Sichere Netzwerke x Auf Rollen basierte Sicherheit Inkl. Demonstrationen

Transkript

1 Sichere Netzwerke 802.1x Auf Rollen basierte Sicherheit Inkl. Demonstrationen Karaduman Ercan TGM Wien 20 Inhalt Motivation, Voraussetzungen, Funktion, Geräte Demonstration Rollen Zuweisung mit 802.1x Demonstration Definition von Services - Rogue DHCP Server Demonstration Multiuser Authentication 1

2 Vision Problem Ziel Mehr als 90% unkontrollierte Clients am Netz (alle möglichen OS, alle möglichen Patchlevel, alle möglichen Viren und Würmer,...) Attacken sollen bereits am Zugangspunkt unterbunden werden Der Client muss gewisse Anforderungen erfüllen (Virensoftware, Service Packs,...) Ansätze Trusted End System (Enterasys), NAC (Cisco) Dynamic Intrusion Response (Kopplung mit IDS z.b. Dragon) Secure Network Solutions von Enterasys Acceptable Use Policy Eliminierung des unerwünschten Traffic von allen User Zugriffspunkten Secure Application Provisioning Zentrale Verwaltung statischer und dynamischer Policies Secure Guest Access Zentrale Verwaltung von vertrauenswürdigen Usern und Gästen (kein Zugriff, Default Zugriff,...) Dynamic Intrusion Response Automatische Reaktion auf Angriffe (Thread Containment, Thread Detection) Single Sign-On Ein Login für alle Dienste (User/Passwort, Zertifikat) 2

3 Verletzbare Stellen in typischen Netzwerken CODE RED SO BIG.F NIMBDA BLASTER SLAMMER SOHO/ Quelle: Enterasys Networks Abwehr mit CODE RED SO BIG.F NIMBDA BLASTER SLAMMER SOHO/ Quelle: Enterasys Networks 3

4 Wo greifen derzeit im TGM ACL? Access Listen sind Interfaces zugeordnet (Permit/Deny) Zuweisung zu VLANs (kein Schutz innerhalb Eines VLAN) Voraussetzungen User Authentifizierung mit 802.1x Wired Netz Wireless Netz 802.1x fähige Netzwerkhardware Matrix N3, Matrix V2, RoamAbout R2 fähig Physikalische Struktur Ein User pro Port Multiuser (Grenze durch Netzwerkhardware) 4

5 802.1x Devices von Enterasys Policy fähige Devices Matrix N Serie (Gold DFE, Platinum DFE) Matrix E Serie RoamAbout R x Legacy Matrix V Serie Access Point 3000 Keine 802.1x Unterstützung Vertical Horizon (ausgelaufen) DFE - Distributed Forwarding Engine 802.1x Legacy Devices RFC 3580 VLAN to Role Mapping Tunnel-Medium-Type=Ether_802 Tunnel-Private-Group-ID=2000 Tunnel-Type=VLAN Der User authentifiziert hier (802.1x) und erhält ein VLAN zugeordnet (RFC3580) Ein VLAN to Role Mapping wird durchgeführt 5

6 802.1x Authentication mit Policies Filter-Id = "Enterasys:version=1:mgmt=su:policy=SCHUELER OpenLDAP Directory Service Windows XP Supplicant s System Supplicant PAE Matrix N3 / RoamAbout R2 Authenticator s System Services Offered by Authenticator (e.g Bridge Relay) Authenticator PAE Radiator Authentication Server s System Authentication Server Controlled port Uncontrolled port Port Authorize MAC Enable LAN Demonstration: Rollen Zuweisung mit 802.1x Code: Access-Accept Identifier: 82 Authentic: <0><0><241>8<0><0><230>L<0><0> Attributes: Filter-Id = "Enterasys:version=1:mgmt=su:policy=SCHUELER" Tunnel-Medium-Type = Ether_802 Tunnel-Private-Group-ID = 2000" Tunnel-Type = VLAN EAP-Message = <3><12><0><4> Message-Authenticator = <0<0><0><0><0><0><0> MS-MPPE-Send-Key = "<220><154><172><254>..." MS-MPPE-Recv-Key = "<132>N<156>`n/<136>0..." 6

