Secure Networks – eine ganzheitliche Sicherheitsarchitektur Secure

Transcription

Secure Networks eine ganzheitliche
Sicherheitsarchitektur
Wired, Wireless LAN und Quality Service Aspekte
Markus Nispel
Central & Eastern Europe
Enterasys Networks
Office of the CTO
[email protected]
Unternehmensinformation
Eines der ältesten Netzwerkunternehmen am Markt
—
—
—
Spin Off von Cabletron Systems im 2000
Historie zurück bis 1986
Mehr als 700 Mitarbeiter weltweit in 30 Ländern
Enterprise Technology Leader
—
—
Komplettes Produktportfolio für IP Connectivity-Lösungen
Mehr als 17 Jahre Innovation; 750+ Patente
Loyale installierte Kundenbasis
— 28000 Kunden weltweit
— Global verteilter Umsatz
<
50% ausserhalb der USA
<
17% in CEE (Central&Eastern Europe)
Go to Market
— Indirekt über Distribution und Partner
— Strategische Partnerschaften wie z.B. mit Siemens, SAP etc.
Finanzielle Daten
—
$80 mio USD in Q1 2005
$120 mio USD cash
—
Keine Schulden
—
Sicherheitszwischenfälle steigen stetig
Die Anzahl von
gemeldeten
Virusattacken ist
gestiegen (von 21.000
in 2000 auf 105.000 in
2004)
Die weltweiten Kosten
von Wurm- und
Virenattacken werden
auf ca. 180 Mio Euro
pro Jahr veranschlagt
Das Corporate IT
Forum (UK) hat
berechnet, dass jeder
Zwischenfall im
Schnitt ca. 200.000
Euro kostet
Klassischer Schutz der Unternehmen
Historischgewachsene NetzwerkSicherheit
—Demilitarisierte Zonen (DMZs) zwischen
Internet und Unternehmen
—Verkehrskontrolle und –filterung durch
Firewalls
—Intrusion Detection Systeme
Sichere Internetverbindung
—Signifikante Minimierung der Attacken von
Ausserhalb
Doch…
—Es gibt andere IT-Sicherheitslücken, um
das Unternehmen anzugreifen
Heutige Angriffsziele sind beliebig verteilt
Traditionelle Perimeter-Security
reicht nicht mehr aus
—Geschäftskritische Anwendungen sind
immer mehr abhängig vom Internet
(Email, Web, Messenger)
—Anfälligkeit der Endgeräte nimmt zu
und erfodert effektives und schnelles
OS/Virus Security Patch Management
bzw. ein Verhindern des Anschlusses
infizierter Geräte an die
Netzinfrastruktur
—Steigende Mobilität der Mitarbeiter
erhöht das Gefahrenpotential
zunehmend (Laptop, PDA,
SmartPhones, Blackberry, etc)
—66% aller Angriffe kamen von innen
(Mummert&Partner, März 2003 in
Deutschland)
Physical Differences
Zukünftige Anwendungen – neue Herausforderungen
HVAC
WiFi Cell
IP Video
Surveillance
IP phone
W/ screen
IP phone
PDA’s
ModTCP
Machines
IP Enabled
Printers
Wearable
Computers
Laptops
Medical
Servers
PC
Logical Differences
Vielfalt von Endgeräten – hohe Angriffsfläche
Anzahl der Endgeräte pro Kategorie für ein Unternehmen mit 10.000
Mitarbeitern (Dell´Oro)
40000
30000
20000
10000
0
2000
2002
2005
2008
Production Systems
RFID Inventory
Security Video
Building Control
Multi-Modal Devices
IP Phones
Office Productivity
Conferencing
Server
PC Desktop
Laptop
Traditionelle Endgeräte: eine Vielzahl von Problemen
Das korrekte Service Pack oder die aktuellen Patches sind nicht
installiert
Der korrekte Virenscanner ist nicht aktiv oder die aktuellen
Signaturdateien sind nicht installiert
Routing ist nicht deaktiviert. Ein VPN oder RAS Client mit aktiviertem
Routing kann ein Sicherheitsrisiko darstellen.
Für die Internet- und/oder Wireless-Schnittstelle ist keine Firewall
installiert, oder diese ist nicht aktiv
Es ist kein Bildschirmschoner mit Passwortschutz und einer
entsprechenden Aktivierungszeit vorhanden
Neue Endgeräte: frühe Probleme mit Sicherheit
When medical-device equipment gets sick
Medical-device manufacturers such as Philips Medical Systems typically prohibit hospital
IT administrations from applying software updates on their own to medical equipment regulated
by the Food and Drug Administration (FDA). Many devices aren't allowed to run anti-virus
software either since this might slow down the medical application.
