Embed Size (px)
Citation preview
UNIVERSIDAD DE EL SALVADOR FACULTAD MULTIDISCIPLINARIA DE OCCIDENTE
DEPARTAMENTO DE INGENIERÍA Y ARQUITECTURA
VLANS
CÁTEDRA: COMUNICACIONES I
CATEDRÁTICO:
ING. JUAN CARLOS PEÑA MORÁN
PRESENTADO POR: GÓMEZ ARÉVALO, JACQUELINE STEPHANIE
MORÁN MONZÓN, LUIS ANTONIO URQUILLA CAMPOS, EDWIN ALBERTO
JUEVES 29 DE NOVIEMBRE DE 2012.
CONTENIDO
Planteamiento del Problema........................................................................................................................................... 2
VLAN ............................................................................................................................................................................................ 3
¿Que es FreeRADIUS? ......................................................................................................................................................... 4
VMPS (VLAN Management Policy Server) ............................................................................................................... 5
802.1X ......................................................................................................................................................................................... 5
EAP ............................................................................................................................................................................................... 5
Configuraciones ..................................................................................................................................................................... 6
Otras Lecturas de Interés ...............................................................................................................................................12
Comunicaciones I - VLANS Página 2
PLANTEAMIENTO DEL PROBLEMA
Debido a la llegada de una nueva cadena de supermercados al país, una empresa
productora de alimentos se ha visto en la necesidad de expandirse para satisfacer la
creciente demanda de mercado. Esto ha llevado a que su infraestructura de red crezca
a la misma velocidad que sus operaciones comerciales, saturando las redes locales y
creando nuevas redes en las nuevas oficinas que se han aperturado en todo el país.
Este crecimiento se ha realizado AD-HOC y los administradores de IT se han dado
cuenta que la red se ha vuelto difícil de administrar, por lo que se embarcan en un
proyecto de reestructuración completa de la red, pero buscando centralizar la gestión
de la misma en la medida de lo posible. Uno de los factores claves para el éxito es la
contención de tráfico y la separación de redes. Luego de una discusión acerca del tema
se llegaron a dos ideas:
1) mantener una VLAN que se propague a través de toda la red física que permita
administrar la red misma.
2) Brindar acceso a cada computadora basándose en su dirección física, y así sin
importar desde el lugar donde se conecte en el campus, se garantiza que siempre se le
asignará a la misma red.
Comunicaciones I - VLANS Página 3
VLAN
Una VLAN (acrónimo de virtual LAN, «red de área local virtual») es un método de
crear redes lógicamente independientes dentro de una misma red física. Varias VLANs
pueden coexistir en un único conmutador físico o en una única red física. Son útiles
para reducir el tamaño del dominio de difusión y ayudan en la administración de la
red separando segmentos lógicos de una red de área local (como departamentos de
una empresa) que no deberían intercambiar datos usando la red local (aunque
podrían hacerlo a través de un enrutador o un conmutador de capa 3 y 4).
Una VLAN consiste en una red de ordenadores que se comportan como si estuviesen
conectados al mismo conmutador, aunque pueden estar en realidad conectados
físicamente a diferentes segmentos de una red de área local. Los administradores de
red configuran las VLANs mediante software en lugar de hardware, lo que las hace
extremadamente flexibles. Una de las mayores ventajas de las VLANs surge cuando se
traslada físicamente algún ordenador a otra ubicación: puede permanecer en la misma
VLAN sin necesidad de cambiar la configuración IP de la máquina.
VLANS DINÁMICAS
Estas VLANs están asignadas de acuerdo a una dirección MAC se puede asociar un
puerto no asignado del switch a la VLAN que se considere, dicho de otro modo la
VLAN se asigna de acuerdo a un requisito previo y no a un puerto en específico, se
crean en base a datos centralizados. Conviene cuando hay muchos cambios, la única
desventaja es que es muy complejo.
El uso de las VLANs nos facilita muchas cosas en cuanto a flexibilidad y escalabilidad,
al crear una VLAN, esencialmente se están creando dominios de broadcast. Es decir, el
broadcast causadas por equipos defectuosos y por aplicaciones que generan
broadcast para toda la red.
Si una vlan tiene pocos usuarios, tendrá poco broadcast. Las VLANs se pueden
organizar por comunidades de usuarios con intereses comunes.
Las diferencias entre VLANs estáticas y dinámicas como bien su nombre lo dice es que
las estáticas son asignadas a un puerto en específico y las dinámicas son asignadas
mediante un criterio específico normalmente por MAC.
Comunicaciones I - VLANS Página 4
¿QUE ES FREERADIUS?
Los ataques desde la red interna son peligrosos y más difíciles de prevenir que los
ataques externos. Un atacante que se conecte en una red interna con un portátil se
beneficia de nuestro ancho de anda para el acceso a la red de datos. Una forma de
prevenir un ataque es implementar una función de autenticación en la Capa 2 del
modelo OSI usando el protocolo 802.1X.
Un switch habilitado con 802.1X y un servidor Freeradius es todo lo que se necesita
para implementar la autenticación en la Capa 2. Ya que la autenticación de la Capa 2
opera en el nivel local, la red física, se evita que los intrusos utilicen la red física sin
autenticarse. Las respuestas Radius (Remote Authentication Dial-in-User Service
Protocol) desde un servidor Linux suelen incluir la dirección IP y el gateway estándar
para el usuario, pero el protocolo tiene más potencial. Puede usar un servidor Radius
para asignar una VLAN al puerto del switch del usuario. Esta técnica evita la necesidad
de una infraestructura compleja de router, pero sigue restringiendo el tamaño del
dominio de broadcast. Además, las VLANs se pueden usar para separar
departamentos de una compañía de manera lógica, mejorando la seguridad al mismo
tiempo.
Aunque los usuarios pueden conectarse desde cualquier sitio en el que se encuentren
(desde el bar por ejemplo), siempre verán su propio entorno de red. El protocolo
estándar 802.1X maneja la autenticación y el servidor Freeradius se proporcionan los
servicios AAA (Autenticación, Autorización y Arqueo). El servidor Freeradius accede
al directorio del servidor OpenLDAP para obtener información de las cuentas. El
sistema completo está disponible tanto para clientes Linux como Windows. Soporta
capas redundantes para alta-disponibilidad utilizando proxies para Radius y
replicación de directorios para la base de datos LDAP. La solución completa también
puede aplicarse a la seguridad de la WLAN, y los administradores pueden beneficiarse
de las opciones de contabilidad (arqueo, estadísticas….) del servidor Radius.
Comunicaciones I - VLANS Página 5
VMPS (VLAN MANAGEMENT POLICY SERVER)
Es un método para asignar puertos de un switch a redes virtuales específicas de
acuerdo a la dirección MAC del dispositivo que busca acceso a la red. En modo VMPS,
un switch compatible con VMPS detecta una nueva PC y crea una petición VMPS
pidiendo autorización de FreeNAC, el cual revisa en su base de datos y permite o niega
el acceso a la red basandose en la dirección MAC. El switch se encarga de respaldar la
decisión tomada por FreeNAC y niega acceso o en caso contrario, coloca el dispositivo
de manera dinámica en su red virtual por defecto.
802.1X
El protocolo IEEE 802.1X proporciona control de acceso en la Capa 2 de OSI (la Capa
MAC). IEEE 802.1X soporta la autenticación de clientes mientras se establece la
conexión a la red, antes de que al cliente se le asigne una dirección IP vía DHCP
(Dynamic Host Configuration Protocol).
802.1X está disponible en ciertos conmutadores de red y puede configurarse para
autenticar nodos que están equipados con software suplicante. Esto elimina el acceso
no autorizado a la red al nivel de la capa de enlace de datos. Algunos proveedores
están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse
en ciertas situaciones en las cuales el punto de acceso necesita operarse como un
punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta
autenticación es realizada normalmente por un tercero, tal como un servidor de
RADIUS. Esto permite la autenticación sólo del cliente o, más apropiadamente, una
autenticación mutua fuerte utilizando protocolos como EAP-TLS.
EAP
Extensible Authentication Protocol (EAP) es una autenticación framework usada
habitualmente en redes WLAN Point-to-Point Protocol. Aunque el protocolo EAP no
está limitado a LAN inalámbricas y puede ser usado para autenticación en redes
cableadas, es más frecuentemente su uso en las primeras. Recientemente los
estándares WPA y WPA2 han adoptado cinco tipos de EAP como sus mecanismos
oficiales de autenticación.
Comunicaciones I - VLANS Página 6
CONFIGURACIONES
CONFIGURANDO VLANS DINÁMICAS BASADOS EN LA MAC DEL DISPOSITIVO
Objetivos
Los objetivos a cumplir son los siguientes:
Utilización de una VLAN administrativa para permitir la administración de la red.
Brindar acceso a una VLAN especifica a cada dispositivo basándonos en su dirección
física sin importar en donde es conectado en la red.
Equipo
Para la configuración del escenario se utilizara el siguiente equipo
Switch Cisco Catalyst 3500
Servidor Debian con FreeRadius y el modulo mac2vlan habilitado
Dispositivos cliente, pueden ser desde estaciones de trabajo hasta teléfonos VoIP
Realizando la configuración
Configurando Switch - Cisco Catalyst 3500
Para configurar el switch cisco utilizamos un cable serial para conectarnos a la línea
de comandos
En esta utilizamos el comando enable para habilitarla y configure para entrar en el
modo de configuración del switch.
Dentro del modo de configuración del switch debemos de asignarle una ip que aplique
dentro de la VLAN a utilizar como administrativa, en este caso utilizaremos la VLAN
1, esto lo realizamos por medio de los siguientes comandos
interface vlan 1 - con el cual seleccionamos la VLAN en la cual asignaremos la IP
ip address 10.90.90.90 255.0.0.0 - Ingresamos una ip para el switch y una
mascara de red
exit – Salimos de la sección para configurar la interfaz
Comunicaciones I - VLANS Página 7
Luego configuramos la ip del servidor vmps, en este caso utilizaremos un servidor
freeradius con el modulo mac2vlan, aunque puede ser cualquier otra implementación
de VMPS.
Para introducir la ip del servidor en el switch utilizamos el comando
vmps server 10.90.90.91
en este caso la ip 10.90.90.91 es la del servidor VMPS.
Como siguiente paso creamos las VLANS a las cuales van a ser asignados los
dispositivos, lo realizamos utilizando los comandos
vlan database – Nos permite ingresar a las configuraciones de las VLAN
vlan 10 name ventas – Agregamos VLAN con id 10 y nombre “ventas”
vlan 20 name compras – Agregamos VLAN con id 20 y nombre “compras”
vlan 30 name invitados – Agregamos VLAN con id 30 y nombre “invitados”
exit – Salimos de la configuración de VLANS
y los puertos para que puedan ser asignados dinámicamente y el/los que van a ser
utilizados como VLAN 1 para conectar el servidor VMPS.
Configuramos los puertos a asignar dinámicamente con el siguiente comando
set port membership [puerto] dynamic – Permite la asignación dinámicas de
VLANS
Luego de configurado el Switch necesitamos configurar el servidor VMPS en este caso
Freeradius y mac2vlan.
Configurando freeradius y mac2vlan
Para el uso de VMPS sobre freeradius no se requiere mas que habilitar el modulo
mac2vlan y la creación de un archivo de configuración que contenga la asociación
MAC, VLAN; de forma alternativa se puede también utilizar almacenamiento en una
base de datos SQL o un servicio de directorio como LDAP.
Primero procedemos a instalar freeradius, por ejemplo en una distribución basada en
ArchLinux podemos utilizar:
# pacman -S freeradius
Comunicaciones I - VLANS Página 8
Al finalizar la instalación podremos encontrar los archivos de configuración del
freeradius dentro de la carpeta /etc/raddb/
Los archivos a tomar en cuenta para esta configuración son los siguientes:
./clients.conf
./sites-available/vmps
./sites-enable/vmps
./mac2vlan
Como primer paso, para activar el modulo vmps en freeradius, copiamos el archivo
desde ./sites-available/vmps a ./sites-enable/vmps .
Dentro del archivo ./sites-enable/vmps quitamos el comentario de la línea mac2vlan
y procedemos a crear un archivo llamada mac2vlan dentro del directorio
/etc/raddb/
En el archivo creado se deben de ubicar las mac y las vlan de la siguiente manera:
f4:6d:04:22:97:64,Ventas
54:42:49:ee:c7:30,Ventas
00:26:6c:c5:dd:62,Ventas
00:24:e8:a1:c8:06,Compras
Con la mac y separada por una coma el nombre de la VLAN a la que debe ser asignado
el dispositivo.
Desventajas del uso de VMPS
El uso de VMPS esta desaconsejado por varias razones entre ellas que es un protocolo
propietario de cisco y este ha dejado de soportarlo en nuevos dispositivos, esto lo
hace difícil de implementar cuando se cuenta con dispositivos de marcas mixtas y
proyectarlo a futuro, en la investigación se encontraron algunas alternativas entre
estas sobresalía el uso de 802.1x en conjunto con Mac Authentication Bypass (MAB)
que permite a los dispositivos clientes con suplicantes compatibles con 802.1x
autenticarse utilizando credenciales como certificados/llaves/password y a clientes
sin suplicantes autenticarse con la mac de sus interfaces de red.
