Cisco responde con un nuevo protocolo a los problemas de seguridad de LEAP
Cisco ha remitido al IETF el borrador para un nuevo tipo de Extensible Authentication Protocol (EAP), diseñado para solventar las vulnerabilidades de seguridad de su protocolo Lightweight EAP (LEAP). El nuevo EAP es denominado por el fabricante como EAP Flexible Authentication via Secure Tunneling (EAP FAST).
LEAP es un mecanismo de autenticación de Cisco utilizado como parte de un sistema de autenticación IEEE 802.1x, generalmente considerado como el estándar emergente para la autenticación de red. A mediados de 2003, aparecieron diversas herramientas capaces de generar ataques de diccionarios contra LEAP. "Husmeando" la sesión de autenticación, adivinan la contraseña a partir de una base de datos de nombres y términos. Contra estos ataques, las recomendaciones de Cisco fueron, en un primer momento, utilizar contraseñas difíciles de adivinar, así como emplear otro tipo de EAP, como Protected EAP (PEAP), desarrollo conjunto de Cisco, Microsoft y RSA.
Pero estas variantes de EAP se han de utilizar con una compleja infraestructura de certificados digitales para establecer "túneles" seguros entre los dos extremos de una conexión de red. Sin embargo, EAP FAST se basa en un mecanismo que, comportándose como LEAP, crea además un túnel similar al de PEAP pero sin necesidad de emplear ni certificados ni la infraestructura que los soporta.
EAP FAST será introducido en el servidor de seguridad Cisco Secure ACS y las tarjetas de red wireless Aironet de la compañía, empezando por las series 350 en marzo. Se está incorporando además a Cisco Compatability Extensions 3.0, que especifica cómo escribir drivers capaces de trabajar con partes del sistema operativo de Cisco. En consecuencias, para el próximo otoño se espera que aparezcan ya múltiples adaptadores y productos de seguridad de terceros con soporte de EAP FAST.
Borrador de EAP FAST:
http://www.ietf.org/internet-drafts/draft-cam-winget-eap-fast-00.txt
