//
you're reading...
Researching

Control de acceso a la red local

Situación

La falta de políticas de seguridad para el control de acceso a la red local debe ser considerada como uno de los factores principales para la protección de la información confidencial. Sin el control de acceso a la red, se permitiría la intrusión física donde se encuentren puertos de red disponibles para la conectividad a la LAN. A continuación enumeramos algunos de los problemas de seguridad de red y sistemas a los que se ve expuesta una empresa sin dicho control:

  • Estaciones de trabajo infectadas por MALWARES.
  • Espionaje industrial.
  • Robo de información confidencial y/o privada.
  • Intrusión en servidores y estaciones de trabajo.
  • Acceso y conocimiento de la topología de la red local.
  • Ingeniería inversa de protocolos propietarios.
  • Envió de E-MAILS utilizando dominios corporativos.
  • Fraudes
  • Distintas técnicas de ataque local:
    • Captura de contraseñas y sesiones de red
    • Robo de credenciales de acceso a los recursos informáticos.
    • Ataques de negación de servicio.

Alternativas y Solución

Debido a las dimensiones que toman las redes locales (LAN) y dada su capilaridad, urge la necesidad de una buena administración del acceso a las mismas. Para lograrlo se necesita una eficiente política de seguridad aplicada que permita autenticar y autorizar a cualquier individuo o dispositivo que requiera acceder a la red local. En el caso que la red local tenga definidas VLANS de acceso (802.1q), se podrán asignar dinámicamente políticas de acceso de los dispositivos o usuarios al autenticarse.
Hoy día existen diversas soluciones que resuelven dicha necesidad y pueden diferir notablemente en costos de acuerdo a la elección.
La norma 802.1x Network Access Control o NAC es el control de acceso de los usuarios y los recursos informáticos a la red local de la empresa basándose de los puertos de accesos provistos por los SWITCHES.
Utilizando dicha solución los dispositivos y/o usuarios podrán acceder a la red local únicamente cuando realicen la autenticación necesaria. En caso que la autenticación sea fallida se les deniega el acceso a la red. (Layer 2, capa de enlace). La solución 802.1x NAC adopta un modelo cliente/servidor y la autenticación se efectúa en forma centralizada; para esto intervienen 3 entidades:

  • Supplicant System: Son los dispositivos clientes que requieren el acceso a la red.
  • Authenticator System: Son los dispositivos que reciben los requerimientos de los hosts y negocian con el Servidor de Autenticación. Esta fuunción en general es cumplida por los SWITCHES.
  • Authentication Server System: Sistema Servidor de Autenticación, es normalmente un servidor RADIUS que cumple con las funciones de AAA (Authentication, Authorization y Accounting) el cual puede guardar información particular del usuario que se valida (username, password, VLAN a la que pertenece).

Caso de laboratorio

En nuestro laboratorio utilizamos una red local sobre un Switch 3COM 4200 como AUTHENTICATOR, un servicio de RADIUS IAS integrado con un controlador de dominios Active Directory, sobre Windows 2003.

  1. Cuando un dispositivo intenta obtener acceso a la red local, el switch le solicita la identidad al dispositivo. No se permite otro tráfico que no sea EAP antes de la autenticación del dispositivo
  2. Luego que el dispositivo haya enviado su identidad, comienza el proceso de autenticación. El switch (Authenticator System) recibe por parte del dispositivo cliente mensajes de protocolo EAP y los re-encapsula en formato RADIUS y se los pasa al servidor de autenticación (Active Directory).
  3. Una vez autenticado y autorizado el dispositivo obtiene una dirección IP y tiene acceso a la red.

Conclusión

La implementación de una solución de control de acceso deja de ser una solución imposible de encarar y pagar; la alternativa puede llevarse a cabo utilizando prácticamente el mismo equipamiento existente en su empresa. Solo requiere políticas de acceso, definición de usuarios y perfiles, métodos de autenticación, configuración de los servicios correspondientes e implementar.

Acknowledgment: Juan Pablo Catino

Discussion

No comments yet.

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: