IEEE 802.1X
IEEE 802.1X es un estándar IEEE para el control de acceso a la red (PNAC) basado en puertos . Es parte del grupo de protocolos de red IEEE 802.1 . Proporciona un mecanismo de autenticación a los dispositivos que deseen conectarse a una LAN o WLAN .
IEEE 802.1X define la encapsulación del Protocolo de autenticación extensible (EAP) sobre IEEE 802.11 , [1] [2] que se conoce como "EAP sobre LAN" o EAPOL. [3] EAPOL se diseñó originalmente para IEEE 802.3 Ethernet en 802.1X-2001, pero se aclaró para adaptarse a otras tecnologías de LAN IEEE 802, como IEEE 802.11 inalámbrica e interfaz de datos distribuidos por fibra (ANSI X3T9.5/X3T12 e ISO 9314) en 802.1 X-2004. [4] EAPOL también se modificó para su uso con IEEE 802.1AE ("MACsec") e IEEE 802.1AR (Secure Device Identity, DevID) en 802.1X-2010 [5] [6] para admitir la identificación del servicio y el cifrado punto a punto opcional sobre el segmento LAN interno.
La autenticación 802.1X involucra a tres partes: un solicitante, un autenticador y un servidor de autenticación. El solicitante es un dispositivo cliente (como una computadora portátil) que desea conectarse a la LAN/WLAN. El término "solicitante" también se usa indistintamente para referirse al software que se ejecuta en el cliente que proporciona las credenciales al autenticador. El autenticador es un dispositivo de red que proporciona un enlace de datos entre el cliente y la red y puede permitir o bloquear el tráfico de red entre los dos, como un conmutador Ethernet o un punto de acceso inalámbrico ; y el servidor de autenticaciónsuele ser un servidor de confianza que puede recibir y responder a solicitudes de acceso a la red, y puede decirle al autenticador si se debe permitir la conexión y varias configuraciones que deben aplicarse a la conexión o configuración de ese cliente. Los servidores de autenticación normalmente ejecutan software compatible con los protocolos RADIUS y EAP . En algunos casos, el software del servidor de autenticación puede estar ejecutándose en el hardware del autenticador.
El autenticador actúa como un guardia de seguridad de una red protegida. El suplicante (es decir, el dispositivo del cliente) no tiene permitido el acceso a través del autenticador al lado protegido de la red hasta que la identidad del suplicante haya sido validada y autorizada. Con la autenticación basada en puertos 802.1X, el solicitante debe proporcionar inicialmente las credenciales requeridas al autenticador; el administrador de la red las habrá especificado previamente y podrían incluir un nombre de usuario/contraseña o un certificado digital permitido.. El autenticador envía estas credenciales al servidor de autenticación para decidir si se debe otorgar acceso. Si el servidor de autenticación determina que las credenciales son válidas, informa al autenticador, que a su vez permite que el suplicante (dispositivo cliente) acceda a los recursos ubicados en el lado protegido de la red. [7]
EAPOL opera sobre la capa de enlace de datos y en el protocolo de tramas Ethernet II tiene un valor EtherType de 0x888E.
802.1X-2001 define dos entidades de puertos lógicos para un puerto autenticado: el "puerto controlado" y el "puerto no controlado". El puerto controlado es manipulado por 802.1X PAE (entidad de acceso al puerto) para permitir (en el estado autorizado) o evitar (en el estado no autorizado) la entrada y salida del tráfico de red hacia/desde el puerto controlado. El puerto no controlado es utilizado por el PAE 802.1X para transmitir y recibir tramas EAPOL.
