802.1x + freeradius + openldap + virtualización

802.1x + FreeRADIUS + OpenLDAP + Virtualizacion

Alejandro Valdes [email protected]

October 1, 2011

Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 1 / 23

Agenda

1 Introduccion

2 Conceptos

3 ¿Por que 802.1x?

4 Diseno

5 Implementacion y Pruebas

6 Enlaces


Introduccion

Introduccion

Redes inalambricas hoy consideradas como una solucion de movilidad,flexibilidad y productividad, aumentando mas cada dia suimplementacion.

Pero... trae consigo importantes riesgos de seguridad que afrontarasociados a:

la inexistencia de perımetros fısicos clarosla carencia de mecanismos de seguridad lo suficientemente fuertes queprotejan el acceso a los recursos tecnologicos y a la informacion.

Desde los inicios, muchas recomendaciones se han generado paradotar de un nivel de seguridad adecuado a esta tecnologıa.

Algunas recomendaciones evidenciaron mas riesgos, generandoconfusion y desconfianza.Hoy existen iniciativas mas serias que permiten mejorar el nivel deseguridad de estas redes.


Introduccion

Objetivo

Describir una de las soluciones de seguridad mas eficientes para elcontrol de acceso a los recursos y la proteccion de la informacion,basada en la autenticacion para el acceso a la red y el cifrado en lascomunicaciones sobre este tipo de redes.

En particular, se vera:

802.1x + EAP/TTLS + FreeRADIUS + OpenLDAP.Sobre un ambiente virtualizado utilizando VirtualBox.


Conceptos

Conceptos

Para entender mejor la exposicion, se presenta de manera breve losprincipales conceptos relacionados con esta implementacion.


Conceptos

Control de Acceso

En terminos de sistemas de informacion es:

La capacidad de controlar la interaccion de un elemento activo(usuario, dispositivo, servicio) con un recurso informatico (red dedatos, sistema, servicio).Implica ademas procedimientos de autenticacion, autorizacion eidentificacion para permitir o denegar el uso de los recursos.


Conceptos

Autenticacion (1/2)

Proceso de validar la identidad de quien accede o provee un servicio,mediante el uso de ciertas credenciales (ej. contrasena).

Tambien se pueden utilizar Tokens (algo que Ud tiene) o Biometrıa(algo que Ud es).

A nivel de enlace de datos existen diversos protocolos deautenticacion:

PAP (Password Authentication Protocolo)

validacion al establecer conexion.credenciales: usuario y clave.credenciales viajan en texto claro (metodo poco seguro).

CHAP (Challenge Handshake Protocol)

mejor nivel de seguridad, validacion de tres vıas.servidor envia ”desafıo” el cual encripta el cliente con su contrasena,luego servidor realiza mismo procedimiento.


Conceptos

Autenticacion (2/2)

EAP (Extensible Authentication Protocol)

eleva aun mas el nivel de seguridad de la autenticacion.permite diversos metodos de autenticacion y tipos de credenciales(certificados digitales).Conforme a las caracterısticas de cada infraestructura, los principalestipos son:

EAP-TLS: tunel cifrado para proteger credenciales y datos. certificadosdigitales cliente y servidor.EAP-PEAP: tunel para servidor y otro tunel para cliente. comunmentesoportado por Microsoft.EAP-TTLS: tunel cifrado para proteger autenticacion del cliente.certificado digital solo en el servidor.


Conceptos

Autorizacion

La autorizacion establece lo que un usuario puede o no hacer una vezhaya sido identificado y autenticado.


Conceptos

Cifrado

En sistema de informacion, es el proceso mediante el cual, utilizandouna llave o valor de control, un mensaje (generalmente datos en textoplano) es codificado para evitar que su contenido sea accedido y/oentendido por personal no autorizado.

Simetrico

Proceso de cifrado y descifrado utilizan la misma llave.Distribucion de llaves debe ser segura.DES (Data Encription Standard), Triple DES y AES (AdvancedEncription Standard)

Asimetrico

Proceso de cifrado y descifrado utilizan llaves diferentes (privada ypublica).Mejora los esquemas de confidencialidad e integridad.RSA (Rivest, Shamir, Addleman), Diffie-Hellman.


Conceptos

RADIUS

Remote Authentication Dial-in User Service.

Protocolo de autenticacion basado en cliente y servidor.

Permite la autenticacion de usuarios que acceden a la red y autorizarel uso de los servicios requeridos.

FreeRADIUS es una implementacion Open Source de RADIUS(Version actual 2.1.11).


