Descargar

Proyecto de integración de la tarjeta inteligente en UPNs

Enviado por Pablo Turmero

    edu.red Índice Situación actual. Problemática Objetivo inicial del proyecto Solución tecnológica Implantación del proyecto en la UIB Conclusiones

    edu.red Situación Actual Puntos de acceso a la LAN “sin control”: Aulas Informáticas Aulas Docencia ¿ Cómo lo intentamos “controlar” ? Control de acceso al PC por Smartcard VLAN Alumnos Port Security Scheduler de activación de puertos (Spectrum) ¿ Qué tenemos ?

    edu.red Índice Situación actual. Problemática Objetivo inicial del proyecto Solución tecnológica Implantación del proyecto en la UIB Conclusiones ?

    edu.red Objetivo del Proyecto ¿ Qué pretendemos ? (Gp:) Control de acceso de los USUARIOS a la RED (Gp:) Movilidad total de los USUARIOS en la RED

    edu.red Índice Situación actual. Problemática Objetivo inicial del proyecto Solución tecnológica Implantación del proyecto en la UIB Conclusiones ? ?

    edu.red Solución Tecnológica Protocolo estandarizado el 2001 Port-Based Network Access Control Control de acceso de los USUARIOS Autenciación (protocolo EAP) Autorización básica (ON/OFF) Soportado por Windows Soportado por fabricantes networking ¿ Cómo lo solucionamos ? (Gp:) IEEE 802.1x

    edu.red Solución Tecnológica ¿ Infraestructura IEEE 802.1x ? (Gp:) 802.1x (Gp:) RADIUS (Gp:) EAP over LAN (Gp:) EAP over RADIUS (Gp:) 802.1x + (Gp:) Módulo EAP (Gp:) 802.1x (Gp:) Módulo EAP (Gp:) RADIUS (Gp:) SWITCH (Gp:) PC CLIENTE

    edu.red Solución Tecnológica ¿ Funcionamiento IEEE 802.1x ? (Gp:) RADIUS (Gp:) PC CLIENTE (Gp:) Identity Request (Gp:) EAPOL (Gp:) Identity Response (Gp:) EAPOL (Gp:) Access Request (Gp:) EAPOR Fase Inicial: Identidad Usuario (Gp:) SWITCH

    edu.red (Gp:) EAP (Gp:) EAP Solución Tecnológica ¿ Funcionamiento IEEE 802.1x ? (Gp:) RADIUS (Gp:) PC CLIENTE Fase Principal: Autenticación Usuario EAP MD5-Challenge EAP TLS EAP TTLS EAP SIM, … (Gp:) SWITCH

    edu.red Solución Tecnológica ¿ Funcionamiento IEEE 802.1x ? (Gp:) RADIUS (Gp:) PC CLIENTE (Gp:) Success/Failure (Gp:) EAPOL (Gp:) Access Accept (Gp:) EAPOR Fase Final: Autorización usuario (Gp:) SWITCH

    edu.red Solución Tecnológica User Personalized Network Se basa en IEEE 802.1X Movilidad de los USUARIOS Autorización avanzada (perfil de red) Perfil de Red = {VLAN,L2,L3,L4,?B} Soportado por algunos fabricantes ¿ Cómo lo solucionamos ? (Gp:) UPN

    edu.red Solución Tecnológica ¿ Funcionamiento UPN ? (Gp:) RADIUS (Gp:) PC CLIENTE (Gp:) Success/Failure (Gp:) EAPOL (Gp:) SWITCH (Gp:) Usuario ? Perfil de Red Perfil de Red = Filter-Id (Gp:) Gestor Perfiles de Red (Gp:) Perfiles (Gp:) Access Accept (Gp:) EAPOR (Gp:) Filter-Id

    edu.red Solución Tecnológica ¿ Funcionamiento UPN ? (Gp:) Gestor Perfiles de Red Switch 802.1x (Gp:) Servidor de Autenticación

    edu.red Índice Situación actual. Problemática Objetivo inicial del proyecto Solución tecnológica Implantación del proyecto en la UIB Conclusiones ? ? ?

    edu.red Implantación en la UIB Autenticación de USUARIO por smartcard (o TI) Integración del cliente en todo SO Windows Control de sesión de red por TI Múltiples sesiones de red en una única sesión Win. Aplicar perfiles de red a grupos de usuarios Registrar en LOGs las sesiones de red Gestionar en tiempo real el firewall de usuario ¿ Qué nos planteamos ?

