DEPARTAMENTO DE ELECTRÓNICA, REDES Y COMUNICACIÓN DE DATOS Presentación de Proyecto de Grado Realizado por: Marco Paredes Samaniego Director: Ing. Marcelo Urbina Codirector: DR. Nikolai Espinosa
TEMA IMPLEMENTACIÓN DE UN PLAN PILOTO DE SEGURIDAD BAJO EL PROTOCOLO IEEE 802.1X PARA EL DEPARTAMENTO DE GESTIÓN TECNOLÓGICA DEL MINISTERIO DE TELECOMUNICACIONES Y SOCIEDAD DE LA INFORMACIÓN
Objetivo General Diseñar e implementar un plan piloto para la red de acceso del Ministerio de Telecomunicaciones y Sociedad de la información por medio del protocolo 802.1X con la finalidad de garantizar la conexión a la red de los funcionarios autorizados, al mismo tiempo que brindamos mayor seguridad a la información que se maneja en la institución.
OBJETIVOS ESPECIFICOS OBJETIVOS ESPECIFICOS Analizar las políticas a las cuales está sujeta la institución, para de este modo como administrador saber que restricciones debe tener cada departamento y funcionario del mismo. Realizar el respectivo estudio a cada uno de los dispositivos a los cuales vamos aplicar el estándar y servicios que necesita la aplicación. Implementar la autenticación dada por el estándar 802.1X a la red y realizar el respectivo análisis de la seguridad que este provee tano a nivel de usuario como de administrador. Analizar las ventajas que brinda el estándar en seguridad y control de los recursos de la red a partir de la implementación.
TOPOLOGÍA ACTUAL DEL MINTEL ANÁLISIS DEL PROTOCOLO LDAP ESTUDIO DE REQUERIMIENTOS PROTOCOLO EAP ESTÁNDAR IEEE 802.1X SERVIDOR AAA CONFIGURACIÓN DEL SERVIDOR CONFIGURACIÓN DEL AUTENTICADOR ADMINISTRACIÓN RECOMENDACIONES CONCLUSIONES ANÁLISIS DE RESULTADOS
TOPOLOGÍA DE RED DEL MINTEL
LDAP Protocolo compacto de acceso a directorio Tecnología que permite administrar a todos los usuarios acceder a la información de los mismos por medio de la base de datos, también por medio de este podemos administrar el hardware; este protocolo funciona con el protocolo TCP/IP.
Estudio de los requerimientos Trabajar en los problemas que actualmente aquejan a la administración y la comodidad de cada usuario, a pesar que existen normas y políticas de seguridad internas para el manejo de recursos de la red e información no siempre se las respeta. Control de servicios Control de aplicaciones Autenticación
SERVIDOR AAA Autenticación Autorización Contabilidad
AMENAZAS Amenazas Humanas AMENAZAS NATURALES AMENAZAS LÓGICAS Gusanos Troyano Cookies Keyloggers Amenazas Humanas
ATAQUES Por fuerza bruta El cartoneo Denegar servicios Captura de mensaje Trashing: Recolectar información
ESTÁNDAR 802.1X IEEE Acceso seguro a la red por medio de puertos Conexión punto a punto Conexiones Fijas Conexiones Inalámbricas
Modo de un solo host Multimodo Hosts Modo de autenticación multidominio
ANÁLISIS DEL PROTOCOLO EAP Protocolo de autenticación extensible, este protocolo lo que hace es cambiar la información del cliente con un servidor para poder autenticarse, este protocolo trabaja conjuntamente con el protocolo RADIUS “SERVICIO DE AUTENTICACIÓN REMOTA DE LLAMADA DE USUARIOS”. Las claves secretas Cifrado asimétrico
EAP-TLS Transport Layer Security , que utiliza el algoritmo de cifrado asimétrico RSA. EAP-TTLS el mismo que establece un túnel encriptado. PEAP que significa protección EAP que usa el túnel encriptado se puede o no usar certificados digitales. Por último se conoce el EAP-MSCHAPv2, el cuál funciona con un usuario y contraseña y se encapsulan en el EAP de MS-CHAP-v2.
CONFIGURACIÓN DE SERVICIO AAA Las configuraciones para el servidor AAA se la hizo en el sistema operativo Ubuntu 11.04 ya que muestra estabilidad en comparación a otras versiones, aquí instalamos el servicio de código abierto FREERADIUS que es uno de los más populares que nos ofrece RADIUS ya que tiene gran versatilidad, el mismo va a tener una base de datos para los usuarios y capacidad de responder a las peticiones de los usuarios para acceder a la red.
CONFIGURACIÓN DEL AUTENTICADOR La configuración del switch para que funcione como autenticador de la mano de nuestro servidor configurado en UBUNTU, como ya vimos nuestro switch es un cisco 2960 con iso 12.2 versión k9 el que es compatible con la configuración que vamos a realizar.
ANÁLISIS DE RESULTADOS Control de acceso y autenticación mutua Flexibilidad Escalabilidad Nivel de Seguridad alto con cifrado Autenticación de usuarios y de equipos
Alto rendimiento Bajo costo El método MD5 PEAP MSCHAP v2
CONCLUSIONES Lo que se logró con la implementación del estándar IEEE 802.1X es dar mayor seguridad a los recursos que forman parte de la red de la institución, sabiendo que todo sistema es vulnerable y tiene riesgos ya que no se puede ser cien por ciento seguro, se va obtener trabajando en conjunto con las herramientas que tiene contratado o implementando actualmente un nivel de seguridad aceptable y apta para información muchas veces confidencial que se maneja en una institución pública. El uso de software libre cada día tiene mayor acogida por los costos que se pueden dar, en este caso el sistema operativo de Linux escogido para la implementación del servidor Ubuntu es uno de los más estables, su configuración vía comandos es una de las más conocidas, para facilidad del usuario, existen herramientas web como Webmin, que ayuda al manejo de los programas instalados en el mismo como son phpmyadmin, Radius, entre otros ya que con la aplicación tenemos mayor facilidad de manipular, configurar carpetas, archivos.
El servidor instalado AAA funciona como se esperaba dentro de los parámetros configurados, dando acceso a todos los usuarios configurados en su base de datos y denegando el ingreso a los servicios a los usuarios que no lo están, la autenticación se realiza mediante usuario y contraseña para mayor seguridad, ya que si se realiza la autenticación vía MAC, no es de gran dificultad el clonar estas direcciones ya que existen software gratis para este fin. No podemos realizar una autenticación combinada, mediante usuario y contraseña unidos con la dirección MAC la que permitiría que solo un usuario maneje un dispositivo especifico mediante el uso del servidor que rechaza esta configuración. La configuración realizada nos permite manejar de cualquier forma la base de datos creada con el nombre de Radius, en donde se guardan las configuraciones que se le da a cada usuario creado en el servidor, la base de datos tiene conexión con los dos servicios que maneja el sistema operativo Ubuntu en este proyecto como lo son Radius y phpmyadmin, reflejándose las configuraciones en los dos servicios para poder administrar los mismos en el servicio que se desee.
Los métodos de autenticación que nos permite el estándar 802 Los métodos de autenticación que nos permite el estándar 802.1X son varios, cada uno con cierto tipo de seguridad adicional, como MD5 o PEAP protegido, que en nuestro caso fueron los escogidos por su facilidad de manejo ya sea en redes cableadas o inalámbricas. Para facilitar el control de la red el administrador puede acceder a Daloradius o a la vez puede seguir usando software que lo tiene contratado como lo es la herramienta Whatsapp para gestionar de mejor manera la red, crear alarmas de avisos para la seguridad y monitorear la saturación del uso del internet y con el servidor instalado podemos detectar el usuario exacto que está afectando a los recursos, la cantidad de excesos y a la vez el mismo puede visualizar las páginas que están siendo visitadas, y poner correctivos de forma oportuna.
RECOMENDACIONES La instalación del servidor Radius, utilitarios del mismo y programas que se utilizan para el funcionamiento correcto de los servicios instalados en la plataforma Ubuntu deben estar considerados en las últimas versiones que estén disponibles ya que al momento de la instalación estos no se realizan de forma correcta y generan errores, o a la vez no funcionan correctamente en su ejecución. Es de gran ayuda las aplicaciones web que se tienen como son las de phpmyadmin, Daloradius que ayudan a que las configuraciones de los servicios sea muy sencilla debido a que el sistema operativo Ubuntu en forma de comandos requiere un alto grado de conocimientos para realizar cualquier configuración de forma correcta. Es necesario que el administrador sepa cómo generar los logs ya que estos informan cómo está funcionando el servicio y en caso de error en que parte de la configuración tenemos la falla y el poder solucionarlo de forma oportuna. los registros que se manejan de los usuarios los podemos manipular de forma más sencilla en la aplicación Daloradius, el cual nos muestra ya sea por fechas, o historiales como el usuario accede a los recursos de la red para facilidad de la administración.
La ingeniería social es vital cuando se implemente totalmente el servidor y este en vigencia, para que cada funcionario no tenga problema en su forma de acceso a la red. Se debe monitorear periódicamente no solo el servidor AAA instalando sino también los servicios como MYSQL que funcionan de la mano con el servicio AAA, a más de esto se recomienda tener monitoreado los dispositivos que forman parte de la red como son los switch, Access point, ordenadores esto se puede hacer mediante un gestor de red como wathsapp. Es necesario que se tenga implementado el estándar IEEE 802.1X no solo en los ordenadores de los usuarios a la red sino también en los dispositivos que forman parte de la mtopología de la institución. El uso de certificados dentro de los métodos de autenticación en PEAP pueden ser demasiado costosos por la gran cantidad de usuarios que se tienen en la institución lo cual queda en consideración de análisis posteriores si estos se realizan o no posteriormente, pero se recomienda PEAP sin certificados como método seguro de autenticación o a su vez el método MD5 también es recomendado aunque se lo realiza más en redes cableadas que son la que más se maneja en la institución.
GRACIAS