Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Transkript

1 Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und deren Umsetzung Erfahrungen und Ausblick 802.1x Betrieb und Trend zur Compliance Überprüfung Aufzeigen der Trends zur Compliance Überprüfung Betrieb einer 802.1x Lösung 1

2 802.1x Authentifizierung Präsentation Keyon AG V by keyon. Agenda Über Keyon Projektabsicht USZ Das ABC von 802.1x - Übersicht Organisatorische und technische Umsetzung Erfahrungen und Erkenntnisse 2

3 Über Keyon Keyon in a few seconds Führender Anbieter von Dienstleistungen und Lösungen im Bereich IT-Sicherheit und Software Engineering. Über Keyon Erfahrungen im Bereich Identity und Access Management Aufbau und Weiterentwicklung der vom EFD anerkannten, ElDI-V konformen CA bei der EAN Schweiz Aufbau, Entwicklung und Integration von komplexen PKI Systemen bei grossen Finanzinstituten, Versicherungen und Industriebetrieben Praxiserprobtes PKI-Framework Offizieller Konsultationsteilnehmer des BAKOM im Bereich ZertES. 3

4 About Keyon Erstklassige Referenzen Agenda Über Keyon Projektabsicht USZ Das ABC von 802.1x - Übersicht Organisatorische und technische Umsetzung Erfahrungen und Erkenntnisse 4

5 Projektabsicht USZ Anforderungen Sicherer WLAN Zugang zum Netzwerk des USZ Transparente Unterstützung eines traveling users innerhalb des USZ (WLAN Roaming) Nutzung bestehender Infrastrukturen (Laptop, Win2k, WinXP, Access Point, AD, etc.) Einfache und sichere Verteilung und Verwendung der Benutzermerkmale Geringe Kosten in der Umsetzung und Betrieb Verwendung von gängigen Standards Schutz sensitiver Unternehmens- und Patientendaten Projektabsicht USZ Umsetzung Proof of concept mit USZ Komponenten im Labor von Keyon Aufbau eines sicheren WLAN (EAP-TLS, WPA2) Zugangs unter Verwendung von X.509 Zertifikaten Aufbau einer USZ internen PKI für die Ausgabe und Verwaltung von System- und Benutzerzertifikaten Für die Systeme und Benutzer transparente Verwaltung der Benutzermerkmale (X.509 Zertifikate) Schulung der Betriebsverantwortlichen Personen des USZ. Geringer Aufwand für Betrieb der Lösung Alle Anforderungen wurden erfolgreich in time und budget umgesetzt. 5

6 Projektabsicht USZ Umsetzung Technische Übersicht IAS / RADIUS AD / DIR CA Client Access Point Applikationen Agenda Über Keyon Projektabsicht USZ Das ABC von 802.1x - Übersicht Organisatorische und technische Umsetzung Erfahrungen und Erkenntnisse 6

7 Das ABC von 802.1x - Übersicht 802.1x Port Based Network Access Control Verfahren zur Authentifizierung und Autorisierung in IEEE 802-Netzen (LAN, Virtual LAN, Wireless LAN) Regelt unter Verwendung eines spezifischen EAP Types den Netzzugang auf Portebene Extensible Authentication Protocol (EAP) als Authentifizierungs-Protokolle (Passwort, OTP, Zertifikat) 802.1x regelt den Zugang zu einem Netzwerk (On Off Schalter) Das ABC von 802.1x - Übersicht 802.1x Extensible Authentication Protocol (EAP) EAP-TLS gilt als sicherster Authentifizierungsmechansimus 7

8 Das ABC von 802.1x - Übersicht Wireless Standardisierung der drahtlosen Datenübertragung (Wireless, WLAN, WiFi) i: Erweiterungen bezüglich Sicherheit und Authentifizierung (WPA2, Verschlüsselung der Datenübertragung) 802.1i verschlüsselt die Datenübertragung zwischen Endgerät und Switch resp. Access Point Das ABC von 802.1x - Übersicht Übersicht RADIUS AD / DIR CA Client Switch / Access Point Applikationen 802.1x Authentifizierung (LAN, WLAN) Keine i Verschlüsselung (Nur WLAN) Keine Andere IPSEC Authentifizierung / Verschlüsselung 8

