Herausforderungen im Security-Umfeld an Hand einiger ausgewählter Bereiche Hans-Peter Berger / Alcatel-Lucent Austria September 2008 http://www.alcatel-lucent.com hans-peter.berger@alcatel-lucent.com
Agenda 1. Einleitung 2. Wie kriege ich mein LAN sicher? 3. Was weiß ich wirklich über mein Netzwerk? 4. Wireless LANs 5. Laptop weg? 6. Konvergente Netze 7. Fazit 2 Alcatel-Lucent Business Group September 2008
1 Einleitung Security 3 Alcatel-Lucent Business Group September 2008
Fragen Wie viel an Sicherheit habe ich derzeit? Wie viel an Sicherheit will ich haben? Was kann passieren, wenn ich es mir nicht leiste? (Murphy s Law?) Was brauche ich dafür? Was kostet mich das? 4 Alcatel-Lucent Business Group September 2008
2 Wie kriege ich mein LAN sicher? LAN-Security 5 Alcatel-Lucent Business Group September 2008
Perimeter Security und LAN-Security Historisch gesehen Fokussierung auf Bedrohung aus externen Netzen Bedrohung aus intenem LAN wurde unterschätzt Verstärktes Augenmerk auf interne Bedrohungen 6 Alcatel-Lucent Business Group September 2008
Entwicklung der Perimeter Security Router Router + DMZ Router + Firewall + DMZ Router + Firewall + DMZ + Firewall Router + Firewall + DMZ + IPS + Firewall DMZ DMZ Public WAN (Internet) Router Firewall IPS DMZ Firewall LAN 7 Alcatel-Lucent Business Group September 2008
Network Admission Control Audit Threat Control Identity-Based Control Corporate Host Integrity LAN Check Authenticate Track and monitor user activity up to Layer 7 Protect the network against zero-day worms Control Access to Resource from Layer 2 - Layer 7 Ensure end-points are healthy/compliant before allowing access to network Ensure only valid users get on the network 8 Alcatel-Lucent Business Group September 2008
IEEE 802.1x Ablauf Der Ablauf*.. (angenommen Ethernet switch und RADIUS Server sind konfiguriert) IP Touch (supplicant) OmniSwitch (authenticator) OmniPCX Enterprise RADIUS server (authentication server) 1 EAPOL 2 Id & password Zertifikate 5 6? EAP over RADIUS 3 1 By default, switch ports are closed to all but EAPOL traffic 2 IP Touch sends encrypted EAP-MD5 or TLS credentials (username & password) 3 Ethernet switch forwards encrypted EAP credentials to RADIUS Server for verification 4 RADIUS Server responds with approve or deny message 5 If authentication is successful, the Ethernet switch can open the blocked port 6 IP Touch can now perform DHCP/TFTP initializations and register with PCX? User authentication via PIN code can be performed (optional) 4 9 Alcatel-Lucent Business Group September 2008
Wo stehen wir? Typische Evoluton im Einsatz von Network Admission Control: Keinerlei Schutz Statische MAC-Authentication Zentrale MAC-Authentication (RADIUS ) IEEE 802.1x in unterschiedlichen Formen EAP-PEAP, EAP-MD5, EAP-TLS Policy Management Client Integrity Check (Quarantäne-, Gast-LANs) Access Switch Communication Server Firewall IDS/IPS Core Switch Router Internet Access Switch WLAN Switch AD Server RADIUS Server Database Server, etc.. Data Center 10 Alcatel-Lucent Business Group September 2008
IEEE 802.1x - Die Herausforderungen Haben Sie? Geeignete Switches, Access-Points? Supplicants für Endgeräte? RADIUS? Public Key Infrastructure? Notwendiges Wissen: Netzwerk-Wissen Betriebssystem-Wissen Security-Wissen Policy-Management bringt Rollen-basierte Sicherheit to the edge 11 Alcatel-Lucent Business Group September 2008
User-zentrierte Security Cybergatekeeper OmniSwitch Authentication OmniAccess Wireless OmniAccess Safeguard BRICK Host Integrity Check OmniAccess Safeguard Role Based Access OmniSwitch OmniAccess Safeguard Fortigate Anomaly detection IPS/IDS Pre and Post Admission Control OmniVista Quarantine Quarantine and remediation OmniAccess Safeguard Monitoring/ compliance 12 Alcatel-Lucent Business Group September 2008
Ein paar Fragen im Vorfeld Brauche ich das überhaupt? Habe ich das notwendige Wissen für die Implementierung? Kann mein Netzwerk das? Switches, Access-Points, Endgeräte? Wie restriktiv soll meine rollenbasierte Security-Policy sein? Warnung: Wenn man NAC implementiert, muss es auch reibungslos funktionieren! Bei Problemen kommt kein Client mehr an s Netz! Entwerfen Sie ein Notfallszenario! (testen!) 13 Alcatel-Lucent Business Group September 2008
3 Was weiß ich wirklich über mein Netzwerk? Oder: Wie blind bin ich? 14 Alcatel-Lucent Business Group September 2008
Was passiert wirklich in meinem Netzwerk Vorgänge im Netz müssen sichtbar gemacht werden. Geeignete Instrumente Netzwerkmanagement Perfomance-Analyse SLA Management Reporting Visualisierungs-Tools... 15 Alcatel-Lucent Business Group September 2008
Kenne Dein Netz! Was ist der Normalzustand? Sei einen Schritt voraus! Visualisierung der Daten Auffälligkeiten 16 Alcatel-Lucent Business Group September 2008
4 Wireless LANs Alles einfach? 17 Alcatel-Lucent Business Group September 2008
Wireless-Technologien Komfortabel, aber schwierig zu beherrschen Funktechnik ist eine andere Welt Die Rückkehr des shared Medium Sicherheit ist Pflicht Ohne Security geht gar nichts ( offen wie ein Scheunentor ) Zugang nur für geladene Personen Vom Umgang mit Gästen 18 Alcatel-Lucent Business Group September 2008
Wireless-Implementierung Zentral oder dezentral? (Profis oder Amateure) Ohne Physik geht gar nichts Funkplanung ist essentiell Sparen am falschen Ort gefährdet die Betriebssicherheit Konstante Überwachung tut not Rogue Access Points müssen weg Lokalisation und Isolation und VoWLAN? 19 Alcatel-Lucent Business Group September 2008
Ansätze zur Lösung Zentrale Lösung durch WLAN Controller Steuert alle Access Points Funkausleuchtung Rogue AP Detection OAW-AP70 Verschlüsselung OAW-AP61 Firewalling OAW-4324 IPS QoS OAW-AP70 OAW-AP61 OAW-4308 WAN OAW-6000 HEADQUARTERS VoWLAN BRANCH OFFICE OAW-AP61 OAW-AP70 SMALL / HOME OFFICE OAW-4504 OAW-AP70 REGIONAL HEADQUARTER 20 Alcatel-Lucent Business Group September 2008
Betrieb Überwachung Rogue AP-Detection Firewalling AAA Alarmierung 21 Alcatel-Lucent Business Group September 2008
5 Laptop weg? Was nun? 22 Alcatel-Lucent Business Group September 2008
Mobile Geräte und Sicherheit A NEWS Thief Steals MoD Laptop With Details of 60,000 T Staff! For the details of people in such sensitive positions to vanish like this defies belief It is time the Government started to take data security far more seriously. 23 Alcatel-Lucent Business Group September 2008
Mobile Geräte und Sicherheit Mobile Geräte potentiell diebstahlsgefährdet Daten auf mobilen Geräten immer riskant Sind die wichtigen Daten verschlüsselt? Daten sind das wahre Kapital Hardwareverlust ist verschmerzbar aber dennoch lästig Kann ich das Gerät lokalisieren? Gut, wenn dem Dieb nur die Hardware bleibt Besser, wenn ich ihn lokalisieren kann 24 Alcatel-Lucent Business Group September 2008
Mobile Security ein Lösungsansatz Policies IT Applications VPN 3G Server WiFi LAN Key Features Always-on even when laptop is off Remote kill capability Policy enforcement Local Quarantine Secure all networking interfaces Off-hour back-ups + patching Location Authentication Auto VPN 3 rd party capabilities 24x7 Remote IT Management 3G Modem Processor Memory Battery API GPS Removable Memory Operating System Laptop Card 25 Alcatel-Lucent Business Group September 2008
6 Konvergente Netze Daten, Sprache, Video - am besten alles auch mobil 26 Alcatel-Lucent Business Group September 2008
Anything over IP VoIP Der lange Weg zur Akzeptanz Ist mein Netz bereit für VoIP? Video over IP Unicast VoD als killer-applikation? Endlich mal was, das ordentlich Bandbreite braucht Multicast die effiziente Alternative Videoconferencing? Quality of Service (= Managed Unfairness ) Sicherheistfragen stellen sich auch bei VoIP 27 Alcatel-Lucent Business Group September 2008
VoWLAN Wenn ich schon ein WLAN habe, wieso nicht auch darüber telefonieren? Herausforderungen QoS im WLAN Roaming Verschlüsselung Zielrichtung: WLAN + GSM in einem Handy (dual-mode) Alcatel Lucent MIPT310/610 Enterprise IP Network OmniAccess Wireless Switch Ascom i75 OmniPCX Nokia E61i 28 Alcatel-Lucent Business Group September 2008 Nokia E65
7 Fazit 29 Alcatel-Lucent Business Group September 2008
Fazit Sicherheit ist relativ! Sicherheit bedeutet immer Aufwand (security is not for free) Bleiben sie realistisch! Wie groß ist mein Bedrohungszenario? (fear, uncertainty, doubt) Know your enemy! Train your staff! Halten Sie sich an ihre Sicherheitsrichtlinien! Testen Sie ihre Sicherheitsmaßnahmen! Halten sie sich von Scharlatanen fern 30 Alcatel-Lucent Business Group September 2008
Fragen? hans-peter.berger@alcatel-lucent.com 31 Alcatel-Lucent Business Group September 2008
www.alcatel-lucent.com 32 32 Alcatel-Lucent Presentation Business Title Group Month September 2008 2008