El protocolo WLAN 802.11 no es muy seguro y no puede hacer nada. Afortunadamente, IEEE (y Microsoft, Cisco y otras compañías líderes en la industria) descubrieron fallas 802.11, como resultado, el estándar IEEE 802.1x proporciona una identidad mucho más robusta para redes de área local inalámbricas (WLAN) y redes de área local ordinarias. Mecanismos de verificación y seguridad. Puede implementar 802.1x utilizando una combinación de controladores de dominio de Windows 2000 o Windows Server 2003 y clientes de Windows XP. Cómo funciona 802.1x
802.1x implementa el control de acceso basado en puerto. En una WLAN, un puerto es la conexión entre un punto de acceso (AP) y una estación de trabajo. Existen dos tipos de puertos en 802.1x: no controlados y controlados. Lo que está utilizando ahora es un puerto sin control: permite que los dispositivos se conecten a los puertos y se comuniquen con cualquier otro dispositivo de red. En su lugar, el puerto de control limita la dirección de red con la que se puede comunicar el dispositivo conectado. Es posible que ya pueda comprender lo que ocurre a continuación: 802.1x permite a todos los clientes conectarse al puerto de control, pero estos puertos solo envían tráfico al servidor de autenticación. Una vez autenticado el cliente, se le permite comenzar a usar el puerto que no es de control. El misterio de 802.1x es que los puertos sin control y control son dispositivos lógicos que coexisten en el mismo puerto de red física.
Para la autenticación, 802.1x define aún más dos funciones para los dispositivos de red: suplicante y autenticador. El solicitante es un dispositivo que solicita acceso a los recursos de la red (como una computadora portátil equipada con una tarjeta de red 802.11b). Un certificador es un dispositivo que autentica a un solicitante y decide si otorgarle acceso. Los puntos de acceso inalámbricos pueden actuar como autenticadores, sin embargo, el protocolo del servicio de usuario de acceso telefónico de autenticación remota (RADIUS) estándar de la industria es más flexible. Este protocolo se incluye con Windows 2000; a través de RADIUS, el AP recibe la solicitud de autenticación y la envía al servidor RADIUS, que autentica al usuario frente a Active Directory.
802.1x no usa la privacidad equivalente por cable (WEP) para la autenticación, sino que utiliza el protocolo de autenticación extensible (EAP) estándar de la industria o una versión más reciente. En cualquier caso, EAP /PEAP tiene sus ventajas únicas: permiten la elección de métodos de autenticación. De forma predeterminada, 802.1x usa EAP-TLS (EAP-Transport Layer Security), donde todo el tráfico protegido por EAP está cifrado por el protocolo TLS (muy similar a SSL). Todo el proceso de autenticación es el siguiente: 1. La estación de trabajo inalámbrica intenta conectarse al AP a través de un puerto sin control.
(Debido a que la estación de trabajo no está autenticada en este momento, no puede usar el puerto de control). El AP envía un desafío de texto simple a la estación de trabajo.
2. En respuesta, la estación de trabajo proporciona su propia identificación.
3.AP Reenvía la información de identidad de la estación de trabajo al autenticador RADIUS mediante una LAN con cable.
4. El servidor RADIUS consulta la cuenta especificada para determinar qué credenciales son necesarias (por ejemplo, puede configurar su servidor RADIUS para que acepte solo certificados digitales). Esta información se convierte en una solicitud de credencial y se devuelve a la estación de trabajo.
5. La estación de trabajo envía sus credenciales a través del puerto que no es de control en el AP.
6. El servidor RADIUS autentica las credenciales, si pasa la autenticación, envía la clave de autenticación al AP. Esta clave está encriptada para que solo el AP pueda descifrarla.
7.AP descifra la clave y la utiliza para crear una nueva clave para la estación de trabajo. Esta nueva clave se enviará a la estación de trabajo, que se utiliza para cifrar la clave de autenticación global primaria de la estación de trabajo.
Periódicamente, el AP genera una nueva clave de autenticación global primaria y la envía al cliente. Esto resuelve el problema de las claves fijas de larga duración en 802.11, y los atacantes pueden atacar fácilmente las claves fijas mediante ataques de fuerza bruta.
La configuración de 802.1x en el cliente
La configuración del cliente 802.1x en Windows XP es muy simple, aquí presentaré brevemente algunos pasos básicos.
1. Abra la carpeta de conexión de red, luego haga clic derecho en la conexión que desea usar 802.1x y seleccione el comando de propiedad.
2. Cambie a la pestaña Red inalámbrica y seleccione la conexión WLAN que desea usar para 802.1x. Haga clic en el botón Configurar.
3. En el cuadro de diálogo Propiedades de red inalámbrica, cambie a la pestaña Autenticación.
4. Asegúrese de que la casilla de verificación "Habilitar la autenticación IEEE 802.1x para esta red" esté seleccionada y seleccione el tipo de EAP adecuado. Por lo general, las redes empresariales usarán EAP-TLS con tarjetas inteligentes o certificados de almacenamiento local, y las redes pequeñas pueden usar PEAP (solo si ya tiene instalado el Service Pack 1 de Windows XP).
Implementar 802.1x para redes pequeñas < Br> Si tiene una red pequeña, entonces podría pensar que 802.1x es tan esotérico. La buena noticia es que incluso si no tiene una infraestructura de clave pública completa y no necesita mucho trabajo, puede implementar 802.1x. Este artículo describe los pasos que debes completar. En pocas palabras, debe configurar su cliente Windows XP SP 1 o posterior para usar PEAP, y luego configurar al menos una computadora que ejecute el Servicio de autenticación de Internet de Windows (IAS), que proporcionará conectividad RADIUS. Cada servicio IAS debe tener un certificado digital firmado por usted o comprado a una entidad de certificación (CA) externa. Hay tanto que necesita hacer, por supuesto, primero debe instalar IAS, pero el proceso es simple.
Implementación de 802.1x para grandes empresas
Si usa una red de Windows 2000 con al menos un controlador de dominio, puede configurar una infraestructura 802.1x más flexible para aprovechar Active Directory y Windows 2000 para el acceso remoto Apoyo a la estrategia. Lo primero es obtener un certificado digital para su cliente. Afortunadamente, puede obtener estos certificados fácilmente creando una política de grupo que solicite automáticamente certificados de equipo para las computadoras en el dominio. Después de completar este paso, puede implementar el resto de la infraestructura requerida (incluido IAS) y configurar su punto de acceso inalámbrico para usar RADIUS para comunicarse con el servidor IAS. Entonces puede estar seguro de que su tráfico WLAN ha sido protegido de manera segura.