SEGURIDAD: AAA
Protocolo EAPoL
Estándar
Autentica la conexión a la red
Un único proceso de forma simultánea
Aportación: EAPoL-in-EAPoL
Permite a un mismo usuario autenticar diferentes servicios
Implica modificaciones software tanto en el supplicant (usuario) como en el authenticator (nodo acceso)
Compatible con EAPoL: nuevo tipo de paquete
(Gp:) Authenticator
SEGURIDAD: AAA
EAPoL-in-EAPoL
(Gp:) RADIUS
(Gp:) EAP
(Gp:) RADIUS
(Gp:) EAP
(Gp:) EAPoL
(Gp:) Service
ID (1)
(Gp:) EAPoL
(Gp:) EAP
(Gp:) EAPoL
(Gp:) Service
ID (2)
(Gp:) EAPoL
(Gp:) EAP
SEGURIDAD: CONTROL ACCESO
Control de acceso a red basado en servicios
Depende de la definición e identificación del servicio
Afecta al estándar IEEE 802.1X
Relacionado con el concepto de puerto de servicio
Aportación
Control de acceso dinámico y granular
Se generan reglas de acceso en función de los parámetros de servicios y de usuario
Los parámetros se extraen de los perfiles XML
Implementación del control basada en una herramienta de filtrado de tramas a nivel dos (ebtables)
SEGURIDAD: CONTROL ACCESO
La autenticación exitosa de un servicio desencadena la creación de una serie de reglas de control de acceso asociada a dicho servicio
CONFIGURACIÓN
Asociado al proceso de autenticación se establece un proceso de configuración
La relación se establece en un contexto seguro
Desencadenado desde el servidor de autenticación
Se encarga de configurar adecuadamente todos los recursos de la red necesarios para la correcta provisión del servicio
La configuración depende de varios parámetros
Resultado del proceso de autenticación
Identidad del usuario y localización
Naturaleza del servicio
Particularidades de la red
CONFIGURACIÓN
Se utiliza NETCONF (RFC 4741)
Sistema de configuración y monitorización de red definido por el IETF
Capacidades avanzadas de configuración
Definición de configuraciones complejas
Permite mantener diferentes configuraciones, manejar errores, realizar rollback de configuraciones.
Configuraciones representadas en XML y agrupadas en módulos
Se definen varias operaciones
< edit-config>, < get-config>, < copy-config>, < lock>.
Se realizan sobre capa de transporte segura (SSH,.)
CONFIGURACIÓN
Aportaciones a NETCONF
Necesario unir el proceso de autenticación al posterior proceso de configuración
Interfaz Web Services para iniciar la configuración a través de NEFCONF desde el servidor de autenticación
Definición de un nuevo módulo ServicePort
Soporta nuevas capacidades de configuración para la identificación de servicios y control de acceso
Operaciones
RPC
Transporte
Módulos de
configuración
Operaciones
RPC
Transporte
Interfaz
Web
Web
Services
Módulo
ServicePort
NETCONF manager
NETCONF agent
< edit-config>
< ok>
PLATAFORMA PRUEBAS
Para acceder al servicio es necesario completar un proceso de seguridad
Cuando el cliente completa el proceso de seguridad, el servidor de autenticación invoca un proceso de configuración basado en NETCONF
Se envían los perfiles XML que permiten identificar los servicios. A partir de ellos se generan las correspondientes reglas de control de acceso
Se ofrece el servicio EHUtb
CONCLUSIONES
Sistema capaz de controlar a nivel de red y de forma individualizada el acceso de cada usuario a los servicio en base a su identidad
Nomadismo en el acceso
Mismos servicios con independencia de la localización
La gestión puede ser descentralizada
Basado en relación de confianza
Acceso gestionado por el proveedor del recurso
Controlar que el recurso que activa pertenezca al gestor
Propuesta basada en modificación de IEEE 802.1X
Múltiples procesos de autenticación simultáneos
Control basado en puerto de servicio
Identificación del servicio
CONCLUSIONES
Plataforma capaz de controlar acceso de usuarios por servicio
AAA basada en EAPoL-in-EAPoL
Gestión distribuida
Configuración en base a perfiles XML dinámicamente generados en función de la identidad del usuario
Creación de reglas de acceso aplicadas con ebtables
Incremento de la seguridad de la red
Solo flujos previamente autenticados
Control simultáneo del origen y del destino
LÍNEAS FUTURAS
Se está trabajando en una completa definición de servicios
Identificación de flujo de servicio a diversos niveles
Integración con definición de servicios MEF
Escenarios complejos: E-Line, E-LAN, E-Tree
Integración de QoS en la solución
Incluir parámetros de QoS en la fase de identificación
Con dependencia del servicio y la identidad de usuario
Aplicar políticas de calidad en la fase de configuración
Creación bajo demanda de recursos virtualizados
Al proceso de autenticación y configuración, se une el proceso de creación
Integración con servicios de e-Ciencia
La red como recurso para la experimentación
Creación de un framework para gestión de recursos y usuarios
 Página anterior | Volver al principio del trabajo | Página siguiente  |