Redes WiFi están afectadas por problemas de acceso no autorizado, mucho más que las redes de cable. Esto es obvio si usted piensa que alrededor de este hecho para acceder a este último un punto de acceso físico es necesario (conector RJ45), en las redes inalámbricas sólo tienes que estar dentro del rango de cobertura para acceder a ella. Una primera solución al problema fue WEP (Wired Equivalent Privacy). Sin embargo, este método, asociadas con la presencia de claves cifradas simétrica en ambos los puntos de acceso y todos los clientes autorizados para el acceso, dio a los administradores de red el trabajo de cambiar periódicamente las claves y comunicar el cambio a todos los usuarios. El resultado fue que las claves WEP se mantuvo sin cambios durante largos períodos de tiempo, haciendo que la inseguridad de la red.
El protocolo 802.1x autentificación introducidos y el apoyo a la gestión dinámica de las claves WEP. De esta manera, una vez que el cliente se autentica las teclas que el tráfico inalámbrico se cifra con alimentada automáticamente y se cambió más de una vez durante una sesión de trabajo. El período de validez de las claves es lo suficientemente corto como para que sean difíciles de determinar por un intruso intenta un ataque.
Desde el punto de vista práctico, el protocolo 802.1x es otro que el protocolo EAP (Extensible Authentication Protocol) de autenticación utilizado para autenticar conexiones punto a punto, adaptado para funcionar en las tramas Ethernet en lugar de paquetes PPP. Por esta razón el protocolo 802.1x es también conocido como EAPoL (EAP sobre LAN).
En la terminología EAP las entidades que juegan un papel durante el proceso de autenticación se incluyen: el suplicante, es decir, el cliente pide que acceder a la red, el autenticador que en las redes inalámbricas coincide con el Punto de acceso, servidor de la autenticación que verifica si los usuarios son realmente quienes dicen ser. El servidor de autenticación es a menudo uno y el mismo que el servidor RADIUS, mientras que el autenticador es lo que se define como NAS (Network Access Server) en el protocolo RADIUS.
Como se mencionó anteriormente EAP es sólo un protocolo de autenticación que ofrece el servidor de autenticación suplicante y la tarea de establecer el método de autenticación real de uso. Puede verse que el punto de acceso es transparente desde este punto de vista, ya que su único trabajo consiste en reenviar los paquetes a través de la suplicante EAPoL con el servidor RADIUS y los encapsula en IP (el servidor RADIUS se puede llegar por la parte cableada de la AP) y viceversa.
El servidor RADIUS Zeroshell apoya los métodos de autenticación se describen a continuación debido a que incluyen los que ofrecen una mayor garantía de seguridad y con el apoyo de la mayoría de los suplicantes.
- EAP-TLS, que utilizan TLS para la autenticación mutua entre el solicitante y punto de acceso. Tanto el servidor RADIUS y suplicante debe tener un certificado X509 de clave privada y relevante. Aparte de la tarea de tener que dotar a cada usuario con un certificado, éste es sin duda el método de autenticación más seguro y conveniente, ya que no hay ninguna contraseña de usuario debe ser introducido.
- PEAP (Protected EAP), que en su lugar utiliza TLS para autenticar el punto de acceso y establecer un túnel cifrado en MS-CHAPv2 se utiliza para autenticar el suplicante con un nombre de usuario y contraseña. La ventaja de este método es que sólo el servidor RADIUS tiene que tener el certificado de servidor y la clave privada, mientras que el usuario utiliza la misma contraseña para autenticarse con Kerberos 5 en los servicios de la red.
Además del protocolo 802.1x, en los puntos de acceso que gestionan múltiples SSID asignado en el etiquetado VLAN 802.1Q, Zeroshell apoya a la asociación en una VLAN particular basada en el nombre de usuario suministrado en la NC certificado si la autenticación EAP-TLS, en el nombre de usuario proporcionada por el solicitante en el caso de PEAP, en el usuario pertenece a un grupo para el que ha sido una VLAN asignada y en el cliente de dirección MAC, si los métodos anteriores no definen una VLAN.