MBordoy JT03

Proyecto de Integracin de la Tarjeta Inteligente en UPNs
Miquel Bordoy Marc Antonio Sola Venteo
ndice
Situacin actual. Problemtica Objetivo inicial del proyecto Solucin tecnolgica Implantacin del proyecto en la UIB
Conclusiones
Situacin Actual
Qu tenemos ?
Puntos de acceso a la LAN sin control:

Aulas Aulas
Informticas Docencia de acceso al PC por Smartcard
Cmo lo intentamos controlar ?

Control VLAN Port
Alumnos
de activacin de puertos (Spectrum)
Security
Scheduler
ndice
Situacin actual. Problemtica
Objetivo inicial del proyecto Solucin tecnolgica Implantacin del proyecto en la UIB
Conclusiones
Objetivo del Proyecto

Qu pretendemos ?
Control de acceso de los USUARIOS a la RED Movilidad total de los USUARIOS en la RED
ndice
Situacin actual. Problemtica Objetivo inicial del proyecto
Solucin tecnolgica Implantacin del proyecto en la UIB
Conclusiones
Solucin Tecnolgica
Cmo lo solucionamos ? IEEE 802.1x
Protocolo estandarizado el 2001
Port-Based Network Access Control

Control de acceso de los USUARIOS
Autenciacin (protocolo EAP) Autorizacin bsica (ON/OFF) Soportado por Windows Soportado por fabricantes networking
Solucin Tecnolgica
Infraestructura IEEE 802.1x ?
802.1x + Mdulo EAP

SWITCH
RADIUS
802.1x
EAP over RADIUS
EAP
PC CLIENTE
LAN
over
802.1x
Mdulo EAP
Solucin Tecnolgica
Funcionamiento IEEE 802.1x ?
Identity Request
SWITCH
Access Request
RADIUS
Identity Response
PC CLIENTE
Fase Inicial: Identidad Usuario
Solucin Tecnolgica
Funcionamiento IEEE 802.1x ? EAP MD5-Challenge
EAP TLS
EAP TTLS EAP SIM, ...
SWITCH RADIUS
PC CLIENTE
Fase Principal: Autenticacin Usuario
Solucin Tecnolgica
Funcionamiento IEEE 802.1x ?
Success /Failure
SWITCH
Access Accept
RADIUS
PC CLIENTE
Fase Final: Autorizacin usuario
Solucin Tecnolgica
Cmo lo solucionamos ? UPN
User Personalized Network

Se basa en IEEE 802.1X Movilidad de los USUARIOS Autorizacin avanzada (perfil de red) Perfil de Red = {VLAN,L2,L3,L4,B}
Soportado por algunos fabricantes
Solucin Tecnolgica
Funcionamiento UPN ?
Filter-Id
Success /Failure
SWITCH
Access Accept
RADIUS
Usuario Perfil de Red

PC CLIENTE
Perfil de Red = Filter-Id
Gestor Perfiles de Red
Solucin Tecnolgica
Funcionamiento UPN ?
Switch 802.1x
Servidor de Autenticacin
ndice
Situacin actual. Problemtica Objetivo inicial del proyecto Solucin tecnolgica
Implantacin del proyecto en la UIB
Conclusiones
Implantacin en la UIB
Qu nos planteamos ?
Autenticacin de USUARIO por smartcard (o TI) Integracin del cliente en todo SO Windows Control de sesin de red por TI
Mltiples sesiones de red en una nica sesin Win.

Aplicar perfiles de red a grupos de usuarios Registrar en LOGs las sesiones de red Gestionar en tiempo real el firewall de usuario
Cmo lo solucionamos ?
Desarrollo parte cliente en Windows
Desarrollo Servidor de Autenticacin

Integracin Gestor Perfiles de red
Desarrollo parte cliente
Objetivo: autenticacin por smartcard (o TI) Problema: Windows NO soporta nuestras TIs Soluciones posibles:
Desarrollo CSP
Desarrollo DLL EAP Credenciales Usuario

Desarrollo completo DLL EAP :
Credenciales Protocolo
Usuario
autenticacin EAP
Solucin final:
Desarrollo completo DLL EAP: Credenciales de Usuario: smartcard
Protocolo EAP propio MD5-UIB-Challenge
Solucin final:
Desarrollo proceso control de sesin:

Mantiene sesin si TI insertada en lector Cierra sesin de red si se retira la TI
Reusamos control ActiveX PCSC de la UIB

Resetea Autmata 802.1x al finalizar Informa del estado de la sesin de red
Desarrollo Servidor Autenticacin
Es necesario este desarrollo ?

