EAP (Extensible Authentication Protocol), o en español: protocolo de autenticaciónextensible, está regulado por la RFC-3748. Puede ser usado para la autenticación mutua entre el “suplicante” PAE (Port Access Entity) y el “autenticador” PAE, cada uno de ellos conectados a un puerto físico de LAN.

EAP a su vez soporta diferentes mecanismos de autenticación incluyendo Kerberos, empleo de clave pública, One time passwords. El autenticador a su vez debe soportar AAA (Autentication, Autorization y Accounting).

Cada PAE implementa el Protocolo de control de acceso a puerto (PACP: Port Access Control Protocol) y a su vez un método de nivel superior para la Autenticación, que es quien provee EAP.

Aquí notamos una diferencia práctica, pues el nivel superior del PAE suplicante solo aplica EAP, el del Autenticador lo hará para authentication, authorization, and accounting (AAA) y entre ambos el resultado solo pueden ser tres opciones:

  • “Success”
  • “fail”
  • “time out"

Las especificaciones de nivel superior no se encuentran dentro del ámbito de esta norma, pero para avanzar a título de ejemplo, en este texto desarrollaremos cómo opera EAP-TLS (regulado por la RFC-5216) en su integración con IEEE 802.1ar.

En nuestro libro Seguridad en Redes que puedes descargar gratuitamente desde nuestra web DarFe.es encontrarás desarrollado el tema en el punto: 4.2.5. "802.1x Autenticación de dispositivos conectados a un puerto LAN".


Puedes ver los siguientes videos sobre este tema en:
Nombre del video Enlace
🌐 Aprendiendo Ciberseguridad paso a paso
Charla 23: El nivel de Enlace (802.1x - PBNAC)
🌐 Aprendiendo Ciberseguridad paso a paso
Charla 24: El nivel de Enlace (802.1ae - MacSec)
🌐 Aprendiendo Ciberseguridad paso a paso
Charla 25: El nivel de Enlace (802.1ar - DevID)