Respecto a qu sistemas se estn utilizando en la prctica, las empresas y organizaciones utilizan generalmente autenticacin basada en contrasea para usuarios conectados a redes LAN convencionales. En una encuesta realizada por la firma Infonetics Research se analiz la autenticacin en redes privadas virtuales (VPN) en Europa, mostrando que el 60 por ciento de esas empresas usan autenticacin basada en NT Login, un 38 por ciento emplean autenticacin con dos factores, un 30 por ciento utilizan certificados digitales y slo un 18 por ciento utilizan Tarjetas Inteligentes (Teniendo en cuenta que las empresas utilizan generalmente dos o ms mtodos de autenticacin). Infonetics Research llega a la conclusin de que la autenticacin contina siendo el rea ms problemtica de la tecnologa de redes VPN, y la mayora de los consultados no estn seguros de cmo autenticar a usuarios de acceso remoto una vez que sus despliegues se hacen mayores.
En resumen, en las empresas cuya actividad incluye una gran cantidad de informacin se est utilizando una amplia variedad de mtodos de autenticacin para redes LAN y acceso VPN. La mayora de las empresas y organizaciones utilizan ms de un protocolo de autenticacin. Est tambin la necesidad de una infraestructura de autenticacin comn subyacente que soporte esta amplia variedad de posibilidades de autenticacin y opciones de acceso a la red. El Protocolo de Autenticacin Extensible ofrece una solucin a estos problemas.
La red corporativa es muy diferente hoy. Los empleados no estn ya conectados a la red slo durante el tiempo en que permanecen en sus escritorios, sino que demandan acceso las 24 horas del da y desde cualquier lugar. Las tecnologas de VPN (Virtual Private Networks) permiten a los empleados un acceso ubicuo y generalizado a la red.
Los protocolos y tecnologas de autenticacin han evolucionado en paralelo con la explosin que ha tenido lugar en el acceso a la informacin. El Protocolo de Autenticacin por Contrasea o PAP (Password Authentication Protocol) transmita una contrasea en texto abierto entre cliente y servidor. PAP fue mejorado aadiendo capacidades para situaciones de autenticacin difciles y contraseas encriptadas, utilizando protocolos como CHAP y MS-CHAPv2, que son hoy de uso generalizado. Aunque las tcnicas basadas en contrasea son relativamente seguras, su vulnerabilidad est en que, una vez que una contrasea ha quedado comprometida, el perpetrador de la intrusin asume la identidad del usuario legtimo.
Para resolver este problema, se desarroll la autenticacin por dos factores. Con este mtodo, son necesarios dos elementos para una autenticacin con xito. Un ejemplo de esta tecnologa es SecurID de la firma RSA Security – en este caso, se entrega a cada usuario un autenticador que muestra un nmero pseudo-aleatorio diferente cada 60 segundos. Para realizar la autenticacin se requiere este nmero, junto con un Cdigo de Identificacin Personal o PIN (Personal Identification Number) conocido slo por el usuario.
Otra evolucin en la Autenticacin es la de la Criptografa con Clave Pblica o Public Key Cryptography. De forma resumida, esta tecnologa se basa en el concepto de pares de Clave Pblica / Clave Privada – bajo el cual cualquier informacin encriptada utilizando la Clave Privada slo puede ser desencriptada utilizando la Clave Pblica Equivalente, y viceversa. Las Claves Pblicas se distribuyen de forma libre, mientras que las Claves Privadas son guardadas secretamente por cada usuario o dispositivo. Una Infraestructura de Clave Pblica o PKI (Public Key Infrastructure) gestiona la Autoridad de Certificado (que emite bajo condiciones de seguridad los pares de teclas Pblica/Privada), junto con Repositorios de Certificados, Listas de Revocacin de Certificado, Servidores de Registro, etc. La ventaja de la Infraestructura PKI es la alta seguridad de su potente criptografa y autenticacin mutua.
Los sistemas PKI estn siendo mejorados an ms con la introduccin de Tarjetas Inteligentes. Las tarjetas inteligentes almacenan el certificado digital X.509 separadamente de la estacin de trabajo u ordenador porttil remoto, para obtener as una mayor seguridad. Otra nueva innovacin es la utilizacin de autenticacin biomtrica con certificados digitales.
En este caso, se utiliza un atributo fsico del usuario en combinacin con el certificado digital para establecer la identidad.
El Protocolo de Autenticacin Extensible (EAP) separa el mtodo de autenticacin (basado en contrasea, doble factor, certificados digitales, tarjetas inteligentes, etc.) del tipo de acceso a la red. Utilizando EAP en un entorno Microsoft Windows, el Administrador del Sistema puede desplegar las mismas credenciales de autenticacin independientemente de que el usuario se est conectando a travs de red VPN, red LAN inalmbrica o red LAN de cable. Adems, una solucin EAP es independiente de la preferencia (o preferencias) de la empresa en cuanto a autenticacin – es decir, que funciona con la misma efectividad con autenticacin de doble factor, certificados digitales y tarjetas inteligentes. EAP es una extensin del Protocolo Punto-a-Punto y es un estndar IETF.
Utilizando el protocolo EAP es posible realizar una operacin Single Sign-On desde una estacin Windows XP o Windows 2000 remota a travs de la Internet a un servidor de tnel VPN que soporte esta tecnologa – as, se cierra o completa el bucle de autenticacin utilizando un servidor RADIUS con extensiones EAP y el Windows Active Directory.
Enterays Networks ha integrado tecnologa EAP en sus servidores de tnel VPN. Enterasys tambin soporta EAP mediante la capacidad User Personalized Networking de sus conmutadores LAN. La compaa est comprometida a suministrar tecnologa que permita a los clientes utilizar la amplia variedad de credenciales de autenticacin disponibles actualmente, ofrecindoles as la flexibilidad necesaria para utilizar las mismas credenciales de autenticacin para red LAN de lnea, red LAN inalmbrica y acceso de red VPN, y ofreciendo adems capacidades Single Sign-On.
