Protocolo IEEE 802.

1X
Entender lo que es el estndar IEEE 802.1X y por qu le debe importar significa
entender tres conceptos distintos: PPP, EAP y 802.1X en s mismo.

PPP y EAP definidos

La mayora de la gente est familiarizada con el PPP -Point-to-Point Protocol.
PPP es ms comnmente utilizado para el acceso a Internet dial-up. PPP
tambin es utilizado por algunos proveedores de Internet para la autenticacin
DSL y de cable modem. El PPP es parte de Layer 2 Tunneling Protocol, una
parte fundamental de la solucin de seguridad de acceso remoto para Windows
2000 en adelante.
PPP evolucion ms all de su uso original como un mtodo de acceso dial-up,
y ahora se utiliza en todo el Internet. Una pieza de PPP define un mecanismo
de autenticacin. Con el acceso dial-up a Internet, es el nombre de usuario y la
contrasea que est acostumbrado a usar. La autenticacin PPP se utiliza para
identificar al usuario en el otro extremo de la lnea PPP antes de darle acceso.
La mayora de las empresas quieren hacer ms por la seguridad que solo usar
nombres de usuario y contraseas para el acceso, por lo que se ha diseado
un nuevo protocolo de autenticacin, llamado Extensible Authentication
Protocol (EAP). EAP se encuentra dentro del protocolo de autenticacin PPP, y
proporciona un marco general para varios mtodos de autenticacin diferentes.
Se supone que EAP est a la cabeza de los sistemas de autenticacin
propietarios y permite que las contraseas, tokens y certificados pblicos de
infraestructura pblica trabajen sin problemas.
Con un estndar EAP, la interoperabilidad y la compatibilidad de los mtodos
de autenticacin se hace ms simple. Por ejemplo, al marcar a un servidor de
acceso remoto y utilizar EAP como parte de su conexin PPP, RAS no necesita
saber los detalles sobre su sistema de autenticacin. Solo usted y el servidor
de autenticacin deben estar coordinados. Mediante el apoyo de la
autenticacin EAP un servidor RAS deja de actuar como intermediario, y solo
los agrupa paquetes EAP para transferirlos a un servidor RADIUS que va a
hacer la autenticacin.
Esto nos lleva a la norma IEEE 802.1X, que es simplemente una norma para
pasar EAP a travs de una LAN cableada o inalmbrica. Con 802.1X, se
empaqueta los mensajes EAP en tramas Ethernet y no utiliza PPP. Su
autenticacin y nada ms. Eso es deseable en situaciones en las que el resto
de los productos PPP no son necesarios, en las que est usando otros
protocolos de TCP/IP, o donde la sobrecarga y la complejidad de la utilizacin
de productos PPP no son deseables.
802.1X utiliza tres trminos que necesita saber. El usuario o cliente que desea
ser autenticado se llama suplicante. El servidor que hace la autenticacin, por
lo general un servidor RADIUS, se llama el servidor de autenticacin. Y el
dispositivo en el medio, tal como un punto de acceso inalmbrico, se llama el
autenticador. Uno de los puntos claves de 802.1X es que el autenticador puede
ser simple y tonto -todos los cerebros tienen que estar en el suplicante y el
servidor de autenticacin. Esto hace que 802.1X sea ideal para puntos de
acceso inalmbricos, los que por lo general suelen ser pequeos y tienen poca
memoria y potencia de procesamiento.
El protocolo en 802.1X es llamado encapsulacin de EAP sobre LAN (EAPOL).
En la actualidad est definido para redes LAN tipo Ethernet incluyendo redes

inalmbricas 802.11, as como redes Token Ring tales como FDDI. EAPOL no
es particularmente sofisticado. Hay una serie de modos de operacin, pero el
caso ms comn sera algo como esto:
1. El autenticador enva un paquete "de solicitud/identidad EAP
(Request/Identity)" para el suplicante tan pronto como detecta que el enlace
est activo (por ejemplo, el sistema solicitante se ha asociado con el punto de
acceso).
2. El solicitante enva un paquete "de respuesta/identidad EAP
(Response/Identity)" para el identificador, que luego se pasa al servidor de
autenticacin (RADIUS).
3. El servidor de autenticacin enva un desafo al autenticador, como por
ejemplo un sistema de contrasea token. El autenticador descomprime esto de
IP y reorganiza en EAPOL y lo enva al suplicante. Diferentes mtodos de
autenticacin variarn este mensaje y el nmero total de mensajes. EAP
soporta la autenticacin solo del cliente y la autenticacin mutua fuerte. Solo
una fuerte autenticacin mutua se considera apropiada para el caso de redes
inalmbricas.
4. El solicitante responde al desafo a travs de la autentificacin y pasa la
respuesta al servidor de autenticacin.
5. Si el solicitante proporciona identidad propia, el servidor de autenticacin
responde con un mensaje de xito, que luego se pasa al suplicante. El
autenticador permite ahora el acceso a la LAN -posiblemente restringida segn
los atributos que vienen desde el servidor de autenticacin. Por ejemplo, el
autenticador puede cambiar el solicitante a una red LAN virtual o instalar un
conjunto de reglas de firewall.
Cmo
ayudar
a
la
seguridad
inalmbrica
802.1X?
El protocolo Wired Equivalent Privacy (WEP), se ha desacreditado hasta tal
punto que su autenticacin y cifrado no se consideran suficientes para su uso
en las redes empresariales. En respuesta al fiasco de WEP, muchos
proveedores inalmbricos de LAN se han enganchado en el estndar 802.1X
IEEE para ayudar a autenticar y asegurar la LAN inalmbrica y cableada. El
comodn con el protocolo 802.1x es la interoperabilidad.
La autenticacin 802.1X ayuda a mitigar muchos de los riesgos involucrados en
el uso de WEP. Por ejemplo, uno de los mayores problemas con WEP es la
larga vida de las claves y el hecho de que son compartidas entre muchos
usuarios y son bien conocidas. Con 802.1X, cada estacin puede tener una
clave nica para cada sesin de WEP. El autenticador (punto de acceso
inalmbrico) tambin podra optar por cambiar la clave WEP con mucha
frecuencia, como por ejemplo una vez cada 10 minutos o cada mil marcos.
802.1X no garantiza una mayor seguridad. Por ejemplo, un autenticador no
puede cambiar la clave que le da a cada solicitante. O bien, el administrador de
red puede seleccionar un mtodo de autenticacin que no permite la
distribucin de claves WEP. Sin embargo, 802.1X le da al administrador de red
informado la posibilidad de disear e implementar una mayor seguridad de
WLAN.

IEEE 802.1s
Multiple Spanning Tree Protocol(MSTP) se defini originalmente en IEEE 802.1s y ms
tarde se fusion con el estndar 802.1 Q en 2003.

MSTP extiende el algoritmo de RSTP a mltiples arboles de expansin y permite lograr

rpida convergencia y balanceo de carga en presencia de VLANS.
Ventajas
Mejora la utilizacin de la infraestructura, distribucin de trfico.
Se consigue una mejor resistencia a fallos por la multiplicidad de rboles construidos.

Observaciones

La configuracin de MSTP se realiza de switch a switch, a menos que se utilice VTP

versin 3 que permite la propagacin de la informacin de MST.