¿Qué es 802.1x?
Es una maravilla!!!
802.1x es un estándar que define la autenticación a la red.
"Si la red fuese un estadio de fútbol, 802.1x sería el policía de la entrada."
La tarea del policía no es sencilla, debe revisar:
- Que el asistente no porte armas ni objetos que puedan ser usados como proyectiles
- Que, en algunos casos, no lleve cámaras profesionales
- Tampoco debe estar ebrio o drogado
- Debe asistir al partido en el horario establecido, ni antes ni después
- La puerta de entrada adecuada (si va a nivel de cancha, palco, etc.)
- Y por ultimo pero no menos importante, que la persona cuente con un boleto válido
En una red, estos puntos también son necesarios y en muchas ocasiones las empresas no refuerzan la seguridad en el acceso, por ejemplo:
- Todos acceden con el mismo boleto (contraseña wifi) o peor aún
- Todos entran sin boleto!!! (conexión al cable de red y listo)
- se puede ingresar con software espía o malware
- se puede ingresar con comportamiento anómalo, con virus o gusanos
- se puede entrar a toda la red, servidores incluidos
- se puede ingresar a cualquier hora y desde cualquier lugar, como VPNs etc.
La seguridad en un estadio y en la red comienza con el acceso, muchas veces tenemos firewalls y antivirus, pero es posible ingresar sin restricción alguna, y de eso precisamente se trata 802.1x.
802.1x junto con Radius requiere al menos 3 componentes para que funcione:
- Suplicante (cliente 802.1x)
- Autenticador o NAS
- Servidor de Autenticacion o Radius Server
El suplicante es un software que entiende el protocolo 802.1x y proporciona las credenciales al NAS o AS, Windows 7, 8 10, Mac OS, iOS Android y practicamente cualquier sistema operativo moderno ya cuentan con suplicantes tanto para wifi como para wired.
El Network Authentication Server es el switch o Access Point al que nos conectamos y nos dirige al servidor de Autenticacion o AS
El servidor cuenta con las credenciales y políticas para otorgar o negar nuestro acceso, y es precisamente aquí donde se pone interesante.
Radius es un servidor de acceso que le indica al NAS (Switch o Access Point):
- Es valido el usuario
- Es valido el dispositivo
- a que VLAN se puede conectar
- con que velocidad
- con que restricciones
- etc.
Dependiendo del servidor Radius puede hacer cosas basicas, como Windows Network Policy Server, o bien cosas bastante avanzadas como Aruba Clearpass
Pero dentro de lo que ambos pueden hacer:
- validar contra un grupo de usuarios
- asignar vlan
- especificar horarios permitidos y horarios prohibidos
- asignar ACLs
- integración con Active Directory
El mundo de los NAC (Network Access Control) es muy amplio y cada vez se hace mas interesante, ya que hay algunos que pueden revisar el estado del dispositivo, si tiene antivirus o malware, o bien si es de la empresa o personal, si el usuario es invitado o contratista y un gran etc.
Pronto abarcare con mas detalle el NAC Aruba Clearpass.
Comentarios
Publicar un comentario