Diseño e implementación de arquitectura de conectividad y seguridad AAA en UDNET (Authentication, Authorization and Accounting)

Transcripción

1 Diseño e implementación de arquitectura de conectividad y seguridad AAA en UDNET (Authentication, Authorization and Accounting) Presentado por: Oscar Mauricio Muñoz Ortiz Cód Presentado a: Hermes Eslava Propuesta para optar por el título de Ingeniero en Telecomunicaciones Universidad Distrital Facultad Tecnológica Seminario de Investigación Bogotá D.C. Enero de 2012

2 INDICE INTRODUCCION... 1 ESTADO DEL ARTE... 2 JUSTIFICACION... 3 OBJETIVOS... 4 ALCANCES Y LIMITACIONES... 5 RESULTADOS ESPERADOS... 6 CRONOGRAMA... 7 PRESUPUESTO... 8 BIBLIOGRAFIA... 9 LISTA DE FIGURAS FIGURA 1 ACCESO REMOTO... 1 FIGURA 2 RADIUS... 2 LISTA DE TABLAS COMPARACION TACAS+ Y RADIUS... 1 CRONOGRAMA DE ACTIVIDADES... 2

3 1.INTRODUCION Este proyecto consiste en el análisis, diseño e implementación de una arquitectura de conexión y seguridad denominada AAA. Para que AAA funcione necesita configurar un protocolo base, el cual puede ser TACACS+ o RADIUS. TACACS+ es un protocolo patentado por CISCO, por lo cual requiere: que todos los equipos sean CISCO y pagar el precio que exigen para permitir la utilización de este protocolo. RADIUS es de libre uso y no tiene ninguna limitante con respecto al fabricante de los equipos donde se vaya a implementar. CARACTERISTICAS TACAS+ RADIUS ENCRIPTACION TODO PASSWORD TRANSPORTE TCP UDP AUTORIZACION Y AUTENTICACION POR SEPARADO COMBINADO ARA,NETBIOS,NASI,X25 SI NO REQUERIMIENTO DE EQUIPO ALTO MEDIO PRECIO ALTO NO Tabla 1. Comparación TACACS+ y RADIUS AAA es una arquitectura de seguridad, la cual esta dividida en tres módulos (Authentication, Authorization and Accountig, por sus siglas en ingles), los cuales trabajan en conjunto, creando una forma eficiente y segura de conectarse a una red. Sus funcionalidades son: Autenticación: Proporciona el método de identificación de usuarios, incluyendo nombre de usuario y contraseña, desafío y respuesta, soporte de mensajería, y, según el protocolo de seguridad que seleccione, puede ofrecer cifrado. Autorización: Provee el método de control de acceso remoto, incluyendo autorización total o para cada servicio, liste de cuentas y perfil por usuario, soporte para grupos de usuarios, y soporte para IP, IPX, ARA y Telnet. Contabilización: Posee un método de recolección y envió de información al servidor de seguridad, el cual es usado para facturar, auditar y reportar: nombres de usuario, tiempo de inicio y final, comandos ejecutados (como PPP), cantidad de paquetes enviados, y número de bytes. AAA provee los siguientes beneficios: Incremento de flexibilidad y control de configuración de acceso. Métodos de autorización estandarizados, como RADIUS, TACACS+ o Kerberos. Múltiples sistemas de backup.

4 2.ESTADO DEL ARTE Microsoft ha implementado el protocolo RADIUS (Remete Authentication Dial In User Service) en Windows 2000/2003 en lo que ha llamado el servicio IAS (Internet Authentication Service / Servicio de Autenticación de Internet). Habitualmente este servicio puede ser necesario si se quiere poner en marcha una red wireless segura con WPA/WPA2 + RADIUS o bien un servidor de VPN tanto autentificando contra Directorio Activo o los usuarios locales de un servidor. Para usar este servicio si se coloca el servidor detrás de un firewall se deben abrir los puertos con protocolo UDP 1812 y 1813 para que funcione correctamente. Figura 1. Acceso Remoto Como de costumbre para poner en marcha este servicio se debe ingresar a Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows -> Servicios de Red y una vez en este apartado activar el "Servicio de autenticación de Internet". Para administrar el servicio hay que usar la consola Servicio de Autenticación de Internet (ias.msc), para añadir un nuevo cliente del servicio se debe hacer click con el botón derecho sobre el apartado Clientes RADIUS, donde se tendrá que introducir la dirección IP o FQDN del cliente además de una clave compartida (shared key). Aparte del RADIUS estándar también soporta otras implementaciones RADIUS de distintos fabricantes.

