Home
Premium
NEW

Seguridad de Redes Wireless con Certificados Digitales

Shared by: TonyParker
Categories
Tags
-
Stats
views:
838
posted:
4/15/2009
language:
Spanish
pages:
60
Document Sample
scope of work template 
							Seguridad de Redes Wireless
con Certificados Digitales

                    Pablo Tloupakis
                    pablot@microsoft.com
Agenda
•    1. Objetivos
•    2. Estándares de Seguridad en Redes WLAN
•    3. Concepto de la Solución
•    4. Proceso de Diseño
•    5. Diseño Arquitectura PKI
•    6. Diseño Políticas




15/04/2009       Seguridad de Redes Wireless con Certificados Digitales   2
1. Objetivos
• Descripión de mecanismos de seguridad en
  redes en redes wireless a través de:
       – Windows Server 2003 Active Directory
       – RADIUS
             • MS Internet Authentication Services (IAS)
       – Certificados Digitales
             • MS Certificate Services
• Todos los contenidos de esta presentación
  basados en guía:
       – Securing Wireless LANs with Certificate Services
             • http://www.microsoft.com/downloads/details.aspx?familyid=c
               db639b3-010b-47e7-b234-a27cda291dad&displaylang=en

15/04/2009                 Seguridad de Redes Wireless con Certificados Digitales   3
Adquisición ALACRIS




15/04/2009   Seguridad de Redes Wireless con Certificados Digitales   4
ALACRIS
• Microsoft Acquires Identity and Access Management
  Solutions Provider Alacris
       – Technology provides digital certificate and smart card life-cycle
         management solutions that help customers deploy, manage and
         maintain a smart-card-based infrastructure
       – http://www.microsoft.com/presspass/press/2005/sep05/09-
         19AlacrisPR.mspx
• Q&A: Microsoft Targets Enhanced Enterprise Security
  with Acquisition of Alacris Technology
       – Company leaders look forward to improved identity and access
         management for Windows platform customers
       – http://www.microsoft.com/presspass/features/2005/sep05/09-
         19Security.mspx

15/04/2009               Seguridad de Redes Wireless con Certificados Digitales   5
2. Estándares de Seguridad en Redes WLAN

• 




15/04/2009   Seguridad de Redes Wireless con Certificados Digitales   6
Resumen Estándares de Seguridad para redes WLAN
Mecanismos Soportados por Microsoft
        Alternativa descripta en
               esta guía




Mecanismos Recomendados por Microsoft
2. Estándares de Seguridad en Redes WLAN

Mecanismos Recomendados
• Con Certificados Digitales:
       – EAP-TLS
             • Descripto en solución Securing Wireless LANs with
               Certificate Services:
                – http://www.microsoft.com/downloads/details.aspx?familyid=cdb
                  639b3-010b-47e7-b234-a27cda291dad&displaylang=en

• Con contraseñas:
       – PEAP - EAP - MSCHAPv2
             • Descripto en solución Securing Wireless LANs with PEAP
               and Passwords:
                – http://www.microsoft.com/downloads/details.aspx?familyid=60c
                  5d0a1-9820-480e-aa38-63485eca8b9b&displaylang=en
15/04/2009                 Seguridad de Redes Wireless con Certificados Digitales   10
2. Estándares de Seguridad en Redes WLAN

Comparativa de Estrategias de Seguridad




15/04/2009          Seguridad de Redes Wireless con Certificados Digitales   11
2. Estándares de Seguridad en Redes WLAN

Comparativa mecanismos EAP




15/04/2009          Seguridad de Redes Wireless con Certificados Digitales   12
2. Estándares de Seguridad en Redes WLAN

Flujo de Decisión




15/04/2009          Seguridad de Redes Wireless con Certificados Digitales   13
3. Concepto de la Solución
•    3.1. Características Principales
•    3.2. Requerimientos
•    3.3. Diseño Conceptual
•    3.4. Diseño Lógico
•    3.5. Diseño Físico



15/04/2009       Seguridad de Redes Wireless con Certificados Digitales   14
3. Concepto de la Solución

3.1. Características Principales
• Estándar de Seguridad 802.1x (WPA)
• Autenticación de máquina y usuario para acceder a la
  red WLAN a través de:
       – certificados digitales x509v3 (EAP-TLS) ó,
       – password (PEAP)
• Que se provee con la solución:




15/04/2009               Seguridad de Redes Wireless con Certificados Digitales   15
3. Concepto de la Solución

3.1. Características Principales




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   16
3. Concepto de la Solución

3.2. Requerimientos
•    Active Directory:
       –     Soporte para autenticación EAP-TLS
       –     Autoenrollment y autorenewal de certificados digitales




