Technologie Seminarreihe

10. September 2009 Mit High-Speed Switching in die Netzwerk-Zukunft!

Vortrag: Netzwerksicherheit Zentrale Steuerung, dezentrale Kontrolle

Dirk Schneider, HP ProCurve Network Consultant, informiert Sie über die wichtigsten Entwicklungen im Bereich geswitchter Netzwerke. Natürlich werden in diesem Rahmen auch die neuesten Produkte und Entwicklungen des Herstellers HP ProCurve vorgestellt

Alle Seminarunterlagen finden Sie unter „www.bachert.de“ im Bereich Aktuelles/Seminare

Netzwerksicherheit, Juni 2009 Seite 1 Netzwerksicherheit

Ständig steigende Bedeutung

• wachsende Vernetzung im IT- und Nicht-IT Bereich

• steigende Mobilitätsansprüche (ex- und interne Ressourcen)

• Flexibilisierung der Arbeitsprozesse über alle Unternehmensbereiche

Netzwerksicherheit, Juni 2009 Seite 2 Netzwerksicherheit

Ein umfassender Schutz ist nur durch einen vielschichtigen Ansatz erreichbar.

“Zwiebelmodell”

• network access control Zugriffskontrolle

• intrusion prevention Einbruchschutz und Meldesysteme

• identity and access management Identitäts- und Zugriffsmanagement

• vulnerability management Gefahren und Risikomanagement

Netzwerksicherheit, Juni 2009 Seite 3 Netzwerksicherheit

2007 hätten 80% der Schadensursachen in Netzwerken durch den Einsatz verfügbarer Technologien verhindert werden können:

• network access control , • intrusion prevention, • identity and access management, • vulnerability management .”

Netzwerksicherheit, Juni 2009 Seite 4 ProCurve Security

ProActive Defense

Zugriffs- Netzwerk- Sichere kontrolle sicherheit Infrastruktur Erkennung und Wer möchte wann, Sichere Bereitstellung einer Abblockung von von wo auf welche gemanagten verschiedensten Ressourcen Netzwerkinfrastruktur. zugreifen? Attacken und Angriffen auf das Netzwerk.

Regulatory Compliance

Adaptive Edge Architecture

Netzwerksicherheit, Juni 2009 Seite 5 Adaptive Edge Architecture

Servers

Die Zugangspunkte im Netzwerk bieten den optimalen Intelligent EDGE Ansatz um Anomalien und Gefahren zu erkennen. Internet

Sich abzeichnende Probleme Clients

werden am Ort der Entstehung COMMAND FROM THE behoben/gelöst/bekämpft. Clients CENTER

Command from the center, control to the edge – the Wireless ProCurve Adaptive Edge Clients Architecture Per-Port Distributed Processors

Netzwerksicherheit, Juni 2009 Seite 6 Adaptive EDGE Architecture

Servers
Kontrolle im Edge-Bereich Wireless
Der erste Zugangspunkt bietet Intelligent Clients die optimale Möglichkeit Edge Probleme zu beheben

Sicherheit
802.1X Intelligent
Web authentication Switches Clients
MAC authentication
Virus Throttling Intelligent
ACLs Clients Switches
DHCP Snooping
ARP protection Interconnect
BPDU protection & filtering Fabric Edge
MAC lockout / lockdown Wireless Portal
Source port filtering Access Points Edge
Multiple Threat Detection Network Wireless Internet Clients Command from the Center

Netzwerksicherheit, Juni 2009 Seite 7 IDM Identity Driven Manager

IDM add-on for PCM+ dynamically applies security, access and performance settings to network infrastructure devices

Provides edge-enforced access control based on user, device, time, location, and client system state

Users receive appropriate access and rights wherever and whenever they connect based upon pre-configured access rights and policies

Can apply VLAN, ACL, QoS, and bandwidth limit settings on a per user basis

Management effort is reduced since policies are defined using PCM+ client

VLANs can be used for primary purpose of limiting communication between users instead of controlling access to core resources

Based on these attributes: User ID Device ID Time Location Client integrity status Set these parameters: VLAN Bandwidth limit QoS ACLs

Rev. 6.41 3 Netzwerksicherheit, Juni 2009 Seite 8 8 Using identity-driven access controls

Identity-driven solution provides a means of enforcing per-user access rights based on:

Who the user is Business Internet
Where the access is occurring Network

When the access is occurring

What resources are allowed when

9:00

what

Guest & Employee Conference Room where

R&D who LAN 8:55

Parking lot Lobby Campus

Rev. 6.41 5 Netzwerksicherheit, Juni 2009 Seite 9 9 IDM in operation

4. Switch forwards credentials to 1. User plugs in to network RADIUS server resulting in Edge device request for identity / 2. User is challenged for with IDM credentials by switch feature support authentication from database • IDM Agent is aware of transaction

7. User- 3. User sends credentials specific (username/password 5. Database Per user resources or smartcard) responds with network parameter are made user validity 6. If valid user, IDM checks database available • Username / password • Time of day IDM Agent adds • Location “authorization” • System (MAC address) RADIUS parameters to the • Client Integrity Status server RADIUS reply sent - Query to third-party to the switch where the access And applies access profile rights of the client IDM - VLAN, QoS, Bandwidth, are enforced ACLs Agent

Edge device must support MAC, Web, or 802.1X authentication

Rev. 6.41 8 Netzwerksicherheit, Juni 2009 Seite 10 10 Network Access Security

Network Conference Room Administrator

Internet

Zgriff nur auf das Internet 1. Sets up role based access Guest Edge Access Switch policy groups & assigns Policy rules and access profiles: Server Enterprise • Set rules LAN • Time Zugriff auf Inter- • Location und Intranet • Device ID Employee • Client integrity status • To trigger each policy Corporate profile Server • ACL • VLAN Zugriff nur auf Anti-Virus- • QoS Non-Compliant Service-Server Anti-Virus remediation • BW limit Employee Server 2. Put users in appropriate access policy group Conference Room

Netzwerksicherheit, Juni 2009 Seite 11 Network Access Security

Network Conference Room Administrator

Internet

Zgriff nur auf das Internet 1. Sets up role based access Guest Edge Access Switch policy groups & assigns Policy rules and access profiles: Server Enterprise • Set rules LAN • Time Zugriff auf Inter- • Location und Intranet • Device ID Employee • Client integrity status • To trigger each policy Corporate profile Server • ACL • VLAN Zugriff auf Inter- und Intranet • QoS Compliant Anti-Virus • BW limit Employee Server 2. Put users in appropriate access policy group Conference Room

Netzwerksicherheit, Juni 2009 Seite 12 Client Authentication Possibilities

Am Edge-Switch stehen 3 Authentifizierungsmethoden zur Verfügung:

IEEE 802.1X

Web Authentication

MAC Authentication

RADIUS ProCurve Server IDM

0008A2-1C99C6

no client using web using 802.1X software required – browser only client software sends MAC address

Netzwerksicherheit, Juni 2009 Seite 13 802.1X, Web and MAC authentication

• 802.1X

• standard based and widely-used

• no IP communication until authentication successful

• port based access control

• user based access control (up to 32 per port)

• Web-Authentication

port communication is redirected to the switch

temporary IP address is assigned by the switch

login screen is presented for the client

• MAC-Authentication

the device MAC address is used as username/password

Netzwerksicherheit, Juni 2009 Seite 14 Zugriffskontrolle Identity Driven Manager (IDM)

• Allows easy creation and management of user policy groups for optimizing network performance and increasing user productivity • Dynamically apply security, access and performance settings at port level based on policies • IDM adds network reports and logs based on users for audit

Set =>

ACLs VLAN Bandwidth QoS Limit

Based on => User/Group Location Device Client Time ID Integrity Status

15 Netzwerksicherheit, Juni 2009 Seite 15 Adaptive Zugriffskontrolle mit IDM

Authentication Server

Authentication HTTP Request Web-Auth Directory MAC Address MAC-Auth 802.1X RADIUS Active Directory 802.1X Server LDAP SupplicaSupplicant IDM Agent nt 802.1X Authenticator Policy Enforcement Point (PEP) PCM / IDM ProCurve Switches Server and Access-Points

ProCurve 3rd Party owned Software Network Mgmt Server

16 Netzwerksicherheit, Juni 2009 Seite 16 Adaptive Zugriffkontrolle mit IDM und ProCurve NAC 800

Überprüfung der Endgeräte Network Access Controller 800 • Betriebssystemversion und Patch-Stand • Stand der Anti-Virus und Anti-Spyware-Software Geforderte oder verbotene Anwendungssoftware. Und mehr……. EI Policy Definitions On-demand Endpoint Integrity Agent Any 802.1X Client Authentication

Endpoint RADIUS Server MAC Address Directory Integrity Agent MAC-Auth HTTP Request Web-Auth IDM Agent Active Directory eDirectory 802.1X Authenticator PCM / IDM LDAP Policy Enforcement Point (PEP) Server

ProCurve Switches and Access-Points

ProCurve owned Network Mgmt Server 17 Netzwerksicherheit, Juni 2009 Seite 17 Access Control Endpoint Integrity with ProCurve NAC 800

• Authenticated systems

• protects the network from harmful systems and enforces system software requirements

• Endpoint integrity checks

• Antivirus, spyware, firewalls, peer-to-peer, allowed and prohibited programs and services

• OS versions, services packs, hotfixes

• Security settings for browsers and applications

18 Netzwerksicherheit, Juni 2009 Seite 18 Endpoint Integrity Tests

Personal firewalls P2P and instant messaging
Operating systems
Service Packs AOL Security Edition Altnet Trillian
Rogue WAP Connection Black ICE Firewall AOL instant messenger Turbo IRC
Windows 2000 hotfixes Computer Associates EZ Firewall BitTorrent Visual IRC
Windows Server 2003 SP1 hotfixes Internet Connection Firewall (Pre Chainsaw XFire
Windows Server 2003 hotfixes XP SP2) Chatbot Yahoo! Messenger
Windows XP SP2 hotfixes McAfee Personal Firewall
Windows XP hotfixes DICE Panda Internet Security
Windows automatic updates dIRC F-Secure Personal Firewall Gator
Browser security policy Norton Personal Firewall / Internet Hotline Connect Client
IE internet security zone Security IceChat IRC client
IE local intranet security zone Sygate Personal Firewall
IE restricted site security zone Symantec Client Firewall ICQ Pro
IE trusted site security zone Tiny Personal Firewall IRCXpro
IE version Trend Micro Personal Firewall Kazaa Kazaa Lite K++
Security settings ZoneAlarm Personal Firewall leafChat
MS Excel macros Senforce Advanced Firewall
MS Outlook macros Windows Firewall Metasquarer
MS Word macros mlRC
Services not allowed MS Office version check Morpheus
Services required MyNapster
Windows Bridge Network Connection Microsoft Office XP MyWay
Windows security policy Microsoft Office 2003
Windows startup registry entries allowed Microsoft Office 2000 NetIRC NexIRC prohibited Software Not Only Two Administrator defined P2PNet.net PerfectNav Required software savIRC Administrator defined

19 Netzwerksicherheit, Juni 2009 Seite 19 Endpoint Integrity Checks

Anti-virus Anti-spyware Spyware, Worms, viruses, and Trojans NOD32 AntiVirus Ad-Aware SE Personal CME-24 W32.HLLW.Lovgate AVG AntiVirus Free Ed Ad-Aware Plus Keylogger.Stawin W32 Hiton Trojan.Mitglieder.C W32.IRCBot.C Computer Associates eTrust AntiVirus Ad-Aware Professional VBS.Shania W32.Kifer Computer Associates eTrust EZ AntiVirus CounterSpy W32.Beagle.A W32.Klez.H F-Secure AntiVirus McAfee AntiSpyware W32.Beagle.AB W32.Klez.gen Kaspersky AntiVirus for FileServers Pest Patrol W32.Beagle.AG W32.Korgo.G W32.Beagle.AO W32.Mimail.Q Kaspersky AntiVirus for Workstations Spyware Eliminator W32.Beagle.AZ W32.Mimail.S McAfee VirusScan Webroot Spy Sweeper W32.Beagle.B W32.Mimail.T McAfee Managed VirusScan Windows Defender W32.Beagle.E W32.Mydoom.A W32.Beagle.J W32.Mydoom.AX-1 McAfee Enterprise VirusScan W32.Beagle.K W32.Mydoom.AX McAfee Internet Security Suite 8.0 W32.Beagle.M W32.Mydoom.B Norton Internet Security W32.Beagle.U W32.Mydoom.M Trend Micro AntiVirus W32.Blaster.K.Worm W32.Mydoom.Q W32.Blaster.Worm W32.Netsky.B Trend Micro OfficeScan Corporate Edition W32.Doomhunter W32.Netsky.C Sophos AntiVirus W32.Dumaru.AD W32.Netsky.D Panda Internet Security W32.Dumaru.AH W32.Netsky.K Symantec Corporate AntiVirus W32.Esbot.A.1 W32.Netsky.P W32.Esbot.A.2 W32.Rusty@m W32.Esbot.A.3 W32.Sasser.B W32.Galil.F W32.Sasser.E W32.HLLW.Anig W32.Sasser.Worm W32.HLLW.Cult.M W32.Sircam.Worm W32.HLLW.Deadhat W32.Sober.O W32.HLLW.Deadhat.B W32.Sober.Z W32.HLLW.Doomjuice W32.Welchia.Worm W32.HLLW.Doomjuice.B20 W32.Zotob.E Netzwerksicherheit, Juni 2009 Seite 20 Gastzugänge im WLAN anlegen

The WebUser administrator can access only this window.

1 Manually set a username Automatically and password create a username and password 2

3

4

21 Rev 1.0 Netzwerksicherheit, Juni 2009 Seite 21 21 Zusammenfassung

ProCurve bietet eine umfassende und handhabbare Zugangskontrolle um Ihre Netzwerkinfrastruktur zu schützen:

Eine erweiterbare und handhabbare Lösung.

Flexibel für gegenwärtige und zukünftige Anforderungen.

Schützt das Netzwerk vor gefährlichen oder infizierten Endgeräten.

Erzwingt die Einhaltung der internen Unternehmenspolitik im Umgang mit der IT Infrastruktur.

Vereinheitlichte Zugangskontrolle für LAN, WLAN und WAN.

The ProCurve Access Control solution helps administrators deploy secured network access based on business policy More Security with Less Complexity

22 Netzwerksicherheit, Juni 2009 Seite 22