Professional Documents
Culture Documents
TELECOMUNICACIONES Y REDES
CODIGO: 245625
RESUMEN
FUNDAMENTOS
Los usuarios de redes inalámbricas ya están acostumbrados al ritual de tener que proporcionar
información de acceso para poder conectarse a la red local. El estándar IEEE 802.1X define una
técnica de control de acceso a la red basada en puertos usada en la mayoría de los puntos de
acceso inalámbricos del mercado.
Son muchos los administradores que ignoran el hecho de que IEEE 802.1X puede proporcionar
también control de acceso en redes convencionales (cableadas). El esquema de autenticación
de IEEE 802.1X presenta en realidad varias ventajas, especialmente sobre la autenticación en
puertos basada en direcciones MAC que se puede burlar fácilmente y es a menudo tediosa de
administrar.
El protocolo IEEE 802.1X proporciona control de acceso en la Capa 2 de OSI (la Capa MAC). IEEE
802.1X soporta la autenticación de clientes mientras se establece la conexión a la red, antes de
que al cliente se le asigne una dirección IP vía DHCP (Dynamic Host Configuration Protocol).
Entre otras cosas, el estándar especifica como el protocolo de autenticación (EAP, Extensible
Authentication Protocol) se encapsula en marcos Ethernet.
Desbloqueo de un Puerto
• El autenticador – Un switch Ethernet o un punto de acceso a través del cual pide el acceso el
solicitante;
Antes de que el switch (al que en el contexto de RADIUS nos referimos por NAS o Network
Access Server) permita pasar por uno de sus puertos cualquier tipo de tráfico (a los que el
estándar denomina PAE o Port Access Entities), el dispositivo que hace la petición, que suele
ser una máquina de escritorio o un portátil, deberá pasar por un proceso de autenticación.
Dicha autenticación tiene lugar en la capa de enlace de datos (Data Link Layer) y hace uso del
protocolo EAP (Extensible Authentication Protocol). El dispositivo solicitante ha de ejecutar un
pequeño programa cliente (el Solicitante). El cliente presenta sus credenciales en forma de
trama Ethernet especial llamada EAPoL. EAP soporta varias credenciales, pero la opción más
común son los certificados cliente X.509v3.
DESARROLLO
Configuración de Port-Authentication
El switch hace uso del protocolo RADIUS (cuya especificación se corresponde con el RFC
2865) para comunicarse con el servidor.
Para algunas personas, el control de acceso a la red o NAC (Network Access Control) incluye
además otros aspectos, como la validación técnica de los estados de las versiones o las
firmas de virus actualizadas, de acuerdo a unas políticas de seguridad determinadas.
RECOMENDACIONES
Para habilitar Network Access Control en el switch, el administrador del sistema tiene que
cambiar los puertos (PAEs) del modo Authorized al modo Auto y proporcionar al dispositivo
de red la contraseña y la dirección IP del RAS.
También conviene añadir una VLAN separada mediante una subred aislada para la
administración y poner el puerto como Authorized para evitar el típico problema de qué fue
antes, si el huevo o la gallina.
BIBLIOGRAFIA
http://www.linux-magazine.es/issue/59/043-047_IEEE802xLM59.pdf
http://www.linux-magazine.es/issue/05/Radius.pdf
http://www.buenastareas.com/ensayos/Configuracion-Swithc-Cisco-2950/376163.html
http://www.adslnet.es/forums/viewtopic.php?t=9671&start