BIENVENIDOS X & i. La unica seguridad real en Red. (Taller) (gracias por su asistencia)

Transcripción

1 BIENVENIDOS (gracias por su asistencia) 802.1X & i La unica seguridad real en Red (Taller)

2 PRESENTACION Yago Fernandez Hansen Experto en ingeniería de sistemas y redes, con amplia experiencia en infraestructuras de todos los tamaños. En la última década se ha especializado ampliamente en tecnologías inalámbricas, habiendo dirigido con éxito numerosos proyectos para la planificación, implementación y auditoria de redes Wi-Fi, entre los que destacan despliegues de redes inalámbricas públicas y privadas mediante Hotspots (Cisco, Mikrotik, etc.) y enlaces punto a punto y multipunto. En este campo realiza habitualmente intervenciones en congresos, así como ponencias, conferencias y ciclos formativos en varias universidades. Igualmente ha dirigido en el pasado proyectos de seguridad informática, planificación de granjas de servidores bajo Windows y Linux, configuración y diseño de appliances de seguridad, gestión de infraestructuras de red, comunicaciones mediante enlace remoto, programación de enrutadores Cisco, sistemas de gestión de identidades, correlación de eventos, etc. En estas áreas ha realizado proyectos de ámbito internacional para grandes corporaciones en los sectores banca, seguros, operadoras, departamentos de seguridad del Estado, etc. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con numerosas publicaciones y artículos en revistas especializadas, además de colaborar con la editorial Ra-Ma, a través de la cual ha escrito y publicado el libro "RADIUS / AAA / 802.1X" (2008).

3 PRESENTACION Yago Fernandez Hansen FUNDADOR Y ADMINISTRADOR DEL PORTAL COMUNITARIO: portal 2.0 dedicado al hacking y a la seguridad Problemas: Contenido inaceptable ~~~~~~~~~ SUGERENCIAS: -> Contenido: Por el momento, la política de Google impide anunciar sitios web que incluyan contenido relacionado con el pirateo informático. Tal como se especifica en los Términos y condiciones, nos reservamos el derecho de ejercer discreción editorial respecto a la publicación de ciertos anuncios en nuestro sitio.

4 PRESENTACION Yago Fernandez Hansen AUTOR DEL LIBRO:

5 LA CHARLA X & i La unica seguridad real en red Vamos al grano:

6 LA CHARLA X & i La unica seguridad real en red ERAAA BROMAAA

7 LA CHARLA X & i La unica seguridad real en red En esta charla (taller) vamos a tratar en la medida de lo posible: La seguridad en el acceso a la red Conceptos (Diccionario de términos) Sistemas AAAA RADIUS como gestor AAA (soluciones basadas en RADIUS) PKI. Convertirnos en una autoridad certificadora EAP como transportador de la autenticación 802.1X i El cliente de la autenticación. Suplicantes. Ejemplos El Appliance como solución idónea Tipos de appliance. Físicos / Virtuales. Ejemplos Administración del Appliance Seguridad. Vulnerabilidades Ruegos y preguntas

8 LA CHARLA... LA SEGURIDAD EN EL ACCESO A LA RED Qué es lo habitual? Protección de los recursos de valor de la Empresa (servidores, datos ) Protección mediante cortafuegos de la capa 3 hacia arriba Protección mediante IDS y otros recursos como UTM Protección desde el exterior hacia el interior. Internet - Intranet Cuál es la novedad? Protección en el acceso al medio (Capa 2) Diferencia de conciencia entre la red inalámbrica y la red cableada Sistema global de Identidad y control de acceso Control de requerimientos y cuarentena Importancia de todo esto? Por qué protegemos el acceso inalámbrico entonces? Por qué no hacemos lo mismo con la parte alámbrica? Los muros nos protegen? A quién va dirigido? A cualquier infraestructura de tamaño medio /alto A proveedores que ofrecen de gran cantidad de accesos

9 DICCIONARIO (wiki) NAC Network Access Control (NAC) is an approach to computer network security that attempts to unify endpoint security technology (such as antivirus, host intrusion prevention, and vulnerability assessment), user or system authentication and network security enforcement.[1][2] Network Admission Control (NAC) refers to Cisco's version of Network Access Control, which restricts access to the network based on identity or security posture. When a network device (switch, router, access point, DHCP server, etc.) is configured for NAC, it can force user or machine authentication prior to granting access to the network. In addition, guest access can be granted to a quarantine area for remediation of any problems that may have caused authentication failure. This is enforced through an inline custom network device, changes to an existing switch or router, or a restricted DHCP class. A typical (nonfree) WiFi connection is a form of NAC. The user must present some sort of credentials (or a credit card) before being granted access to the network.

10 DICCIONARIO (wiki) NAP Network Access Protection (NAP) is a Microsoft technology for controlling network access of a computer host based on the system health of the host, first introduced in Windows Server 2008.

