Technologie Seminarreihe
10. September 2009 Mit High-Speed Switching in die Netzwerk-Zukunft!
Vortrag: Netzwerksicherheit Zentrale Steuerung, dezentrale Kontrolle
Dirk Schneider, HP ProCurve Network Consultant, informiert Sie über die wichtigsten Entwicklungen im Bereich geswitchter Netzwerke. Natürlich werden in diesem Rahmen auch die neuesten Produkte und Entwicklungen des Herstellers HP ProCurve vorgestellt
Alle Seminarunterlagen finden Sie unter „www.bachert.de“ im Bereich Aktuelles/Seminare
Netzwerksicherheit, Juni 2009 Seite 1 Netzwerksicherheit
Ständig steigende Bedeutung
• wachsende Vernetzung im IT- und Nicht-IT Bereich
• steigende Mobilitätsansprüche (ex- und interne Ressourcen)
• Flexibilisierung der Arbeitsprozesse über alle Unternehmensbereiche
Netzwerksicherheit, Juni 2009 Seite 2 Netzwerksicherheit
Ein umfassender Schutz ist nur durch einen vielschichtigen Ansatz erreichbar.
“Zwiebelmodell”
• network access control Zugriffskontrolle
• intrusion prevention Einbruchschutz und Meldesysteme
• identity and access management Identitäts- und Zugriffsmanagement
• vulnerability management Gefahren und Risikomanagement
Netzwerksicherheit, Juni 2009 Seite 3 Netzwerksicherheit
2007 hätten 80% der Schadensursachen in Netzwerken durch den Einsatz verfügbarer Technologien verhindert werden können:
• network access control , • intrusion prevention, • identity and access management, • vulnerability management .”
Netzwerksicherheit, Juni 2009 Seite 4 ProCurve Security
ProActive Defense
Zugriffs- Netzwerk- Sichere kontrolle sicherheit Infrastruktur Erkennung und Wer möchte wann, Sichere Bereitstellung einer Abblockung von von wo auf welche gemanagten verschiedensten Ressourcen Netzwerkinfrastruktur. zugreifen? Attacken und Angriffen auf das Netzwerk.
Regulatory Compliance
Adaptive Edge Architecture
Netzwerksicherheit, Juni 2009 Seite 5 Adaptive Edge Architecture
Servers
Die Zugangspunkte im Netzwerk bieten den optimalen Intelligent EDGE Ansatz um Anomalien und Gefahren zu erkennen. Internet
Sich abzeichnende Probleme Clients
werden am Ort der Entstehung COMMAND FROM THE behoben/gelöst/bekämpft. Clients CENTER
Command from the center, control to the edge – the Wireless ProCurve Adaptive Edge Clients Architecture Per-Port Distributed Processors
Netzwerksicherheit, Juni 2009 Seite 6 Adaptive EDGE Architecture
Servers Kontrolle im Edge-Bereich Wireless Der erste Zugangspunkt bietet Intelligent Clients die optimale Möglichkeit Edge Probleme zu beheben
Sicherheit 802.1X Intelligent Web authentication Switches Clients MAC authentication Virus Throttling Intelligent ACLs Clients Switches DHCP Snooping ARP protection Interconnect BPDU protection & filtering Fabric Edge MAC lockout / lockdown Wireless Portal Source port filtering Access Points Edge Multiple Threat Detection Network Wireless Internet Clients Command from the Center
Netzwerksicherheit, Juni 2009 Seite 7 IDM Identity Driven Manager
IDM add-on for PCM+ dynamically applies security, access and performance settings to network infrastructure devices
Provides edge-enforced access control based on user, device, time, location, and client system state
Users receive appropriate access and rights wherever and whenever they connect based upon pre-configured access rights and policies
Can apply VLAN, ACL, QoS, and bandwidth limit settings on a per user basis
Management effort is reduced since policies are defined using PCM+ client
VLANs can be used for primary purpose of limiting communication between users instead of controlling access to core resources
Based on these attributes: User ID Device ID Time Location Client integrity status Set these parameters: VLAN Bandwidth limit QoS ACLs
Rev. 6.41 3 Netzwerksicherheit, Juni 2009 Seite 8 8 Using identity-driven access controls
Identity-driven solution provides a means of enforcing per-user access rights based on:
Who the user is Business Internet Where the access is occurring Network
When the access is occurring
What resources are allowed when
9:00
what
Guest & Employee Conference Room where
R&D who LAN 8:55
Parking lot Lobby Campus
Rev. 6.41 5 Netzwerksicherheit, Juni 2009 Seite 9 9 IDM in operation
4. Switch forwards credentials to 1. User plugs in to network RADIUS server resulting in Edge device request for identity / 2. User is challenged for with IDM credentials by switch feature support authentication from database • IDM Agent is aware of transaction
