Descripción general de 802.1X y tipos de EAP
| Nota | Estos datos no están dirigidos a usuarios domésticos o de oficinas pequeñas que normalmente no utilizan funciones de seguridad avanzadas como las que se analizan en esta página. Sin embargo, es posible que estos usuarios encuentren interesantes temas con fines informativos. |
Descripción general de 802.1X
802.1X es un protocolo de acceso a puertos para proteger redes mediante autenticación. Como resultado, este tipo de método de autenticación es extremadamente útil en el entorno Wi-Fi debido a la naturaleza del medio. Si un usuario de Wi-Fi se autentica a través de 802.1X para acceder a la red, se abre un puerto virtual en el punto de acceso que permite la comunicación. Si no se autoriza correctamente, no habrá ningún puerto virtual disponible y se bloquearán las comunicaciones.
Hay tres componentes básicos en la autenticación 802.1X:
- Solicitante Un cliente de software que se ejecuta en la estación de trabajo Wi-Fi.
- Autenticador El punto de acceso Wi-Fi.
- Servidor de autenticación Una base de datos de autenticación, normalmente un servidor radius como Cisco ACS*, Funk Steel-Belted RADIUS* o Microsoft IAS*.
Se utiliza el protocolo de autenticación ampliable (EAP) para pasar la información de autenticación entre el solicitante (la estación de trabajo Wi-Fi) y el servidor de autenticación (Microsoft IAS u otro). El tipo de EAP en realidad maneja y define la autenticación. El punto de acceso que actúa como autenticador es solo un proxy que permite la comunicación entre el solicitante y el servidor de autenticación.
¿Qué debo utilizar?
El tipo de EAP que se debe implementar, o si se implementa 802.1X, depende del nivel de seguridad que la organización necesita, de la sobrecarga administrativa y de las características deseadas. Afortunadamente, las descripciones aquí y un gráfico comparativo ayudarán a aliviar las dificultades para comprender la variedad de tipos de EAP disponibles.
Tipos de autenticación del protocolo de autenticación ampliable (EAP)
Debido a que la seguridad de la red de área local Wi-Fi (WLAN) es esencial y los tipos de autenticación EAP ofrecen un medio potencialmente mejor para proteger la conexión WLAN, los proveedores desarrollan y agregan rápidamente tipos de autenticación EAP a sus puntos de acceso WLAN. Algunos de los tipos de autenticación EAP de implementación más común incluyen EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast y Cisco LEAP.
- EAP-MD-5 (síntesis del mensaje) Challenge es un tipo de autenticación EAP que proporciona compatibilidad EAP de nivel básico. Normalmente, EAP-MD-5 no se recomienda para implementaciones de LAN Wi-Fi, ya que puede permitir la derivación de la contraseña del usuario. Solo permite la autenticación unidireccional: no existe autenticación mutua del cliente Wi-Fi y la red. Y, lo más importante, no proporciona un medio para derivar claves de privacidad equivalente a cableado (WEP) dinámicas por sesión.
- EAP-TLS (Seguridad de la capa de transporte) ofrece autenticación mutua y basada en certificados del cliente y de la red. Depende de certificados de cliente y servidor para realizar la autenticación y se puede utilizar para generar dinámicamente claves WEP basadas en el usuario y en la sesión para asegurar comunicaciones posteriores entre el cliente WLAN y el punto de acceso. Un inconveniente de EAP-TLS es que los certificados deben administrarse tanto en el cliente como en el servidor. Para una instalación de WLAN de gran tamaño, esto podría ser una tarea muy complicada.
- Funk Software* y Certicom* desarrollaron EAP-TTLS (Seguridad de la capa de transporte por túnel) como una extensión de EAP-TLS. Este método de seguridad proporciona autenticación mutua basada en certificados del cliente y la red a través de un canal cifrado (o túnel), así como un medio para derivar claves WEP dinámicas por usuario y sesión. A diferencia de EAP-TLS, EAP-TTLS solo requiere certificados de servidor.
- EAP-FAST (Autenticación flexible mediante tunelización segura) fue desarrollado por Cisco*. En lugar de utilizar un certificado para lograr una autenticación mutua, EAP-FAST se autentica mediante una PAC (credencial de acceso protegido) que el servidor de autenticación puede administrar dinámicamente. La PAC se puede aprovisionar (distribuir una vez) en el cliente de forma manual o automática. El aprovisionamiento manual se entrega al cliente mediante un disco o un método de distribución de red segura. El aprovisionamiento automático es una distribución en banda, por aire.
- El protocolo de autenticación ampliable para la identidad de abonado de GSM (EAP-SIM) es un mecanismo de autenticación y distribución de claves de sesión. Utiliza el módulo de identidad de abonado (SIM) del sistema global para las comunicaciones móviles (GSM). EAP-SIM utiliza una clave WEP basada en sesión dinámica, que se deriva del adaptador de cliente y el servidor RADIUS, para cifrar los datos. EAP-SIM requiere que ingrese un código de verificación del usuario, o PIN, para la comunicación con la tarjeta del módulo de identidad de abonado (SIM). Una tarjeta SIM es una tarjeta inteligente especial que es utilizada por las redes celulares digitales basadas en el Sistema Global para Comunicaciones Móviles (GSM).
- EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) es un mecanismo EAP para la autenticación y distribución de claves de sesión, que utiliza el Módulo de identidad de abonado del Sistema universal de telecomunicaciones móviles (UMTS) (USIM). La tarjeta USIM es una tarjeta inteligente especial que se utiliza con redes celulares para validar a un usuario determinado con la red.
- LEAP (protocolo ligero de autenticación ampliable) es un tipo de autenticación EAP que se utiliza principalmente en las WLAN Cisco Aironet*. Cifra las transmisiones de datos mediante claves WEP generadas dinámicamente y admite la autenticación mutua. Hasta ahora propietaria, Cisco ha licenciado LEAP a muchos otros fabricantes a través del programa Cisco Compatible Extensions.
- PEAP (Protocolo protegido de autenticación ampliable) ofrece un método para transportar datos de autenticación de forma segura, incluidos los protocolos heredados basados en contraseñas, a través de redes Wi-Fi 802.11. PEAP logra esto mediante el uso de túneles entre clientes PEAP y un servidor de autenticación. Al igual que la seguridad de la capa de transporte por túnel (TTLS) de la competencia, PEAP autentica los clientes de LAN Wi-Fi solo con certificados de servidor, lo que simplifica la implementación y administración de una LAN Wi-Fi segura. Microsoft, Cisco y RSA Security desarrollaron PEAP.
Tipos de EAP en 802.1X Función/beneficio | MD5 --- Síntesis del mensaje 5 | TLS --- Seguridad de nivel de transporte | TTLS --- Seguridad de nivel de transporte por túneles | PEAP --- Seguridad de nivel de transporte protegido | RÁPIDO | SALTO --- Protocolo ligero de autenticación ampliable |
| Se requiere certificado de cliente | No | Sí | No | No | No (PAC) | No |
| Se requiere certificado de servidor | No | Sí | Sí | Sí | No (PAC) | No |
| Administración de claves WEP | No | Sí | Sí | Sí | Sí | Sí |
| Detección de AP dudosos | No | No | No | No | Sí | Sí |
| Proveedor | SRA | SRA | Funk | SRA | Cisco | Cisco |
| Atributos de autenticación | Una forma | Mutuo | Mutuo | Mutuo | Mutuo | Mutuo |
| Dificultad de implementación | Fácil | Difícil (debido a la implementación de certificados de cliente) | Moderado | Moderado | Moderado | Moderado |
| Seguridad Wi-Fi | Pobre | Muy alta | Alto | Alto | Alto | Alta cuando se utilizan contraseñas seguras. |
Una revisión de los análisis y las tablas anteriores suele dar lugar a las siguientes conclusiones:
- No se suele utilizar MD5, ya que solo realiza una autenticación unidireccional y, quizás lo más importante, no admite la distribución y rotación automáticas de claves WEP, por lo que no alivia la carga administrativa del mantenimiento manual de claves WEP.
- Aunque TLS es muy seguro, requiere la instalación de certificados de cliente en cada estación de trabajo Wi-Fi. El mantenimiento de una infraestructura PKI requiere tiempo y experiencia administrativa adicionales, además del mantenimiento mismo de la WLAN.
- TTLS resuelve el problema de los certificados mediante la tunelización de TLS y, por tanto, elimina la necesidad de contar con un certificado de cliente. Esta suele ser la opción preferida. Funk Software* es el promotor principal de TTLS, y existe una tarifa para el solicitante y el software del servidor de autenticación.
- LEAP tiene el historial más largo y, aunque anteriormente era un código patentado de Cisco (funciona solo con adaptadores Wi-Fi de Cisco), Cisco ha licenciado LEAP a muchos otros fabricantes a través del programa Cisco Compatible Extensions. Se debe aplicar una política de contraseñas seguras cuando se utiliza LEAP para la autenticación.
- EAP-FAST ya está disponible para las empresas que no pueden aplicar una política de contraseñas seguras y no desean implementar certificados para la autenticación.
- El PEAP más reciente funciona de forma similar a EAP-TTLS, ya que no requiere un certificado del cliente. PEAP cuenta con el respaldo de Cisco y Microsoft, y está disponible desde Microsoft sin costo adicional. Si desea realizar una transición de LEAP a PEAP, el servidor de autenticación ACS de Cisco ejecutará ambas.
Otra opción es VPN
En lugar de depender de la LAN Wi-Fi para la autenticación y privacidad (cifrado), muchas empresas implementan una VPN. Esto se hace colocando los puntos de acceso fuera del firewall corporativo y haciendo que el usuario entre por túnel a través de una puerta de enlace VPN, como si fuera un usuario remoto. Las desventajas de implementar una solución de VPN son el costo, las complejidades iniciales de instalación y la sobrecarga continua de administración.