Proyecto de Integración

Proyecto de Integración de la Tarjeta

Inteligenteen UPNs

Miquel Bordoy Marcó

Antonio Sola Venteo

Índice

Situación actual. ProblemáticaSituación actual. Problemática

Objetivo inicial del proyectoObjetivo inicial del proyecto

Solución tecnológicaSolución tecnológica

Implantación del proyecto en la UIBImplantación del proyecto en la UIB

ConclusionesConclusiones

Situación Actual

Puntos de acceso a la LAN “sin control”:Puntos de acceso a la LAN “sin control”:

Aulas InformáticasAulas Informáticas

Aulas DocenciaAulas Docencia

¿ Cómo lo intentamos “controlar” ?¿ Cómo lo intentamos “controlar” ?

Control de acceso al PC por Control de acceso al PC por SmartcardSmartcard

VLAN AlumnosVLAN Alumnos

Port SecurityPort Security

SchedulerScheduler de activación de puertos de activación de puertos (Spectrum)(Spectrum)

¿ Qué tenemos ?

Índice






Objetivo del Proyecto¿ Qué pretendemos ?

Control de acceso de los USUARIOS a la RED

Movilidad total de los USUARIOS en la RED

Índice






Solución Tecnológica

Protocolo estandarizado el 2001Protocolo estandarizado el 2001

Port-Based Network Access ControlPort-Based Network Access Control

Control de acceso de los USUARIOSControl de acceso de los USUARIOS

Autenciación (protocolo EAP)Autenciación (protocolo EAP)

Autorización básica (Autorización básica (ON/OFFON/OFF))

Soportado por Soportado por WindowsWindows

Soportado por fabricantesSoportado por fabricantes networking networking

¿ Cómo lo solucionamos ?

IEEE 802.1x

Solución Tecnológica¿ Infraestructura IEEE 802.1x ?

802.1x

RADIUS

EAP over LAN

EAP over

RADIUS

802.1x +Módulo

EAP

802.1x Módulo EAP

RADIUSRADIUS

SWITCSWITCHH

PC CLIENTEPC CLIENTE

Solución Tecnológica¿ Funcionamiento IEEE 802.1x ?

RADIUSRADIUS


IdentityRequest

EAPO

L

IdentityResponse

EAPO

L

AccessRequest

EAPO

R

Fase Inicial: Identidad Usuario

SWITCSWITCHH

EAP

EAP


RADIUSRADIUS


Fase Principal: Autenticación Usuario

EAP MD5-Challenge

EAP TLS

EAP TTLS

EAP SIM, ...SWITCSWITCHH


RADIUSRADIUS


Success/Failure

EAPO

L

AccessAccept

EAPO

R

Fase Final: Autorización usuario

SWITCSWITCHH

Solución Tecnológica

User Personalized NetworkUser Personalized Network

Se basa en IEEE 802.1XSe basa en IEEE 802.1X

Movilidad de los USUARIOSMovilidad de los USUARIOS

Autorización avanzada (perfil de Autorización avanzada (perfil de red)red)

Perfil de Red = Perfil de Red = {VLAN,L2,L3,L4,{VLAN,L2,L3,L4,B}B}

Soportado por algunos fabricantesSoportado por algunos fabricantes

¿ Cómo lo solucionamos ?

UPN

Solución Tecnológica¿ Funcionamiento UPN ?

RADIUSRADIUS


Success/Failure

EAPO

L

SWITCSWITCHH

Usuario Perfil de Red

Perfil de Red = Filter-Id

Gestor PerfilesGestor Perfilesde Redde Red

Perfiles

AccessAccept

EAPO

R

Filter-Id

Solución Tecnológica¿ Funcionamiento UPN ?


Switch 802.1xServidor de Servidor de AutenticacióAutenticació

nn

Índice






Implantación en la UIB

Autenticación de USUARIO por Autenticación de USUARIO por smartcardsmartcard (o (o TI)TI)

Integración del cliente en todo SO Integración del cliente en todo SO WindowsWindows

Control de sesión de red por TIControl de sesión de red por TI

Múltiples sesiones de red en una única sesión Múltiples sesiones de red en una única sesión WinWin..

Aplicar perfiles de red a grupos de usuariosAplicar perfiles de red a grupos de usuarios

Registrar en LOGs las sesiones de redRegistrar en LOGs las sesiones de red

Gestionar en tiempo real el Gestionar en tiempo real el firewallfirewall de usuario de usuario

¿ Qué nos planteamos ?

Implantación en la UIB¿ Cómo lo solucionamos ?