5 Figura 2. RADIUS En el apartado Registro remoto se tiene la oportunidad de fijar el sistema almacenamiento de logs, se pueden almacenar en local (por defecto) o bien en una base de datos SQL a través del correspondiente DSN (origen de datos OBDC). En Directivas de acceso remoto se puede configurar una serie de condiciones de acuerdo con diversos parámetros para admitir o rechazar peticiones de autenticación, estas se procesan en el orden establecido y en caso de que no se cumpla ningún intento de autenticación será rechazado. Aparte de las directivas que se pueden ver abajo que son las personalizadas, también existen otras que vienen ya definidas de acuerdo con los escenarios más habituales de uso de IAS. En Procesamiento de solicitud de conexión se puede crear proxies de RADIUS de forma que se delegue la autenticación en un servidor de RADIUS remoto, esta opción esta solo soportada en Windows Server Para ciertas funcionalidades tales como implantar un servidor de VPN con RRAS donde es necesaria un integración con el Directorio Activo se tiene que registrar el servidor en el directorio, para ello se debe situar sobre el nodo raíz del menú y hacer click con el botón derecho sobre él o bien ir a Acciones donde también se encontrara la opción registrar servidor en Active Directory. En Windows Server 2003 en la versión Standard del sistema operativo está limitado a 50 clientes y 2 grupos remotos de acceso mientras que en Enterprise el número es ilimitado, en Windows 2000 solo existe la función de servidor RADIUS y no hay limitaciones en ninguna versión.

6 3.JUSTIFICACION La seguridad en las redes, es parte esencial en la administración y funcionamiento de las mismas. Debe existir un mecanismo que permita hacerle seguimiento a cada uno de sus usuarios y además hacer mejoras básicas, tales como son: acceso seguro a la red, manejo de contraseña única para los diversos servicios que tiene disponible un usuario y generación de diferentes niveles de acceso. El acceso sin ningún tipo de autenticación a las redes inalámbrica (ejemplo red UDNET) genera el escenario propicio para huecos de seguridad y bajo rendimiento de la misma debido al uso indebido de los recursos. Mientras algunos de los usuarios necesitan usar la conexión para fines productivos se ven envueltos en congestiones deny of service ocasionados por el consumo de recursos en páginas de entretenimiento como las redes sociales incluso por agentes ajenos a la entidad propietaria de los equipos de la red.

7 4. OBJETIVOS General Diseño e implementación de arquitectura de conectividad y seguridad en una red prototipo, que pueda ser escalable e implementada en una red ya existente, mediante AAA (Authorization, Authentication and Accounting), utilizando el protocolo de libre uso RADIUS, para usuarios de Windows. Específicos Diseñar una red simulada en GNS3 de un servidor y cinco usuarios, teniendo en cuenta los equipos a simular para poder crear una conexión de intranet y extranet (Router, Switch). Implementar dos tipos de usuarios Windows con diferentes niveles de accesibilidad. Implementar Proxy que solicite usuario y contraseña para cada conexión a o desde la red. Diseñar un sistema que permita conexión a los diferentes servicios de la red con una misma contraseña por usuario. Configurar RADIUS para que permita hacer un seguimiento a los usuarios y al uso que están haciendo de la red, y guardarlo en un servidor. Realizar un estudio de tráfico, haciendo pruebas con las posibles conexiones de los diferentes tipos de usuarios, generando la documentación y simulaciones de todas la pruebas realizas y el código generado.

8 5. ALCANCES Y LIMITACIONES Alcance social Las redes de acceso libre son en la actualidad un elemento indispensable para el acceso a la información de usuarios vinculados a las instituciones, la implementación de servicios de autenticación y niveles de acceso a servicios mejorará el uso de recursos limitados en las redes como el ancho de banda y tamaños de buffer lo cual permitirá un acceso mas rápido y eficiente a la información. Alcance tecnológico Con equipos e infraestructura que ya se encuentran instalados en redes inalámbricas de acceso libre para usuarios vinculados a una institución determinada, se mejorará el rendimiento o performance de los recursos en la red previniendo a la vez ataques a información sensible y agilizando tareas prioritarias enrutando los recursos de la red exclusivamente a usos que sea de interés local para los propietarios de los equipos de transmisión en uso. Limitaciones: La mayor limitante para la ejecución de este tipo de proyectos, es la disposición del administrador de la red en el manejo de información sobre la topología de la red, ya que al conocer como se distribuye, se conoce el performance y los huecos de seguridad. Además el administrador debe suministrar las claves de los dispositivos,información de alta sensibilidad en el funcionamiento de una red

