proyecto de integración
DESCRIPTION
Proyecto de Integración. de la Tarjeta Inteligente. en UPNs. Miquel Bordoy Marcó. Antonio Sola Venteo. Índice. Situación actual. Problemática Objetivo inicial del proyecto Solución tecnológica Implantación del proyecto en la UIB Conclusiones. Situación Actual. ¿ Qué tenemos ?. - PowerPoint PPT PresentationTRANSCRIPT
Proyecto de Integración de la Tarjeta
Inteligenteen UPNs
Miquel Bordoy Marcó
Antonio Sola Venteo
Índice
Situación actual. ProblemáticaSituación actual. Problemática
Objetivo inicial del proyectoObjetivo inicial del proyecto
Solución tecnológicaSolución tecnológica
Implantación del proyecto en la UIBImplantación del proyecto en la UIB
ConclusionesConclusiones
Situación Actual
Puntos de acceso a la LAN “sin control”:Puntos de acceso a la LAN “sin control”:
Aulas InformáticasAulas Informáticas
Aulas DocenciaAulas Docencia
¿ Cómo lo intentamos “controlar” ?¿ Cómo lo intentamos “controlar” ?
Control de acceso al PC por Control de acceso al PC por SmartcardSmartcard
VLAN AlumnosVLAN Alumnos
Port SecurityPort Security
SchedulerScheduler de activación de puertos de activación de puertos (Spectrum)(Spectrum)
¿ Qué tenemos ?
Índice
Situación actual. ProblemáticaSituación actual. Problemática
Objetivo inicial del proyectoObjetivo inicial del proyecto
Solución tecnológicaSolución tecnológica
Implantación del proyecto en la UIBImplantación del proyecto en la UIB
ConclusionesConclusiones
Objetivo del Proyecto¿ Qué pretendemos ?
Control de acceso de los USUARIOS a la RED
Movilidad total de los USUARIOS en la RED
Índice
Situación actual. ProblemáticaSituación actual. Problemática
Objetivo inicial del proyectoObjetivo inicial del proyecto
Solución tecnológicaSolución tecnológica
Implantación del proyecto en la UIBImplantación del proyecto en la UIB
ConclusionesConclusiones
Solución Tecnológica
Protocolo estandarizado el 2001Protocolo estandarizado el 2001
Port-Based Network Access ControlPort-Based Network Access Control
Control de acceso de los USUARIOSControl de acceso de los USUARIOS
Autenciación (protocolo EAP)Autenciación (protocolo EAP)
Autorización básica (Autorización básica (ON/OFFON/OFF))
Soportado por Soportado por WindowsWindows
Soportado por fabricantesSoportado por fabricantes networking networking
¿ Cómo lo solucionamos ?
IEEE 802.1x
Solución Tecnológica¿ Infraestructura IEEE 802.1x ?
802.1x
RADIUS
EAP over LAN
EAP over
RADIUS
802.1x +Módulo
EAP
802.1x Módulo EAP
RADIUSRADIUS
SWITCSWITCHH
PC CLIENTEPC CLIENTE
Solución Tecnológica¿ Funcionamiento IEEE 802.1x ?
RADIUSRADIUS
PC CLIENTEPC CLIENTE
IdentityRequest
EAPO
L
IdentityResponse
EAPO
L
AccessRequest
EAPO
R
Fase Inicial: Identidad Usuario
SWITCSWITCHH
EAP
EAP
Solución Tecnológica¿ Funcionamiento IEEE 802.1x ?
RADIUSRADIUS
PC CLIENTEPC CLIENTE
Fase Principal: Autenticación Usuario
EAP MD5-Challenge
EAP TLS
EAP TTLS
EAP SIM, ...SWITCSWITCHH
Solución Tecnológica¿ Funcionamiento IEEE 802.1x ?
