SlideShare uma empresa Scribd logo

802.1x + FreeRADIUS + OpenLDAP + Virtualización

Alejandro Valdes Jimenez
Alejandro Valdes Jimenez
Software
1 de 23
Baixar para ler offline
802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o Alejandro Vald´s Jimenez e avaldes@utalca.cl October 1, 2011 Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 1 / 23
Agenda 1 Introducci´n o 2 Conceptos 3 ¿Por qu´ 802.1x? e 4 Dise˜o n 5 Implementaci´n y Pruebas o 6 Enlaces Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 2 / 23
Introducci´n o Introducci´n o Redes inal´mbricas hoy consideradas como una soluci´n de movilidad, a o flexibilidad y productividad, aumentando mas cada dia su implementaci´n. o Pero... trae consigo importantes riesgos de seguridad que afrontar asociados a: la inexistencia de per´ ımetros f´ ısicos claros la carencia de mecanismos de seguridad lo suficientemente fuertes que protejan el acceso a los recursos tecnol´gicos y a la informaci´n. o o Desde los inicios, muchas recomendaciones se han generado para dotar de un nivel de seguridad adecuado a esta tecnolog´ ıa. Algunas recomendaciones evidenciaron mas riesgos, generando confusi´n y desconfianza. o Hoy existen iniciativas mas serias que permiten mejorar el nivel de seguridad de estas redes. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 3 / 23
Introducci´n o Objetivo Describir una de las soluciones de seguridad m´s eficientes para el a control de acceso a los recursos y la protecci´n de la informaci´n, o o basada en la autenticaci´n para el acceso a la red y el cifrado en las o comunicaciones sobre este tipo de redes. En particular, se ver´: a 802.1x + EAP/TTLS + FreeRADIUS + OpenLDAP. Sobre un ambiente virtualizado utilizando VirtualBox. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 4 / 23
Conceptos Conceptos Para entender mejor la exposici´n, se presenta de manera breve los o principales conceptos relacionados con esta implementaci´n. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 5 / 23
Conceptos Control de Acceso En t´rminos de sistemas de informaci´n es: e o La capacidad de controlar la interacci´n de un elemento activo o (usuario, dispositivo, servicio) con un recurso inform´tico (red de a datos, sistema, servicio). Implica adem´s procedimientos de autenticaci´n, autorizaci´n e a o o identificaci´n para permitir o denegar el uso de los recursos. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 6 / 23
Conceptos Autenticaci´n (1/2) o Proceso de validar la identidad de quien accede o provee un servicio, mediante el uso de ciertas credenciales (ej. contrase˜a). n Tambi´n se pueden utilizar Tokens (algo que Ud tiene) o Biometr´ e ıa (algo que Ud es). A nivel de enlace de datos existen diversos protocolos de autenticaci´n: o PAP (Password Authentication Protocolo) validaci´n al establecer conexi´n. o o credenciales: usuario y clave. credenciales viajan en texto claro (m´todo poco seguro). e CHAP (Challenge Handshake Protocol) mejor nivel de seguridad, validaci´n de tres v´ o ıas. servidor envia ”desaf´ el cual encripta el cliente con su contrase˜a, ıo” n luego servidor realiza mismo procedimiento. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 7 / 23
Conceptos Autenticaci´n (2/2) o EAP (Extensible Authentication Protocol) eleva a´n mas el nivel de seguridad de la autenticaci´n. u o permite diversos m´todos de autenticaci´n y tipos de credenciales e o (certificados digitales). Conforme a las caracter´ ısticas de cada infraestructura, los principales tipos son: EAP-TLS: t´nel cifrado para proteger credenciales y datos. certificados u digitales cliente y servidor. EAP-PEAP: t´nel para servidor y otro t´nel para cliente. comunmente u u soportado por Microsoft. EAP-TTLS: t´nel cifrado para proteger autenticaci´n del cliente. u o certificado digital solo en el servidor. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 8 / 23
Conceptos Autorizaci´n o La autorizaci´n establece lo que un usuario puede o no hacer una vez o haya sido identificado y autenticado. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 9 / 23
Conceptos Cifrado En sistema de informaci´n, es el proceso mediante el cual, utilizando o una llave o valor de control, un mensaje (generalmente datos en texto plano) es codificado para evitar que su contenido sea accedido y/o entendido por personal no autorizado. Sim´trico e Proceso de cifrado y descifrado utilizan la misma llave. Distribuci´n de llaves debe ser segura. o DES (Data Encription Standard), Triple DES y AES (Advanced Encription Standard) Asim´trico e Proceso de cifrado y descifrado utilizan llaves diferentes (privada y p´blica). u Mejora los esquemas de confidencialidad e integridad. RSA (Rivest, Shamir, Addleman), Diffie-Hellman. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 10 / 23
Conceptos RADIUS Remote Authentication Dial-in User Service. Protocolo de autenticaci´n basado en cliente y servidor. o Permite la autenticaci´n de usuarios que acceden a la red y autorizar o el uso de los servicios requeridos. FreeRADIUS es una implementaci´n Open Source de RADIUS o (Versi´n actual 2.1.11). o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 11 / 23
