Integration einer Network Admission Control in die WLAN Infrastruktur

Transkript

1 The Intelligent Wireless Networking Choice WHITE PAPER Integration einer Network Admission Control in die WLAN Infrastruktur

2 Mobile Kommunikationskomponenten wie beispielsweise Notebooks, PDAs und andere mobilen Geräte gehören heute zum Standard in Unternehmensnetzen. Diese Kommunikationskomponenten sorgen für ein ortsungebundenes Arbeiten der Anwender innerhalb des Unternehmens und somit für eine Erhöhung der Arbeitsproduktivität. Die Kehrseite der Medaille besteht in den hohen Sicherheitsrisiken der Mobilität: mobile Kommunikationsgeräte sind gegenüber fest installierten Geräten einem wesentlich höheren Risiko ausgesetzt von Hackern geknackt bzw. mit Schadcode infiziert zu werden. Würmer, Viren, Trojaner, Spyware, Rootkits und andere unerwünschte Programme können unterwegs aufgeschnappt werden und anschließend das gesamte Unternehmensnetz infizieren. Zur Abwehr von infizierten mobilen Kommunikationskomponenten und zum Schutz des Unternehmensnetzwerks wird zunehmend die Network Admission Control (NAC) in die unternehmensweiten Sicherheitssysteme integriert. Das NAC Systems überprüft die Integrität aller sicherheitsrelevanten Applikationen (wird "health" oder "posture" genannt) bevor ein solches Gerät Zugang zum Netzwerk erhält. Etwa 50 Prozent der großen Unternehmen nutzen bereits NAC für ihre kabelbezogenen LANs. Etwa die Hälfte der kleineren und mittleren Unternehmen plant bis zum Jahr 2008 die Einführung der NAC Technologie. In den kommenden Jahren wird VoIP die treibende Kraft bei der Realisierung neuer Sicherheitslösungen, da die Festnetz- und die mobilen VoIP Telefone eine potentielle Angriffsfläche auf IP Netze bieten. Umfassende NAC Lösungen bestehen aus folgenden Komponenten: der Client Software, der Netzwerk-Appliance und einer interoperablen Netzwerk-Hardware, die den gesamten Verkehr der Clients einem Integritätscheck unterzieht. NAC Systeme müssen in der Lage sein, die festgelegten Sicherheits- und Kommunikationsregeln auf allen, für die mobilen Geräte verfügbaren Netzzugänge bereitzustellen. Da die WLANs für viele mobilen Geräte als Netzzugang dienen, ist es besonders wichtig, dass die WLAN Infrastruktur und die NAC Systeme miteinander harmonieren und darüber hinaus auch mit anderen, im Netz integrierten Netzsicherheitsapplikationen zusammenarbeiten. Das Colubris Intelligent Mobility System (CIMS) unterstützt alle von der Trusted Network Connect (TNC) vorgeschlagenen NAC- Spezifikationen und ist mit anderen bekannten NAC Systemen kompatibel. CIMS nimmt in Abstimmung mit dem NAC System die mobilen Komponenten unter Quarantäne und verhindert somit die Ausbreitung von Schadcodes auf den Unternehmens-Backbone. NAC und 802.1X: das perfekte Team Die meisten Hersteller von NAC Systemen (inklusive Cisco und Juniper) nutzen für eine Interoperabilität mit anderen Herstellern den IEEE 802.1X Standard und das Extensible Authentication Protokoll (EAP). Die Systeme kommunizieren auf Basis dieser Protokolle mit den Netzzugangskomponenten (beispielsweise Ethernet Switches und Wireless Access Points) und sorgen somit für die notwendige Interoperabilität. Für das Verständnis von NAC und dessen Zusammenspiel mit den 802.1X/EAP Protokollen ist es notwendig sich mit den reinen Funktionen von 802.1X und EAP auseinander zu setzen. Netzwerk AAA Server Client Workstation WLAN- oder kabelgebundener Netzzugang Abbildung 1: Komponenten eines 802.1X/EAP Sicherheitssystems Colubris Networks, Inc. 2

