Upload
haanh
View
225
Download
5
Embed Size (px)
Citation preview
BIENVENIDOS(gracias por su asistencia)
802.1X & 802.11i
La unica seguridad real en Red
(Taller)
PRESENTACIONYago Fernandez Hansen
Experto en ingeniería de sistemas y redes, con amplia experiencia en infraestructuras de todos los tamaños. En la última década se ha especializado ampliamente en tecnologías inalámbricas, habiendo dirigido con éxito numerosos proyectos para la planificación, implementación y auditoria de redes Wi-Fi, entre los que destacan despliegues de redes inalámbricas públicas y privadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y multipunto. En este campo realiza habitualmente intervenciones en congresos, así como ponencias, conferencias y ciclos formativos en varias universidades.
Igualmente ha dirigido en el pasado proyectos de seguridad informática, planificación de granjas de servidores bajo Windows y Linux, configuración y diseño de appliances de seguridad, gestión de infraestructuras de red, comunicaciones mediante enlace remoto, programación de enrutadores Cisco, sistemas de gestión de identidades, correlación de eventos, etc. En estas áreas ha realizado proyectos de ámbito internacional para grandes corporaciones en los sectores banca, seguros, operadoras, departamentos de seguridad del Estado, etc.
Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con numerosas publicaciones y artículos en revistas especializadas, además de colaborar con la editorial Ra-Ma, a través de la cual ha escrito y publicado el libro "RADIUS / AAA / 802.1X" (2008).
PRESENTACIONYago Fernandez Hansen
FUNDADOR Y ADMINISTRADOR DEL PORTAL COMUNITARIO:
portal 2.0 dedicado al hacking y a la seguridad
Problemas: Contenido inaceptable ~~~~~~~~~ SUGERENCIAS: -> Contenido: Por el momento, la política
de Google impide anunciar sitios web que incluyan contenido relacionado con el pirateo informático. Tal como
se especifica en los Términos y condiciones, nos reservamos el derecho de ejercer discreción editorial
respecto a la publicación de ciertos anuncios en nuestro sitio.
PRESENTACIONYago Fernandez Hansen
AUTOR DEL LIBRO:
LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red
Vamos al grano:
LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red
ERAAA BROMAAA
LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red
En esta charla (taller) vamos a tratar en la medida de lo posible:
La seguridad en el acceso a la red
Conceptos (Diccionario de términos)
Sistemas AAAA
RADIUS como gestor AAA (soluciones basadas en RADIUS)
PKI. Convertirnos en una autoridad certificadora
EAP como transportador de la autenticación
802.1X – 802.11i
El cliente de la autenticación. Suplicantes. Ejemplos
El Appliance como solución idónea
Tipos de appliance. Físicos / Virtuales. Ejemplos
Administración del Appliance
Seguridad. Vulnerabilidades
Ruegos y preguntas
LA CHARLA . . .LA SEGURIDAD EN EL ACCESO A LA RED
Qué es lo habitual?
• Protección de los recursos de valor de la Empresa (servidores, datos…)
• Protección mediante cortafuegos de la capa 3 hacia arriba
• Protección mediante IDS y otros recursos como UTM
• Protección desde el exterior hacia el interior. Internet - Intranet
Cuál es la novedad?
• Protección en el acceso al medio (Capa 2)
• Diferencia de conciencia entre la red inalámbrica y la red cableada
• Sistema global de Identidad y control de acceso
• Control de requerimientos y cuarentena
Importancia de todo esto?
• Por qué protegemos el acceso inalámbrico entonces?
• Por qué no hacemos lo mismo con la parte alámbrica? Los muros nos protegen?
A quién va dirigido?
• A cualquier infraestructura de tamaño medio /alto
• A proveedores que ofrecen de gran cantidad de accesos
DICCIONARIO (wiki)
NAC
• Network Access Control (NAC) is an approach to computer network security
that attempts to unify endpoint security technology (such as antivirus, host
intrusion prevention, and vulnerability assessment), user or system
authentication and network security enforcement.[1][2]
• Network Admission Control (NAC) refers to Cisco's version of Network
Access Control, which restricts access to the network based on identity or
security posture. When a network device (switch, router, access point, DHCP
server, etc.) is configured for NAC, it can force user or machine authentication
prior to granting access to the network. In addition, guest access can be granted
to a quarantine area for remediation of any problems that may have caused
authentication failure. This is enforced through an inline custom network device,
changes to an existing switch or router, or a restricted DHCP class. A typical (non-
free) WiFi connection is a form of NAC. The user must present some sort of
credentials (or a credit card) before being granted access to the network.
NAP
• Network Access Protection (NAP) is a Microsoft technology for controlling network
access of a computer host based on the system health of the host, first introduced in
Windows Server 2008.
DICCIONARIO (wiki)
PUBLICIDADYago Fernandez Hansen
COMPRE AHORA!
Un poco de teoria
Sistemas AAA.AAutenticacion, Autorizacion y Arqueo . Auditoria
Autenticación: Acto de demostrar de forma veraz la identidad del usuario a
otra entidad.
Autorización: Permiso de uso de los recursos accesibles para cada usuario
con los privilegios y restricciones asociados.
Arqueo o contabilidad: Seguimiento del consumo de los recursos utilizados
por el usuario con fines de facturación, planificación u otros.
Auditoría: Control y registro log de los recursos reales utilizados o accedidos
por el usuario durante sus sesiones.
