Compartir a través de


Protocolo de autenticación extensible (EAP) para acceso a redes

El protocolo de autenticación extensible (EAP) es un marco de autenticación que permite el uso de diferentes métodos de autenticación para tecnologías de acceso a redes seguras. Algunos ejemplos de estas tecnologías son el acceso inalámbrico mediante IEEE 802.1X, el acceso por cable mediante IEEE 802.1X y las conexiones de protocolo de punto a punto (PPP), como redes privadas virtuales (VPN). EAP no es un método de autenticación específico, como MS-CHAP v2, sino un marco que permite a los proveedores de redes desarrollar e instalar nuevos métodos de autenticación, conocidos como métodos EAP, en el cliente de acceso y el servidor de autenticación. El marco de EAP se define originalmente mediante RFC 3748 y se extiende por otros RFC y estándares.

Métodos de autenticación

Los métodos de autenticación EAP que se usan dentro de los métodos EAP tunelizados se conocen comúnmente como métodos internos o tipos de EAP. Los métodos que se configuran como métodos internos tienen las mismas opciones de configuración que cuando se usan como método externo. Este artículo contiene información de configuración específica sobre los siguientes métodos de autenticación en EAP.

Seguridad de la capa de transporte de EAP (EAP-TLS): método EAPbasado en estándares que usa TLS con certificados para la autenticación mutua. Aparece como tarjeta inteligente u otro certificado (EAP-TLS) en Windows. EAP-TLS se puede implementar como un método internopara otro método EAP o como un método EAP independiente.

Sugerencia

Los métodos EAP que usan EAP-TLS, al basarse en certificados, suelen ofrecer el nivel más alto de seguridad. Por ejemplo, EAP-TLS es el único método EAP permitido para el modo WPA3-Enterprise de 192 bits.

Protocolo de autenticación por desafío mutuo de EAP-Microsoft versión 2 (EAP-MSCHAP v2): método EAP definido por Microsoft que encapsula el protocolo de autenticación MSCHAP v2 (que usa nombre del usuario y contraseña) para la autenticación. Aparece como Contraseña segura (EAP-MSCHAP v2) en Windows. EAP-MSCHAPv2 también puede usarse como un método independiente para VPN, pero solo como un método interno para conexiones cableadas/ inalámbricas.

Advertencia

Las conexiones basadas en MSCHAPv2 están sujetas a ataques similares a los de NTLMv1. Windows 11 Empresas, versión 22H2 (compilación 22621) habilita Windows Defender Credential Guard, lo que puede causar problemas con conexiones basadas en MSCHAPv2.

EAP protegido (PEAP): método EAP definido por Microsoft que encapsula EAP dentro de un túnel TLS. El túnel TLS protege al método EAP interno, que podría estar desprotegido de otro modo. Windows admite EAP-TLS y EAP-MSCHAP v2 como métodos internos.

Seguridad de la capa de transporte con túnel EAP (EAP-TTLS): descrita por RFC 5281, encapsula una sesión TLS que realiza la autenticación mutua mediante otro mecanismo de autenticación interna. Este método interno puede ser un protocolo EAP, como EAP-MSCHAP v2 o un protocolo que no sea EAP, como el Protocolo de autenticación de contraseñas(PAP). En Windows Server 2012, la inclusión de EAP-TTLS solo proporciona compatibilidad en el lado cliente (en Windows 8). NPS no admite EAP-TTLS en este momento. La compatibilidad con clientes habilita la interoperación con servidores RADIUS implementados habitualmente que admiten EAP-TTLS.

Módulo de identidad de suscriptor de EAP(EAP-SIM), Autenticación y acuerdo de claves de EAP (EAP-AKA) y AKA Prima de EAP (EAP-AKA′): habilita la autenticación mediante tarjetas SIM y se implementa cuando un cliente adquiere un plan de servicio de banda ancha inalámbrica de un operador de red móvil. Como parte del plan, el cliente normalmente recibe un perfil para red inalámbrica preconfigurado para la autenticación de SIM.

