IMPLANTACION DE UN

SISTEMA NAC EN EL
HOSPITAL SANITARIO
(Network Access Control)

Daniel Gutirrez Cern

INDICE

OBJETIVOS

JUSTIFICACION

I. IMPORTANCIA DE LA SEGURIDAD INFORMATICA

1.1- Seguridad informtica

1.2- Importancia de la seguridad informtica
1.3- Tipos de ataques y amenazas
1.4- Controles de seguridad
1.5-Politicas de Seguridad y Proteccin de datos
1.6- Roles

II. DESCRIPCION DE UNA NAC

2.1- Definicin NAC (Network Access Control)

2.2- Tipos de NAC
2.3- Modos de operacin de una NAC
2.4- Elementos de una NAC

III. ANALISIS Y DISEO DEL PROYECTO

3.1- Descripcin y situacin del Hospital Sanitario
3.2- Infraestructura del Hospital Sanitario
3.3- Polticas de seguridad de acceso a la red
3.4- Problemticas detectadas en la implantacin
3.5- Solucin propuesta
3.6- Diseo del proyecto

1
IV. PACKETFENCE
4.1- Descripcin del Software PacketFence
4.2 Comparacin y eleccin de PacketFence respecto a otras soluciones NAC
4.3- Funcionalidades
4.4- Componentes
4.5- Requisitos
4.6- Modos de funcionamiento
4.7- Gua de instalacin y configuracin
4.8- Incompatibilidad de equipos
4.9- Arquitectura del sistema
4.10- Presupuesto del diseo y despliegue de PacketFence
4.11- Valoracin y Riesgos implementacin PacketFence

V. IMPLEMENTACION DEL PROYECTO

5.1- Implementacin
5.2- Fase 1: Laboratorio de pruebas
5.2.1- Diagrama de conectividad
5.2.2- Instalacin y configuracin software
5.2.3- Configuracin de PacketFence
5.2.4- Configuracin switches
5.2.5- Batera de pruebas
5.2.6- Resultados obtenidos
5.3- Fase 2: Puesta en Pre-Produccin
5.3.1- Diagrama de conectividad
5.3.2- Configuracin de PacketFence en Alta disponibilidad
5.3.3- Configuracin switches/Core/distribuidores
5.3.4- Batera de pruebas
5.3.5- Resultados obtenidos
5.4- Fase 3: Puesta en produccin
5.4.1- Consideraciones a tener en cuenta
5.4.2- Roll-Back en caso de fallo
5.4.3- Implantacin del sistema en los clientes seleccionados
5.4.4- Resultados obtenidos

6- Conclusin

Bibliografa

2
OBJETIVO

Implementar en un Hospital una solucin de control automatizado de acceso

a la red, para dotar de seguridad y control de acceso a dispositivos que
accedan a la red corporativa.

Adems gracias a esta solucin automatizada, se facilitar la gestin del

administrador de redes gracias a la implementacin de Vlans dinmicas.

JUSTIFICACION

Debido a la multitud de sistemas y usuarios que acceden a la red es necesario

implantar una serie de polticas de seguridad las cuales nos garanticen que la
red no se ver comprometida al conectar nuevos dispositivos, pudiendo
provocar ataques DDOS, robo de datos confidenciales o infecciones de virus
que degraden el servicio.

Gracias a la implantacin de este sistema podremos administrar el acceso a

nuestra red, garantizando un nivel de seguridad definido previamente
mediante el establecimiento de parmetros de autenticacin, revisin y
remediacin, asegurndonos que se cumplan las polticas asignadas
automticamente a los usuarios y facilitando la gestin administrativa.

3
I. IMPORTANCIA DE LA SEGURIDAD
INFORMATICA
1.1- Seguridad informtica

La seguridad de la informacin, es la preservacin de la confidencialidad,

integridad y disponibilidad de la informacin, y para que un sistema se
considere seguro deber cumplir estas tres caractersticas.

Entendemos como seguridad a la caracterstica de cualquier sistema que est

libre de peligro, riesgo o dao. En nuestro caso el concepto de seguridad
informtica es utpico ya que no existe un sistema 100% seguro,
continuamente se presentan cambios tanto internos, como externos al sistema
que pueden afectar a la seguridad de nuestro sistema.

La seguridad informtica, consiste en asegurar que los recursos del sistema

informtico de la organizacin estn disponibles y sean utilizados de la forma
definida para su correcto uso, adems de que su acceso y modificacin estn
limitados a las personas autorizadas.

La seguridad informtica debe garantizar:

La Disponibilidad de los sistemas de informacin

La integridad de la informacin
La confidencialidad de la informacin

Otros aspectos a tener en cuenta dentro de la seguridad informtica son los

siguientes tipos:

Seguridad de la informacin
Seguridad de la red
Seguridad de internet

4
1.2- Importancia de la seguridad informtica

La seguridad informtica ha adquirido una gran importancia en los tiempos

ms recientes, sobre todo para las empresas. Esta situacin se debe al
constante avance tecnolgico y al aumento de la dependencia digital a la hora
de tratar la informacin, aumentando considerablemente los delitos
informticos para obtener algn tipo de beneficio.

Las violaciones de los sistemas pueden ser provocados por piratas

informticos, empleados de la propia empresa, empresas de la competencia,
etc. pudiendo provocar la prdida o modificacin de datos sensibles para la
empresa, lo que puede representar un dao con valor de miles de millones de
euros.

Estos problemas estn presentes en la mayora de infraestructuras que no

tienen definido un esquema de seguridad eficiente, el cual proteja los recursos
de las actuales amenazas a las que est expuesto.

En este aspecto, la seguridad informtica tiene como objetivo la proteccin de

los recursos contra daos, destruccin, uso no autorizado o robo; adems de
mantener la integridad de los datos y permitir el uso eficiente de los recursos
tecnolgicos.

La seguridad comprende aspectos relacionados con estndares, polticas,

mejores prcticas, valoracin de riesgos y otros elementos necesarios para el
correcto funcionamiento y administracin de los recursos.

5
1.3- Tipos de ataques y amenazas

Un ataque informtico es un mtodo por el cual un individuo, intenta explotar

una o varias vulnerabilidades del sistema, para tomar el control, desestabilizar
o daar el sistema.

Una forma de clasificar los ataques de seguridad, empleados en la

recomendacin x.800 y la RFC1 2828

Clasificacin de los diversos ataques:

Ataques Pasivos

Consisten en la observacin de las trasmisiones sin afectar a los recursos, ni

alterar la comunicacin, sino que nicamente escucha o monitoriza el sistema
para obtener que informacin est siendo transmitida.

El objetivo principal de este tipo de ataques consiste en la obtencin de datos

y el anlisis de trfico. Los datos obtenidos mediante este tipo de tcnicas
pueden ser los siguientes:

Obtencin del origen y destino de la comunicacin

Control del volumen de trfico entre los equipos monitorizados,
obteniendo informacin del a actividad que realizan.
Obtencin de horas y periodos de actividad en la comunicacin, donde
es posible que se enven datos sensibles.

El principal problema de estos tipos de ataques consiste en la dificultad de

detectarlos, ya que no provocan ninguna alteracin de los datos. La forma ms
efectiva para evitar este tipo de ataques consiste en el cifrado de la
informacin.

1
RFC (RequestForComments): Documentos que contienen especificaciones tcnicas acerca de
los protocolos de internet.

6
Tipos de Ataques Pasivos:

Eavesdropping (Escuchas)

Es un proceso mediante el cual un agente captura informacin que no iba

dirigida a l. Este tipo de ataque es muy difcil de detectar mientras se
produce, ya que si comparten el medio de transmisin el atacante podr
capturar los datos de la comunicacin y obtener claves o informacin
privilegiada.

Sniffer (analizador de protocolos)

Este tipo de ataque es muy parecido al anterior, ya que captura informacin

que no va dirigida a l, pero adems tambin captura el modo en que se realiza
la comunicacin, obteniendo informacin como seales de control, tipos de
protocolos utilizados, establecimientos de comunicacin (handshake), etc.

Ataques Activos

En este tipo de ataques, el intruso interfiere en el trfico de la red

aprovechando las vulnerabilidades del protocolo de comunicacin en uso y
alterando el flujo de la comunicacin.
Este cambio de flujo en la comunicacin puede clasificarse en varias
categoras.

Tipos de Ataques Activos:

Suplantacin de identidad: En este tipo de ataque el intruso se hace

pasar por una entidad con permisos, pudiendo acceder a recursos
privilegiados. Este tipo de ataque suele producirse una vez obtenida una
contrasea mediante tcnicas de ataque pasivo como las escuchas.
Modificacin: consiste en capturar ciertos paquetes para luego ser
manipulados, borrados, modificados o reordenados por el atacante.
Reactuacin: consiste en inyectar en la red paquetes interceptados
anteriormente utilizando algn sniffer para repetir operaciones que
haban sido realizadas por el usuario legtimo.
Degradacin: consiste en el impedimento a la hora de acceder a los
recursos informticos y de comunicaciones debido a la saturacin de
los mismos.

7
Amenazas en la Seguridad Informtica

Una amenaza consiste en la existencia de algn peligro, el cual nos permita

explotar una vulnerabilidad.
Estas amenazas se clasifican dependiendo de la forma en la que se explotan las
vulnerabilidades.

Intercepcin: Si se produce un acceso no autorizado a un recurso, es un tipo

de amenaza contra la confidencialidad.

Interrupcin: Si el recurso es destruido o se vuelve no disponible, es un tipo

de amenaza contra la disponibilidad.

Modificacin: Si se produce una modificacin de los recursos, este tipo de

amenaza seria contra la integridad.

Fabricacin: Si se producen objetos falsificados en el sistema, este tipo de

amenaza seria contra la autenticidad.

1.4- Controles de seguridad

Control es el proceso que permite la supervisin y comparacin de los

resultados obtenidos con los resultados esperados originalmente.

Un control de acceso consiste en limitar el acceso a los recursos en funcin de

un conjunto de restricciones, el cual consta de dos pasos:

- La autenticacin, donde se identifica al usuario o mquina que intenta

acceder al recurso.
- La autorizacin, que dota al usuario de los privilegios suficientes para
realizar operaciones sobre el recurso, tales como: leer, modificar, crear,
etc.

Clasificacin de los diversos tipos de controles

Controles Fsicos
Controles Tcnicos
Controles Administrativos

Una implementacin de seguridad apropiada debe incluir elementos de estas

tres categoras, para asegurar la integridad de los recursos.
8
1.4.1- Controles Fsicos

El control fsico consiste en la implementacin de medidas de seguridad en

una estructura definida usada para prevenir o detener el acceso no autorizado.

Varios de estos controles fsicos pueden ser los siguientes:

Sistemas biomtricos que detectan huellas digitales, iris, voz, rostro, etc.
Cmaras de vigilancia
Sistema de alarmas trmicas o de movimiento
Puertas de seguridad

1.4.2- Controles Tcnicos

Los controles tcnicos utilizan la tecnologa para controlar el acceso y uso de

los recursos, formando una estructura lgica sobre la cual se ejecutan
programas dedicados a controlar el acceso a la red.

Los controles tcnicos son aquellos basados en software o parte de l, los

cuales permitirn identificar los usuarios y realizar una clasificacin
dependiendo del tipo de usuario y nivel de acceso, y por otra parte restringir el
acceso a los recursos del sistema estableciendo unos permisos y requisitos
previos.

Los controles tcnicos se pueden dividir en:

Controles lgicos basados en red

Controles lgicos basados en host

1.4.2.1- Controles lgicos basados en red

Firewall
IDS (Sistema de deteccin de intrusos)
IPS (Sistema de prevencin de intrusos)
Filtrado de contenido
Control de acceso a la red

9
Firewall

El cortafuegos o firewall es un filtro que controla todas las comunicaciones

que pasan de una red a otra y en funcin de unas reglas se permite o deniega
el paso de la comunicacin. El firewall examina si la comunicacin es entrante
o saliente y dependiendo del contenido y de las reglas establecidas decide si
permite la transmisin.

El propsito principal del firewall es prevenir las comunicaciones no deseadas

entre una red segura, privada e interna con otra red, evitando que usuarios
externos a la propia red comprometan su integridad y adems que entre
usuarios de la propia red intercambien informacin libremente con usuarios
externos a ella.

Sistema de deteccin de intrusos IDS

Es un programa usado para detectar accesos no autorizados a una red.

El IDS consta de sensores virtuales con los que obtiene datos de la red,
detectando indicios de ataques. El funcionamiento de estos sensores se basa
en el anlisis del trfico de red para su comparacin con firmas de ataques
conocidos, o comportamientos sospechosos.

El IDS no solo analiza el tipo de trfico, sino que tambin revisa el contenido
y su comportamiento.

Sistema de prevencin de intrusiones IPS

Es un sistema de seguridad donde un dispositivo controla la red y puede

reaccionar en tiempo real ante comportamientos maliciosos o no deseados
bloqueando dichos comportamientos.

El IPS tiene la capacidad de bloquear el acceso a los usuarios o aplicaciones

cuando se descubre algn tipo de comportamiento malicioso, adems est
diseado para funcionar completamente invisible a la red.

Con estos sistemas se puede proteger de maneara proactiva los recursos de

toda la red.

Un buen sistema IPS debe cumplir como mnimo con caractersticas tales
como bloqueo automtico de ataques, proteccin de sistemas no parcheados y
optimizacin del rendimiento de la red.

10
Filtrado de contenido

Es un programa diseado para controlar los contenidos que se permiten

mostrar, normalmente se utiliza para restringir el acceso a ciertos materiales
web.

Este filtro de contenido se suele utilizar para censurar pginas que pueden ser
consideradas ofensivas, o simplemente para prevenir acceso a sitios
maliciosos.

El filtrado de contenido puede ser mediante palabras claves, o mediante listas

negras que denieguen el acceso.

Control de Acceso a la RED

El control de acceso a la red o comnmente conocido como NAC, consiste

en unificar varios criterios de seguridad tecnolgica tales como antivirus, IPS,
autenticacin, etc. para otorgar acceso a la red.

Esto se consigue aplicando diferentes polticas, las cuales describen como

obtener acceso a la red.

Este sistema examina e identifica a los usuarios que incumplen las polticas de
acceso, tales como firmas y parches de antivirus desactualizados, versiones del
sistema operativo, etc.

Ms adelante entraremos en detalle de los componentes y funcionamiento de

una NAC.

1.4.2.2- Controles lgicos basados en Host

Este tipo de controles permiten la correcta administracin de los recursos del

host, evitando funcionamientos no deseados en los host.

Podemos encontrar los siguientes:

Antivirus: Programa creado para prevenir, evitar propagacin y

contagio de virus informticos que pudiesen degradar nuestro sistema.
Antiespias: Programa creado para detectar y eliminar software espa,
normalmente oculto, el cual recopila datos en beneficio del atacante.
Antispam: Programa creado para evitar correo no deseado, funciona
mediante filtros.
11
1.4.3 Controles administrativos

En este tipo de control se definen los factores humanos de la seguridad, en los

que se definen que usuarios tienen acceso a qu recursos y quines no.

1.5- Polticas de Seguridad y Proteccin de datos

El objetivo principal de una poltica de seguridad es informar a los usuarios de

las normas y mecanismos que deben cumplir para poder utilizar los
componentes y recursos del sistema.

Una poltica de seguridad debe asegurar cuatro aspectos fundamentales:

Autenticacin
Control de acceso
Integridad
Confidencialidad

Las polticas, debern de seguir un proceso de actualizacin continuo sujeto a

los cambios que puedan surgir en la organizacin, por ejemplo aumento de
personal, cambios en la infraestructura tecnolgica, creacin de nuevos
servicios, etc. De esta forma podremos garantizar que las polticas sean
efectivas y salvaguardar los recursos o informacin sensible.

Debido al avance tecnolgico se hace necesario que se garantice la seguridad y

la proteccin de los datos, por eso organismos oficiales como la Agencia
Espaola de Proteccin de Datos, se encargan de velar por el cumplimiento
de la legislacin sobre proteccin de datos.

Inicialmente la constitucin Espaola ya limitaba el uso de datos personales

en el artculo 18.4- La ley limitara el uso de la informtica para garantizar el honor y
la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Posteriormente con la posibilidad de cruzar datos, se poda obtener

informacin como situaciones personales o profesionales, por lo que se
present la ley Orgnica 15/1999, la cual se encarga de proteger tanto la
situacin personal como profesional.

El derecho al honor tambin est sujeto a posibles violaciones a travs del uso
informtico, y se encuentra garantizado en el artculo 18.1 de la Constitucin
Espaola.

12
Todos estos avances legales se consolidan en la ley de proteccin de datos, la
cual busca tutelar la seguridad del manejo de datos personales en el mbito
laboral, personal o familiar, e impedir que por el hecho de que se conozca
tales datos, estos puedan ser objeto de violacin, o exposicin en perjuicio de
la libertad de las personas afectadas.

1.6- Roles

Un rol es un conjunto de permisos que se aplican a un usuario asignado. Un

permiso es un parmetro que especifica si su poseedor puede acceder a algn
determinado recurso o zona.

Se pueden asignar varios roles a un mismo usuario garantizando que disponga

de todos los permisos definidos para tales roles.

Estos roles se pueden asignar automticamente por ejemplo a travs de un

grupo de usuarios en un LDAP2, o aplicado individualmente.

Posteriormente veremos cmo aplicando estos roles y polticas podremos

configurar en nuestra NAC un sistema de acceso organizado y controlado.

2
LDAP: Lightweight Directory Access Protocol (en espaol Protocolo Ligero de Acceso a
Directorios) que hacen referencia a un protocolo a nivel de aplicacin que permite el acceso a
un servicio de directorio ordenado y distribuido para buscar diversa informacin en un entorno
de red.
13
II. DESCRIPCION DE UNA NAC
2.1- Definicin NAC (Network Access Control)

Es un enfoque de la seguridad en redes que intenta unificar la tecnologa de

seguridad en los equipos finales, usuarios o sistemas de autenticacin y de este
modo reforzar la seguridad en el acceso a la red.

Hoy en da en una organizacin se concede acceso a la red a diferentes tipos

de perfiles, tales como usuarios, proveedores, socios comerciales y empleados,
por este motivo no todos pueden ser tratados de igual forma. Se requiere un
modo sencillo de garantizar a los diferentes grupos de usuarios el acceso a los
recursos que necesitan y solo a los que necesitan, manteniendo fuera del
alcance los recursos que no deben ver.

La implementacin de un NAC nos proporciona una solucin a este

problema, en la que el entorno de la red se extiende debido a la movilidad y a
la gran cantidad de clientes que desean tener acceso.

Con un NAC podemos garantizar que el equipo que desea acceder a nuestra
red cumple con unos requisitos de seguridad preestablecidos como software
instalado, parches de seguridad, antivirus, etc. Pudiendo la NAC aislarlo tanto
en el momento de conectar a nuestra red, como en el momento de la
desactivacin de algn requisito una vez est dentro de ella, como por
ejemplo, deshabilitar el antivirus incumpliendo nuestra poltica de seguridad.

Una buena solucin NAC bien implementada define un control sobre las
polticas de seguridad, proporcionando flexibilidad, ya que podremos definir
en diferentes redes (de invitados, de aislamiento, de produccin, etc.) en
funcin del estado del equipo en cada instante.

14
2.2- Tipos de NAC

Para elegir la solucin ms adecuada hay que evaluar los objetivos que ha de
cumplir el control de acceso a la red, incluyendo el nivel de seguridad deseable
frente a las funcionalidades.

Los diferentes tipos de NAC se pueden englobar en cuatro tipos debido al

modo de su funcionamiento.

2.2.1 - NAC basado en Hardware

Este tipo de NAC se apoya en un equipo de electrnica apilable (appliance)

que deber instalarse en la red donde se desea implantar el NAC. Este
dispositivo puede operar ya sea en lnea o fuera del trfico de la red.

Las soluciones basadas en hardware tienen diferentes desventajas, tales como

la creacin de un nico punto de fallo en la red, puede provocar
interrupciones en el trfico y adems dependiendo del a distancia del
dispositivo en la red puede perder visibilidad del trfico.

2.2.2 - NAC basado en Agentes de Software

Este NAC est basado en pequeos programas residentes en los dispositivos

que desean ser controlados por la NAC. Estos agentes monitorizan y
escanean el dispositivo, enviando los resultados al servidor donde estn
definidas las polticas para decidir qu accin tomar.

Una de las mayores desventajas de este sistema es la sobrecarga de trabajo

debido a la instalacin del agente en todos los dispositivos que desean acceder
a la red. La ventaja de este tipo de NAC es que al utilizar un agente se puede
realizar un escrutinio de mayor nivel, adems de ser la opcin que menos
afectar al trfico de red. Esto se debe a que el agente trabaja en segundo
plano enviando actualizaciones al servidor.

2.2.3 NAC sin agente de Software

En este modelo de NAC consiste en la ejecucin de software puntualmente

(agente puntual) que escanee el cliente peridicamente revisando el
cumplimiento de las polticas de seguridad.
Este sistema implica demasiado estrs en el trfico de red, sobre todo en las
redes muy congestionadas.

15
2.2.4 NAC dinmica

En esta NAC se instalan varios agentes en sistemas seguros, este tipo de NAC
se conoce como NAC peer-to-peer, ya que esta solucin no necesita que se
hagan cambios en la red o la instalacin de software extra en todos los
dispositivos a monitorizar, simplemente los agentes se encargan de que se
cumplan las polticas de seguridad, revisando los equipos que le corresponda a
cada agente.

2.3- Modos de operacin de una NAC

Deteccin e Identificacin de nuevos dispositivos conectados a la red

Esta tarea se realiza a travs de los switches donde estn conectados los
dispositivos recibiendo las peticiones de autenticacin por parte de los
clientes.

Autenticacin de usuarios y dispositivos

La autenticacin es un proceso que consiste en comprobar la identidad de una

entidad, para posteriormente autorizar el acceso a los recursos autorizados a
dicha entidad.
Esta autenticacin se suele realizar utilizando el estndar 802.1x y un servidor
RADIUS.

Evaluacin del Sistema en cumplimiento de las polticas de seguridad

En este punto se revisan las condiciones del equipo que intenta conectarse a la
red para comprobar que cumple los requisitos de seguridad tales como el
sistema operativo, programas malintencionados, actualizaciones de antivirus y
parches de seguridad.

Esta accin se realiza con el fin de si un equipo deja de cumplir las polticas de
seguridad redireccionarlo a una zona de aislamiento, hasta que realice las
acciones necesarias para obtener nuevamente acceso a la red.

Autorizacin para acceder a la red

En base a los resultados de la autenticacin y la evaluacin, se determinar el

rol que desempea el dispositivo y de acuerdo con eso tendr acceso a la zona
y recursos de red correspondiente a su rol.

16
Remediacin para equipos con problemas de cumplimiento de polticas
de seguridad.

Si algn equipo es trasladado a la zona de aislamiento, deben resolver los

problemas de seguridad para poder acceder a la red, como norma general se
muestran mensajes con los problemas identificados y la forma de remediarlos.

Todas estas tareas que debe realizar un NAC son las que conforman las
funciones bsicas para el correcto funcionamiento del NAC.

Entre los modos de operacin se resumen en dos modos: con agente y sin
agente.

2.4- Elementos de una NAC

Los elementos que forman un NAC son:

Equipo Cliente

Son los dispositivos que acceden a la red, estos pueden ser ordenadores,
impresoras, telfonos, tablets, etc.

Autenticador

Entidad situada en nuestra red que facilita la autenticacin del dispositivo

conectado en el enlace, por ejemplo un switch.

NAC Gateway

Es un dispositivo que se encuentra entre el servidor de autenticacin y el

equipo final del usuario. Este dispositivo permite controlar la autenticacin y
autorizacin, comunicndose con el servidor de autenticacin, para indicar al
autenticador la accin a realizar.

Servidor de Autenticacin

Entidad que facilita el servicio de autenticacin al autenticador.

La autenticacin se realiza a travs de los siguientes mtodos:

17
2.4.1 Autenticacin basada en 802.1x

La especificacin 802.1x es un estndar de control de acceso desarrollado por

la IEE3 que permite utilizar diferentes mecanismos de autenticacin.

La autenticacin 802.1x es uno de los mtodos ms seguros ya que permite la

deteccin de sistemas finales en el puerto del switch mediante autenticacin.

Su funcionamiento se basa en el concepto de puerto, siendo ste el punto

donde se puede conceder el acceso de un dispositivo a la red. En principio
todos los puertos estn desautorizados, excepto uno que es el punto de acceso
que se utiliza para comunicarse con el cliente admitiendo nicamente trafico
EAPOL por el puerto controlado. Cuando un nuevo cliente solicita la
conexin, le pasa al autenticador informacin sobre la autenticacin, que este
reenva al servidor de autenticacin, normalmente un servidor RADIUS.
Cuando este contesta, y el cliente est permitido, autoriza un puerto para que
lo use el cliente, tal y como describe la figura.

802.1x consta de tres entidades bsicas:

- El cliente, que solicita la conexin (PAE=Entidad de Acceso a Puerto)

- El servidor de autenticacin, encargado de averiguar si el cliente est
autorizado para acceder
- El elemento que proporciona la conectividad o punto de acceso

802.1x es flexible al no limitar los mecanismos de autenticacin, sino que es

posible hacer uso cualquier tipo de especificacin convenientemente adaptada

3
IEE: Institute of Electrical and ElectronicsEngineers, asociacin mundial dedicada a la estandarizacin.

18
al 802.1x. Esto nos permite hacer uso de protocolos basados en certificados
digitales a la hora de verificar la autenticidad de los participantes.

Estos certificados nos permiten que un usuario desconocido para el sistema

pueda hacer uso de la red con proporcionarle el certificado oportuno. Adems
en estos certificados podremos incluir atributos de caducidad de conexin,
servicios accesibles o recursos visibles.

EAPOL EAP sobre LAN

EAPOL es un protocolo de capa de enlace usado para transportar protocolos

de autentificacin de alto nivel.

EAP se dise en un principio para funcionar sobre PPP y autenticar usuarios

RTPC, pero 802.1x define un mtodo de encapsulado para enviar paquetes
EAP sobre tramas Ethernet, este mtodo es EAPOL.

EAPOL lleva mensajes EAP entre el suplicante y el autentificador. El

autentificador extrae de las tramas EAPOL los paquetes EAP y envindolos
hacia un servidor de autentificacin por un canal seguro.

Hay situaciones donde el mtodo 802.1x no es compatible debido a que los

equipos no contengan un solicitante 802.1x o el sistema final no lo admita.

Por ejemplo dispositivos como impresoras antiguas, cmaras de video, o

switches no compatibles. Esto deberemos tenerlo en cuenta en el desarrollo
de nuestro proyecto, ya que nuestra red ser heterognea, compuesta por
equipos que soportan autenticacin 802.1x y otros que no.

En conclusin si se cumplen todos los requisitos, 802.1x ofrece una

identificacin muy escalable y dinmica con un alto grado de seguridad en el
puerto del switch

Ventajas
Estndar para sistemas actuales
Administracin centralizada
Deteccin en tiempo real
Alto nivel de seguridad
Escalabilidad
Informacin de host y usuario

19
Desventajas

Muchos requerimientos
Actualizaciones caras

2.4.2 Autenticacin basada en MAC

En este mtodo se utilizan los mismos elementos de autenticacin que en

802.1x,, la diferencia es el no utilizar certificados y datos de registro.

El switch utiliza la direccin MAC del sistema final como un reemplazo para
el nombre de usuario y la verifica con el servidor RADIUS. Este mtodo se
puede utilizar en redes con 802.1x para verificar todos los sistemas sin el
agente suplicante
licante contra el servidor RADIUS.
RADIUS

Este mtodo solo ofrece un nivel limitado de la seguridad y se debe utilizar en

combinacin con la autorizacin restrictiva.

En conclusin este mtodo de autenticacin es una solucin para sistemas

finales especiales o que no soporten o implementen un nivel de seguridad
mayor.

20
Ventajas

Estndar para sistemas actuales

Administracin centralizada
Deteccin en tiempo real
Escalabilidad

Desventajas

Muchos requerimientos
Baja seguridad

2.4.3 Servidor RADIUS

RADIUS (RemoteAuthentication Dial In UserService) es un protocolo de

autentificacin utilizado por 802.1x, basndose en los criterios del marco
AAA (Autenticacin, Autorizacin y Administracin). Este modelo AAA
define los elementos bsicos para autenticar usuarios, manejar peticiones de
autorizacin y realizar contabilidad del sistema.

Un servidor AAA debe ser capaz de recibir peticiones, examinarlas,

determinar el tipo de autorizacin solicitado, recuperar las polticas necesarias,
evaluar la peticin y obtener la respuesta a dicha peticin.

El servidor RADIUS al ser un servidor del tipo AAA se usa principalmente en

entornos donde los clientes son elementos de acceso a la red, como los puntos
de acceso. Estos elementos envan al servidor la informacin del nuevo cliente
que desea acceder, una vez recibida esta informacin el servidor valida la
autenticacin del usuario y devuelve al cliente la respuesta necesaria para
acceder a la red.
RADIUS tambin registra eventos como inicio y fin de sesin, paquetes
trasmitidos y volumen de datos durante la sesin.

21
2.4.4 Servidor Kerberos

Es un protocolo de autenticacin creado por el MIT que permite a dos

equipos situados en una red insegura demostrar su identidad de manera
segura, su arquitectura est formada por un modelo Cliente-Servidor,
autenticndose ambos dispositivos y verificando la identidad uno del otro.

La arquitectura est basada en tres objetos de seguridad: Clave de sesin,

Ticket y Autenticador.

2.4.5 PasswordAuthenticationProtocol (PAP)

El protocolo de autenticacin de contrasea (PAP) es un protocolo de

autenticacin simple en el que el usuario y contrasea se envan al servidor de
acceso como texto simple, es decir sin cifrar. No se recomienda utilizar este
mtodo debido a su inseguridad y la falta de cifrado.

2.4.6 Challenge Handshake Authentication Protocol (CHAP)

Este mtodo de autenticacin verifica peridicamente al cliente usando un

intercambio de informacin dividido en tres etapas. La verificacin se realiza
con una contrasea compartida.

Las tres etapas de autenticacin son las siguientes:

1- Despus de establecer el enlace, el agente autentificador enva un

mensaje del tipo Challenge para solicitar la verificacin del usuario
2- El usuario responde con un valor calculado usando una funcin hash y
enviando un mensaje del tipo response
3- El autentificador verifica la respuesta con el resultado de su propio
clculo de la funcin hash. Si el valor coincide, el autentificador
informa de la verificacin enviando un mensaje success, de lo
contrario termina la conexin enviando un mensaje del tipo failure.

Cada cierto tiempo el autentificador manda una nueva comprobacin,

repitiendo el proceso anterior completamente.

22
Servidor de Remediacin

El servidor de remediacin permite notificar y enviar las acciones a tomar de

un sistema final que se encuentra en la red de cuarentena debido al
incumplimiento de alguna poltica de seguridad.

Estas notificaciones son esenciales dentro de una NAC debido a que el

usuario puesto en cuarentena puede pensar que es un problema de la red al no
poder acceder al os servicios. Estas notificaciones tienen que estar disponibles
tanto para el equipo de TI, como para los usuarios ya que si no existiesen estas
notificaciones podran recibirse multitud de llamadas al soporte tcnico

Una vez explicado los componentes de un NAC y los mtodos de

autenticacin identificaremos esos elementos con los componentes que
formaran parte denuestra NAC:

Equipo Cliente

Los dispositivos que formaran parte como clientes sern todos los
dispositivos autorizados que deseen acceder a la red del Hospital, estos
incluyen adems de los PCs de usuario, los equipos de telemedicina, telfonos
mviles, tablets, etc.

Autenticador

Los dispositivos autenticadores en nuestro caso sern los switches de la capa

de acceso, los cuales enviaran la consulta de autenticacin al servidor cuando
detecte la conexin del cliente.
En nuestro caso estos switches sern todos de la marca Cisco y los modelos:
Catalyst 2950, 2960 y 3750.

NAC Gateway

Esta entidad ser la solucin elegida para implementar nuestra NAC,

adelantndonos a la seleccin de la solucin indicaremos que el NAC Gateway
ser nuestro servidor PacketFence, el cual se encargara de gestionar los
accesos y roles a los dispositivos clientes, adems de funcionar como Gateway
en el modo de funcionamiento In line para los equipos antiguos que no
soporten autenticacin basada en 802.1x

23
Servidor de autenticacin

En este caso usaremos el servidor en produccin actual del hospital Cisco

Secure ACS v4.2, es la solucin ofrecida por el fabricante Cisco para integrar
autenticacin va RADIUS, el cual recibir peticiones 802.1x mediante la
autenticacin del usuario y el protocolo EAP-MSCHAP enviado
usuario/contrasea del Directorio Activo de Windows.
En una primera fase se utilizar el servidor RADIUS por defecto integrado en
PacketFence que corresponde al software FreeRADIUS.

Servidor de remediacin

El servidor de remediacin tambin ser el servidor PacketFence, el cual se

encargar de configurar el dispositivo en la Vlan de aislamiento y de enviar los
pasos a seguir para poder salir de la zona aislada y obtener acceso a la red.

Estos son los componentes bsicos que forman parte de un NAC, quedando
identificados en nuestra infraestructura de red.

En el punto 3.6 diseo del Proyecto se ofrece ms informacin respecto

al modo en el que interactan todos los componentes y el motivo de eleccin
en la solucin PacketFence.

24
III. ANALISIS Y DISEO DEL
PROYECTO
3.1- Descripcin y situacin del Hospital Sanitario

La implantacin del proyecto pertenece al mbito sanitario, ofreciendo

servicios sanitarios de todo tipo, tales como consultas generales,
especialidades mdicas, intervenciones quirrgicas, tareas de investigacin y
otras no sanitarias como tareas de mantenimiento, administrativos,
infraestructuras, etc.

Debido al mbito donde se implantar el proyecto y por las obligaciones

regulatorias que obligan a mantener los sistemas protegidos y con una
disponibilidad casi del 100%, es de vital importancia garantizar el acceso y el
correcto funcionamiento de la red, ya que se podran poner en peligro datos e
incluso vidas de pacientes.

A la red hospitalaria acceden gran variedad de perfiles tales como mdicos,

administrativos, proveedores, pacientes, dispositivos de electromedicina,
servidores de aplicaciones, servidores web, entornos de virtualizacin, etc.
Todos ellos haciendo uso de la infraestructura de red.

Cada perfil debe acceder a unos recursos especficos por ejemplo el personal
sanitario debe tener acceso a las aplicaciones mdicas e impresoras de red, los
servidores web deben estar alojados en la DMZ para que usuarios del exterior
puedan conectarse, los dispositivos de electromedicina deben estar aislados,
etc.

25
3.2- Infraestructura del Hospital Sanitario

La infraestructura de red con la que actualmente cuenta el hospital y que est

relacionada con el proyecto se compone de los siguientes elementos:

Equipo/Servicio Caractersticas Imagen

Marca Cisco
Switch Modelo 6500
Equipo Core

Switch Marca Cisco

Modelo 4500
Switch de
Distribucin
Switch Marca Cisco
Modelo 2960
Switch de acceso
Switch Marca Cisco
Modelo 2950
Switch de acceso
Switch Marca Cisco
Modelo 3750
Switch de acceso
Firewall Marca Cisco
Modelo ASA
Seguridad
perimetral de la
red
Balanceador Marca Radware
Modelo
LinkProof 100
Multi WAN
Proxys Marca Bluecoat
Modelo 810-5
Acceso a Internet
Router Marca Cisco
Modelo 1800
Acceso centros
perifricos
Apilance Marca Nonius
Modelo WGS200
26
 HotSpot
pacientes
Punto de Acceso Marca Cisco
Modelo AIR-
LAP1242G-E-K9
AP Wifi
Punto de Acceso Marca Cisco
Modelo AIR-
AIR-LAP1141N-
E-K9
AP Wifi
LDAP Marca Windows
Directorio Activo
Windows server
2008
Servidor Radius Marca Cisco
Cisco Secure
ACS v4.2

27
Arquitectura de Red

La arquitectura de red est basada en una arquitectura de alta disponibilidad,

con todos los dispositivos de red duplicados, algunos trabajando en modo
clster, y otros en modo activo-pasivo.
Se puede observar la cantidad de sedes remotas que dependen de la red y la
diversidad de accesos por parte de proveedores. Debido a la gran cantidad de
usuarios, dispositivos de red y criticidad de la misma, se hace requisito
indispensable tener un control de accesos a la red y una gestin dinmica de la
configuracin de los switches de acceso.

Tendremos en cuenta la segmentacin lgica aplicada a la red mediante Vlans,

ya que dependiendo del tipo de usuario o dispositivo deber acceder a una u
otra.

Listado de Vlans

ID Nombre
1 Usuarios
4 Maternidad
102 DMZ-Projectos
103 DMZ-Corporativa
249 Hotspot
250 Red Wifi
51 Cuarentena
305 Seguridad
306 ModCDI
308 Equipos Proveedores
309 Infraestructuras
310 Multimedia
2201 Servidores Linux
2202 Servidores Windows
2206 VDI

Como se puede observar hay gran diversidad de VLANs, cada una con acceso
a determinados recursos y con diferentes reglas de seguridad aplicadas en el
firewall.

