802.1x + FreeRADIUS + OpenLDAP + Virtualizacion
Alejandro Valdes [email protected]
October 1, 2011
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 1 / 23
Agenda
1 Introduccion
2 Conceptos
3 ¿Por que 802.1x?
4 Diseno
5 Implementacion y Pruebas
6 Enlaces
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 2 / 23
Introduccion
Introduccion
Redes inalambricas hoy consideradas como una solucion de movilidad,flexibilidad y productividad, aumentando mas cada dia suimplementacion.
Pero... trae consigo importantes riesgos de seguridad que afrontarasociados a:
la inexistencia de perımetros fısicos clarosla carencia de mecanismos de seguridad lo suficientemente fuertes queprotejan el acceso a los recursos tecnologicos y a la informacion.
Desde los inicios, muchas recomendaciones se han generado paradotar de un nivel de seguridad adecuado a esta tecnologıa.
Algunas recomendaciones evidenciaron mas riesgos, generandoconfusion y desconfianza.Hoy existen iniciativas mas serias que permiten mejorar el nivel deseguridad de estas redes.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 3 / 23
Introduccion
Objetivo
Describir una de las soluciones de seguridad mas eficientes para elcontrol de acceso a los recursos y la proteccion de la informacion,basada en la autenticacion para el acceso a la red y el cifrado en lascomunicaciones sobre este tipo de redes.
En particular, se vera:
802.1x + EAP/TTLS + FreeRADIUS + OpenLDAP.Sobre un ambiente virtualizado utilizando VirtualBox.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 4 / 23
Conceptos
Conceptos
Para entender mejor la exposicion, se presenta de manera breve losprincipales conceptos relacionados con esta implementacion.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 5 / 23
Conceptos
Control de Acceso
En terminos de sistemas de informacion es:
La capacidad de controlar la interaccion de un elemento activo(usuario, dispositivo, servicio) con un recurso informatico (red dedatos, sistema, servicio).Implica ademas procedimientos de autenticacion, autorizacion eidentificacion para permitir o denegar el uso de los recursos.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 6 / 23
Conceptos
Autenticacion (1/2)
Proceso de validar la identidad de quien accede o provee un servicio,mediante el uso de ciertas credenciales (ej. contrasena).
Tambien se pueden utilizar Tokens (algo que Ud tiene) o Biometrıa(algo que Ud es).
A nivel de enlace de datos existen diversos protocolos deautenticacion:
PAP (Password Authentication Protocolo)
validacion al establecer conexion.credenciales: usuario y clave.credenciales viajan en texto claro (metodo poco seguro).
CHAP (Challenge Handshake Protocol)
mejor nivel de seguridad, validacion de tres vıas.servidor envia ”desafıo” el cual encripta el cliente con su contrasena,luego servidor realiza mismo procedimiento.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 7 / 23
Conceptos
Autenticacion (2/2)
EAP (Extensible Authentication Protocol)
eleva aun mas el nivel de seguridad de la autenticacion.permite diversos metodos de autenticacion y tipos de credenciales(certificados digitales).Conforme a las caracterısticas de cada infraestructura, los principalestipos son:
EAP-TLS: tunel cifrado para proteger credenciales y datos. certificadosdigitales cliente y servidor.EAP-PEAP: tunel para servidor y otro tunel para cliente. comunmentesoportado por Microsoft.EAP-TTLS: tunel cifrado para proteger autenticacion del cliente.certificado digital solo en el servidor.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 8 / 23
Conceptos
Autorizacion
La autorizacion establece lo que un usuario puede o no hacer una vezhaya sido identificado y autenticado.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 9 / 23
Conceptos
Cifrado
En sistema de informacion, es el proceso mediante el cual, utilizandouna llave o valor de control, un mensaje (generalmente datos en textoplano) es codificado para evitar que su contenido sea accedido y/oentendido por personal no autorizado.
Simetrico
Proceso de cifrado y descifrado utilizan la misma llave.Distribucion de llaves debe ser segura.DES (Data Encription Standard), Triple DES y AES (AdvancedEncription Standard)
Asimetrico
Proceso de cifrado y descifrado utilizan llaves diferentes (privada ypublica).Mejora los esquemas de confidencialidad e integridad.RSA (Rivest, Shamir, Addleman), Diffie-Hellman.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 10 / 23
Conceptos
RADIUS
Remote Authentication Dial-in User Service.
Protocolo de autenticacion basado en cliente y servidor.
Permite la autenticacion de usuarios que acceden a la red y autorizarel uso de los servicios requeridos.
FreeRADIUS es una implementacion Open Source de RADIUS(Version actual 2.1.11).
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 11 / 23
Conceptos
LDAP
Lightweight Directory Access Protocol.
Protocolo de acceso a servicio de directorios, basado en el estandarX.500
Un directorio es un conjunto de objetos con atributos organizados enuna manera logica y jerarquica.
OpenLDAP es una implementacion Open Source (Version actual2.4.26)
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 12 / 23
Conceptos
802.11
Estandar IEEE que establece especificaciones para los dispositivos ylas comunicaciones en redes inalambricas de area local (WLAN),incluyendo espectros de frecuencias utilizadas, velocidades detransmision y demas parametros que determinan esta tecnologıa.
Especifica tambien mecanismos de cifrado, WEP (Wired EquivalencyPrivacy) para la proteccion de los datos transmitidos en ambientesWLAN.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 13 / 23
Conceptos
802.1x
Estandar IEEE para realizar control de acceso a una red medianteautenticacion, que habilita o impide el acceso de los dispositivos quese conectan a un puerto de red LAN.
Puede implementarse tanto en redes cableadas o inalambricas 802.11.
Su implementacion requiere lo siguiente:
Suplicante, usuario que intenta acceder a la red.Autenticador, punto de acceso que habilita/impide el ingreo delsuplicante.Servidor de autenticacion, quien negocia y valida la identidad delsuplicante.
1X hace referencia al uso de EAP entre el suplicante (usuarios), elautenticador (switches o access point)y el servidor de autenticacion(por ejemplo RADIUS).
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 14 / 23
Conceptos
802.1x
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 15 / 23
¿Por que 802.1x?
¿Por que 802.1x?
Varias son las recomendaciones para minimizar los riesgos asociadosal acceso indebido en redes inalambricas, sin embargo, no logran unnivel de seguridad apropiado o implican demasiado trabajo deadministracion.
Evitar difusion del SSID (Service Set Identifier). (¿se pueden realmenteocultar?)ACLs por direcciones fısicas o MAC (Media Access Control).(mantencion de ACLs)Uso de VPN (Virtual Private Network). (no es transparente para elusuario)No implementar infraestructura inalambrica. (caso extremo)Utilizar cifrado en la conexiones inalambricas, WEP. (muchasdebilidades)
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 16 / 23
¿Por que 802.1x?
¿Por que 802.1x?
IEEE consciente de las fallas de WEP, desarrolla el 802.11i
Por otro lado la ”Wi-Fi” (Consorcio de proveedores de tecnologıainalambrica con mejor fidelidad) genera WPA (Wi-Fi ProtectedAccess) basado en el 802.11i.
WPA utiliza 802.1x como mecanismo de control de acceso yautenticacion de red.
Para corregir las principales debilidades de WEP, utiliza TKIP(Temporal Key Integrity Protocol).
WPA2 es la ratificacion del estandar 802.11i.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 17 / 23
Diseno
Diseno
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 18 / 23
Implementacion y Pruebas
Clientes - Suplicantes
Linux: wpa-supplicant
Open SourceSoporta WPA y WPA2 (version 0.6.9)
Windows XP: cliente EAP-TTLS SecureW2
Open Source
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 19 / 23
Implementacion y Pruebas
Punto de Acceso - Autenticador
Cisco Aironet 1130AG Series (802.11a/b/g)
Se debe configurar para que opere en 802.1x, indicando direccion delservidor RADIUS, autenticacion del servidor, tipo de autenticacion ydemas parametros.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 20 / 23
Implementacion y Pruebas
Servidor de Autenticacion
Se debe configurar el tipo de autenticacion, EAP-TTLS y susparametros asociados.
Se debe configurar los parametros adecuados para la integracion conLDAP.
Se debe definir los puntos de accesos que manejara el servidor.
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 21 / 23
Implementacion y Pruebas
Red
Access Point: 192.168.25.20
Maquinas virtuales (VirtualBox)
OpenLDAP: 192.168.25.18FreeRADIUS: 192.168.25.19DHCP: 192.168.25.21 (rango: 192.168.25.100 - 254)
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 22 / 23
Enlaces
Enlaces
IEEE 802.11 working group: http://www.ieee802.org/11/
802.1X - Port Based Network Access Control:http://www.ieee802.org/1/pages/802.1x.html
freeradius project: http://www.freeradius.org/
RADIUS: http://www.ietf.org/rfc/rfc2865.txt
Openldap project: http://www.openldap.org/
LDAP: http://www.rfc-editor.org/rfc/rfc2251.txt
VirtualBox: http://www.virtualbox.org/
Wi-Fi Alliance: http://www.wi-fi.org/
wpa-supplicant: http://w1.fi/wpa-supplicant/
cliente eap-ttls securew2: http://www.securew2.com/
Referencia: http://www.sans.org/reading-room/whitepapers/wireless/consideraciones-para-la-implementacion-de-802-1x-en-wlans-1607
Alejandro Valdes Jimenez () 802.1x + FreeRADIUS + OpenLDAP + Virtualizacion October 1, 2011 23 / 23