EAP por túnel (TEAP): Descrito por RFC 7170, método EAP tunelizado basado en estándares que establece un túnel TLS seguro y ejecuta otros métodos EAP dentro de ese túnel. Admite el encadenamiento de EAP, lo que permite autenticar el equipo y el usuario en una sesión de autenticación. En Windows Server 2022, la inclusión de TEAP solo proporciona compatibilidad con el lado cliente: Windows 10, versión 2004 (compilación 19041). NPS no admite TEAP en este momento. La compatibilidad con clientes habilita la interoperación con servidores RADIUS implementados habitualmente que admiten TEAP. Windows admite EAP-TLS y EAP-MSCHAP v2 como métodos internos.

En la tabla siguiente se enumeran algunos métodos EAP comunes y sus números de tipo de método asignados de IANA.

Método EAP Número de tipo asignado por IANA Compatibilidad nativa con Windows
Desafío MD5 (EAP-MD5) 4
Contraseña puntual (EAP-OTP) 5
Tarjeta de token genérica (EAP-GTC) 6
EAP-TLS 13
EAP-SIM 18
EAP-TTLS 21
EAP-AKA 23
PEAP 25
EAP-MSCHAP v2 26
Contraseña puntual protegida (EAP-POTP) 32
EAP-FAST 43
Clave precompartida (EAP-PSK) 47
EAP-IKEv2 49
EAP-AKA' 50
EAP-EKE 53
TEAP 55
EAP-NOOB 56

Configuración de propiedades de EAP

Puede obtener acceso a las propiedades de EAP para acceso inalámbrico y cableado autenticado 802.1X de las siguientes formas:

  • Mediante la configuración de las extensiones de directivas de redes cableadas (IEEE 802.3) y directivas de redes inalámbricas (IEEE 802.11) en Directiva de grupo.
    • Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad
  • Uso de software Administración de dispositivos móviles (MDM), como Intune (Wi-Fi/Cable)
  • Mediante la configuración manual de conexiones inalámbricas o cableadas en equipos cliente.

Puede obtener acceso a las propiedades de EAP para conexiones de red privada virtual (VPN) de las siguientes formas:

  • Uso de software Administración de dispositivos móviles (MDM), comoIntune
  • Mediante la configuración manual de conexiones VPN en equipos cliente.
  • Mediante el Kit de administración del Administrador de conexiones (CMAK) para configurar conexiones VPN.

Para más información sobre configuración de propiedades de EAP, consulte Configurar perfiles y ajustes de EAP en Windows.

Perfiles XML para EAP

Los perfiles usados para diferentes tipos de conexiones son archivos XML que contienen las opciones de configuración para esa conexión. Cada tipo de conexión diferente sigue un esquema específico:

Sin embargo, cuando se configura para usar EAP, cada esquema de perfil tiene un elemento secundarioEapHostConfig.

  • Cableado/Inalámbrico: EapHostConfig es un elemento secundario del elemento EAPConfig. Seguridad de MSM > (cable/inalámbrico) > OneX> EAPConfig
  • VPN: EapHostConfig es un elemento secundario de la configuración de Eap > de autenticación > de NativeProfile >

Esta sintaxis de configuración se define en la especificaciónDirectiva de grupo: Inalámbrica/Cableada.

Nota:

Las distintas GUI de configuración no siempre muestran todas las opciones técnicamente posibles. Por ejemplo, Windows Server 2019 y versiones anteriores no pueden configurar TEAP en la interfaz de usuario. Sin embargo, a menudo es posible importar un perfil XML existente que se haya configurado anteriormente.

El resto del artículo está pensado para proporcionar una asignación entre las partes específicas del EAP de la interfaz de usuario de directiva de grupo/Panel de control y las opciones de configuración XML, así como proporcionar una descripción de la configuración.

Puede encontrar más información sobre la configuración de perfiles XML en Perfiles XML. Puede encontrar un ejemplo de uso de un perfil XML que contenga la configuración de EAP en Aprovisionamiento de un perfil de Wi-Fi a través de un sitio web.

Configuración de seguridad

En la tabla siguiente se explican las opciones de seguridad configurables de un perfil que usa 802.1X. Esta configuración se asigna a OneX.

Parámetro Elemento XML Descripción
Seleccione un método de autenticación de red: EAPConfig Permite seleccionar el método EAP que se va a usar para la autenticación. Consulte Configuración del método de autenticación y Configuración de autenticación de red de telefonía móvil
Propiedades Abre el cuadro de diálogo de propiedades para el método EAP seleccionado.
Modo de autenticación authMode Especifica el tipo de credenciales usadas para la autenticación. Se admiten los valores siguientes:

1. Autenticación del usuario o equipo
2. Autenticación de equipo
3. Autenticación del usuario
4. Autenticación de invitado

"Equipo", en este contexto, significa "Máquina" en otras referencias. machineOrUser es el valor predeterminado en Windows.
Nº máximo de errores de autenticación maxAuthFailures Especifica el número máximo de errores de autenticación permitidos para un conjunto de credenciales, con valor predeterminado en 1.
Almacenar en caché la información del usuario para las conexiones posteriores a esta red cacheUserData Especifica si las credenciales del usuario deben almacenarse en caché para las conexiones posteriores a la misma red, con valor predeterminado en true.

Configuración de seguridad avanzada > IEEE 802.1X

Si se activa Aplicar la configuración avanzada 802.1X, se configurarán todas las opciones siguientes. Si está desactivada, se aplicará la configuración predeterminada. En XML, todos los elementos son opcionales, con los valores predeterminados usados si no están presentes.

Configuración Elemento XML Descripción
Nº máximo de mensajes de inicio EAPOL maxStart Especifica el número máximo de mensajes de EAPOL-Start que se pueden enviar al autenticador (servidor RADIUS) antes de que el suplicante (cliente de Windows) suponga que no hay ningún autenticador presente, con valor predeterminado en 3.
Período de inicio (seg.) startPeriod Especifica el período de tiempo (en segundos) que se debe esperar antes de que se envíe un mensaje de EAPOL-Start para iniciar el proceso de autenticación 802.1X, con valor predeterminado en 5.
Período de retención (seg.) heldPeriod Especifica el período de tiempo (en segundos) que se debe esperar después de un intento de autenticación fallido para volver a intentar la autenticación, con valor predeterminado en 1.
Período de autenticación (seg.) authPeriod Especifica el período de tiempo (en segundos) que se debe esperar a una respuesta del autenticador (servidor RADIUS) antes de suponer que no hay ningún autenticador presente, con valor predeterminado en 18.
Mensaje de inicio EAPOL supplicantMode Especifica el método de transmisión utilizado para mensajes EAPOL-Start. Se admiten los valores siguientes:

1. No transmitir (inhibitTransmission)
2. Transmitir (includeLearning)
3. Transmitir por IEEE 802.1X (compliant)

"Equipo", en este contexto, significa "Máquina" en otras referencias. compliant es el valor predeterminado en Windows y es la única opción válida para los perfiles inalámbricos.

Configuración de seguridad avanzada > Inicio de sesión único

En la siguiente tabla se explica la configuración de Inicio de sesión único (SSO), anteriormente conocida como Proveedor de acceso al inicio de sesión previo (PLAP).

Parámetro Elemento XML Descripción
Habilitar Inicio de sesión único en esta red singleSignOn Especifica si el inicio de sesión único está habilitado para esta red, con valor predeterminado en false. No use singleSignOn en un perfil si la red no lo requiere.
Realizar inmediatamente antes de que el usuario

Realizar inmediatamente después de que el usuario
type Especifica cuándo se debe realizar el SSO, si antes o después de que el usuario inicie sesión.
Retraso máximo para conectividad (segundos) maxDelay Especifica el retraso máximo (en segundos) antes de que se produzca un error en el intento de SSO, con valor predeterminado en 10.
Permitir cuadros de diálogo adicionales durante el inicio de sesión único allowAdditionalDialogs Especifica si se permite mostrar cuadros de diálogo de EAP durante el inicio de sesión único, con valor predeterminado en false.
Esta red usa diferentes VLAN para autenticarse con credenciales de equipo y de usuario userBasedVirtualLan Especifica si la LAN virtual (VLAN) usada por el dispositivo cambia en función de las credenciales del usuario, con valor predeterminado en false.

Configuración del método de autenticación

Precaución

Si se configura un servidor de acceso a la red para permitir el mismo tipo de método de autenticación para un método EAP tunelizado (por ejemplo, PEAP) y un método EAP no tunelizado (por ejemplo, EAP-MSCHAP v2), existe una posible vulnerabilidad de seguridad. Al implementar PEAP y EAP (que no está protegido), no use el mismo tipo de autenticación. Por ejemplo, si implementa PEAP-TLS, no implemente también EAP-TLS. Esto se debe a que si necesita la protección del túnel, no sirve permitir que el método se ejecute fuera del túnel también.

