Descripción general de 802.1X y tipos de EAP
Nota | Estos datos no están diseñados para usuarios del hogar o de pequeñas oficinas que por lo general no utilizan características avanzadas de seguridad como las que se analizan en esta página. Sin embargo, es posible que estos usuarios puedan encontrar interesantes estos temas para fines informativos. |
Descripción general de 802.1X
802.1X es un protocolo de acceso a puertos para proteger redes mediante autenticación. Como resultado, este tipo de método de autenticación es extremadamente útil en el entorno Wi-Fi debido a la naturaleza del medio. Si un usuario Wi-Fi se autentica a través de 802.1X para acceso de red, se abre un puerto virtual en el punto de acceso que permite la comunicación. Si no se autoriza correctamente, no se ofrece un puerto virtual y se bloquean las comunicaciones.
Hay tres elementos básicos en la autenticación 802.1X:
- Solicitante Un cliente de software que se ejecuta en la estación de trabajo Wi-Fi.
- Autenticador El punto de acceso Wi-Fi.
- Servidor de autenticación Una base de datos de autenticación, normalmente un servidor RADIUS como Cisco ACS*, Funk Steel-Belted RADIUS* o Microsoft IAS*.
Se utiliza el protocolo de autenticación ampliable (EAP) para pasar la información de autenticación entre el solicitante (la estación de trabajo Wi-Fi) y el servidor de autenticación (Microsoft IAS u otro). El tipo de EAP realmente controla y define la autenticación. El punto de acceso que actúa como autenticador es solo un proxy que permite la comunicación entre el solicitante y el servidor de autenticación.
¿Qué debo utilizar?
El tipo de EAP que se debe implementar, o si se implementa 802.1X, depende del nivel de seguridad que la organización necesita, de la sobrecarga administrativa y de las funciones deseadas. Afortunadamente, las descripciones aquí y un gráfico comparativo ayudarán a reducir la dificultad para comprender la variedad de tipos de EAP disponibles.
Tipos de autenticación del protocolo de autenticación ampliable (EAP)
Debido a que la seguridad de la red de área local Wi-Fi (WLAN) es esencial y los tipos de autenticación EAP proporcionan un medio potencialmente mejor para proteger la conexión WLAN, los proveedores desarrollan e agregan rápidamente tipos de autenticación EAP a los puntos de acceso WLAN. Algunos de los tipos de autenticación EAP de implementación más común incluyen EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast y Cisco LEAP.
- EAP-MD-5 (síntesis del mensaje) Challenge es un tipo de autenticación EAP que proporciona compatibilidad EAP de nivel básico. Normalmente, EAP-MD-5 no se recomienda para implementaciones de LAN Wi-Fi, ya que puede permitir la derivación de la contraseña del usuario. Ofrece una autenticación un solo vía: no hay autenticación mutua del cliente Wi-Fi ni de la red. Además, y lo más importante, no proporciona un medio para derivar claves de privacidad equivalente a cableado (WEP) dinámicas por sesión.
- EAP-TLS (Seguridad de la capa de transporte) ofrece autenticación mutua y basada en certificados del cliente y de la red. Depende de certificados de cliente y servidor para realizar la autenticación y se puede utilizar para generar dinámicamente claves WEP basadas en el usuario y en la sesión para asegurar comunicaciones posteriores entre el cliente WLAN y el punto de acceso. Un inconveniente de EAP-TLS es que se deben administrar los certificados para el cliente y el servidor. Para una instalación de WLAN de gran tamaño, esto podría ser una tarea muy complicada.
- Funk Software* y Certicom* desarrollaron EAP-TTLS (Seguridad de la capa de transporte por túnel) como una extensión de EAP-TLS. Este método de seguridad permite una autenticación mutua basada en certificados del cliente y la red a través de un canal cifrado (o túnel), así como un medio para derivar claves WEP dinámicas por usuario y sesión. A diferencia de EAP-TLS, EAP-TTLS solo requiere certificados de servidor.
- EAP-FAST (Autenticación flexible mediante tunelización segura) fue desarrollado por Cisco*. En lugar de utilizar un certificado para lograr una autenticación mutua, EAP-FAST se autentica mediante una PAC (credencial de acceso protegido) que el servidor de autenticación puede administrar de forma dinámica. La PAC se puede aprovisionar (distribuir una vez) en el cliente de forma manual o automática. El aprovisionamiento manual se entrega al cliente mediante un disco o un método de distribución de red segura. El aprovisionamiento automático es una distribución en banda, de forma aérea.
- El protocolo de autenticación ampliable para la identidad de abonado de GSM (EAP-SIM) es un mecanismo de autenticación y distribución de claves de sesión. Utiliza el módulo de identidad de abonado (SIM) del sistema global para las comunicaciones móviles (GSM). EAP-SIM utiliza una clave WEP basada en sesión dinámica, que se deriva del adaptador de cliente y del servidor RADIUS, para cifrar los datos. EAP-SIM requiere que el usuario ingrese un código de verificación del usuario, o PIN, para la comunicación con la tarjeta del módulo de identidad de abonado (SIM). La tarjeta SIM es una tarjeta inteligente que se utiliza en redes celulares digitales basadas en el sistema global para las comunicaciones móviles (GSM).
- EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) es un mecanismo de EAP para la autenticación y distribución de claves de sesión, mediante el módulo de identidad de abonado del Sistema universal de telecomunicaciones móviles (UMTS). La tarjeta USIM es una tarjeta inteligente especial utilizada con redes celulares para validar a un usuario determinado con la red.
- LEAP (Lightweight Extensible Authentication Protocol), es un tipo de autenticación EAP que se utiliza principalmente en los WLAN Cisco Aironet*. Cifra las transmisiones de datos mediante claves WEP generadas dinámicamente y admite la autenticación mutua. Hasta ahora era un código patentado, Cisco ha licenciado LEAP a muchos otros fabricantes a través del programa Cisco Compatible Extensions.
- PEAP (protocolo protegido de autenticación ampliable) ofrece un método para transportar datos de autenticación de forma segura, lo que incluye protocolos anteriores basados en contraseñas, a través de redes Wi-Fi 802.11. PEAP logra esto mediante el uso de túneles entre clientes PEAP y un servidor de autenticación. Al igual que la seguridad de la capa de transporte por túnel (TTLS) de la competencia, PEAP autentica los clientes de LAN Wi-Fi solo con certificados de servidor, lo que simplifica la implementación y administración de una LAN Wi-Fi segura. Microsoft, Cisco y RSA Security desarrollaron PEAP.
Tipos de EAP en 802.1X Características /beneficios | MD5 --- Síntesis del mensaje 5 | Tls --- Seguridad de nivel de transporte | Ttls --- Seguridad de nivel de transporte por túneles | Peap --- Seguridad de nivel de transporte protegido | rápido | Salto --- Protocolo ligero de autenticación ampliable |
Se requiere certificado de cliente | No | Sí | No | No | No (PAC) | No |
Se requiere certificado de servidor | No | Sí | Sí | Sí | No (PAC) | No |
Administración de claves WEP | No | Sí | Sí | Sí | Sí | Sí |
Detección de AP no fiables | No | No | No | No | Sí | Sí |
Proveedor | Sra | Sra | Funk | Sra | Cisco | Cisco |
Atributos de autenticación | Un solo camino | Mutuo | Mutuo | Mutuo | Mutuo | Mutuo |
Dificultad de implementación | Fácil | Difícil (debido a la implementación de certificados de cliente) | Moderado | Moderado | Moderado | Moderado |
Seguridad Wi-Fi | Pobre | Muy alto | Alto | Alto | Alto | Alta cuando se utilizan contraseñas seguras. |
Una revisión de los análisis y las tablas anteriores suele tener las siguientes conclusiones:
- No se suele utilizar MD5, ya que solo permite una autenticación un solo paso y, quizás lo más importante, no admite la distribución y rotación automáticas de claves WEP, por lo que no alivia la carga administrativa del mantenimiento manual de claves WEP.
- Aunque TLS es muy seguro, requiere la instalación de certificados de cliente en cada estación de trabajo Wi-Fi. El mantenimiento de una infraestructura PKI requiere tiempo y experiencia administrativa adicionales, además del mantenimiento mismo de la WLAN.
- TTLS resuelve el problema de los certificados mediante la tunelización de TLS y, por tanto, elimina la necesidad de tener un certificado de cliente. Esta suele ser la opción preferida. Funk Software* es el promotor principal de TTLS, y existe una tarifa para el solicitante y el software del servidor de autenticación.
- LEAP tiene el historial más largo y, aunque anteriormente era un código patentado de Cisco (funciona solo con adaptadores Wi-Fi de Cisco), Cisco ha licenciado LEAP a muchos otros fabricantes a través del programa Cisco Compatible Extensions. Se debe aplicar una política de contraseñas seguras cuando se utiliza LEAP para la autenticación.
- EAP-FAST ya está disponible para las empresas que no pueden aplicar una política de contraseñas seguras y no desean implementar certificados para la autenticación.
- El PEAP más reciente funciona de forma similar a EAP-TTLS, ya que no requiere un certificado del cliente. PEAP cuenta con el respaldo de Cisco y Microsoft, y está disponible en Microsoft sin costo adicional. Si desea realizar una transición de LEAP a PEAP, en el servidor de autenticación ACS de Cisco se podrá ejecutar ambas.
Otra opción es VPN
En lugar de depender de Wi-Fi LAN para la autenticación y la privacidad (cifrado), muchas empresas implementan una VPN. Esto se hace colocando los puntos de acceso fuera del firewall corporativo y haciendo que el usuario entre por túnel a través de una puerta de enlace VPN, como si fuera un usuario remoto. Las desventajas de implementar una solución de VPN son el costo, las complejidades iniciales de instalación y la sobrecarga continua de administración.