Upload File

la_autenticación_ieee_802.ppt

31
La Autenticación IEEE 802.1X en conexiones inalámbricas

Upload: jorge-jhonnatan-merino-martinez

Post on 14-Sep-2015

212 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • La Autenticacin IEEE 802.1X en conexiones inalmbricas

  • Introduccin

    Puertos de acceso sin y con autenticacin

    El Protocolo de autenticacin extensible (EAP)

    El soporte de Windows para IEEE 802.1X TEMARIO

  • El estndar IEEE 802.1X define el control de acceso a redes basadas en puertos.

    Gracias a l se exige autenticacin antes de dar acceso a las redes Ethernet.

    En el control de acceso a redes basadas en puertos se utilizan los elementos fsicos que componen una infraestructura de conmutacin de la red LAN para autenticar los dispositivos agregados al puerto de conmutacin.Introduccin

  • No se pueden enviar ni recibir tramas en un Puerto de conmutacin Ethernet si el proceso de autenticacin ha fallado.

    A pesar de que se dise para redes Ethernet fijas, este estndar se ha adaptado para su uso en redes LAN inalmbricas con IEEE 802.11.

    Windows XP y superiores, soporta la autentificacin IEEE 802.1X para todos los adaptadores de red basados en redes LAN, incluyendo las Ethernet y las inalmbricas.

    Introduccin

  • El PAE

    El autenticador

    El Puerto solicitante

    El servidor de autenticacin

    El estndar IEEE 802.1X define los trminos siguientes:

  • El Puerto PAE (Port access entity), tambin denominado Puerto LAN, es una entidad lgica que soporta el protocolo IEEE 802.1X asociado con un puerto.

    Un Puerto LAN puede hacer las veces de autenticador, el solicitante o ambos.El PAE

  • Es un Puerto LAN que exige autenticacin antes de permitir el acceso a los Servicios que se suministran a travs de l.

    Para las conexiones inalmbricas, el autenticador es el Puerto lgico de LAN en un punto de acceso(AP) inalmbrico a travs del cual los clientes que trabajan con conexiones inalmbricas que operan con infraestructuras acceden a la red fija.El autenticador

  • El puerto solicitante es un Puerto de la LAN que solicita acceso a los servicios disponibles a travs del autenticador.

    En las conexiones inalmbricas, el demandante es el Puerto lgico de la LAN alojado en el adaptador de red LAN inalmbrica que solicita acceso a una red fija. Para ello se asocia y despus se autentifica con un autenticador.

    Independientemente de que se utilicen para conexiones inalmbricas o en redes Ethernet fijas, los puertos solicitante y de autenticacin estn conectados a travs de un segmento LAN punto a punto lgico y fsico.

    El Puerto solicitante

  • Para corroborar los credenciales del Puerto solicitante, el de autenticacin utiliza el servidor de autenticacin.

    Este servidor comprueba los credenciales del solicitante en nombre del Autenticador y despus le responde a ste indicndole si el solicitante tiene o no permiso para acceder a los Servicios que proporciona el Autenticador.El servidor de autenticacin

  • Hay dos tipos de servidor de autenticacin:Un componente del punto de acceso. Debe configurarse utilizando los credenciales de los clientes que intentan conectarse. Normalmente no se implementan utilizando puntos de acceso inalmbricos. Una entidad distinta. El punto de acceso reenva los credenciales de la conexin que ha intentado establecerse a un servidor de autenticacin distinto. Por lo general un punto de acceso inalmbrico utiliza el protocolo de autenticacin remota RADIUS (Remote Authentication Dial-In User Service) para enviar los parmetros de las conexiones que han intentado conectarse al servidor RADIUS.