Comunicaciones I - VLANS Página 9
FREERADIUS Y EAP PARA AUTENTICACIÓN POR USUARIO
Objetivos
Mantener una VLAN administrativa, que se encargue de asignar a una vlan cada host
que se autentique.
Enviar a una VLAN de invitado, a aquellos hosts que no se puedan autenticar.
Autenticar el host con el servidor Radius a través de un nombre de usuario y
contraseña.
Equipo
Servidor FreeRadius
Switch Cisco F200-24
Host con una configuración de suplicante wpa.
Configuraciones
Para descargar FreeRadius, desde cualquier Linux basado en debian, deberá abrir una
terminal y escribir desde consola:
sudo apt-get install freeradius
Se deberán configurar los archivos:
/usr/local/etc/raddb/clients.conf
/usr/local/etc/raddb/users
/usr/local/etc/raddb/sites-enable/default
En el archivo clients.conf se deberá configurar y aceptar el cliente del cual recibirá las
peticiones el servidor; para agregar un cliente, será necesario agregar las siguientes
líneas en el archivo:
client 192.168.1.254 {
secret = yourkey
shortname = mynet
}
Comunicaciones I - VLANS Página 10
En donde “yourkey” deberá ser la clave que se le asigna al cliente y “mynet” un
nombre preferido para el cliente.
Con esto, permitiremos que el Servidor FreeRadius se comunique con un
autenticador, que para el caso particular es un switch Cisco.
Para configurar los usuarios a los cuales se les permitirá la autenticación, se debe
modificar el archivo users y agregar los usuarios y los parámetros que los mismos
deberán tener y aceptar; para agregar al usuario user, se agrega al final del archivo:
user Cleartext-Password := "user"
Auth-Type := EAP,
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID = 1
Tunnel-Type se refiere al tipo de túnel que se usará, para el caso, será VLAN. Tunnel-
Medium-Type que indica el soporte para los estándares IEEE 802 y sus derivados y
Tunnel-Private-Group-ID que indica la VLAN a la cual pertenecerá el usuario.
En el archivo /sites-enabled/default se descomentarán las siguientes líneas, las cuales
nos permitirán autenticar con el protocolo:
Auth-Type eap {
eap {
handled = 1
}
if (handled && (Response-Packet-Type == Access-Challenge)) {
attr_filter.access_challenge.post-auth
handled # override the "updated" code from attr_filter
}
}
}
Configurando un Suplicante
Para que el host al conectarse pueda hacer una petición de conexión, es necesario que
éste cuente con un servicio de Suplicante WPA, en las distribuciones de Linux más
recientes, éste es manejado por el servicio de redes Network-Manager y en las
distribuciones Windows más recientes, solamente se debe configurar el servicio para
que éste se inicie automáticamente.
Comunicaciones I - VLANS Página 11
Para activar el suplicante en distribuciones Linux es necesario buscar las preferencias
de red y seleccionar la red cableada, activar las opciones de 802.1x Security, en el cual
se debe activar el protocolo PEAP, asignar un usuario y una contraseña; el mismo
usuario y contraseña que se defina aquí será necesario definirlo en el archivo users,
que se consideró anteriormente.
En distribuciones Windows, se inicia el servicio Configuración Automática de Redes
Cableadas y Servicio; se configura la red, en Centro de Redes y Recursos
Compartidos, se debe configurar la configuración del adaptador, en la pestaña de
Autenticación, habilitar la Opción Habilitar Autenticación de IEEE 802.1x, además
habilitar la casilla de Especificación de modo de Autenticación y seleccionar las
credenciales.
Comunicaciones I - VLANS Página 12
OTRAS LECTURAS DE INTERÉS
Wiki FreeRadius
http://wiki.freeradius.org
Cisco Page
VLAN Membership Policy Server (VMPS) / Dynamic VLANs
http://www.cisco.com
Linux WPA/WPA2/IEEE 802.1X Supplicant
http://hostap.epitest.fi
Manual de Switch Cisco F200-24
http://www.cisco.com/en/US/docs/switches/lan/csbss/sf20x_sg20x/administration
_guide/OL-22849-01.pdf
Guía de Switch Cisco Catalyst 3500
http://www.cisco.com/en/US/products/hw/switches/ps637/tsd_products_support_
configure.html
