Acceso a la red y certificados

Claudio Bustos Bravo cbustosb en articlynx.cl
Jue Mar 30 00:54:00 CLT 2006


El jue, 30-03-2006 a las 00:29 -0400, Miguel Angel Amador L escribió:
> On 3/29/06, Claudio Bustos Bravo <cbustosb en articlynx.cl> wrote:
> > El mié, 29-03-2006 a las 19:43 -0400, Miguel Angel Amador L escribió:
> > >  801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor
> > > Radius ?,
> >
> > Cuando se involucran las mac address, me preocupo por la posible
> > clonacion...
> 
> Por eso se autenticaa ... no solo valida que no te clonen la MAC, si
> no tambien autentica la MAC, cosa que cuando conectas el cable de red
> y el switch recibe el link, manda una peticion de autenticacion EAP,
> que la MAC debe contestar, si no lo hace adecuadamente, puedes enviar
> esa puerta a una VLAN de cuarentena,por decir algo, o por ejemplo si
> no tienes el antivirus actualizado, podrias mandar a actualizar el
> antivirus del equipo en cuestion, antes que se conecte a la red...
> (para eso requieres un policy server )(NAC en caso de cisco , NAP en
> el de MS$, aun no se si este esta disponible, NAC si). o lo colocas en
> una VLAN de Visitas... ahora si esa MAC autentica positivamente,
> entonces el switch la deja entrar a la VLAN que le corresponde. 802.1x
> evita que el pase los filtros de clonado de MAC, y puedes usar tajetas
> inteligentes u otro tipo de autenticacion segura, el problema es que
> es demasiado caro tener esta infraestructura.
> 

ok. Me parece interesante. Suena a lo que necesito. Voy a documentarme
de esto, gracias por la paciencia.

> >
> > > los Switchs Cisco Catalyst 2960 lo soportan, si algun
> > > intruso conecta su equipo contra un punto de red y este no esta
> > > autorizado, el switch no lo dejara ver el resto de la red a menos que
> > > la autenticacion sea valida.
> >
> > Al medio de esta red hay un router 3com 7700 que tiene muchas gracias,
> > pero un pc que se conecte en una de las 16 subredes podria accesar
> > servicios locales a la esa subred. Quiero ir mas alla e imposibilitar
> > que la red funcione si no soy un pc/usuario autorizado.
> 
> Para eso tu Switch deberia poder autenticar bajo 802.1x, si no... :-(
> 
> 
> > >  aparte de eso vienen con algunas extenciones de seguridad contra DHCP
> > > Snooping, ARP Spoofing/Poisoning, etc...
> > >
> > >  Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten
> > > a el a traves de 802.1x
> > >
> 
> Salu2
> --
> Miguel Angel Amador L.
> [ jokercl at gmail dot com |  User #297569 counter.li.org ]
> [ http://www.fotolog.net/kush ]
> 
> 



Más información sobre la lista de distribución Linux