802.1x + FreeRADIUS + OpenLDAP + Virtualización

  • 708 views
Uploaded on

 

More in: Software
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
708
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
29
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o Alejandro Vald´s Jimenez e avaldes@utalca.cl October 1, 2011Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 1 / 23
  • 2. Agenda1 Introducci´n o2 Conceptos3 ¿Por qu´ 802.1x? e4 Dise˜o n5 Implementaci´n y Pruebas o6 Enlaces Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 2 / 23
  • 3. Introducci´n oIntroducci´n o Redes inal´mbricas hoy consideradas como una soluci´n de movilidad, a o flexibilidad y productividad, aumentando mas cada dia su implementaci´n. o Pero... trae consigo importantes riesgos de seguridad que afrontar asociados a: la inexistencia de per´ ımetros f´ ısicos claros la carencia de mecanismos de seguridad lo suficientemente fuertes que protejan el acceso a los recursos tecnol´gicos y a la informaci´n. o o Desde los inicios, muchas recomendaciones se han generado para dotar de un nivel de seguridad adecuado a esta tecnolog´ ıa. Algunas recomendaciones evidenciaron mas riesgos, generando confusi´n y desconfianza. o Hoy existen iniciativas mas serias que permiten mejorar el nivel de seguridad de estas redes. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 3 / 23
  • 4. Introducci´n oObjetivo Describir una de las soluciones de seguridad m´s eficientes para el a control de acceso a los recursos y la protecci´n de la informaci´n, o o basada en la autenticaci´n para el acceso a la red y el cifrado en las o comunicaciones sobre este tipo de redes. En particular, se ver´: a 802.1x + EAP/TTLS + FreeRADIUS + OpenLDAP. Sobre un ambiente virtualizado utilizando VirtualBox. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 4 / 23
  • 5. ConceptosConceptos Para entender mejor la exposici´n, se presenta de manera breve los o principales conceptos relacionados con esta implementaci´n. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 5 / 23
  • 6. ConceptosControl de Acceso En t´rminos de sistemas de informaci´n es: e o La capacidad de controlar la interacci´n de un elemento activo o (usuario, dispositivo, servicio) con un recurso inform´tico (red de a datos, sistema, servicio). Implica adem´s procedimientos de autenticaci´n, autorizaci´n e a o o identificaci´n para permitir o denegar el uso de los recursos. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 6 / 23
  • 7. ConceptosAutenticaci´n (1/2) o Proceso de validar la identidad de quien accede o provee un servicio, mediante el uso de ciertas credenciales (ej. contrase˜a). n Tambi´n se pueden utilizar Tokens (algo que Ud tiene) o Biometr´ e ıa (algo que Ud es). A nivel de enlace de datos existen diversos protocolos de autenticaci´n: o PAP (Password Authentication Protocolo) validaci´n al establecer conexi´n. o o credenciales: usuario y clave. credenciales viajan en texto claro (m´todo poco seguro). e CHAP (Challenge Handshake Protocol) mejor nivel de seguridad, validaci´n de tres v´ o ıas. servidor envia ”desaf´ el cual encripta el cliente con su contrase˜a, ıo” n luego servidor realiza mismo procedimiento. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 7 / 23
  • 8. ConceptosAutenticaci´n (2/2) o EAP (Extensible Authentication Protocol) eleva a´n mas el nivel de seguridad de la autenticaci´n. u o permite diversos m´todos de autenticaci´n y tipos de credenciales e o (certificados digitales). Conforme a las caracter´ ısticas de cada infraestructura, los principales tipos son: EAP-TLS: t´nel cifrado para proteger credenciales y datos. certificados u digitales cliente y servidor. EAP-PEAP: t´nel para servidor y otro t´nel para cliente. comunmente u u soportado por Microsoft. EAP-TTLS: t´nel cifrado para proteger autenticaci´n del cliente. u o certificado digital solo en el servidor. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 8 / 23
  • 9. ConceptosAutorizaci´n o La autorizaci´n establece lo que un usuario puede o no hacer una vez o haya sido identificado y autenticado. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 9 / 23
  • 10. ConceptosCifrado En sistema de informaci´n, es el proceso mediante el cual, utilizando o una llave o valor de control, un mensaje (generalmente datos en texto plano) es codificado para evitar que su contenido sea accedido y/o entendido por personal no autorizado. Sim´trico e Proceso de cifrado y descifrado utilizan la misma llave. Distribuci´n de llaves debe ser segura. o DES (Data Encription Standard), Triple DES y AES (Advanced Encription Standard) Asim´trico e Proceso de cifrado y descifrado utilizan llaves diferentes (privada y p´blica). u Mejora los esquemas de confidencialidad e integridad. RSA (Rivest, Shamir, Addleman), Diffie-Hellman. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 10 / 23
  • 11. ConceptosRADIUS Remote Authentication Dial-in User Service. Protocolo de autenticaci´n basado en cliente y servidor. o Permite la autenticaci´n de usuarios que acceden a la red y autorizar o el uso de los servicios requeridos. FreeRADIUS es una implementaci´n Open Source de RADIUS o (Versi´n actual 2.1.11). o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 11 / 23
