Your SlideShare is downloading. ×
Control de Acceso a la Red en entornos corporativos con Software Libre
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Control de Acceso a la Red en entornos corporativos con Software Libre

1,202
views

Published on

Describiremos qué es NAC y cómo funciona. Los problemas a los que da respuesta. Los bloques de construcción de un NAC. Lo que ya hay hecho y sus diferencias. Compararemos la estrategia clásica de …

Describiremos qué es NAC y cómo funciona. Los problemas a los que da respuesta. Los bloques de construcción de un NAC. Lo que ya hay hecho y sus diferencias. Compararemos la estrategia clásica de 802.1x con la de los portales cautivos.


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,202
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Control de Acceso a la Reden entornos corporativos con Software Libre Esteban Dauksis esteban@dauksis.com
  • 2. NACNetwork Access Control (NAC) is a computer networking solution thatuses a set of protocols to define and implement a policy that describeshow to secure access to network nodes by devices when they initiallyattempt to access the network. NAC might integrate the automaticremediation process (fixing non-compliant nodes before allowingaccess) into the network systems, allowing the network infrastructuresuch as routers, switches and firewalls to work together with backoffice servers and end user computing equipment to ensure theinformation system is operating securely before interoperability isallowed. Network Access Control aims to do exactly what the nameimplies—control access to a network with policies, including pre-admission endpoint security policy checks and post-admission controlsover where users and devices can go on a network and what they cando.
  • 3. Traes calcetines blancos?• Analizamos en el momento de la entrada• <- Está borracho?• <- Es V.I.P.?• <- Trae calcetines blancos?• <- Tiene invitación||flyer||descuento?• -> Paga y pasa.( Si no se comporta correctamente se le invita a saliry permanecer fuera )
  • 4. Algo más corporativo…• < Buenos días.• < Me permite su DNI• < A quién viene a visitar?• < De qué empresa viene?• < Espere un momentito que ahora mismo viene a buscarle || Los ascensores a mano derecha, 6º piso.• > Póngase esta identificación y Pase.
  • 5. ¿ Por qué hablar de NAC ?• Porque es una de esas cosas que todo el mundo sabe de qué va pero nadie incorpora.• Porque es bueno para las organizaciones, para los administradores y para los usuarios.• Porque la seguridad física es la base sobre la que se sustenta la seguridad en capas superiores.• Y también, por qué no? Porque si no sabemos como funciona no podremos eludirlo.
  • 6. 2 + 2 = 5 || Si todo el mundo sabe de qué va y además mola. Por qué nadie lo usa? • Incorpora funciones de: Seguridad, Gestión de las Comunicaciones, Gestión de puestos de trabajo. ¿Qué departamento se come el marrón? • Es complejo y hay tantos sabores casi como fabricantes, esto despista a los administradores y les hace pensar que no vale la pena el esfuerzo. • Problemas de interoperabilidad con las infraestructuras de red. Ni que decir en las multifabricante. Dificultades para diagnosticar. • Problemas de escalabilidad… En redes grandes: Ojo con los productos que tienen que monitorizar todo el tráfico de y ojo con los productos que tienen que consultar constantemente los switches… • Problemas para justificar el gasto. (aunque no incluya hardware y/o licencias) ¿Qué beneficios reales va a aportar? ¿Qué riesgos comporta adquirir NAC?
  • 7. Por qué insistir?• Cumplimiento normativo. – En algunos casos permite comprobar y aplicar políticas sobre los equipos. AV, Parches, HIDS,… – Es un buen punto para mostrar y aceptar la política de uso responsable.• Gestión de Identidades y accesos.• Automatismo para aprovisionamiento de puertos LAN.
  • 8. Las partes…• Un repositorio de usuarios con información sobre la configuración de red. VLAN, IP, MAC…• Un mecanismo de autenticación (y autorización).• Un mecanismo de bloqueo y/o desbloqueo del medio o del acceso al medio.
  • 9. Los estándares• 802.1x – Port-based Network Access Control – Define EAP (Extensible Authentication Protocol) over 802 (EAPOL) – Estandard de IEEE se basa en varios estandares. RADIUS vehementemente sugerido.• TNC – Arquitectura abierta de NAC. – Presentado en 2005 por Trusted Network Connect Work Group del Trusted Computing Group.
  • 10. Los sabores… Cada fabricante el suyo• Pre y Post admision. ¿Cuándo comprobar?• Con agente o sin agente. ¿Cómo comprobar?• Inline || out-of-band• Acceptar y rechazar || Remediar
  • 11. 802.1x
  • 12. Evolucion 802.1x• 802.1x-2001 – Extensiones para Wifi• 802.1x-2004 – 802.1ae MACsec. Media Access Control (MAC) Security. Conectionless user data confidentiality. Frame data integrity. Data origin authenticity• 802.1x-2010 – 802.ar IDevID (Initial Device Identification es tal cual un X509)
  • 13. RADIUS x2 = Diameter• Remote RFC 2865 – freeradius• Nació sobre ppp, hoy tiene carencias notables sobre 802 • does not define failover mechanisms • does not provide support for per-packet confidentiality • While [RFC3162] defines the use of IPsec with RADIUS, support for IPsec is not required. • runs over UDP, and does not define retransmission behavior • Does not provide for explicit support for agents, including Proxies, Redirects and Relays. • Optional support for server-initiated messages • does not define data-object security mechanisms, and as result, untrusted proxies may modify attributes or even packet headers without being detected. • does not support error messages, capability negotiation, or a mandatory/non-mandatory flag for attributes.• Diameter 3588 – erlang-diameter
  • 14. Lo que promete TNC• Secure Guest Access• User Authentication• Endpoint Integrity• Clientless endpoint management• Coordinated Security
  • 15. Especificaciones• TNC Architecture• IF-IMC - Integrity Measurement Collector Interface• IF-IMV - Integrity Measurement Verifier Interface• IF-TNCCS - Trusted Network Connect Client-Server Interface• IF-M - Vendor-Specific IMC/IMV Messages Interface• IF-T - Network Authorization Transport Interface• IF-PEP - Policy Enforcement Point Interface• IF-MAP - Metadata Access Point Interface• CESP - Clientless Endpoint Support Profile• Federated TNC
  • 16. TNC
  • 17. IF-MAP Metadata Access Point Interface• http://iankits.blogspot.com/2011/06/installation- guide-for-if-map-server.html• IF-MAP Server (Java) – http://trust.inform.fh- hannover.de/joomla/index.php/projects/iron – irond-0.2.2-bin.zip• IF-MAP Client/Library (C/C++) – http://code.google.com/p/libifmap2c/ – libifmap2c-0.2.0.tar.gz – libifmap2c-examples-0.2.0.tar.gz
  • 18. Platos enlatados
  • 19. Antes que nada,… me quedo con antes• Si poner un NAC como mandan los cánones es difícil sino imposible…• Qué podemos hacer? un NAC ibérico.• Cómo y qué partes montar las partes de NAC.
  • 20. Ingredientes: haz tu propia receta• HTTP(S)• BBDD• Directorio (LDAP, AD,…)• SNMP• DHCP• DNS• Freeradius (*)
  • 21. Qué hace falta?• Que TNC madure• Que la comunidad le de soporte• Se desarrollen productos casi plug’n’play