802.1X



El estándar 802.1x se diseñó en un principio para proporcionar autentificación de usuarios sobre la capa 2 en las redes de cable conmutadas. Ya hemos mencionado en este capítulo los excelentes conmutadores Cisco Catalyst 6000; la capacidad ele configurar el soporte de 802..1x en un sistema Catalyst 600 es uno de los requisitos del examen de seguridad CCIE. Como ya se ha comentado, esta explicación acerca del protocolo 802.1x es simplemente una introducción: más adelante encontrará una descripción más detallada de 802..1x, incluyendo la estructura de los paquetes, el procedimiento de negociación y ejemplos de implementaciones prácticas.
En las redes WLAN, 802..1x tiene la prestación adicional de la distribución de claves dinámicas. Esta prestación la proporciona la generación de dos conjuntos de claves. El primer conjunto son claves de sesión o de pares que son únicas para cada asociación entre una máquina cliente y el punto de acceso. Las claves de sesión proporcionan la privacidad del enlace y eliminan el problema derivado de tener una única clave WEP para todas las máquinas. El segundo grupo lo forman las claves de grupo. Las claves de grupo se comparten entre todas las máquinas de una misma celda 802.11 y se utilizan para el cifrado de tráfico multicast. Tanto las claves de sesión como las de pares son de 128 bits de longitud. Las claves de pares se derivan de la clave maestra de par (PMK) de 256 bits. La PMK se distribuye desde el servidor RADIUS a cada dispositivo que participa en la comunicación utilizando el atributo MS -MPPE-Recv-key de RADIUS (vendor_id=17). De un modo parecido, las claves de grupo se derivan de la clave maestra de grupo (GMK). Cuando se derivan estas claves, se utiliza la PMK o la GMK junto con cuatro claves EAPOL negociadas, que también suelen llamarse claves transitorias de par. Para conseguir más información sobre las claves transitorias de par y, en general, el uso de claves en 802.1x, puede consultar el borrador EAP Keying Framework de la IETF (http://www.ietf.org/internet-drafts/draft-aboba-pppext-key-problem-06.txt).
En los entornos de redes de pymes o redes domésticas, es improbable el despliegue de un servidor RADIUS con una base de datos de usuarios finales. Por eso, para generar las claves de sesión, sólo se utilizan la PMK precompartida (que se introduce manualmente). Es algo similar al uso original de WEP.
Ya que no existen puertos físicos en las redes 802.11, la asociación entre el dispositivo inalámbrico cliente y el punto de acceso se considera como un puerto de acceso a red. El cliente inalámbrico se denomin^f5eticionario (par) y el punto de acceso es el autentificador. Así, en las definiciones del estándar 802..1x, el punto de acceso toma el lugar de un conmutador Ethernet en las redes de cable. Obviamente existe la necesidad de un servidor de autentificación en el segmento de la red de cable a la que está conectado el punto de acceso. De esta clase de función suele encargarse un servidor RADIUS integrado con algún tipo de base de datos de usuario, incluidas la base nativa de RADIUS, LDAP,
 
NDS o el directorio activo de Windows. Las pasarelas inalámbricas comerciales de gama alta pueden implementar ambas prestaciones de servidor de autentificación y autentificador. Lo mismo se aplica a las pasarelas a medida basadas en Linux, que pueden soportar 802..1x mediante HostAP tal y como se ha descrito y tener instalado un servidor RADIUS.
De la autentificación de usuarios de 802..1x se encarga el protocolo EAP de la capa 2 (Extensible Authentication Protocol, RFC 2284), desarrollado por la IETF. EAP es un sustituto avanzado para CHAP utilizado por PPP, desarrollado para funcionar sobre redes LAN. EAP sobre LAN o EAPOL (EAP over LAN) define cómo se encapsulan los marcos EAP dentro de marcos 802.3, 802.5 y 802.10.

Existen múltiples tipos de EAP diseñados con la participación de varias empresas fabricantes. Esta diversidad añade problemas de compatibilidad a las implementaciones de 802..1x y convierte la elección del equipo y software apropiado para una WLAN en una tarea más difícil.


