Norma IEEE 802.1X

1. 802.1x es un protocolo de control de acceso y autenticación basado en
la arquitectura cliente/servidor, que restringe la conexión de equipos no
autorizados a una red. El protocolo fue inicialmente creado por la IEEE
para uso en redes de área local alambradas, pero se ha extendido
también a las redes inalámbricas.
Muchos de los puntos de acceso que se fabrican en la actualidad ya
son compatibles con 802.1x.
Se caracteriza por tener tres participantes en su proceso:
1. Suplicante o cliente, que desea conectarse con la red.
2. El servidor de autorización/autenticación, que contiene toda la
información necesaria para saber cuáles equipos y/o usuarios están
autorizados para acceder a la red.
3. El autenticador, que es el equipo de red (switch, Acces Point) que recibe
la conexión del suplicante. El autenticador actúa como intermediario
entre el suplicante y el servidor de autenticación, y solamente permite el
acceso del suplicante a la red cuando el servidor de autenticación así lo
autoriza.

2. DISPOSITIVOS QUE INTERVIENEN EN EL ESTANDAR 802.1X

3. METODOS DE AUTENTICACION USADOS POR 802.1X
802.1X utiliza el Protocolo de autenticación extensible (EAP) para el
intercambio de mensajes durante el proceso de autenticación y el
Protocolo de autenticación extensible utilizado en la LAN (EAPoL,
EAP Over LAN) usado para transportar EAP.
Con EAP se utilizan métodos de autenticación arbitrarios, como
contraseñas , tarjetas inteligentes o certificados para autenticar la
conexión inalámbrica. La compatibilidad que 802.1x ofrece con los
tipos de EAP le permite utilizar cualquiera de los siguientes métodos
de autenticación

4. TIPOS DE AUTENTICACION EAP PARA 802.1X
Método EAP-LEAP
Utiliza un usuario y contraseña, y soporta claves WEP dinámicas. Por
ser una tecnología propietaria de CISCO, exige que los equipos
sean de Cisco y que el servidor RADIUS sea compatible con LEAP.
EAP-MD5
Utiliza nombre de usuario y contraseña para autenticación. La
contraseña es transmitida de forma cifrada a través del algoritmo
MD5. No suministra un nivel de protección alto pues puede sufrir
ataques de " diccionario", es decir, un atacante puede enviar varías
veces contraseñas hasta encontrar una válida. No hay modo de
autentificar el servidor, y no genera claves WEP dinámicas.

5. EAP-TLS
Fue desarrollado por Microsoft ,requiere la instalación de certificados de
seguridad en el servidor y en los clientes. Proporciona autenticación
mutua, es decir, el servidor autentifica el cliente y viceversa
utilizando el protocolo TLS (Transparent Layer Substrate).
EAP-TTLS: ¿Certificados Cliente?
Es similar al EAP-TLS. Sin embargo, el certificado solamente se instala
en el servidor, lo que permite la autenticación del servidor por parte
del cliente. La autenticación del cliente por parte del servidor se hace
después de establecer una sesión TLS utilizando otro método como PAP,
CHAP, MS-CHAP o MS-CHAP v2.

6. EAP-PEAP






Fue Propuesto conjutamente por Microsoft/Cisco/RSA Security
No requiere Certificados
También utiliza Transport Layer
Security (TLS) para establecer el túnel
Se incluye en SP1 de Windows XP
Se incluye enWindows 2003 Server

10. CONCLUCION
Se debe tomar en cuenta el mejor método de autenticación
,acompañado de un buen servidor de autenticación, sin olvidar el
software y el hardware(AccessPoint /targetas wi-fi) .Aplicable a las
necesidades de la red a proteger .