Conceptos LDAP Lightweight Directory Access Protocol. Protocolo de acceso a servicio de directorios, basado en el estandar X.500 Un directorio es un conjunto de objetos con atributos organizados en una manera l´gica y jer´rquica. o a OpenLDAP es una implementaci´n Open Source (Versi´n actual o o 2.4.26) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 12 / 23
Conceptos 802.11 Estandar IEEE que establece especificaciones para los dispositivos y las comunicaciones en redes inal´mbricas de ´rea local (WLAN), a a incluyendo espectros de frecuencias utilizadas, velocidades de transmisi´n y dem´s par´metros que determinan esta tecnolog´ o a a ıa. Especifica tambi´n mecanismos de cifrado, WEP (Wired Equivalency e Privacy) para la protecci´n de los datos transmitidos en ambientes o WLAN. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 13 / 23
Conceptos 802.1x Estandar IEEE para realizar control de acceso a una red mediante autenticaci´n, que habilita o impide el acceso de los dispositivos que o se conectan a un puerto de red LAN. Puede implementarse tanto en redes cableadas o inal´mbricas 802.11. a Su implementaci´n requiere lo siguiente: o Suplicante, usuario que intenta acceder a la red. Autenticador, punto de acceso que habilita/impide el ingreo del suplicante. Servidor de autenticaci´n, quien negocia y valida la identidad del o suplicante. 1X hace referencia al uso de EAP entre el suplicante (usuarios), el autenticador (switches o access point)y el servidor de autenticaci´n o (por ejemplo RADIUS). Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 14 / 23
Conceptos 802.1x Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 15 / 23
¿Por qu´ 802.1x? e ¿Por qu´ 802.1x? e Varias son las recomendaciones para minimizar los riesgos asociados al acceso indebido en redes inal´mbricas, sin embargo, no logran un a nivel de seguridad apropiado o implican demasiado trabajo de administraci´n. o Evitar difusi´n del SSID (Service Set Identifier). (¿se pueden realmente o ocultar?) ACLs por direcciones f´ ısicas o MAC (Media Access Control). (mantenci´n de ACLs) o Uso de VPN (Virtual Private Network). (no es transparente para el usuario) No implementar infraestructura inal´mbrica. (caso extremo) a Utilizar cifrado en la conexiones inal´mbricas, WEP. (muchas a debilidades) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 16 / 23
¿Por qu´ 802.1x? e ¿Por qu´ 802.1x? e IEEE consciente de las fallas de WEP, desarrolla el 802.11i Por otro lado la ”Wi-Fi” (Consorcio de proveedores de tecnolog´ ıa inal´mbrica con mejor fidelidad) genera WPA (Wi-Fi Protected a Access) basado en el 802.11i. WPA utiliza 802.1x como mecanismo de control de acceso y autenticaci´n de red. o Para corregir las principales debilidades de WEP, utiliza TKIP (Temporal Key Integrity Protocol). WPA2 es la ratificaci´n del estandar 802.11i. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 17 / 23
Dise˜o n Dise˜o n Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 18 / 23
Implementaci´n y Pruebas o Clientes - Suplicantes Linux: wpa-supplicant Open Source Soporta WPA y WPA2 (versi´n 0.6.9) o Windows XP: cliente EAP-TTLS SecureW2 Open Source Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 19 / 23
Implementaci´n y Pruebas o Punto de Acceso - Autenticador Cisco Aironet 1130AG Series (802.11a/b/g) Se debe configurar para que opere en 802.1x, indicando direcci´n del o servidor RADIUS, autenticaci´n del servidor, tipo de autenticaci´n y o o dem´s par´metros. a a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 20 / 23
Implementaci´n y Pruebas o Servidor de Autenticaci´n o Se debe configurar el tipo de autenticaci´n, EAP-TTLS y sus o par´metros asociados. a Se debe configurar los par´metros adecuados para la integraci´n con a o LDAP. Se debe definir los puntos de accesos que manejar´ el servidor. a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 21 / 23
Implementaci´n y Pruebas o Red Access Point: 192.168.25.20 M´quinas virtuales (VirtualBox) a OpenLDAP: 192.168.25.18 FreeRADIUS: 192.168.25.19 DHCP: 192.168.25.21 (rango: 192.168.25.100 - 254) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 22 / 23
Enlaces Enlaces IEEE 802.11 working group: http://www.ieee802.org/11/ 802.1X - Port Based Network Access Control: http://www.ieee802.org/1/pages/802.1x.html freeradius project: http://www.freeradius.org/ RADIUS: http://www.ietf.org/rfc/rfc2865.txt Openldap project: http://www.openldap.org/ LDAP: http://www.rfc-editor.org/rfc/rfc2251.txt VirtualBox: http://www.virtualbox.org/ Wi-Fi Alliance: http://www.wi-fi.org/ wpa-supplicant: http://w1.fi/wpa-supplicant/ cliente eap-ttls securew2: http://www.securew2.com/ Referencia: http://www.sans.org/reading- room/whitepapers/wireless/consideraciones-para-la-implementacion- de-802-1x-en-wlans-1607 Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 23 / 23

Recomendados

Ldap
LdapLdap
LdapRene Godinez
 
Presentacion de OrfeoGPL
Presentacion de OrfeoGPLPresentacion de OrfeoGPL
Presentacion de OrfeoGPLRadar Información y Conocimiento
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abrilAnitha Loredo Santiago
 
Desarrollo de Aplicaciones en GNOME
Desarrollo de Aplicaciones en GNOMEDesarrollo de Aplicaciones en GNOME
Desarrollo de Aplicaciones en GNOMEAlejandro Valdes Jimenez
 
LTSP - Linux Terminal Server Project
LTSP - Linux Terminal Server ProjectLTSP - Linux Terminal Server Project
LTSP - Linux Terminal Server ProjectAlejandro Valdes Jimenez
 
Noticia6
Noticia6Noticia6
Noticia6ingridarelireyes
 
Noticia6
Noticia6Noticia6
Noticia6adjkasng
 
Noticia 6 hugo
Noticia 6 hugoNoticia 6 hugo
Noticia 6 hugoHHanyya ALvareezz
 

Recomendados

Ldap
LdapLdap
LdapRene Godinez
 
Presentacion de OrfeoGPL
Presentacion de OrfeoGPLPresentacion de OrfeoGPL
Presentacion de OrfeoGPLRadar Información y Conocimiento
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abrilAnitha Loredo Santiago
 
Desarrollo de Aplicaciones en GNOME
Desarrollo de Aplicaciones en GNOMEDesarrollo de Aplicaciones en GNOME
Desarrollo de Aplicaciones en GNOMEAlejandro Valdes Jimenez
 
LTSP - Linux Terminal Server Project
LTSP - Linux Terminal Server ProjectLTSP - Linux Terminal Server Project
LTSP - Linux Terminal Server ProjectAlejandro Valdes Jimenez
 
Noticia6
Noticia6Noticia6
Noticia6ingridarelireyes
 
Noticia6
Noticia6Noticia6
Noticia6adjkasng
 
Noticia 6 hugo
Noticia 6 hugoNoticia 6 hugo
Noticia 6 hugoHHanyya ALvareezz
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abrilAnitha Loredo Santiago
 
Noticia 6
Noticia 6 Noticia 6
Noticia 6 Essa Hom's
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Noticia de Abril
Noticia de AbrilNoticia de Abril
Noticia de AbrilAlison Nieto
 
Intcripto
IntcriptoIntcripto
Intcriptofredymonzon
 
Intcripto base de datos
Intcripto base de datosIntcripto base de datos
Intcripto base de datosCindyinvestigaciones
 
Insecurity & Hacking
Insecurity & HackingInsecurity & Hacking
Insecurity & HackingEdwin R. Grullon Aybar
 
Seguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeSeguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeDaniel Levi
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkidansterec
 
Aspectos de diseno
Aspectos de disenoAspectos de diseno
Aspectos de disenoCésar Ruvalcaba
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes3123753782
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Seguridad informatica en redes windows
Seguridad informatica en redes windowsSeguridad informatica en redes windows
Seguridad informatica en redes windowshabg2000
 
Seguridad informatica en redes windows
Seguridad informatica en redes windowsSeguridad informatica en redes windows
Seguridad informatica en redes windowshabg2000
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Se linux
Se linuxSe linux
Se linuxcyberleon95
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abrilCristhian Garcia Hernandez
 
Proyecto multicapa
Proyecto multicapaProyecto multicapa
Proyecto multicapaledesma04
 
Proyecto SAAC
Proyecto SAACProyecto SAAC
Proyecto SAACCarlos Alonso
 

Mais conteúdo relacionado

Semelhante a 802.1x + FreeRADIUS + OpenLDAP + Virtualización

Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Seguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeSeguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeDaniel Levi
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pkidansterec
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes3123753782
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Seguridad informatica en redes windows
Seguridad informatica en redes windowsSeguridad informatica en redes windows
Seguridad informatica en redes windowshabg2000
 
Seguridad informatica en redes windows
Seguridad informatica en redes windowsSeguridad informatica en redes windows
Seguridad informatica en redes windowshabg2000
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Proyecto multicapa
Proyecto multicapaProyecto multicapa
Proyecto multicapaledesma04
 

Semelhante a 802.1x + FreeRADIUS + OpenLDAP + Virtualización (20)

Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 
Noticia 6
Noticia 6 Noticia 6
Noticia 6
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSH
 
Noticia de Abril
Noticia de AbrilNoticia de Abril
Noticia de Abril
 
Intcripto
IntcriptoIntcripto
Intcripto
 
Intcripto base de datos
Intcripto base de datosIntcripto base de datos
Intcripto base de datos
 
Insecurity & Hacking
Insecurity & HackingInsecurity & Hacking
Insecurity & Hacking
 
Seguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nubeSeguridad en los modelos operativos de nube
Seguridad en los modelos operativos de nube
 
Infrestructura pki
Infrestructura pkiInfrestructura pki
Infrestructura pki
 
Aspectos de diseno
Aspectos de disenoAspectos de diseno
Aspectos de diseno
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Seguridad informatica en redes windows
Seguridad informatica en redes windowsSeguridad informatica en redes windows
Seguridad informatica en redes windows
 
Seguridad informatica en redes windows
Seguridad informatica en redes windowsSeguridad informatica en redes windows
Seguridad informatica en redes windows
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
Se linux
Se linuxSe linux
Se linux
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 
Proyecto multicapa
Proyecto multicapaProyecto multicapa
Proyecto multicapa
 
