Herausforderungen im Security-Umfeld



Ähnliche Dokumente
OmniAccess Wireless. Remote Access Point Lösung

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Anforderungen und Umsetzung einer BYOD Strategie

Fachbereich Medienproduktion

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

IEEE 802.1x Erfahrungsbericht aus der Fraunhofergesellschaft

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Sophos Complete Security

Aktuelle. Wireless LAN Architekturen

57. DFN-Betriebstagung Überblick WLAN Technologien

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm

WLAN Konfiguration. Michael Bukreus Seite 1

Machen Sie Ihr Zuhause fit für die

Standortbericht bintec elmeg GmbH

Arbeitskreis Security

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 6616

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

P793H PPP/ACT LAN 4 PRESTIGE P793H

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Marcel Oberli Head of Confidence CASSARiUS AG

Sicherer Netzzugang im Wlan

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

Durchgängige WLAN Security mit Zentralem Management. Markus Kohlmeier DTS Systeme GmbH

Anleitung über den Umgang mit Schildern

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

ISA 2004 Netzwerkerstellung von Marc Grote

Sicherheits- & Management Aspekte im mobilen Umfeld

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Andy s Hybrides Netzwerk

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Konfiguration des Wireless Breitband Routers.

VPN/WLAN an der Universität Freiburg

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Application Layer Gateway

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Enterprise Security mit Alcatel-Lucent. PreSales Seminare Juni 2009

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Port-Weiterleitung einrichten

Wireless LAN Installation Windows XP

Microsoft Vista Netzwerkanbindung, mobiles und Remote Computing

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

WLAN an der Ruhr-Universität Bochum

Anleitung zur Installation des EPSON TM-m30 WLAN Moduls

WLAN an der Ruhr-Universität Bochum

Bes 10 Für ios und Android

QS solutions GmbH. präsentiert das Zusammenspiel von. Ihr Partner im Relationship Management

Virtual Private Network

Vertraulichkeit für sensible Daten und Transparenz für ihre Prozesse

1. Warum gibt es Virus Meldung beim Download der Software JNVR? Aber Bitte die Datei nur aus der Webseite: herunterladen.

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Anleitung zur Einrichtung des WDS / WDS with AP Modus

Fragen und Antworten. Kabel Internet

Internet. ZyWALL- und CheckPoint-NG/VPN-Konfiguration. Konfigurationsbeispiel ZyXEL ZyWALL

Systemvoraussetzungen Hosting

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Virtual Private Network

SolarWinds Engineer s Toolset

VPN Tracker für Mac OS X

C.M.I. Control and Monitoring Interface. Zusatzanleitung: Datentransfer mit CAN over Ethernet (COE) Version 1.08

Aufbau und Funktion eines VPN- Netzwerkes

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Konfiguration eines Lan-to-Lan VPN Tunnels

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake Schmallenberg

Tess TeSign nutzen mit App's"! iphone und Bria Informationen zur Nutzung

Installation mit Lizenz-Server verbinden

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Die Bürgermeister App. Mein Bürgermeister hört mich per App.

Dynamisches VPN mit FW V3.64

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Flat for IP. Die Frühlings Initiative von Alcatel-Lucent

D-Link VPN-IPSEC Test Aufbau

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160

Anleitung zur Einrichtung eines 3G/4G Internetzugangs Für DWR-921

Der Weg zur eigenen App

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Fernwartung von Maschinen, Anlagen und Gebäuden

Neuerungen in System Center Endpoint Protection (SCEP) 2012

MOVE. Mobile Virtual Enterprise (MOVE) - Aufbau und Zugang ihrer private Cloud

Wireless & Management

Übung - Konfigurieren einer Windows-XP-Firewall

Einfache Lösungsansätze auf dem Weg zum MSSP

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

ZyXEL Ethernet Switch Security Switching in Layer 2+ und Layer 3+

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Was ist bei der Entwicklung sicherer Apps zu beachten?

eduroam - Weltweit ins Netz und doch sicher Steffen Klemer Gesellschaft für Wissenschaftliche Datenverarbeitung Göttingen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Transkript:

Herausforderungen im Security-Umfeld an Hand einiger ausgewählter Bereiche Hans-Peter Berger / Alcatel-Lucent Austria September 2008 http://www.alcatel-lucent.com hans-peter.berger@alcatel-lucent.com

Agenda 1. Einleitung 2. Wie kriege ich mein LAN sicher? 3. Was weiß ich wirklich über mein Netzwerk? 4. Wireless LANs 5. Laptop weg? 6. Konvergente Netze 7. Fazit 2 Alcatel-Lucent Business Group September 2008

