Boletín de RedIRIS n. 46-47

Implementación de un sistema de securización global a nivel de red

Juan Antonio Martínez, Ángel Jarabo

Introducción

El objetivo de la presente ponencia es explicar cuáles han sido las medidas tomadas en la Universitat Autònoma de Barcelona para la securización de su infraestructura de red. Muchos han sido los trabajos que se han llevado a cabo sobre la securización de entornos y muchas las aproximaciones que pueden hacerse a este problema. En nuestro caso presentamos un sistema con el que vamos a tratar de securizar los aplicativos (nivel 7 de la torre OSI) mediante soluciones de red (niveles 1, 2 y 3 del modelo de referencia OSI), cosa que, desde nuestro punto de vista, proporciona resultados. Óptimos en términos de rendimiento y de independencia de la solución.

Análisis del problema

De forma sintética podemos afirmar que el problema básico es que disponemos de una red única, con diferentes requisitos o niveles de seguridad. Analizando un poco más, estos diferentes requisitos vienen de los diferentes colectivos de usuarios que trabajan en la red y de sus distintas necesidades. Para centrarnos en el problema, definiremos cuatro tipos de usuarios con requisitos diferenciados: que comportan cuatro tipos de "puntos" de acceso a la red:

  • Los puntos ‘autorizados’ (aquellos que usa el personal de administración y los profesores en su trabajo diario). El problema radica en la posibilidad de ‘sniffing’ inherente a la tecnología de Ethernet compartida.
  • Los puntos de libre acceso para docencia. Estos puntos se sitúan a razón de uno o dos por aula en las aulas y seminarios de docencia y permiten el apoyo en tecnologías informáticas y de red para las presentaciones docentes. Suponen un potencial agujero de seguridad ya que se trata de puntos abiertos a la conexión en lugares de acceso público.
  • Los puntos de acceso libre en las bibliotecas, donde se pueden conectar máquinas no registradas. Nominalmente los PCs portátiles de alumnos y profesores.
  • Los puntos de las aulas informatizadas. Es decir las aulas en las que cada puesto de trabajo consta de un ordenador conectado a la red.

En esta ponencia tratamos en detalle las soluciones para los tres primeros puntos. La solución para el último caso ya se detalló en otro trabajo precedente de la UAB ([Roc.97])

Objetivos

Los objetivos que pretendemos conseguir con el presente trabajo son los siguientes:

  • Eliminar el agujero de seguridad que supone la propia naturaleza de las topologías de Ethernet compartida. Pretendemos conseguir mediante gestión una solución tan aproximada como sea posible a un ‘bridging por puerto’.
  • Permitir a los docentes el uso de portátiles en las Aulas de docencia sin que esto suponga un ataque a la seguridad (autenticación selectiva).
  • Ofrecer a los alumnos un servicio de acceso libre mediante la conexión de sus portátiles en las bibliotecas.
  • Estimar los costes y necesidades para implantar soluciones a los puntos anteriores.

Todo el análisis se hará trabajando sobre los niveles inferiores de la red. En concreto se trabajará con protocolos de gestión (SNMP). Para la autenticación de usuarios utilizaremos la integración con sistemas de bases de datos (LDAP).

Securización anti-sniffing de toda la infraestructura de red

El primero de los objetivos planteados era el de evitar el sniffing en las topologías Ethernet. De hecho, el problema estaba minimizado con la estructura de switching implantada en la universidad y la separación de los entornos críticos mediante routing (aulas de estudiantes concretamente). De todas formas, buscábamos una solución más ambiciosa, independiente de la topología física de la red.

Nuestra solución pasa por utilizar el protocolo de gestión SNMP para la gestión de seguridad de la red. Partimos del prerrequisito de que los concentradores instalados disponen de gestión SNMP y capacidades de securización física de puertos. Con estos concentradores podemos conseguir que pasen a un puerto sólo los paquetes destinados a él. Siendo estrictos, se trata de una solución de scrambling, cosa que a nivel práctico hace ininteligibles los paquetes no dirigidos al receptor que se ubica detrás del puerto.

Esta medida que puede parecer simple tiene importantes repercusiones. Para empezar, impide la colocación de activos de red "detrás" de la infraestructura propia de la universidad. Un usuario no podrá colocar más de una dirección MAC por roseta securizada, ya que en tal caso el concentrador sólo permite operar a una de ellas. Conseguimos así por tanto un control riguroso de la infraestructura e impedimos el crecimiento no controlado de la red.

La medida permite incluso la definición de una relación de unicidad puerto-placa de red (MAC address), con lo que se evita el movimiento de máquinas dentro de la infraestructura de la universidad. Más aún, el sistema diseñado interactúa con las bases de datos de elementos de red pudiendo desactivar máquinas que no estén dadas de alta ‘legalmente’. Así, por ejemplo, podemos conseguir que una máquina que no figure en un fichero de direcciones Ethernet autorizadas quede automáticamente fuera de la red.

