Texto1.pdf

Introducción Hoy en día las empresas se están dando cuenta que tienen mucha infraestructura tecnológica que les agiliza sus procesos internos pero que a su vez son un peligro por la vulnerabilidad que presentan ante un entorno totalmente globalizado. Es necesario tener implementado una cultura de seguridad que permita proteger la información de posibles ataques. Para ello se tiene políticas de seguridad, normas, estándares y equipamiento que permiten construir soluciones de seguridad muy robustas. En el presente programa integral se cubrirán los diversos aspectos relacionados con la seguridad de la información haciendo uso de equipamiento especializado de última generación como: Cisco ASA, Juniper Netscreen, Symantec SGS, CheckPoint, Barracuda y RSA. Así como soluciones de seguridad informática usando el sistema operativo Linux. Objetivos Explicar las ventajas del uso de la tecnología y los peligros que se pueden generar si no tenemos implementada una cultura de seguridad. Describir las diversas normas y estándares que en seguridad de la información existen y saber cual aplicar para cada necesidad. Implementar soluciones integrales de seguridad mediante el uso de equipamiento especializado. Utilizar las herramientas de auditoria de seguridad. Diseñar las políticas de seguridad de la información.

TECSUP Sistema de Autenticación y Cifrado

1


2


3


4


5

Las diversas tecnologías de acceso de comunicaciones, han ampliando la conectividad de las empresas, permitiendo que pueda conectarse a la RED de la EMPRESA en forma remota desde una RED TELEFONICA, INTERNET, INALAMBRICO. Estas tecnologías trabajan con niveles de acceso de autorización y al contar con varios equipos y que en cada uno se tiene que registrar a un usuario trae un problema: “Perdida del Control de la Gestión de acceso” La administración de la RED requiere ahora de mayor tiempo para gestionar el acceso de autorización en cada dispositivo de acceso, comprobándose que en el tiempo se pierde este control y esto causa que existan puertas de acceso disponibles para el ingreso de usuarios no autorizados (INTRUSOS) o acceso de cuentas que deben estar caducadas. Ante esta situación, la implementación de un Sistemas de Gestión de acceso soluciona estos problemas. Estos Sistemas de Gestión de acceso son conocidos como AAA.


6


7

Los Sistemas de Seguridad de Acceso posee etapas que debe cumplirse para gestionar la autorización. Estas etapas son parecidas a la vida cotidiana, por ejemplo cuando uno se dirige a una Empresa para ingresar a una área determinada (ventas, reclamos, almacén), pasa por las siguientes etapas:

Autenticación: Se identifica con su DNI y se compruebe su

legitimidad. Autorización: Se permite el ingreso a ciertas áreas. Historial o Contabilidad: Se registra su ingreso y salida.

Estas etapas en el campo Informático lo realizan los Sistemas AAA.

El nombre AAA es por sus siglas en ingles (Authentication, Authorization, Accounting).


8

Los Sistemas AAA es un esquema que esta compuesto de Equipos y Software. Cumpliendo las siguientes funciones:

Authentication: Proceso que se establece cuando un usuario

requiere validación para el acceso a la RED. Este proceso se realiza enviando la información de su identidad (cuenta) y su credenciales. Ejemplo de credenciales son password, tokens, certificados digitales.

Authorization: Proceso que controla el nivel de acceso, concediendo recursos por ejemplo: direcciones IP. Aplicando cierto tipo de restricción por ejemplo: días no autorizados, limitar a un solo ingreso con la cuenta.

Accounting: Mantiene el historial de la actividad en los recursos de la red de los usuarios. Esta información es usada para la administración, planificación o sistemas de pagos.


9

Composición de un Sistema AAA:

USUARIOS: Equipos que requieren el ingreso a la RED. Ejemplo usuarios Wireless, Dial up, VPN, Pocket, Telefonía.

NAS Network Access Service: Es un Equipo de Comunicación de acceso, donde los usuarios se conectaran físicamente (Cable, Wireless, Adsl, RTB) y siendo la puerta de ingreso a otras redes. Los diversos fabricantes incorporan una administración de las cuentas localmente y con derivación a un RADIUS, siendo esta ultima lo recomendable. Ejemplo: Equipos inalámbricos CISCO, DLINK. Switches CISCO, 3COM, Equipos de Seguridad CISCO, JUNIPER.

RADIUS: Servicio encargado de administrar cuentas de acceso. El Sistema RADIUS es un estándar y siendo optado por la mayoría de los fabricantes de NAS. Existen diversos fabricantes de software RADIUS: Linux: FreeRADIUS, Windows: IAS, Cisco: ACS.


10

El gráfico muestra en forma genérica el proceso de control de acceso a la RED. Como comentamos anteriormente es parecido al proceso de ingreso a una EMPRESA:

El usuarios se conecta físicamente al NAS, procediendo el usuario a enviarle la solicitud de ingreso como ejemplo un “usuario y contraseña”. El NAS al estar configurado para consultar la autenticación a un Servidor RADIUS, procederá a enviarle la información de autenticación. El RADIUS recibe la autenticación y compruebe con sus registros y al encontrar concordancia procederá a autorizar la petición enviando al NAS la respuesta. El RADIUS almacena los eventos de dichos procesos. El NAS al recibir la respuesta de autorización del RADIUS confirma al usuario la aceptación. El usuario procede a ingresar a la RED a través del NAS. El usuario al terminar su sesión, envía una solicitud de desconexión al NAS. El NAS finaliza la sesión con el usuario y informa al RADIUS que el usuario se ha desconectado.


11


12

Radius es un protocolo Cliente/Servidor: El cliente RADIUS es un NAS y el servidor RADIUS es un software que se ejecuta como servicio en un equipo con UNIX, LINUX, WINDOWS. El Radius nació como un “Protocolo Servicio de usuario de acceso telefónico” para la autenticación remota; fue desarrollada por Livingston Enterprises, Inc. que lo necesitaba para que realice la autenticación y contabilidad de su servidor de acceso remoto (NAS) llamado PortMaster. En junio de 1996 se estableció por parte de la ITF los estándares:

Authentication y Authorization (RFC 2058) Accounting (RFC 2059)

El RADIUS fue optando como un estándar en la administración de usuarios en las empresas ISPs debido a la cantidad de cientos, miles y millones de usuarios que administran y que necesitan realizar constantemente operaciones de agregar, modificar e eliminar cuentas y sus atributos. Los RADIUS fueron creados para las funciones indicadas.


13

Radius utiliza UDP como transporte. El protocolo Radius es considerado como un servicio sin conexión. La disponibilidad, la retransmisión y los tiempos de espera son gestionados por los dispositivos RADIUS y no por el protocolo de transmisión. El establecimiento de la comunicación con los Sistemas RADIUS se realiza

a través de dos puertos tipo UPD que habilita el Servidor RADIUS: PROTOCOLO PUERTO Authentication y Authorization 1812 Accounting 1813 El Server RADIUS recibe las consultas de una NAS a través de sus puertos (1812, 1813). El RADIUS para aceptar las consultas del NAS, deberá tener un perfil del NAS con la información de la IP del NAS y una CLAVE. La clave configurada en el perfil del NAS será la que el NAS usara para que sea autorizado sus consulta con el RADIUS. NOTA: Las distribuciones de RADIUS antiguas usan los puertos 1645 y 1646 respectivamente.


14

Al realizar la configuración de un NAS para trabajar con un RADIUS es similar en los diferentes fabricantes de NAS existentes. En los NAS en la sección de autenticación al escoger la derivación de un RADIUS solicitara los siguientes datos:

IP RADIUS: Dirección IP o nombre del RADIUS. PUERTO AUTENTICACION (AUTHENTICATION) DEL RADIUS:

Puerto del RADIUS para atender la autenticación y autorización. PUERTO DE CONTABILIDAD (ACCOUNTING): Puerto del RADIUS

para recibir los eventos de la conexión. SECRETO COMPARTIDO (SHARED SECRET): Clave de

autorización de enviar consulta del NAS al RADIUS. NOTA En algunos equipos NAS permiten enviar los eventos (ACCOUNTING) a

otro RADIUS. Cuando los equipos NAS se encuentra delante de un FIREWALL y el

RADIUS detrás del FIREWALL. Generar las políticas de acceso del NAS al RADIUS.


