Upload
marcia-anderson
View
84
Download
4
Embed Size (px)
DESCRIPTION
Despliegue de redes inalámbricas seguras sin necesidad de usar VPN. Elena Alcantud Pérez. Josemaria Malgosa Sanahuja. P aco Sampalo Lainz. Contenidos. WEP. Wired Equivalent Privacy Métodos EAP. EAP-TTLS. Características Arquitectura de acceso. Elementos de autenticación. - PowerPoint PPT Presentation
Citation preview
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 11
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
T
Despliegue de redes inalámbricas seguras sin necesidad de usar VPN
Elena Alcantud Pérez.Josemaria Malgosa Sanahuja.
Paco Sampalo Lainz.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 22
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TContenidos.Contenidos.
• WEP. Wired Equivalent Privacy• Métodos EAP.• EAP-TTLS. Características• Arquitectura de acceso.• Elementos de autenticación.• Estructuración VLAN (802.1Q)• Instalación del servidor.• Pasos en la autenticación.• Conclusiones
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 33
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TWEP. Wired Equivalent Privacy WEP. Wired Equivalent Privacy (I)(I)
• Estándar de encriptación de flujoencriptación de flujo opcional implementado en la capa MAC soportada por la mayoría de tarjetas de red y puntos de acceso.
• Encripta la trama 802.11 y su CRC antes de su transmisión empleando un flujo de cifrado RC4flujo de cifrado RC4..
• La estación transmisora empleará un VI diferenteVI diferente para cada trama para dotar de mayor robustez al sistema.
GNA 1
Clave 40 bits
GNA 2
VI (24 bits)
+
Trama en claro
TRAMA CIFRADA
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 44
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TWEP. Wired Equivalent Privacy WEP. Wired Equivalent Privacy (II)(II)
• No proporciona ningún mecanismo de No proporciona ningún mecanismo de intercambio de claves entre estacionesintercambio de claves entre estaciones..
Los administradores del sistema y los usuarios emplean normalmente la misma clave durante semanas.
• Capturas en red.Capturas en red. Usuarios dentro de la red pueden capturar tráfico.
• Sniffing.Sniffing. Usuarios externos pueden capturar tráfico cifrado y
descifrarlo con herramientas adecuadas.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 55
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TAlternativas WEP.Alternativas WEP.
• Propuestas de soluciones sobre el WEP actual:Propuestas de soluciones sobre el WEP actual:
Cifrar la información en los niveles superiores (Ipsec, ssh, scp, etc.).
Cambiar las claves WEP de cada usuario frecuentemente.
• EAP.EAP.
Protocolo de autenticación extensible. IEEE Abril de 2001.
Elimina los problemas producidos por el empleo de WEP, ya que las claves cambian en cada sesión.
A través de un servidor RADIUS también permite autenticar a los clientes.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 66
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TMétodos EAP.Métodos EAP.
EAP-MD5.EAP-MD5.
Método de autenticación básico.No es apropiado allá donde se requiere una seguridad robusta.
EAP-TLS.EAP-TLS.
Transport Layer Security Autenticación muy segura.Reemplaza simples claves por certificados para el cliente y el servidor.
EAP-TTLS.EAP-TTLS.
Tunneled Transport Layer Security. Extensión de TLS.Desarrollada para sobreponerse a la desventaja en cuanto a la necesidad de poseer un certificado por cliente.
EAP-EAP-PEAP.PEAP.
Protected Extensible Authentication Protocol.Soporta métodos EAP a través del túnel, pero a diferencia de TTLS, no soporta otros métodos para la negociación de la autenticación del cliente.
EAP-LEAPEAP-LEAP..
Light Extensible Authentication Protocol.Autenticación mutua, distribución de clave de sesión segura y dinámica para cada usuario. Vulnerable ante ataques de diccionario.
EAP-SIMEAP-SIM
EAP-AKA.EAP-AKA.
Subscriber Identity Module y Authentication and Key Agreement Se emplean en redes celulares.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 77
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TEAP-TTLS. Características de la EAP-TTLS. Características de la estructura.estructura.
• Las credenciales no son observablescredenciales no son observables en el canal de comunicación entre el nodo cliente y el proveedor de servicio.
Protección contra ataques de diccionario y suplantaciones.
• Generación de clavesGeneración de claves compartidas de sesión entre cliente y servidor Radius, tras la negociación TLS.
El servidor distribuye las claves al punto de acceso para continuar el servicio.
Opcionalmente, los cambios de clave dinámicos son configurables en el punto de acceso. Transparencia ante el usuario.
• Relaciones de seguridadRelaciones de seguridad entre dispositivos.
Usuario registrado en base de datos, directorio o archivo de usuarios.
Punto de acceso y servidor Radius comparten clave de encriptación (shared secret).
Servidor Radius debe realizar consultas a la base de datos empleando un usuario definido para tal objetivo.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 88
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TEAP-TTLS. Fases.EAP-TTLS. Fases.
A) ESTABLECIMIENTO: El servidor se
autentica ante el cliente.(Incluye su clave pública).
El cliente establece el túnel encriptado con la clave del servidor.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 99
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TEAP-TTLS. Fases.EAP-TTLS. Fases.
B) TÚNEL:
Utiliza la capa segura creada en la fase 1 para el intercambio de información en la autenticación del cliente. (login/password)
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1010
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TConsideraciones EAP-TTLS.Consideraciones EAP-TTLS.
• ANONIMATO Y PRIVACIDAD.ANONIMATO Y PRIVACIDAD.
No transmite el nombre de usuario en claro en la primera petición de identidad.
• CONFIANZA EN EL SERVIDOR EAP-TTLS.CONFIANZA EN EL SERVIDOR EAP-TTLS. Métodos de autenticación con passwords no susceptibles a
ataques de diccionario.
• COMPROMISO DEL CERTIFICADO DEL SERVIDOR EAP-TTLS.COMPROMISO DEL CERTIFICADO DEL SERVIDOR EAP-TTLS. Empleo de métodos de revocación de certificados para evitarlo.
• NEGOCIACIÓN Y ENCRIPTACIÓN DEL ENLACE.NEGOCIACIÓN Y ENCRIPTACIÓN DEL ENLACE. Negociación segura de la “Cipher suite de datos” (sistema de
cifrado de la comunicación)
• LISTADO DE LAS PREFERENCIAS DEL CIFRADO DE DATOS.LISTADO DE LAS PREFERENCIAS DEL CIFRADO DE DATOS. Cliente selecciona la del servidor como su primera opción y la del
punto de acceso. Maximizar grado de seguridad.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1111
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TArquitectura de acceso.Arquitectura de acceso.
FIREWALL + NAT + DHCPFIREWALL + NAT + DHCP
CLIENTESCLIENTES
RADIUSRADIUS LDAPLDAPPIXPIXDMZDMZ
nativanativa
internosinternos
inicioinicio
FTPFTP + DHCPDHCP
alumnosalumnosPUNTOS DE PUNTOS DE
ACCESOACCESO
UPCTUPCT
internosinternos
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1212
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TElementos de autenticación.Elementos de autenticación.
• En el proceso de autenticación participan el servidor el servidor Radius, el directorio LDAP y el cliente.Radius, el directorio LDAP y el cliente. Servidor Radius Freeradius. Software licencia libre. Gestiona el
acceso a la red según el tipo de usuario.
Directorio LDAP de Novell. No necesita extensiones para este tipo de consultas.
Cliente SecureW2. Cliente EAP-TTLS de licencia libre para Windows XP/2000. Gestiona los certificados y credenciales. (Existen clientes Linux)
• El punto de accesopunto de acceso actúa de forma transparentetransparente en este proceso. SERVIDOR
AAA/HSERVIDORTTLS AAA
PUNTOACCESO
CLIENTE
Túnel seguro para autenticación
Túnel seguro para datos
LDAPRADIUS
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1313
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TEstructuración VLAN (802.1Q)Estructuración VLAN (802.1Q)
• Se han definido tres VLAN´s para el servicio inalámbrico mapeadas con los diferentes SSID ( nombre de la red inalámbrica):
SSID “inicio”SSID “inicio” VLAN privada con único permiso de acceso al servidor FTP para descarga del clientedescarga del cliente.
SSID “alumnos”SSID “alumnos” VLAN con direccionamiento privadodireccionamiento privado mediante DHCP accediendo a la red externa a través de un Firewall haciendo NAT.
SSID “interna”SSID “interna” VLAN con direcccionamiento públicodirecccionamiento público para la red interna de la UPCT.
• Además se definió la VLAN nativa o troncalVLAN nativa o troncal.
• Mediante atributos del servidor RADIUSservidor RADIUS se garantiza que cada perfil de usuarioperfil de usuario pueda acceder únicamente a la VLAN que le corresponda.
• Configuración 802.1Q 802.1Q ‘trunking’ en puntos de acceso Cisco.puntos de acceso Cisco.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1414
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TInstalación del servidor.Instalación del servidor.
• HARDWAREHARDWARE Intel Pentium Xeon 3GHz-2Gb RAM-Disco SCSI (RAID1)-Fuente
alimentación redundante. Puede instalarse en cualquier ordenador con S.O. Linux (SuSe
9.0).
• SOFTWARESOFTWARE Instalación de servidor Radius Freeradius-1.0.1servidor Radius Freeradius-1.0.1. Código
licencia libre. Instalación previa de rpm: Openssl, ldap, krb5, gdbm, sasl(lib), pam(lib),
iodbc, mysql, postgresql y unixodbc.
Instalación de Openssl 0.9.7. ( ó versión posterior): Creación de claves privadas y certificados para servidor y root . Generar archivo “dh” (Diffie-Hellman) para encriptación.
Generación arbitraria de archivo “random”archivo “random” para creación de claves.
Necesitamos archivo de extensiones OID.extensiones OID.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1515
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TInstalación del servidor. Instalación del servidor. Configuración.Configuración.
• MÓDULO EAP-TLS/TTLSMÓDULO EAP-TLS/TTLS Configuración de la ubicación de certificados
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1616
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TInstalación del servidor. Instalación del servidor. Configuración.Configuración.
• MÓDULO LDAPMÓDULO LDAP Habilita la consulta al directorio mediante un usuariousuario definido. Configura filtro y atributosfiltro y atributos a chequear.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1717
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TInstalación del servidor. Instalación del servidor. Configuración.Configuración.
• ARCHIVO “users”ARCHIVO “users”
Fragmento del archivo relacionado con usuarios LDAP.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1818
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TPasos en la autenticación. (I)Pasos en la autenticación. (I)
Introducción de credenciales por el cliente.
• El cliente detecta la red y se abre la ventana de credencialesventana de credenciales. Clientes de la UPCT:Clientes de la UPCT: autenticación realizada por LDAP DNI + Contraseña.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 1919
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TPasos en la autenticación. (II)Pasos en la autenticación. (II)
•Mediante usuario anónimo se gestiona la instalación de certificados.
Certificados del servidor a la espera de ser aceptados.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 2020
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TPasos en la autenticación. (III)Pasos en la autenticación. (III)
Certificados instalados.
• Usuario instala o acepta temporalmente los certificadoscertificados.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 2121
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TPasos en la autenticación. (IV)Pasos en la autenticación. (IV)
Consulta del servidor.
• El servidor consulta al LDAPconsulta al LDAP el acceso del cliente a la red.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 2222
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TPasos en la autenticación. (V)Pasos en la autenticación. (V)
• ServidorServidor RADIUS reenvía la respuestarespuesta.
Envío de respuesta y claves al punto de acceso
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 2323
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TPasos en la autenticación. (VI)Pasos en la autenticación. (VI)
Autenticación satisfactoria y entrada en red.
• Las clavesclaves compartidas se depositan en el punto de acceso.punto de acceso.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 2424
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TConclusiones.Conclusiones.
• Sistema inalámbricoSistema inalámbrico seguro: Comunicaciones cifradas y fiables. Autenticación robusta de usuarios.
• Requisitos:Requisitos:
Adaptación a la infraestructura de la UPCT ( VLANinfraestructura de la UPCT ( VLAN´s)´s)..
Software en desarrollo y conSoftware en desarrollo y con licencia libre. licencia libre.
Gran flexibilidad Gran flexibilidad y posibilidad de aplicary posibilidad de aplicar extensiones. extensiones.
Sencillez Sencillez para los usuariospara los usuarios..
Limitación de uso sólo paraLimitación de uso sólo para comunidad UPCT. comunidad UPCT.
Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 2525
Serv
icio
de I
nfo
rmáti
ca d
e la U
PC
TRuegos y preguntas.Ruegos y preguntas.