ÍNDICE
Introducción
Objetivos
Sistema de control de acceso basado en servicios
Plataforma de pruebas
Conclusiones
INTRODUCCIÓN
Redes universitarias y académicas
Doble función
Red en producción
Red para experimentación e investigación
Gestión de gran número de usuarios
Universidad del País Vasco (UPV/EHU)
50.000 usuarios
31 facultades distribuidas en 3 centros
Amplia oferta de servicios
Corporativos: web, correo, moodle, Internet, DNS.
Departamentos, grupos de investigación, profesores, alumnos: web, impresoras, (s)ftp, ssh, recursos de disco.
INTRODUCCIÓN
Tecnología de red basada en Ethernet
Red completamente conmutada
Empleo de routers restringido
Gestión de usuarios y servicios basada en VLANs
Perfiles de usuario basados en la asignación de VLAN
Asignación estática en función de puerto
Asignación dinámica en función de la identidad
Acceso a servicios en función del perfil
Cada perfil tiene acceso a un conjunto de recursos
Se desea un sistema más flexible
INTRODUCCIÓN
OBJETIVOS
Acceso a servicios controlado individualmente en función de la identidad del usuario
El sistema propuesto tiene que cubrir diversos aspectos:
Definición de servicio
Recurso de red a disposición de un conjunto de usuarios susceptible de ser controlado
Identificación de servicio
Genérica: definido a cualquier nivel
Unívoca: tiene que poder ser diferenciado del resto
OBJETIVOS
La seguridad es un aspecto fundamental de la solución
AAA: cada usuario debe ser autenticado y autorizado antes de poder acceder al servicio
Control de acceso: se realiza un control a nivel de red teniendo en cuenta la identificación que del servicio se haga
Asociado al acceso, es necesaria una fase de configuración
Ligado al proceso de AAA se desencadena un proceso de configuración
La configuración depende del servicio y de la identidad del usuario
Los nodos involucrados en la provisión del servicio son configurados adecuadamente y de forma segura
ACCESO BASADO EN SERVICIOS
Sistema de control de acceso basado en servicios
Definición de servicio
Seguridad
Autenticación y Autorización (AAA)
Control de acceso
Configuración
DEFINICIÓN DE SERVICIO
Situación previa
Conjunto de usuarios -> Perfil (VLAN) -> Conjunto de servicios
Servicio
Recurso de red a controlar
Definido a cualquier nivel, incluso multi-nivel
Definición en base a perfiles XML
Parámetros de servicio
Identifican unívocamente a los servicios
Parámetros de usuario
Contienen información específica de cada usuario
La identificación del servicio afecta directamente al control de acceso que se aplica en cada caso
DEFINICIÓN DE SERVICIO
< service id="EHUtb">
< flowid>
< !- Service related info –>
< dip>158.227.0.0/16< /dip>
< /flowid>
< clients>
< !- Client related info –>
< client id="jonatEHUtb">
< security>
< smac>00:01:02:03:04:05< /smac>
< /security>
< qos>
< bandwidth>10Mbps< /bandwidth>
< /qos>
< /client>
< /clients>
< /service>
SEGURIDAD: AAA
Cada usuario tiene que ser autenticado y autorizado antes de poder acceder al recurso
Se opta por un modelo de seguridad basado en el estándar IEEE 802.1X
Solución nativa y eficiente
Ampliamente utilizado en entornos WiFi y Ethernet
No es suficiente para el escenario planteado
Autentica la conexión a la red
Acceso total o nulo
Son necesarias varias modificaciones
SEGURIDAD: AAA
IEEE 802.1X
(Gp:) EAPoL
(Gp:) EAP
(Gp:) RADIUS
(Gp:) EAP
(Gp:) Authenticator
(Gp:) Supplicant
(Gp:) Authentication Server
SEGURIDAD: AAA
Modificaciones sobre IEEE 802.1X
Concepto de Puerto
Estándar: Puerto físico / Puerto lógico
Aportación: Puerto de servicio
Página siguiente |