Llegamos a ustedes gracias a:



Reportajes y análisis

Seis secretos para una exitosa implementación 802.1X

[13/07/2012] La implementación y soporte de autenticación 802.1X en la red puede ser un desafío, pero aquí hay algunos consejos que pueden ayudarle a ahorrar algo de tiempo, dinero y frustración.
1. Considere la posibilidad de un servidor RADIUS gratuito o de bajo costo
Para las redes de empresas medianas y pequeñas, no tiene que gastar una fortuna en un servidor RADIUS (Remote Authentication Dial-In User Service). En primer lugar, compruebe si su plataforma de router, servicio de directorio, o cualquier otro servidor ya le proporciona RADIUS/AAA (autenticación, autorización y contabilidad, por sus siglas en inglés). Por ejemplo, si está ejecutando un dominio de Active Directory con un servidor Windows, busque en el componente Internet Authentication Service (IAS) de Windows Server 2003 R2 y versiones anteriores, o el componente Network Policy Server (NPS) de Windows Server 2008 y versiones posteriores.
Si los servidores actuales no proporcionan la funcionalidad RADIUS, todavía hay muchos servidores gratuitos y de bajo costo por ahí:
FreeRADIUS http://www.freeradius.org/ es totalmente gratuito, de código abierto, y se puede ejecutar en Linux y otros sistemas operativos del tipo Unix. Puede servir a una docena o a millones de usuarios y solicitudes. De forma predeterminada, FreeRADIUS tiene una interfase de línea de comandos, y los cambios de configuración se realizan a través de la edición de archivos de configuración. La configuración es altamente personalizable y debido a que es de código abierto, incluso puede hacerle cambios al código del software.
TekRadius es lanzado como un servidor shareware, se ejecuta en Windows y ofrece una interfase de usuario gráfica. Las características básicas son gratuitas, pero se pueden comprar otras versiones para características como certificados EAP-TLS, y creación de certificados para las sesiones dinámicas de auto-firmado para el protocolo protegido de autenticación extensible (PEAP), la facturación de VoIP, y otras características de la empresa.
Dos productos comerciales que tienen un costo bastante bajo incluyen Clearbox y Elektron, ambos funcionan en Windows y ofrecen una prueba gratuita de 30 días.
Algunos puntos de acceso han incorporado servidores RADIUS, ideal para redes más pequeñas. Por ejemplo, los 530 HP ProCurve o el ZyXEL NWA-3500, NWA3166 o NWA3160-N.
También hay servicios basados en nube, como AuthenticateMyWiFi, que proporcionan servidores RADIUS alojados para 802.1X, ideal para aquellos que no quieren invertir el tiempo y los recursos en la creación de su propia cuenta.
2. Implementación de 802.1X para la parte cableada
Es posible que haya decidido implementar la autenticación 802.1X solo para poder asegurar mejor su red LAN inalámbrica con el modo Enterprise de la seguridad WiFi Protected Access (WPA o WPA2). Pero también considere el despliegue de la autenticación 802.1X para la parte cableada de la red. A pesar de que no se permite el cifrado de las conexiones por cable (vea IPsec para eso), se requiere autenticación para los que se conecten a la Ethernet antes de que se les de acceso a la red.
3. Compre un certificado digital para una implementación tranquila
Si va a implementar PEAP para el tipo EAP de 802.1X, todavía tiene que cargar el servidor RADIUS con un certificado digital para la validación de servidor opcional -pero vital- que hacen los usuarios finales antes de autenticarse. Esto es para ayudar a evitar los ataques de hombre en el medio.
Puede crear un certificado auto-firmado con su propio Certificate Authority, pero el certificado raíz de su Certificate Authority debe estar cargado en las computadoras del usuario final y en sus dispositivos para que puedan realizar la validación en el servidor.
Generalmente, puede distribuir los certificados raíz de Certificate Authorities a las computadoras administradas, a través de Group Policy si está ejecutando Active Directory con Windows Server 2003 o posterior. Sin embargo, para los entornos sin dominio y de BYOD, el certificado debe ser instalado manualmente o distribuido de otra manera.
Alternativamente, puede comprar un certificado digital para el servidor RADIUS de un Certificate Authority de terceros (como VeriSign, Comodo, o GoDaddy) que ya confían en Windows y otros sistemas operativos, por lo que no tendría que preocuparse acerca de cómo distribuir el Certificate Authority raíz para la mayoría de las computadoras y dispositivos.
4. Distribuya la configuración a los servicios sin dominio
Si tiene un dominio de Active Directory con Windows Server 2003 o posterior, por lo general puede distribuir la configuración de red (incluyendo 802.1X y los certificados digitales) a través de Group Policy para Windows XP y máquinas posteriores agregadas al dominio. Pero para aquellos que no están en el dominio, como laptops propiedad de los usuarios, teléfonos inteligentes y tablets, hay otras soluciones de distribución que podría tener en cuenta, además de la configuración manual del usuario.
Tenga presente que quiere distribuir tres cosas fundamentales: el certificado raíz Certificate Authority utilizado por su servidor RADIUS, certificados de los usuarios si utilizan EAP-TLS, y la configuración de red y de 802.1X.
Está la herramienta gratuita SU1X 802.1X Configuration Tool que se puede utilizar para Windows XP (SP3), Vista y Windows 7. Debería ingresar sus datos y preferencias, capturar su información de la red desde una PC que ya esté configurada con la red y, a continuación, la herramienta creará un asistente que los usuarios pueden ejecutar en sus computadoras para configurar la red automáticamente y otras opciones.
Es compatible con la distribución del certificado raíz Certificate Authority y la configuración de la red y de 802.1X. Además, se puede configurar para agregar/quitar los perfiles de otras redes, cambiar las prioridades de la red, y encender el NAP/SoH. También puede configurar las opciones manuales o automáticas del servidor Proxy para Internet Explorer y Firefox, y añadir/eliminar impresoras en red.
Las opciones comerciales que podría considerar para la implementación de la configuración 802.1X son XpressConnect, ClearPass QuickConnect y ClearPass Onboard.
XpressConnect apoya la distribución de la raíz Certificate Authority, cualquier certificado de usuario, la red y las configuraciones de 802.1X (PEAP, TLS, TTLS) en Windows, Mac OS X, Linux, Android, y los dispositivos iOS. Para TTLS, también soporta la instalación del suplicante SecureW2 TTLS. XpressConnect es una solución basada en la nube donde se define la configuración de red en una consola web, y luego se crea un asistente que se puede distribuir a los usuarios.
ClearPass QuickConnect y ClearPass Onboard soportan la distribución de la raíz Certificate Authority y las configuraciones de la red y de 802.1x (PEAP, TLS, TTLS y) en Windows, Mac OS X, Android, y los dispositivos iOS. ClearPass QuickConnect es un servicio basado en la nube y no soporta la distribución de las certificaciones de los usuarios. ClearPass Onboard es un módulo de software para la plataforma ClearPass Policy Manager y soporta los certificados de usuario distribuidos.
También existen soluciones específicas para algunos sistemas operativos móviles que se pueden utilizar para la distribución de la configuración de red 802.1X y otras, tales como la iPhone Configuration Utility para iOS o BlackBerry Enterprise Server Express para dispositivos BlackBerry.
5. Asegure las opciones del cliente 802.1X
802.1X puede ser propenso a ataques de hombre en el medio, por ejemplo, cuando un atacante puede configurar un duplicado de señal Wi-Fi con un servidor RADIUS modificado (al igual que con el parche FreeRadius-WPE) y tratar de conseguir que los usuarios se conectan en ella para capturar y romper sus credenciales de acceso. Sin embargo, puede tratar de prevenir este tipo de ataque al configurar los equipos cliente y dispositivos de forma segura.
