Tema: Despliegue de portal de servicios cautivos con autenticación proxy

Transcripción

1 Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Seguridad en redes. Guía 12 1 Tema: Despliegue de portal de servicios cautivos con autenticación proxy Contenidos Servicios AAA Servicios cautivos con autenticación proxy Troubleshooting de autenticación proxy Objetivos Específicos Desarrollar habilidades para la implementación de servicios de autenticación proxy. Comprer el funcionamiento de los servicios AAA. Desarrollar habilidades para la implementación de portales de servicio. Materiales y Equipo PC. Aplicativo GNS3. IOS con soporte para seguridad de enrutadores Cisco. Introducción Teórica Una de las funciones de los firewalls, es la capacidad para validar a usuarios y autorizar el despliegue de servicios, así muchos de los firewalls perimetrales implementan políticas relativas al acceso que tienen los usuarios a los recursos externos. Por otro lado muchas políticas de seguridad se fundamentan en la auditoría de los accesos que hacen los usuarios de los recursos externos, con el propósito de proteger los recursos internos, tanto tangibles como intangibles. Los portales cautivos son mecanismos que se interponen entre los usuarios y los recursos con el propósito de autorizar y contabilizar el alcance que tienen los usuarios de estos, además de permitir un mejor control de todas las transacciones que se hacen en la red y de optimizar el uso de los recursos. El despliegue de los portales cautivos se basa en una técnica conocida como autenticación proxy, con la cual se aplica una política al tráfico que atraviesa el firewalls con el propósito de validar y

2 2 Seguridad en redes. Guía 12 autorizar a los usuarios por medio de una ventana http, telnet o ftp, usando los servicios AAA para la implementación de la ventana de validación. Procedimiento Parte I. Implementación de la topología de trabajo 1. Lance el aplicativo GNS3 e implemente la topología que muestra en la figura 1, utilice el router modelo 3700; recuerde reducir el uso del CPU buscando un Idle PC. Figura 1. Topología de trabajo. La máquina TestMachine representa a los usuarios que desean acceder a servicios externos en este caso ubicado en el enrutador Server, los servicios de validación y autorización los proveerá el enrutador Validador que es el que trá configurada la política de acceso con la autenticación proxy. El nodo puede ser implementado con una máquina virtual o como una interfaz directa como se desarrolló en guías anteriores. 2. Abra las consolas de cada uno de los enrutadores y desarrolle la configuración para garantizar su completa conectividad, una vez completo este paso debe existir conectividad entre todas las direcciones representadas en la topología incluyo el nodo.

3 Seguridad en redes. Guía 12 3 Para este paso puede usar las habilidades desarrolladas en el curso de comunicación de datos I o bien usar las configuraciones propuestas en la siguiente tabla: Validador hostname Validador ip address interface FastEthernet0/1 ip address router rip version 2 network network R3 hostname R3 ip address interface FastEthernet0/1 ip address router rip version 2 network network R2 hostname R2 ip address interface FastEthernet0/1 ip address router rip version 2 network Server hostname Server ip address exit ip route FastEthernet0/0 3. Configure el servicio http en el enrutador Server para que pueda ser accedido como desde un navegador y nos permita emular un servidor web, además de la configuración del servicio de telnet para representar otro servicio disponible en este caso no web: Server(config)# enable secret router123 Server(config)# ip http server Server(config)# line vty 0 4 Server(config-line)# password credencial123 Server(config-line)# login 4. Pruebe la conectividad de todos los nodos y desde el nodo TestMachine pruebe que pueda acceder al servidor web además de al servicio de telnet que brinda el enrutador Server En el navegador web: // (utilice las credenciales del router para acceder)

4 4 Seguridad en redes. Guía 12 En el cmd: telnet (utilice las credenciales del router para acceder) Garantice que las pruebas propuestas en el paso 4 sean exitosas antes de continuar Parte II. Implementación del modelo AAA. Ahora es necesario desplegar los servicios de autenticación, autorización y contabilización, para que este sea el modelo con el que se maneje la seguridad en el enrutador Validador, para nuestro caso la base de datos de credenciales serán alojadas localmente, sin embargo AAA posibilita usar un servidor de acceso para un volumen mayor de usuarios. 1. Activar el modelo AAA en el enrutador validador para contar con los servicios de Autenticación y Autorización Validador(config)# aaa new-model 2. Activar los servicios de autenticación y autorización, remitirlos a la base datos local para el manejo de las credenciales Validador(config)# aaa authentication login default local Validador(config)# aaa authorization auth-proxy default local Formato: [Comando] [Parámetro] [Servicio] [Grupo] [Base de datos] Dónde: Comando: Representa la opción de comando aaa. Parámetro: Establece cuales de los tres parámetros de servicio del modelo aaa se quiere implementar. Servicio: Define el servicio que protegerá el parámetro del modelo. Grupo: Clasificación particular de usuarios a los que se aplicara el modelo, puede ser el nombre de un grupo en particular o el grupo por defecto default Base de datos: Indica donde estarán alojadas las credenciales, para nuestro caso será el mismo enrutador 3. Ahora crearemos un conjunto de credenciales de usuarios que servirán para poblar la base de datos local del grupo default, crearemos tres usuarios para las pruebas.

5 Seguridad en redes. Guía 12 5 Validador(config)# username usuario1 password contrasenauser1 Validador(config)# username usuario2 password contrasenauser2 Validador(config)# username usuario3 password contrasenauser3 Parte III. Implementación de la autenticación proxy 1. Ahora estableceremos la política de acceso usando como discriminador una lista de control de acceso que permita a los usuarios acceder a los servicios http y ftp como mecanismo de validación del portal cautivo. Validador(config)# access-list 101 permit tcp any eq ftp Validador(config)# access-list 101 permit tcp any eq www Validador(config)# access-list 101 deny ip any any Esto indica que se hará uso de cualquiera de los dos protocolos ftp o http para autorizar el acceso a los servicios externos de los usuarios descritos en la base de datos local 2. Es necesario activar las ventanas para la autenticación de las credenciales, para ello se usara el servidor http empotrado en el enrutador Validador(config)# ip http server Validador(config)# ip http authentication aaa 3. Establecer las reglas del conjunto de autenticación proxy y el protocolo que se usara para autenticar, el nombre de la regla se llamara APRULE el protocolo para autenticar http y el tiempo que se mantrá activa la sesión en el cache será de 5 minutos Validador(config)# ip auth-proxy name APRULE http auth-cache-time 5 4. Es posible establecer otros parámetros para el proceso de autenticación proxy, use el comando de ayuda de la consola para observarlos, active un mensaje de banner para la ventana de autenticación Validador(config)# ip auth-proxy auth-proxy-banner http c INDIQUE CREDENCIAL c Las letras c que aparecen al inicio y al final representan marcadores de inicio/fin para el mensaje por lo que no aparecerán en el mensaje. 5. Por último es necesario activar la regla y la lista de control de acceso, es importante tener claro el sentido de la aplicación, para este caso se quiere controlar el acceso a servicios externos por lo que el tráfico se origina en la red interna conectada a la interfaz fastethernet 0/0, por lo que la aplicación debe ser para el tráfico entrante a esta interfaz.

6 6 Seguridad en redes. Guía 12 Validador(config)# interface fastethernet 0/0 Validador(config-if)# ip auth-proxy APRULE Validador(config-if)# ip access-group 101 in Parte IV. Pruebas y verificación. 1. Para probar el sistema hagamos ping desde la maquina TestMachine a la interfaz del enrutador Server, se observara que no será exitoso el ping, indique porque este tráfico es filtrado: Use el comando show access-list y anote sus observaciones, pruebe el acceso con el servicio Telnet y observe que sucede. 2. Ahora lance un navegador en la maquina TestMachine y acceda al enrutador Server con la siguiente URL observe que obtrá como respuesta una ventana de validación donde se solicitaran las credenciales para poder acceder a este servicio, use las credenciales de cualquiera de las tres cuentas configuradas en la base de datos local, ellas le deberían permitir el acceso. Una vez hecho esto vuelva a probar la conectividad con ping y telnet y anote sus observaciones Puede usar el comando show ip auth-proxy cache para observar las conexiones que mantiene activas el portal cautivo, para hacer más pruebas puede eliminar las entradas del cache con el comando clear ip auth-proxy cache * Desafío Considerando la topología utilizada y eliminando todas las configuraciones a excepto las relativas a la conectividad definidas en el paso 2 de la configuración de la topología de trabajo para hacer lo siguiente: 1. En el enrutador Validador establezca una autenticación proxy para proteger un servicio ubicado en el nodo TestMachine que solo deberá poder ser accesible desde 7 direcciones /24.7/24 ubicadas en el enrutador Server con 7 cuentas una para cada estación, las direcciones serán simuladas como direcciones de loopback

7 Seguridad en redes. Guía Para este caso ya que las direcciones dispararan los servicios desde la consola del enrutador originadas desde las loopback investigue como implementar el portal cautivo con sesiones de telnet. 3. Ningún otro tráfico debería de poder ser afectado por la configuración de la autenticación proxy. Evaluación Asistencia 20% Desarrollo de la práctica completa 40% Desarrollo del desafío cortó 40% Bibliografía 1. Cisco System; Cisco IOS Security Configuration Guide, release 12.4, Cisco Press, 2008.