802.

1x
La norma 802.1x permite el control de acceso a la red basándose en el puerto de conexión.
Veamos cómo funciona. El protocolo 802.1x ofrece un mecanismo de autenticación de aquellos
dispositivos que quieran conectarse a una red. Este protocolo involucra a tres participantes.
Denominamos suplicante al equipo que quiere conectarse a la red, aunque también se suele
denominar así al software que hace funcionar el protocolo.

El autenticador es el dispositivo de red al que nos conectamos físicamente, es el responsable de

solicitar la autenticación al cliente, y de comprobarla con el servidor de autenticación. Este
servidor, además de informar si el cliente está o no autorizado a conectarse, puede ofrecer las
instrucciones más precisas para que el autenticador asigne el puerto a una distinta VLAN o active
algún parámetro opcional. El funcionamiento habitual del protocolo 802.1x sería el siguiente:
cuando un equipo se conecta a la red, el "switch" deja la toma en modo No autenticado.

CARACTERISTICAS

 Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una

conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla
 Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo
de autenticación extensible
 Está disponible en ciertos conmutadores de red y puede configurarse para autenticar
nodos que están equipados con software suplicante.
 permite la autenticación sólo del cliente o, más apropiadamente, una autenticación
mutua fuerte utilizando protocolos como EAP-TLS
 Tiene 3 participantes en su proceso
1.El suplicante o cliente, que desea conectarse con la red
2. El servidor de autorización/autenticador, que contiene toda la información necesaria
para saber cuales equipos y usuarios están autorizados para acceder a la red
3. El Autenticados, que es el equipo de red que recibe la conexión del suplicante. El
autenticador r actúa como intermediario entre el suplicante y el servidor de autenticación
y solamente permite el acceso del suplicante a la red cuando el servidor de autenticación
así lo autoriza.
 VENTAJAS

 Nivel de Seguridad alto Se trata de un esquema de autenticación de seguridad elevado

porque puede emplear certificados de cliente o nombres de usuarios y contraseñas
 Autenticación de usuarios y de equipos: Permite la autenticación por separado de usuario
y de equipo. La autenticación por separado de un equipo permite administrarlo incluso
cuando ningún usuario ha iniciado la sesión.
 Transparencia: proporciona una autenticación y una conexión a la WLAN transparentes.
 Cifrado más seguro: permite un cifrado muy seguro de los datos de la red.
 Bajo coste: bajo coste del hardware de red.
 Alto rendimiento: dado que el cifrado Se lleva a cabo en el hardware de WLAN y no en la
CPU del equipo cliente, el cifrado de WLAN no influirá en el nivel de rendimiento del
equipo cliente.
 Mejora la seguridad cuando es adecuadamente implementado.
 Mejora en la presentación de informes (reporting) y en el seguimiento (tracking) basado
en los nombres de usuarios de clientes, incluso más aún si está atado a un backend LDAP
como Active Directory.
 Posibilidad de aplicar restricciones a un usuario/perfil en particular.
 Cuando un usuario se autentifica en una SSID usando 802.1X, esa sesión individual está
encriptada únicamente entre el usuario y el punto de acceso. Esto significa que otro
usuario conectado al mismo SSID no puede escuchar el tráfico ni robar información, dado
que están utilizando diferentes key (claves) de encriptación para sus respectivas
conexiones. En cambio, en una red PSK, cada dispositivo conectado al punto de acceso
comparte la misma encriptación de conexión, por lo que otros usuarios podrían espiar en
el tráfico si quisieran.
 Es posible desconectar a un único usuario o dispositivo sin afectar al resto, sin cambiar la
clave del resto.
 Puedes asignar permisos individuales (para cada usuario). En cambio, en el método de
clave compartida sólo puedes crear un único perfil de usuario que todos compartirán.

DEVENTAJAS
 interoperabilidad, Aunque 802.1x disfruta de una aceptación casi universal, el uso de
distintos métodos de EAP implica que la interoperabilidad no siempre está garantizada.
  Disponibilidad: Por ser compleja la configuración en lo que respecta a la seguridad de
WLAN, muchas de las empresas no disponen del estándar 802.1x
 Si los usuarios se conectan a la red inalámbrica con un dispositivo personal,
802.1X/RADIUS puede ser más dificultoso o complejo de configurar para los usuarios
finales, especialmente quienes usan Windows.

Para entender cómo funciona el protocolo 802.1x sigamos el siguiente esquema.