9 6. RESULTADOS ESPERADOS Obtener un método de conexión a la red UDNET con autenticación de usuario y contraseña. Implementar grupos de diferentes usuarios, los cuales nos permitan separarlos dependiendo del uso o tipo de usuario que sean. Hacer de la red de la Universidad Distrital una red más moderna y con características de conexión y seguridad predeterminadas. Poner en funcionamiento el protocolo RADIUS, para poder implementar satisfactoriamente AAA. 7.CRONOGRAMA 3.1 CRONOGRAMA DE ACTIVIDADES MESES(SEMANAS) ACTIVIDADES Estudio de la mejor ubicación de la antena y el nodo en el sitio. Cálculos, implementación e interconexión de la antena Instalación y configuración de firmware. Instalar el software del servidor de datos. Diseño y desarrollo de sistema de administración basado en web y aplicación. Realización de estudios de tráfico, interferencia y cobertura. Capacitación a la comunidad y conexión de los usuarios al nodo. Pruebas finales con los usuarios y nodos existentes conectados Presentación del proyecto a la comunidad, director y jurados Informe de Resultados MES 1 MES 2 MES 3 MES Tabla 2. Cronograma de actividades

10 8.PRESUPUESTO 4 PRESUPUESTO DE MATERIALES: PRESUPUESTO GLOBAL PRESUPUESTO GLOBAL DE LA PROPUESTA POR FUENTES DE FINANCIACION (miles de $) RUBROS FUENTES SITIO U. DISTRITAL CONTRAPARTIDA TOTAL PERSONAL EQUIPOS MATERIALES SOFTWARE TOTAL Presupuesto global. No hay inversión en software debido a que todo el software a utilizar será libre (licencia GPL). PERSONAL (miles de $) Personal Valor Mensual Cant de meses TOTAL 2 Ingenieros UD Encargado del Sitio 0* 4 0 TOTAL * El costo del Encargado del Sitio está dentro de los gastos de Nómina del mismo, por tanto no afecta el presupuesto del proyecto.

11 DESCRIPCIÓN Y CUANTIFICACIÓN DE LOS EQUIPOS DE USO PROPIO (MILES DE $) CANT. EQUIPO VALOR 1 MULTIMETRO DIGITAL COMPUTADOR PORTATIL TOTAL MATERIALES (MILES DE $) MATERIAL VALOR MATERIALES ELECTRONICOS 570 PC SERVIDOR 250 TOTAL: BIBLIOGRAFIA [1] C. BuenosAiresLibre, BuenosAiresLibre bienvenido/a abuenosaireslibre:,, Dec [Online]. Consulted: Nov Available: [2] L. Dalmau, noticias de guifi.net - castellano guifi.net,, Sep [Online]. Consulted: Nov Available: [3] E. B. B, El WiFi social en chile: entrevista con iniciativa chilewirelesssincables.cl conexión social, Mar [Online]. Consulted: Nov Available:

12 [4] Anonimo, Sincables,. [Online]. Consulted: Nov Available: [5] Uricio, Portada, Nov [Online]. Consulted: Nov Available: [6] Eder, Diego, Alejo, and Daniel, Colombia sin Cables< ->Medellinwireless, Dec [Online]. Consulted: Nov Available: [7] E. C. Ovalle, Habia una vez en bella flor, Feb [Online]. Consulted: Nov Available: php?option=com_content&view. [8], Memorias IV foro: Dia 3 las TIC mejorando la calidad de vida, Sep [Online]. Consulted: Nov Available: org/index.php?option=com_content&view=article&id=573%3aivforodia3&catid=1%3alatest-news&itemid=1 [9] R. Flickenger, C. Aichele., S. Buttrich, and L. M. Drewett, Redes Inalámbricas en los Paises en Desarrollo, 3rd ed., Sep. 2008, vol. 1. [10] I. telecommunicationsunion, X.170 : Arquitectura de la gestion de red a red para redes de datos. vol. 1, no. 1, p. 17, Jun Consulted: Nov [Online]. Available: [11] C. de Joomla en Colombia, F.A.Q - joomla! en colombia, [Online]. Consulted: Nov Available: