Estándar para realizar control de acceso a una red
Componentes:
Suplicante
Autenticador o Punto de Acceso
Servidor de Autenticación: RADIUS (RFC 2865, RFC 2866, RFC 3580)
1X hace referencia al uso de EAP
Costos asociados
Solución escalable
(Gp:) 802.1x
Mecanismos de Seguridad(5/5)
Superan las limitaciones de WEP
Son atractivas para entorno inalámbricos
No es transparente el usuario
Implica infraestructura adicional para soporte
No permiten autenticar dispositivos que acceden a la red
(Gp:) Virtual Private Network (VPN)
Mecanismos de Seguridad(4/5)
Flujo de
Autenticación
Flujo de
Autorización
Cliente de Acceso Inalámbrico
Suplicante 802.1x
Access Point
(Autenticador 802.1x)
Firewall
SEGMENTO DE
SERVIDORES
Servidor RADIUS
Autenticacion 802.1x
Servidor de dominio de usuarios (LDAP)
SEGMENTO DE
ACCESO INALÁMBRICO
802.1x (1/5)
(Gp:) Cliente de Tercero
(Gp:) Cliente de Tercero
(Gp:) Mac OS
(Gp:) Cliente de Tercero
(Gp:) Cliente de Tercero
(Gp:) Linux
(Gp:) Cliente de Tercero
(Gp:) Cliente de Tercero
(Gp:) Windows 9x
(Gp:) Cliente de Tercero
(Gp:) Cliente nativo
(Gp:) Windows XP, 2000, Vista
(Gp:) EAP-TTLS
(Gp:) EAP-TLS
(Gp:) Sistema Operativo
Flujo de
Autenticación
Flujo de
Autorización
Cliente de Acceso Inalámbrico
Suplicante 802.1x
Access Point
(Autenticador 802.1x)
Firewall
SEGMENTO DE
SERVIDORES
Servidor RADIUS
Autenticacion 802.1x
Servidor de dominio de usuarios (LDAP)
SEGMENTO DE
ACCESO INALÁMBRICO
(Gp:) Compatibilidad con 802.11 y soporte de cifrado WPA
Capacidad de implementar el servicio de control de acceso 802.1x
Configuración del protocolo 802.1q para vlans.
802.1x (2/5)
Flujo de
Autenticación
Flujo de
Autorización
Cliente de Acceso Inalámbrico
Suplicante 802.1x
Access Point
(Autenticador 802.1x)
Firewall
SEGMENTO DE
SERVIDORES
Servidor RADIUS
Autenticacion 802.1x
Servidor de dominio de usuarios (LDAP)
SEGMENTO DE
ACCESO INALÁMBRICO
(Gp:) Compatibilidad con 802.1x
Soporte de diversos tipos de autenticación EAP (TLS, TTLS, PEAP)
Capacidad de registro (Accounting)
Soporte para el control de acceso en redes inalámbricas
Flexibilidad para validar a los suplicantes mediante varios métodos (Base de datos de usuarios local, directorio de usuarios LDAP, certificados, entre otros)
802.1x (3/5)
Flujo de
Autenticación
Flujo de
Autorización
Cliente de Acceso Inalámbrico
Suplicante 802.1x
Access Point
(Autenticador 802.1x)
Firewall
SEGMENTO DE
SERVIDORES
Servidor RADIUS
Autenticacion 802.1x
Servidor de dominio de usuarios (LDAP)
SEGMENTO DE
ACCESO INALÁMBRICO
802.1x (4/5)
Usuario/Contraseña
SSO: UTPLWIFI-SEC
Cliente
(IP de la LAN correspondiente a perfil)
Cliente
(IP de la LAN correspondiente a perfil)
Usuario/Contraseña
SSO: UTPLWIFI-SEC
Access Point
(Múltiples VLAN's)
Access Point
(Múltiples VLAN's)
DHCP
(Asignación de direcciones IP)
Servidor RADIUS
(AAA, Asignación Dinámica VLAN's)
Servidor LDAP
(Usuarios y Grupos)
(Gp:) 1
(Gp:) 1
(Gp:) 5
(Gp:) 2
(Gp:) 4
(Gp:) 3
802.1x (5/5)
Servidor Radius Freeradius (www.freeradius.org )
Módulo de Autenticación EAP
LDAP
Access Point: activar 802.1x
Cliente o suplicante:
Software de tercero: 802.1x y EAP-TTLS
Políticas y Mejores Prácticas
Implementación
Un componente primordial de las mejores recomendaciones de seguridad actuales y futuras, por lo cual su adopción es una práctica que no solo eleva el nivel de seguridad de las infraestructuras de acceso inalámbrico actuales, si no que prepara a las organizaciones para llegar a cumplir con los futuros estándares de seguridad para la tecnología inalámbrica.
La implementación de 802.1x en entornos inalámbricos es:
Una posibilidad real que las organizaciones pueden llevar a cabo con su infraestructura tecnológica actual, y que se adecuará, sin mayores impactos económicos o funcionales, a su crecimiento y modernización. A pesar de la existencias de nuevas técnicas y dispositivos innovadores con respecto a la administración de seguridad, se puedan usar viejas técnicas o soluciones para adaptarse a cada situación. Un caso particular el uso de soluciones Open Source es un punto fundamental, pues el trabajo y tiempo ya dedicado a estas tecnologías brinda cierto nivel de confianza y reduce en gran medida el costo de desarrollo.
Conclusiones
[1] Sampalo Francisco, Despliegue de redes inalámbricas
seguras sin necesidad de usar VPN, 2004
[2] Dennis Fisher. Study Exposes WLAN Security Risks. Marzo 12 de 2003.
[3] Warchalking. http:// www.warchalking.org
[4] Cisco Systems. Cisco Networking Academy Program CCNA. 2004.Cisco
[5] Hill, J. An Analysis of the RADIUS Authentication Protocol. 2001. InfoGard Laboratories.
Referencias
 Página anterior | Volver al principio del trabajo | Página siguiente  |