La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

La Autenticación IEEE 802.1X en conexiones inalámbricas.

Publicada porÁngela Blázquez Segura Modificado hace 8 años

Presentaciones similares

Presentación del tema: "La Autenticación IEEE 802.1X en conexiones inalámbricas."— Transcripción de la presentación:

1 La Autenticación IEEE 802.1X en conexiones inalámbricas

2 Introducción Puertos de acceso sin y con autenticación El Protocolo de autenticación extensible (EAP) El soporte de Windows para IEEE 802.1X TEMARIO

3 El estándar IEEE 802.1X define el control de acceso a redes basadas en puertos. Gracias a él se exige autenticación antes de dar acceso a las redes Ethernet. En el control de acceso a redes basadas en puertos se utilizan los elementos físicos que componen una infraestructura de conmutación de la red LAN para autenticar los dispositivos agregados al puerto de conmutación. Introducción

4 No se pueden enviar ni recibir tramas en un Puerto de conmutación Ethernet si el proceso de autenticación ha fallado. A pesar de que se diseñó para redes Ethernet fijas, este estándar se ha adaptado para su uso en redes LAN inalámbricas con IEEE 802.11. Windows XP y superiores, soporta la autentificación IEEE 802.1X para todos los adaptadores de red basados en redes LAN, incluyendo las Ethernet y las inalámbricas. Introducción

5 El PAE El autenticador El Puerto solicitante El servidor de autenticación El estándar IEEE 802.1X define los términos siguientes:

6 El Puerto PAE (Port access entity), también denominado Puerto LAN, es una entidad lógica que soporta el protocolo IEEE 802.1X asociado con un puerto. Un Puerto LAN puede hacer las veces de autenticador, el solicitante o ambos. El PAE

7 Es un Puerto LAN que exige autenticación antes de permitir el acceso a los Servicios que se suministran a través de él. Para las conexiones inalámbricas, el autenticador es el Puerto lógico de LAN en un punto de acceso(AP) inalámbrico a través del cual los clientes que trabajan con conexiones inalámbricas que operan con infraestructuras acceden a la red fija. El autenticador

8 El puerto solicitante es un Puerto de la LAN que solicita acceso a los servicios disponibles a través del autenticador. En las conexiones inalámbricas, el demandante es el Puerto lógico de la LAN alojado en el adaptador de red LAN inalámbrica que solicita acceso a una red fija. Para ello se asocia y después se autentifica con un autenticador. Independientemente de que se utilicen para conexiones inalámbricas o en redes Ethernet fijas, los puertos solicitante y de autenticación están conectados a través de un segmento LAN punto a punto lógico y físico. El Puerto solicitante

9 Para corroborar los credenciales del Puerto solicitante, el de autenticación utiliza el servidor de autenticación. Este servidor comprueba los credenciales del solicitante en nombre del Autenticador y después le responde a éste indicándole si el solicitante tiene o no permiso para acceder a los Servicios que proporciona el Autenticador. El servidor de autenticación

10 Hay dos tipos de servidor de autenticación: –Un componente del punto de acceso. Debe configurarse utilizando los credenciales de los clientes que intentan conectarse. Normalmente no se implementan utilizando puntos de acceso inalámbricos. –Una entidad distinta. El punto de acceso reenvía los credenciales de la conexión que ha intentado establecerse a un servidor de autenticación distinto. Por lo general un punto de acceso inalámbrico utiliza el protocolo de autenticación remota RADIUS (Remote Authentication Dial-In User Service) para enviar los parámetros de las conexiones que han intentado conectarse al servidor RADIUS. El servidor de autenticación

11 El control de acceso basado en el autenticador define los siguientes tipos de puertos lógicos que acceden a la LAN conectada físicamente a través de un solo puerto LAN fijo: –Puerto de acceso sin autenticación –Puerto de acceso con autenticación Puertos de acceso sin y con autenticación

12 El Puerto de acceso sin autenticación hace posible el intercambio de datos entre el autenticador ( el AP inalámbrico) y otros dispositivos dentro de la red fija, independientemente de que se haya autorizado o no al cliente la utilización de la conexión inalámbrica. Un ejemplo ilustrativo es el intercambio de mensajes RADIUS entre un punto de acceso inalámbrico y un servidor RADIUS alojado en una red fija que ofrece autenticación y autorización a las conexiones inalámbricas. Cuando un usuarios de una conexión envía una trama, el punto de acceso inalámbrico nunca la reenvía a través del puerto de acceso sin autenticación. Puerto de acceso sin autenticación

13 Gracias al Puerto de acceso con autenticación se pueden intercambiar datos entre un usuario de una red inalámbrica y la red física pero sólo si el usuario de la red inalámbrica ha sido autenticado. Antes de la autenticación, el conmutador se abre y no se produce el reenvío entre el usuario de la conexión inalámbrica y el de la red física. Una vez que la identidad del usuario remoto se ha comprobado a través de IEEE 802.1X, se cierra el conmutador y las tramas son reenviadas entre el usuario de la red inalámbrica y los nodos de la red con conexión física. Puerto de acceso con autenticación

14 Relación entre Puertos con y sin autenticación

15 En el conmutador Ethernet de autenticación, el usuarios de una red Ethernet puede enviar tramas Ethernet a una red también fija tan pronto como se haya finalizado el proceso de autenticación. El conmutador identifica el tráfico de un usuario de red Ethernet en particular utilizando para ello el Puerto físico al que se conecta a ese usuario. Por lo general sólo se conecta a un usuario de Ethernet a un Puerto físico a través de un conmutador Ethernet.

16 Debido a las reticencias de muchos clientes remotos ante la idea de consultar y enviar datos utilizando un único canal, se ha tenido que ampliar el protocolo básico. IEEE 802.1X. De esta forma un AP inalámbrico puede identificar si el tráfico de un determinado cliente remoto es seguro. Esto es posible gracias al establecimiento por ambas partes, tanto del cliente remoto como del punto de acceso inalámbrico. de una clave única y especifica para cada cliente Sólo aquellos clientes remotos que hayan sido autenticados tienen una clave única y específica para cada sesión. Si la autenticación no viene acompañada de una clave válida, el punto de acceso inalámbrico rechaza las tramas que envía el cliente remoto sin autenticación.

17 Para poder ofrecer un mecanismo de autenticación estándar para IEEE 802.1X, IEEE escogió el protocolo de autenticación extensible (EAP) EAP es un protocolo basado en la tecnología de autenticación del protocolo punto a punto (PPP)- que previamente se había adaptado para su uso en segmentos de redes LAN punto a punto. El Protocolo de autenticación extensible (EAP)

18 En un principio los mensajes EAP se definieron para ser enviados como la carga de las tramas PPP, de ahí que el estándar IEEE 802.1X defina EAP sobre la red LAN (EAPOL). Este método se utiliza para encapsular los mensajes EAP y así poder enviarlos ya sea a través de segmentos de redes Ethernet o de redes LAN inalámbricas. El Protocolo de autenticación extensible (EAP)

19 Para la autenticación de conexiones inalámbricas; se utiliza el protocolo EAP Seguridad del nivel de transporte(EAP-TLS). El protocolo EAP-TLS se define en las peticiones de comentario RFC 2716 y se utiliza en entornos seguros y certificados. El intercambio de mensajes EAP-TLS ofrece una autenticación mutua, unas transferencias cifradas totalmente protegidas y una determinación conjunta para las claves de cifrado y firma entre el cliente remoto y el servidor de autenticación (el servidor RADIUS). Una vez que se ha realizado la autenticación y autorización correspondiente, el servidor RADIUS envía las claves de cifrado y firma al punto de acceso inalámbrico a través de un mensaje de Acceso-aceptado de RADIUS.

20 En Windows XP y superiores, la autenticación IEEE 802.1X junto al tipo de autentificación EAP-TLS aparece por defecto en todos los adaptadores de red compatibles con redes LAN. Si se quiere configurar 802.1X en una PC con Windows XP tiene que utilizar la etiqueta Autenticación en propiedades de una conexión de red LAN en Conexiones de red. El soporte de Windows XP para IEEE 802.1X

21 Etiqueta de Autenticación.

22 Enable network access control using IEEE.802.1X (Activar el control de acceso a la red utilizando IEEE 802.1X) En este cuadro puede elegir entre utilizar IEEE 802.1X para autenticar la conexión o no. La opción se activa por defecto. Una conexión LAN en Windows envía tres mensajes EAP-Start para hacer que el Autenticador (el conmutador Ethernet o el punto de acceso inalámbrico) empiece el proceso de autenticación basándose en EAP. Si no se recibe un mensaje EAP de Petición/Identidad significa que el Puerto no exige una autenticación IEEE 802.1X y la conexión LAN envía trafico normal para configurar la capacidad de conexión de la red. Si por el contrario se recibe el mensaje esto significa que la autenticación IEEE 802.1X se ha puesto en marcha. En esta etiqueta puede configurar:

23 Por lo tanto, si dejamos activada esta configuración para una conexión LAN Ethernet cuando el conmutador Ethernet no soporta IEEE 802.1X no perjudicamos la capacidad de conexión de la red. Sin embargo si desactivamos esta configuración cuando el conmutador Ethernet no exige una autenticación IEEE 802.1X perjudicamos la capacidad de conexión de la red.

24 EAP type Con esta opción selección utilizar la autenticación IEEE 802.1X con el tipo EAP. En la lista de la biblioteca de enlaces dinámicos (DDL) se muestran los EAP instalados en la máquina. Los tipos EAP por defecto son MD-5 Challenge y Smart card and other certificate. Las Tarjetas inteligentes o certificados son para EAP-TLS. Las etiquetas inteligentes y certificados EAP se seleccionan por defecto y son de uso obligado para acceder de forma segura a redes inalámbricas.

