ESCUELA ACADEMICA DE INGENIERA

FACULTAD INGENIERA DE SISTEMAS

Implementacin de 802.1x.
Integrantes:

Corro Acosta, Jonathan Jos.

Hinojoza Santana, Viviana Elizabeth.
Quionez Cotera, Ivn Alexis.
Zevallos Calderon, Rusme

Profesor:

Astocondor Sedano, Elmer Edgardo.

Ciclo:

VI

Turno:

Noche

Aula:

301

Lima - 2016

INDICE
Conceptos Previos ........................................................................................................ 2
Antecedentes................................................................................................................ 3

Ventajas y Desventajas de usar 802.1x. ....................................................................... 4

Implementacin de 802.1x en una red. ......................................................................... 4

Topologa de equipos y conexiones .......................................................................... 4
Lista de equipos y software necesario para la implementacin: ................................ 7

Implementacin de 802.1x

Conceptos Previos

802.1x es un protocolo de control de acceso y autentificacin basado en la arquitectura

cliente servidor que restringe la conexin de equipos no autorizados a una red. El

protocolo fue inicialmente creado por la IEEE para uso en redes de rea local

alambradas, pero se ha extendido tambin en las redes inalmbricas. Muchos de los

puntos de acceso que se fabrican en la actualidad ya son compatibles con 802.1x. El
protocolo 802.1x involucra tres participantes: El cliente que desea conectarse con la red.
El servidor de autorizacin y autentificacin que contiene toda la informacin necesaria

para saber cules equipos y/o usuarios estn autorizados para acceder a la red. 802.1x
fue diseado para emplear servidores RADIUS (Remote Authentication Dial In User

Service) cuya especificacin est dada en la RFC 2058. Estos servidores fueron creados

para autentificar el acceso a usuarios remotos por conexin va telefnica. Luego por
ser tan populares se opt por emplearlos en la autentificacin Lan. El autentificador que
es el equipo de red (switch, enrutador, servidor de acceso remoto) que recibe la
conexin del suplicante. El autentificador acta como intermediario entre el cliente y el

servidor de autenticacin y solamente permite el acceso del suplicante a la red cuando

el servidor de autenticacin as lo autoriza.

Implementacin de 802.1x

Antecedentes

El estndar IEEE 802.1x define un control de acceso basado en cliente-servidor y un

protocolo de autenticacin que impide que los dispositivos no autorizados se conecten
a una red de rea local (LAN) a travs de puertos de acceso pblico. 802.1x controla el
acceso a la red mediante la creacin de dos puntos de acceso virtuales diferentes en
cada puerto. Un punto de acceso es un puerto no controlado, mientras que el otro es un
puerto controlado. Todo el trfico de un solo puerto est disponible para ambos puntos
de acceso. 802.1x autentica cada dispositivo de usuario que est conectado a un puerto
del switch y asigna el puerto a una VLAN antes de facilitar los servicios que ofrecen el
switch o la LAN. Hasta que se autentica el dispositivo, el control de acceso 802.1x slo
permite el trfico del Extensible Authentication Protocol over LAN (EAPOL) a travs del
puerto al cual est conectado el dispositivo. Una vez que se realiz una autenticacin
correcta, el trfico normal puede pasar a travs del puerto. El estndar 802.1x est
formado por tres componentes principales, cada uno de los cuales se denomina Entidad
de Acceso a Puerto (PAE). Solicitante: Dispositivo cliente que solicita acceso a la red,
por ejemplo, telfonos IP y PC conectadas. Autenticador: Dispositivo de red que facilita
las solicitudes de autorizacin de solicitantes.
Por ejemplo, Cisco Catalyst 3560. Servidor de Autenticacin: Servidor de Servicio de
Usuario de Acceso Telefnico de Autenticacin Remota (RADIUS) que proporciona el
servicio de autenticacin, por ejemplo, Cisco Secure Access Control Server. Los Cisco
Unified IP phones tambin contienen un solicitante 802.1X. Este solicitante permite a los
administradores de red controlar la conectividad de los telfonos IP a los puertos de
switch de la LAN. La versin inicial del solicitante 802.1X de telfonos IP implementa la
opcin EAP-MD5 para la autenticacin 802.1X. En una configuracin de dominios
mltiples, el telfono IP y la PC conectada deben solicitar acceso a la red de forma
independiente, especificando un nombre de usuario y una contrasea. El dispositivo
Autenticador puede solicitar informacin, denominada atributos, al RADIUS. Los
atributos especifican informacin adicional sobre la autorizacin.

Por ejemplo:
Si el acceso a una VLAN determinada est permitido para un Solicitante. Estos
atributos pueden ser especficos para cada proveedor. Cisco utiliza el atributo
cisco-avpair de RADIUS para informarle al Autenticador (Cisco Catalyst 3560)
que un Solicitante (telfono IP) tiene permitido el acceso a la VLAN de voz.

Implementacin de 802.1x

Ventajas y Desventajas de usar 802.1x.

Ventajas:

Se basa en un servidor de autenticacin.

Existen protocolos de autenticacin mutua entre cliente y servidor.

El RADIUS realizara el juego de claves WEP.

Desventajas:

El empleo de certificados puede ser costoso.

La manipulacin de los certificados lo hace engorrosa

Generalmente es empleado para empresas grandes por su complejidad.

Existen protocolos que son dbiles frente a ataques de fuerza bruta o de
diccionario.

Implementacin de 802.1x en una red.

Topologa de equipos y conexiones

Implementacin de 802.1x

Este ejemplo muestra una WLAN que est configurada con la autenticacin 802.1x:

Configuracin de WLC para autenticacin 802.1x

Siga los pasos a continuacin para configurar el WLC para esta instalacin:

1. Haga clic en WLANs en la interfaz grfica de usuario del controlador para crear
una WLAN.

Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en

el controlador.

2. Haga clic en New (Nueva) para configurar una WLAN nueva.

En este ejemplo, la WLAN se llama 802.1x y su ID es 3.

Implementacin de 802.1x

3. Haga clic en Apply (Aplicar).

4. En la ventana WLANs > Edit (WLANs > Editar), defina los parmetros especficos
de la WLAN.
a. En el men desplegable Layer 2 Security (Seguridad de la capa 2),
elija 802.1x.
De esta forma, se activa la autenticacin 802.1x para la WLAN.

b. En los parmetros de Radius Servers (Servidores Radius), seleccione el

servidor RADIUS que se utilizar para autenticar los credenciales del
cliente.
c. Seleccione el resto de parmetros, que depende de los requisitos de
diseo.
En este ejemplo, se utilizan los valores predeterminados.

5. Haga clic en Apply (Aplicar).

Implementacin de 802.1x

Nota: Si se elige 802.1x en la seguridad de la capa 2, no puede utilizarse CCKM.

Si elige WPA 1 or WPA 2 (WPA1 o WPA2) como mtodo de seguridad de la capa
2, tendr las siguientes opciones en Auth Key Management (Administracin de
clave de autenticacin):
o
o
o
o

802.1x+CCKM
802.1x
CCKM
PSK

El tipo de autenticacin EAP utilizado para validar los clientes depende del tipo
de EAP configurado en el servidor RADIUS y los clientes inalmbricos. Una vez
activado 802.1x en el WLC, ste permite que fluyan todos los tipos de paquetes
EAP entre el LAP, el cliente inalmbrico y el servidor RADIUS.

Lista de equipos y software necesario para la implementacin:

Hardware

Servidor de autenticacin RADIUS(Red Corporativa)

PC con tarjeta de red inalmbrica

Access Point

Software

Windows XP/2000
Linux

Implementacin de 802.1x