Proyecto SAAC
Proyecto SAACProyecto SAAC
Proyecto SAAC
 

802.1x + FreeRADIUS + OpenLDAP + Virtualización

  • 1. 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o Alejandro Vald´s Jimenez e avaldes@utalca.cl October 1, 2011 Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 1 / 23
  • 2. Agenda 1 Introducci´n o 2 Conceptos 3 ¿Por qu´ 802.1x? e 4 Dise˜o n 5 Implementaci´n y Pruebas o 6 Enlaces Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 2 / 23
  • 3. Introducci´n o Introducci´n o Redes inal´mbricas hoy consideradas como una soluci´n de movilidad, a o flexibilidad y productividad, aumentando mas cada dia su implementaci´n. o Pero... trae consigo importantes riesgos de seguridad que afrontar asociados a: la inexistencia de per´ ımetros f´ ısicos claros la carencia de mecanismos de seguridad lo suficientemente fuertes que protejan el acceso a los recursos tecnol´gicos y a la informaci´n. o o Desde los inicios, muchas recomendaciones se han generado para dotar de un nivel de seguridad adecuado a esta tecnolog´ ıa. Algunas recomendaciones evidenciaron mas riesgos, generando confusi´n y desconfianza. o Hoy existen iniciativas mas serias que permiten mejorar el nivel de seguridad de estas redes. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 3 / 23
  • 4. Introducci´n o Objetivo Describir una de las soluciones de seguridad m´s eficientes para el a control de acceso a los recursos y la protecci´n de la informaci´n, o o basada en la autenticaci´n para el acceso a la red y el cifrado en las o comunicaciones sobre este tipo de redes. En particular, se ver´: a 802.1x + EAP/TTLS + FreeRADIUS + OpenLDAP. Sobre un ambiente virtualizado utilizando VirtualBox. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 4 / 23
  • 5. Conceptos Conceptos Para entender mejor la exposici´n, se presenta de manera breve los o principales conceptos relacionados con esta implementaci´n. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 5 / 23
  • 6. Conceptos Control de Acceso En t´rminos de sistemas de informaci´n es: e o La capacidad de controlar la interacci´n de un elemento activo o (usuario, dispositivo, servicio) con un recurso inform´tico (red de a datos, sistema, servicio). Implica adem´s procedimientos de autenticaci´n, autorizaci´n e a o o identificaci´n para permitir o denegar el uso de los recursos. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 6 / 23
  • 7. Conceptos Autenticaci´n (1/2) o Proceso de validar la identidad de quien accede o provee un servicio, mediante el uso de ciertas credenciales (ej. contrase˜a). n Tambi´n se pueden utilizar Tokens (algo que Ud tiene) o Biometr´ e ıa (algo que Ud es). A nivel de enlace de datos existen diversos protocolos de autenticaci´n: o PAP (Password Authentication Protocolo) validaci´n al establecer conexi´n. o o credenciales: usuario y clave. credenciales viajan en texto claro (m´todo poco seguro). e CHAP (Challenge Handshake Protocol) mejor nivel de seguridad, validaci´n de tres v´ o ıas. servidor envia ”desaf´ el cual encripta el cliente con su contrase˜a, ıo” n luego servidor realiza mismo procedimiento. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 7 / 23
  • 8. Conceptos Autenticaci´n (2/2) o EAP (Extensible Authentication Protocol) eleva a´n mas el nivel de seguridad de la autenticaci´n. u o permite diversos m´todos de autenticaci´n y tipos de credenciales e o (certificados digitales). Conforme a las caracter´ ısticas de cada infraestructura, los principales tipos son: EAP-TLS: t´nel cifrado para proteger credenciales y datos. certificados u digitales cliente y servidor. EAP-PEAP: t´nel para servidor y otro t´nel para cliente. comunmente u u soportado por Microsoft. EAP-TTLS: t´nel cifrado para proteger autenticaci´n del cliente. u o certificado digital solo en el servidor. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 8 / 23
  • 9. Conceptos Autorizaci´n o La autorizaci´n establece lo que un usuario puede o no hacer una vez o haya sido identificado y autenticado. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 9 / 23
  • 10. Conceptos Cifrado En sistema de informaci´n, es el proceso mediante el cual, utilizando o una llave o valor de control, un mensaje (generalmente datos en texto plano) es codificado para evitar que su contenido sea accedido y/o entendido por personal no autorizado. Sim´trico e Proceso de cifrado y descifrado utilizan la misma llave. Distribuci´n de llaves debe ser segura. o DES (Data Encription Standard), Triple DES y AES (Advanced Encription Standard) Asim´trico e Proceso de cifrado y descifrado utilizan llaves diferentes (privada y p´blica). u Mejora los esquemas de confidencialidad e integridad. RSA (Rivest, Shamir, Addleman), Diffie-Hellman. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 10 / 23
  • 11. Conceptos RADIUS Remote Authentication Dial-in User Service. Protocolo de autenticaci´n basado en cliente y servidor. o Permite la autenticaci´n de usuarios que acceden a la red y autorizar o el uso de los servicios requeridos. FreeRADIUS es una implementaci´n Open Source de RADIUS o (Versi´n actual 2.1.11). o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 11 / 23
