IT-Symposium

Transkript

1 There is nothing more important than our customers Network Access Control NAC Die Grundzüge einer neuen Technologie Markus Nispel Director Solution Architecture Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung 1

2 Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung NAC ein Markt auf der Höhe des Hype Cycles Lt. Infonetics Research (Infonetics, Jan 06) wird der Umsatz mit NAC Enforcement Produkten auf $3.9 Mrd. am Ende 2008 steigen Typische NAC Enforcement Produkte sind Switches, VPN Konzentratoren, Wireless Switches, Firewalls Im Juni 2006 führte Network Computing US eine Umfrage durch, bei der in über 300 Antworten u.a. den Hersteller von Netzwerkprodukten das größte Vertrauen bei einer NAC Lösung eingeräumt wurde Dennoch wird am Ende des Tages NAC eine Kombination von Netzwerk-, Securityund Desktoplösungen sein Mehr als 35 Hersteller bieten heute NAC Produkte an 2

3 Was ist NAC? eine benutzerfokussierte Technologie, die - ein genutztes Endgerät autorisiert und - Zugriff auf Ressourcen gewährt auf der Basis der Authentisierung der Identität des entsprechenden Benutzers (oder/und Gerätes) sowie auf dem Status des Gerätes im Hinblick auf sicherheitsrelevante Parameter und Einstellungen - Diese Parameter werden im sog. Pre-Connect Assessment ermittelt, d.h. vor Anschluss an die Infrastruktur. - Es sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assessment bezeichnet wird. Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung 3

4 Gartner's Network Access Control Model Policy Baseline Pre-Connect Maintain Access Control Contain Mitigate Post-Connect Monitor Gartner's Network Access Control Model Policy die Erstellung einer Policy ist notwendig, um die Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur und Quarantäne Einstellungen zu regeln. Baseline erkennt den Security Status bei bzw. vor Anschluss an die Netzinfrastruktur Access Control die Zuweisung Zugriffsrechten aus dem Vergleich von Policy und Baseline Mitigation bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patchmanagement und Konfigurationsmanagement erfolgen Monitor es muss laufend überprüft werden, ob der Anfangsstatus sich nicht verändert Contain falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können Maintain es muss eine laufende Anpassung und Optimierung erfolgen 4

5 Herausforderungen für Unternehmen NAC ist insbesondere eine prozessuale und organisatorische Herausforderung für größere Unternehmen. Um die gewünschten Effekte zu erzielen, müssen die Netzwerk-, die Securityund die Desktopmanagementabteilung eng verzahnt miteinander arbeiten. In der Konzeptionsphase aber auch und insbesondere im Betrieb: - Die Netzwerkabteilung muss eine entsprechende Authentifizierung der Endgeräte und Nutzer durchführen. - Dazu muss Zugriff auf Directory Services erfolgen. - Die Sicherheitsabteilung hat die Compliance Vorgaben zu machen und zu kommunizieren. - Die Desktopmanagementabteilung muss die Vorgaben prüfen und in geeigneter Form der Netzwerkabteilung als zusätzlichen Parameter bei der Authentifizierungsphase mitteilen. - Die Security Abteilung hat zusammen mit der Netzwerkabteilung zu definieren, was bei einem non-compliant Endsystem zu tun ist, welche Zugriffe noch möglich sein sollen und in welchen Schritten das Problem zu beheben ist. Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung 5

6 NAC Beschreibung der IETF NEA Network Endpoint Assessment Draft Submittal im März 2007 relativ spät am Horizont erkennbar gewesen Zu früh, um schon eine verbindliche Aussage abzugeben NAC Frameworks move CNAC partially into NAP Cisco Try to influence IETF Trusted Computing Group Member Microsoft CNAC NEA TNC NAP Philosophy: CNAC is a set of technologies and solutions built on an industry initiative led by Cisco, uses the network to enforce security policy compliance on all devices seeking to access network computing resources. Partner: IBM Intel Trend Micro... Philosophy: NEA provides owners of networks a mechanism to evaluate the posture of a system. The learned posture information can then be applied to a variety of compliance oriented decisions. Draft by: Cisco Symantec Nevis Intel Avaya Philosophy: The TNC architecture enables users to enforce endpoint integrity policies at or after network connection. The standards ensure multi-vendor interoperability. Partner: IBM, Intel, Trend Micro Enterasys, Juniper (Funk) Symantec (Sygate) Most networking vendors Philosophy: NAP is an extensible platform for providing protected network access. NAP detects the state of a network client and restricts access Partner: Enterasys Most networking vendors Most security app vendors 6

7 Microsoft NAP Network Access Protection Posture Collector System Health Agent (SHA) Client Broker NAP Agent (Quarantine Agent QA) Network Access Requestor NAP Enforcement Client (Quarantine Enforcement Client QEC) Policy Enforcement Point NAP Enforcement Server (Quarantine Server QS) Network Access Authority Network Policy Server (NPS) Server Broker Network Policy Administration Server Posture Validator System Health Validator (SHV) Die Microsoft NAP Network Access Protection Lösung, die mit MS Vista und Longhorn Server Einzug hält, wird wohl erst ab Anfang 2008 für General Deployments bereitstehen. Die Beta Tests und Early Adaptor Implementierungen sind für 2007 geplant bzw. schon am Laufen. Es wird auch einen NAP Client für Windows XP geben, das wird jedoch die minimale Anforderung für die Kunden sein. Der NAP Client wird dann DHCP, VPN und 802.1x Enforcement unterstützen. TNC Trusted Network Connect Da der Endgerätemarkt nicht nur aus Microsoft Produkten besteht, ist insbesondere hier ein Standard notwendig, der sich mit der TCG und deren Sub-Group TNC-SG Trusted Network Connect abzeichnet. Vereinzelt sind auch schon Produkte zu finden, die diese Spezifikation unterstützen. Ein großer Durchbruch ist aber in 2007 zumindest für TNC noch nicht zu sehen obwohl schon mehr als 160 Unternehmen dort Mitglied sind. Das Modell der TNC-SG 1.1 Spezifikation sieht auch wiederum sehr dem MS NAP Konzept ähnlich 7

8 Cisco CNAC CNAC besteht prinzipiell aus ähnlichen Komponenten wie die zuvor besprochenen Frameworks - auf der Client Seite primär aus dem CTA Cisco Trust Agent, der als Network Access Requestor, Client Broker und in Teilen als Posture Collector (für OS Patch und Hotfix Überprüfung) fungiert. Er stellt auch eine Cisco eigene API und ein Skripting Interface für externe Posture Collectoren bereit - Auf der Serverseite besteht CNAC aus dem Cisco ACS Access Control Server, der als Radius Server der Network Access Authority und dem Server Broker entspricht. - Cisco setzt im CNAC Programm auf die Integration von Partnern für den Posture Check, der mittels der Cisco proprietären Protokolle Host Credential Authorization Protocol (HCAP) und Generic Authorization Message Exchange (GAME) erfolgen kann. Nachdem CNAC Phase 2 lange hat auf sich warten lassen (und damit neben Routern auch Switches mit 802.1x unterstützt werden), hat Cisco realisieren müssen, daß die Kundenbasis mit ihren Infrastruktur-Upgrades nicht für CNAC bereit ist. - Und schnell wurde ein Unternehmen gekauft (Perfigo), um das Produkt namens CleanAccess anzubieten. Es gehört zur Klasse der Out of Band Appliances (mit Inband Option für geringe Portdichten/Geschwindigkeiten) - Aktuell ist noch nicht zu erkennen, wie Clean Access und CNAC zusammenkommen sollen. Das zukünftige Zusammenspiel Auf der Desktop Ebene wird Microsoft mit dem NAP Agent wohl eine maßgebliche Rolle spielen in Bezug auf Sicherheit zieht Microsoft hier die Daumenschrauben stark (vielleicht auch zu stark?) an. Die Akzeptanz der TNC Implementierungen wird in der non-microsoft Welt groß sein, für Microsoft basierte Endsysteme bleibt dies abzuwarten. Es bleibt zuwarten, inwieweit sich die NEA Charter der IETF durchsetzen kann (Cisco ist hier vertreten, nicht aber bei der TCG) Eine Integration der verschiedenen Systeme ist möglich auf der Serverseite hier müssen intelligente Network Access Authority Server erkennen, welche Clients installiert sind (oder Client-Less gearbeitet wird) und auf dieser Basis muss eine Umleitung an den entsprechenden (Network Access Authority) Server erfolgen. Enterasys geht mit Enterasys Sentinel diesen Weg des intelligenten Radius Proxies und Brokers, der diese Integration übernehmen kann. Auf dem Desktop muss sich der Kunde für jeweils einen Agenten und eine Technologie entscheiden. 8

9 Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung NAC Policy Enforcement Optionen - PEP PEP - Server PEP Client Software PEP Network Appliance Switch DHCP VPN WAN LAN Wireless Policy 9

10 NAC Flexibilität ist gefragt Anzahl der Endgeräte pro Kategorie für ein Unternehmen mit Mitarbeitern (Dell Oro) Production Systems RFID Inventory Security Video Building Control Multi-Modal Devices IP Phones Office Productivity Conferencing Server PC Desktop Laptop Network based PEP - Switches Die optimale Lösung für NAC im LAN ist die Implementierung von Access Switches, die eine entsprechende Authentifizierung via 802.1x und eine Zuordnung von Policies (via VLAN aber besser mit ACL und Rate Limits) unterstützt. Insbesondere aber auch in einer heterogenen Umgebung mit non-802.1x Endgeräten und mehreren Geräten pro Switch Port (z.b. Voice over IP Phones und ein PC in Reihe geschaltet) sind hier mehr Optionen notwendig. Dies gilt auch für Migrationen (nicht alle Access Switches können gleichzeitig getauscht werden) und bei der Verwendung von Fibre to the Office (Kabelkanal- oder andere Mini Switches setzen dann auf Kupfer um, können keine Authentisierung oder nur mit erheblichem finanziellen und verwaltungstechnischem Aufwand) ein entscheidender Faktor. 10

11 Switch based NAC ein Beispiel Policy Assignment Falls der Client als non-compliant bzw. Vulnerable klassifiziert wurde, dann wird eine Quarantine Policy auf den Port gelegt (für diesen Client). Falls Compliance festgestellt wurde, wird durch eine Re-Authentisierung die richtige Policy (vom Radius Server in der Filter ID übermittelt) auf den Port gebracht Policy Role Creation Zentrale Administration der Policy inkl. Quarantine und/oder Sandbox Policy. Diese werden im Vorfeld an alle Komponenten im Netz verteilt. 1. NetSight Policy Manager / Trusted Gateway Manager Trusted Authentication/Assessme nt Gateway Configuration Zentrale Administration der Authentication und Assessment Konfiguration wird auf dem Gateway gespeichert Network Infrastructure Access Ein End-system wird am Netz angeschlossen. Jedoch ist eine Peer to Peer Applikation installiert, die im Unternehmen nicht verwendet werden darf. 3. Client System Matrix Access Device Scan/Authentication Request Die MAC Adresse wird erkannt und eine Authentisierung eingeleitet (802.1X, MAC, Web); temporäre Scanning Policy wird zugeordnet, um dem Client scannen zu können (falls Vulbnerability Scanner verwendet wird. Ein Scan Request wird vom Gateway ausgelöst. 4. Threat Assessment Ein vordefinierter Scan (oder eine Abfrage eines Desktop Management Systems oder eines anderen Agents) wird durchgeführt und das Ergebnis wird an das Gateway weiter-geleitet. Die Authentisierung erfolgt parallel am Radius Server 5. Trusted Gateway (Proxy RADIUS) RADIUS Server / Directory Network based PEP - Appliances Um schneller eine NAC Lösung zu implementieren, wird heute verstärkt das Augenmerk auf Appliances gelegt, die oft eine Übergangslösung zu einer Switch basierten NAC Lösung darstellen. Die Access Switches können zunächst weitergenutzt werden, auch wenn sie keine Authentifizierung und Policy Verfahren unterstützen. In sehr heterogenen Umgebungen mit relativ alten Switches ist dies ein gangbarer Weg. Inband Appliances - Diese Appliances sind typischerweise eine Erweiterung einer Switch basierten Lösung mit der Unterstützung von mehreren hundert bis mehreren tausend Geräten pro Port, die mit unterschiedlichsten Authentifizierungsverfahren und Policies autorisiert werden können. - Eine Implementierung im sog. Distribution Layer eines Netzwerkdesigns ist der optimale Ort für eine Inband Appliance, die auch hinter einem WLAN Switch oder VPN Konzentrator installiert werden kann. 11

12 Network based PEP - Appliances Out of band Appliances - Im Gegensatz zu den Inband Appliances stehen die out of band Appliances für den normaler Verkehr nicht im Datenpfad jedoch bei der Authentifizierung, im Assessment Prozess und auch im Quarantäne Fall. - Dieser Ansatz erscheint zunächst sehr attraktiv, er hat aber auch seine Tücken - insbesondere in den Bereichen Erkennung neuer Endsysteme Rekonfiguration der Access Switches im Assessment und Quarantäne Fall Granularität im Assessment und Quarantäne Fall Client based PEP Software Agent Neue Schutzschicht im Kernel land NAP, TNC Kernel Syscall Tabelle 1) sys_open() 2)... 3)... 4)... 5)... 6)... 7)... 8)... 9)... 10)... 11)... 12)... 13)... 14)... 15)... Ein Enforcement auf dem Agent des Clients bietet sehr präzise Möglichkeiten zur Steuerung im Quarantäne Fall. Es gibt auch heute schon eine Reihe von Personal Firewall und Host Intrusion Prevention Herstellern, die sich seit längerem dieser Thematik widmen. Diese Lösungen können auch aber wiederum mit netzwerkbasierten Lösungen kombiniert werden können. 12

13 Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung NAC - Authentication und gleichzeitige Integration in bestehende Benutzerverwaltungstools. Current Authenticated Areas 802.1x, 802.1X Web, Authenticated MAC Auth. Areas Internet Enterprise WAN RAS Server / NOS / Directory 13

14 NAC - Verschiedene Authentisierungs-Verfahren pro Port notwendig 802.1x Port based Authentication - über Digitale Zertifikate, Biometrische Verfahren, /Password oder OTP (One Time Password) - EAP-TLS, PEAP, EAP-MD5 oder EAP-TTLS via Radius Server MAC based Authentication - über die MAC Adresse des Nutzers durch den Radius Server Web based Authentication - Über URL redirect auf lokalen HTTP Server integriert im Switch und dann via Radius Server (ähnlich einem WLAN Hotspot) CEP (Automatische Convergence Endpoint Detection) - Automatische Erkennung von IP Phones via H.323 Registierung, SIP, Siemens CORNET IP oder Cisco CDPv2 und zukünftig via 802.1ab LLDP-MED Default Authentication Role - Freischaltung einer Basisfunktionalität ohne Authentisierung NAC - Dual IP & Phone Authentication and Policy - Authentication Beliebige Authentifiierungsverfahren für die jeweiligen Nutzer/Geräte am Port - Authorization Policy Role für untagged Verkehr wird dynamisch zugewiesen Policy Role für tagged Verkehr wird durch den Policy Manager per 1Q/Role Mapping konfiguriert Policy Role für untagged Verkehr beliebig zuweisbar anhand der SourceMAC auf der Matrix N Serie 14

15 NAC - MUA+P Multi Authentication + Policy Nutzer sind am Access Switch/Hub/Mini Switch angeschlossen Enterasys Matrix N-Series Access Backbone Nutzer Authentisierung und Policy Control werden am Distribution Layer durchgeführt MUA+P Multi Authentication AND Policy - über diese Technik kann kostengünstiger migriert werden ohne alle Access Switches austauschen zu müssen (ist bei Mini Switch Lösungen oft technisch gar nicht möglich) - Bei Sicherheitsbewertung immer noch eine Trennung der Nutzer untereinander möglich - Nicht zu verwechseln mit MUA Multi Authentication anderer Hersteller - dort sind alle Nutzer an 1 Port sind im gleichen Vlan, keine Separierung mehr möglich - teilweise über Guest Vlan o.ä. Rudimentäre Trennung möglich Authentifizierung next step: MACSec Der Standard wurde am 8. Juni 2006 verabschiedet dient in der verbindungslosen 802 Welt zur Sicherung jedes übertragenen Datenpaketes Der Standard dient hierbei zur Hop by Hop Verschlüsselung, Authentifizierung und Integritätsprüfung Er wird zwischen Endsystemen und dem nächsten Switch bzw. auch alternativ zwischen Switches zum Einsatz kommen können. Das dazu notwendige Schlüsselmanagement nach 802.1af ist jedoch noch im Draft 15

