Aspectos de Seguridad en Redes Locales e Inalámbricas : Acceso a la

Red controlado por puerto ( IEEE 802.1X)

Guillermo Ibáñez Fernández

Universidad Carlos III . Ingeniería Telemática
[email protected]

Abstract. The wide success of Local Area Networks, both Wired and Wireless and the growth in their
size (Ethernet Metropolitan Area Network (e-MAN)s, Virtual Private LANs (VPLS),Virtual Private
Networks (VPNs), and the growing expectations for cheap and ubiquitous computing created by
802.11 Wireless LANs make the requirement for security in LANs lower layers essential. In line with
this requirement, the IEEE approved in June 2001 the IEEE STD 802.1X Port-Based Network Access
Control for LANs and MANs. This article describes the principles of Network Access Control used in
IEEE 802.1X, the auxiliary protocols used and practical design considerations regarding coexistence
with other switched LAN protocols. Finally, the article focuses on the security aspects and limitations
of 802.1X application to 802.11 Wireless LAN Networks, the current status and perspectives of 802.11
networks security, currently under a radical improvement both by standardization activities and
industry improvements (IEEE 802.11i and Wi-Fi Protected Access)

1. Introducción redes locales IEEE 802 para facilitar una forma de

autenticación y autorización de dispositivos
Las redes de Area Local (LAN) IEEE 802, en conectados a un puerto de la LAN en modo punto a
punto y de impedir el acceso a dicho puerto si falla el
especial las Ethernet (IEEE 802.3) se han extendido
en la última década de forma imparable por su proceso de autenticación y autorización.
economía y sencillez de configuración . Su alcance se
El presente artículo describe los principios del
extiende al ámbito metropolitano (MAN) por el
incremento de órdenes de magnitud experimentado Control de Acceso en redes locales y metropolitanas
en los anchos de banda transportados (Gigabit cableadas e inalámbricas utilizados en IEEE 802.1X,
Ethernet y 10 GbE) . De igual forma las Redes los protocolos auxiliares empleados (Extended
Inalámbricas basadas en el estándar IEEE 802.11 Authentication Protocol (EAP), Extended
presentan un crecimiento espectacular. Todo ello Authentication over VLAN (EAPOL)) y aspectos
incide en hacer cada vez más necesaria la seguridad importantes de su utilización con RADIUS (Remote
de este tipo de redes. El IEEE, consciente de esta Authentication Dial-In User Server) y otras
necesidad, aprobó en Junio de 2001 el estándar IEEE consideraciones prácticas de diseño y coexistencia
con otros protocolos habituales de redes LAN
Std 802.1X-2001 que especifica el control de acceso
a la red basado en puerto, el cual utiliza las conmutadas.
características físicas de las infraestructuras de las

Fig.1 Entidades Suplicante, Autenticador y Servidor de Autenticación (IEEE 802.1X)

 los requisitos de gestión del control de acceso basado
El artículo está organizado de la forma siguiente: en
en puerto (definiendo los objetos gestionados y las
la Sección 2 se describen los principios de diseño del operaciones de gestión) y el acceso remoto a las
IEEE 802.1X, enfocando la atención en los
operaciones de gestión vía SNMP.
protocolos auxiliares (EAP y EAPOL), en la Sección
3 se discuten aspectos de coexistencia con otros 2.2 Principios de operación
protocolos
Los principios de operación básicos son los
2. IEEE 802. 1X siguientes:
Cómo funciona 802.1X - Direccionalidad de control de puerto (una o ambas
Explicaremos un escenario típico de autenticación direcciones permitidas en el enlace)
802.1X (Fig. 1 y 5). Como se explica más abajo,
existen tres actores principales en la autenticación - La autenticación es configurable con granularidad
802.1X: El Suplicante, el Autenticador (el Punto de de puerto. Los puertos se autentican de uno en uno.
Acceso o Bridge), y el Servidor de Autenticación Unos puertos pueden estar controlados y otros no.
(típicamente RADIUS (Remote Authentication Dial-
In User Server)). La comunicación comienza con un - Puede tener caducidad la autenticación y requerirse
Suplicante no autenticado (i.e., dispositivo cliente ) reautenticación pasado un tiempo. Si falla pasa a
que intenta conectar con un autenticador (por estado no autorizado.
ejemplo., un punto de acceso 802.11 ). El punto de
acceso responde permitiendo al puerto pasar
2.3 Protocolos auxiliares : EAP, EAPOL
solamente paquetes EAP desde el cliente al servidor En la autenticación se utiliza el protocolo de
de autenticación situado en la red cableada. Pone al
Autenticación Extensible (EAP) (especificado en
puerto en estado No Autorizado. El punto de acceso RFC2284) para intercambiar información de
bloquea cualquier otro tipo de tráfico como paquetes autenticación entre Suplicante y Servidor de
HTTP, DHCP, POP3 , hasta que el punto de acceso Autenticación. EAP fue definido para evitar la
verifique la identidad del cliente mediante un
proliferación de protocolos de autenticación cada uno
Servidor de Autenticación (por ejemplo RADIUS ). con un número de protocolo punto a punto (PPP)
El cliente envia un mensaje EAP-start. El Punto de distinto, fijando un único protocolo e identificador
acceso responde con EAP-request identity para para múltiples mecanismos de autenticación (Fig.2).
obtener la identidad del cliente. El cliente contesta EAP puede utilizar diversos mecanismos de
con su identidad y el Punto de Acceso reenvía este autenticación tales como Kerberos, encriptación con
mensaje al Servidor de Autenticación. La clave pública (PKE), contraseñas de un solo uso
autenticación se realiza de acuerdo con el algoritmo (OTPs), etc. EAP consiste en un simple encapsulado
de autenticación seleccionado y el resultado que puede correr sobre diferentes niveles de enlace
(Aceptación) lo envía el Servidor de Autenticación al (Fig.3). Las tramas de autenticación deben ser
Punto de Acceso.Una vez autenticado el punto de transportadas entre el Suplicante y el Servidor de
acceso abre el puerto del cliente para otros tipos de Autenticación. Para ello se ha elegido un protocolo
tráfico del cliente. El estado del puerto pasa a que transporta EAP directamente sobre un servicio
Autorizado. Para desconectar, el cliente enviará un MAC de Red de Area Local (EAPOL).
mensaje EAP-logoff, con lo que el Punto de Acceso
pone el puerto en estado No Autorizado.

2.1 Contenido del estándar

Métodos TLS AKA/ Token
El objetivo del estándar es especificar un método . SIM Card
general de provisión de control de acceso a la red
basado en puerto. Entre su contenido cabe destacar
que: describe un marco de referencia en el que se
produce la autenticación, define los principios de
funcionamiento de los mecanismos de control de EAP
acceso, los niveles de control de acceso y el
comportamiento asociado a ellos (en cuanto a
transmisión y recepción de tramas), los requisitos del
protocolo entre Autenticador-Suplicante y entre
Autenticador y Servidor de Autenticación. También Nivel enlace PPP 802.3 802.11
especifica mecanismos y procedimientos que
soportan control de acceso a la red por medio de
protocolos de autorización y autenticación , la
codificación de las Unidades de Datos del Protocolo Fig.2 Arquitectura EAP
(PDUs) utilizadas por dichos protocolos, establece
 1 byte 1 byte 2 bytes (long. Variable)

Código Identificador Longitud Datos

-EAPOL-Key.(0000 0011). La trama es una trama de

Fig. 3. Formato de paquete EAP
clave EAPOL (si se soporta transmisión de claves
entre Autenticador y Suplicante)
El campo código puede ser: Request (1), Response
(2), Success (3), Failure(4). El campo Identificador se
-EAPOL-Encapsulated -ASF-Alert. (0000 0100). La
usa para asociar la respuesta con la petición que la
trama transporta un Alerta EAPOL encapsulada.
originó. El identificador más el puerto definen una
transacción de autenticación.
(Alert Standards Forum ASF). Se permite el paso de
2.4 Protocolo de Autenticación Extensible alertas (por ejemplo las generadas por un agente
(EAP) sobre Redes Locales (LAN) SNMP) a través de un puerto aunque esté en estado
No Autorizado . El puerto no controlado las pasa al
(EAPOL) protocolo de tratamiento de alertas ASF
correspondiente.
El formato de paquete EAPOL definido para
transportar EAP sobre Redes Locales, se muestra en Se utiliza la dirección reservada de grupo de Entidad
la fig. 4. d e A cceso a Puerto (PAE) (01-80-C2-00-00-03) en
los casos en que entre Autenticador y Suplicante
Las tramas EAPOL transmitidas por una Entidad de pueden desconocer mutuamente su dirección MAC.
Acceso a Puerto (PAE) no deben llevar etiqueta En el caso de Redes Inalámbricas (WLAN) 802.11 se
VLAN, pero pueden opcionalmente llevar etiqueta de
conocen las direcciones MAC al establecer la
prioridad (802.1Q). asociación entre un Punto de Acceso y una estación y
por lo tanto las tramas deben llevar la dirección MAC
Los campos para Ethernet son (figura 4) : Ethernet individual de destino de la PAE y no la dirección
Type asignado para PAE es 88-8E , la versión de reservada de grupo.
protocolo es 0000 0001 actualmente) y el tipo de
paquete EAP puede ser: Es importante destacar que en Wireless LAN
(802.11) es preciso que la asociación Punto de
-EAP-packet. 0000 0000 : la trama transporta un Acceso - Estación se establezca de forma segura para
paquete EAP que el Control de Acceso basado en Puerto no sea
vulnerable a ataques, dado que una estación maliciosa
-EAPOL-Start. 0000 0001. La trama es una trama de P puede provocar un ataque de denegación de
comienzo de EAPOL servicio a otra Q enviando un paquete de desconexión
EAPOL con la dirección MAC individual de Q.
-EAPOL-Logoff. (0000 0010). La trama es una
petición explícita de desconexión EAPOL (logoff).

En la figura 5 se muestra el escenario de

autenticación con Radius.

Destination Source Ethernet Type Version Packet Packet Body Packet FCS
addr. MAC addr. MAC 88-8E 1 Type Length variable

Fig.4 Formato de trama EAPOL

 Suplicante Autenticador Servidor de
Autenticación (RADIUS)
Petición de Asociación

Respuesta

EAPOL- Start
Sólo si
Petición de identidad
802.11
EAP- respuesta Identidad RADIUS Peticionde Acceso

EAP petición RADIUS Reto de Acceso

EAP respuesta RADIUS Reto de Acceso

EAP Éxito RADIUS Aceptación de Acceso

EAPOL- Clave (WEP)

Es el punto de conexión de un sistema a una LAN.

P uede ser un puerto físico MAC o un puerto lógico,
Fig. 5. Diálogo de Autenticación EAPOL (con/sin como una asociación IEEE 802.11 entre un Punto de
asociación WLAN 802.11) Acceso y una estación inalámbrica.

Entidad de Acceso a Puerto (PAE)

2.5 Control de acceso por puerto
Es la entidad de protocolo asociada con un puerto.
Puede incluir la funcionalidad de Autenticador,
El estándar define el control de Acceso Basado en
Puerto como una extensión de la funcionalidad de un Suplicante o ambas funcionalidades.
Sistema consistente en un medio de evitar acceso no
autorizado de los Suplicantes a los servicios ofrecidos Suplicante
por el Sistema. Si el Sistema es un Puente o un
Conmutador (Bridge o Switch), se controla el acceso Es una entidad en un extremo de un segmento LAN
a puertos del Bridge públicamente accesibles, en un punto a punto que está siendo autenticada por un
entorno corporativo, se limita el acceso a una LAN Autenticador al otro extremo del enlace. El
departamental a los miembros del departamento. Se Suplicante inicia y termina intercambios de
excluye del Estándar el control de acceso en medio autenticación y comunica sus credenciales al
compartido (Token Ring y Ethernet LAN Autenticador (PAE) cuando éste se las pide. La
compartida). A continuación se resumen los roles de autenticación se produce bien al inicializar el Sistema
las entidades que intervienen. o al conectarse el Suplicante al Autenticador

Autenticador (Legitimador). Sistema

Entidad en un extremo de un segmento punto a punto Sistema es un dispositivo anexado a una LAN por
de una LAN que facilita la autenticación de la entidad uno o varios puertos, como estaciones, servidores,
conectada al otro extremo del enlace. Bridges MAC . rotures,

Servidor de Autenticación
Entidad que facilita servicio de autenticación al
Autenticador. Puede estar situada junto al
Autenticador o remotamente.

Puerto de Acceso a la Red (Puerto)

2.6 Máquinas de Estados de Autenticador
y Suplicante

El estándar 802.1X describe en detalle diversas

máquinas de estados finitos de las entidades En cuanto al diagrama de estados del Suplicante, se
intervinientes, de las que destacamos las dos muestra en la figura 11. Desde el estado inicial de
principales de Autenticador y Suplicante por ser las Logoff , alcanzado con el puerto habilitado, se
demás de función auxiliar. A fin de facilitar la pasaría a Desconectado al reconectarse el cliente,
comprensión se muestran de forma sucinta, Conectando, Adquirido tras recibir la petición de
omitiendo los detalles que, siendo imprescindibles en identidad del Autenticador, Autenticando tras la
un estándar, harían farragoso este artículo. En la Fig. petición de autorización y Autenticado tras la
10 se muestra el diagrama de estados del autenticación satisfactoria (EAP success).
Autenticador. Como puede verse existen funciones de
control de puerto que mediante gestión pueden forzar
incondicionalmente el estado del puerto a Autorizado
o No autorizado ( parte superior del diagrama). El
resto del diagrama es de fácil comprensión y muestra
los estados que en una secuencia típica serían de :
Inicialización, al final de la cual el puerto estaría
operable, Desconectado, el puerto queda en estado
No Autorizado, Conectando, que termina con el
puerto operable, Autenticando a Suplicante y
Autenticado. De este estado se volvería a Connecting
si se requiere reautentificar por caducidad y a
Desconectado por logoff explícito recibido del
cliente.

Port control Auto &

Port control Force Port control Force
Authorized & Unauthorized &

FORCE INITIALIZE FORCE

Eap Eap
Start AUTHORIZED Start UNAUTHORIZED
Init complete
UCT Port operable
Explicit logoff

DISCONNECTED
Start Retry
reauthentification Port Unautthorized auth. HELD
UCT Wait period
CONNECTING
Port operable
Reauth.

ABORTING

AUTHENTICATED AUTHENTICATING
a Supplicant Eap logoff, eap
start , reauth. auth
imeout
Authentification Authentification
success fail
UCT: Transición incondicional

Fig.10. Diagrama sucinto de estados del Autenticador

(IEEE 802.1X).
 User Logoff & Eap fail & no logoff
not A & not A

LOGOFF HELD

A: Init or port User no logoff Req ID

not enabled

DISCONNECTED Held
period
timeout
UCT
Eap success No AUTH
& Not A response
CONNECTING
Auth. Timeout

AUTHENTICATED Req ID

Req ID ACQUIRED

AUTHENTICATING
Req ID Req Auth.
Req Auth.
Req ID : Peticion de Req ID
Identidad recibida de
Autenticador

Fig. 11 Diagrama sucinto de estados del Suplicante

(IEEE 802.1X)

2.7 Gestión del control de acceso por Tabla 1. Objetos gestionados 802.1X (I)
puerto
System Configuration
La funcionalidad 802.1X se concreta en una serie de Port number
parámetros que en parte serán configurables por SystemAuthControl
gestión y en general observables mediante un Protocol version
protocolo de gestión. Mediante la gestión del control PAE capabilities
de acceso por puerto se configuran los parámetros Initialize Port
operacionales del Autenticador, Suplicante y del Authenticator Configuration
Port number
Sistema. Los parámetros configurables y/o Authenticator PAE State
observables son los definidos en las máquinas de Backend Authentication
estados finitos de Autenticador, Suplicante y otras de State
menor entidad (Backend, temporizadores, etc). La AdminControlledDirections
gestión también controla la inicialización de las OperControlledDirections
maquinas de estado de puertos descritas más arriba AuthControlledPortStatus
(figuras 10 y 11). AuthControlledPortControl
quietPeriod txPeriod
suppTimeout
Se agrupan las funcionalidades de gestión en cuatro
serverTimeout
objetos: Configuración. Estadísticas, Diagnósticos y maxReq
Estadísticas de Sesión. El estándar obliga a los reAuthPeriod
dispositivos a implementar al menos las funciones de reAuthEnabled
Configuración (Objeto Configuración). KeyTransmissionEnabled
Reauthenticate
Al igual que para otras funcionalidades de LANs, el
estándar define una MIB (Management Information
Base) con los objetos de gestión correspondientes [1].
En los casos de redes TCP/IP se utilizará SNMP
como protocolo de gestión. Se recomienda el uso de
SNMPv3 dadas las conocidas carencias de seguridad
de SNMPv1. En las Tablas 1 y 2 se muestran los
objetos gestionados definidos en 802.1X
Tabla 2. Objetos gestionados IEEE 802.1X (II) AdminControlledDirections tiene el valor IN (desde
interior del puerto hacia exterior, entonces
Authenticator Statistics OperControlledDirections toma el valor BOTH
Port number (ambas direcciones de flujo). Esto ocurre en los casos
EAPOL frames received en que:
EAPOL frames transmitted
EAPOL Start frames received - El puerto pertenece a un Bridge y está conectado a
EAPOL Logoff frames received otro Bridge (detectado por la máquina de detección
EAP Resp/Id frames received de Bridges (IEEE 802.1t) del puerto.
EAP Response frames received
EAP Req/Id frames transmitted
EAP Request frames transmitted - El pu erto pertenece a un Bridge y no es de borde
Invalid EAPOL frames received (edge).
EAP length error frames received
Last EAPOL frame version - El puerto MAC no está operativo.
Last EAPOL frame source
Authenticator Diagnostics Los escenarios de utilización del Control
authEntersConnecting unidireccional son los siguientes (valor IN descrito
authEapLogoffsWhileConnecting arriba):
authEntersAutheniticating
authAuthSuccessWhileAuthenticating
authAuthTimeoutsWhileAuthenticating - Activación remota (wake-up). Caso de un PC con
authAuthFailWhileAuthenticating activación remota por la red. Mediante un paquete de
authAuthReauthsWhileAuthenticating activación (Magic Packet). Cuando el puerto está
authAuthEapStartsWhileAuthenticatin configurado en Control Total, al apagar el PC se
g authAuthLogoffWhileAuthenticating pierde la Autenticación del puerto que lo conecta y el
authAuthReauthsWhileAuthenticated paquete de Activación no puede pasar para activar el
authAuthEapStartsWhileAuthenticate PC.
d authAuthLogoffWhileAuthenticated
backendResponses 3.1 Coexistencia con otros protocolos de
backendAccessChallenges
backendOtherRequestsToSupplicant LAN
backendNonNakResponsesFromSup
plicant backendAuthSuccesses La coexistencia del control de acceso por puerto
backendAuthFails con otros protocolos requiere ciertos cuidados. En
Authenticator Session Statistics particular el Protocolo de Agregación de Enlaces
(LAP) IEEE Std 802.3ad . El control de acceso
Port number funciona sobre el puerto físico y no sobre los enlaces
Session Octets Received agregados, es decir, debajo de la subcapa de
agregación de enlaces. Los puertos no son agregables
cuando están en el estado Unauthorized. Por lo tanto,
un puerto agregado, cuando pasa al estado
Unauthorized debe ser suprimido de la agregación de
enlaces. Esto hace compleja la coexistencia de
agregación de enlaces y 802.1X.

