Jarle Steffensen.

Ähnliche Dokumente
Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

Sicherer Netzzugang im Wlan

NCP Secure Entry macos Client Release Notes

Nutzerauthentifizierung mit 802.1X. Torsten Kersting

Kurscode Kursbezeichnung Dauer Kursbeginn am Status. NETWS Networking Basics 1 Tag

Software Defined Networks - der Weg zu flexiblen Netzwerken

Secure Authentication for System & Network Administration

Identity Based Networking Services 2.0 an der Hochschule Luzern

Kurscode Kursbezeichnung Dauer Kursbeginn am Status. NETWS Networking Basics 1 Tag Auf Anfrage

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Cisco Borderless Networks Sicherheit und Energieeffizienz im Netzwerk von heute. Mathias Wietrychowski, Sr. Systems Engineer Manager

Monty Möckel. Andreas Reisinger ÜBER UNS. Senior Technology Consultant IT Services Cloud & Datacenter

tubit WirelessLAN 27. November 2008 eduroam Martin Schmidt IT Dienstleistungszentrum der TU Berlin

Seminartermine 2. Halbjahr 2017

NCP Secure Enterprise VPN Server (Win) Release Notes

mit Cisco Aironet 1100 Serie kabellos und sicher im Netz!

NCP Secure Enterprise VPN Server (Win) Release Notes

Seminartermine 1. Halbjahr 2017

IPv6 journey of ETH Zurich. IPv6 journey of ETH Zurich

Wavesurf.  1994  Zusà tzliche Lehrabschlussprüfung als Radio- & Fernsehmechaniker Â

RADIUS (Remote Authentication Dial In User Service)

Fortgeschrittene Wireless Sicherheitsmechanismen

IT-Sicherheit - Sicherheit vernetzter Systeme -

Bibliografische Informationen digitalisiert durch

Microsoft Anwendersoftware

2d Consulting Services - Personalberatung. Account Manager/in Datacenter

Seminartermine 1. Halbjahr 2014

Release Notes. NCP Secure Entry Mac Client. 1. Neue Leistungsmerkmale und Erweiterungen. 2. Verbesserungen / Fehlerbehebungen

Was bringt eine Hybrid Lösung Microsoft Lync mit Alcatel für Vorteile?

Kerio Control Workshop

Herausforderung Multicast IPTV

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

802.1x. Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen

Arbeitskreis Security

VoIP an der UdS. Erste Erfahrungen mit 802.1x Umsetzung an der UdS. VoIP-Arbeitskreis, Berlin,

Seminartermine 1. Halbjahr 2015

Joachim Zubke, CCIE Stefan Schneider

Zwischen private und public Cloud - Herausforderungen der IT in heutigen Multicloud Umgebungen. Beat Schaufelberger Senior Cloud Consultant

AZURE ACTIVE DIRECTORY

Fachbereich Medienproduktion

We#bewerbsvorteil-durch-Mobilität.-- Wir-begleiten-Sie.-

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Good Dynamics by Good Technology. V by keyon (

NCP Secure Enterprise VPN Server (Linux) Release Notes

Wireless LAN Installation Windows XP

Release Notes. NCP Secure Enterprise Mac Client. 1. Neue Leistungsmerkmale und Erweiterungen. 2. Verbesserungen / Fehlerbehebungen

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter.

Upgrading Your Supporting Skills to Windows Server 2016

RADIUS. Moritz Blanke (KaWo1) TANAG 2017

HowTo: Einrichtung von Roaming zwischen APs mittels des DWC-1000

2d Consulting Services - Personalberatung. Account Manager/in Servicevertrieb

Intelligent Data Center Networking. Frankfurt, 17. September 2014

Cisco Certified Network Associate CCNA

Network Admission Control mit Cisco TrustSec

Desktopvirtualisierung. mit Vmware View 4

Drahtloser Netzwerkzugang und 802.1X-Sicherheit ohne Geheimnis

Mobile Device Management eine Herausforderung für jede IT-Abteilung. Maximilian Härter NetPlans GmbH

Datenblatt. NCP Exclusive Remote Access Mac Client. Next Generation Network Access Technology

Profil von Michael Großegesse (Stand: November 2017) Verl, Deutschland. Stundensatz a. A.