Busquemos en Google Images:
RADIUS como gestor AAA (soluciones basadas en RADIUS)RADIUS
RADIUS
• Remote Authentication Dial In User Service (RADIUS) is a networking protocol that provides
centralized Authentication, Authorization, and Accounting (AAA) management for computers to
connect and use a network service. RADIUS was developed by Livingston Enterprises, Inc., in
1991 as an access server authentication and accounting protocol and later brought into the Internet
Engineering Task Force (IETF) standards.[1]
RADIUS como gestor AAA (soluciones basadas en RADIUS)
Elegir un servidor RADIUS
• Basados en arquitectura (Windows / Linux / otros)
– Freeradius
– IAS (Internet Authentication Server) Microsoft
– Funk RADIUS
• Basados en el tamaño de la infraestructura
• Basados en tipos de Bases de datos de usuarios
– SQL, LDAP, Servidores de directorio, Web, etc.
• Basados en el tipo de autenticación a implementar
• Certificados, usuario/contraseña, etc.
Utilidad
• Entornos corporativos
– Autenticación de acceso
• Entornos uso público controlado
– Hotspots, zonas de acceso universitarias…
• Entornos de acceso inalámbrico seguro
• Operadores de telecomunicaciones
• Banca electrónica
RADIUS
PKI. Convertirnos en una autoridad certificadora
Terminos utilizados
• Criptografía asimétrica
• CA, RA,VA, CRL, x.509
Utilidad
• Sistema de acceso seguro
• Gestión mediante Smartcards
• Gestión mediante DNIe
• Uso para servidores corporativos
PKI
PKI. Convertirnos en una autoridad certificadora
Ventajas
• Gestionamos todo el pastel
• Gratuidad o bajo coste
• Seguridad autogestionada
Inconvenientes
• Confianzas
• Implementación propia
• Propagación o difusión
Servidores disponibles
• OpenSSL
• Microsoft Certificate Services
Plataformas de Gestión
• Entornos Web como Dogtag (PKI Fedora Linux)
• Microsoft Certificate Services
• OpenTrust (Comercial)
• Digicert (Comercial)
• OpenCA (open source)
PKI
Infrastructura mediante certificados
PKI + RADIUS
PUBLICIDADYago Fernandez Hansen
COMPRE AHORA!
EAP como transportador de la autenticacionEAP
• Extensible Authentication Protocol, or EAP, is an authentication framework frequently used in wireless networks and Point-to-Point connections. It is defined in RFC 3748, which made RFC 2284 obsolete, and was updated by RFC 5247.
EAP no es un protocolo de autenticación, sino de transporte de la autenticación.
EAP se define en la capa 2 OSI.
EAP es un protocolo AVP.
EAP no son las siglas de Edgar Alan Poe
EAP como transportador de la autenticacionEAP
802.1X – 802.11i – Protocolos basados en la autenticacion
802.1X - Aplicación de EAP sobre LAN. EAPOL
802.11i – Aplicación de RSN (medidas robustas de seguridad) sobre redes
inalámbricas. Incorporación de 802.1X sobre WLAN. EAPOW.
802.1X 802.11i
PAE: Port Access Entity
• A port access entity (PAE), also known as a LAN port, is a logical entity that supports the IEEE
802.1X protocol. A LAN port can adopt the role of authenticator, supplicant, or both.
El cliente de la autenticacion
Suplicante
• Definición: Cliente de la autenticación. Software solicitante de autenticación.
Suplicantes
• Basados en arquitectura
• Basados en tipos de autenticación. Ejemplos
Suplicantes
El cliente de la autenticacion
Suplicantes
...se acabo la teoria
El Appliance como solucion idonea
• Definición
• Utilidad
– Servidores independientes y prediseñados que cumplen una función específica
– Servidores de mayor o menor tamaño
– Innumerables utilidades en la actualidad
• UTM, Firewalls, Routers, Antivirus, Antispam, VPN server, Buscadores google, QoS, VoIP,
Hotspot, PrintServers, etc.
• Tipos de appliance. Categorización
– Físicos / Virtuales.
appliances
Appliance fisico
Categorización
• Según tamaño de la infraestructura
Características importantes
• Estabilidad
• Rendimiento (Procesador y memoria)
• Puertos LAN / WAN / WLAN
• Puertos de consola, USB…
• Tipo de HW para Sistema de archivos
• Sistema operativo a utilizar
• Ligereza del sistema operativo
appliances
Appliances virtuales. La nueva tendencia.
Creación sencilla de un Appliance Virtual:
appliances
Administracion del Appliance
Requerimientos:
• Nunca perder el control de appliance
• Ofrecer alternativas de administración
• Evitar usar config. en modo texto
Opciones a utilizar:
• Consola SSH segura.
• Consola RS-232
• Configurador Web
• Configurador externo
• Recuperación del sistema en caso de fallo
• Actualizador de firmware
• Backup de configuración
Ejemplo de funcionamiento y caracteristicas. . .
appliances
PRESENTACIONYago Fernández Hansen
COMPRE AHORA!
Ataque mediante HUB
Seguridad & Vulnerabilidades
Ataque mediante fakeAP
Uso del servidor
Freeradius-WPE(Wireless Pownage Edition)
Seguridad & Vulnerabilidades
No, por favor … tantas no!!!
Gracias a todos
;-)
Ruegos & preguntas