Secure Authentication for System & Network Administration Erol Längle, Security Consultant Patrik Di Lena, Systems & Network Engineer Inter-Networking AG (Switzerland)
Agenda! Ausgangslage! Komplexität! Anforderungen! Integrierte Funktionen! Case Study! Demo
Ausgangslage Filialen Netz Laptop Internet Laptop Telecom
IBM IBM Komplexität-Authentication Security-Komponenten System-Komponenten Netzwerk-Komponenten
Anforderungen! Login und Passwörter verschlüsseln rsp. Einmal-Passwörter verwenden! Authentisierung von der Verbindungen! Verschlüsseln der Verbindungen (Konfigurations-Parameter)! Sicheren Remote Access aus internem LAN oder von extern! Zentrale Authentisierung
Netzwerk Komponenten Filialen Netz Laptop Laptop Telecom
Netzwerk-Komponenten Produkte Praxis Probleme Möglichkeiten Router!Unverschlüsselt! Sniffing!Strong Authentication!Remote Zugriff!Statisches Passwort!Nur lokale Anmeldung Switches!Username/Passwort!Einfaches erraten!ssh!schwaches Passwort!Gleiches Passwort für alle Devices!Passwortlisten!Einmal geknackt, Zugriff auf mehrere Systeme!Administration! Key Handling!Radius!TACACS +!IPSEC
Server Systeme Filialen Netz Laptop Laptop Telecom
Server Systeme Produkte Praxis Probleme Möglichkeiten WinNT Win2000 Unix Linux!Unverschlüsselt!Nicht signiert!username / Passwort! Identisches Passwort auf mehreren Systemen!SSH im Unix-Umfeld!Password Sniffing!Logging von Administratoren!Administration! Key Handling!Passwort-Änderungen forcieren!aktivieren des OS Security (PAM, Security Features)!Forcieren Win 2000 Security!IPSEC!SSH
Security Systeme Filialen Netz Laptop Internet Laptop Telecom
Security Systeme Produkte Praxis Probleme Möglichkeiten Firewall RAS Antivirus!User/Name Passwort!Identisches Passwort auf mehreren Systemen!SSH Username Passwort!Remote Administration!Clear Text!Mehrere Administratoren!Einmal geknackt, Zugriff auf mehrere Systeme! Remote Console zum Teil unverschlüsselt! Schutz auf System-Ebene (Unix, Windows)!Tunneling der Applikation (SSH, IPSEC)!Ev. strenge Authentisierung (Checkpoint NG)!Authentisierte Verbindungen (Certifikat,Access List) sind unflexible
Case Study - Goals! Hohe Sicherheit! Flexibilität (Zugriff lokal remote)! Einfache zentrale Administration Freischalten von Admin Zugriffen Sperren von Admin Zugriffen! Einfache Key Verwaltung! Benützer-Komfort
Case Study - Requirements! Strenge Authentisierung der Administratoren! Verbindungen zu System und Netzwerk Devices über öffentliche Verbindungen verschlüsseln! Sicherer lokaler und remote Zugriff auf Management System realisieren! Zentrale Administration der Credentials
Overview Win2000 WinNT UNIX Router Strenge Authentisierung Zentrale Administration Trusted Verbindungen Linux Switches Firewall RAS
Authentication Protocols Cisco Secure (Tacacs+) RSA ACE/Server (Radius, ACE) UNIX Linux Win2000 INTERNET Management Switch WinNT CiscoPIX Router Checkpoint Win2000 UNIX Tacacs+ Radius ACE Protokoll RAS WAN
Authenticated + Encrypted Connections Cisco Secure (Tacacs+) RSA ACE/Server (Radius, ACE) UNIX Linux Win2000 INTERNET Management Switch WinNT CiscoPIX Router Checkpoint Win2000 UNIX IPSEC RAS WAN SSH
Secure Access to Management Cisco Secure (Tacacs+) RSA ACE/Server (Radius, ACE) UNIX Linux Win2000 INTERNET Management Switch WinNT CiscoPIX Router Checkpoint Win2000 UNIX IPSEC RAS WAN SSH
Proof of Functionality! Sicherer Zugriff auf Management Station Windows 2000 Terminal Log-on über IPSEC! System Log-on Router Switch UNIX Checkpoint ACE/Server
Benefit! Ein Token für alle Systeme! Zentrales Management der Admin Credentials! Verschlüsselte und authentisierte Verbindungen! Einfaches Key Handling => Optimale Nutzung der bestehenden RSA Ace/Server Infrastruktur
One Token for many Requirements Win2000 Lotus Notes WinNT UNIX Web Router Linux VPN Switches Firewall Citrix Outlook Web Access RAS Others