Ir al contenido principal

802.1x





¿Qué es 802.1x?


Es una maravilla!!!


802.1x es un estándar que define la autenticación a la red.


"Si la red fuese un estadio de fútbol, 802.1x sería el policía de la entrada."







La tarea del policía no es sencilla, debe revisar:


  • Que el asistente no porte armas ni objetos que puedan ser usados como proyectiles
  • Que, en algunos casos, no lleve cámaras profesionales
  • Tampoco debe estar ebrio o drogado
  • Debe asistir al partido en el horario establecido, ni antes ni después
  • La puerta de entrada adecuada (si va a nivel de cancha, palco, etc.)
  • Y por ultimo pero no menos importante, que la persona cuente con un boleto válido

En una red, estos puntos también son necesarios y en muchas ocasiones las empresas no refuerzan la seguridad en el acceso, por ejemplo:
  • Todos acceden con el mismo boleto (contraseña wifi) o peor aún
  • Todos entran sin boleto!!! (conexión al cable de red y listo)
  • se puede ingresar con software espía o malware
  • se puede ingresar con comportamiento anómalo, con virus o gusanos
  • se puede entrar a toda la red, servidores incluidos
  • se puede ingresar a cualquier hora y desde cualquier lugar, como VPNs etc.

La seguridad en un estadio y en la red comienza con el acceso, muchas veces tenemos firewalls y antivirus, pero es posible ingresar sin restricción alguna, y de eso precisamente se trata 802.1x.

802.1x junto con Radius requiere al menos 3 componentes para que funcione:
  • Suplicante (cliente 802.1x)
  • Autenticador o NAS
  • Servidor de Autenticacion o Radius Server

El suplicante es un software que entiende el protocolo 802.1x y proporciona las credenciales al NAS o AS, Windows 7, 8 10, Mac OS, iOS Android y practicamente cualquier sistema operativo moderno ya cuentan con suplicantes tanto para wifi como para wired.

El Network Authentication Server es el switch o Access Point al que nos conectamos y nos dirige al servidor de Autenticacion o AS

El servidor cuenta con las credenciales y políticas para otorgar o negar nuestro acceso, y es precisamente aquí donde se pone interesante.

Radius es un servidor de acceso que le indica al NAS (Switch o Access Point):
  • Es valido el usuario
  • Es valido el dispositivo
  • a que VLAN se puede conectar
  • con que velocidad
  • con que restricciones
  • etc.
Dependiendo del servidor Radius puede hacer cosas basicas, como Windows Network Policy Server, o bien cosas bastante avanzadas como Aruba Clearpass

Pero dentro de lo que ambos pueden hacer:
  • validar contra un grupo de usuarios
  • asignar vlan
  • especificar horarios permitidos y horarios prohibidos
  • asignar ACLs
  • integración con Active Directory
El mundo de los NAC (Network Access Control) es muy amplio y cada vez se hace mas interesante, ya que hay algunos que pueden revisar el estado del dispositivo, si tiene antivirus o malware, o bien si es de la empresa o personal, si el usuario es invitado o contratista y un gran etc.

Pronto abarcare con mas detalle el NAC Aruba Clearpass.










Comentarios

Entradas populares de este blog

Cómo configurar Aruba y Windows Network Policy Server (NPS)

Es posible conectarse a una red Wifi usando a Active Directory como fuente de identidades?

esto tiene varios beneficios como

no tener una clave para todosuna clave que cada usuario pueda recordar una clave que cambie con el tiempo yque cumpla con las políticas de seguridad Los APs no hablan LDAP, pero si hablan Radius
Radius permite que los APs soliciten al usuario sus credenciales y se validen contra un Domain Controller.
Funcionamiento:
el cliente contacta al AP el AP le hace saber que habla 802.1x el cliente inicia al suplicante se establece la confianza hay intercambio de credenciales
Configuración en Aruba: iniciar el wizard Campus WLANSeleccionar el grupo de APs y crear un nuevo SSIDseleccionar modo Tunnel o Bridge, según las necesidadesestablecer VLAN y banda según necesidadesseleccionar "internal" como el proposito de este SSIDseleccionar "strong encryption with 802.1x authentication" y WPA2-Enterpriseagregar un servidor Radius (Windows NPS) con su IP y secret…

Uber es hackeado

Es muy conocido el servicio de Uber. Le pide a extraños que renten su coche a otros extraños, la fortaleza del modelo radica en que Uber solicita a los conductores ciertos datos personales para ayudar en las investigaciones en caso de un ilícito.

Una usuaria de Cabify fue víctima de un delito y colabora con las autoridades mexicanas para dar con el conductor responsable

El modelo funciona, ya que permite saber cuando, donde, quien lleva un vehículo y a que persona, sin embargo, nuestra ocupación es la seguridad de la información.

Recientemente Uber admitió que ha sido víctima de un hackeo.

El alcance fue de millones de datos personales de conductores filtrados.

Uber pagó por borrar la información robada, pero el daño ya estaba hecho. Los Secuestradores de información, de acuerdo con Uber, robaron la información de esta forma:


Dos atacantes accedieron a GitHub - sitio preferido para desarrollar UberRoban credenciales de ahíIngresan a Amazon Web ServicesUbican un archivo con información …