BIENVENIDOS(gracias por su asistencia)

802.1X & 802.11i

La unica seguridad real en Red

(Taller)

PRESENTACIONYago Fernandez Hansen

Experto en ingeniería de sistemas y redes, con amplia experiencia en infraestructuras de todos los tamaños. En la última década se ha especializado ampliamente en tecnologías inalámbricas, habiendo dirigido con éxito numerosos proyectos para la planificación, implementación y auditoria de redes Wi-Fi, entre los que destacan despliegues de redes inalámbricas públicas y privadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y multipunto. En este campo realiza habitualmente intervenciones en congresos, así como ponencias, conferencias y ciclos formativos en varias universidades.

Igualmente ha dirigido en el pasado proyectos de seguridad informática, planificación de granjas de servidores bajo Windows y Linux, configuración y diseño de appliances de seguridad, gestión de infraestructuras de red, comunicaciones mediante enlace remoto, programación de enrutadores Cisco, sistemas de gestión de identidades, correlación de eventos, etc. En estas áreas ha realizado proyectos de ámbito internacional para grandes corporaciones en los sectores banca, seguros, operadoras, departamentos de seguridad del Estado, etc.

Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con numerosas publicaciones y artículos en revistas especializadas, además de colaborar con la editorial Ra-Ma, a través de la cual ha escrito y publicado el libro "RADIUS / AAA / 802.1X" (2008).

PRESENTACIONYago Fernandez Hansen

FUNDADOR Y ADMINISTRADOR DEL PORTAL COMUNITARIO:

portal 2.0 dedicado al hacking y a la seguridad

Problemas: Contenido inaceptable ~~~~~~~~~ SUGERENCIAS: -> Contenido: Por el momento, la política

de Google impide anunciar sitios web que incluyan contenido relacionado con el pirateo informático. Tal como

se especifica en los Términos y condiciones, nos reservamos el derecho de ejercer discreción editorial

respecto a la publicación de ciertos anuncios en nuestro sitio.

PRESENTACIONYago Fernandez Hansen

AUTOR DEL LIBRO:

LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red

Vamos al grano:

LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red

ERAAA BROMAAA

LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red

En esta charla (taller) vamos a tratar en la medida de lo posible:

La seguridad en el acceso a la red

Conceptos (Diccionario de términos)

Sistemas AAAA

RADIUS como gestor AAA (soluciones basadas en RADIUS)

PKI. Convertirnos en una autoridad certificadora

EAP como transportador de la autenticación

802.1X – 802.11i

El cliente de la autenticación. Suplicantes. Ejemplos

El Appliance como solución idónea

Tipos de appliance. Físicos / Virtuales. Ejemplos

Administración del Appliance

Seguridad. Vulnerabilidades

Ruegos y preguntas

LA CHARLA . . .LA SEGURIDAD EN EL ACCESO A LA RED

Qué es lo habitual?

• Protección de los recursos de valor de la Empresa (servidores, datos…)

• Protección mediante cortafuegos de la capa 3 hacia arriba

• Protección mediante IDS y otros recursos como UTM

• Protección desde el exterior hacia el interior. Internet - Intranet

Cuál es la novedad?

• Protección en el acceso al medio (Capa 2)

• Diferencia de conciencia entre la red inalámbrica y la red cableada

• Sistema global de Identidad y control de acceso

• Control de requerimientos y cuarentena

Importancia de todo esto?

• Por qué protegemos el acceso inalámbrico entonces?

• Por qué no hacemos lo mismo con la parte alámbrica? Los muros nos protegen?

A quién va dirigido?

• A cualquier infraestructura de tamaño medio /alto

• A proveedores que ofrecen de gran cantidad de accesos

DICCIONARIO (wiki)

NAC

• Network Access Control (NAC) is an approach to computer network security

that attempts to unify endpoint security technology (such as antivirus, host

intrusion prevention, and vulnerability assessment), user or system

authentication and network security enforcement.[1][2]

• Network Admission Control (NAC) refers to Cisco's version of Network

Access Control, which restricts access to the network based on identity or

security posture. When a network device (switch, router, access point, DHCP

server, etc.) is configured for NAC, it can force user or machine authentication

prior to granting access to the network. In addition, guest access can be granted

to a quarantine area for remediation of any problems that may have caused

authentication failure. This is enforced through an inline custom network device,

changes to an existing switch or router, or a restricted DHCP class. A typical (non-

free) WiFi connection is a form of NAC. The user must present some sort of

credentials (or a credit card) before being granted access to the network.

NAP

• Network Access Protection (NAP) is a Microsoft technology for controlling network

access of a computer host based on the system health of the host, first introduced in

Windows Server 2008.

DICCIONARIO (wiki)

PUBLICIDADYago Fernandez Hansen

COMPRE AHORA!

Un poco de teoria

Sistemas AAA.AAutenticacion, Autorizacion y Arqueo . Auditoria

Autenticación: Acto de demostrar de forma veraz la identidad del usuario a

otra entidad.

Autorización: Permiso de uso de los recursos accesibles para cada usuario

con los privilegios y restricciones asociados.

Arqueo o contabilidad: Seguimiento del consumo de los recursos utilizados

por el usuario con fines de facturación, planificación u otros.

Auditoría: Control y registro log de los recursos reales utilizados o accedidos

por el usuario durante sus sesiones.

Busquemos en Google Images:

RADIUS como gestor AAA (soluciones basadas en RADIUS)RADIUS

RADIUS

• Remote Authentication Dial In User Service (RADIUS) is a networking protocol that provides

centralized Authentication, Authorization, and Accounting (AAA) management for computers to

connect and use a network service. RADIUS was developed by Livingston Enterprises, Inc., in

1991 as an access server authentication and accounting protocol and later brought into the Internet

Engineering Task Force (IETF) standards.[1]

RADIUS como gestor AAA (soluciones basadas en RADIUS)

Elegir un servidor RADIUS

• Basados en arquitectura (Windows / Linux / otros)

– Freeradius

– IAS (Internet Authentication Server) Microsoft

– Funk RADIUS

• Basados en el tamaño de la infraestructura

• Basados en tipos de Bases de datos de usuarios

– SQL, LDAP, Servidores de directorio, Web, etc.

• Basados en el tipo de autenticación a implementar

• Certificados, usuario/contraseña, etc.

Utilidad

• Entornos corporativos

– Autenticación de acceso

• Entornos uso público controlado

– Hotspots, zonas de acceso universitarias…

• Entornos de acceso inalámbrico seguro

• Operadores de telecomunicaciones

• Banca electrónica

RADIUS

PKI. Convertirnos en una autoridad certificadora

Terminos utilizados

• Criptografía asimétrica

• CA, RA,VA, CRL, x.509

Utilidad

• Sistema de acceso seguro

• Gestión mediante Smartcards

• Gestión mediante DNIe

• Uso para servidores corporativos

PKI

PKI. Convertirnos en una autoridad certificadora

Ventajas

• Gestionamos todo el pastel

• Gratuidad o bajo coste

• Seguridad autogestionada

Inconvenientes

• Confianzas

• Implementación propia

• Propagación o difusión

Servidores disponibles

• OpenSSL

• Microsoft Certificate Services

Plataformas de Gestión

• Entornos Web como Dogtag (PKI Fedora Linux)

• Microsoft Certificate Services

• OpenTrust (Comercial)

• Digicert (Comercial)

• OpenCA (open source)

PKI

Infrastructura mediante certificados

PKI + RADIUS

PUBLICIDADYago Fernandez Hansen

COMPRE AHORA!

EAP como transportador de la autenticacionEAP

• Extensible Authentication Protocol, or EAP, is an authentication framework frequently used in wireless networks and Point-to-Point connections. It is defined in RFC 3748, which made RFC 2284 obsolete, and was updated by RFC 5247.

EAP no es un protocolo de autenticación, sino de transporte de la autenticación.

EAP se define en la capa 2 OSI.

EAP es un protocolo AVP.

EAP no son las siglas de Edgar Alan Poe

EAP como transportador de la autenticacionEAP

802.1X – 802.11i – Protocolos basados en la autenticacion

802.1X - Aplicación de EAP sobre LAN. EAPOL

802.11i – Aplicación de RSN (medidas robustas de seguridad) sobre redes

inalámbricas. Incorporación de 802.1X sobre WLAN. EAPOW.

802.1X 802.11i

PAE: Port Access Entity

• A port access entity (PAE), also known as a LAN port, is a logical entity that supports the IEEE

802.1X protocol. A LAN port can adopt the role of authenticator, supplicant, or both.

El cliente de la autenticacion

Suplicante

• Definición: Cliente de la autenticación. Software solicitante de autenticación.

Suplicantes

• Basados en arquitectura

• Basados en tipos de autenticación. Ejemplos

Suplicantes

El cliente de la autenticacion

Suplicantes

...se acabo la teoria

El Appliance como solucion idonea

• Definición

• Utilidad

– Servidores independientes y prediseñados que cumplen una función específica

– Servidores de mayor o menor tamaño

– Innumerables utilidades en la actualidad

• UTM, Firewalls, Routers, Antivirus, Antispam, VPN server, Buscadores google, QoS, VoIP,

Hotspot, PrintServers, etc.

• Tipos de appliance. Categorización

– Físicos / Virtuales.

appliances

Appliance fisico

Categorización

• Según tamaño de la infraestructura

Características importantes

• Estabilidad

• Rendimiento (Procesador y memoria)

• Puertos LAN / WAN / WLAN

• Puertos de consola, USB…

• Tipo de HW para Sistema de archivos

• Sistema operativo a utilizar

• Ligereza del sistema operativo

appliances

Appliances virtuales. La nueva tendencia.

Creación sencilla de un Appliance Virtual:

appliances

Administracion del Appliance

Requerimientos:

• Nunca perder el control de appliance

• Ofrecer alternativas de administración

• Evitar usar config. en modo texto

Opciones a utilizar:

• Consola SSH segura.

• Consola RS-232

• Configurador Web

• Configurador externo

• Recuperación del sistema en caso de fallo

• Actualizador de firmware

• Backup de configuración

Ejemplo de funcionamiento y caracteristicas. . .

appliances

PRESENTACIONYago Fernández Hansen

COMPRE AHORA!

Ataque mediante HUB

Seguridad & Vulnerabilidades

Ataque mediante fakeAP

Uso del servidor

Freeradius-WPE(Wireless Pownage Edition)

Seguridad & Vulnerabilidades

No, por favor … tantas no!!!

Gracias a todos

;-)

Ruegos & preguntas