7 Rogue DHCP Server Ein Rogue DHCP Server vergibt falsche IP Adressen (z.b. Schülernotebook) Kann durch L3/L4 Policies verhindert werden (verwerfen von UDP Source Port 67) Client mit installiertem DHCP Server hängt im Netz und vergibt falsche IPs Policy wird zugewiesen DENY SRC PORT 67 Rollen, Services Rules Network Administrator Faculty Student Guest Administrative Protocols Acceptable Use Legacy Protocols Deny Faculty Server Farm Internet Only Deny SNMP Deny Telnet Deny TFTP Deny DHCP Reply Deny RIP Deny OSPF Deny Apple Deny IPX Drop Apple Drop IPX Drop DecNet Deny IP Range Allow DHCP Deny ALL Allow DNS Allow HTTP Quelle: Enterasys Networks 7

8 Demonstration: Definition von Services DHCP DISCOVER Broadcast Src: 68 Dst: 67 OFFER Unicast Src: 67 Dst: 68 REQUEST Broadcast Src: 68 Dst: 67 ACK Unicast Src: 67 Dst: 68 Rolle: SCHUELER Service: DHCP Classification Rule: SRC PORT 67 (Regeln werden immer Inbound angewandt) Multi User Authentication Filter ID Credit SMAC = Anita SMAC = Bob 802.1X Login PWA Login Port X MUA Logic 802.1X PWA Dynamic Policy Admin Rule Credit 802.1X Credentials Policy Sales PW A Credentials Dynamic Admin Rule Filter ID Policy Sales RADIUS Authority SMAC = Ted Any Traffic DFE MAC Policy Engineering MAC Credentials Dynamic Admin Rule Filter ID Policy Engineering Quelle: Enterasys Networks 8

9 Matrix N Serie Gold DFE Single User per Port Platinum DFE Multi User per Port (bis zu 256 pro Port / 2048 pro Chassis) Achtung: Lizenzen!!! Policy Control Elements Permit Deny QoS Bandwidth VLAN containment Und vieles mehr... Platinum DFE Types 48 port 10/100 (RJ45) w/exp. slot 72 port 10/100 (RJ45) 48 port 10/100 (RJ21) w/exp. slot 72 port 10/100 (RJ21) 40 port 10/100/1000 w/exp. slot 60 port 10/100/ port 100FX w/exp. slot 48 port 10/100 (RJ45) with PoE and exp. slot 12 port 1G (Fiber) 18 port 1G (Fiber) w/exp. slot 30 port 10/100/ port 10 Gigabit Demonstration: Multi User Authentication Wichtig: Spanning Tree muss deaktiviert werden auf VH2402S Port Mode Max Allowed Current users users users ge.3.1 auth-opt ge.3.2 auth-opt ge.3.3 auth-opt ge.3.4 auth-opt ge.3.5 auth-opt ge.3.6 auth-opt ge.3.7 auth-opt ge.3.8 auth-opt ge.3.13 auth-opt ge.3.14 auth-opt

10 Ein mögliches Umstiegsscenario 1. Derzeit: Statische ACL auf Interfaces 2. Policy Erstellung 3. VLAN to Role Mapping für die derzeit bestehenden Netze 4. Auflösen von Userkonzentration durch zusätzliche Verkabelung Max. 128 User pro Switchport 5. Einführen der Authentifizierung im Wired Bereich 1. Schritt - Freiwillig (z.b. durch Anreize wie Bandbreite) 2. Schritt - Verpflichtend für alle 10

11 Ende Danke für Ihre Aufmerksamkeit 11