ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO

FACULTAD DE INFORMATICA Y ELECTRONICA

ESCUELA DE INGENIERIA ELECTRONICA

TELECOMUNICACIONES Y REDES

INFORME PRÁCTICA CONMUTACION Y ENRUTAMIENTO II

NOMBRE: Álvaro Tixi

CODIGO: 245625

TEMA: PORT AUTHENTICATION

RESUMEN

En la práctica realizada se desea obtener autentificación de un cliente mediante un servidor

Radius y conexión a un servidor www.

FUNDAMENTOS

Los usuarios de redes inalámbricas ya están acostumbrados al ritual de tener que proporcionar
información de acceso para poder conectarse a la red local. El estándar IEEE 802.1X define una
técnica de control de acceso a la red basada en puertos usada en la mayoría de los puntos de
acceso inalámbricos del mercado.

Son muchos los administradores que ignoran el hecho de que IEEE 802.1X puede proporcionar
también control de acceso en redes convencionales (cableadas). El esquema de autenticación
de IEEE 802.1X presenta en realidad varias ventajas, especialmente sobre la autenticación en
puertos basada en direcciones MAC que se puede burlar fácilmente y es a menudo tediosa de
administrar.

El protocolo IEEE 802.1X proporciona control de acceso en la Capa 2 de OSI (la Capa MAC). IEEE
802.1X soporta la autenticación de clientes mientras se establece la conexión a la red, antes de
que al cliente se le asigne una dirección IP vía DHCP (Dynamic Host Configuration Protocol).

Entre otras cosas, el estándar especifica como el protocolo de autenticación (EAP, Extensible
Authentication Protocol) se encapsula en marcos Ethernet.
Desbloqueo de un Puerto

El entorno de autenticación de IEEE 802.1X consta de tres componentes:

• El solicitante – El cliente que pide acceso a la red;

• El autenticador – Un switch Ethernet o un punto de acceso a través del cual pide el acceso el
solicitante;

• El servidor de autenticación – Un servidor de la red que mantiene una base de datos de

autenticación y se comunica con el autenticador para aprobar o denegar las solicitudes de
acceso.

En el caso de los puntos de acceso inalámbricos domésticos, el autenticador y el servidor de

autenticación suelen ubicarse físicamente dentro del mismo dispositivo. En una LAN cableada
la situación es algo más complicada. Muchos switches corporativos gestionados proporcionan
soporte integrado para IEEE 802.1X. Un switch configurado adecuadamente es por tanto apto
para desempeñar el papel de autenticador, recibiendo peticiones de acceso por parte de los
clientes y comunicándose con un servidor en segundo plano (que normal- mente usará el
popular protocolo de autenticación RADIUS).

Antes de que el switch (al que en el contexto de RADIUS nos referimos por NAS o Network
Access Server) permita pasar por uno de sus puertos cualquier tipo de tráfico (a los que el
estándar denomina PAE o Port Access Entities), el dispositivo que hace la petición, que suele
ser una máquina de escritorio o un portátil, deberá pasar por un proceso de autenticación.

Dicha autenticación tiene lugar en la capa de enlace de datos (Data Link Layer) y hace uso del
protocolo EAP (Extensible Authentication Protocol). El dispositivo solicitante ha de ejecutar un
pequeño programa cliente (el Solicitante). El cliente presenta sus credenciales en forma de
trama Ethernet especial llamada EAPoL. EAP soporta varias credenciales, pero la opción más
común son los certificados cliente X.509v3.

DESARROLLO

Configuración de Port-Authentication

Switch# configure terminal

Switch(config)# dot1x system-auth-control
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default radius
Switch(config)# radius-server host 192.168.123.23 auth-port 1812 key P@ssw0rd
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
Switch# show dot1x interface fa1/10 details
CONCLUSIONES

 Los componentes necesarios para la autenticación de dispositivos de terminal están

presentes en muchos entornos. Lo único que el administrador tiene que hacer es combinar
estos componentes.

 El switch hace uso del protocolo RADIUS (cuya especificación se corresponde con el RFC
2865) para comunicarse con el servidor.

 Para algunas personas, el control de acceso a la red o NAC (Network Access Control) incluye
además otros aspectos, como la validación técnica de los estados de las versiones o las
firmas de virus actualizadas, de acuerdo a unas políticas de seguridad determinadas.

RECOMENDACIONES

 Para habilitar Network Access Control en el switch, el administrador del sistema tiene que
cambiar los puertos (PAEs) del modo Authorized al modo Auto y proporcionar al dispositivo
de red la contraseña y la dirección IP del RAS.

 También conviene añadir una VLAN separada mediante una subred aislada para la
administración y poner el puerto como Authorized para evitar el típico problema de qué fue
antes, si el huevo o la gallina.

BIBLIOGRAFIA

http://www.linux-magazine.es/issue/59/043-047_IEEE802xLM59.pdf

http://www.linux-magazine.es/issue/05/Radius.pdf

http://www.buenastareas.com/ensayos/Configuracion-Swithc-Cisco-2950/376163.html

http://www.adslnet.es/forums/viewtopic.php?t=9671&start