1. El cliente, que quiere conectarse a la red, envía un mensaje de inicio de EAP que da lugar
al proceso de autentificación. Por ejemplo, la persona que quiere acceder al banco pediría
acceso al guardia de seguridad de la puerta.
2. El punto de acceso a la red respondería con una solicitud de autentificación EAP. En el
ejemplo, el guardia de seguridad respondería solicitando el nombre y el apellido del
cliente, así como su huella digital. Además, antes de preguntarle, el guarda de seguridad le
diría una contraseña al cliente, para que éste sepa que realmente es un guardia de
seguridad.
3. El cliente responde al punto de acceso con un mensaje EAP que contendrá los datos de
autentificación. ‘Nuestro cliente le daría el nombre y los apellidos al guardia de seguridad
además de su huella digital’.
4. El servidor de autentificación verifica los datos suministrados por el cliente mediante
algoritmos, y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema del
banco verificaría la huella digital, y el guardia validaría que se correspondiese con el
cliente.
5. El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el
cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la puerta o no,
en función de la verificación al cliente.
6. Una vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso
establecerá el puerto del cliente en un estado autorizado. Nuestro cliente estará dentro
del banco.

DIAGRAMA DE EL SISTEMA 802.1X

Por qué 802.1x

Muchas prácticas se han establecido como recomendables para minimizar los riesgos asociados al
acceso indebido en redes inalámbricas. Entre las principales recomendaciones de este tipo se
encuentran:

 Evitar la difusión del identificador de red o SSID (Service Set Identifier).

 Establecer listas de control de acceso por direcciones físicas o de MAC(Media Access Control)
de los dispositivos que acceden a la red.
 Utilizar cifrado en las conexiones inalámbricas.
 Segmentar los puntos de acceso inalámbricos en zonas de seguridad administradas por un
firewall.
 Establecer redes privadas virtuales o VPNs en las conexiones inalámbricas.
 Combinar mecanismo de autenticación a la red y cifrado de datos
 No implementar infraestructura inalámbrica.

De estas prácticas, algunas se han implementado directamente en los dispositivos inalámbricos,

como el uso de cifrado. Inicialmente surgió el protocolo WEP el cual utiliza una clave secreta
estática (no hay renovación de la clave de manera automática y frecuente) que es compartida por
el punto de acceso y todos los clientes que accedan a través de este a la red, y con la cual se
realiza la autenticación a
la red y la protección de
los datos.
 NAT
El término NAT es la abreviatura de Network Address Transalation o direcciones de red. NAT es el
proceso mediante el cual una o más direcciones locales (local address) se traducen en unas más
direcciones globales (global IP address) y viceversa, con el fin de proporcionar acceso a internet a
los host locales.
Recibe este nombre la reescritura por parte de un router de algunos campos de la cabecera IP de los
datagramas que encamina:
● Cambia IP origen y puerto origen en el tráfico saliente
● Cambiar IP destino y puerto destino en el tráfico entrante
El objetivo de esta técnica es paliar la escasez de direcciones IP (fin de las direcciones IPv4)
Usando NAT, una organización puede utilizar direcciones IP privadas internamente y comprar una
sola dirección IP pública para la conexión a Interne
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto se logra
al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar la
traducción a una dirección pública solo cuando sea necesario. NAT tiene el beneficio percibido de
agregar un grado de privacidad y seguridad a una red, ya que oculta las direcciones IPv4 internas de
redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas
válidas. Estas direcciones públicas se conocen como “NAT pool”. Cuando un dispositivo interno
envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna del
dispositivo a una dirección pública del conjunto de NAT. Para los dispositivos externos, todo el
tráfico entrante y saliente de la red parece tener una dirección IPv4 pública del pool de direcciones
proporcionado.
Funcionalidad
La NAT estática permite que las comunicaciones se inicien desde la red interna o desde una red
externa, como por ejemplo Internet. Resulta especialmente útil si dentro de la red interna hay un
sistema al que desea permitir el acceso de usuarios públicos.
CARACTERISTICAS

 Direccionamiento estático: Traducción uno a uno configurada de forma manual.

 Traducción de direcciones de origen dinámicas: Se define un rango de direcciones, estas
direcciones son las que se traducen.
 Port Address Translation - PAT: Diferentes direcciones dentro de una organización son
traducidas a una única dirección pública. El identificador de puerto TCP o UDP es el que
 identifica a cada una de las estaciones. Se identifican las direcciones locales a través de los
puertos.
 Traducción rotatoria de la dirección de destino (Destination Address Rotary Translation):
Definido para tráfico entrante en la red. La dirección foránea se mapea con un ACL con una
dirección interna. Este tipo de traducción sólo se puede realizar con TCP.Direccionamiento
estático.
Existen tres tipos de traducción NAT:
1. Traducción estática de direcciones (NAT estática): asignación de direcciones uno a uno
entre una dirección local y una global.
2. Traducción dinámica de direcciones (NAT dinámica): asignación de varias direcciones a
varias direcciones entre direcciones locales y globales. Las traducciones se realizan en
función de la disponibilidad; por ejemplo: si hay 100 direcciones locales internas y
10 direcciones globales internas, luego en un momento determinado solo 10 de las
100 direcciones locales internas pueden traducirse. Esta limitación de NAT dinámica hace
que sea mucho menos útil para redes de producción que la traducción de direcciones de
puertos.
3. Traducción de la dirección del puerto (PAT): asignación de varias direcciones a una
dirección entre direcciones locales y globales. Este método también se conoce como
“sobrecarga” (NAT con sobrecarga). Por ejemplo: si hay 100 direcciones locales internas y
10 direcciones globales internas, PAT utiliza los puertos como parámetro adicional para
proporcionar un efecto multiplicador, lo que permite reutilizar cualquiera de las
10 direcciones globales internas hasta 65 536 veces (según si el flujo se base en UDP, TCP
o ICMP).
VENTAJAS
NAT ofrece varios beneficios, incluidos los siguientes:

 Conserva el esquema de direccionamiento legalmente registrado al permitir la

privatización de las intranets. NAT conserva las direcciones mediante la multiplexación
de aplicaciones en el nivel de puerto. Con la NAT con sobrecarga, los hosts internos pueden
compartir una única dirección IPv4 pública para todas las comunicaciones externas. En este
tipo de configuración, se requieren muy pocas direcciones externas para admitir varios
hosts internos.
 Aumenta la flexibilidad de las conexiones a la red pública. Se pueden implementar
varios conjuntos y conjuntos de respaldo y de equilibrio de carga para asegurar conexiones
de red pública confiables.
 NAT proporciona coherencia a los esquemas de direccionamiento de red interna. Para
cambiar el esquema de direcciones IPv4 públicas en una red que no utiliza direcciones IPv4
privadas ni NAT, se requiere redireccionar todos los hosts en la red existente. Los costos de
redireccionamiento de hosts pueden ser considerables. NAT permite mantener el esquema
de direcciones IPv4 privadas existente a la vez que facilita el cambio a un nuevo esquema
de direccionamiento público. Esto significa que una organización podría cambiar los ISP
sin necesidad de modificar ninguno de sus clientes internos.
 NAT oculta las direcciones IPv4 de usuarios. Como utiliza direcciones IPv4 RFC 1918,
NAT proporciona el efecto colateral de ocultar las direcciones IPv4 de los usuarios y de
 otros dispositivos. Algunas personas consideran que es una característica de seguridad,
aunque la mayoría de los expertos está de acuerdo en que NAT no proporciona seguridad.
Un firewall con detección de estado es lo que brinda seguridad al perímetro de la red.

DESVENTAJAS

Desventajas de la NAT

NAT presenta algunas desventajas. El hecho de que los hosts en Internet parezcan comunicarse de
forma directa con el dispositivo con NAT habilitada, en lugar de hacerlo con el host real dentro de
la red privada, genera una serie de inconvenientes.

 Se deteriora el rendimiento de la red, en especial, en el caso de los protocolos en tiempo real

como VoIP. NAT aumenta los retrasos de reenvió porque la traducción de cada dirección IPv4
dentro de los encabezados de los paquetes lleva tiempo.
 Se pierde el direccionamiento de extremo a extremo. Muchos protocolos y aplicaciones de
Internet dependen del direccionamiento de extremo a extremo desde el origen hasta el
destino. Algunas aplicaciones no funcionan con NAT. Por ejemplo, algunas aplicaciones de
seguridad, como las firmas digitales, fallan porque la dirección IPv4 de origen cambia antes de
llegar a destino. Las aplicaciones que utilizan direcciones físicas, en lugar de un nombre de
dominio calificado, no llegan a los destinos que se traducen a través del router NAT. En
ocasiones, este problema se puede evitar al implementar las asignaciones de NAT estática.
 Se reduce el seguimiento IPv4 de extremo a extremo. El seguimiento de los paquetes que
pasan por varios cambios de dirección a través de varios saltos de NAT se torna mucho más
difícil y, en consecuencia, dificulta la resolución de problemas.
 Genera complicaciones en la utilización de protocolos de tunneling, como IPsec, porque NAT
modifica valores en los encabezados, lo que hace fallar las comprobaciones de integridad
 El inicio de las conexiones TCP puede interrumpirse. A menos que el router NAT esté
configurado para admitir dichos protocolos, los paquetes entrantes no pueden llegar a su
destino. Algunos protocolos pueden admitir una instancia de NAT entre los hosts participantes
(por ejemplo, FTP de modo pasivo), pero fallan cuando NAT separa a ambos sistemas de
Internet

DIAGRAMA DE SISTEMA NAT