` ` ` `

` ` `

La seguridad inalmbrica Real requiere algo ms que hacer las claves WEP dinmicas o la mejora de WEP. La seguridad inalmbrica verdadera debe ser capaz de autenticar a los usuarios, no slo los dispositivos. 802.11presenta algunas limitaciones de seguridad. Una limitacin grave de una WLAN que solo implementa WEP es que los usuarios no estn autenticados. WPA permite la autenticacin del usuario mediante el protocolo IEEE 802.1x. 802.1x proporciona autenticacin mutua. La autenticacin mutua significa que la red y el usuario deben probar su identidad el uno al otro.

` ` `

El estndar 802.11i tambin utiliza 802.1x y TKIP las mejoras a la encriptacin WEP. Una de las ventajas del estndar 802.1x es que puede soportar una variedad de tipos de autenticacin. Un punto de acceso compatible con 802.1x, y su ProtocoloEAP, acta como interfaz entre un cliente inalmbrico y un servidor de autenticacin tal como RADIUS (Remote Access Dial-In User Service). El punto de acceso se comunica con el servidor RADIUS en la red cableada.

802.1x requiere soporte en el cliente, punto de acceso y autenticacin del servidor

` `

802.1x utiliza un proxy RADIUS para autenticar a los clientes en la red. Este dispositivo proxy podra ser un dispositivo tal como un punto de acceso. Y funciona en la capa de acceso. El cliente de EAP o suplicante enva las credenciales de autenticacin al autenticador que a su vez enva la informacin al servidor de autenticacin. En el servidor de autenticacin es en donde la peticin de inicio de sesin se compara con una base de datos del usuario para determinar si el usuario puede tener acceso a los recursos de red, y a que nivel.

` `

` ` `

El punto de acceso se llama el autenticador. El servidor de autenticacin (NAS) es por lo general un servidor RADIUS o uno de autenticacin, autorizacin y contabilidad (AAA authentication, authorization, and accounting ). El servidor de autenticacin debe ejecutar el software adicional para comprender el tipo de autenticacin utilizado por el cliente. Cualquier cliente que no se han construido en 802.1x debe utilizar un software llamado suplicante. El cliente (suplicante) siempre debe tener alguna prueba de identidad. Las formas de identidad incluyen un nombre de usuario y contrasea, certificado digital, u OTP (onetime password ).

` ` ` `

Despus de que el cliente se ha asociado al punto de acceso, el suplicante inicia el proceso para el uso de EAPOL (EAP sobre LAN) pidiendo el usuario y contrasea para su inicio de sesin. El cliente responde con su nombre de usuario y contrasea. Usando 802.1xy EAP el suplicante a continuacin, enva el nombre de usuario y un hash unidireccional de la contrasea al punto de acceso. El punto de acceso a continuacin encapsula la peticin y enva la solicitud al servidor RADIUS. El servidor RADIUS comprueba el nombre de usuario y la contrasea en la base de datos para determinar si el cliente debe ser autenticado en la red. Si el cliente ha de ser autenticado, el servidor RADIUS a continuacin, emite un reto de acceso, que se pasa al punto de acceso y luego se enva al cliente. El cliente enva la respuesta EAP al reto de acceso, al servidor RADIUS a travs del punto de acceso.

` ` `

Si el cliente enva la respuesta apropiada a continuacin, el servidor RADIUS enva un mensaje de xito de acceso y la clave de sesin WEP (EAP a travs de wi-fi) para el cliente a travs del punto de acceso. La misma clave de sesin WEP tambin se enva al punto de acceso en un paquete de xito. El cliente y el punto de acceso a continuacin, empiezan a utilizar estas claves de sesin WEP. La clave WEP utilizada para multicast se enva desde el punto de acceso para el cliente. Esta es cifrada mediante la clave de sesin WEP. Al cerrar la sesin el cliente, el punto de acceso regresa al estado inicial, permitiendo slo el paso del trfico 802.1x.

` `

` ` ` ` `

LEAP - Lightweight EAP (LEAP) tambin llamado EAP-Cisco. LEAP es la versin de EAP de cisco. EAP-TLS - EAP-Transport Layer Security (EAP-TLS) requiere certificados digitales configurados en todos los clientes Wlan y en el servidor. Basada en certificados x.509 PEAP - Protected EAP (PEAP) diseado para permitir autenticacin hibrida. EAP-MD5 - Extensible Authentication Protocol MD5 (EAP-MD5) no provee autenticacin mutua. EAP-OTP - EAP-One Time Passwords (EAP-OTP) tambien llamado EAP- Generic Token Card (EAP-GTC). EAP-TTLS - EAP-Tunneled Transport Layer Security (EAPTTLS) Kerberos