    El servidor de autenticacin

  • El control de acceso basado en el autenticador define los siguientes tipos de puertos lgicos que acceden a la LAN conectada fsicamente a travs de un solo puerto LAN fijo:

    Puerto de acceso sin autenticacin

    Puerto de acceso con autenticacinPuertos de acceso sin y con autenticacin

  • El Puerto de acceso sin autenticacin hace posible el intercambio de datos entre el autenticador ( el AP inalmbrico) y otros dispositivos dentro de la red fija, independientemente de que se haya autorizado o no al cliente la utilizacin de la conexin inalmbrica. Un ejemplo ilustrativo es el intercambio de mensajes RADIUS entre un punto de acceso inalmbrico y un servidor RADIUS alojado en una red fija que ofrece autenticacin y autorizacin a las conexiones inalmbricas. Cuando un usuarios de una conexin enva una trama, el punto de acceso inalmbrico nunca la reenva a travs del puerto de acceso sin autenticacin. Puerto de acceso sin autenticacin

  • Gracias al Puerto de acceso con autenticacin se pueden intercambiar datos entre un usuario de una red inalmbrica y la red fsica pero slo si el usuario de la red inalmbrica ha sido autenticado. Antes de la autenticacin, el conmutador se abre y no se produce el reenvo entre el usuario de la conexin inalmbrica y el de la red fsica.Una vez que la identidad del usuario remoto se ha comprobado a travs de IEEE 802.1X, se cierra el conmutador y las tramas son reenviadas entre el usuario de la red inalmbrica y los nodos de la red con conexin fsica. Puerto de acceso con autenticacin

  • Relacin entre Puertos con y sin autenticacin

  • En el conmutador Ethernet de autenticacin, el usuarios de una red Ethernet puede enviar tramas Ethernet a una red tambin fija tan pronto como se haya finalizado el proceso de autenticacin.

    El conmutador identifica el trfico de un usuario de red Ethernet en particular utilizando para ello el Puerto fsico al que se conecta a ese usuario. Por lo general slo se conecta a un usuario de Ethernet a un Puerto fsico a travs de un conmutador Ethernet.

  • Debido a las reticencias de muchos clientes remotos ante la idea de consultar y enviar datos utilizando un nico canal, se ha tenido que ampliar el protocolo bsico. IEEE 802.1X. De esta forma un AP inalmbrico puede identificar si el trfico de un determinado cliente remoto es seguro.

    Esto es posible gracias al establecimiento por ambas partes , tanto del cliente remoto como del punto de acceso inalmbrico. de una clave nica y especifica para cada cliente Slo aquellos clientes remotos que hayan sido autenticados tienen una clave nica y especfica para cada sesin. Si la autenticacin no viene acompaada de una clave vlida, el punto de acceso inalmbrico rechaza las tramas que enva el cliente remoto sin autenticacin.

  • Para poder ofrecer un mecanismo de autenticacin estndar para IEEE 802.1X, IEEE escogi el protocolo de autenticacin extensible (EAP)

    EAP es un protocolo basado en la tecnologa de autenticacin del protocolo punto a punto (PPP)-que previamente se haba adaptado para su uso en segmentos de redes LAN punto a punto.El Protocolo de autenticacin extensible (EAP)

  • En un principio los mensajes EAP se definieron para ser enviados como la carga de las tramas PPP, de ah que el estndar IEEE 802.1X defina EAP sobre la red LAN (EAPOL).

    Este mtodo se utiliza para encapsular los mensajes EAP y as poder enviarlos ya sea a travs de segmentos de redes Ethernet o de redes LAN inalmbricas. El Protocolo de autenticacin extensible (EAP)

  • Para la autenticacin de conexiones inalmbricas; se utiliza el protocolo EAP Seguridad del nivel de transporte(EAP-TLS). El protocolo EAP-TLS se define en las peticiones de comentario RFC 2716 y se utiliza en entornos seguros y certificados.El intercambio de mensajes EAP-TLS ofrece una autenticacin mutua, unas transferencias cifradas totalmente protegidas y una determinacin conjunta para las claves de cifrado y firma entre el cliente remoto y el servidor de autenticacin (el servidor RADIUS).Una vez que se ha realizado la autenticacin y autorizacin correspondiente, el servidor RADIUS enva las claves de cifrado y firma al punto de acceso inalmbrico a travs de un mensaje de Acceso-aceptado de RADIUS.

  • En Windows XP y superiores, la autenticacin IEEE 802.1X junto al tipo de autentificacin EAP-TLS aparece por defecto en todos los adaptadores de red compatibles con redes LAN.

    Si se quiere configurar 802.1X en una PC con Windows XP tiene que utilizar la etiqueta Autenticacin en propiedades de una conexin de red LAN en Conexiones de red.El soporte de Windows XP para IEEE 802.1X

  • Etiqueta de Autenticacin.

  • Enable network access control using IEEE.802.1X (Activar el control de acceso a la red utilizando IEEE 802.1X) En este cuadro puede elegir entre utilizar IEEE 802.1X para autenticar la conexin o no. La opcin se activa por defecto.Una conexin LAN en Windows enva tres mensajes EAP-Start para hacer que el Autenticador (el conmutador Ethernet o el punto de acceso inalmbrico) empiece el proceso de autenticacin basndose en EAP. Si no se recibe un mensaje EAP de Peticin/Identidad significa que el Puerto no exige una autenticacin IEEE 802.1X y la conexin LAN enva trafico normal para configurar la capacidad de conexin de la red. Si por el contrario se recibe el mensaje esto significa que la autenticacin IEEE 802.1X se ha puesto en marcha.En esta etiqueta puede configurar:

  • Por lo tanto, si dejamos activada esta configuracin para una conexin LAN Ethernet cuando el conmutador Ethernet no soporta IEEE 802.1X no perjudicamos la capacidad de conexin de la red.

    Sin embargo si desactivamos esta configuracin cuando el conmutador Ethernet no exige una autenticacin IEEE 802.1X perjudicamos la capacidad de conexin de la red.

  • EAP type Con esta opcin seleccin utilizar la autenticacin IEEE 802.1X con el tipo EAP. En la lista de la biblioteca de enlaces dinmicos (DDL) se muestran los EAP instalados en la mquina. Los tipos EAP por defecto son MD-5 Challenge y Smart card and other certificate.Las Tarjetas inteligentes o certificados son paraEAP-TLS. Las etiquetas inteligentes y certificados EAP se seleccionan por defecto y son de uso obligado para acceder de forma segura a redes inalmbricas.

  • Propiedades haga clic para configurar las propiedades del tipo EAP que haya seleccionado. Las propiedades no estn disponibles para el tipo EAP MD-5 Challenge.

    Autenticate as computer when computer information is available Aqu se especifica si la mquina se intenta autenticar utilizando los credenciales del ordenado( tales como el certificado) sin que el usuario introduzca sus datos. Esta opcin est activada por defecto.

    Autenticate as guest when user or computer information is unvailble Aqu se especifica si la mquina se intenta autenticar como invitado. Se utiliza cuando los credenciales del usuario o del ordenador no estn disponibles. Esta opcin est desactivada por defecto.

  • Propiedades de etiquetas inteligentes u otros certificados (corresponden a EAP-TLS)

  • When connecting Para poder utilizar para la autenticacin un certificado de los del almacn de certificado de ordenador local o usuario actual seleccione Use a certificate on this computer (activado por defecto). Cuando hay varios certificados de usuario instalados, el usuario tiene que seleccionar uno en particular para la primera asociacin.se ser el que se utilice en el resto de las asociaciones que tengan lugar hasta que finalice esa sesin de Windows XP. Windows XP no soporta la utilizacin de etiquetas inteligentes como un medio seguro de autenticacin de conexiones remotas.Propiedades de etiquetas inteligentes u otros certificados (corresponden a EAP-TLS)

  • Validate server certificate Aqu se especifica si quiere validar o no el certificado del ordenador del servidor de autenticacin (por lo general un servidor RADIUS). Esta opcin est activada por defecto.

    Connect only if server name end with Aqu especifica si quiere seleccionar un texto determinado que deba coincidir con el final del nombre del certificado del ordenador donde est el servidor de autenticacin. Esta opcin est desactivada por defecto. En la mayor parte de las implementaciones, en las que se utiliza ms de un servidor RADIUS, puede escribir la parte del Sistema de nombres de dominio (DNS) comn a todos los servidores RADIUS. Por ejemplo si tiene dos servidores RADIUS con el nombre rad1.example.microsoft.com y rad2.example.microsoft.com respectivamente y luego escribe "example.microsoft.com". Si activa esta opcin y escribe un texto incorrecto, la autenticacin remota fallar.

  • Trusted root certificate authority. Gracias a esta opcin puede elegir la autoridad de certificacin (CA) raz del certificado del ordenador del servidor de autenticacin. La lista enumera los certificados CA raz que se encuentran almacenados en su Autoridades de certificacin raz de confianza. Por defecto no se selecciona ninguna CA raz. Si elige una CA incorrecta, durante la autenticacin tendr que aceptar (o rechazar) la CA raz del servidor de autenticacin. Cuando la acepte, la CA raz de confianza aparece como la CA raz del certificado del servidor de autenticacin.

  • Use a different user name for the connection Aqu especifica si para su autenticacin quiere utilizar un nombre de usuario diferente al que aparece en el certificado. Esta opcin est desactivada por defecto. Si se activa aparece un cuadro de dilogo para seleccionar el certificado de usuario incluso si slo se ha instalado un certificado. El certificado elegido ser el que se utilice hasta que finalice esa sesin. Ms Informacin en:http://technet.microsoft.com/es-ar/library/bb877992%28en-us%29.aspx

  • G R A C I A S !!


PPT Norma UNE-EN 14181.ppt

INVESTIGACION CUALITATIVA - PPT 1.ppt

PPT LEY 734 2002 COD. ÚNICO D..ppt

Ppt jornada 4 ppt

INFORME DE TESIS EN PPT[1].ppt

New CONTENTS · 2020. 7. 23. · PPT模板下载: 行业PPT模板: 节日PPT模板: PPT素材下载: PPT背景

PPT PEA 2.ppt

PPT DIRECTIVOS EDUCAN .ppt

Colegio Ágora ppt 2019 2020.ppt - ampacolegioagora.com

Sierra Nevada[1].Power Point.Ppt2.Ppt2.Ppt.2.Ppt.2.Ppt

musica ppt--phpapp01.ppt

PPT-Balance General 1.ppt

EXPOSICION NUEVO PRINCIPE-PPT (1).ppt

Presentacion ppt

Ppt Memoria 2010 Def Ppt

SMFPSTAENG119071612170 - Comunidad de Madrid€¦ · PPT 2.1.10 PPT 2.1.11 ppT 2.2 ppT 2.3 ppT 4.1 ppT 4.2 ppT 4.3 pp-r 4.4 PPT Anexo 3 Envío Datos Edición Impresión Conversión

Ppt educacion

Socialización ppt

184_gasteizko inauteriak ppt..ppt

Ppt radiolibre1

Ppt Nociones Inicial -21!7!2015.Ppt [Autoguardado]

Ppt configuracionelectronicadeloselementosquimicos

Ppt Proyecto

PPT PROMOCION PPT PRO PPT PROMOCION.pptx PPT PROMOCION.pptx PPT PROMOCION.pptx PPT PROMOCION.pptx PPT PROMOCION.pptxMOCION.pptx PPT PROMOCION.pptx PPT PROMOCION.pptx PPT PROMOCION.pptx

Papinotas ppt

Presentacion asma final.ppt1.ppt valen01.ppt martes.pp 01t

Ppt cualquiera

Presentación de PowerPointsaber.ucv.ve/bitstream/123456789/6103/4/UNIDAD 3b.pdf · Piruvato + PPT Hidroxietil-PPT + CO 2 2. Hidroxietil-PPT + Lip.oxidada PPT + acetil-lipoamida 3

PPT SEMANA 3.ppt

PPT 1 Medio Conflicto Árabe ppt

edad-moderna ppt 1.ppt

Ppt liderazgo

Ppt variables

PPt 3 Ecosistemas energia .ppt

Riesgo Electrico PPT resumen Seguridad V3.ppt