Seguridad de DatosSeguridad de DatosSoluciones y Estándares de Soluciones y Estándares de SeguridadSeguridad

Soluciones y Estándares de Soluciones y Estándares de SeguridadSeguridad

802.1x802.1x Cisco Network Admision ControlCisco Network Admision Control Microsoft Network Access ProtectMicrosoft Network Access Protect FreeNACFreeNAC

802.1x802.1x

Estándar 802.1xEstándar 802.1x IEEE 802.1X es una norma de la IEEE para IEEE 802.1X es una norma de la IEEE para

Control de Admisión de Red basada en puertos. Control de Admisión de Red basada en puertos.

Es parte del grupo de protocolos IEEE 802 (IEEE Es parte del grupo de protocolos IEEE 802 (IEEE 802.1):802.1):

- IEEE 802.2 Control de enlace lógico - IEEE 802.2 Control de enlace lógico - IEEE 802.3 Ethernet - IEEE 802.3 Ethernet - IEEE 802.5 Token Ring - IEEE 802.5 Token Ring - IEEE 802.11 Red local inalámbrica, también - IEEE 802.11 Red local inalámbrica, también conocido como Wi-Ficonocido como Wi-Fi- IEEE 802.15 Red de área personal inalámbrica, - IEEE 802.15 Red de área personal inalámbrica, que viene a ser Bluetooth que viene a ser Bluetooth

Estándar 802.1xEstándar 802.1x

Permite la autenticación de Permite la autenticación de dispositivos conectados a un puerto dispositivos conectados a un puerto LAN, estableciendo una conexión LAN, estableciendo una conexión punto a punto o previniendo el punto a punto o previniendo el acceso por ese puerto si la acceso por ese puerto si la autenticación falla. autenticación falla.

Características de 802.1xCaracterísticas de 802.1x

Mecanismo basado en control de Mecanismo basado en control de acceso al Puerto.acceso al Puerto.

Trabaja sobre cualquier clase de red, Trabaja sobre cualquier clase de red, cableada o inalámbricacableada o inalámbrica

Permite la gestión dinámica de Permite la gestión dinámica de claves para redes inalámbricasclaves para redes inalámbricas

Capacidad de utilizar métodos Capacidad de utilizar métodos fuertes de la autentificación con EAP fuertes de la autentificación con EAP

Topología 802.1xTopología 802.1x

DHCP Exchange

Filepeers

Controlle

d Port

Domain Controller

Certificate AuthoritySupplies client certs and

Certificate Revocation Lists (CRL)

EAP Connection

802.11/.1XAccess PointLaptop

Domain User/Machine

Certificate

ServerCertificate

RADIUS(IAS)

Uncontro

lled P

ort

Estándar 802.1xEstándar 802.1x

Roles en el Proceso de Autenticación

Roles en el Proceso de Roles en el Proceso de AutenticaciónAutenticación

SupplicantSupplicant – Es el equipo de – Es el equipo de extremo que está buscando el extremo que está buscando el acceso de red. El supplicant puede acceso de red. El supplicant puede ser un dispositivo del usuario final o ser un dispositivo del usuario final o un dispositivo independiente, tal un dispositivo independiente, tal como un teléfono del IP. como un teléfono del IP.

Roles en el Proceso de Roles en el Proceso de AutenticaciónAutenticación

AuthenticatorAuthenticator - el dispositivo con - el dispositivo con el cual el supplicant se conecta el cual el supplicant se conecta directamente y a través cuál el directamente y a través cuál el supplicant obtiene permiso de supplicant obtiene permiso de acceso a la red. acceso a la red.

Roles en el Proceso de Roles en el Proceso de AutenticaciónAutenticación

Servidor de la autentificaciónServidor de la autentificación - - el authenticator actúa como el authenticator actúa como entrada al servidor de la entrada al servidor de la autentificación, que es responsable autentificación, que es responsable realmente de autenticar al realmente de autenticar al supplicant. supplicant.

Proceso de AutenticaciónProceso de Autenticación

El proceso de la autentificación El proceso de la autentificación consiste en intercambios de los consiste en intercambios de los mensajes de EAPmensajes de EAP(Extensible Authentication Protocol). (Extensible Authentication Protocol). Este intercambio ocurre entre el Este intercambio ocurre entre el servidor de autenticación y el servidor de autenticación y el Supplicant. El authenticator actúa Supplicant. El authenticator actúa como relay transparente para este como relay transparente para este intercambio y como punto para aplicar intercambio y como punto para aplicar las políticas que el servidor.las políticas que el servidor.

Proceso de AutenticaciónProceso de Autenticación

Estándar 802.1xEstándar 802.1x

Estándar 802.1xEstándar 802.1x

Implementación en varias Implementación en varias sucursalessucursales

Redundancia para Redundancia para autenticaciónautenticación

Network Admission Network Admission ControlControl

Network Admission Control Network Admission Control (NAC)(NAC)

Es una iniciativa respaldada por Cisco Es una iniciativa respaldada por Cisco Systems la es utilizada en la Systems la es utilizada en la infraestructura de redes para reforzar las infraestructura de redes para reforzar las políticas de seguridad existe cuando un políticas de seguridad existe cuando un dispositivo desea ingresar a la red, es dispositivo desea ingresar a la red, es parte de parte de Cisco Self-Defending NetworkCisco Self-Defending Network

Busca limitar los daños causados por virus Busca limitar los daños causados por virus y gusanos.y gusanos.

