Professional Documents
Culture Documents
Contenidos.
Servicio de Informtica de la UPCT
WEP. Wired Equivalent Privacy Mtodos EAP. EAP-TTLS. Caractersticas Arquitectura de acceso. Elementos de autenticacin. Estructuracin VLAN (802.1Q) Instalacin del servidor. Pasos en la autenticacin. Conclusiones
2
TRAMA CIFRADA
Capturas en red.
Usuarios dentro de la red pueden capturar trfico.
Sniffing.
Usuarios externos pueden capturar trfico cifrado y descifrarlo con herramientas adecuadas.
Alternativas WEP.
Servicio de Informtica de la UPCT
EAP.
Protocolo de autenticacin extensible. IEEE Abril de 2001. Elimina los problemas producidos por el empleo de WEP, ya que las claves cambian en cada sesin. A travs de un servidor RADIUS tambin permite autenticar a los clientes.
Mtodos EAP.
Servicio de Informtica de la UPCT
Mtodo de autenticacin bsico. EAP-MD5. No es apropiado all donde se requiere una seguridad robusta. Transport Layer Security EAP-TLS. Autenticacin muy segura. Reemplaza simples claves por certificados para el cliente y el servidor. Tunneled Transport Layer Security. Extensin de TLS. EAP-TTLS. Desarrollada para sobreponerse a la desventaja en cuanto a la necesidad de poseer un certificado por cliente. Protected Extensible Authentication Protocol. EAP-PEAP. Soporta mtodos EAP a travs del tnel, pero a diferencia de TTLS, no soporta otros mtodos para la negociacin de la autenticacin del cliente. Light Extensible Authentication Protocol. EAP-LEAP. Autenticacin mutua, distribucin de clave de sesin segura y dinmica para cada usuario. Vulnerable ante ataques de diccionario. EAP-SIM Subscriber Identity Module y Authentication and Key EAP-AKA. Agreement Despliegue de redes inalmbricas seguras sin necesidad de usar VPN Se emplean en redes celulares.
EAP-TTLS. Fases.
Servicio de Informtica de la UPCT
A) ESTABLECIMIENTO:
El servidor se autentica ante el cliente.(Incluye su clave pblica). El cliente establece el tnel encriptado con la clave del servidor.
EAP-TTLS. Fases.
Servicio de Informtica de la UPCT
B) TNEL:
Utiliza la capa segura creada en la fase 1 para el intercambio de informacin en la autenticacin del cliente. (login/password)
Consideraciones EAP-TTLS.
Servicio de Informtica de la UPCT
ANONIMATO Y PRIVACIDAD. No transmite el nombre de usuario en claro en la primera peticin de identidad. CONFIANZA EN EL SERVIDOR EAP-TTLS. Mtodos de autenticacin con passwords no susceptibles a ataques de diccionario. COMPROMISO DEL CERTIFICADO DEL SERVIDOR EAP-TTLS. Empleo de mtodos de revocacin de certificados para evitarlo. NEGOCIACIN Y ENCRIPTACIN DEL ENLACE. Negociacin segura de la Cipher suite de datos (sistema de cifrado de la comunicacin) LISTADO DE LAS PREFERENCIAS DEL CIFRADO DE DATOS. Cliente selecciona la del servidor como su primera opcin y la del punto de acceso. Maximizar grado de seguridad.
10
Arquitectura de acceso.
Servicio de Informtica de la UPCT
FIREWALL + NAT + DHCP alumnos PUNTOS DE ACCESO FTP + DHCP nativa CLIENTES DMZ RADIUS PIX LDAP UPCT inicio internos internos
11
Elementos de autenticacin.
Servicio de Informtica de la UPCT
En el proceso de autenticacin participan el servidor Radius, el directorio LDAP y el cliente.
Servidor Radius Freeradius. Software licencia libre. Gestiona el acceso a la red segn el tipo de usuario. Directorio LDAP de Novell. No necesita extensiones para este tipo de consultas. Cliente SecureW2. Cliente EAP-TTLS de licencia libre para Windows XP/2000. Gestiona los certificados y credenciales. (Existen clientes Linux)
El punto de acceso acta de forma transparente en este proceso. SERVIDOR SERVIDOR PUNTO
CLIENTE ACCESO Tnel seguro para autenticacin Tnel seguro para datos
Despliegue de redes inalmbricas seguras sin necesidad de usar VPN
TTLS AAA
AAA/H
RADIUS
LDAP
12
Adems se defini la VLAN nativa o troncal. troncal Mediante atributos del servidor RADIUS se garantiza que cada perfil de usuario pueda acceder nicamente a la VLAN que le corresponda. Configuracin 802.1Q trunking en puntos de acceso Cisco.
13
SOFTWARE
Instalacin de servidor Radius Freeradius-1.0.1. Cdigo licencia Freeradius-1.0.1 libre.
Instalacin previa de rpm: Openssl, ldap, krb5, gdbm, sasl(lib), pam(lib), iodbc, mysql, postgresql y unixodbc.
Generacin arbitraria de archivo random para creacin de claves. Necesitamos archivo de extensiones OID.
14
15
16
17
18
19
Certificados instalados.
Despliegue de redes inalmbricas seguras sin necesidad de usar VPN
20
21
22
23
Conclusiones.
Servicio de Informtica de la UPCT
Sistema inalmbrico seguro:
Comunicaciones cifradas y fiables. Autenticacin robusta de usuarios.
Requisitos:
Adaptacin a la infraestructura de la UPCT ( VLANs). Software en desarrollo y con licencia libre. Gran flexibilidad y posibilidad de aplicar extensiones. Sencillez para los usuarios. Limitacin de uso slo para comunidad UPCT.
24
Ruegos y preguntas.
Servicio de Informtica de la UPCT
Despliegue de redes inalmbricas seguras sin necesidad de usar VPN
25