Network World Fusion, 07/19/04
Symbian bugged by Mosquito bite
Users of mobile phones running the Symbian operating system are vulnerable to a
Trojan contained in an illegally adapted version of the Mosquitos game, Symbian said Thursday.
IDG News Service, 08/13/04
Duts.1520
The next virus threat: IP telephony
By Angus Kidman, ZDNet Australia 18 June 2004
Vendors have long recognised the potential for attacks via IP telephony networks.
"Voice networks are juicy targets for hackers with ulterior motives," … notes in
a white paper on the topic. "The main issue with voice networks today is that they
are generally wide open and require little or no authentication to gain access."
•FDA reads riot act to device makers
•Medical devices such as ultrasound and radiology systems often rely on commercial
•off-the-shelf software, including Windows and Unix, that requires continuous patching
• for security. But increasingly, hospital IT administrators are voicing complaints that
•manufacturers are failing to patch Windows-based equipment quickly or at all, which
•then fall prey to computer worms. This not only disrupts hospital operations but poses
• a potential safety hazard to patients.
•Network World, 08/16/04
Vielzahl von Endgeräten – Vielzahl von Problemen
Fremdsysteme am Netz können nur sehr schlecht verifiziert werden
—Notebooks von Gästen und Service Technikern
—Handy s mit GSM und WLAN von Gästen und eigenen MA
—Industrieanlagen Controller von verschiedensten Herstellern
—Sicherheitskamera s und Facility Management Sensoren etc.
Vielzahl an Betriebssystemen
—Keine reine Microsoft Welt mehr
—Symbian (Anfang 2005 schon 30 bekannte Viren)
—Palm
—Pocket PC
—(Embedded) Linux
—Proprietäre Bestriebssysteme
Eine Agenten-Basierte Sicherheits-Lösung (z.B. auf der Basis von
802.1x) wird nur für eine begrenzte Anzahl von Endsystemen in der
absehbaren Zukunft funktionieren
Sicherheitsprobleme in VoIP Umgebungen
Denial of Service (DoS) Attacken
— Angriff auf Sprachkommunikation
Call Interception
— Mitlesen von Sprachpaketen
Signal Protocol Tampering
— Manipulation von Gesprächen
Presence Theft
— Vortäuschen eines Benutzers
Toll Fraud
— Unerlaubtes Aufbauen von Gesprächen
Call Handling OS
— Nicht gehärtete Betriebssysteme, auf denen
die VoIP Dienste laufen
Konvergenz erfordert zwingend ein
sicheres Netzwerk
Ein Beispiel: Anforderung an VoIP
Typische Quality of Service (QoS) Anforderungen
—Kleine Verzögungszeit (Delay)
—Minimaler Jitter
—Minimale Packet Loss
—Keine Out of Order Packets
Ein Beispiel: Quality of Service für IP
Herkömmliche Sprache arbeitet verbindungsorientiert
IP arbeitet aber verbindungslos: Wie kann man Sprache nun auf IP
abbilden?
Tools
—Klassifizierung und Markierung von Paketen auf Layer 2-4 (inkl. 802.1p, ToS,
DiffServ)
—Queueing, Rate Limiting, Buffer Management
Egress
Interior
Ingress
Egress
router
router
router
router
Client
First hop
router
Data server
Client
Client
Ein Spezialfall: QoS über Wireless LAN - IEEE 802.11e
Ein aktueller Draft zu QoS über WLAN
—WLAN an sich ist ein shared Medium, daher schwierig zu realisieren
—Vorab Standard durch WiFi Alliance als Subet von 802.11e
< WMM WiFi Multi Media
– http://www.wi-fi.org/OpenSection/wmm.asp
< Ähnlich wie WPA als Subet von 802.11i vorab standardisiert wurde und in WPA2
aufgeht
Erweiterungen von 802.11e
—Traffic differentiation
—Transmission Opportunity (TXOP)
—Enhanced DCF (contention-based)
—HCP controlled channel access (contention free)
—Burst ACK (optional)
—Direct link protocol (DLP)
802.11 MAC Architecture
IEEE 802.11 MAC Architecture
•
•
•
IEEE 802.11e MAC Architecture
DCF : A contention-base access for 802.11.
PCF : An option to support contention-free access in 802.11.
Hybrid Coordination Function (HCF): IEEE 802.11 Task Group E (TGe)
proposes HCF to provide QoS for real-time applications.