En Windows, hay tres valores fundamentales que debe verificar que estén habilitados/configurados en las propiedades de EAP:
* Valide el certificado del servidor: Debería estar habilitado y el Certified Authority utilizado por el servidor RADIUS debe ser seleccionado de la lista. Esto garantiza que el servidor RADIUS utilice la red a la que el usuario se conecta con un certificado de servidor emitido por Certificate Authority que usted utiliza.
* Conéctese a estos servidores: Debe estar habilitado, y el -o los- dominios enlistados en el certificado de su servidor RADIUS deben ser introducidos. Esto garantiza que el cliente solo se comunica con los servidores RADIUS que se cargan con un certificado de servidor designado con su dominio.
* No le pida a los usuarios que autoricen nuevos servidores o autoridades de certificación de confianza: Debe tener la posibilidad de rechazar automáticamente servidores RADIUS desconocidos, en lugar de ofrecerle a los usuarios la capacidad de aceptar y conectar.
En Windows Vista y posteriores, los dos primeros parámetros se deben habilitar y configurar de forma automática la primera vez que un usuario inicia sesión. Sin embargo, el último ajuste se debe habilitar manualmente o, posiblemente, a través de Group Policy u otro método de distribución. Y en Windows XP, el usuario debe configurar manualmente todos los ajustes, o también podría utilizar Group Policy u otro método de distribución.
Para dispositivos móviles, la configuración exacta de 802.1X difiere entre los sistemas operativos móviles. Por ejemplo, Android ofrece solo la configuración básica de 802.1X con la capacidad opcional para instalar y seleccionar el certificado raíz Certificate Authority de su servidor RADIUS, para que pueda realizar la validación en el servidor. iOS le permite especificar también el nombre del certificado/dominio y la capacidad de hacer caso omiso de otros certificados para aumentar la confiabilidad de la validación del servidor.
6. Asegure el servidor RADIUS
No se olvide de la seguridad del servidor RADIUS en sí, ya que es el responsable de gestionar la autenticación. Considere la posibilidad de dedicar un servidor separado solo para RADIUS, asegúrese de que su firewall esté bloqueado, y utiliza los enlaces encriptados para las conexiones de base de datos utilizadas por el servidor RADIUS y que residen en otro servidor.
Cuando genere los secretos compartidos que va a ingresar en el cliente NAS (Network Access Server) o base de datos del servidor RADIUS, utilice contraseñas únicas y fuertes. Debido a que los usuarios no tienen que saberlas o recordarlas, que sean muy largas y complejas. Tenga en cuenta que la mayoría de servidores RADIUS y dispositivos NAS soportan hasta 32 caracteres para el secreto compartido.
Ya que 802.1X es propenso al ataque de hombre en el medio sobre la contraseña de usuario, asegúrese de que las contraseñas de los usuarios también sean fuertes. Si tiene un servicio de directorio como Active Directory, podría ser capaz de hacer cumplir las políticas de contraseña para asegurarse de que sean los suficientemente complejas y que cambien periódicamente.
Resumen
Recuerde, considere a 802.1X para las porciones cableadas e inalámbricas de su red. Asegúrese de no tener la capacidad de RADIUS antes de buscar un servidor, y luego considere servidores gratuitos o de bajo costo. Para la implementación sencilla, considere la compra del certificado digital del servidor de un Certificate Auhority de terceros. Considere la posibilidad de una solución para ayudar a automatizar la configuración de las computadoras y dispositivos sin dominio. Por último, pero no menos importante, asegurarse de que las opciones de su servidor 802.1X y del cliente estén bien configuradas.
Eric Geier, Network World (EE.UU)
Eric Geier es un escritor técnico independiente. También es el fundador de NoWiresSecurity, que proporciona seguridad basada en la nube para RADIUS y 802.1X y On Spot Techs, que ofrece servicios informáticos en el sitio.