28
3.3- Polticas de seguridad de acceso a la red

Actualmente el hospital cuenta con una poltica de seguridad de acceso a la

red, la cual establece los requisitos que deben cumplir los usuarios para poder
conectar un dispositivo a la red.

Esos requisitos son:

Parmetro Permitido
Sistema Operativo Windows XP SP3, Vista, 7 o
distribucin de Linux
Antivirus Instalado y ejecutndose antivirus
corporativo
Actualizaciones de Windows Activadas
Directorio Activo Configurado y registrado en AD con
usuario corporativo
DHCP Alta de MAC en filtro DHCP

Niveles de acceso

Perfil Descripcin Rol

Cuarentena Usuarios que no Vlan Cuarentena
cumplan la validacin
Bsico Usuarios Con antivirus Acceso a internet
Avanzado Validacin completa Acceso a Internet,
Intranet, y aplicaciones
corporativas

3.4- Problemticas detectadas en la implantacin

En estos momentos para controlar el acceso a la red se realiza un proceso

manual por parte del departamento de soporte de campo y de
comunicaciones, donde se consideran las siguientes actividades:

29
Este proceso presenta las siguientes desventajas:

Mayor riesgo al efectuar una validacin manual

Incremento la cantidad de recursos humanos para validar los equipos
Mayor demora para acceder a la red
nicamente se valida el equipo al ingresar por primera vez
Dificultad en identificar vulnerabilidades por puertos abiertos
Dificultad en identificar aplicaciones no autorizadas
Los usuarios que se conectan a la hotspot, proveedores e incluso
personal sanitario conectados con tablets o telfonos mviles presentan
otro problema, ya que estos dispositivos sin gestin ni control por parte
de un antivirus y un directorio activo, se conectan tambin a la red, por
lo que resulta imposible saber el estado de seguridad del dispositivo

30
3.5- Solucin propuesta

Se propone implementar una solucin automatizada de control de acceso a

la red (Network Access Control NAC). Esta necesidad es debida al
continuo aumento de usuarios, proveedores y clientes que necesitan acceso
a la red para poder realizar sus tareas. Estos tipos de usuarios no pueden
ser tratados del mismo modo ya que dependiendo del tipo de usuario que
solicita el acceso deber tener acceso a unos recursos especficos y ninguno
ms el cual no est permitido o aprobado por parte de la DSI (Direccin
de los Sistemas de la Informacin).

Adems tambin se implementar un mtodo de Vlans Dinmicas donde

se detectar el tipo de dispositivo mediante la MAC y ser asignada
automticamente la configuracin del puerto del switch asignndole su
Vlan especfica y dems configuraciones.

Se tendrn en cuenta las siguientes etapas para implementar la solucin:

- Definicin de caractersticas tcnicas

- Estudio de mercado
- Seleccin de la Solucin

Definicin de caractersticas tcnicas

La definicin de las caractersticas tcnicas se realiza en base a las necesidades

del Hospital, adems del aprovechamiento de la infraestructura tecnolgica
que dispone.

Requerimientos de caractersticas tcnicas:

Soporte de las siguientes Polticas:

- Autenticacin
- Acceso a la red mediantes perfiles de usuario
- Asignacin de polticas de control de trfico por usuario sin importar el
puerto fsico o Vlan
- Capacidad de integrar y autoconfigurar switches del Hospital Cisco
- Autenticacinva Radius
- Clasificacin de usuarios con base a perfiles o polticas aplicadas
- Soporte de autenticacin mediante el protocolo 802.1x
- Aplicar polticas de control sobre direcciones fsicas (MACs)

31
Estudio de mercado

En el mercado existen muchas soluciones NAC, tantas basadas en agente, sin

agente, mdulos apilables y servidores virtualizados.

En nuestro caso realizaremos en estudio con tres soluciones:

Cisco Clean Access, solucin propietaria de cisco modelo appilance

FreeNac, solucin Open Source basada en software con agente
PacketFence, solucin Open Source basada en software sin agente

Precios y coste de mantenimiento

Cisco Clean Access

Esta solucin al ser propietaria de Cisco consta de varios mdulos para ser
desplegada en un entorno productivo.

Las especificaciones tcnicas de la solucin y los componentes necesarios y

opcionales estn descritos en la siguiente url

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps8418/ps6128/product_data
_sheet0900aecd802da1b5.pdf

Si accedemos a la siguiente url de Cisco podremos saber el precio estimado de

la solucin NAC, adems deberemos tener en cuenta que para implementar
un entorno de alta disponibilidad ser necesaria la duplicidad de todos los
componentes, duplicando el coste.

URL: http://www.cisco.com/web/ES/about/press/press_home_s303.html

El precio indicado por el proveedor y de los dems componentes es:

Componente Precio
Cisco Secure Network Server 3415 7.575
Cisco Trust Agent versin 2.0 0
Cisco Access Control Server (ACS) versin 4.0 6.733
Cisco Secure Monitoring, Analysis y Response System (CS-MARS) versin 4.1 12.631

(Nota: En nuestro caso ya disponemos del mdulo ACS)

Adems habra que contratar un servicio de mantenimiento y las licencias

correspondientes, estos precios varan segn el tipo de proveedor y el nmero
de licencias necesarias.
32
Contando que necesitamos un entorno en alta disponibilidad y necesitaramos
dos dispositivos de cada mdulo el total del presupuesto es de 40500 sin
contar licencias y mantenimiento.

FreeNAC

Solucin Open Source para el control de acceso a la red. El desarrollo de esta

solucin fue congelado el 11 de Enero del 2010, nos ofrece todos los servicios
necesarios, pero al estar congelado su desarrollo no resulta funcional a largo
plazo, sobre todo para un entorno como el del Hospital en continua
expansin y cambio, pudiendo tener problemas con incompatibilidad en los
equipos por ejemplo.

PacketFence

Solucin Open source con gran apoyo de la comunidad y en continuo

desarrollo. Esta solucin nos ofrece multitud de funcionalidades explicadas y
comparadas en el apartado 4- PacketFence.

En relacin al tema del presupuesto esta solucin ofrece todas sus

caractersticas y funcionalidades a un coste de 0.

Tambin ofrece soporte tcnico comercial donde el precio vara dependiendo

de la licencia adquirida por el cliente.

En esta web podemos ver el tipo de soporte que ofrecen y el precio

dependiendo de la licencia adquirida.

http://www.packetfence.org/support/commercial_support.html

Como podemos observar la licencia bsica de soporte cuesta 550 hasta la

licencia superior con soporte 24x7 que vale 7500.

Por temas de presupuesto se descarta toda solucin que tenga coste

econmico, por lo que deberemos elegir una solucin Open Source y que
tenga un buen mantenimiento por parte de la comunidad.

33
Entre las soluciones posibles se encuentran las dos ms importantes:

PacketFence
FreeNAC

Estas dos soluciones nos ofrecen todas las caractersticas necesarias para
poder implementarse en nuestra red, la nica diferencia es que en FreeNAC
no hay desarrollo y el proyecto est parado, mientras que la solucin
PacketFence nos ofrece todos los servicios, una continua revisin de bugs y
problemas con la herramienta, adems de poder comprar una licencia de
mantenimiento en el caso de que fuera necesario.

Seleccin de la Solucin

Debido a los motivos anteriores se decide utilizar la solucin PacketFence, la

cual describiremos en otro punto con todas sus caractersticas y modo de
funcionamiento, posteriormente realizaremos una comparacin entre
PacketFence y otras soluciones a nivel funcional.

3.6- Diseo del proyecto

Teniendo en cuenta la infraestructura del hospital descrita anteriormente y el

procedimiento manual utilizado para integrar y validar mediante 802.1x los
dispositivos de los usuarios en la red, se propone una solucin basada en
PacketFence que automatice el procedimiento de validacin y configuracin
del switch.

Fases en el proceso de acceso a la red corporativa Hospitalaria:

Deteccin

El proceso de Deteccin, se realizara por medio de peticiones request entre

el equipo cliente y el switch de acceso

Autenticacin

La autenticacin de usuarios se realizara a travs del protocolo 802.1x, el cual

se validar en un servidor Radius.

Los mtodos de autenticacin que sern utilizados en esta fase sern:

34
 802.1x + MAC detection ByPass
Direccin MAC si el equipo no es compatible con 802.1X

En este caso como el hospital utiliza un directorio activo Windows server

2008, se utilizara el mtodo basado en 802.1X, con protocolo EAP-MSCHAP,
el cual autentica a los usuarios con las credenciales basadas en usuario y
contrasea del domino en vez de utilizar certificados. En apartados
posteriores se indicar la forma de integrar PacketFence con el servidor Active
Directory de Windows.

Evaluacin

Para la evaluacin de los equipos el servidor de PacketFence se encargar de

comprobar el rol asignado al usuario, con el fin de garantizar los recursos
adecuados al cliente.

Esta evaluacin se realizar por parte del servidor PacketFence verificando

que el cliente cumple todos los requisitos de seguridad sin tener que instalar
ningn agente en el cliente, una vez evaluada se determinar la poltica
asignada a su rol y la Vlan que le corresponde.

Autorizacin

La autorizacin se realizara por medio del servidor PacketFence donde

dependiendo de los resultados obtenidos se le asigna un rol de privilegios al
equipo o usuario.

Los perfiles propuestos son los descritos anteriormente: Cuarentena, bsico y

avanzado.

Remediacin

En esta fase los usuarios que han sido trasladados a la Vlan de Cuarentena, se
les mostrar un mensaje enviado por el servidor PacketFence con los motivos
por los que ha sido denegado el acceso y las acciones a tomar para poder
acceder a la red.

35
 IV. PACKETFENCE
4.1- Descripcin del Software PacketFence

PacketFence es una solucin NAC basada en cdigo abierto y gratuito. Esta

solucin nos ofrece una gran conjunto de caractersticas como por ejemplo un
portal cautivo donde los usuarios se autentiquen para su registro, gestin
centralizada tanto d dispositivos inalmbricos como por cable de red, soporte
de 802.1X, aislamiento de dispositivos a nivel de capa 2, integracin con
escneres de vulnerabilidades y deteccin de intrusos.

Adems PacketFence est preparado para dar servicio tanto a redes pequeas,
como a grandes redes heterogneas donde conviven gran diversidad de
dispositivos y puntos de accesos a la red.

4.2 Comparacin y eleccin de PacketFence respecto a otras

soluciones NAC

En el mercado hay multitud de soluciones NAC descritas anteriormente, debido a

los requerimientos para la implementacin del proyecto (aprovechamiento de
infraestructura desplegada y gasto econmico 0) compararemos tres soluciones NAC.

En este caso compararemos las funcionalidades con una solucin comercial y con
dos soluciones OpenSource

Solucin Comercial: Cisco Clean Access

Solucin OpenSource 1: FreeNac
Solucin OpenSource 2: PacketFence
Polticas por

Dispositivos

Actualizado
Integracin

Integracin
fabricantes

Edicin de
Dinmicas

Dinmicas
Fabricante

mdulos e

Deteccin
Directorio

Mquinas
Virtuales
Polticas

VMPSS
VLANs
Soporte

Soporte
interfaz

Agente
puerto

Activo

Coste
otros

Cisco Si No No Si si No No Si No Si 40500

FreeNAC Si Si Si Si No No No No Si No 0

PacketFence Si Si Si Si Si Si Si Si Si No 0
550~
7500

36
 La solucin de Cisco trabaja con una arquitectura appliance basada en hardware
para autenticaciones y para conceder acceso a los dispositivos finales, un agente que
recopila los datos en el dispositivo y un gestor para administrar las polticas. Esta solucin
sera recomendable para redes homogneas con dispositivos Cisco ya que no presentara
problemas de incompatibilidad con la electrnica de red siendo toda del mismo fabricante
Cisco. Esta solucin sera ideal por ejemplo para una entidad donde todos los dispositivos
clientes puedan ser configurados por el departamento de TI, donde sea necesario mantener
un controlexhaustivo del trfico de red y adems de que no disponga una infraestructura de
servidores lo suficientemente grande como para instalar una solucin basada en software y
tener que instalar un mdulo appilance. El punto de fallo en estas soluciones suele ser la
interfaz de salida por donde circula todo el trfico de red pudiendo congestionarse y
provocar cadas debido a la saturacin del enlace, adems si tenemos una red dispersa
geogrficamente, necesitaramos varios appliance en cada ubicacin aumentando ms el
coste del proyecto. Esta solucin basada en hardware podra ser ideal para una entidad
bancaria que necesite revisar continuamente el trfico en la red y conocer que usuarios
hacen uso de ella para detectar cdigos malicioso, virus, fallas en la seguridad, etc.

