Implementación de un sistema automatizado de control de acceso a una red LAN.

(1)

Instituto Politécnico Nacional

Escuela Superior de Ingeniería Mecánica y Eléctrica Unidad Culhuacan

Seminario de Titulación

“Seguridad de la Información”

Implementación de un sistema automatizado de control de acceso a una red LAN

MÉXICO D.F., JUNIO DE 2009

TESINA

QUE PARA OBTENER EL TITULO DE

INGENIERO EN COMUNICACIONES Y ELECTRONICA PRESENTAN :

FLORES CHAVEZ FERNANDO RODRIGUEZ LUNA ALEJANDRO

RUIZ RUIZ MAURO

Y PARA OBTENER EL TITULO DE LICENCIADO EN CIENCIAS DE LA INFORMATICA

PRESENTA :

CRUZ BAZÁN OSCAR

Asesores:

DR. GABRIEL SANCHEZ PÉREZ

M. EN C. MARCOS ARTURO ROSALES GARCÍA VIGENCIA: DES/ESIME-CUL/23/08

(2)

(3)

Implementación de un Sistema automatizado de control de acceso a una red LAN 1 Seguridad de la Información

INDICE

OBJETIVO. ... 4

JUSTIFICACIÓN. ... 5

CAPITULO I. LA SEGURIDAD INFORMÁTICA. ... 6

1.1 Seguridad Informática. ... 6

1.2 Organismos oficiales de seguridad informática. ... 7

1.3 Importancia de la seguridad informática. ... 8

1.4 Ataques y amenazas en la seguridad informática. ... 8

1.5 Amenazas a la seguridad informática. ... 10

1.6 Controles de seguridad. ... 11

1.6.1 Controles físicos ... 12

1.6.2 Controles técnicos ... 12

1.6.2.1 Controles lógicos basados en red. ... 13

1.6.2.2 Controles lógicos basados en Host. ... 15

1.6.3 Controles administrativos. ... 17

1.7 Roles. ... 20

CAPITULO II. DESCRIPCIÓN DE UN NAC ... 22

2.1 Que es un NAC (Network Access Control)... 22

2.2 Tipos de NAC ... 23

2.3 Operación de un NAC ... 23

2.4 Elementos de un NAC ... 24

2.4.1 Equipo cliente. ... 25

2.4.2 Autenticador. ... 25

2.4.3 NAC Gateway. ... 25

2.4.4 Servidor de autenticación. ... 25

2.4.4.1 Autenticación basada en MAC. ... 25

2.4.4.2 Autenticación basada en 802.1X. ... 26

2.4.4.3 EAP-MS-CHAP v2. ... 29

(4)

2.4.4.4 Servidor RADIUS. ... 29

2.4.4.5 Servidor Kerberos. ... 30

2.4.4.6 Protocolo de autenticación de contraseña (PAP). ... 31

2.4.4.7 Protocolo de autenticación de contraseña (CHAP). ... 31

2.4.5 Servidor de Remediación. ... 31

2.5 Modos de operación de un Nac. ... 32

CAPITULO III. ANALISIS Y DISEÑO DEL PROYECTO. ... 36

3.1 Antecedentes de la empresa. ... 36

3.2 Infraestructura Tecnológica Instalada ... 36

3.3 Política de seguridad de acceso a la red. ... 37

3.4 Problemática detectada en la empresa. ... 40

3.5 Solución propuesta. ... 41

3.6 Diseño del proyecto. ... 43

CAPITULO IV. IMPLEMENTACIÓN DEL PROYECTO ... 46

4.1 Actividades de implementación. ... 46

4.2 Fase 1. Escenario de pruebas. ... 46

4.2.1 Diagrama de conectividad. ... 47

4.3 Fase 2. Puesta en producción. ... 58

CONCLUSIONES. ... 60

REFERENCIAS BIBLIOGRAFICAS. ... 61

GLOSARIO. ... 62

(5)

INDICE DE FIGURAS.

Figura 2.1 Arquitectura IEEE 802.1X ... 27

Figura 2.2 Proceso de Autenticación con EAP ... 29

Figura 3.1 Diagrama de conexión de red local ... 37

Figura 3.2 Procedimiento Manual de Acceso a la Red ... 40

Figura 3.3 Estudio de mercado ... 42

Figura 3.4 Diseño de solución ... 43

Figura 4.1 Plan de actividades ... 46

Figura 4.2 Diagrama de conexión de red Laboratorio ... 47

Figura 4.3 Elementos de una política ... 48

Figura 4.4 Perfil Básico ... 49

Figura 4.5 Perfil Avanzado ... 49

Figura 4.6 Roles ... 49

Figura 4.7 802.1x ... 50

Figura 4.8 EAP ... 51

Figura 4.9 MSCHAP ... 51

Figura 4.10 Radius ... 52

Figura 4.11 Radius Switch ... 53

Figura 4.12 Radius Puertos ... 53

Figura 4.13 Autenticación ... 54

Figura 4.14 Violación a Política ... 55

Figura 4.15 Cuarentena ... 55

Figura 4.16 Remediación ... 56

Figura 4.17 Revalidación ... 56

Figura 4.18 Acceso Autorizado_1 ... 57

Figura 4.19 Acceso Autorizado_2 ... 58

Figura 4.20 Diagrama de conexión de red NAC ... 59

(6)

0 OBJETIVO.

Proponer e implementar una solución de control automatizado de acceso a la red (NAC, Network Access Control), para garantizar el cumplimiento de la política de seguridad de acceso a los servicios de red de una empresa.

(7)

0 JUSTIFICACIÓN.

El avance acelerado de la sociedad en el mundo, principalmente en el ámbito tecnológico ha traído como consecuencia el desarrollo de amenazas informáticas que pueden comprometer la operación de una organización. Con base en lo anterior las organizaciones están adoptando mecanismos automatizados que permiten monitorear, controlar y administrar permanentemente las condiciones de operación de su infraestructura de red, a fin de mantener la disponibilidad y confidencialidad de su información.