1 Einleitung Security 3 Alcatel-Lucent Business Group September 2008

Fragen Wie viel an Sicherheit habe ich derzeit? Wie viel an Sicherheit will ich haben? Was kann passieren, wenn ich es mir nicht leiste? (Murphy s Law?) Was brauche ich dafür? Was kostet mich das? 4 Alcatel-Lucent Business Group September 2008

2 Wie kriege ich mein LAN sicher? LAN-Security 5 Alcatel-Lucent Business Group September 2008

Perimeter Security und LAN-Security Historisch gesehen Fokussierung auf Bedrohung aus externen Netzen Bedrohung aus intenem LAN wurde unterschätzt Verstärktes Augenmerk auf interne Bedrohungen 6 Alcatel-Lucent Business Group September 2008

Entwicklung der Perimeter Security Router Router + DMZ Router + Firewall + DMZ Router + Firewall + DMZ + Firewall Router + Firewall + DMZ + IPS + Firewall DMZ DMZ Public WAN (Internet) Router Firewall IPS DMZ Firewall LAN 7 Alcatel-Lucent Business Group September 2008

Network Admission Control Audit Threat Control Identity-Based Control Corporate Host Integrity LAN Check Authenticate Track and monitor user activity up to Layer 7 Protect the network against zero-day worms Control Access to Resource from Layer 2 - Layer 7 Ensure end-points are healthy/compliant before allowing access to network Ensure only valid users get on the network 8 Alcatel-Lucent Business Group September 2008

IEEE 802.1x Ablauf Der Ablauf*.. (angenommen Ethernet switch und RADIUS Server sind konfiguriert) IP Touch (supplicant) OmniSwitch (authenticator) OmniPCX Enterprise RADIUS server (authentication server) 1 EAPOL 2 Id & password Zertifikate 5 6? EAP over RADIUS 3 1 By default, switch ports are closed to all but EAPOL traffic 2 IP Touch sends encrypted EAP-MD5 or TLS credentials (username & password) 3 Ethernet switch forwards encrypted EAP credentials to RADIUS Server for verification 4 RADIUS Server responds with approve or deny message 5 If authentication is successful, the Ethernet switch can open the blocked port 6 IP Touch can now perform DHCP/TFTP initializations and register with PCX? User authentication via PIN code can be performed (optional) 4 9 Alcatel-Lucent Business Group September 2008

Wo stehen wir? Typische Evoluton im Einsatz von Network Admission Control: Keinerlei Schutz Statische MAC-Authentication Zentrale MAC-Authentication (RADIUS ) IEEE 802.1x in unterschiedlichen Formen EAP-PEAP, EAP-MD5, EAP-TLS Policy Management Client Integrity Check (Quarantäne-, Gast-LANs) Access Switch Communication Server Firewall IDS/IPS Core Switch Router Internet Access Switch WLAN Switch AD Server RADIUS Server Database Server, etc.. Data Center 10 Alcatel-Lucent Business Group September 2008

IEEE 802.1x - Die Herausforderungen Haben Sie? Geeignete Switches, Access-Points? Supplicants für Endgeräte? RADIUS? Public Key Infrastructure? Notwendiges Wissen: Netzwerk-Wissen Betriebssystem-Wissen Security-Wissen Policy-Management bringt Rollen-basierte Sicherheit to the edge 11 Alcatel-Lucent Business Group September 2008

User-zentrierte Security Cybergatekeeper OmniSwitch Authentication OmniAccess Wireless OmniAccess Safeguard BRICK Host Integrity Check OmniAccess Safeguard Role Based Access OmniSwitch OmniAccess Safeguard Fortigate Anomaly detection IPS/IDS Pre and Post Admission Control OmniVista Quarantine Quarantine and remediation OmniAccess Safeguard Monitoring/ compliance 12 Alcatel-Lucent Business Group September 2008

Ein paar Fragen im Vorfeld Brauche ich das überhaupt? Habe ich das notwendige Wissen für die Implementierung? Kann mein Netzwerk das? Switches, Access-Points, Endgeräte? Wie restriktiv soll meine rollenbasierte Security-Policy sein? Warnung: Wenn man NAC implementiert, muss es auch reibungslos funktionieren! Bei Problemen kommt kein Client mehr an s Netz! Entwerfen Sie ein Notfallszenario! (testen!) 13 Alcatel-Lucent Business Group September 2008

3 Was weiß ich wirklich über mein Netzwerk? Oder: Wie blind bin ich? 14 Alcatel-Lucent Business Group September 2008

Was passiert wirklich in meinem Netzwerk Vorgänge im Netz müssen sichtbar gemacht werden. Geeignete Instrumente Netzwerkmanagement Perfomance-Analyse SLA Management Reporting Visualisierungs-Tools... 15 Alcatel-Lucent Business Group September 2008

Kenne Dein Netz! Was ist der Normalzustand? Sei einen Schritt voraus! Visualisierung der Daten Auffälligkeiten 16 Alcatel-Lucent Business Group September 2008

4 Wireless LANs Alles einfach? 17 Alcatel-Lucent Business Group September 2008

Wireless-Technologien Komfortabel, aber schwierig zu beherrschen Funktechnik ist eine andere Welt Die Rückkehr des shared Medium Sicherheit ist Pflicht Ohne Security geht gar nichts ( offen wie ein Scheunentor ) Zugang nur für geladene Personen Vom Umgang mit Gästen 18 Alcatel-Lucent Business Group September 2008

Wireless-Implementierung Zentral oder dezentral? (Profis oder Amateure) Ohne Physik geht gar nichts Funkplanung ist essentiell Sparen am falschen Ort gefährdet die Betriebssicherheit Konstante Überwachung tut not Rogue Access Points müssen weg Lokalisation und Isolation und VoWLAN? 19 Alcatel-Lucent Business Group September 2008

Ansätze zur Lösung Zentrale Lösung durch WLAN Controller Steuert alle Access Points Funkausleuchtung Rogue AP Detection OAW-AP70 Verschlüsselung OAW-AP61 Firewalling OAW-4324 IPS QoS OAW-AP70 OAW-AP61 OAW-4308 WAN OAW-6000 HEADQUARTERS VoWLAN BRANCH OFFICE OAW-AP61 OAW-AP70 SMALL / HOME OFFICE OAW-4504 OAW-AP70 REGIONAL HEADQUARTER 20 Alcatel-Lucent Business Group September 2008

Betrieb Überwachung Rogue AP-Detection Firewalling AAA Alarmierung 21 Alcatel-Lucent Business Group September 2008

5 Laptop weg? Was nun? 22 Alcatel-Lucent Business Group September 2008

Mobile Geräte und Sicherheit A NEWS Thief Steals MoD Laptop With Details of 60,000 T Staff! For the details of people in such sensitive positions to vanish like this defies belief It is time the Government started to take data security far more seriously. 23 Alcatel-Lucent Business Group September 2008

Mobile Geräte und Sicherheit Mobile Geräte potentiell diebstahlsgefährdet Daten auf mobilen Geräten immer riskant Sind die wichtigen Daten verschlüsselt? Daten sind das wahre Kapital Hardwareverlust ist verschmerzbar aber dennoch lästig Kann ich das Gerät lokalisieren? Gut, wenn dem Dieb nur die Hardware bleibt Besser, wenn ich ihn lokalisieren kann 24 Alcatel-Lucent Business Group September 2008

Mobile Security ein Lösungsansatz Policies IT Applications VPN 3G Server WiFi LAN Key Features Always-on even when laptop is off Remote kill capability Policy enforcement Local Quarantine Secure all networking interfaces Off-hour back-ups + patching Location Authentication Auto VPN 3 rd party capabilities 24x7 Remote IT Management 3G Modem Processor Memory Battery API GPS Removable Memory Operating System Laptop Card 25 Alcatel-Lucent Business Group September 2008

6 Konvergente Netze Daten, Sprache, Video - am besten alles auch mobil 26 Alcatel-Lucent Business Group September 2008

Anything over IP VoIP Der lange Weg zur Akzeptanz Ist mein Netz bereit für VoIP? Video over IP Unicast VoD als killer-applikation? Endlich mal was, das ordentlich Bandbreite braucht Multicast die effiziente Alternative Videoconferencing? Quality of Service (= Managed Unfairness ) Sicherheistfragen stellen sich auch bei VoIP 27 Alcatel-Lucent Business Group September 2008

VoWLAN Wenn ich schon ein WLAN habe, wieso nicht auch darüber telefonieren? Herausforderungen QoS im WLAN Roaming Verschlüsselung Zielrichtung: WLAN + GSM in einem Handy (dual-mode) Alcatel Lucent MIPT310/610 Enterprise IP Network OmniAccess Wireless Switch Ascom i75 OmniPCX Nokia E61i 28 Alcatel-Lucent Business Group September 2008 Nokia E65

7 Fazit 29 Alcatel-Lucent Business Group September 2008

Fazit Sicherheit ist relativ! Sicherheit bedeutet immer Aufwand (security is not for free) Bleiben sie realistisch! Wie groß ist mein Bedrohungszenario? (fear, uncertainty, doubt) Know your enemy! Train your staff! Halten Sie sich an ihre Sicherheitsrichtlinien! Testen Sie ihre Sicherheitsmaßnahmen! Halten sie sich von Scharlatanen fern 30 Alcatel-Lucent Business Group September 2008

Fragen? hans-peter.berger@alcatel-lucent.com 31 Alcatel-Lucent Business Group September 2008

www.alcatel-lucent.com 32 32 Alcatel-Lucent Presentation Business Title Group Month September 2008 2008

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback