Regresar a la página de contenido
Codificación y autenticación WEP
Descripción de la codificación
Protección de la red
Tipos de autenticación
Autenticación 802.1x
¿Qué es RADIUS?
Acceso protegido Wi-Fi (WPA)
PEAP
LEAP de Cisco
La codificación de privacidad equivalente a cables (WEP) y la autenticación compartida brinda protección a los datos en una red. WEP utiliza una clave de codificación para codificar los datos antes de transmitirlos. Sólo los equipos que utilicen la misma clave de codificación pueden tener acceso a la red o descodificar los datos codificados transmitidos por otros equipos. La autenticación ofrece un proceso de validación adicional desde el punto de vista del adaptador.
Los esquemas de autenticación admitidos son la codificación con clave abierta y compartida:
Cuando está habilitada la codificación de datos (WEP, CKIP o TKIP), se utiliza una clave de red para la codificación. Se puede proporcionar automáticamente una clave de red para el usuario (por ejemplo, se puede proporcionar en el adaptador de red inalámbrico o el usuario puede escribirla y especificar la longitud (64 bits o 128 bits), el formato (caracteres ASCII o dígitos hexadecimales) y el índice (la ubicación de una clave específica). Cuanto más larga es la clave, más segura es ésta. Cada vez que se aumenta un bit a la longitud de la clave, el número de claves posibles se duplica. Bajo 802.11, se puede configurar una estación inalámbrica con un máximo de cuatro claves (los valores del índice de las claves son 1, 2, 3 y 4). Cuando un punto de acceso o una estación inalámbrica transmite un mensaje codificado mediante una clave almacenada en un índice de clave específico, el mensaje transmitido indica el índice de la clave que se utilizó para codificar el cuerpo del mensaje. El punto de acceso o estación inalámbrica receptora puede, a continuación, recuperar la clave que está en el índice de la clave y utilizarla para decodificar el cuerpo codificado del mensaje.
802.1x utilice dos tipos de claves de codificación estáticas y dinámicas. Las claves de codificación estáticas se cambian manualmente y son más vulnerables. La autenticación MD5 utiliza sólo claves de codificación estáticas. Las claves de codificación dinámicas se renuevan automáticamente de forma periódica. Esto hace que las claves sean más seguras. Para habilitar las claves de codificación dinámicas, debe utilizar los métodos de autenticación 802.1x basados en certificados, tales como TLS, TTLS o PEAP.
La seguridad de redes locales inalámbricas se puede complementar al habilitar la codificación de datos mediante WEP (Protocolo de codificación inalámbrico). Se puede elegir un nivel de codificación de 64 ó 128 bits. Además, los datos se pueden codificar a continuación con una clave. Otro parámetro, denominado índice de clave, ofrece la opción de crear varias claves para el perfil de que se trate. No obstante, sólo se puede usar una clave al mismo tiempo. También existe la opción de proteger el perfil mediante contraseña, para asegurar la privacidad. La frase de autenticación se utiliza para generar automáticamente una clave WEP. Existe la opción de o bien usar una frase de autenticación o bien introducir manualmente una clave WEP. Usando la codificación de 64 bits, la frase de autenticación consta de 5 caracteres, y se puede optar por o bien introducir una frase cualquiera que sea fácil de recordar, como por ejemplo Acme1, o bien introducir las 10 cifras hexadecimales de la clave WEP correspondiente a la red a la que desea conectarse el usuario. En la codificación de 128 bits, la frase de autenticación consta de 13 caracteres, o bien la otra opción es introducir las 26 cifras hexadecimales correspondientes a la clave WEP de la red a la que se desea conectar.
Nota: Debe utilizar el mismo tipo de codificación, número de índice de clave y clave WEP que los otros dispositivos en la red inalámbrica. Además, si se utiliza la autenticación 802.1x, debe inhabilitarse la codificación WEP.
El estándar IEEE 802.1x ofrece un marco general de autenticación para las redes locales 802 y especifica un protocolo de autenticación ampliable (EAP) que habilita el transporte en redes locales para varios tipos de protocolos de autenticación. Cuando un cliente WAN inicia una petición de autorización al punto de acceso, éste autentica el cliente en un servidor RADIUS compatible con el protocolo de autenticación ampliable (EAP). El servidor RADIUS puede autenticar ya sea usuarios (mediante contraseñas) ya sea equipos (mediante direcciones MAC). La autenticación 802.1x es independiente del proceso de autenticación de 802.11. El estándar 802.1x provee un marco de trabajo para la autenticación. Existen distintos tipos de autenticación 802.1x y cada uno ofrece un método distinto de autenticación que emplea el mismo protocolo y marco de trabajo para la comunicación entre un cliente y un punto de acceso. En la mayoría de los protocolos, al finalizar el proceso de autenticación 802.1x, el solicitante recibe una clave que utiliza para la codificación de datos.
Consulte Configuración del cliente para la autenticación WEP y MD5 si desea más detalles sobre la configuración de un perfil 802.1x.
Funciones de 802.1x Compatibilidad con el protocolo solicitante 802.1x Compatibilidad con el Protocolo de autenticación ampliable (EAP) - RFC 2284 Métodos de autenticación compatibles:
MD5 - RFC 2284 Protocolo de autenticación TLS EAP - RFC 2716 y RFC 2246 TLS de túnel EAP (TTLS) LEAP de Cisco PEAP Compatible con Windows XP, 2000 Notas sobre la autenticación 802.1x Los métodos de autenticación 802.1x incluyen contraseñas, certificados y tarjetas inteligentes (tarjetas plásticas que contienen datos) La opción de autenticación 802.1x sólo se puede utilizar con el modo de operación de infraestructura Los modos de autenticación de red son: EAP-TLS, EAP-TTLS, Desafío MD5, LEAP (sólo para el modo de extensiones de cliente de Cisco) y PEAP (sólo para los modos WPA) Descripción general
La autenticación 802.1x es independiente del proceso de autenticación de 802.11. El estándar 802.1x provee un marco para varios protocolos de autenticación y gestión de claves. Existen distintos tipos de autenticación 802.1x y cada uno ofrece un método distinto de autenticación pero todos emplean el mismo protocolo y marco 802.1x para la comunicación entre un cliente y un punto de acceso. En la mayoría de los protocolos, al finalizar el proceso de autenticación 802.1x, el solicitante recibe una clave que utiliza para la codificación de datos. Consulte 802.1x y la codificación de datos si desea más información. Con la autenticación 802.1x, se utiliza un método de autenticación entre el cliente y el servidor de Servicio de usuario para el acceso telefónico remoto (RADIUS) conectado al punto de acceso. El proceso de autenticación utiliza credenciales, tales como la contraseña del usuario, las cuales no se transmiten a través de la red inalámbrica. La mayoría de los tipos 802.1x son compatibles con las claves dinámicas para cada usuario y cada sesión, lo cual fortalece la seguridad de claves estáticas. 802.1x se beneficia del uso del protocolo de autenticación existente conocido como Protocolo de autenticación ampliable ligero (EAP). La autenticación 802.1x para redes locales inalámbricas tiene tres componentes principales: El autenticador (el punto de acceso), el solicitante (el software cliente) y el servidor de autenticación (un servidor de Servicio de usuario para el acceso telefónico remoto (RADIUS)). La seguridad de autenticación 802.1x inicia una solicitud de autorización desde el cliente WLAN al punto de acceso, el cual autentica al cliente en un servidor RADIUS compatible con el Protocolo de autenticación ampliable (EAP). El servidor RADIUS puede autenticar ya sea a los usuarios (mediante contraseñas o certificados) o a los equipos (mediante direcciones MAC). En teoría, un cliente inalámbrico puede unirse a las redes hasta que se complete la transacción. 802.1x utiliza distintos algoritmos de autenticación; Desafío MD5, EAP-TLS, EAP-TTLS, EAP protegido (PEAP) y el Protocolo de autenticación ampliable ligero inalámbrico EAP de Cisco (LEAP). Todos éstos son métodos que el cliente WLAN utiliza para identificarse a sí mismo ante el servidor RADIUS. Con la autenticación RADIUS, las identidades de los usuarios se verifican en las bases de datos. RADIUS constituye un conjunto de estándares que controlan la autenticación, la autorización y la contabilidad (AAA). Radius incluye un proceso proxy para validar los cliente en los entornos con varios servidores. El estándar IEEE 802.1x se utiliza para controlar y autenticar el acceso a redes inalámbricas 802.11 basadas en puerto y a redes Ethernet cableadas. El control del acceso a redes basadas en puerto es similar a una infraestructura de red de área local (LAN) conmutada que autentica los dispositivos que están conectados a un puerto LAN y previene el acceso a dicho puerto si falla el proceso de autenticación. Funcionamiento de la autenticación 802.1x La siguiente es una descripción simplificada de la autenticación 802.1x: RADIUS es el Servicio de usuario para el acceso telefónico remoto, un protocolo cliente servidor de autorización, autenticación y contabilidad (AAA) que se utiliza cuando un cliente de acceso telefónico AAA inicia o finaliza una sesión en un Servidor de acceso a redes. Por lo general, los Proveedores de servicios de Internet (ISP) utilizan servidores RADIUS para efectuar tareas AAA. A continuación se describen las fases AAA: Fase de autenticación: Verifica el nombre de usuario y la contraseña en una base de datos local. Después de verificar las credenciales, se inicia el proceso de autorización. Fase de autorización: Determina si se permitirá que una solicitud tenga acceso a un recurso. Se asigna una dirección IP al cliente de acceso telefónico. Fase de contabilidad: Recopila información sobre el uso de los recursos para el análisis de tendencias, la auditoría, el cobro del tiempo de las sesiones o la asignación de costes. El Acceso protegido Wi-Fi (WPA) es una mejora de la seguridad que aumenta considerablemente el nivel de protección de datos y el control del acceso a una WLAN. El modo WPA impone la autenticación y el intercambio de claves de 802.1x y funciona sólo con claves de codificación dinámicas. Para reforzar la codificación de datos, WPA utiliza el Protocolo de integridad de claves (TKIP). TKIP brinda importantes mejoras en la codificación de datos que incluyen una función de mezcla de claves por paquete, una verificación de integridad de mensajes (MIC) de nombre Michael, un vector de inicialización (IV) extendido con reglas de secuencia y un mecanismo de reintroducción de claves. Mediante estas mejoras, TKIP brinda protección frente a las flaquezas conocidas de WEP.
PEAP es un nuevo tipo de autenticación del Protocolo de autenticación ampliable (EAP) IEEE 802.1x diseñado para sacar provecho de la seguridad del nivel de transporte EAP (EAP-TLS) del lado del servidor y para admitir varios métodos de autenticación, los cuales incluyen las contraseñas de usuario, las contraseñas de un solo uso y las tarjetas de testigo genérico. LEAP de Cisco (EAP inalámbrico de Cisco) es una autenticación 802.1x de servidor a cliente que utiliza una contraseña de inicio de sesión proporcionada por el usuario. Cuando el punto de acceso inalámbrico se comunica con un RADIUS habilitado para LEAP de Cisco (servidor de control de acceso seguro de Cisco (ACS)), LEAP de Cisco ofrece el control del acceso a través de la autenticación mutua entre los adaptadores inalámbricos de los clientes y la red inalámbrica y brinda claves de codificación de usuario individuales y dinámicas para ayudar a proteger la privacidad de los datos transmitidos.
Función de seguridad Rogue AP de Cisco CKIP
El Protocolo de integridad de claves de Cisco (CKIP) es un protocolo de seguridad propiedad de Cisco para la codificación en medios 802.11. CKIP utiliza las funciones siguientes para mejorar la seguridad 802.11 en el modo de infraestructura:
Regresar a la página de contenido
Sírvase leer todas las restricciones y renuncias de responsabilidad.
Autenticación 802.1x
¿Qué es RADIUS?
Acceso protegido Wi-Fi* (WPA)
PEAP
LEAP de Cisco
La función Rogue AP de Cisco ofrece protección segura de la introducción de un punto de acceso pirata que pudiese imitar un punto de acceso legítimo en una red a fin de extraer información acerca de las credenciales de usuario y protocolos de autenticación, lo cual podría poner en peligro la seguridad. Esta función solo opera con la autenticación LEAP de Cisco. La tecnología 802.11 estándar no protege una red de la introducción de un punto de acceso pirata.