EXCHANGE Neuerungen und Praxis

EDV Erfahrung seit: 1999

LAN Konzept Bruno Santschi. LAN Konzept. Version 1.0 März LAN Konzept.doc Seite 1 von 10 hehe@hehe.ch

FlexPod die Referenzarchitektur

Profindis GmbH. Deutsch. IT-Fachinformatiker

Vision: ICT Services aus der Fabrik

6. Konfiguration von Wireless LAN mit WPA PSK. 6.1 Einleitung

eduroam mit EAP-PWD absichern

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Seite Access Point im Enterprise Mode (802.1x) 4.1 Einleitung

Wireless LAN (WLAN) Sicherheit

Active Directory reloaded in Windows Server 8

1) Konfigurieren Sie Ihr Netzwerk wie im nachfolgenden Schaubild dargestellt.

Elektronischer Personalausweis epa

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Wohin geht es mit der WLAN Sicherheit? *Jakob Strebel (Sales Director DACH bei Colubris Networks)

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

Open Source Open Mind Way of Life

Cnlab/CSI Herbsttagung Kryptographie in Smartphones

Sichere'und'Performante' Netzwerke'

BYOD im Unternehmen Unterwegs zur sicheren Integration

Datacenter in einem Schrank

Web Protection in Endpoint v10

=XJDQJVNRQWUROOH]XP(WKHUQHW PLWWHOV,(((;

Hybride Cloud Datacenters

Allgemeine häufig gestellte Fragen

IP Telefonie Sicherheit mit Cisco Unified Communications Manager

Hochschule Wismar - University of Applied Sciences Technology Business and Design X Port-Based. Authentication. für das Schulnetzwerk

TechNet Webcast Aufbau eines sicheren WLANs. Wireless LAN. Page: 1

Cnlab/CSI Herbstveranstaltung Kryptographie in Smartphones

IP EXPLOSION Mehr Power für Ihr Business. Company Net. OfficeNet Enterprise. CoporateDataAccess 4.0. Company Remote

Wohin geht es mit der WLAN Sicherheit?

Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

Sichere, mobile Kommunikation

Voice over IP (VoIP)

Anleitung Nutzung eduroam

FAST LANE > TRAINING FROM THE EXPERTS Fast Lane Institute for Knowledge Transfer GmbH Modecenterstraße 14/B4 > 1030 Wien Tel > Fax

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

Transkript:

Jarle Steffensen steffensen@netcloud.ch

Auf einen Blick Basel Bern Winterthur Gründungsjahr 1998 Anzahl Mitarbeiter 121 Umsatz 2015 98.9 Mio. CHF Cisco Partner Level Gold Besitzverhältnisse Zu 100% in Besitz des Managements, eigenfinanziert Rechtsform Aktiengesellschaft 16.06.2016 4

Der beste Beweis für unsere Leistung und Kompetenz Unsere Zertifizierungen Cisco Gold Partner Cisco Master Collaboration Partner Cisco Master Cloud Builder Cisco Intercloud Service Provider Cisco Advanced Data Center Architecture Cisco Enterprise Networks Architecture Cisco Advanced Borderless Network Architecture Cisco Advanced Collaboration Architecture Cisco Advanced IP NGN Architecture Cisco ATP Telepresence Video Master Cisco ATP Identity Services Engine Cisco Advanced Routing & Switching Cisco Advanced Wireless LAN Cisco Advanced Security Cisco Advanced Content Security Cisco Application Centric Infrastructure (ACI) Partner NetApp Gold Partner Flexpod Premium Partner Microsoft Gold Partner Datacenter VMware Enterprise Solution Provider f5 Silber Partner WhatsUp Gold Gold Partner RSA Partner ARC Certified Partner Andtek Partner 16.06.2016 5

Unsere Kompetenz hat viele Namen Netcloud ist führend in der Breite und Tiefe des Cisco ICT Knowhows: Auf Level Expert 20 CCIE, Cisco Certified Internet Expert Routing/Switching 1 CCIE, Cisco Certified Internet Expert Security 2 CCIE, Cisco Certified Internet Expert Service Provider 4 CCIE, Cisco Certified Internet Expert Data Center 1 CCIE, Cisco ISP Dial Technology 2 CCIE, Cisco Certified Internet Expert Collaboration 1 CCIE, Cisco Internet Certified Expert Storage Auf Level Professional 14 CCDP, Cisco Certified Design Professional 6 CCNP, Cisco Certified Network Professional Data Center 6 CCNP, Cisco Certified Network Professional Security 2 CCNP, Cisco Certified Network Professional Service Provider 3 CCNP, Cisco Certified Network Professional Collaboration 4 CCSP, Cisco Certified Network Professional Wireless 38 CCNP, Cisco Certified Network Professional R&S 16.06.2016 6

Unsere Aufgabe ist Ihr Erfolg Netcloud AG bietet zukunftsorientierte und sichere ICT Lösungen, welche einfacher und zuverlässiger sind und dadurch unsere Kunden erfolgreicher machen. 16.06.2016 7

