Upload
fallon
View
52
Download
0
Embed Size (px)
DESCRIPTION
Dpto. Electrónica y Telecomunicaciones. SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN SERVICIOS. Jon Matias ([email protected]) Jornadas técnicas de RedIRIS Santiago de Compostela – Noviembre 2009. ÍNDICE. Introducción Objetivos Sistema de control de acceso basado en servicios - PowerPoint PPT Presentation
Citation preview
SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN SERVICIOS
Dpto. Electrónica y Telecomunicaciones
Jon Matias ([email protected])
Jornadas técnicas de RedIRISSantiago de Compostela – Noviembre 2009
ÍNDICEIntroducciónObjetivosSistema de control de acceso basado en serviciosPlataforma de pruebasConclusiones
INTRODUCCIÓNRedes universitarias y académicas
Doble función Red en producción Red para experimentación e investigación
Gestión de gran número de usuarios Universidad del País Vasco (UPV/EHU)
50.000 usuarios 31 facultades distribuidas en 3 centros
Amplia oferta de servicios Corporativos: web, correo, moodle, Internet, DNS… Departamentos, grupos de investigación, profesores,
alumnos: web, impresoras, (s)ftp, ssh, recursos de disco…
INTRODUCCIÓNTecnología de red basada en Ethernet
Red completamente conmutada Empleo de routers restringido
Gestión de usuarios y servicios basada en VLANs Perfiles de usuario basados en la asignación de VLAN
Asignación estática en función de puerto Asignación dinámica en función de la identidad
Acceso a servicios en función del perfil Cada perfil tiene acceso a un conjunto de recursos
Se desea un sistema más flexible
INTRODUCCIÓN
OBJETIVOSAcceso a servicios controlado individualmente en función de la identidad del usuarioEl sistema propuesto tiene que cubrir diversos aspectos:
Definición de servicio Recurso de red a disposición de un conjunto de usuarios
susceptible de ser controlado Identificación de servicio
Genérica: definido a cualquier nivel Unívoca: tiene que poder ser diferenciado del resto
OBJETIVOS La seguridad es un aspecto fundamental de la solución
AAA: cada usuario debe ser autenticado y autorizado antes de poder acceder al servicio
Control de acceso: se realiza un control a nivel de red teniendo en cuenta la identificación que del servicio se haga
Asociado al acceso, es necesaria una fase de configuración
Ligado al proceso de AAA se desencadena un proceso de configuración
La configuración depende del servicio y de la identidad del usuario
Los nodos involucrados en la provisión del servicio son configurados adecuadamente y de forma segura
ACCESO BASADO EN SERVICIOS Sistema de control de acceso basado en servicios
Definición de servicio Seguridad
Autenticación y Autorización (AAA) Control de acceso
Configuración
DEFINICIÓN DE SERVICIOSituación previa
Conjunto de usuarios -> Perfil (VLAN) -> Conjunto de servicios
Servicio Recurso de red a controlar Definido a cualquier nivel, incluso multi-nivel
Definición en base a perfiles XML Parámetros de servicio
Identifican unívocamente a los servicios Parámetros de usuario
Contienen información específica de cada usuario
La identificación del servicio afecta directamente al control de acceso que se aplica en cada caso
DEFINICIÓN DE SERVICIO<service id=“EHUtb”>
<flowid>
<!– Service related info -->
<dip>158.227.0.0/16</dip>
</flowid>
<clients>
<!– Client related info -->
<client id=“jonatEHUtb”>
<security>
<smac>00:01:02:03:04:05</smac>
</security>
<qos>
<bandwidth>10Mbps</bandwidth>
</qos>
</client>
</clients>
</service>
SEGURIDAD: AAACada usuario tiene que ser autenticado y autorizado antes de poder acceder al recursoSe opta por un modelo de seguridad basado en el estándar IEEE 802.1X
Solución nativa y eficiente Ampliamente utilizado en entornos WiFi y Ethernet No es suficiente para el escenario planteado
Autentica la conexión a la red Acceso total o nulo
Son necesarias varias modificaciones
SEGURIDAD: AAAIEEE 802.1X
EAPoL EAP
RADIUS EAP
Authenticator
Supplicant
Authentication Server
SEGURIDAD: AAAModificaciones sobre IEEE 802.1X
Concepto de Puerto Estándar: Puerto físico / Puerto lógico Aportación: Puerto de servicio
EAPOL
PAE Type Version Packet Type Length DATA
1 – 2 3 4 5 – 6 7 – NEAPOL
PAE Type Version Packet Type Length DATAPAE Type Version Packet Type Length DATA
1 – 2 3 4 5 – 6 7 – NEAPOL
SERVICE ID Version Packet Type Length DATA
1 – 2 3 4 5 – 6 7 – NEAP
CODE Identifier Length DATA
1 2 3 – 4 5 – NEAP
CODE Identifier Length DATACODE Identifier Length DATA
1 2 3 – 4 5 – N
SEGURIDAD: AAA Protocolo EAPoL
Estándar Autentica la conexión a la red Un único proceso de forma simultánea
Aportación: EAPoL-in-EAPoL Permite a un mismo usuario autenticar diferentes
