ÍNDICE Introducción Objetivos Sistema de control de acceso basado en servicios Plataforma de pruebas Conclusiones
INTRODUCCIÓN Redes universitarias y académicas Doble función Red en producción Red para experimentación e investigación Gestión de gran número de usuarios Universidad del País Vasco (UPV/EHU) 50.000 usuarios 31 facultades distribuidas en 3 centros Amplia oferta de servicios Corporativos: web, correo, moodle, Internet, DNS. Departamentos, grupos de investigación, profesores, alumnos: web, impresoras, (s)ftp, ssh, recursos de disco.
INTRODUCCIÓN Tecnología de red basada en Ethernet Red completamente conmutada Empleo de routers restringido Gestión de usuarios y servicios basada en VLANs Perfiles de usuario basados en la asignación de VLAN Asignación estática en función de puerto Asignación dinámica en función de la identidad Acceso a servicios en función del perfil Cada perfil tiene acceso a un conjunto de recursos Se desea un sistema más flexible
INTRODUCCIÓN
OBJETIVOS Acceso a servicios controlado individualmente en función de la identidad del usuario El sistema propuesto tiene que cubrir diversos aspectos: Definición de servicio Recurso de red a disposición de un conjunto de usuarios susceptible de ser controlado Identificación de servicio Genérica: definido a cualquier nivel Unívoca: tiene que poder ser diferenciado del resto
OBJETIVOS La seguridad es un aspecto fundamental de la solución AAA: cada usuario debe ser autenticado y autorizado antes de poder acceder al servicio Control de acceso: se realiza un control a nivel de red teniendo en cuenta la identificación que del servicio se haga Asociado al acceso, es necesaria una fase de configuración Ligado al proceso de AAA se desencadena un proceso de configuración La configuración depende del servicio y de la identidad del usuario Los nodos involucrados en la provisión del servicio son configurados adecuadamente y de forma segura
ACCESO BASADO EN SERVICIOS Sistema de control de acceso basado en servicios Definición de servicio Seguridad Autenticación y Autorización (AAA) Control de acceso Configuración
DEFINICIÓN DE SERVICIO Situación previa Conjunto de usuarios -> Perfil (VLAN) -> Conjunto de servicios Servicio Recurso de red a controlar Definido a cualquier nivel, incluso multi-nivel Definición en base a perfiles XML Parámetros de servicio Identifican unívocamente a los servicios Parámetros de usuario Contienen información específica de cada usuario La identificación del servicio afecta directamente al control de acceso que se aplica en cada caso
DEFINICIÓN DE SERVICIO < service id="EHUtb"> < flowid> < !- Service related info –> < dip>158.227.0.0/16< /dip> < /flowid> < clients> < !- Client related info –> < client id="jonatEHUtb"> < security> < smac>00:01:02:03:04:05< /smac> < /security> < qos> < bandwidth>10Mbps< /bandwidth> < /qos> < /client> < /clients> < /service>
SEGURIDAD: AAA Cada usuario tiene que ser autenticado y autorizado antes de poder acceder al recurso Se opta por un modelo de seguridad basado en el estándar IEEE 802.1X Solución nativa y eficiente Ampliamente utilizado en entornos WiFi y Ethernet No es suficiente para el escenario planteado Autentica la conexión a la red Acceso total o nulo Son necesarias varias modificaciones
SEGURIDAD: AAA IEEE 802.1X
(Gp:) EAPoL (Gp:) EAP
(Gp:) RADIUS (Gp:) EAP
(Gp:) Authenticator (Gp:) Supplicant (Gp:) Authentication Server
SEGURIDAD: AAA Modificaciones sobre IEEE 802.1X Concepto de Puerto Estándar: Puerto físico / Puerto lógico Aportación: Puerto de servicio
| Página siguiente |