La siguiente tabla explica las opciones de configuración de cada método de autenticación.

La configuración de EAP-TLS de la interfaz de usuario se asigna a EapTlsConnectionPropertiesV1, que se extiende por EapTlsConnectionPropertiesV2 y EapTlsConnectionPropertiesV3.

Configuración Elemento XML Descripción
Usar mi tarjeta inteligente CredentialsSource > SmartCard Especifica que los clientes que realicen solicitudes de autenticación deben presentar un certificado de tarjeta inteligente para la autenticación de red.
Usar un certificado en este equipo CredentialsSource > CertificateStore Especifica que los clientes que se autentiquen deben usar un certificado ubicado en el almacén de certificados del Usuario actual o del Equipo local.
Usar selección de certificado simple (recomendado) SimpleCertSelection Especifica si Windows seleccionará automáticamente un certificado para la autenticación sin interacción del usuario (si es posible) o si Windows mostrará una lista desplegable para que el usuario seleccione un certificado.
Avanzadas Abre el cuadro de diálogo Configurar selección de certificado.
Opciones de validación del servidor
Usar un nombre de usuario distinto para la conexión DifferentUsername Especifica si se debe usar un nombre de usuario para la autenticación distinto del nombre de usuario del certificado.

A continuación se enumeran los valores de configuración para Configurar la selección de certificado. Esta configuración define los criterios que usa un cliente para seleccionar el certificado adecuado para la autenticación. Esta interfaz de usuario se asigna a TLSExtensions > FilteringInfo.

Configuración Elemento XML Descripción
Emisor de certificado CAHashList Enabled="true" Especifica si el emisor de certificado está habilitado.

Si tanto Emisor de certificado como Uso mejorado de clave (EKU) están habilitados, solo aquellos certificados que cumplen con las dos condiciones se consideran válidos para autenticar el cliente con el servidor.

Entidades de certificación raíz IssuerHash Enumera los nombres de todos los emisores para los cuales están presentes los certificados de entidad de certificación (CA) correspondientes en el almacén de certificados de entidades de certificación raíz de confianza o entidades de certificación intermedias de la cuenta del equipo local. Esto incluye:

1. Todas las entidades de certificación raíz y entidades de certificación intermedias.
2. Contiene solo los emisores para los cuales existen certificados válidos correspondientes en el equipo (por ejemplo, los certificados que no expiraron ni fueron revocados).
3. La lista final de certificados habilitados para la autenticación contiene solo aquellos certificados emitidos por alguno de los emisores seleccionados en esta lista.

En XML, esta es la huella digital SHA-1 (hash) del certificado.

Uso mejorado de clave (EKU) Permite seleccionar Todos los propósitos, Autenticación de clientes, Cualquier propósito, o cualquier combinación de estos valores. Especifica que cuando se selecciona una combinación, todos los certificados que cumplen con al menos una de las tres condiciones se consideran válidos para el fin de autenticar el cliente en el servidor. Si el filtrado de EKU está habilitado, se debe seleccionar una de las opciones, de lo contrario, la casilla Uso mejorado de clave (EKU) se desmarcará.
Todos los propósitos AllPurposeEnabled Cuando se selecciona, este elemento especifica que los certificados que tienen el EKU Todo Propósito se consideran certificados válidos a efectos de autenticar al cliente ante el servidor. El identificador de objeto (OID) para Todos los propósitos es 0 o está vacío.
Autenticación de cliente ClientAuthEKUList Enabled="true" (> EKUMapInList > EKUName) Especifica que los certificados que tengan el EKU Autenticación de cliente y la enumeración especificada de EKU se consideran certificados válidos a efectos de autenticar al cliente en el servidor. El identificador de objeto (OID) para Autenticación del cliente es 1.3.6.1.5.5.7.3.2.
Cualquier propósito AnyPurposeEKUList Enabled="true" (> EKUMapInList > EKUName) Especifica que todos los certificados que tengan el EKU Cualquier propósito y la enumeración especificada de EKU se consideran certificados válidos a efectos de autenticar al cliente ante el servidor. El identificador de objeto (OID) para Cualquier propósito es 1.3.6.1.4.1.311.10.12.1.
Add (Agregar) EKUMapping > EKUMap > EKUName/EKUOID Abre el cuadro de diálogo Seleccionar EKU, que le permite agregar EKU estándar, personalizados o específicos del proveedor a la lista Autenticación de cliente o Cualquier propósito.