7. User- 3. User sends credentials specific (username/password 5. Database Per user resources or smartcard) responds with network parameter are made user validity 6. If valid user, IDM checks database available • Username / password • Time of day IDM Agent adds • Location “authorization” • System (MAC address) RADIUS parameters to the • Client Integrity Status server RADIUS reply sent - Query to third-party to the switch where the access And applies access profile rights of the client IDM - VLAN, QoS, Bandwidth, are enforced ACLs Agent
Edge device must support MAC, Web, or 802.1X authentication
Rev. 6.41 8 Netzwerksicherheit, Juni 2009 Seite 10 10 Network Access Security
Network Conference Room Administrator
Internet
Zgriff nur auf das Internet 1. Sets up role based access Guest Edge Access Switch policy groups & assigns Policy rules and access profiles: Server Enterprise • Set rules LAN • Time Zugriff auf Inter- • Location und Intranet • Device ID Employee • Client integrity status • To trigger each policy Corporate profile Server • ACL • VLAN Zugriff nur auf Anti-Virus- • QoS Non-Compliant Service-Server Anti-Virus remediation • BW limit Employee Server 2. Put users in appropriate access policy group Conference Room
Netzwerksicherheit, Juni 2009 Seite 11 Network Access Security
Network Conference Room Administrator
Internet
Zgriff nur auf das Internet 1. Sets up role based access Guest Edge Access Switch policy groups & assigns Policy rules and access profiles: Server Enterprise • Set rules LAN • Time Zugriff auf Inter- • Location und Intranet • Device ID Employee • Client integrity status • To trigger each policy Corporate profile Server • ACL • VLAN Zugriff auf Inter- und Intranet • QoS Compliant Anti-Virus • BW limit Employee Server 2. Put users in appropriate access policy group Conference Room
Netzwerksicherheit, Juni 2009 Seite 12 Client Authentication Possibilities
Am Edge-Switch stehen 3 Authentifizierungsmethoden zur Verfügung:
IEEE 802.1X
Web Authentication
MAC Authentication
RADIUS ProCurve Server IDM
0008A2-1C99C6
no client using web using 802.1X software required – browser only client software sends MAC address
Netzwerksicherheit, Juni 2009 Seite 13 802.1X, Web and MAC authentication
• 802.1X
• standard based and widely-used
• no IP communication until authentication successful
• port based access control
• user based access control (up to 32 per port)
• Web-Authentication
port communication is redirected to the switch
temporary IP address is assigned by the switch
login screen is presented for the client
• MAC-Authentication
the device MAC address is used as username/password
Netzwerksicherheit, Juni 2009 Seite 14 Zugriffskontrolle Identity Driven Manager (IDM)
• Allows easy creation and management of user policy groups for optimizing network performance and increasing user productivity • Dynamically apply security, access and performance settings at port level based on policies • IDM adds network reports and logs based on users for audit
Set =>
ACLs VLAN Bandwidth QoS Limit
Based on => User/Group Location Device Client Time ID Integrity Status
15 Netzwerksicherheit, Juni 2009 Seite 15 Adaptive Zugriffskontrolle mit IDM
Authentication Server
Authentication HTTP Request Web-Auth Directory MAC Address MAC-Auth 802.1X RADIUS Active Directory 802.1X Server LDAP SupplicaSupplicant IDM Agent nt 802.1X Authenticator Policy Enforcement Point (PEP) PCM / IDM ProCurve Switches Server and Access-Points
ProCurve 3rd Party owned Software Network Mgmt Server
16 Netzwerksicherheit, Juni 2009 Seite 16 Adaptive Zugriffkontrolle mit IDM und ProCurve NAC 800
Überprüfung der Endgeräte Network Access Controller 800 • Betriebssystemversion und Patch-Stand • Stand der Anti-Virus und Anti-Spyware-Software Geforderte oder verbotene Anwendungssoftware. Und mehr……. EI Policy Definitions On-demand Endpoint Integrity Agent Any 802.1X Client Authentication
Endpoint RADIUS Server MAC Address Directory Integrity Agent MAC-Auth HTTP Request Web-Auth IDM Agent Active Directory eDirectory 802.1X Authenticator PCM / IDM LDAP Policy Enforcement Point (PEP) Server
ProCurve Switches and Access-Points
ProCurve owned Network Mgmt Server 17 Netzwerksicherheit, Juni 2009 Seite 17 Access Control Endpoint Integrity with ProCurve NAC 800
• Authenticated systems
• protects the network from harmful systems and enforces system software requirements
• Endpoint integrity checks
• Antivirus, spyware, firewalls, peer-to-peer, allowed and prohibited programs and services
• OS versions, services packs, hotfixes
• Security settings for browsers and applications
18 Netzwerksicherheit, Juni 2009 Seite 18 Endpoint Integrity Tests
Personal firewalls P2P and instant messaging Operating systems Service Packs AOL Security Edition Altnet Trillian Rogue WAP Connection Black ICE Firewall AOL instant messenger Turbo IRC Windows 2000 hotfixes Computer Associates EZ Firewall BitTorrent Visual IRC Windows Server 2003 SP1 hotfixes Internet Connection Firewall (Pre Chainsaw XFire Windows Server 2003 hotfixes XP SP2) Chatbot Yahoo! Messenger Windows XP SP2 hotfixes McAfee Personal Firewall Windows XP hotfixes DICE Panda Internet Security Windows automatic updates dIRC F-Secure Personal Firewall Gator Browser security policy Norton Personal Firewall / Internet Hotline Connect Client IE internet security zone Security IceChat IRC client IE local intranet security zone Sygate Personal Firewall IE restricted site security zone Symantec Client Firewall ICQ Pro IE trusted site security zone Tiny Personal Firewall IRCXpro IE version Trend Micro Personal Firewall Kazaa Kazaa Lite K++ Security settings ZoneAlarm Personal Firewall leafChat MS Excel macros Senforce Advanced Firewall MS Outlook macros Windows Firewall Metasquarer MS Word macros mlRC Services not allowed MS Office version check Morpheus Services required MyNapster Windows Bridge Network Connection Microsoft Office XP MyWay Windows security policy Microsoft Office 2003 Windows startup registry entries allowed Microsoft Office 2000 NetIRC NexIRC prohibited Software Not Only Two Administrator defined P2PNet.net PerfectNav Required software savIRC Administrator defined
19 Netzwerksicherheit, Juni 2009 Seite 19 Endpoint Integrity Checks
Anti-virus Anti-spyware Spyware, Worms, viruses, and Trojans NOD32 AntiVirus Ad-Aware SE Personal CME-24 W32.HLLW.Lovgate AVG AntiVirus Free Ed Ad-Aware Plus Keylogger.Stawin W32 Hiton Trojan.Mitglieder.C W32.IRCBot.C Computer Associates eTrust AntiVirus Ad-Aware Professional VBS.Shania W32.Kifer Computer Associates eTrust EZ AntiVirus CounterSpy W32.Beagle.A W32.Klez.H F-Secure AntiVirus McAfee AntiSpyware W32.Beagle.AB W32.Klez.gen Kaspersky AntiVirus for FileServers Pest Patrol W32.Beagle.AG W32.Korgo.G W32.Beagle.AO W32.Mimail.Q Kaspersky AntiVirus for Workstations Spyware Eliminator W32.Beagle.AZ W32.Mimail.S McAfee VirusScan Webroot Spy Sweeper W32.Beagle.B W32.Mimail.T McAfee Managed VirusScan Windows Defender W32.Beagle.E W32.Mydoom.A W32.Beagle.J W32.Mydoom.AX-1 McAfee Enterprise VirusScan W32.Beagle.K W32.Mydoom.AX McAfee Internet Security Suite 8.0 W32.Beagle.M W32.Mydoom.B Norton Internet Security W32.Beagle.U W32.Mydoom.M Trend Micro AntiVirus W32.Blaster.K.Worm W32.Mydoom.Q W32.Blaster.Worm W32.Netsky.B Trend Micro OfficeScan Corporate Edition W32.Doomhunter W32.Netsky.C Sophos AntiVirus W32.Dumaru.AD W32.Netsky.D Panda Internet Security W32.Dumaru.AH W32.Netsky.K Symantec Corporate AntiVirus W32.Esbot.A.1 W32.Netsky.P W32.Esbot.A.2 W32.Rusty@m W32.Esbot.A.3 W32.Sasser.B W32.Galil.F W32.Sasser.E W32.HLLW.Anig W32.Sasser.Worm W32.HLLW.Cult.M W32.Sircam.Worm W32.HLLW.Deadhat W32.Sober.O W32.HLLW.Deadhat.B W32.Sober.Z W32.HLLW.Doomjuice W32.Welchia.Worm W32.HLLW.Doomjuice.B20 W32.Zotob.E Netzwerksicherheit, Juni 2009 Seite 20 Gastzugänge im WLAN anlegen
The WebUser administrator can access only this window.
1 Manually set a username Automatically and password create a username and password 2
3
4
21 Rev 1.0 Netzwerksicherheit, Juni 2009 Seite 21 21 Zusammenfassung
ProCurve bietet eine umfassende und handhabbare Zugangskontrolle um Ihre Netzwerkinfrastruktur zu schützen:
Eine erweiterbare und handhabbare Lösung.
Flexibel für gegenwärtige und zukünftige Anforderungen.
Schützt das Netzwerk vor gefährlichen oder infizierten Endgeräten.
Erzwingt die Einhaltung der internen Unternehmenspolitik im Umgang mit der IT Infrastruktur.
Vereinheitlichte Zugangskontrolle für LAN, WLAN und WAN.
The ProCurve Access Control solution helps administrators deploy secured network access based on business policy More Security with Less Complexity
22 Netzwerksicherheit, Juni 2009 Seite 22