802.1x + FreeRADIUS + OpenLDAP + Virtualización
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

802.1x + FreeRADIUS + OpenLDAP + Virtualización

on

  • 972 views

 

Statistics

Views

Total Views
972
Views on SlideShare
950
Embed Views
22

Actions

Likes
0
Downloads
26
Comments
0

1 Embed 22

http://lms.educandus.cl 22

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

802.1x + FreeRADIUS + OpenLDAP + Virtualización Presentation Transcript

  • 1. 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o Alejandro Vald´s Jimenez e avaldes@utalca.cl October 1, 2011Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 1 / 23
  • 2. Agenda1 Introducci´n o2 Conceptos3 ¿Por qu´ 802.1x? e4 Dise˜o n5 Implementaci´n y Pruebas o6 Enlaces Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 2 / 23
  • 3. Introducci´n oIntroducci´n o Redes inal´mbricas hoy consideradas como una soluci´n de movilidad, a o flexibilidad y productividad, aumentando mas cada dia su implementaci´n. o Pero... trae consigo importantes riesgos de seguridad que afrontar asociados a: la inexistencia de per´ ımetros f´ ısicos claros la carencia de mecanismos de seguridad lo suficientemente fuertes que protejan el acceso a los recursos tecnol´gicos y a la informaci´n. o o Desde los inicios, muchas recomendaciones se han generado para dotar de un nivel de seguridad adecuado a esta tecnolog´ ıa. Algunas recomendaciones evidenciaron mas riesgos, generando confusi´n y desconfianza. o Hoy existen iniciativas mas serias que permiten mejorar el nivel de seguridad de estas redes. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 3 / 23
  • 4. Introducci´n oObjetivo Describir una de las soluciones de seguridad m´s eficientes para el a control de acceso a los recursos y la protecci´n de la informaci´n, o o basada en la autenticaci´n para el acceso a la red y el cifrado en las o comunicaciones sobre este tipo de redes. En particular, se ver´: a 802.1x + EAP/TTLS + FreeRADIUS + OpenLDAP. Sobre un ambiente virtualizado utilizando VirtualBox. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 4 / 23
  • 5. ConceptosConceptos Para entender mejor la exposici´n, se presenta de manera breve los o principales conceptos relacionados con esta implementaci´n. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 5 / 23
  • 6. ConceptosControl de Acceso En t´rminos de sistemas de informaci´n es: e o La capacidad de controlar la interacci´n de un elemento activo o (usuario, dispositivo, servicio) con un recurso inform´tico (red de a datos, sistema, servicio). Implica adem´s procedimientos de autenticaci´n, autorizaci´n e a o o identificaci´n para permitir o denegar el uso de los recursos. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 6 / 23
  • 7. ConceptosAutenticaci´n (1/2) o Proceso de validar la identidad de quien accede o provee un servicio, mediante el uso de ciertas credenciales (ej. contrase˜a). n Tambi´n se pueden utilizar Tokens (algo que Ud tiene) o Biometr´ e ıa (algo que Ud es). A nivel de enlace de datos existen diversos protocolos de autenticaci´n: o PAP (Password Authentication Protocolo) validaci´n al establecer conexi´n. o o credenciales: usuario y clave. credenciales viajan en texto claro (m´todo poco seguro). e CHAP (Challenge Handshake Protocol) mejor nivel de seguridad, validaci´n de tres v´ o ıas. servidor envia ”desaf´ el cual encripta el cliente con su contrase˜a, ıo” n luego servidor realiza mismo procedimiento. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 7 / 23
  • 8. ConceptosAutenticaci´n (2/2) o EAP (Extensible Authentication Protocol) eleva a´n mas el nivel de seguridad de la autenticaci´n. u o permite diversos m´todos de autenticaci´n y tipos de credenciales e o (certificados digitales). Conforme a las caracter´ ısticas de cada infraestructura, los principales tipos son: EAP-TLS: t´nel cifrado para proteger credenciales y datos. certificados u digitales cliente y servidor. EAP-PEAP: t´nel para servidor y otro t´nel para cliente. comunmente u u soportado por Microsoft. EAP-TTLS: t´nel cifrado para proteger autenticaci´n del cliente. u o certificado digital solo en el servidor. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 8 / 23
  • 9. ConceptosAutorizaci´n o La autorizaci´n establece lo que un usuario puede o no hacer una vez o haya sido identificado y autenticado. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 9 / 23
  • 10. ConceptosCifrado En sistema de informaci´n, es el proceso mediante el cual, utilizando o una llave o valor de control, un mensaje (generalmente datos en texto plano) es codificado para evitar que su contenido sea accedido y/o entendido por personal no autorizado. Sim´trico e Proceso de cifrado y descifrado utilizan la misma llave. Distribuci´n de llaves debe ser segura. o DES (Data Encription Standard), Triple DES y AES (Advanced Encription Standard) Asim´trico e Proceso de cifrado y descifrado utilizan llaves diferentes (privada y p´blica). u Mejora los esquemas de confidencialidad e integridad. RSA (Rivest, Shamir, Addleman), Diffie-Hellman. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 10 / 23
  • 11. ConceptosRADIUS Remote Authentication Dial-in User Service. Protocolo de autenticaci´n basado en cliente y servidor. o Permite la autenticaci´n de usuarios que acceden a la red y autorizar o el uso de los servicios requeridos. FreeRADIUS es una implementaci´n Open Source de RADIUS o (Versi´n actual 2.1.11). o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 11 / 23
  • 12. ConceptosLDAP Lightweight Directory Access Protocol. Protocolo de acceso a servicio de directorios, basado en el estandar X.500 Un directorio es un conjunto de objetos con atributos organizados en una manera l´gica y jer´rquica. o a OpenLDAP es una implementaci´n Open Source (Versi´n actual o o 2.4.26) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 12 / 23
  • 13. Conceptos802.11 Estandar IEEE que establece especificaciones para los dispositivos y las comunicaciones en redes inal´mbricas de ´rea local (WLAN), a a incluyendo espectros de frecuencias utilizadas, velocidades de transmisi´n y dem´s par´metros que determinan esta tecnolog´ o a a ıa. Especifica tambi´n mecanismos de cifrado, WEP (Wired Equivalency e Privacy) para la protecci´n de los datos transmitidos en ambientes o WLAN. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 13 / 23
  • 14. Conceptos802.1x Estandar IEEE para realizar control de acceso a una red mediante autenticaci´n, que habilita o impide el acceso de los dispositivos que o se conectan a un puerto de red LAN. Puede implementarse tanto en redes cableadas o inal´mbricas 802.11. a Su implementaci´n requiere lo siguiente: o Suplicante, usuario que intenta acceder a la red. Autenticador, punto de acceso que habilita/impide el ingreo del suplicante. Servidor de autenticaci´n, quien negocia y valida la identidad del o suplicante. 1X hace referencia al uso de EAP entre el suplicante (usuarios), el autenticador (switches o access point)y el servidor de autenticaci´n o (por ejemplo RADIUS). Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 14 / 23
  • 15. Conceptos802.1x Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 15 / 23
  • 16. ¿Por qu´ 802.1x? e¿Por qu´ 802.1x? e Varias son las recomendaciones para minimizar los riesgos asociados al acceso indebido en redes inal´mbricas, sin embargo, no logran un a nivel de seguridad apropiado o implican demasiado trabajo de administraci´n. o Evitar difusi´n del SSID (Service Set Identifier). (¿se pueden realmente o ocultar?) ACLs por direcciones f´ ısicas o MAC (Media Access Control). (mantenci´n de ACLs) o Uso de VPN (Virtual Private Network). (no es transparente para el usuario) No implementar infraestructura inal´mbrica. (caso extremo) a Utilizar cifrado en la conexiones inal´mbricas, WEP. (muchas a debilidades) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 16 / 23
  • 17. ¿Por qu´ 802.1x? e¿Por qu´ 802.1x? e IEEE consciente de las fallas de WEP, desarrolla el 802.11i Por otro lado la ”Wi-Fi” (Consorcio de proveedores de tecnolog´ ıa inal´mbrica con mejor fidelidad) genera WPA (Wi-Fi Protected a Access) basado en el 802.11i. WPA utiliza 802.1x como mecanismo de control de acceso y autenticaci´n de red. o Para corregir las principales debilidades de WEP, utiliza TKIP (Temporal Key Integrity Protocol). WPA2 es la ratificaci´n del estandar 802.11i. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 17 / 23
  • 18. Dise˜o nDise˜o n Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 18 / 23
  • 19. Implementaci´n y Pruebas oClientes - Suplicantes Linux: wpa-supplicant Open Source Soporta WPA y WPA2 (versi´n 0.6.9) o Windows XP: cliente EAP-TTLS SecureW2 Open Source Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 19 / 23
  • 20. Implementaci´n y Pruebas oPunto de Acceso - Autenticador Cisco Aironet 1130AG Series (802.11a/b/g) Se debe configurar para que opere en 802.1x, indicando direcci´n del o servidor RADIUS, autenticaci´n del servidor, tipo de autenticaci´n y o o dem´s par´metros. a a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 20 / 23
  • 21. Implementaci´n y Pruebas oServidor de Autenticaci´n o Se debe configurar el tipo de autenticaci´n, EAP-TTLS y sus o par´metros asociados. a Se debe configurar los par´metros adecuados para la integraci´n con a o LDAP. Se debe definir los puntos de accesos que manejar´ el servidor. a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 21 / 23
  • 22. Implementaci´n y Pruebas oRed Access Point: 192.168.25.20 M´quinas virtuales (VirtualBox) a OpenLDAP: 192.168.25.18 FreeRADIUS: 192.168.25.19 DHCP: 192.168.25.21 (rango: 192.168.25.100 - 254) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 22 / 23
  • 23. EnlacesEnlaces IEEE 802.11 working group: http://www.ieee802.org/11/ 802.1X - Port Based Network Access Control: http://www.ieee802.org/1/pages/802.1x.html freeradius project: http://www.freeradius.org/ RADIUS: http://www.ietf.org/rfc/rfc2865.txt Openldap project: http://www.openldap.org/ LDAP: http://www.rfc-editor.org/rfc/rfc2251.txt VirtualBox: http://www.virtualbox.org/ Wi-Fi Alliance: http://www.wi-fi.org/ wpa-supplicant: http://w1.fi/wpa-supplicant/ cliente eap-ttls securew2: http://www.securew2.com/ Referencia: http://www.sans.org/reading- room/whitepapers/wireless/consideraciones-para-la-implementacion- de-802-1x-en-wlans-1607 Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 23 / 23