Titulo: Tecnologas de confianza e identidad Gracias A: Luis Eduardo Ochaeta NetSec1V2 Modulo 4 Leccin 1 de 1 v2 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 2 NetSec1V2 Modulo 4 Recomendacin Introduccin AAA Tecnologas de autenticacin IBNS (Identity Based Networking Services) NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 3 Recomendacin Siguiendo las siguientes recomendaciones Ud puede hacer un mejor uso de su tiempo de estudio Mantenga sus notas y respuestas para todo su trabajo con este material en un lugar, para una referencia rpida Cuando ud tome un examen de prueba, escriba sus respuestas, estudios han demostrado que esto aumenta significativamente la retencin, incluso si no se ha visto la informacin original nuevamente Es necesario practicar los comandos y configuraciones en un laboratorio con el equipo adecuado Utilice esta presentacin como un material de apoyo, y no como un material exclusivo para el estudio de este captulo No presente el examen del capitulo, s Ud no ha terminado los laboratorios del capitulo Si se presenta algn problema, comunquese con su instructor 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 4 NetSec1V2 Modulo 4 Recomendacin Introduccin AAA Tecnologas de autenticacin IBNS (Identity Based Networking Services) NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 5 Introduccin Este modulo presenta una introduccin a los servicios de autenticacin, autorizacin y contabilizacin (AAA) Seguridad AAA es uno de los principales componentes de la infraestructura de seguridad de la empresa Otros conceptos son introducidos en este captulo como IBNS (cisco Identity Based Networking services) y NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 6 NetSec1V2 Modulo 4 Recomendacin Introduccin AAA Tecnologas de autenticacin IBNS (Identity Based Networking Services) NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 7 TACACS+ Terminal Access Controller Access Control System TACACS+ manda la informacin con usurario y password a un servidor de seguridad centralizada Dependiendo del tamao de la red y la cantidad de recursos, el AAAA puede ser implementado en un dispositivo de forma local o puede ser gestionado por medio de un servidor central corriendo los protocolos RADIUS o TACACS+ Versiones TACACS RFC 1492 puede ser implementado en Linux o Windows XTACACS define las extensiones que Cisco agrego a TACACS TACACS+ - es el protocolo mejorado que provee servicios AAA 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 8 RADIUS Remote Autentication Dial-In User Services Es una alternativa, en lugar de usar TACACS+ Desarrollado por Livingston Enterprises (ahora parte de Lucent Technologies), RADIUS tiene tres componentes Protocolo que usa UDP/IP Servidor Cliente Versiones IETF con aproximadamente 63 atributos Implementacin de Cisco con aproximadamente 58 atributos Implementacin de Lucent con aproximadamente 254 atributos 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 9 Comparacin
2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 10 NetSec1V2 Modulo 4 Recomendacin Introduccin AAA Tecnologas de autenticacin IBNS (Identity Based Networking Services) NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 11 Passwords estticos No es recomendable crear aplicaciones con usuarios y passwords estticos Es recomendable que estas aplicaciones consideren de forma automtica que el usuario cambien su password cada cierto tiempo a fin de incrementar el nivel de seguridad para estas implementaciones 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 12 One Time Passwords Algunos accesos remotos envan los passwords a travs de la red en texto plano, la captura de estos puede provocar problemas en la seguridad Una forma de resolver este problema de forma segura es usar algoritmos que permitan el uso del password solamente una vez, esto es lo que hace S/key S/Key usa MD4 (Message Digest 4) o MD5 (Message Digest 5) desarrollado por Ron Rivest, para la creacin de passwords de un sola utilizacin Otros mtodos de autenticacin con OTP, es usando Tokens, o tarjetas inteligentes junto con un servidor de passwords, el cual es distribuido a cada usuario como un PIN que se genera cada vez que el usuario quiere acceder a algn servicio remoto 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 13 Certificados digitales Una firma o certificado digital es un cdigo hash encriptado que se agrega al documento La firma digital est basada en una combinacin de una llave pblica encriptada y un algoritmo hash de una va La validacin se hace por medio de un CA (Certificate Authority), el cual puede ser de terceros y es un ente confiable tanto para el que enva y el que recibe la informacin Para validar la firma el receptor debe primero saber la llave publica, la cual es distribuida en otro momento, o durante la instalacin 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 14 Herramientas Biomtricas Lector de huella digital Reconocimiento de voz Reconocimiento de rasgos faciales Reconocimiento de firma 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 15 NetSec1V2 Modulo 4 Recomendacin Introduccin AAA Tecnologas de autenticacin IBNS (Identity Based Networking Services) NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 16 Introduccin a IBNS Es una integracin de soluciones combinando una serie de productos Cisco, los cuales ofrecen control de autenticacin, polticas y acceso a recursos El Framework empresarial IBNS ofrece movilidad y reduce costos de sobrecarga asociados a permitir y manejar el acceso seguro a los recursos Equipos Catalyst 2960, 3560, 3750 Aironet 1100, 1200, 1300 Routers 2811, 2821, etc 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 17 802.1x Es un estndar definido por IEEE, diseado para proveer acceso a la red basado puertos seguros 802.1x autentica a los clientes usando informacin nica para cada cliente y con credenciales conocidos nicamente por el cliente Este servicio es llamado port-level authentication ya que por razones de seguridad, es configurado en cada uno de los puertos de cada punto de acceso Procesos El punto de acceso en busqueda de acceso utilizando el supplicant El dispositivo al cual el punto de acceso pide autorizacin, procede a dar el acceso, es conocido como el autenticador El autenticador acta como puerta de enlace para el servidor de autenticacin y es responsable por la credenciales del dispositivo de acceso Beneficios Soporte para autenticacin 802.1x Autenticacin basada en direccin MAC Polticas de autorizacin por defecto Contenedores multiples de informacion IP (Multiple DHCP pools) Topologas inalmbrica y alambica Punto a punto Inalmbrica 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 18 NetSec1V2 Modulo 4 Recomendacin Introduccin AAA Tecnologas de autenticacin IBNS (Identity Based Networking Services) NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 19 Componentes NAC Software de seguridad de punto de acceso Dispositivos de acceso a la red Servidor de polticas Sistema de mantenimiento 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 20 Fases NAC Fase 1 Liberada en junio del 2004, permite a los routers Cisco comunicarse con los agentes de confianza para reunir informacin y credenciales de seguridad a fin de reforzar la poltica de admisin Fase 2 Los Switches Cisco en esta fase permiten asignar puntos de acceso a segmentos en cuarentena por medio de VLANs, en donde residen servidores que puedan tomar polticas a fin de remediar estos problemas 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 21 Operacin NAC 1.- El cliente enva un paquete a travs del router NAC 2.- NAD (Network Access Devices) inician la validacin usando EAP sobre UDP 3.- El cliente enva credenciales por medio de EOU al NAD 4.- NAD manda la resolucin al Cisco ACS (Access Control Server) usando RADIUS 5.- Cisco ACS pide la validacin de la resolucin usando HCAP (Host Credential Authorizatio Protocol) dentro de un tnel HTTPS 6.- El servidor enva la resolucin (pass, fail, quarantine, etc) 7.- Para permitir o denegar el acceso, el Cisco ACS enva el aceptar con una redireccin ACLs/URL 8.- NAD re-enva esta resolucin al cliente 9.- El cliente es autorizado, denegado, redireccionado o contenido 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 22 Participacin de marcas
2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 23 NetSec1V2 Modulo 4 Recomendacin Introduccin AAA Tecnologas de autenticacin IBNS (Identity Based Networking Services) NAC (Network Admission Control) 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 24 Tiene alguna pregunta? 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 25 The Human Network: Changing the way we Work, Live, Play, and Learn. 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BSCI 8 - 5 26 http://netacad.galileo.edu