Conceptos

LDAP

Lightweight Directory Access Protocol.

Protocolo de acceso a servicio de directorios, basado en el estandarX.500

Un directorio es un conjunto de objetos con atributos organizados enuna manera logica y jerarquica.

OpenLDAP es una implementacion Open Source (Version actual2.4.26)


Conceptos

802.11

Estandar IEEE que establece especificaciones para los dispositivos ylas comunicaciones en redes inalambricas de area local (WLAN),incluyendo espectros de frecuencias utilizadas, velocidades detransmision y demas parametros que determinan esta tecnologıa.

Especifica tambien mecanismos de cifrado, WEP (Wired EquivalencyPrivacy) para la proteccion de los datos transmitidos en ambientesWLAN.


Conceptos

802.1x

Estandar IEEE para realizar control de acceso a una red medianteautenticacion, que habilita o impide el acceso de los dispositivos quese conectan a un puerto de red LAN.

Puede implementarse tanto en redes cableadas o inalambricas 802.11.

Su implementacion requiere lo siguiente:

Suplicante, usuario que intenta acceder a la red.Autenticador, punto de acceso que habilita/impide el ingreo delsuplicante.Servidor de autenticacion, quien negocia y valida la identidad delsuplicante.

1X hace referencia al uso de EAP entre el suplicante (usuarios), elautenticador (switches o access point)y el servidor de autenticacion(por ejemplo RADIUS).


Conceptos

802.1x


¿Por que 802.1x?

¿Por que 802.1x?

Varias son las recomendaciones para minimizar los riesgos asociadosal acceso indebido en redes inalambricas, sin embargo, no logran unnivel de seguridad apropiado o implican demasiado trabajo deadministracion.

Evitar difusion del SSID (Service Set Identifier). (¿se pueden realmenteocultar?)ACLs por direcciones fısicas o MAC (Media Access Control).(mantencion de ACLs)Uso de VPN (Virtual Private Network). (no es transparente para elusuario)No implementar infraestructura inalambrica. (caso extremo)Utilizar cifrado en la conexiones inalambricas, WEP. (muchasdebilidades)


¿Por que 802.1x?

¿Por que 802.1x?

IEEE consciente de las fallas de WEP, desarrolla el 802.11i

Por otro lado la ”Wi-Fi” (Consorcio de proveedores de tecnologıainalambrica con mejor fidelidad) genera WPA (Wi-Fi ProtectedAccess) basado en el 802.11i.

WPA utiliza 802.1x como mecanismo de control de acceso yautenticacion de red.

Para corregir las principales debilidades de WEP, utiliza TKIP(Temporal Key Integrity Protocol).

WPA2 es la ratificacion del estandar 802.11i.


Diseno

Diseno


Implementacion y Pruebas

Clientes - Suplicantes

Linux: wpa-supplicant

Open SourceSoporta WPA y WPA2 (version 0.6.9)

Windows XP: cliente EAP-TTLS SecureW2

Open Source



Punto de Acceso - Autenticador

Cisco Aironet 1130AG Series (802.11a/b/g)

Se debe configurar para que opere en 802.1x, indicando direccion delservidor RADIUS, autenticacion del servidor, tipo de autenticacion ydemas parametros.



Servidor de Autenticacion

Se debe configurar el tipo de autenticacion, EAP-TTLS y susparametros asociados.

Se debe configurar los parametros adecuados para la integracion conLDAP.

Se debe definir los puntos de accesos que manejara el servidor.



Red

Access Point: 192.168.25.20

Maquinas virtuales (VirtualBox)

OpenLDAP: 192.168.25.18FreeRADIUS: 192.168.25.19DHCP: 192.168.25.21 (rango: 192.168.25.100 - 254)


Enlaces

Enlaces

IEEE 802.11 working group: http://www.ieee802.org/11/

802.1X - Port Based Network Access Control:http://www.ieee802.org/1/pages/802.1x.html

freeradius project: http://www.freeradius.org/

RADIUS: http://www.ietf.org/rfc/rfc2865.txt

Openldap project: http://www.openldap.org/

LDAP: http://www.rfc-editor.org/rfc/rfc2251.txt

VirtualBox: http://www.virtualbox.org/

Wi-Fi Alliance: http://www.wi-fi.org/

wpa-supplicant: http://w1.fi/wpa-supplicant/

cliente eap-ttls securew2: http://www.securew2.com/

Referencia: http://www.sans.org/reading-room/whitepapers/wireless/consideraciones-para-la-implementacion-de-802-1x-en-wlans-1607


802.1x + freeradius + openldap + virtualización

Software