Todo el sistema anterior opera de forma automática, mediante un conjunto de ‘scripts’ en los que definimos las políticas que debemos seguir. El sistema genera una visión conceptual de la red, sobre la cuál se opera. Dispondremos por tanto, no sólo de una herramienta de securización sino de una visión real de la infraestructura de red existente.

Solución para las aulas de docencia

Al buscar una solución pare este tipo de puntos de red cabría pensar en:

  • Una forma de asegurar que la persona que conectara el ordenador (normalmente portátil) fuera una persona autorizada.
  • Un sistema gestor de las activaciones-desactivaciones asociadas al punto de red.

El punto clave era disponer de un sistema global de autenticación. Para esto hemos utilizado el directorio LDAP para validación de las claves de nuestros usuarios. La primera idea era que cada vez que un usuario de este servicio desea activar un punto accede a una página web, desde donde se le autentifica. Una vez hecho esto, quedaba por resolver las políticas de timing.

La CGI será la que se encargue de pedir la dirección Ethernet que se desea activar, la roseta sobre la cual se va a actuar y el intervalo de tiempo. Guardaremos así un log de las personas autorizadas en cualquier momento sobre ese punto de red. Gráficamente el sistema podría verse como se muestra en la figura 1.

Fig.1. Primera aproximación para los puntos de las aulas de docencia

La solución que plantea la figura 1 es correcta a nivel de seguridad: verifica el usuario, guarda un registro del acceso para la autorización del portátil y activa el portátil para su uso docente. No hay problema por la activación de múltiples puntos, pues se pueden autorizar hasta 36 puntos en los concentradores de que disponemos. El problema básico radica en la elección de una política de timing y en la necesidad de un usuario de autorizarse cada vez que necesita hacer uso del servicio.

Para evitar los inconvenientes manteniendo las funcionalidades, decidimos utilizar una política de traps. Activamos el uso de traps en nuestros activos, de forma que cuando se produce un intento de conectar una máquina en un punto con este nivel de securización, el concentrador lo notifica mediante un trap indicando la dirección MAC que intenta conectarse. Un script corre en background en una máquina que realiza las funciones de gestora de traps. Al detectar un trap, si se trata de una máquina autorizada, se le permite el acceso inmediato. Para que un usuario esté autorizado, la primera vez que usa el servicio debe darse de alta. De esta forma, reducimos a uno el número de accesos al servicio de directorio LDAP. Gráficamente, el sistema funciona como se muestra en la figura 2 donde, para simplificar, no se incluye el primer acceso LDAP que simplemente actualiza la base de datos de puntos permitidos por medio de la cgi.

Fig.2: Diseño final de la solución para los puntos de las aulas de docencia

Antes de poner en funcionamiento el sistema, nos planteamos la carga que supondría para la red el hecho de activar traps en los concentradores. El análisis de tráfico nos reveló que la influencia era mínima y por tanto su implantación completamente viable.

Solución para los puntos de acceso libre de las bibliotecas

Una vez estudiado el caso anterior, podemos afirmar que una solución de ese tipo resultaría óptima para las bibliotecas. No se requiere ningún PC de control y como tema clave queda tan solo la autenticación del usuario. No disponemos en este caso de una base de datos LDAP para tal efecto. Podríamos pensar en el uso de la tarjeta inteligente, pero eso supondría un coste adicional considerable.

Es por ello que nuestra idea es incluir esta capacidad como parte de los servicios que se ofrecen al estudiante para el acceso a la red de la universidad. La forma de implementar una solución para este tipo de puntos de red está aún en estudio, pero el modelo que nos parece más adecuado consiste en utilizar el mismo modelo que para la solución precedente, sustituyendo la identificación mediante LDAP por un sistema de autenticación basado en las bases de datos de RADIUS.

Queda sin embargo un tema por resolver. En el caso anterior se disponía de un portátil que un docente podía poner libremente en los puntos autorizados a tal efecto. Ese portátil disponía de una IP, como un punto más de los que se dan de alta en la universidad. En el caso que nos ocupa ahora, esta solución no es viable, ya que no podríamos hacer una asociación unívoca IP-Ethernet pues supondría ocupar potencialmente un rango de direcciones mucho mayor que el disponible.

La solución que se ha tomado pasa por la definición de una subclase de direcciones IP que se utilizarán para el acceso desde puntos libres y que se gestionarán por DHCP. Mediante esta gestión evitamos el hecho de asignar de forma fija las direcciones IP, cosa que como hemos dicho supondría un inconveniente importante. Adicionalmente la dirección IP ya nos indica que se trata de un acceso desde un punto de acceso libre de bibliotecas. Solucionamos por tanto el tema como en el caso anterior, cambiando en este caso el proceso de autenticación de usuario.

