Introducción a la Autenticación 802.1x

152 0 0 0

Autenticación 802.1x

Introducción

Para resolver los problemas de seguridad de la red de área local (LAN) inalámbrica, el comité 802 LAN / red de área extensa (WAN) del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) desarrolló el protocolo 802.1X. Más tarde, el protocolo 802.1X se aplicó ampliamente como un mecanismo de control de acceso común en las interfaces LAN para la autenticación y seguridad en redes Ethernet.

El protocolo 802.1X es un protocolo de control de acceso a la red basado en interfaz. Controla el acceso de los usuarios a los recursos de la red mediante la autenticación de los usuarios en las interfaces de acceso.

Como se muestra en la Figura 1, un sistema 802.1X utiliza una arquitectura estándar de cliente / servidor con tres componentes: cliente, dispositivo de acceso y servidor de autenticación.



Figura 1 Diagrama del sistema de autenticación 802.1X

102206j3y3zo88tyuoeybx.png?802.1x.png




Cliente: es un elemento en el segmento de LAN, que se autentica por el dispositivo de acceso en el mismo segmento de LAN. El cliente suele ser un terminal de usuario. El usuario activa la autenticación 802.1X utilizando un software de cliente. El cliente debe admitir el Protocolo de autenticación extensible a través de LAN (EAPoL).

Dispositivo de acceso: es un elemento en el segmento de LAN, que autentica al cliente conectado. El dispositivo de acceso suele ser un dispositivo de red que admite el protocolo 802.1X. El dispositivo proporciona una interfaz para que el cliente acceda a la LAN.

Servidor de autenticación: es un elemento que proporciona el servicio de autenticación para el dispositivo de acceso. El servidor de autenticación, que suele ser un servidor RADIUS, lleva a cabo la autenticación, la autorización y la contabilidad de los usuarios.

Modos de activación de autenticación

La autenticación 802.1X puede ser iniciada por el cliente o por el dispositivo de acceso. El dispositi****dmite los siguientes modos de activación de autenticación:

1.- Activado por el cliente: un usuario inicia el cliente e ingresa el nombre de usuario y la contraseña. El cliente luego envía un paquete EAP al dispositivo de acceso para activar la autenticación.

2.- Activado por el dispositivo de acceso: cuando recibe un paquete DHCP / ARP desde un terminal de usuario, el dispositivo de acceso permite de manera proactiva que el terminal de usuario muestre la página del cliente y solicite al usuario que ingrese el nombre de usuario y la contraseña. Después de ingresar el nombre de usuario y la contraseña, se inicia la autenticación.

Modos de autenticación.

En un sistema de autenticación 802.1X, el cliente, el dispositivo de acceso y el servidor de autenticación intercambian información de autenticación mediante el Protocolo de autenticación extensible (EAP). El proceso de intercambio de paquetes EAP se describe a continuación:

1. Los paquetes EAP transmitidos entre el cliente y el dispositivo de acceso se encapsulan en formato EAPoL y se transmiten a través de la LAN.

2. El dispositivo de acceso y el servidor de autenticación (por ejemplo, un servidor RADIUS) intercambian paquetes EAP en los siguientes modos:

EAP Relay: El dispositivo de acceso retransmite paquetes EAP. El dispositivo encapsula los paquetes EAP en formato EAP sobre RADIUS (EAPoR) y envía los paquetes al servidor RADIUS para su autenticación. Este modo de autenticación simplifica el procesamiento del dispositivo y admite varios métodos de autenticación EAP, como MD5-Challenge, EAP-TLS y PEAP. Sin embargo, el servidor RADIUS debe admitir los métodos de autenticación correspondientes.

Terminación EAP: el dispositivo de acceso termina los paquetes EAP. El dispositivo encapsula la información de autenticación del cliente en paquetes RADIUS estándar, que luego son autenticados por el servidor mediante el Protocolo de autenticación de contraseña (PAP) o el Protocolo de autenticación por desafío mutuo (CHAP). Este modo de autenticación es aplicable porque los servidores RADIUS convencionales admiten la autenticación PAP y CHAP, y la actualización del servidor no es necesaria. Sin embargo, el procesamiento del dispositivo es complejo y el dispositivo solo admite el método de autenticación EAP MD5-Challenge.

NOTA: El dispositi****dmite los siguientes protocolos EAP: EAP-TLS, EAP-TTLS, EAP-PAP, EAP-CHAP (EAP-MD5), EAP-PEAP, EAP-SIM y EAP-AKA.

Proceso de autenticación.

La Figura 2 muestra el proceso de autenticación 802.1X en el modo de retransmisión EAP.



Figura 2 Proceso de servicio en modo relé EAP      

103039a80vrbi8i0l9m0ir.png?802_1x_proces


1. Antes de la autenticación, se establece una conexión previa entre el cliente y el dispositivo.

2. Cuando un usuario necesita acceder a una red externa, el usuario inicia el programa cliente 802.1X, ingresa el nombre de usuario y contraseña registrados y aplicados e inicia una solicitud de conexión. En este momento, el cliente envía un paquete de solicitud de autenticación al dispositivo para iniciar el proceso de autenticación.

3. Después de recibir el paquete de solicitud de autenticación, el dispositivo envía un paquete de solicitud de nombre de usuario, solicitando al cliente que envíe el nombre de usuario ingresado anteriormente.

4. En respuesta a la solicitud enviada por el dispositivo, el cliente envía el nombre de usuario al dispositivo.

5. El dispositivo envía el nombre de usuario al servidor de autenticación para su procesamiento.

6. Después de recibir el nombre de usuario reenviado por el dispositivo, el servidor de autenticación verifica la contraseña del usuario.

a. El servidor de autenticación utiliza el nombre de usuario para buscar la lista de nombres de usuario en la base de datos para encontrar la contraseña de usuario correspondiente.

b. El servidor de autenticación cifra la contraseña con u****5 challenge generado aleatoriamente y envía el MD5 challenge al cliente a través del dispositivo de acceso.

c. Después de recibir el MD5 challenge del dispositivo, el cliente cifra la contraseña con el MD5 challenge y envía la contraseña cifrada al servidor de autenticación a través del dispositivo de acceso.

d. El servidor de autenticación compara la contraseña cifrada recibida y la contraseña cifrada localmente. Si las dos contraseñas son las mismas, el usuario se considera autorizado; Si son diferentes, el usuario se considera no autorizado.

7. Después de que la verificación de la contraseña sea exitosa, el servidor de autenticación envía un paquete de autenticación exitosa al dispositivo de acceso.

8. Después de recibir el paquete de autenticación exitosa, el dispositivo envía un paquete que indica que la autenticación es exitosa para el cliente, cambia el estado de la interfaz a autorizado y le permite al usuario acceder a la red a través de la interfaz.

9. Si el usuario desea desconectarse, el cliente envía un paquete de cierre de sesión al dispositivo.

10. El dispositivo de acceso cambia el estado de la interfaz de autorizado a no autorizado. Envía un paquete de falla de autenticación al cliente y borra al mismo tiempo la información de inicio de sesión del usuario.

Los pasos 5 y 6 son diferentes en los procesos de autenticación en los modos de terminación y retransmisión de EAP. En el modo de terminación EAP, al enviar el nombre de usuario del cliente al servidor de autenticación, el dispositivo de acceso genera aleatoriamente u****5 challenge para el cliente. (En este modo, el MD5 challenge no es generado por el servidor de autenticación). El dispositivo de acceso luego envía el nombre de usuario, el MD5 challenge y la contraseña cifrada al servidor de autenticación para su procesamiento.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje