Documentos de Académico
Documentos de Profesional
Documentos de Cultura
802.1x
Andrés Sebastián Smerkin
Legajo N° 29857
Índice de contenido
¿Qué es 802.1x?....................................................................................................................................3
¿Cómo funciona 802.1x?......................................................................................................................3
Arquitectura y Componentes................................................................................................................4
Protocolo EAP......................................................................................................................................6
EAP-MD5........................................................................................................................................7
LEAP...............................................................................................................................................7
EAP-TLS.........................................................................................................................................8
EAP-TTLS.......................................................................................................................................8
PEAP................................................................................................................................................9
Comparativa entre métodos EAP.....................................................................................................9
Ejemplo de infraestructura con 802.1x...............................................................................................10
Beneficios de 802.1x..........................................................................................................................11
Ventajas y desventajas de 802.1X......................................................................................................12
Asignación de VLANs a través de 802.1X.........................................................................................12
Funcionamiento.............................................................................................................................13
Trusted Network Connect (TNC).......................................................................................................13
Elementos clave.............................................................................................................................13
Similitudes entre NAC y 802.1x....................................................................................................14
Conclusión..........................................................................................................................................14
Fuentes de Información......................................................................................................................15
2
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
¿Qué es 802.1x?
802.1X es un estándar del IEEE para realizar el control de acceso a una red mediante un proceso
de autenticación que habilita o impide el acceso de los dispositivos que se conectan a un puerto de
red LAN. Este estándar puede implementarse en redes cableadas al igual que en redes inalámbricas
802.11.
Adicionalmente este tipo de implementación puede utilizarse para administrar las claves utilizadas
para proteger la información que trasmiten los dispositivos autenticados.
1X hace referencia al uso del protocolo de autenticación extensible EAP entre el suplicante (usua-
rios de acceso inalámbrico), el autenticador (switches o Access points) y los servidores de autentica-
ción (como el RADIUS por ejemplo).
El estándar inicial no incorporaba un mecanismo robusto de autenticación. En las siguientes mejo-
ras se incluyó la posibilidad de hacer servir el estándar 802.1x el cual proporciona varios métodos
que podemos considerar seguros para redes inalámbricas. A pesar de esto 802.1x no específico de
redes inalámbricas, ya que originariamente se pensó para cableadas.
El estándar 802.1x no está relacionado directamente con el desarrollo del estándar 802.11, sino que
es un conjunto de especificaciones totalmente independientes al estándar inalámbrico. Este están-
dar nació de la necesidad de disponer de un método de autenticación seguro, flexible y optimizado
para redes IP tanto LAN como WAN, el cual funcionara sobre la capa de enlace de datos.
El estándar 802.1x utiliza el protocolo EAP para la comunicación y el concepto de puertos de au-
tenticación. Los dispositivos que quieren conectar a una red basada en este estándar realizan una
primera conexión con el dispositivo que actúa como puente entre el cliente y el servidor de autenti-
cación (en el caso de redes inalámbricas el puente es el AP). Los puertos de conexión entre la red y
el cliente pueden estar autorizados o desautorizados, dependiendo de la validación del servidor de
autenticación.
3
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Arquitectura y Componentes
En la siguiente figura podemos observar la arquitectura de un sistema 802.1x y la nomenclatura
usada en este sistema.
4
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
5
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Protocolo EAP
EAP (Extensible Authentication Protocol) nació de la necesidad de tener un mecanismo de autenti-
cación más robusto para las conexiones PPP (Point-to-Point). El EAP está definido en RFC 3748 y
al ser “Extensible” (o tener estatus de framework) se le permite que pueda ser modificado para in-
cluir nuevos métodos de autenticación (como en su momento hizo CISCO Systems con la autentica-
ción LEAP).
En el caso de las transmisiones inalámbricas, el EAP es utilizado por el 802.1x para realizar la co-
municación entre los dispositivos que intervienen en la autenticación del cliente.
Básicamente pueden identificarse 4 tipos de mensajes que utiliza el protocolo:
1. Petición (Request Identity): usado para el envío de mensajes del punto de acceso al
cliente.
2. Respuesta (Identity Response): usado para el envío de mensajes del cliente al punto de
acceso.
3. Éxito (Success): enviado por el punto de acceso para indicar que el acceso está permiti-
do.
4. Fallo (Failure): enviado por el punto de acceso para el rechazo del acceso.
El esquema que utiliza la autenticación utilizando EAP es el siguiente:
6
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
En la siguiente figura se muestra los métodos de autenticación más importantes, y luego se explica
con detalle cada uno de ellos:
EAP-MD5
Es la versión menos segura del protocolo EAP, utiliza el nombre de usuario y contraseña para rea-
lizar la autenticación, usando la función hash MD5 de la contraseña para la verificación. Al no
comprobar la identidad del servidor es muy vulnerable a ataque del tipo Man-in-the-Middle.
LEAP
Como ya hemos dicho LEAP (Lightweight Extensible Authentication Protocol) fue diseñado por la
compañía CISCO Systems con tal de proveer a sus sistemas de una autenticación robusta con WEP
7
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
EAP-TLS
Este método es el más robusto de todos los métodos de autenticación que implementa EAP. Este
método considera la red inalámbrica totalmente insegura, es decir, como si se tratara de la red de In-
ternet, por lo tanto la autenticación debe ser mutua, tanto el cliente como el servidor deben ser au -
tenticados. La autenticación se realiza mediante certificados digitales, con lo que es necesario dis-
poner una estructura PKI (Public Key Infrastructure).
Con esto podemos ver que este sistema proporciona los requerimientos para poder asegurar que la
autenticación es completa y segura. Los certificados proporcionan autenticación entre usuarios y el
servidor, con lo que se evitan los ataques de llamados rogue (atacante que usa un AP para suplantar
a otro operativo). Además, dado a que los certificados digitales incluyen claves criptográficas, estos
proporcionan un método para distribuir claves de cifrado de datos de manera segura.
En este sistema el problema llega en el momento de distribuir los certificados: la clave privada de
un certificado digital puede quedar a la vista de un atacante que tenga acceso a los archivos perso-
nales de un usuario. No obstante, el mayor inconveniente de este sistema es que implica la necesi-
dad de mantener una estructura PKI y un servidor de autenticación RADIUS. Por lo tanto, la difi-
cultad de implementación de este sistema evita que muchas redes puedan disponer de esta seguri-
dad.
EAP-TTLS
Este sistema es similar al EAP-TLS pero sólo se usa el certificado de servidor. Este método apare-
ció dado a que se prefería mantener la autenticación de red nativa ya implementada, como puede ser
la autenticación contra el Directorio Activo (método usuario y contraseña usado en un dominio
Windows), LDAP Directory o autenticación mediante Kerberos. Por lo tanto este método proporcio-
na una mezcla entre el sistema inalámbrico y el sistema que ya funciona en la red cableada.
En un primer paso, se establece un túnel TLS mediante el certificado digital del servidor de auten-
ticación (en el cual confiamos ya que está firmado por una CA). Una vez establecido el túnel segu-
ro, se envía la autenticación de usuario original que ya no depende del método EAP.
Con este método podemos ver que eliminamos parte de la estructura de la PKI (ya no son necesa-
rios los certificados de usuario). Aún así necesitamos disponer de otro método de autenticación el
cual puede no estar disponible en redes no empresariales.
8
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Este método, al igual que PEAP, utiliza dos fases para lograr la autenticación. En la primera se lo-
gra establecer un canal seguro y en la segunde se procede a la autenticación del usuario.
PEAP
El significado de PEAP se corresponde con Protected EAP y consiste en un mecanismo de valida-
ción similar a EAP-TTLS, basado en usuario y contraseña también protegidos.
9
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
10
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Como podemos ver, es importante considerar en el diseño todos los elementos que se involucrarán
con el esquema a implementar, para así considerar los requerimientos en cada uno de ellos y termi-
nar de definir adecuadamente el plan de implementación.
Beneficios de 802.1x
La implementación de 802.1x para redes inalámbricas utiliza un servidor de autenticación como el
RADIUS, el cual no solo es quien valida la identidad de quien accede a la red (a través de un méto-
do EAP) si no que es quien fuerza, con cierta frecuencia, la generación de una nueva clave de cifra-
do para la conexión establecida, haciendo que la probabilidad de que un ataque identifique de la cla-
ve de cifrado, sea mínima (con una adecuada configuración de la frecuencia de renovación de la
clave de cifrado).