  • 12. Conceptos LDAP Lightweight Directory Access Protocol. Protocolo de acceso a servicio de directorios, basado en el estandar X.500 Un directorio es un conjunto de objetos con atributos organizados en una manera l´gica y jer´rquica. o a OpenLDAP es una implementaci´n Open Source (Versi´n actual o o 2.4.26) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 12 / 23
  • 13. Conceptos 802.11 Estandar IEEE que establece especificaciones para los dispositivos y las comunicaciones en redes inal´mbricas de ´rea local (WLAN), a a incluyendo espectros de frecuencias utilizadas, velocidades de transmisi´n y dem´s par´metros que determinan esta tecnolog´ o a a ıa. Especifica tambi´n mecanismos de cifrado, WEP (Wired Equivalency e Privacy) para la protecci´n de los datos transmitidos en ambientes o WLAN. Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 13 / 23
  • 14. Conceptos 802.1x Estandar IEEE para realizar control de acceso a una red mediante autenticaci´n, que habilita o impide el acceso de los dispositivos que o se conectan a un puerto de red LAN. Puede implementarse tanto en redes cableadas o inal´mbricas 802.11. a Su implementaci´n requiere lo siguiente: o Suplicante, usuario que intenta acceder a la red. Autenticador, punto de acceso que habilita/impide el ingreo del suplicante. Servidor de autenticaci´n, quien negocia y valida la identidad del o suplicante. 1X hace referencia al uso de EAP entre el suplicante (usuarios), el autenticador (switches o access point)y el servidor de autenticaci´n o (por ejemplo RADIUS). Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 14 / 23
  • 15. Conceptos 802.1x Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 15 / 23
  • 16. ¿Por qu´ 802.1x? e ¿Por qu´ 802.1x? e Varias son las recomendaciones para minimizar los riesgos asociados al acceso indebido en redes inal´mbricas, sin embargo, no logran un a nivel de seguridad apropiado o implican demasiado trabajo de administraci´n. o Evitar difusi´n del SSID (Service Set Identifier). (¿se pueden realmente o ocultar?) ACLs por direcciones f´ ısicas o MAC (Media Access Control). (mantenci´n de ACLs) o Uso de VPN (Virtual Private Network). (no es transparente para el usuario) No implementar infraestructura inal´mbrica. (caso extremo) a Utilizar cifrado en la conexiones inal´mbricas, WEP. (muchas a debilidades) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 16 / 23
  • 17. ¿Por qu´ 802.1x? e ¿Por qu´ 802.1x? e IEEE consciente de las fallas de WEP, desarrolla el 802.11i Por otro lado la ”Wi-Fi” (Consorcio de proveedores de tecnolog´ ıa inal´mbrica con mejor fidelidad) genera WPA (Wi-Fi Protected a Access) basado en el 802.11i. WPA utiliza 802.1x como mecanismo de control de acceso y autenticaci´n de red. o Para corregir las principales debilidades de WEP, utiliza TKIP (Temporal Key Integrity Protocol). WPA2 es la ratificaci´n del estandar 802.11i. o Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 17 / 23
  • 18. Dise˜o n Dise˜o n Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 18 / 23
  • 19. Implementaci´n y Pruebas o Clientes - Suplicantes Linux: wpa-supplicant Open Source Soporta WPA y WPA2 (versi´n 0.6.9) o Windows XP: cliente EAP-TTLS SecureW2 Open Source Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 19 / 23
  • 20. Implementaci´n y Pruebas o Punto de Acceso - Autenticador Cisco Aironet 1130AG Series (802.11a/b/g) Se debe configurar para que opere en 802.1x, indicando direcci´n del o servidor RADIUS, autenticaci´n del servidor, tipo de autenticaci´n y o o dem´s par´metros. a a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 20 / 23
  • 21. Implementaci´n y Pruebas o Servidor de Autenticaci´n o Se debe configurar el tipo de autenticaci´n, EAP-TTLS y sus o par´metros asociados. a Se debe configurar los par´metros adecuados para la integraci´n con a o LDAP. Se debe definir los puntos de accesos que manejar´ el servidor. a Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 21 / 23
  • 22. Implementaci´n y Pruebas o Red Access Point: 192.168.25.20 M´quinas virtuales (VirtualBox) a OpenLDAP: 192.168.25.18 FreeRADIUS: 192.168.25.19 DHCP: 192.168.25.21 (rango: 192.168.25.100 - 254) Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 22 / 23
  • 23. Enlaces Enlaces IEEE 802.11 working group: http://www.ieee802.org/11/ 802.1X - Port Based Network Access Control: http://www.ieee802.org/1/pages/802.1x.html freeradius project: http://www.freeradius.org/ RADIUS: http://www.ietf.org/rfc/rfc2865.txt Openldap project: http://www.openldap.org/ LDAP: http://www.rfc-editor.org/rfc/rfc2251.txt VirtualBox: http://www.virtualbox.org/ Wi-Fi Alliance: http://www.wi-fi.org/ wpa-supplicant: http://w1.fi/wpa-supplicant/ cliente eap-ttls securew2: http://www.securew2.com/ Referencia: http://www.sans.org/reading- room/whitepapers/wireless/consideraciones-para-la-implementacion- de-802-1x-en-wlans-1607 Alejandro Vald´s Jimenez () e 802.1x + FreeRADIUS + OpenLDAP + Virtualizaci´n o October 1, 2011 23 / 23