802.1x y 802.11i – la única seguridad real en red · pdf fileprivadas mediante...
TRANSCRIPT
![Page 1: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/1.jpg)
BIENVENIDOS(gracias por su asistencia)
802.1X & 802.11i
La unica seguridad real en Red
(Taller)
![Page 2: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/2.jpg)
PRESENTACIONYago Fernandez Hansen
Experto en ingeniería de sistemas y redes, con amplia experiencia en infraestructuras de todos los tamaños. En la última década se ha especializado ampliamente en tecnologías inalámbricas, habiendo dirigido con éxito numerosos proyectos para la planificación, implementación y auditoria de redes Wi-Fi, entre los que destacan despliegues de redes inalámbricas públicas y privadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y multipunto. En este campo realiza habitualmente intervenciones en congresos, así como ponencias, conferencias y ciclos formativos en varias universidades.
Igualmente ha dirigido en el pasado proyectos de seguridad informática, planificación de granjas de servidores bajo Windows y Linux, configuración y diseño de appliances de seguridad, gestión de infraestructuras de red, comunicaciones mediante enlace remoto, programación de enrutadores Cisco, sistemas de gestión de identidades, correlación de eventos, etc. En estas áreas ha realizado proyectos de ámbito internacional para grandes corporaciones en los sectores banca, seguros, operadoras, departamentos de seguridad del Estado, etc.
Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con numerosas publicaciones y artículos en revistas especializadas, además de colaborar con la editorial Ra-Ma, a través de la cual ha escrito y publicado el libro "RADIUS / AAA / 802.1X" (2008).
![Page 3: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/3.jpg)
PRESENTACIONYago Fernandez Hansen
FUNDADOR Y ADMINISTRADOR DEL PORTAL COMUNITARIO:
portal 2.0 dedicado al hacking y a la seguridad
Problemas: Contenido inaceptable ~~~~~~~~~ SUGERENCIAS: -> Contenido: Por el momento, la política
de Google impide anunciar sitios web que incluyan contenido relacionado con el pirateo informático. Tal como
se especifica en los Términos y condiciones, nos reservamos el derecho de ejercer discreción editorial
respecto a la publicación de ciertos anuncios en nuestro sitio.
![Page 4: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/4.jpg)
PRESENTACIONYago Fernandez Hansen
AUTOR DEL LIBRO:
![Page 5: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/5.jpg)
LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red
Vamos al grano:
![Page 6: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/6.jpg)
LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red
ERAAA BROMAAA
![Page 7: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/7.jpg)
LA CHARLA . . .802.1X & 802.11i – La unica seguridad real en red
En esta charla (taller) vamos a tratar en la medida de lo posible:
La seguridad en el acceso a la red
Conceptos (Diccionario de términos)
Sistemas AAAA
RADIUS como gestor AAA (soluciones basadas en RADIUS)
PKI. Convertirnos en una autoridad certificadora
EAP como transportador de la autenticación
802.1X – 802.11i
El cliente de la autenticación. Suplicantes. Ejemplos
El Appliance como solución idónea
Tipos de appliance. Físicos / Virtuales. Ejemplos
Administración del Appliance
Seguridad. Vulnerabilidades
Ruegos y preguntas
![Page 8: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/8.jpg)
LA CHARLA . . .LA SEGURIDAD EN EL ACCESO A LA RED
Qué es lo habitual?
• Protección de los recursos de valor de la Empresa (servidores, datos…)
• Protección mediante cortafuegos de la capa 3 hacia arriba
• Protección mediante IDS y otros recursos como UTM
• Protección desde el exterior hacia el interior. Internet - Intranet
Cuál es la novedad?
• Protección en el acceso al medio (Capa 2)
• Diferencia de conciencia entre la red inalámbrica y la red cableada
• Sistema global de Identidad y control de acceso
• Control de requerimientos y cuarentena
Importancia de todo esto?
• Por qué protegemos el acceso inalámbrico entonces?
• Por qué no hacemos lo mismo con la parte alámbrica? Los muros nos protegen?
A quién va dirigido?
