DISEO DE UN SISTEMA DE AUTENTICACIN DE USUARIOS 802.

1X CON ASIGNACIN DE VLAN DINMICA

Bach. Ing. Edgar Julin Huamanahui accha

Problema


Riesgo de acceso no autorizado a los recursos de la red por falta de un sistema de autenticacin fiable. Lentitud en la red Dificultad en el desplazamiento de los usuarios por la empresa que deben recurrir a un administrador de red para la configuracin de sus puntos de acceso

 

Evaluacin del problema



La falta de polticas de seguridad para el control de acceso a la red generan

Estaciones de trabajo infectadas por malwares. Espionaje industrial. Robo de informacin confidencial y/o privada. Intrusin en servidores y estaciones de trabajo. Acceso y conocimiento de la topologa de la red local. Fraudes , ataques locales, captura de contraseas

Se experimentan sntomas de lentitud y una respuesta tarda ante los requerimientos de sus usuarios, incluso para simples usos cmo descargar correos o navegar por la Internet.

el empleado al movilizarse con el dispositivo mvil se ve obligado a coordinar con los administradores de red para que ejecuten las configuraciones necesarias; sin embargo en algunas circunstancias el administrador de red no se encuentra disponible o se encuentra realizando otras labores, lo que genera para el empleado un retraso en sus propias obligaciones.

Objetivo


Desarrollo de un sistema de autenticacin de usuarios (empleados o visitantes) asegurando el uso de los recursos de la red (intranet e Internet) de acuerdo a los perfiles de cada usuario o cliente, y que permita a los terminales de los usuarios su desplazamiento por la empresa sin la necesidad de recurrir a un administrador de red

La solucin se hace efectiva mediante la segmentacin de la red (VLAN) y la utilizacin de servidores ACS y TOKEN
ACS contiene el perfil y permitiendo las VLAN dinmica. (segmentacin de red) TOKEN efecta la verificacin de las contraseas de los terminales que solicitan el acceso a la red.

Alcance de la solucin
 

Mecanismos de seguridad Aspectos no incluidos

Mecanismos de seguridad


La red LAN se debe segmentar por medio de VLAN de acuerdo a las reas de trabajo, A cada usuario se le debe asignar una IP esttica la cual la conocen muy bien. No se debe utilizar ningn servidor DHCP. La empresa debe contar con una infraestructura LAN switching basada en equipos de la marca CISCO, que son los que estn considerados dentro de la presente solucin, con lo que se tiene un escenario adecuado para la implementacin de la autenticacin con 802.1X.

Se debe restringir el acceso total a personal no autorizado. El usuario debe poder autenticarse en cualquier punto de red, dentro de las reas de trabajo, sin solicitar al administrador de red la configuracin previa. Se debe contar con una zona para invitados autorizados con acceso slo a Internet.

A cada usuario se le debe asignar un token digipass GO3 con su respectivo PIN para que pueda acceder a la red LAN. En el firewall de la empresa se deber crear polticas de acceso de acuerdo al perfil de cada usuario. Se deber hacer uso de la infraestructura de la empresa, la que cuenta con firewall redundante, servidor RADIUS Cisco Secure ACS y switches de la marca CISCO con soporte 802.1X.

Se considera adems:
Comprar de un segundo servidor RADIUS Vacman Middleware con 100 token que permitan el uso de claves dinmicas. Comprar del software suplicante SSC que se debe instalar en cada PC de los usuarios. Autenticar las impresoras de red mediante su direccin MAC e imponer reglas especficas para el servicio que brinda.

Aspectos no incluidos


No se considera el cableado estructurado, los accesorios para montaje en rack, los patch panels, los ordenadores de cable, etc., as como el energizado y/o cableado de energa. No se realizar postvalidacin del estado de las PC luego de autenticarse e ingresar a la red, ni durante el tiempo que permanece conectado. Los servidores de la intranet de la empresa no formarn parte de esta solucin, esto se encuentran protegidos por otra poltica de seguridad que est fuera del alcance de esta solucin.

Metodologa para la solucin del problema

Esquema de la solucin

El El terminal acceso Token Es donde Es ejecuta unadispositivo de red o NAD punto de o cliente o autenticador.- se cualquier aplicacin denominada El servidorcontrol de acceso o ACS (Access Control Server).-verificacin y de (host).- (Vacman Middleware).- Ejecuta la Contiene el El suplicante o SSC (Cisco servidor de (Network Access Device).Secure Service Client)switch osolicita permiso para Este puede ser un la cual un access point accesoresponde al servidor ACS con un mensaje de acceso-aceptado o (wireless) perfil del usuario,al conectarse a ella en cualquier punto de acceso.para su se este a su vez consulta al servidor de token, El el acceder a la red cual es el encargado de detectar al cliente y comunicarse con usuario un servidor de rechazado. aprobacin. su user-id y su contrasea. La contrasea que se ingresar es ahora autentica con control de acceso o servidor de autenticacin (ACS),
el nmero que se muestra en el Digipass Go 3 ms su PIN.

Esquema de la solucin

Una el servidor ACS recibe el mensaje de acceso-aceptado, el usuario que 2. El autenticador autoconfigura el puerto donde estslo a los este le enva 1. Si vez autenticado, el usuario tiene acceso conectado recursos con 3. Finalmente, el usuario recibe el mensaje firewall de la empresa.recin es la de acceso-aceptado, fueron configurados previamente esto acceso-aceptado ms y Esta tiene la VLAN que este debe pertenecer. A ende se le denomina asignacin de VLAN al auntenticador (Switch) el mensaje el nmero de acceso a por la que los usuarios usan IP estticas. Cada la empresa. la red para acceder a los diferentes recursos de usuario conoce cual razn dinmica.que el usuario pertenece. VLAN es su IP

Aspectos tcnicos
     

Firewall VPN Firewall Brick Servidor Cisco Secure ACS Servidor Vacman Middleware. Digipass GO 3 Cisco Catalyst Switches Cisco Secure Services Client (SSC)

VPN Firewall Brick

Integra inspeccin a la capa de aplicacin. Provee funcin de firewall con capacidades de VPN avanzadas para oficinas pequeas, medianas y grandes a travs de los requisitos de centros de datos. Se administra con un servidor de gestin de seguridad (SMS) Alcatel-Lucent que contiene: el software para firewall, VPN, calidad de servicio y VLAN slido y perfectamente sincronizado, y gestin de polticas de firewall virtual.

Cisco Secure ACS

Solucin nica que ofrece la AAA para ambas TACACS + y RADIUS, a diferencia de muchos servidores de autenticacin de nivel empresarial Servicio automtico de seguimiento Base de datos de la sincronizacin y la importacin de herramientas para los despliegues a gran escala LDAP autenticacin de usuario de apoyo Usuario con acceso administrativo y de informacin Restricciones de acceso a la red basado en criterios tales como la hora del da y el da de la semana Usuario y grupo de perfiles de dispositivo

Servidor Vacman Middleware Suite de software para organizaciones de todos los tamaos que necesitan autenticar a usuarios remotos que acceden a la red y recursos de la empresa. Es utilizado para verificar las solicitudes de autenticacin y la administracin centralizada de las polticas de autenticacin de los usuarios. Junto con los Tokens DIGIPASS proporciona autenticacin robusta y segura para el acceso a las aplicaciones web, aplicaciones empresariales y redes privadas virtuales

Digipass GO 3

Switches Cisco Catalyst

construyen una red inteligente sobre la cual se brindan funcionalidades cada vez ms importantes en el mundo de negocios de hoy:

Cisco Secure Services Client (SSC) aplicacin de software que permite a empresas desplegar marco de autenticacin nica a travs de dispositivos de punto final para el acceso a redes de cable e inalmbricas ofrece una solucin de cliente de administracin simplificada, seguridad robusta, y un menor costo total de propiedad.

Resultado del funcionamiento

 

De la autenticacin 802.1X Del funcionamiento de asignacin de VLAN dinmicas

De la autenticacin 802.1X
Escenario 1. Usuario que no cumple con Polticas de Seguridad

Denegacin de acceso a usuarios no autorizados

Intento de conexin fallida por usuario desconocido

Acceso fallido por contrasea (PIN) incorrecta

Escenario

2. Usuario que cumple con las Polticas de

Seguridad

Aceptacin de acceso a la red

Evidencia de la autenticacin exitosa

Asignacin de VLAN dinmicas

Perfil del usuario user_demo en el Servidor ACS

Configuracin dinmica del puerto del switch

Cambio de estado del puerto de acceso

Desarrollo de trabajos

 

Definicin de las actividades Establecimiento de la Secuencia y Duracin de las actividades.

Definicin de las actividades

Se efectan utilizando la tcnica de Descomposicin, mediante plantillas proporcionadas por la oficina de gerencia de proyectos (PMO), se utiliza el juicio de expertos y la planificacin gradual.

Establecimiento de la secuencia y duracin de las actividades

Diseo de Arquitectura
Diseo de Configuracin

RUTA CRITICA:

Diseo de Infraestructura

LAN
INICIO

ADQUISICIN

EJECUCIN

FIN

SISTEMA DE
SEGURIDAD
Capacitacin

Diagrama de red del cronograma del proyecto

Diagrmas Fsico y lgico

Topologa fsica

Topologa lgica

Conclusiones y Recomendaciones

Con la realizacin de este informe de suficiencia se pudieron identificar los conceptos de redes cableadas, seguridad para este tipo de redes y conceptos relacionados con los protocolos RADIUS, EAP, y el estndar 802.1X, adems de la implementacin de un sistema de seguridad a travs de la autenticacin de los usuarios para el acceso a una red cableada

La implementacin del control de acceso en la red cableada de la organizacin permiti contar con un sistema de seguridad en el que slo los usuarios que se autentiquen podrn accesar a la red; con lo anterior se aprecia que el sistema de seguridad implementado cubre la necesidad de la organizacin y dio solucin a su problemtica de restringir el acceso a personas no autorizadas, llevando consigo estadsticas sobre el nmero de dispositivos autenticados, las autenticaciones exitosas y las fallidas.

Adems de simplificar lo traslados dentro de las oficinas, eliminando la necesidad de reasignar manualmente los puertos o realizar cambios en el cableado cuando los empleados cambian de ubicacin; se ha aadido un valor agregado que es la movilidad a los usuarios, que ahora pueden desplazarse con sus laptops y conectarse a cualquier punto de red y estar tranquilos que podrn acceder a sus recursos de siempre

Finalmente con la implementacin del Servidor Vacman Middleware se ha logrado reducir los riesgos de seguridad asociados con las contraseas de un solo factor

FIN

Figura 2.11 Estado del puerto 802.1X

Resumen de levantamiento de la Informacin

Segmentacin de la RED

Clculo de la Segmentacin
Los datos que se conoce es el ID y la mscara de la red. ID de la red: 192.168.173.0 Mscara: 255.255.255.0

Clculo de la Segmentacin

Clculo de la Segmentacin

Polticas de accesos

Productos adquiridos, Inversin total realizada