La solucin FreeNAc para poder disponer de todas sus opciones deberamos

contratar una licencia comercial, en esta comparacin hemos considerado la versin
gratuita. Actualmente esta solucin fue publicada bajo licencia GNU Public License v2
eliminando la versin comercial, pero siendo su ltima revisin en Junio de 2008 y
congelndose el proyecto en 2010. Esta solucin podra ser til para una pequea red que
no necesite alta disponibilidad, ni una gestin por parte de los administradores TI, ya que
este tipo de NAC basada en software reduce la carga de gestin para equipos de red y nos
ofrece un nivel de seguridad alta centrada en los clientes que acceden. Un ejemplo donde
implantar esta solucin podra ser una pyme con una red pequea y que necesite un
mnimo de seguridad.

La solucin PacketFence es la que mejor se adapta a nuestras necesidades ya que

nos aporta un portal cautivo para identificar los usuarios, no debemos instalar ningn
agente en los ms de cinco mil equipos desplegados, nos permite configuracin de Vlans
Dinmicas (VMPS), es capaz de detectar el tipo de dispositivo que intenta acceder a la red
(telfono, tablet, sistema operativo), integracin con deteccin de intrusos y deteccin de
vulnerabilidades con un gasto de 0 y entre 550/7500 el soporte tcnico y mantenimiento
opcional.

En resumen es preciso encontrar un equilibrio entre el coste de la solucin y la

gestin administrativa, junto al nivel de seguridad deseado para el acceso a nuestra red, es
decir equilibrio entre seguridad y usabilidad. Proporcionando mayor seguridad a nivel de
trfico de red una solucin basada en hardware pero con un alto coste administrativo y
econmico, mientras que una solucin basada en software facilita bastante la gestin
administrativa renunciando a un anlisis exhaustivo de la red.

37
4.3- Funcionalidades

PacketFence adems de proporcionarnos un acceso seguro a nuestra red, esta

solucin nos aporta varias funcionalidades extras como son:

Flexibilidad en la gestin de asignaciones Vlan, ya que podremos asignar la Vlan

por switch, por cliente, por roles o por otras condiciones mediante scripts.
Acceso a dispositivos no corporativos mediante una red de invitados,
implementando un servicio de tickets, portal cautivo y pagos en lnea si fuese
requerido.
Portales web a base de perfiles, de este modo dependiendo del tipo de rol
podremos mostrar un portal u otro el cual realice unas acciones que nos interesen
dependiendo del dispositivo que desea autenticarse.
Integracin con Snort y OpenVAS para detectar ataques o vulnerabilidades
Registro automtico de todos los dispositivos
Configuracin de la caducidad del acceso a la red, en este caso se podr limitar por
ejemplo a los proveedores que realicen una actuacin el tiempo de acceso a nuestra
red.
Monitorizacin del ancho de banda que consumen los dispositivos finales.
Flexibilidad de Autenticacin, PacketFence soporta gran cantidad de protocolos de
autenticacin como pueden ser LDAP (Microsoft Active Directory, Novell
eDirectory, OpenLDAP), RADIUS (FreeRadius, Radiator, Cisco ACS, Microsoft
NPs, etc.), ficheros locales (Apache httpasswd), OAuth2.
Alta disponibilidad del sistema
Gran cantidad de hardware soportado
Basado en estndares como: 802.1X, SNMP, Netflow, WISPR, RADIUS.
Totalmente configurable y extensible mediante su API de desarrollo y sus CSS.

38
4.4- Componentes

Pgina 6 de la Gua de Administracin PacketFence (Componentes)

http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide-4.0.6.pdf

4.5- Requisitos

PacketFence se apoya en otros componentes para su correcto funcionamiento por

lo que deberemos tener instalado previamente los siguientes componentes:

- Base de Datos MySQL (Versin Recomendada MySQL 5.1)

- Servidor Web Apache ( Versin Recomendada Apache 2.2)
- Servidor DHCP
- Servidor Radius (Versin recomendada FreeRADIUS 2.1.12)
- IDS Snort (Versin recomendada 2.8 o 2.9)
- IPS Suricata (Versin recomendada Suricata 1.4.1)

39
Requisitos mnimos de Hardware

- Intel o AMD CPU 3Ghz

- 4 Gb de RAM
- 100 Gb de espacio libre en disco (RAID-1 recomendado)
- 1 tarjeta de red
- 1 tarjeta de red para alta disponibilidad (opcional)
- 1 tarjeta d red para deteccin de intrusiones (opcional)

Requisitos mnimos de Sistema Operativo

PacketFence soporta tanto arquitectura de i386 como de x86_64 de los siguientes

sistemas operativos:

- Red Hat Enterprise Linux 6.x

- CentOS 6.x
- Debian 7.0
- Ubuntu 12.04 LTS

Servicios del Sistema

Para el correcto funcionamiento los siguientes servicios deben estar ejecutndose

correctamente:

- Servicio del servidor web (httpd)

- Servicio DHCP (dhcpd)
- Servicio RADIUS (radiusd)
- Servicios Snort/Suricata IDS (snort/suricata)
- Firewall (iptables)

4.6- Modos de funcionamiento

PacketFence puede ser desplegado en tres modos de funcionamiento:

- Out-of-Band
- In-Band
- Modo Hibrido

Out-Of-Band

Este modo de funcionamiento es utilizado en las infraestructuras de red que

soportan Vlans, siendo este mtodo ms escalable y ms resistente a fallos.

En este modo el servidor de PacketFence se encargar de realizar las

comprobaciones de polticas, accesos a la red, consultas a servidores de autenticacin, etc.

Este es el modo ms usado hoy en da debido a que muchas de las arquitecturas de

red profesional disponen de electrnica de red compatible con este modo de
funcionamiento.

40
In-Band

Este modo de funcionamiento es utilizado en redes con switches antiguos o no

gestionables. Desde la versin 3.0 de PacketFence se implementa el modo In-Line donde
el servidor PacketFence se convertir en la puerta de enlace de la red In-Line donde se
conectaran todos los dispositivos incompatibles. Adems el servidor de PacketFence usar
tcnicas de NAT4

Este modo tiene varias limitaciones e inconvenientes como son:

- Todos los dispositivos de esta red estn en la misma LAN de Capa 2, vindose
afectado por temas de broadcast en el caso de multitud de dispositivos.
- Cada paquete enviado por los dispositivos debe pasar por el servidor de
PacketFence, por lo que aumentar la carga de trabajo en el servidor.
- Al trabajar con IPset solo puede tener 65536 entradas por lo que no se permite
trabajar con una red superior a la Clase B
- Dispositivos de red sin autenticar

Modo Hibrido

Este modo de funcionamiento solventa el problema de autenticacin del modo In-

Line, ya que soporta el modo de autenticacin 802.1x y autenticacin por MAC

Desde la versin 3.6 de PacketFence, es posible autenticar dispositivos mediante

RADIUS a travs de 802.1x o Autentificacin por MAC.

4.7- Gua de instalacin y configuracin

Seguiremos la gua de instalacin del aplicativo, lo podremos encontrar en la

siguiente direccin:
http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_
Guide-4.0.6.pdf

En esta se explica el proceso de instalacin y configuracin de la solucin de forma

detallada. En nuestra caso realizaremos un resumen para una instalacin bsica de
PacketFence bajo Ubuntu 12.04 LTS

Instalacin

En primer lugar deberemos aadir el repositorio de PacketFence, para ello creamos

un fichero en el siguiente directorio /etc/apt/sources.list.d/packetfence.listcon el siguiente
contenido:

deb http://inverse.ca/downloads/PacketFence/ubuntu precise precise

4
NAT: (Network AddressTranslation) Mecanismo para traducir direcciones de red incompatibles.

41
 Una vez el repositorio est definido procederemos a instalar todas las dependencias
de PacketFence y servicios externos (base de datos, servidor DHCP, servidor RADIUS)

sudo apt-key adv --keyserver keys.gnupg.net --recv-key 0x810273C4

sudo apt-get update
sudo apt-get install packetfence

En el caso que implementemos el modo In-Line ser necesario instalar el modulo

ipset adems de recompilar el Kernel de Linux. Con el siguiente comando realizaremos
todas las acciones necesarias:

sudoapt-getinstallxtables-addons-sourcextables-addons-common
sudo module-assistant auto-install xtables-addons

Configuracin

Una vez realizada la instalacin ser necesaria la configuracin de la aplicacin en

varios pasos. PacketFence incorpora una aplicacin basada en entorno web la cual nos
permitir paso por paso configurar nuestra NAC.

Para acceder a la aplicacin de configuracin solo tendremos que acceder a la

siguiente url: https://Direccion_IP_PacketFence:1443/configurator

Una vez dentro de la aplicacin la configuracin se realiza en seis pasos:

1- Seleccin del mtodo de funcionamiento, pudiendo elegir en modo Vlans (Out-

ofBandwitch), en modo In-Line, o en modo hibrido.

2- Configuracin de la red, en este punto indicaremos las interfaces por las que el
servidor PacketFence recibir las peticiones y en cuales se aplicaran las
diferentes tcnicas de funcionamiento.

42
 3- Configuracin de la base de datos, en este paso PacketFence crear la estructura
correcta de tablas y referencias, adems de la creacin de un usuario para la
administracin de la base de datos.

43
 4- Configuracin general de PacketFence tales como el dominio donde estar
integrado el sistema, nombre de mquina, definicin servidor DHCP, correo de
alerta.

5- Creacin usuario administrador para acceder a la administracin web de los

servicios proporcionados por PacketFence.

44
 6- Comprobar el estado de la NAC y arranque de los servicios

4.8- Incompatibilidad de equipos

PacketFence soporta gran cantidad de hardware, en nuestro caso todos los dispositivos de
red son del fabricante Cisco teniendo en su totalidad tres tipos de modelos: 2950, 2960 y
3750 para la capa de acceso y 4500- 6500 para la capa de distribucin y ncleo.

PacketFence soporta los switches cisco que utilizan los siguientes tipos de traps5:

Link Up/Link Down

Notificacin MAC
Seguridad de Puerto

En modelos ms recientes se implementa una seguridad ms robusta como:

Autenticacin por MAC
802.1x (Multi-host o Multi-Dominio)

Los nicos equipos que disponemos en nuestra red y no soportan autenticacin 802.1x son
los switchs Cisco 2950 y tampoco la asignacin dinmica de Vlans.

Tambin se ha comprobado que PacketFence es compatible con las controladoras Wifi

instaladas en el Hospital Sanitario, para en una segunda fase aplicar el NAC a todos los
dispositivos que se conecten de forma inalmbrica.

5
Trap: Paquete generado por el agente SNMP para informar de algn cambio de estado o informar algn
dato

45
4.9- Arquitectura del sistema

Pgina 5 de la Gua de Administracin PacketFence (Integracin en la red)

http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide-4.0.6.pdf

En esta figura se presenta como PacketFence puede trabajar a travs de una WAN,
teniendo definidas en cada parte de la red donde opera PacketFence indicadas con el color
naranja y rojo (vlans de registro y aislamiento), mientras que la infraestructura original de
nuestra red est representada en color verde (Vlan de datos y voz). Mostrando adems un
dispositivo conectado a cada una de ellas, representando el proceso de registro, aislamiento
y acceso a la red.

Cuando un dispositivo ya sea un PC de escritorio, un porttil o un telfono mvil accede a

la red se le concede mediante DHCP una direccin IP de la VLAN de Registro para
obtener conectividad hacia el servidor de PacketFence, dependiendo del tipo de
configuracin realizada en los switches, el cliente realizar un tipo de autenticacin, por
ejemplo 802.1x o MAC, una vez autenticado el dispositivo, se autoconfigurar el puerto
donde est conectado hacia la VLAN que corresponda, en el caso de que la autenticacin
sea fallida o que no cumpla los requisitos de seguridad, el puerto ser configurado en la
VLAN de cuarentena, donde el dispositivo obtendr otra direccin IP y adems se le
mostrar en pantalla los motivos por los que su equipo no ha conseguido el acceso a la red
y la forma de solventarlos.

46
4.10- Presupuesto del diseo y despliegue de PacketFence

Como hemos indicado anteriormente PacketFence es una solucin OpenSource y tiene un

coste 0, pero debemos incluir el coste tanto humano como de hardware en la
implementacin.Tambin incluiremos el soporte de mantenimiento, eligiendo la versin
Platinium ya que en esta modalidad los desarrolladores nos ofrecen solucin a los bugs
detectados en nuestra implementacin.

