1. 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o
Alejandro Vald´s Jimenez
e
avaldes@utalca.cl
October 1, 2011
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 1 / 23
2. Agenda
1 Introducci´n
o
2 Conceptos
3 ¿Por qu´ 802.1x?
e
4 Dise˜o
n
5 Implementaci´n y Pruebas
o
6 Enlaces
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 2 / 23
3. Introducci´n
o
Introducci´n
o
Redes inal´mbricas hoy consideradas como una soluci´n de movilidad,
a o
flexibilidad y productividad, aumentando mas cada dia su
implementaci´n.
o
Pero... trae consigo importantes riesgos de seguridad que afrontar
asociados a:
la inexistencia de per´
ımetros f´
ısicos claros
la carencia de mecanismos de seguridad lo suficientemente fuertes que
protejan el acceso a los recursos tecnol´gicos y a la informaci´n.
o o
Desde los inicios, muchas recomendaciones se han generado para
dotar de un nivel de seguridad adecuado a esta tecnolog´
ıa.
Algunas recomendaciones evidenciaron mas riesgos, generando
confusi´n y desconfianza.
o
Hoy existen iniciativas mas serias que permiten mejorar el nivel de
seguridad de estas redes.
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 3 / 23
4. Introducci´n
o
Objetivo
Describir una de las soluciones de seguridad m´s eficientes para el
a
control de acceso a los recursos y la protecci´n de la informaci´n,
o o
basada en la autenticaci´n para el acceso a la red y el cifrado en las
o
comunicaciones sobre este tipo de redes.
En particular, se ver´:
a
802.1x + EAP/TTLS + FreeRADIUS + OpenLDAP.
Sobre un ambiente virtualizado utilizando VirtualBox.
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 4 / 23
5. Conceptos
Conceptos
Para entender mejor la exposici´n, se presenta de manera breve los
o
principales conceptos relacionados con esta implementaci´n.
o
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 5 / 23
6. Conceptos
Control de Acceso
En t´rminos de sistemas de informaci´n es:
e o
La capacidad de controlar la interacci´n de un elemento activo
o
(usuario, dispositivo, servicio) con un recurso inform´tico (red de
a
datos, sistema, servicio).
Implica adem´s procedimientos de autenticaci´n, autorizaci´n e
a o o
identificaci´n para permitir o denegar el uso de los recursos.
o
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 6 / 23
7. Conceptos
Autenticaci´n (1/2)
o
Proceso de validar la identidad de quien accede o provee un servicio,
mediante el uso de ciertas credenciales (ej. contrase˜a).
n
Tambi´n se pueden utilizar Tokens (algo que Ud tiene) o Biometr´
e ıa
(algo que Ud es).
A nivel de enlace de datos existen diversos protocolos de
autenticaci´n:
o
PAP (Password Authentication Protocolo)
validaci´n al establecer conexi´n.
o o
credenciales: usuario y clave.
credenciales viajan en texto claro (m´todo poco seguro).
e
CHAP (Challenge Handshake Protocol)
mejor nivel de seguridad, validaci´n de tres v´
o ıas.
servidor envia ”desaf´ el cual encripta el cliente con su contrase˜a,
ıo” n
luego servidor realiza mismo procedimiento.
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 7 / 23
8. Conceptos
Autenticaci´n (2/2)
o
EAP (Extensible Authentication Protocol)
eleva a´n mas el nivel de seguridad de la autenticaci´n.
u o
permite diversos m´todos de autenticaci´n y tipos de credenciales
e o
(certificados digitales).
Conforme a las caracter´ ısticas de cada infraestructura, los principales
tipos son:
EAP-TLS: t´nel cifrado para proteger credenciales y datos. certificados
u
digitales cliente y servidor.
EAP-PEAP: t´nel para servidor y otro t´nel para cliente. comunmente
u u
soportado por Microsoft.
EAP-TTLS: t´nel cifrado para proteger autenticaci´n del cliente.
u o
certificado digital solo en el servidor.
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 8 / 23
9. Conceptos
Autorizaci´n
o
La autorizaci´n establece lo que un usuario puede o no hacer una vez
o
haya sido identificado y autenticado.
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 9 / 23
10. Conceptos
Cifrado
En sistema de informaci´n, es el proceso mediante el cual, utilizando
o
una llave o valor de control, un mensaje (generalmente datos en texto
plano) es codificado para evitar que su contenido sea accedido y/o
entendido por personal no autorizado.
Sim´trico
e
Proceso de cifrado y descifrado utilizan la misma llave.
Distribuci´n de llaves debe ser segura.
o
DES (Data Encription Standard), Triple DES y AES (Advanced
Encription Standard)
Asim´trico
e
Proceso de cifrado y descifrado utilizan llaves diferentes (privada y
p´blica).
u
Mejora los esquemas de confidencialidad e integridad.
RSA (Rivest, Shamir, Addleman), Diffie-Hellman.
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 10 / 23
11. Conceptos
RADIUS
Remote Authentication Dial-in User Service.
Protocolo de autenticaci´n basado en cliente y servidor.
o
Permite la autenticaci´n de usuarios que acceden a la red y autorizar
o
el uso de los servicios requeridos.
FreeRADIUS es una implementaci´n Open Source de RADIUS
o
(Versi´n actual 2.1.11).
o
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 11 / 23
12. Conceptos
LDAP
Lightweight Directory Access Protocol.