  • 12. ConceptosLDAP Lightweight Directory Access Protocol. Protocolo de acceso a servicio de directorios, basado en el estandar X.500 Un directorio es un conjunto de objetos con atributos organizados en una manera l´gica y jer´rquica. o a OpenLDAP es una implementaci´n Open Source (Versi´n actual o o 2.4.26) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 12 / 23
  • 13. Conceptos802.11 Estandar IEEE que establece especificaciones para los dispositivos y las comunicaciones en redes inal´mbricas de ´rea local (WLAN), a a incluyendo espectros de frecuencias utilizadas, velocidades de transmisi´n y dem´s par´metros que determinan esta tecnolog´ o a a ıa. Especifica tambi´n mecanismos de cifrado, WEP (Wired Equivalency e Privacy) para la protecci´n de los datos transmitidos en ambientes o WLAN. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 13 / 23
  • 14. Conceptos802.1x Estandar IEEE para realizar control de acceso a una red mediante autenticaci´n, que habilita o impide el acceso de los dispositivos que o se conectan a un puerto de red LAN. Puede implementarse tanto en redes cableadas o inal´mbricas 802.11. a Su implementaci´n requiere lo siguiente: o Suplicante, usuario que intenta acceder a la red. Autenticador, punto de acceso que habilita/impide el ingreo del suplicante. Servidor de autenticaci´n, quien negocia y valida la identidad del o suplicante. 1X hace referencia al uso de EAP entre el suplicante (usuarios), el autenticador (switches o access point)y el servidor de autenticaci´n o (por ejemplo RADIUS). Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 14 / 23
  • 15. Conceptos802.1x Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 15 / 23
  • 16. ¿Por qu´ 802.1x? e¿Por qu´ 802.1x? e Varias son las recomendaciones para minimizar los riesgos asociados al acceso indebido en redes inal´mbricas, sin embargo, no logran un a nivel de seguridad apropiado o implican demasiado trabajo de administraci´n. o Evitar difusi´n del SSID (Service Set Identifier). (¿se pueden realmente o ocultar?) ACLs por direcciones f´ ısicas o MAC (Media Access Control). (mantenci´n de ACLs) o Uso de VPN (Virtual Private Network). (no es transparente para el usuario) No implementar infraestructura inal´mbrica. (caso extremo) a Utilizar cifrado en la conexiones inal´mbricas, WEP. (muchas a debilidades) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 16 / 23
  • 17. ¿Por qu´ 802.1x? e¿Por qu´ 802.1x? e IEEE consciente de las fallas de WEP, desarrolla el 802.11i Por otro lado la ”Wi-Fi” (Consorcio de proveedores de tecnolog´ ıa inal´mbrica con mejor fidelidad) genera WPA (Wi-Fi Protected a Access) basado en el 802.11i. WPA utiliza 802.1x como mecanismo de control de acceso y autenticaci´n de red. o Para corregir las principales debilidades de WEP, utiliza TKIP (Temporal Key Integrity Protocol). WPA2 es la ratificaci´n del estandar 802.11i. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 17 / 23
  • 18. Dise˜o nDise˜o n Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 18 / 23
  • 19. Implementaci´n y Pruebas oClientes - Suplicantes Linux: wpa-supplicant Open Source Soporta WPA y WPA2 (versi´n 0.6.9) o Windows XP: cliente EAP-TTLS SecureW2 Open Source Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 19 / 23
  • 20. Implementaci´n y Pruebas oPunto de Acceso - Autenticador Cisco Aironet 1130AG Series (802.11a/b/g) Se debe configurar para que opere en 802.1x, indicando direcci´n del o servidor RADIUS, autenticaci´n del servidor, tipo de autenticaci´n y o o dem´s par´metros. a a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 20 / 23
  • 21. Implementaci´n y Pruebas oServidor de Autenticaci´n o Se debe configurar el tipo de autenticaci´n, EAP-TTLS y sus o par´metros asociados. a Se debe configurar los par´metros adecuados para la integraci´n con a o LDAP. Se debe definir los puntos de accesos que manejar´ el servidor. a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 21 / 23
  • 22. Implementaci´n y Pruebas oRed Access Point: 192.168.25.20 M´quinas virtuales (VirtualBox) a OpenLDAP: 192.168.25.18 FreeRADIUS: 192.168.25.19 DHCP: 192.168.25.21 (rango: 192.168.25.100 - 254) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 22 / 23
  • 23. EnlacesEnlaces IEEE 802.11 working group: http://www.ieee802.org/11/ 802.1X - Port Based Network Access Control: http://www.ieee802.org/1/pages/802.1x.html freeradius project: http://www.freeradius.org/ RADIUS: http://www.ietf.org/rfc/rfc2865.txt Openldap project: http://www.openldap.org/ LDAP: http://www.rfc-editor.org/rfc/rfc2251.txt VirtualBox: http://www.virtualbox.org/ Wi-Fi Alliance: http://www.wi-fi.org/ wpa-supplicant: http://w1.fi/wpa-supplicant/ cliente eap-ttls securew2: http://www.securew2.com/ Referencia: http://www.sans.org/reading- room/whitepapers/wireless/consideraciones-para-la-implementacion- de-802-1x-en-wlans-1607 Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 23 / 23