miércoles, 31 de agosto de 2016
sábado, 22 de junio de 2013
Esquema Funcionamiento
* Protocolo de Autenticación Extensible Protegido (PEAP) *
Es un método de autenticación en dos fases. La primera establece una sesión de TLS con el servidor y permite que el cliente lleve a cabo la autenticación del mismo mediante el certificado digital del servidor. La segunda fase requiere un segundo método de EAP de túnel dentro de la sesión PEAP para llevar a cabo la autenticación del cliente con el servidor RADIUS. Esto ofrece a PEAP la posibilidad de utilizar métodos de autenticación de clientes diferentes, como contraseñas con la versión 2 del protocolo MS-CHAP (MS – CHAP v2) y certificados que usan EAP-TLS de túnel dentro de PEAP. Los métodos de EAP como MS-CHAP v2 no son lo suficientemente seguros como para usarse sin protección PEAP, pues quedarían susceptibles a ataques de diccionario sin conexión.
Funcionamiento de 802.1X con PEAP y contraseñas
Microsoft admite el uso de PEAP con MS-CHAP v2 para la autenticación de la WLAN basada en contraseñas, por otro lado EAP-TLS para la autenticación de certificados. La figura ilustra el modo en que 802.1X con PEAP y MS-CHAP v2 funciona.
PEAP constituye un medio de protección de otro método de EAP (como pueda ser MS-CHAP v2) en el canal de seguridad. De este modo, PEAP se convierte en un elemento esencial para evitar ataques a métodos de EAP basados en contraseñas.
Pasos de la Conexiòn
1.Conexión con el cliente
Cuando el equipo cliente se encuentra dentro del alcance del punto de acceso inalámbrico, intenta conectarse a la WLAN que se encuentre activa en este punto y que el Identificador del conjunto de servicios (SSID) haya identificado. El SSID es el nombre de la WLAN que el cliente utiliza para identificar la configuración correcta y el tipo de credencial para esta WLAN en particular.
2.Autenticación del cliente _ Sutenticación del Servidor
El punto de acceso inalámbrico se configura con el propósito de permitir sólo conexiones seguras (autenticadas mediante 802.1X). Así, cuando el cliente intente conectarse al punto, éste le desafiará. A continuación, el punto de acceso configura un canal restringido que permite al cliente comunicarse únicamente con el servidor RADIUS (se bloquea el acceso al resto de la red). Por su parte, el servidor RADIUS sólo admitirá una conexión proveniente de un punto de acceso inalámbrico de confianza; es decir, una conexión que se haya configurado como un cliente RADIUS en el servidor IAS y que, por lo tanto, proporcione el secreto compartido para tal cliente RADIUS.
El cliente intenta autenticarse en el servidor RADIUS a través del canal restringido por medio de 802.1X. Dentro de la negociación PEAP, el cliente establece una sesión de seguridad de la capa de transporte (TLS) con el servidor RADIUS. Una sesión TLS se utiliza como parte de los servidores PEAP con fines diversos:
Permite que el cliente autentique el servidor RADIUS; esto significa que el cliente sólo establecerá la sesión con un servidor que cuente con un certificado en el que confíe el cliente.
Protege el protocolo de autenticación MS-CHAP v2 frente al rastreo de paquetes.
La negociación de la sesión TLS genera una clave que el cliente y el servidor RADIUS pueden utilizar a fin de establecer claves maestras comunes (que, a su vez, se usan para generar aquellas claves que van a emplearse para cifrar el tráfico de WLAN).
Bajo la protección del canal de PEAP, el cliente se autentica en el servidor RADIUS utilizando el protocolo EAP MS-CHAP v2. En el transcurso de este intercambio, el tráfico dentro del túnel de TLS nunca se expone al punto de acceso inalámbrico: sólo el cliente y el servidor RADIUS pueden verlo.
3. Autorización
El servidor RADIUS comprueba las credenciales del cliente en relación con el directorio. Si el cliente se autentica correctamente, el servidor RADIUS recabará información con la que decidirá si autoriza al cliente a usar la WLAN. De esta forma, concede o deniega el acceso al cliente de acuerdo con la información del directorio (como la pertenencia a grupos) y también con las restricciones que se definen en la directiva de acceso correspondiente (por ejemplo, las horas del día en que es posible tener acceso a la WLAN). El servidor RADIUS transfiere la responsabilidad de decidir sobre el acceso al punto de acceso.
Así, si el cliente obtiene acceso, el servidor RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico. Por su parte, el cliente y el punto de acceso comparten ahora material de claves comunes que pueden utilizar para cifrar y descifrar el tráfico de WLAN que fluye entre ellos.
