1 / 37

Proyecto de Integración

Proyecto de Integración. de la Tarjeta Inteligente. en UPNs. Miquel Bordoy Marcó. Antonio Sola Venteo. Índice. Situación actual. Problemática Objetivo inicial del proyecto Solución tecnológica Implantación del proyecto en la UIB Conclusiones. Situación Actual. ¿ Qué tenemos ?.

mliss
Download Presentation

Proyecto de Integración

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Proyecto de Integración de la Tarjeta Inteligente en UPNs Miquel Bordoy Marcó Antonio Sola Venteo

  2. Índice • Situación actual. Problemática • Objetivo inicial del proyecto • Solución tecnológica • Implantación del proyecto en la UIB • Conclusiones

  3. Situación Actual ¿ Qué tenemos ? • Puntos de acceso a la LAN “sin control”: • Aulas Informáticas • Aulas Docencia • ¿ Cómo lo intentamos “controlar” ? • Control de acceso al PC por Smartcard • VLAN Alumnos • Port Security • Scheduler de activación de puertos (Spectrum)

  4. Índice  • Situación actual. Problemática • Objetivo inicial del proyecto • Solución tecnológica • Implantación del proyecto en la UIB • Conclusiones

  5. Control de acceso de los USUARIOS a la RED Movilidad total de los USUARIOS en la RED Objetivo del Proyecto ¿ Qué pretendemos ?

  6. Índice  • Situación actual. Problemática • Objetivo inicial del proyecto • Solución tecnológica • Implantación del proyecto en la UIB • Conclusiones 

  7. IEEE 802.1x Solución Tecnológica ¿ Cómo lo solucionamos ? • Protocolo estandarizado el 2001 • Port-Based Network Access Control • Control de acceso de los USUARIOS • Autenciación (protocolo EAP) • Autorización básica (ON/OFF) • Soportado por Windows • Soportado por fabricantes networking

  8. RADIUS 802.1x + RADIUS Módulo EAP SWITCH EAP overRADIUS 802.1x Módulo EAP EAP overLAN 802.1x PC CLIENTE Solución Tecnológica ¿ Infraestructura IEEE 802.1x ?

  9. Identity Request EAPOR RADIUS Access Request EAPOL SWITCH Identity Response PC CLIENTE EAPOL Solución Tecnológica ¿ Funcionamiento IEEE 802.1x ? Fase Inicial: Identidad Usuario

  10. EAP RADIUS SWITCH EAP PC CLIENTE Solución Tecnológica ¿ Funcionamiento IEEE 802.1x ? EAP MD5-Challenge EAP TLS EAP TTLS EAP SIM, ... Fase Principal: Autenticación Usuario

  11. Success/Failure RADIUS EAPOL EAPOR SWITCH Access Accept PC CLIENTE Solución Tecnológica ¿ Funcionamiento IEEE 802.1x ? Fase Final: Autorización usuario

  12. UPN Solución Tecnológica ¿ Cómo lo solucionamos ? • User Personalized Network • Se basa en IEEE 802.1X • Movilidad de los USUARIOS • Autorización avanzada (perfil de red) • Perfil de Red = {VLAN,L2,L3,L4,B} • Soportado por algunos fabricantes

  13. Filter-Id Usuario  Perfil de Red Perfil de Red = Filter-Id Success/Failure RADIUS Gestor Perfiles de Red EAPOL EAPOR SWITCH Perfiles Access Accept PC CLIENTE Solución Tecnológica ¿ Funcionamiento UPN ?

  14. Servidor de Autenticación Gestor Perfiles de Red Solución Tecnológica ¿ Funcionamiento UPN ? Switch 802.1x

  15. Índice  • Situación actual. Problemática • Objetivo inicial del proyecto • Solución tecnológica • Implantación del proyecto en la UIB • Conclusiones  

  16. Implantación en la UIB ¿ Qué nos planteamos ? Autenticación de USUARIO por smartcard (o TI) Integración del cliente en todo SO Windows Control de sesión de red por TI Múltiples sesiones de red en una única sesión Win. Aplicar perfiles de red a grupos de usuarios Registrar en LOGs las sesiones de red Gestionar en tiempo real el firewall de usuario

  17. Desarrollo parte cliente en Windows Desarrollo Servidor de Autenticación Integración Gestor Perfiles de red Implantación en la UIB ¿ Cómo lo solucionamos ?

  18. Implantación en la UIB Desarrollo parte cliente Objetivo: autenticación por smartcard (o TI) Problema: Windows NO soporta nuestras TIs Soluciones posibles: • Desarrollo CSP • Desarrollo DLL EAP Credenciales Usuario • Desarrollo completo DLL EAP : • Credenciales Usuario • Protocolo autenticación EAP

  19. Implantación en la UIB Desarrollo parte cliente Solución final: • Desarrollo completo DLL EAP: • Credenciales de Usuario: smartcard • Protocolo EAP propio MD5-UIB-Challenge

  20. Implantación en la UIB Desarrollo parte cliente

  21. Implantación en la UIB Desarrollo parte cliente Solución final: • Desarrollo proceso control de sesión: • Mantiene sesión si TI insertada en lector • Cierra sesión de red si se retira la TI • Reusamos control ActiveX PCSC de la UIB • Resetea Autómata 802.1x al finalizar • Informa del estado de la sesión de red

  22. Implantación en la UIB Desarrollo Servidor Autenticación • ¿ Es necesario este desarrollo ? SI, no soportan MD5-UIB-Challenge • ¿ Cómo podemos solucionarlo ? Con sofware RADIUS GNU • ¿ Existe un RADIUS libre ? SI, el proyecto más importante es freeradius

  23. Implantación en la UIB Desarrollo Servidor Autenticación • Características de freeradius: • Soporta EAP (MD5-Challenge, PEAP, TLS, ...) • Ya soporta MD5-UIB-Challenge !!! • Versiones para diferentes UNIX y LINUX • Pasarelas para LDAP, SQL, ... • En constante desarrollo • www.freeradius.org

  24. Implantación en la UIB Desarrollo Servidor Autenticación • ¿ Qué hemos realizado ?: • Reprogramar módulo EAP genérico • Programar módulo MD5-UIB-Challenge • Añadir nuevos atributos al DICTIONARY • Crear aplicativo de importación de USUARIOS

  25. Implantación en la UIB Integración Gestor Perfiles de red Gestor de Perfiles de Red NO es un estándar Cada fabricante desarrolla el propio Enterasys Networks: NetSight Atlas Policy Manager Definición de los perfiles de red de los USUARIOS Carga los perfiles en los switches UPN Filtra L2, L3, L4. Define VLAN y B Aplica los filtros a las sesiones de red activas

  26. Implantación en la UIB CONFIGURACIÓN Y FUNCIONAMIENTO

  27. 1 Definición Perfiles de Red Implantación en la UIB Configuración Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  28. 2 Creación Usuarios y asignación Filter-Id Implantación en la UIB Configuración Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  29. 3 Configurar PCs y Switches 802.1x Implantación en la UIB Configuración Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  30. 4 Cargar Perfiles en switches Implantación en la UIB Configuración Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  31. ¿Identidad? Implantación en la UIB Funcionamiento Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  32. EAP MD5-UIB-Challenge Implantación en la UIB Funcionamiento Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  33. Accept Success Implantación en la UIB Funcionamiento Filter-ID Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  34. Logoff Logoff Implantación en la UIB Funcionamiento Filter-ID Servidor de Autenticación freeradius PC cliente W2K/WXP Gestor Perfiles de Red Policy Manager

  35. Índice  • Situación actual. Problemática • Objetivo inicial del proyecto • Solución tecnológica • Implantación del proyecto en la UIB • Conclusiones   

  36. Conclusiones Controlado el acceso de los USUARIOS a la Red Solucionada la movilidad de los usuarios Abierto camino tecnológico 802.1x-UPN UPNs = control total de usuarios en la red Multitud lineas futuras de trabajo

  37. Gracias por su atención miquel.bordoy@uib.es antonio.sola@uib.es

More Related