Acceso a la red y certificados

Miguel Angel Amador L jokercl en gmail.com
Jue Mar 30 00:29:30 CLT 2006


On 3/29/06, Claudio Bustos Bravo <cbustosb en articlynx.cl> wrote:
> El mié, 29-03-2006 a las 19:43 -0400, Miguel Angel Amador L escribió:
> >  801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor
> > Radius ?,
>
> Cuando se involucran las mac address, me preocupo por la posible
> clonacion...

Por eso se autenticaa ... no solo valida que no te clonen la MAC, si
no tambien autentica la MAC, cosa que cuando conectas el cable de red
y el switch recibe el link, manda una peticion de autenticacion EAP,
que la MAC debe contestar, si no lo hace adecuadamente, puedes enviar
esa puerta a una VLAN de cuarentena,por decir algo, o por ejemplo si
no tienes el antivirus actualizado, podrias mandar a actualizar el
antivirus del equipo en cuestion, antes que se conecte a la red...
(para eso requieres un policy server )(NAC en caso de cisco , NAP en
el de MS$, aun no se si este esta disponible, NAC si). o lo colocas en
una VLAN de Visitas... ahora si esa MAC autentica positivamente,
entonces el switch la deja entrar a la VLAN que le corresponde. 802.1x
evita que el pase los filtros de clonado de MAC, y puedes usar tajetas
inteligentes u otro tipo de autenticacion segura, el problema es que
es demasiado caro tener esta infraestructura.

>
> > los Switchs Cisco Catalyst 2960 lo soportan, si algun
> > intruso conecta su equipo contra un punto de red y este no esta
> > autorizado, el switch no lo dejara ver el resto de la red a menos que
> > la autenticacion sea valida.
>
> Al medio de esta red hay un router 3com 7700 que tiene muchas gracias,
> pero un pc que se conecte en una de las 16 subredes podria accesar
> servicios locales a la esa subred. Quiero ir mas alla e imposibilitar
> que la red funcione si no soy un pc/usuario autorizado.

Para eso tu Switch deberia poder autenticar bajo 802.1x, si no... :-(


> >  aparte de eso vienen con algunas extenciones de seguridad contra DHCP
> > Snooping, ARP Spoofing/Poisoning, etc...
> >
> >  Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten
> > a el a traves de 802.1x
> >

Salu2
--
Miguel Angel Amador L.
[ jokercl at gmail dot com |  User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]



Más información sobre la lista de distribución Linux