Microsoft TechNet - Artículos Técnicos
La Autenticación IEEE 802.1X en conexiones inalámbricas
Índice
.gif){kind=icon}
Introducción
Puertos de acceso sin y con autenticación
El Protocolo de autenticación extensible (EAP)
El soporte de Windows XP para IEEE 802.1X
Para más información
Introducción
El estándar IEEE 802.1X define el control de acceso a redes basadas en puertos. Gracias a él se exige autenticación antes de dar acceso a las redes Ethernet. En el control de acceso a redes basadas en puertos se utilizan los elementos físicos que componen una infraestructura de conmutación de la red LAN para autenticar los dispositivos agregados al puerto de conmutación. No se pueden enviar ni recibir tramas en un Puerto de conmutación Ethernet si el proceso de autenticación ha fallado. A pesar de que se diseñó para redes Ethernet fijas, este estándar se ha adaptado para su uso en redes LAN inalámbricas con IEEE 802.11. Windows XP soporta la autentificación IEEE 802.1X para todos los adaptadores de red basados en redes LAN, incluyendo las Ethernet y las inalámbricas.
El estándar IEEE 802.1X define los términos siguientes:
-
El PAE
El autenticador
El Puerto solicitante
El servidor de autenticación
El PAE
El Puerto PAE (Port access entity), también denominado Puerto LAN, es una entidad lógica que soporta el protocolo IEEE 802.1X asociado con un puerto. Un Puerto LAN puede hacer las veces de autenticador, el solicitante o ambos.
El autenticador
Es un Puerto LAN que exige autenticación antes de permitir el acceso a los Servicios que se suministran a través de él. Para las conexiones inalámbricas, el autenticador es el Puerto lógico de LAN en un punto de acceso(AP) inalámbrico a través del cual los clientes que trabajan con conexiones inalámbricas que operan con infraestructuras acceden a la red fija.
El Puerto solicitante
El puerto solicitante es un Puerto de la LAN que solicita acceso a los servicios disponibles a través del autenticador. En las conexiones inalámbricas, el demandante es el Puerto lógico de la LAN alojado en el adaptador de red LAN inalámbrica que solicita acceso a una red fija. Para ello se asocia y después se autentifica con un autenticador.
Independientemente de que se utilicen para conexiones inalámbricas o en redes Ethernet fijas, los puertos solicitante y de autenticación están conectados a través de un segmento LAN punto a punto lógico y físico.
El servidor de autenticación
Para corroborar los credenciales del Puerto solicitante, el de autenticación utiliza el servidor de autenticación. Este servidor comprueba los credenciales del solicitante en nombre del Autenticador y después le responde a éste indicándole si el solicitante tiene o no permiso para acceder a los Servicios que proporciona el Autenticador. Hay dos tipos de servidor de autenticación:
-
Un componente del punto de acceso.
Debe configurarse utilizando los credenciales de los clientes que intentan conectarse. Normalmente no se implementan utilizando puntos de acceso inalámbricos.
Una entidad distinta
El punto de acceso reenvía los credenciales de la conexión que ha intentado establecerse a un servidor de autenticación distinto. Por lo general un punto de acceso inalámbrico utiliza el protocolo de autenticación remota RADIUS (Remote Authentication Dial-In User Service) para enviar los parámetros de las conexiones que han intentado conectarse al servidor RADIUS.
Puertos de acceso sin y con autenticación
El control de acceso basado en el autenticador define los siguientes tipos de puertos lógicos que acceden a la LAN conectada físicamente a través de un solo puerto LAN fijo:
-
Puerto de acceso sin autenticación
El Puerto de acceso sin autenticación hace posible el intercambio de datos entre el autenticador ( el AP inalámbrico) y otros dispositivos dentro de la red fija, independientemente de que se haya autorizado o no al cliente la utilización de la conexión inalámbrica. Un ejemplo ilustrativo es el intercambio de mensajes RADIUS entre un punto de acceso inalámbrico y un servidor RADIUS alojado en una red fija que ofrece autenticación y autorización a las conexiones inalámbricas. Cuando un usuarios de una conexión envía una trama, el punto de acceso inalámbrico nunca la reenvía a través del puerto de acceso sin autenticación.
Puerto de acceso con autenticación
Gracias al Puerto de acceso con autenticación se pueden intercambiarr datos entre un usuario de una red inalámbrica y la red física pero sólo si el usuario de la red inalámbrica ha sido autenticado. Antes de la autenticación, el conmutador se abre y no se produce el reenvío entre el usuario de la conexión inalámbrica y el de la red física. Una vez que la identidad del usuario remoto se ha comprobado a través de IEEE 802.1X, se cierra el conmutador y las tramas son reenviadas entre el usuario de la red inalámbrica y los nodos de la red con conexión física.
