Índice Situación actual. Problemática
Objetivo inicial del proyecto Solución tecnológica
Implantación del proyecto en la UIB Conclusiones
Situación Actual Puntos de acceso a la LAN “sin
control”: Aulas Informáticas Aulas Docencia ¿
Cómo lo intentamos “controlar” ? Control de
acceso al PC por Smartcard VLAN Alumnos Port Security Scheduler
de activación de puertos (Spectrum) ¿ Qué
tenemos ?
Índice Situación actual. Problemática
Objetivo inicial del proyecto Solución tecnológica
Implantación del proyecto en la UIB Conclusiones ?
Objetivo del Proyecto ¿ Qué pretendemos ? (Gp:)
Control de acceso de los USUARIOS a la RED (Gp:) Movilidad total
de los USUARIOS en la RED
Índice Situación actual. Problemática
Objetivo inicial del proyecto Solución tecnológica
Implantación del proyecto en la UIB Conclusiones ? ?
Solución Tecnológica Protocolo estandarizado el
2001 Port-Based Network Access Control Control de acceso de los
USUARIOS Autenciación (protocolo EAP) Autorización
básica (ON/OFF) Soportado por Windows Soportado por
fabricantes networking ¿ Cómo lo solucionamos ?
(Gp:) IEEE 802.1x
Solución Tecnológica ¿ Infraestructura IEEE
802.1x ? (Gp:) 802.1x (Gp:) RADIUS (Gp:) EAP over LAN (Gp:) EAP
over RADIUS (Gp:) 802.1x + (Gp:) Módulo EAP (Gp:) 802.1x
(Gp:) Módulo EAP (Gp:) RADIUS (Gp:) SWITCH (Gp:) PC
CLIENTE
Solución Tecnológica ¿ Funcionamiento IEEE
802.1x ? (Gp:) RADIUS (Gp:) PC CLIENTE (Gp:) Identity Request
(Gp:) EAPOL (Gp:) Identity Response (Gp:) EAPOL (Gp:) Access
Request (Gp:) EAPOR Fase Inicial: Identidad Usuario (Gp:)
SWITCH
(Gp:) EAP (Gp:) EAP Solución Tecnológica ¿
Funcionamiento IEEE 802.1x ? (Gp:) RADIUS (Gp:) PC CLIENTE Fase
Principal: Autenticación Usuario EAP MD5-Challenge EAP TLS
EAP TTLS EAP SIM, … (Gp:) SWITCH
Solución Tecnológica ¿ Funcionamiento IEEE
802.1x ? (Gp:) RADIUS (Gp:) PC CLIENTE (Gp:) Success/Failure
(Gp:) EAPOL (Gp:) Access Accept (Gp:) EAPOR Fase Final:
Autorización usuario (Gp:) SWITCH
Solución Tecnológica User Personalized Network Se
basa en IEEE 802.1X Movilidad de los USUARIOS Autorización
avanzada (perfil de red) Perfil de Red = {VLAN,L2,L3,L4,?B}
Soportado por algunos fabricantes ¿ Cómo lo
solucionamos ? (Gp:) UPN
Solución Tecnológica ¿ Funcionamiento UPN ?
(Gp:) RADIUS (Gp:) PC CLIENTE (Gp:) Success/Failure (Gp:) EAPOL
(Gp:) SWITCH (Gp:) Usuario ? Perfil de Red Perfil de Red =
Filter-Id (Gp:) Gestor Perfiles de Red (Gp:) Perfiles (Gp:)
Access Accept (Gp:) EAPOR (Gp:) Filter-Id
Solución Tecnológica ¿ Funcionamiento UPN ?
(Gp:) Gestor Perfiles de Red Switch 802.1x (Gp:) Servidor de
Autenticación
Índice Situación actual. Problemática
Objetivo inicial del proyecto Solución tecnológica
Implantación del proyecto en la UIB Conclusiones ? ?
?
Implantación en la UIB Autenticación de USUARIO por
smartcard (o TI) Integración del cliente en todo SO
Windows Control de sesión de red por TI Múltiples
sesiones de red en una única sesión Win. Aplicar
perfiles de red a grupos de usuarios Registrar en LOGs las
sesiones de red Gestionar en tiempo real el firewall de usuario
¿ Qué nos planteamos ?
Implantación en la UIB ¿ Cómo lo
solucionamos ? (Gp:) Desarrollo parte cliente en Windows (Gp:)
Desarrollo Servidor de Autenticación (Gp:)
Integración Gestor Perfiles de red
Implantación en la UIB Objetivo: autenticación por
smartcard (o TI) Problema: Windows NO soporta nuestras TIs
Soluciones posibles: Desarrollo CSP Desarrollo DLL EAP
Credenciales Usuario Desarrollo completo DLL EAP : Credenciales
Usuario Protocolo autenticación EAP Desarrollo parte
cliente
Implantación en la UIB Solución final: Desarrollo
completo DLL EAP: Credenciales de Usuario: smartcard Protocolo
EAP propio MD5-UIB-Challenge Desarrollo parte cliente
Implantación en la UIB Desarrollo parte cliente
Implantación en la UIB Solución final: Desarrollo
proceso control de sesión: Mantiene sesión si TI
insertada en lector Cierra sesión de red si se retira la
TI Reusamos control ActiveX PCSC de la UIB Resetea
Autómata 802.1x al finalizar Informa del estado de la
sesión de red Desarrollo parte cliente
Implantación en la UIB ¿ Es necesario este
desarrollo ? SI, no soportan MD5-UIB-Challenge ¿
Cómo podemos solucionarlo ? Con sofware RADIUS GNU
¿ Existe un RADIUS libre ? SI, el proyecto más
importante es freeradius Desarrollo Servidor
Autenticación
Implantación en la UIB Características de
freeradius: Soporta EAP (MD5-Challenge, PEAP, TLS, …) Ya
soporta MD5-UIB-Challenge !!! Versiones para diferentes UNIX y
LINUX Pasarelas para LDAP, SQL, … En constante desarrollo
www.freeradius.org Desarrollo Servidor Autenticación
Implantación en la UIB ¿ Qué hemos realizado
?: Reprogramar módulo EAP genérico Programar
módulo MD5-UIB-Challenge Añadir nuevos atributos al
DICTIONARY Crear aplicativo de importación de USUARIOS
Desarrollo Servidor Autenticación
Implantación en la UIB Gestor de Perfiles de Red NO es un
estándar Cada fabricante desarrolla el propio Enterasys
Networks: NetSight Atlas Policy Manager Definición de los
perfiles de red de los USUARIOS Carga los perfiles en los
switches UPN Filtra L2, L3, L4. Define VLAN y ?B Aplica los
filtros a las sesiones de red activas Integración Gestor
Perfiles de red
Implantación en la UIB CONFIGURACIÓN Y
FUNCIONAMIENTO
(Gp:) Definición Perfiles de Red (Gp:) 1
Implantación en la UIB Configuración Gestor
Perfiles de Red Policy Manager Servidor de Autenticación
freeradius PC cliente W2K/WXP
(Gp:) Creación Usuarios y asignación Filter-Id
(Gp:) 2 Implantación en la UIB Gestor Perfiles de Red
Policy Manager PC cliente W2K/WXP Servidor de
Autenticación freeradius Configuración
Implantación en la UIB Gestor Perfiles de Red Policy
Manager PC cliente W2K/WXP (Gp:) Configurar PCs y Switches 802.1x
(Gp:) 3 Servidor de Autenticación freeradius
Configuración
Implantación en la UIB Gestor Perfiles de Red Policy
Manager PC cliente W2K/WXP (Gp:) Cargar Perfiles en switches
(Gp:) 4 Servidor de Autenticación freeradius
Configuración
Implantación en la UIB Funcionamiento Gestor Perfiles de
Red Policy Manager PC cliente W2K/WXP Servidor de
Autenticación freeradius (Gp:) ¿Identidad?
Implantación en la UIB Funcionamiento Gestor Perfiles de
Red Policy Manager PC cliente W2K/WXP Servidor de
Autenticación freeradius (Gp:) EAP MD5-UIB-Challenge
Implantación en la UIB Funcionamiento Gestor Perfiles de
Red Policy Manager PC cliente W2K/WXP Servidor de
Autenticación freeradius (Gp:) Accept Filter-ID (Gp:)
Success
Implantación en la UIB Funcionamiento Gestor Perfiles de
Red Policy Manager PC cliente W2K/WXP Servidor de
Autenticación freeradius Filter-ID (Gp:) Logoff (Gp:)
Logoff
Situación actual. Problemática Objetivo inicial del
proyecto Solución tecnológica Implantación
del proyecto en la UIB Conclusiones Índice ? ? ? ?
Conclusiones Controlado el acceso de los USUARIOS a la Red
Solucionada la movilidad de los usuarios Abierto camino
tecnológico 802.1x-UPN UPNs = control total de usuarios en
la red Multitud lineas futuras de trabajo