ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





Autenticación en redes inalámbricas con 802.1x, WPA y WPA2

Redes WiFi están afectadas por problemas de acceso no autorizado, mucho más que las redes de cable. Esto es obvio si usted piensa que alrededor de este hecho para acceder a este último un punto de acceso físico es necesario (conector RJ45), en las redes inalámbricas sólo tienes que estar dentro del rango de cobertura para acceder a ella. Una primera solución al problema fue WEP (Wired Equivalent Privacy). Sin embargo, este método, asociadas con la presencia de claves cifradas simétrica en ambos los puntos de acceso y todos los clientes autorizados para el acceso, dio a los administradores de red el trabajo de cambiar periódicamente las claves y comunicar el cambio a todos los usuarios. El resultado fue que las claves WEP se mantuvo sin cambios durante largos períodos de tiempo, haciendo que la inseguridad de la red.

El protocolo 802.1x autentificación introducidos y el apoyo a la gestión dinámica de las claves WEP. De esta manera, una vez que el cliente se autentica las teclas que el tráfico inalámbrico se cifra con alimentada automáticamente y se cambió más de una vez durante una sesión de trabajo. El período de validez de las claves es lo suficientemente corto como para que sean difíciles de determinar por un intruso intenta un ataque.

Desde el punto de vista práctico, el protocolo 802.1x es otro que el protocolo EAP (Extensible Authentication Protocol) de autenticación utilizado para autenticar conexiones punto a punto, adaptado para funcionar en las tramas Ethernet en lugar de paquetes PPP. Por esta razón el protocolo 802.1x es también conocido como EAPoL (EAP sobre LAN).

En la terminología EAP las entidades que juegan un papel durante el proceso de autenticación se incluyen: el suplicante, es decir, el cliente pide que acceder a la red, el autenticador que en las redes inalámbricas coincide con el Punto de acceso, servidor de la autenticación que verifica si los usuarios son realmente quienes dicen ser. El servidor de autenticación es a menudo uno y el mismo que el servidor RADIUS, mientras que el autenticador es lo que se define como NAS (Network Access Server) en el protocolo RADIUS.

Como se mencionó anteriormente EAP es sólo un protocolo de autenticación que ofrece el servidor de autenticación suplicante y la tarea de establecer el método de autenticación real de uso. Puede verse que el punto de acceso es transparente desde este punto de vista, ya que su único trabajo consiste en reenviar los paquetes a través de la suplicante EAPoL con el servidor RADIUS y los encapsula en IP (el servidor RADIUS se puede llegar por la parte cableada de la AP) y viceversa.

El servidor RADIUS Zeroshell apoya los métodos de autenticación se describen a continuación debido a que incluyen los que ofrecen una mayor garantía de seguridad y con el apoyo de la mayoría de los suplicantes.

  • EAP-TLS, que utilizan TLS para la autenticación mutua entre el solicitante y punto de acceso. Tanto el servidor RADIUS y suplicante debe tener un certificado X509 de clave privada y relevante. Aparte de la tarea de tener que dotar a cada usuario con un certificado, éste es sin duda el método de autenticación más seguro y conveniente, ya que no hay ninguna contraseña de usuario debe ser introducido.
  • PEAP (Protected EAP), que en su lugar utiliza TLS para autenticar el punto de acceso y establecer un túnel cifrado en MS-CHAPv2 se utiliza para autenticar el suplicante con un nombre de usuario y contraseña. La ventaja de este método es que sólo el servidor RADIUS tiene que tener el certificado de servidor y la clave privada, mientras que el usuario utiliza la misma contraseña para autenticarse con Kerberos 5 en los servicios de la red.

Al parecer, con EAP-TLS, así como con PEAP, los puntos de acceso no prueban su identidad a la parte solicitante, ya que no se suministran con un certificado y la clave privada. En realidad este no es el caso, ya que la cuota de puntos de acceso en secreto con el radio que los hace de confianza para él. Esta confianza hace posible que un suplicante que confía en un radio (gracias a TLS) para la confianza también los puntos de acceso.

Además del protocolo 802.1x, en los puntos de acceso que gestionan múltiples SSID asignado en el etiquetado VLAN 802.1Q, Zeroshell apoya a la asociación en una VLAN particular basada en el nombre de usuario suministrado en la NC certificado si la autenticación EAP-TLS, en el nombre de usuario proporcionada por el solicitante en el caso de PEAP, en el usuario pertenece a un grupo para el que ha sido una VLAN asignada y en el cliente de dirección MAC, si los métodos anteriores no definen una VLAN.




    Copyright (C) 2005-2012 by Fulvio Ricciardi