SEGURIDAD DE REDES LAN

SEGURIDAD DE LA INFORMACIN

[Seleccione la fecha]

1. Cifrado IEEE 802.1AE MACSEC 802.1AE es el estndar de seguridad de la IEEE MAC (tambin conocido como MACsec) que define la confidencialidad de los datos sin conexin y la integridad de protocolos de acceso a los medios de comunicacin independientes. Es estandarizado por el IEEE 802.1. La gestin de claves y la creacin de asociaciones de seguridad estn fuera del alcance de 802.1AE, pero se especifica mediante 802.1X-2010.

El estndar 802.1AE especifica la aplicacin de unas Entidades de seguridad para Mac (Secy) que pueden ser considerados como parte de las estaciones conectadas a la misma LAN, proporcionando servicio de seguridad de la MAC al cliente. Este estndar define:

El formato de trama MACsec, es similar a la de Ethernet, sino que incluye campos adicionales: o Security Tag, que es una extensin de la EtherType o Cdigo de autenticacin de mensajes (ICV) Asociaciones de conectividad segura que representan a grupos de estaciones unidireccionales conectados a travs de canales seguros Asociaciones de seguridad dentro de cada canal seguro. Cada asociacin utiliza su propia clave (SAK). Ms de una asociacin est

permitida dentro del canal para el propsito de cambio de clave sin interrupcin del trfico (El estndar requiere dispositivos para soportar al menos dos) La Suite predeterminada de cifrado ( Galois / Modo de contador de Advanced Encryption Standard de cifrado con clave de 128 bits)

Etiqueta de seguridad dentro de cada trama, adems de EtherType incluye:

Numero de asociacin dentro de casa canal. Nmero de paquete que provee vector de inicializacin nico para los algoritmos de cifrado y autenticacin, as como proteccin contra el ataque de replicacin.| Identificador opcional del canal seguro en toda la red LAN (no es necesario en los enlaces punto a punto).

El estndar IEEE 802.1AE (MACsec) especfica un conjunto de protocolos para cumplir con los requisitos de seguridad para proteger los datos que circulen por las redes LAN Ethernet. Esta norma garantiza las operaciones incompletas de la red mediante la identificacin de acciones no autorizadas en una red LAN y la prevencin de la comunicacin de los mismos. MACsec permite conexiones no autorizadas de LAN para ser identificados y excluidos de la comunicacin dentro de la red. En comn con IPsec y SSL, MACsec define una infraestructura de seguridad para garantizar la confidencialidad de datos, integridad de datos y autenticacin del origen de datos. Al asegurar que la trama viene de la estacin que pretenda enviarla, MACSec puede mitigar los ataques en la capa 2 de protocolos.

2. Cifrado IEEE 802.1X Definicin: El estndar 802.1x es una solucin de seguridad ratificada por el IEEE en junio de 2001 que puede autenticar (identificar) a un usuario que quiere acceder a la red (ya sea por cable o inalmbrica). Esto se hace a travs del uso de un servidor de autenticacin. La IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticacin de dispositivos conectados a un puerto LAN, estableciendo una conexin punto a punto o previniendo el acceso por ese puerto si la autenticacin falla. Es utilizado en algunos puntos de acceso inalmbricos cerrados y se basa en el protocolo de autenticacin extensible (EAP RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748. 802.1X est disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que estn equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos. Algunos proveedores estn implementando 802.1X en puntos de acceso inalmbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta autenticacin es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticacin slo del cliente o, ms apropiadamente, una autenticacin mutua fuerte utilizando protocolos como EAP-TLS.

El 802.1x se basa en el protocolo EAP (Protocolo de autenticacin extensible), definido por el IETF. Este protocolo se usa para transportar la informacin de identificacin del usuario. Protocolo EAP: La forma en que opera el protocolo EAP se basa en el uso de un controlador de acceso llamado autenticador, que le otorga o deniega a un usuario el acceso a la red. El usuario en este sistema se llama solicitante. El controlador de acceso es un firewall bsico que acta como intermediario entre el usuario y el servidor de autenticacin, y que necesita muy pocos recursos para funcionar. Cuando se trata de una red inalmbrica, el punto de acceso acta como autenticador. El servidor de autenticacin (a veces llamado NAS, que significa Servicio de autenticacin de red o Servicio de acceso a la red) puede aprobar la identidad del usuario transmitida por el controlador de la red y otorgarle acceso segn sus credenciales. Adems, este tipo de servidor puede almacenar y hacer un seguimiento de la informacin relacionada con los usuarios. En el caso de un proveedor de servicio, por ejemplo, estas

caractersticas le permiten al servidor facturarles en base a cunto tiempo estuvieron conectados o cuntos datos transfirieron. Generalmente el servidor de autenticacin es un servidor RADIUS (Servicio de usuario de acceso telefnico de autenticacin remota), un servidor de autenticacin estndar definido por la RFC 2865 y 2866, pero puede utilizarse cualquier otro servicio de autenticacin en su lugar. A continuacin encontrar un resumen sobre cmo funciona una red segura que usa el estndar 802.1x: 1. El controlador de acceso, despus de recibir la solicitud de conexin del usuario, enva una solicitud de autenticacin. 2. El usuario enva una respuesta al controlador de acceso, quien enruta la respuesta al servidor de autenticacin. 3. El servidor de autenticacin enva un "challenge" al controlador de acceso, quien lo transmite al usuario. El challenge es un mtodo para establecer la identificacin. Si el cliente no puede evaluar el challenge, el servidor prueba con otro y as sucesivamente. 4. El usuario responde al challenge. Si la identidad del usuario es correcta, el servidor de autenticacin enva la aprobacin al controlador de acceso, quien le permite al usuario ingresar a la red o a parte de ella, segn los derechos otorgados. Si no se pudo verificar la identidad del usuario, el servidor de autenticacin enva un mensaje de denegacin y el controlador de acceso le deniega al usuario el acceso a la red.

Intercambio de claves de cifrado:

Adems de autenticar usuarios, el estndar 802.1x les proporciona una manera segura de intercambiar claves de cifrado para mejorar la seguridad en general.