departamento de electrÓnica, redes y comunicaciÓn de datos presentación de proyecto de grado...
TRANSCRIPT
DEPARTAMENTO DE ELECTRÓNICA, REDES Y COMUNICACIÓN DE DATOS
Presentación de Proyecto de Grado
Realizado por: Marco Paredes Samaniego
Director: Ing. Marcelo UrbinaCodirector: DR. Nikolai Espinosa
TEMAIMPLEMENTACIÓN DE UN PLAN PILOTO DE SEGURIDAD BAJO EL PROTOCOLO IEEE 802.1X PARA EL DEPARTAMENTO DE GESTIÓN TECNOLÓGICA DEL MINISTERIO DE TELECOMUNICACIONES Y SOCIEDAD DE LA INFORMACIÓN
Diseñar e implementar un plan piloto para la red de acceso del Ministerio de Telecomunicaciones y Sociedad de la información por medio del protocolo 802.1X con la finalidad de garantizar la conexión a la red de los funcionarios autorizados, al mismo tiempo que brindamos mayor seguridad a la información que se maneja en la institución.
Objetivo General
Analizar las políticas a las cuales está sujeta la institución, para de este modo como administrador saber que restricciones debe tener cada departamento y funcionario del mismo.
Realizar el respectivo estudio a cada uno de los dispositivos a los cuales vamos aplicar el estándar y servicios que necesita la aplicación.
Implementar la autenticación dada por el estándar 802.1X a la red y realizar el respectivo análisis de la seguridad que este provee tano a nivel de usuario como de administrador.
Analizar las ventajas que brinda el estándar en seguridad y control de los recursos de la red a partir de la implementación.
OBJETIVOS ESPECIFICOS
TOPOLOGÍA ACTUAL DEL
MINTEL
ESTUDIO DE REQUERIMIENT
OS
SERVIDOR AAA
ANÁLISIS DEL PROTOCOLO
LDAP
ESTÁNDAR IEEE 802.1X
PROTOCOLO EAP
CONFIGURACIÓN DEL
SERVIDOR
CONFIGURACIÓN DEL
AUTENTICADOR
ADMINISTRACIÓN
ANÁLISIS DE RESULTADOS
CONCLUSIONESRECOMENDACION
ES
TOPOLOGÍA DE RED DEL MINTEL
Tecnología que permite administrar a todos los usuarios acceder a la información de los mismos por medio de la base de datos, también por medio de este podemos administrar el hardware; este protocolo funciona con el protocolo TCP/IP.
LDAP Protocolo compacto de acceso a directorio
Trabajar en los problemas que actualmente aquejan a la administración y la comodidad de cada usuario, a pesar que existen normas y políticas de seguridad internas para el manejo de recursos de la red e información no siempre se las respeta.
Control de servicios Control de aplicaciones Autenticación
Estudio de los requerimientos
Autenticación Autorización Contabilidad
SERVIDOR AAA
AMENAZAS NATURALESAMENAZAS LÓGICAS
Gusanos
Troyano
Cookies
Keyloggers
Amenazas Humanas
AMENAZAS
Por fuerza bruta
El cartoneo
Denegar servicios
Captura de mensaje
Trashing: Recolectar información
ATAQUES
IEEE
Acceso seguro a la red por medio de puertos
Conexión punto a punto
Conexiones Fijas
Conexiones Inalámbricas
ESTÁNDAR 802.1X
SERVIDOR
PUESTOS DE TRABAJO
CLIENTES
SWITCH
INICIO
¿EL CLIENTE ES COMPATIBLE CON EL ESTANDAR 802.1X?
EL TIEMPO DE AUTENTICCACIÓN IEEE 802.1X SE AGOTÓ
¿SE PERMITE LA AUTENTICACIÓN VIA
MAC?
EMPIEZA LA AUTENTICACIÓN IEEE 802.1X PORT-BASED
SI
NO
USAR AUTENTICACIÓN VÍA MAC
¿SE PERMITE AUTENTICAR POR MEDIO DE WEB-BASE?
SI NO
LA DIRECCIÓN MAC DEL
CLIENTE ES INVÁLIDA
USO LA AUTENTICACIÓN
WEB-BASE
SI
ASIGNAR EL PUERTO A UNA VLAN CUALQUIERA
ASIGNAR EL PUERTO A UNA
VLAN
NO
LA DIRECCIÓN MAC DEL
CLIENTE ES VÁLIDA
LOGIN PERMITIDA
LOGIN FALLADO
FINFIN
ASIGNAR EL PUERTO RESTRINGIR VLAN
ASIGNAR EL PUERTO A UNA VLAN
FIN FIN
USO INACCESIBLE O CRÍTICO PARA ASIGNAR EL PUERTO DE
UNA VLAN
IDENTIFICACIÓN DE CLIENTE INVÁLIDA
IDENTIFICACIÓN DE CLIENTE
VÁLIDA
FIN
TOOS LOS SERVIDORES DE AUTENTICACIÓN ESTAN
ABAJOTOOS LOS
SERVIDORES DE AUTENTICACIÓN
ESTAN ABAJO
Modo de un solo host
Multimodo Hosts
Modo de autenticación multidominioSERVIDOR
SWITCHTELEFONO IPCLIENTE
SERVIDOR
SWITCH
SERVIDOR
SWITCH
Protocolo de autenticación extensible, este protocolo lo que hace es cambiar la información del cliente con un servidor para poder autenticarse, este protocolo trabaja conjuntamente con el protocolo RADIUS “SERVICIO DE AUTENTICACIÓN REMOTA DE LLAMADA DE USUARIOS”.
Las claves secretas
Cifrado asimétrico
ANÁLISIS DEL PROTOCOLO EAP
EAP-TLS Transport Layer Security , que utiliza el algoritmo de cifrado asimétrico RSA.
EAP-TTLS el mismo que establece un túnel encriptado.
PEAP que significa protección EAP que usa el túnel encriptado se puede o no usar certificados digitales.
Por último se conoce el EAP-MSCHAPv2, el cuál funciona con un usuario y contraseña y se encapsulan en el EAP de MS-CHAP-v2.
EAP
MD5 KERBEROS TLS TTLS PEAP
MS
-CH
AP
v2
TLS
SE
CU
RE
D
CA
PA
DE
EN
LA
SE
DE
D
AT
OS
CAPA DE AUTENTICACIÓN
CAPA DE MÉTODOS
CAPA EAP
Las configuraciones para el servidor AAA se la hizo en el sistema operativo Ubuntu 11.04 ya que muestra estabilidad en comparación a otras versiones, aquí instalamos el servicio de código abierto FREERADIUS que es uno de los más populares que nos ofrece RADIUS ya que tiene gran versatilidad, el mismo va a tener una base de datos para los usuarios y capacidad de responder a las peticiones de los usuarios para acceder a la red.
CONFIGURACIÓN DE SERVICIO AAA
La configuración del switch para que funcione como autenticador
de la mano de nuestro servidor configurado en UBUNTU, como ya vimos nuestro switch es un cisco 2960 con iso 12.2 versión k9 el que es compatible con la configuración que vamos a realizar.
CONFIGURACIÓN DEL AUTENTICADOR
Control de acceso y autenticación mutua
Flexibilidad
Escalabilidad
Nivel de Seguridad alto con cifrado
Autenticación de usuarios y de equipos
ANÁLISIS DE RESULTADOS
Alto rendimiento
Bajo costo
El método MD5
PEAP MSCHAP v2
Lo que se logró con la implementación del estándar IEEE 802.1X es dar mayor seguridad a los recursos que forman parte de la red de la institución, sabiendo que todo sistema es vulnerable y tiene riesgos ya que no se puede ser cien por ciento seguro, se va obtener trabajando en conjunto con las herramientas que tiene contratado o implementando actualmente un nivel de seguridad aceptable y apta para información muchas veces confidencial que se maneja en una institución pública.
El uso de software libre cada día tiene mayor acogida por los costos que se pueden dar, en este caso el sistema operativo de Linux escogido para la implementación del servidor Ubuntu es uno de los más estables, su configuración vía comandos es una de las más conocidas, para facilidad del usuario, existen herramientas web como Webmin, que ayuda al manejo de los programas instalados en el mismo como son phpmyadmin, Radius, entre otros ya que con la aplicación tenemos mayor facilidad de manipular, configurar carpetas, archivos.
