Asesor de seguridad en 5 minutos - Implementación de 802.1X con Windows XP 

Asesor de seguridad en 5 minutos (Índice general)

Índice:

• Resumen
• Funcionamiento de 802.1x
• Configuración de 802.1x en el cliente
• Implementación de 802.1x en redes pequeñas
• Implementación de 802.1x en grandes empresas

Resumen

En artículos anteriores del Asesor de seguridad se habló de los inconvenientes del cifrado y la autenticación en 802.11. El tema común de esos artículos era un poco deprimente: el protocolo de las redes WLAN 802.11 no es muy seguro y no se puede hacer mucho al respecto. Afortunadamente, IEEE (junto con Microsoft, Cisco y otros líderes del sector) se ha dado cuenta de los problemas de 802.11; el resultado es el estándar IEEE 802.1x, que ofrece un conjunto mucho más robusto de mecanismos de autenticación y seguridad para las redes LAN inalámbricas (WLAN) y las LAN tradicionales. 802.1x se puede implementar mediante una combinación de controladores de dominio de Windows 2000 o Windows Server 2003 y clientes de Windows XP.

[subir]
 

Funcionamiento de 802.1x

En 802.1x se implementan controles de acceso basados en puertos. En el caso de una red WLAN, un puerto sólo es una conexión entre un punto de acceso (PA) y una estación. Hay dos tipos de puertos en el ámbito de 802.1x: controlados y no controlados. Probablemente en su caso utilice un puerto no controlado: permite que el dispositivo conectado a él se comunique con cualquier otro dispositivo de red. En contraste, un puerto controlado limita las direcciones de red con las que el dispositivo conectado se puede comunicar. Seguramente ya sabe lo que esto significa: 802.1x permite que todos los clientes se conecten a puertos controlados, pero esos puertos sólo pasan tráfico a los servidores de autenticación. Una vez autenticado, el cliente tiene permiso para comenzar a utilizar el puerto no controlado. La magia de 802.1x consiste en que los puertos controlados y no controlados son entidades lógicas que pueden existir en el mismo puerto de red físico.

Con respecto a la autenticación, en 802.1x se definen además dos funciones para los dispositivos de red: un solicitante es un dispositivo (por ejemplo, un equipo portátil con una tarjeta 802.11b) que solicita acceso a los recursos de red. Un autenticador es un dispositivo que autentica solicitantes y decide si les concede acceso. Un punto de acceso inalámbrico puede ser un autenticador; sin embargo, es más flexible utilizar el protocolo estándar Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-In User Service), que está incluido en Windows 2000; con RADIUS, el PA acepta la solicitud de autenticación y actúa como un proxy para un servidor RADIUS, que autentica el usuario en Active Directory.

En 802.1x no se utiliza el protocolo de privacidad equivalente por cable (WEP, Wired Equivalent Privacy) para la autenticación; en su lugar se utiliza el Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) o su variante más reciente, EAP protegido (PEAP, Protected EAP). La principal ventaja de EAP y PEAP es que permiten elegir el método de autenticación. De manera predeterminada, en 802.1x se utiliza EAP-TLS (EAP-Transport Layer Security, EAP-Seguridad de nivel de transporte), con el que todo el intercambio protegido por EAP se protege con el protocolo TLS (directamente relacionado con el conocido protocolo SSL). El flujo general del proceso de autenticación se produce de la siguiente manera:

1. La estación inalámbrica intenta conectar al punto de acceso a través del puerto no controlado. (Como la estación no se ha autenticado todavía, no puede utilizar el puerto controlado). El PA emite, en texto sin formato, un desafío para la estación.
2. Como respuesta, la estación se identifica.
3. El PA reenvía el mensaje de identidad desde la estación al autenticador, mediante RADIUS, a través de la red LAN cableada.
4. El servidor RADIUS consulta la cuenta especificada para determinar qué tipo de credencial es necesaria (por ejemplo, puede que se haya configurado el servidor RADIUS para que sólo acepte certificados digitales). Dicha información se convierte en una solicitud de credenciales y se devuelve a la estación.
5. La estación envía sus credenciales a través del puerto no controlado del punto de acceso.
6. El servidor RADIUS valida las credenciales; si son correctas, se envía una clave de autenticación al PA. La clave se cifra de forma que sólo el PA pueda descifrarla.
7. El punto de acceso descifra la clave y la utiliza para crear una nueva clave específica de esa estación. Esta clave se envía a la estación, que la utiliza para cifrar la clave maestra de autenticación global de la estación.

A intervalos periódicos, el PA puede generar una nueva clave de autenticación maestra y enviarla a los clientes. De esta manera se resuelve satisfactoriamente el problema de 802.11 causado por tener una clave fija de larga duración susceptible de sufrir ataques de los intrusos de forma sencilla mediante la fuerza bruta.

[subir]
 

Configuración de 802.1x en el cliente

La configuración del cliente 802.1x que se incluye en Windows XP es sencilla; a continuación se describen los pasos básicos, pero está disponible una descripción más detallada si se requiere.

1. Abra la carpeta Conexiones de red, haga clic con el botón secundario del mouse (ratón) en la conexión en la que desea utilizar 802.1x y elija el comando Propiedades.
2. Cambie a la ficha Redes inalámbricas y, después, seleccione la conexión WLAN en la que desea utilizar 802.1x. Haga clic en el botón Configurar.
3. En el cuadro de diálogo de propiedades de la red inalámbrica, cambie a la ficha Autenticación.
4. Asegúrese de que la casilla de verificación “Habilitar el control de acceso a la red mediante IEEE 802.1X” está activada y, después, elija el tipo EAP correspondiente. En general, en las redes empresariales se utilizará EAP-TLS con tarjetas inteligentes o certificados almacenados de forma local, y en las redes pequeñas se utilizará PEAP (que se muestra como una opción sólo si se ha instalado Windows XP Service Pack 1).

[subir]
 

Implementación de 802.1x en redes pequeñas

Si tiene una red pequeña, puede que considere que todo esto de 802.1x es un galimatías. Lo cierto es que puede implementar 802.1x sin disponer de una infraestructura completa de claves públicas y sin que el esfuerzo sea excesivo. En este artículo se describe exactamente lo que debe hacer. En resumen, deberá configurar los clientes de Windows XP SP1 o posterior para que utilicen PEAP y, a continuación, configurar al menos un equipo que ejecute el Servicio de autenticación de Internet (IAS) de Windows, que proporciona conectividad RADIUS. Cada servicio IAS debe tener un certificado digital, ya sea emitido por usted mismo o adquirido en otras entidades emisoras de certificados (CA). Esto es todo; por supuesto, debe configurar IAS, pero eso es fácil.

[subir]
 

Implementación de 802.1x en grandes empresas

Si utiliza una red basada en Windows 2000 con al menos un controlador de dominio, puede configurar una infraestructura 802.1x más flexible y eficaz mediante la compatibilidad con directivas de acceso remoto de Active Directory y Windows 2000. El primer paso consiste en obtener certificados digitales para los clientes. Afortunadamente, puede obtenerlos de forma sencilla mediante la creación de una directiva de grupo que solicite automáticamente certificados de equipo para los equipos del dominio. Una vez hecho, puede implementar el resto de la infraestructura necesaria (incluido IAS), configurar los PA inalámbricos para utilizar RADIUS en la comunicación con los servidores IAS y despreocuparse, con la seguridad de saber que el tráfico WLAN está protegido correctamente.

[subir]
 

Última actualización de esta página: 11 de agosto de 2004