despliegue de redes inalámbricas seguras sin necesidad de usar vpn

Despliegue de redes inalámbricas seguras sin necesidad de usar VPNDespliegue de redes inalámbricas seguras sin necesidad de usar VPN 11

Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

T

Despliegue de redes inalámbricas seguras sin necesidad de usar VPN

Elena Alcantud Pérez.Josemaria Malgosa Sanahuja.

Paco Sampalo Lainz.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TContenidos.Contenidos.

• WEP. Wired Equivalent Privacy• Métodos EAP.• EAP-TTLS. Características• Arquitectura de acceso.• Elementos de autenticación.• Estructuración VLAN (802.1Q)• Instalación del servidor.• Pasos en la autenticación.• Conclusiones


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TWEP. Wired Equivalent Privacy WEP. Wired Equivalent Privacy (I)(I)

• Estándar de encriptación de flujoencriptación de flujo opcional implementado en la capa MAC soportada por la mayoría de tarjetas de red y puntos de acceso.

• Encripta la trama 802.11 y su CRC antes de su transmisión empleando un flujo de cifrado RC4flujo de cifrado RC4..

• La estación transmisora empleará un VI diferenteVI diferente para cada trama para dotar de mayor robustez al sistema.

GNA 1

Clave 40 bits

GNA 2

VI (24 bits)

+

Trama en claro

TRAMA CIFRADA


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TWEP. Wired Equivalent Privacy WEP. Wired Equivalent Privacy (II)(II)

• No proporciona ningún mecanismo de No proporciona ningún mecanismo de intercambio de claves entre estacionesintercambio de claves entre estaciones..

Los administradores del sistema y los usuarios emplean normalmente la misma clave durante semanas.

• Capturas en red.Capturas en red. Usuarios dentro de la red pueden capturar tráfico.

• Sniffing.Sniffing. Usuarios externos pueden capturar tráfico cifrado y

descifrarlo con herramientas adecuadas.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TAlternativas WEP.Alternativas WEP.

• Propuestas de soluciones sobre el WEP actual:Propuestas de soluciones sobre el WEP actual:

Cifrar la información en los niveles superiores (Ipsec, ssh, scp, etc.).

Cambiar las claves WEP de cada usuario frecuentemente.

• EAP.EAP.

Protocolo de autenticación extensible. IEEE Abril de 2001.

Elimina los problemas producidos por el empleo de WEP, ya que las claves cambian en cada sesión.

A través de un servidor RADIUS también permite autenticar a los clientes.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TMétodos EAP.Métodos EAP.

EAP-MD5.EAP-MD5.

Método de autenticación básico.No es apropiado allá donde se requiere una seguridad robusta.

EAP-TLS.EAP-TLS.

Transport Layer Security Autenticación muy segura.Reemplaza simples claves por certificados para el cliente y el servidor.

EAP-TTLS.EAP-TTLS.

Tunneled Transport Layer Security. Extensión de TLS.Desarrollada para sobreponerse a la desventaja en cuanto a la necesidad de poseer un certificado por cliente.

EAP-EAP-PEAP.PEAP.

Protected Extensible Authentication Protocol.Soporta métodos EAP a través del túnel, pero a diferencia de TTLS, no soporta otros métodos para la negociación de la autenticación del cliente.

EAP-LEAPEAP-LEAP..

Light Extensible Authentication Protocol.Autenticación mutua, distribución de clave de sesión segura y dinámica para cada usuario. Vulnerable ante ataques de diccionario.

EAP-SIMEAP-SIM

EAP-AKA.EAP-AKA.

Subscriber Identity Module y Authentication and Key Agreement Se emplean en redes celulares.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TEAP-TTLS. Características de la EAP-TTLS. Características de la estructura.estructura.

• Las credenciales no son observablescredenciales no son observables en el canal de comunicación entre el nodo cliente y el proveedor de servicio.

Protección contra ataques de diccionario y suplantaciones.

• Generación de clavesGeneración de claves compartidas de sesión entre cliente y servidor Radius, tras la negociación TLS.

El servidor distribuye las claves al punto de acceso para continuar el servicio.

