLS, solo necesita el uso de un certificado en el servidor de
autenticacin para establecer una conexin segura mediante TLS, y
as enviar el nombre de usuario y contrasea sobre un canal cifrado.
En este estndar se usa el protocolo MSCAHPv2 que opera sobre el
canal cifrado TLS proporcionado por PEAP como mtodo de
autenticacin. El protocolo PEAP realiza la autenticacin en dos
fases. La primera fase consiste en establecer un tnel seguro para el
intercambio de datos mediante la implementacin de EAP-TLS con el
servidor de autenticacin. La segunda fase se identifica al cliente a
travs del tnel cifrado. Para finalizar los administradores o los
usuarios debern instalar el certificado del servidor de autenticacin
en los equipos clientes.
Mtodos de autenticacin
Tabla de mtodos de autenticacin:
Debilidades de 802.1x
Ausencia de autenticacin mutua: se debe a la ausencia de
autenticacin mutua en la definicin del estndar. Al no definir un
sistema de autenticacin mutua se pueden producir ataques Man in the
Middle .
Debilidades de 802.1x
Debilidad autenticacin EAP: Otra vulnerabilidad para redes
inalmbricas se debe a la debilidad de EAP en el envo de mensajes
de xito, mensaje que es enviado desde del autenticador al suplicante.
Este mensaje es enviado sin mecanismos para proteger la integridad, y
tambin el equipo suplicante es capaz de aceptar un cambio de estado
de autenticacin si tomar en cuenta el estado anterior. Un atacante
puede sacar provecho de esta vulnerabilidad mediante un ataque Man
in the Middle, enviando un paquete al suplicante suplantando al
autenticador.
El estndar 802.1x-2010, solventa problemas de seguridad de las especificaciones anteriores.
Utiliza el estndar IEEE 802.1AE (MACsec) para definir una topologa de seguridad que permite
garantizar la confidencialidad, integridad y autenticacin de los datos, y as poder evitar los
ataques que explotan la vulnerabilidades de los protocolos en capa 2. MACsec resguarda la
comunicacin entre el suplicante y el punto de acceso mediante la encapsulacin y el cifrado de la
informacin, proporcionando seguridad Hop by Hop a la red Ethernet. MACsec previene de
ataques Man in the Middle, filtrado del flujo de trfico, enmascaramiento y algunos ataques de
denegacin de servicio.
CONCLUSIONES
El protocolo 802.1x proporciona una gran variedad de mecanismos de
autenticacin entre el suplicante y el autenticador, ofreciendo una gran
flexibilidad a la hora de disear la solucin que mejor se adapte a la
corporacin. Este protocolo adems introduce un tercer elemento, el
servidor de autenticacin, que permite mediante un protocolo independiente
de EAP autentificar al cliente.
El mtodo de autenticacin EAP/MD5 no es seguro contra ataques de
diccionario, ya que el cliente no es capaz de reconocer qu punto de acceso
le ha autenticado. Por lo cual, se podra instalar un punto acceso
inalmbrico falso que permitiera generar peticiones EAP con reto esttico,
que tiene un cifrado ms dbil. De esta forma, el cliente podra conectarse a
un punto de acceso inalmbrico falso pensando que es autntico,
aprovechndose el atacante de esta vulnerabilidad para averiguar la clave
mediante un ataque de diccionario. Por los motivos comentados
anteriormente, EAP/MD5 es un mtodo ms apropiado para el uso en redes
cableadas, y se desaconseja el uso en redes inalmbricas LAN, debido a
que en EAP-MD5 no es posible generar claves WEP dinmicas.
GLOSARIO
ACL
CHAP
EAP
EAPOL
IDM
IEEE
LAN
LDAP
MAC
MACSEC
MD5
MSCHAP
NAP
NGFW
NPS
PEAP
PKI
RADIUS
QoS
TLS
TTLS
UTM
VLAN
BIBLIOGRAFA
IEEE-SA STANDARDS BOARD. 802.1X - IEEE Standard for
Local and metropolitan area networks-Port-Based Network
Access Control, 2010.