Regresar a la página de contenido
Descripción de la codificación
Codificación y autenticación WEP
Autenticación 802.1x
¿Qué es RADIUS?
Acceso protegido Wi-Fi (WPA)
PEAP
LEAP de Cisco
La seguridad de la WLAN se puede complementar habilitando la codificación de datos mediante WEP (Protocolo de codificación inalámbrico). Se puede elegir un nivel de codificación de 64 ó 128 bits. Además, los datos se pueden codificar a continuación con una clave. Otro parámetro, denominado índice de clave, ofrece la opción de crear varias claves para el perfil de que se trate. No obstante, sólo se puede usar una clave al mismo tiempo. También puede elegir la protección con contraseña de un perfil de Intel(R) PROSet para redes inalámbricas a fin de garantizar la privacidad. La frase de autenticación se utiliza para generar automáticamente una clave WEP. Existe la opción de o bien usar una frase de autenticación o bien introducir manualmente una clave WEP. Usando la codificación de 64 bits, la frase de autenticación consta de 5 caracteres, y se puede optar por o bien introducir una frase cualquiera que sea fácil de recordar, como por ejemplo Acme1, o bien introducir las 10 cifras hexadecimales de la clave WEP correspondiente a la red a la que desea conectarse el usuario. En la codificación de 128 bits, la frase de autenticación consta de 13 caracteres, o bien la otra opción es introducir las 26 cifras hexadecimales correspondientes a la clave WEP de la red a la que se desea conectar.
La codificación y autenticación compartida de la privacidad equivalente a cables (WEP) brinda protección a los datos en una red. WEP utiliza una clave de codificación para codificar los datos antes de transmitirlos. Sólo los equipos que utilicen la misma clave de codificación pueden tener acceso a la red o descodificar los datos codificados transmitidos por otros equipos. La autenticación ofrece un proceso de validación adicional desde el adaptador hasta el punto de acceso.
Los métodos de autenticación soportados son la autenticación Abierta y la autenticación de Clave compartida:
Cuando está habilitada la codificación de datos (WEP, CKIP o TKIP), se utiliza una clave de red para la codificación. Se puede proporcionar automáticamente una clave de red para el usuario (por ejemplo, se puede proporcionar en el adaptador de red inalámbrico o el usuario puede escribirla y especificar la longitud (64 bits o 128 bits), el formato (caracteres ASCII o dígitos hexadecimales) y el índice (la ubicación de una clave específica). Cuanto más larga es la clave, más segura es ésta. Cada vez que se aumenta un bit a la longitud de la clave, el número de claves posibles se duplica. Bajo 802.11, se puede configurar una estación inalámbrica con un máximo de cuatro claves (los valores del índice de las claves son 1, 2, 3 y 4). Cuando un punto de acceso o una estación inalámbrica transmite un mensaje codificado mediante una clave almacenada en un índice de clave específico, el mensaje transmitido indica el índice de la clave que se utilizó para codificar el cuerpo del mensaje. El punto de acceso o estación inalámbrica receptora puede, a continuación, recuperar la clave que está en el índice de la clave y utilizarla para decodificar el cuerpo codificado del mensaje.
802.1x utilice dos tipos de claves de codificación estáticas y dinámicas. Las claves de codificación estáticas se cambian manualmente y son más vulnerables. La autenticación MD5 utiliza sólo claves de codificación estáticas. Las claves de codificación dinámicas se renuevan automáticamente de forma periódica. Esto hace que las claves sean más seguras. Para habilitar las claves de codificación dinámicas, debe utilizar los métodos de autenticación 802.1x basados en certificados, tales como TLS, TTLS o PEAP.
Funciones de 802.1x
Compatibilidad con el protocolo solicitante 802.1x
Compatibilidad con el Protocolo de autenticación ampliable (EAP) - RFC 2284
Métodos de autenticación compatibles:
MD5 - RFC 2284
Protocolo de autenticación TLS EAP - RFC 2716 y RFC 2246
TLS de túnel EAP (TTLS)
LEAP de Cisco
PEAP
Compatible con Windows XP, 2000
Notas sobre la autenticación 802.1x
Los métodos de autenticación 802.1x incluyen contraseñas, certificados y tarjetas inteligentes (tarjetas plásticas que contienen datos)
La opción de autenticación 802.1x sólo se puede utilizar con el modo de operación de infraestructura
Los modos de autenticación de red son: EAP-TLS, EAP-TTLS, Desafío MD5, LEAP (sólo para el modo de extensiones de cliente de Cisco) y PEAP (sólo para los modos WPA)
Descripción general
La autenticación 802.1x es independiente del proceso de autenticación de 802.11. El estándar 802.1x provee un marco para varios protocolos de autenticación y gestión de claves. Existen distintos tipos de autenticación 802.1x y cada uno ofrece un método distinto de autenticación pero todos emplean el mismo protocolo y marco 802.1x para la comunicación entre un cliente y un punto de acceso. En la mayoría de los protocolos, al finalizar el proceso de autenticación 802.1x, el solicitante recibe una clave que utiliza para la codificación de datos.
Con la autenticación 802.1x, se utiliza un método de autenticación entre el cliente y el servidor de Servicio de usuario para el acceso telefónico remoto (RADIUS) conectado al punto de acceso. El proceso de autenticación utiliza credenciales, tales como la contraseña del usuario, las cuales no se transmiten a través de la red inalámbrica. La mayoría de los tipos 802.1x son compatibles con las claves dinámicas para cada usuario y cada sesión, lo cual fortalece la seguridad de claves estáticas. 802.1x se beneficia del uso del protocolo de autenticación existente conocido como Protocolo de autenticación ampliable ligero (EAP). La autenticación 802.1x para redes locales inalámbricas tiene tres componentes principales: El autenticador (el punto de acceso), el solicitante (el software cliente) y el servidor de autenticación (un servidor de Servicio de usuario para el acceso telefónico remoto (RADIUS)). La seguridad de autenticación 802.1x inicia una solicitud de autorización desde el cliente WLAN al punto de acceso, el cual autentica al cliente en un servidor RADIUS compatible con el Protocolo de autenticación ampliable (EAP). El servidor RADIUS puede autenticar ya sea a los usuarios (mediante contraseñas o certificados) o a los equipos (mediante direcciones MAC). En teoría, un cliente inalámbrico puede unirse a las redes hasta que se complete la transacción. 802.1x utiliza distintos algoritmos de autenticación; Desafío MD5, EAP-TLS, EAP-TTLS, EAP protegido (PEAP) y el Protocolo de autenticación ampliable ligero inalámbrico EAP de Cisco (LEAP). Todos éstos son métodos que el cliente WLAN utiliza para identificarse a sí mismo ante el servidor RADIUS. Con la autenticación RADIUS, las identidades de los usuarios se verifican en las bases de datos. RADIUS constituye un conjunto de estándares que controlan la autenticación, la autorización y la contabilidad (AAA). Radius incluye un proceso proxy para validar los cliente en los entornos con varios servidores. El estándar IEEE 802.1x se utiliza para controlar y autenticar el acceso a redes inalámbricas 802.11 basadas en puerto y a redes Ethernet cableadas. El control del acceso a redes basadas en puerto es similar a una infraestructura de red de área local (LAN) conmutada que autentica los dispositivos que están conectados a un puerto LAN y previene el acceso a dicho puerto si falla el proceso de autenticación.
Funcionamiento de la autenticación 802.1x
La siguiente es una descripción simplificada de la autenticación 802.1x:
Consulte Configuración del cliente para la autenticación WEP y MD5 para más detalles sobre la configuración de un perfil 802.1x mediante la utilidad Intel(R) PROSet para redes inalámbricas.
RADIUS es el Servicio de usuario para el acceso telefónico remoto, un protocolo cliente servidor de autorización, autenticación y contabilidad (AAA) que se utiliza cuando un cliente de acceso telefónico AAA inicia o finaliza una sesión en un Servidor de acceso a redes. Por lo general, los Proveedores de servicios de Internet (ISP) utilizan servidores RADIUS para efectuar tareas AAA. A continuación se describen las fases AAA:
Fase de autenticación: Verifica el nombre de usuario y la contraseña en una base de datos local. Después de verificar las credenciales, se inicia el proceso de autorización.
Fase de autorización: Determina si se permitirá que una solicitud tenga acceso a un recurso. Se asigna una dirección IP al cliente de acceso telefónico.
Fase de contabilidad: Recopila información sobre el uso de los recursos para el análisis de tendencias, la auditoría, el cobro del tiempo de las sesiones o la asignación de costes.
El Acceso protegido Wi-Fi (WPA) es una mejora de la seguridad que aumenta considerablemente el nivel de protección de datos y el control del acceso a una WLAN. El modo WPA impone la autenticación y el intercambio de claves de 802.1x y funciona sólo con claves de codificación dinámicas. Para reforzar la codificación de datos, WPA utiliza el Protocolo de integridad de claves (TKIP). TKIP brinda importantes mejoras en la codificación de datos que incluyen una función de mezcla de claves por paquete, una verificación de integridad de mensajes (MIC) de nombre "Michael", un vector de inicialización (IV) extendido con reglas de secuencia y un mecanismo de reintroducción de claves. Mediante estas mejoras, TKIP brinda protección para las flaquezas conocidas de WEP.
PEAP es un nuevo tipo de autenticación del Protocolo de autenticación ampliable (EAP) IEEE 802.1x diseñado para sacar provecho de la seguridad del nivel de transporte EAP (EAP-TLS) del lado del servidor y para admitir varios métodos de autenticación, los cuales incluyen las contraseñas de usuario, las contraseñas de un solo uso y las tarjetas de testigo genérico.
LEAP de Cisco (EAP inalámbrico de Cisco) es una autenticación 802.1x de servidor a cliente que utiliza una contraseña de inicio de sesión proporcionada por el usuario. Cuando el punto de acceso inalámbrico se comunica con un RADIUS habilitado para LEAP de Cisco (servidor de control de acceso seguro de Cisco (ACS)), LEAP de Cisco ofrece el control del acceso a través de la autenticación mutua entre los adaptadores inalámbricos de los clientes y la red inalámbrica y brinda claves de codificación de usuario individuales y dinámicas para ayudar a proteger la privacidad de los datos transmitidos.
Función de seguridad Rogue AP de Cisco
La función Rogue AP de Cisco ofrece protección segura de la introducción de un punto de acceso pirata que pudiese imitar un punto de acceso legítimo en una red a fin de extraer información acerca de las credenciales de usuario y protocolos de autenticación, lo cual podría poner en peligro la seguridad. Esta función solo opera con la autenticación LEAP de Cisco. La tecnología 802.11 estándar no protege una red de la introducción de un punto de acceso pirata.
CKIP
El Protocolo de integridad de claves de Cisco (CKIP) es un protocolo de seguridad propiedad de Cisco para la codificación en medios 802.11. CKIP utiliza las funciones siguientes para mejorar la seguridad 802.11 en el modo de infraestructura:
Algunos puntos de acceso, como Cisco 350 o Cisco 1200, admiten entornos en los que no todas las estaciones cliente son compatibles con la codificación WEP, lo cual se denomina modo de celda mixta. Cuando dichas redes inalámbricas funcionan en el modo de "codificación opcional", las estaciones cliente que se unen en el modo WEP envían todos los mensajes codificados y las estaciones que se unen en el modo estándar envían los mensajes sin codificar. Estos AP difunden que la red no utiliza codificación pero permiten que los clientes se unan en el modo WEP. Cuando se habilita la "celda mixta" en un perfil, se permite la conexión a puntos de acceso que estén configurados para la "codificación opcional".
![]() |
NOTA: Asegúrese de habilitar la opción avanzada Celda mixta (requiere la opción Cisco CCX) cuando se utilice Habilitar Cisco-Client eXtentions en un perfil. Los perfiles habilitados para Cisco CCX utilizan la codificación de datos CKIP y la autenticación 802.1x LEAP. |
Regresar a la página de contenido
Sírvase leer todas las restricciones y renuncias de responsabilidad.