Opcionalmente, los cambios de clave dinámicos son configurables en el punto de acceso. Transparencia ante el usuario.

• Relaciones de seguridadRelaciones de seguridad entre dispositivos.

Usuario registrado en base de datos, directorio o archivo de usuarios.

Punto de acceso y servidor Radius comparten clave de encriptación (shared secret).

Servidor Radius debe realizar consultas a la base de datos empleando un usuario definido para tal objetivo.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TEAP-TTLS. Fases.EAP-TTLS. Fases.

A) ESTABLECIMIENTO: El servidor se

autentica ante el cliente.(Incluye su clave pública).

El cliente establece el túnel encriptado con la clave del servidor.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TEAP-TTLS. Fases.EAP-TTLS. Fases.

B) TÚNEL:

Utiliza la capa segura creada en la fase 1 para el intercambio de información en la autenticación del cliente. (login/password)


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TConsideraciones EAP-TTLS.Consideraciones EAP-TTLS.

• ANONIMATO Y PRIVACIDAD.ANONIMATO Y PRIVACIDAD.

No transmite el nombre de usuario en claro en la primera petición de identidad.

• CONFIANZA EN EL SERVIDOR EAP-TTLS.CONFIANZA EN EL SERVIDOR EAP-TTLS. Métodos de autenticación con passwords no susceptibles a

ataques de diccionario.

• COMPROMISO DEL CERTIFICADO DEL SERVIDOR EAP-TTLS.COMPROMISO DEL CERTIFICADO DEL SERVIDOR EAP-TTLS. Empleo de métodos de revocación de certificados para evitarlo.

• NEGOCIACIÓN Y ENCRIPTACIÓN DEL ENLACE.NEGOCIACIÓN Y ENCRIPTACIÓN DEL ENLACE. Negociación segura de la “Cipher suite de datos” (sistema de

cifrado de la comunicación)

• LISTADO DE LAS PREFERENCIAS DEL CIFRADO DE DATOS.LISTADO DE LAS PREFERENCIAS DEL CIFRADO DE DATOS. Cliente selecciona la del servidor como su primera opción y la del

punto de acceso. Maximizar grado de seguridad.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TArquitectura de acceso.Arquitectura de acceso.

FIREWALL + NAT + DHCPFIREWALL + NAT + DHCP

CLIENTESCLIENTES

RADIUSRADIUS LDAPLDAPPIXPIXDMZDMZ

nativanativa

internosinternos

inicioinicio

FTPFTP + DHCPDHCP

alumnosalumnosPUNTOS DE PUNTOS DE

ACCESOACCESO

UPCTUPCT

internosinternos


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TElementos de autenticación.Elementos de autenticación.

• En el proceso de autenticación participan el servidor el servidor Radius, el directorio LDAP y el cliente.Radius, el directorio LDAP y el cliente. Servidor Radius Freeradius. Software licencia libre. Gestiona el

acceso a la red según el tipo de usuario.

Directorio LDAP de Novell. No necesita extensiones para este tipo de consultas.

Cliente SecureW2. Cliente EAP-TTLS de licencia libre para Windows XP/2000. Gestiona los certificados y credenciales. (Existen clientes Linux)

• El punto de accesopunto de acceso actúa de forma transparentetransparente en este proceso. SERVIDOR

AAA/HSERVIDORTTLS AAA

PUNTOACCESO

CLIENTE

Túnel seguro para autenticación

Túnel seguro para datos

LDAPRADIUS


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TEstructuración VLAN (802.1Q)Estructuración VLAN (802.1Q)

• Se han definido tres VLAN´s para el servicio inalámbrico mapeadas con los diferentes SSID ( nombre de la red inalámbrica):

SSID “inicio”SSID “inicio” VLAN privada con único permiso de acceso al servidor FTP para descarga del clientedescarga del cliente.

SSID “alumnos”SSID “alumnos” VLAN con direccionamiento privadodireccionamiento privado mediante DHCP accediendo a la red externa a través de un Firewall haciendo NAT.

SSID “interna”SSID “interna” VLAN con direcccionamiento públicodirecccionamiento público para la red interna de la UPCT.

