El protocolo de autenticación extensible (EAP) extiende el protocolo punto a punto (PPP) permitiendo métodos de autenticación arbitrarios que usan intercambios de credenciales y de información de longitudes arbitrarias. EAP ofrece métodos de autenticación que usan dispositivos de seguridad, como tarjetas inteligentes, tarjetas de símbolo (token) y calculadoras de cifrado. EAP ofrece una arquitectura estándar de la industria para admitir más métodos de autenticación dentro de PPP.
EAP y NPS
Mediante EAP, puede admitir otros esquemas de autenticación denominados tipos de EAP. Estos esquemas incluyen tarjetas de símbolo (token), contraseñas de un solo uso, autenticación de claves públicas mediante el uso de tarjetas inteligentes y certificados. EAP, junto con tipos de EAP seguros, es un componente tecnológico esencial para las conexiones de redes privadas virtuales (VPN), las conexiones cableadas 802.1X y las conexiones inalámbricas 802.1X seguras. El cliente de acceso a redes y el autenticador, como el servidor que ejecuta el servidor de directivas de redes (NPS), deben admitir el mismo tipo de EAP para que la autenticación se lleve a cabo correctamente.
 | Importante |
|
Los tipos de EAP seguros, como aquellos basados en certificados, ofrecen una mayor seguridad frente a los ataques por "fuerza bruta" o de diccionario y la averiguación de contraseñas que los protocolos de autenticación basados en contraseñas, tales como el Protocolo de autenticación por desafío mutuo (CHAP) o el Protocolo de autenticación por desafío mutuo versión 2 de Microsoft (MS-CHAP). |
Con EAP, un mecanismo de autenticación arbitrario autentica una conexión de acceso remoto. El esquema de autenticación que se va a usar se negocia entre el cliente de acceso remoto y el autenticador (el servidor de acceso a la red o bien el servidor del Servicio de autenticación remota telefónica de usuario [RADIUS]). El Enrutamiento y acceso remoto incluye la compatibilidad con el Protocolo de autenticación extensible con Seguridad de la capa de transporte (EAP-TLS) y PEAP-MS-CHAP v2 de forma predeterminada. Puede conectar otros módulos EAP al servidor que ejecuta Enrutamiento y acceso remoto para proporcionar otros métodos EAP.
EAP permite conversaciones abiertas entre el cliente de acceso remoto y el autenticador. La conversación se compone de solicitudes de información de autenticación por parte del autenticador y de respuestas del cliente de acceso remoto. Por ejemplo, si se utiliza EAP con tarjetas de token de seguridad, el autenticador puede consultar al cliente de acceso remoto el nombre, el NIP y el valor de token de la tarjeta por separado. Con cada consulta realizada y respondida, el cliente de acceso remoto pasa por otro nivel de autenticación. Una vez que se ha respondido correctamente a todas las preguntas, se autentica el cliente de acceso remoto.
Windows Server® 2008 incluye la infraestructura EAP, dos tipos de EAP y la capacidad de pasar mensajes EAP a un servidor RADIUS (EAP-RADIUS).
Infraestructura EAP
EAP es un conjunto de componentes internos que presta apoyo arquitectónico para cualquier tipo de EAP en forma de un módulo de complemento. Para que la autenticación se realice de manera correcta, el cliente de acceso remoto y el autenticador deben tener instalado el mismo módulo de autenticación EAP. También puede instalar otros tipos de EAP. Los componentes de un tipo de EAP deben estar instalados en cada cliente de acceso a la red y en cada autenticador.
 | Nota |
|
Los sistemas operativos Windows Server 2003 proporcionan dos tipos de EAP: Desafío-MD5 y EAP-TLS. Desafío-MD5 no se admite en Windows Server 2008. |
EAP-TLS
EAP-TLS es un tipo de EAP que se usa en entornos de seguridad basados en certificados. Si usa tarjetas inteligentes para la autenticación de acceso remoto, debe usar el método de autenticación EAP-TLS. El intercambio de mensajes EAP-TLS permite la autenticación mutua, la negociación del método de cifrado y la determinación de claves cifradas entre el cliente de acceso remoto y el autenticador. EAP-TLS proporciona el método de determinación de claves y autenticación más seguro.
| Nota |
|
Durante el proceso de autenticación EAP-TLS se generan claves de cifrado secretas compartidas para el Cifrado punto a punto de Microsoft (MPPE). |
EAP-TLS sólo se admite en servidores que ejecutan Enrutamiento y acceso remoto, se han configurado para usar Autenticación de Windows o RADIUS (Servicio de autenticación remota telefónica de usuario) y son miembros de un dominio. Los servidores de acceso a la red que ejecutan un servidor independiente o un miembro de un grupo de trabajo no admiten EAP-TLS.
Uso de RADIUS como transporte para EAP
El uso de RADIUS como transporte para EAP consiste en pasar los mensajes EAP de cualquier tipo de EAP por parte de un cliente RADIUS a un servidor RADIUS para la autenticación. Por ejemplo, si se configura un servidor de acceso a la red para la autenticación RADIUS, los mensajes EAP enviados entre el cliente y el servidor de acceso a la red se encapsulan y formatean como mensajes RADIUS entre el servidor de acceso a la red y el servidor RADIUS. El uso de EAP a través de RADIUS de denomina EAP-RADIUS.
EAP-RADIUS se usa en entornos en los que RADIUS se usa como proveedor de autenticación. La ventaja de usar EAP-RADIUS es que no es necesario instalar los tipos de EAP en todos los servidores de acceso a la red, sino sólo en el servidor RADIUS. En el caso de un servidor NPS, sólo debe instalar tipos de EAP en el servidor NPS.
Por lo general, al usar EAP-RADIUS, el servidor que ejecuta Enrutamiento y acceso remoto se configura para usar EAP y un servidor NPS para la autenticación. Cuando se establece una conexión, el cliente de acceso remoto negocia el uso de EAP con el servidor de acceso a la red. Si el cliente envía un mensaje EAP al servidor de acceso a la red, éste encapsula el mensaje EAP como un mensaje RADIUS y lo envía al servidor NPS configurado. El servidor NPS procesa el mensaje EAP y devuelve un mensaje EAP encapsulado como RADIUS al servidor de acceso a la red. A continuación, el servidor de acceso remoto reenvía el mensaje EAP al cliente de acceso a la red. En esta configuración, el servidor de acceso a la red sólo funciona como dispositivo de paso a través. Todo el procesamiento de los mensajes EAP se lleva a cabo en el cliente de acceso remoto y en el servidor NPS.
Enrutamiento y acceso remoto puede configurarse para autenticar localmente o en un servidor RADIUS. Si Enrutamiento y acceso remoto se configura para autenticar localmente, todos los métodos EAP se autenticarán localmente. Si Enrutamiento y acceso remoto se configura para autenticar en un servidor RADIUS, todos los mensajes EAP se reenviarán al servidor RADIUS con EAP-RADIUS.
 | Para habilitar la autenticación de EAP |
Habilite EAP como protocolo de autenticación en el servidor de acceso a la red. Para obtener más información, consulte la documentación del servidor de acceso a la red.
Habilite EAP y, si es necesario, configure el tipo de EAP en las restricciones de la directiva de red adecuada.
Habilite y configure EAP en el cliente de acceso remoto. Para obtener más información, consulte la documentación del cliente de acceso.