Network Access Control Best Practice Guide

Größe: px
Ab Seite anzeigen:

Download "Network Access Control Best Practice Guide"

Transkript

1 Network Access Control Best Practice Guide 1 von 26 NAC: Best Practice Guide

2 Einleitung Der Best Practice Guide ist ein kleiner Leitfaden zur Planung und Implementierung von NAC und beleuchtet dabei Stärken und Schwächen der potentiellen Lösungen, die es zur Zeit am Markt gibt. Er geht bewusst nicht auf einzelne Produkte ein, sondern beschäftigt sich hauptsächlich mit den Technologien und der damit zusammenhängenden Konzeptionierung. Viele Kunden berichten uns immer wieder, dass NAC ein schwieriges und unübersichtliches Projekt sei. Das kann es in der Tat werden, sofern man der Vorbereitung zu wenig Beachtung schenkt oder sich zu wenig Zeit bei der Auswahl lässt. Auch stellt ein NAC Projekt und der Betrieb einer NAC Lösung Anforderungen an die Organistion selbst. Diese müssen in der Planungsphase ebenfalls beachtet werden. Der Leitfaden kann nicht alle Probleme und Bedenken aus der Welt schaffen; allerdings möchten wir hiermit versuchen, die wichtigsten Punkte herauszuarbeiten und damit das Risiko beim Projekt kalkulierbar machen. Wir wünschen viel Vergnügen! 2 von 26 NAC: Best Practice Guide

3 Inhalt EINLEITUNG... 2 WAS IST DENN DIESES NAC?... 4 VORBEREITUNGEN... 6 DAS KONZEPT... 6 IMPLEMENTIERUNG... 8 DETECT & AUTHENTICATE: JA WO LAUFEN SIE DENN? X MAC-BASIERENDE AUTHENTIFIZIERUNG (VIA RADIUS) WEB-BASIERENDE AUTHENTIFIZIERUNG STATISCHE PORT / MAC KONFIGURATION DYNAMISCHE PORT / MAC KONFIGURATION (SNMP) KERBEROS SNOOPING ZUSAMMENFASSUNG ASSESSMENT: VON AGENTEN UND ANDEREN SPIONEN AGENT LESS AGENT BASED ZUSAMMENFASSUNG AUTORISIERUNG: DER ANFANG VOM ENDE (PORT) VLAN ZUWEISUNG POLICYS PORTS SPERREN ZUSAMMENFASSUNG REMEDIATION: ABER,...ICH HABE NICHTS GEMACHT! MONITORING: DER GROßE BRUDER BEYOND: DIE WELT HINTER DEM SPIEGEL NAC UND VOIP NAC UND DIE SECURITY INFRASTRUKTUR NAC UND VIRTUELLE SERVER NAC UND DAS USER HELPDESK SCHLUSSWORT ANHANG A: BEISPIEL CHECKLISTE ROLLEN / RECHTE ANHANG B: BEISPIEL CHECKLISTE INFRASTRUKTUR ANHANG C: BEISPIEL CHECKLISTE ASSESSMENT CHECKS ANHANG D: BEISPIEL CHECKLISTE REPORTING von 26 NAC: Best Practice Guide

4 Was ist denn dieses NAC? Network Access Control - manche nennen es auch Network Admission Control - oder einfach und kurz NAC ist mittlerweile ein geläufiger Begriff in der IT Security Welt. Doch was steckt genau dahinter? Es ist immer wieder überraschend wie sehr die Erwartungen und Vorstellungen zu NAC auseinander gehen. Manche verbinden hiermit eine schlichte Registrierung und Autorisierung von Endgeräten anhand der (nicht ganz so) eindeutigen MAC Adresse im IP Netzwerk. Andere hingegen verbinden mit NAC den Schutz des gesamten Netzwerks vor Viren, Würmern und Netzwerkgeräten, die nicht den Unternehmensrichtlinien entsprechen; oder auch eine Lösung für den kontrollierten Zugriff von Gästen wird als NAC bezeichnet. Die einfache Antwort auf die Frage, ob dies denn nun NAC sei, lautet kurz: Ja. NAC beinhaltet eine Vielzahl von Prozessen, die den Zugang zum Netzwerk ermöglichen und gleichzeitig die Sicherheit sicherstellen sollen. Die einzelnen Prozesse oder auch Schritte sind: Detect Eindeutige Identifizierung und Lokalisierung von neuen Geräten am Netz Authenticate Eindeutige Authentifizierung der Identität des Nutzers und / oder Gerätes Assess Prüfung des Endgerätes auf Richtlinienkonformität und / oder Schwachstellen (Vulnerabilities) Authorize Zugangserlaubnis mit möglichen Beschränkungen (wie Quarantäne) basierend auf dem Ergebnis der Authentifizierung und des Assessments Remediate Beheben von Problemen und Sicherheitsmängeln aber auch automatisierte Kommunikation mit den Nutzern (Hilfestellung, Statusmeldungen) Monitor Überprüfung des Nutzer- und Geräteverhaltens während der gesamten Zeit am Netzwerk Contain Reaktive Quarantäne bei der Festellung von verdächtigem Verhalten des Endsystems 4 von 26 NAC: Best Practice Guide

5 Zusätzliche Funktionen (außer Sicherheit) Sicherheitswert Administrativer Aufwand Funktionsumfang Skalierbarkeit Einstiegskosten & Wartung In den folgenden Kapiteln werden wir uns jeden dieser einzelnen Schritte genauer anschauen und uns mit den jeweiligen ganz eigenen Herausforderungen auseinandersetzen. Manchmal gibt es mehrere Lösungen für ein Problem, welche gesondert durch kleine Infokästen dargestellt werden. Hier gilt: Je grüner, desto besser, umfangreicher oder preiswerter. Ein Beispiel: Fazit: Diese Löung eignet sich nur für kleinere Unternehmen mit geringem Budget und kleinen Netzwerken. Der Einsatz in großen / schnell wachsenden Unternehmen ist nicht zu empfehlen. + schnelle Implementierung + geringe Einstiegskosten + Anbindung an andere Applikationen - erhöhter Personalaufwand - hohe Folgekosten - mäßige Security Funktionalität - schlechte Skalierbarkeit Natürlich nützt all die Sicherheit niemandem etwas, wenn diese nicht finanziert werden kann bzw. nicht in einem akzeptablen Verhältnis zu den Kosten eines potentiellen Schadenfalles steht, der ohne den Einsatz von NAC eine höhere Eintrittswahrscheinlichkeit hat. Aus diesem Grunde werden ebenfalls Kosten und mögliche Einsparungen innerhalb dieses Leitfadens besprochen. Zuvor sollte zumindest eine rudimentäre Schutzbedarfsfestellung durchgeführt werden und eine Security Policy aufgestellt sein. Zu guter Letzt sind auch Querverweise zu offiziellen Regularien vorhanden, um einen rechtlichen Rahmen zu den Anforderungen und Maßnahmen zu geben. 5 von 26 NAC: Best Practice Guide

6 Vorbereitungen NAC ist, wenn es unternehmensweit eingeführt wird, ein umfangreiches Projekt, welches eine gute Vorbereitung voraussetzt. In der Tat ist dies sogar entscheidend für den Erfolg der späteren Umsetzung, da viele Probleme im Vorfeld erkannt und gelöst werden können. Dieses Dokument ist ein erster Schritt für genau jene Vorbereitungen. Alle nachfolgenden Kapitel stellen die verschiedenen Phasen der NAC Implementierung dar. Es mag erstaunlich erscheinen, aber der technische Ablauf ist in der Tat auch gleichzeitig der beste Ablauf für den Projektverlauf. Zuerst werden alle Endsysteme und Typen erfasst. Danach wird der beste Weg einer Autorisierung gemäß den Fähigkeiten der Endsysteme gewählt. Für viele endet hiermit schon NAC, was auch ausreichend ist, um eigene Systeme und Gäste oder gar Eindringlinge zu ermitteln und im Netz zu isolieren. Der nächste große Block besteht aus dem Assessment, der Prüfung des Endsystems und der Remediation. Das Ziel hier ist die Sicherstellung einer unternehmensweiten Richtlinie, die den Sicherheitszustand aller Endsysteme erkennt und darüber hinaus den Zugang in das Netzwerk über eine Autorisierung granular reguliert. Ein permanentes Monitoring stellt diesen Zustand auch über den eigentlichen Zugang hinaus sicher und ermöglicht es, jederzeit eine qualitative Aussage zur Sicherheit der gesamten IT Infrastruktur zu treffen. Einzig das Monitoring kann auch sinnvoll in der Implementierung nach vorne gezogen werden, nämlich direkt nach der Detection Phase falls auschließlich ein reaktives Security Konzept realisiert werden soll. Das Konzept Aller Anfang beginnt auf dem Papier oder besser gesagt, mit der Idee. Gerade diese Idee, die Frage Warum wollen wir NAC?, ist entscheidend für den Umfang des gesamten Projektes. Ein Beispiel: Wir wollen NAC einführen, um unseren Gästen in den Besprechungsräumen des Unternehmens Zugang auf das Internet zu gewähren. Allerdings soll die Kommunikation zu unseren eigenen Systemen unterbunden werden. Darüber hinaus möchten wir die Privatsphäre der Gäste wahren und kein Assessment durchführen, jedoch sollen die eigenen Systeme auf einen Minimalschutz überprüft werden. In diesem Beispiel lassen sich schon die fundamentalen Größen einer NAC Planung erkennen. Es geht im Grunde um: Wer darf sich im Netz anmelden? Wie darf jemand im Netz kommunizieren? Was ist für jemanden im Netz erreichbar? Wo darf dieser Zugang erhalten? Prinzipiell ist NAC ein Prozess und kann damit aufgeteilt werden in: Rollen (Wer?) Rechte (Wie?) Ressourcen (Was?) Orte (Wo?) 6 von 26 NAC: Best Practice Guide

