2014 Extreme Networks, Inc. All rights reserved. Network Access Control NAC

Transkript

1 Network Access Control NAC

2 Warum eigentlich NAC? Im Grunde geht es bei NAC um die Fragen Wer darf sich im Netz anmelden? Wie darf jemand im Netz kommunizieren? Was ist für jemanden im Netz erreichbar? Wo darf jemand Zugang erhalten?

3 NAC ist ein Prozess Der NAC Prozess besteht aus vier Teilen: Rollen (Wer?) - Nutzer, Gerät, Nutzer&Gerät Rechte (Wie?) - Gast, Mitarbeiter, Administrator Ressourcen (Was?) - Internet, , Datenbank, Applikationen Orte (Wo?) - Büro, Campus(mobil), Rezeption (WLAN)

4 NAC nicht nur für Nutzer! Im Durchschnitt sind nur 30% bis 50% aller Systeme Workstations oder Laptops. 50% bis 70% Systeme besteht aus einer Vielzahl von unterschiedlichsten Geräten unter unterschiedlicher administrativer Kontrolle

5 BYOD als Treiber für NAC 81% von Mitarbeitern nutzen mind. ein persönliches Gerät beruflich 1 57% aller Firmen sagen, dass Kosten gesenkt werden, 51% melden Produktivitätssteigerungen 2 Laut Gartner erlauben 90% aller Firmen BYOD < 10% aller Organisationen haben umfassende Kontrolle über alle Geräte im Netz 3 1 Survey Conducted by Harris Interactive Feb. 8-10, Aberdeen July SANS Annual Security Survey April 2012

6 Wer nutzt das Netz? Authentifizierung - Nutzererkennung ist der erste Schritt 802.1x portbasierende Authentifizierung (via RADIUS) MAC-basierende Authentifizierung (via RADIUS) Web-basierende Authentifizierung Statische Port / MAC Konfiguration Dynamische Port / MAC Konfiguration (SNMP) RADIUS Snooping Kerberos Snooping andere Verfahren/Parameter (IP, Hostname etc.)

7 Assessment Agent less: - Network based Netzwerkscanner, prüft das Endgerät von außen - Applet based Java Applet im Browser Agent based: - Thin Agent Agent, der nur zur Laufzeit des Systems vorhanden ist - Fat Agent meist persistente Suite mit Firewall und Host Intrusion Detection

8 Assessment - Clientprüfung

9 Authentifiziert was nun? Autorisieren Autorisierung Port/VLAN Zuweisung (RFC 3580 mittels 802.1x und RADIUS) Weit verbreitet / standardisiert Logische Trennung Nicht verkehrsspezifisch Port-Sperrung In allen Switchen integriert Keine Remediation (Korrektur) möglich Unsicher (kann für DoS Attacken missbraucht werden) Policy Maximale Sicherheit Verkehrsspezifisch Multiple Endsysteme Hoher Zusatznutzen

10 Profile Gerät Ort Applikation Nutzer Mitarbeiter eigenes Gerät Firmen eigenes Gerät Firmengelände / Campus VDI Applications Privilegierter Nutzer Mitarbeiter Gast Gerät Geräte im Home Office Firmen kontrolliertes Gerät Typischer BYOD Fokus Home Offices Öffentlicher Raum Filiale Other Applications Social Media Applications Cloud Applications Consultant Gast Zulieferer / Partner Service Personal

11 Aus Profilen werden Policies Nutzer Gerät Applikation* Access Methode Ort Zeit Policy Gast privat HTTP Wireless Konferenz Raum M F 7 18Uhr Allow Zeitarbeiter Firmen Gerät Facebook Kabel Eingangsbereich Wochenende Deny Angestellter Priviligierter Nutzer Gast Gerät Oracle Salesforce Auth. Methode Klassenraum Außenbereich Ferien Andere Rate Limit Contain Youtube 802.1x Single SSID/VLAN Twitter Web basiert Multiple VLANs VDI MAC IF $User_Identity AND $Device AND $Access AND $Location AND $Time THEN $Permission_Allowed

12 Monitoring Netzwerkscan Nur im Störungsfall wegen starker Ressourcen-Nutzung Prüfung durch Agenten In festen Intervallen Vor jedem Zugriff Client Trennung oder weithin aktiv Kombination NAC mit IDS Schnelle Angriffserkennung mit automatisierter Gegenwehr

13 Monitoring Reporting Wired/Wireless Dashboard und Reporting WIPS und Spektrum Analyse Echtzeit Forensik und Analyse Webbasierte Suche und Troubleshooting Maps und Location Tools Konfiguration & Mgmt Zentralisierte Konfiguration Automatische Provisionierung geplante Provisioning Policy Management Inventar Management Echtzeit FlexView Konfigurationsüberprüfung Identität & Zugang BYOD Engine Device Discovery und Fingerprinting Nutzer und Geräte Registrierung Kontext basiertes Policy Enforcement Apple Bonjour Unterstützung Sicherer Gastzugang mit SMS/

14 Maps Kartenimport, Gebäude, Flure, Pläne etc.

15 End-System Status

16 Automation Nutzerprofile ausrollen Neue Nutzer mit einem Klick provisionieren Netzwerk Planung Rollen und Policies vorprovisionieren später automatisch ausrollen QoS Profile zuweisen VLANs dynamisch anlegen/verwalten Nutzer/Geräte/App abhängig Geräteübergreifend Netzwerkverhalten anpassen auf Switches, Router, FW, APs etc.

17 Policy basiertes Netzwerk Rolle IT Admin Mitarbeiter Gast Rollen korrespondieren mit Nutzertypen im Netzwerk und bedienen sich Services Services Admin. Applikationen Firmen Applikationen Internet & VPN Services gruppieren Regeln Regel Allow SNMP Allow Ping Allow TFTP Allow Telnet Allow Oracle Allow SAP Allow Rate Limit Allow IPSec Allow HTTPS Allow HTTP Deny Bcast Regeln allow, deny, rate limit oder spezifischer Verkehrstyp 17

18 Analyse Wie verhält sich das Netz? Antwortzeiten, Auslastung, Sicherheit Wer nutzt das Netz? Mitarbeiterverteilung Gasterkennung Fehlersuche /-behebung Historie, unerlaubte Applikationen

19 Analyse ein Muß

20 Analyse mit Purview

21 Top Applikation im Netz

22 Antwortzeiten Netz / Applikation

23 Auslastungshistorie

24 Vendor-Lock oder Offen? Homogene Netze / Green Field eher selten Heterogene Netze und gewachsene Strukturen der Regelfall NAC Appliance oder als VM

25 Herstellerübergreifender Ansatz Voraussetzungen Unterstützung möglichst vieler Authentifizierungsmechanismen Assessments (mit/ohne Agents) Viele Autorisierungsverfahren Offene Standards (RADIUS, LDAP, KERBEROS, RFC 3580 ) Gerätekommunikation Wireless / Kabelgebunden Offene APIs (Schnittstellen) SNMP, LLDP, EDP/CDP, RMON, XML, Python

26 Extreme Networks - NAC OneFabric Connect Zentrales, Herstellerübergreifendes Management Element, Inventar, Fehler/Alarme, Konfiguration Wireless und Kabelgebunden NAC Integration Wireless Manager Applikations Analyse (Purview) Integration in Extreme Networks SDN Strategie

27