802.1X es un estándar IEEE para control de acceso basado en puertos (PBNAC). Forma parte del grupo IEEE 802.1 de protocolos de red. Provee mecanismos de autenticación para dispositivos que se quieren conectar a una LAN o una WLAN. Los puertos del switch están bloqueados por defecto hasta que el dispositivo conectado sea autenticado correctamente en alguna entidad de seguridad de la infraestructura. La autenticación 802.1X involucra 3 partes:

• Suplicante: Dispositivo cliente
• Autenticador: Switch o Punto de acceso
• Servidor de autenticación

Es un framework de autenticación de capa 2, no es un mecanismo de autenticación. Provee algunas funciones comunes y metodos de negociación de autenticación llamaods métodos EAP.

• La autenticación es proveida por el protocolo interno dentro de EAP, no por EAP
• Se usa en 802.1X entre el suplicante y el servidor de autenticación
• En EAP al suplicante se le llama peer, reflejando la idea general de que EAP podría ser usado para autenticación mutua entre entidades equivalentes.
• Facilita la implementación de entidades de autentiación intermedia o autenticadores en redes donde la gestión de usuarios está centralizada.

EAP define formatos de mensajes de autenticación genéricos

• Request
• Response
• Success
• Failure

El campo “Tipo de autenticación EAP” esoecifica el mecanismo de autenticación elegido, el tipo de credenciales y como usarlas para realizar la autenticación mutua de forma segura. Hay tres tipos especiales de EAP:

• Identidad
• Notificación
• Nak

EAP normalmente funciona a nivel de enlace como Point-to-Point Protocol (PPP) o IEE802 sin requerir una IP. 802.1X define la encapsulación de EAP sobre medios IEEE802 cableados, conocidos como EAP Over LAN (EAPOL). Si el autenticador y el servidor de autenticación no están ubicados conjuntamente, los mensajes EAP deben encapsulados en otro protocolo para ser entregados al servidor de autenticación, ocurriendo lo opuesto en una dirección inversa.

RADIUS (Remote Access Dial-In User Service) define sus propios protocolos de transporte para comunicación entre un Autenticador y un servidor RADIUS AAA. EAP se encapsula en atributos de RADIUS.

Define mensajes entre el El Servidor de Acceso a la Red (NAS) y el servidor de autenticación:

• el NAS envía un Access-Request
• El server de Autenticación responde con Access-Challenge, Access-Accept o Access-Reject

Se encapsula EAP en el Access-Request y Access-Challenge de RADIUS todas las veces que sea necesario.

• EAP-Message-attribute
• El Message-Autenticator Atribute es obligatorio para paquetes RADIUS transportando EAP-message Attributes.

Radius tiene su propio protocolo de seguridad basado en una clave compartida entre los endpoints (NAS y Server RADIUS)

Las respeustas del servidor de autenticación contienen un auntenticador, las peticiones genéricas de los clientes no son autenticadas

• Authenticator = (code|id|length|requestAuth|Attributes|Shared Secret)
• RequestAuth es un nonce del NAS.

Si un paquete RADIUS transporta mensajes EAP, debe usar el atributo “Message-Authenticator” (Shared Secret, Code|ID|Length|RequestAuth|Attributes). Radius tiene su propia función key wrap para ocultar atributos confidenciales usando la clave compartida. Si un métido EAP de autenticación genera mateial de clave (Master Session Key), el Pairwise Master Key (PMK) deruvadi de MSK es enviado en un paquete Access-Accept RADIUS del server al NAS cifrado con la clave compartida.

• Radius es vulnerable a ataques de diccionario.
  • Las claves compartidas tienen un tiempo de vida muy largo, muchos mensajes van en texto plano con su respectivo autenticador.
  • Se usa MD5, que es altamente vulnerable
• Otros problemas están relacionados con privacidad, spoofing, hijacking, ataques replay, ataques de negociación, antaques de suplantación, Man in the middle…
• RADIUS recomienda usar un mecanismo de autenticación bidireccional y tencnología IPSEC para proteger la comunicación entre el NAS y el autenticador.

• EAP-TLS: Autenticación mutua durante el handshake inicial que establece el tunel tls. se requieren certificados X509 en ambos lados
• EAP-TTLS (EAP Tunneled TLS): Autenticación mutua, solo el server AAA necesita certificado X509. Normalmente la antenticación del cliente se hace usando contraseñas compartidas. .
• PEAP (Protected EAP): Similasr a EAP-TTLS. El mecanismo de autenticación del suplicante usa EAP para transportar las credenciales del cliente.
• EAP-FAST (EAP Flexible Authentication via Secure Tunneling): No es necesario el uso de clientes o certificados de servidor. Usa PAC (Protected Access Credentials) para establecer el tunel TLS. Tiene 3 fases, PAC Provisioning, TLS Tunnel stablishment y Authentication.

Los credenciales de usuario son vulnerables a ataques de diccionario. Transimir infomración dentro de un tunel TLS previene que un atacante puede acceder a dichos credenciales. El túnel TLS se establece utilizando el certificado del servidor, autenticando en un primer momento el final de la conexión. Tras eso, se usa el tunel cifrado para enviar las credenciales del cliente de forma segura.

El acceso puede ser denegado para un peer autenticado debido a la ausencia de autorización u otras razones. Un peer sin credenciales de acceso o que ha fallado el proceso de autenticación puede tener acceso a la red para un servicio o para una VLAN de invitados. El completar la autenticación por parte de un perr y un server eap no significa que tenga acceso inmediato a la red, una Security Asociation entre el EAP per y el Authenticator debe ser establecida con el Secure Association Protocol.

Es el cifrado de conexiones ethernet cableadas (IEEE 802.1AE). Cifrado en la capa MAC, cifrado a la velocidad del cable. MACsec garantiza lo siguiente:

• Integridad de los datos sin conexión
• Autenticidad de los datos de origen
• Confidencialidad
• Protección contra replay
• Limita la naturaleza y extensión de los ataques de denegación de servicio.

• Secure Connectivity Association (CA): Relacion de seguridad establecida y mantenida por protocolos clave de acuerdo (MKA), que compone un subset de puntos de awcceso a servicio completamente conectados en estaciones conectadas a una sola LAN.
  • Secure Connectivity Association Key (CAK): Clave secreta poseida por los miembros de la CA
  • Secure Connectivity Assiciation Key Name (CKN): Texto que identifica un CAK
  • CAK y CKN son derivados del material ram del keyring que el método EAP inyectó en el suplicante y auntenticador.
  • Cada CA tiene un key server elegido dinámicamente.
  • Un key server perteneciente a varias CA con peers en el mismo segmento puede crear un grupo CA.
• Secure Association (SA): Relación de seguridad que provee garantías de seguridad para los marcos transmitidos de un miembro de la CA a otro.
  • Cada SA está soportado por una sola secret key o un solo set de claves donde la operación utilizada para proteger un marco necesita más de una clave.
  • SA es unidireccional.
• Secure Association Key (SAK): La clave secreta usada por una SA.
• Secure channel (SC): Un SC es soportado por una secuencia de SAs, permitiendo el uso periódico de claves nuevas sin terminar la relación.
• MACsec Key Agreement (MKA): Protocolo IEEE802.1X. Puede descubrir miembros ya autenticados en una CA conectadas a la misma lan. Puede confirmar la posesión mutua de CAK para probar autenticación mutua pasada. Asegura que los datos protegidos por MACsec no tienen retraso.
  • Usa marcos EAPOL-MKA para el intercambio de información
  • Asegura transporte multipoint-to-multipoint completamente distribuido.
  • Si no se implementa un MKA, mACsec puede seguir siendo usado para cifrar datos si los peer finales estan configurados de forma estática.

• Mensaje de Codigo de autenticación con cibrado basado en ASES (CMAC)
• CAK es el PMK que el Server de Autenticación entrega al Autenticador en RADIUS Access-Accept.
• Durante el diálogo EAP entre métodos equivalentes en el server de autenticación y el suplicante, este último obtiene el MSK y deriva el PMK (CAK)
• Es estándar tambien cosidera la posibilidad de la configuración manual de CAK y CKN en ambos extremos del enlace.

El estándar 802.11 describe las funciones y servicios que un dispositivo debe implementar para ser integrados en una red 802.11 centrándose en la capa física (PHY) y la capa de enlace de datos (DLL).

• Servicios: Soporta transferencias de datos asíncronas que se refieren al tráfico que es relativamente insensible a demorras temporales como el email o las transferencias de archivos. Opcionalmente también puede soportar tráfico que debe tener una demora específica para alcanzar una calidad de servicio QoS) aceptable. Incluye procedimientos para autenticación y ecifrado de comunicaciones para asegurar la privacidad.
• Arquitectura:
  • Infraestructure Network
  • Point to point network
• Medium Access Control (MAC)
  • Mecanismo de acceso, fragmentación, cifrado
  • Gestion MAC: Sincronización, roaming entre APs, gestión de energía
• Capa física
  • Selección de canal, modulación, coding.

Las aplicaciones no deberían ser conscientes de la existencia de una red inalámbrica.

1. Infraestructure Network: La tecnología basada en APs usa puntos de acceso para conectar el tráfico a una red troncal cableada o inalámbrica. Los puntos de acceso permiten a un dispositivo cliente inalámbrico comunicarse con otros dispositivos cableados o inalámbricos de la red. Cada AP gestiona comunicaciones en su rango. (Funciones MAC, funciones de gestión de mobilidad, funciones de autenticación…)
   1. Elementos de una infraestructure network:
      1. Station (STA): Ordenador con mecanismos de acceso al medio inalámbrico y conexión por radio al AP
      2. Access Point (AP): Estación integradas con la radio y la red cableada (sistema de distribución)
      3. Basic Service Set (BSS): Grupo de estaciones, incluyendo el AP, dentro del rango de transmisión del AP
      4. Portal: Gateway a otra red.
      5. Distribution System: Conexion en diferentes áreas AP a la red lógica (EES: Extended Service Set)
   2. El rango de un AP es de entre 20 y 500 metros, soportando entre 15 y 250 usuarios dependiendo de la tecnología. Múltiples AP pueden soportar la transferencia de un AP a otro según el usuario se mueve de un área a otra. Un AP inalámbrico puede monitorizar el movimiento de un cliente a través de su dominio y permitir o denegar trafico o clientes.
   3. Puentes LAN en exteriores: Point-to-multipoint bridge, conecta lans en diferentes edificios. Alternativa econímica a comprar cables de fibra óptica.
2. Red Point-to-Point (ad hoc): Una WLAN puede ser utilizada como una red stand-alone en cualquier lugar para enlazar varios equipos si tener que contruir o extender redes cableadas. En topología Point to Point, los dispositivos cliente dentro de una celda se comunican directamente entre ellos, no hay AP, los nodos deben estar en el mismo rango de transmisión.
   1. Redes Inalámbricas multisalto:
      1. Mobile ad hoc network (MANET): Propone una arquitecutra plana donde cada nodo inalámbiroc tiene capacidades de enrutado, extendiendo el rango de sus transmisiones más allá de su propio rango de cobertura. Enrutado en capa de red
      2. Mesh Wireless Network (IEEE 802.11s): Introduce una jerarquía en la arquitectura de red inalámbrica con la implementación de nodos mesh, routers troncales estacionarios, operando puentes en una red switched, pero enrutando en el nivel de enlace/MAC

• Amenazas de seguridad:
  • Interferencia en el medio inalámbrico: Ataques DoS aprovechando el espacio libre para comunicación
  • Escucha de comunicaciones: Limitar el acceso a la red es difícil.
  • Uso de recursos no autorizados
  • Ataques de engaño: Robo de credenciales fingiendo ser un AP, redes abiertas sin seguridad.
• Técnicas de ataque en WLANs
  • Ataques con marcos de gestión: Si los los marcos de gestión no están ni cifrados ni tienen protección de integridad, cualquiera puede falsificarlos. Esto puede ser usado para implementear ataques MitM o DoS.
  • Ataques Replay: Se captura un marco y se reenvía tal como es. Puede ser usado para ganar acceso no autorizado a la red
  • MAC spoofing: Se cambia la dirección MAC del atacante para hacerse pasar por un punto ce acceso autorizado o un STA.
  • Denegación de servicio: Para prevenir que los usuarios autorizados puedan acceder a los recursos de red.
  • Crackeo offline de claves de cifrado o contraseñas: usando fuerza bruta o ataques de diccionario.
  • Man in the Middle: Se introduce una estación malintencionada entre otras 2, interceptando el tráfico entre estas sin interrumpir la comunicación, actuando como repetidor.