Desarrollo parte cliente en Windows

Desarrollo Servidor de Autenticación

Integración Gestor Perfiles de red


ObjetivoObjetivo: autenticación por : autenticación por smartcardsmartcard (o (o TI)TI)

ProblemaProblema: : WindowsWindows NO soporta nuestras NO soporta nuestras TIsTIs

Soluciones posiblesSoluciones posibles:: Desarrollo CSP

Desarrollo DLL EAP Credenciales Usuario

Desarrollo completo DLL EAP :Credenciales Usuario

Protocolo autenticación EAP

Desarrollo parte cliente


Solución finalSolución final:: Desarrollo completo DLL EAP:Desarrollo completo DLL EAP:

Credenciales de Usuario: smartcard Protocolo EAP propio MD5-UIB-Challenge


Implantación en la UIBDesarrollo parte cliente


Solución finalSolución final:: Desarrollo proceso control de sesión:Desarrollo proceso control de sesión:

Mantiene sesión si TI insertada en lector Cierra sesión de red si se retira la TI Reusamos control ActiveX PCSC de la UIB Resetea Autómata 802.1x al finalizar Informa del estado de la sesión de red



¿ Es necesario este desarrollo ?¿ Es necesario este desarrollo ?

SI, no soportan SI, no soportan MD5-UIB-Challenge

¿ Cómo podemos solucionarlo ?¿ Cómo podemos solucionarlo ?

Con Con sofwaresofware RADIUS RADIUS GNUGNU

¿ Existe un RADIUS libre ?¿ Existe un RADIUS libre ?

SI, el proyecto más importante es SI, el proyecto más importante es freeradiusfreeradius

Desarrollo Servidor Autenticación


Características de Características de freeradiusfreeradius::

Soporta EAP (MD5-Challenge, PEAP, Soporta EAP (MD5-Challenge, PEAP, TLS, ...)TLS, ...)

Ya soporta Ya soporta MD5-UIB-Challenge !!!MD5-UIB-Challenge !!!

Versiones para diferentes UNIX y Versiones para diferentes UNIX y LINUXLINUX

Pasarelas para LDAP, SQL, ...Pasarelas para LDAP, SQL, ...

En constante desarrolloEn constante desarrollo

www.freeradius.orgwww.freeradius.org



¿ Qué hemos realizado ?:¿ Qué hemos realizado ?:

Reprogramar módulo EAP genéricoReprogramar módulo EAP genérico

Programar módulo Programar módulo MD5-UIB-ChallengeMD5-UIB-Challenge

Añadir nuevos atributos al DICTIONARYAñadir nuevos atributos al DICTIONARY

Crear aplicativo de importación de Crear aplicativo de importación de USUARIOSUSUARIOS



Gestor de Perfiles de Red NO es un estándarGestor de Perfiles de Red NO es un estándar

Cada fabricante desarrolla el propioCada fabricante desarrolla el propio

Enterasys NetworksEnterasys Networks: : NetSight Atlas Policy NetSight Atlas Policy ManagerManager

Definición de los perfiles de red de los Definición de los perfiles de red de los USUARIOSUSUARIOS

Carga los perfiles en los Carga los perfiles en los switchesswitches UPN UPN

Filtra L2, L3, L4. Define VLAN y Filtra L2, L3, L4. Define VLAN y BB

Aplica los filtros a las sesiones de red Aplica los filtros a las sesiones de red activasactivas

Integración Gestor Perfiles de red


CONFIGURACIÓN Y CONFIGURACIÓN Y FUNCIONAMIENTOFUNCIONAMIENTO

Definición Perfiles de

Red

1

Implantación en la UIBConfiguración


Policy Policy ManagerManager

Servidor de Servidor de AutenticacióAutenticació

nn

freeradiusfreeradius

PC clientePC cliente

W2K/WXPW2K/WXP

Creación Usuarios y asignación

Filter-Id

2





W2K/WXPW2K/WXP


nn


Configuración





W2K/WXPW2K/WXP

Configurar PCs y

Switches

802.1x

3


nn


Configuración





W2K/WXPW2K/WXP

Cargar Perfiles en switches

4


nn


Configuración

Implantación en la UIBFuncionamiento




W2K/WXPW2K/WXP


nn


¿Identid

ad?





W2K/WXPW2K/WXP


nn


EAP MD5-UIB-Challenge





W2K/WXPW2K/WXP


nn


Accept

Filter-ID

Succes

s





W2K/WXPW2K/WXP


nn


Filter-ID

Logoff

Logoff






Índice

Conclusiones

Controlado el acceso de los USUARIOS a la Controlado el acceso de los USUARIOS a la RedRed

Solucionada la movilidad de los usuariosSolucionada la movilidad de los usuarios

Abierto camino tecnológico 802.1x-UPNAbierto camino tecnológico 802.1x-UPN

UPNs = control total de usuarios en la redUPNs = control total de usuarios en la red

Multitud lineas futuras de trabajoMultitud lineas futuras de trabajo

Gracias por su atención

[email protected]

[email protected]

Documents

Proyecto de Integración