Sicherheit und Konvergenz

Transkript

1 Sicherheit und Konvergenz Thomas Sterber Director Security Solutions CE Enterasys Networks Solmsstr. 83 D Frankfurt Phone Fax: Mobile: thomas.sterber@enterasys.com Enterasys Networks Founded: 1983 (formerly Cabletron Systems) Heritage of Innovation and Industry Firsts We Build The World s Most Secure Enterprise Networks Over 640 Patents Award Winning Product Portfolio Most intelligent networks on earth Deep Networking Expertise Deep Security Expertise Global Reach and Range FY04 Revenue: $357M Well Capitalized, No Debt 2 1

2 Information als kapitales Gut Der gangbarste Weg, um sich vom Wettbewerb zu differenzieren und um sich von der Masse abzuheben ist es, exzellent mit Informationen umzugehen. Wie man sie sammelt, managed und benutzt ist entscheidend, ob man gewinnt oder verliert. Bill Gates im Jahr 2001 Bereitstellung der Information Im Informationszeitalter dreht sich alles um die effektive Bereitstellung von Inhalten Die Art und Weise der Kommunikation ändert sich aber laufend Anschlussgeschwindigkeiten und -arten erhöhen sich stetig Benutzer werden mobiler Ort und Distanz sind kein Hindernis mehr Anforderung an Netzverfügbarkeit in gleicher Qualität bleibt bestehen Bereitstellung von Information ist die Geschäftsgrundlage 2

3 Logische Konsequenz Das IP-Netzwerk wird durch Konvergenz zur Multi-Service-Plattform Information Vorbeitung Ihres Netzes auf Konvergenz - Gartner Emergency Security?? Power? 802.1x 802.3af Application Server Teleworker? Backbone WAN Traffic Classification? Softphone Telephony Server Nonblocking Voice over WiFi? IAD Policy Redundancy and Features? Voice over WiFi/Cellular Roaming Enhanced IP Internet PSTN Wireless Net? Road Warrior Softphone 3

4 Wirkliche Konvergenz bedeutet ein Netzwerk nicht ein Hersteller Sicherheitszwischenfälle steigen stetig Die Anzahl von gemeldeten Virusattacken ist gestiegen (von in 2000 auf in 2004) Die weltweiten Kosten von Wurm- und Virenattacken werden auf ca. 180 Mio Euro pro Jahr veranschlagt Das Corporate IT Forum (UK) hat berechnet, dass jeder Zwischenfall im Schnitt ca Euro kostet 4

5 Vielfalt von Endgeräten hohe Angriffsfläche Anzahl der Endgeräte pro Kategorie für ein Unternehmen mit Mitarbeitern (Dell Oro) Production Systems RFID Inventory Security Video Building Control Multi-Modal Devices IP Phones Office Productivity Conferencing Server PC Desktop Laptop Vielzahl von Endgeräten Vielzahl von Problemen Fremdsysteme am Netz können nur sehr schlecht verifiziert werden Notebooks von Gästen und Service Technikern Handy s mit GSM und WLAN von Gästen und eigenen MA Industrieanlagen Controller von verschiedensten Herstellern Sicherheitskamera s und Facility Management Sensoren etc. Vielzahl an Betriebssystemen Keine reine Microsoft Welt mehr Symbian (Anfang 2005 schon 30 bekannte Viren) Palm Pocket PC (Embedded) Linux Proprietäre Bestriebssysteme Eine Agenten-Basierte Sicherheits-Lösung (z.b. auf der Basis von 802.1x) wird nur für eine begrenzte Anzahl von Endsystemen in der absehbaren Zukunft funktionieren 5

6 Vielzahl von Endgeräten Vielzahl von Problemen Das korrekte Service Pack oder die aktuellen Patches sind nicht installiert Der korrekte Virenscanner ist nicht aktiv oder die aktuellen Signaturdateien sind nicht installiert Routing ist nicht deaktiviert. Ein VPN oder RAS Client mit aktiviertem Routing kann ein Sicherheitsrisiko darstellen. Für die Internet- und/oder Wireless-Schnittstelle ist keine Firewall installiert, oder diese ist nicht aktiv Es ist kein Bildschirmschoner mit Passwortschutz und einer entsprechenden Aktivierungszeit vorhanden Neue Endgeräte: frühe Probleme mit Sicherheit When medical-device equipment gets sick Medical-device manufacturers such as Philips Medical Systems typically prohibit hospital IT administrations from applying software updates on their own to medical equipment regulated by the Food and Drug Administration (FDA). Many devices aren't allowed to run anti-virus software either since this might slow down the medical application. Network World Fusion, 07/19/04 Symbian bugged by Mosquito bite Users of mobile phones running the Symbian operating system are vulnerable to a Trojan contained in an illegally adapted version of the Mosquitos game, Symbian said Thursday. IDG News Service, 08/13/04 Duts.1520 The next virus threat: IP telephony By Angus Kidman, ZDNet Australia 18 June 2004 Vendors have long recognised the potential for attacks via IP telephony networks. "Voice networks are juicy targets for hackers with ulterior motives," notes in a white paper on the topic. "The main issue with voice networks today is that they are generally wide open and require little or no authentication to gain access." FDA reads riot act to device makers Medical devices such as ultrasound and radiology systems often rely on commercial off-the-shelf software, including Windows and Unix, that requires continuous patching for security. But increasingly, hospital IT administrators are voicing complaints that manufacturers are failing to patch Windows-based equipment quickly or at all, which then fall prey to computer worms. This not only disrupts hospital operations but poses a potential safety hazard to patients. Network World, 08/16/04 6

7 Neue Anforderungen an das IP-Netzwerk Security 21 st Century Networking Continuity Context Control Compliance Consolidation Cost Traditioneller Netzwerk Focus Capacity Connectivity Klassischer Schutz der Unternehmen Historischgewachsene Netzwerk-Sicherheit Demilitarisierte Zonen (DMZs) zwischen Internet und Unternehmen Verkehrskontrolle und filterung durch Firewalls Intrusion Detection Systeme Sichere Internetverbindung Signifikante Minimierung der Attacken von Ausserhalb Doch Es gibt andere IT-Sicherheitslücken, um das Unternehmen anzugreifen Internet DMZ 7

8 Heutige Angriffsziele sind beliebig verteilt Traditionelle Perimeter-Security reicht nicht mehr aus Geschäftskritische Anwendungen sind immer mehr abhängig vom Internet ( , Web, Messenger) Internet Anfälligkeit der Endgeräte nimmt zu und erfodert effektives und schnelles OS/Virus Security Patch Management bzw. ein Verhindern des Anschlusses infizierter Geräte an die Netzinfrastruktur Steigende Mobilität der Mitarbeiter erhöht das Gefahrenpotential zunehmend (Laptop, PDA, SmartPhones, Blackberry, etc) 66% aller Angriffe kamen von innen (Mummert&Partner, März 2003 in Deutschland) Geschäftskritische Ressourcen Interner Zugang Perimeter Security Sicherheit und Intelligenz im Netzwerk Zugangskontrolle, um zu wissen, wer das Netzwerk nutzt und wohin die Information transportiert wird Dynamische Reaktion, um automatisert auf Sicherheitsvorfälle reagieren zu können Proaktiver Schutz, um gezielt vor potentiellen Angriffen geschützt zu sein. Regel-Management, um die richtigen Dienste pro Nutzer und Endgerät dynamsich bereitzustellen 8

9 Secure Networks Technical Vision Access Control Proactive Protection Assisted Remediation Dynamic Response Windows XP/2000 Desktop Interactive Authentication (MAC, WEB, 802.1X, Multi-User Auth) System Level Interaction (TES-AB) Automated System Level Remediation System Level Interaction (DIR) Windows 2000 /2003 Server Windows NT, 95, ME Linux, MacOS, OSX, Unix Other Desktop OS IP Phones Video Phones Control Systems Interpreted Authentication (Device Detection, MAC/Policy Mapping, Multi-User MAC Auth) Network Embedded Trust Analysis (TES-NB) Manual System Remediation Integrated Anomaly Control (Flow Setup Throttling) Copiers, Faxes, Printers PDA s Security Systems Medical Instruments Other Devices Access Control WAN- Verbindungen Firmen PC s VoIP Telefone IP Drucker Internet Network Infrastructure Service Datenbanken (SQL) DHCP-Server Citrix-Server VoIP-Server und Gateway Verbindungen Firewalls Kontrolle? VoIP Telefone Heizung Firmen PC s privater Access Point Service Techniker Modem Überwachungskameras PDA PC s mit Wake on LAN privater PC (updaten) Firmen PC s mit Softclient Firmen PC s Handy mit WLAN 9

10 Verschiedene Auth-Verfahren pro Port notwendig 802.1x Port based Authentication über Digitale Zertifikate, Biometrische Verfahren, User/Password oder OTP (One Time Password) EAP-TLS, PEAP, EAP-MD5 oder EAP-TTLS via Radius Server MAC based Authentication über die MAC Adresse des Nutzers durch den Radius Server Web based Authentication Über URL redirect auf lokalen HTTP Server integriert im Switch und dann via Radius Server (ähnlich einem WLAN Hotspot) CEP (Automatische Convergence Endpoint Detection) Automatische Erkennung von IP Phones via H.323 Registierung, Siemens CORNET IP oder Cisco CDPv2 und zukünftig via 802.1ab LLDP-MED Default Authentication Role Freischaltung einer Basisfunktionalität ohne Authentisierung Mehrere Nutzer, Policies und Auth-Verfahren pro Port Nutzer sind am Access Switch/Hub/Mini Switch angeschlossen Enterasys Matrix N-Series Access Backbone Nutzer Authentisierung und Policy Control werden am Distribution Layer durchgeführt MAP Multi User Authentication AND Policy MUA Multi User Authentication anderer Hersteller dort sind alle Nutzer an 1 Port sind im gleichen Vlan, keine Separierung mehr möglich teilweise über Guest Vlan o.ä. Rudimentäre Trennung möglich 10

11 Dynamische Policies (zunächst ohne Sicherheitsbewertung) Zugriff erteilt mit entsprechender Policy MAC, WPA oder EAP Login Policy dekodiert und ihn Classification Regeln umgesetzt Radius Authentication Benutzer/Policy Zuweisung NOS/Directory Policy und Classification Sets werden per SNMPv3 verteilt RADIUS Server Policies Security UND Quality of Service pro Port Access Control Switch-based Port Layer 2 MAC Address EtherType (IP, IPX, AppleTalk, etc) Layer 3 IP Address IP Protocol (TCP, UDP, etc) ToS Layer 4 TCP/UDP port (HTTP, SAP, Kazaa, etc) Deny Permit Contain Port-based Groups Class of Service Priority/QoS Rate Limit User-based User Groups Paketklassifizierung (von Layer 2 bis 4) am Access Switch für beliebige Dienste VLAN Definition Access Control Rate Limiting Priority Queueing die dynamisch durch das Benutzerprofil geändert wird 11

12 Secure Networks Technical Vision Access Control Proactive Protection Assisted Remediation Dynamic Response Windows XP/2000 Desktop Interactive Authentication (MAC, WEB, 802.1X, Multi-User Auth) System Level Interaction (TES-AB) Automated System Level Remediation System Level Interaction (DIR) Windows 2000 /2003 Server Windows NT, 95, ME Linux, MacOS, OSX, Unix Other Desktop OS IP Phones Video Phones Control Systems Interpreted Authentication (Device Detection, MAC/Policy Mapping, Multi-User MAC Auth) Network Embedded Trust Analysis (TES-NB) Manual System Remediation Integrated Anomaly Control (Flow Setup Throttling) Copiers, Faxes, Printers PDA s Security Systems Medical Instruments Other Devices Trusted End System Warum Es ist nicht nur wichtig, WER auf das Unternehmensnetz zugreift, sondern auch, WELCHES SICHERHEITSNIVEAU die verwendete Hardware dieses Users (falls es überhaupt ein User im herkömmlichen Sinne ist oder nur eine Maschine/Sensor) hat. Hieraus sollten dann entsprechende Zugriffs- oder Quarantäne-Eigenschaften abgeleitet werden. 12

13 Trusted End System Lösungen Trusted End System Client Agent-Based Assessment Network-Based Assessment Industry Assessment Technologies Secure Networks Policy-Enabled Infrastructure Was sind die Vorteile von TES-AB? Sehr gute Kontrolle des Endsystems Zusätzliche Intrusion Prevention auf dem Endsystem Zusätzliche Personal Firewall sorgt für mehr Sicherheit Beliebige Programme auf dem Endsystem kontrollierbar Keine Verzögerung durch Scans etc auf dem Endsystem Der Agent hat schon im Vorfeld den Status des Endsystems ermittelt und überträgt diesen einfach mit der Authentisierung mit 13

14 Was sind die Nachteile von TES-AB? Betriebssystem-spezifisch Heute primär nur in der Microsoft Welt verfügbar Linux eher noch unterrepräsentiert Was ist mit Symbian, Palm, Pocket PC etc.? Agenten-Verwaltung Erhöhter Betriebsaufwand, schwierigeres Trobuleshooting Kosten pro Agent Einfluss des Agenten auf die Endsystem Performance Fremdsysteme Nicht auf Fremdsystemen (Gäste, Service Techniker, Anlagenkontroller, Phones) installierbar Falls Agent gehacked wird ist eine beliebige Manipulation möglich Was sind die Vorteile von TES-NB? Minimierung der Auswirkungen von Endgeräten jeglicher Art mit Sicherheitslücken Kein Agent notwendig Günstiger als TES-AB Lösung Beliebige Endsysteme integrierbar (kein OS Support Problem) Hersteller-Neutral Agent auf Systemen, die nicht unter eigener Hoheit stehen und kein Admin Account vorhanden ist, unmöglich! Verringert das Risiko durch neue Benutzer, Besucher etc. Zentral verwaltbar, wenige Komponenten notwendig TES-NB ist transparent für sichere Endgeräte Kann mit beliebigen Vulnerability Assessment und auch Desktop Management Systemen gekoppelt werden Kann komplementär zu TES-AB eingesetzt werden 14

15 Was sind die Nachteile von TES-NB? Lange Scan Zeit führt zur Beeinträchtigung des Nutzers Über Policies können aber Basisdienste während des Scans freigegeben werden (z.b. DHCP Client, ARP, DNS Client, , HTTP, HTTPs), damit wird die gefühlte Scanzeit minimiert Zwischen 30 Sekunden und 30 Minuten alles möglich Keine vollständige Kontrolle möglich (z.b. Personal Firewall auf dem Endsystem) Daher auch eine reaktive Komponente die z.b. DIRS (Dynamic Intrusion Response) notwendig -> mehrstufige Sicherheit Qualität des Ergebnisses stark abhängig von der Qualität und Konfiguration des verwendeten Vulnerability Scanners (Nessus, Bindview, Tenable Security) Bei Verwendung eines Desktop/Patch Management-Systems auch die OS Support sowie das Fremdsystem Problem ähnlich der Agentenbasierte Lösung Secure Networks Technical Vision Access Control Proactive Protection Assisted Remediation Dynamic Response Windows XP/2000 Desktop Interactive Authentication (MAC, WEB, 802.1X, Multi-User Auth) System Level Interaction (TES-AB) Automated System Level Remediation System Level Interaction (DIR) Windows 2000 /2003 Server Windows NT, 95, ME Linux, MacOS, OSX, Unix Other Desktop OS IP Phones Video Phones Control Systems Interpreted Authentication (Device Detection, MAC/Policy Mapping, Multi-User MAC Auth) Network Embedded Trust Analysis (TES-NB) Manual System Remediation Integrated Anomaly Control (Flow Setup Throttling) Copiers, Faxes, Printers PDA s Security Systems Medical Instruments Other Devices 15