802.11e/WMM EDCF – Traffic Category
EDCF erlaubt differentierten Zugriff für 8 verschiedene Prioritäten – ähnlich dem
IEEE 802.1D priority tag (802.1p)
— Prioritäten sind numeriert von 0 (lowest priority) bis 7 (highest priority).
EDCF definiert sog. access categories (AC)
Eine AC ist eine erweiterte Variante des DCF mit unterschiedlichen transmission
opportunity (TXOP) durch Nutzung mehrerer Parameter wie z.B. CWmin[AC],
CWmax[AC], AIFS[AC], etc.
Achtung: Aufgrund bestimmter Effizienzkriterien ist WMM/eDCF nur ab 54 Mbit/s
Signaling Rate wirklich nutzbar !
Zur Info
802.11a (5 Ghz, 54 Mbit/s Signalrate) Durchsatz beträgt ca. 24Mbit/s
802.11g (2,4 Ghz, 54 Mbit/s Signalrate) ohne 11b ca. 21Mbit/s
802.11g mit 11b Client assoziiert, der jedoch keine Daten überträgt ca. 14Mbit/s
Gesamtdurchsatz mit 1 11b und 1 11g User mit File Transfer ca . 8Mbit/s (4Mbit/s
per User)
802.11b (2,4 Ghz, 11 Mbit/s Signalrate) Durchsatz approx 6Mb/s
EDCF – Access Category (AC)
EDCF – Access Category
Die Parameter werden in Beacon Frames übertragen
Default QoS Parameter:
Secure Networks™ Technical Vision
Access Control
Windows
XP/2000 Desktop
Proactive Protection
Assisted Remediation
Dynamic Response
Interactive Authentication
(MAC, WEB, 802.1X,
Multi-User Auth)
System Level Interaction
(TES-AB)
Automated System Level
Remediation
(DIR)
Interpreted Authentication
(Device Detection,
MAC/Policy Mapping,
Multi-User MAC Auth)
Network Embedded Trust
Analysis (TES-NB)
Manual System Remediation
Integrated Anomaly Control
(Flow Setup Throttling)
Windows 2000
/2003 Server
Windows NT, 95,
ME
Linux, MacOS,
OSX, Unix
Other Desktop
OS
IP Phones
Video Phones
Control Systems
Copiers, Faxes,
Printers
PDA’s
Security Systems
Medical Instruments
Other Devices
Secure Networks - Authentication
und gleichzeitige Integration in
bestehende Benutzerverwaltungstools.
Current Authenticated Areas
802.1x,
Web, MAC Auth.
802.1X Authenticated
Areas
Enterprise
WAN
Internet
RAS
Server / NOS / Directory
Verschiedene Auth-Verfahren pro Port notwendig
802.1x Port based Authentication
— über Digitale Zertifikate, Biometrische Verfahren, User/Password oder OTP (One Time
Password)
— EAP-TLS, PEAP, EAP-MD5 oder EAP-TTLS via Radius Server
MAC based Authentication
— über die MAC Adresse des Nutzers durch den Radius Server
Web based Authentication
— Über URL redirect auf lokalen HTTP Server integriert im Switch und dann via Radius
Server (ähnlich einem WLAN Hotspot)
CEP (Automatische Convergence Endpoint Detection)
— Automatische Erkennung von IP Phones via H.323 Registierung, Siemens CORNET IP
oder Cisco CDPv2 und zukünftig via 802.1ab LLDP-MED
Default Authentication Role
— Freischaltung einer Basisfunktionalität ohne Authentisierung
Mehrere Nutzer, Policies und Auth-Verfahren pro Port
Nutzer sind am Access
Switch/Hub/Mini Switch
angeschlossen
Enterasys
Matrix
N-Series
Backbone
Access
Nutzer Authentisierung und Policy Control
werden am Distribution Layer durchgeführt
MAP – Multi User Authentication AND Policy
— über diese Technik kann kostengünstiger migriert werden ohne alle Access Switches