3 Das 802.1X/EAP Sicherheitsprotokoll entwickelte sich im Umfeld der Dialup Zugangsmechanismen. Versucht ein Client auf einen kabelgebundenen bzw. WLAN Netzzugang zuzugreifen, baut die Zugangskomponente eine Kommunikationsverbindung zwischen sich und dem Client auf. Die Zugangskomponente ruft anschließend von der, auf dem Client (auch Supplicant genannt) integrierten Sicherheits-Software, die notwendigen Informationen ab und leitet diese an den zentralen Authentifikations/Autorisierungsserver weiter (siehe hierzu Abbildung 1). Neben der Authentifikation und der Autorisierung wird meist auch die Abrechnung (Accounting) vorgenommen. Aus diesem Grund bezeichnet man den zentralen Server auch als AAA-Server. Die Zugangskomponente übergibt somit dem zentralen AAA-Server sämtliche Informationen über die gewünschte Verbindung. Hierzu gehören beispielsweise der WLAN Netzwerkname über den der Client zugreifen möchte. Der AAA-Server reagiert mit einer Bestätigung der Client Informationen und dem Abruf, der für den betreffenden Client in einer Datenbank (beispielsweise das Microsoft Active Directory) hinterlegten Autorisierungsregeln. Das Resultat dieser oft recht kompliziert aufgebauten Überprüfung besteht im Abweisen oder im Zulassen des Verbindungswunsches. Wird der Zugang für einen Client zum Netzwerk gewährt, dann kann der AAA-Server die entsprechenden Class of Service Konfigurationen für die Dauer der Verbindung an die Zugangskomponente weiterleiten. Die Class of Service Konfigurationen können beispielsweise Regeln enthalten, die die Datenströme eines Clients einem bestimmten VLAN zuordnet oder mit Hilfe einer Access Control List (ACL) den Datenverkehr des Clients filtert. Die 802.1X/EAP Mechanismen schützen somit gegen einen nicht autorisierten Zugriff der Nutzer auf das Netzwerk. Darüber hinaus kann auch die Workstation des Nutzers für den Netzzugriff autorisiert werden. Diese Schutzmechanismen sorgen somit dafür, dass autorisierte Benutzer und deren Kommunikationsgeräte nur auf zugelassenen Wegen mit dem Netzwerk kommunizieren können. Beispielsweise kann 802.1X/EAP dafür sorgen, dass autorisierte Nutzer nur über einen bestimmten Port am kabelgebundenen Netzwerk und nicht über das WLAN zugreifen können. Auch lässt sich die Anzahl der simultanen Verbindungen limitieren. Die NAC Funktionen gehen hier einen entscheidenden Schritt weiter und sorgen dafür, dass autorisierte Nutzer keine, mit Viren oder anderen Schadcodes verseuchte Kommunikationskomponente ins Netzwerk integrieren können. Kleinere Modifikationen erweiterten die 802.1X/EAP Mechanismen für den NAC-Einsatz. Die NAC-Erweiterungen verändern das Zugangsprotokoll wie folgt (siehe hierzu Abbildung 2): Der 802.1X Port Kontrollmechanismus wird ohne Modifikationen weitergenutzt und schützt den Netzzugang bis die Informationen (Autorisierung und Integrität) des Clients vom AAA-Server bestätigt sind. Mit Hilfe des EAP Protokolls werden die Authentifikationsinformationen zwischen dem Client/Supplicant und dem AAA-Server ausgetauscht. Das EAP wurde um die Integritätsinformationen des Clients erweitert. Wird festgestellt, dass ein Client eventuell mit Schadcode kompromitiert ist, wird auf Basis der Kontrollinformationen (welche den Datenverkehr des Clients normalerweise einem bestimmten VLAN zuordnen) der Client vom AAA-Server nur in ein Quarantäne-VLAN weitergeleitet. Im Quarantäne-VLAN verbleibt der Client so lange, bis dieser überprüft, getestet und als problemfrei befunden wurde. Anschließend wird der Client automatisch in seine für ihn bestimmte Kommunikationsumgebung überführt. Die Kontrollmechanismen ermöglichen dem AAA-Server die Zuordnung von ACLs (Access Control Lists) für bestimmte Clients. Werden mehrere Clients einem Quarantäne-VLAN zugeordnet, sorgen die ACLs auch dafür, dass die Clients nicht miteinander kommunizieren können und sich somit nicht gegenseitig mit Schadcode infizieren. Netzwerk AAA Server Client Workstation NAC Integritätsreporter WLAN- oder kabelgebundener Netzzugang NAC Server NAC Integritätsfreischaltung NAC Integritätsüberprüfung Abbildung 2: 802.1X/EAP System mit NAC Erweiterungen Colubris Networks, Inc. 3