• Además se definió la VLAN nativa o troncalVLAN nativa o troncal.

• Mediante atributos del servidor RADIUSservidor RADIUS se garantiza que cada perfil de usuarioperfil de usuario pueda acceder únicamente a la VLAN que le corresponda.

• Configuración 802.1Q 802.1Q ‘trunking’ en puntos de acceso Cisco.puntos de acceso Cisco.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TInstalación del servidor.Instalación del servidor.

• HARDWAREHARDWARE Intel Pentium Xeon 3GHz-2Gb RAM-Disco SCSI (RAID1)-Fuente

alimentación redundante. Puede instalarse en cualquier ordenador con S.O. Linux (SuSe

9.0).

• SOFTWARESOFTWARE Instalación de servidor Radius Freeradius-1.0.1servidor Radius Freeradius-1.0.1. Código

licencia libre. Instalación previa de rpm: Openssl, ldap, krb5, gdbm, sasl(lib), pam(lib),

iodbc, mysql, postgresql y unixodbc.

Instalación de Openssl 0.9.7. ( ó versión posterior): Creación de claves privadas y certificados para servidor y root . Generar archivo “dh” (Diffie-Hellman) para encriptación.

Generación arbitraria de archivo “random”archivo “random” para creación de claves.

Necesitamos archivo de extensiones OID.extensiones OID.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TInstalación del servidor. Instalación del servidor. Configuración.Configuración.

• MÓDULO EAP-TLS/TTLSMÓDULO EAP-TLS/TTLS Configuración de la ubicación de certificados


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC


• MÓDULO LDAPMÓDULO LDAP Habilita la consulta al directorio mediante un usuariousuario definido. Configura filtro y atributosfiltro y atributos a chequear.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC


• ARCHIVO “users”ARCHIVO “users”

Fragmento del archivo relacionado con usuarios LDAP.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TPasos en la autenticación. (I)Pasos en la autenticación. (I)

Introducción de credenciales por el cliente.

• El cliente detecta la red y se abre la ventana de credencialesventana de credenciales. Clientes de la UPCT:Clientes de la UPCT: autenticación realizada por LDAP DNI + Contraseña.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TPasos en la autenticación. (II)Pasos en la autenticación. (II)

•Mediante usuario anónimo se gestiona la instalación de certificados.

Certificados del servidor a la espera de ser aceptados.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TPasos en la autenticación. (III)Pasos en la autenticación. (III)

Certificados instalados.

• Usuario instala o acepta temporalmente los certificadoscertificados.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TPasos en la autenticación. (IV)Pasos en la autenticación. (IV)

Consulta del servidor.

• El servidor consulta al LDAPconsulta al LDAP el acceso del cliente a la red.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TPasos en la autenticación. (V)Pasos en la autenticación. (V)

• ServidorServidor RADIUS reenvía la respuestarespuesta.

Envío de respuesta y claves al punto de acceso


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TPasos en la autenticación. (VI)Pasos en la autenticación. (VI)

Autenticación satisfactoria y entrada en red.

• Las clavesclaves compartidas se depositan en el punto de acceso.punto de acceso.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TConclusiones.Conclusiones.

• Sistema inalámbricoSistema inalámbrico seguro: Comunicaciones cifradas y fiables. Autenticación robusta de usuarios.

• Requisitos:Requisitos:

Adaptación a la infraestructura de la UPCT ( VLANinfraestructura de la UPCT ( VLAN´s)´s)..

Software en desarrollo y conSoftware en desarrollo y con licencia libre. licencia libre.

Gran flexibilidad Gran flexibilidad y posibilidad de aplicary posibilidad de aplicar extensiones. extensiones.

Sencillez Sencillez para los usuariospara los usuarios..

Limitación de uso sólo paraLimitación de uso sólo para comunidad UPCT. comunidad UPCT.


Serv

icio

de I

nfo

rmáti

ca d

e la U

PC

TRuegos y preguntas.Ruegos y preguntas.

despliegue de redes inalámbricas seguras sin necesidad de usar vpn

Documents