25 Propiedades haga clic para configurar las propiedades del tipo EAP que haya seleccionado. Las propiedades no están disponibles para el tipo EAP MD-5 Challenge. Autenticate as computer when computer information is available Aquí se especifica si la máquina se intenta autenticar utilizando los credenciales del ordenado( tales como el certificado) sin que el usuario introduzca sus datos. Esta opción está activada por defecto. Autenticate as guest when user or computer information is unvailble Aquí se especifica si la máquina se intenta autenticar como invitado. Se utiliza cuando los credenciales del usuario o del ordenador no están disponibles. Esta opción está desactivada por defecto.

26 Propiedades de etiquetas inteligentes u otros certificados (corresponden a EAP-TLS)

27 When connecting Para poder utilizar para la autenticación un certificado de los del almacén de certificado de ordenador local o usuario actual seleccione Use a certificate on this computer (activado por defecto). Cuando hay varios certificados de usuario instalados, el usuario tiene que seleccionar uno en particular para la primera asociación. Ése será el que se utilice en el resto de las asociaciones que tengan lugar hasta que finalice esa sesión de Windows XP. Windows XP no soporta la utilización de etiquetas inteligentes como un medio seguro de autenticación de conexiones remotas. Propiedades de etiquetas inteligentes u otros certificados (corresponden a EAP-TLS)

28 Validate server certificate Aquí se especifica si quiere validar o no el certificado del ordenador del servidor de autenticación (por lo general un servidor RADIUS). Esta opción está activada por defecto. Connect only if server name end with Aquí especifica si quiere seleccionar un texto determinado que deba coincidir con el final del nombre del certificado del ordenador donde está el servidor de autenticación. Esta opción está desactivada por defecto. En la mayor parte de las implementaciones, en las que se utiliza más de un servidor RADIUS, puede escribir la parte del Sistema de nombres de dominio (DNS) común a todos los servidores RADIUS. Por ejemplo si tiene dos servidores RADIUS con el nombre rad1.example.microsoft.com y rad2.example.microsoft.com respectivamente y luego escribe "example.microsoft.com". Si activa esta opción y escribe un texto incorrecto, la autenticación remota fallará.

29 Trusted root certificate authority. Gracias a esta opción puede elegir la autoridad de certificación (CA) raíz del certificado del ordenador del servidor de autenticación. La lista enumera los certificados CA raíz que se encuentran almacenados en su Autoridades de certificación raíz de confianza. Por defecto no se selecciona ninguna CA raíz. Si elige una CA incorrecta, durante la autenticación tendrá que aceptar (o rechazar) la CA raíz del servidor de autenticación. Cuando la acepte, la CA raíz de confianza aparece como la CA raíz del certificado del servidor de autenticación.

30 Use a different user name for the connection Aquí especifica si para su autenticación quiere utilizar un nombre de usuario diferente al que aparece en el certificado. Esta opción está desactivada por defecto. Si se activa aparece un cuadro de diálogo para seleccionar el certificado de usuario incluso si sólo se ha instalado un certificado. El certificado elegido será el que se utilice hasta que finalice esa sesión. Más Información en: –http://technet.microsoft.com/es-ar/library/bb877992%28en- us%29.aspxhttp://technet.microsoft.com/es-ar/library/bb877992%28en- us%29.aspx

31 G R A C I A S !!

Descargar ppt "La Autenticación IEEE 802.1X en conexiones inalámbricas."

Presentaciones similares

METODOS DE AUTENTICACIÓN

METODOS DE AUTENTICACIÓN
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Que es y su funcionamiento básico

Que es y su funcionamiento básico
PROTOCOLO SEGURO HTTPS

PROTOCOLO SEGURO HTTPS
INFRAESTRUCTURA DE CLAVE PÚBLICA

INFRAESTRUCTURA DE CLAVE PÚBLICA
Bienvenido a Marangatu'i, Módulo del Contribuyente de la SET!

Bienvenido a Marangatu'i, Módulo del Contribuyente de la SET!
DIRECT ACCESS.

DIRECT ACCESS.
SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher

SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher
Seguridad en la Red WIFI

Seguridad en la Red WIFI
ARP Y RARP.

ARP Y RARP.
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.

PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Seguridad del protocolo HTTP

Seguridad del protocolo HTTP
Como Instalar Un Router Inalámbrico

Como Instalar Un Router Inalámbrico
Guía de cómo Instalar Una Interfase USB Inalámbrica Guía paso a paso para instalar una interface 2418 negra y/o blanca.

Guía de cómo Instalar Una Interfase USB Inalámbrica Guía paso a paso para instalar una interface 2418 negra y/o blanca.
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.

Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
Implementación y administración de DHCP

Implementación y administración de DHCP
Servicios de las Redes Por: Karen Caraballo Álvarez Marisol Sánchez Márquez Educ. 676 Prof. Carmen Robles Sánchez (Ed, D (c) )

Servicios de las Redes Por: Karen Caraballo Álvarez Marisol Sánchez Márquez Educ. 676 Prof. Carmen Robles Sánchez (Ed, D (c) )
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.

HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
Ing. Karen Torrealba de Oblitas

Ing. Karen Torrealba de Oblitas
Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.

Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.

Presentaciones similares

Anuncios Google