Title: Sistema para el control de acceso a red basado en servicios
1SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN
SERVICIOS
Jon Matias (jon.matias_at_ehu.es) Jornadas técnicas
de RedIRIS Santiago de Compostela Noviembre 2009
2ÍNDICE
- Introducción
- Objetivos
- Sistema de control de acceso basado en servicios
- Plataforma de pruebas
- Conclusiones
3INTRODUCCIÓN
- Redes universitarias y académicas
- Doble función
- Red en producción
- Red para experimentación e investigación
- Gestión de gran número de usuarios
- Universidad del País Vasco (UPV/EHU)
- 50.000 usuarios
- 31 facultades distribuidas en 3 centros
- Amplia oferta de servicios
- Corporativos web, correo, moodle, Internet, DNS
- Departamentos, grupos de investigación,
profesores, alumnos web, impresoras, (s)ftp,
ssh, recursos de disco
4INTRODUCCIÓN
- Tecnología de red basada en Ethernet
- Red completamente conmutada
- Empleo de routers restringido
- Gestión de usuarios y servicios basada en VLANs
- Perfiles de usuario basados en la asignación de
VLAN - Asignación estática en función de puerto
- Asignación dinámica en función de la identidad
- Acceso a servicios en función del perfil
- Cada perfil tiene acceso a un conjunto de
recursos - Se desea un sistema más flexible
5INTRODUCCIÓN
6OBJETIVOS
- Acceso a servicios controlado individualmente en
función de la identidad del usuario - El sistema propuesto tiene que cubrir diversos
aspectos - Definición de servicio
- Recurso de red a disposición de un conjunto de
usuarios susceptible de ser controlado - Identificación de servicio
- Genérica definido a cualquier nivel
- Unívoca tiene que poder ser diferenciado del
resto
7OBJETIVOS
- La seguridad es un aspecto fundamental de la
solución - AAA cada usuario debe ser autenticado y
autorizado antes de poder acceder al servicio - Control de acceso se realiza un control a nivel
de red teniendo en cuenta la identificación que
del servicio se haga - Asociado al acceso, es necesaria una fase de
configuración - Ligado al proceso de AAA se desencadena un
proceso de configuración - La configuración depende del servicio y de la
identidad del usuario - Los nodos involucrados en la provisión del
servicio son configurados adecuadamente y de
forma segura
8ACCESO BASADO EN SERVICIOS
- Sistema de control de acceso basado en servicios
- Definición de servicio
- Seguridad
- Autenticación y Autorización (AAA)
- Control de acceso
- Configuración
9DEFINICIÓN DE SERVICIO
- Situación previa
- Conjunto de usuarios -gt Perfil (VLAN) -gt Conjunto
de servicios - Servicio
- Recurso de red a controlar
- Definido a cualquier nivel, incluso multi-nivel
- Definición en base a perfiles XML
- Parámetros de servicio
- Identifican unívocamente a los servicios
- Parámetros de usuario
- Contienen información específica de cada usuario
- La identificación del servicio afecta
directamente al control de acceso que se aplica
en cada caso
10DEFINICIÓN DE SERVICIO
ltservice idEHUtbgt ltflowidgt lt!
Service related info --gt
ltdipgt158.227.0.0/16lt/dipgt lt/flowidgt
ltclientsgt lt! Client related info --gt
ltclient idjonatEHUtbgt ltsecuritygt
ltsmacgt000102030405lt/smacgt
lt/securitygt ltqosgt
ltbandwidthgt10Mbpslt/bandwidthgt lt/qosgt
lt/clientgt lt/clientsgt lt/servicegt
11SEGURIDAD AAA
- Cada usuario tiene que ser autenticado y
autorizado antes de poder acceder al recurso - Se opta por un modelo de seguridad basado en el
estándar IEEE 802.1X - Solución nativa y eficiente
- Ampliamente utilizado en entornos WiFi y Ethernet
- No es suficiente para el escenario planteado
- Autentica la conexión a la red
- Acceso total o nulo
- Son necesarias varias modificaciones
12SEGURIDAD AAA
13SEGURIDAD AAA
- Modificaciones sobre IEEE 802.1X
- Concepto de Puerto
- Estándar Puerto físico / Puerto lógico
- Aportación Puerto de servicio
14SEGURIDAD AAA
- Protocolo EAPoL
- Estándar
- Autentica la conexión a la red
- Un único proceso de forma simultánea
- Aportación EAPoL-in-EAPoL
- Permite a un mismo usuario autenticar diferentes
servicios - Implica modificaciones software tanto en el
supplicant (usuario) como en el authenticator
(nodo acceso) - Compatible con EAPoL nuevo tipo de paquete
15SEGURIDAD AAA
16SEGURIDAD CONTROL ACCESO
- Control de acceso a red basado en servicios
- Depende de la definición e identificación del
servicio - Afecta al estándar IEEE 802.1X
- Relacionado con el concepto de puerto de servicio
- Aportación
- Control de acceso dinámico y granular
- Se generan reglas de acceso en función de los
parámetros de servicios y de usuario - Los parámetros se extraen de los perfiles XML
- Implementación del control basada en una
herramienta de filtrado de tramas a nivel dos
(ebtables)
17SEGURIDAD CONTROL ACCESO
- La autenticación exitosa de un servicio
desencadena la creación de una serie de reglas de
control de acceso asociada a dicho servicio
18CONFIGURACIÓN
- Asociado al proceso de autenticación se establece
un proceso de configuración - La relación se establece en un contexto seguro
- Desencadenado desde el servidor de autenticación
- Se encarga de configurar adecuadamente todos los
recursos de la red necesarios para la correcta
provisión del servicio - La configuración depende de varios parámetros
- Resultado del proceso de autenticación
- Identidad del usuario y localización
- Naturaleza del servicio
- Particularidades de la red
19CONFIGURACIÓN
- Se utiliza NETCONF (RFC 4741)
- Sistema de configuración y monitorización de red
definido por el IETF - Capacidades avanzadas de configuración
- Definición de configuraciones complejas
- Permite mantener diferentes configuraciones,
manejar errores, realizar rollback de
configuraciones - Configuraciones representadas en XML y agrupadas
en módulos - Se definen varias operaciones
- ltedit-configgt, ltget-configgt, ltcopy-configgt,
ltlockgt - Se realizan sobre capa de transporte segura
(SSH,)
20CONFIGURACIÓN
- Aportaciones a NETCONF
- Necesario unir el proceso de autenticación al
posterior proceso de configuración - Interfaz Web Services para iniciar la
configuración a través de NEFCONF desde el
servidor de autenticación - Definición de un nuevo módulo ServicePort
- Soporta nuevas capacidades de configuración para
la identificación de servicios y control de acceso
Módulos de configuración
Interfaz Web
Web Services
Módulo ServicePort
ltedit-configgt
Operaciones
Operaciones
RPC
RPC
ltokgt
Transporte
Transporte
NETCONF manager
NETCONF agent
21PLATAFORMA PRUEBAS
- Para acceder al servicio es necesario completar
un proceso de seguridad
- Cuando el cliente completa el proceso de
seguridad, el servidor de autenticación invoca un
proceso de configuración basado en NETCONF
- Se envían los perfiles XML que permiten
identificar los servicios. A partir de ellos se
generan las correspondientes reglas de control de
acceso
- Se ofrece el servicio EHUtb
22CONCLUSIONES
- Sistema capaz de controlar a nivel de red y de
forma individualizada el acceso de cada usuario a
los servicio en base a su identidad - Nomadismo en el acceso
- Mismos servicios con independencia de la
localización - La gestión puede ser descentralizada
- Basado en relación de confianza
- Acceso gestionado por el proveedor del recurso
- Controlar que el recurso que activa pertenezca al
gestor - Propuesta basada en modificación de IEEE 802.1X
- Múltiples procesos de autenticación simultáneos
- Control basado en puerto de servicio
- Identificación del servicio
23CONCLUSIONES
- Plataforma capaz de controlar acceso de usuarios
por servicio - AAA basada en EAPoL-in-EAPoL
- Gestión distribuida
- Configuración en base a perfiles XML
dinámicamente generados en función de la
identidad del usuario - Creación de reglas de acceso aplicadas con
ebtables - Incremento de la seguridad de la red
- Solo flujos previamente autenticados
- Control simultáneo del origen y del destino
24LÍNEAS FUTURAS
- Se está trabajando en una completa definición de
servicios - Identificación de flujo de servicio a diversos
niveles - Integración con definición de servicios MEF
- Escenarios complejos E-Line, E-LAN, E-Tree
- Integración de QoS en la solución
- Incluir parámetros de QoS en la fase de
identificación - Con dependencia del servicio y la identidad de
usuario - Aplicar políticas de calidad en la fase de
configuración - Creación bajo demanda de recursos virtualizados
- Al proceso de autenticación y configuración, se
une el proceso de creación - Integración con servicios de e-Ciencia
- La red como recurso para la experimentación
- Creación de un framework para gestión de recursos
y usuarios
25SISTEMA PARA EL CONTROL DE ACCESO A RED BASADO EN
SERVICIOS
Jon Matias (jon.matias_at_ehu.es) Jornadas técnicas
de RedIRIS Santiago de Compostela Noviembre 2009