Network Admission Control Network Admission Control (NAC)(NAC)

Usando NAC, las organizaciones puede Usando NAC, las organizaciones puede proveer acceso seguro a dispositios finales proveer acceso seguro a dispositios finales ( PCs, PDA, server) los cuales son ( PCs, PDA, server) los cuales son verificados completamenta para chequear si verificados completamenta para chequear si cumplen con las políticas de seguridad cumplen con las políticas de seguridad establecidasestablecidas

En el caso de los dispositivos que no En el caso de los dispositivos que no cumplen con las políticas estos son cumplen con las políticas estos son enviados a un área de cuarentena o se les enviados a un área de cuarentena o se les restringe el accesorestringe el acceso

Network Admission Control Network Admission Control (NAC)(NAC)

Empresas que apoyan a Empresas que apoyan a NACNAC

Network Access Network Access ProtectionProtection

Network Access Protection Network Access Protection (NAP)(NAP)

Es una plataforma para Microsoft Es una plataforma para Microsoft Windows Server 2008 y Windows Vista, la Windows Server 2008 y Windows Vista, la cual provee componentes para reforzar cual provee componentes para reforzar las políticas de seguridad y establecer las políticas de seguridad y establecer validaciones para el acceso a la red.validaciones para el acceso a la red.

Manteniendo acceso limitado a los Manteniendo acceso limitado a los dispositivos que no cumplan con las dispositivos que no cumplan con las especificaciones de la política de especificaciones de la política de seguridad, y permitiéndole acceso sólo a seguridad, y permitiéndole acceso sólo a los servicios de actualización de forma los servicios de actualización de forma temporal.temporal.

Componentes clavesComponentes claves

Internet Protocol security (IPsec)Internet Protocol security (IPsec) IEEE 802.1X authenticated network IEEE 802.1X authenticated network

connectionsconnections Virtual private networks (VPNs)Virtual private networks (VPNs) Dynamic Host Configuration Dynamic Host Configuration

Protocol (DHCP)Protocol (DHCP)

Componentes en Componentes en ServidoresServidores

NAP Administration ServerNAP Administration Server es un componente de es un componente de Network Policy Services (remplazo de IAS - Radius server)Network Policy Services (remplazo de IAS - Radius server)

Health Registration AuthorityHealth Registration Authority: Servidor con 2008 y IIS : Servidor con 2008 y IIS que distribuye los certificadosque distribuye los certificados

Accounts DatabaseAccounts Database ( Active Directory ) ( Active Directory )

System Health ValidatorSystem Health Validator: Software a nivel de servidor : Software a nivel de servidor que verifica si el estado del equipo cumple con las que verifica si el estado del equipo cumple con las políticas establecidaspolíticas establecidas

Remediation ServerRemediation Server: Servidor que puede ser : Servidor que puede ser accesados por los equipos que no cumplen con las accesados por los equipos que no cumplen con las políticas ( Servidores de actualizaciones, DNS políticas ( Servidores de actualizaciones, DNS secundarios, servidor de archivos, etc)secundarios, servidor de archivos, etc)

Topología NAPTopología NAP

Free NACFree NAC

FreeNACFreeNAC

Contiene numerosas funciones para Contiene numerosas funciones para ayudar al administrador con el ayudar al administrador con el manejo y puesta en marcha de manejo y puesta en marcha de redes virtuales, al mismo tiempo redes virtuales, al mismo tiempo que proporciona control de acceso que proporciona control de acceso

a redes.a redes.

Características de FreeNACCaracterísticas de FreeNAC

Asignación dinámica de redes virtuales Asignación dinámica de redes virtuales Control de acceso a redes Control de acceso a redes Flexibilidad en mecanismos de autentificación Flexibilidad en mecanismos de autentificación

para redes: 802.1x, VMPS, Cisco Mac-Auth-para redes: 802.1x, VMPS, Cisco Mac-Auth-Bypass Bypass

Altamente automatizado Altamente automatizado Redundancia y repartición de carga de red para Redundancia y repartición de carga de red para

una mejor disponibilidad una mejor disponibilidad Inventario en tiempo real de los aparatos Inventario en tiempo real de los aparatos

conectados a la red conectados a la red Documentación del cableado de la red Documentación del cableado de la red

Reportes flexibles .Reportes flexibles .

Características de FreeNACCaracterísticas de FreeNAC

Asignación dinámica de redes virtuales Asignación dinámica de redes virtuales Control de acceso a redes Control de acceso a redes Flexibilidad en mecanismos de autentificación Flexibilidad en mecanismos de autentificación

para redes: 802.1x, VMPS, Cisco Mac-Auth-para redes: 802.1x, VMPS, Cisco Mac-Auth-Bypass Bypass

Altamente automatizado Altamente automatizado Redundancia y repartición de carga de red para Redundancia y repartición de carga de red para

una mejor disponibilidad una mejor disponibilidad Inventario en tiempo real de los aparatos Inventario en tiempo real de los aparatos

conectados a la red conectados a la red Documentación del cableado de la red Documentación del cableado de la red

Reportes flexibles .Reportes flexibles .