15

Al igual que otros protocolos como el SMTP, HTTP que realizan una secuencia de intercambio de mensajes entre el CLIENTE y el SERVER para realizar sus objetivos; igualmente en el control de acceso usando el protocolo RADIUS se intercambia mensajes entre el CLIENTE RADIUS y el SERVER RADIUS. Los mensajes tienen asignado un nombre que guarda relación con la acción que realiza:

Access-Request: Solicitud de una atención de autenticación. Access-Accept: Aceptación de la autenticación. Accounting-Request: Registrar eventos. Accountig-Response: Confirmación de evento registrado.


16

Los atributos son parámetros que se intercambia en el proceso de la comunicación con el RADIUS. A continuación se detalla los atributos que son intercambiado en cada fase de la comunicación:

El NAS envía un mensaje del Access-Request que contiene la información de los atributos User-Name y User-Password. El RADIUS responde enviando un mensaje Access-Accept en caso que el usuario esta autorizado o Access-Reject cuando no esta autorizado. En un mensaje de Acces-Accept enviara los atributos de “Frame-IP-Address”. El NAS enviara al RADIUS los diversos eventos y que estarán representados en atributos, siendo enviados en un mensaje de Accountig-Request. Al ser autorizado el usuario, el NAS enviara el atributo “Acct-Status-Type” indicando el estado de activo.

NOTA: Mayor información de atributos: http://www.faqs.org/rfcs/rfc2865.html http://www.faqs.org/rfcs/rfc2866.html


17

En una gestión distribuida del Servicio de RADIUS, aparece el concepto de PROXY parecido a un PROXY WEB donde los usuarios no solicitan directamente la pagina WEB al Servidor, las conexiones de los clientes se dirigen al PROXY y el PROXY es el encargado de obtener las paginas WEB. En un esquema de implementación de PROXY de RADIUS, se realiza los siguientes procesos: Los NAS (Cliente RADIUS) envían sus peticiones al PROXY RADIUS. La cuenta que recibe el PROXY tiene un formato que permitirá que el PROXY RADIUS reenvié la petición de autenticación al Servidor RADIUS respectivo. El formato de cuenta esta formado por el nombre de cuenta (username), un carácter de separación (@,%,/, \) y una etiqueta (realm):

username@realm realm/username username%realm realm\username

Estos esquemas son usados por proveedores de Internet conocidos como CPI que reciben las peticiones de usuarios y que son derivadas a los Servidores RADIUS de terceros para su autenticación.


18


19

FreeRadius es del tipo modular, de alto rendimiento y de avanzadas características. Es un Sistema completo de RADIUS, que cuenta con software de Server, Clientes, librerías para desarrolladores y diversas utilidades. FreeRadius es un RADIUS Open Source y reconocido por ser la mejora solución OpenSource. Varias distribuciones lo incorporan como paquetes de su distribución. FreeRADIUS también viene en código fuente o en paquetes RPM. Existe una versión para Windows ( www.freeradius.net). Al ser uno de los mejores Servidores RADIUS, varias empresas de grandes escalas confían en FreeRadius para el manejo de sus millones de usuario y millones de peticiones por día. Características avanzadas:

Soportando Proxy. Alta Disponibilidad. Balanceo de Carga. Acceso a diferentes tipos de Base de Datos.


20

El Servidor RADIUS puede soportar una serie de métodos para la autenticación de un usuario:

Encrypted password in local configuration file. Clear-text password in local configuration file (PAP) CHAP Windows Domain Controller Authentication (via ntlm_auth and winbind) Proxy to another RADIUS server System authentication (/etc/passwd) PAM (Pluggable Authentication Modules) LDAP (PAP only) PAM (PAP only) Perl program Python program SIP Digest (Cisco VoIP boxes, SER) Kerberos authentication X9.9 authentication token (e.g. CRYPTOCard) EAP wireless with embedded authentication methods


21

Los RADIUS puede conectarse con otros SISTEMAS de autorización para obtener la información del perfil del usuario:

Local DB/DBM database LDAP Database

Novell eDirectory Sun One Directory Server OpenLDAP Any LDAPv3 compliant directory

Un programa que se ejecuta localmente (parecido a un CGI ) Perl program Python program Java program SQL Database

Oracle MySQL PostgreSQL Sybase IBM DB2


22

Las funciones de contabilidad del protocolo RADIUS se pueden usar de manera independiente de la autenticación o la autorización RADIUS. Las funciones de contabilidad RADIUS permiten que los eventos (como el tiempo, los paquetes, los bytes, etc.) que suceden desde el principio y al final de las sesiones se registren. Un proveedor de servicios de Internet (ISP) usando un software de control de acceso y contabilidad RADIUS logra complementar ciertas necesidades especiales de seguridad y facturación.


23

DIALUP ADMIN es una interfase WEB desarrollada en PHP para la administración de FREERADIUS, manejando los usuarios RADIUS, las conexiones. Soporta la conexión a base de datos (MySQL, PostgreSQL) o LDAP para la obtención de las cuentas de usuarios.


24


25

Los servicios que prestan los ISP´s ( vía MODEM, DSL o wireless 802.11) requieren de ingresar de usuario y password para su respectiva autorización. Los Servidores Radius son claves en estos tipos de negocios porque a través de la propiedades de autenticación, autorización y contabilidad, se gestionan el control de la conexión. Al aparecer una nueva tecnología de acceso, el RADIUS cumplirá una función clave.


26

En la actualidad, la seguridad no solo corresponde al área de acceso o ingreso desde INTERNET donde los FIREWALL son los responsable de proteger las uniones de los segmento. ¿ Pero quien controla, los que se conectan a los segmentos ? La tecnología usada en los ISP ha sido portada a la LAN, siendo los SWITCH los que cumplen la función del NAS. En los puertos del SWITCH se han incorporado la tecnología de control de acceso, obligando al usuario que se conecta físicamente al puerto enviar un credencial para permitirle la habilitación del puerto.


27

Al incorporar el Sistema AAA en redes LAN, es recomendable implementar una integración con los Sistemas existente, consiguiendo una administración centralizada de las cuentas. La integración se realiza entre el RADIUS con el Servidores que manejan las cuentas de usuarios para el acceso de los recursos de la RED (Archivos, Impresora y otros). El acceso a la RED es únicamente garantizado a la estación cuando sus credenciales han sido autenticadas por el Servidor FreeRADIUS, si no obtiene aceptación el puerto estará bloqueado para el paso de datos. El Servidor RADIUS estará siempre contactándose al controlador de Dominio para autenticar al usuario. Durante este proceso el SWITCH permite que la estación se comunique con el Servidor RADIUS usando protocolos de autenticación. El Servidor RADIUS verificara en el Controlador de Dominio si el usuario existe y si el password es correcto. En este caso el Servidor RADIUS indicara al SWITCH que conceda el permiso de abrir el puerto y usuario tenga el acceso a la RED.


28

RADIUS es el protocolo de autenticación utilizados por los estándares de seguridad 802.1X (frecuentemente usada en las redes inalámbricas).


29


30

Protocolo de autentificación es parte del protocolo PPP, los equipos NAS soportan este protocolo; no siendo recomendable por la seguridad, en el envió de información de la cuenta del cliente. Este protocolo es independiente de la información que se transmitirá luego de armar el enlace, la seguridad dependerá de las aplicaciones que se usen o de alguna implementación de encriptación.


31

Los equipos de NAS y RADIUS soportan este protocolo, siendo recomendado por la encriptación de la cuenta de autentificación del CLIENTE. CHAP no encriptara la información que se transmitirá luego de establecer el enlace, esta función esta asignada a las aplicaciones o la implementación de una VPN. PROCESO:

El usuario realiza un petición de autentificación. El RAS envía una llave “FRASE” al CLIENTE. Con la llave es encriptada la información del CLIENTE. EL RAS con la llave que posee, la desencriptara y procesara la

validación.


32

La IEEE 802.1X es una norma de la IEEE para Control de Admisión de Red basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en protocolo de autenticación extensible (EAP– RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748. 802.1X está disponible en ciertos conmutadores de red alambrados y puede configurarse para autenticar nodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos. Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo fallas de seguridad de WEP (IEEE 802.11i). Esta autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación solo del cliente o, más apropiadamente, una autenticación mutua fuerte utilizando protocolos como EAP-TLS.


33


34


35


36

Texto1.pdf

Documents

Transcript of Texto1.pdf