SI, no soportan MD5-UIB-Challenge Cmo podemos solucionarlo ?
Con sofware RADIUS GNU

Existe un RADIUS libre ?
SI, el proyecto ms importante es freeradius
Caractersticas de freeradius:
Soporta Ya
EAP (MD5-Challenge, PEAP, TLS, ...)
soporta MD5-UIB-Challenge !!!
Versiones
Pasarelas En
para diferentes UNIX y LINUX

para LDAP, SQL, ...
constante desarrollo
www.freeradius.org
Qu hemos realizado ?:
Reprogramar Programar Aadir Crear
mdulo EAP genrico
mdulo MD5-UIB-Challenge
nuevos atributos al DICTIONARY
aplicativo de importacin de USUARIOS
Integracin Gestor Perfiles de red
Gestor de Perfiles de Red NO es un estndar
Cada fabricante desarrolla el propio
Enterasys Networks: NetSight Atlas Policy Manager

Definicin de los perfiles de red de los USUARIOS
Carga los perfiles en los switches UPN Filtra L2, L3, L4. Define VLAN y B Aplica los filtros a las sesiones de red activas
CONFIGURACIN Y FUNCIONAMIENTO
Configuracin
1
Definicin Perfiles de Red
freeradius
W2K/WXP
PC cliente
Policy Manager
Configuracin
2
Creacin Usuarios y asignacin
Filter-Id
freeradius
W2K/WXP
PC cliente
Policy Manager
Configuracin
3
Configurar PCs y Switches
802.1x
freeradius
W2K/WXP
PC cliente
Policy Manager
Configuracin
4
Cargar Perfiles en switches
freeradius
W2K/WXP
PC cliente
Policy Manager
Funcionamiento
freeradius
W2K/WXP
PC cliente
Policy Manager
Funcionamiento
freeradius
W2K/WXP
PC cliente
Policy Manager
Funcionamiento
Filter-ID
freeradius
W2K/WXP
PC cliente
Policy Manager
Funcionamiento
Filter-ID
freeradius
W2K/WXP
PC cliente
Policy Manager
ndice
Situacin actual. Problemtica Objetivo inicial del proyecto Solucin tecnolgica Implantacin del proyecto en la UIB
Conclusiones
Conclusiones
Controlado el acceso de los USUARIOS a la Red Solucionada la movilidad de los usuarios Abierto camino tecnolgico 802.1x-UPN UPNs = control total de usuarios en la red
Multitud lineas futuras de trabajo
Gracias por su atencin
miquel.bordoy@uib.es antonio.sola@uib.es

MBordoy JT03

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MBordoy JT03

Transféré par

Droits d'auteur :

Formats disponibles

Proyecto de Integracin de la Tarjeta Inteligente en UPNs

Miquel Bordoy Marc Antonio Sola Venteo

Puntos de acceso a la LAN sin control:

Informticas Docencia de acceso al PC por Smartcard

Cmo lo intentamos controlar ?

Situacin actual. Problemtica

Objetivo del Proyecto

Situacin actual. Problemtica Objetivo inicial del proyecto

Solucin tecnolgica Implantacin del proyecto en la UIB

Protocolo estandarizado el 2001

Port-Based Network Access Control

802.1x + Mdulo EAP

EAP over RADIUS

Fase Inicial: Identidad Usuario

Fase Principal: Autenticacin Usuario

Fase Final: Autorizacin usuario

User Personalized Network

Soportado por algunos fabricantes

Usuario Perfil de Red

Perfil de Red = Filter-Id

Gestor Perfiles de Red

Gestor Perfiles de Red

Situacin actual. Problemtica Objetivo inicial del proyecto Solucin tecnolgica

Implantacin del proyecto en la UIB

Mltiples sesiones de red en una nica sesin Win.

Desarrollo parte cliente en Windows

Desarrollo Servidor de Autenticacin

Desarrollo DLL EAP Credenciales Usuario

Desarrollo completo DLL EAP: Credenciales de Usuario: smartcard

Protocolo EAP propio MD5-UIB-Challenge

Desarrollo proceso control de sesin:

Mantiene sesin si TI insertada en lector Cierra sesin de red si se retira la TI

Reusamos control ActiveX PCSC de la UIB

Es necesario este desarrollo ?

Con sofware RADIUS GNU

SI, el proyecto ms importante es freeradius

EAP (MD5-Challenge, PEAP, TLS, ...)

soporta MD5-UIB-Challenge !!!

para diferentes UNIX y LINUX

mdulo EAP genrico

nuevos atributos al DICTIONARY

aplicativo de importacin de USUARIOS

Gestor de Perfiles de Red NO es un estndar

Cada fabricante desarrolla el propio

Enterasys Networks: NetSight Atlas Policy Manager

Gestor Perfiles de Red

Gestor Perfiles de Red

Gestor Perfiles de Red

Gestor Perfiles de Red

Gestor Perfiles de Red

Gestor Perfiles de Red

Gestor Perfiles de Red

Gestor Perfiles de Red

Multitud lineas futuras de trabajo

Gracias por su atencin

Vous aimerez peut-être aussi