desarrollo de un servicio integral de gestión del segmento de cuarentena en una red de ordenadores

Desarrollo de un servicio integral de gestión del segmento de cuarentena en

una red de ordenadores

Miquel BordoyRicardo DíazAntonio Sola

Centre de Tecnologies de la InformacióUniversitat de les Illes Balears

2M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.

1. Introducción.

2. Escenario.

3. Funcionamiento.

4. Portal Cautivo.

5. Aplicación de gestión.

6. Conclusiones.

Índice


1. Introducción.2. Escenario.

3. Funcionamiento.

4. Portal Cautivo.


6. Conclusiones.

Índice


LANCORPORATIVA

Detección de dispositivos conflictivos

IDS/IDP

Cortafuegos

WSUS local

Antivirus corporativo

Logs de servicios

Correladores de eventos

Health check preconnect (NAC),…

• Malware

• Config. Incorrectas (@IP, Puertos, Protocolos,…)

• Usuario malicioso

Introducción

Ordenador conflictivo

Operador de seguridad


LANCORPORATIVA

¿Qué hacemos con ellos?

Introducción

Ordenador conflictivo

Operador HelpDesk


¿Cómo se suelen tratar estas incidencias?

1. El operador de red localiza manualmente el ordenador en la red (@MAC-Conmutador-Puerto).

2. El operador de red aísla de la red el ordenador desactivando manualmente de forma remota su puerto de red.

3. El operador de red cambia el estado de la incidencia y la delega al servicio de helpdesk.

4. El operador de helpdesk contacta con el usuario y resuelve la incidencia.

Introducción


¿Qué problemática aparece?

1. La localización puede consumir un tiempo en algunos casos excesivo.

2. El conocer el usuario responsable del ordenador y el contactar con él aún consume mucho más tiempo.

3. El usuario al detectar que su ordenador no accede a la red cambia de toma su ordenador, solicita el alta de otra toma, genera otra incidencia,…

4. Para solucionar el problema el operador de helpdesk debe desplazarse hasta el usuario.

5. Para evitar el desplazamiento se debe de reactivar el puerto de red para acceder en remoto al ordenador o permitir el acceso a antivirus/WSUS/…

6. Ante tal situación el usuario recibe un servicio inadecuado, insatisfacción.

7. El servicio de helpdesk se ve desbordado por tales incidencias… y los operadores de red/seguridad.

8. Servicio totalmente ineficiente.

Introducción


¿Qué objetivos nos proponemos?

1. Localización en red automática.

2. Aislamiento/Des. Automático en segmento de cuarentena.

3. Notificación al usuario electrónica y automatizada de la incidencia.

4. Usuario contacta con el servicio de helpdesk, no al revés.

5. Usuario, en un % de casos, soluciona el mismo la incidencia.

6. Mínimo consumo de recursos de humanos (seguridad/red/helpdesk).

7. Interacción y comunicación eficiente y ágil entre operadores.

8. Altas de incidencias manuales y automáticas.

9. Integración con aplicativo de gestión de incidencias.

10. Uso de estándares. Independencia del fabricante de networking.

11. Soporte multiplataforma y con @IP dinámico (DHCP) y estático del dispositivo del usuario.

Introducción


¿Existen soluciones?

• Los principales fabricantes de networking disponen de soluciones NAC…

• … y también existen otras soluciones software…

• … pero ninguna de ellas se adapta a nuestras necesidades…

• … deberá desarrollarse el servicio…

• … un OBJETIVO más: implantar el servicio a partir de elementos open source

Introducción


¿Qué queremos realmente?...Un lazareto electrónico…

Introducción


1. Introducción.

2. Escenario.3. Funcionamiento.

4. Portal Cautivo.


6. Conclusiones.

Índice


Configuración servicio AAA RADIUS

• MAC Authentication en los conmutadores.• Política por defecto de aceptar toda MAC.• Lista Negra para MACs conflictivas.• Acceso a la LAN permitido si fallo en RADIUS.• Asignación dinámica de VLAN (rfc3580).• Histórico MAC-puerto del conmutador en la LAN.

LANCORPORATIVA

Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN

ServidorAAA RADIUS

Aplicación de Gestión

Escenario

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

Infraestructura

INTERNET


INTERNET

LANCORPORATIVA

ServidorAAA RADIUS



Escenario

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

Infraestructura


1. Introducción.

2. Escenario.

3. Funcionamiento.4. Portal Cautivo.


6. Conclusiones.

Índice


LANCORPORATIVA

ServidorAAA RADIUS



Funcionamiento

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

!

RADIUS: AccessRequest

MYSQLMYSQL

RADIUS: Access-Accept

Proceso de conexión

INTERNET


LANCORPORATIVA

ServidorAAA RADIUS



Funcionamiento

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

RADIUS: Accounting

MYSQL


INTERNET


Id Start_Time Stop_Time MAC Switch_IP Port_User TimeConnected

3 2009-11-12 17:00:00

0 00-08-02-41-57-2D 192.168.0.1 25 0

2 2009-10-12 17:00:00

2009-10-12 19:00:00

00-08-02-41-57-2D 192.168.0.1 25 17599

1 2009-10-12 14:00:00

2009-10-12 15:00:00

00-08-02-41-57-2D 192.168.0.4 23 13711

Base de Datos

Funcionamiento

• Fecha de conexión.• Fecha de desconexión.• Dirección Mac.• IP del conmutador.• Puerto del conmutador.• Tiempo conectado.

Accounting en el servidor RADIUS


LANCORPORATIVA


Funcionamiento

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

Operador/Agentede seguridad

MAC: 00-08-02-41-57-2D


Detección de equipos conflictivos

ServidorAAA RADIUS

INTERNET


LANCORPORATIVA



Funcionamiento

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

MYSQL

Lista Negra 00-08-02-41-57-2D

…

Proceso de cuarentena

ServidorAAA RADIUS

INTERNET


MAC: 00-08-02-41-57-2D


Funcionamiento

Proceso Manual

Operador de seguridad con la aplicación de gestión.

Proceso Automatizado

Mediante un IDS (Intrusion Detection System).

Aplicaciones NAC (Network Access Control).

Correladores de eventos de seguridad.

Proceso de alta de incidencias


LANCORPORATIVA

ServidorAAA RADIUS



Funcionamiento

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

SNMP: set-Request (#OID)SNMP: get-Response (#OID)

Lista Negra 00-08-02-41-57-2D

…


INTERNET



LANCORPORATIVA



VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

!


MYSQLMYSQL


Lista Negra 00-08-02-41-57-2D

…


Funcionamiento

ServidorAAA RADIUS

INTERNET



LANCORPORATIVA



VLANGESTIÓN

VLANUSUARIOS

MYSQL

RADIUS: Accounting

Portal Cautivo

VLANCUARENTENA

Lista Negra 00-08-02-41-57-2D

…

Funcionamiento


ServidorAAA RADIUS

INTERNET



Id Start_Time Stop_Time MAC Switch_IP Port_User TimeConnected

3 2009-11-12 17:00:00

online 00-08-02-41-57-2D 192.168.0.1 25 0

Funcionamiento

snmpset ( $NASIPAddress , $community , $object_id , $type , $value );

- $NASIPAddress => Ip del conmutador.- $object_id => OID: 1.3.6.1.2.1.2.2.1.7.25- $type => int- $value => 1 habilitar puerto.

2 deshabilitar puerto.

Envío de Mensajes SNMP (Simple Network Management Protocol) mediante PHP.

1

2

Construcción mensaje SNMP


1. Introducción.

2. Escenario.

3. Funcionamiento.

4. Portal Cautivo.5. Aplicación de gestión.

6. Conclusiones.

Índice


Portal Cautivo

• UbuntuLinux

• Apache• PHP

Portal web :

• MysqlBase de datos :

• IPTABLESFirewall :

• dhcpdDHCP :

• farpdProxy ARP :

Solución

LAMP

Portal cautivo

VLANCUARENTENA

Base de Datos

Regla: Iptables -t nat -A PREROUTING -i $cuarentena -p tcp -d 0.0.0.0/0 –dport 80 -j DNAT –to-destination $portal_cautivo

Firewall

- Proxy ARP- DHCP

Diseño


LANCORPORATIVA



VLANGESTIÓN

Portal Cautivo

VLANCUARENTENA

Lista Negra 00-08-02-41-57-2D

…

Portal Cautivo

Funcionamiento

ServidorAAA RADIUS

INTERNET

HTTP: Get URL



LANCORPORATIVA



VLANGESTIÓN

Portal Cautivo

VLANCUARENTENA

Lista Negra 00-08-02-41-57-2D

…

Portal Cautivo

Funcionamiento

ServidorAAA RADIUS

INTERNET

HTTP



- Solución de usuario

- Contacto

- Nº de incidencia

- Información del equipo

Portal Cautivo

- Descripción

- Formulario de usuario

Screenshot


LANCORPORATIVA



VLANGESTIÓN

Portal Cautivo

VLANCUARENTENA

Lista Negra 00-08-02-41-57-2D

…

Portal Cautivo

Funcionamiento

ServidorAAA RADIUS

INTERNET



1. Introducción.

2. Escenario.

3. Funcionamiento.

4. Portal Cautivo.

5. Aplicación de gestión.6. Conclusiones.

Índice


Aplicación de gestión


Frontend



Escáner de vulnerabilidades.

Accounting + Localizador.

Notificación vía mail.

Gestión de incidencias vía web.

Repositorio personalizado.

Protección contra cuarentena.

Informes en PDF.

Características Generales









Informes en PDF.



LANCORPORATIVA



VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

Lista Negra 00-08-02-41-57-2D

…

Funcionamiento

Liberar de cuarentena

ServidorAAA RADIUS

INTERNETMYSQL



LANCORPORATIVA



VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

Lista Negra ---------------

…

Funcionamiento

Liberar de cuarentena

ServidorAAA RADIUS

INTERNET

SNMP: set-Request (#OID)



LANCORPORATIVA

ServidorAAA RADIUS



Funcionamiento

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

!


MYSQLMYSQL



INTERNET


Lista Negra ---------------

…


LANCORPORATIVA

ServidorAAA RADIUS



Funcionamiento

VLANGESTIÓN

VLANUSUARIOS

Portal Cautivo

VLANCUARENTENA

RADIUS: Accounting

MYSQL


INTERNET



1. Introducción.

2. Escenario.

3. Funcionamiento.

4. Portal Cautivo.


6. Conclusiones.

Índice


• Lazareto electrónico multifabricante, multiplataforma y basado en estándares y elementos open source.

• Solución completa, abierta, flexible, adaptable, eficiente,…

• … y sin “cajas negras”, ni mantenimientos/update/upgrades de terceros,…

• Cumplidos todos los objetivos propuestos inicialmente…

• … y implantado nuevas funcionalidades durante el desarrollo/implantación…

• … y con un roadmap interesante:

Conclusiones


VLAN DECUARENTENA

Securización VLAN de Cuarentena

Conclusiones

LANCORPORATIVA

Portal Cautivo

ServidorAAA RADIUS

Filter-Id=“POLÍTICA CUARENTENA”


Conclusiones

Integración con el aplicativo corporativo de información de red.

Integración con la Intranet corporativa (seguimiento de incidencias).

Módulo de alta automática/semiautomática de incidencias.

Análisis integración soluciones TNC health check preconnect.

Análisis integración como plugin del proyecto open source Cacti.

Roadmap

Gracias por su atención

[email protected]@uib.es

[email protected]

Centre de Tecnologies de la InformacióUniversitat de les Illes Balears

desarrollo de un servicio integral de gestión del segmento de cuarentena en una red de ordenadores

Documents