Al seleccionar Agregar o Editar en el cuadro de diálogo Seleccionar EKU, se abrirá el cuadro de diálogo Agregar o editar EKU, que proporciona dos opciones:
1. Introduzca el nombre del EKU: proporciona un lugar para escribir el nombre del EKU personalizado.
2. Introduzca el OID del EKU: proporciona un lugar para escribir el OID del EKU. Solo se permiten dígitos numéricos, separadores y .. Se permiten los caracteres comodín, en cuyo caso se permiten también todos los OID de los elementos secundarios de la jerarquía.

Por ejemplo, introducir 1.3.6.1.4.1.311.* permite 1.3.6.1.4.1.311.42 y 1.3.6.1.4.1.311.42.2.1.

Editar Le permite editar los EKU personalizados que haya añadido. Los EKU predefinidos predeterminados no se pueden editar.
Remove Quita el EKU seleccionado de la lista de Autenticación de cliente o Cualquier propósito.

Validación del servidor

Muchos métodos EAP incluyen una opción para que el cliente valide el certificado del servidor. Si el certificado de servidor no se valida, el cliente no puede asegurarse de que se está comunicando con el servidor correcto. Esto expone al cliente a riesgos de seguridad, incluida la posibilidad de que el cliente se conecte sin saberlo a una red no autorizada.

Nota:

Windows requiere que el certificado de servidor tenga el EKU de Autenticación de servidor. El identificador de objeto (OID) de este EKU es 1.3.6.1.5.5.7.3.1.

En la tabla siguiente se enumeran las opciones de validación del servidor aplicables a cada método EAP. Windows 11 actualizó la lógica de validación del servidor para que sea más coherente (consulte Comportamiento actualizado de validación de certificados de servidor en Windows 11). Si entran en conflicto, las descripciones de la tabla siguiente describen el comportamiento de Windows 10 y versiones anteriores.

Parámetro Elemento XML Descripción
Verificar la identidad del servidor validando el certificado EAP-TLS:
PerformServerValidation

PEAP:
PerformServerValidation
Este elemento especifica que el cliente comprueba que los certificados de servidor presentados al equipo cliente tengan las firmas correctas, que no hayan expirado y que hayan sido emitidos por una entidad de certificación (CA) raíz de confianza.

Deshabilitar esta casilla hace que los equipos cliente no puedan comprobar la identidad de los servidores durante el proceso de autenticación. Si no se lleva a cabo la autenticación del servidor, los usuarios están expuestos a riesgos graves de seguridad, incluida la posibilidad de que los usuarios se conecten sin saberlo a una red no autorizada.

Conectar a estos servidores EAP-TLS:
ServerValidation > ServerNames

PEAP:
ServerValidation > ServerNames

EAP-TTLS:
ServerValidation>
ServerNames

TEAP:
ServerValidation>
ServerNames
Le permite especificar el nombre de servidores RADIUS (Servicio de autenticación telefónica remoto para el usuario) que proporcionan autorización y autenticación de red.

Debe escribir el nombre exactamente como aparece en el campo de asunto de cada certificado de servidor RADIUS o use expresiones regulares (regex) para especificar el nombre del servidor.

Se puede usar la sintaxis completa de la expresión regular para especificar el nombre del servidor, pero, para diferenciar una expresión regular con la cadena literal, debe usar al menos un * en la cadena especificada. Por ejemplo, puede utilizar nps.*\.example\.com para especificar el servidor RADIUS nps1.example.com o nps2.example.com.

También puede incluir un ; para separar varios servidores.

Si no se especifica ningún servidor RADIUS, el cliente comprobará que el certificado de servidor RADIUS fue emitido por una CA raíz de confianza.

Entidades de certificación raíz de confianza EAP-TLS:
ServerValidation > TrustedRootCA

PEAP:
ServerValidation > TrustedRootCA

EAP-TTLS:
ServerValidation>
TrustedRootCAHashes

TEAP:
ServerValidation>
TrustedRootCAHashes
Muestra las entidades de certificación raíz de confianza. La lista se genera a partir de las entidades de certificación raíz de confianza instaladas en el equipo y los almacenes de certificados de usuario. Puede especificar los certificados de CA raíz de confianza que usan los suplicantes para determinar si confían en los servidores como, por ejemplo, el servidor que ejecuta el Servidor de directivas de redes (NPS) o el servidor de aprovisionamiento. Si no se selecciona ninguna CA raíz de confianza, el cliente 802.1X comprueba que el certificado de equipo del servidor RADIUS haya sido emitido por una CA raíz de confianza instalada. Si se seleccionan una o varias CA raíz de confianza, el cliente 802.1X comprueba que el certificado de equipo del servidor RADIUS haya sido emitido por una CA raíz de confianza seleccionada.

Si no se selecciona ninguna CA raíz de confianza, el cliente comprueba que el emisor del certificado de servidor RADIUS sea una CA raíz de confianza.

Si tiene una infraestructura de clave pública (PKI) en la red y usa la CA para emitir certificados para los servidores RADIUS, se agregará automáticamente el certificado de CA a la lista de entidades de certificación raíz de confianza. También puede adquirir un certificado de CA de un proveedor distinto de Microsoft. Algunas CA raíz de confianza que no son de Microsoft proporcionan software al adquirir el certificado, el cual instala automáticamente el certificado adquirido en el almacén de certificados de entidades de certificación raíz de confianza. En este caso, la CA raíz de confianza aparece automáticamente en la lista de CA raíz de confianza.

No especifique un certificado de CA raíz de confianza que no aparezca en la lista de los almacenes de certificados de Entidades de certificación raíz de confianza del equipo cliente para el Usuario actual y el Equipo local. Si designa un certificado que no esté instalado en los equipos cliente, se producirá un error de autenticación.

En XML, esta es la huella digital SHA-1 (hash) del certificado (o SHA-256 para TEAP).

Aviso del usuario de validación del servidor

En la tabla siguiente se enumeran las opciones de solicitud de usuario de validación del servidor aplicables a cada método EAP. Estas opciones se usarían, en el caso de que un certificado de servidor no sea de confianza, para:

  • producir un error en la conexión de inmediato, o bien
  • permitir que el usuario acepte o rechace manualmente la conexión.
Parámetro Elemento XML
No pedir la intervención del usuario para autorizar nuevos servidores o entidades de certificación de confianza ServerValidation > DisableUserPromptForServerValidation

Evita que se solicite a la persona usuaria que confíe en un certificado de servidor si el certificado está configurado incorrectamente, si no es ya de confianza o en ambos casos (si está habilitado). Para simplificar la experiencia del usuario e impedir que los usuarios confíen erróneamente en un servidor implementado por un atacante, se recomienda activar esta casilla.

Opciones de configuración de autenticación de telefonía móvil

A continuación se enumeran los valores de configuración para EAP-SIM, EPA-AKA y EPA-AKA' respectivamente.

EAP-SIM se define en RFC 4186. El Módulo de identidad de suscriptor (SIM) de EAP se usa para la autenticación y la distribución de claves de sesión mediante el Módulo de identidad de suscriptor (SIM) de Sistema global para las comunicaciones móviles (GSM) de segunda generación.

La configuración de EAP-SIM en la interfaz de usuario se asigna a EapSimConnectionPropertiesV1.

Elemento Elemento XML Descripción
Usar claves de cifrado seguras UseStrongCipherKeys Especifica que si se selecciona, el perfil usa un cifrado de alta seguridad.
No revelar la identidad real al servidor cuando haya disponible una de seudónimo DontRevealPermanentID Si se habilita, fuerza al cliente para que genere un error en la autenticación si las solicitudes del servidor de una identidad permanente a través del cliente tienen una identidad de seudónimo con ellas. Las identidades de seudónimo se usan para dar privacidad a la identidad, de modo que la identidad real o permanente de un usuario no se revele durante la autenticación.
ProviderName Solo está disponible en XML, una cadena que indica el nombre del proveedor permitido para la autenticación.
Habilitar el uso de dominios kerberos Dominio=true Proporciona un lugar para escribir el nombre de dominio kerberos. Si este campo se deja en blanco con la opción Habilitar el uso de dominios kerberos seleccionada, el dominio kerberos se deriva de la Identidad del suscriptor móvil internacional (IMSI) mediante el dominio kerberos 3gpp.org, como se describe en el estándar 23.003 V6.8.0 del Proyecto de asociación de tercera generación (3GPP).
Especificar un dominio kerberos Realm Proporciona un lugar para escribir el nombre de dominio. Si Habilitar el uso de dominios está habilitado, se usa esta cadena. Si este campo está vacío, se usa el dominio derivado.

Modo WPA3-Enterprise de 192 bits

El modo de 192 bits de WPA3-Enterprise es un modo especial para WPA3-Enterprise que exige ciertos requisitos de seguridad elevados en la conexión inalámbrica para proporcionar un mínimo de 192 bits de seguridad. Estos requisitos se alinean con el Suite de Algoritmos de Seguridad Nacional Comercial (CNSA), CNSSP 15, que es un conjunto de algoritmos criptográficos aprobados para proteger la información clasificada y secreta por parte de la Agencia de Seguridad Nacional (NSA) de Estados Unidos. A veces, el modo de 192 bits se puede denominar "Modo suite B", que es una referencia a la especificación de criptografía de NSA Suite B, que fue reemplazada por CNSA en 2016.

Tanto WPA3-Enterprise como el modo de 192 bits de WPA3-Enterprise están disponibles a partir de Windows 10, versión 2004 (compilación 19041) y Windows Server 2022. Sin embargo, WPA3-Enterprise se individualizó como un algoritmo de autenticación independiente en Windows 11. En XML, se especifica en el elemento authEncryption.

En la siguiente tabla se enumeran los algoritmos requeridos por el conjunto de CNSA.

Algoritmo Descripción Parámetros
Estándar de cifrado avanzado (AES) Cifrado de bloques simétricos usado para el cifrado Clave de 256 bits (AES-256)
Intercambio de claves de Elliptic Curve Diffie-Hellman (ECDH) Algoritmo asimétrico usado para establecer un secreto compartido (clave) Curva (P-384) de módulo primo de 384 bits
Elliptic Curve Digital Signature Algorithm (ECDSA) Algoritmo asimétrico usado para firmas digitales Curva (P-384) de módulo primo de 384 bits
Algoritmo hash seguro (SHA) Función hash criptográfica SHA-384
Intercambio de claves Diffie-Hellman (DH) Algoritmo asimétrico usado para establecer un secreto compartido (clave) Módulo de 3072 bits
Rivest-Shamir-Adleman (RSA) Algoritmo asimétrico utilizado para firmas digitales o establecimiento de claves Módulo de 3072 bits

La alineación con CNSA, el modo de 192 bits de WPA3-Enterprise requiere que EAP-TLS se use con los siguientes conjuntos de cifrado con restricciones:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • ECDHE y ECDSA con la curva P-384 de módulo primo de 384 bits
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
    • ECDHE con la curva de módulo primo de 384 bits P-384
    • RSA >= módulo de 3072 bits

Nota:

P-384 también se conoce como secp384r1 o nistp384. No se permiten otras curvas elípticas, como P-521.

SHA-384 está en la familia SHA-2 de funciones hash. No se permiten otros algoritmos y variantes, como SHA-512 o SHA3-384.

Windows solo admite los conjuntos de cifrado TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 para el modo de 192 bits de WPA3-Enterprise. No se admite el conjunto de cifrado TLS_DHE_RSA_AES_256_GCM_SHA384.

TLS 1.3 usa nuevos conjuntos TLS simplificados, de los cuales solo TLS_AES_256_GCM_SHA384 es compatible con el modo de 192 bits de WPA3-Enterprise. Como TLS 1.3 requiere (EC)DHE y permite certificados ECDSA o RSA, junto con el hash AES-256 AEAD y SHA384, TLS_AES_256_GCM_SHA384 es equivalente a TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Sin embargo, RFC 8446 requiere que las aplicaciones compatibles con TLS 1.3 admitan P-256, que está prohibida por CNSA. Por lo tanto, el modo de 192 bits de WPA3-Enterprise no puede ser totalmente compatible con TLS 1.3. Sin embargo, no hay problemas de interoperabilidad conocidos con TLS 1.3 y el modo de 192 bits de WPA3-Enterprise.

Para configurar una red para el modo de 192 bits de WPA3-Enterprise, Windows requiere que EAP-TLS se use con un certificado que cumpla los requisitos descritos anteriormente.

Recursos adicionales