7 Alternativ kann noch eine zeitliche Komponente mit integriert werden (Wann darf zugegriffen werden?). Es ist unabdingbar eine entsprechende Zuordnung der Bausteine in einem Konzept vorab zu definieren. Eine mögliche Auflistung für das obigen Beispiel könnte so aussehen: Rolle Rechte Ressourcen Orte Administrator Alles Alles Alle Mitarbeiter Applikationen Anwendungsserver Bürogebäude Gast Nur HTTP Internet Gateway Besprechungsräume In den meisten Bereichen existiert sogar schon eine Beschreibung der Rollen und Rechte im lokalen Verzeichnisdienst oder sogar in der Unternehmensstruktur. Es macht durchaus Sinn genau diese Rollen (oder auch Gruppen) zu übernehmen und als Basis für das NAC Konzept zu verwenden. Ein Verzeichnisdienst kann hierbei allerdings nur eine Grundlage liefern, da leider der Hauptteil aller Netzwerkteilnehmer üblicherweise keine Benutzer sind. In der Tat zeigt sich, dass im Durchschnitt nur 30% bis 50% aller Systeme Workstations oder Laptops sind. Der Löwenanteil besteht aus einer Vielzahl von unterschiedlichsten Geräten unter unterschiedlicher administrativer Kontrolle. Die größte Herausforderung bei einer NAC Implementierung besteht in der Einbindung der unterschiedlichsten Endgerätetypen unter Berücksichtigung der Möglichkeiten zur Identifizierung, Authentifizierung und eventuellem Assessment am Netzwerk-Access. Wir werden uns damit detailliert im Kapitel Authenticate auseinandersetzen. An dieser Stelle ist es vorerst wichtig zu wissen, welche Geräte existieren und welche Rechte für den Einsatz von Nöten sind. Hierfür sollten ebenso Gruppen und Ressourcen definiert werden wie für die Benutzer zuvor. Man sollte jedoch die einzelnen Gruppen nicht zu spezifisch bilden, damit der administrative Aufwand gering bleibt. In der Praxis hat es sich als vorteilhaft erwiesen, die Gruppen an der tatsächlich genutzten Ressourcen anzulehnen und nur in wenigen Fällen einzelne Ausnahmeregelungen zu spezifizieren. 7 von 26 NAC: Best Practice Guide

8 Regulatorische Verweise zum Thema: BSI Maßnahmenkatalog: M 2.6 (analog ISO public access) Vor der Vergabe von Zutrittsberechtigungen für Personen sind die schutzbedürftigen Räume eines Gebäudes zu bestimmen, z. B. Büro, Datenträgerarchiv, Serverraum, Operating-Raum, Maschinensaal, Belegarchiv, Rechenzentrum. Der Schutzbedarf eines Raumes ist festzustellen anhand der im Raum befindlichen Informationstechnik sowie am Schutzbedarf der eingesetzten IT-Anwendungen und ihrer Informationen. Anschließend ist festzulegen, welche Person zur Ausübung der wahrgenommenen Funktion welches Zutrittsrecht benötigt. Dabei ist die vorher erarbeitete Funktionstrennung (M 2.5 Aufgabenverteilung und Funktionstrennung) zu beachten. Unnötige Zutrittsrechte sind zu vermeiden. Quelle: Kontrollfragen zum Thema: Sind alle Arten von Teilnehmern und Geräten im Netz bekannt? Wurden alle benötigten Ressourcen für die jeweiligen Gruppen identifiziert? Welche lokalen Beschränkungen gibt es? (physisch / logisch) Sollen auch zeitliche Beschränkungen bestehen? Wenn ja, welche? Können Ressourcen eventuell gruppiert werden? Soll der Zugang generell erlaubt und spezifisch verboten werden oder umgekehrt? Auch wenn nur mit einigen (Geräte- oder Nutzer-) Gruppen angefangen werden soll, muss eine komplette Übersicht vorhanden sein, da nur dann auch die richtige NAC Architektur und Lösung ausgewählt werden kann. Sonst bleibt man zwischen den Phasen stecken. Beispiel wäre die Verwendungen einer Software- (Agenten)-Lösung für NAC. Diese kann aber nicht alle Endgerätetypen am Netz wie Drucker, VoIP Phones, etc. abdecken. Dass heißt man wird nach dem Rollout auf den eigenen Clients an ein Limit stoßen! Implementierung Vor der tatsächlichen Implementierung stellt sich nun noch einmal die Frage Was wollen wir?, allerdings unter Rücksichtnahme auf den zeitlichen Ablauf. In den wenigsten Fällen wird NAC komplett in einem Zuge eingeführt und meist liegen mehrere Monate zwischen den einzelnen Schritten. Der große Vorteil liegt bei NAC in der Tatsache, dass technisch kein Zwang besteht sofort alles von Detection bis zur Remediation zu implementieren. In der Praxis gliedert sich ein solches Projekt meist in folgende Aufbaustufen: Phase 1: End-System Detection and Tracking Phase 2: End-System Authorization Phase 3: End-System Authorization with Assessment Phase 4: End-System Authorization with Assessment and Remediation Phase 1 sammelt nur Informationen über alle Endsysteme ohne den eigentlichen Zugang zu beschränken. Dies entspricht einer Inventarisierung der Endgeräte am Netzwerk und kann durchaus auch begleitend zur Konzeptphase durchgeführt werden. Dies kann mit oder auch ohne Authentifizierung stattfinden. 8 von 26 NAC: Best Practice Guide

9 Phase 2 wendet die definierten Regeln und Beschränkungen an und benötigt typischerweise eine Authentifizierung, um sicher zu stellen, dass kein Endgerät sich die Rechte eines Anderen erschleichen kann. Ansonsten wären auch statische Autorisierungsregeln (z.b. pro Port) möglich. Phase 3 erweitert die Informationen zu einem Endsystem um Assessmentdaten. Diese können von einem Agenten, durch externe Managementsysteme (für Softwareverteilung o.ä.) oder durch einen Netzwerkscanner ermittelt werden. Typischerweise sind dies Daten wie das Betriebssystem, Schwachstellen / Vulnerabilities, offene Ports usw. Phase 4 nutzt die gesammelten Daten aus einem Assessment, um weitere Beschränkungen anzuwenden. Der Benutzer sollte hierbei über die Ergebnisse informiert werden und eine Gelegenheit geboten bekommen wieder einen sicheren Zustand herzustellen. Dies geschieht üblicherweise über Remediation Portale oder eine Auto-Remediation durch einen Agenten. Natürlich gibt es auch hierbei die berühmte Ausnahme zur Regel. In manchen Fällen wird nur ein Assessment mitsamt Remediation durchgeführt und auf Detect und Authorize verzichtet. Dies kann zum Beispiel der Fall sein, wenn ein System über eine VPN Verbindung am Netzwerk teilnimmt. An dieser Stelle findet schon eine Authentifizierung über das VPN statt, welche als gegeben vorausgesetzt werden kann, so dass ein Endsystem nur noch auf Konformität geprüft werden muss. Vorbereitend macht es an dieser Stelle Sinn die bestehende Zuordnung von Ressourcen, Lokationen und / oder Gruppen um die Information zu erweitern, bis zu welcher Phase implementiert werden soll. Es handelt sich hierbei um eine klare Kosten / Nutzen-Rechnung, in der der gewünschte Sicherheitsgrad mit den Kosten einer Implementierung und dem Aufwand im Betrieb in Einklang gebracht werden sollte. Ein weiterer sehr wichtiger Punkt wird zu Beginn meist unterschätzt. NAC ist ein weitreichendes Projekt und erfordert die Zusammenarbeit des gesamten IT Personals. In einem solchen Projekt ist nicht nur der Netzwerkbetrieb involviert, sondern ebenfalls die Abteilungen für Endsysteme, Server, Security Management und Datenschutz. Es sollte unbedingt zuvor ein Treffen angesetzt werden, welche alle Vertreter der einzelnen Abteilungen an einen Tisch holt, informiert und Anforderungen mit aufnimmt. Hierbei bietet es sich ebenfalls an die Geschäftsleitung mit einzubeziehen, um organisatorische Planungssicherheit zu gewährleisten. Wir haben uns bisher bewusst nicht mit der technischen Implementierung auseinandergesetzt, da jeder Schritt im Projekt seine eigenen Tücken hat. Wir werden in den folgenden Kapiteln nun im Detail darauf eingehen und mögliche Lösungen und Ansätze am Markt in diesem Zusammenhang betrachten. Kontrollfragen zum Thema: Welcher Funktionsumfang ist in welchem Bereich erwünscht? Können bestehende Daten zur Authentifizierung / Autorisierung genutzt werden? Wurde ein Zeitplan zu den einzelnen Implementierungsphasen erstellt? Sind alle IT Abteilungen informiert? 9 von 26 NAC: Best Practice Guide