Estado de implantación dentro de la UAB

Hasta aquí la descripción del conjunto de procesos de securización como se definen en nuestro proyecto. Expondremos ahora cuál es el estado de implantación e impacto de las políticas anteriores.

  • Ya se dispone de las utilidades para la gestión de puertos, securización anti-sniffing, descubrimiento de la red y activación selectiva bajo entorno UNIX.
  • La securización anti-sniffing llega al 96% de los puntos de red de la universidad (más de 3500). El 4% restante corresponde a los que no disponen en este momento de gestión o bien se han detectado como conflictivos. En el primer caso, la política de renovación tecnológica mediante la sustitución de concentradores, ya contempla el hecho. En el segundo, algunos de los problemas han venido provocados por la detección de hardware adicional (concentradores) ajenos a la infraestructura de la red universitaria.
  • Tenemos las bases de datos con los puntos considerados de acceso libre para docencia.
  • Se ha definido y documentado el servicio de acceso libre para puntos de docencia.
  • Se dispone de gestión del servicio de altas e integración dentro de un rango de subred IP para los puntos de acceso libre de las bibliotecas.
  • Se dispone de logs de los accesos al sistema.

A nivel de repercusiones, destacamos como consecuencias importantes de las políticas de securización:

  • Hemos detectado hardware no perteneciente a la universidad y conectado a su infraestructura. En algunos lugares había concentradores conectados a rosetas de usuario. Se han anulado estos puntos y reconvertido a puntos ‘legales’.
  • Imposibilidad de la detección de passwords en sistemas no encriptados.
  • Integración de las políticas de securización con las de gestión de red. Diseño de un entorno gráfico vía Web que permite ver la disposición de toda la infraestructura con gestión distribuida por el campus y sus niveles de tráfico.

Requisitos para la implantación del sistema

Los requisitos para implantar las políticas descritas son los siguientes:

  • Disponer de gestión SNMP en los activos que se desea securizar.
  • Una máquina con sistema operativo donde se disponga de las utilidades de gestión SNMP. En nuestro caso la implementación se ha hecho sobre UNIX.
  • Un sistema gestor de bases de datos. El sistema no hace falta que sea complejo e incluso se puede estructurar en tablas de texto.
  • Un servidor de Web con integración para el soporte con LDAP.

Conclusiones

A la vista de lo expuesto, podemos afirmar que el sistema implantado añade dos funcionalidades importantes en materia de seguridad: por un lado imposibilita el ‘sniffing’ en los puertos abiertos y por otro permite la activación selectiva de los puertos cerrados. La implantación de estas políticas añade a la red nuevos servicios. Esto es un punto novedoso, ya que el hecho de aumentar la seguridad posibilita a la vez un acceso más libre. Se rompe así la unión clásica entre mayor seguridad y menor capacidad de acceso.

El sistema permite una explotación adecuada de las capacidades de seguridad que permiten la mayoría de los dispositivos de red actuales. Por lo tanto mejora la seguridad global de la red sin añadir la complejidad o el overhead inherentes a otros modelos y no supone un coste adicional considerable.

Debe quedar claro que los mecanismos descritos en este trabajo no son excluyentes con mecanismos de seguridad de niveles superiores. De hecho, son mecanismos complementarios y una buena política de seguridad a nivel global debe contemplarlos por igual. No se trata por tanto de remplazar los mecanismos existentes sino de dotar a la red de seguridad añadida allí donde los mecanismos clásicos no llegan.

Referencias

  1. D.J.Hughes,Wu Z.D., Minerva- An Event Based Model for Extensible Network Management. Proceedings INET 93
  2. Michael L.Kornegay. Toward Useful ans Standarized SNMP Management Applications. The Simple Times.
  3. David T.Perkins. Understanding SNMP MIBs.
  4. Carlos Picoto, Pedro Veiga. Management of a WWW Server using SNMP. Proceedings JENC6
  5. J.Case,M.Fedor,M.Schoffstall,J.Davin. RFC 1157: A Simple Network Management Protocol (SNMP)
  6. P. Roca. Control de acceso a las aulas informatizadas de la UAB. Boletín de RedIRIS nº 41-42.
  7. Marshall T.Rose. Management Information Base for Network Management of TCP/IP-based Internets:MIB-II. RFC 1213
  8. W.Stallings. SNMP,SNMPv2 and CMIP: The Practical Guide to Network Management Standards.
  9. M.Wahl,T.Howes,S.Kille. RFC 2251: Lightwight Directory Access Protocol (version 3).

Juan Antonio Martínez
dirección de correo juanan [dot] martinez [at] uab.es
Ángel Jarabo
dirección de correo angel [dot] jarabo [at] cc.uab.es
Unitat de Comunicacions
Servei d’Informàtica
Universitat Autònoma de Barcelona