Protocolo IEEE 802
5
Protocolo IEEE 802.1X Entender lo que es el estándar IEEE 802.1X y por qué le debe importar significa entender tres conceptos distintos: PPP, EAP y 802.1X en sí mismo. PPP y EAP definidos La mayoría de la gente está familiarizada con el PPP - Point-to-Point Protocol. PPP es más comúnmente utilizado para el acceso a Internet dial-up. PPP también es utilizado por algunos proveedores de Internet para la autenticación DSL y de cable modem. El PPP es parte de Layer 2 Tunneling Protocol, una parte fundamental de la solución de seguridad de acceso remoto para Windows 2000 en adelante. PPP evolucionó más allá de su uso original como un método de acceso dial-up, y ahora se utiliza en todo el Internet. Una pieza de PPP define un mecanismo de autenticación. Con el acceso dial-up a Internet, es el nombre de usuario y la contraseña que está acostumbrado a usar. La autenticación PPP se utiliza para identificar al usuario en el otro extremo de la línea PPP antes de darle acceso. La mayoría de las empresas quieren hacer más por la seguridad que solo usar nombres de usuario y contraseñas para el acceso, por lo que se ha diseñado un nuevo protocolo de autenticación, llamado Extensible Authentication Protocol (EAP). EAP se encuentra dentro del protocolo de autenticación PPP, y proporciona un marco general para varios métodos de autenticación diferentes. Se supone que EAP está a la cabeza de los sistemas de autenticación propietarios y permite que las contraseñas, tokens y certificados públicos de infraestructura pública trabajen sin problemas. Con un estándar EAP, la interoperabilidad y la compatibilidad de los métodos de autenticación se hace más simple. Por ejemplo, al marcar a un servidor de acceso remoto y utilizar EAP como parte de su conexión PPP, RAS no necesita saber los detalles sobre su sistema de autenticación. Solo usted y el servidor de autenticación deben estar coordinados. Mediante el apoyo de la autenticación EAP un servidor RAS deja de actuar como intermediario, y solo los agrupa paquetes EAP para transferirlos a un servidor RADIUS que va a hacer la autenticación.
-
Upload
arles-agustin-taboada-sanchez -
Category
Documents
-
view
214 -
download
3
description
IEEE 802
Transcript of Protocolo IEEE 802
Protocolo IEEE 802.1X
Entender lo que es el estándar IEEE 802.1X y por qué le debe importar significa entender tres conceptos distintos: PPP, EAP y 802.1X en sí mismo.
PPP y EAP definidosLa mayoría de la gente está familiarizada con el PPP -Point-to-Point Protocol. PPP es más comúnmente utilizado para el acceso a Internet dial-up. PPP también es utilizado por algunos proveedores de Internet para la autenticación DSL y de cable modem. El PPP es parte de Layer 2 Tunneling Protocol, una parte fundamental de la solución de seguridad de acceso remoto para Windows 2000 en adelante.PPP evolucionó más allá de su uso original como un método de acceso dial-up, y ahora se utiliza en todo el Internet. Una pieza de PPP define un mecanismo de autenticación. Con el acceso dial-up a Internet, es el nombre de usuario y la contraseña que está acostumbrado a usar. La autenticación PPP se utiliza para identificar al usuario en el otro extremo de la línea PPP antes de darle acceso.La mayoría de las empresas quieren hacer más por la seguridad que solo usar nombres de usuario y contraseñas para el acceso, por lo que se ha diseñado un nuevo protocolo de autenticación, llamado Extensible Authentication Protocol (EAP). EAP se encuentra dentro del protocolo de autenticación PPP, y proporciona un marco general para varios métodos de autenticación diferentes. Se supone que EAP está a la cabeza de los sistemas de autenticación propietarios y permite que las contraseñas, tokens y certificados públicos de infraestructura pública trabajen sin problemas.Con un estándar EAP, la interoperabilidad y la compatibilidad de los métodos de autenticación se hace más simple. Por ejemplo, al marcar a un servidor de acceso remoto y utilizar EAP como parte de su conexión PPP, RAS no necesita saber los detalles sobre su sistema de autenticación. Solo usted y el servidor de autenticación deben estar coordinados. Mediante el apoyo de la autenticación EAP un servidor RAS deja de actuar como intermediario, y solo los agrupa paquetes EAP para transferirlos a un servidor RADIUS que va a hacer la autenticación.Esto nos lleva a la norma IEEE 802.1X, que es simplemente una norma para pasar EAP a través de una LAN cableada o inalámbrica. Con 802.1X, se empaqueta los mensajes EAP en tramas Ethernet y no utiliza PPP. Su autenticación y nada más. Eso es deseable en situaciones en las que el resto de los productos PPP no son necesarios, en las que está usando otros protocolos de TCP/IP, o donde la sobrecarga y la complejidad de la utilización de productos PPP no son deseables.802.1X utiliza tres términos que necesita saber. El usuario o cliente que desea ser autenticado se llama suplicante. El servidor que hace la autenticación, por lo general un servidor RADIUS, se llama el servidor de autenticación. Y el dispositivo en el medio, tal como un punto de acceso inalámbrico, se llama el autenticador. Uno de los puntos claves de 802.1X es que el autenticador puede ser simple y tonto -todos los cerebros tienen que estar en el suplicante y el servidor de autenticación. Esto hace que 802.1X sea ideal para puntos de acceso inalámbricos, los que por lo general suelen ser pequeños y tienen poca memoria y potencia de procesamiento.El protocolo en 802.1X es llamado encapsulación de EAP sobre LAN (EAPOL). En la actualidad está definido para redes LAN tipo Ethernet incluyendo redes
inalámbricas 802.11, así como redes Token Ring tales como FDDI. EAPOL no es particularmente sofisticado. Hay una serie de modos de operación, pero el caso más común sería algo como esto:1. El autenticador envía un paquete "de solicitud/identidad EAP (Request/Identity)" para el suplicante tan pronto como detecta que el enlace está activo (por ejemplo, el sistema solicitante se ha asociado con el punto de acceso).2. El solicitante envía un paquete "de respuesta/identidad EAP (Response/Identity)" para el identificador, que luego se pasa al servidor de autenticación (RADIUS).3. El servidor de autenticación envía un desafío al autenticador, como por ejemplo un sistema de contraseña token. El autenticador descomprime esto de IP y reorganiza en EAPOL y lo envía al suplicante. Diferentes métodos de autenticación variarán este mensaje y el número total de mensajes. EAP soporta la autenticación solo del cliente y la autenticación mutua fuerte. Solo una fuerte autenticación mutua se considera apropiada para el caso de redes inalámbricas.4. El solicitante responde al desafío a través de la autentificación y pasa la respuesta al servidor de autenticación.5. Si el solicitante proporciona identidad propia, el servidor de autenticación responde con un mensaje de éxito, que luego se pasa al suplicante. El autenticador permite ahora el acceso a la LAN -posiblemente restringida según los atributos que vienen desde el servidor de autenticación. Por ejemplo, el autenticador puede cambiar el solicitante a una red LAN virtual o instalar un conjunto de reglas de firewall.¿Cómo ayudar a la seguridad inalámbrica 802.1X?El protocolo Wired Equivalent Privacy (WEP), se ha desacreditado hasta tal punto que su autenticación y cifrado no se consideran suficientes para su uso en las redes empresariales. En respuesta al fiasco de WEP, muchos proveedores inalámbricos de LAN se han enganchado en el estándar 802.1X IEEE para ayudar a autenticar y asegurar la LAN inalámbrica y cableada. El comodín con el protocolo 802.1x es la interoperabilidad.La autenticación 802.1X ayuda a mitigar muchos de los riesgos involucrados en el uso de WEP. Por ejemplo, uno de los mayores problemas con WEP es la larga vida de las claves y el hecho de que son compartidas entre muchos usuarios y son bien conocidas. Con 802.1X, cada estación puede tener una clave única para cada sesión de WEP. El autenticador (punto de acceso inalámbrico) también podría optar por cambiar la clave WEP con mucha frecuencia, como por ejemplo una vez cada 10 minutos o cada mil marcos. 802.1X no garantiza una mayor seguridad. Por ejemplo, un autenticador no puede cambiar la clave que le da a cada solicitante. O bien, el administrador de red puede seleccionar un método de autenticación que no permite la distribución de claves WEP. Sin embargo, 802.1X le da al administrador de red informado la posibilidad de diseñar e implementar una mayor seguridad de WLAN.
IEEE 802.1s
Multiple Spanning Tree Protocol(MSTP) se definió originalmente en IEEE 802.1s y más tarde se fusionó con el estándar 802.1 Q en 2003.
MSTP extiende el algoritmo de RSTP a múltiples arboles de expansión y permite lograr rápida convergencia y balanceo de carga en presencia de VLANS.
Ventajas
Mejora la utilización de la infraestructura, distribución de tráfico.
Se consigue una mejor resistencia a fallos por la multiplicidad de árboles construidos.
Observaciones
La configuración de MSTP se realiza de switch a switch, a menos que se utilice VTP versión 3 que permite la propagación de la información de MST.
![802.11 Parte I [Modo de compatibilidad]clusterfie.epn.edu.ec/ibernal/html/cursos/sep07feb08/cominalam/... · Revisión de IEEE 802 • En términos del modelo OSI, los protocolos](https://static.fdocumento.com/doc/165x107/5c5fe25509d3f2631d8b459d/80211-parte-i-modo-de-compatibilidad-revision-de-ieee-802-en-terminos.jpg)