ITIL. Segmento GRC Enfoque IT Governance Segmento CRM Segmento E-Governance Otros Segmentos.
Desarrollo de un servicio integral de gestión del segmento de cuarentena en una red de ordenadores
description
Transcript of Desarrollo de un servicio integral de gestión del segmento de cuarentena en una red de ordenadores
Desarrollo de un servicio integral de gestión del segmento de cuarentena en
una red de ordenadores
Miquel BordoyRicardo DíazAntonio Sola
Centre de Tecnologies de la InformacióUniversitat de les Illes Balears
2M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
1. Introducción.
2. Escenario.
3. Funcionamiento.
4. Portal Cautivo.
5. Aplicación de gestión.
6. Conclusiones.
Índice
3M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
1. Introducción.2. Escenario.
3. Funcionamiento.
4. Portal Cautivo.
5. Aplicación de gestión.
6. Conclusiones.
Índice
4M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Detección de dispositivos conflictivos
IDS/IDP
Cortafuegos
WSUS local
Antivirus corporativo
Logs de servicios
Correladores de eventos
Health check preconnect (NAC),…
• Malware
• Config. Incorrectas (@IP, Puertos, Protocolos,…)
• Usuario malicioso
Introducción
Ordenador conflictivo
Operador de seguridad
5M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
¿Qué hacemos con ellos?
Introducción
Ordenador conflictivo
Operador HelpDesk
6M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
¿Cómo se suelen tratar estas incidencias?
1. El operador de red localiza manualmente el ordenador en la red (@MAC-Conmutador-Puerto).
2. El operador de red aísla de la red el ordenador desactivando manualmente de forma remota su puerto de red.
3. El operador de red cambia el estado de la incidencia y la delega al servicio de helpdesk.
4. El operador de helpdesk contacta con el usuario y resuelve la incidencia.
Introducción
7M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
¿Qué problemática aparece?
1. La localización puede consumir un tiempo en algunos casos excesivo.
2. El conocer el usuario responsable del ordenador y el contactar con él aún consume mucho más tiempo.
3. El usuario al detectar que su ordenador no accede a la red cambia de toma su ordenador, solicita el alta de otra toma, genera otra incidencia,…
4. Para solucionar el problema el operador de helpdesk debe desplazarse hasta el usuario.
5. Para evitar el desplazamiento se debe de reactivar el puerto de red para acceder en remoto al ordenador o permitir el acceso a antivirus/WSUS/…
6. Ante tal situación el usuario recibe un servicio inadecuado, insatisfacción.
7. El servicio de helpdesk se ve desbordado por tales incidencias… y los operadores de red/seguridad.
8. Servicio totalmente ineficiente.
Introducción
8M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
¿Qué objetivos nos proponemos?
1. Localización en red automática.
2. Aislamiento/Des. Automático en segmento de cuarentena.
3. Notificación al usuario electrónica y automatizada de la incidencia.
4. Usuario contacta con el servicio de helpdesk, no al revés.
5. Usuario, en un % de casos, soluciona el mismo la incidencia.
6. Mínimo consumo de recursos de humanos (seguridad/red/helpdesk).
7. Interacción y comunicación eficiente y ágil entre operadores.
8. Altas de incidencias manuales y automáticas.
9. Integración con aplicativo de gestión de incidencias.
10. Uso de estándares. Independencia del fabricante de networking.
11. Soporte multiplataforma y con @IP dinámico (DHCP) y estático del dispositivo del usuario.
Introducción
9M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
¿Existen soluciones?
• Los principales fabricantes de networking disponen de soluciones NAC…
• … y también existen otras soluciones software…
• … pero ninguna de ellas se adapta a nuestras necesidades…
• … deberá desarrollarse el servicio…
• … un OBJETIVO más: implantar el servicio a partir de elementos open source
Introducción
10M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
¿Qué queremos realmente?...Un lazareto electrónico…
Introducción
11M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
1. Introducción.
2. Escenario.3. Funcionamiento.
4. Portal Cautivo.
5. Aplicación de gestión.
6. Conclusiones.
Índice
12M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Configuración servicio AAA RADIUS
• MAC Authentication en los conmutadores.• Política por defecto de aceptar toda MAC.• Lista Negra para MACs conflictivas.• Acceso a la LAN permitido si fallo en RADIUS.• Asignación dinámica de VLAN (rfc3580).• Histórico MAC-puerto del conmutador en la LAN.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
ServidorAAA RADIUS
Aplicación de Gestión
Escenario
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
Infraestructura
INTERNET
13M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
INTERNET
LANCORPORATIVA
ServidorAAA RADIUS
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
Escenario
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
Infraestructura
14M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
1. Introducción.
2. Escenario.
3. Funcionamiento.4. Portal Cautivo.
5. Aplicación de gestión.
6. Conclusiones.
Índice
15M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
ServidorAAA RADIUS
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
Funcionamiento
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
!
