Professional Documents
Culture Documents
RAFAEL CAMPOS
CARLOS PREZ S.
DANIEL JARQUIN U.
9 DE ABRIL DE 2013
INTRODUCCIN
El presente trabajo trata el tema de la implementacin de Control de Acceso a Redes ya que
en los ltimos aos se ha producido una necesidad de acceso a las redes corporativas
utilizando distintos medios de acceso ya que las empresas tienen cada vez redes mas
distribuidas, con oficinas y centros de negocios repartidos en distintas ubicaciones
geogrficas. Adems, se ha intensificado el uso de aplicaciones multimedia que requieren
que la red le garantice condiciones de seguridad y confidencialidad para el trfico de los
datos que intercambian.
El presente trabajo pretende analizar las distintas alternativas que ofrece el Control de
Acceso a Redes. A esto se asocian diversos productos y tecnologas, y los diferentes
utilizados en el rea de seguridad.
Con el creciente aumento de ataques informticos seria grandioso que se pudiera dejar la
seguridad a un lado implementado el Control de Acceso a Redes as que a lo largo de este
trabajo trataremos de ayudarlos con eso.
OBJETIVOS
I.
II.
III.
IV.
V.
VI.
O aun teniendo un sistema de seguridad externo, el problema puede ser causado sin intencin por un
empleado.
No solo es importante tener un sistema de seguridad que controle el acceso desde el exterior.
Tenemos un escenario en el que debemos tener proteccin tanto externa como interna y en la batalla por la
supremaca de proveer sistemas de acceso seguro nos encontramos con tres tecnologas claramente
diferenciadas:
NAC de Cisco
NAP de Microsoft
TNC (del Trusted Computing Group)
TRMINOS Y TECNOLOGAS
Las soluciones NAC son diferentes pero pueden ser clasificadas en dos grupos
Clienless no necesita de ningn software instalado en los dispositivos
Client-based un componente de software es pre instalado en los dispositivos para poder asistir al proceso de
NAC
Existe un numero de factores para decidir cual tipo de solucin es la ms adecuada dependiendo de cmo este
formada la organizacin, NAC basado en cliente provee ms detalle del dispositivo pero tambin hay que tener
en cuenta que requiere su instalacin equipo por equipo.
Pre admisin NAC
Determina que un dispositivo cumpla con ciertos criterios predeterminados antes de permitirle el acceso a la
red. Si esos criterios no se cumplen, no permite que el dispositivo se conecte a la red, o le asigna un acceso
restringido.
La Pre-Admisin en NAC se encuentra en las siguientes soluciones:
Microsoft NAP
Cisco NAC
Mobile NAC
IPSec VPN
SSL VPN
Existen tres estrategias de implantacin de NAC basndonos en dnde se introduce el control de acceso a la
red, as que uno debe decidir cul de las tres se ajusta ms a las caractersticas y particularidades de la
organizacin.
Estas estrategias son:
Control en el permetro (Edge control): introduce el control de acceso a la red en el exterior, es decir en el
punto donde se conectan los sistemas a sta, por ejemplo en el switch de una LAN, o en un concentrador VPN.
Control central (Core control): el control de acceso se puede implantar en cualquier punto de acceso a la red,
por ejemplo, a travs de un dispositivo que se coloca en medio de la red por el que pasa el trfico de los
equipos cuyo acceso se quiere analizar
Control en el cliente (Client control): la implantacin de las polticas de seguridad y control de acceso se
realiza fundamentalmente en el usuario final, instalando en cada uno de los equipos y sistemas que se quiera
gestionar y controlar todas las aplicaciones necesarias para realizar este control, como firewalls personales,
aplicaciones de control del acceso inalmbrico, control de dispositivos USB, etc.
Terminologa
NAC
Colector de estado
Agente intermedio
Mdulo intermedio
MTODO DE AUTENTIFICACIN
I.
II.
III.
IV.
V.
VI.
VII.
VIII.
IX.
La validacin de postura ocurre cuando un dispositivo de acceso a la red detecta que un host se
quiere conectar o usar los recursos de la red
Una vez detectado el nuevo dispositivo el NAD (dispositivo de acceso a la red) habilita una conexin
entre el AAA server (servidor de autorizacin autenticacin y auditoria) y el access control server ACS
o server de control de acceso, una vez establecida el Server AAA requiere las credenciales de postura
al host desde uno o ms plugins de posturas
El host responde a la peticin con sus credenciales de postura desde los software compatibles con
NAC
El server AAA valida la informacin de las posturas localmente, o puede delegar esta decisin a otros
servers de validacin de posturas
El server AAA agrega los resultados individuales de la postura, o smbolo (tokens)de postura, de todos
los servers para determinar la conformidad total del host, o del smbolo de postura del sistema
La autenticacin de identidad y el token de postura del sistema son luego chequeadas por una red de
autorizacin , que puede consistir en : server Radius, asignacin de VLANs o listas de acceso
descargables
Estas cualidades del Radius se envan al NAD para la aplicacin en el host
El CTA en el host enva el estado de su postura para notificar los plugins respectivos de su postura
individual del uso as como la postura entera del sistema
Se puede enviar opcionalmente un mensaje al usuario final usando el dilogo de la notificacin de
CTA's notificando el estado actual del anfitrin en la red.
Pero qu pasa con nuestra red, con nuestros dispositivos. Muchas compaas no tienen un control de sus
propias computadoras, laptops del personal que accede desde afuera, oficinas remotas de la organizacin.
No sabemos si todos ellos cumplen con las polticas de seguridad en todos los puntos de acceso ala red, quizs
en un primer momento en su implementacin pero hace falta una poltica global para todos aquellos que usan
nuestra red, esto es una poltica de control de admisin de acceso
Qu y quien se conecta y por cunto tiempo?
Cules son los requerimientos para garantizar un acceso seguro a la red?
Qu pasos se deben seguir para conseguir que se cumpla este acceso seguro?
Cules son los requerimientos creados y cuales modificaremos?
Cisco introduce el concepto de NAC o Control de Admisin a la red
NAC asegura la entera relacin entre los puntos finales y la red
Una verdadera solucin de NAC debe:
I.
II.
III.
IV.
El control de acceso a la red se define como una tecnologa o arquitectura que permite controlar el acceso de
los usuarios a la red en un punto de acceso verificando adems de su identidad el cumplimiento de todas las
polticas se seguridad establecidas por la organizacin, es decir que el equipo que trate de conectarse este
actualizado, tenga todas las herramientas de seguridad exigidas por la empresa, etc. se incluye adems el
control sobre lo que pueden hacer, a que contenidos e informacin pueden acceder estos usuarios y que
sistemas o recursos son accesibles una vez admitidos en la red.
Un usuario se conecta a la red corporativa con su laptop, pero su sistema operativo es vulnerable.
Su autenticacin es validada
El sistema de control de admisin a la red scanea el dispositivo que se quiere conectar y encuentra que el
sistema operativo de esa laptop es vulnerable a un nuevo gusano que acaba de aparecer.
El sistema redirecciona la conexin a un server llamado server de remediacin, el cual actualiza el sistema
operativo con los ltimos fixes haciendo que el dispositivo cumpla con las normas de seguridadestablecidas
por la organizacin.
II.
III.
Clean Access Manager (CAM): Servidor de administracin para la implementacin de Cisco NAC
Appliance. La consola web segura de la Clean Access Manager es el nico punto de gestin para un
mximo de 20 servidores de acceso (o 40 si se instala un EAP SuperCam). Para fuera de banda (OOB)
la consola de administracin web permite controlar interruptores y asignacin de VLAN de puertos
de usuario mediante el uso de SNMP.
Cisco NAC Appliance Agents: Agentes temporales opcionales de lectura que se encuentran en los
dispositivos clientes, este verifica las aplicaciones, archivos, servicios y claves de registro para
asegurar que los clientes cumplen con las especificaciones de acceso a la red.
Incluso este puede comprobar el registro del cliente a pesar de si un servidor de seguridad es
instalado y en funcionamiento (Firewall).
Cisco NAC Appliance Update: Actualizaciones regulares de pre-paquetes polticos y reglas que se
pueden utilizar de manera que comprueba en tiempo real los estados de los sistemas operativos,
antivirus, antispywares entre otros.
IB Virtual Gateway: Opera como un puente entre la red no confiable y el Gateway existente, mientras
provee evaluacin, filtrado y otros servicios.
II.
III.
OOB Virtual Gateway: Funciona como una puerta de enlace virtual durante la autentificacin y
certificacin antes de que el usuario sea cambiado a fuera de banda, es decir el usuario se conecta
directamente a la red de acceso.
IV.
Real OOB IP Gateway: Funciona como una puerta de enlace IP real durante la autentificacin y
certificacin al igual que el anterior.
Apagar el enrutamiento de los switches o routers capa 3 existentes para las sub-redes que desea
administrar.
Configurar la interfaz no fiable del CAS para ser la puerta de entrada para las sub-redes que desea
administrar.
Configurar la puerta de enlace predeterminada de la interfaz confiable del CAS para actuar como el
switch o router de capa 3.
Agregar rutas estticas en el switch o router capa 3 para enviar el trafico de las sub-redes
administradas al CAS.
Si usa su propio servidor DHCP modificar su configuracin para que la direccin de la puerta de enlace
predeterminada que pasa a los clientes sea la de la interfaz no confiable del CAS.
C ONFIGURACIN NAC
Configuracin NAC validacin de IP capa 2:
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip admission name nac eapoudp
Switch(config)# access-list 5 permit any any
Switch(config)# interface gigabitethernet 2/0/1
Switch(config-if)# ip access-group 5 in
Switch(config-if)# ip admission name nac
Switch(config-if)# exit
Switch(config)# aaa new-model
Switch(config)# aaa authentication eou default group radius
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 2
Switch(config)# radius-server host admin key rad123
Switch(config)# radius-server vsa send authentication
Switch(config)# eou logging
Switch(config)# end
Switch# show ip admission configuration
Configuracin EAPoUDP:
EAPoUDP es el protocolo que NAC en capa 2 utiliza para intercambiar informacin con los sistemas finales
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# eou logging
Switch(config)# eou allow clientless
Switch(config)# eou timeout revalidation 2400
Switch(config)# eou revalidate
Switch(config)# interface gigabitEthernet 1/0/4
Switch(config-if)# eou timeout status-query 600
Switch(config-if)# end
Switch# show eou