La implementación de un sistema NAC, permitirá a una Institución administrar mediante políticas previamente configuradas, la admisión de usuarios y dispositivos a la red institucional, estableciendo parámetros de autenticación, revisión y remediación, a fin de garantizar de una manera automatizada el cumplimiento de las políticas de seguridad definidas por la organización.

(8)

Implementación de un Sistema automatizado de control de acceso a una red LAN 6 Seguridad de la Información 1 CAPÍTULO I. LA SEGURIDAD INFORMATICA.

CAPITULO I. LA SEGURIDAD INFORMÁTICA.

1.1 SEGURIDAD INFORMÁTICA.

La seguridad de la información según ISO 27001, es la preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas [1].

Se entiende como seguridad, una característica de cualquier sistema (informático o no) el cual indique que esté libre de peligro, daño o riesgo. Sin embargo este concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro.

Para que un sistema se pueda definir como seguro se debe dotar de tres características: Integridad, Confidencialidad y Disponibilidad, dependiendo de las fuentes de amenazas. Seguridad informática, consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

La seguridad informática debe garantizar:

La Disponibilidad de los sistemas de información.

La Integridad de la información.

La Confidencialidad de la información.

Dentro de la seguridad informática se tienen los siguientes tipos:

Seguridad de la información Seguridad de la red

Seguridad de Internet

(9)

1.2 ORGANISMOS OFICIALES DE SEGURIDAD INFORMÁTICA.

Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, se hablará de dos en particular. El CERT/CC (Computer Emergency Response Team Coordination Center) y el SEI (Software Engineering Institute) de la Carnegie Mellon University. Son centros de alertas y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

CERT/CC (Computer Emergency Response Team Coordination Center)

El CERT/CC, posiblemente el más conocido en el grupo del Programa de CERT, aborda los riesgos en el software y el nivel del sistema. A pesar de que fue establecido como un equipo de respuesta a incidentes, el CERT/CC ha evolucionado más allá de eso, se centra en identificar y abordar las amenazas actuales y potenciales [2].

Uno de los principales objetivos, es analizar el estado de seguridad de Internet y transmitir esa información a la comunidad de Internet. El CERT/CC se encarga del monitoreo de fuentes públicas de información y vulnerabilidades, además de recibir regularmente informes de las debilidades encontradas que después de analizarlas, los expertos informarán a los productores de tecnologías para trabajar en conjunto con ellos para facilitar su respuesta a estos problemas.

SEI (Software Engineering Institute)

El SEI colabora estrechamente con la defensa, las organizaciones gubernamentales, la industria y la academia para mejorar continuamente los sistemas de software intensivo [3].

Para lograr esto:

Se lleva a cabo la investigación para explorar las soluciones a los problemas de ingeniería de software.

Identifica y codifica las soluciones tecnológicas y metodológicas de identificación y codificación.

Prueba y rectifica las soluciones a través de programas piloto que ayuden a la industria y el gobierno a resolver sus problemas.

Difunde soluciones ampliamente prácticas a través de la información, la concesión de licencias, y la publicación de las mejores soluciones.

(10)

1.3 IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA.

El constante avance tecnológico, así como social en los últimos años ha demostrado que la información es un activo de un alto valor estratégico que a su vez se convierte en una ventaja competitiva para las organizaciones e incluso para la vida personal, esto trae como consecuencia el aumento de delitos informáticos.

La existencia de personas ajenas a la información personal o institucional, también conocidas como piratas informáticos, hackers o incluso empleados de la propia institución, que buscan la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, además del inexistente conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.

En ese sentido, la seguridad informática tiene como objetivo la salvaguarda de los activos contra daños, destrucción, uso no autorizado o robo; mantiene la integridad de los datos, permitiendo que la información electrónica sea oportuna, precisa, confiable y completa; ayuda a alcanzar las metas institucionales y permite el uso eficiente de los recursos tecnológicos destinados para el procesamiento de la información.

La seguridad comprende aspectos relacionados con políticas, estándares, prácticas sanas, controles, valoración de riesgos, capacitación y otros elementos necesarios para la adecuada administración de los recursos tecnológicos y de la información que se maneja por esos medios [4].

1.4 ATAQUES Y AMENAZAS EN LA SEGURIDAD INFORMÁTICA.

Ataque, es la explotación de una o varias vulnerabilidades utilizando un método de destrucción con una oportunidad dada, un acto inteligente y deliberado para eludir los servicios de seguridad y violar la política de seguridad de un sistema.

La clasificación de los ataques se encuentra dada de la siguiente manera:

Ataques Pasivos.

Intenta conocer o hacer uso de información del sistema, pero no afecta a los recursos del mismo.

En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida.

(11)

Implementación de un Sistema automatizado de control de acceso a una red LAN 9 Seguridad de la Información Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en:

Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados.

Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales.

Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información.

Entre los ataques pasivos más comunes se encuentran:

Escuchas (Eavesdropping )

Es un proceso mediante el cual un agente capta información en claro o cifrada que no le iba dirigida. Aunque es en principio un ataque completamente pasivo, lo más peligroso del escuchas es que es muy difícil de detectar mientras que se produce, de forma que un atacante puede capturar información privilegiada y claves para acceder a más información sin que nadie se de cuenta hasta que dicho atacante utiliza la información capturada, convirtiendo el ataque en activo [5].

Analizador de protocolos (sniffer)

Es un ataque pasivo que tiene como objetivo recoger información por parte de alguien al que no va dirigida, esta información puede ser desde una contraseña, hasta conversaciones de un programa de mensajería instantánea. Es bien conocido el modo de depuración de errores que tienen todas las tarjetas Ethernet denominado modo promiscuo y que es utilizado con frecuencia en los ataques a redes cableadas [6].

Ataques Activos.

Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:

Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta.

(12)

Implementación de un Sistema automatizado de control de acceso a una red LAN 10 Seguridad de la Información Reactuación: uno o varios mensajes legítimos son capturados y repetidos

para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.

Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón de pesos en la cuenta B".

Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc [7].

1.5 AMENAZAS A LA SEGURIDAD INFORMÁTICA.

Una amenaza es un peligro posible que podría explotar una vulnerabilidad.

Esta posibilidad genera una circunstancia, capacidad, acción o evento que pudiera romper con la integridad, disponibilidad o la confidencialidad de la información.

Hay formas en las cuales las amenazas se clasifican, esto va a depender la manera en como explotan las vulnerabilidades

Interrupción.

Es un recurso del sistema que es destruido o se vuelve no disponible. Esto significa una amenaza contra la disponibilidad.

Intercepción.

Una entidad no autorizada consigue acceso a un recurso. Esto es una amenaza contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador.

Modificación.

Una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es una amenaza contra la integridad.

Fabricación.

Una entidad no autorizada inserta objetos falsificados en el sistema. Este es una amenaza contra la autenticidad.

(13)

Implementación de un Sistema automatizado de control de acceso a una red LAN 11 Seguridad de la Información Las amenazas en la red se clasifican de 4 formas diferentes.

Amenazas no estructuradas.

Amenazas estructuradas.

Amenazas externas.

Amenazas internas.

Amenazas no estructuradas.

Las amenazas sin estructura o no estructuradas consisten en su mayoría individuos sin experiencia que usan herramientas típicas de hacker que se consiguen muy fácilmente en Internet.

Amenazas estructuradas.

Las amenazas estructuradas consisten en hackers muy motivados técnicamente competentes. Normalmente, conocen los diseños de los sistemas de redes y sus puntos vulnerables, pueden conocer y de igual forma crear códigos Hacking para penetrar en los sistemas de redes.

Amenazas externas.

Las amenazas externas son individuos u organizaciones que no trabajan en una empresa y que no tiene acceso autorizado a sus redes de computadoras. Trabajan principalmente desde Internet o desde los servidores de marcación telefónica.

Amenazas internas.

Las amenazas internas se producen de alguien que tiene autorizado el acceso a la red mediante una cuenta de los servicios así como el acceso físico al cable.

1.6 CONTROLES DE SEGURIDAD.

Control es la función que permite la supervisión y comparación de los resultados obtenidos contra los resultados esperados originalmente.

Control de acceso. Es limitar el acceso a los recursos en función de un conjunto de restricciones, el cual consta de dos pasos:

La autenticación, que identifica al usuario o a la máquina que trata de acceder a los recursos, protegidos o no.

La autorización, que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como leerlos, modificarlos, crearlos, etc.

(14)

Implementación de un Sistema automatizado de control de acceso a una red LAN 12 Seguridad de la Información En seguridad informática a menudo se divide en categorías distintas, comúnmente llamados controles entre los cuales:

Controles Físicos Controles Técnicos

Controles Administrativos

Estas tres amplias categorías definen los objetivos principales de una implementación de seguridad apropiada. Dentro de estos controles hay subcategorías que detallan aún más los controles y como estos se implementan.

1.6.1 Controles físicos

El control físico es la implementación de medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial. Ejemplos de los controles físicos son:

Cámaras de circuito cerrado

Sistemas de alarmas térmicos o de movimiento Guardias de seguridad

Identificación con fotos

Puertas de acero con seguros especiales

Biométrica (huellas digitales, voz, rostro, iris, escritura a mano, etc) 1.6.2 Controles técnicos

Los controles técnicos utilizan la tecnología como una base para controlar el acceso y uso de datos confidenciales a través de una estructura física y sobre la red, de igual forma incluye una estructura lógica sobre la cual se ejecutan programas dedicados a controlar el acceso a la red.

Los controles técnicos son aquellos basados en un software o parte de él, que permitirán:

Identificar los usuarios de ciertos datos y/o recursos: hacer una clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas.

Restringir el acceso a datos y recursos de los sistemas: establecer los permisos por tipo de usuario. Por ejemplo, establecer que un usuario común de un sistema no tendrá acceso a los datos financieros de la organización.

(15)

Implementación de un Sistema automatizado de control de acceso a una red LAN 13 Seguridad de la Información Los controles técnicos se pueden dividir en:

Controles lógicos basados en red Controles lógicos basados en host 1.6.2.1 Controles lógicos basados en red.

Como su nombre lo indica en esta clasificación se permite mantener la correcta administración de los recursos de la red entre los que se podrán encontrar:

Cortafuegos (firewall)

Sistema de detección de intrusos (IDS) Sistema de prevención de intrusos (IPS) Filtrado de contenido en internet.

Control de acceso a la red.

Cortafuegos (FIREWALL).

Cortafuegos es un filtro que controla todas las comunicaciones que pasan de una red a otra y en función de lo que se permite o deniega su paso. Para permitir o denegar una comunicación el cortafuego examina el tipo de servicio al que corresponde, dependiendo del servicio el firewall examina si la comunicación es entrante o saliente y dependiendo de su contenido y de las reglas establecidas decidir si permite la transmisión de datos y comunicación [8].

En esencia, un cortafuego es una barrera entre una red segura, privada e interna y otra red. El propósito de un firewall es prevenir comunicación no deseada o no autorizada con la red segura. Sus tareas son dos:

Evitar que los usuarios de la propia red intercambien información libremente con usuarios externos a ella.

Evitar la entrada de usuarios externos a la propia red que pretendan atacarla o comprometer su integridad.

Sistema de detección de intrusos (IDS).

Un sistema de detección de intrusos o IDS, es un programa usado para detectar accesos no autorizados a un equipo de cómputo o a una red.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el

(16)

Implementación de un Sistema automatizado de control de acceso a una red LAN 14 Seguridad de la Información tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento [9].

Sistema de prevención de intrusiones (IPS).

Un sistema de prevención de intrusiones IPS, es una red de seguridad del dispositivo que controla la red y/o actividades del sistema de comportamiento malicioso o no deseado y puede reaccionar, en tiempo real, para bloquear o impedir las actividades.

El IPS tiene la capacidad de bloquear el acceso a los usuarios o las aplicaciones, lo hace sólo cuando el código malicioso se ha descubierto.

El IPS es típicamente diseñado para funcionar completamente invisible en una red. Los productos de IPS no suelen reclamar una dirección IP en la red protegida, pero pueden responder directamente a una de tráfico en una variedad de maneras. (Los IPS incluyen las respuestas, el restablecimiento de conexiones, la generación de alertas, e incluso en cuarentena intrusos.) La tecnología IPS permite a las organizaciones proteger la información crítica de una forma proactiva, sin limitarse a emitir alertas en una consola luego de que los ataques han sucedido, esta tecnología supone un beneficio continuo y una inversión verdaderamente inteligente para cualquier entorno de red, así mismo protegen infraestructuras, aplicaciones y en muchos mejora el rendimiento de las redes porque a través de ella no circulará código dañino.

Un buen sistema IPS debe cumplir como mínimo con características tales como bloqueo automático de ataques, protección de sistemas no parcheados, y optimización del rendimiento de la red [10].

Filtrado de contenido.

Se refiere a un programa diseñado para controlar qué contenido se permite mostrar, especialmente para restringir el acceso a ciertos materiales de la Web. El filtro de contenido determina qué contenido estará disponible en una máquina o red particular [11].

El motivo del filtrado de contenido, suele ser para prevenir a las personas ver contenido que el dueño de la computadora u otras autoridades consideran censurables. Cuando se impone sin el consentimiento del usuario, puede constituir censura. Los usos comunes de estos programas incluyen padres que desean limitar los sitios que sus hijos ven en sus computadoras

(17)

Implementación de un Sistema automatizado de control de acceso a una red LAN 15 Seguridad de la Información domésticas, escuelas con el mismo objetivo, empleadores para restringir qué contenidos pueden ver los empleados en el trabajo.

El filtrado de contenido puede operar por:

Por palabras clave.

Por listas "negras" o "blancas".

Control de Acceso a la RED.

Control de acceso a la red (NAC) es un enfoque para la seguridad de redes que intenta unificar los criterios de valoración de seguridad de tecnología (tales como antivirus, prevención de intrusiones, y evaluación de vulnerabilidades y autenticación [12].

Esto se consigue aplicando diversas políticas que describen cómo obtener acceso a una red.

El NAC examina e identifica rápidamente a esos usuarios que no deberían poder acceder a nuestra red, al tiempo que se asegura de que funcionen políticas tan cruciales como los ajustes del firewall, o que los antivirus y parches de seguridad de los equipos estén actualizados.

Objetivos del Control de Acceso a la Red.

El control de acceso a red (NAC) representa una categoría emergente en productos de seguridad, su definición es controvertida y está en constante evolución. Los objetivos principales de este concepto se pueden resumir en:

1.6.2.2 Controles lógicos basados en Host.

Como su nombre lo indica en esta clasificación se permite mantener la correcta administración de los recursos del Host entre los que se pueden encontrar:

Antivirus Antiespias Antispam

Antivirus.

Es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas del sistema [13].

Un antivirus tiene tres principales funciones y componentes:

(18)

Implementación de un Sistema automatizado de control de acceso a una red LAN 16 Seguridad de la Información Vacuna: Es un programa que instalado residente en la memoria,

actúa como "filtro" de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.

Detector: Es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura.

Eliminador: Es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.

La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.

Existen diferentes tipos de virus tales como:

Virus “Bombas de tiempo”: Las bombas de tiempo suelen ser virus que se activan un determinado día a una determinada hora, o bien cuando concurran una serie de circunstancias determinadas.

Caballos de Troya: Viajan en los ficheros ejecutables, y su misión es infestar todo disco duro o disquete que caiga en sus manos, con objeto de transmitirse.

Puertas traseras: Aprovechan las debilidades de los programas de acceso a Internet, los servidores de correo y otros errores de programación. De esta manera pueden ingresar al equipo de manera remota, robar datos e incluso hacer al equipo un

“transmisor” de virus.

Antiespías (Antispyware).

Este tipo de aplicaciones tiene como objetivo buscar, detectar y eliminar programas espías (spyware) que se instalan ocultamente en el ordenador.

Los antiespías pueden instalarse de manera separada o integrado con paquete de seguridad (que incluye antivirus, cortafuegos, etc) [14].

(19)

Implementación de un Sistema automatizado de control de acceso a una red LAN 17 Seguridad de la Información Antispam.

Estas aplicaciones detectan y elimina el spam y los correos no deseados que circulan vía email [15].

Funcionan mediante filtros de correo que permiten detectar los emails no deseados. Estos filtros son totalmente personalizables.

Además utilizan listas de correos amigos y enemigos, para bloquear de forma definitiva alguna casilla en particular.

1.6.3 Controles administrativos.

Los controles administrativos definen los factores humanos de la seguridad.

Incluye todos los niveles del personal dentro de la organización y determina cuáles usuarios tienen acceso a qué recursos e información usando medios tales como:

Políticas de seguridad Política de seguridad.

Directrices y objetivos generales de una empresa relativos a la calidad, expresados formalmente por la Dirección General". Es una de las vías para hacer operativa la estrategia [16].

Algunas empresas establecen Políticas de Seguridad muy extensas y complicadas, en otras son demasiado breves que no se alcanza a comprender el contenido, son las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños.

Objetivos de las Políticas de Seguridad.

Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización.

Componentes de una Política de Seguridad.

Una política de seguridad debe asegurar cuatro aspectos fundamentales en una solución de seguridad:

Autenticación.

Control de acceso.

Integridad.

Confidencialidad.

A partir de estos, surgen los principales componentes de una política de seguridad:

(20)

Política de privacidad.

Define expectativas de privacidad con respecto a funciones como monitoreo, registro de actividades y acceso a recursos de la red.

Política de acceso.

Que permite definir derechos de acceso y privilegios para proteger los objetivos clave de una pérdida o exposición mediante la especificación de guías de uso aceptables para los usuarios con respecto a conexiones externas, comunicación de datos, conexión de dispositivos a la red, incorporación de nuevo software a la red, etc.

Política de autenticación.

Que establece un servicio de confiabilidad mediante alguna política de contraseñas o mecanismos de firmas digitales, estableciendo guías para la autenticación remota y el uso de dispositivos de autenticación.

Un sistema de IT (tecnología de la información) y una política de administración de la Red: Describe como pueden manipular la tecnología los encargados de la administración interna y externa. De aquí surge la consideración de si la administración externa será soportada y, en tal caso, como será controlada.

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

Proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas, debilidades y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.

Importancia de las Políticas de Seguridad.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.

Objetivos de la política y descripción clara de los elementos involucrados en su definición.

Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.

Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.

Definición de violaciones y sanciones por no cumplir con las políticas.

(21)

Implementación de un Sistema automatizado de control de acceso a una red LAN 19 Seguridad de la Información Responsabilidades de los usuarios con respecto a la información a

la que tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles, es decir deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, esto sin sacrificar su precisión. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.

Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son:

El aumento de personal.

Cambios en la infraestructura computacional.

Alta rotación de personal.

Desarrollo de nuevos servicios.

Regionalización de la empresa.

Cambio o diversificación del área de negocios, etc.

Los parámetros para establecer políticas de seguridad.

Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:

Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.

Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.

Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos, bienes y sus elementos de seguridad.

Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos de su área.

Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.

Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.

(22)

Implementación de un Sistema automatizado de control de acceso a una red LAN 20 Seguridad de la Información Razones que impiden la aplicación de las políticas de seguridad informática.

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática. Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad.

Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.

Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.

Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales basadas en la visión del negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.

1.7 ROLES.

Un rol es un conjunto de permisos que puede asignarse a un usuario. Un permiso es un parámetro que especifica si su poseedor dispone de acceso a un determinado servicio o a una zona específica de la red. Normalmente, los roles se definen de modo que incluyan permisos relacionados con la función de una usuario dentro de una empresa [17].

Se pueden asignar varios roles a un mismo usuario. De este modo, se garantiza que el usuario disponga del conjunto de permisos definidos por tales roles, mientras se encuentre conectado al sistema. La asignación sólo permanecerá en vigor mientras dure la sesión. Esto significa que, si se modifica un rol mientras está conectado el

(23)

Implementación de un Sistema automatizado de control de acceso a una red LAN 21 Seguridad de la Información usuario al que se le ha asignado, la modificación no surtirá efecto hasta que ese usuario se desconecte y vuelva a conectarse.

Existen dos tipos de roles: aplicados y automáticos. La diferencia entre ambos tipos radica sólo en el modo en que se asignan a los usuarios:

Un rol aplicado es un conjunto de permisos que se asocia a los usuarios que se ha seleccionado mediante una búsqueda en la base de datos.

Un rol automático es un conjunto de permisos que se asocia a todos los usuarios que se identifica en el directorio LDAP por medio de la cadena coincidente que se especifique.

Cada método de asignación de roles tiene sus ventajas. Una de las de asignar roles aplicados es que se pueden asignar varios roles a un mismo usuario en un solo paso. Y una de las ventajas de asignar roles automáticos es que se puede asignar un mismo rol a varios usuarios pertenecientes a la jerarquía de un directorio LDAP.

(24)

O II. ESCRIPCION DE UN NAC

CAPITULO II. DESCRIPCIÓN DE UN NAC.

2.1 QUE ES UN NAC (NETWORK ACCESS CONTROL).

Las empresas cada vez más sienten la necesidad de abrir sus redes a socios comerciales y clientes, lo que supone serios retos de seguridad, pues, incluso cuando se trata de los propios empleados, no todos pueden ser tratados de igual forma. Así, las organizaciones necesitan un modo sencillo de garantizar a los diferentes grupos de usuarios el acceso a los recursos que ellos necesitan, aunque manteniéndoles fuera del alcance de los que no deben ver.

Una solución para este problema es la implementación de un NAC, en el que el entorno de la red se difumina y se extiende debido a la movilidad. La idea es autenticar máquinas, y/o usuarios para permitir el acceso a red de esta forma solo se podrán tener acceso quienes tengan credenciales.

Con un NAC se pretende garantizar que el PC tiene un conjunto de programas previamente establecidos y en todo momento activos(al iniciar y terminar la sesión en la red). Un NAC podrá aislarlo de la red de producción si el usuario desactiva alguno de estos programas y volver a admitirlo en el momento en que vuelva a activarlo, o forzar su activación automáticamente.

Con una solución NAC se tiene control total del estado del puesto de trabajo porque hay un software en el puesto y así es posible comprobar qué software está instalado, en ejecución y es también posible tomar acciones correctivas (como ordenar la descarga e instalación de parches, etc.) en caso de incumplimiento de la política.

NAC tiene un grado mucho más fino de control y de política de seguridad, ya que estar en red o no estarlo es bastante limitado, Una buena solución permite flexibilidad manteniendo la política de seguridad, ya que puede ubicar a una PC en diferentes redes (de invitados, de producción, de remediación, etc.) en función del estado de la PC en cada instante.

Una PC puede no cumplir la política de seguridad en muchos grados, y algunos de ellos pueden, efectivamente, impedirles el acceso a red, pero algunos otros simplemente, pueden suponer restricciones de acceso a aplicaciones o recursos muy concretos y limitados, de forma que no se entorpezca el funcionamiento del negocio con una política demasiado estricta, y tampoco se tiene por qué tener una política demasiado permisiva para precisamente posibilitar la correcta y buena operación del negocio, tal y como sucede a menudo en muchas organizaciones.

(25)

Implementación de un Sistema automatizado de control de acceso a una red LAN 23 Seguridad de la Información En síntesis un NAC unifica en una única solución, el control de acceso a red, del estado del puesto de trabajo y de cumplimiento de las políticas de seguridad sin entorpecer la agilidad y manteniendo la integridad del negocio.

2.2 TIPOS DE NAC.

Basado en hardware.

Tanto si es “in-line” o “out-of-band”, esta opción necesita habitualmente de un equipo (appliance) que tendrá que estar instalado en casi cualquier ubicación donde sea preciso contar con NAC. Algunos de estos appliances han sustituido a los switches de acceso, mientras que otros operan entre la capa de acceso a red y los switches de red.

Basado en agentes software.

El siguiente paso es el basado en pequeños programas residentes en los ordenadores y dispositivos, instalándose estos agentes en cada uno de los sistemas que deban ser controlados por el NAC. Dichos agentes escanean y monitorizan el dispositivo, generalmente enviando los resultados a un servidor central. Los sistemas que no cumplen con los requisitos no tendrán autorización de acceso a la red, y a menudo se les envía algún tipo de medida correctora para que cumplan las directivas de seguridad.

Sin agentes software.

El NAC sin agentes es otra de las variantes, y consiste en partes software que se ejecutan puntualmente. Con esta configuración, la idea es que un agente temporal (generalmente algún tipo de control ActiveX) escanee el cliente periódicamente en búsqueda de vulnerabilidades o incumplimientos en la política de seguridad. Los resultados del escaneo son enviados al servidor central de políticas, y se ejecuta una acción si es necesario en caso de que el sistema no cumpla con los requerimientos.

Cuando el proceso se completa, el agente se descarga.

NAC dinámico.

El NAC dinámico, que utiliza agentes sólo en un porcentaje determinado de equipos.

También se conoce como NAS peer-to-peer, siendo una opción que no requiere cambios a nivel de red o software que deba ser instalado en cada equipo. Los agentes, que en ocasiones pueden llegar a ser obligatorios, son instalados en sistemas seguros. A partir de aquí, como una verdadera fuerza policial, sólo se necesita controlar el cumplimiento de una serie de normas y leyes en la red, para hacer que la “población” cumpla las reglas.

2.3 OPERACIÓN DE UN NAC.

A continuación se describe la operación de un NAC:

(26)

Implementación de un Sistema automatizado de control de acceso a una red LAN 24 Seguridad de la Información Detección e Identificación de nuevos dispositivos conectados a la red.

Esto se lleva a cabo por la identificación de peticiones de autenticación lo anterior se realiza a través de los switches.

Autenticación de usuarios y dispositivos.

La Autenticación hablando de sistemas informáticos es un procedimiento que consiste en comprobar la identidad de una entidad (persona, equipo…), con vistas a la autorización del acceso de dicha entidad a ciertos recursos (sistemas, redes, aplicaciones…). La autenticación se realiza utilizando el estándar 802.1x y un servidor RADIUS, mismos que se describen más adelante.

Evaluación o revisión de sistemas finales en cuanto a su cumplimiento y/o vulnerabilidades.

En esta parte se hace una revisión de las condiciones en las que se encuentra el equipo, que busca conectarse a la red en cuanto a su cumplimento con políticas previamente establecidas como son sistema operativo, programas y aplicaciones instalados, actualizaciones de antivirus así como nivel de parcheo.

Esto se realiza con el objetivo de que si un equipo de usuario deja de cumplir con las políticas establecidas, este será redireccionado a la zona de remediación.

Autorización para usar la red basado en los resultados de la autenticación y evaluación.

Como ya se menciono esta fase depende de los resultados obtenidos previamente, entonces se determina el roll o función (si es empleado, Invitado, administrador) que desempeña la estación o equipo final de usuario, y de acuerdo con esto se autoriza el uso de recursos de red.

Remediación para equipos con problemas de cumplimiento de políticas de seguridad.

Aquí se resuelven problemas de cuarentena de sistema finales, y/o usuarios para evitar impacto negativamente sobre el ámbito general de la red, así como remediación de problemas con los sistemas finales y/o usuarios. Cabe señalar que se tiene salida a Internet en todo momento para la descarga de programas necesarios.

2.4 ELEMENTOS DE UN NAC.

Los elementos que conforman un NAC son:

Equipo cliente Autenticador Nac Gateway

(27)

Implementación de un Sistema automatizado de control de acceso a una red LAN 25 Seguridad de la Información Servidor de autenticación

Servidor de remediación 2.4.1 Equipo cliente.

En una red, los equipos clientes son empleados por los usuarios de una red tales como PC’s, impresoras, servidores, entre otros.

2.4.2 Autenticador.

Entidad en un extremo de un segmento punto a punto de una LAN que facilita la autenticación de la entidad conectada al otro extremo del enlace.

2.4.3 NAC Gateway.

Es un dispositivo que se encuentra entre el servidor de autenticación y el equipo de usuario final. Este dispositivo permite controlar las acciones de autenticación y autorización mediante la manipulación de los atributos que entrega el servidor de autenticación, a fin de indicar al autenticador la acción a seguir.

2.4.4 Servidor de autenticación.

Entidad que facilita servicio de autenticación al Autenticador. La autenticación se puede llevar a cabo a través de los siguientes métodos de autenticación en red:

2.4.4.1 Autenticación basada en MAC.

Este método basado en MAC utiliza los mismos elementos básicos de autenticación como 802.1X. La diferencia es el abandono de certificados y datos de registro.

El switch utiliza la dirección MAC del sistema final como un reemplazo para el nombre de usuario y verifica esto con el servidor RADIUS. Este método puede utilizarse en redes que admiten 802.1X para verificar todos los sistemas finales sin el agente con el servidor RADIUS. Una estrategia común de la aplicación es empezar con el método de autenticación basado en MAC para toda la red y más tarde migrar a 802.1X para los sistemas finales donde hay soporte. Este método (MAC) sólo ofrece un nivel limitado de la seguridad y sólo se debe utilizar en combinación con la autorización restrictiva.

Información adicional, como el nombre de usuario, es desconocida y autorizaciones posteriores deben ir ligadas a la dirección hardware del sistema final. Una ventaja de este método es la administración centralizada de todos los usuarios a través del servicio RADIUS.

En conclusión este método de autenticación es una solución para sistemas finales especiales.

(28)

Implementación de un Sistema automatizado de control de acceso a una red LAN 26 Seguridad de la Información Ventajas

Estándar para sistemas actuales.

Administración centralizada.

Detección en tiempo real.

Buena escalabilidad.

Desventajas

Muchos requerimientos.

Baja seguridad.

La información adicional del sistema final es limitada.

2.4.4.2 Autenticación basada en 802.1X.

La autenticación 802.1X es uno de los métodos de autenticación más seguro ya que permite la detección de sistemas finales en el puerto de switch de red mediante la autenticación. Esto requiere capacidades específicas en el switch, el cliente y la entidad local de autenticación (como puede ser un servidor RADIUS).

La especificación IEEE 802.1X es un estándar de control de acceso desarrollado por el IEEE que permite utilizar diferentes mecanismos de autenticación. Su funcionamiento se basa en el concepto de puerto, visto éste como el punto a través del que se puede acceder a un servicio proporcionado por un dispositivo, que en este caso será el punto de acceso. En principio todos los puertos están desautorizados, excepto uno que es el punto de acceso que se utiliza para comunicarse con el cliente. Cuando un nuevo cliente (equipo de usuario) solicita conexión, le pasa al punto de acceso información de autenticación, que éste reenvía al servidor de autenticación.

Cuando éste le contesta, si la respuesta es que el cliente puede hacer uso de la red, autoriza un puerto para que lo utilice el cliente. La Figura 2.1 muestra la estructura general de un sistema IEEE 802.1X.

(29)

Figura 2. 1 Arquitectura IEEE 802.1X

En esta arquitectura, la información de autenticación se encapsula en el protocolo EAP (Extensible Authentication Protocol), un mecanismo genérico de transmisión de datos de autenticación.

802.1x es un estándar que define claramente las entidades y protocolos necesarios para llevar a cabo procesos de control de acceso a cualquier servicio ofrecido por una red.

802.1X plantea un escenario con tres entidades básicas como son el cliente, el elemento que proporciona la conectividad a la red (punto de acceso) y el servidor de autenticación encargado de averiguar si un determinado cliente ha sido autorizado a hacer uso de dicha red. En lo que respecta a los protocolos que componen la especificación 802.1X, la propuesta es bastante flexible al no limitar los mecanismos de autenticación a ninguna solución concreta, sino que es posible hacer uso de cualquier tipo de especificación convenientemente adaptada al marco 802.1X. Esta flexibilidad va a permitir hacer uso de protocolos basados en certificados digitales como elementos fundamentales a la hora de constatar la autenticidad de los participantes.

La importancia del uso de certificados digitales radica en su capacidad para aliviar los problemas de escalabilidad asociados a las soluciones fundamentadas en el uso de bases de datos. Estos elementos permiten que un usuario desconocido para el sistema pueda hacer uso de la red con solo proporcionarle el certificado adecuado. Además en este certificado pueden incluirse ciertos atributos acerca del usuario, como el tiempo máximo que puede utilizar la red, los servicios a los que puede acceder o los recursos que puede utilizar.

Un certificado es una estructura que contiene información del usuario en cuanto a identidad o permisos, y que va firmado digitalmente por una entidad de confianza.

(30)

Implementación de un Sistema automatizado de control de acceso a una red LAN 28 Seguridad de la Información Hay situaciones donde el método de autenticación 802.1X no es apropiado.

Algunos sistemas finales puede que no admitan o no contengan a un solicitante 802.1X (el agente de software para la autenticación).

Ejemplos de dispositivos que no soportan 802.1X podrían ser impresoras antiguas o cámaras de vídeo IP. Además, hay algunos switches de red que no son compatibles con 802.1X. Por último, invitados que no estén configurados correctamente, basadas en los estándares de TI, para ser autenticados a través de 802.1X.

Las empresas a menudo tienen redes heterogéneas que pueden soportar parcialmente la autenticación o no. El objetivo aquí es implementar tecnología mejorada, siempre que sea posible. Sin embargo, un reemplazo completo de la red es generalmente una propuesta de costo prohibitivo.

El objetivo debe ser garantizar el uso de nuevos conmutadores de red compatibles con 802.1X, así como múltiples sesiones de autenticación individual por el puerto. También se deben soportar autenticaciones diferentes para varios tipos de sistema finales permitiendo la flexibilidad de puerto (por ejemplo, teléfono VoIP más PC).

En conclusión si se cumplen todos los requisitos, 802.1X ofrece una identificación muy escalable y dinámica con un alto nivel de seguridad en el puerto del switch.

Ventajas

Estándar para sistemas actuales.

Administración centralizada.

Detección en tiempo real.

Alto nivel de seguridad.

Buena escalabilidad.

Información adicional de host y usuario Desventajas

Muchos requerimientos.

Subsecuentes actualizaciones caras.

(31)

Implementación de un Sistema automatizado de control de acceso a una red LAN 29 Seguridad de la Información 2.4.4.3 EAP-MS-CHAP v2.

EAP con la versión 2 del Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP v2, Microsoft Challenge Handshake Authentication Protocol) es un método de autenticación mutuo que permite la autenticación de usuarios y equipos basada en contraseñas. Durante el proceso de autenticación con EAP-MS-CHAP v2, tanto el servidor como el cliente deben demostrar que conocen la contraseña del usuario para que la autenticación sea correcta. Con EAP-MS-CHAP v2, tras una autenticación correcta, los usuarios pueden cambiar sus contraseñas y se les notifica cuándo caducan.

Figura 2. 2 Proceso de Autenticación con EAP Los servidores de autenticación se clasifican en:

2.4.4.4 Servidor RADIUS.

RADIUS (Remote Authentication Dial In User Service). Es un protocolo de autentificación comúnmente utilizado por el estándar de seguridad 802.1x.

Aunque en la especificación 802.1X se habla de los servidores de autenticación en términos genéricos, en la práctica se trata de elementos diseñados según los criterios del marco AAA (Authentication, Authorization and Accounting). Este marco define los elementos básicos necesarios para autenticar usuarios, manejar peticiones de autorización y realizar la contabilidad del sistema. Un servidor AAA debe ser capaz de recibir peticiones, examinar el contenido de dichas peticiones, determinar qué autorización se está pidiendo, recuperar las políticas que necesite de un repositorio, evaluar la petición y obtener la respuesta a la petición, o bien reenviar la petición a otro servidor AAA.

