IEEE

802.1x
Andrés Sebastián Smerkin
Legajo N° 29857

Nuevas Tecnologías de Redes

Universidad Tecnológica Nacional - Facultad Regional Mendoza
Año 2012
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Índice de contenido
¿Qué es 802.1x?....................................................................................................................................3
¿Cómo funciona 802.1x?......................................................................................................................3
Arquitectura y Componentes................................................................................................................4
Protocolo EAP......................................................................................................................................6
EAP-MD5........................................................................................................................................7
LEAP...............................................................................................................................................7
EAP-TLS.........................................................................................................................................8
EAP-TTLS.......................................................................................................................................8
PEAP................................................................................................................................................9
Comparativa entre métodos EAP.....................................................................................................9
Ejemplo de infraestructura con 802.1x...............................................................................................10
Beneficios de 802.1x..........................................................................................................................11
Ventajas y desventajas de 802.1X......................................................................................................12
Asignación de VLANs a través de 802.1X.........................................................................................12
Funcionamiento.............................................................................................................................13
Trusted Network Connect (TNC).......................................................................................................13
Elementos clave.............................................................................................................................13
Similitudes entre NAC y 802.1x....................................................................................................14
Conclusión..........................................................................................................................................14
Fuentes de Información......................................................................................................................15

2
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

¿Qué es 802.1x?
802.1X es un estándar del IEEE para realizar el control de acceso a una red mediante un proceso
de autenticación que habilita o impide el acceso de los dispositivos que se conectan a un puerto de
red LAN. Este estándar puede implementarse en redes cableadas al igual que en redes inalámbricas
802.11.
Adicionalmente este tipo de implementación puede utilizarse para administrar las claves utilizadas
para proteger la información que trasmiten los dispositivos autenticados.
1X hace referencia al uso del protocolo de autenticación extensible EAP entre el suplicante (usua-
rios de acceso inalámbrico), el autenticador (switches o Access points) y los servidores de autentica-
ción (como el RADIUS por ejemplo).
El estándar inicial no incorporaba un mecanismo robusto de autenticación. En las siguientes mejo-
ras se incluyó la posibilidad de hacer servir el estándar 802.1x el cual proporciona varios métodos
que podemos considerar seguros para redes inalámbricas. A pesar de esto 802.1x no específico de
redes inalámbricas, ya que originariamente se pensó para cableadas.
El estándar 802.1x no está relacionado directamente con el desarrollo del estándar 802.11, sino que
es un conjunto de especificaciones totalmente independientes al estándar inalámbrico. Este están-
dar nació de la necesidad de disponer de un método de autenticación seguro, flexible y optimizado
para redes IP tanto LAN como WAN, el cual funcionara sobre la capa de enlace de datos.
El estándar 802.1x utiliza el protocolo EAP para la comunicación y el concepto de puertos de au-
tenticación. Los dispositivos que quieren conectar a una red basada en este estándar realizan una
primera conexión con el dispositivo que actúa como puente entre el cliente y el servidor de autenti-
cación (en el caso de redes inalámbricas el puente es el AP). Los puertos de conexión entre la red y
el cliente pueden estar autorizados o desautorizados, dependiendo de la validación del servidor de
autenticación.

¿Cómo funciona 802.1x?

802.1X implementa el control de acceso a red basado en puertos. El control de acceso a red basado
en puertos utiliza las características físicas de una infraestructura de red de área local (LAN) con-
mutada para autenticar los dispositivos conectados a un puerto de LAN e impedir el acceso a dicho
puerto cuando se produzca un error en el proceso de autenticación.
Durante una interacción del control de acceso a red basado en puertos, un puerto de LAN adopta
una de dos funciones: autenticador o suplicante.
• Función de autenticador: un puerto de LAN exige la autenticación antes de permitir el ac-
ceso de los usuarios a los servicios a los que se puede tener acceso desde dicho puerto.
• Función de suplicante: un puerto de LAN solicita acceso a los servicios a los que se puede
tener acceso desde el puerto del autenticador.
Un servidor de autenticación, que puede ser una entidad independiente o coincidir con el autentica-
dor, comprueba las credenciales del suplicante en nombre del autenticador. El servidor de autentica-
ción responde entonces al autenticador, indicando si el suplicante tiene autorización o no para el ac-
ceso a los servicios del autenticador.
El control de acceso a red basado en puertos del autenticador define dos rutas de acceso lógico a

3
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

datos para la LAN a través de un puerto de LAN físico.

• La primera ruta de acceso a datos, el puerto sin controlar, permite el intercambio de da-
tos entre el autenticador y un dispositivo de la LAN, independientemente de cuál sea el
estado de autenticación del dispositivo. Esta ruta de acceso es la que utilizarán los
mensajes de EAPOL (EAP a través de LAN).
• La segunda ruta de acceso a datos, el puerto controlado, permite el intercambio de datos
entre un usuario de LAN autenticado y el autenticador. Esta ruta de acceso es la que uti-
lizará el resto de tráfico de la red, una vez autenticado el dispositivo.
Como se ve en la figura, antes de la autenticación, sólo el puerto no controlado está "abierto". El
tráfico sólo se permite es EAPOL, esto puede verse en ‘Authenticator System 1’. Después de que el
suplicante ha sido autenticado, el puerto controlado se abre, y el acceso a otros recursos de LAN se
concede, como se muestra en ‘Authenticator System 2’.

Arquitectura y Componentes
En la siguiente figura podemos observar la arquitectura de un sistema 802.1x y la nomenclatura
usada en este sistema.

4
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

En la figura se pueden observar los siguientes elementos:

• Supplicant: cliente que quiere ser autenticado.
• Autenticador: es el que provee al cliente del acceso a la red. Este acceso primero será
sólo mediante el puerto de autenticación el cual solo permitirá mensajes de autentica-
ción. Si la autenticación es válida, se le asignará un puerto abierto exclusivo.
• Servidor de autenticación: la decisión de la concesión de acceso a un usuario la realiza
este servidor, el cual indica al autenticador si debe signar un puerto válido o debe dene-
gar la petición. Este servidor puede estar en cualquier red y contendrá la información ne-
cesaria para dar validez al usuario según el tipo de EAP utilizado.
El supplicant y el autenticador son los elementos que funcionan mediante el método de puertos,
por eso son llamados elementos PAE (Port Authentication Entities). Estas entidades se pueden co-
municar mediante mensajes EAPOL (EAP Over LAN) aún cuando el cliente no tenga ni dirección
IP ni tenga un puerto autorizado (sólo se permitirán los mensajes de inicio de autenticación).
El autenticador y el servidor de autenticación se comunican mediante mensajes RADIUS, ya que
RADIUS proporciona una gran variedad de métodos de autenticación, flexibilidad y compatibilidad
con muchas de las bases de datos de usuarios.
En definitiva, este sistema de autenticación se incorporó al estándar 802.11 el cual intenta eliminar
una de las dos debilidades más importantes de WEP en este campo. El punto fuerte del 802.1x es
que evita el paso de cualquier tipo de tráfico hacia la red si el usuario no ha sido previamente autori-
zado. El usuario no autenticado sólo puede conseguir enviar paquetes del tipo EAPOL al puente
para que éste los envíe al servidor de autenticación.

5
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Protocolo EAP
EAP (Extensible Authentication Protocol) nació de la necesidad de tener un mecanismo de autenti-
cación más robusto para las conexiones PPP (Point-to-Point). El EAP está definido en RFC 3748 y
al ser “Extensible” (o tener estatus de framework) se le permite que pueda ser modificado para in-
cluir nuevos métodos de autenticación (como en su momento hizo CISCO Systems con la autentica-
ción LEAP).
En el caso de las transmisiones inalámbricas, el EAP es utilizado por el 802.1x para realizar la co-
municación entre los dispositivos que intervienen en la autenticación del cliente.
Básicamente pueden identificarse 4 tipos de mensajes que utiliza el protocolo:
1. Petición (Request Identity): usado para el envío de mensajes del punto de acceso al
cliente.
2. Respuesta (Identity Response): usado para el envío de mensajes del cliente al punto de
acceso.
3. Éxito (Success): enviado por el punto de acceso para indicar que el acceso está permiti-
do.
4. Fallo (Failure): enviado por el punto de acceso para el rechazo del acceso.
El esquema que utiliza la autenticación utilizando EAP es el siguiente:

1. El autenticador (Switch o AP) envía un mensaje EAP-Request

2. El Suplicante responde con un mensaje del tipo EAP-Response

6
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

3. El Autenticador reenvia el mensaje EAP-Response al servidor de autenticación.

4. El servidor de autenticación envía un mensaje de “competencia” al suplicante.
5. El suplicante responde al mensaje enviado por el servidor de autenticación (redirigi-
do mediante el autenticador).
6. El servidor de autenticación acepta o rechaza las credenciales del suplicante.
◦ Si acepta, el autenticador cambia el puerto a estado autorizado
◦ Si rechaza, el autenticador cambia el puerto a estado no autorizado.
7. Cuando la conexión termina, el puerto es cambiado a estado no autorizado y el pro-
ceso se repite para futuros intentos de conexión.

En la siguiente figura se muestra los métodos de autenticación más importantes, y luego se explica
con detalle cada uno de ellos:

EAP-MD5
Es la versión menos segura del protocolo EAP, utiliza el nombre de usuario y contraseña para rea-
lizar la autenticación, usando la función hash MD5 de la contraseña para la verificación. Al no
comprobar la identidad del servidor es muy vulnerable a ataque del tipo Man-in-the-Middle.

LEAP
Como ya hemos dicho LEAP (Lightweight Extensible Authentication Protocol) fue diseñado por la
compañía CISCO Systems con tal de proveer a sus sistemas de una autenticación robusta con WEP

7
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

y a la vez sencilla de implementar.

Este sistema, dado a su carácter propietario, sólo puede hacerse servir en dispositivos CISCO y en
algunos compatibles con este. Este sistema usa un servidor RADIUS, el cual también ha de ser de
CISCO. Con esto se limita la agilidad del sistema dado a la obligación de usar los dispositivos del
fabricante.
Con el tiempo el sistema LEAP se ha visto debilitado a causa de que está basado en el sistema de
autenticación CHAP (el cual es inseguro).
Se diseñaron diversos ataques de diccionario a los cuales se demostró que LEAP era vulnerable.
LEAP actualmente es desaconsejado por el propio fabricante CISCO y es importante conocerlo de-
bido a que fue el primer paso de los fabricantes para facilitar y mejorar la seguridad de las redes
inalámbricas. Cisco desarrollo EAP-Fast que mejoró la seguridad ofrecida por su predecesor, pero
sigue siendo propietario y no estándar.

EAP-TLS
Este método es el más robusto de todos los métodos de autenticación que implementa EAP. Este
método considera la red inalámbrica totalmente insegura, es decir, como si se tratara de la red de In-
ternet, por lo tanto la autenticación debe ser mutua, tanto el cliente como el servidor deben ser au -
tenticados. La autenticación se realiza mediante certificados digitales, con lo que es necesario dis-
poner una estructura PKI (Public Key Infrastructure).
Con esto podemos ver que este sistema proporciona los requerimientos para poder asegurar que la
autenticación es completa y segura. Los certificados proporcionan autenticación entre usuarios y el
servidor, con lo que se evitan los ataques de llamados rogue (atacante que usa un AP para suplantar
a otro operativo). Además, dado a que los certificados digitales incluyen claves criptográficas, estos
proporcionan un método para distribuir claves de cifrado de datos de manera segura.
En este sistema el problema llega en el momento de distribuir los certificados: la clave privada de
un certificado digital puede quedar a la vista de un atacante que tenga acceso a los archivos perso-
nales de un usuario. No obstante, el mayor inconveniente de este sistema es que implica la necesi-
dad de mantener una estructura PKI y un servidor de autenticación RADIUS. Por lo tanto, la difi-
cultad de implementación de este sistema evita que muchas redes puedan disponer de esta seguri-
dad.

EAP-TTLS
Este sistema es similar al EAP-TLS pero sólo se usa el certificado de servidor. Este método apare-
ció dado a que se prefería mantener la autenticación de red nativa ya implementada, como puede ser
la autenticación contra el Directorio Activo (método usuario y contraseña usado en un dominio
Windows), LDAP Directory o autenticación mediante Kerberos. Por lo tanto este método proporcio-
na una mezcla entre el sistema inalámbrico y el sistema que ya funciona en la red cableada.
En un primer paso, se establece un túnel TLS mediante el certificado digital del servidor de auten-
ticación (en el cual confiamos ya que está firmado por una CA). Una vez establecido el túnel segu-
ro, se envía la autenticación de usuario original que ya no depende del método EAP.
Con este método podemos ver que eliminamos parte de la estructura de la PKI (ya no son necesa-
rios los certificados de usuario). Aún así necesitamos disponer de otro método de autenticación el
cual puede no estar disponible en redes no empresariales.

8
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Este método, al igual que PEAP, utiliza dos fases para lograr la autenticación. En la primera se lo-
gra establecer un canal seguro y en la segunde se procede a la autenticación del usuario.

PEAP
El significado de PEAP se corresponde con Protected EAP y consiste en un mecanismo de valida-
ción similar a EAP-TTLS, basado en usuario y contraseña también protegidos.

Comparativa entre métodos EAP

9
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Ejemplo de infraestructura con 802.1x

Como se mencionó anteriormente, los componentes básicos de una implementación 802.1x son: el
suplicante, el autenticador y el servidor de autenticación. Sin embargo, y de acuerdo a los requeri-
mientos técnicos y funcionales, los elementos de este sistema pueden ser más. Para ilustrar lo ante-
rior a continuación se presenta un escenario donde se integra la autenticación del esquema 802.1x
con la base de datos de usuarios de la organización, la cual se encuentra en un controlador tipo
LDAP. Adicionalmente se presenta una segmentación en zonas de seguridad establecida por un fire-
wall el cual únicamente habilita el tráfico permitido entre las diferentes zonas.

10
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Como podemos ver, es importante considerar en el diseño todos los elementos que se involucrarán
con el esquema a implementar, para así considerar los requerimientos en cada uno de ellos y termi-
nar de definir adecuadamente el plan de implementación.

Beneficios de 802.1x
La implementación de 802.1x para redes inalámbricas utiliza un servidor de autenticación como el
RADIUS, el cual no solo es quien valida la identidad de quien accede a la red (a través de un méto-
do EAP) si no que es quien fuerza, con cierta frecuencia, la generación de una nueva clave de cifra-
do para la conexión establecida, haciendo que la probabilidad de que un ataque identifique de la cla-
ve de cifrado, sea mínima (con una adecuada configuración de la frecuencia de renovación de la
clave de cifrado).
Adicionalmente, ciertos métodos de autenticación EAP como TLS y TTLS permiten elevar aún
más la seguridad mediante el uso de certificados digitales de autenticación de usuarios o estaciones.
Otra ventaja de la implementación de 802.1x en redes inalámbricas es los costos asociados, ya que
se puede utilizar servidores de autenticación
(RADIUS) que ya existen en las organizaciones y no se requiere actualizaciones firmware o com-
patibilidad con WPA en los dispositivos inalámbricos utilizados.
Finalmente, este tipo de implementación es fácilmente adaptable a los cambios o crecimientos de
las infraestructuras tecnológicas y también se pueden utilizar modelos de autenticación distribuidos
para organizaciones con varias sedes o varias redes LAN.

11
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Ventajas y desventajas de 802.1X

Ventajas:

• Se basa en un servidor de autenticación.

• El RADIUS realizara el juego de claves WEP.
• Control de acceso y autenticación mutua: existen protocolos de autenticación mutua entre
cliente y servidor. Esto es muy útil para protegerse de ataques.
• Flexibilidad: adaptación al entorno y características de la red.
• Confidencialidad: actualización de las claves WEP dinámicas.
• Escalabilidad: ofrecer seguridad incluso con un aumento de usuarios.
• Seguimiento: permite disponer información de uso personalizada por usuario.
• No da acceso físico a la red hasta que se supera la fase de autenticación.

Desventajas
• El empleo de certificados puede ser costoso.
• Generalmente es empleado para empresas grandes por su complejidad.
• La manipulación de los certificados lo hace engorrosa
• Existen metodos que son débiles frente a ataques de “fuerza bruta” o de diccionario.
• Necesidad de un servidor RADIUS que puede o no ser dedicado exclusivamente a esta fun-
ción.
• Requiere mucha administración.

Asignación de VLANs a través de 802.1X

En una red que contiene multiples VLANs, puede ser muy deseable que a los usuarios se les asig-
ne una misma lan sin importar en que punto se conectan a la red. Esto significa que ellos siempre
tendrán acceso al mismo conjunto de recursos de red (y por supuesto, estarán sujetos a las mismas
restricciones) indistintamente de la ubicación física de la red en la que se conectan.
Una solución puede ser las redes VLAN basadas en direcciones MAC, pero el problema de esto es
que no son fáciles de configurar, porque tienen que ser configuradas en cada switch de la frontera.
Además existen problemas en cuanto a la separación entre las diferentes VLANs y la posibilidad de
que un usuario pueda pertenecer a múltiples VLANs.
Para apalear estos problemas, una nueva solución es provista, llamada Asignación de VLAN por
802.1x.
La asignación de VLAN por 802.1X es una tecnología que permite a un puerto volverse un miem-
bro de un grupo de posibles VLANs configuradas previamente, utilizando autenticación de puertos
por 802.1x.

12
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Funcionamiento
Cuando una computadora es conectada a un puerto, en principio el puerto realiza una autenticación
hacia el dispositivo que intenta conectarse (el suplicante). El suplicante responde con un método de
autenticación y la petición es pasada al servidor Radius. El servidor de autenticación soporta EAP,
el cual permite definir una membresía de VLAN particular para cada usuario individual. Una vez
autorizado, el puerto conectado al suplicante autenticado se vuelve un miembro de la VLAN especi-
ficada.
Debe notarse que se utilizan membresías de VLAN basadas en puertos. El puerto autenticado será
removido de cualquier VLAN previamente configurada. El puerto no puede ser miembre de multi-
plas VLANs.
Entonces, cuando múltiples usuarios intentan conectarse a un puerto en el mismo switch frontera,
si la base de datos de usuarios especifica diferentes VLANs, los puertos a los que se conectan los
usuarios serán colocados en diferentes VLANs. Mediante este método, la asignación de VLANs por
802.1x puede proveer separación segura de los datos.

Trusted Network Connect (TNC)

El control de acceso a red es un concepto de ordenador en red y conjunto de protocolos usados
para definir como asegurar los nodos de la red antes de que estos accedan a la red. NAC puede inte-
grar el proceso de remedio automático (corrigiendo nodos que no cumplen las normativas antes de
permitirles acceso) en el sistema de red, permitiendo a la infraestructura de red como routers, swit-
ches y firewalls trabajar en conjunto con el back office y el equipamiento informático del usuario fi-
nal para asegurar que el sistema de información está operando de manera segura antes de permitir el
acceso a la red.
Existen muchas definiciones y acercamientos al control de acceso a redes. A diferencia de 802.1x,
no existe un estandar soportado universalmente para NAC, y la mayoría de las soluciones NAC uti-
lizan arquitecturas y tecnologías propietarias.
En el año 2005, el Trusted Computing Group (TCG), publicó la arquitectura Trusted Network
Connect (TNC) para interoperabilidad como un modelo estandar para NAC. TNC ha sido actualiza-
do muchas veces, con la versión más reciente publicada en año 2009. Mientras TNC es reconocido
como un modelo estandar para NAC, todavía debe ser adoptado masivamente por los comerciantes
que ofrecen soluciones NAC comerciales.
Existen esfuerzos por parte de la Fuerza de Trabajo de Ingeniería de Internet (IETF) para estanda-
rizar algunos aspectos de NAC, particularmente los referidos a puntos de acceso y las diferentes
posturas. Sin embargo, dichos estandares siguen en desarrollo y las soluciones no han sido masiva-
mente adoptadas hoy en dia.
El objetivo de esta sección es realizar una comparativa entre 802.1X y TNC como otra solu-
ción

Elementos clave
• Access Requestor (AR): el punto de acceso que solicita acceso a la red (el AR cumple un
rol similar al Suplicante en 802.1X).
• Policy Enforcement Point (PEP): El elemento que refuerza los controles (permite o bloquea

13
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

el acceso) (El PEP juega un rol similar al Autenticador en 802.1x).

• Policy Decision Point (PDP): El verificador, o el elemento que decide si conceder acceso.
(El PDP juega un rol similar al servidor de autenticación en 802.1x).

Similitudes entre NAC y 802.1x

Similitudes
• Mecanismos de autenticación fuertes.
• Refuerzo de políticas de acceso antes de la conexión (Todos los puertos están no autorizados
hasta que una autenticación satisfactoria sea completada).
• Aceeso de usuario basado en roles (Asignación dinámica de VLANs es típicamente utilizada
como control de acceso para diferentes tipos de usuario)

Diferencias
• NAC provee validación de cumplimiento de los puntos de acceso.
• NAC no depende de spulicantes o software de suplicantes.
• NAC puede proveeer monitoreo y controles posteriores a la conexión.

Conclusión
La mayoría de las soluciones hoy en día implementa conceptos muy parecidos a los que TNC pro-
pone. 802.1x no es una excepción a la regla. De manera de que podemos concluir que 802.1x ha
sido un protocolo bien pensado dentro de lo que se conoce hoy en día como soluciones de control
de acceso a redes, aunque el protocolo propuesto por IEEE es bastante limitado en cuanto a funcio-
nes post-conexión y otras herramientas útiles. De esto podemos entender que hasta la propuesta ac-
tual de la IEEE (2005), la idea fue proporcionar un control básico de acceso a redes, pero sin posibi-
lidad de una administración posterior.

14
Protocolo 802.1x UTN – FRM – 2012 Andrés Smerkin

Fuentes de Información
• http://tldp.org/HOWTO/html_single/8021X-HOWTO/
• http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MONOGRAFIA_DE_S
EGURIDAD_EN_%20REDES_WIFI.pdf
• Carolina Advanced Digital - Best Practices for Effective Network Access Control -
www.cadinc.com
• Wikipedia – 802.1x - http://en.wikipedia.org/wiki/802.1x
• Allied – Telesyn - How To use 802.1x VLAN assignment

15