Protección de acceso a dispositivos con 802.1X

La autenticación de usuarios de red puede obtenerse con autenticación basada en servidor de AAA. El protocolo o estándar 802.1X puede servir para autenticar los dispositivos de red en la red corporativa. Hay otro protocolo que sirve para proteger las computadoras que se conectan a una LAN.

El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados en puertos. IEEE 802.1X evita que las estaciones de trabajo no autorizadas se conecten a una LAN a través de puertos de switch de acceso público. El servidor de autenticación autentica cada estación de trabajo que está conectada a un puerto del switch antes habilitar cualquier servicio ofrecido por el switch o la LAN.

Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles específicos, como se muestra en la figura:

  • Cliente (suplicante): suele ser el puerto habilitado para 802.1X en el dispositivo. El dispositivo solicita acceso a los servicios de LAN y switch y luego responde a las solicitudes del switch. En la figura, el dispositivo es una PC que ejecuta software de cliente que cumple con 802.1X. Otro cliente suplicante es un dispositivo inalámbrico que cumple con 802.1X, como una computadora portátil o una tablet.

  • Switch (autenticador): controla el acceso físico a la red según el estado de autenticación del cliente. El switch funciona como actúa intermediario (proxy) entre el cliente y el servidor de autenticación. Solicita la identificación de la información del cliente, verifica dicha información al servidor de autenticación y transmite una respuesta al cliente. El switch utiliza un agente de software de RADIUS que es responsable de encapsular y desencapsular las tramas del protocolo de autenticación extensible (EAP) y de interactuar con el servidor de autenticación. Otro dispositivo que podría actuar como autenticador es un punto de acceso inalámbrico que actúa como intermediario entre el cliente inalámbrico y el servidor de autenticación.

  • Servidor de autenticación: realiza la autenticación concreta del cliente. El servidor de autenticación valida la identidad del cliente y notifica al switch o a otro autenticador, como un punto de acceso inalámbrico, si el cliente tiene autorización para acceder a los servicios de LAN y switch. Debido a que el switch actúa como el proxy, el servicio de autenticación es transparente para el cliente. El sistema de seguridad RADIUS con extensiones de EAP es el único servidor de autenticación admitido.

Nota: Para obtener más información sobre 802.1X, consulte el curso de Seguridad CCNA (CCNA Security).