(32)

RADIUS es un protocolo encuadrado dentro del marco AAA y utilizado principalmente en entornos donde los clientes son elementos de acceso a la red (como los puntos de acceso). Estos elementos mandan información al servidor cuando un nuevo cliente intenta conectarse, tras lo cual el servidor realiza el proceso de autenticación del usuario y devuelve al elemento de acceso la información de configuración necesaria para que éste trate al cliente de la manera adecuada.

Muchos ISP (proveedores de acceso a Internet por dial up, DSL, cable, módem, Ethernet, Wi-Fi) requieren que se ingrese un nombre de usuario y contraseña para conectarse a la red. Antes de que el acceso a la red sea concedido, los datos de acceso son pasados hacia un servidor RADIUS. El servidor RADIUS revisa que esta información sea correcta usando diversos esquemas de autentificación como EAP. Si es aceptada, el servidor autorizará el acceso al sistema del ISP y seleccionará una dirección IP, etc.

RADIUS también es comúnmente usado para notificar eventos como:

El inicio de sesión del usuario.

El final de sesión del usuario.

El total de paquetes transferidos durante la sesión.

El volumen de datos transferidos durante la sesión.

La razón para la terminación de la sesión.

2.4.4.5 Servidor Kerberos.

Kerberos es un protocolo de validación de identificación usado en muchos sistemas reales, se diseñó para permitir a los usuarios de equipos finales, el acceso a recursos de una manera segura.

La arquitectura de Kerberos está basada en tres objetos de seguridad: Clave de Sesión, Ticket y Autenticador.

La clave de sesión es una clave secreta generada por Kerberos y expedida a un cliente para uso con un servidor durante una sesión;

no es obligatorio utilizarla en toda la comunicación con el servidor, sólo si el servidor lo requiere (porque los datos son confidenciales) o si el servidor es un servidor de autenticación. Se suele denominar a esta clave KCS, para la comunicación entre un cliente C y un servidor S.

Las claves de sesión se utilizan para minimizar el uso de las claves secretas de los diferentes agentes: éstas últimas son válidas

(33)

Implementación de un Sistema automatizado de control de acceso a una red LAN 31 Seguridad de la Información durante mucho tiempo, por lo que es conveniente para minimizar ataques utilizarlas lo menos posible.

El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de un servidor; garantiza que el cliente ha sido autenticado recientemente. A un ticket de un cliente C para acceder a un servicio S se le denomina {ticket (C, S)} KS = { C, S, t1, t2 }KS . Este ticket incluye el nombre del cliente C, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesión KS asociada para uso de cliente y servidor.

Kerberos siempre proporciona el ticket ya cifrado con la clave secreta del servidor al que se le entrega.

El autenticador es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la actualidad de la comunicación;

sólo puede ser utilizado una vez. Un autenticador de un cliente C ante un servidor S se denota por { auth ( C ) KCS = { C, t } KCS . Este autenticador contiene, cifrado con la clave de la sesión, el nombre del cliente y un timestamp.

2.4.4.6 Protocolo de autenticación de contraseña (PAP).

El Protocolo de autenticación de contraseña (PAP, Password Authentication Protocol) es un protocolo de autenticación simple en el que el nombre de usuario y la contraseña se envían al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseñas pueden leerse fácilmente en los paquetes del Protocolo punto a punto (PPP, Point-to-Point Protocol) intercambiados durante el proceso de autenticación.

PAP suele utilizarse únicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten métodos de autenticación más seguros.

2.4.4.7 Protocolo de autenticación de contraseña (CHAP).

CHAP es un método de autentificación que verifica periódicamente la identidad del cliente remoto usando un intercambio de información de tres etapas. Esto ocurre cuando se establece el enlace inicial y puede pasar de nuevo en cualquier momento de la comunicación. La verificación se basa en un secreto compartido (como una contraseña).

2.4.5 Servidor de Remediación.

El servidor de remediación permite La notificación y remediación basadas en las condiciones de la red, ya que estas pueden ser integradas. La notificación es un aspecto crítico de una de una solución NAC. Donde un sistema final puede ser puesto dentro de una configuración de red de cuarentena.

Si la PC o equipo de un usuario es repentinamente puesto en cuarentena y no es capaz de acceder los tipos de servicios que el usuario espera. Este probablemente creerá que se trata de un problema de comunicación en la red.

(34)

Cabe mencionar primero que es importante que la información de este evento esté disponible para el equipo de TI pero también que el usuario sea directamente notificado de la causa de la interrupción del servicio. Una implementación NAC que no notifica de la puesta en cuarentena puede provocar repentinamente un incremento en las llamadas al centro de ayuda a usuarios que no entienden porque los servicios no están disponibles por esta razón es muy importante la notificación.

Una vez que el sistema o equipo es puesto en el estado de cuarentena, la notificación se puede redireccionar al sistema a través de una página web de remediación.

Esta página Web puede ser mantenida por el equipo de TI de la organización, y puede incluir detalles acerca de porque el sistema ha sido puesto en cuarentena y como el usuario puede reparar cuestiones que están provocando que el sistema no cumpla con las políticas de seguridad de la organización.

2.5 MODOS DE OPERACIÓN DE UN NAC.

Sin agente.

El alcance de las pruebas del sistema final en parte depende del software utilizado para la evaluación, pero también está limitado por lo que puede hacerse. Existe un mercado grande para escáneres de vulnerabilidad que ofrece una amplia gama de programas que sólo están diseñados para esto y se actualizan continuamente con nuevos conjuntos de prueba.

Generalmente, una evaluación incluye los pasos siguientes (en ningún orden particular):

Disponibilidad y la identificación – ping, búsqueda DNS Portscan – TCP/UDP

Identificación de las vulnerabilidades Exploit de las vulnerabilidades

Cada uno de estos pasos debe ser configurable por separado y se podrán utilizar los resultados para cualquier paso siguiente. Algunos escáneres de red también pueden conectar con el propio cliente (con nombre de usuario y contraseña) y para pruebas localmente en el cliente. Se requiere atención para realizar un análisis de vulnerabilidad, ya que esto puede provocar una caída del sistema final.

La desventaja de este método es la exactitud de los resultados, ya que por un lado sólo es capaz de buscar las vulnerabilidades conocidas y por otro lado los servicios y