austauschen zu müssen (ist bei Mini Switch Lösungen oft technisch gar nicht möglich)
— Bei Sicherheitsbewertung immer noch eine Trennung der Nutzer untereinander möglich
— Nicht zu verwechseln mit
MUA – Multi User Authentication anderer Hersteller
— dort sind alle Nutzer an 1 Port sind im gleichen Vlan, keine Separierung mehr möglich
— teilweise über Guest Vlan o.ä. Rudimentäre Trennung möglich
802.1x - EAP Authentication Exchange
Radius Client/Server Protokoll
Überprüfen von
Benutzerinformationen
Optional ist der Austausch von
Konfigurations-parametern zum
Client möglich
RADIUS Extensions, RFC 2869
z.B. für EAP
Grundkonzept von EAP
EAPMethode
Cipher
Suite
eigentliche Authentifizierung
EAP-API
Peer
EAPMethode
EAP-API
EAP-Dialog
NAS
Lediglich vier Nachrichtentypen:
EAP-Request
EAP-Response
EAP-Success
EAP-Failure
AAA
Server
Cipher
Suite
Der Dschungel der EAP-Methoden
Methode
MD5
OTP
GTC
EAP TLS
EAP SIM
EAP AKA
EAP TTLS
PEAPv0/1/2
MSCHAPv2
EAP SSC
EAP GSS
EAP TLS SASL
EAP MAKE
EAP PSK
EAP FAST
MD5 Tunneled
EAP TLV
EAP SRP-SHA1
EAP SecurID
EAP Arxchie
EAP Bluetooth
EAP LDAP
EAP SKE
EAP GPRS
EAP IKEv2
Nr
4
5
6
13
18
23
21
25
26
27
43
33
19
32
-
veröffentlicht
unter
angefordert
durch
Status
RFC2284bis
RFC2284bis
RFC2284bis
RFC2716
draft-haverinen
draft-arkko
draft-ietf-pppext
draft-joseffson
draft-kamath
draft-urien
draft-aboba
draft-andersson
draft-berrendo
draft-bersani
draft-cam
draft-funk
draft-joseffson
draft-ietf-pppext
draft-joseffson
draft-jwalker
draft-kim
draft-mancini
draft-salfarelli
draft-salki
draft-tschofenig
"Baseline"
"Baseline"
"Baseline"
"Baseline"
3GPP
3GPP
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
IETF
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
Hersteller
RFC
RFC
RFC
RFC
Submit
Submit
I-D
I-D
Expired
I-D
Expired
Expired
Expired
Neuer I-D
Neuer I-D
I-D
Expired
Expired
Expired
Expired
Neuer I-D
Expired
Expired
I-D
I-D
EAP-MD5
RFC 2284 bzw. RFC3748
Passwort-Authentifizierung über MD5-Hash
(entspricht CHAP in PPP)
Nur Authentifizierung des Clients
Liefert kein Schlüsselmaterial
—Daher z.B. ungeeignet für WLAN (WPA und IEEE 802.11i)
Akzeptabel bestenfalls für drahtgebundene Client-Anbindung
EAP-TLS
RFC 2716
Transport Layer Security
Zertifikatsbasiertes Authentifizierungsverfahren (z.B. bei SmartCards in
Windows 2000 VPN)
Nutzung von X.509-Zertifikaten setzt PKI (Public Key Infrastruktur)
voraus
Kann Schlüsselmaterial liefern
Wird bei Wi-Fi-Zertifizierung für WPA verwendet
Authentifizierung im Tunnel: Beispiele
EAP-TTLS (Draft) (Tunneled TLS Authentication Protocol)
—Aufbau eines kodierten, authentifizieren Tunnels zwischen Sender und
Empfänger; Authentication Server benötigt Zertifikat, Client nur ein Passwort
—Inneres Authentifizierungsprotokoll beliebig
< „Vorteilhaft“ für Integration von Legacy-Methoden
(PAP, CHAP, MSCHAPv1, ...)
—Kann Schlüsselmaterial liefern (via äußerem TLS-Tunnel)
EAP-PEAP (Draft) (Protected EAP
—Beliebige EAP-Methode als inneres Authentifizierungsprotokoll
—In der Praxis:
< Microsoft Windows XP: EAP-MSCHAPv2
—Kann Schlüsselmaterial liefern (via äußerem TLS-Tunnel)
802.1X Authentication
Challenge wenn kein Credential definiert ist
!
"
#
% &'
!
&
$
(
Dynamische Policies (zunächst ohne Sicherheitsbewertung)
Zugriff erteilt mit
entsprechender
Policy
Policy dekodiert
und ihn
Classification
Regeln umgesetzt
MAC, PWA oder EAP
Login
Benutzer/Policy
Zuweisung
Radius
Authentication
NOS/Directory
RADIUS Server
Policy und Classification
Sets werden per
SNMPv3 verteilt
Policies – Security UND Quality of Service pro Port
User-based
Port-based
Switch-based
Access Control
Layer
Layer 22
Deny
Layer
Layer 33
Permit
MAC
MAC Address
Address
EtherType
EtherType (IP,
(IP, IPX,
IPX, AppleTalk,
AppleTalk, etc)
etc)
IP
IP Address
Address
IP
IP Protocol
Protocol (TCP,
(TCP, UDP,
UDP, etc)
etc)
ToS
ToS
Port
Contain
Layer
Layer 44
TCP/UDP
TCP/UDP port
port (HTTP,
(HTTP, SAP,
SAP, Kazaa,
Kazaa, etc)
etc)
Class of Service
Groups
Priority/QoS
Rate Limit
User
Paketklassifizierung (von Layer 2 bis 4) am Access Switch für beliebige
Dienste
Groups
— VLAN Definition
— Access Control
— Rate Limiting
— Priority Queueing
die dynamisch durch das Benutzerprofil geändert wird
Authorisierung und Policy Management
Roles, Services , Rules
Network
Administrator
Student
Faculty
Administrative
Protocols
Legacy
Protocols
Acceptable Use
Guest
Deny Faculty
Server Farm
Internet Only
Allow HTTP
Allow DNS
Allow DHCP
Deny ALL
Deny IP Range
Drop DecNet
Drop IPX
Drop Apple
Deny IPX
Deny Apple
Deny OSPF
Deny RIP
Deny DHCP Reply
Deny TFTP
Deny Telnet
Deny SNMP
Secure Networks – Policy Management cont´d
Prioritätszuweisung und Rate Limiting auf Layer 2/3/4
— Beim Einsatz von Voice over IP und anderen Applikationen reicht die Priorisierung auf
VLAN oder IEEE 802.1p Ebene nicht aus. Applikationen können nur aufgrund von
Layer 4 Informationen unterschieden werden – der Switch muss dies entsprechend
unterstützen. Ansonst ist keine differenzierte Servicezuweisung möglich.
— Bei VOIP (H.323 und SIP) und anderen Protokollen auf UDP/RTP Basis ist dies noch
etwas komplizierter – die Layer 4 Ports werden dynamisch ausgehandelt. Damit kann
hier nur die Layer 3 Information (IETF Standard DiffServ – DSCP DiffServ Code Point,
alt TOS Byte) ausgewertet werden. Auch dies muss das Endsystem unterstützen und
wird typischerweise auch untersützt und dort gesetzt.
— Layer 2 Protokolle wie IEEE 802.1p hingegen sind nicht durchgängig nutzbar –
Softphones auf dem PC zum Beispiel unterstützen dies über die Adapterkarte des PC s
typischerweise nicht.
— Damit ist man hier auf DSCP festgelegt. Der DSCP Wert wird jedoch vom Endsystem
gesetzt: Wie kann man garantieren, dass auch nur VOIP mit hoher Priorität (z.B. DSCP
Wert EF = Expedite Forwarding) übertragen wird ? Eigentlich gar nicht mit einem
Ethernet Switch (nur Proxies oder ALG Application Level Gateways könnten dies –
diese stehen aber nicht an jedem Switch Port), deswegen kommt hier direkt „Rate
Limiting“ ins Spiel. Damit wird dann zwar geringe Latency und Jitter garantiert für die
Service Klasse „EF“ aber auch nur limitierte Bandbreite bereitgestellt. Damit hat eine
„Fehlkonfiguration (absichtlich oder unabsichtlich)“ auf dem Endsystem, die versucht,
einen Datentransfer über „EF“ abzuwickeln, keinen Einfluss auf die Service Qualität
anderer VOIP Verbindungen
Wireless: Zusätzlich Verschlüsselung
notwendig - Wifi Protected Access - WPA
Nutzt ein Subset von of 802.11i, ohne dass neue Hardware notwendig
wird
2 Varianten: WPA im Unternehmensnetzten (mit
Authentisierungsserver) und WPA im SOHO Bereich (Pre-shared
key – Achtung: Wenn der PreShared Key schwach ist, dann ist
hier WPA(2) angreifbar. Das wird aktuell in polemischen Artikeln
als Knacken von WPA dargestellt !!!!!!!!)
—802.1X Port based Network Access Control
—BSS
—Key Hierarchy
—Key Management
—Cipher&Authentication Negotiation
—TKIP (Temporal Key Integrity Protocol)
TKIP – Temporal Key Integrity Protocol
TKIP als wichtigester Bestandteil realisiert folgende Funktionen
—per packet key construction
—extended Initialization Vector (48 Bit IV) and sequencing
< Extend the IV from 24 to 48 bits; include in each frame
– use the IV as a sequence number
< IV management rules:
– Reinitialize IV to 0 when the base key is established
– IV is a strictly increasing 48-bit counter
– Receiver discards any packets associated with the same key where the IV value less than a
previously received packet
- Defends Against Replay Attacks, IV Collision Attacks
—Message Integrity Code (MIC) called Micheal
—Key Derivation and Distribution
< Rapid Rekeying RrK (through the use of EAP-TLS (or PEAP, TTLS)
TKIP – Key Generierung und Verteilung via EAP-TLS
EAP-TLS Authentication
Authenticator
Supplicant
WLAN
Authentication
(RADIUS) Server
derive
session key
!