RADIUSRADIUS
PC CLIENTEPC CLIENTE
Success/Failure
EAPO
L
AccessAccept
EAPO
R
Fase Final: Autorización usuario
SWITCSWITCHH
Solución Tecnológica
User Personalized NetworkUser Personalized Network
Se basa en IEEE 802.1XSe basa en IEEE 802.1X
Movilidad de los USUARIOSMovilidad de los USUARIOS
Autorización avanzada (perfil de Autorización avanzada (perfil de red)red)
Perfil de Red = Perfil de Red = {VLAN,L2,L3,L4,{VLAN,L2,L3,L4,B}B}
Soportado por algunos fabricantesSoportado por algunos fabricantes
¿ Cómo lo solucionamos ?
UPN
Solución Tecnológica¿ Funcionamiento UPN ?
RADIUSRADIUS
PC CLIENTEPC CLIENTE
Success/Failure
EAPO
L
SWITCSWITCHH
Usuario Perfil de Red
Perfil de Red = Filter-Id
Gestor PerfilesGestor Perfilesde Redde Red
Perfiles
AccessAccept
EAPO
R
Filter-Id
Solución Tecnológica¿ Funcionamiento UPN ?
Gestor PerfilesGestor Perfilesde Redde Red
Switch 802.1xServidor de Servidor de AutenticacióAutenticació
nn
Índice
Situación actual. ProblemáticaSituación actual. Problemática
Objetivo inicial del proyectoObjetivo inicial del proyecto
Solución tecnológicaSolución tecnológica
Implantación del proyecto en la UIBImplantación del proyecto en la UIB
ConclusionesConclusiones
Implantación en la UIB
Autenticación de USUARIO por Autenticación de USUARIO por smartcardsmartcard (o (o TI)TI)
Integración del cliente en todo SO Integración del cliente en todo SO WindowsWindows
Control de sesión de red por TIControl de sesión de red por TI
Múltiples sesiones de red en una única sesión Múltiples sesiones de red en una única sesión WinWin..
Aplicar perfiles de red a grupos de usuariosAplicar perfiles de red a grupos de usuarios
Registrar en LOGs las sesiones de redRegistrar en LOGs las sesiones de red
Gestionar en tiempo real el Gestionar en tiempo real el firewallfirewall de usuario de usuario
¿ Qué nos planteamos ?
Implantación en la UIB¿ Cómo lo solucionamos ?
Desarrollo parte cliente en Windows
Desarrollo Servidor de Autenticación
Integración Gestor Perfiles de red
Implantación en la UIB
ObjetivoObjetivo: autenticación por : autenticación por smartcardsmartcard (o (o TI)TI)
ProblemaProblema: : WindowsWindows NO soporta nuestras NO soporta nuestras TIsTIs
Soluciones posiblesSoluciones posibles:: Desarrollo CSP
Desarrollo DLL EAP Credenciales Usuario
Desarrollo completo DLL EAP :Credenciales Usuario
Protocolo autenticación EAP
Desarrollo parte cliente
Implantación en la UIB
Solución finalSolución final:: Desarrollo completo DLL EAP:Desarrollo completo DLL EAP:
Credenciales de Usuario: smartcard Protocolo EAP propio MD5-UIB-Challenge
Desarrollo parte cliente
Implantación en la UIBDesarrollo parte cliente
Implantación en la UIB
Solución finalSolución final:: Desarrollo proceso control de sesión:Desarrollo proceso control de sesión:
Mantiene sesión si TI insertada en lector Cierra sesión de red si se retira la TI Reusamos control ActiveX PCSC de la UIB Resetea Autómata 802.1x al finalizar Informa del estado de la sesión de red
Desarrollo parte cliente
Implantación en la UIB
¿ Es necesario este desarrollo ?¿ Es necesario este desarrollo ?
SI, no soportan SI, no soportan MD5-UIB-Challenge
¿ Cómo podemos solucionarlo ?¿ Cómo podemos solucionarlo ?
Con Con sofwaresofware RADIUS RADIUS GNUGNU
¿ Existe un RADIUS libre ?¿ Existe un RADIUS libre ?
SI, el proyecto más importante es SI, el proyecto más importante es freeradiusfreeradius
Desarrollo Servidor Autenticación
Implantación en la UIB
Características de Características de freeradiusfreeradius::
Soporta EAP (MD5-Challenge, PEAP, Soporta EAP (MD5-Challenge, PEAP, TLS, ...)TLS, ...)
Ya soporta Ya soporta MD5-UIB-Challenge !!!MD5-UIB-Challenge !!!
Versiones para diferentes UNIX y Versiones para diferentes UNIX y LINUXLINUX
Pasarelas para LDAP, SQL, ...Pasarelas para LDAP, SQL, ...
En constante desarrolloEn constante desarrollo
www.freeradius.orgwww.freeradius.org
Desarrollo Servidor Autenticación
Implantación en la UIB
¿ Qué hemos realizado ?:¿ Qué hemos realizado ?:
Reprogramar módulo EAP genéricoReprogramar módulo EAP genérico
Programar módulo Programar módulo MD5-UIB-ChallengeMD5-UIB-Challenge
Añadir nuevos atributos al DICTIONARYAñadir nuevos atributos al DICTIONARY
Crear aplicativo de importación de Crear aplicativo de importación de USUARIOSUSUARIOS
Desarrollo Servidor Autenticación
Implantación en la UIB
Gestor de Perfiles de Red NO es un estándarGestor de Perfiles de Red NO es un estándar
Cada fabricante desarrolla el propioCada fabricante desarrolla el propio
Enterasys NetworksEnterasys Networks: : NetSight Atlas Policy NetSight Atlas Policy ManagerManager
Definición de los perfiles de red de los Definición de los perfiles de red de los USUARIOSUSUARIOS
Carga los perfiles en los Carga los perfiles en los switchesswitches UPN UPN
Filtra L2, L3, L4. Define VLAN y Filtra L2, L3, L4. Define VLAN y BB
Aplica los filtros a las sesiones de red Aplica los filtros a las sesiones de red activasactivas
Integración Gestor Perfiles de red
Implantación en la UIB
CONFIGURACIÓN Y CONFIGURACIÓN Y FUNCIONAMIENTOFUNCIONAMIENTO
Definición Perfiles de
Red
1
Implantación en la UIBConfiguración
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
PC clientePC cliente
W2K/WXPW2K/WXP
Creación Usuarios y asignación
Filter-Id
2
Implantación en la UIB
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
PC clientePC cliente
W2K/WXPW2K/WXP
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
Configuración
Implantación en la UIB
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
PC clientePC cliente
W2K/WXPW2K/WXP
Configurar PCs y
Switches
802.1x
3
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
Configuración
Implantación en la UIB
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
PC clientePC cliente
W2K/WXPW2K/WXP
Cargar Perfiles en switches
4
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
Configuración
Implantación en la UIBFuncionamiento
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
PC clientePC cliente
W2K/WXPW2K/WXP
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
¿Identid
ad?
Implantación en la UIBFuncionamiento
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
PC clientePC cliente
W2K/WXPW2K/WXP
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
EAP MD5-UIB-Challenge
Implantación en la UIBFuncionamiento
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
PC clientePC cliente
W2K/WXPW2K/WXP
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
Accept
Filter-ID
Succes
s
Implantación en la UIBFuncionamiento
Gestor PerfilesGestor Perfilesde Redde Red
Policy Policy ManagerManager
PC clientePC cliente
W2K/WXPW2K/WXP
Servidor de Servidor de AutenticacióAutenticació
nn
freeradiusfreeradius
Filter-ID
Logoff
Logoff
Situación actual. ProblemáticaSituación actual. Problemática
Objetivo inicial del proyectoObjetivo inicial del proyecto
Solución tecnológicaSolución tecnológica
Implantación del proyecto en la UIBImplantación del proyecto en la UIB
ConclusionesConclusiones
Índice
Conclusiones
Controlado el acceso de los USUARIOS a la Controlado el acceso de los USUARIOS a la RedRed
Solucionada la movilidad de los usuariosSolucionada la movilidad de los usuarios
Abierto camino tecnológico 802.1x-UPNAbierto camino tecnológico 802.1x-UPN
UPNs = control total de usuarios en la redUPNs = control total de usuarios en la red
Multitud lineas futuras de trabajoMultitud lineas futuras de trabajo