• Artículo

The Cable GuyEAPHost en Windows

Joseph Davies

La información preliminar de esta columna acerca de Windows Server “Longhorn” está sujeta a cambios.

Cuando un cliente de acceso se conecta a una red protegida, debe usar un método de autenticación negociado para verificarse en un servidor de autenticación. Por ejemplo, el cliente de acceso y el servidor de autenticación pueden ponerse de acuerdo para usar un protocolo de autenticación de contraseña específico, como el Protocolo de autenticación por desafío mutuo de Microsoft.

Protocolo versión 2 (MS-CHAP v2). Sin embargo, cuando un cliente de acceso y un servidor de autenticación usan métodos de autenticación integrados y codificados, es difícil agregar protocolos nuevos.

El Protocolo de autenticación extensible (EAP) es un marco arquitectónico que ofrece extensibilidad para métodos de autenticación para tecnologías de acceso a red protegidas que se usan con frecuencia, como por ejemplo, redes inalámbricas basadas en IEEE 802.1X y conexiones de Protocolo punto a punto (PPP), como las de acceso telefónico y VPN. EAP no es un método de autenticación como MS-CHAP v2, sino un marco en el cliente de acceso y el servidor de autenticación que permite a los proveedores de redes desarrollar e instalar con facilidad nuevos métodos de autenticación conocidos como métodos EAP. Para obtener información general acerca de EAP, consulte la página web de EAP de Microsoft en microsoft.com/eap.

Aunque EAP es compatible con Microsoft® Windows® desde Windows 2000, la arquitectura de EAP en Windows XP y Windows Server® 2003 tiene limitaciones de extensibilidad para suplicantes y métodos EAP, que son componentes de software que pueden usar EAP en un tipo específico de capa de vínculo. La arquitectura de EAPHost en Windows Vista™ y en la siguiente versión de Windows Server, con el nombre en código "Longhorn", trata estas limitaciones, facilitando a los proveedores de redes de terceros la extensión de Windows para nuevos suplicantes y métodos EAP.

Compatibilidad de EAP en Windows Server 2003 y Windows XP

Windows Server 2003 y Windows XP usan EAP para conexiones inalámbricas o por cable que se autentican con 802.1X y para conexiones basadas en PPP como las de acceso telefónico o acceso remoto por VPN, o conexiones de sitio a sitio. De manera específica, estos sistemas operativos contienen una implementación de EAP que se adhiere a RFC 2284, e incluye suplicantes PPP e IEEE 802.1X. En la figura 1 se muestra la arquitectura suplicante y EAP para Windows XP y Windows Server 2003. Sin embargo, se debe tener en cuenta que la implementación de EAP en Windows XP Service Pack 2 (SP2) y Windows Server 2003 SP1 no es compatible con RFC 3748 (el estándar actual de Internet para EAP) y otros RFC de EAP.

Figura 1 Arquitectura suplicante y EAP para Windows XP y Windows Server 2003

Figura 1** Arquitectura suplicante y EAP para Windows XP y Windows Server 2003 **

Una API de EAP ofrece los medios para extender la autenticación en Windows XP y Windows Server 2003. Aunque los proveedores de terceros pueden desarrollar e instalar nuevos métodos EAP, los suplicantes PPP y 802.1X integrados no pueden usar todos los métodos EAP instalados. Por ejemplo, un proveedor puede crear uno nuevo método de autenticación EAP de búsqueda de huellas digitales pero es posible que dicho método no esté disponible para conexiones inalámbricas.

Debido a las limitaciones de los suplicantes integrados, algunos proveedores de software y hardware de terceros desarrollan sus propios suplicantes, que deshabilitan y reemplazan normalmente a suplicantes integrados y a la arquitectura de EAP completa. Sin embargo, esta alternativa presenta algunos problemas. En primer lugar, los suplicantes integrados y la arquitectura EAP conllevan costos y provoca demoras. Además, si un cliente de empresa no desarrolla sus propios suplicantes, puede contraer costos por asiento para dar una licencia e instalar un producto de terceros.

Características de EAPHost

EAPHost ofrece las siguientes nuevas características:

Compatibilidad con métodos EAP adicionales EAPHost admitirá la instalación y el uso de todos los métodos EAP incluidos en una lista en el Registro de EAP en www.iana.org/assignments/eap-numbers y otros métodos de autenticación populares como Lightweight EAP (LEAP), desarrollado y ofrecido por Cisco Systems, Inc.

Descubrimiento de red EAPHost admite el descubrimiento de red, tal como se define en RFC 4284.

Cumplimiento de RFC 3748 EAPHost se ajusta al equipo de estado de EAP y trata varias vulnerabilidades de seguridad especificadas en RFC 3748. Anteriormente, los suplicantes tenían que implementar sus propios equipos de estado. Además, EAPHost admite capacidades como Tipos EAP expandidos (incluidos los métodos EAP específicos de proveedor).

