250 likes | 422 Views
Dpto. Electrónica y Telecomunicaciones. SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN SERVICIOS. Jon Matias (jon.matias@ehu.es) Jornadas técnicas de RedIRIS Santiago de Compostela – Noviembre 2009. ÍNDICE. Introducción Objetivos Sistema de control de acceso basado en servicios
E N D
Dpto. Electrónica y Telecomunicaciones SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN SERVICIOS Jon Matias (jon.matias@ehu.es) Jornadas técnicas de RedIRIS Santiago de Compostela – Noviembre 2009
ÍNDICE • Introducción • Objetivos • Sistema de control de acceso basado en servicios • Plataforma de pruebas • Conclusiones
INTRODUCCIÓN • Redes universitarias y académicas • Doble función • Red en producción • Red para experimentación e investigación • Gestión de gran número de usuarios • Universidad del País Vasco (UPV/EHU) • 50.000 usuarios • 31 facultades distribuidas en 3 centros • Amplia oferta de servicios • Corporativos: web, correo, moodle, Internet, DNS… • Departamentos, grupos de investigación, profesores, alumnos: web, impresoras, (s)ftp, ssh, recursos de disco…
INTRODUCCIÓN • Tecnología de red basada en Ethernet • Red completamente conmutada • Empleo de routers restringido • Gestión de usuarios y servicios basada en VLANs • Perfiles de usuario basados en la asignación de VLAN • Asignación estática en función de puerto • Asignación dinámica en función de la identidad • Acceso a servicios en función del perfil • Cada perfil tiene acceso a un conjunto de recursos • Se desea un sistema más flexible
OBJETIVOS • Acceso a servicios controlado individualmente en función de la identidad del usuario • El sistema propuesto tiene que cubrir diversos aspectos: • Definición de servicio • Recurso de red a disposición de un conjunto de usuarios susceptible de ser controlado • Identificación de servicio • Genérica: definido a cualquier nivel • Unívoca: tiene que poder ser diferenciado del resto
OBJETIVOS • La seguridad es un aspecto fundamental de la solución • AAA: cada usuario debe ser autenticado y autorizado antes de poder acceder al servicio • Control de acceso: se realiza un control a nivel de red teniendo en cuenta la identificación que del servicio se haga • Asociado al acceso, es necesaria una fase de configuración • Ligado al proceso de AAA se desencadena un proceso de configuración • La configuración depende del servicio y de la identidad del usuario • Los nodos involucrados en la provisión del servicio son configurados adecuadamente y de forma segura
ACCESO BASADO EN SERVICIOS • Sistema de control de acceso basado en servicios • Definición de servicio • Seguridad • Autenticación y Autorización (AAA) • Control de acceso • Configuración
DEFINICIÓN DE SERVICIO • Situación previa • Conjunto de usuarios -> Perfil (VLAN) -> Conjunto de servicios • Servicio • Recurso de red a controlar • Definido a cualquier nivel, incluso multi-nivel • Definición en base a perfiles XML • Parámetros de servicio • Identifican unívocamente a los servicios • Parámetros de usuario • Contienen información específica de cada usuario • La identificación del servicio afecta directamente al control de acceso que se aplica en cada caso
DEFINICIÓN DE SERVICIO <service id=“EHUtb”> <flowid> <!– Service related info --> <dip>158.227.0.0/16</dip> </flowid> <clients> <!– Client related info --> <client id=“jonatEHUtb”> <security> <smac>00:01:02:03:04:05</smac> </security> <qos> <bandwidth>10Mbps</bandwidth> </qos> </client> </clients> </service>
SEGURIDAD: AAA • Cada usuario tiene que ser autenticado y autorizado antes de poder acceder al recurso • Se opta por un modelo de seguridad basado en el estándar IEEE 802.1X • Solución nativa y eficiente • Ampliamente utilizado en entornos WiFi y Ethernet • No es suficiente para el escenario planteado • Autentica la conexión a la red • Acceso total o nulo • Son necesarias varias modificaciones
Authenticator Supplicant EAPoL RADIUS EAP EAP Authentication Server SEGURIDAD: AAA • IEEE 802.1X
SEGURIDAD: AAA • Modificaciones sobre IEEE 802.1X • Concepto de Puerto • Estándar: Puerto físico / Puerto lógico • Aportación: Puerto de servicio
SEGURIDAD: AAA • Protocolo EAPoL • Estándar • Autentica la conexión a la red • Un único proceso de forma simultánea • Aportación: EAPoL-in-EAPoL • Permite a un mismo usuario autenticar diferentes servicios • Implica modificaciones software tanto en el supplicant (usuario) como en el authenticator (nodo acceso) • Compatible con EAPoL: nuevo tipo de paquete
EAPoL Service ID (1) EAPoL EAP RADIUS EAP RADIUS EAP EAPoL Service ID (2) EAPoL EAP Authenticator SEGURIDAD: AAA • EAPoL-in-EAPoL
SEGURIDAD: CONTROL ACCESO • Control de acceso a red basado en servicios • Depende de la definición e identificación del servicio • Afecta al estándar IEEE 802.1X • Relacionado con el concepto de puerto de servicio • Aportación • Control de acceso dinámico y granular • Se generan reglas de acceso en función de los parámetros de servicios y de usuario • Los parámetros se extraen de los perfiles XML • Implementación del control basada en una herramienta de filtrado de tramas a nivel dos (ebtables)
SEGURIDAD: CONTROL ACCESO • La autenticación exitosa de un servicio desencadena la creación de una serie de reglas de control de acceso asociada a dicho servicio
CONFIGURACIÓN • Asociado al proceso de autenticación se establece un proceso de configuración • La relación se establece en un contexto seguro • Desencadenado desde el servidor de autenticación • Se encarga de configurar adecuadamente todos los recursos de la red necesarios para la correcta provisión del servicio • La configuración depende de varios parámetros • Resultado del proceso de autenticación • Identidad del usuario y localización • Naturaleza del servicio • Particularidades de la red
CONFIGURACIÓN • Se utiliza NETCONF (RFC 4741) • Sistema de configuración y monitorización de red definido por el IETF • Capacidades avanzadas de configuración • Definición de configuraciones complejas • Permite mantener diferentes configuraciones, manejar errores, realizar rollback de configuraciones… • Configuraciones representadas en XML y agrupadas en módulos • Se definen varias operaciones • <edit-config>, <get-config>, <copy-config>, <lock>… • Se realizan sobre capa de transporte segura (SSH,…)
CONFIGURACIÓN • Aportaciones a NETCONF • Necesario unir el proceso de autenticación al posterior proceso de configuración • Interfaz Web Services para iniciar la configuración a través de NEFCONF desde el servidor de autenticación • Definición de un nuevo módulo ServicePort • Soporta nuevas capacidades de configuración para la identificación de servicios y control de acceso Interfaz Web Web Services Módulos de configuración Módulo ServicePort <edit-config> Operaciones Operaciones RPC RPC <ok> Transporte Transporte NETCONF manager NETCONF agent
PLATAFORMA PRUEBAS • Para acceder al servicio es necesario completar un proceso de seguridad • Cuando el cliente completa el proceso de seguridad, el servidor de autenticación invoca un proceso de configuración basado en NETCONF • Se envían los perfiles XML que permiten identificar los servicios. A partir de ellos se generan las correspondientes reglas de control de acceso • Se ofrece el servicio EHUtb
CONCLUSIONES • Sistema capaz de controlar a nivel de red y de forma individualizada el acceso de cada usuario a los servicio en base a su identidad • Nomadismo en el acceso • Mismos servicios con independencia de la localización • La gestión puede ser descentralizada • Basado en relación de confianza • Acceso gestionado por el proveedor del recurso • Controlar que el recurso que activa pertenezca al gestor • Propuesta basada en modificación de IEEE 802.1X • Múltiples procesos de autenticación simultáneos • Control basado en puerto de servicio • Identificación del servicio
CONCLUSIONES • Plataforma capaz de controlar acceso de usuarios por servicio • AAA basada en EAPoL-in-EAPoL • Gestión distribuida • Configuración en base a perfiles XML dinámicamente generados en función de la identidad del usuario • Creación de reglas de acceso aplicadas con ebtables • Incremento de la seguridad de la red • Solo flujos previamente autenticados • Control simultáneo del origen y del destino
LÍNEAS FUTURAS • Se está trabajando en una completa definición de servicios • Identificación de flujo de servicio a diversos niveles • Integración con definición de servicios MEF • Escenarios complejos: E-Line, E-LAN, E-Tree • Integración de QoS en la solución • Incluir parámetros de QoS en la fase de identificación • Con dependencia del servicio y la identidad de usuario • Aplicar políticas de calidad en la fase de configuración • Creación bajo demanda de recursos virtualizados • Al proceso de autenticación y configuración, se une el proceso de creación • Integración con servicios de e-Ciencia • La red como recurso para la experimentación • Creación de un framework para gestión de recursos y usuarios
Dpto. Electrónica y Telecomunicaciones SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN SERVICIOS Jon Matias (jon.matias@ehu.es) Jornadas técnicas de RedIRIS Santiago de Compostela – Noviembre 2009