Welcome x Betrieb und Trend zur Compliance Überprüfung. Marc Schürch, CEO Netcloud AG 10. Mai 2007 Netcloud AG

Transkript

1 Welcome x Betrieb und Trend zur Compliance Überprüfung Marc Schürch, CEO Netcloud AG schuerch@netcloud.ch 2

2 Was bedeutet Compliance? Befolgung, Einhaltung, Einwilligung, Erfüllung, Folgsamkeit, Prüfzeichen, Übereinstimmung, Beachten der Vorschriften, Erfüllung der Voraussetzung, Befolgen einer Regel, Die Einhaltung von Verhaltensmassregeln, Gesetzen und Richtlinien 3 Agenda Warm up Trend zur Compliance Überprüfung Ziel der Compliance Überprüfung Übersicht, Elemente Möglichkeiten Ablauf 802.1x Betrieb Organisation und Eskalation Benutzer kommt nicht an das Netzwerk Handhabung von Ausnahmen Projektumsetzung und Erfahrungen aus Projekten Zusammenfassung 4

3 Judo fürs Netz Integriert Jedes Element ermöglicht ein Teil der Sicherheitsstrategie umzusetzen. Gemeinschaftlich Eine durchgehende Zusammenarbeit zwischen Sicherheit und Netzwerk verbessert die Abwehr. Adaptiv Das Netzwerk kann sich automatisch an die neue Umgebung anpassen und damit Gefahren vorbeugen. 5 Auto Sicherheit Integriert, Gemeinschaftlich, Adaptiv Sicherheit ist eine Option Integration ist eine Herausforderung Sicherheit ist Bestandteil Durchgehende Zusammenarbeit Anpassungsfähig 6

4 IT Sicherheit Integriert, Gemeinschaftlich, Adaptiv AV HIDS Personal FW Behavior/ Anomaly IPS/FW VPN Endsystem Sicherheit ID/ Trust Identität Netzwerk Sicherheit SSL VPN VPN IDS AD IPS DDOS FW + VPN FW APP FW Das Endsystem kennt Kontext und Status Der Policy Server kennt Anforderungen und Zugangsregeln Das Netzwerk stellt Durchsetzungsmechanismen zu Verfügung 7 Agenda Warm up Trend zur Compliance Überprüfung Ziel der Compliance Überprüfung Übersicht, Elemente Möglichkeiten Ablauf 802.1x Betrieb Organisation und Eskalation Benutzer kommt nicht an das Netzwerk Handhabung von Ausnahmen Projektumsetzung und Erfahrungen aus Projekten Zusammenfassung 8

5 Ziel der Compliance Überprüfung Verhindern von Sicherheitslecks Perimeter Sicherheit Netzwerk Sicherheit Client Sicherheit Alle internen Geräte weisen einen (minimalen) Sicherheitsebene auf Verhindern von Viren-Ausbrüchen Primäre Problem Gruppen Aussendienst Mitarbeiter Externe Berater, Gäste 9 Trends in Richtung Compliance: Network Admission Control NAC verwendet die Netzwerkinfrastruktur um sicherzustellen, dass nur Geräte Verbindung haben die mit den Unternehmensweiten Sicherheitsrichtlinien entsprechen. Identität Endsystem Sicherheit NAC Netzwerk Sicherheit Si Si 10

6 Si Si Viele Wege führen nach Rom Endsystem Sicherheit Identität NAC Netzwerk Sicherheit Cisco, Network Admission Control (NAC) Framework (802.1x, Access Lists, VLAN Mapping) Appliance (SNMP, VLAN Mapping oder Inline) Microsoft, Network Access Protection (NAP) Trusted Network Connect (TNC) Antiviren Hersteller Der Durchsetzungspunkt der Richtlinie ist der kritische Faktor Beispiel: Mehrstufiges Vorgehen wie am Flughafen Passkontrolle Sicherheits-Check 11 Der Zugriff ist abhängig vom Gerätestatus Zuerst müssen die Zugriffsrichtlinien definiert werden. Authentisieren & Autorisieren Durchsetzen der Authentisierung, Richtlinien und Zugriffsrechten Benutzer / Rolle Quarantäne & Durchsetzen Isolierung von non-compliant Geräten vom Rest VLAN, MAC, IP-based pro Benutzer Überprüfen & Auswerten Agent überprüft Versionen von Hotfixes, AV, etc Netzwerk scan für Virus, Würmer und andere Verletzbarkeiten Aktualisieren & Beseitigen Netzwerkbasierende Werkzeuge für das beseitigen von Verletzbarkeiten und Gefahren Integration Help-desk Keine COMPLIANCE = Kein NETZWERK ZUGRIFF 12

7 Vereinfachter Ablauf NAC Optional Zwingend 1 Endsystem möchte Netzwerk- Zugriff Traffic triggers challenge Network Access Devices (NADs) Access Control Server (ACS) RADIUS Policy Server Decision Points and Audit 4a Identity AD, OTP, etc. Directory Server Status 9 2 Credentials EAP Notification 8 3 Credentials RADIUS 7 Enforcement 5 Compliant? 6 Authorization 4b Posture HCAP, OOB 4c Audit GAME: HTTPS Policy Vendor Server (PVS) Audit Server (AS) esultat: 13 voller Zugriff, limitierter Zugriff, kein Zugriff, Quarantäne Agenda Warm up Trend zur Compliance Überprüfung Ziel der Compliance Überprüfung Übersicht, Elemente Möglichkeiten Ablauf 802.1x Betrieb Organisation und Eskalation Benutzer kommt nicht an das Netzwerk Handhabung von Ausnahmen Projektumsetzung und Erfahrungen aus Projekten Zusammenfassung 14

8 Organisation Help-desk Netzwerk Gruppe Server Gruppe Client Gruppe Interaktion, Eskalation Zwischen den Gruppen Zu externen Leistungserbringer Engineering, Betrieb Regeln erstellen/umsetzen Änderungen vornehmen 15 Konkretes Beispiel Benutzer kommt nicht ans Netz Benutzer ruft das Help-desk an Help-desk macht eine Problemeingrenzung, -lösung Informationen zusammentragen Auswerten Lösung einleiten oder Weiterleiten anhand der Eingrenzung Weitere technische Teams involvieren Rückmeldung an Help-desk Resultat dokumentieren, Information an den Benutzer 16

9 Benutzer suchen (Netzwerk, WLAN) Search for «ncwtw-ms1» [ 00-0D ] is connected via the phone (sep000f2322dea1.netcloud.local) to device ncwt-prd-sw01.netcloud.local on the port GigabitEthernet3/0/6 ** ARBEITSPLATZ ** full Search for «ncwtw-ms2» Unfortunately the search did not get any satifying results... all that was found is this: [ B-14-3F ] is registered in device ncwt-prd-sw01.netcloud.local on the port GigabitEthernet1/0/46 ** ncwt-prd-controller01 Port 4 ** full. Neigbhor-Info on this port: Unit - 0 Slot - 0 Port Port Status überprüfen (Netzwerk) Aktueller Status Status in Vergangenheit Zusätzliche Ereignisse aus dem Eventlog CA-Meldungen Microsoft Eventlog-Meldungen RADIUS Accounting 18

10 Ausnahmen Gerät unterstützt kein 802.1x oder, oder, Drucker, Appliances, Gebäudetechnik, Scanner, Medizinische Geräte, Berater, Gäste, temporäre Mitarbeiter, Lösungen MAC-Filter VLAN Zuweisung (automatisch/manuell) mit L3- Filter Feste Ausnahmen (Bsp: Server Access) Wireless LAN Manuell erfasste Geräte Ablauftermin beim Erfassen definieren Erinnerung des Auftraggebers vor dem Ablauftermin für die Erneuerung des Auftrags 19 Ausnahmen das Fazit 1. Minimierung manuellen Eingriffe 2. Vermeidung Erfassung/Verwaltung von MAC-Adressen 3. Automatisierte Erinnerung und Rücksetzung von manuellen Eingriffen 20

11 Agenda Warm up Trend zur Compliance Überprüfung Ziel der Compliance Überprüfung Übersicht, Elemente Möglichkeiten Ablauf 802.1x Betrieb Organisation und Eskalation Benutzer kommt nicht an das Netzwerk Handhabung von Ausnahmen Projektumsetzung und Erfahrungen aus Projekten Zusammenfassung 21 Projektvorgehen Prepare Geschäftsanforderungen Technologie Strategie High-level Design Plan Project Management Site- / Network- / Operations Readiness Assessment Design Detailed Design, Validation Operations Design, Implementation- / Migratiation- / Staging- /Staff Training-Plan Implement Staging, Implementation Migration, Training Operations Implementation Operate Monitoring Problem- / Change- / Configuration- Management Optimize Assessment & Improve 22

12 Projektvorgehen Teilprojekte CISF DHCP-Snooping, ARP-Inspection, Portsecurity 802.1x Gästezugang (WLAN) NAC Projekt-Team Netzwerk Client Server Security Help-desk Vorsicht: Phasen müssen aufeinander abgestimmt sein! 23 Agenda Warm up Trend zur Compliance Überprüfung Ziel der Compliance Überprüfung Übersicht, Elemente Möglichkeiten Ablauf 802.1x Betrieb Organisation und Eskalation Benutzer kommt nicht an das Netzwerk Handhabung von Ausnahmen Projektumsetzung und Erfahrungen aus Projekten Zusammenfassung 24

13 Zusammenfassung 1. Wer sind sie? Authentisierung von Gerät und/oder Benutzer 4. Welches SLA bekommen sie? Weitere Optionen z.b. QoS werden dem Benutzer zugeordnet. 2. Sind sie gesund? Das Netzwerk überprüft mit Umsystemen ob das Gerät den Richtlinien entspricht. 3. Wohin dürfen sie gehen? Aufgrund der Identifikation/Rolle wird dem Benutzer die Berechtigungen zugeordnet Was machen sie? Anhand von Identität und Lokation der Benutzer können Benutzer besser verwaltet werden. Herzlichen Dank! 26