Cuando se utiliza una WEP dinámica para cifrar el tráfico, las claves maestras se utilizan directamente como clave de cifrado. Estas claves han de modificarse cada cierto tiempo para frustrar ataques de recuperación de claves WEP. El servidor RADIUS lleva esto a cabo obligando al cliente de forma periódica a volver a autenticarse y generar un conjunto de claves nuevo.
En caso de que la comunicación se proteja mediante WPA, el material de clave maestra se usará para crear claves de cifrado de datos, que se modifican para cada paquete que se transmita. Con WPA no es necesario forzar la re _ autenticación para garantizar la seguridad de la clave.
4.Cifrado WLAN
A continuación, el punto de acceso une la conexión de la WLAN del cliente a la LAN interna, lo que posibilita que el cliente se comunique con total libertad con los sistemas de la red interna. Así, ahora el tráfico que fluye entre el cliente y el punto de acceso está cifrado.
5.Asignación de la dirección IP
En caso de que el cliente necesitara una dirección IP, podría solicitar el alquiler de un protocolo de configuración dinámica de host (DHCP) de un servidor de la LAN. Una vez se haya asignado la dirección IP, el cliente podrá empezar a comunicarse con normalidad con los restantes sistemas de la red.
6.Autenticación del equipo y del usuario en la WLAN
El proceso que se acaba de describir señala el modo en que un cliente (sea usuario o equipo inalámbrico) se conecta con éxito a la WLAN. Windows XP, autentica tanto al usuario como al equipo de manera independiente. Cuando un equipo se inicia por primera vez, utiliza una cuenta de dominio y una contraseña para autenticarse en la WLAN.
La autorización del equipo a la WLAN tiene lugar exactamente tal y como se ha especificado en la sección anterior. Aun cuando ningún usuario haya iniciado sesión, el equipo se podrá administrar si se conecta a la WLAN a través de sus propias credenciales. Por ejemplo, se podrá aplicar una configuración de directiva de grupo en el equipo, así como distribuir software y revisiones.
Cuando un usuario inicia sesión en el equipo, este proceso de autenticación y autorización se repite, pero, en este caso, con el nombre de usuario y la contraseña del usuario. La sesión de un usuario sustituye la sesión de WLAN del equipo, de modo que no hay dos sesiones activas al mismo tiempo.
Además, esto evita que un usuario no autorizado utilice un equipo autorizado para obtener acceso a la WLAN...
Es un método de autenticación en dos fases. La primera establece una sesión de TLS con el servidor y permite que el cliente lleve a cabo la autenticación del mismo mediante el certificado digital del servidor. La segunda fase requiere un segundo método de EAP de túnel dentro de la sesión PEAP para llevar a cabo la autenticación del cliente con el servidor RADIUS. Esto ofrece a PEAP la posibilidad de utilizar métodos de autenticación de clientes diferentes, como contraseñas con la versión 2 del protocolo MS-CHAP (MS – CHAP v2) y certificados que usan EAP-TLS de túnel dentro de PEAP. Los métodos de EAP como MS-CHAP v2 no son lo suficientemente seguros como para usarse sin protección PEAP, pues quedarían susceptibles a ataques de diccionario sin conexión.
Funcionamiento de 802.1X con PEAP y contraseñas
Microsoft admite el uso de PEAP con MS-CHAP v2 para la autenticación de la WLAN basada en contraseñas, por otro lado EAP-TLS para la autenticación de certificados. La figura ilustra el modo en que 802.1X con PEAP y MS-CHAP v2 funciona.
PEAP constituye un medio de protección de otro método de EAP (como pueda ser MS-CHAP v2) en el canal de seguridad. De este modo, PEAP se convierte en un elemento esencial para evitar ataques a métodos de EAP basados en contraseñas.
Pasos de la Conexiòn
1.Conexión con el cliente
Cuando el equipo cliente se encuentra dentro del alcance del punto de acceso inalámbrico, intenta conectarse a la WLAN que se encuentre activa en este punto y que el Identificador del conjunto de servicios (SSID) haya identificado. El SSID es el nombre de la WLAN que el cliente utiliza para identificar la configuración correcta y el tipo de credencial para esta WLAN en particular.
2.Autenticación del cliente _ Sutenticación del Servidor
El punto de acceso inalámbrico se configura con el propósito de permitir sólo conexiones seguras (autenticadas mediante 802.1X). Así, cuando el cliente intente conectarse al punto, éste le desafiará. A continuación, el punto de acceso configura un canal restringido que permite al cliente comunicarse únicamente con el servidor RADIUS (se bloquea el acceso al resto de la red). Por su parte, el servidor RADIUS sólo admitirá una conexión proveniente de un punto de acceso inalámbrico de confianza; es decir, una conexión que se haya configurado como un cliente RADIUS en el servidor IAS y que, por lo tanto, proporcione el secreto compartido para tal cliente RADIUS.
El cliente intenta autenticarse en el servidor RADIUS a través del canal restringido por medio de 802.1X. Dentro de la negociación PEAP, el cliente establece una sesión de seguridad de la capa de transporte (TLS) con el servidor RADIUS. Una sesión TLS se utiliza como parte de los servidores PEAP con fines diversos:
Permite que el cliente autentique el servidor RADIUS; esto significa que el cliente sólo establecerá la sesión con un servidor que cuente con un certificado en el que confíe el cliente.
Protege el protocolo de autenticación MS-CHAP v2 frente al rastreo de paquetes.
La negociación de la sesión TLS genera una clave que el cliente y el servidor RADIUS pueden utilizar a fin de establecer claves maestras comunes (que, a su vez, se usan para generar aquellas claves que van a emplearse para cifrar el tráfico de WLAN).
Bajo la protección del canal de PEAP, el cliente se autentica en el servidor RADIUS utilizando el protocolo EAP MS-CHAP v2. En el transcurso de este intercambio, el tráfico dentro del túnel de TLS nunca se expone al punto de acceso inalámbrico: sólo el cliente y el servidor RADIUS pueden verlo.
3. Autorización
El servidor RADIUS comprueba las credenciales del cliente en relación con el directorio. Si el cliente se autentica correctamente, el servidor RADIUS recabará información con la que decidirá si autoriza al cliente a usar la WLAN. De esta forma, concede o deniega el acceso al cliente de acuerdo con la información del directorio (como la pertenencia a grupos) y también con las restricciones que se definen en la directiva de acceso correspondiente (por ejemplo, las horas del día en que es posible tener acceso a la WLAN). El servidor RADIUS transfiere la responsabilidad de decidir sobre el acceso al punto de acceso.
Así, si el cliente obtiene acceso, el servidor RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico. Por su parte, el cliente y el punto de acceso comparten ahora material de claves comunes que pueden utilizar para cifrar y descifrar el tráfico de WLAN que fluye entre ellos.
Cuando se utiliza una WEP dinámica para cifrar el tráfico, las claves maestras se utilizan directamente como clave de cifrado. Estas claves han de modificarse cada cierto tiempo para frustrar ataques de recuperación de claves WEP. El servidor RADIUS lleva esto a cabo obligando al cliente de forma periódica a volver a autenticarse y generar un conjunto de claves nuevo.
En caso de que la comunicación se proteja mediante WPA, el material de clave maestra se usará para crear claves de cifrado de datos, que se modifican para cada paquete que se transmita. Con WPA no es necesario forzar la re _ autenticación para garantizar la seguridad de la clave.
4.Cifrado WLAN
A continuación, el punto de acceso une la conexión de la WLAN del cliente a la LAN interna, lo que posibilita que el cliente se comunique con total libertad con los sistemas de la red interna. Así, ahora el tráfico que fluye entre el cliente y el punto de acceso está cifrado.
5.Asignación de la dirección IP
En caso de que el cliente necesitara una dirección IP, podría solicitar el alquiler de un protocolo de configuración dinámica de host (DHCP) de un servidor de la LAN. Una vez se haya asignado la dirección IP, el cliente podrá empezar a comunicarse con normalidad con los restantes sistemas de la red.
6.Autenticación del equipo y del usuario en la WLAN
El proceso que se acaba de describir señala el modo en que un cliente (sea usuario o equipo inalámbrico) se conecta con éxito a la WLAN. Windows XP, autentica tanto al usuario como al equipo de manera independiente. Cuando un equipo se inicia por primera vez, utiliza una cuenta de dominio y una contraseña para autenticarse en la WLAN.
La autorización del equipo a la WLAN tiene lugar exactamente tal y como se ha especificado en la sección anterior. Aun cuando ningún usuario haya iniciado sesión, el equipo se podrá administrar si se conecta a la WLAN a través de sus propias credenciales. Por ejemplo, se podrá aplicar una configuración de directiva de grupo en el equipo, así como distribuir software y revisiones.
Cuando un usuario inicia sesión en el equipo, este proceso de autenticación y autorización se repite, pero, en este caso, con el nombre de usuario y la contraseña del usuario. La sesión de un usuario sustituye la sesión de WLAN del equipo, de modo que no hay dos sesiones activas al mismo tiempo.
Además, esto evita que un usuario no autorizado utilice un equipo autorizado para obtener acceso a la WLAN...
Suscribirse a:
Entradas (Atom)
