Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Daniel Prinzen, [email protected]
Fallstricke und Best Practice bei NAC
1
Inhalt
Herausforderung IEEE 802.1X
Best Practice
Sicherheitsniveau
Kombination von IEEE 802.1X und IEEE 802.1AE
NAC Erweiterungen
2
Der IEEE-Standard
Aktuell dritte Fassung (2010)
IEEE 802.1X existiert seit 2001
Nach wie vor nicht Standard in
der Anwendung
Im WLAN weit verbreitet
Im kabelbasierten LAN weniger
Herausforderung IEEE 802.1X
Februar 2010 wurde eine neue
Version von IEEE 802.1X
verabschiedet. Die in der Praxis
verwendete Version ist jedoch
(noch) die Version von 2004.
3
Gründe für die zurückhaltende Verbreitung von IEEE 802.1X
Kosten-Nutzen-Analyse
Kosten ergeben sich aus der Komplexität
Nutzen entsteht aus dem erreichten Sicherheitsniveau
Herausforderung IEEE 802.1X
IEEE 802.1X
Authentication Server
IEEE 802.1X AuthenticatorIEEE 802.1X
Supplicant
(W)LAN
EAP over LAN
(EAPOL)
Ethernet o. WLAN
MAC & PHY
EAP-Methode
Ethernet o. WLAN
MAC & PHYL2 / L1
UDP/IP
EAP via
RADIUS EAPOL
L2 / L1
UDP/IP
EAP via
RADIUS
EAP-Methode
L2 / L1
TCP/IP
UDP/IP
Directory
Access
(z.B.
LDAP)
IP-Netz
Directory
Server
IP-Netz
z.B. zertifikatsbasierte
Authentisierung mit EAP-TLS
4
Bausteine
Supplicant (Endgeräte)
Authenticator (Netzzugangspunkt)
Authentication-Server (z.B. RADIUS-Server)
Protokolle
RADIUS
EAP (über EAPOL)
Kernelemente IEEE 802.1X
Authentication
ServerEAPOL-Start (optional)
EAPOL(EAP-Request(Identity))
EAPOL(EAP-Response(Identity))
EAPOL(EAP-Request)
EAPOL(EAP Response(
Credentials))
EAPOL(EAP-Success)
RADIUS-Access-Request(
EAP-Response(Identity))
RADIUS Access Challenge(
EAP Request)
RADIUS-Access-Request(
EAP-Response(Credentials))
RADIUS-Access-Accept(
EAP-Success, VLAN, ...)
AuthenticatorSupplicant
Zugriff
blockiert
bzw.
eingeschr.
Zugriff
erlaubt
EAP over LAN (EAPOL)Encapsulated EAP
(z.B. via RADIUS)
Die tatsächliche
Sequenz ist von der
genutzten Authen-
tisierungs-Methode
abhängig.
NAC
SwitchIP Netzwerk
... ...
RADIUS
5
Oder AAA-Server, meist RADIUS-Server
Vielfach bereits durch WLAN-Infrastruktur vorhanden
Große Marktvielfalt -> Qual der Wahl -> Anforderungskatalog
Microsoft NPS
Cisco ACS / Cisco ISE
freeRADIUS
Extreme Networks
Avaya Ignition
Aruba ClearPass
macmon
Juniper UAC
8950AAA (Vital AAA)
…
Authentication-Server
6
Netzzugangspunkt, z.B. Layer-2-Access-Switch
Bereits gegebene Infrastruktur
Vielfach sehr homogene Umgebung
Verbreitung in typische Office-Systemen sehr hoch
zentrales Management (insbesondere bei ACL-Autorisierung)
Herausforderungen
„Industrie-Switches“
MAC-Authentisierung nicht standardisiert
Authentisierungsreihenfolge
Host-Modi (Simultane Verbindung
multipler Endgeräte an einem Port)
…
Anforderungskataloge, Zertifizierung
Authenticator
7
Brocade ICX-Serie
Keine Reauthentisierung von MAC-Sitzungen
PRODRFE103353
Planned for v8.0.50
Kein Accounting bei MAC-Sitzungen
PRODRFE103354
Planned for v8.0.50
Bedenkliche Umsetzung der „RADIUS failed policy“
PRODRFE103354
Planned for v8.0.50
Cisco Access Switches
Keine Reauthentisierung von EAP-Sitzungen
Bei Verwendung der Authentisierungsreihenfolge MAB -> dot1X
Authenticator – diverse Tücken
Quelle: Cisco
Quelle: Brocade
8
Endgeräte, welche an den Authenticator angebunden werden
Meist große Landschaft unterschiedlichster Geräteklassen
Selten hat der Kunde bereits ein sauberes Inventory
Häufig gewachsene Umgebung, u.a. aufgrund dezentraler Beschaffung
EAP-Fähigkeit vs.
MAC-Adress-Auth.
Neue Prozesse zwecks
Registrierung und
Stilllegung
Supplicant
NA
C
Se
ssio
n
MA
C m
ph
MAC
mph
EA
PO
L
EA
PO
L
MAC
mPC
NA
C
Se
ssio
n
MA
C m
PC
IP-Telefon
Thin
Access
Point
unbekannt
?Multifunktions
-gerät
Notebook
Notebook unbekannt
? unbekannt
?
NAC
Switch
Re
str
icte
d Z
on
e A
CL
s
WL
AN
-AP
Prin
ter
Tru
ste
d Z
on
e A
CL
Un
tru
ste
d Z
on
e A
CL
...
Access-Layer
Distribution-Layer
Core-Layer
9
Grundsätzlich erhöhter Betriebsaufwand
Change Management Windows Clients
Bsp.: Update Virenschutz-Software, jetzt mit 1X-Supplicant-Komponente (vertägt sich
nicht mit Windows Supplicant)
Neues Zertifikatstemplate auf PKI, leider ohne Common Name
Abhängigkeit von Datum und Uhrzeit
BIOS Batterie verantwortlich für Systemzeit
Management von Zertifikaten (LCM)
Virtuelle Maschinen
Oracle VirtualBox VMs stören sich gegenseitig
Endgeräte mit integriertem Switchport (VoIP)
EAPOL-Forward und EAP-Proxy-Logoff
…
Supplicant – diverse Tücken
EA
PO
L
EA
PO
L
EA
PO
L
VM
...
Virtual
NIC
virtuelle
MAC-Adresse
vm1
virtuelle
MAC-Adresse
vm2
Virtualisation Layer
Virtual Networking Layer
...NACNAC NAC
Host Operating System Kernel
NAC-
Sitzung
für m
Hardware NIC
VM
Virtual
NIC
MAC-Adresse
m
L2 Switch
NAC-
Sitzung
für vm1
NAC-
Sitzung
für vm2
10
IEEE 802.1X = Portierung von EAP
aus PPP-Welt die „Layer-2-Welt“ der
LAN
EAP ist eine generische Authentisierungs-Schnittstelle
Eigentliche Authentisierung über sogenannte EAP-Methoden
EAP-MD5
Einfaches Challenge-Response-Verfahren zurAuthentisierung des Supplicant
EAP-TLS (Transport Layer Security)
Gegenseitige Authentisierung mit Zertifikaten
PEAP (Protected EAP)EAP-TTLS (Tunneled TLS)
Einseitige Authentisierung des Authentication Server über Zertifikat, dabei Aufbau eines verschlüsselten sog. äußeren Tunnels (TLS)
Authentisierung des Supplicant im Schutz des Tunnels (Beispiel: PEAPv0/EAP-MSCHAPv2)
EAP-FAST (Flexible Authentication via Secure Tunneling)
EAP-Methoden
TLSMD5 PEAP ...
Extensible Authentication Protocol
(EAP)
EAP over LAN
(EAPOL)
PPP802.3
Ethernet
802.11
WLAN
11
Häufig wird mit NAC die Idee eines Zonenkonzepts umgesetzt
Alternativ: binäre Netzzugangskontrolle
ACL- oder VLAN-Autorisierung
Autorisierung
ACL
Als zustandsloser Paketfilter sind
ACLs nur für einfache Filteraufgaben
geeignet
Ps, TCP- u. UDP-Ports
Komplexität einer ACL wächst
entsprechend schnell
Debugging von ACLs kaum
möglich
Eingeschränktes Logging
VLAN
Meist in Verbindung mit VRF
(Anzahl Instanzen skaliert schlecht)
Dynamische VLAN-Zuweisung
ist nicht seiteneffektfrei
Server
Switch
Untrusted
Zone
VRF
Restricted
Zone
VRF
Trusted
Zone
VRF
Distribution
Switch
Trusted
Zone
VLAN
Untrusted
Zone
VLAN
Server
Untrusted
Zone
Access
Switch
Restricted
Zone
VLAN
Untrusted
Zone
VRF
Restricted
Zone
VRF
Trusted
Zone
VRF
Core
Switch
Untrusted
Zone
VRF
Restricted
Zone
VRF
Trusted
Zone
VRF
Firewall
interne
Ressourcen
VLAN Tagging
12
Trennung der Daten in einer Sicherheitszone
Kontrolle am Netzübergang
Netzzugangskontrolle, die sicherstellt,
dass Geräte, die an einem Netzsegment
einer Gruppe angeschlossen sind, auch
tatsächlich zu der entsprechenden
Nutzergruppe gehören
NAC und Zonenkonzepte
Ressourcen
Gruppe 1(logisches) Netz
Gruppe 1(logisches) Netz
Gruppe 2
gemeinsam
genutzte
Ressourcen
Ressourcen
Gruppe 2
Endgeräte
Gruppe 2
Endgeräte
Gruppe 1
Endgeräte, die keiner
speziellen Gruppe
zugeordnet sind
Sicherheits-
element
13
Inhalt
Herausforderung IEEE 802.1X
Best Practice
Sicherheitsniveau
Kombination von IEEE 802.1X und IEEE 802.1AE
NAC Erweiterungen
14
Bewährte Vorgehensweise im Projekt
Ziele und Anforderungen spezifizieren
Erfassen der schon bekannten
Endgerätetypen u. zugehörigen Gruppen
Für jeden Endgerätetyp / Nutzergruppe
Prüfen der NAC-Relevanz
Wenn relevant:
Festlegung, ob Autorisierung durch VLAN /
ACL notwendig
Festlegung Authentisierungsmethode(n)
Festlegungen zur gruppenspezifischen
Policy / Konfig. für RADIUS und Directory
Prüfen, ob mehrere MAC-Adressen an
einem Port auftreten können
Prüfung der Machbarkeit
Was unterstützen die Switches überhaupt?
(Default Policy + MAC + 1X oder simultane
Authentisierung: an einem Port)
Was können die Endgeräte tatsächlich?
(z.B. Zertifikatsmanagement, zentrale
Passwort-Verwaltung)
…
Festlegung eines
Wunschkonzepts
Anpassungen Konzept +
Erstellung Feinkonzept
Migrationskonzept
Ergänzung / Anpassung Betriebsprozesse
Change Management
Neue Geräte(typen), SW-Updates, …
Incident Management
Checkliste für 1st u. 2nd Level Support für
typische Fehlerszenarien
Kriterien für (partielle) Notabschaltung von NAC
Temporäre Freischaltung
…
Pilot
15
Einheitliche Port-Konfiguration
Kombination von IEEE 802.1X und
MAC-Adress-Authentisierung
Gäste möglichst nur im WLAN
Authentisierungsmethode für
IEEE 802.1X: In der Praxis oft EAP-TLS,
d.h. gegenseitige zertifikatsbasierte Authentisierung
Wesentlich: Automatisiertes Zertifikatsmanagement
z.B. mit Microsoft Certificate Services für Standard-PCs
Simple Certificate Enrollment Protocol (SCEP)
In der Praxis oft Geräte, die nicht die gewünschte EAP-Methode unterstützen.
Daher notgedrungen die Verwendung mehrerer Authentisierungsmethoden, z.B.
PEAP und EAP-MD5
Best Practice AuthentisierungAuthentisierung
mit IEEE 802.1X
MAC-Adress-
Authentisierung
j
j
n
„uneingeschränkter“
Zugang
strikt eingeschränkter
Zugang
(nur spezielle Ziele und
Dienste)
kein Zugang oder z.B.
Gast-VLAN mit
Web-basierter
Authentisierung
Erfolg?
Erfolg?n
16
Möglichst simples Zonenkonzept:
Trusted Zone = uneingeschränkte Kommunikation = Endgeräte, die sich z.B. mit IEEE
802.1X und EAP-TLS (oder einer vergleichbaren EAP-Methode) authentisieren
Restricted Zone(n) = eingeschränkte Kommunikation = Endgeräte, die sich zwar
authentisieren, jedoch nicht mit IEEE 802.1X und der angestrebten EAP-Methode
authentisieren
Untrusted Zone = strikt eingeschränkte Kommunikation = Endgeräte, die sich nicht
oder nicht erfolgreich authentisieren
Beispiele für Kommunikationsmöglichkeiten in der Untrusted Zone:
DHCP
DNS
PXE
Access Gateway, SSL VPN Gateway
Terminal Server, VDI
Best Practice Autorisierung
17
Stufenweise Einführung
Stufe 1 „Basis-Sicherheit“:
Kontrolle am Netzzugangspunkt
Nur registrierte Geräte erhalten Zugang
Ausschließlich MAC-Adress-Authentisierung
„binäres NAC“: erfolgreiche Authentisierung = uneingeschränkter Netzzugang
Stufe 2 „Sichere Authentisierung am Netzzugang“:
Einführung von IEEE 802.1X und EAP-Authentisierung
EAP-Authentisierung = uneingeschränkter Netzzugang
MAC-Adress-Authentisierung = stark eingeschränkter Zugang
Stufe 3 „Weiterführende Sicherheit“:
Kritische Ressourcen nur noch für EAP-authentisierte Geräte erreichbar
Health-Check bzw. Endgeräte-Compliance-Prüfung
MACsec sobald verfügbar
18
Stufenweise Einführung
Wenn Aufwände für reine MAC-Authentisierung nicht gewünscht:
Stufe 1 „Monitoring Mode“:
Aktivierung von EAP auf allen tauglichen Endgeräten
(Zugriff auf unsichere Netze erlauben)
Vorsicht: Vereinzelt Endgeräte mit Seiteneffekten
Schrittweiser Rollout der NAC-Konfiguration auf Switches
Kein Enforcement, keine Zonierung
Prozess zur MAC-Adress-Registrierung etablieren
Stufe 2 „Härtung“:
Bestandsschutzgruppen bilden
Schrittweise Enforcement aktivieren
Stufe 3 „Zonierung“:
Einschränkung des Zugriffs für analysierte MAC-Adress-Gruppen
Aufräumen der Bestandsschutzgruppen
19
Inhalt
Herausforderung IEEE 802.1X
Best Practice
Sicherheitsniveau
Kombination von IEEE 802.1X und IEEE 802.1AE
NAC Erweiterungen
20
Absicherung des kabelbasierten Netzzugangs
Äquivalent zum WLAN
Unterbindung des unberechtigten Anschluss von Fremdgeräten
Wer sich nicht authentisieren kann, erhält keinen (oder stark limitierten) Zugang
Die Ziele können erreicht werden, jedoch nicht mit einem zum WLAN äquivalenten
Sicherheitsniveau!
Fehlende Datenverschlüsselung zwischen Supplicant und Authenticator
Gefahr von Session Hijacking mittels MAC-Spoofing
Zielsetzung NAC
21
Keine Authentisierung der Nutzdaten einer autorisierten Sitzung
Es findet keine Prüfung statt, ob die Pakete auch tatsächlich von dem Supplicant
stammen, der sich authentisiert hat
Ein Angreifer könnte unter der MAC-Adresse des authentisierten Supplicant einen
Dialog mit der Infrastruktur führen
Keine Zusicherung von Vertraulichkeit und Integrität
Warum?
Weil diese Funktionen nicht von Authentisierungsprotokollen, sondern von einem
weiteren Element einer Sicherheitsarchitektur erbracht werden!
Was IEEE 802.1X-2004 nicht leistet
22
Supplicant
MAC AAuthenticator
Authentication
Server
Supplicant
MAC AAuthenticator
Authentication
Server
X
Link down:
Port nicht mehr authentisiert
Link up: 1X-Sequenz läuft ab und der Port
ist am Ende wieder authentisiert – alle
Pakete von und zu MAC A dürfen passieren
Hub
Supplicant
MAC AAuthenticator
Authentication
ServerHub
Angreifer
MAC A Angreifer konfiguriert Adapter mit MAC A
und erhält uneingeschränkten Zugang
Supplicant
MAC AAuthenticator
Authentication
Server
Supplicant
MAC AAuthenticator
Authentication
Server
X
Link down:
Port nicht mehr authentisiert
Link up: 1X-Sequenz läuft ab und der Port
ist am Ende wieder authentisiert – alle
Pakete von und zu MAC A dürfen passieren
Hub
Supplicant
MAC AAuthenticator
Authentication
ServerHub
Angreifer
MAC A Angreifer konfiguriert Adapter mit MAC A
und erhält uneingeschränkten Zugang
Supplicant
MAC AAuthenticator
Authentication
Server
Supplicant
MAC AAuthenticator
Authentication
Server
X
Link down:
Port nicht mehr authentisiert
Link up: 1X-Sequenz läuft ab und der Port
ist am Ende wieder authentisiert – alle
Pakete von und zu MAC A dürfen passieren
Hub
Supplicant
MAC AAuthenticator
Authentication
ServerHub
Angreifer
MAC A Angreifer konfiguriert Adapter mit MAC A
und erhält uneingeschränkten Zugang
Anfälligkeit gegen MAC-Adress-Spoofing in IEEE 802.1X-2004
Freischalten der Kommunikation für eine MAC-
Adresse nach erfolgreicher Authentisierung
Jedoch kein Aufbau einer kryptographischen
Sitzung, die an eine Authentisierung geknüpft ist
Lösung des
Problems erst mit
IEEE 802.1X-2010
möglich
23
Gibt es Alternativen?
Herstellerspezifische NAC-Lösungen
Meist Agentenbasiert
Oft bleiben die Probleme trotzdem erhalten …
Wenn ein besserer Schutz vor Spoofing / Lauschangriffe gewünscht ist, bleibt nur
der Einsatz von Verschlüsselungstechniken im LAN
Client-to-Site VPN
IEEE 802.1X-2010 mit IEEE 802.1AE MACsec
…
Letztendlich bleibt es trotz der Komplexität und der Schwäche gegen gewisse
Spoofing-Szenarien oft bei IEEE 802.1X
Hinweis:
Seit 2009 wird in immer mehr kabelbasierten LANs IEEE 802.1X produktiv genutzt
Mit steigender Tendenz
24
Inhalt
Herausforderung IEEE 802.1X
Best Practice
Sicherheitsniveau
Kombination von IEEE 802.1X und IEEE 802.1AE
NAC Erweiterungen
25
Daten-Vertraulichkeit, Daten-Integrität, Daten-Authentisierung für verbindungslose
Kommunikation in einem LAN
Default Cipher Suite verwendet AES mit 128 Bit Schlüssel
Absicherung auf Link-Level
Punkt-zu-Punkt LAN-Verbindungen mit sehr hoher Verschlüsselungsleistung
Multi-Access LAN / Shared-Media LAN (exklusive IEEE 802.11 WLAN)
IEEE 802.1AE - MAC Security (MACsec)
Datenauthentisierung,
Prüfung Integrität +
optional Verschlüsselung
Datenauthentisierung,
Prüfung Integrität +
optional Verschlüsselung
Datenauthentisierung,
Prüfung Integrität +
optional Verschlüsselung
MACsec
MAC
MACsec
MAC
MACsec
MAC
MACsec
MAC
MACsec
MAC
LLC
IP...
PHY PHY PHY PHY PHY
MACsec
MAC
LLC
IP
PHY
Relay
...
Relay
26
symmetrischer Mechanismus
Schlüsselmaterial:
Analog WLAN: Pre-Shared Key (PSK) oder
Dynamische, zentral gesteuerte
Schlüsselverteilung im Rahmen
einer Authentisierung via EAP
per IEEE 802.1X (2010)
IEEE 802.1AE - MAC Security (MACsec) und IEEE 802.1X (2010)
IEEE 802.1X
Authentication Server
IEEE 802.1X AuthenticatorIEEE 802.1X
Supplicant
LAN
EAP over LAN
(EAPOL)
EAP-Methode
UDP/IP
EAP via
RADIUS EAPOL
UDP/IP
EAP via
RADIUS
EAP-Methode
TCP/IP
UDP/IP
Directory
Access
(z.B.
LDAP)
IP-Netz
Directory
Server
(optional)
IP-Netz
indirekte Kommunikation
über den Authenticator als Proxy
L4
L3
L2
L1
MAC
PHY
802.11i 802.1AE
IP / IPsec
TCP / UDP
802.1X
2004
802.1X
2010
27
Aufbau einer gesicherten Kommunikationsbeziehung mit IEEE 802.1X-2010
2. Schlüsselaushandlung
1. Authentisierung via EAP 1.
1.1
Autorisierung
(VLAN, ACL)
SecY
MAC
M
U
Nutz-
daten
PAE
C
SecY
MAC
M
U
Nutz-
daten
PAE
C4. 4.
4. Port frei schalten
C = Controlled Port
U = Uncontrolled Port
M = Common Port
Secy = MAC Security
Secy = Entity
3
Schlüssel-
übertragung
3
3.1 Aufbau CA
CA = Secure Connectivity Association
System A
(Supplicant-Rolle)
System B
(Authenticator-Rolle)
Authentication
Server
PAE = Port Access Entity
28
System B
(Authenticator-Rolle)
SecY
MAC
M
U
Nutz-
daten
PAE
C
SecY
MAC
M
U
Nutz-
daten
PAE
C
Aufbau einer gesicherten Kommunikationsbeziehung mit IEEE 802.1X-2010
System A
(Supplicant-Rolle)
Authentication
Server
C = Controlled Port
U = Uncontrolled Port
M = Common Port
Secy = MAC Security
Secy = Entity CA = Secure Connectivity AssociationPAE = Port Access Entity
gesicherte
Kommunikation
29
Verhalten bei MAC Spoofing
Dies funktioniert, solange der Angreifer sich nicht
als berechtigtes Mitglied der CA ausweisen kann.
Station A:
MAC AStation B
Hub
Station C:
Angreifer
MAC A
Aufbau CA / SCs / SAs
ICV passt nicht zu
SC(A) bzw. zu
aktueller SA
Paket mit MAC A
30
Inhalt
Herausforderung IEEE 802.1X
Best Practice
Sicherheitsniveau
Kombination von IEEE 802.1X und IEEE 802.1AE
NAC Erweiterungen
31
Ursprünglich eine reine Layer-2-Authentisierung
Eine Welt voller MAC-Adressen
Alle Anforderungen an eine AAA-Lösung erfüllt
Umfassendes Monitoring des Access-Layer in „Echtzeit“
Wunsch nach mehr Informationen über angebundene Endgeräte
IP-Adresse zusätzlich zur MAC
RADIUS-Accounting Updates
NAC-Server als DHCP relay agent im Layer-3-Distribution-Switch
DHCP-Fingerprint
Umfassendere Informationen
Möglichkeit der Klassifizierung (Profiling)
Dynamische Autorisierungspolicies
Evolution von NAC
32
Profiling mit NAC
Zusatzfunktion zur Erkennung des Endgerätetyps und zur Verknüpfung mit Policies
Überwachung der an das Netz angeschlossenen Endgerätetypen
Probes zur Erfassung der entsprechenden Daten /
Endgerätekommunikation notwendig
Je nach Konfiguration wird die NAC-Appliance hier einer hohen Last
ausgesetzt (Performance-Anforderungen bei Dimensionierung
beachten)
Policy-Beispiel: Wenn Endgerät = MacOS, X-Box, …,
dann kein oder extrem eingeschränkter Netzzugang
Vorsicht: Erkennung kann fehlerträchtig
sein, da auf Basis von Heuristiken
Beispiel: Cisco ISE
Quelle: http://www.thesecurityblogger.com/?p=632
33
Bisher: Authentisierung erfolgreich
= Zugang wird gewährt
Mögliche Probleme:
Deaktivierter Virenschutz oder
ausgeschaltete Personal Firewall
Viren-Pattern nicht aktuell
Sicherheits-Patches nicht auf dem
neuesten Stand
Idee: Zugangskontrolle unter Berücksichtigung der Client-Konfiguration
Prüfung der Client-Konfiguration durch zusätzliche, während der Authentisierung
übertragene Informationen
Wer bist du? + Wie bist du konfiguriert?
Health Check - Assessment
Endpoint Compliance / Desktop Integrity
Authentisierung
Prüfung Client-Konfiguration
34
Verwendung von EAP über IEEE 802.1X als Vehikel, um die Client-Konfiguration in
den Prozess der Zugangskontrolle einfließen zu lassen
Herstellerspezifisch, aber 1X-konform!
Agenten-basierte Integritätsprüfung mit RADIUS Proxy
IEEE 802.1X
Authenticator
IEEE 802.1X
Authentication Server
IEEE 802.1X
Supplicant
Desktop Integrity
Agent
Prüfer Desktop Integrity
(RADIUS Proxy)
Übertragung Daten zur Authentisierung und
Client-Konfiguration über spezielle EAP-MethodeAuthentisierung
wie gewohnt
Prüfung Client
ConfigurationAccess AcceptAccess Accept
35
Trusted Network Connect (TNC)
36
Überprüfung des Endgeräts
Vulnerability Scanner und Traffic
Analyser
Auswertung der Client-Agent
Informationen durch Policy
Decision Point
TNC – Profiling
Metadata Access Point (MAP)Access Requestor (AR) Policy Decision Point (PDP)Policy Enforcement Point
(PEP)
Network
Access
Layer
Integrity
Evaluation
Layer
Integrity
Measurement
Layer
Integrity
Log
Platform Trust Service
(TPS)
TSS
TPM
Network Access
Requestor (NAR)Policy Enforcement
Point (PEP)
Network Access
Authority (NAA)
Metadata Access Point
(MAP) Server
IF-PEP
TNC Client (TNCC)
Integrity Measurement
Collectors (IMCs)
TNC Sever (TNCS)
Integrity Measurement
Verifiers (IMVs)
Other Network
Elements (IDS, IPS,
etc.)
IF-IMC
IF-M
IF-TNCCS
IF-T
IF-IMV
IF-P
TS
IF-MAP
IF-MAP
IF-MAP
IF-MAP
IF-MAP
Fragen?
38
Folge: Komplexe Netz-Konfigurationen
Problembereiche bei VRF:
Schlechte Skalierbarkeit
(Anzahl der VRF-Instanzen)
VRF ist nur in statischen Situationen
sinnvoll
Wenn häufiger Mandanten / Sicherheits-
zonen neu hinzugenommen oder wieder
entfernt werden müssen, ist VRF in der
Regel ungeeignet.
VLAN zur logischen Netztrennung
VLAN
Tagging
Außen-
anbindung
Core Switch
VRF
VRF
Global
Distribution Switch
Access Switch
Server Switch
VLAN
Tagging
VLAN
Tagging
Sicherheitselement
(Firewall, IPS)
39
Zulassen/Sperren von Datenpaketen gemäß Filterliste
Auf Basis von IP-Adressen, TCP- und UDP-Ports, ohne Speicherung von
Verbindungsinformationen (zustandslos)
Vorteile
keine weitere Netzkomponente
vergleichsweise hohe Performance möglich
(VLAN ACLs laufen z.B. bei einem Cisco 6500 in der Hardware)
Problem: Zuordnung von Antwortpaketen
Filterung von VoIP, RPC-basierte Protokolle (z.B. DCOM, CORBA), UDP-basierte
Protokolle (z.B. RADIUS) überhaupt sinnvoll möglich?
Grenzen von ACLs
Kriterien:
Policy mit ACLs überhaupt umsetzbar?
Komplexität der resultierenden ACLs akzeptabel?
Management komfortabel genug?
Logging bei Regelverletzungen möglich?
Policy erlaubt ACL
basierend rein auf
IP-Adressen?
ggf. Prüfung im Einzelfall:
Ist ACL sinnvoll machbar?
ACL verwenden
Stateful Inspection FW verwenden
j j
n n
40
Erhöhter Betriebsaufwand
Trouble Shooting
Anpassung / Ergänzung diverser Betriebsprozesse erforderlich
Change Management, Incident Management,Problem Management
Monitoring und Reporting
Beispiel: Update einer Virenschutz-Software auf den PCs. Neue Softwareversion und Windows Supplicant vertragen sich nicht. Konsequenz: Alle Nutzer können nicht mehr arbeiten.
In entsprechenden Change-Prozessen Prüfpunkt vorsehen, der abfragt, ob ein Change potentiell Seiteneffekte für NAC haben kann.
Möglichkeit zur Notabschaltung von NAC und entsprechende Werkzeugunterstützung notwendig
Einfache und schnelle Schaffung eines temporären Zugangs durch den 1st-lvl-support für berechtigte Nutzer, die ein technisches Problem beim Netzzugang melden
Beispiel Extreme Networks / Enterasys: Registrierung der MAC-Adresse und Zuordnung zu einer Gruppe, in der nur für einen beschränkten Zeitraum ein Zugang erlaubt ist (wenige Mouse Clicks)
Betriebsaspekte
Planung und
Beschaffung
Installation /
Inbetriebnahme von
IT-Komponenten
Außerbetriebnahme
von IT-Komponenten
Notfallvorsorge und
Disaster Recovery
Betrieb von
IT-Komponenten
Network Access Control (NAC)
41
Vbox VMs stören einander
…
42
Vbox VMs stören einander
Windows Quiet-Time von 1200 sec.