Alcatel Solution Tour Security á la Alcatel im LAN und WLAN Umfeld. Rene Princz-Schelter. All rights reserved 2006, Alcatel

Transkript

1 Alcatel Solution Tour 2006 Security á la Alcatel im LAN und WLAN Umfeld Rene Princz-Schelter

2 Was verstehen wir unter IP Networking? unseren Kunden die bester Netzwerklösung in den Bereichen Verfügbarkeit, Sicherheit und Managebarkeit zu bieten Page 2 Managebarkeit Einfach auch als second source ideal Durchgehend edge / core, chassis / stack Ausgezeichnete Management Lösung Verfügbarkeit gebaut für Konvergenz Kostenoptimiert in Hinblick auf Redundanz Extra hohe Ausfallsicherheit Weiterreichende QOS Möglichkeit Sicherheit integrierte Sicherheit angewandte Sicherheit

3 Beispiel : Mobilität erfordert neue Sicherheits Architktur Page 3 Wireless LAN WLAN dehnt das Corporate Netzwerk über die bisherigen Grenzen aus Users wechseln zwischen Public und Corporate network Umgehen dabei die Firewall Moderne Laptops sind Infektionsquelle Nummer 1. Problem wächst durch noch mehr Mobiliät, z.b. Bluetooth Gästen wird Zugriff auf Corporate Ressourcen gewährt Fremde Benutzer (Geräte oder User) benutzen das lokale Netz Sie benötigen eine Verbindung zu lokalen Datenquellen WLAN coverage Mobile users FW/IDS/IPS Internet

4 IP Networking Page 4 Sicherheit ist keine Option.. Sicherheit ist Pflicht

5 Agenda Sicherheitskonzept Die Kette ist so stark wie ihr schwächstes Glied Page 5 Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists User Security Autosensing Authentication Portallösung Videoüberwachung Glasbruchsensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder Network Security SFlow Integriertes IDS / 3rd Party IDS-IPS Quarantine Manager Getrennte Eingänge Einliegerwohnung Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen

6 Sicherheitskonzept Die Kette ist so stark wie ihr schwächstes Glied Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists User Security Autosensing Authentication Portallösung Page 6 Network Security SFlow Integrietes IDS / 3rd Party IDS-IPS Quarantaine Manager Massive Verarbeitung Sicherheitsglas Starke Schlösser Sicherheitszapfen

7 Device Security Gehärtete stählerne Infrastruktur Security by default Denial of Service Abwehr durch gehärtete Hardwarekomponenten (ASIC) DoS Schutz durch automatisches Radio Management (WLAN) Vulnerability Management Automatische Gegenwehr-Mechanismen Code und Konfiguration Integrität Verwendung verschiedener Sicherheitsprofile für Management Sicherer Zugriff zum Switch via SSH, HTTPS & SNMPv3 w/ SSL Automatische System Recovery Selbstheilende Komponenten. Alfred Krupp Page 7

8 Agenda Sicherheitskonzept Die Kette ist so stark wie ihr schwächstes Glied Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists User Security Autosensing Authentication Portallösung Page 8 Network Security SFlow Integrietes IDS / 3rd Party IDS-IPS Quarantaine Manager Autom. Gartentor Einzäunung Gegensprechanlage Zugangskontrolle

9 Basic Security Schutz für ungebetenen Gästen Der Objektschutz beginnt bereits an der Gartenpforte Learned Port-Security kontrolliert den physischen Switchport und schützt vor Missbrauch. Kontrolle eines jeden einzelnen Endgerätes/ Terminals (MAC) Kontrolle eine spez. Bereichs von Endgeräten Kontrolle über die Anzahl von Endgeräten (MAC) Schutz vor unauthorisierter Benutzung von Hub s, Switches oder Access Point an einen Switchport Automatische Reaktion auf Regelverletzung Alarmierung der Regelverletzung Spanning Tree Protection Edgeport Empfangene BPD s auf einem Userport werden verworfen Spanning Tree Root Protection Kontrolle über empfangene STP Pakete Blocken von Paketen Switch Port Page 9 MAC-1 MAC-2 MAC-3 MAC-4

10 Basic Security Schutz vor ungebetenen Gästen Schutz vor DHCP Vergiftung Ein unautorisierter DHCP-Server im Netzwerk kann zur Katastrophe führen Jeder Port erhält einen Vertrauens-Status Ein DHCP Server darf angeschlossen sein Kein DHCP Server darf angeschlossen sein Nur auf autorisierten Ports dürfen DHCP-Offer passieren DHCP-only-Ports Statische IP-Adresse Konfiguration kann im Netzwerk unerwünscht sein DHCP-Only-Port zwingt den Client zum Nutzen des DHCP Service Ohne DHCP Service keine Verbindung zum LAN Page 10 OmniPCX Enterprise

11 Sicherheitskonzept Die Kette ist so stark wie ihr schwächstes Glied Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists User Security Autosensing Authentication Portallösung Page 11 Network Security SFlow Integrietes IDS / 3rd Party IDS-IPS Quarantaine Manager Getrennte Eingänge Einliegerwohnung

12 Layer1-Layer 4 ACLs / QoS policies Leistungsstarke Access Listen erkennen und steuern den Traffic in Wirespeed, Page 12 Verschiedene Bedingungen Layer Application aware Filtering Layer Protocol ID or L4 Port ID. Ex : UDP or Port 23. Layer IP Srce/Dest address. Ex : Layer MAC Srce/Dest address. Ex: 0020DA34E2F8 Verschiedenen Aktionen Verbiete Priorisiere Steuere auf einen bestimmten Weg Verlangsame Beschleunige IP, IPX, Differentiated Traffic Guaranteed Traffic Best Effort Normal traffic Sensitive traffic Real-time traffic

13 Sicherheitskonzept Die Kette ist so stark wie ihr schwächstes Glied Page 13 Jeder Anwender hat ein anderes Schutzbedürfnis Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists User Security Autosensing Authentication Portallösung Network Security SFlow Integrietes IDS / 3rd Party IDS-IPS Quarantaine Manager Schlüssel für Eingangstür Foyer für Gäste Haustierklappe Key-Less Zugang für Kinder

14 Alcatel Access Guardian Page 14 Sicherer Netzwerkzugang Access Authentifizierung der Benutzer Host Integrity Check für jedes Gerät Role-based Netzwerk Zugang Sicherheit auf Netzwerkebene

15 Auto-sensing Benutzer- Authentifizierung Page 15 IEEE 802.1x MAC 00:Ob:86:80:34:40 Captive Portal Universelle Authentifizierung in Abhängigkeit vom Endgerät Weil es mehr als einen PC im Netzwerk gibt Weil alle Geräte mobil sind Weil die Migration auf 802.1x auf einen Schlag schwierig ist

16 Gäste Portal Anmeldung für Gäste und auch Mitarbeiter Alcatel Captive Portal ermöglicht interaktive Kommunikation mit der Infrastruktur Page 16

17 Sicherheitskonzept Die Kette ist so stark wie ihr schwächstes Glied Jeder Anwender hat ein anderes Schutzbedürfnis Videoüberwachung Device Security Security out of the Box Denial of Service Attacken Basic Security Learned Port Security DHCP Protection Spanning Tree Protection Advanced Security Access Control Lists User Security Autosensing Authentication Portallösung Network Security SFlow Integrietes IDS / 3rd Party IDS-IPS Quarantaine Manager Glasbruch Sensoren Bewegungsensoren Rauchmelder Aufschaltung Sicherheitsdienst Page 17

18 Schutz vor Netzwerkangriffen Page 18 Day zero attacks Interne Attacken Interne Attacken repräsentieren mehr als 50% aller Sicherheitsprobleme Insider hacking bleibt durch ACL/FW Schutz unbemerkt

19 Wireless Angriffsschutz Page 19 Intrusion Detection / Containment Wireless LAN Switch identifiziert einen Angriff Management Software wird informiert Quarantäne Kommandos werden zum Switch gesendet Fremde Access Points (Rogue AP) wird in Quarantäne genommen und vom Netzwerk isoliert Fremde Access Points (Rogue AP) werden im Luftraum ausgegrenzt (contained) Rogue APs Quarantine / Isolation Light APs OmniVista NMS Server Quarantine Manager

20 L2-L7 Angriffsschutz Intrusion Detection / Containment IDS, OmniSwitch oder sflow Collector identifiziert die Attacke Management Software wird informiert Quarantäne Kommandos werden zum Switch gesendet Angreifer wird in Quarantäne genommen und vom Netzwerk isoliert Alcatel Quarantine Manager Kann jedes Netzwerkgerät isolieren Arbeitet mit allen Security Sensoren zusammen (AV, FW, IDS, sflow, Switch) sflow Collector Support für Wirespeed Realtime Netzwerk Inspektion IDS OmniVista NMS Server Quarantine Manager Quarantine / Isolation Page 20

21 Alcatel IP Netzwerkinfrastruktur Portfolio Page 21 WLAN LAN Edge LAN Aggregation LAN Core WAN/MAN OmniSwitch /7750 OmniAccess Wireless OmniStack LS 6200 OmniSwitch 68x0 OmniSwitch OmniAccess Router Consistency of network services AOS OmniVista / AQM

22 Page 22