4 Nicht alle WLANs arbeiten problemlos mit NAC NAC basiert auf den 802.1X/EAP Mechanismen und ist transparent für alle WLANs. Einige WLAN Architekturen arbeiten besser als andere Lösungen mit einem NAC System. Folgende drei WLAN Architekturen gilt es zu unterscheiden: Smart Access Point Architekturen: Sämtliche Zugangsentscheidungen werden in Abstimmung mit dem zentralen AAA (RADIUS) Server von den Access Points getroffen. Auf dem zentralen AAA-Server residieren auch die Zugangsinformationen und die Autorisierungsregeln. Dieser Lösungsansatz hat sich in der Praxis als teuer herausgestellt, da jeder Access Point individuell gemanagt werden muss. Dumme Access Point Architekturen: Diese Komponenten repräsentieren die erste Generation der WLAN Switches. Die Access Points stellen nur minimale Funktionen zur Verfügung und sind daher vollkommen abhängig von den zentralen WLAN Switches. Die Access Points tunneln alle Benutzerdaten bzw. Kontrollinformation und leiten diese zur weiteren Verarbeitung an den zentralen WLAN Switch weiter. Der Switch sorgt für das zentrale Management und agiert als Kontrollpunkt für das gesamte Netzwerk zur Überwachung der Sicherheitsregeln. Nachteilig wirkt sich bei dieser Architektur aus, dass der gesamte Datenverkehr aller Netzelemente an einen zentralen Punkt geroutet werden muss. Dies führt oft zu Performance- und Skalierungsproblemen. Optimierte WLAN Switch Architekturen: Eine optimierte WLAN Switch Architektur basiert auf einem Multiservice Controller für das zentrale Management und die Kontrolle aller intelligenten Access Points im Netzwerk. Die Access Points setzen die zentral festegelegten QOS- und Sicherheitsregeln um und verarbeiten den gesamten Datenverkehr lokal. Diese Lösung stellt heute das Optimum dar, da die Performance und die Sicherheit der "Smart Access Point Architekturen gewahrt und außerdem das einfache Management und die konsistente Regelumsetzung der "Dummen Access Point Architekturen" gewährleistet wird. Mit der Integration der NAC Funktionen in ein WLAN werden die Unterschiede der jeweiligen Lösungsansätze noch deutlicher. Bei den Dummen Access Point Architekturen" befinden sich sämtliche Zugangsfunktionen in den zentralen Switches. Mit Schadcode infizierter Verkehr wird bei diesem System zwischen den dummen Access Points und den zentralen Kontrollpunkten getunnelt. Da der gesamte Datenverkehr (unter Umständen verschlüsselt) an die zentrale Komponente übermittelt wird, kann dies die Verkehrslast im Netz erheblich erhöhen und zu Performance-Problemen führen. Bei "smart Access Point" Implementationen werden die Zugangsfunktionen in der Zugangskomponente zum Unternehmensnetz ausgeführt. Aus diesem Grund werden über das Netzwerk nur Daten von autorisierten und per NAC geprüften Clients weitergeleitet (siehe hierzu Abbildung 3). WLAN Switches im Wettbewerb Datenzentrale Colubris Optimiertes WLAN Switching Datenzentrale 100% WLAN Switch 98% 98% Server MSC 2% 98% Server LAN Gesamte Verkehr wird über WLAN Switch übermittelt, zusätzliche Hops erhöhen Verzögerung, Jitter und Überlast LAN MAPs leiten Verkehr direkt an Ziel weiter Weniger Hops=bessere QoS und geringere Netzlast Dummer AP Dumb AP MAP MAP Abbildung 3: "Dumme Access Points" vs. Colubris CIMS Architektur Colubris Networks, Inc. 4

5 Erst IDS/IPS vervollständigt die Sicherheit In der Praxis genügt es nicht die Integrität eines Clients nur beim erstmaligen Netzzugang zu überprüfen. Die Integrität der Clients sollte periodisch während des gesamten Betriebs überwacht werden. Dadurch wird sichergestellt, dass der Client seine Updates der Firewall-Konfigurationen ausführt, alle notwendigen Patches für das Betriebssystem und die unterstützten Applikationen herunterlädt, sowie die individuellen Sicherheitsregeln umsetzt. Ein Intrusion Detection und Prevention System (IDS/IPS) ergänzt die periodische NAC Überprüfung. Diese Lösung verhindert Sicherheitsattacken durch am Netz zugelassene Geräte und Nutzer. Die klassischen IDS/IPS Lösungen suchen selbständig nach Attacken bzw. nach Symptomen für Angriffe und identifizieren, charakterisieren und beseitigen die Bedrohungen. Um einen vollständigen Schutz im Netzwerk zu realisieren, muss das klassische kabelgebundene IDS/IPS durch ein Wireless IDS/IPS System ergänzt werden. Wireless IDS/IPS Lösungen sind in der Lage, folgende Bedrohungen aus dem WLAN erfolgreich zu identifizieren und abzuwehren: Fremde Access Points, die sich als echte Zugangspunkte (Honeypots) zum Netz darstellen und Daten bzw. Sicherheitseinstellungen der Nutzer kopieren. Da diese Geräte nicht mit dem eigentlichen Netzwerk verbunden sind, kann das NAC Sicherheitssysteme auch nicht vor solchen Angriffen schützen. Fremde oder falsche (Rogue) Access Points die mit dem Unternehmensnetz verbunden sind. Diese koorperieren nicht mit dem NAC Sicherheitssystem und ermöglichen jedem Client ungeprüft einen Zugang zum Netz. Denial of Service Attacken unterbrechen die Kommunikation und können zu Störungen bei der Integritätsprüfung der Clients durch NAC führen. Adhoc (Peer-to-Peer) WLAN Verbindungen zwischen einer bereits überprüften (trusted) Workstation am Netz und einem unbekannten Gerät außerhalb des Unternehmens. Bei einer Adhoc-Verbindung wird die gesamte NAC Sicherheit umgangen und die fremde Workstation wirkt wie eine gesicherte Verbindung zum Netz. Die unterschiedlichen WLAN Architekturvarianten haben natürlich einen entscheidenden Einfluss auf die Effizienz der kabelgebundenen IDS/IPS Lösungen im Zusammenspiel mit NAC. Die Übermittlung von unkontrolliertem Datenverkehr über den Tunnel zwischen den dummen Access Points und den zugehörigen WLAN Switches widerspricht den IDS/IPS Konzepten. Außerdem wird die Arbeit der IPS/IDS Systeme erheblich komplizierter, da die Datenquelle des verdächtigen Verkehrs nicht mit dem eigentlichen Verursacher übereinstimmt und daher schlecht bekämpft werden kann. Der Verursacher des verdächtigen Datenverkehrs ist in einem solchen Fall immer der WLAN Switch und nicht der Access Point am Eingang des WLANs. Wird ein IDS/IPS System innerhalb einer optimierten WLAN Switch Architektur eingesetzt, lässt sich der Ursprung des verdächtigen Datenverkehrs punktgenau ermitteln und es können direkt beim Verursacher Gegenmaßnahmen eingeleitet werden. Fazit Mobile Netzinfrastrukturen erfordern sichere Verbindungen. Eine wesentliche Komponente der WLAN Sicherheit stellt die Network Admission Control dar. NAC sorgt dafür, dass die mobilen Geräte keinen Schadcode ins Netz übermitteln können. Die effizienteste und skalierbarsten NAC Lösungen basieren auf den 802.1X- und EAP-Mechanismen. Das Colubris Intelligent Mobility System ist mit allen 802.1X/EAP Systemen (inklusive der Cisco- und der Juniper-Implementationen) kompatibel und sorgt für einen gesicherten Netzzugang ohne die Performance des Gesamtsystems zu beeinträchtigen. Darüber hinaus stellt Colubris ein Wireless IDS/IPS System als festen Bestandteil des Colubris Intelligent Mobility Systems (CIMS) zur Verfügung und sorgt für den optimalen Schutz gegen alle Angriffsarten. Dadurch entfällt auch die Notwendigkeit ein separates Monitoring System für die WLAN-Komponenten aufbauen zu müssen. Colubris Networks, Inc. 5

6 Was ist NAC? NAC Produkte unterscheiden sich durch folgende zwei Merkmale von anderen Netzwerksicherheitslösungen: NAC wird immer dann bereitgestellt, wenn eine Komponente auf das Netzwerk zugreifen will und Bevor ein Client Zugang zum Netzwerk erhält untersucht NAC den Client und überprüft, ob die genutzten Applikationen keine Sicherheitsverstöße verursachen. Moderne NAC Produkte enthalten darüber hinaus noch folgende zusätzlichen Funktionen: Die Bereitstellung eines temporären Zugangs zu einem isolierten Netzwerk. In diesem Netzsegment werden mit Hilfe einer Sicherheitssoftware die Probleme des Clients beseitigt. Die periodische Überprüfung der Integrität eines Clients auch während des Betriebs am Netzwerk. Die Bereitstellung eines Besucher/Gastzugangs für unbekannte Geräte. Unterstützung von "agentless" Clients. Bei diesen Geräten wird die Software zur Integritätsüberprüfung per Download auf den Client beim ersten Kontakt zum Netz geladen. Zu den beim Netzzugang zu überprüfenden Parametern gehören: Version, Service Packs, Patches des Betriebssystems und des Browsers, Betriebssystemkonfigurationen und Browser-Einstellungen, Version und Konfiguration der Personal Firewalls, Version und Signaturfiles der Antivirus und Anti-Spyware Software, White, Gray und Black Listen für Applikationen, Version, Service Pack, Patches von Client Applikationen, Funktionen der Sicherheitssoftware vor und nach der Authentifikation, MAC, IP Adressen (Standort des Geräts) und digitale Zertifikate, Vorhandensein von mobilen Speicherkomponenten, Resultate der Überprüfung auf Schadcodes, 200 West Street Waltham, Massachusetts Phone: Fax: Copyright 2007, Colubris Networks, Inc. Colubris Networks, the Colubris Networks logo, The Intelligent Wireless Networking Choice, and TriPlane are trademarks of Colubris Networks, Inc. All other products and services mentioned are trademarks of their respective companies. 6