10 Detect & Authenticate: Ja wo laufen sie denn? Jeder soll sich überall und jederzeit an einer beliebigen Stelle anmelden können und das Netzwerk reagiert vollkommen dynamisch und automatisiert gemäß den Richtlinien. Obwohl sich dies auf den ersten Blick hervorragend anhört, scheitert die Umsetzung fast immer am ersten Schritt. Man muss zuerst wissen, wer im Netzwerk ist und wo sich dieser aufhält. Der Vorteil einer solchen Erkennung ist die Einsparung meist veralteter, aufwändiger Dokumentation des Netzwerkes. Man könnte sagen, das Netzwerk dokumentiert sich selbst. Nun bleibt nur die Frage: Wie kann man ein Endsystem oder einen Benutzer eindeutig identifizieren? Besonders beliebt im Netzwerkbereich sind MAC und IP Adressen, jedoch bieten diese überhaupt keine Sicherheit bezüglich des Wahrheitsgehaltes. Die Adressen können ohne größere Probleme in weniger als 2 Minuten geändert werden und damit eignen sich diese Merkmale nur bedingt für eine Identifizierung. In der Tat hängt die Erkennung der Endgeräte sehr dicht mit der Authentifizierung zusammen. Meist verzichtet man allerdings in diesem ersten Schritt auf die Durchsetzung eines Regelwerkes, nutzt aber dennoch dieselben Mechanismen der Authentifizierung zur Erkennung des Endsystems. Vorab stellt sich aber schon die Frage Welche Authentifizierung unterstützt das Endsystem? Um einen Überblick zu schaffen, schauen wir uns die üblichsten Methoden an und die Szenarien, in denen diese angewandt werden können: 802.1x portbasierende Authentifizierung (via RADIUS) MAC-basierende Authentifizierung (via RADIUS) Web-basierende Authentifizierung Statische Port / MAC Konfiguration Dynamische Port / MAC Konfiguration (SNMP) RADIUS Snooping Kerberos Snooping Es sind aber auch Kriterien wie Hostnamen oder IP Adressen zur Identifizierung möglich. Insbesondere bei Non-Desktop-Systemen kann dies sehr effektiv und hilfreich sein x Die sicherste Lösung besteht zweifelsohne in der Erkennung der Endsysteme am Switchport mittels 802.1x Authentifizierung. Diese erfordert die entsprechenden Funktionalitäten auf Seiten des Switches, des Clients und einer lokalen Authentifizierungsinstanz (RADIUS Server). Darüber hinaus können hier sowohl Geräte als auch Benutzer identifiziert werden. Meist ist dies aber aufgrund von Einschränkungen in einem der genannten Bereiche nicht flächendeckend einsetzbar. So gibt es Endgeräte ohne 802.1x Supplicant (die Software zur Authentifizierung), wie zum Beispiel ältere Drucker oder IP Video-Anlagen oder die Switche selbst bieten keine Unterstützung für diesen Standard. Gäste können damit auch nicht erfasst werden. In der Praxis trifft man regelmäßig auf heterogene Netzwerke, die nur teilweise oder gar keine Authentifizierung ermöglichen. Das Ziel hier lautet: Das Maximum mit gegebenen Mitteln erreichen und im Laufe der folgenden Jahre die mangelnden Funktionalitäten nach und nach zu implementieren. Ein kompletter Austausch des Netzwerks ist aufgrund der hohen Kosten meist nicht zu empfehlen. Sollte jedoch ein Tausch der Netzwerkkomponenten anstehen, so sollten diese 802.1x beherrschen und auch mehrere individuelle Authentifizierungssitzungen pro Port halten können sowie unterschiedliche Autorisierungen pro Endgerät - bei mehreren Endgeräten pro Port (Stichwort: VoIP Phone plus PC oder Mini- / Office- / Kabelkanalswitche) ermöglichen. 10 von 26 NAC: Best Practice Guide

11 Fazit: Wenn alle Vorraussetzungen gegeben sind, bietet 802.1x eine sehr skalierbare und dynamische Identifizierung mit einer hohen Sicherheit direkt am Switchport. + in aktuellen Systemen Standard + zentrale Administration + Echtzeiterkennung + hohe Sicherheit + hohe Skalierbarkeit + Zusatzinformationen (User, Host) - viele Vorraussetzungen nötig - nachträgliche Aufrüstung teuer Regulatorische Verweise zum Thema: BSI Maßnahmenkatalog: M 2.10 Um Verstöße gegen das Verbot der Nutzung nicht freigegebener Hard- und Software feststellen zu können, ist eine regelmäßige Überprüfung des Hard- und Software-Bestandes notwendig... Die Ergebnisse der Überprüfung sind zu dokumentieren, um auch Wiederholungsfälle feststellen zu können. Quelle: MAC-basierende Authentifizierung (via RADIUS) Hier wird die selbe Infrastruktur genutzt wie bei einer 802.1x Infrastruktur. Es wird lediglich auf Zertifikate und / oder Anmeldedaten verzichtet. Der Switch benutzt hierbei die MAC Adresse als Ersatz für den Benutzernamen und gleicht dies mit dem RADIUS Server ab. Dieses Verfahren kann in 802.1x fähigen Netzen genutzt werden, um Endsysteme ohne Supplicant gegen einen RADIUS Server abzugleichen. Oder man baut alleine auf diese Technologie im gesamten Netz und steigt erst später auf 802.1x bei Teilen der Endgeräte um. Die Sicherheit einer solchen Authentifizierung ist jedoch sehr begrenzt und sollte nur in Verbindung mit einer sehr restriktiven Autorisierung genutzt werden, falls alle anderen Möglichkeiten nicht zur Verfügung stehen. Weiterhin gibt es keine weiteren Informationen bei der Abfrage, wie zum Beispiel den Benutzernamen und spätere Autorisierungen können nur an die Hardwareadresse des Endgerätes gebunden werden. Ein Vorteil hierbei ist jedoch die zentrale Administration aller Teilnehmer über den RADIUS Dienst. Fazit: Diese Methode ist eine Lösung zur Erfassung spezieller Systeme. Es ist besser als statische Port/MAC Zuordnungen, da Dynamik und Skalierbarkeit wie bei 802.1x gleich bleiben. + in aktuellen Systemen Standard + zentrale Administration + Echtzeiterkennung + hohe Skalierbarkeit - viele Vorraussetzungen nötig - geringe Sicherheit - wenig Zusatzinformationen Web-basierende Authentifizierung Diese Methode lagert den Supplicant auf ein zusätzliches Webportal aus, an dem sich der Benutzer anmelden kann. Somit können sich besonders Gäste und Systeme ohne die nötigen Voraussetzungen im Netzwerk registrieren. Bei Gastzugängen ist teilweise sogar nur eine einfache Registrierung notwendig. Eine elegante Lösung für einen sicheren Gastzugang stellt hierbei eine sponsored Registration dar, bei der ein existierender Benutzer mit seinen Anmeldedaten für einen Gast bürgt. Auf diese Weise ist es später bei eventuellen Verstößen wesentlich leichter nachzuvollziehen, wer den Besucher in das Netzwerk gebracht hat und die Verwaltung von Gästen muss nicht durch die IT Abteilung erfolgen. Diese Methode eignet sich jedoch nicht, um Geräte wie Drucker zu authentifizieren. Üblicherweise geht dies einher mit einer Default Policy, die ausschließlich Verbindungen zum Webportal zulässt und erst nach einer 11 von 26 NAC: Best Practice Guide

12 erfolgreichen Authentifizierung mehr Dienste zulässt. Hierbei gilt jedoch zu beachten, dass die meisten Lösungen diese Beschränkung durch eine dynamische VLAN Konfiguration umsetzen. Dies trennt ein Endsystem zwar vom produktiven Netzwerk, jedoch gibt es meist keine Beschränkung zwischen der Kommunikation unter den Geräten innerhalb eines solchen Quarantäne-VLANs. Man sollte dabei niemals außer Acht lassen, dass VLANs keine Sicherheitscontainer sind, sondern nur logische Broadcastcontainer. Enterasys Switche verwenden hierbei einen anderen Ansatz, der den Verkehr direkt auf OSI Layer 2 bis 4 klassifiziert und ähnlich einer Firewall regulieren kann. Dazu mehr im Kapitel Autorisierung. Fazit: Diese Methode ist eher eine Ergänzung als eine eigenständige Authentifizierungsmethode. Sie erleichtert den administrativen Aufwand für Gäste und ermöglicht den Zugang für ältere Systeme. + zentrale Administration + Echtzeiterkennung + gute Skalierbarkeit - zusätzliche Serververwaltung - zusätzliche Anmeldemaske - zum Teil unsichere Quarantäne Statische Port / MAC Konfiguration Die manuelle Zuordnung von MAC Adressen zu einem Switchport hat mittlerweile eine lange Tradition. Sie ist, wie der Name schon sagt, jedoch weder für eine automatisierte Erkennung noch für eine Zugangssicherheit geeignet. Sie soll hier nur der Form halber erwähnt sein, da eine solche Konfiguration noch immer in vielen Unternehmen eingesetzt wird und auch jetzt noch für eine kostengünstige Alternative gehalten werden könnte. Fazit: Sicherlich die billigste, aber auch nutzloseste Lösung für NAC. + billig + in jedem Switch enthalten - Administrationsaufwand - nicht zentral verwaltbar - ungenügende Sicherheit - keine Zusatzinformationen Dynamische Port / MAC Konfiguration (SNMP) Es gibt eine Reihe von Nischenlösungen am Markt, die versuchen den Prozess der Erkennung und Authentifizierung mittels SNMP nachzustellen. Gerade kleinere Unternehmen nutzen dies gern, wenn keinerlei Verzeichnis- oder RADIUS-Infrastruktur zu Verfügung steht. Die Vorteile sind klar ein Out-of-Band Management, welches zu allen Systemen mit SNMP Unterstützung kompatibel ist. Genau in dieser Kompatibilität liegt jedoch eines der Probleme. Viele Hersteller liefern mittels SNMP ungenaue oder fehlerhafte Informationen, so dass eine einwandfreie Funktion nicht gewährleistet werden kann. Darüber hinaus ist eine Authentifizierung auf diesem Wege mit keinem Standard konform. Weiterhin ist zu beachten, dass ein solches System nicht echtzeitfähig ist, da die SNMP Anfragen zyklisch über Zeitintervalle erfolgen. Die Abfragen selbst können Lastprobleme auf Routern und Switchen erzeugen und im schlimmsten Fall zu einem Absturz führen. Aus Sicht der Sicherheit wird hier der Prozess der Port / MAC Konfiguration einfach mittels SNMP dynamisch verwaltet. Dies hat den Vorteil, dass man zumindest weiß, wo sich ein Endsystem bei der letzten Abfrage befunden hat; was jedoch auch gut mehrere Minuten her sein kann. Als Gegenmaßnahme wird häufig ein einfaches Abschalten des Ports verwendet oder die Rekonfiguration der Port VLANs. Bei beiden Möglichkeiten hat ein Benutzer jedoch so gut wie keine Chance zu erfahren, warum er nicht in das Netz kommen konnte. Bei VLAN Rekonfigurationen kommt es hierbei auch zu Schwierigkeiten, falls DHCP eingesetzt wird und der Client nicht sofort eine neue Adresse anfragt. Aufgrund der sehr schwachen Sicherheit in Kombination mit den häufigen Problemen sowie dem administrativen Aufwand ist diese Lösung trotz des geringen Preises, wenn überhaupt nur für kleinere 12 von 26 NAC: Best Practice Guide

13 Umgebungen ohne Möglichkeiten für 802.1x zu empfehlen. Weiterhin sind massive Probleme bei mehreren Endgeräten pro Port zu erwarten. Fazit: Günstige, einfache Lösung für kleine Unternehmen. Eignet sich höchstens für eine Lokalisierung von Endsystemen, bietet jedoch keine nennenswerte Sicherheit. + billig + mit vielen Switchen kompatibel - schlechte Skalierbarkeit - kein Standard - ungenügende Sicherheit - keine Zusatzinformationen - nicht echtzeitfähig Kerberos Snooping Das Kerberos Protokoll wird zur Authentifizierung im Netzwerk verwendet. Typischerweise findet es seinen Einsatz in Windows Active Directory Domänen, obwohl es hierauf nicht zwangsweise beschränkt ist (auch Novell NDS nutzt dies und in Linux Umgebungen wird es auch gern eingesetzt). Kerberos Snooping liest den verschlüsselten Datenverkehr mit und kann somit erkennen, ob ein System sich erfolgreich an der Domäne anmelden konnte. Kerberos liefert hierbei den Benutzernamen und Hostnamen als Identifizierungsmerkmal. Der große Vorteil einer solchen Lösung besteht darin, dass die einzige Voraussetzung die Verwendung des Kerberosprotokolls ist. Die Erkennung und Authentifizierung ist hierbei vollkommen von den Switchen losgelöst und kann in vielen Fällen direkt ohne größere Eingriffe implementiert werden. Nachteilig ist hingegen, dass für ein solches Feature die Kommunikation von einer In-Line-Appliance ähnlich einem Intrusion Detection System mitgelesen werden muss (bei Enterasys der NAC Controller). Die Appliance sorgt an dieser Stelle jedoch selber für die Autorisierung und bietet meist wesentlich mehr Funktionalitäten als über eine Standard 802.1x Implementierung auf dem Access Switch möglich wären. Ein Nachteil ist, dass der Access Switchport nicht genau identifiziert werden kann, da ein solches System höchstens den eigenen Port identifizieren kann, der zumeist eine Auflösung bis auf Verteilerraumebene bietet. Eine solche Lösung ist durchaus in Bereichen einsetzbar, in denen eine erhöhte Sicherheit ähnlich einer Firewall gewünscht ist und / oder Endsysteme sowie Switche keine anderen Möglichkeiten zur Erkennung bieten. Eine solche Appliance wird typischerweise im Distribution Layer verwendet und kann dort unter anderem auch WAN Übergänge, wie zum Beispiel VPN Zugänge, überwachen. Sie sorgt für eine sehr schnelle Umsetzung von NAC ohne Investment in Access Switche. Fazit: Flexible, schnell implementierbare Lösung. Muss In-Line betrieben werden und eignet sich aufgrund des Kostenfaktors nur bedingt für einen flächendeckenden Einsatz. + schnelle Implementierung + zentrale Verwaltung + flexible Authentifizierung auch in Layer 3 Netzen + bietet zusätzliche Informationen + viele Sicherheitsfeatures - kein Standard - erfordert Kerberos Umgebung Zusammenfassung Dies sind die gängigsten, aber sicherlich nicht alle Möglichkeiten, um ein Endsystem im Netzwerk zu erkennen. Bei der Frage: Welche ist denn nun die Passende für mich? gibt es keine konkrete Antwort. In fast allen Fällen ist eine Kombination aus diesen Mechanismen erforderlich, um eine flächendeckende NAC Funktionalität zu gewährleisten. Auch wenn ein überwiegender Teil zum Beispiel über 802.1x abzuhandeln ist, so bietet sich eventuell eine zusätzliche In-Line-Appliance an strategischen Punkten an, um entweder mehr Sicherheit für die betroffenen Ressourcen zu gewährleisten oder eine Erkennung von Endsystemen überhaupt erst möglich zu machen. Sobald Gäste hinzukommen, sollte möglicherweise ein Webportal zur Registrierung verwendet werden, um den administrativen Aufwand gering zu halten. Oft wird dies auf den In-Line-Appliances mit integriert. 13 von 26 NAC: Best Practice Guide

14 Kontrollfragen zum Thema: Welche meiner Endgeräte kann ich wie erfassen? Lassen sich problematische Endgeräte lokal begrenzen? Z.B. in Industrieanlagen? Welche Voraussetzungen bietet mein Netzwerk für die verschiedenen Erkennungsmethoden? Welche Systeme, die jetzt noch problematisch sind, können im Laufe der Zeit angepasst werden? Welche Erkennungsmethoden sind in ein paar Jahren noch verwendbar? Müssen mehrere Endgeräte an einem einzelnen Port unabhängig von einander authentifiziert werden? Z.B. VoIP Phone und PC. Falls mehrere Endgeräte authentifziert werden müssen, kann dieses auch über unterschiedliche Methoden geschehen? Z.B x und Web. 14 von 26 NAC: Best Practice Guide

15 Assessment: Von Agenten und anderen Spionen Ein fest in den Anmeldeprozess eingebundenes Assessment ist noch nicht sehr weit verbreitet, obwohl dies genauso zu NAC gehört wie die Authentifizierung. Hier sind Standards wie Microsoft NAP (Network Access Protection) und Trusted Computing Group TNC (Trusted Network Connect) anzusiedeln. Die IETF versucht sich hier auch, aber es bleibt abzuwarten wie sich dies entwickelt. Im Assessment möchte man über den Portrand hinaus blicken und prüfen, wie es auf dem Client selbst ausschaut. Man unterscheidet hierbei zwei Hauptvarianten mit den dazugehörigen Unterkategorien: Health Check Agent less Agent based Network based Applet based Thin Agent Fat Agent Agent less: - Network based ein Netzwerkscanner, der das Endgerät von außen prüft - Applet based ein Java Applet, welches nur im Browser ausgeführt wird Agent based: - Thin Agent ein Agent, der nur zur Laufzeit des Systems vorhanden ist - Fat Agent meist eine persistente Suite mit Firewall und Host Intrusion Detection Aufgabe des Assessments ist die Prüfung des Endsystems auf Konformität und / oder Schwachstellen. Hierzu gehören unter anderem Tests, ob die Firewall arbeitet oder wie verwundbar ein System in Bezug auf Angriffe ist. Auf die Frage, welche Methode (Agent less oder Agent based) denn nun die Bessere ist, lautet wieder einmal die Antwort klar und deutlich: Beide. Analog zu den Authentifizierungsmechanismen hängt es hierbei davon ab, was man prüfen möchte und welche Möglichkeiten ein Endsystem zur Prüfung bietet. Offensichtlich wäre es eine große Herausforderung einen Agenten auf einem Drucker oder einem Telefon zu installieren. Andererseits hat ein Netzwerkscanner Schwierigkeiten bei der Prüfung auf aktuelle Virensignaturen beim lokalen Anti-Virus Programm. Ein weiterer großer Unterschied ist die Zeit und Last im Netzwerk, die bei den verschiedenen Verfahren benötigt werden. Ein Netzwerkscanner arbeitet (wie der Name vermuten lässt) mit Scans im Netzwerk, die natürlich auch mehr Last erzeugen und Bandbreite benötigen. Ein Agent verlagert diese Prüfungen auf den Client und benötigen somit nur die lokalen Ressourcen bis ein endgültiger Bericht zu einer zentralen Stelle gesendet wird. Die lokalen Ressourcen, die benötigt werden, können bei Fat Agents aber erheblich sein, da diese oft per Self Enforcement arbeiten (und damit als Personal Firewall und / oder Host Intrusion Prevention System). Beim zeitlichen Aspekt lässt sich nur sehr schwierig eine konkrete Aussage treffen, da die Dauer einer solchen Prüfung von den Tests und Intentionen abhängt. Eine schnelle Prüfung, ob der lokale Firewall Prozess läuft, geht wesentlich schneller als ein Netzwerkscan über Tausende von Ports mit 15 von 26 NAC: Best Practice Guide

16 anschließenden Tests auf Verwundbarkeiten. Auf der anderen Seite bietet ein umfangreiches Assessment nicht nur Informationen über die Gesundheit eines Teilnehmers (leider nur die Software, nicht der Benutzer selbst), sondern kann auch zusätzliche Daten für eine Inventarisierung abfragen. Agent less Der Umfang der Testmöglichkeiten hängt hier sehr stark von der eingesetzten Software für ein Assessment ab. Der Markt für Vulnerability Scanner ist mittlerweile gut ausgeprägt und bietet eine Vielzahl von Programmen, die genau eine solche Aufgabe übernehmen und durch ständig neue Testsets aktuell gehalten werden können. Üblicherweise besteht eine solche Prüfung aus den beliebig kombinierbaren Schritten: 1. Verfügbarkeit & Identifikation Ping, DNS Lookup 2. Portscan TCP/UDP 3. Vulnerability Identifikation 4. Vulnerability Exploits Jeder dieser Punkte sollte in sich selbst noch konfigurierbar sein und die Auswahl bieten, ob die Ergebnisse aus einem vorhergehenden Schritt als Ausgang für den Nächsten genutzt werden. So bietet es sich aus Gründen der Geschwindigkeit und Last an, nur Ports auf Verwundbarkeiten zu testen, die auch tatsächlich geöffnet sind. Einige Netzwerkscanner können sich sogar mit dem Client selbst verbinden (unter Angabe eines gültigen Benutzernamens / Passworts) und lokale Tests durchführen. Bei den Vulnerability Exploits ist jedoch Vorsicht geboten, da diese möglicherweise ein Endsystem zum Absturz bringen. Andererseits ist dies jedoch die sicherste Möglichkeit das Vorhandensein einer Sicherheitslücke zu testen. Ein Nachteil einer solchen Prüfung ist die Genauigkeit der Ergebnisse, da auf der einen Seite nur bekannte Verwundbarkeiten geprüft werden können und auf der Anderen Dienste und Versionen nicht immer hundertprozentig über das Netzwerk identifiziert werden können. Solche Informationen und Tests sollten sich in den meisten Fällen noch anpassen lassen, allerdings wird in der Praxis häufig der Weg gewählt eher wenige, wichtige Dinge zu prüfen. Ein weiteres Problem stellt die Last eines solchen Scanvorganges auf dem Scanserver selbst dar. Es ist meist unrealistisch Tausende von Endsystemen von einem einzelnen Server regelmäßig prüfen zu lassen, was einen flächendeckenden Einsatz in größeren Umgebungen aus finanziellen Gründen meist scheitern lässt. Diese Art des Assessments hat allerdings auch seinen Charme, da die Prüfungen meist umfangreicher sind als das, was ein kleiner Agent leisten kann und gerade bei Gästen umgeht man hiermit den Zwang, dass man seinem Besucher zuerst eine fremde Software installieren muss. Der größte Vorteil liegt allerdings in der Prüfung von Endsystemen, die keinen Agenten aufnehmen können und damit ist auch gleichzeitig die Anzahl der zu scannenden Systeme auf ein erträgliches Maß begrenzt. Fazit: Netzwerkscans automatisieren viele manuelle Tests und werden von zentralen Servern im Netzwerk durchgeführt. Besonders in Bereichen zu empfehlen, in denen kein Agent verwendet werden kann. + schnelle Implementierung + häufige Signatur-Updates + umfangreiche Tests + detaillierte Clientinformationen + hohe Endsystemkompatibilität - limitierte Skalierbarkeit - eventuell lange Scandauer - hohe Netzwerklast 16 von 26 NAC: Best Practice Guide

17 Agent based Ein Agent ist eine eigenständige Software, die autonom auf einem Endsystem ausgeführt wird und dort, hinter den feindlichen Linien des Switchports, sowohl über den Zustand berichtet und in manchen Fällen sogar proaktiv gegen Verstöße vorgeht (Self Enforcement). Der große Vorteil ist die Möglichkeit alle Daten auf einem System direkt abfragen und sofort prüfen zu können. Damit hat man allerdings auch gleich die Kehrseite der Medallie erkannt, da ein Agent erst einmal auf einem Endsystem installiert werden muss und darüber hinaus wissen muss, was überhaupt zu prüfen ist. Gerade in Bereichen mit vielen unterschiedlichen Betriebssystemen und Anwendungen kann dies besonders viele Konfigurationsänderungen am Client nach sich ziehen oder erst gar nicht zum Einsatz kommen. Weiterhin muss der Agent sozial sein und sehr viel mit seiner Umgebung kommunizieren können, was sich allerdings bei einem Einsatz von Soft- und Hardware verschiedener Hersteller meist als schwierig darstellt. Es ist kein besonders gut gehütetes Geheimnis, dass viele Hersteller versuchen die Bindung zu ihrer NAC Lösung mit eigenen Agenten zu stärken und somit eine Diversifizierung mit anderen Lösungen zu unterbinden. Neuere Betriebssysteme und NAC Lösungen bieten jedoch schon Frameworks an, die eine Anbindung beliebiger Agenten und anderer Informanten ermöglichen. Microsoft bietet hier Network Access Protection (NAP) als Schnittstelle zwischen Agenten und NAC auf dem Betriebssystem selbst an. Generell sollte bei der Auswahl die Zukunftsfähigkeit und Kompatibilität beachtet werden, um die Flexibilität für spätere Entscheidungen zu wahren. Ein Agent bietet typischerweise folgende Prüfmöglichkeiten: Ist die Firewall eingeschaltet? Läuft ein Antivirenprogramm und sind die Signaturen aktuell? Welches Betriebssystem ist installiert? Wie aktuell ist das Patchlevel des Systems? Besteht die Verbindung zum Agenten? Welche Software ist installiert? Welche Prozesse und / oder Dienste sind gestartet? Theoretisch sind die Möglichkeiten nahezu unbegrenzt, allerdings ziehen spezifische Tests weiteren Aufwand nach sich, da der Agent erst einmal erfahren muss, was getestet werden soll und wie gut von böse zu unterscheiden ist. Im Gegensatz zum Agent less Scan verrichtet der Agent seine Arbeit und meldet sich mit den Ergebnissen zurück, so dass die Prüfung in der Regel wesentlich schneller stattfindet und die Last auf das Endsystem verlagert. Somit wird eine optimale Skalierbarkeit besonders in größeren Netzen gewährleistet. Gegebenenfalls kann sogar direkt eine Behebung des Problems (sogenannte Auto Remediation) erfolgen, wie z.b. das Einschalten der Firewall. Durch die Verwendung von sogenannten dissolvable Agents lassen sich auch Gäste gut integrieren, da sich der Agent nur im RAM des Endsystems befindet und nach einem Neustart wieder verschwunden ist. Fazit: Agenten können (fast) alles, sind aber leider nicht auf jedem Endsystem ausführbar. Gegenmaßnahmen können lokal auf dem Client ausgeführt werden und sowohl Last als auch Skalierbarkeit sind optimal. + Zugriff auf jede Clientinformation + proaktive Gegenmaßnahmen + sehr gute Skalierbarkeit + sehr gutes Lastverhalten + kurze Scanzeit - Endsystemkompatibilität - meistens single-vendor benötigt - teils hoher Konfigurationsaufwand 17 von 26 NAC: Best Practice Guide

18 Zusammenfassung Es ist offensichtlich, dass es auch beim Assessment keine einzelne, alles umfassende Lösung für alle Endgeräte gibt. Der beste Ansatz für einen tagtäglichen Einsatz lässt sich für die meisten Umgebungen zusammenfassen als: Agenten wo möglich, Netzwerkscan wo nötig, wenn überhaupt Assessment zum Einsatz kommen soll und man sich nicht auf bestehendes Softwaremanagement und Softwareverteilungssysteme verlassen möchte. Beide Varianten ergänzen sich komplementär und in Bereichen mit extrem hohen Sicherheitsanforderungen macht es sogar Sinn, beides gleichzeitig einzusetzen. Neben der Möglichkeit jederzeit eine Aussage über den Sicherheitszustand aller Netzwerkteilnehmer zu treffen, ist der größte Vorteil eines Assessments eine umfangreiche Dokumentation aller Netzwerkgeräte. Dieser Vorteil wird umso größer, sobald die eingesetzte NAC Lösung offene Schnittstellen zur Verwendung beliebiger Daten anbietet. Hier können sogar weitere Informationen aus Inventarisierungssoftware, Update Servern oder anderen Systemen mit relevanten Daten über ein Endsystem hinzugezogen werden und in die Beurteilung mit einfließen. Kontrollfragen zum Thema: Was soll auf einem Endsystem geprüft werden? Welche Methoden der Prüfung lässt ein Endsystem zu? Wie lange dauert eine Prüfung? Wie kann das Assessment unternehmensweit skalieren? Regulatorische Verweise zum Thema: BSI Maßnahmenkatalog (Auszüge): M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software (ISO x - Protection against malicious and mobile software) M 2.10 Überprüfung des Hard- und Software-Bestandes M 2.11 Regelung des Passwortgebrauchs (ISO User password management) M 4.3 Regelmäßiger Einsatz eines Anti-Viren-Programms...und viele weitere Quelle: 18 von 26 NAC: Best Practice Guide

19 Autorisierung: Der Anfang vom Ende An dieser Stelle wissen wir nun wie die unterschiedlichsten Endsysteme erkannt und authentifiziert werden können. Darüber hinaus liegen auch weiterführende Informationen eines Assessments vor, die ebenfalls zum Entscheidungsprozess beitragen, wer gut und wer böse ist. Und nun? Nun müssen wir dem Ganzen Taten folgen lassen und kommen zu dem Teil des NAC Projektes, vor dem überraschend viele Administratoren und Benutzer Angst haben - der Autorisierung. Die Autorisierung trennt im wahrsten Sinne die Spreu vom Weizen und setzt die Restriktionen um, die in der vorbereitenden Konzeptionierung geplant worden sind. Wir haben bereits vorher einige Methoden kurz genannt, die wir uns nun genauer anschauen wollen. Wieder einmal stehen uns mehrere Möglichkeiten zur Verfügung, die im Wesentlichen von dem abhängen, was das Netzwerk und / oder die NAC Lösung zu leisten im Stande ist. Die Entscheidungs-grundlage für diese Typen des Enforcements gestaltet sich darüber hinaus aus den Sicherheits-anforderungen und des Aufbaus der Infrastruktur selbst. So sollte zuvor bedacht werden, ob mehrere Endsysteme sich einen Zugang am Switchport teilen oder ob Geräte, Benutzer, ganze Ports oder einzelner Verkehr berücksichtigt werden sollen. (Port) VLAN Zuweisung Dies ist die häufigste und darüber hinaus sogar standardisierte Art (RFC 3580 mittels 802.1x und RADIUS) Zugriffsrechte zu gewähren. Hierbei befindet sich jeder Port per Default in einem Gast- oder auch Quarantäne-VLAN, welches nach erfolgreicher Authentifizierung und Assessment in ein produktives VLAN geändert wird. Diese Form der Autorisierung ist deshalb so verbreitet, weil mittlerweile so gut wie jeder Switch den Einsatz von VLANs unterstützt und sich durch die Verwendung verschiedener VLANs isolierte Zonen im Netzwerk bilden lassen. Doch auch diese Methode hat trotz ihrer Beliebtheit einige Schwachstellen. Einerseits ist ein VLAN in sich kein Security Container und andererseits ist die Verwendung vieler unterschiedlicher VLANs nicht praktikabel genug bzw. es erhöht den Aufwand für den Betrieb des Gesamtnetzes erheblich (mehr VLANs = mehr IP Subnetze = mehr IP Routerkonfiguration, etc). Auch im Zusammenspiel mit 802.1x und DHCP muss ein Client über seinen Supplicant mitgeteilt bekommen, dass er in einem anderen VLAN ist und eine neue IP Adresse anfordern muss. Ohne dies wird es bei einer reinen VLAN Änderung ohne 802.1x (z.b. über SNMP) zu Konnektivitätsausfällen kommen. Einige Hersteller versuchen hier einen Workaround mittels eines kurzen Ab-/Einschalten des Ports zu erreichen, was allerdings zu Kommunikationsunterbrechungen für andere Teilnehmer führt, sobald mehrere Endgeräte an einem Switchport angeschlossen wurden (Stichwort: Voice over IP Telefon) und nur einer der Teilnehmer neu autorisiert werden müsste. Die Handhabung multipler Clients an einem Switchport für sich ist schon problematisch. Bestehende Lösungen nutzen besonders im Zusammenhang mit VoIP die Variante, dass eines der beiden Geräte (üblicherweise das Telefon) seine Kommunikationsdaten mit der passenden VLAN ID vorab tagged. Damit kann der Switch danach die Kommunikationsbeziehung auseinanderhalten, jedoch ist dies eine sehr unsaubere Lösung, da die Teilnehmer im Netzwerk die Zuordnung von VLANs eigentlich dem Netz selber überlassen sollten. Die Alternative nur je ein Gerät pro Port zuzulassen, ist nicht überall mach-bar und treibt die Kosten des Netzwerkes in die Höhe. Ebenfalls kann einzelner Verkehr hierbei nicht unterschieden werden und ermöglicht so nur eine Klassifizierung für den gesamten Port oder das einzelne Gerät. Die Port VLAN Zuweisung stellt einen brauchbaren Kompromiss dar, allerdings sollte man seine Schwachstellen kennen und zuvor in der Planung berücksichtigen. 19 von 26 NAC: Best Practice Guide

20 User Port Switch Fazit: Diese Methode is weit verbreitet und genügt in vielen Bereichen den erforderlichen Ansprüchen. Nach-teilig ist der erhöhte Aufwand bei der Konzeptionierung sowie beim Betrieb und Einschränkungen bei mehreren Systemen pro Port. + in vielen Switchen integriert + logische Isolierung vom Netz + standardisiert - nicht verkehrsspezifischproblematisch bei multiplen Systemen pro Port - teils umfangreiche Konfiguration Policys In einem Satz gesagt sind Policys mit NAC die dynamische Firewall am Switchport. Die Funktionalität von Policys am Switchport gehört schon immer zu Enterasys Secure Networks und stammt noch aus der Zeit von Cabletron Systems. Mit Policys besteht die Möglichkeit vom Switchport über den Benutzer bis hin zum Traffic selbst zu regulieren, was erlaubt ist und was nicht und welche Priorität und Bandbreite einzelnen Applikationen pro Nutzer zur Verfügung steht. Dadurch lassen sich auch mehrere Systeme unabhängig voneinander beschränken und es besteht noch nicht einmal die Notwendigkeit einer Trennung durch verschiedene VLANs. Der Traffic kann zusätzlich zur Authentifizierung anhand einer Vielzahl an Eigen-schaften klassifiziert und individuell behandelt werden. Typische Beispiele hierfür sind: Betrieb von DHCP Server an Userports wird verboten HTTP Zugriff auf Quarantäne / Remediation Server ist für Systeme immer erlaubt, der Rest nur nach erfolgreichem Assessment Legacy Protokolle wie IPX oder anomaler Traffic wird direkt am Switchport verworfen Anwendungen wie Skype oder P2P können gedrosselt werden. Damit sucht die Applikation selbst nicht permanent nach offenen Ports und ist dennoch limitiert. SIP Traffic wird ab dem Switchport mit den korrekten Quality of Service Informationen versehen Einzelne Flows können in ein anderes VLAN geschoben werden, ohne dass der Client darauf Einfluss hat oder dies bemerkt Dynamic Flow-based Packet Classification (DFPC) Layer 2 MAC Address EtherType (IP, IPX, AppleTalk, etc) Layer 3 IP Address IP Protocol (TCP, UDP, etc) ToS Layer 4 TCP/UDP port (HTTP, SAP, Kazaa, etc) Access Control Deny Permit Contain Flow VLAN Matrix N-Series Class of Service Priority/QoS Rate Limit Enterasys Confidential (Internal Only) Sept 5, Obwohl Policys schier unendliche Möglichkeiten und die höchste Granularität bieten, ist dies auch gleichzeitig ein Problem. Man muss zuvor sehr genau wissen, was erlaubt ist und was nicht. Vereinfacht wird die Administration allerdings durch ein rollen- und servicebasiertes Regelwerk, welches eine Wiederverwendung üblicher Definitionen vereinfacht. Leider besteht dieses Maß an Kontrolle zum jetzigen Zeitpunkt nur auf Enterasys Switchen und den In-Line NAC Appliances von Enterasys. 20 von 26 NAC: Best Practice Guide

2014 Extreme Networks, Inc. All rights reserved. Network Access Control NAC

2014 Extreme Networks, Inc. All rights reserved. Network Access Control NAC Network Access Control NAC Warum eigentlich NAC? Im Grunde geht es bei NAC um die Fragen Wer darf sich im Netz anmelden? Wie darf jemand im Netz kommunizieren? Was ist für jemanden im Netz erreichbar?

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Ingentive Fall Studie. LAN Netzwerkdesign eines mittelständischen Unternehmens mit HP ProCurve. Februar 2009. ingentive.networks

Ingentive Fall Studie. LAN Netzwerkdesign eines mittelständischen Unternehmens mit HP ProCurve. Februar 2009. ingentive.networks Ingentive Fall Studie LAN Netzwerkdesign eines mittelständischen Unternehmens mit HP ProCurve Februar 2009 Kundenprofil - Mittelständisches Beratungsunternehmen - Schwerpunkt in der betriebswirtschaftlichen

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen 802.1x in der Praxis Mastervorlage zur Gestaltung von PowerPoint-Präsentationen DI (FH) Michael Perfler DI (FH) Bernhard Mitterer Kapsch BusinessCom AG Kapsch BusinessCom AG 1 Agenda Einleitung Protokolle

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

Markus Nispel Director Solution Architecture markus.nispel@enterasys.com

Markus Nispel Director Solution Architecture markus.nispel@enterasys.com Markus Nispel Director Solution Architecture markus.nispel@enterasys.com Seite 1 von 13 enterasys Whitepaper SICHER KOMBINIERT NETWORK ACCESS CONTROL UND SECURITY INFORMATION AND EVENT MANAGEMENT... 3

Mehr

"Wolle mer se roilosse?"

Wolle mer se roilosse? "Wolle mer se roilosse?" - Zugangsschutz in Mannheim Gerd Armbruster Abteilungsleiter Infrastrukturmanagement Zugangsschutz? ifconfig eth0 down ifconfig eth0 hw ether MAC ADRESSE ifconfig eth0 up Mein

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6

Whitepaper. Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff. Version: 0.1. Seite 1 von 6 6 Whitepaper Mobile Computing Mehrstufige Sicherheit für den mobilen Zugriff Version: 0.1 Verfasser: Anna Riske Seite 1 von 6 6 Inhaltsverzeichnis Mobile Computing: Mehrstufige Sicherheit für den mobilen

Mehr

Daniel Schieber Technical Consultant

Daniel Schieber Technical Consultant Aktueller Status Unternehmensprofil Daniel Schieber Technical Consultant COMCO Fakten: Gründung 1998 als Systemhaus Firmensitz in Dortmund, NRW 42 Mitarbeiter Umsatzerwartung 10 Mio. in 2006 Entwicklung

Mehr

Arbeitskreis Security

Arbeitskreis Security Arbeitskreis Security Positionspapier IEEE 802.1X BGNW Herbsttagung, 25. November 2005 Inhalt IEEE 802.1X im Überblick Problembereiche Standpunkt 1 Status von IEEE 802.1X Grundprinzip von IEEE 802.1X Dem

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Warum IT-Sicherheit ohne NAC scheitert

Warum IT-Sicherheit ohne NAC scheitert Warum IT-Sicherheit ohne NAC scheitert macmon secure GmbH Deutscher Hersteller der technologieführenden NAC-Lösung macmon Erfahrenes Team mit Entwicklung, Support und Beratung an zentraler Stelle in Berlin

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Neue Technologien. Belastung oder Entlastung im Vertrieb?

Neue Technologien. Belastung oder Entlastung im Vertrieb? Neue Technologien Belastung oder Entlastung im Vertrieb? Was sind neue Technologien? Mobile Systeme Smartphones / Tablets / Notebooks Kunden Apps (Makler oder Fintech ) Vertriebs Apps Cloud Systeme (Rechenzentrum)

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

12. Firewall 12-1. Inhaltsverzeichnis. 12.1. Skalierbarkeit. Stand: Dez. 2007. 12.Firewall...1. paedml 3.0. Firewall. Kapitel

12. Firewall 12-1. Inhaltsverzeichnis. 12.1. Skalierbarkeit. Stand: Dez. 2007. 12.Firewall...1. paedml 3.0. Firewall. Kapitel . Firewall Autor: Fritz Heckmann Stand: Dez. 2007 Inhaltsverzeichnis.Firewall...1.1.Skalierbarkeit...1.1.1. Ohne dezidierte Firewall...2.1.2. Einsatz einer Appliance...3.2.Konfiguration der Firewall...3.3.Zusammenfassung...5

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Sichere Fernwartung über das Internet

Sichere Fernwartung über das Internet Sichere Fernwartung über das Internet Implementierung, Skalierbarkeit, Zugriffs- und Datenschutz DI Günter Obiltschnig Applied Informatics Software Engineering GmbH Maria Elend 143 9182 Maria Elend Austria

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

_OptiView XG. Konfiguration und Anwendung 05.09.2012

_OptiView XG. Konfiguration und Anwendung 05.09.2012 _OptiView XG Konfiguration und Anwendung Allmos Electronic GmbH, Fraunhoferstr.11a, D-82152 Planegg/Munich, Phone: (+49) 89 / 89 505-0, Fax.: (+49) 89 / 89 505-100, www.allmoselectronic.de 1 Agenda _Einstellungen

Mehr

Quelle: www.roewaplan.de. Stand September 2006 RÖWAPLAN

Quelle: www.roewaplan.de. Stand September 2006 RÖWAPLAN Quelle: www.roewaplan.de Stand September 2006 Aktives Datennetz Durchblick für jeden RÖWAPLANER RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Network Access Control Betriebssystem und Switch-unabhängig ohne Agenten

Network Access Control Betriebssystem und Switch-unabhängig ohne Agenten 1 Network Access Control Betriebssystem und Switch-unabhängig ohne Agenten IT Trends 2007 Christian Leipner Helmich EDV- Systeme GmbH http://www.helmich.de http://www.insightix.com 2 Die Ausgangssituation

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

OEDIV SSL-VPN Portal Anbindung Externe

OEDIV SSL-VPN Portal Anbindung Externe OEDIV SSL-VPN Portal Anbindung Externe Collaboration & Communication Services Stand 10.03.2015 Seite 1 von 11 Inhaltverzeichnis 1 Allgemeine Informationen... 3 2 Voraussetzungen... 3 3 Anmeldung am Portal...

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

NetDocu 3.0. Automatische Netzwerk-Dokumentation und Asset-Management.

NetDocu 3.0. Automatische Netzwerk-Dokumentation und Asset-Management. Automatische. Kurzer Überblick NetDocu - automatische Netzwerkdokumentation Inventarisierung und Asset-Management NetDocu ist das ideale Tool für Administratoren, IT-Mitarbeiter, Datenschutzbeauftragte

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Mit Trusted Computing zur mobilen Sicherheit der Zukunft Malte Hesse Hesse (at) internet-sicherheit.de

Mit Trusted Computing zur mobilen Sicherheit der Zukunft Malte Hesse Hesse (at) internet-sicherheit.de Mit Trusted Computing zur mobilen Sicherheit der Zukunft Malte Hesse Hesse (at) internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule Gelsenkirchen Herausforderung:

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Hotspot & VPN Server, Router, Firewall, QoS

Hotspot & VPN Server, Router, Firewall, QoS Seite 1/6 Internetzugang in Hotels, Restaurants, Bars, Biergärten, Betrieben, Wohn /Camping Anlagen, Kongresszentren, Messen, Tagungen ist etwas gutes. Ist es aber sicher? Nicht immer. Wir bieten Ihnen

Mehr

Mobile Security. Astaro 2011 MR Datentechnik 1

Mobile Security. Astaro 2011 MR Datentechnik 1 Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Network Access Control NAC Die Grundzüge einer neuen Technologie Markus Nispel Director Solution Architecture markus.nispel@enterasys.

Network Access Control NAC Die Grundzüge einer neuen Technologie Markus Nispel Director Solution Architecture markus.nispel@enterasys. Network Access Control NAC Die Grundzüge einer neuen Technologie Markus Nispel Director Solution Architecture markus.nispel@enterasys.com Seite 1 von 18 enterasys Whitepaper EINLEITUNG 3 DEFINITION VON

Mehr

P793H PPP/ACT LAN 4 PRESTIGE P793H

P793H PPP/ACT LAN 4 PRESTIGE P793H PW R A CT RESET SYS CA RD L AN 10/100 W AN-1 10/100 WAN-2 10/100 1 DMZ 10/100 2 3 4 DIAL BACKUP CONSO LE PW R /SYS D SL PPP/ACT 1 2 LAN 3 4 PRESTIGE 700 SERIES PW R /SYS D SL PPP/ACT 1 2 LAN 3 4 PRESTIGE

Mehr

Netzwerktechnik Cisco CCNA

Netzwerktechnik Cisco CCNA BBU NPA Übung 9 Stand: 07.01.2013 Zeit Lernziele Laborübung 60 min Grundkonfiguration eines Switches Erstellen einer Grundkonfiguration für einen Switch Löschen einer Konfiguration und Laden einer Konfiguration

Mehr

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS Um den Zugriff auf den Miniserver aus dem Internet sicherer zu gestalten bietet sich eine VPN Verbindung an. Der Zugriff per https und Browser

Mehr

Quick Installation Guide

Quick Installation Guide WWW.REDDOXX.COM Erste Schritte Bitte beachten Sie, dass vor Inbetriebnahme auf Ihrer Firewall folgende Ports in Richtung Internet für die Appliance geöffnet sein müssen: Port 25 SMTP (TCP) Port 53 DNS

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

Welcome. 802.1x Betrieb und Trend zur Compliance Überprüfung. Marc Schürch, CEO Netcloud AG schuerch@netcloud.ch. 10. Mai 2007 Netcloud AG

Welcome. 802.1x Betrieb und Trend zur Compliance Überprüfung. Marc Schürch, CEO Netcloud AG schuerch@netcloud.ch. 10. Mai 2007 Netcloud AG Welcome 1 802.1x Betrieb und Trend zur Compliance Überprüfung Marc Schürch, CEO Netcloud AG schuerch@netcloud.ch 2 Was bedeutet Compliance? Befolgung, Einhaltung, Einwilligung, Erfüllung, Folgsamkeit,

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

Was muss ich bei einem Netzaufbau mit 4 verschiedenen VLANs und unterschiedlicher Netzwerk- Hardware beachten?

Was muss ich bei einem Netzaufbau mit 4 verschiedenen VLANs und unterschiedlicher Netzwerk- Hardware beachten? SOP: Thema Komplexe Netzwerke Passend zu ZyXEL Hands-On Workshop Komplexe Netzwerke in 2014 Trainer: Marc Stefanski / Michael Wirtz Datum: Feb. 2014 Aufgabe: Was muss ich bei einem Netzaufbau mit 4 verschiedenen

Mehr

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014 Technical Paper Filialvernetzung Filialvernetzung Stand August 2014 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Der virtualisierte Anwender:

Der virtualisierte Anwender: P R Ä S E N T I E R T Der virtualisierte Anwender: Virtualisierung und Sicherheit des End User Environments Der Weg zur Lösung Ein Beitrag von Peter H.Kuschel Vertriebsleiter XTRO IT Solutions GmbH - Ismaning

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau Grundlagen Vernetzung am Beispiel WLAN 1 / 6 Peer-to Peer-Netz oder Aufbau Serverlösung: Ein Rechner (Server) übernimmt Aufgaben für alle am Netz angeschlossenen Rechner (Clients) z.b. Daten bereitstellen

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

Service & Support. Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client.

Service & Support. Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client. Deckblatt Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client FAQ August 2012 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt

Mehr

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten Dr. Matthias Rosche Manager Security Consulting 1 Agenda VPN-Technologien Kundenwünsche und Praxis Neue Lösungsansätze Empfehlungen

Mehr

SolarWinds Engineer s Toolset

SolarWinds Engineer s Toolset SolarWinds Engineer s Toolset Monitoring Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen

Mehr

WENDIA ITSM EXPERT TALK

WENDIA ITSM EXPERT TALK WENDIA ITSM EXPERT TALK WENDIA ITSM WHITEPAPER IT SERVICE MANAGEMENT BASISWISSEN: IN EINFACHEN SCHRITTEN ZUR CMDB Wer, Wie, Was: Die CMDB als Herzstück eines funktionierenden IT Service Management Die

Mehr

Mehr Sicherheit im GÖNET durch Einsatz der privaten Netze

Mehr Sicherheit im GÖNET durch Einsatz der privaten Netze Mehr Sicherheit im GÖNET durch Einsatz der privaten Netze In der Vergangenheit ist es auf Rechnern im Gönet vermehrt zu Angriffen aus dem Internet gekommen. Neben dem Einsatz eines Firewalls, der den Netzwerkdurchsatz

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Kai Wilke Consultant - IT Security Microsoft MVP a. D. mailto:kw@itacs.de Agenda Microsoft Forefront

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell

Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell F. Burchert, C. Hochberger, U. Kleinau, D. Tavangarian Universität Rostock Fachbereich Informatik Institut für Technische

Mehr

Informationen zur LANCOM GS-2326P

Informationen zur LANCOM GS-2326P Informationen zur LANCOM GS-2326P Copyright (c) 2002-2014 LANCOM Systems GmbH, Würselen (Germany) Die LANCOM Systems GmbH übernimmt keine Gewähr und Haftung für nicht von der LANCOM Systems GmbH entwickelte,

Mehr

Konsolidieren Optimieren Automatisieren. Virtualisierung 2.0. Klaus Kremser Business Development ACP Holding Österreich GmbH.

Konsolidieren Optimieren Automatisieren. Virtualisierung 2.0. Klaus Kremser Business Development ACP Holding Österreich GmbH. Konsolidieren Optimieren Automatisieren Virtualisierung 2.0 Klaus Kremser Business Development ACP Holding Österreich GmbH Business today laut Gartner Group Der Erfolg eines Unternehmen hängt h heute von

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Netzwerkmanagement Mag. Dr. Klaus Coufal

Netzwerkmanagement Mag. Dr. Klaus Coufal Netzwerkmanagement Mag. Dr. Klaus Coufal Themenübersicht Warum Anforderungen Einordnung in Managementsysteme Standards und Protokolle Aufbau von Managementsystemen OSI-NMS SNMP-NMS Webbasierendes Management

Mehr

Advanced Host Monitor 6 - Die automatische Netzüberwachung und Fehlerbehebung

Advanced Host Monitor 6 - Die automatische Netzüberwachung und Fehlerbehebung 1 von 9 21.12.2009 21:36 Stand: 21.12.2009 Advanced Host Monitor 6 - Die automatische Netzüberwachung und Fehlerbehebung Die meisten Administratoren größerer Netze kennen das: Je mehr Server, Netzwerkkomponenten,

Mehr

Lizenzierung von Lync Server 2013

Lizenzierung von Lync Server 2013 Lizenzierung von Lync Server 2013 Das Lizenzmodell von Lync Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe auf die Serversoftware.

Mehr

Hard- und Software Aastra 415/430/470, IntelliGate 150/300/2025/2045/2065

Hard- und Software Aastra 415/430/470, IntelliGate 150/300/2025/2045/2065 Hard- und Software Aastra 415/430/470, IntelliGate 150/300/2025/2045/2065 Treiber und Applikationen Autor Open Interface Plattform und OIP Applikationen Michael Egl, Ascotel System Engineer 1.1 Kommunikation

Mehr

Systemsicherheit am ITMZ. 17.02.2011 UNIVERSITÄT ROSTOCK IT- und Medienzentrum Jörg Maletzky 1

Systemsicherheit am ITMZ. 17.02.2011 UNIVERSITÄT ROSTOCK IT- und Medienzentrum Jörg Maletzky 1 17.02.2011 UNIVERSITÄT ROSTOCK IT- und Medienzentrum Jörg Maletzky 1 Agenda Wie konfiguriere ich ein sicheres und robustes System? Stand der Sicherheit bei aktuellen Windows-Systemen das Positive, das

Mehr

Der Einsatz eines Security-Scanners in einem globalen Unternehmen

Der Einsatz eines Security-Scanners in einem globalen Unternehmen 8. DFN-CERT Workshop Sicherheit in vernetzten Systemen Der Einsatz eines Security-Scanners in einem globalen Unternehmen Dirk Lehmann CT IC 3, Security Technologies CERT Dirk.Lehmann@cert.siemens.de Mai-01

Mehr

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2 Whitepaper Stand November 2012 Version 1.2 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

clevere ACL Filter Funktionen mit gemanagten Small Business Switches clusterbare Access-Points für flächendeckendes WLAN

clevere ACL Filter Funktionen mit gemanagten Small Business Switches clusterbare Access-Points für flächendeckendes WLAN Live Demo Ablaufplan Live-Demo: Switching clevere ACL Filter Funktionen mit gemanagten Small Business Switches WLAN clusterbare Access-Points für flächendeckendes WLAN SIP/IP-Telefonie VPN Tunnel direkt

Mehr