16 Remediation wie sage ich es dem Client TES-AB Client basiert Über Pop-Ups kann dem Client sein Status übermittelt werden. Es können Links/Tel No etc eingeblendet werden, wie das Problem zu beseitigen ist Oder es kann ein automatisches Update zentral gesteuert erfolgen TES-NB Netz basiert Es kann eine an den Client gesendet werden Es kann ein Redirect to einem Web Proxy erfolgen, auf dessen personalisierten Portalseite der Nutzer Informationen zu seinem Status bekommt und wie das Problem behoben wird Es muss manuell bei passiven Geräten eingegriffen werden In dieser Zeit kann über Quarantäne Policies sehr granular gesteuert werden, was der Nutzer/das Gerät in dieser Zeit noch machen kann (auf Update Servern, Desktop Mgmt Server zugreifen, MSoft.com erreichen, Basis Web und etc... Je nach Sicherheitsniveau) MIT ToS Rewrite 1. Quarantine Policy Creation Zentrale Administration der Quarantäne Rolle (existierendes Port VLAN, TOS Rewrite & Einschränkung auf DHCP Client, ARP, HTTPs und HTTP ausserhalb des Intranets) sowie MAC Authentisierung durch den Switch. Am Radius wird immer ein Accept zurückgegeben, es sei denn, die MAC wird in der Blacklist gefunden User Enterasys SS2200 or- Matrix C Switches 5. Response Die Quarantäne Rolle wird auf den Port geschrieben alle Anfragen durch Policy Routing im Core auf Basis des TOS Bits werden an einen Web Proxy geleitet NetSight Atlas Policy Manager NetSight Atlas Automated Security Manager Routed Core Policy Routing 2. Intrusion Detection Sicherheitsrelevantes Events werden erkannt und eine Alarmierung an ASM generiert Network Infrastructure Remediation Server Squid Proxy Dragon Intrusion Detection Trusted Gateway (Proxy RADIUS) 4. Location and Enforcement die exakte Quelle (Port) des Angriffs wird ermittelt und eine Rollenänderung herbeigeführt 3. Event Notification Der ASM führt eine Alarmierung des Help Desks und die Berechnung der Quarantäne Aktionen durch. Zusätzlich wird die MAC Adresse in den Radius Server (Blacklist) eingetragen 16

17 Die Lösung Quarantäne Rolle mit TOS Rewrite, die alle Pakete dann via Policy Routing an einen Proxy schickt Vorteile: Automatische Benachrichtung des Help Desk (via ASM ) und des Nutzers (via Web Page) sowie der Möglichkeit, das Problem selbst zu beheben Mit statischen und dynamischen Adressen möglich Auch für völlig unbekannte Nutzer realisierbar (mit TES-NB könnte man auch für unbekannte Nutzer und MAC Authentisierung globaler Accept ein Vulnerability Assessment durchführen) Falls der Nutzer in Quaratäne kommt, kann auch ein Umzug ihn nicht von dieser Lage befreien da seine MAC Adresse in der Blacklist des Radius Servers auftaucht Dieses Verfahren kann auch die Basis für Guest Networking sein...die Default Rolle am Port schreibt ein bestimmten TOS/DCSP Wert, der eine Umleitung im Backbone auf einen Proxy durchführt, der die Acceptable Use Policies des Unternehmens erklärt und dem Gast die Möglichkeit der Bestätigung dieser gibt Secure Networks Technical Vision Access Control Proactive Protection Assisted Remediation Dynamic Response Windows XP/2000 Desktop Interactive Authentication (MAC, WEB, 802.1X, Multi-User Auth) System Level Interaction (TES-AB) Automated System Level Remediation System Level Interaction (DIR) Windows 2000 /2003 Server Windows NT, 95, ME Linux, MacOS, OSX, Unix Other Desktop OS IP Phones Video Phones Control Systems Interpreted Authentication (Device Detection, MAC/Policy Mapping, Multi-User MAC Auth) Network Embedded Trust Analysis (TES-NB) Manual System Remediation Integrated Anomaly Control (Flow Setup Throttling) Copiers, Faxes, Printers PDA s Security Systems Medical Instruments Other Devices 17

18 Anfälligkeit heutiger Netze für Würmer Anti-Virus/Personal Firewall Firewall IDS VPN CODE RED SO BIG.F NIMBDA BLASTER SLAMMER SASSER Branch/Remote Office VPN INTERNET CORE SOHO/ Mobile Office DMZ Data Center Der Mehrwert von Enterasys Secure Networks Anti-Virus/Personal Firewall Firewall IDS VPN CODE RED SO BIG.F NIMBDA BLASTER Branch/Remote Office SLAMMER SASSER VPN INTERNET CORE SOHO/ Mobile Office DMZ Data Center 18

19 Secure Networks Automated Security Voice only Secure (Voice) NetSight Atlas Policy Manager A User Network Infrastructure Business Service Video Server Response Nachdem der Eingangsport des Angriffs erkannt wurde, führt der ASM eine statische Änderung der dynamischen Nutzer-Policy am Port durch Martix Access Device Intrusion Detection - Dragon NIDS/HIDS erkennt einen Security Event ausgehend von einer bestimmten IP Adresse Dragon Intrusion Detection Event Notification Dragon EMS sendet den Event mit allen nötigen Informationen als Alarm an Netsight ASM. NetSight Atlas Console With Automated Security Manager Location and Enforcement NetSight Atlas Automated Security Manager ASM sucht automatisch nach der Ip Adresse auf den Switchports im gesamten Netzwerk (User/IP/MAC/ Vlan/Port Mapping) SecureNetworks Darum enterasys! Funktion Basis Advanced Automated Verteilte Firewall- Funktionalität VoIP-Erkennung statische Regelvergabe (Vlan, ACL, QoS, Rate Limit) BASIS + dynamische Regelvergabe (Vlan, ACL, QoS, Rate Limit) Nutzer-Authentifizierung am Netzwerk Single-Sign-On, Einsatz von Smartcards oder OTP ADVANCED + Überwachung des Netzwerkes (DIRS) Automatisches Erkennen, Bewerten und Abwehr von Attacken Vorteile Komponenten Sperren von unsicheren Protokollen und Applikationen Einfaches Quality of Service Management Statischer Schutz vor Würmern, Viren & Attacken Matrix - Produktserie Netsight Atlas Console Netsight Atlas Policy Manager BASIS + Kostenersparnis bei Umzügen Proaktiver Schutz durch Zugangskontrolle und Policies BASIS + Radius, Directory, evtl. Zertifikatsdienst + TES-NB Proxy ADVANCED + Automatischer, proaktiver und reaktiver Schutz für das Netzwerk ADVANCED + Netsight Atlas Automated Security Manager Intrusion Prevention DRAGON + TES-AB Software Sicherheits- & Verfügbarkeitsbedürfnis 19

20 Third-Party Integration Event Detection 3 rd Party IDS/IPS 3 rd Party Firewall 3 rd Party Operating Systems 3 rd Party Applications 3 rd Party VoIP Gateways 3 rd Party Vulnerability Assessment 3 rd Party Database Events können per Dragon HIDS aufbereitet werden als SNMPv3 Informs für den NetSight Atlas Automated Security Manager. Secure Event Gateway Secure API NetSight Atlas ASM Actions können auch auf 3rd Party Systemen realisiert werden. Per Perl Script, 802.1Q MIB, MIB-II Interface MIB. 3 rd Party Layer 2 Infrastructure 3 rd Party Layer 3 Infrastructure 3 rd Party Firewall 3 rd Party Security Appliances 3 rd Party e.911 Management 3 rd Party Trouble Ticketing System Action Secure Networks Bedrohungen Mehrwert Viren Würmer Denial of Service DoS (Netzwerkausfall) Diebstahl von Unternehmens-Know-How Ansehensverlust Gravierende finanzielle Schäden Storage Over IP Video Over IP Voice Over IP Endsysteme Appliances Software Netzwerk Technologie Integrierte Sicherheit Compliance Consolidation Control Context Continuity Capacity Connectivity Cost Heimarbeitsplätze Internet & Intranet Sub-Unternehmer Kunden Besucher Zulieferer Partner Nutzer 20

21 Security und Mobility überall. Danke für die Aufmerksamkeit 21