Tabla de costes:

Recurso Precio
PacketFence 0
Mantenimiento PacketFence 1 ao Versin: Platinum 7.500
Maquina Virtual requisitos hardware Recomendados Servidor 1 500
Maquina Virtual requisitos hardware Recomendados Servidor 2 500
Tcnico Asignado implantacin proyecto 2 meses 3.000

Total 11500

Para que el proyecto sea viable acorde al presupuesto y ajustndolo a un gasto de 0

podremos reducir los siguientes gastos:
Mantenimiento de PacketFence a la versin Bronce con un gasto de 550
anuales o directamente descartar el mantenimiento 0
Uso de dos mquinas virtuales desplegadas en la plataforma VMware coste 0
Utilizar un tcnico de sistemas ya contratado por el hospital, asignndole el
despliegue del proyecto, coste 0 para este proyecto.

De este modo sera viable la implantacin ajustada al presupuesto inicial aportado por la
Direccin de Sistemas de la Informacin.

Aun as sera recomendable la contratacin de un mantenimiento mnimo de PackeFence

para evitar futuros fallos y poder contactar con el proveedor en caso de avera.

Se recomienda una propuesta desde la Direccin de Sistemas de la Informacin al

departamento de Gestin y Compras, para solicitar un presupuesto de 1100 y poder
contratar un soporte de 2 aos para el mantenimiento de la aplicacin y soporte en caso de
problemas.

47
4.11- Valoracin y Riesgos implementacin PacketFence

PacketFence respecto a las dems soluciones comentadas anteriormente se

convierte en nuestra mejor opcin debido a la gran cantidad de funciones que
nos aporta y a la fcil administracin de los nodos conectados.

Uno de los problemas con el que nos hemos topado es la complejidad de

integracin en la red productiva y los problemas de interrupcin de servicio a
la hora de instalar y configurar dicha solucin.

Debemos tener en cuenta que el entorno productivo debe estar disponible al

100% dada su criticidad y no es posible realizar por ejemplo reinicios
constantes del servidor por motivos de mantenimiento, problemas de
rendimiento, bloqueos inesperados, etc.

Por lo tanto la integracin de una solucin como esta tiene una criticidad
mxima, ya que el fallo de cualquiera de sus componentes pueda afectar a toda
la infraestructura de red y producir una cada completa del servicio, por
ejemplo:

- Cada del servidor RADIUS, donde todos nuestros clientes perderan la

autenticacin y nadie podra acceder a la red.
- Cada del servidor DHCP, donde los equipos no obtendran direccin
IP siendo imposible el establecimiento de la conexin.
- Bloqueo del servidor PacketFence, impidiendo administracin de
polticas, roles, bloqueos de usuarios, congestin de red a causa del
trfico generado.

Debido a esto el sistema debe ser implementado con una alta disponibilidad y
redundancia en todos sus servicios, adems de implementar una
monitorizacin completa (servicios, hardware, sistema), para disminuir al
mnimo el tiempo de actuacin en caso de fallo.

Adems debemos tener en cuenta que la solucinest basada en una

distribucin OpenSource y contiene bugs que estn siendo resueltos por la
comunidad y lanzando revisiones peridicamente con las soluciones de los
problemas detectados, tambin debemos tener en cuenta que esas nuevas
revisiones pueden incluir nuevos bugs, por lo que una vez implantada la
solucin y siendo funcional al 100%, habr que realizar una actuacin especial
cada vez que se decida actualizar PacketFence y los motivos por los que se
realiza, donde tendremos en cuenta: tiempos de actuacin, plan de
contingencia en caso de fallo, informacin a los usuarios y aprobacin por
parte de la Direccin de Sistemas de la Informacin.

48
V. IMPLEMENTACION DEL
PROYECTO
5.1- Implementacin

Para la implementacin de este aplicativo simularemos una pequea red donde

comprobaremos el funcionamiento del software y la configuracin bsica para el objetivo
del proyecto el cual consiste en conseguir un acceso controlado a la red y una
autoconfiguracin dinmica de las Vlans asignadas al dispositivo en funcin de la MAC,
pudiendo mantener una configuracin dinmica sobre todo en los equipos de proveedores
y de electromedicina los cuales deben ir a una Vlan especial diferente a la de usuarios.

Una vez comprobado el funcionamiento del software en un laboratorio aislado,

procederemos a instalar el aplicativo en un servidor virtual administrado mediante una
consola VMWare ESX 5.0, configurado con varias interfaces de red, una para la gestin dar
los servicios necesarios para el correcto funcionamiento, una para la red de registro, otra
para la red de aislamiento y otra como red normal.
En este paso se crearan y propagaran las Vlans necesarias en la capa de ncleo,
distribucin y switches de acceso.

Una vez comprobado el funcionamiento se implementar una solucin de alta

disponibilidad mediante dos servidores, creando una redundancia Activo-Pasivo,
situando cada servidor en un CPD para evitar tambin problemas fsicos tales como cadas
de corriente, cada de sistemas, etc.

Para ello nos apoyaremos en otra aplicacin Opensource de Linux llamada

Heartbeat, la cual implementar una direccin IP virtual y tendr comunicacin con los
dos servidores, cambiando de un servidor a otro si detecta una cada del servidor activo.
Para esta implementacin tambin deberemos crear una base de datos distribuida en la cual
debern apoyarse los servidores, siguiendo las indicaciones incluidas en la gua de
PacketFence.

Una vez instalados los dos servidores en modo clster, configurada la base de datos
en modo distribuido y propagadas las Vlans necesarias y realizadas las pruebas de
conectividad se proceder a la puesta en produccin seleccionando varios dispositivos del
hospital para comprobar que el sistema funciona correctamente y no afecta al servicio
normal de la red.

49
5.2- Fase 1: Laboratorio de pruebas

En esta fase utilizaremos los siguientes dispositivos:

Switch Cisco Catalys 2960G (Actualizamos al IOS recomendado 12.2(58)SE1)

Porttil con Windows 7
Pc con Windows 7
Distribucin Live ZEN de PacketFence
Conexin ADSL

El mtodo que ms nos interesa para el mtodo de autenticacin y configuracin de las

Vlans Dinmicas es el mtodo 802.1x con bypass autenticacin MAC, con este mtodo se
realizar la autenticacin contra el servidor RADIUS, el cual nos conceder el acceso
adems de enviar las ordenes necesarias para auto-configurar el switch.

5.2.1- Diagrama de conectividad

50
 En el laboratorio conectaremos el servidor PacketFence al puerto G0/21 del
switch en modo trunk6, configuraremos el switch con los comando descritos en la gua
de configuracin de switches incluida en PacketFence y configuraremos varias interfaces en
todas las Vlans para comprobar conectividades y en modo MAC bypass para comprobar la
asignacin dinmica de vlans.

Direccionamiento para el laboratorio

Interfaz Vlan Red Gateway Descripcin

eth0 1 172.21.33.0/24 172.21.33.1 Gestin
eth0.2 2 192.168.2.0/25 192.168.2.1 Registro
eth0.3 3 192.168.3.0/25 192.168.3.1 Cuarentena
eth0.4 4 Deteccin de Mac
eth0.5 5 192.168.5.0/25 192.168.5.1 Invitados

IP switch Catalyst 2960G: 172.21.33.203 / 24

6
Trunk: Funcionamiento en modo etiquetaje de trama basada en el protocolo de encapsulacin 802.1Q.
Este protocolo aade 4 bytes al encabezado Ethernet indicando a la Vlan que pertenece la trama
Ethernet.

51
5.2.2- Instalacin y configuracin software

Descargamos de la web de PacketFence la distribucin ZEN (Zero Effort NAC), la

cual consta de una distribucin Live de CentOs con PacketFence instalado y todas las
dependencias necesarias para el correcto funcionamiento de todo el sistema.

Adems seguimos la configuracin recomendada en la gua de simulacin:

http://www.packetfence.org/downloads/PacketFence/doc/PacketFenceZEN_Installatio
n_Guide-4.0.6.pdf

Para crear el dispositivo autoarrancable usaremos el programa: win32diskimager-v0.97

Pulsaremos el botn Write y tendremos un usb autoarrancable con la distribucin

en modo Live8.

5.2.3- Configuracin de PacketFence

Una vez arrancado el sistema y conectado el servidor al switch en modo TRUNK,

accederemos al configurador de PacketFence, donde definiremos el modo de
funcionamiento, las interfaces de red, contraseas de administracin y servicios a ejecutar.

Para ello accederemos mediante navegador web a la direccin

https://ip_packetfence:1443 , esta direccin IP corresponder a la IP de gestin que
utilizaremos para dar servicio a nuestra red.

Los pasos a seguir para la interfaz web estn explicados en la seccin anterior 4.7-
Guia de instalacin y configuracin

En el primer paso seleccionaremos el modo de funcionamiento, en nuestro caso

probaremos solo el modo: Out-Of-Band Vlan Enforcementent ya que en el
despliegue en produccin solo aplicaremos la solucin a dispositivos gestionables
con 802.1X y con soporte MAB (Mac bypass).
7
Descarga de Win32Diskimager:http://sourceforge.net/projects/win32diskimager/files/latest/download
8
Live: Arranque del sistema Operativo en memoria RAM, sin necesidad de instalacin en
almacenamiento fsico como un disco duro.

52
 En el segundo paso definiremos las direcciones de red y las interfaces del sistema
donde el DHCP del servidor ofrecer servicio para los dispositivos que deseen
acceder a la red. Aplicaremos la configuracin establecida en la tabla descrita en el
apartado 5.2.1- Diagrama de conectividad

En el tercer paso estableceremos la contrasea, crearemos el esquema de la base de

datos y un usuario para que PacketFence realice conexiones.

En el cuarto paso definiremos el dominio local y el nombre del host que

identificar el servidor ser PacketFence.

En el ltimo paso se iniciaran todos los servicios y accederemos a la interfaz de

gestin

53
5.2.4- Configuracin switches

Realizamos la actualizacin del switch Catalys 2960G a la versin recomendada por

los desarrolladores:

http://www.packetfence.org/documentation/pod/SNMP/Cisco/Catalyst_2960.html

En nuestro caso nos interesa realizar la autenticacin utilizando el mtodo 802.1x +

MAC bypass, para ello introduciremos los siguientes comandos:

En la configuracin global del switch

dot1x system-auth-control

En este apartado activamos en el switch el suplicante 802.1x

Grupos AAA y Configuracin

aaa new-model
aaa group server radius packetfence
server 172.21.33.200 auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence

En este apartado crearemos el grupo del servidor RADIUS llamado PacketFence

y le indicaremos al switch que para la autenticacin 802.1x y los cambios de red utilice el
servidor RADIUS definido en el grupo PacketFence

Configuration del Servidor Radius

radius-server host 172.21.33.200 auth-port 1812 acct-port 1813

timeout2 key 1234567
radius-server vsa send authentication

En este apartado se define la clave que utilizar el switch para conectar con el
servidor RADIUS.

Configuracin de cada interfaz en modo 802.1X+MAB (Mac Atuhentication

ByPass)

switchport mode access

authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200

54
 mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 3

Aadimos el switch al servidor de PacketFence

Aadimos IP de gestin del switch, modelo y descripcin.

Aadimos clave compartida para la autenticacin RADIUS

55
 Indicamos a PacketFence que Vlans del switch sern utilizadas para el registro,
aislamiento y normal. Adems de configurar las comunidades SNMP

5.2.5- Batera de pruebas

En primer lugar configuraremos una interfaz en cada una de las Vlans creadas para
comprobar que existe conectividad realizando un ping hacia el Gateway de cada
subinterfaz.

Configuracin Switch

56
 Conectamos dos equipos uno en la interfaz G0/2 configurada en la Vlan 2 y otro
equipo a la interfaz G0/3 configurada en la Vlan 3 y comprobamos que obtenemos IP
mediante DHCP

PC1

PC2

Se comprueba que no hay visibilidad entre Vlans realizando pings hacia otro
dispositivo de otra Vlan y comprobamos que hay visibilidad con la puerta de enlace y con
el servidor PacketFence y la interfaz de gestin 172.21.33.202

Ping del PC1 a su puerta de enlace y al servidor PacketFence

Ping entre Pc1 y Pc2

57
 Para comprobar el funcionamiento configuraremos una interfaz con los comandos
necesarios para que funcione en modo 802.1X+MAB, en nuestro caso la interfaz G0/1

Si todo funciona correctamente PacketFence nos dar una direccin IP mediante

DHCP, en este caso de la Vlan de Registro una vez se haya validado con el servidor
RADIUS.

(En nuestro caso tenemos el problema de que el equipo no valida contra el servidor
RADIUS y detecta que el servidor est muerto, cuando en realidad est dando servicio)

Suponiendo que se ha realizado correctamente la validacin:

Abriremos un navegador web y accederemos a cualquier web, en ese momento

seremos redireccionados a la web de registro de PacketFence.

Introduciremos usuario/contrasea para obtener acceso

58
 Como el dispositivo no puede validar con el servidor RADIUS no se produce la
autenticacin, ni el cambio de Vlan, por lo que no obtenemos conectividad

Podremos comprobar cmo PacketFence cambia la configuracin del puerto a la

Vlan Normal, podremos ver el registro en el fichero /usr/local/pf/logs/packetfence.log
En este caso podremos ver la concesin de DHCP y el problema de conexin hacia
el switch.

Concesin DHCP

Error contactar con Switch

59
5.2.6- Resultados obtenidos y Problemas durante la implementacin

En estos momentos en la implementacin del laboratorio hemos tenido problemas

de visibilidad del servidor de PacketFence en la Vlan de gestin desde el switch.

Hemos conseguido que nos asigne por DHCP las direcciones correspondientes a
las Vlans de registro y de aislamiento, pero a la hora de realizar la autenticacin RADIUS,
el dispositivo no es capaz de alcanzar el servidor (ni deshabilitando el firewall).

Por lo que creo que debe ser algn problema con el etiquetaje de las tramas en
802.1q o bien de algn mdulo de Ubuntu que presenta problemas al trabajar con
subinterfaces de red.

Tambin es posible algn problema con el servidor FreeRADIUS y la

configuracin por defecto para aceptar peticiones, ya que los dispositivos configurados en
las Vlans de registro y de aislamiento obtienen direccin IP mediante DHCP (siendo la
misma IP).

5.3- Fase 2: Puesta en Pre-Produccin

Para la puesta en pre-produccin desarrollaremos todas las configuraciones

necesarias en la red de produccin pero sin aplicar la configuracin a ningn switch de
acceso.

En esta fase se crearan las Vlans de registro y aislamiento, adems de su

propagacin en la infraestructura de la red.

Se realizar la instalacin de PacketFence en dos servidores virtualizados que

trabajaran en modo Activo-Pasivo, proporcionando un entorno de Alta disponibilidad.

5.3.1- Diagrama de conectividad

Packetfence01: 172.21.111.111
Packetfence02: 172.21.111.112
Ip_Virtual-Cluster: 172.21.111.113

60
 Interfaces en elservidor

5.3.2- Configuracin de PacketFence en Alta disponibilidad

Debido a la criticidad del sistema implementaremos una redundancia de servicios.

Para ello nos apoyaremos en el software HEARTBEAT, el cual crea un demonio

que proporciona servicios de clster a los clientes, monitorizando los servicios o procesos
en las maquinas pudiendo detectar la cada o restablecimiento de un servicio y mediante
mensajes redirigir todas las peticiones hacia otra mquina que presente los mismos
servicios. Para realizar este cambio el demonio heartbeat se usa en combinacin con un
gestor de recursos de clster (CRM), el cual se encarga de iniciar y parar servicios a los
cuales el clster aportar alta disponibilidad. Pacemaker suele ser el gestor de recursos ms
utilizado para los clster creados con hearbeat.

PacketFence almacena mucha informacin en la base de datos MySQL, por lo que

los dos servidores de PacketFence debern compartir su base de datos.
Para ello hay varias formas:
- Una base de datos MySQL local en cada PacketFence configurando el
almacenamiento de las bases de datos montada en una ubicacin remota como una
SAN ( en este caso habra que tener especial cuidado en que solo una base de datos
puede estar ejecutndose)
- Una base de datos en cada servidor PacketFence replicadas en tiempo real, situadas
en una particin usando DRBD (Distributed Replicated Block Device), el cual crea
un entorno de almacenamiento en red basado en RAID-1
- Una base de datos remota en alta disponibilidad donde puedan acceder los dos
servidores.

Como en nuestro caso queremos proporcionar una disponibilidad casi del 100% y
queremos redundar todos los servicios optaremos por la segunda opcin y crearemos un
sistema de almacenaje en red mediante DRBD.

61
5.3.2.1- Creacin particin DRBD en cada servidor

Necesitaremos en cada servidor un espacio mnimo de 30G, por lo que

redimensionaremos los servidores creando una nueva particin mediante el comando fdisk

Para crear la particin hemos seguido el tutorial siguiente:

http://rm-rf.es/crear-y-eliminar-particiones-con-fdisk-en-linux/

5.3.2.2- Instalacin DRBD

Instalamos el paquete DRBD

Sudo apt-get install drbd8-utils drbdlinks

Cargamos en el kernel el mdulo de DRBD

Modprobe drbd

Editamos el fichero de configuracin situado en /etc/drbd.conf con los datos de

nuestro servidores PacketFence y las particiones realizadas en nuestro caso /dev/sda3

global {
usage-count yes;
}
common {
protocol C;
}
resource Particion2 {
syncer {
rate 100M;
al-extents 257;
}
startup {
degr-wfc-timeout 120; # 2 minutes.
}
disk {
on-io-error detach;
}
device /dev/drbd0;
disk /dev/sda3;
meta-disk internal;
on ServidorPacketfence1 {
address 172.21.33.111:7788;
}
on ServidorPacketFence2 {
address 172.21.33.112:7788;
}
}

62
 Inicializacin de la particin en red

[root@packetfence1 ~]# drbdadm create-md particion2

Writing meta data...
initializing activity log
NOT initialized bitmap
New drbd meta data block successfully created.
success

Inicializacin del servicio en los servidores

# /etc/init.d/drbd start

Para forzar la sincronizacin de los dos servidores ejecutaremos el siguiente

comando

# drbdadm --overwrite-data-of-peer primary particion2

Una vez sincronizados los dos servidores crearemos el sistema de ficheros de la

unidad de almacenamiento en red la cual llamaremos drbd0

# mkfs.ext3 /dev/drbd0

Nos aseguraremos que el servicio DRBD se ejecute automticamente al inicio del

sistema, para evitar problemas en casos de cadas del servidor o reinicios controlados

# chkconfig --level 2345 drbd on

(previamente en el servidor hemos instalado el servicio de chkconfig que nos permite

gestionar los servicios de arranque en el sistema de una forma simple, para ello hemos
introducido el siguiente comando: apt-get install chkconfig)

5.3.2.3- Configuracin MySql

Una vez configurada nuestra particin en red compuesta por los dos servidores de
PacketFence, configuraremos la base de datos MySQL de modo que se monte sobre esta
nueva particin.

Para ello deberemos de seguir los siguientes pasos:

En el servidor maestro de PacketFence (el que dar servicio), debemos de indicarle

a DRBD que ese ser el nodo primario.

root@packetfence1# drbdadm primary particion2

comprobamos que se ha conectado correctamente visualizando el proceso

/proc/drbd

0: cs:Connected ro:Primary/Secondary ds:UpToDate/UpToDate C r----

63
ns:145068 nr:4448 dw:149516 dr:10490 al:31 bm:14 lo:0 pe:0 ua:0 ap:0 ep:1
wo:d oos:0

Una vez seleccionado como nodo primario esa particin del servidor 1,
montaremos la base de datos MySQL en la particin de red

# mount /dev/drbd0 /var/lib/mysql

Iniciaremos el servicio

# service mysqld start

El sistema incorpora un script para eliminar las bases de datos de test , usuarios
annimos y reseteo de la contrasea de administrador. Podemos ejecutarlo para optimizar
nuestra base de datos

# /usr/bin/mysql_secure_installation

En este caso deshabilitaremos el arranque automtico de MySQL ya que se

encargar el demonio HEARTBEAT de controlar el arranque de la base de datos.

5.3.2.4- ConfiguracinHeartBeat

Realizamos la instalacin del software mediante el siguiente comando

sudo apt-get install heartbeat-2

Una vez realizada la instalacin editaremos el fichero de configuracin situado en

/etc/ha.d/ha.cf

bcast eth2
bcast eth3
keepalive 2
warntime 30
deadtime 60
auto_failback off
initdead 120
node packetfence1.ejemplo
node packetfence2.ejemplo
use_logd yes

Indicamos que las interfaces eth2 (vlan registro) y eth3(Vlan Cuarentena) son las
conexiones que queremos tener redundadas por si cae alguna interfaz en el PacketFence, ya
que estas dos Vlans son las ms importantes.

Aadimos el siguiente contenido al fichero /etc/ha.d/haresources, donde

indicaremos que servicios queremos que estn redundados en cada nodo.

packetfence1.ejemplo Ipaddr2::172.21.111.113IfUp::eth2.y IfUp::eth3.

drbddisk::mysqlFilesystem::/dev/drbd0::/var/lib/mysql::ext3 mysqldpacketfence

64
 Donde Ipaddr2 sera la IP virtual que dara servicio a nuestro servidor de
PacketFence y por donde accederan todos los clientes.
IfUp: eth2 y eth3 comprobara el estado de las interfaces si estn en lnea o
desconectadas
La ltima lnea comprueba que la base de datos este en el fichero distribuido y que
el servicio de Mysqly PacketFenceest en funcionamiento.

Para que el servicio Heartbeat pueda controlar las interfaces de red deberemos crear
el siguiente script en la ruta /etc/ha.d/resource.d/IfUp

case "$2" in
start)
echo -n "Mounting $1"
/sbin/ifup $1
echo "."
;;
stop)
echo -n "Unmounting $1"
/sbin/ifdown $1
echo "."
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
;;
esac

Proporcionar permisos de ejecucin

# chmod 755 /etc/ha.d/resource.d/IfUp

Crear claves de autenticacin en /etc/ha.d/authkeys

auth 1
1 sha1 10b245aa92161294df5126abc5b3b71d

Y cambiar los permisos de ejecucin

# chmod 600 /etc/ha.d/authkeys

Nota: El Puerto 694 debe estar abierto en los dos servidores ya que es el Puerto de
mensajera de Heartbeat.
Iniciar el servicio en ambos servidores y configurar el inicio automtico del servicio

# chkconfig --level 345 heartbeat on

# service heartbeat start

5.3.2.5- Alta disponibilidad servidor RADIUS

65
 Para configurar el servidor RADIUS en alta disponibilidad deberemos modificar la
configuracin de los dos servidores RADIUS situados en cada servidor PacketFence y
aadirles la nueva IP virtual asignada al clster y aadir al Heartbeat el servicio que vamos a
redundar.

Modificamos el fichero /usr/local/pc/conf/radiusd/radiusd.conf en la seccin

ipaddr con nuestra IP virtual del clster (172.21.111.113)

listen {
type = auth
ipaddr = 172.21.111.113
port = 0
}
listen {
type = acct
ipaddr = 172.21.111.113
port = 0
}

Ahora aadiremos el servicio Radius en la configuracin del Heartbeat

(/etc/ha.d/haresources)

packetfence1.ejemplo Ipaddr2::172.21.111.113IfUp::eth2.y IfUp::eth3.

drbddisk::mysqlFilesystem::/dev/drbd0::/var/lib/mysql::ext3
mysqldpacketfenceradiusd

De este modo tendremos en alta disponibilidad todos los Servicios crticos de

PacketFence asegurando una disponibilidad del 100% en caso de la cada en algn servicio.

5.3.3- Configuracin switches/Core/distribuidores

Para la capa 2 de comunicacin crearemos las siguientes Vlans en los cores de

produccin.

Vlan Registro: ID 3500 Nombre pfreg

Vlan Cuarentena: ID 3501 Nombre pfais
Vlan Invitados: ID 3502 Nombre pfinv

66
 Se han seleccionado Vlans superiores del 1024 para asegurarnos que no son
trasmitidas por el protocolo VTP el cual propaga todas las Vlans automticamente por la
red, ya que no nos interesa el despliegue completo en todos los switchs de nuestra red.
Esto nos servir para prevenir por ejemplo la eliminacin de alguna Vlan por error en algn
switch y que este error se propague por toda nuestra red.

El siguiente paso ser la propagacin de las Vlans desde la capa de ncleo hasta la
capa de acceso por todos los switches en los que vaya a implementar el acceso va
PacketFence. Esta propagacin se realiza tambin por precaucin, ya que los enlaces Trunk
transportan todo el trfico de Capa 2 de todas las Vlans, por lo que solo permitiremos
pasar el trfico de las Vlans dependiendo del tipo del cliente que se conectar al switch,
evitando sobrecargar los enlaces con exceso de trafico innecesario.

Por lo que para nuestra puesta en pre-produccin solo propagaremos las Vlans
entre el servidor de PacketFence y el switch donde realizaremos las pruebas.

Esta propagacin se realizar tambin hacia en el servidor pasivo.

Una vez creadas todas las Vlans y propagadas, podremos configurar los switches de
acceso.

Para los switches de acceso como hemos comentado en el laboratorio de pruebas,

el mtodo que nos interesa en nuestro caso sera la autenticacin 802.1x+MAC Bypass

Donde nuestro servidor RADIUS ser la IP virtual creada por Heartbeat.

67
 En la configuracin global del switch

dot1xsystem-auth-control

En este apartado activamos en el switch el suplicante 802.1x

Grupos AAA y Configuracin

aaa new-model
aaa group server radius packetfence
server172.21.111.113auth-port 1812 acct-port 1813
aaa authentication login default local
aaa authentication dot1x default group packetfence
aaa authorization network default group packetfence

Configurationdel Servidor Radius

radius-server host 172.21.111.113auth-port 1812 acct-port 1813 timeout

2 key 1234567
radius-servervsasendauthentication

Configuracin de cada interfaz en modo 802.1X+MAB (Mac

AtuhenticationByPass)

switchport mode access

authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 10800
authentication timer reauthenticate 7200
mab
nosnmp trap link-status
dot1xpae authenticator
dot1x timeout quiet-period 2
dot1x timeouttx-period 3

5.3.4- Integracin LDAP con PacketFence

La implementacin de autenticacin mediante LDAP nos ser de gran inters para

facilitar la gestin administrativa de los usuarios, pudindose autenticar en el portal cautivo
cada usuario que est dado de alta en el Hospital, pudiendo as controlar tambin los
accesos del usuario, en que dispositivos inicia sesin y aplicarle reglas de acceso en el caso
que fuese necesario, por ejemplo por un consumo excesivo del ancho de banda.

Para integrar este servicio deberemos instalar y configurar los siguientes mdulos:

- Samba
- Kerberos
- Winbind

68
En primer lugar deberemos activar el modo de autenticacin explicado en el apartado
2.4.6- CHAP, para ello modificamos el siguiente fichero activando su uso

/usr/local/pf/raddb/modules/mschap

mschap {
use_mppe = yes
require_encryption = yes
require_strong = yes
with_ntdomain_hack = yes
ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --
username=%{%{Stripped-
User-Name}:-%{mschap:User-Name:-None}} --
challenge=%{mschap:Challenge:-00} --ntresponse=%{
mschap:NT-Response:-00}"
}

Para instalar Samba, Kerberos y Windind en Ubuntu

apt-get install samba winbind krb5-user

Una vez instalado Samba, aadiremos nuestros servidores Active Directory de

produccin al fichero /etc/hosts del servidor de Packetfence para que el servidor conozca
cuales son los servidores, en nuestro caso:

CSCDC1.csc.es
CSCDC2.csc.es
CSCDC3.csc.es
CSCDC4.csc.es

Tenemos 4 servidores replicados los cuales tienen el rol de Autenticacin de usuarios y

DNS del hospital

Para configurar nuestro dominio en Kerberos editaremos el fichero /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = CSC.ES
ticket_lifetime = 24h
forwardable = yes
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

69
 El siguiente paso ser configurar Samba editando /etc/samba/smb.conf aadiendo
nuestro dominio en la configuracin global.

[global]
workgroup = DOMAIN
server string = Samba Server Version %v
security = ads
realm = CSC.ES
password server = 172.21.111.111
domain master = no
local master = no
preferred master = no
winbind separator = +
winbindenum users = yes
winbindenum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes
templatehomedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
log file = /var/log/samba/log.%m
max log size = 50

Para verificar el funcionamiento de Kerberos

# kinitadministrator
# klist

Despus, iniciamos Samba y unimos el servidor a nuestro dominio CSC.es

# servicesmb start
# chkconfig --level 345 smb on
# netadsjoin -U administrator

Una vez aadida la maquina la dominio iniciamos el servicio winbind y lo aadimos

a los servicios automticos en el inicio del sistema, importante a la hora de reinicios o
problemas con el servidor.

# servicewinbind start
# chkconfig --level 345 winbind on

Comprobamos la autenticacin con Active Directory

# chgrppf /var/run/samba/winbindd_privileged/
# ntlm_auth --usernamedgutier
# radtest -t mschap -x dgutier Contrasealocalhost:18120 12
testing123
Sending Access-Request of id 108 to 127.0.0.1 port 18120
User-Name = "dgutier"
NAS-IP-Address = 172.22.2.1 (cscdc1.csc.es)
NAS-Port = 12

70
 Message-Authenticator = 0x00000000000000000000000000000000
MS-CHAP-Challenge = 0x79d62c9da4e55104
MS-CHAP-Response =
0x000100000000000000000000000000000000000000000000000091c843b420f0dec4
228ed2f26bff07d5e49ad9a2974229e5
rad_recv: Access-Accept packet from host 127.0.0.1 port 18120, id=108,
length=20

5.3.5- Batera de pruebas

- Comprobamos que las Vlans estn configuradas y propagadas en todo el circuito

- En el entorno de pre-produccin se realiza la instalacin correctamente del
software pero encontramos varios problemas para iniciar los servicios:
Nos da un error al ejecutar el arranque, investigando por internet localizamos el siguiente
Bug:http://www.packetfence.org/bugs/view.php?id=1716
Seguimos las indicaciones y conseguimos que arranque el servicio.

Una vez accedemos a la interfaz web de configuracin en el paso 2 donde debemos

configurar las interfaces, nos da un error al aadir el gateway y no nos deja continuar,
despus de revisar varias listas de correos de PacketFence vemos que existe problemas con
la implantacin en entornos virtuales.

Las comprobaciones realizadas en el servidor para descartar algn problema de

comunicacin han sido las siguientes:

- Comprobacin conectividad hacia la puerta de enlace y tabla de rutas

- Comprobacin firewall deshabilitado en servidor y en firewall corporativo

71
 - Comprobacin conectividad hacia internet y resolucin DNS

Realizando estas comprobaciones descartamos algn problema de comunicacin

hacia el exterior, por lo que el problema debe ser de la aplicacin y el script de
configuracin inicial.

He enviado un mail a la lista de soporte con todos los logs y el problema de configuracin, a la
espera de que los desarrolladores den una solucin.

http://news.gmane.org/gmane.comp.networking.packetfence.user

5.3.6- Resultados obtenidos

Debido a los Bugs, no ha sido posible realizar la configuracin inicial.

Llegados a este punto sera interesante contratar soporte de los desarrolladores para
detectar el problema asociado a nuestro entorno de produccin y desarrollar una versin
funcional que solvente el problema de la configuracin inicial.

La eleccin de PacketFence respecto a otras soluciones de cdigo abierto sigue

siendo una buena eleccin debido a que una vez puesta en produccin y funcionando
correctamente, nos aporta una gran cantidad de funcionalidades que otras soluciones no
aportan, o estn menos desarrolladas, como la gestin de informes, configuracin de
dispositivos compatibles, deteccin de dispositivos, etc. Adems nos ofrece una
customizacin superior, ya que podremos editar todos nuestros ficheros para mostrar
mensajes de aviso, webs de acceso, y creacin de grupos de un modo simple y rpido.

72
5.4- Fase 3: Puesta en produccin

Una vez comprobado todos los servicios en el entorno de pre-produccin:

Conectividad, registro de dispositivos, cambios de Vlans y autenticacin de usuarios,
podremos pasar al entorno productivo sobre dispositivos y usuarios reales

En una primera fase los dispositivos que implementaremos el sistema NAC sern
los situados en las aulas de formacin, donde los usuarios que acceden a la red varan
continuamente y podremos tener un control de acceso de cada dispositivo y del usuario
que obtiene acceso a la red.
Para facilitar la gestin administrativa de TI y no tener que crear usuarios
manualmente para poder acceder a la red, ser necesario integrar el sistema de acceso de
usuarios mediante el LDAP de Microsoft Active Directory, donde se encuentran todos
los usuarios dados de alta en el hospital.

5.4.1- Consideraciones a tener en cuenta

En primer lugar enviar un correo a la lista de distribucin global del Hospital

indicando las nuevas polticas de acceso, monitorizacin y gestin para acceder a
los equipos del aula de formacin adjuntando una mini gua de cmo acceder a la
red.

Propagar las Vlans de Registro, Aislamiento e Invitados hacia los switch donde
estn conectados los Pcs del Aula

Switch: hcpsws300

Configurar las interfaces con la misma configuracin descrita en el apartado 5.3.3-

Configuracion Switches, donde se configurar el servidor RADIUS incluido en el
servidor PacketFence (172.21.111.113), los grupos AAA y las interfaces con
autenticacin 802.1x

Una vez realizados estoscambios estaremos en produccin.

Para evaluar el impacto de la implantacin habr un tcnico Insitu para dar soporte
a los usuarios con problemas y para contactar con el departamento de
comunicaciones en el caso de no poder solventar la incidencia.

73
5.4.2- Roll-Back en caso de fallo

- Realizaremos una copia de seguridad de toda la configuracin de los switches en los

que alteremos su configuracin de produccin, as en el caso de que algn switch
de problemas podremos acceder a la gestin y sobrescribir la configuracin nueva
por la configuracin antigua y funcional.
- Realizaremos un Snapshot a los servidores de PacketFence antes de pasar del
entorno de pre-produccin a produccin, para asegurarnos que tenemos un backup
del servidor con todos los servicios funcionando al 100%, teniendo la posibilidad
de restaurarlo en cualquier momento en caso de avera.

5.4.3- Implantacin del sistema en los clientes seleccionados

La implantacin se realizar en los equipos del Aula de formacin, donde no habr

que configurar nada ya que el mtodo seleccionado en esta NAC no es necesario instalar
ningn agente en el cliente, nicamente deberemos cambiar los puertos del switch donde
estn conectados los dispositivos con la configuracin descrita en el punto anterior.

5.4.4- Resultados obtenidos

En este caso los resultados no han sido satisfactorios y no hemos podido realizar el
despliegue de la implantacin debido a los errores que nos muestra al configurar la
aplicacin y la imposibilidad de configurar las interfaces y la puerta de enlace en la
aplicacion.

74
6.- Conclusin

El motivo de seleccionar esta solucin sobre otras soluciones OpenSource se debe a que
las actualizaciones y revisiones de los Bugs se realizan con bastante frecuencia, en
comparacin con otras soluciones como FreeNACuOpenNAC las cuales tienen un
desarrollo ms lento.

Adems la lista de hardware compatible es mucho ms extensa en PacketFence, sobre todo

a nivel de dispositivos y controladoras Wifi, ya que en una segunda fase del proyecto la
implantacin de PacketFence sera para todos los dispositivos Wifi. En este caso he
comprobado que PacketFence es compatible con las controladoras instaladas en el hospital,
mientras que en las otras soluciones no lo son o directamente no lo indican.

Sobre el tema de haber elegido una solucin OpenSource, como he comentado

anteriormente es debido al presupuesto 0 para su implementacin, pero desde mi punto
de vista para una implementacin en una red corporativa tan grande y tan crtica como esta,
sera ms fiable una solucin propietaria y compatible con la electrnica Cisco que posee el
hospital, facilitando su integracin con la red y los dispositivos a gestionar.

Adems debido a los constantes problemas y bugs detectados que podran afectar al
correcto funcionamiento no sera viable trabajar en un entorno de produccin con
problemas en la aplicacin a la espera de que la comunidad solucione nuestro problema
especfico con urgencia.
Por norma en la solucin propietaria este tema suele agilizarse ya que la compra de la
solucin viene con un mantenimiento y soporte tcnico asociado.

75
Bibliografa

http://www.monografias.com/trabajos16/seguridad-informatica/seguridad-informatica.shtml
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://www.agpd.es
http://www.prograweb.com.mx/Seguridad/010201amenazas.html
http://www.megasyc.com/public/1.ImportanciaProteccionDatos.pdf
http://www.siliconweek.es/knowledge-center/knowledge-center-seguridad/como-elegir-la-
mejor-solucion-de-control-de-acceso-a-la-red-nac-751
http://es.scribd.com/doc/6081671/30/Funcionamiento-del-802-1x
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps8418/ps6128/prod_white_p
aper0900aecd802bdc42.html
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps8418/ps6128/product_data
_sheet0900aecd802da1b5.html
http://www.freenac.net/es
http://www.packetfence.org/news/2012/article/new-web-based-configuration-
tool.html
http://es.wikipedia.org/wiki/Heartbeat_(Linux-HA_Daemon)

76