En el dibujo de abajo se puede ver la relación que se establece entre los Puertos con y sin autenticación en un punto de acceso inalámbrico.
.jpg)
Si su buscador no puede visualizar imágenes expuestas en línea ,haga clic aquí para poder verlo en una página diferente.
En el conmutador Ethernet de autenticación, el usuarios de una red Ethernet puede enviar tramas Ethernet a una red también fija tan pronto como se haya finalizado el proceso de autenticación. El conmutador identifica el tráfico de un usuario de red Ethernet en particular utilizando para ello el Puerto físico al que se conecta a ese usuario. Por lo general sólo se conecta a un usuario de Ethernet a un Puerto físico a través de un conmutador Ethernet.
Debido a las reticencias de muchos clientes remotos ante la idea de consultar y enviar datos utilizando un único canal, se ha tenido que ampliar el protocolo básico. IEEE 802.1X. De esta forma un AP inalámbrico puede identificar si el tráfico de un determinado cliente remoto es seguro. Esto es posible gracias al establecimiento por ambas partes , tanto del cliente remoto como del punto de acceso inalámbrico. de una clave única y especifica para cada cliente Sólo aquellos clientes remotos que hayan sido autenticados tienen una clave única y específica para cada sesión. Si la autenticación no viene acompañada de una clave válida, el punto de acceso inalámbrico rechaza las tramas que envía el cliente remoto sin autenticación.
El Protocolo de autenticación extensible (EAP)
Para poder ofrecer un mecanismo de autenticación estándar para IEEE 802.1X, IEEE escogió el protocolo de autenticación extensible (EAP). EAP es un protocolo basado en la tecnología de autenticación del protocolo punto a punto (PPP)-que previamente se había adaptado para su uso en segmentos de redes LAN punto a punto. En un principio los mensajes EAP se definieron para ser enviados como la carga de las tramas PPP, de ahí que el estándar IEEE 802.1X defina EAP sobre la red LAN (EAPOL). Este método se utiliza para encapsular los mensajes EAP y así poder enviarlos ya sea a través de segmentos de redes Ethernet o de redes LAN inalámbricas.
Para la autenticación de conexiones inalámbricas; Windows XP utiliza el protocolo EAP Seguridad del nivel de transporte(EAP-TLS). El protocolo EAP-TLS se define en las peticiones de comentario RFC 2716 y se utiliza en entornos seguros y certificados. El intercambio de mensajes EAP-TLS ofrece una autenticación mutua, unas transferencias cifradas totalmente protegidas y una determinación conjunta para las claves de cifrado y firma entre el cliente remoto y el servidor de autenticación (el servidor RADIUS). Una vez que se ha realizado la autenticación y autorización correspondiente, el servidor RADIUS envía las claves de cifrado y firma al punto de acceso inalámbrico a través de un mensaje de Acceso-aceptado de RADIUS.
Windows XP ha elegido EAP-TLS- que trabaja con usuarios registrados y ordenadores certificados- como método de autenticación para sus conexiones inalámbricas por las siguientes razones:
-
EAP-TLS no se necesita la clave de la cuenta del usuario.
EAP-TLS la autenticación es automática, sin intervención del usuario.
EAP-TLS utiliza certificados por lo que el esquema de automatización es más consistente
El soporte de Windows XP para IEEE 802.1X
En Windows XP, la autenticación IEEE 802.1X junto al tipo de autentificación EAP-TLS aparece por defecto en todos los adaptadores de red compatibles con redes LAN. Si quiere configurar 802.1X en un ordenador que ejecute Windows XP tiene que utilizar la etiqueta Autenticación en propiedades de una conexión de red LAN en Conexiones de red.
A continuación se muestra la etiqueta de Autenticación.
.jpg)
En esta etiqueta puede configurar:
-
Enable network access control using IEEE.802.1X (Activar el control de acceso a la red utilizando IEEE 802.1X) En este cuadro puede elegir entre utilizar IEEE 802.1X para autenticar la conexión o no. La opción se activa por defecto.
Una conexión LAN en Windows XP envía tres mensajes EAP-Start para hacer que el Autenticador (el conmutador Ethernet o el punto de acceso inalámbrico) empiece el proceso de autenticación basándose en EAP. Si no se recibe un mensaje EAP de Petición/Identidad significa que el Puerto no exige una autenticación IEEE 802.1X y la conexión LAN envía trafico normal para configurar la capacidad de conexión de la red. Si por el contrario se recibe el mensaje esto significa que la autenticación IEEE 802.1X se ha puesto en marcha.
Por lo tanto, si dejamos activada esta configuración para una conexión LAN Ethernet cuando el conmutador Ethernet no soporta IEEE 802.1X no perjudicamos la capacidad de conexión de la red. Sin embargo si desactivamos esta configuración cuando el conmutador Ethernet no exige una autenticación IEEE 802.1X perjudicamos la capacidad de conexión de la red.
**EAP type** Con esta opción selección utilizar la autenticación IEEE 802.1X con el tipo EAP. En la lista de la biblioteca de enlaces dinámicos (DDL) se muestran los EAP instalados en la máquina. Los tipos EAP por defecto son **MD-5 Challenge** y **Smart card and other certificate**. Las **Tarjetas inteligentes o certificados** son para EAP-TLS. **Las etiquetas inteligentes y certificados EAP** se seleccionan por defecto y son de uso obligado para acceder de forma segura a redes inalámbricas.
**Propiedades** haga clic para configurar las propiedades del tipo EAP que haya seleccionado. Las propiedades no están disponibles para el tipo EAP **MD-5 Challenge**.
**Autenticate as computer when computer information is available** Aquí se especifica si la máquina se intenta autenticar utilizando los credenciales del ordenado( tales como el certificado) sin que el usuario introduzca sus datos. Esta opción está activada por defecto.
**Autenticate as guest when user or computer information is unvailble** Aquí se especifica si la máquina se intenta autenticar como invitado. Se utiliza cuando los credenciales del usuario o del ordenador no están disponibles. Esta opción está desactivada por defecto.
En la siguiente imagen aparece la etiqueta de los tipos EAP de propiedades de etiquetas inteligentes u otros certificados (corresponden a EAP-TLS).
.jpg)
En el cuadro de diálogo Propiedades de las etiquetas inteligentes y otros certificados, podrá ver y configurar las siguientes propiedades:
-
When connecting Para poder utilizar para la autenticación un certificado de los del almacén de certificado de ordenador local o usuario actual seleccione Use a certificate on this computer (activado por defecto). Cuando hay varios certificados de usuario instalados, el usuario tiene que seleccionar uno en particular para la primera asociación. Ése será el que se utilice en el resto de las asociaciones que tengan lugar hasta que finalice esa sesión de Windows XP. Windows XP no soporta la utilización de etiquetas inteligentes como un medio seguro de autenticación de conexiones remotas.
**Validate server certificate** Aquí se especifica si quiere validar o no el certificado del ordenador del servidor de autenticación (por lo general un servidor RADIUS). Esta opción está activada por defecto.
**Connect only if server name end with** Aquí especifica si quiere seleccionar un texto determinado que deba coincidir con el final del nombre del certificado del ordenador donde está el servidor de autenticación. Esta opción está desactivada por defecto. En la mayor parte de las implementaciones, en las que se utiliza más de un servidor RADIUS, puede escribir la parte del Sistema de nombres de dominio (DNS) común a todos los servidores RADIUS. Por ejemplo si tiene dos servidores RADIUS con el nombre rad1.example.microsoft.com y rad2.example.microsoft.com respectivamente y luego escribe "example.microsoft.com". Si activa esta opción y escribe un texto incorrecto, la autenticación remota fallará.
**Trusted root certificate authority.** Gracias a esta opción puede elegir la autoridad de certificación (CA) raíz del certificado del ordenador del servidor de autenticación. La lista enumera los certificados CA raíz que se encuentran almacenados en su Autoridades de certificación raíz de confianza.
Por defecto no se selecciona ninguna CA raíz. Si elige una CA incorrecta, durante la autenticación tendrá que aceptar (o rechazar) la CA raíz del servidor de autenticación. Cuando la acepte, la CA raíz de confianza aparece como la CA raíz del certificado del servidor de autenticación.
**Use a different user name for the connection** Aquí especifica si para su autenticación quiere utilizar un nombre de usuario diferente al que aparece en el certificado. Esta opción está desactivada por defecto. Si se activa aparece un cuadro de diálogo para seleccionar el certificado de usuario incluso si sólo se ha instalado un certificado. El certificado elegido será el que se utilice hasta que finalice esa sesión de Windows XP.
Para más información
Para más información sobre IEEE 802.11 y el soporte 802.1X en Windows XP puede consultar el siguiente material:
-
IEEE 802.11b Wireless Networking Overview (la columna de Cable Guy de marzo de 2002)
[**Sitio web Microsoft Wi-Fi**](https://www.microsoft.com/windows2000/technologies/communications/wifi/default.asp)
Si quiere consultar otras columnas o más información sobre The Cable Guy haga clic aquí.
Última actualización de esta página: 11 de agosto de 2004