CONCLUSIONES
El servidor instalado AAA funciona como se esperaba dentro de los parámetros configurados, dando acceso a todos los usuarios configurados en su base de datos y denegando el ingreso a los servicios a los usuarios que no lo están, la autenticación se realiza mediante usuario y contraseña para mayor seguridad, ya que si se realiza la autenticación vía MAC, no es de gran dificultad el clonar estas direcciones ya que existen software gratis para este fin.
No podemos realizar una autenticación combinada, mediante usuario y contraseña unidos con la dirección MAC la que permitiría que solo un usuario maneje un dispositivo especifico mediante el uso del servidor que rechaza esta configuración.
La configuración realizada nos permite manejar de cualquier forma la base de datos creada con el nombre de Radius, en donde se guardan las configuraciones que se le da a cada usuario creado en el servidor, la base de datos tiene conexión con los dos servicios que maneja el sistema operativo Ubuntu en este proyecto como lo son Radius y phpmyadmin, reflejándose las configuraciones en los dos servicios para poder administrar los mismos en el servicio que se desee.
Los métodos de autenticación que nos permite el estándar 802.1X son varios, cada uno con cierto tipo de seguridad adicional, como MD5 o PEAP protegido, que en nuestro caso fueron los escogidos por su facilidad de manejo ya sea en redes cableadas o inalámbricas.
Para facilitar el control de la red el administrador puede acceder a Daloradius o a la vez puede seguir usando software que lo tiene contratado como lo es la herramienta Whatsapp para gestionar de mejor manera la red, crear alarmas de avisos para la seguridad y monitorear la saturación del uso del internet y con el servidor instalado podemos detectar el usuario exacto que está afectando a los recursos, la cantidad de excesos y a la vez el mismo puede visualizar las páginas que están siendo visitadas, y poner correctivos de forma oportuna.
La instalación del servidor Radius, utilitarios del mismo y programas que se utilizan para el funcionamiento correcto de los servicios instalados en la plataforma Ubuntu deben estar considerados en las últimas versiones que estén disponibles ya que al momento de la instalación estos no se realizan de forma correcta y generan errores, o a la vez no funcionan correctamente en su ejecución.
Es de gran ayuda las aplicaciones web que se tienen como son las de phpmyadmin, Daloradius que ayudan a que las configuraciones de los servicios sea muy sencilla debido a que el sistema operativo Ubuntu en forma de comandos requiere un alto grado de conocimientos para realizar cualquier configuración de forma correcta.
Es necesario que el administrador sepa cómo generar los logs ya que estos informan cómo está funcionando el servicio y en caso de error en que parte de la configuración tenemos la falla y el poder solucionarlo de forma oportuna.
los registros que se manejan de los usuarios los podemos manipular de forma más sencilla en la aplicación Daloradius, el cual nos muestra ya sea por fechas, o historiales como el usuario accede a los recursos de la red para facilidad de la administración.
RECOMENDACIONES
La ingeniería social es vital cuando se implemente totalmente el servidor y este en vigencia, para que cada funcionario no tenga problema en su forma de acceso a la red.
Se debe monitorear periódicamente no solo el servidor AAA instalando sino también los servicios como MYSQL que funcionan de la mano con el servicio AAA, a más de esto se recomienda tener monitoreado los dispositivos que forman parte de la red como son los switch, Access point, ordenadores esto se puede hacer mediante un gestor de red como wathsapp.
Es necesario que se tenga implementado el estándar IEEE 802.1X no solo en los ordenadores de los usuarios a la red sino también en los dispositivos que forman parte de la mtopología de la institución.
El uso de certificados dentro de los métodos de autenticación en PEAP pueden ser demasiado costosos por la gran cantidad de usuarios que se tienen en la institución lo cual queda en consideración de análisis posteriores si estos se realizan o no posteriormente, pero se recomienda PEAP sin certificados como método seguro de autenticación o a su vez el método MD5 también es recomendado aunque se lo realiza más en redes cableadas que son la que más se maneja en la institución.
GRACIAS