Coexistencia de métodos EAP EAPHost permite varias implementaciones del mismo método EAP que pueden coexistir de manera simultánea. Por ejemplo, puede instalar y seleccionar la versión de Microsoft de EAP Protegido (PEAP) y la versión de Cisco Systems, Inc. de PEAP.

Arquitectura de suplicante modular EAPHost es compatible con una arquitectura de suplicante modular en la que es posible agregar nuevos suplicantes fácilmente sin tener que reemplazar la implementación de EAP completa como en la versión anterior.

Para los proveedores de métodos EAP, EAPHost admite métodos EAP ya desarrollados para Windows XP y Windows Server 2003, y un método más sencillo para desarrollar nuevos métodos EAP para Windows Vista y Windows Server "Longhorn". EAPHost también permite una mejor clasificación de tipos EAP, de modo que el suplicante IEEE 802.1X integrado pueda usarlos.

Para los proveedores de suplicante, EAPHost ofrece compatibilidad para suplicantes adicionales para nuevas capas de vínculo. Dado que EAPHost está integrado con la protección de acceso a redes (NAP), los nuevos suplicantes no necesitan conocer NAP. Para participar en NAP, los nuevos suplicantes sólo deben registrar un identificador de conexión y una función de devolución de llamada que informe al suplicante de que debe volver a autenticarse. Para obtener más información acerca de NAP, consulte la columna Vigilancia de seguridad de John Morello en este número de TechNet Magazine, así como la página web de NAP en microsoft.com/nap. Para obtener información acerca de cómo desarrollar métodos EAP o suplicantes para EAPHost, consulte la información acerca del host del Protocolo de autenticación extensible en msdn2.microsoft.com/aa364249.aspx.

Arquitectura de infraestructura EAP y EAPHost

La arquitectura de EAPHost consta de la arquitectura de infraestructura EAP para EAPHost, la arquitectura de EAPHost en EAP del mismo nivel (el cliente que autentica) y la arquitectura de EAPHost en el servidor de autenticación. En la figura 2 se muestran los componentes de la arquitectura de infraestructura EAP para EAPHost en equipos que ejecutan Windows Vista o Windows Server "Longhorn". En estos sistemas operativos, el EAP de mismo nivel tiene una capa de suplicantes (como el suplicante integrado para 802.1X), la nueva arquitectura de EAPHost para los EAP de mismo nivel (facilitando la comunicación y la administración de suplicantes y métodos EAP), y una capa de métodos EAP para realizar la autenticación.

Figura 2 Arquitectura de infraestructura EAP para EAPHost

Figura 2** Arquitectura de infraestructura EAP para EAPHost **(Hacer clic en la imagen para ampliarla)

El servidor de autenticación para Windows Server "Longhorn" tiene el Servidor de directivas de redes (NPS), la nueva arquitectura de EAPHost para servidores de autenticación y una capa de métodos EAP. Anteriormente conocido como el Servicio de autenticación de Internet (IAS) en Windows Server 2003, NPS es un proxy y servidor RADIUS (Servicio de usuario de acceso telefónico de autenticación remota), y un servidor de directivas para NAP.

El suplicante en el EAP de mismo nivel usa una tecnología de capa de enlace como PPP o 802.1X para enviar y recibir los mensajes de EAP en el vínculo entre el EAP de mismo nivel y el autenticador de paso a través (un servidor de acceso a redes como un punto de acceso inalámbrico o un servidor de acceso remoto). El autenticador de paso a través y NPS en el servidor de autenticación usan RADIUS para enviar y recibir mensajes de EAP en la red basada en IP entre el autenticador de paso y el NPS.

Después de que el EAP de mismo nivel y el servidor de autenticación negocien el uso de un método EAP específico, la comunicación lógica consta de mensajes de EAP enviados entre el método EAP negociado en el EAP de mismo nivel y el servidor de autenticación.

En la figura 3 se muestra la arquitectura de EAPHost en el EAP de mismo nivel que ejecuta Windows Vista o Windows Server "Longhorn". Esta arquitectura consta de suplicantes, componentes de EAPHost, componentes de administración del método EAP y componentes de NAP.

Figura 3 Arquitectura de EAPHost en el EAP de mismo nivel

Figura 3** Arquitectura de EAPHost en el EAP de mismo nivel **(Hacer clic en la imagen para ampliarla)

Windows Vista y Windows Server "Longhorn" incluyen un suplicante 802.1X para conexiones inalámbricas y por cable basadas en 802.1X. Se está investigando un suplicante PPP para el acceso telefónico o el acceso remoto por VPN o conexiones de sitio a sitio para una futura actualización para estos dos sistemas operativos. También se pueden agregar suplicantes adicionales desarrollados por terceros. La API de EAPHost permite a los suplicantes usar EAP para conexiones. Para obtener más información, consulte el artículo en msdn2.microsoft.com/aa364249.aspx.