Adicionalmente, ciertos métodos de autenticación EAP como TLS y TTLS permiten elevar aún
más la seguridad mediante el uso de certificados digitales de autenticación de usuarios o estaciones.
Otra ventaja de la implementación de 802.1x en redes inalámbricas es los costos asociados, ya que
se puede utilizar servidores de autenticación
(RADIUS) que ya existen en las organizaciones y no se requiere actualizaciones firmware o com-
patibilidad con WPA en los dispositivos inalámbricos utilizados.
Finalmente, este tipo de implementación es fácilmente adaptable a los cambios o crecimientos de
las infraestructuras tecnológicas y también se pueden utilizar modelos de autenticación distribuidos
para organizaciones con varias sedes o varias redes LAN.
11
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Ventajas:
Desventajas
• El empleo de certificados puede ser costoso.
• Generalmente es empleado para empresas grandes por su complejidad.
• La manipulación de los certificados lo hace engorrosa
• Existen metodos que son débiles frente a ataques de “fuerza bruta” o de diccionario.
• Necesidad de un servidor RADIUS que puede o no ser dedicado exclusivamente a esta fun-
ción.
• Requiere mucha administración.
12
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Funcionamiento
Cuando una computadora es conectada a un puerto, en principio el puerto realiza una autenticación
hacia el dispositivo que intenta conectarse (el suplicante). El suplicante responde con un método de
autenticación y la petición es pasada al servidor Radius. El servidor de autenticación soporta EAP,
el cual permite definir una membresía de VLAN particular para cada usuario individual. Una vez
autorizado, el puerto conectado al suplicante autenticado se vuelve un miembro de la VLAN especi-
ficada.
Debe notarse que se utilizan membresías de VLAN basadas en puertos. El puerto autenticado será
removido de cualquier VLAN previamente configurada. El puerto no puede ser miembre de multi-
plas VLANs.
Entonces, cuando múltiples usuarios intentan conectarse a un puerto en el mismo switch frontera,
si la base de datos de usuarios especifica diferentes VLANs, los puertos a los que se conectan los
usuarios serán colocados en diferentes VLANs. Mediante este método, la asignación de VLANs por
802.1x puede proveer separación segura de los datos.
Elementos clave
• Access Requestor (AR): el punto de acceso que solicita acceso a la red (el AR cumple un
rol similar al Suplicante en 802.1X).
• Policy Enforcement Point (PEP): El elemento que refuerza los controles (permite o bloquea
13
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Similitudes
• Mecanismos de autenticación fuertes.
• Refuerzo de políticas de acceso antes de la conexión (Todos los puertos están no autorizados
hasta que una autenticación satisfactoria sea completada).
• Aceeso de usuario basado en roles (Asignación dinámica de VLANs es típicamente utilizada
como control de acceso para diferentes tipos de usuario)
Diferencias
• NAC provee validación de cumplimiento de los puntos de acceso.
• NAC no depende de spulicantes o software de suplicantes.
• NAC puede proveeer monitoreo y controles posteriores a la conexión.
Conclusión
La mayoría de las soluciones hoy en día implementa conceptos muy parecidos a los que TNC pro-
pone. 802.1x no es una excepción a la regla. De manera de que podemos concluir que 802.1x ha
sido un protocolo bien pensado dentro de lo que se conoce hoy en día como soluciones de control
de acceso a redes, aunque el protocolo propuesto por IEEE es bastante limitado en cuanto a funcio-
nes post-conexión y otras herramientas útiles. De esto podemos entender que hasta la propuesta ac-
tual de la IEEE (2005), la idea fue proporcionar un control básico de acceso a redes, pero sin posibi-
lidad de una administración posterior.
14
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin
Fuentes de Información
• http://tldp.org/HOWTO/html_single/8021X-HOWTO/
• http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MONOGRAFIA_DE_S
EGURIDAD_EN_%20REDES_WIFI.pdf
• Carolina Advanced Digital - Best Practices for Effective Network Access Control -
www.cadinc.com
• Wikipedia – 802.1x - http://en.wikipedia.org/wiki/802.1x
• Allied – Telesyn - How To use 802.1x VLAN assignment
15