Imagina que en tu organización tienes un switch y todo lo que se conecta ahí tiene acceso automático. Cualquier dispositivo, incluso si es “espía” o no está autorizado.
Claro que dirás: “¡Pero existe un protocolo sencillo como el Port Security!”
Sí, pero ¿cómo funciona? O indicas la dirección MAC que puede conectarse a un puerto y obtener acceso a la red, o indicas la cantidad de direcciones MAC que el switch identificará dinámicamente, o combinas ambos métodos.
Pero, ¿qué pasa si te encuentras en un área pública, como una zona donde recibes clientes, o en una terraza donde puedes trabajar? Hay Port Security implementado, todo está bien.
Pero, ¿y si alguien se las arregla para robar tu portátil? Un extraño tendría acceso a tu red porque su dirección MAC está autorizada. Aquí es donde entra en juego 802.1X: permite la autenticación no del dispositivo, sino del usuario. De esta manera, si roban el dispositivo, los intrusos no podrán acceder a la red.
Una pregunta lógica sería “¿Cómo puedo proporcionar acceso a los invitados a la red sin darles acceso completo?“. La respuesta es sencilla y hay muchas opciones: una cuenta de invitado y una VLAN de invitado, un portal de autoregistro especial para invitados, etc.
También algunos dirán: “Claro, en mi empresa el acceso a la red inalámbrica está organizado a través de la sincronización con AD y las cuentas de usuario”. Pero, ¿cómo funciona en el caso del acceso por cable? Te responderé de inmediato que 802.1X se utiliza tanto en redes inalámbricas como en redes cableadas. Explicaré más sobre el principio de funcionamiento y sus componentes a continuación.
¿En qué Consiste 802.1X?
802.1X tiene tres componentes principales: el solicitante, el autenticador y el servidor de autenticación.
- El solicitante es tu dispositivo final y el usuario con un software específico (no tiene sentido profundizar en los diferentes tipos de solicitantes).
- El autenticador es un switch o punto de acceso (el primer dispositivo de red de nivel de acceso al que llega el tráfico del solicitante).
- Finalmente, el servidor de autenticación es un software o dispositivo especial que pertenece a la clase NAC (Network Access Control), o herramientas de control de acceso a la red. La clase específica de soluciones para la implementación de 802.1X se llama servidor RADIUS.
Entonces, el orden de conexión es el siguiente: intentas acceder a la red y el autenticador dice: “Por favor, presenta tus documentos“. Tu dispositivo (solicitante) proporciona la información necesaria: nombre de usuario y contraseña, certificado, ambas entidades juntas y otras cosas. Luego, el autenticador envía la información recibida al servidor de autenticación y espera una respuesta. Luego, en el caso básico, el servidor de autenticación enviará un permiso de regreso al autenticador y luego el autenticador lo permitirá al solicitante. ¡Hasta este momento, casi no se permitirá ningún tráfico!
Es importante entender que hacia el autenticador se envía una trama con un registro específico (para eso se necesita el solicitante), y el autenticador encapsula la información recibida del solicitante y la envía al servidor de autenticación como un paquete IP (para que pueda ser enrutado).
Protocolos en la Tecnología 802.1X
Ahora hablemos más a detalle sobre los protocolos de esta tecnología, ya que 802.1X es un término genérico. Hay dos protocolos principales: EAPoL (Extensible Authentication Protocol over LAN) y RADIUS (Remote Authentication Dial-In User Service).
Existen formas de EAP muy sencillas y poco seguras, y otras muy seguras pero extremadamente complejas de configurar. En el caso más simple, solo se necesitarán el nombre de usuario y la contraseña. En los más complejos, un certificado, un token y otras cosas. Hay una regla: cuanto más simple sea configurar EAP, menos seguro será y viceversa 🙂
En la actualidad, uno de los servidores RADIUS más populares e inteligentes es Cisco ISE. Permite autorizar usuarios en función de su contexto: ¿Qué dispositivo es? ¿Quién? ¿Dónde? ¿Cuándo? ¿El dispositivo ha sido comprometido anteriormente? Y perfilar automáticamente cada dispositivo conectado para poder entender qué dispositivos tienes en tu red y en qué estado se encuentran. Muchos ni siquiera sospechan cuántos dispositivos desconocidos tienen conectados en su organización (con más de 1000 usuarios).
En la siguiente diagrama puedes ver todo el proceso de establecimiento de conexión al utilizar 802.1X:
