Regresar

Diseño e implementación de un sistema de autenticación y políticas de seguridad mediante un servidor AAA, haciendo uso del estándar IEEE 802.1x y los protocolos Radius y Tacacs+ para la red corporativa de la empresa proyectos integrales de Ecuador PIL S.A.

Abstract:

Proyectos Integrales del Ecuador PIL S.A., una empresa que presta servicios en el sector industrial y de las telecomunicaciones, ha tenido problemas en su red interna de comunicaciones por falta de escalabilidad y convergencia en sus servicios de red, además presenta altos tiempos de retardo en transmisión de datos y mecanismos de seguridad, debido a su infraestructura deteriorada y centralizada en un servidor UTM que brinda servicios de seguridad y de red para los usuarios. El mecanismo de acceso seguro estaba manejado directamente por el directorio activo teniendo una arquitectura de puerto extendido hacia el usuario, además de ser asignado con VLAN estática en determinados puertos y su salida internet por otra aplicación, por que el usuario necesitaba ingresar dos veces sus credenciales para poder tener servicio de internet, presentando problemas en la administración de políticas de seguridad para el coordinador del departamento de TI. Con lo expuesto anteriormente y por un aumento de personal dentro de la organización, pensando en una mejora a nivel de disponibilidad rendimiento y seguridad, se ha decidido realizar una reestructuración de la infraestructura, para mejorar los servicios de la red corporativa y de esta manera satisfacer las necesidades de seguridad y beneficios tecnológicos para cada uno de sus trabajadores. Se ha decidido cambiar todos los equipos existentes de marca 3com por equipos Cisco, el acceso seguro a la red con el sistema UTM (Gestión Unificada de Amenazas) por un servidor de seguridad AAA (Autenticación, Autorización y Auditoria), que lo llevará acabo el ACS (Servidor de Control de Acceso) de Cisco para las autenticaciones de los usuarios, ya sea a través de la red cableada e inalámbrica; este estará vinculado al directorio activo de Windows, el mismo que será configurado por el departamento de TI (Tecnología de la Información), de PIL S.A. El sistema nuevo permitirá movilidad y seguridad para el acceso a la red tanto a nivel LAN (Red de Área Local), como WLAN (Red de Área Local Inalámbrica), de modo que si un usuario desea acceder a la red de PIL S.A., deberá hacerlo mediante su cuenta de usuario y contraseña, estos datos se encontrarán registrados en el directorio activo, manteniendo así la visibilidad y el control de acceso de cada uno de los usuarios que ingresan a la red, asignando automáticamente los permisos y recursos de red según el perfil de usuario especificado dentro de la base de datos. Si un usuario no registrado intenta acceder a la red, el sistema se encargará de bloquear el puerto por el que se registró la anomalía, protegiendo de esta manera la red de PIL S.A. de una posible filtración de información por personas ajenas a la empresa, manteniendo la confiabilidad e integridad del sistema. Se evaluaron diferentes tipos de usuarios y grupos con la finalidad de corroborar que cumplan con las políticas designadas en el directorio activo por parte del personal de ti de PIL S.A. Por lo tanto el usuario debe pasar por dos niveles de seguridad a través del equipo autenticador y el servidor de autenticación para poder enviar su petición al directorio activo el ACS le asigna a la VLAN a la que este está relacionado.