Agenda 802.1x Projekterfahrungen Introduktion 802.1x Erwartungshaltung zur Komplexität Authentisierungsmethoden Fallback Projektablaufe Testing Rollout Betriebsprozesse Logging 16.06.2016 9

802.1x Erfahrungen 802.1x Intro Was ist «Security»? Vertraulichkeit Human Error Integrität Verfügbarkeit 16.06.2016 10

802.1x Erfahrungen 802.1x Intro Was ist das Ziel von 802.1x? Sicherheit erhöhen, Nur bekannte Geräte an Netzwerk erlauben Vertraulichkeit 16.06.2016 11

802.1x Erfahrungen 802.1x Intro Was ist 802.1x / Was meinen wir mit 802.1x Framework für Authentisierung und Autorisierung Standardizierte Protokoll durch IEEE 802.1x NAC Network Admission Control? 16.06.2016 12

802.1x Erfahrungen 802.1x Intro Wie funktioniert 802.1x? Identifikation Zugriffsberechtigung Schlüsselelement: Die Identifikation ist nur so stark/sicher wie die verwendete Methode um die Identität zu verifizieren. 16.06.2016 13

802.1x Erfahrungen 802.1x Intro Welche Identifikations-Methoden können dazu verwendet? Ohne Supplikant Mit Supplikant 16.06.2016 14

802.1x Erfahrungen 802.1x Intro Fragen? 16.06.2016 15

802.1x Erfahrungen Erwartete Komplexität Erwartet: Aufwand/Komplexität Sonstiges Mac Osx Windows 16.06.2016 16

802.1x Erfahrungen Erwartete Komplexität Erwartet: Aufwand/Komplexität Sonstiges Effektiv: Aufwand/Komplexität Windows Mac Osx Windows Sonstiges Mac Osx 16.06.2016 17

802.1x Erfahrungen Effektive Komplexität Microsoft Windows Windows kann einfach und zentral via GPOs gesteuert werden. Windows 802.1x Supplikant ist bewährt. (seit WinXP vorhanden) Mac OSX MacOSX 802.1x Supplikant ist bewährt Wie MacOSx zentral verwalten? 16.06.2016 18

802.1x Erfahrungen Effektive Komplexität «Sonstiges» Was können die «Sonstiges»? Was sind das für Geräte? Wie verhalten sie sich? Wie können sie möglichst zentral verwaltet werden? Drucker Telefone/ATAs/Video Signalisierung zwischen LAN und Telefon für Switchport Access Points Hausleitsysteme Internet Radios 16.06.2016 19

802.1x Erfahrungen Effektive Komplexität Was können die Netzwerkkomponenten? Unterstützen sie MAB? FailOpen? Wie verhalten sie sich? 16.06.2016 20

802.1x Erfahrungen Effektive Komplexität Ein 802.1x Projekt startet mit einem Endgeräte- und Infrastrukturinventar! Spätestens beim Rollout werden alle Endgerätetypen gefunden, an welche noch niemand gedacht hat. Am Ende eines 802.1x Projektes hat man definitiv ein vollständiges Endgeräte- und Infrastrukturinventar! 16.06.2016 22

802.1x Erfahrungen Effektive Komplexität Individuelle Umgebung benötigt: Individuelle Regeln Individuelle Software auf Switches Individuelle Software auf Endgeräte Tests um alle Szenarien zu prüfen Individuelle Betriebsprozesse Bisher noch in jedem Projekt gehörter Satz: Ist es das erste 802.1x Projekt, das Sie machen? Antwort: Definitiv nicht! Aber mit den Endgeräten, auf den Netzwerkkomponenten, mit diesen Software Versionen, mit diesen Geschäfts- und Regelwerkanforderungen? JA! 16.06.2016 23

802.1x Erfahrungen Projektstart Key Takeaway s Umgebung und eingesetzte Geräte sind Unterschiedlich! Wir starten deshalb mit Infrastrukturinventar Seit 5-6 Jahren realisieren wir erfolgreich 802.1x Projekte Bis jetzt gab es immer Lösungen für alle «Herausforderungen». Projekt Dauer von Realisations-Entscheidung bis abgeschlossene Rollout ist ab 6 Monate ist in Normalfall 9-24 Monate Anforderungen sind unterschiedlich Sicherheit Betrieb Flexibilitiät 16.06.2016 24

802.1x Erfahrungen Projektstart Key Takeaway s Anforderungen sind unterschiedlich Technologie Betrieb 16.06.2016 25

802.1x Erfahrungen Authentisierungsmethoden Wie stark ist die Sicherheit? «Wie stark darf denn die Sicherheit sein?» Welche Varianten stehen zur Auswahl? 16.06.2016 26

802.1x Erfahrungen Authentisierungsmethoden LEAP (Lightweight Extensible Authentication Protocol) EAP-TLS (Transport Layer Security) EAP-MSChapv2 (MS-ChapV2) EAP-MD5 (MD5 Hashes) EAP-POTP (Protected One-Time Password) EAP-PSK (Presahred-Key) EAP-PWD (Shared Password) EAP-TTLS (Tunneled Transport Layer Security) EAP-IKEv2 (Internet Key Exchange v2) EAP-FAST (Flexible Authentication via Secure Tunneling) EAP-SIM (Subscriber Identity Module) EAP-AKA (UMTS Authentication and Key Agreement) EAP-AKA (Authentication and Key Agreement für 3GPP) EAP-GTC (Generic Token Card) EAP-EKE (Encrypted key exchange) 16.06.2016 27

802.1x Erfahrungen Authentisierungsmethoden LEAP (Lightweight Extensible Authentication Protocol) EAP-TLS (Transport Layer Security) EAP-MSChapv2 (MS-ChapV2) EAP-MD5 (MD5 Hashes) EAP-POTP (Protected One-Time Password) EAP-PSK (Presahred-Key) EAP-PWD (Shared Password) EAP-TTLS (Tunneled Transport Layer Security) EAP-IKEv2 (Internet Key Exchange v2) EAP-FAST (Flexible Authentication via Secure Tunneling) EAP-SIM (Subscriber Identity Module) EAP-AKA (UMTS Authentication and Key Agreement) EAP-AKA (Authentication and Key Agreement für 3GPP) EAP-GTC (Generic Token Card) EAP-EKE (Encrypted key exchange) 16.06.2016 28

802.1x Erfahrungen Authentisierungsmethoden EAP-TLS (Transport Layer Security) Unterstützt Zertifikate Wie kommen die Zertifikate aufs Gerät? Wie werden die Zertifikate erneuert? Wie können Zertifikate gesperrt werden? Authentisierung braucht Zeit! Roaming bei Voice-WLAN beachten! EAP-MSChapV2 (MS Chap v2) Passwort basierend IMMER nur innerhalb von Protected EAP! (PEAP/MS-ChapV2) Wie kommt das Passwort aufs Gerät? 16.06.2016 30

802.1x Erfahrungen Authentisierungsmethoden EAP-MD5 Passwort basierend Kein «Mutual Authentication». Passwort wird durch MD5 Hash übertragen. Wie kommt das Passwort aufs Gerät? MAC Authentication Bypass (MAB) Identifikation via MAC-Adresse für Geräte ohne 802.1x Für Geräte ohne sinnvolle Verwaltungsmöglichkeit. 16.06.2016 33

802.1x Erfahrungen Authentisierungsmethoden EAP-FAST / EAP-CHAINING Verknüpfung von verschiedene Authentisierungsmethden und Identitäten. Häufig Angefragt für Schule und «Shared desktops» Umgebungen. 16.06.2016 34

802.1x Erfahrungen Windows 16.06.2016 35

802.1x Erfahrungen Authentisierungsmethoden Key Takeaway s Verwende möglichst starke Authentisierungsmethoden Verwende Existierende Authentisierungsmethoden Ist AD-Domain vorhanden: Verwende EAP-PEAP und Computer Domain Credentials Ist ein CA vorhanden Verwende EAP-TLS mit Zertifikate Gibt es für das Gerät es kein Supplikant Verwende MAB Ist es eine «stille Gerät» ohne Supplikant Ersetze es mit eine neue Gerät mit Supplikant Schalte 802.1x ab auf diesen port! 16.06.2016 36

802.1x Erfahrungen Betrieb & Authentisierungsmethoden Authentisierungs-Reihenfolge MAB 802.1x? «Authentisierungsfehler» für reine 802.1x Geräte da unbekannte MAC. Prophylaktisch alle MACs erfassen? 802.1x MAB Timeouts beachten! Wie schnell gibt ein Nicht-802.1x Gerät DHCP auf? Wieviele MAC-Adressen pro Endgerät? Wird auf PCs VMWare im Bridge-Mode verwendet? 16.06.2016 37