RADIUS: AccessRequest
MYSQLMYSQL
RADIUS: Access-Accept
Proceso de conexión
INTERNET
16M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
ServidorAAA RADIUS
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
Funcionamiento
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
RADIUS: Accounting
MYSQL
Proceso de conexión
INTERNET
17M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Id Start_Time Stop_Time MAC Switch_IP Port_User TimeConnected
3 2009-11-12 17:00:00
0 00-08-02-41-57-2D 192.168.0.1 25 0
2 2009-10-12 17:00:00
2009-10-12 19:00:00
00-08-02-41-57-2D 192.168.0.1 25 17599
1 2009-10-12 14:00:00
2009-10-12 15:00:00
00-08-02-41-57-2D 192.168.0.4 23 13711
Base de Datos
Funcionamiento
• Fecha de conexión.• Fecha de desconexión.• Dirección Mac.• IP del conmutador.• Puerto del conmutador.• Tiempo conectado.
Accounting en el servidor RADIUS
18M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Aplicación de Gestión
Funcionamiento
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
Operador/Agentede seguridad
MAC: 00-08-02-41-57-2D
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Detección de equipos conflictivos
ServidorAAA RADIUS
INTERNET
19M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
Funcionamiento
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
MYSQL
Lista Negra 00-08-02-41-57-2D
…
Proceso de cuarentena
ServidorAAA RADIUS
INTERNET
Operador/Agentede seguridad
MAC: 00-08-02-41-57-2D
20M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Funcionamiento
Proceso Manual
Operador de seguridad con la aplicación de gestión.
Proceso Automatizado
Mediante un IDS (Intrusion Detection System).
Aplicaciones NAC (Network Access Control).
Correladores de eventos de seguridad.
Proceso de alta de incidencias
21M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
ServidorAAA RADIUS
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
Funcionamiento
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
SNMP: set-Request (#OID)SNMP: get-Response (#OID)
Lista Negra 00-08-02-41-57-2D
…
Proceso de cuarentena
INTERNET
Operador/Agentede seguridad
22M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
!
RADIUS: AccessRequest
MYSQLMYSQL
RADIUS: Access-Accept
Lista Negra 00-08-02-41-57-2D
…
Proceso de cuarentena
Funcionamiento
ServidorAAA RADIUS
INTERNET
Operador/Agentede seguridad
23M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
VLANGESTIÓN
VLANUSUARIOS
MYSQL
RADIUS: Accounting
Portal Cautivo
VLANCUARENTENA
Lista Negra 00-08-02-41-57-2D
…
Funcionamiento
Proceso de cuarentena
ServidorAAA RADIUS
INTERNET
Operador/Agentede seguridad
24M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Id Start_Time Stop_Time MAC Switch_IP Port_User TimeConnected
3 2009-11-12 17:00:00
online 00-08-02-41-57-2D 192.168.0.1 25 0
Funcionamiento
snmpset ( $NASIPAddress , $community , $object_id , $type , $value );
- $NASIPAddress => Ip del conmutador.- $object_id => OID: 1.3.6.1.2.1.2.2.1.7.25- $type => int- $value => 1 habilitar puerto.
2 deshabilitar puerto.
Envío de Mensajes SNMP (Simple Network Management Protocol) mediante PHP.
1
2
Construcción mensaje SNMP
25M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
1. Introducción.
2. Escenario.
3. Funcionamiento.
4. Portal Cautivo.5. Aplicación de gestión.
6. Conclusiones.
Índice
26M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Portal Cautivo
• UbuntuLinux
• Apache• PHP
Portal web :
• MysqlBase de datos :
• IPTABLESFirewall :
• dhcpdDHCP :
• farpdProxy ARP :
Solución
LAMP
Portal cautivo
VLANCUARENTENA
Base de Datos
Regla: Iptables -t nat -A PREROUTING -i $cuarentena -p tcp -d 0.0.0.0/0 –dport 80 -j DNAT –to-destination $portal_cautivo
Firewall
- Proxy ARP- DHCP
Diseño
27M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
VLANGESTIÓN
Portal Cautivo
VLANCUARENTENA
Lista Negra 00-08-02-41-57-2D
…
Portal Cautivo
Funcionamiento
ServidorAAA RADIUS
INTERNET
HTTP: Get URL
Operador/Agentede seguridad
28M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
VLANGESTIÓN
Portal Cautivo
VLANCUARENTENA
Lista Negra 00-08-02-41-57-2D
…
Portal Cautivo
Funcionamiento
ServidorAAA RADIUS
INTERNET
HTTP
Operador/Agentede seguridad
29M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
- Solución de usuario
- Contacto
- Nº de incidencia
- Información del equipo
Portal Cautivo
- Descripción
- Formulario de usuario
Screenshot
30M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
VLANGESTIÓN
Portal Cautivo
VLANCUARENTENA
Lista Negra 00-08-02-41-57-2D
…
Portal Cautivo
Funcionamiento
ServidorAAA RADIUS
INTERNET
Operador/Agentede seguridad
31M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
1. Introducción.
2. Escenario.
3. Funcionamiento.
4. Portal Cautivo.
5. Aplicación de gestión.6. Conclusiones.
Índice
32M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Aplicación de gestión
Aplicación de Gestión
Frontend
33M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Aplicación de Gestión
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Características Generales
34M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Aplicación de Gestión
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Características Generales
35M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Aplicación de Gestión
Características Generales
36M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Aplicación de Gestión
Características Generales
37M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Aplicación de Gestión
Características Generales
38M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Aplicación de Gestión
Características Generales
39M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Aplicación de Gestión
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Características Generales
40M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Aplicación de Gestión
Escáner de vulnerabilidades.
Accounting + Localizador.
Notificación vía mail.
Gestión de incidencias vía web.
Repositorio personalizado.
Protección contra cuarentena.
Informes en PDF.
Características Generales
41M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
Lista Negra 00-08-02-41-57-2D
…
Funcionamiento
Liberar de cuarentena
ServidorAAA RADIUS
INTERNETMYSQL
Operador/Agentede seguridad
42M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
Lista Negra ---------------
…
Funcionamiento
Liberar de cuarentena
ServidorAAA RADIUS
INTERNET
SNMP: set-Request (#OID)
Operador/Agentede seguridad
43M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
ServidorAAA RADIUS
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
Funcionamiento
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
!
RADIUS: AccessRequest
MYSQLMYSQL
RADIUS: Access-Accept
Proceso de conexión
INTERNET
Operador/Agentede seguridad
Lista Negra ---------------
…
44M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
LANCORPORATIVA
ServidorAAA RADIUS
Base de datosRADIUS:· Accounting· BlackList· Dynamic VLAN
Aplicación de Gestión
Funcionamiento
VLANGESTIÓN
VLANUSUARIOS
Portal Cautivo
VLANCUARENTENA
RADIUS: Accounting
MYSQL
Proceso de conexión
INTERNET
Operador/Agentede seguridad
45M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
1. Introducción.
2. Escenario.
3. Funcionamiento.
4. Portal Cautivo.
5. Aplicación de gestión.
6. Conclusiones.
Índice
46M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
• Lazareto electrónico multifabricante, multiplataforma y basado en estándares y elementos open source.
• Solución completa, abierta, flexible, adaptable, eficiente,…
• … y sin “cajas negras”, ni mantenimientos/update/upgrades de terceros,…
• Cumplidos todos los objetivos propuestos inicialmente…
• … y implantado nuevas funcionalidades durante el desarrollo/implantación…
• … y con un roadmap interesante:
Conclusiones
47M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
VLAN DECUARENTENA
Securización VLAN de Cuarentena
Conclusiones
LANCORPORATIVA
Portal Cautivo
ServidorAAA RADIUS
Filter-Id=“POLÍTICA CUARENTENA”
48M. Bordoy, R. Díaz P Por favor, tened en cuenta el medio ambiente antes de imprimir este documento. El medio ambiente es cosa de todos.
Conclusiones
Integración con el aplicativo corporativo de información de red.
Integración con la Intranet corporativa (seguimiento de incidencias).
Módulo de alta automática/semiautomática de incidencias.
Análisis integración soluciones TNC health check preconnect.
Análisis integración como plugin del proyecto open source Cacti.
Roadmap
Gracias por su atención
[email protected]@uib.es
Centre de Tecnologies de la InformacióUniversitat de les Illes Balears