servicios Implica modificaciones software tanto en el supplicant
(usuario) como en el authenticator (nodo acceso) Compatible con EAPoL: nuevo tipo de paquete
Authenticator
SEGURIDAD: AAA EAPoL-in-EAPoL
RADIUS EAP
RADIUS EAPEAPoL
ServiceID (1)
EAPoL EAP
EAPoLServiceID (2)
EAPoL EAP
SEGURIDAD: CONTROL ACCESOControl de acceso a red basado en servicios
Depende de la definición e identificación del servicio Afecta al estándar IEEE 802.1X
Relacionado con el concepto de puerto de servicio Aportación
Control de acceso dinámico y granular Se generan reglas de acceso en función de los parámetros
de servicios y de usuario Los parámetros se extraen de los perfiles XML
Implementación del control basada en una herramienta de filtrado de tramas a nivel dos (ebtables)
SEGURIDAD: CONTROL ACCESO La autenticación exitosa de un servicio desencadena la
creación de una serie de reglas de control de acceso asociada a dicho servicio
CONFIGURACIÓNAsociado al proceso de autenticación se establece un proceso de configuración
La relación se establece en un contexto seguro Desencadenado desde el servidor de autenticación
Se encarga de configurar adecuadamente todos los recursos de la red necesarios para la correcta provisión del servicio
La configuración depende de varios parámetros Resultado del proceso de autenticación Identidad del usuario y localización Naturaleza del servicio Particularidades de la red
CONFIGURACIÓNSe utiliza NETCONF (RFC 4741)
Sistema de configuración y monitorización de red definido por el IETF
Capacidades avanzadas de configuración Definición de configuraciones complejas Permite mantener diferentes configuraciones, manejar
errores, realizar rollback de configuraciones… Configuraciones representadas en XML y agrupadas en
módulos Se definen varias operaciones
<edit-config>, <get-config>, <copy-config>, <lock>… Se realizan sobre capa de transporte segura (SSH,…)
CONFIGURACIÓN Aportaciones a NETCONF
Necesario unir el proceso de autenticación al posterior proceso de configuración
Interfaz Web Services para iniciar la configuración a través de NEFCONF desde el servidor de autenticación
Definición de un nuevo módulo ServicePort Soporta nuevas capacidades de configuración para la
identificación de servicios y control de acceso
Operaciones
RPC
Transporte
Módulos deconfiguración
Operaciones
RPC
Transporte
InterfazWeb
WebServices
MóduloServicePort
NETCONF manager NETCONF agent
<edit-config>
<ok>
PLATAFORMA PRUEBAS
Para acceder al servicio es necesario completar un proceso de seguridad Cuando el cliente completa el proceso de seguridad, el servidor de autenticación invoca un proceso de configuración basado en NETCONF
Se envían los perfiles XML que permiten identificar los servicios. A partir de ellos se generan las correspondientes reglas de control de acceso
Se ofrece el servicio EHUtb
CONCLUSIONESSistema capaz de controlar a nivel de red y de forma individualizada el acceso de cada usuario a los servicio en base a su identidadNomadismo en el acceso
Mismos servicios con independencia de la localizaciónLa gestión puede ser descentralizada
Basado en relación de confianza Acceso gestionado por el proveedor del recurso Controlar que el recurso que activa pertenezca al gestor
Propuesta basada en modificación de IEEE 802.1X Múltiples procesos de autenticación simultáneos Control basado en puerto de servicio
Identificación del servicio
CONCLUSIONESPlataforma capaz de controlar acceso de usuarios por servicio
AAA basada en EAPoL-in-EAPoL Gestión distribuida Configuración en base a perfiles XML dinámicamente
generados en función de la identidad del usuario Creación de reglas de acceso aplicadas con ebtables
Incremento de la seguridad de la red Solo flujos previamente autenticados Control simultáneo del origen y del destino
LÍNEAS FUTURASSe está trabajando en una completa definición de servicios
Identificación de flujo de servicio a diversos niveles Integración con definición de servicios MEF
Escenarios complejos: E-Line, E-LAN, E-Tree
Integración de QoS en la solución Incluir parámetros de QoS en la fase de identificación
Con dependencia del servicio y la identidad de usuario Aplicar políticas de calidad en la fase de configuración
Creación bajo demanda de recursos virtualizados Al proceso de autenticación y configuración, se une el proceso de
creaciónIntegración con servicios de e-Ciencia
La red como recurso para la experimentaciónCreación de un framework para gestión de recursos y usuarios
SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN SERVICIOS
Dpto. Electrónica y Telecomunicaciones
Jon Matias ([email protected])
Jornadas técnicas de RedIRISSantiago de Compostela – Noviembre 2009