Introducción al 802.1X

El estándar 802.1x es una solución de seguridad ratificada por el IEEE en junio de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalámbrica). Esto se hace a través del uso de un servidor de autenticación.

El 802.1x se basa en el protocolo EAP (Protocolo de autenticación extensible), definido por el IETF. Este protocolo se usa para transportar la información de identificación del usuario.

EAP

La forma en que opera el protocolo EAP se basa en el uso de un controlador de acceso llamado autenticador, que le otorga o deniega a un usuario el acceso a la red. El usuario en este sistema se llama solicitante. El controlador de acceso es un firewall básico que actúa como intermediario entre el usuario y el servidor de autenticación, y que necesita muy pocos recursos para funcionar. Cuando se trata de una red inalámbrica, el punto de acceso actúa como autenticador.

El servidor de autenticación (a veces llamado NAS, que significa Servicio de autenticación de red o Servicio de acceso a la red) puede aprobar la identidad del usuario transmitida por el controlador de la red y otorgarle acceso según sus credenciales. Además, este tipo de servidor puede almacenar y hacer un seguimiento de la información relacionada con los usuarios. En el caso de un proveedor de servicio, por ejemplo, estas características le permiten al servidor facturarles en base a cuánto tiempo estuvieron conectados o cuántos datos transfirieron.

Generalmente el servidor de autenticación es un servidor RADIUS (Servicio de usuario de acceso telefónico de autenticación remota), un servidor de autenticación estándar definido por la RFC 2865 y 2866, pero puede utilizarse cualquier otro servicio de autenticación en su lugar.

A continuación encontrará un resumen sobre cómo funciona una red segura que usa el estándar 802.1x:

1. El controlador de acceso, después de recibir la solicitud de conexión del usuario, envía una solicitud de autenticación.
2. El usuario envía una respuesta al controlador de acceso, quien enruta la respuesta al servidor de autenticación.
3. El servidor de autenticación envía un "challenge" al controlador de acceso, quien lo transmite al usuario. El challenge es un método para establecer la identificación. Si el cliente no puede evaluar el challenge, el servidor prueba con otro y así sucesivamente.
4. El usuario responde al challenge. Si la identidad del usuario es correcta, el servidor de autenticación envía la aprobación al controlador de acceso, quien le permite al usuario ingresar a la red o a parte de ella, según los derechos otorgados. Si no se pudo verificar la identidad del usuario, el servidor de autenticación envía un mensaje de denegación y el controlador de acceso le deniega al usuario el acceso a la red.

Intercambio de claves de cifrado

Además de autenticar usuarios, el estándar 802.1x les proporciona una manera segura de intercambiar claves de cifrado para mejorar la seguridad en general.

Última actualización el jueves, 16 de octubre de 2008, 15:43:31 .Este documento intitulado « 802.1X/EAP » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.