    edu.red Implantación en la UIB ¿ Cómo lo solucionamos ? (Gp:) Desarrollo parte cliente en Windows (Gp:) Desarrollo Servidor de Autenticación (Gp:) Integración Gestor Perfiles de red

    edu.red Implantación en la UIB Objetivo: autenticación por smartcard (o TI) Problema: Windows NO soporta nuestras TIs Soluciones posibles: Desarrollo CSP Desarrollo DLL EAP Credenciales Usuario Desarrollo completo DLL EAP : Credenciales Usuario Protocolo autenticación EAP Desarrollo parte cliente

    edu.red Implantación en la UIB Solución final: Desarrollo completo DLL EAP: Credenciales de Usuario: smartcard Protocolo EAP propio MD5-UIB-Challenge Desarrollo parte cliente

    edu.red Implantación en la UIB Desarrollo parte cliente

    edu.red Implantación en la UIB Solución final: Desarrollo proceso control de sesión: Mantiene sesión si TI insertada en lector Cierra sesión de red si se retira la TI Reusamos control ActiveX PCSC de la UIB Resetea Autómata 802.1x al finalizar Informa del estado de la sesión de red Desarrollo parte cliente

    edu.red Implantación en la UIB ¿ Es necesario este desarrollo ? SI, no soportan MD5-UIB-Challenge ¿ Cómo podemos solucionarlo ? Con sofware RADIUS GNU ¿ Existe un RADIUS libre ? SI, el proyecto más importante es freeradius Desarrollo Servidor Autenticación

    edu.red Implantación en la UIB Características de freeradius: Soporta EAP (MD5-Challenge, PEAP, TLS, …) Ya soporta MD5-UIB-Challenge !!! Versiones para diferentes UNIX y LINUX Pasarelas para LDAP, SQL, … En constante desarrollo www.freeradius.org Desarrollo Servidor Autenticación

    edu.red Implantación en la UIB ¿ Qué hemos realizado ?: Reprogramar módulo EAP genérico Programar módulo MD5-UIB-Challenge Añadir nuevos atributos al DICTIONARY Crear aplicativo de importación de USUARIOS Desarrollo Servidor Autenticación

    edu.red Implantación en la UIB Gestor de Perfiles de Red NO es un estándar Cada fabricante desarrolla el propio Enterasys Networks: NetSight Atlas Policy Manager Definición de los perfiles de red de los USUARIOS Carga los perfiles en los switches UPN Filtra L2, L3, L4. Define VLAN y ?B Aplica los filtros a las sesiones de red activas Integración Gestor Perfiles de red

    edu.red Implantación en la UIB CONFIGURACIÓN Y FUNCIONAMIENTO

    edu.red (Gp:) Definición Perfiles de Red (Gp:) 1 Implantación en la UIB Configuración Gestor Perfiles de Red Policy Manager Servidor de Autenticación freeradius PC cliente W2K/WXP

    edu.red (Gp:) Creación Usuarios y asignación Filter-Id (Gp:) 2 Implantación en la UIB Gestor Perfiles de Red Policy Manager PC cliente W2K/WXP Servidor de Autenticación freeradius Configuración

    edu.red Implantación en la UIB Gestor Perfiles de Red Policy Manager PC cliente W2K/WXP (Gp:) Configurar PCs y Switches 802.1x (Gp:) 3 Servidor de Autenticación freeradius Configuración

    edu.red Implantación en la UIB Gestor Perfiles de Red Policy Manager PC cliente W2K/WXP (Gp:) Cargar Perfiles en switches (Gp:) 4 Servidor de Autenticación freeradius Configuración

    edu.red Implantación en la UIB Funcionamiento Gestor Perfiles de Red Policy Manager PC cliente W2K/WXP Servidor de Autenticación freeradius (Gp:) ¿Identidad?

    edu.red Implantación en la UIB Funcionamiento Gestor Perfiles de Red Policy Manager PC cliente W2K/WXP Servidor de Autenticación freeradius (Gp:) EAP MD5-UIB-Challenge

    edu.red Implantación en la UIB Funcionamiento Gestor Perfiles de Red Policy Manager PC cliente W2K/WXP Servidor de Autenticación freeradius (Gp:) Accept Filter-ID (Gp:) Success

    edu.red Implantación en la UIB Funcionamiento Gestor Perfiles de Red Policy Manager PC cliente W2K/WXP Servidor de Autenticación freeradius Filter-ID (Gp:) Logoff (Gp:) Logoff

    edu.red Situación actual. Problemática Objetivo inicial del proyecto Solución tecnológica Implantación del proyecto en la UIB Conclusiones Índice ? ? ? ?

    edu.red Conclusiones Controlado el acceso de los USUARIOS a la Red Solucionada la movilidad de los usuarios Abierto camino tecnológico 802.1x-UPN UPNs = control total de usuarios en la red Multitud lineas futuras de trabajo