Protocolo de
autenticación IEEE 802.1x
El estándar IEEE 802.1X define el control de acceso a redes
basadas en puertos.
Gracias a él se exige autenticación antes de dar acceso a las
redes Ethernet.
En el control de acceso a redes basadas en puertos se utilizan
los elementos físicos que componen una infraestructura de conmutación de la red
LAN para autenticar los dispositivos agregados al puerto de conmutación.
No se pueden enviar ni recibir tramas en un Puerto de
conmutación Ethernet si el proceso de autenticación ha fallado.
A pesar de que se diseñó para redes Ethernet fijas, este
estándar se ha adaptado para su uso en redes LAN inalámbricas con IEEE 802.11.
Windows XP y superiores, soporta la autentificación IEEE
802.1X para todos los adaptadores de red basados en redes LAN, incluyendo las
Ethernet y las inalámbricas.
El estándar IEEE 802.1X define los términos
siguientes:
Ø El PAE
Ø El autenticador
Ø El Puerto solicitante
Ø El servidor de autenticación
El PAE
El Puerto PAE (Port access entity), también denominado Puerto LAN, es una entidad lógica que soporta el protocolo IEEE 802.1X asociado con un puerto.
Un Puerto LAN puede hacer las veces de autenticador, el
solicitante o ambos.
El autenticador
Es un Puerto LAN que exige autenticación antes de permitir el acceso a los Servicios que se suministran a través de él.
Para las conexiones inalámbricas, el autenticador es el
Puerto lógico de LAN en un punto de acceso(AP) inalámbrico a través del cual
los clientes que trabajan con conexiones inalámbricas que operan con
infraestructuras acceden a la red fija
El Puerto solicitante
El puerto solicitante es un Puerto de la LAN que solicita acceso a los servicios disponibles a través del autenticador.
En las conexiones
inalámbricas, el demandante es el Puerto lógico de la LAN alojado en el
adaptador de red LAN inalámbrica que solicita acceso a una red fija. Para ello
se asocia y después se autentifica con un autenticador.
Independientemente de que se utilicen para conexiones
inalámbricas o en redes Ethernet fijas, los puertos solicitante y de
autenticación están conectados a través de un segmento LAN punto a punto lógico
y físico.
El servidor de autenticación
Para corroborar los credenciales del Puerto solicitante, el de autenticación utiliza el servidor de autenticación.
Este servidor comprueba los credenciales del solicitante en
nombre del Autenticador y después le responde a éste indicándole si el
solicitante tiene o no permiso para acceder a los Servicios que proporciona el
Autenticador.
El servidor de autenticación
Hay dos tipos de servidor de autenticación:
Un componente del punto de acceso. Debe configurarse utilizando los credenciales
de los clientes que intentan conectarse. Normalmente no se implementan
utilizando puntos de acceso inalámbricos.
Una entidad distinta. El punto de acceso reenvía los credenciales
de la conexión que ha intentado establecerse a un servidor de autenticación
distinto. Por lo general un punto de acceso inalámbrico utiliza el protocolo de
autenticación remota RADIUS (Remote Authentication Dial-In User Service) para
enviar los parámetros de las conexiones que han intentado conectarse al
servidor RADIUS.
Puertos de acceso sin y con autenticación
El control de acceso basado en el autenticador define los
siguientes tipos de puertos lógicos que acceden a la LAN conectada físicamente
a través de un solo puerto LAN fijo:
ü Puerto de acceso sin autenticación
ü Puerto de acceso con autenticación
Puerto de acceso
sin autenticación
El Puerto de acceso sin autenticación hace posible el intercambio de
datos entre el autenticador (el AP inalámbrico) y otros dispositivos dentro de
la red fija, independientemente de que se haya autorizado o no al cliente la
utilización de la conexión inalámbrica.
Un ejemplo ilustrativo es el intercambio de mensajes RADIUS entre un
punto de acceso inalámbrico y un servidor RADIUS alojado en una red fija que
ofrece autenticación y autorización a las conexiones inalámbricas.
Cuando un usuario de una conexión
envía una trama, el punto de acceso inalámbrico nunca la reenvía a través del
puerto de acceso sin autenticación.
Puerto de acceso
con autenticación
Gracias al Puerto de
acceso con autenticación se pueden intercambiar datos entre un usuario de una
red inalámbrica y la red física pero sólo si el usuario de la red inalámbrica
ha sido autenticado.
Antes de la
autenticación, el conmutador se abre y no se produce el reenvío entre el
usuario de la conexión inalámbrica y el de la red física.
Una vez que la identidad
del usuario remoto se ha comprobado a través de IEEE 802.1X, se cierra el
conmutador y las tramas son reenviadas entre el usuario de la red inalámbrica y
los nodos de la red con conexión física.
El Protocolo de
autenticación extensible (EAP)
Para poder ofrecer un mecanismo de autenticación estándar para IEEE 802.1X, IEEE escogió el protocolo de autenticación extensible (EAP)
EAP es un protocolo
basado en la tecnología de autenticación del protocolo punto a punto (PPP)-que
previamente se había adaptado para su uso en segmentos de redes LAN punto a
punto.
El Protocolo de
autenticación extensible (EAP)
En un principio los mensajes EAP se definieron para ser enviados como la
carga de las tramas PPP, de ahí que el estándar IEEE 802.1X defina EAP sobre la
red LAN (EAPOL).
Este método se utiliza para encapsular los mensajes EAP y así poder
enviarlos ya sea a través de segmentos de redes Ethernet o de redes LAN
inalámbricas.
El soporte de
Windows XP para IEEE 802.1X
En Windows XP y superiores, la autenticación IEEE 802.1X junto al tipo
de autentificación EAP-TLS aparece por defecto en todos los adaptadores de red
compatibles con redes LAN.
Si se quiere configurar 802.1X en una PC con Windows XP tiene que
utilizar la etiqueta Autenticación en propiedades de una conexión de red LAN en
Conexiones de red.
El Protocolo de
autenticación extensible (EAP)
Para poder ofrecer un mecanismo de autenticación estándar para IEEE 802.1X, IEEE escogió el protocolo de autenticación extensible (EAP)
EAP es un protocolo
basado en la tecnología de autenticación del protocolo punto a punto (PPP)-que
previamente se había adaptado para su uso en segmentos de redes LAN punto a
punto.
El Protocolo de
autenticación extensible (EAP)
En un principio los mensajes EAP se definieron para ser enviados como la
carga de las tramas PPP, de ahí que el estándar IEEE 802.1X defina EAP sobre la
red LAN (EAPOL).
Este método se utiliza para encapsular los mensajes EAP y así poder
enviarlos ya sea a través de segmentos de redes Ethernet o de redes LAN
inalámbricas.
El soporte de
Windows XP para IEEE 802.1X
En Windows XP y superiores, la autenticación IEEE 802.1X junto al tipo
de autentificación EAP-TLS aparece por defecto en todos los adaptadores de red
compatibles con redes LAN.
Si se quiere configurar 802.1X en una PC con Windows XP tiene que
utilizar la etiqueta Autenticación en propiedades de una conexión de red LAN en
Conexiones de red.
Etiqueta de Autenticación
