CHAPTER 3. STEP-BASED FEATURE EXTRACTION METHODS
3.1 Automatic Feature Recognition framework
El estándar IEEE 802.1x define el control de acceso a redes basadas en puertos. Gracias a él se exige autenticación antes de dar acceso a las redes Ethernet. En el control de acceso a redes basadas en puertos se utilizan los elementos físicos que componen una infraestructura de conmutación de la red LAN para autenticar los dispositivos agregados al puerto de conmutación. No se pueden enviar ni recibir tramas en un Puerto de conmutación Ethernet si el proceso de autenticación ha fallado. A pesar de que se diseñó para redes Ethernet fijas, este estándar se ha adaptado para su uso en redes LAN inalámbricas con IEEE 802.11. Windows XP soporta la autentificación IEEE 802.1x para todos los adaptadores de red basados en redes LAN, incluyendo las Ethernet y las inalámbricas, mientras que Windows 2000 debe actualizarse al Service Pack 3 como mínimo y habilitar el soporte 802.1x, como se mostrará más adelante. Para los sistemas operativos basados en Linux, deben instalarse paquetes adicionales que implementen los protocolos del estándar.
El PAE
El Puerto PAE (Port Access Entity), también denominado Puerto LAN, es una entidad lógica que soporta el protocolo IEEE 802.1x asociado con un puerto físico. Un Puerto físico LAN puede hacer las veces de autenticador, el solicitante o ambos.
El AutenticadorEs un Puerto LAN que exige autenticación antes de permitir el acceso a los Servicios que se suministran a través de él. Para las conexiones inalámbricas, el Autenticador es el Puerto lógico de la LAN en un Punto de Acceso (AP) inalámbrico a través del cual los clientes que trabajan con conexiones inalámbricas acceden a la red fija.
El Puerto solicitanteEl Puerto Solicitante es un puerto de la LAN que solicita acceso a los servicios disponibles a través del Autenticador. En las conexiones inalámbricas, el demandante es el Puerto lógico de la LAN alojado en el adaptador de red LAN inalámbrica que solicita acceso a una red fija. Para ello se asocia y después se autentifica con un Autenticador. Independientemente de que se utilicen para conexiones inalámbricas o en redes Ethernet fijas, los puertos solicitante y de autenticación están conectados a través de un segmento LAN punto a punto lógico y físico.
El Servidor de AutenticaciónPara corroborar los credenciales del Puerto Solicitante, el de autenticación utiliza el servidor de autenticación. Este servidor comprueba los credenciales del solicitante en nombre del Autenticador y después le responde a éste indicándole si el solicitante tiene o no permiso para acceder a los Servicios que proporciona el Autenticador. Hay dos tipos de servidor de autenticación:
• Un componente del punto de acceso: Debe configurarse utilizando los credenciales de los clientes que intentan conectarse. Normalmente no se implementan utilizando puntos de acceso inalámbricos.
•
Una entidad distinta: El punto de acceso reenvía los credenciales de la conexión que ha intentado establecerse a un servidor de autenticación distinto. Por lo general un punto de acceso inalámbrico utiliza el protocolo de autenticación remota RADIUS (Remote Authentication Dial-In User Service) para enviar los parámetros de las conexiones que han intentado conectarse al servidor RADIUS (Figura 4.11).4.5.1.1
Puertos de acceso sin y con autenticaciónEl control de acceso basado en el Autenticador define los siguientes tipos de puertos lógicos que acceden a la LAN conectada físicamente a través de un solo puerto LAN fijo:
•
Puerto de acceso sin autenticación:El Puerto de acceso sin autenticación hace posible el intercambio de datos entre el autenticador (el switch fijo con soporte 802,1x o el AP inalámbrico) y otros dispositivos dentro de la red fija, independientemente de que se haya autorizado o no al cliente la utilización de la conexión inalámbrica. Un ejemplo ilustrativo es el intercambio de mensajes RADIUS entre un punto de acceso inalámbrico y un servidor RADIUS alojado en una red fija que ofrece autenticación y autorización a las conexiones inalámbricas. Cuando un usuario de una conexión envía una trama, el punto de acceso inalámbrico nunca la reenvía a través del puerto de acceso sin autenticación.
•
Puerto de acceso con autenticación:Gracias al Puerto de acceso con autenticación se pueden intercambiar datos entre un usuario de una red inalámbrica y la red física pero sólo si el usuario de la red inalámbrica ha sido autenticado. Antes de la autenticación, el conmutador se abre y no se produce el reenvío entre el usuario de la conexión inalámbrica y el de la red física. Una vez que la identidad del usuario remoto se ha comprobado a través de IEEE 802.1x, se cierra el conmutador y las tramas son reenviadas entre el usuario de la red inalámbrica y los nodos de la red con conexión física. En la figura 4.12 se puede ver la relación que se establece entre los Puertos con y sin autenticación en un punto de acceso inalámbrico.
Figura 4.12 Puertos con y sin autenticación
En el conmutador Ethernet de autenticación, el usuario de una red Ethernet puede enviar tramas Ethernet a una red también fija tan pronto como se haya finalizado el proceso de autenticación. El conmutador identifica el tráfico de un usuario de red Ethernet en particular utilizando para ello el Puerto físico al que se conecta a ese usuario. Por lo general sólo se conecta a un usuario de Ethernet
a un Puerto físico a través de un conmutador Ethernet. Debido a las reticencias de muchos clientes remotos ante la idea de consultar y enviar datos utilizando un único canal, se ha tenido que ampliar el protocolo básico IEEE 802.1x. De esta forma un AP inalámbrico o un switch pueden identificar si el tráfico de un determinado cliente remoto es seguro. Esto es posible gracias al establecimiento por ambas partes, tanto del cliente remoto como del punto de acceso de una clave única y especifica para cada cliente. Sólo aquellos clientes remotos que hayan sido autenticados tienen una clave única y específica para cada sesión. Si la autenticación no viene acompañada de una clave válida, el punto de acceso rechaza las tramas que envía el cliente remoto sin autenticación.
4.5.1.2 Protocolo de autenticación extensible (EAP)
Para poder ofrecer un mecanismo de autenticación estándar para 802.1x, la IEEE escogió el protocolo de autenticación extensible (EAP). EAP es un protocolo basado en la tecnología de autenticación del Protocolo Punto a Punto (PPP) que previamente se había adaptado para su uso en segmentos de redes LAN punto a punto. En un principio los mensajes EAP se definieron para ser enviados como la carga de las tramas PPP, de ahí que el estándar IEEE 802.1x defina EAP sobre la red LAN (EAPOL). Este método se utiliza para encapsular los mensajes EAP y así poder enviarlos ya sea a través de segmentos de redes Ethernet o de redes LAN inalámbricas. Los mensajes intercambiados se ilustran en la figura 4.13.
Figura 4.13 Mensajes intercambiados utilizando EAP sobre una red LAN
EAP utiliza el Network Access Server (Autenticador) para abrir un túnel para la autenticación del servidor a través de la red; 802.1x define un número términos especiales:
•
Un cliente que pide autenticarse se conoce como Suplicante.•
El servidor que autentifica al cliente se conoce como Servidor de Autenticación.•
El dispositivo intermediario entre estas dos entidades es el Network Authentication Server (NAS) o Autenticador. El cual puede ser un punto de acceso o un switch.EAP define una variedad de métodos autenticación. EAP/MD5 transfiere hash con el nombre del usuario, su contraseña y una cadena arbitraria. El servidor utiliza la clave en texto claro cadena arbitraria para generar su propio hash, el cual se compara con la entrante. Este método es simple, pero es seguro contra ataques tipo diccionario (donde se pretende descifrar la clave basándose en palabras muy utilizadas). Además, en una wireless es imposible crear claves WEP dinámicas utilizando EAP/MD5. Por tanto, este método sólo está indicado para pequeñas redes cableadas. Con la segunda variante, EAP tanto el servidor como el cliente necesitan certificados X.509. Este método es muy seguro, pero implica tener un (Public Key Infrastructure) en funcionamiento. Un tercer método es el Protected Extensible Autentication Protocol; con PEAP, sólo el servidor necesita un certificado para establecer una conexión TLS y enviar el nombre de usuario la contraseña encriptados (MSCHAPv2, Microsoft Challenge Handshake Authentication Protocol). Los administradores sólo necesitan instalar el certificado servidor en cada cliente. Cuando los clientes salen del sistema o cierran la conexión, PEAP detecta el cambio y finaliza la autorización, cerrando las conexiones por ambos lados. En redes sólo cableadas, EAP/MD5 es a menudo la mejor opción. Esto es todo lo que se necesita para asignar dinámicamente VLANs y, a diferencia de PEAP, es un protocolo soportado por una gran variedad de switches. Además de esto, el complicado esfuerzo administrativo es mucho menor que con PEAP o EAP/MD5.
Un switch normalmente proporciona funcionalidad NAS, traduciendo el protocolo EAPOL (EAP sobre LAN) desde el suplicante al servidor RADIUS, que es lo que el servidor de acceso espera. La mayoría de los dispositivos dan esta opción cuando se configura 802.1x. Se debe configurar la dirección y la clave para el servidor Radius. En muchos casos es aconsejable configurar múltiples servidores para proporcionar altos niveles de disponibilidad y ofrecer una solución alternativa en caso de que el servidor principal se caiga.
En el Anexo D se presenta una prueba realizada para ilustrar el funcionamiento en un entorno práctico de la Autenticación por medio de un servidor RADIUS utilizando switches Cisco Catalyst 2950. En el Anexo E se presenta un complemento a este capítulo y una introducción a otros Mecanismos de Seguridad en Redes IP, como Web Security, Router Security, Acceso Remoto y Registros y Auditoría, también importantes ya que constituyen una buena solución para una propuesta de Seguridad completa en una red.
Resumen
En este capítulo se han presentado las principales características de los mecanismos de seguridad que se consideraron de mayor importancia para su implementación en una red. El siguiente capítulo muestra las prácticas realizadas con el Protocolo IPSec en el
Laboratorio de Telecomunicaciones de la Universidad del Cauca y las distintas herramientas que permiten su implementación en redes IPv4 en entornos Linux y Windows.