3. Consideraciones practicas de 3.2 Utilización de EAP

aplicación Como hemos dicho más arriba, son posibles
diferentes métodos de autenticación. Al usar 802.1X
hay que elegir un tipo de EAP, por ejemplo TLS
En esta sección tratamos sobre las principales (Transport Layer Security (EAP-TLS), otra variante
consideraciones prácticas que surgen al aplicar es EAP-TTLS (Tunneled Transport Layaer Security).
el control de acceso por puerto como la Afortunadamente el software que soporta los
unidireccionalidad , agregación 802.1ad, EAP y diferentes tipos de EAP corre en el Servidor de
RADIUS. Autenticación y en las aplicaciones del dispositivo
cliente (PC, PDA, etc), por lo que pasa a través del
Control Unidireccional y Bidireccional Punto de Acceso, haciéndo innecesaria su
actualización software cuando cambian los requisitos
Los intercambios de protocolo en el Puerto de seguridad y se introducen nuevos tipos EAP.
Controlado dependen de dos parámetros de control de
dirección: AdminControlleddirections y
OperControlledDirections. OperControlledDirections
sigue siempre el estado que tenga
AdminControlledDirections excepto cuando
3.3 Utilización de IEEE 802.1X con son detección y medidas antispoofing (el atacante
RADIUS debe tener acceso físico). Con respecto a la
corrupción de la negociación de seguridad, se
recomienda política fija innegociable de seguridad
IEEE 802.1X 2001 establece como opcional el uso
de RADIUS como protocolo de Autenticación, por usuario.
aunque considera que una mayoría de instalaciones lo 3.5 Recientes implementaciones
utilizará. Por ello el estándar incluye orientaciones
para la utilización con RADIUS. 802.1X, a pesar de sus carencias, es ya un estándar
sopo rtado por la industria. Windows XP soporta
3.4 Carencias de 802.1X 802.1X desde su aparición. Algunos fabricantes de
Puntos de Acceso también La mayoría de fabricantes
Recientemente se han desvelado algunas carencias de de WLANs ofrecen actualmente versiones
802.1X: la no garantía de integridad de las tramas y propietarias de gestión dinámica de claves utilizando
la no autenticación del Punto de Acceso. En el 802.1X como mecanismo de entrega. Si se configura
propio estándar (Apéndice C) se reconocen las para intercambio dinámico de claves, el Servidor de
limitaciones en cuanto a seguridad (dado que la Autenticación puede entregar claves de sesión al
cabecera EAP se transmite en claro, se pueden punto de acceso junto con el mensaje de aceptación.
obtener las identidades de los usuarios que se están El punto de acceso utiliza las claves de sesión para
autenticando) y se recomiendan medidas adicionales construir, firmar y encriptar un mensaje EAP de
como IPsec cuando se requiere integridad, clave y lo envía al cliente justo tras el mensaje de
encriptación y protección contra ataques de éxito. La aplicación cliente puede usar el contenido
replicación. de este mensaje de clave para definir las claves de
encriptación a utilizar. En la implementación típica
La primera carencia de la norma 802.1X en su de 802.11 el cliente puede cambiar las claves de
aplicación a LAN inalámbricas 802.11 (WLANs) es encriptación tan frecuentemente como lo desee para
que 802.1X se pensó para autenticar al usuario, por lo minimizar la probabilidad de que los espías de la
que el mecanismo de autenticación no es simétrico, transmisión puedan romper la clave utilizada.
no contempla la autenticación de la red fija ante el
usuario (o ante la estación inalámbrica), el 4. Conclusiones
Autenticador se encuentra en el lado fijo de la red,
por lo que ante el riesgo, significativo en 802.11, de El estándar IEEE STD 802.1X Port-Based Network
falsos Puntos de Acceso a los que una estación se Access Control para LANs y MANs aprobado en
asocie creyendo hacerlo con un Punto de Acceso Junio de 2001 supone un importante avance para la
auténtico, enviando el falso Punto de Acceso un seguridad, pero no exento de limitaciones en general
EAP-Request de encriptación más débil (por ejemplo y en particular en su aplicabilidad a Redes Locales
MD5 con reto estático [1] para obtener luego la clave Inalámbricas. Los trabajos en marcha del Task Group
mediante ataque de diccionario), la única protección I ( 802.11i), que se espera culminen en Septiembre de
consiste en configurar en el cliente un tipo EAP de 2003, supondrán importantes mejoras de seguridad y
autenticación mutua. la especificación transitoria WPA, que hace
coherentes las soluciones a medio plazo con las de
El estándar contempla autenticación simultánea en largo plazo de 802.11i, contribuirán decisivamente a
ambos sentidos de forma explícita cuando se trata de mejorar la seguridad en dichas redes, posibilitando
dos Bridges interconectados. En este caso ambos probablemente su difusión a gran escala.
realizan la función de Suplicante y Autenticador
según para qué servicios prestados por el otro Bridge.

Otros posibles ataques son el de crosstalk, que Referencias

consiste en que un puerto Suplicante puede interferir
en la autenticación de otros Suplicantes enviando [1] IEEE Std 802.1X -2001 Institute of Electric and
paquetes EAP fail a la dirección de difusión o a Electronic Engineers.
dirección particular del Suplicante. Estos ataques se
evitan si los Bridges descartan las tramas EAP que no [2] 802.11 Wireless Networks: The Definitive Guide.
vayan dirigidas a la dirección MAC del bridge o a la Mathew S. Gast. O’ Reilly & Associates, Inc. April
dirección multicast. 2002. ISBN: 0-596-00183-5

Existe también vulnerabilidad a ataques de [3] Seguridad en Redes Inalámbricas Mundo Internet )
negociación [1], en los que el objetivo del atacante es 2003
forzar a la baja en la negociación de seguridad EAP o
producir denegación de servicio. Esto es posible [4] RFC2284 . Extensible Authentication Protocol.
porque los paquetes EAP no tienen garantía de IETF
integridad, por lo que el atacante puede enviarlos con
la dirección MAC del Bridge. La protección ante esto