Los componentes de EAPHost incluyen el equipo de estado de cliente EAP/validador de protocolo, que mantiene el equipo de estado de EAP de mismo nivel (consulte RFC 3748) y valida los mensajes de EAP. También se incluye el administrador de métodos EAP, que administra los distintos métodos EAP ya sean compatibles con EAPHost o no, y ayudan a que los métodos EAP estén disponibles para aplicaciones y servicios. Por último, tenemos el administrador de la biblioteca EAP, que facilita la carga y la descarga de bibliotecas de métodos EAP.

Entre los componentes del método EAP se incluyen:

Métodos EAP integrados Se incluyen PEAP, EAP-TLS (Seguridad de la capa de transporte) y EAP-MS-CHAP-V2.

Dos API de host Alojan métodos EAP compatibles con EAP-Host (API de EAP heredada) y métodos EAP compatibles con EAPHost de terceros (API de método EAPHost).

Método de traductor heredado Traduce entre métodos EAP no compatibles con EAPHost escritos en la API de EAP heredada y la API de método EAPHost.

Administrador proxy de método EAP . Aloja los métodos EAP de terceros, ya sean compatibles o no con EAPHost.

La API del método EAP es la nueva API para métodos EAP compatibles con EAPHost. Los métodos EAP exportan las API definidas en la API del método EAP. EAPHost carga los métodos EAP e invoca las funciones de API exportadas.

Los componentes NAP incluyen los artículos siguientes:

EAP NAP EC Messenger . Este componente facilita la comunicación de datos relacionados con NAP, como instrucciones de estado y eventos, entre el cliente de cumplimiento (EC) NAP de EAPHost y otros componentes de EAPHost.

EAPHost NAP EC . Interactúa con otros componentes NAP para ofrecer la validación del estado y el cumplimiento del acceso limitado cuando una conexión autenticada 802.1X no cumple los requisitos de estado del sistema de NAP.

Agente NAP Mantiene el estado actual del cliente y facilita la comunicación entre los EC NAP instalados y la capa de agentes del estado del sistema (SHA). Cada SHA se define para uno o más requisitos del estado del sistema.

Como se muestra en la figura 3, los proveedores de terceros pueden desarrollar nuevos suplicantes y nuevos métodos EAP compatibles con EAPHost. También se pueden usar métodos EAP existentes desarrollados para Windows Server 2003 o Windows XP.

En la figura 4 se muestra la arquitectura de EAPHost en el servidor de autenticación que ejecuta Windows Server "Longhorn" y NPS. Esta arquitectura es igual que la del EAP de mismo nivel para admitir métodos EAP. En lugar de suplicantes, el servidor de autenticación tiene NPS, que emplea la API de EAPHost para usar y configurar métodos EAP. Dentro de los componentes de EAP, el equipo de estado de servidor EAP/validador de protocolo realiza la tarea de mantener el equipo de estado de servidor de autenticación EAP y de validar los mensajes entrantes de EAP.

Figura 4 Arquitectura de EAPHost en el servidor de autenticación

Figura 4** Arquitectura de EAPHost en el servidor de autenticación **(Hacer clic en la imagen para ampliarla)

EAPHost en el servidor de autenticación permite a otros proveedores de software desarrollar e instalar nuevos métodos EAP compatibles con EAPHost y admite métodos EAP que se hayan desarrollado para Windows XP y Windows Server 2003.

Para el EAP de mismo nivel y el servidor de autenticación, EAPHost ofrece también una API de proxy de IU de EAPHost (que no se muestra en las figuras 3 y 4), que los métodos compatibles con EAPHost pueden usar para mostrar cuadros de diálogo que requieren la interacción del usuario. La API de proxy de IU de EAPHost permite a otros proveedores agregar sus propios cuadros de diálogo para una experiencia de usuario sin complicaciones.

Conclusión

EAPHost en Windows Server "Longhorn" y Windows Vista actualiza la implementación de EAP en Windows para los estándares de Internet más recientes y ofrece una nueva arquitectura modular para ampliar Windows con los suplicantes y los métodos de autenticación EAP. Los proveedores de redes pueden ampliar la experiencia de usuario existente en Windows sin reemplazar la implementación completa de EAP de Windows desarrollando nuevos suplicantes escritos en la API de EAPHost y nuevos métodos de autenticación escritos en la API del método EAPHost. EAPHost también admite métodos EAP desarrollados para Windows Server 2003 y Windows XP.

EAPHost para Windows XP

Microsoft tiene programado lanzar al mercado una actualización de Windows XP SP2 que incluye la arquitectura de EAPHost, compatibilidad para RFC 3748 y un suplicante basado en EAPHOST para conectividad 802.1X inalámbrica. Con la actualización, los suplicantes de EAPHost desarrollados para Windows Vista también funcionarán en Windows XP SP2. Para obtener la información más reciente acerca de esta actualización, consulte el blog de equipo del producto NAP en blogs.technet.com/nap.

Joseph Davieses escritor técnico en Microsoft y ha enseñado y escrito sobre temas de red de Windows desde 1992. Ha escrito cinco libros para Microsoft Press y es el autor de la columna mensual TechNet Cable Guy (en inglés).

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.