1 / 26

Titulo: Tecnologías de confianza e identidad

Titulo: Tecnologías de confianza e identidad. v2. NetSec1V2 Modulo 4 – Lección 1 de 1. Gracias A: Luis Eduardo Ochaeta. Recomendación Introducción AAA Tecnologías de autenticación IBNS (Identity Based Networking Services) NAC (Network Admission Control). NetSec1V2 Modulo 4.

niabi
Download Presentation

Titulo: Tecnologías de confianza e identidad

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Titulo: Tecnologías de confianza e identidad v2 NetSec1V2 Modulo 4 – Lección 1 de 1 Gracias A: Luis Eduardo Ochaeta

  2. Recomendación • Introducción • AAA • Tecnologías de autenticación • IBNS (Identity Based Networking Services) • NAC (Network Admission Control) NetSec1V2 Modulo 4

  3. Recomendación • Siguiendo las siguientes recomendaciones Ud puede hacer un mejor uso de su tiempo de estudio • Mantenga sus notas y respuestas para todo su trabajo con este material en un lugar, para una referencia rápida • Cuando ud tome un examen de prueba, escriba sus respuestas, estudios han demostrado que esto aumenta significativamente la retención, incluso si no se ha visto la información original nuevamente • Es necesario practicar los comandos y configuraciones en un laboratorio con el equipo adecuado • Utilice esta presentación como un material de apoyo, y no como un material exclusivo para el estudio de este capítulo • No presente el examen del capitulo, sí Ud no ha terminado los laboratorios del capitulo • Si se presenta algún problema, comuníquese con su instructor

  4. Recomendación • Introducción • AAA • Tecnologías de autenticación • IBNS (Identity Based Networking Services) • NAC (Network Admission Control) NetSec1V2 Modulo 4

  5. Introducción • Este modulo presenta una introducción a los servicios de autenticación, autorización y contabilización (AAA) • Seguridad AAA es uno de los principales componentes de la infraestructura de seguridad de la empresa • Otros conceptos son introducidos en este capítulo como IBNS (cisco Identity Based Networking services) y NAC (Network Admission Control)

  6. Recomendación • Introducción • AAA • Tecnologías de autenticación • IBNS (Identity Based Networking Services) • NAC (Network Admission Control) NetSec1V2 Modulo 4

  7. TACACS+Terminal Access Controller Access Control System • TACACS+ manda la información con usurario y password a un servidor de seguridad centralizada • Dependiendo del tamaño de la red y la cantidad de recursos, el AAAA puede ser implementado en un dispositivo de forma local o puede ser gestionado por medio de un servidor central corriendo los protocolos RADIUS o TACACS+ • Versiones • TACACS – RFC 1492 puede ser implementado en Linux o Windows • XTACACS – define las extensiones que Cisco agrego a TACACS • TACACS+ - es el protocolo mejorado que provee servicios AAA

  8. RADIUSRemote Autentication Dial-In User Services • Es una alternativa, en lugar de usar TACACS+ • Desarrollado por Livingston Enterprises (ahora parte de Lucent Technologies), RADIUS tiene tres componentes • Protocolo que usa UDP/IP • Servidor • Cliente • Versiones • IETF con aproximadamente 63 atributos • Implementación de Cisco con aproximadamente 58 atributos • Implementación de Lucent con aproximadamente 254 atributos

  9. Comparación

  10. Recomendación • Introducción • AAA • Tecnologías de autenticación • IBNS (Identity Based Networking Services) • NAC (Network Admission Control) NetSec1V2 Modulo 4

  11. Passwords estáticos • No es recomendable crear aplicaciones con usuarios y passwords estáticos • Es recomendable que estas aplicaciones consideren de forma automática que el usuario cambien su password cada cierto tiempo a fin de incrementar el nivel de seguridad para estas implementaciones

  12. One Time Passwords • Algunos accesos remotos envían los passwords a través de la red en texto plano, la captura de estos puede provocar problemas en la seguridad • Una forma de resolver este problema de forma segura es usar algoritmos que permitan el uso del password solamente una vez, esto es lo que hace S/key • S/Key usa MD4 (Message Digest 4) o MD5 (Message Digest 5) desarrollado por Ron Rivest, para la creación de passwords de un sola utilización • Otros métodos de autenticación con OTP, es usando Tokens, o tarjetas inteligentes junto con un servidor de passwords, el cual es distribuido a cada usuario como un PIN que se genera cada vez que el usuario quiere acceder a algún servicio remoto

  13. Certificados digitales • Una firma o certificado digital es un código hash encriptado que se agrega al documento • La firma digital está basada en una combinación de una llave pública encriptada y un algoritmo hash de una vía • La validación se hace por medio de un CA (Certificate Authority), el cual puede ser de terceros y es un ente confiable tanto para el que envía y el que recibe la información • Para validar la firma el receptor debe primero saber la llave publica, la cual es distribuida en otro momento, o durante la instalación

  14. Herramientas Biométricas • Lector de huella digital • Reconocimiento de voz • Reconocimiento de rasgos faciales • Reconocimiento de firma

  15. Recomendación • Introducción • AAA • Tecnologías de autenticación • IBNS (Identity Based Networking Services) • NAC (Network Admission Control) NetSec1V2 Modulo 4

  16. Introducción a IBNS • Es una integración de soluciones combinando una serie de productos Cisco, los cuales ofrecen control de autenticación, políticas y acceso a recursos • El Framework empresarial IBNS ofrece movilidad y reduce costos de sobrecarga asociados a permitir y manejar el acceso seguro a los recursos • Equipos • Catalyst 2960, 3560, 3750 • Aironet 1100, 1200, 1300 • Routers 2811, 2821, etc

  17. 802.1x • Es un estándar definido por IEEE, diseñado para proveer acceso a la red basado puertos seguros • 802.1x autentica a los clientes usando información única para cada cliente y con credenciales conocidos únicamente por el cliente • Este servicio es llamado ¨port-level authentication¨ ya que por razones de seguridad, es configurado en cada uno de los puertos de cada punto de acceso • Procesos • El punto de acceso en busqueda de acceso utilizando el ¨supplicant¨ • El dispositivo al cual el punto de acceso pide autorización, procede a dar el acceso, es conocido como el autenticador • El autenticador actúa como puerta de enlace para el servidor de autenticación y es responsable por la credenciales del dispositivo de acceso • Beneficios • Soporte para autenticación 802.1x • Autenticación basada en dirección MAC • Políticas de autorización por defecto • Contenedores multiples de informacion IP (Multiple DHCP pools) • Topologías inalámbrica y alambica • Punto a punto • Inalámbrica

  18. Recomendación • Introducción • AAA • Tecnologías de autenticación • IBNS (Identity Based Networking Services) • NAC (Network Admission Control) NetSec1V2 Modulo 4

  19. Componentes NAC • Software de seguridad de punto de acceso • Dispositivos de acceso a la red • Servidor de políticas • Sistema de mantenimiento

  20. Fases NAC • Fase 1 • Liberada en junio del 2004, permite a los routers Cisco comunicarse con los agentes de confianza para reunir información y credenciales de seguridad a fin de reforzar la política de admisión • Fase 2 • Los Switches Cisco en esta fase permiten asignar puntos de acceso a segmentos en cuarentena por medio de VLANs, en donde residen servidores que puedan tomar políticas a fin de remediar estos problemas

  21. Operación NAC • 1.- El cliente envía un paquetea través del router NAC • 2.- NAD (Network Access Devices) inician la validación usando EAP sobre UDP • 3.- El cliente envía credenciales por medio de EOU al NAD • 4.- NAD manda la resolución al Cisco ACS (Access Control Server) usando RADIUS • 5.- Cisco ACS pide la validación de la resolución usando HCAP (Host Credential Authorizatio Protocol) dentro de un túnel HTTPS • 6.- El servidor envía la resolución (pass, fail, quarantine, etc) • 7.- Para permitir o denegar el acceso, el Cisco ACS envía el aceptar con una redirección ACLs/URL • 8.- NAD re-envía esta resolución al cliente • 9.- El cliente es autorizado, denegado, redireccionado o contenido

  22. Participación de marcas

  23. Recomendación • Introducción • AAA • Tecnologías de autenticación • IBNS (Identity Based Networking Services) • NAC (Network Admission Control) NetSec1V2 Modulo 4

  24. Tiene alguna pregunta?

  25. The Human Network: Play, and Learn. Live, Changing the way we Work,

  26. http://netacad.galileo.edu

More Related