16 Pre Connect Assessment Health Check Network based - Hier werden die typischen Netzwerkscan Produkte wie Nessus, Tenable, eeye, Qualys, Rapid7 etc. eingesetzt und mit den NAC Appliances meist auf proprietäre Weise verknüpft. Mit entsprechenden Credentials auf dem Endsystem sind hier auch tiefere Analysen möglich wie File System, Anti Virus und Registry Prüfungen. Diese Produkte prüfen typischerweise beliebige Betriebssysteme. Network- Based Agent-Less Applet- Based Health Check Thin Agent- Based Agent-Based Fat Agent- Based Applet based - Temporäre Lösungen mit Java Applets typisch für SSL VPN Lösungen Thin Agent based - Heute gibt es hier mehrere Ansätze, die wiederum mit permanenten (zum reinen Baselining, ohne Enforcement Option) oder auch mit temporären Agenten (typisch Java Applets) arbeiten. Diese sind oft Windows zentriert. Fat Agent based - Sie kombinieren das Baselining mit HIPS und PFW Funktionen für das Enforcement. - Aber auch die bestehenden Desktop-, Patch- und Konfigurationsmanagement Agenten wie die von Altiris, Patchlink, IBM, CA können hier mit genutzt werden. Damit entfällt der Aufwand der Installation eines weiteren Agenten. Weitere Pre Connect Assessment Optionen Assessment Health Agentbased Networkbased Location Time of Day Device Identity Identity Neben dem Health Check kann auch - der Ort - die Tageszeit - Und eine Verknüpfung von Geräte und Nutzeridentät (Bonding) dazu dienen, die entsprechende Policy festzulegen 16

17 Post Connect Assessment 1. Quarantine Policy Creation NetSight ATLAS Policy Manager erstellt neben den normalen Nutzer-Policies (Role) eine spezielle QUARANTINE Role NetSight Atlas Policy Manager Die Überprüfung des Clients vor Anschluss an die Infrastruktur und auch dessen regelmäßige Prüfung löst nur einen Teil des Sicherheitsproblems. Network Infrastructure Business Service Ein völlig konformes Endsystem kann dennoch nicht autorisierte Aktionen in der Intrastruktur vornehmen. Client System 4. Response Nachdem der Eingangsport und die SourceIP/SourceMAC des Angrif f s erkannt wurde, f ührt der ASM eine statische Änderung der dynamischen Nutzer- Policy durch Martix Access Device with integrated Drag on Intrusion Detection 2. Intrusion Detection und Prevention - Dragon erkennt einen Angrif f ausgehend v on einer bestimmten IP Adresse 3. Location and Enforcement NetSight Atlas Automated Security Manager ASM erzeugt Reponse basierend auf der TAG/TAM Datenbank (in Zukuf t direkt v on Dragon ausgelöst) NetSight Atlas Console With Automated Security Manag er Diese müssen auch erkannt werden und im gleichen Prozess enden wie eine Identifikation eines Problems bei/vor Anschluss and die Infrastruktur. Die Funktion ist eine IDS/IPS ähnliche, die von den Inline Appliance Herstellern fokussiert angeboten wird. Ein typischer Markt für Startups im NAC Markt. Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung 17

18 Remediation Quarantine Action A Normal Policy Assignment Yes (good) No Notification B Compliance Check D Was muss man nun beachten, wenn ein System in Quarantäne kommt? Die Last im Support sollte dadurch nicht ansteigen. Bei gemanagten Desktops mit Agenten ist dies relativ einfach mit der Verknüpfung eines Patchmanagement Systems möglich, auf das Zugriff auch in der Quarantäne besteht. Eine universelle Funktion ist die Remediation Webpage Self-Service Remediation C Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung 18

19 Lösungen von Enterasys Enterasys NAC Lösungen sind für folgende Topologien einsetzbar: - LAN - WLAN - VPN - Remote Branch Der Fokus liegt auf pre- und post-connect NAC Lösungen - Switch based - Inline Appliance based (TAG/Dragon embedded) - Out of band Appliance based (Radius only, Trusted Access Gateway TAG) Scenarios Enterasys NAC Branch Office WAN VPN Router/VPN Gateway Radius Request Network API call Enterasys Sentinel Trusted Access Gateway, AR, MAC Reg and Assessment Appliance RADIUS Server / Directory SNMPv x API for 3rd Party Health Check Enterasys Sentinel Trusted Access Manager Client System 3 rd party RFC 3580-capable Access Device Switch, WLAN, VPN Enterasys NetSight Policy Manager 19

20 Scenarios Enterasys NAC Branch Office WAN VPN Router/VPN Gateway New IP Radius Request 802.1x MAC Web Network Enterasys Sentinel Trusted Access Gateway, AR, MAC Reg and Assessment Appliance RADIUS Server / Directory End-System Enterasys (WLAN) Switch or Access Point API call SNMPv 3 API for 3rd Party Health Check Enterasys Sentinel Trusted Access Manager Enterasys NetSight Policy Manager Scenarios Enterasys NAC Branch Office WAN VPN Third Party Switch without authentication Router/VPN Gateway 802.1x MAC Web Enterasys NAC Appliances (v ar. Models) Network Radius Request RADIUS Server / Directory SNMPv 3 API call 3 rd party RFC 3580-capable Access Device Switch, WLAN, VPN API for 3rd Party Health Check Enterasys Sentinel Trusted Access Manager Enterasys NetSight Policy Manager 20

21 Scenarios Enterasys NAC Third Party (WLAN) Switch with authentication Branch Office End-System New MAC New Radius WAN VPN Router/VPN Gateway Radius Request Enterasys NAC Appliances (v ar. Models) Network RADIUS Server / Directory SNMPv 3 API call API for 3rd Party Health Check Enterasys Sentinel Trusted Access Manager Enterasys NetSight Policy Manager Scenarios Enterasys NAC Branch Office WAN VPN Enterasys NAC Appliances (v ar. Models) New IP Router/VPN Gateway Radius Request Network RADIUS Server / Directory SNMPv 3 API call API for 3rd Party Health Check Enterasys Sentinel Trusted Access Manager Enterasys NetSight Policy Manager 21

22 Scenarios Enterasys NAC Third Party (WLAN) Switch with authentication Branch Office End-System End-System End-System Third Party Switch without authentication 802.1x MAC Web 802.1x MAC Web Enterasys (WLAN) Switch or Access Point New MAC New Radius Enterasys NAC Appliances (v ar. Models) Network WAN New IP API call VPN Router/VPN Gateway Radius Request Enterasys Sentinel Trusted Access Gateway, AR, MAC Reg and Assessment Appliance RADIUS Server / Directory SNMPv x API for 3rd Party Health Check Enterasys Sentinel Trusted Access Manager Client System 3 rd party RFC 3580-capable Access Device Switch, WLAN, VPN Enterasys NetSight Policy Manager Einsatzszenarien Enterasys NAC Third Party (WLAN) Switch mit Authentication Branch Office End-System End-System End-System Third Party Switch ohne Authentication 802.1x MAC Web 802.1x MAC Web Enterasys (WLAN) Switch oder Access Point New MAC New Radius Enterasys NAC Appliances (div. Modelle) Network WAN New IP API call VPN Router/VPN Gateway Radius Request Enterasys Sentinel Trusted Access Gateway, AR, MAC Reg and Assessment Appliance RADIUS Server / Directory SNMPv x API for 3rd Party Health Check Enterasys Sentinel Trusted Access Manager Client System 3 rd party RFC 3580-capable Access Device Switch, WLAN, VPN Enterasys NetSight Policy Manager 22

23 Enterasys NAC Optionen Assessment Authorization Remediation Health State Agentbased Networkbased Captive Web Portal Quarantine Policy Enforcement Quarantine Decision Persistence Location Time of Day Device Identity Identity Enterasys NAC Assessment Health Checks Agent Based Network Based API Microsoft NAP TCG / TNC Symantec Check Point Lockdown Cloudpath Lockdown Nessus, Tenable API Heavy Agent Light Agent 23

24 Trusted Access Manager - Details Agenda Einleitung, Definition von NAC Herausforderungen für Unternehmen, der Prozess NAC NAC Lösungen - IETF Network Endpoint Assessment NEA - Microsoft NAP - Trusted Computing Group - Policy Enforcement Optionen, Switch/Appliance/Software - Pre Connect vs Post Connect Assessment - Remediation - Lösungen von Enterasys Zusammenfassung 24

25 Zusammenfassung Der NAC Markt ist noch sehr volatil. Damit ist es schwierig für den Kunden, auf das richtige Pferd zu setzen. Generell ist darauf zu achten, dass der Hersteller eine flexible Architektur besitzt mit offenen Schnittstellen, um sich den Marktgegebenheiten anpassen zu können. Die Entscheidung, NAC einzuführen ist nicht nur eine technologische sondern auch eine organisatorische. Enterasys ist der einzige Hersteller, der mit einer Architektur alle möglichen hardwareorientierten NAC Lösungen abbilden kann - Switch based - Inline Appliance - Out of Band Appliance - Pre und Post Connect 25