11 PUBLICIDAD Yago Fernandez Hansen COMPRE AHORA!

12 Un poco de teoria

13 Sistemas AAA.A Autenticacion, Autorizacion y Arqueo. Auditoria Autenticación: Acto de demostrar de forma veraz la identidad del usuario a otra entidad. Autorización: Permiso de uso de los recursos accesibles para cada usuario con los privilegios y restricciones asociados. Arqueo o contabilidad: Seguimiento del consumo de los recursos utilizados por el usuario con fines de facturación, planificación u otros. Auditoría: Control y registro log de los recursos reales utilizados o accedidos por el usuario durante sus sesiones. Busquemos en Google Images:

14 RADIUS RADIUS como gestor AAA (soluciones basadas en RADIUS) RADIUS Remote Authentication Dial In User Service (RADIUS) is a networking protocol that provides centralized Authentication, Authorization, and Accounting (AAA) management for computers to connect and use a network service. RADIUS was developed by Livingston Enterprises, Inc., in 1991 as an access server authentication and accounting protocol and later brought into the Internet Engineering Task Force (IETF) standards.[1]

15 RADIUS RADIUS como gestor AAA (soluciones basadas en RADIUS) Elegir un servidor RADIUS Basados en arquitectura (Windows / Linux / otros) Freeradius IAS (Internet Authentication Server) Microsoft Funk RADIUS Basados en el tamaño de la infraestructura Basados en tipos de Bases de datos de usuarios SQL, LDAP, Servidores de directorio, Web, etc. Basados en el tipo de autenticación a implementar Certificados, usuario/contraseña, etc. Utilidad Entornos corporativos Autenticación de acceso Entornos uso público controlado Hotspots, zonas de acceso universitarias Entornos de acceso inalámbrico seguro Operadores de telecomunicaciones Banca electrónica

16 PKI PKI. Convertirnos en una autoridad certificadora Terminos utilizados Criptografía asimétrica CA, RA,VA, CRL, x.509 Utilidad Sistema de acceso seguro Gestión mediante Smartcards Gestión mediante DNIe Uso para servidores corporativos

17 PKI PKI. Convertirnos en una autoridad certificadora Ventajas Gestionamos todo el pastel Gratuidad o bajo coste Seguridad autogestionada Inconvenientes Confianzas Implementación propia Propagación o difusión Servidores disponibles OpenSSL Microsoft Certificate Services Plataformas de Gestión Entornos Web como Dogtag (PKI Fedora Linux) Microsoft Certificate Services OpenTrust (Comercial) Digicert (Comercial) OpenCA (open source)

18 PKI + RADIUS Infrastructura mediante certificados

19 PUBLICIDAD Yago Fernandez Hansen COMPRE AHORA!

20 EAP EAP como transportador de la autenticacion EAP no son las siglas de Edgar Alan Poe EAP no es un protocolo de autenticación, sino de transporte de la autenticación. EAP se define en la capa 2 OSI. EAP es un protocolo AVP. Extensible Authentication Protocol, or EAP, is an authentication framework frequently used in wireless networks and Point-to-Point connections. It is defined in RFC 3748, which made RFC 2284 obsolete, and was updated by RFC 5247.

21 EAP EAP como transportador de la autenticacion

22 802.1X i 802.1X i Protocolos basados en la autenticacion 802.1X - Aplicación de EAP sobre LAN. EAPOL i Aplicación de RSN (medidas robustas de seguridad) sobre redes inalámbricas. Incorporación de 802.1X sobre WLAN. EAPOW. PAE: Port Access Entity A port access entity (PAE), also known as a LAN port, is a logical entity that supports the IEEE 802.1X protocol. A LAN port can adopt the role of authenticator, supplicant, or both.

23 Suplicantes El cliente de la autenticacion Suplicante Definición: Cliente de la autenticación. Software solicitante de autenticación. Suplicantes Basados en arquitectura Basados en tipos de autenticación. Ejemplos

24 Suplicantes El cliente de la autenticacion

25 ...se acabo la teoria

26 appliances El Appliance como solucion idonea Definición Utilidad Servidores independientes y prediseñados que cumplen una función específica Servidores de mayor o menor tamaño Innumerables utilidades en la actualidad UTM, Firewalls, Routers, Antivirus, Antispam, VPN server, Buscadores google, QoS, VoIP, Hotspot, PrintServers, etc. Tipos de appliance. Categorización Físicos / Virtuales.

27 appliances Appliance fisico Categorización Según tamaño de la infraestructura Características importantes Estabilidad Rendimiento (Procesador y memoria) Puertos LAN / WAN / WLAN Puertos de consola, USB Tipo de HW para Sistema de archivos Sistema operativo a utilizar Ligereza del sistema operativo

28 appliances Appliances virtuales. La nueva tendencia. Creación sencilla de un Appliance Virtual:

29 appliances Administracion del Appliance Requerimientos: Nunca perder el control de appliance Ofrecer alternativas de administración Evitar usar config. en modo texto Opciones a utilizar: Consola SSH segura. Consola RS-232 Configurador Web Configurador externo Recuperación del sistema en caso de fallo Actualizador de firmware Backup de configuración Ejemplo de funcionamiento y caracteristicas...

30 PRESENTACION Yago Fernández Hansen COMPRE AHORA!

31 Seguridad & Vulnerabilidades Ataque mediante HUB

32 Seguridad & Vulnerabilidades Ataque mediante fakeap Uso del servidor Freeradius-WPE (Wireless Pownage Edition)

33 Ruegos & preguntas No, por favor tantas no!!! Gracias a todos ;-)