Protocolo de acceso a servicio de directorios, basado en el estandar
X.500
Un directorio es un conjunto de objetos con atributos organizados en
una manera l´gica y jer´rquica.
o a
OpenLDAP es una implementaci´n Open Source (Versi´n actual
o o
2.4.26)
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 12 / 23
13. Conceptos
802.11
Estandar IEEE que establece especificaciones para los dispositivos y
las comunicaciones en redes inal´mbricas de ´rea local (WLAN),
a a
incluyendo espectros de frecuencias utilizadas, velocidades de
transmisi´n y dem´s par´metros que determinan esta tecnolog´
o a a ıa.
Especifica tambi´n mecanismos de cifrado, WEP (Wired Equivalency
e
Privacy) para la protecci´n de los datos transmitidos en ambientes
o
WLAN.
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 13 / 23
14. Conceptos
802.1x
Estandar IEEE para realizar control de acceso a una red mediante
autenticaci´n, que habilita o impide el acceso de los dispositivos que
o
se conectan a un puerto de red LAN.
Puede implementarse tanto en redes cableadas o inal´mbricas 802.11.
a
Su implementaci´n requiere lo siguiente:
o
Suplicante, usuario que intenta acceder a la red.
Autenticador, punto de acceso que habilita/impide el ingreo del
suplicante.
Servidor de autenticaci´n, quien negocia y valida la identidad del
o
suplicante.
1X hace referencia al uso de EAP entre el suplicante (usuarios), el
autenticador (switches o access point)y el servidor de autenticaci´n
o
(por ejemplo RADIUS).
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 14 / 23
15. Conceptos
802.1x
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 15 / 23
16. ¿Por qu´ 802.1x?
e
¿Por qu´ 802.1x?
e
Varias son las recomendaciones para minimizar los riesgos asociados
al acceso indebido en redes inal´mbricas, sin embargo, no logran un
a
nivel de seguridad apropiado o implican demasiado trabajo de
administraci´n.
o
Evitar difusi´n del SSID (Service Set Identifier). (¿se pueden realmente
o
ocultar?)
ACLs por direcciones f´ ısicas o MAC (Media Access Control).
(mantenci´n de ACLs)
o
Uso de VPN (Virtual Private Network). (no es transparente para el
usuario)
No implementar infraestructura inal´mbrica. (caso extremo)
a
Utilizar cifrado en la conexiones inal´mbricas, WEP. (muchas
a
debilidades)
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 16 / 23
17. ¿Por qu´ 802.1x?
e
¿Por qu´ 802.1x?
e
IEEE consciente de las fallas de WEP, desarrolla el 802.11i
Por otro lado la ”Wi-Fi” (Consorcio de proveedores de tecnolog´
ıa
inal´mbrica con mejor fidelidad) genera WPA (Wi-Fi Protected
a
Access) basado en el 802.11i.
WPA utiliza 802.1x como mecanismo de control de acceso y
autenticaci´n de red.
o
Para corregir las principales debilidades de WEP, utiliza TKIP
(Temporal Key Integrity Protocol).
WPA2 es la ratificaci´n del estandar 802.11i.
o
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 17 / 23
18. Dise˜o
n
Dise˜o
n
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 18 / 23
19. Implementaci´n y Pruebas
o
Clientes - Suplicantes
Linux: wpa-supplicant
Open Source
Soporta WPA y WPA2 (versi´n 0.6.9)
o
Windows XP: cliente EAP-TTLS SecureW2
Open Source
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 19 / 23
20. Implementaci´n y Pruebas
o
Punto de Acceso - Autenticador
Cisco Aironet 1130AG Series (802.11a/b/g)
Se debe configurar para que opere en 802.1x, indicando direcci´n del
o
servidor RADIUS, autenticaci´n del servidor, tipo de autenticaci´n y
o o
dem´s par´metros.
a a
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 20 / 23
21. Implementaci´n y Pruebas
o
Servidor de Autenticaci´n
o
Se debe configurar el tipo de autenticaci´n, EAP-TTLS y sus
o
par´metros asociados.
a
Se debe configurar los par´metros adecuados para la integraci´n con
a o
LDAP.
Se debe definir los puntos de accesos que manejar´ el servidor.
a
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 21 / 23
22. Implementaci´n y Pruebas
o
Red
Access Point: 192.168.25.20
M´quinas virtuales (VirtualBox)
a
OpenLDAP: 192.168.25.18
FreeRADIUS: 192.168.25.19
DHCP: 192.168.25.21 (rango: 192.168.25.100 - 254)
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 22 / 23
23. Enlaces
Enlaces
IEEE 802.11 working group: http://www.ieee802.org/11/
802.1X - Port Based Network Access Control:
http://www.ieee802.org/1/pages/802.1x.html
freeradius project: http://www.freeradius.org/
RADIUS: http://www.ietf.org/rfc/rfc2865.txt
Openldap project: http://www.openldap.org/
LDAP: http://www.rfc-editor.org/rfc/rfc2251.txt
VirtualBox: http://www.virtualbox.org/
Wi-Fi Alliance: http://www.wi-fi.org/
wpa-supplicant: http://w1.fi/wpa-supplicant/
cliente eap-ttls securew2: http://www.securew2.com/
Referencia: http://www.sans.org/reading-
room/whitepapers/wireless/consideraciones-para-la-implementacion-
de-802-1x-en-wlans-1607
Alejandro Vald´s Jimenez ()
e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n
o October 1, 2011 23 / 23