Autenticación Basada en EAP (802.1x/EAP)

Recordemos que en el capítulo anterior (Métodos de Autenticación Inalámbrica) vimos que en la autenticación basada en EAP; 802.1x/EAP es necesario constar con entidades tripartitas:

  • Suplicante: El dispositivo cliente que solicita el acceso
  • Autenticador: El dispositivo de red que provee acceso a la red (usualmente un controlador de red de LAN Inalámbrica [WLC])
  • Servidor de Autenticación (AS): El dispositivo que toma las credenciales del usuario o cliente y permite o deniega el acceso a la red basado en una base de datos de usuarios y políticas (usualmente un servidor RADIUS)
Autenticación Basada en EAP
Autenticación Basada en EAP

Existen distintos métodos de de autenticación basados en EAP, a continuación un resumen de ellos:

  • LEAP (Lightweight EAP): Obsoleto; utiliza claves WEP dinámicas
  • EAP-FAST (EAP Flexible Authentication by Secure Tunneling): Usa credenciales de acceso protegido (PAC)
  • PEAP (Protected EAP): Servidor autenticado por certificado digital
  • EAP-TLS (EAP Transport Layer Security): Cliente y Servidor autenticados mediante certificado digital

A continuación veremos uno a uno:

LEAP

Con Lightweight EAP (LEAP) el cliente debe proporcionar credenciales de nombre de usuario y contraseña. Tanto el servidor de autenticación como el cliente intercambian mensajes que luego se cifran y devuelven. Esto proporciona autenticación mutua; el cliente y el AS esencialmente se han autenticado entre sí.

Hoy dia LEAP ha quedado obsoleto, aunque los clientes y controladores inalámbricos todavía ofrecen LEAP, no debe usarlo.

EAP-FAST

Con Flexible Authentication by Secure Tunneling (EAP-FAST) las credenciales de autenticación se protegen pasando una credencial de acceso protegido (PAC) entre el AS y el solicitante. El PAC es una forma secreta de compartir que genera el AS y se utiliza para la autenticación mutua.

EAP-FAST es una secuencia de tres fases:

  • Fase 0: El PAC es generado o provisto e instalado en el cliente.
  • Fase 1: Después el suplicante y el AS tienen que autenticarse entre ellos, ellos negocian un túnel TLS (Transport Layer Security).
  • Fase 2: El usuario final se puede autenticar a través de túnel TLS para obtener una seguridad adicional.

Nota que ocurren dos procesos separados de autenticación en EAP-FAST—uno entre el AS y el suplicante y otro con el usuario final.

PEAP

Como con EAP-FAST, el método Protected EAP (PEAP) utiliza una autenticación interna y externa; sin embargo, el AS presenta un certificado digital para autenticarse con el solicitante en la autenticación externa. Si el solicitante está satisfecho con la identidad del AS, ambos construirán un túnel TLS que se utilizará para la autenticación del cliente interno y el intercambio de claves de cifrado.

El certificado digital del AS consta de datos en un formato estándar que identifica al propietario y está “firmado” o validado por un tercero. El tercero es conocido como una autoridad de certificación (CA) y es conocido y confiable tanto por el AS como por los solicitantes. El solicitante también debe poseer el certificado de CA solo para que pueda validar el que recibe del AS. El certificado también se usa para pasar una clave pública, a simple vista, que puede usarse para ayudar a descifrar mensajes del AS.

Ten en cuenta que solo el AS tiene un certificado para PEAP. Eso significa que el solicitante puede autenticar fácilmente el AS. El cliente no tiene ni utiliza un certificado propio, por lo que debe autenticarse dentro del túnel TLS mediante uno de los dos métodos siguientes:

  • MSCHAPv2: Microsoft Challenge Authentication Protocol version 2
  • GTC: Generic Token Card; un dispositivo de hardware que genera una contraseña por única vez para el usuario final o una contraseña generada manualmente

EAP-TLS

PEAP aprovecha un certificado digital en el AS como un método sólido para autenticar el servidor RADIUS. Es fácil obtener e instalar un certificado en un solo servidor, pero los clientes deben identificarse por otros medios. EAP Transport Layer Security (EAPTLS) va un paso más allá al requerir certificados en el AS y en cada dispositivo cliente.

Con EAP-TLS, el AS y el solicitante intercambian certificados y pueden autenticarse entre sí. Posteriormente, se construye un túnel TLS para que el material de la clave de cifrado se pueda intercambiar de forma segura.

EAP-TLS se considera el método de autenticación inalámbrica más seguro disponible; sin embargo, implementarlo a veces puede ser complejo. Junto con el AS, cada cliente inalámbrico debe obtener e instalar un certificado. La instalación manual de certificados en cientos o miles de clientes puede resultar poco práctica. En su lugar, necesitaría implementar una infraestructura de clave pública (PKI) que pudiera proporcionar certificados de manera segura y eficiente y revocarlos cuando un cliente o usuario ya no debería tener acceso a la red. Por lo general, esto implica la creación de su propia CA o la creación de una relación de confianza con una CA externa que pueda proporcionar certificados a sus clientes.

Valora este artículo

Libro Oficial Cert Guide Library

Libro CCNA

Comprá el libro digital y oficial de Cisco CCNA 200-301 Library

Deja un comentario