• A cualquier infraestructura de tamaño medio /alto
• A proveedores que ofrecen de gran cantidad de accesos
![Page 9: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/9.jpg)
DICCIONARIO (wiki)
NAC
• Network Access Control (NAC) is an approach to computer network security
that attempts to unify endpoint security technology (such as antivirus, host
intrusion prevention, and vulnerability assessment), user or system
authentication and network security enforcement.[1][2]
• Network Admission Control (NAC) refers to Cisco's version of Network
Access Control, which restricts access to the network based on identity or
security posture. When a network device (switch, router, access point, DHCP
server, etc.) is configured for NAC, it can force user or machine authentication
prior to granting access to the network. In addition, guest access can be granted
to a quarantine area for remediation of any problems that may have caused
authentication failure. This is enforced through an inline custom network device,
changes to an existing switch or router, or a restricted DHCP class. A typical (non-
free) WiFi connection is a form of NAC. The user must present some sort of
credentials (or a credit card) before being granted access to the network.
![Page 10: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/10.jpg)
NAP
• Network Access Protection (NAP) is a Microsoft technology for controlling network
access of a computer host based on the system health of the host, first introduced in
Windows Server 2008.
DICCIONARIO (wiki)
![Page 11: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/11.jpg)
PUBLICIDADYago Fernandez Hansen
COMPRE AHORA!
![Page 12: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/12.jpg)
Un poco de teoria
![Page 13: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/13.jpg)
Sistemas AAA.AAutenticacion, Autorizacion y Arqueo . Auditoria
Autenticación: Acto de demostrar de forma veraz la identidad del usuario a
otra entidad.
Autorización: Permiso de uso de los recursos accesibles para cada usuario
con los privilegios y restricciones asociados.
Arqueo o contabilidad: Seguimiento del consumo de los recursos utilizados
por el usuario con fines de facturación, planificación u otros.
Auditoría: Control y registro log de los recursos reales utilizados o accedidos
por el usuario durante sus sesiones.
Busquemos en Google Images:
![Page 14: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/14.jpg)
RADIUS como gestor AAA (soluciones basadas en RADIUS)RADIUS
RADIUS
• Remote Authentication Dial In User Service (RADIUS) is a networking protocol that provides
centralized Authentication, Authorization, and Accounting (AAA) management for computers to
connect and use a network service. RADIUS was developed by Livingston Enterprises, Inc., in
1991 as an access server authentication and accounting protocol and later brought into the Internet
Engineering Task Force (IETF) standards.[1]
![Page 15: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/15.jpg)
RADIUS como gestor AAA (soluciones basadas en RADIUS)
Elegir un servidor RADIUS
• Basados en arquitectura (Windows / Linux / otros)
– Freeradius
– IAS (Internet Authentication Server) Microsoft
– Funk RADIUS
• Basados en el tamaño de la infraestructura
• Basados en tipos de Bases de datos de usuarios
– SQL, LDAP, Servidores de directorio, Web, etc.
• Basados en el tipo de autenticación a implementar
• Certificados, usuario/contraseña, etc.
Utilidad
• Entornos corporativos
– Autenticación de acceso
• Entornos uso público controlado
– Hotspots, zonas de acceso universitarias…
• Entornos de acceso inalámbrico seguro
• Operadores de telecomunicaciones
• Banca electrónica
RADIUS
![Page 16: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/16.jpg)
PKI. Convertirnos en una autoridad certificadora
Terminos utilizados
• Criptografía asimétrica
• CA, RA,VA, CRL, x.509
Utilidad
• Sistema de acceso seguro
• Gestión mediante Smartcards
• Gestión mediante DNIe
• Uso para servidores corporativos
PKI
![Page 17: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/17.jpg)
PKI. Convertirnos en una autoridad certificadora
Ventajas
• Gestionamos todo el pastel
• Gratuidad o bajo coste
• Seguridad autogestionada
Inconvenientes
• Confianzas
• Implementación propia
• Propagación o difusión
Servidores disponibles
• OpenSSL
• Microsoft Certificate Services
Plataformas de Gestión
• Entornos Web como Dogtag (PKI Fedora Linux)
• Microsoft Certificate Services
• OpenTrust (Comercial)
• Digicert (Comercial)
• OpenCA (open source)
PKI
![Page 18: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/18.jpg)
Infrastructura mediante certificados
PKI + RADIUS
![Page 19: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/19.jpg)
PUBLICIDADYago Fernandez Hansen
COMPRE AHORA!
![Page 20: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/20.jpg)
EAP como transportador de la autenticacionEAP
• Extensible Authentication Protocol, or EAP, is an authentication framework frequently used in wireless networks and Point-to-Point connections. It is defined in RFC 3748, which made RFC 2284 obsolete, and was updated by RFC 5247.
EAP no es un protocolo de autenticación, sino de transporte de la autenticación.
EAP se define en la capa 2 OSI.
EAP es un protocolo AVP.
EAP no son las siglas de Edgar Alan Poe
![Page 21: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/21.jpg)
EAP como transportador de la autenticacionEAP
![Page 22: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/22.jpg)
802.1X – 802.11i – Protocolos basados en la autenticacion
802.1X - Aplicación de EAP sobre LAN. EAPOL
802.11i – Aplicación de RSN (medidas robustas de seguridad) sobre redes
inalámbricas. Incorporación de 802.1X sobre WLAN. EAPOW.
802.1X 802.11i
PAE: Port Access Entity
• A port access entity (PAE), also known as a LAN port, is a logical entity that supports the IEEE
802.1X protocol. A LAN port can adopt the role of authenticator, supplicant, or both.
![Page 23: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/23.jpg)
El cliente de la autenticacion
Suplicante
• Definición: Cliente de la autenticación. Software solicitante de autenticación.
Suplicantes
• Basados en arquitectura
• Basados en tipos de autenticación. Ejemplos
Suplicantes
![Page 24: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/24.jpg)
El cliente de la autenticacion
Suplicantes
![Page 25: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/25.jpg)
...se acabo la teoria
![Page 26: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/26.jpg)
El Appliance como solucion idonea
• Definición
• Utilidad
– Servidores independientes y prediseñados que cumplen una función específica
– Servidores de mayor o menor tamaño
– Innumerables utilidades en la actualidad
• UTM, Firewalls, Routers, Antivirus, Antispam, VPN server, Buscadores google, QoS, VoIP,
Hotspot, PrintServers, etc.
• Tipos de appliance. Categorización
– Físicos / Virtuales.
appliances
![Page 27: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/27.jpg)
Appliance fisico
Categorización
• Según tamaño de la infraestructura
Características importantes
• Estabilidad
• Rendimiento (Procesador y memoria)
• Puertos LAN / WAN / WLAN
• Puertos de consola, USB…
• Tipo de HW para Sistema de archivos
• Sistema operativo a utilizar
• Ligereza del sistema operativo
appliances
![Page 28: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/28.jpg)
Appliances virtuales. La nueva tendencia.
Creación sencilla de un Appliance Virtual:
appliances
![Page 29: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/29.jpg)
Administracion del Appliance
Requerimientos:
• Nunca perder el control de appliance
• Ofrecer alternativas de administración
• Evitar usar config. en modo texto
Opciones a utilizar:
• Consola SSH segura.
• Consola RS-232
• Configurador Web
• Configurador externo
• Recuperación del sistema en caso de fallo
• Actualizador de firmware
• Backup de configuración
Ejemplo de funcionamiento y caracteristicas. . .
appliances
![Page 30: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/30.jpg)
PRESENTACIONYago Fernández Hansen
COMPRE AHORA!
![Page 31: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/31.jpg)
Ataque mediante HUB
Seguridad & Vulnerabilidades
![Page 32: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/32.jpg)
Ataque mediante fakeAP
Uso del servidor
Freeradius-WPE(Wireless Pownage Edition)
Seguridad & Vulnerabilidades
![Page 33: 802.1X y 802.11i – La única seguridad real en Red · PDF fileprivadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y ... RADIUS como gestor AAA (soluciones](https://reader030.vdocuments.co/reader030/viewer/2022021510/5ab1b2ce7f8b9a00728ca537/html5/thumbnails/33.jpg)
No, por favor … tantas no!!!
Gracias a todos
;-)
Ruegos & preguntas