•    Infraestructura RADIUS
       –     Servicio Internet Authentication Service (IAS) en Windows Server 2003
       –     Pueden ser utilizados RADIUS de terceros
•    Infraestructura PKI
       –     Servicio Certificate Services en Windows Server 2003
       –     Pueden ser utilizados servidores PKI de terceros
•    Clientes:
       –     Windows 2000/XP/2003
•    Wireless Access Point:
       –     Debe soportar WPA

15/04/2009                              Seguridad de Redes Wireless con Certificados Digitales   17
3. Concepto de la Solución

3.3. Diseño Conceptual




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   18
3. Concepto de la Solución

3.4. Diseño Lógico




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   19
3. Concepto de la Solución

3.5. Diseño Físico
•    3.5.1. Escenario Ejemplo
•    3.5.2. Ambiente Central
•    3.5.3. Sucursal con DC
•    3.5.4. Sucursal sin DC




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   20
3.5. Diseño Físico

3.5.1. Escenario Ejemplo




15/04/2009           Seguridad de Redes Wireless con Certificados Digitales   21
3.5. Diseño Físico

3.5.2. Ambiente Central




15/04/2009           Seguridad de Redes Wireless con Certificados Digitales   22
3.5. Diseño Físico

3.5.3. Sucursal con DC




15/04/2009           Seguridad de Redes Wireless con Certificados Digitales   23
3.5. Diseño Físico

3.5.4. Sucursal sin DC




15/04/2009           Seguridad de Redes Wireless con Certificados Digitales   24
3. Concepto de la Solución

Resumen de la Arquitectura




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   25
4. Proceso de Diseño
•    1) Determinación estrategia seguridad
•    2) Diseño ArquitecturaPKI
•    3) Diseño Arquitectura RADIUS
•    4) Diseño WLAN




15/04/2009      Seguridad de Redes Wireless con Certificados Digitales   26
5. Diseño Arquitectura PKI
• NOTA:
       – El proceso mostrado en esta sección no es un proceso genérico de
         diseño infraestructuras PKI, sino que se describe el proceso específico
         asociado a esta solución

•    5.1. Requerimientos de certificados
•    5.2. Clientes de certificados
•    5.3. Requerimientos seguridad de los certificados
•    5.4. Diseño Jerarquía de CAs
•    5.5. Integración con Active Directory
•    5.6. Configuración Certificados
•    5.7. Configuración Certificate Templates
•    5.8. Configuración CRLs


15/04/2009                 Seguridad de Redes Wireless con Certificados Digitales   27
5. Diseño Arquitectura PKI

5.1. Requerimientos de certificados

• Certificados utilizados en la solución:




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   28
5. Diseño Arquitectura PKI

5.2. Clientes de certificados
• Identificación de Subject - Subject Alternative Name del certificado
• En la solución:




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   29
5. Diseño Arquitectura PKI

5.3. Requerimientos seguridad de los certificados

• En función de mecanismos de registración y almacenamiento de las
  keys.
• En la solución:




• Ejemplo de una PKI integral 


15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   30
15/04/2009   Seguridad de Redes Wireless con Certificados Digitales   31
5. Diseño Arquitectura PKI

5.4. Diseño Jerarquía de CAs
•    Root CA externo vs interno
•    Trust Model entre CAs
•    Enterprise CAs vs Standard CAs
•    Root CAs, Intermediate CAs, Issuing CAs
•    Diseño propuesto en la solución 



15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   32
5.4. Diseño Jerarquía de CAs

Jerarquía de CAs propuesta




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   33
5. Diseño Arquitectura PKI

5.5. Integración con Active Directory

• 5.5.1.Enterprise vs Stand Alone CA
• 5.5.2. Enrollment y Renewal
• 5.5.3. CDP y AIA




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   34
5.5. Integración con Active Directory

5.5.1.Enterprise vs Stand Alone CA




15/04/2009              Seguridad de Redes Wireless con Certificados Digitales   35
5.5. Integración con Active Directory

5.5.2. Enrollment y Renewal
• Autoenroll y Autorenewal en Windows 2000:
       – EFS Certificates
       – Computer Certificates
       – Autoenrollment for users not possible
• Autoenroll y Autorenewal en Windows XP/2003
       – Para cualquier tipo de certificado
       – Según permisos en el Certificate Template
             • Solo en Enterprise CA




15/04/2009                Seguridad de Redes Wireless con Certificados Digitales   36
5.5. Integración con Active Directory

Enrollment methods supported by OS Version




15/04/2009              Seguridad de Redes Wireless con Certificados Digitales   37
5.5. Integración con Active Directory

Renewal methods supported by OS Version




15/04/2009              Seguridad de Redes Wireless con Certificados Digitales   38
5.5. Integración con Active Directory

Certificate Enrollment support




15/04/2009              Seguridad de Redes Wireless con Certificados Digitales   39
5.5. Integración con Active Directory

Certificate Renewal support




15/04/2009              Seguridad de Redes Wireless con Certificados Digitales   40
5.5. Integración con Active Directory

5.5.3. CDP y AIA
• Certification Distribution Point (CDP)
       – URL donde reside la CRL
       – CDP puede ser:
             • Active Directory
                 – O cualquier directorio LDAP
             • HTTP
• Authority Information Accesses (AIA)
       – URL donde reside el certificado de las CAs
       – CDP puede ser:
             • Active Directory
                 – O cualquier directorio LDAP
             • HTTP
15/04/2009                  Seguridad de Redes Wireless con Certificados Digitales   41
5. Diseño Arquitectura PKI

5.6. Configuración Certificados
•    Identificación de:
       –     Longitud llave encripción
       –     Período de vigencia del certificado y llave
       –     Período de renovación del certificado y llave
       –     Storage
       –     Algoritmo
•    Configuración recomendada en la solución:




15/04/2009                              Seguridad de Redes Wireless con Certificados Digitales   42
5. Diseño Arquitectura PKI

5.7. Configuración Certificate Templates

• 5.7.1. Client Authentication User
• 5.7.2. Client Authentication Computer
• 5.7.3. 802.1X Server Authentication




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   43
5.7. Configuración Certificate Templates

5.7.1. Client Authentication User




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   44
5.7. Configuración Certificate Templates

5.7.2. Client Authentication Computer




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   45
5.7. Configuración Certificate Templates

5.7.3. 802.1X Server Authentication




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   46
5. Diseño Arquitectura PKI

5.8. Configuración CRLs
• 5.8.1. Root CA
• 5.8.2. Issuing CA




15/04/2009             Seguridad de Redes Wireless con Certificados Digitales   47
5.8. Configuración CRLs

5.8.1. Root CA




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   48
5.8. Configuración CRLs

5.8.2. Issuing CA




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   49
6. Diseño Políticas
• 6.1. Políticas de validación de certificados
• 6.2. Configuración políticas acceso en IAS
• 6.3. Configuración GPO Wireless para clientes




15/04/2009     Seguridad de Redes Wireless con Certificados Digitales   50
6. Diseño Políticas

6.1. Políticas de validación de certificados
• Como IAS valida los certificados del cliente:




• Como Windows XP valida el certificado del IAS:




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   51
6. Diseño Políticas

6.2. Configuración políticas acceso en IAS

• 6.2.1. Remote Access Policy




• 6.2.2. Remote Access Policy Profile




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   52
6. Diseño Políticas

6.2. Configuración políticas acceso en IAS

• 6.2.3. Connection Request Policies




• 6.2.4. Connection Request Policy Profile




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   53
6. Diseño Políticas

6.3. Configuración GPO Wireless para clientes

•    6.3.1. Wireless Network Policies General Settings
•    6.3.2. Wireless Network Policy Properties Settings
•    6.3.3. Wireless Network Policy 802.1X Settings
•    6.3.4. Wireless Network Policies EAP Settings
•    6.3.5. 802.1X Computer Authentication Behavior Options




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   54
6.3. Configuración GPO Wireless para clientes

6.3.1. Wireless Network Policies General Settings




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   55
6.3. Configuración GPO Wireless para clientes

6.3.2. Wireless Network Policy Properties Settings




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   56
6.3. Configuración GPO Wireless para clientes

6.3.3. Wireless Network Policy 802.1X Settings




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   57
6.3. Configuración GPO Wireless para clientes

6.3.4. Wireless Network Policies EAP Settings




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   58
6.3. Configuración GPO Wireless para clientes

6.3.5. 802.1X Computer Authentication Behavior Options




15/04/2009            Seguridad de Redes Wireless con Certificados Digitales   59
Agenda
•    1. Objetivos
•    2. Estándares de Seguridad en Redes WLAN
•    3. Concepto de la Solución
•    4. Proceso de Diseño
•    5. Diseño Arquitectura PKI
•    6. Diseño Políticas




15/04/2009       Seguridad de Redes Wireless con Certificados Digitales   60
Related docs
Manual de seguridad en redes
Views: 464  |  Downloads: 31
20. Seguridad en Redes
Views: 219  |  Downloads: 3
Seguridad en Redes Wireless
Views: 35  |  Downloads: 0
seguridad-redes
Views: 21  |  Downloads: 0
redes
Views: 16  |  Downloads: 0
TÍTULO Seguridad en redes
Views: 21  |  Downloads: 1
tipos de redes
Views: 208  |  Downloads: 0
Seguridad en Redes de Comunicaci�n CITEL
Views: 4  |  Downloads: 0