Self Defending Networks Was steckt dahinter? DFN Betriebstagung

Transkript

1 Self Defending Networks Was steckt dahinter? DFN Betriebstagung Micha Kuhlgatz Februar 2007

2 Werbespot von Cisco 2

3 Cisco Self-Defending Network Die Theorie: Eine Architektur, die das Netzwerk dazu benutzt, Sicherheitsbedrohungen zu identifizieren, darauf zu reagieren und sich anzupassen. Integrated Jedes Element kann ein Verteidigungspunkt sein und die Sicherheitsrichtlinien durchsetzen Collaborative Zusammenarbeit zwischen den Diensten und Geräten innerhalb des Netzwerks um Angriffe abzuwehren Adaptive Proaktive Sicherheitstechnologien, die automatisiert Bedrohungen verhindern 3

4 Die Eigenschaften eines Self-Defending Networks: Network Availability - Verfügbarkeit des Netzes auch unter Angriffen Ubiquitous Access - Sicherer Zugang von überall her Admission Control Authentisierung von Benutzern, Geräten und deren Status Application Intelligence Kontrolle von Applikationen innerhalb des Netzwerks Day-Zero Protection - Schützen der Engeräten vor neuen Bedrohungen Infection Containment Identifizierung und Eindämmung von Ausbrüchen Forschung Lehre Verwaltung 4

5 Wovor schützen? Mail borne viruses Self replicating worms Spyware Phishing Script kiddies / hackers Professional hackers Extortion/denial of service Theft of confidential data Inappropriate use of IT resources Unauthorised access to resources Insider theft/information leakage Legal compliance Data/web server corruption Spam Cyber-terrorism Peer-to-peer (P2P) exploits Instant messaging (IM) exploits Wireless and mobile device attacks Social engineering DNS attacks Identity theft Bot Nets Worldwide economic damage inflicted by overt and covert digital attacks, malware, phishing scams, DDoS attacks and spam ranged between $470 and $578bn in 2005 mi2g Intelligence 5 Dimension Security Landscape Data 1 of 11

6 Wie schützen? Teil 1 Switches, AccessPoints IEEE 802.1x AAA auf Portbasis Segmentation mit VLANs Quarantäne Netze, Zugangskontrolle (Network Admission Control) Router ISR 2 mit IPS- und Firewall-Funktionen Dynamische Access Listen Firewall Erweiterte Paket- und Inhaltsinspektion Wirespeed Firewalls für Coreswitche 6

7 Wie schützen? Teil 2 IPS, netzwerk- und hostbasiert IPS Funktionen im IOS, Cisco IPS und IDS Module für Firewalls (PIX/ASA) und Switche Cisco Security Agent für host basiertes IDS/IPS Management Incident Correlation und Response (Cisco Mars) AAA mit Cisco ACS Managementsolution für LANs und Securitydevices (Cisco Works, Cisco Security Management) Sonstiges Middleware für Clientassessment (Cisco Trust Agent) Einsatz von NAC für Guest Access und Campus Lösungen Einbindung von anderen Herstellern 7

8 Wie kann ein SDN funktionieren - Wurm gefangen, isoliert, gelöscht? PC hatte CSA + NAC; CSA erkennt den Wurm und isoliert den PC über CTA vom Netz in Quarantänezone; durch AV mit neuem AV-Pattern wird der Wurm entfernt ASA mit CSC-Modul erkennt schadhaften Code bereits im Transfer; Datei wird gereinigt und dann an Nutzer ausgeliefert Wurm bricht aus und versucht sich zu verbreiten; IPS im Netz erkennt den Ausbruch und unterbindet die Kommunikation Router, Firewalls, Intrusion Prevention Systeme, Server, Desktops melden Logs an die MARS; MARS findet den verseuchten PC und isoliert diesen dadurch, dass der Port an dem der PC angeschlossen ist in ein Quarantäne-Netz geschaltet oder deaktiviert wird aktiviert zusätzlich Firewall-Regeln auf ASA-Firewalls, IOS-Firewalls. 8

9 Kann ich ein Self Defending Network heute aufbauen? Ja: Ganzheitlichen Sicherheitsansatz verfolgen Security nicht mehr als separates Silo betrachten Nutzung der eingebauten Securityfunktionen der Netzwerkkomponenten Nein: Das gesamte Framework erfordert ein komplexes Zusammenspiel einer mehr oder weniger homogenen Ciscolösung Also: Schutz des Netzes an den Zugangspunkten (Switch, WLAN, am inneren Perimeter) Einzelne Bausteine heute einsetzen Network Admission Control (NAC Appliance) IPS (IPS Routerfunktionen und Cisco Security Agent (CSA) Cisco Monitoring and Analysis System (MARS) 9

10 Cisco Clean Access (NAC Appliance) Vor dem Zugang eines Benutzers zum Netzwerk, egal ob WLAN oder über einen Netzwerkanschluß: DURCHSETZEN ERKENNEN BEWERTEN Erkennen: Benutzer, Geräte und Rollen (Mitarbeiter, Student, Gast) Bewerten: Identifizieren von Schwachstellen auf den Geräten Durchsetzen: Beheben der Schwachstellen vor dem Zugang zum Netzwerk 10

11 Cisco Clean Access (NAC Appliance) Zentrale Netzwerkzugangskontrolle Vor Zugang zum Netzwerk wird das Endgerät überprüft Ist es ein eigener Rechner, Patchlevel, aktueller Antivirenschutz Fremdrechner können in ein eingeschränktes Gastnetz geschaltet werden Integriertes Self-Service Portal (webbasiert) Schrittweise Einführung möglich Im ersten Schritt Schutz von frei zugänglichen Netzwerkanschlüssen Im zweiten Schritt Ausbau auf alle Enduser-Switche Leichte Erweiterungen für WLAN- und VPN-Nutzer möglich Realisierung einer Out-of-Band oder In-Band Lösung 11

12 Cisco Monitoring and Analysis and Response System CS-MARS transformiert Netzwerk- und Sicherheits-Rohdaten in nutzbare Informationen, die zur Einleitung von Gegenmaßnahmen und zur Einhaltung der Unternehmenssicherheitsrichtlinie genutzt werden können Netzwerkintelligente Korrelation Validierung von Vorfällen Angriffsvisualisierung Automatisierte Analyse Wirksame Abwehr Compliance Management Hoch performant Niedrige Gesamtkosten 12

13 Fazit: Mehr Einblick und Kontrolle im Netzwerk Erkennen von Verursachern von Anomalien Umgehend (auch automatisiert) reagieren zu können Verrringerung von Betriebsaufwand Nutzung der vorhandenen Sicherheitsfunktionen im Netzwerk Einrichtung von verschiedene Sicherheitszonen Automatische Zuordnung von Endgeräten in diese Zonen Durchsetzung von Richtlinien in heterogenen Umgebungen (z.b. aktueller Virenschutz, Patchlevel) Demo Lab: Nutzung von Bausteinen, die funktionieren Livedemonstration von den verschiedenen Szenarien Realisierung eines Gastzugangs Auch: NAC Framework mit McAfee EPO, Qualys Guard Scanner 13

14 Vielen Dank! 14