Diseño e implementación de arquitectura de conectividad y seguridad AAA en UDNET (Authentication, Authorization and Accounting) Presentado por: Jorge Alberto González Güiza Cód. 20101273035 Presentado a: Hermes Eslava Propuesta para optar por el título de Ingeniero en Telecomunicaciones Universidad Distrital Facultad Tecnológica Seminario de Investigación Bogotá D.C. Diciembre 2010
INDICE Introducción 1 Estado del arte.. 2 Justificación. 4 Objetivos 5 Cronograma 6 Resultados esperados.. 7 Bibliografía.. 8 Lista de figuras Figura 1 (Acceso Remoto). 2 Figura 2 (RADIUS) 2 Lista de tablas Comparación TACACS+ y RADIUS. 1 Cronograma de actividades.. 6
INTRODUCION Este proyecto consiste en el análisis, diseño e implementación de una arquitectura de conexión y seguridad denominada AAA. Para que AAA funcione necesita configurar un protocolo base, el cual puede ser TACACS+ o RADIUS. TACACS+ es un protocolo patentado por CISCO, por lo cual requiere: que todos los equipos sean CISCO y pagar el precio que exigen para permitir la utilización de este protocolo. RADIUS es de libre uso y no tiene ninguna limitante con respecto al fabricante de los equipos donde se vaya a implementar. Características TACACS+ RADIUS Encriptación Todo Password Transporte TCP UDP Autorización y Autenticación Por separado Combinado ARA, NetBios, NASI, X25 Si No Requerimientos de equipo Alto Medio Precio Alto No Tabla 1. Comparación TACACS+ y RADIUS AAA es una arquitectura de seguridad, la cual esta dividida en tres módulos (Authentication, Authorization and Accountig, por sus siglas en ingles), los cuales trabajan en conjunto, creando una forma eficiente y segura de conectarse a una red. Sus funcionalidades son: Autenticación: Proporciona el método de identificación de usuarios, incluyendo nombre de usuario y contraseña, desafío y respuesta, soporte de mensajería, y, según el protocolo de seguridad que seleccione, puede ofrecer cifrado. Autorización: Provee el método de control de acceso remoto, incluyendo autorización total o para cada servicio, liste de cuentas y perfil por usuario, soporte para grupos de usuarios, y soporte para IP, IPX, ARA y Telnet. Contabilización: Posee un método de recolección y envió de información al servidor de seguridad, el cual es usado para facturar, auditar y reportar: nombres de usuario, tiempo de inicio y final, comandos ejecutados (como PPP), cantidad de paquetes enviados, y número de bytes. AAA provee los siguientes beneficios: Incremento de flexibilidad y control de configuración de acceso. Métodos de autorización estandarizados, como RADIUS, TACACS+ o Kerberos. Múltiples sistemas de backup.
ESTADO DEL ARTE Microsoft ha implementado el protocolo RADIUS (Remete Authentication Dial In User Service) en Windows 2000/2003 en lo que ha llamado el servicio IAS (Internet Authentication Service / Servicio de Autenticación de Internet). Habitualmente este servicio puede ser necesario si se quiere poner en marcha una red wireless segura con WPA/WPA2 + RADIUS o bien un servidor de VPN tanto autentificando contra Directorio Activo o los usuarios locales de un servidor. Para usar este servicio si se coloca el servidor detrás de un firewall se deben abrir los puertos con protocolo UDP 1812 y 1813 para que funcione correctamente. Figura 1. Acceso Remoto Como de costumbre para poner en marcha este servicio se debe ingresar a Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows -> Servicios de Red y una vez en este apartado activar el "Servicio de autenticación de Internet". Para administrar el servicio hay que usar la consola Servicio de Autenticación de Internet (ias.msc), para añadir un nuevo cliente del servicio se debe hacer click con el botón derecho sobre el apartado Clientes RADIUS, donde se tendrá que introducir la dirección IP o FQDN del cliente además de una clave compartida (shared key). Aparte del RADIUS estándar también soporta otras implementaciones RADIUS de distintos fabricantes. Figura 2. RADIUS En el apartado Registro remoto se tiene la oportunidad de fijar el sistema almacenamiento de logs, se pueden almacenar en local (por defecto) o bien en una base de datos SQL a través del correspondiente DSN (origen de datos OBDC). En Directivas de acceso remoto se puede
configurar una serie de condiciones de acuerdo con diversos parámetros para admitir o rechazar peticiones de autenticación, estas se procesan en el orden establecido y en caso de que no se cumpla ningún intento de autenticación será rechazado. Aparte de las directivas que se pueden ver abajo que son las personalizadas, también existen otras que vienen ya definidas de acuerdo con los escenarios más habituales de uso de IAS. En Procesamiento de solicitud de conexión se puede crear proxies de RADIUS de forma que se delegue la autenticación en un servidor de RADIUS remoto, esta opción esta solo soportada en Windows Server 2003. Para ciertas funcionalidades tales como implantar un servidor de VPN con RRAS donde es necesaria un integración con el Directorio Activo se tiene que registrar el servidor en el directorio, para ello se debe situar sobre el nodo raíz del menú y hacer click con el botón derecho sobre él o bien ir a Acciones donde también se encontrara la opción registrar servidor en Active Directory. En Windows Server 2003 en la versión Standard del sistema operativo está limitado a 50 clientes y 2 grupos remotos de acceso mientras que en Enterprise el número es ilimitado, en Windows 2000 solo existe la función de servidor RADIUS y no hay limitaciones en ninguna versión.
JUSTIFICACION La seguridad en las redes, es parte esencial en la administración y funcionamiento de las mismas. Debe existir un mecanismo que permita hacerle seguimiento a cada uno de sus usuarios y además hacer mejoras básicas, tales como son: acceso seguro a la red, manejo de contraseña única para los diversos servicios que tiene disponible un usuario y generación de diferentes niveles de acceso.
OBJETIVOS Objetivo General Diseño e implementación de arquitectura de conectividad y seguridad en la red UDNET, mediante AAA (Authorization, Authentication and Accounting), utilizando el protocolo de libre uso RADIUS. Objetivos Específicos Modificar proxy que solicite usuario y contraseña para cada conexión desde la red. Generar grupos de usuarios con diferentes niveles de accesibilidad. Implementación de sistema que permita conexión a los diferentes servicios de la red con una misma contraseña por usuario.
CRONOGRAMA Tabla 2. Cronograma de actividades
RESULTADOS ESPERADOS Obtener un método de conexión a la red UDNET con autenticación de usuario y contraseña. Implementar grupos de diferentes usuarios, los cuales nos permitan separarlos dependiendo del uso o tipo de usuario que sean. Hacer de la red de la Universidad Distrital una red más moderna y con características de conexión y seguridad predeterminadas. Poner en funcionamiento el protocolo RADIUS, para poder implementar satisfactoriamente AAA.
BIBLIOGRAFIA Cisco Systems technical support and documentation, TACACS+ and RADIUS comparison, Document ID: 13838, Jan 2008. Cisco Systems technical support and documentation, Cisco IOS security configuration guide, 2008. The Internet Engineering Task Force (IETF), Internet Society. RFC Index Search engine. Available: http://www.ietf.org Y. Rekhter, R. Moskowitz, D. Karrenberg, G. de Groot, Address Allocation for Private Internets, RFC 1918, September 2006. R.T. Morris, 1985. A Weakness in the 4.2BSD Unix TCP/IP Software. Computing Science Technical Report No. 117, AT&T Bell Laboratories, Murray Hill, New Jersey.