9 Agenda Über Keyon Projektabsicht USZ Das ABC von 802.1x - Übersicht Organisatorische und technische Umsetzung Erfahrungen und Erkenntnisse Organisatorische und technische Umsetzung Projektverständnis - Projektplanung Beachten der Systemgrenzen PKI Systemgrenze Root CA IAS AD CA Any CA IAS (RADIUS) User 1 User n RA 1 RA n Ausgeben, Verwalten und Validieren von Zertifikaten Switch / Access Point Applikationen Applikations Systemgrenze Verwenden der Zertifikate 9

10 Organisatorische und technische Umsetzung Projektplanung Involvierte Parteien Sicherheitsverantwortlicher Definieren, Durchsetzen und Überprüfen der Sicherheitsrichtlinien (CA, Netzwerk, Applikationen) PKI Verantwortlicher Definieren und Umsetzen der technischen und organisatorischen Prozesse (Ausgabe und Verwaltung der Schlüssel, Registrierung von Teilnehmern und Systemen, etc.). Definieren der Zertifikatsprofile- und Hierarchie Aufsetzen und Betrieb der CA, RA Rollout der Zertifikate Organisatorische und technische Umsetzung Projektplanung Involvierte Parteien Netzwerk Verantwortlicher Analyse der NW-Komponenten (Switch, Access Point, LAN / WLAN Interface, NW Treiber, Physischer Standort der Switch / Access Points) Definieren der Zonen und Segmente Umsetzung und Betrieb der Lösung Client Switch / Access Point Applikationen 10

11 Organisatorische und technische Umsetzung Projektplanung Involvierte Parteien AD Verantwortlicher Definieren und Konfigurieren der User- und Benutzergruppen (GPO) Rollout der Zertifikate (im Falle von Autoenrollment) PC Administrator Rollout und Konfiguration der Client-Systeme (Aktualisieren und Konfigurieren der NW Komponenten, etc.) Support der Benutzer und Systeme Agenda Über Keyon Projektabsicht USZ Das ABC von 802.1x - Übersicht Organisatorische und technische Umsetzung Erfahrungen und Erkenntnisse 11

12 Erfahrungen und Erkenntnisse 802.1x als PKI und IAM enabler Aus Sicht der Nutzer Komfort und Sicherheit für mobile Geräte (Verwendung des Laptop im Sitzungszimmer) Einfache Verwaltung der Endgeräte (Eintrag im AD) Einfache Verwaltung der System- und Benutzermerkmale (Kein Passwortmanagement, keine Verwaltung von MAC Adressen (schwierig bei virtuellen Maschinen)) Für den Benutzer transparente Sicherheit Erfahrungen und Erkenntnisse 802.1x als PKI und IAM enabler Aus Sicht der Compliance Unternehmen sind mehr und mehr gefordert, die technischen und organisatorischen Prozesse im Zusammenhang mit ihrer IT Infrastruktur und ihrer Informationsverarbeitung zu definieren, zu dokumentieren und zu überprüfen. (SOX, BASEL II, Vorgaben des VR, der GL oder der Kunden, etc.) Einsatz von standardisierten Vorgehensmodellen für die Definierung, Durchsetzung und Überprüfung der Richtlinien (ISO 27001, BSI IT Grundschutz, ITIL) Technische Umsetzung der Richtlinien fordert funktionierendes Identity und Access Management 12

13 Erfahrungen und Erkenntnisse 802.1x als PKI enabler Root CA System CA AD User CA CMS Switch / Access Point IAS / RADIUS Windows Login Web Access Control Citrix Login File & Disk Encryption etc. Applikationen Client Erfahrungen und Erkenntnisse Eigenschaften des LAN / WLAN Clients sind entscheidend Unterstützung von 802.1x (Drucker, Scanner, etc.) Funktionsweise des LAN / WLAN Clients Nutzung des System- und / oder User Zertifikats für die Authentifizierung Importierung des Zertifikats Verhalten bei Roaming Im Laboraufbau (proof of concept) werden die Fähigkeiten der Komponenten analysiert 13

14 Erfahrungen und Erkenntnisse Zusammenfassung Prozesse und Systeme im Zusammenhang mit 802.1x sind etabliert, verfügbar und werden beherrscht Kostengünstige und effiziente Integration in Infrastrukturen Geringes Projektrisiko, grosser Nutzen (Komfort, Sicherheit, Compliance) Vielen Dank für Ihre Aufmerksamkeit Bei Fragen stehe ich Ihnen gerne zur Verfügung. for security reasons 14