802.1x Erfahrungen Betrieb und Authentisierung Key Takeaway s Verwende möglichst MAB 802.1x? Dann gibt es weniger Timer-Tuning zu machen Periodische Re-Authentisierung? Versuche es zu vermeiden! Erfassen von Mac Adressen: Wie wird neue Hardware installiert? Dedizierte Staging-Ports? MAB Authentisierung? Intel vpro mit Zertifikat für Pre-OS Authentication? Guest Access WLAN oder auch Wired? 16.06.2016 38

802.1x Erfahrungen Betrieb und Authentisierung Key Takeaway s Kunden Anforderungen Bank/Industrie Identifikation 9-17 Betrieb Onboarding GBL-Systeme GästeAccess Spital PublicSpace 24 Std Betrieb Onboarding Medizin-Geräte GästeAccess Schule Hetrogene Clients Massen- Mutationen GBL GästeAccess 16.06.2016 39

802.1x Erfahrungen Fallback-Szenarien Betriebssicherheit / Verfügbarkeit! Was passiert wenn der Authentisierungsserver nicht erreichbar ist? Zweiter Server vor Ort? Fail-Open / Critical VLAN (Aufmachen und alles reinlassen) VLAN-Zuweisungen funktionieren dann nicht. Group-Tags werden nicht zugewiesen. 16.06.2016 40

802.1x Erfahrungen Fallback Key Takeaway s Verwende Fail-Open / Critical VLAN (Aufmachen und alles reinlassen) NB! VLAN Zuweisung funktioniert dann nicht. Wenn die Authentication Servers wieder aktiv werden, werden alle unbekannte Devices ausgesperrt. 16.06.2016 41

802.1x Erfahrungen Testing Tests für alle Szenarien definieren. Wie reagiert der jeweilige Endgerät auf Authentication requests? Was passiert bei einem Switchreboot? Was passiert wenn Authentisierungsserver nicht erreichbar ist? Was passiert bei einem Switchreboot wenn Authentisierungsserver nicht erreichbar ist? Was passiert wenn der Authentisierungsserver wieder erreichbar ist? 16.06.2016 42

802.1x Erfahrungen Testing Wenn neuer Gerätetyp gefunden wird: Testszenarien überarbeiten. Wenn Szenarien ergänzt oder Konfiguration angepasst werden: Alle Tests wiederholen! Testen, testen, testen, testen, testen, testen, Wir nennen dies PoC Proof of Concept. 16.06.2016 43

802.1x Erfahrungen Testing Key Takeaway s Testen, testen, testen, testen, testen, testen, Proof of Concept macht den grössten Teil des Zeitaufwandes des gesamten Projektes aus! Geschätzt >50% Wenn PoC richtig gemacht ist, ist der Rollout «nur» Fleissarbeit 16.06.2016 44

802.1x Erfahrungen Rollout Authentication Mode Open 802.1x ohne Filterung. Erlaubt das Testen der Clients ohne den Betrieb zu stören. Aufräumen der Problemfälle vor Scharfschaltung. 16.06.2016 45

802.1x Erfahrungen Rollout Scharfstellung: High Security Mode 802.1x mit Default No Access VLAN Zuweisung Scharfschaltung pro Port, pro Switch. 16.06.2016 46

802.1x Erfahrungen Betrieb & Logs Ein gutes Log ist pures Gold wert! Betrieb wird fast nur mit dem Log arbeiten. Betrieb muss Probleme schnell eingrenzen können. 16.06.2016 47

802.1x Erfahrungen Betrieb & Logs 16.06.2016 48

802.1x Erfahrungen Zusammenfassung Klassisches 80/20 Projekt 80% Vorbereitung 20% «Doing» / «Rollout» Erstellen eines Highlevel Design / Grobkonzept Was ist das Ziel? Sicherheit erhöhen? Betrieb vereinfachen? Konfiguration-Vereinfachung? Involviere die Netzwerk Abteilung Client-Verantwortliche Server-Verantwortliche Security-Officers Projekt startet mit dem Inventar Führe auf jeden fall ein PoC durch 16.06.2016 49

802.1x Erfahrungen Zusammenfassung Windows-Clients sind das kleinste Problem Verwaltungsmöglichkeiten der Clients beachten Applikationen und Einsatzgebiet können Authentisierungsmethode bestimmen. MAB für Geräte ohne 802.1x Support. Lösung muss gute Logs bieten. 16.06.2016 50

802.1x Erfahrungen Dot1x ist der anfang Wo geht s weiter? Profiling Posture Checks Trustsec MAC Sec PxGrid Integration mit NextGen Firewall Proxy IPS Antivirussoftware 16.06.2016 51

Konnten wir Ihre Fragen beantworten? Herzlichen Dank!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback