HCIP Seguridad H12 723 Tecnología de Autenticación de Usuarios

Última respuesta en. 13, 2020 12:11:46 90 3 2 1

Buenas noches.

La siguiente publicación inicia con un nuevo tema, que es la tecnología de autenticacion de usuarios. Es un tema basto y amplio, por lo que se ha dividido en 12 partes


Tecnología de Autenticación de Usuarios I

Autenticación 802.1x y por Dirección MAC

 

Principios de Autenticación 802.1x y por Dirección MAC

Introducción a la Autenticación 801.1X

·        El protocolo 802.1x es originado del protocolo WLAN 802.11, y es usado para controlar el acceso de la capa de enlace de los usuarios inalámbricos y autenticar su identidades. Después de la extensión, el protocolo 802.1x puede usar paquetes Ethernet como paquete portadores, habilitando así el protocolo 802.1x para ser usado en las redes Ethernet y otros modo de acceso por cable.

esquema general


EAP: Extensible Authentication Protocol

 

·        Marco de trabajo de 802.1x

§  Es un marco de trabajo que aplica para la autenticación a nivel de capa de enlace, consiste de un cliente, un dispositivo de acceso y un servidor de autenticación.

 

·        Enlaces de aplicación para 802.1x

§  Aplica para Ethernet /802.3) WLAN (802.11) y otros protocolos de la capa de enlace tales como PPP

 

·        Tipos de autenticación en 802.1x

§  802.1x usa EAP como protocolo de autenticación para transmitir información de autenticación. Comúnmente, usa los siguientes tipos de autenticación: EAP-MD5, EAP-TSL, EAP-TTLS, EAP-LEAP, EAP-SIM y EAP-AKA

 

 

Introducción a la Autenticación 801.1X

·        La autenticación 802.1x, también llamada Protocolo de Autenticación Extensiva Sobre Ethernet (EAPOE), puede resolver los problemas de la autenticación de acceso  de los usuarios de la LAN en ambientes cableados.

 

·        A continuación, un ejemplo tradicional de aplicación

autenticacion 802.1x


·        Para mejorar la seguridad de las WLAN, el comité LAN/WAN de la IEEE desarrolló el protocolo 802.1x.

·        Es un protocolo de control de acceso basado en puerto, indicando que autentica a los dispositivos de los usuarios conectados a la red LAN.

 

·        Se enfoca solo en el estado del puerto de acceso. si un usuario autorizado accede a un puerto usando las credenciales correctas, el puerto se habilita; si un usuario no autorizado intenta acceder, entonces el puerto se deshabilita, o del mismo modo en caso de que el puerto no esté en uso. La autenticación 802.1x solo determina el estado del puerto y no involucra la negociación de la dirección IP ni su asignación, por ende, es el más simple dentro de los métodos de autenticación.

 

·        Entidades en el sistema de autenticación 802.1x

§  Terminal: es la entidad en uno de los extremos del enlace en la red LAN y es autenticada por el dispositivo de control de acceso (dispositivo RADIUS)  en el otro extremo del mismo enlace. Las terminales que serán autenticadas deben soportar EAP over LAN (EAPoL) en las redes LAN. Los usuarios pueden iniciar la autenticación a través de AnyOffice o de los clientes integrados de 802.1x.

 

§  Dispositivo de Control de Acceso: es otra entidad en uno de los extremos del enlace en la red LAN y autentica a las terminales conectadas. Usualmente, este dispositivo soporta 802.1x y provee una interface que permite a las terminales acceder s la LAN.

 

§  Servidor RADIUS: es una entidad que provee el servicio de autenticación para el dispositivo de control de acceso. el servidor RADIUS ejecuta el servicio AAA en los usuarios.

 

 

Conceptos Básicos de 801.1X

conceptos 802.1x


·        802.1x soporta autenticación por puerto y por dirección MAC

§  Autenticación basa en puerto: todos los usuarios en el puerto pueden utilizar los recursos de red después de que el primero de ellos se autentica. Cuando el primero usuario esté fuera de línea, el resto de los usuarios no podrá acceder a los recursos de red.

 

§  Autenticación Por dirección MAC: todos los usuarios en el puerto necesitar ser autenticados.

 

·        802.1x soporta los siguiente modos de autenticación:

§  EAP, autenticación por terminación: un dispositivo de acceso termina los paquetes EAP de los usuarios, analiza las credenciales, encripta las contraseñas y entonces los envía al servidor AAA para autenticación.

 

§  Autenticación EAP Relay: un dispositivo de acceso a la red encapsula de manera directa la información de autenticación acerca del usuario 802.1X y sus paquetes dentro del campo atributo en el paquete RADIUS y después losa envía  hacia el servidor RADIUS. Los paquete EAP no necesitar ser convertidos a los paquetes RADIUS estándar antes de enviarse al servidor RADIUS para la autenticación.

 

·        802.1X soporta los siguientes modos de control de puerto:

§  Identificación Automática: inicialmente, el puerto está  en estado no autorizado. Por consiguiente,  el puerto solo puede enviar y recibir paquetes EAPoL, y no permite que los usuarios accedan a los recursos de la red. Después de que el usuario se autentica, el puerto cambia a estado autorizado y permite el acceso al usuario a los recursos de la red.

 

§  Autorización Forzada: el puerto siempre está en modo autorizado y permite a los usuarios acceder a los recursos de red sin autorización o autenticación.

 

§  No Autorización Forzada: el puerto siempre está en modo no autorizado y no permite que los usuarios accedan a los recursos de la red.

 

 

Metodo de Autenticación en  801.1X

·        la terminal cableada que usa 802.1X intercambia paquetes EAP con el dispositivo de control de acceso, y el dispositivo de control de acceso intercambia paquetes con el servidor RADIUS. El sistema básico de autenticación  es el siguiente:

 

1.   una terminal envía un paquete EAPoL-Start para alertar al dispositivo de acceso que inicie el p_r_o_ceso de autenticación 802.1x

 

2.   el dispositivo de control de acceso envía un paquete EAP-Request/Identity para responder al paquete que ha disparado la autenticación, e inicia el p_r_o_ceso de autenticación 802.1x

 

3.   la terminal envía un paquete de respuesta EAP-Response que contiene la información de la cuenta de la terminal.

 

4.   Cuando se recibe el mensaje EAP-Response el dispositivo de control de acceso encapsula el mensaje en un paquete RADIUS y lo envía al servidor RADIUS para su autenticación.

 

5.   Si el servidor RADIUS  está usando el modo de autenticación (MD5), el servidor RADIUS encapsula el mensaje EAP/Request/MD5-Challenge usando el protocolo RADIUS y después lo envía al dispositivo de control de acceso.


6.   El dispositivo de control de acceso reenviar el mensaje EAP/Request/MD5-Challenge hacia la terminal.

 

7.   La terminal calcula el valor de MD5, ejecuta el chequeo de seguridad basada en la política fuera de línea y envía el valor de MD5 y del chequeo de seguridad al dispositivo de control de acceso a través del mensaje  EAP/Request/MD5-Challenge

 

8.   El dispositivo de control de acceso encapsula el mensaje EAP/Request/MD5-Challenge usando el protocolo RADIUS y lo reenvía hacia el servidor RADIUS

 

9.   Cuando se recibe el mensaje EAP/Request/MD5-Challenge, el servidor RADIUS checa si la autenticación de la identidad es exitosa. Entonces, el servidor checa el resultado del chequeo de seguridad y determina si enviar los parámetros de VLAN basado en el resultado del chequeo de seguridad y los parámetros de configuración del sistema.

 

10.              Cuando la terminal recibe el mensaje EAP-Success, el usuario final confirma la autenticación exitosa y checa el modo de obtención de la dirección IP de la terminal

p***eso 802.1x


Introducción a la Autenticación por Dirección MAC

·        La autenticación por dirección MAC usa la dirección MAC de una terminal como credenciales para autenticación en el sistema. Con la autenticación por dirección MAC  habilitada, cuando una terminal se conecta a una red, el dispositivo de acceso a la red obtiene la dirección MAC de la terminal, y usa esta dirección como nombre de usuario y contraseña (credenciales) para la autenticación.

presentacion direccion MAC


Escenario de aplicación de autenticación por Dirección MAC

·        Escenario de aplicación para autenticación por dirección MAC

§  Las terminales tontas, tales como las impresoras y los teléfonos IP, no pueden ingresar un nombre de usuario o contraseña para autenticación y autorización.

 

§  Algunos usuarios especiales, tales como terminales inteligentes de usuarios, quieren acceder a la red sin ser autenticados y no quieren ingresar información de la cuenta para la autenticación.

escenario de autenticacion


Método de Autenticación por Dirección MAC

·        El método de autenticación es el siguiente:

1.   Antes de la autenticación, se establece una pre-conexión entre el cliente y el dispositivo de control de acceso.

 

2.   Cuando se detectan paquetes ARP, DHCP o DHCPv6 provenientes del cliente, el dispositivo de control de acceso dispara la autenticación MAC para el cliente.

 

3.   Basado en la configuración, el dispositivo de control de acceso envía un nombre de usuario y una contraseña hacia el servidor para autenticación.

 

4.   El servidor de autenticación verifica el nombre de usuario y contraseña recibidos. Si la verificación es exitosa, el servidor envía un paquete hacia el dispositivo de control de acceso indicando que la autenticación fue exitosa y agrega al cliente a la lista de usuarios en línea

§  Cuando se reciben los paquetes de autorización exitosa, el dispositivo de control de acceso cambia a estado de autorizado, permitiendo al usuario acceder a la red a través del puerto, y agrega al usuario a la lista de usuarios en línea.

 

·        El método de des registro de la autenticación por dirección MAC es el siguiente:


5.   El cliente envía un petición de des registro


6.   El dispositivo de control de acceso envía una petición de accounting stop (Accounting-Request) hacia el servidor RADIUS), detiene la autorización del puerto y elimina al usuario de la lista de usuarios en línea.


7.   El servidor RADIUS envía la respuesta a la petición accounting stop (Accounting-Response) hacia el dispositivo de control de acceso y elimina al usuario de la lista local de usuarios en línea.


p***eso de autenticacion


Finalizamos aquó con esta parte. Recuerda visitar los otros temas refrentes a la seguridad que podrás en contrar en mi perfil. Conpart, comenta y no olvides dar clic en 


  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2020-1-7 09:33:53 Útil(0) Útil(0)
Gracias por compartir esta información, con seguridad los usuarios del foro la encontraran muy útil. Saludos
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2022%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
JTX
Publicado 2020-1-9 16:08:53 Útil(0) Útil(0)
Información últil que disipará dudas y para los que se inclinen en la parte de seguiridad buen comienzo.
  • x
  • convención:

user_153387
Publicado 2020-1-13 12:11:46 Útil(0) Útil(0)
Gracias por compartir
  • x
  • convención:

Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20work%20in%20the%20telecommunications%20company%20of%20Cuba%2C%20ETECSA.%20I%20am%2035%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión