© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Titulo: Tecnologías de confianza e identidad Gracias A: Luis Eduardo Ochaeta NetSec1V2 Modulo 4 – Lección 1 de 1 v2

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI NetSec1V2 Modulo 4 Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Recomendación  Siguiendo las siguientes recomendaciones Ud puede hacer un mejor uso de su tiempo de estudio Mantenga sus notas y respuestas para todo su trabajo con este material en un lugar, para una referencia rápida Cuando ud tome un examen de prueba, escriba sus respuestas, estudios han demostrado que esto aumenta significativamente la retención, incluso si no se ha visto la información original nuevamente Es necesario practicar los comandos y configuraciones en un laboratorio con el equipo adecuado Utilice esta presentación como un material de apoyo, y no como un material exclusivo para el estudio de este capítulo No presente el examen del capitulo, sí Ud no ha terminado los laboratorios del capitulo Si se presenta algún problema, comuníquese con su instructor

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI NetSec1V2 Modulo 4 Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Introducción  Este modulo presenta una introducción a los servicios de autenticación, autorización y contabilización (AAA)  Seguridad AAA es uno de los principales componentes de la infraestructura de seguridad de la empresa  Otros conceptos son introducidos en este capítulo como IBNS (cisco Identity Based Networking services) y NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI NetSec1V2 Modulo 4 Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI TACACS+ Terminal Access Controller Access Control System  TACACS+ manda la información con usurario y password a un servidor de seguridad centralizada  Dependiendo del tamaño de la red y la cantidad de recursos, el AAAA puede ser implementado en un dispositivo de forma local o puede ser gestionado por medio de un servidor central corriendo los protocolos RADIUS o TACACS+  Versiones TACACS – RFC 1492 puede ser implementado en Linux o Windows XTACACS – define las extensiones que Cisco agrego a TACACS TACACS+ - es el protocolo mejorado que provee servicios AAA

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI RADIUS Remote Autentication Dial-In User Services  Es una alternativa, en lugar de usar TACACS+  Desarrollado por Livingston Enterprises (ahora parte de Lucent Technologies), RADIUS tiene tres componentes Protocolo que usa UDP/IP Servidor Cliente  Versiones IETF con aproximadamente 63 atributos Implementación de Cisco con aproximadamente 58 atributos Implementación de Lucent con aproximadamente 254 atributos

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Comparación

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI NetSec1V2 Modulo 4 Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Passwords estáticos  No es recomendable crear aplicaciones con usuarios y passwords estáticos  Es recomendable que estas aplicaciones consideren de forma automática que el usuario cambien su password cada cierto tiempo a fin de incrementar el nivel de seguridad para estas implementaciones

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI One Time Passwords  Algunos accesos remotos envían los passwords a través de la red en texto plano, la captura de estos puede provocar problemas en la seguridad  Una forma de resolver este problema de forma segura es usar algoritmos que permitan el uso del password solamente una vez, esto es lo que hace S/key  S/Key usa MD4 (Message Digest 4) o MD5 (Message Digest 5) desarrollado por Ron Rivest, para la creación de passwords de un sola utilización  Otros métodos de autenticación con OTP, es usando Tokens, o tarjetas inteligentes junto con un servidor de passwords, el cual es distribuido a cada usuario como un PIN que se genera cada vez que el usuario quiere acceder a algún servicio remoto

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Certificados digitales  Una firma o certificado digital es un código hash encriptado que se agrega al documento  La firma digital está basada en una combinación de una llave pública encriptada y un algoritmo hash de una vía  La validación se hace por medio de un CA (Certificate Authority), el cual puede ser de terceros y es un ente confiable tanto para el que envía y el que recibe la información  Para validar la firma el receptor debe primero saber la llave publica, la cual es distribuida en otro momento, o durante la instalación

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Herramientas Biométricas  Lector de huella digital  Reconocimiento de voz  Reconocimiento de rasgos faciales  Reconocimiento de firma

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI NetSec1V2 Modulo 4 Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Introducción a IBNS  Es una integración de soluciones combinando una serie de productos Cisco, los cuales ofrecen control de autenticación, políticas y acceso a recursos  El Framework empresarial IBNS ofrece movilidad y reduce costos de sobrecarga asociados a permitir y manejar el acceso seguro a los recursos  Equipos Catalyst 2960, 3560, 3750 Aironet 1100, 1200, 1300 Routers 2811, 2821, etc

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI x  Es un estándar definido por IEEE, diseñado para proveer acceso a la red basado puertos seguros  802.1x autentica a los clientes usando información única para cada cliente y con credenciales conocidos únicamente por el cliente  Este servicio es llamado ¨port-level authentication¨ ya que por razones de seguridad, es configurado en cada uno de los puertos de cada punto de acceso  Procesos El punto de acceso en busqueda de acceso utilizando el ¨supplicant¨ El dispositivo al cual el punto de acceso pide autorización, procede a dar el acceso, es conocido como el autenticador El autenticador actúa como puerta de enlace para el servidor de autenticación y es responsable por la credenciales del dispositivo de acceso  Beneficios Soporte para autenticación 802.1x Autenticación basada en dirección MAC Políticas de autorización por defecto Contenedores multiples de informacion IP (Multiple DHCP pools)  Topologías inalámbrica y alambica Punto a punto Inalámbrica

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI NetSec1V2 Modulo 4 Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Componentes NAC  Software de seguridad de punto de acceso  Dispositivos de acceso a la red  Servidor de políticas  Sistema de mantenimiento

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Fases NAC  Fase 1 Liberada en junio del 2004, permite a los routers Cisco comunicarse con los agentes de confianza para reunir información y credenciales de seguridad a fin de reforzar la política de admisión  Fase 2 Los Switches Cisco en esta fase permiten asignar puntos de acceso a segmentos en cuarentena por medio de VLANs, en donde residen servidores que puedan tomar políticas a fin de remediar estos problemas

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Operación NAC  1.- El cliente envía un paquete a través del router NAC  2.- NAD (Network Access Devices) inician la validación usando EAP sobre UDP  3.- El cliente envía credenciales por medio de EOU al NAD  4.- NAD manda la resolución al Cisco ACS (Access Control Server) usando RADIUS  5.- Cisco ACS pide la validación de la resolución usando HCAP (Host Credential Authorizatio Protocol) dentro de un túnel HTTPS  6.- El servidor envía la resolución (pass, fail, quarantine, etc)  7.- Para permitir o denegar el acceso, el Cisco ACS envía el aceptar con una redirección ACLs/URL  8.- NAD re-envía esta resolución al cliente  9.- El cliente es autorizado, denegado, redireccionado o contenido

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Participación de marcas

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI NetSec1V2 Modulo 4 Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control)

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI Tiene alguna pregunta?

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI The Human Network: Changing the way we Work, Live, Play, and Learn.

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialBSCI