Control de Acceso a la Reden entornos corporativos

con Software Libre

Esteban Dauksisesteban@dauksis.com

NAC

Network Access Control (NAC) is a computer networking solution that uses a set of protocols to define and implement a policy that describes how to secure access to network nodes by devices when they initially attempt to access the network. NAC might integrate the automatic remediation process (fixing non-compliant nodes before allowing access) into the network systems, allowing the network infrastructure such as routers, switches and firewalls to work together with back office servers and end user computing equipment to ensure the information system is operating securely before interoperability is allowed. Network Access Control aims to do exactly what the name implies—control access to a network with policies, including pre-admission endpoint security policy checks and post-admission controls over where users and devices can go on a network and what they can do.

Traes calcetines blancos?

• Analizamos en el momento de la entrada• <- Está borracho?• <- Es V.I.P.?• <- Trae calcetines blancos?• <- Tiene invitación||flyer||descuento?• -> Paga y pasa.

( Si no se comporta correctamente se le invita a salir y permanecer fuera )

Algo más corporativo…

• < Buenos días.• < Me permite su DNI• < A quién viene a visitar?• < De qué empresa viene?• < Espere un momentito que ahora mismo

viene a buscarle || Los ascensores a mano derecha, 6º piso.

• > Póngase esta identificación y Pase.

¿ Por qué hablar de NAC ?

• Porque es una de esas cosas que todo el mundo sabe de qué va pero nadie incorpora.

• Porque es bueno para las organizaciones, para los administradores y para los usuarios.

• Porque la seguridad física es la base sobre la que se sustenta la seguridad en capas superiores.

• Y también, por qué no? Porque si no sabemos como funciona no podremos eludirlo.

2 + 2 = 5 || Si todo el mundo sabe de qué va y además mola. Por qué nadie lo usa?

• Incorpora funciones de: Seguridad, Gestión de las Comunicaciones, Gestión de puestos de trabajo. ¿Qué departamento se come el marrón?

• Es complejo y hay tantos sabores casi como fabricantes, esto despista a los administradores y les hace pensar que no vale la pena el esfuerzo.

• Problemas de interoperabilidad con las infraestructuras de red. Ni que decir en las multifabricante. Dificultades para diagnosticar.

• Problemas de escalabilidad… En redes grandes: Ojo con los productos que tienen que monitorizar todo el tráfico de y ojo con los productos que tienen que consultar constantemente los switches…

• Problemas para justificar el gasto. (aunque no incluya hardware y/o licencias) ¿Qué beneficios reales va a aportar? ¿Qué riesgos comporta adquirir NAC?

Por qué insistir?

• Cumplimiento normativo.– En algunos casos permite comprobar y aplicar

políticas sobre los equipos. AV, Parches, HIDS,…– Es un buen punto para mostrar y aceptar la

política de uso responsable.• Gestión de Identidades y accesos.• Automatismo para aprovisionamiento de

puertos LAN.

Las partes…

• Un repositorio de usuarios con información sobre la configuración de red. VLAN, IP, MAC…

• Un mecanismo de autenticación (y autorización).

• Un mecanismo de bloqueo y/o desbloqueo del medio o del acceso al medio.

Los estándares

• 802.1x– Port-based Network Access Control– Define EAP (Extensible Authentication Protocol) over

802 (EAPOL) – Estandard de IEEE se basa en varios estandares.

RADIUS vehementemente sugerido.• TNC– Arquitectura abierta de NAC.– Presentado en 2005 por Trusted Network Connect

Work Group del Trusted Computing Group.

Los sabores… Cada fabricante el suyo

• Pre y Post admision. ¿Cuándo comprobar?• Con agente o sin agente. ¿Cómo comprobar?• Inline || out-of-band• Acceptar y rechazar || Remediar

802.1x

Evolucion 802.1x

• 802.1x-2001– Extensiones para Wifi

• 802.1x-2004– 802.1ae MACsec. Media Access Control (MAC)

Security. Conectionless user data confidentiality. Frame data integrity. Data origin authenticity

• 802.1x-2010– 802.ar IDevID (Initial Device Identification es tal

cual un X509)

RADIUS x2 = Diameter• Remote RFC 2865

– freeradius• Nació sobre ppp, hoy tiene carencias notables sobre 802

• does not define failover mechanisms• does not provide support for per-packet confidentiality• While [RFC3162] defines the use of IPsec with RADIUS, support for IPsec is not required.• runs over UDP, and does not define retransmission behavior• Does not provide for explicit support for agents, including Proxies, Redirects and Relays.• Optional support for server-initiated messages• does not define data-object security mechanisms, and as result, untrusted proxies may

modify attributes or even packet headers without being detected.• does not support error messages, capability negotiation, or a mandatory/non-mandatory

flag for attributes.

• Diameter 3588 – erlang-diameter

Lo que promete TNC

• Secure Guest Access• User Authentication• Endpoint Integrity• Clientless endpoint management• Coordinated Security

Especificaciones

• TNC Architecture• IF-IMC - Integrity Measurement Collector Interface• IF-IMV - Integrity Measurement Verifier Interface• IF-TNCCS - Trusted Network Connect Client-Server Interface• IF-M - Vendor-Specific IMC/IMV Messages Interface• IF-T - Network Authorization Transport Interface• IF-PEP - Policy Enforcement Point Interface• IF-MAP - Metadata Access Point Interface• CESP - Clientless Endpoint Support Profile• Federated TNC

TNC

IF-MAP Metadata Access Point Interface

• http://iankits.blogspot.com/2011/06/installation-guide-for-if-map-server.html

• IF-MAP Server (Java)–

http://trust.inform.fh-hannover.de/joomla/index.php/projects/iron

– irond-0.2.2-bin.zip• IF-MAP Client/Library (C/C++)– http://code.google.com/p/libifmap2c/– libifmap2c-0.2.0.tar.gz– libifmap2c-examples-0.2.0.tar.gz

Platos enlatados

Antes que nada,… me quedo con antes

• Si poner un NAC como mandan los cánones es difícil sino imposible…

• Qué podemos hacer? un NAC ibérico.• Cómo y qué partes montar las partes de NAC.

Ingredientes: haz tu propia receta

• HTTP(S)• BBDD• Directorio (LDAP, AD,…)• SNMP• DHCP• DNS• Freeradius (*)

Qué hace falta?

• Que TNC madure• Que la comunidad le de soporte• Se desarrollen productos casi plug’n’play