!
"
derive and
pass session
key to AP
WEP Keys delivered through AP,
with Session Key protected
802.11i / WPA2 - Security
Aktuell als kryptograpsich sicher einzustufen
Verfügbarkeit der Produkte steigt z.Zt. Extrem an
Funktionen:
—802.1X Port based Network Access Control
—BSS
—IBSS
—Pre-Authentication
—Key Hierarchy
—Key Management
—Cipher&Authentication Negotiation
—TKIP (Temporal Key Integrity Protocol) or
—CCMP (use of AES encryption in CBC mode to create MAC and encrypt
data packets. New 802.11 encryption standard )
802.11i - CCMP
Overview of today´s WLAN Security Shemes
WEP
WPA
WPA2
Cipher
RC4
RC4
AES
Key Size
40 bits
Key Life
24-Bit IV
48-bit IV
48-bit IV
Packet Key
Concatenated
Mixing Function
Not Needed
Data Integrity
CRC-32
Michael
CCM
Header Integrity
None
Michael
CCM
Replay Attack
None
IV Sequence
IV Sequence
Key Management
None
EAP-based
EAP-Based
128 bits encryption
128 bits
64 bits authentication
WPA und IEEE 802.11i Vergleich
WPA ist vorwärts-kompatibel mit IEEE 802.11i.
WPA ist ein Subset von 802.11i, insbesondere 802.1x und TKIP
Access Control
Windows
XP/2000 Desktop
Dynamic Response
(MAC, WEB, 802.1X,
Multi-User Auth)
(TES-AB)
Remediation
(DIR)
(Device Detection,
MAC/Policy Mapping,
Analysis (TES-NB)
Windows 2000
/2003 Server
Windows NT, 95,
ME
Linux, MacOS,
OSX, Unix
Other Desktop
OS
IP Phones
Video Phones
Control Systems
Copiers, Faxes,
Printers
PDA’s
Security Systems
Medical Instruments
Other Devices
Trusted End System – Warum
Es ist nicht nur wichtig, WER auf das Unternehmensnetz zugreift,
sondern auch, WELCHES SICHERHEITSNIVEAU die verwendete
Hardware dieses Users (falls es überhaupt ein „User“ im herkömmlichen
Sinne ist oder „nur“ eine Maschine/Sensor) hat. Hieraus sollten dann
entsprechende Zugriffs- oder Quarantäne-Eigenschaften abgeleitet
werden.
Trusted End System Lösungen
Trusted End System
Client Agent-Based
Assessment
Network-Based
Assessment
Industry Assessment Technologies
Secure Networks™ Policy-Enabled Infrastructure
Trusted End System Agent-based (TES-AB)
Mögliche Funktion mit TES-AB heute (Zonelabs & Sygate
Technologie)
—stateful desktop firewall blockt unerlaubten Verkehr zum Desktop in
unsicheren Netzen und vermindert so die Wahrscheinlichkeit einer Infizierung.
—Application control kontrolliert die Rechte einzelner bekannter und auch neuer
Applikationen auf dem Desktop je nach Lokation („Zone“)
—Instant messaging security kann IM verschlüsseln und blockt eingehende
Angriffe
—MailSafe email protection schützt vor potentiell gefährlichen Email Attachments
und schützt das Email Adressbuch, welches gerne zur Weiterverteilung von Email
Würmern genutzt wird
—Antivirus Enforcement stellt sicher, dass auf dem Desktop ein entsprechender
Antivirus Scanner installiert und die aktuelle Version der Virusdefinitionen vorhanden
ist
Zukünftig Integration von Microsoft NAP geplant
Mittelfristig werden Lösungen der Trusted Computing Group (TCG) mit
Ihrer Trusted Network Connect Sub-Group als Teil der TCG
Infrastructure Work Group mit einfliessen
Agent-Based Assessment (TES-AB)
2
5
%
3
$
*
(
$
(
:
!"
!"
4
$
'
(
)
+
5*
(
- 9
&
#
!$
% &#
,
"
% &#
& (
-
:
4
5
(
*
! ;
,
-
5
!"
+*
#(
(
/'
+
*
$
6
% &# ;
8
*
4*
!
"
#$
%
&'
&'
&
/ &
$
$ * (
-
)*
0
.
(
(
$
'
#
.
*
(
(
/*
(
1%
('
/*
2
$
0*
(
3 %
/
('
(
-
4
'
5
$ *1
(
/' 6
4 '/7 $ 4
%
8 1%
,*
1*
&
Was sind die Vorteile von TES-AB ?
Sehr gute Kontrolle des Endsystems
— Zusätzliche Intrusion Prevention auf dem Endsystem
— Zusätzliche Personal Firewall sorgt für mehr Sicherheit
— Beliebige Programme auf dem Endsystem kontrollierbar
Keine Verzögerung durch Scans etc auf dem Endsystem
— Der Agent hat schon im Vorfeld den Status des Endsystems ermittelt und
überträgt diesen einfach mit der Authentisierung mit
Trusted End System Network-based TES-NB
mögliche Funktionen mit TES-NB
— Remote Vulnerability Assessment (ohne Agent)
— Geräte-Typ Identifikation (User, Gerät, Access point, etc.)
— OS fingerprinting (Windows, Linux, etc)
— Compliance Monitoring
— Location based Secure Networks
— Blacklisting
— Mit und ohne Authentisierung möglich !
— Mehr dazu
http://www.enterasys.com/de/products/whitepapers/securenetworks_tesnb.pdf
Abhängig von den verwendeten Tools
— API für
< Vulnerability Scannern
< Desktop Management Systemen
< Patch Management Systemen
< Inventory Management Systemen
Network-Based Assessment (TES-NB)
(5
,
0
)
%
*
!"
(
(
0
,
65
8 5
*
4
4
/' 1%
%
(
.
(
!"
'
)
$ *
7
&
&
"
!
%
#
!$
.
+
8
$
7
"
!
#
6*1
*
0
(
%
% (
(
% &#
(
*
+
,
-
*
B
(
*
*
,
$
(
,
)*
+*
4*
!
"
#$
7
-
%
6
(
'
(
= 0
,*
(
*
6
!$
.
@
, 9
.
) %
(
B
(
#
.
(
%
$
. = 0. > %8?
#
(
0
6*
$
- (
4 A
(
@
7
6
=
(
%
'
4
1*
0*
!
(
<
,,
7
- (
&
%*
$
(
'
8(
*1
B
(
(
*
$ -
,
Was sind die Vorteile von TES-NB ?
Minimierung der Auswirkungen von Endgeräten jeglicher Art mit
Sicherheitslücken
Kein Agent notwendig
— Günstiger als TES-AB Lösung
— Beliebige Endsysteme integrierbar (kein OS Support Problem)
— Hersteller-Neutral
— Agent auf Systemen, die nicht unter eigener Hoheit stehen und kein Admin
Account vorhanden ist, unmöglich !
Verringert das Risiko durch neue Benutzer, Besucher etc.
Zentral verwaltbar, wenige Komponenten notwendig
TES-NB ist transparent für sichere Endgeräte
Kann mit beliebigen Vulnerability Assessment und auch Desktop
Management Systemen gekoppelt werden
Kann komplementär zu TES-AB eingesetzt werden
Access Control
Windows
XP/2000 Desktop
Dynamic Response
(MAC, WEB, 802.1X,
Multi-User Auth)
(TES-AB)
Remediation
(DIR)
(Device Detection,
MAC/Policy Mapping,
Analysis (TES-NB)
Windows 2000
/2003 Server
Windows NT, 95,
ME
Linux, MacOS,
OSX, Unix
Other Desktop
OS
IP Phones
Video Phones
Control Systems
Copiers, Faxes,
Printers
PDA’s
Security Systems
Medical Instruments
Other Devices
Remediation – wie sage ich es dem Client
TES-AB Client basiert
— Über Pop-Ups kann dem Client sein Status übermittelt werden. Es können
Links/Tel No etc eingeblendet werden, wie das Problem zu beseitigen ist
— Oder es kann ein automatisches Update zentral gesteuert erfolgen
TES-NB Netz basiert
— Es kann eine Email an den Client gesendet werden
— Es kann ein Redirect to einem Web Proxy erfolgen, auf dessen
personalisierten Portalseite der Nutzer Informationen zu seinem Status
bekommt und wie das Problem behoben wird
— Es muss manuell bei passiven Geräten eingegriffen werden
In dieser Zeit kann über Quarantäne Policies sehr granular
gesteuert werden, was der Nutzer/das Gerät in dieser Zeit noch
machen kann (auf Update Servern, Desktop Mgmt Server
zugreifen, MSoft.com erreichen, Basis Web und Email etc..... Je
nach Sicherheitsniveau)
Access Control
Windows
XP/2000 Desktop
Dynamic Response
(MAC, WEB, 802.1X,
Multi-User Auth)
(TES-AB)
Remediation
(DIR)
(Device Detection,
MAC/Policy Mapping,
Analysis (TES-NB)
Windows 2000
/2003 Server
Windows NT, 95,
ME
Linux, MacOS,
OSX, Unix
Other Desktop
OS
IP Phones
Video Phones
Control Systems
Copiers, Faxes,
Printers
PDA’s
Security Systems
Medical Instruments
Other Devices
Anfälligkeit heutiger Netze für Würmer
• CODE RED
• SO BIG .F
• NIMBDA
• BLASTER
• SLAMMER
• SASSER
SOHO/
Der Mehrwert von Enterasys Secure Networks
• CODE RED
• SO BIG .F
• NIMBDA
• BLASTER
• SLAMMER
• SASSER
SOHO/
Dynamic Intrusion Response - DIRS
$
2
%
NetSight ATLAS Policy
Manager erstellt neben den
normalen Nutzer-Policies
(Role) eine spezielle
“QUARANTINE” Role
"
!
"
8
#$
;
%
9
( Nachdem der
Eingangsport des Angriffs
erkannt wurde, führt der
ASM eine statische
Änderung der dynamischen
Nutzer-Policy am Port durch
'
'ragon NIDS/HIDS erkennt
einen Security Event
ausgehend von einer
bestimmten IP Adresse
$
$
%
( Dragon EMS sendet
den Event mit allen nötigen Informationen
als Alarm an Netsight ASM.
:
&
"
&
(
NetSight Atlas
Automated
Security
Manager ASM
sucht
automatisch
nach der Ip
Adresse auf den
Switchports im
gesamten
Netzwerk
67
/ = 0
)
= ,, 8
Third-Party Integration
Event Detection
3rd Party
IDS/IPS
Events können per Dragon HIDS aufbereitet
werden als SNMPv3 Informs für den NetSight
Atlas Automated Security Manager.
3rd Party Layer 2
Infrastructure
3rd Party
Firewall
3rd Party Layer 3
Infrastructure
3rd Party
Operating
Systems
3rd Party
Applications
Secure Event
Gateway
NetSight
Atlas ASM
Secure API
3rd Party VoIP
Gateways
3rd Party
Security
Appliances
3rd Party e.911
Management
3rd Party
Vulnerability
Assessment
3rd Party
Database
3rd Party
Firewall
3rd Party Trouble
Ticketing System
Actions können auch auf 3rd Party Systemen
realisiert werden. Per Perl Script, 802.1Q MIB,
MIB-II Interface MIB.
Action
Secure Networks Lösungsportfolio
Automated Control
Differentiated
Policy/Authentication
Centralized
Management
Intelligent
Connectivity
Solutions
Service
Components
Product
Components
Intelligent,
High-Speed
Connectivity
Plan/Design
Implementation
Matrix Switching
Secure Guest
Access
Acceptable Use
Policy
Dynamic Intrusion
Response
Single Sign-On
Single Sign-On
Secure Application
Provisioning
Secure Application
Provisioning
Trusted End System
Secure Guest Access
Secure Guest Access
Acceptable Use
Policy
Intelligent
Connectivity
Intelligent
Connectivity
Security Assessment
Plan/Design
Implementation
Security Assessment
Plan/Design
Implementation
3rd Party Integration
NetSight Policy
Manager
Matrix Switching
RADIUS (3rd Party)
NetSight Policy
Manager
Matrix Switching
Acceptable Use
Policy
Intelligent
Connectivity
Maintain and Manage
Security Assessment
Plan/Design
Implementation
3rd Party Integration
Dragon IDS
RADIUS (3rd Party)
NetSight Policy
Manager; ASM
Matrix Switching

Secure Networks – eine ganzheitliche Sicherheitsarchitektur Secure

Transcription

Similar documents

SG 2012_deutsch_Inhaltverzeichnis

Red Hat Kundenportal 1 RHN Subskriptionsmanagement

LOCK DOWN procedure

nitrobit produkt broschüre

Man in the middle - Die Zukunft des Phishings

PDF, 5.7 Mb - Universität Zürich

Datenblatt

Gateway E-Mail - Anwenderdokumentation - BAG