Entre los tipos de EAP que probablemente encontrará cuando vaya a configurar la autentificación de usuarios para su red inalámbrica, se encuentran los siguientes:
•    EAP-MD5: Es el nivel básico obligatorio de soporte EAP de acuerdo con el estándar 802..1x y fue el primer tipo de EAP en desarrollarse. En cuanto a su funcionamiento, EAP-MD5 duplica el de CHAP. Existen tres razones por las que no le recomendamos utilizar EAP-MD5. En primer lugar, no soporta la distribución de claves WEP dinámicas. También es vulnerable a los ataques de intermediario mediante un punto de acceso ilícito o un servidor de autentificación, descritos anteriormente, ya que sólo se autentifican los clientes. Además, durante el proceso de autentificación, el atacante puede escuchar tanto el desafío como la respuesta eifiada y lanzar un conocido ataque de texto plano o texto cifrado (consulte el capítulo 8).
•    EAP-TLS (Transport Layer Security, descrito en la RFC experimental 2716): Ofrece una autentificación mutua basada en certificados. EAP-TLS se basa en el protocolo SSLv3 y necesita la existencia y despliegue de una autoridad de certificación. Ya que EAP-TLS es el método EAP que se soporta y despliega de forma más habitual, en capítulos posteriores ofreceremos una explicación detallada sobre su implementación práctica.
•    EAP-LEAP (Ligthweight EAP o EAP-Cisco Wireless): Es un tipo de EAP propietario de Cisco Systems, implementado para los puntos de acceso y clientes inalámbricos Cisco Aironet. En http://lists.cistron.nl/ pipermail/cistron-radius/2001-September/002042.html se puede encontrar una descripción completa del método EAP-LEAP, que sigue siendo la mejor fuente disponible sobre las prestaciones y el funcionamiento de EAP-LEAP. LEAP fue el primero (y durante mucho tiempo el único) esquema de autentificación basado en contraseñas de 802..1x. Como tal, LEAP ganó mucha popularidad e incluso se soporta en FreeRADIUS, a pesar de tratarse de una solución propietaria de Cisco. LEAP se basa en un sencillo intercambio de valores hash de desafío/respuesta. El servidor de autentificación envía un desafío al cliente, que debe devolver la contraseña después de combinarla con la cadena de desafío creada por el servidor de autentificación. Al tratarse de un método de autentificación basado en contraseñas, EAP-LEAP tiene la ventaja de ofrecer una autentificación basada en usuarios y no en dispositivos. Al mismo tiempo, aparece la vulnerabilidad frente a ataques de diccionario y de fuerza bruta, ausentes en los métodos EAP basados en certificados.
Cisco ofrece información práctica muy detallada sobre la configuración de EAP-ELAP en http://www.cisco.com/warp/public/707/accessregistrar_leap.html.


Algunos tipos de EAP de implementación menos habitual son PEAP (Protected EAP, un borrador de estándar de la IETF) y EAP-TTLS (Tunneled Transport Layer Security EAP, desarrollado por Certieom y Funk Software). Esta situación podría cambiar pronto, ya que ambos métodos EAP son potentes y reciben un apoyo muy fuerte de los fabricantes, como Microsoft y Cisco.
EAP-TTLS requiere un único certificado para el servidor de autentificación, por lo que se elimina la necesidad del certificado del peticionar y el despliegue resulta más sencillo. EAP-TTLS soporta una amplia variedad de métodos de autentificación heredados, incluyendo PAP, CHAP, MS-CHAP, MS-CHAPv2 e incluso EAP-MD5. Para utilizar estos métodos con seguridad, EAP-TTLS crea un túnel TLS cifrado, dentro del cual se ejecutan los protocolos de autentificación heredados menos seguros. Un ejemplo de implementación práctica de EAP-TTLS es la solución software de control de acceso Odyssey WLAN, de Funk Software (para Windows XP/2000798/Me). EAP-PEAP es muy parecido a EAP-TTLS, aunque np soporta métodos heredados de autentificación como PAP y CHAP. Ejvstilugar, soporta PEAP-MS-CHAPv2 y PEAP-EAP-TLS en el interior del túnel seguro creado de un modo similar al túnel de EAP-TTLS. El soporte para EAP-PEAP se implementa en la Cisco Wireless Security Suite y está incorporado en la Cisco Aironet Client Utility (ACU) y en el Service Pack 1 de Windows XP. Cisco, Microsoft y RSA Security apoyan este proyecto de forma activa.


Otros dos tipos de EAP son EAP-SIM y EAP-AKA, para la autentificación basada en SIM y USIM. Por el momento se trata de borradores de la IETF y no vamos a analizarlos aquí porque se utilizan principalmente para la autentificación GSM pero no para las redes inalámbricas 802.11. En cualquier caso, los puntos de acceso y dispositivos cliente Cisco Aironet soportan EAP-SIM.

 

Buscar manual o tutorial


Tienda kefir

Contenido Destacado

>>> wlandecrypter
>>> Tarjeta Inalámbrica
>>> KisMac
>>> driver atheros ar5007e
>>> Manual Tutorial de aircrack-ng
>>> Manual WifiWay
>>> Kismet
>>> Que es WiFi?
>>> Instalar Backtrack en USB ( Pendrive, Memory Key )
>>> Crackear WPA con Pyrit
>>> Manual airodump
>>> Antena WiFi pringles
>>> Descifrar claves de redes WLAN_XX con Airodump
>>> Fabricar antena WiFi
>>> Descifrar claves wifi
>>> Backtrack Linux
>>> Wii WiFi manual
>>> WEP Key Generator, WiFi WEP
>>> NetworkStumbler
>>> Descarga iso WifiSlax 2.0
>>> WifiSlax 3.1 en Windows Vista con WMware
>>> Netstumbler Windows Vista
>>> Contraseña WiFi, Video Tutorial Ubuntu
>>> Atheros Linux
>>> Descargar Wifislax 3.1
>>> Manual Backtrack Linux 2
>>> Manual Wifiway (pdf)
>>> Tarjeta wifi
>>> driver atheros ar5006x
>>> Crackear WEP (1 de 3)
>>> Manual WifiSlax
>>> Wireless wep key password spy
>>> Crackear WPA. Kismet, Airodump, Aireplay, Aircrack
>>> mario kart wii wifi pdf manual
>>> Antenas WiFi, Conectores
>>> Manual básico de configuración WEP en Windows XP SP2
>>> Manual Instalar Wifislax 3.1 en USB
>>> Wifiway
>>> Instalar Backtrack disco duro
>>> Claves WEP
+ Más