Seguridad en la red: autenticación 802.1x

Tener el control de lo que se conecta a nuestra red es algo más que necesario: es algo obligatorio.

Para mí es prácticamente inconcebible que, en una red en la que hay acceso de personas con dispositivos portátiles, no haya una securización a nivel de control de accesos a la red.

Estoy seguro de que muchos de vosotros conocéis algún caso en el que "han llegado a un local, han visto una roseta en la pared, se ha conectado con un portátil y ha podido ver todo lo que hay en la red". Y cuando digo, todo es TODO.

Pues esto es algo que se debería evitar.

Que alguien llegue a tu empresa, se conecte y pueda ver tu servidor de BBDD... como que no, ¿verdad?

Es por ello que hoy vengo a hablar de la norma de autenticación 802.1x.

¿Qué es 802.1x?

El protocolo IEEE 802.1X es un estándar fundamental en la implementación de sistemas NAC, operando en la capa 2 del modelo OSI para proporcionar control de acceso basado en puertos. Su funcionamiento se basa en una arquitectura de tres componentes: el suplicante (software cliente en el dispositivo del usuario), el autenticador (switch o punto de acceso que controla el acceso físico) y el servidor de autenticación (típicamente RADIUS).

El proceso comienza cuando un dispositivo intenta conectarse a la red, momento en el que el autenticador bloquea todo el tráfico excepto el 802.1X.

El suplicante inicia la comunicación enviando un paquete EAPOL-Start, a lo que el autenticador responde solicitando la identidad. Esta información se transmite al servidor RADIUS, que inicia el método de autenticación EAP específico.

Durante este proceso, se intercambian múltiples mensajes EAP entre el suplicante y el servidor, encapsulados en paquetes EAPOL. Una vez que el servidor RADIUS toma una decisión, envía un mensaje de aceptación o rechazo al autenticador, que a su vez comunica el resultado al suplicante. Si la autenticación es exitosa, el puerto cambia a estado "no controlado", permitiendo el acceso a la red, y se aplican las políticas de seguridad correspondientes (como asignación de VLAN o ACLs).

Diferentes soluciones, mismo propósito

En el mercado podemos encontrar distintas soluciones, algunas de pago, otras opensource.

Por ejemplo, con las que yo he trabajado: OpenNAC, PacketFence, NPS (integrado con Windows Server), Freeradius...

He de reconocer que implementar Freeradius es bastante... tedioso. Pero también es adaptable a nuestras necesidades.

En este escenario, y sobretodo en entornos Windows, el que se lleva el oro es NPS (Network Policy Server), que viene integrado con todos los sistemas Windows Server.

Es bastante sencillo de configurar, todo interfaz gráfica.

Imagen de un servidor NPS

Como alternativa opensource tenemos PacketFence, el cual nos ofrece las mismas ventajas que NPS pero a través de un navegador web.

El funcionamiento es sencillo:

• Declaramos los clientes (o NAS, como lo llaman en Windows) que son los encargados de encapsular EAP en paquetes RADIUS. Los aquí declarados serán los únicos que podrán intentar validar la conexión a la red por parte del equipo final.

• Definimos las variables que se ejecutarán, como por ejemplo a que VLAN se va a dirigir el equipo. Esto se suele hacer en base a unos criterios, como por ejemplo que pertenezca a un grupo de seguridad en el dominio, pero se pueden aplicar distintas posibilidades.

Un ejemplo sería:

Lorenzo pertenece al departamento de compras de la empresa. Dispone de su equipo portátil con el cual puede conectarse en cualquier parte de la oficina. El equipo de Lorenzo ha sido previamente agregado al dominio y se le ha añadido el grupo de seguridad "COMPRAS". Al conectarse a una toma de red, el switch empieza a pedir información a través de paquetes EAP. Cuando tiene la información, la intercambia con el servidor RADIUS. Este servidor comprueba la información facilitada y, según lo que reciba, permitirá el acceso o no, y si permite el acceso, según el grupo al que pertenezca lo mandará a una vlan u otra. Como Lorenzo pertenece al grupo COMPRAS, el servidor RADIUS recibe esta información y le dice al switch que el puerto al que está conectado su equipo ahora pertenece a la VLAN 714. Ahora Lorenzo podrá trabajar y acceder a la red que le corresponde.