View
20
Download
0
Category
Preview:
DESCRIPTION
Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC). Italo Brito Systems Engineer ibrito@cisco.com. CCIE #16321 Routing/Switching. Agenda. Introdução Operação do 802.1x 802.1x não se limita a autenticação Network Admission Control (NAC) Conclusão. - PowerPoint PPT Presentation
Citation preview
1
Serviços de Rede baseados em Identidade (IBNS) e Controle de Admissão à Rede (NAC)
Italo BritoSystems Engineeribrito@cisco.com CCIE #16321
Routing/Switching
2
Agenda
• Introdução
• Operação do 802.1x
• 802.1x não se limita a autenticação
• Network Admission Control (NAC)
• Conclusão
3
Introdução
4
Identidade
5
Alguns conceitos importantes sobre Identidade
• Arquitetura AAA – Autenticação, Autorização e “Accounting”
• O processo de autenticação é usado para verificar uma identidade alegada.
• Um sistema de autenticação é tão forte quanto o método de verificação utilizado.
• Uma identidade só é útil como um “ponteiro”para uma política aplicável ao usuário e para “accounting” dos serviços utilizados.
• Autorização é o conceito de associar diferentes serviços aos usuários após a autenticação destes.
• Se todos os usuários tiverem os mesmos direitos então não precisaremos de autorização.
Você DEVE
ter no mínimo a altura “H” para
entrar
H
6
Identidade em todas as camadas?
• Camada Física— cadeados , crachá baseado em RFID
• Camada de Enlace — Arquitetura IEEE 802.1x
• Camada de Rede — “gateways”, “extended authentication” (x-auth), firewalls, método “lock and key” em roteadores
• Camada de Sessão —SSL, TLS
• Camada de Aplicação — Windows networking, Kerberos
Física
Enlace
Rede
Sessão
Aplicação
Gateways, X-Auth, Firewalls, Lock and Key
Cadeados, Crachá RFID
802.1x
SSL, TLS
Windows Networking (SMB), Kerberos
7
Pausa para Reflexão : Por que ter Segurança já no nível 2 ?
Quando falamos em Segurança de Redes normalmente fazemos uma associação imediata com a Internet, o que, por sua vez, nos remete a “IP” e, conseqüentemente, à camada 3 do modelo OSI.
APLICAÇÃO
APRESENTAÇÃO
SESSÃO
TRANSPORTE
REDE
ENLACE
FÍSICO
Devemos lembrar, no entanto, que uma corrente é tão forte quanto o seu elo mais fraco. Pensando justamente no modelo OSI, fica fácil perceber que se conseguirmos comprometer a Segurança no nível 2, os outros níveis naturalmente serão afetados.
!
7
6
5
4
3
2
1
8
802.1x : Visão simplificada
√Credenciais Válidas
Credenciais Inválidas
(ou Ausentes)
X
RedeCorporativa
Acesso negado
Usuário autorizado
Usuário externo não autorizado
Recursos Corporativos
Verificação de Identidade
Switch
* IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x
9
O risco de não se ter Controle de Admissão
“Oi.”
Alice: “Oi.”
Chuck: “Oi. Sou do departamento de Vendas.”
Bob: “Oi. Sou um administrador.”
Permitido
Permitido Permitido
Permitido
Chuck: “Estou usando uma versão sem “patch” do Windows 2000 . Estou conectado via Gigabit Ethernet à Rede e minha máquina está carregada com o “worm de jour” (e este é bem interessante...) Boa sorte a todos !”
10
Network Admission Control – Visão Geral
Política de Admissão à Rede:IdentidadeWindows XP“Service Pack” 2CTA 2.0Anti-Vírus“Patch Management”
Chuck: Departamento de vendasWindows 2000Sem “Service Pack”Sem Anti-VírusSem “Patch Management”
Serviço de Remediação
Quarentena
Servidores de Verificação de
Status
Serviço de Diretório
11
Operação do Sistema IBNS + NAC
1. Quem é você ? 802.1x e servidor de controle de acesso autenticam o usuário.
2. Sua estação está adequada ? Usando Network Admission Control, a Rede e a máquina do usuário verificam se esta tem, por exemplo, a versão correta do AV e outras ferramentas de proteção.
3. Onde você pode ir? Baseado em autorização, o usuário é colocado na VLAN e grupo pertinentes.
4. Que nível de serviço você vai receber ? O usuário pode ser colocado em uma VPN
protegida por Firewall ou receber um determinado valor de QoS.
5. O que você está fazendo? Usando a identidade do usuário, podem-se gerenciar mais facilmente as
funções de “accounting” e localização.
12
Operação do 802.1X
13
Extensible Authentication Protocol (EAP)
• É um protocolo de transporte flexível usado para carregar informações arbitrárias de autenticação— o EAP não é o método de autenticação em si.
• O EAP provê um “framework” flexível para Segurança na camada de enlace
Protocolo de encapsulamento simples
Não depende do IP
Poucos requisitos em relação à camada de Enlace
Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.)
Pode funcionar em meios com perdas
Originalmente especificado na RFC 2284, a qual se tornou obsoleta após a publicação da RFC 3748
14
O que o EAP faz ?
• Transporta informação de autenticação sob a forma de “payloads” EAP
• Estabelece e gerencia a conexão; encapsula vários tipos de mensagens de autenticação.
• Métodos EAP mais utilizados : EAP-TLS: usa certificados digitais x.509 v3 PKI e o mecanismo TLS para autenticação. (Certificados tanto no cliente como no servidor)
PEAP: Protected EAP tunnel mode EAP encapsulator; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada.
EAP-FAST: projetado para não depender de certificados ; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada.
802.1x HeaderEthernet Header
RADIUS
IP Header
EAP PayloadUDP
EAP Payload
Conversação EAP Resultante
Switchcliente
Servidor RADIUS
18
Uncontrolled port provides a path for extensible authentication protocol over LAN (EAPOL) and CDP traffic only
Segurança Implícita do 802.1x
O canal não controlado provê o caminho para transporte exclusivo do protocolo EAPOL (EAP over LAN)
Para cada porta física habilitada para 802.1x, o switch cria
dois canais virtuais de comunicação
O canal controlado só é aberto após a autorização da porta via 802.1x
Controlled
UncontrolledEAPOL EAPOLSwitch
20
Modelo 802.1x para controle de acesso por porta
Request for Service(Connectivity)
Backend AuthenticationSupport
Identity StoreIntegration
Authenticator• LAN Switch• WLAN Access Point
Identity Store/Management• Microsoft AD• LDAP• NDS• ODBC
Authentication Server• Microsoft IAS • ACS (Access Control Server)• Any IETF RADIUS server
Supplicant• Desktop/laptop• IP phone• WLAN Access Point• LAN Switch
IP NetworkL2 Access
26
802.1x não se limita a autenticação
28
802.1x Accounting : Auditoria e Localização (1)
29
802.1x Accounting : Auditoria e Localização (2)
30
802.1x com associação dinâmica de VLAN
• [64] Tunnel-type—“VLAN” (13)
• [65] Tunnel-medium-type—“802” (6)
• [81] Tunnel-private-group-ID—<VLAN name>
Marketing = VLAN 10
Attribute Value Pairs Usados—conforme padrão IETF
Engenharia = VLAN 20Grupo 1
Grupo 2
VLAN 10
VLAN 20
Política de Autorização
Servidor RADIUS
Associação de VLAN por grupo de usuários
31
802.1x com VLAN de visitante (“Guest VLAN”)
• “Timeout” padrão é de 30 segundos e 3 tentativas; “Timeout” total é de 90 segundos (valor padrão)
• Um cliente é colocado na VLAN de visitante por não responder aos frames EAPOL-Identity-Request enviados pelo switch (que podem ser vistos como “hellos” 802.1x)
• Inexistência ou não habilitação do suplicante
• Não há comunicação com o servidor RADIUS (decisão sobre a VLAN de visitante é local ao switch)
• Estações aptas a falar 802.1x e que podem responder ao switch via EAPOL, por definição, não podem ser direcionadas para a VLAN de visitante
Guest
32
Integração de 802.1x com “Wake on LAN”
Supplicant 802.1x Process1
√
2√
3
4 PC Must 802.1x Authenticate
• Tráfego de saída de uma porta (Rede ->> Cliente) é permitido
• Tráfego de entrada de uma porta continua sendo bloqueado enquanto o usuário não tiver sido autorizado.
• Sendo detectado tráfego na Rede, a porta volta para o estado normal e a estação tem que se autenticar.
WoL Frame Transmitted
PC Can Wakeup
PC Sends Traffic
33
802.1X : Reautenticação periódica
Portas que suportam 802.1x podem ser configuradas para exigir reautenticação periodicamente
Switch LAN(suporta 802.1x)
12
6
39
Switch LAN
(suporta 802.1x)
12
6
39Algumas máquinas foram autenticadas e estão utilizando a Rede
Período de reautenticação expira e todos os clientes são forçados a se reautenticar.
40
Network Admission Control
42
NAC proporciona maior Segurança
Qual é a melhor maneira de verificar/corrigir?
Pre-Configured ChecksCustomized ChecksSelf-Remediation or Auto-RemediationThird-Party Software
Windows, Mac, Linux ?Laptop, Desktop, PDA ?Impressora ? Telefone IP ? ... ?
Qual é o sistema?
EmpresaEmpregadoTerceirizadoVisitanteDesconhecido
A quem ele pertence?
VPNLANWLANWAN
Qual é o meio de acesso?
Anti-Virus, Anti-SpywarePersonal FirewallFerramentas de Patching
Quais são os softwares instalados?Eles estão habilitados?
43
Operação 802.1x e NAC
• Autenticação via 802.1x
• Um único túnel, múltiplas transações.
Validação de Identidade
Validação do “Status” (Verificação da adequação da Máquina aos requisitos mínimos da Política de Admissão à Rede)
• Aplicação de Políticas de Grupo (autorização)
RADIUS
Identidade + Status da MáquinaL2 (802.1x)
Cliente
Switch
Servidor RADIUS
45
Possíveis estados NAC (Status da Máquina)
• Healthy — a estação está de acordo com as políticas; sem restrições no acesso à Rede
• Checkup — a estação está de acordo com as políticas, porém existe uma atualização disponível; usado para remediar uma estação para o status “healthy” de uma maneira pró-ativa
• Transition — a verificação do status da estação está em andamento; a estação tem um acesso temporário até que seja feita a verificação do completa da estação; utilizado quanto a estação está sendo inicializada e todos os serviços ainda não foram iniciados e/ou os resultados de auditoria ainda não estão disponíveis
• Quarantine — a estação não está adequada; o acesso é restrito a uma rede de quarentena para que a estação seja remediada; a estação não é considerada uma ameaça mas é vulnerável a um ataque conhecido ou uma infecção
• Infected — a estação é uma ameaça aos outros dispositivos de rede; o acesso à Rede deve ser limitado ou totalmente negado
• Unknown — a status da estação não pode ser determinado; a estação pode ser colocada em quarentena até que possa ser identificado seu o status
53
Elementos definidores de uma solução NAC
IDENTIFICAR DEIDENTIFICAR DEFORMA SEGURAFORMA SEGURA A ESTAÇÃO E OA ESTAÇÃO E O
USUARIOUSUARIO
O QUESIGNIFICA…
SEM ISSO . . .
Identificar estações e usuários e criar associações entre eles
Crítico para associar as estações e os usuários às suas respectivas políticas. Previne “device spoofing”.
GERÊNCIA GERÊNCIA E E
CONFIGURAÇÃOCONFIGURAÇÃO
Políticas que são muito complexas ou muito difíceis de criar podem inviabilizar o projeto.
Criação de políticas granulares para mapear rapidamente grupos de usuários às suas políticas
QUARENTENA QUARENTENA E E
REMEDIAÇÃOREMEDIAÇÃO
Somente saber que uma estação não está adequada não é suficiente. Deve haver um responsável pela readequação .
Atua com base nos resultados da verificação do status da estação, isolando e remediando para que ela venha a ser considerada adequada.
GARANTIR UMA GARANTIR UMA POLÍTICA POLÍTICA
CONSISTENTECONSISTENTE
Um mecanismo de política descentralizada(ex: baseado na estação) pode levar a problemas de Segurança.
Verifica e reforça uma única política consistente em toda a rede
Uma solução NAC completa deve ter todas as quatro características. A ausência de uma das quatro
características limita significativamente a solução.
54
Cuidado com os “agentes inteligentes”...
Algumas implementações prometem “agentes inteligentes”
O suposto “Agente Inteligente” se traduz em : Ponto Único de falha
Propagação automática de worms: com um “agente inteligente”, um worm só precisa fazer uma coisa certa:
SHUT DOWN AGENT = NO MORE NAC
Numa implementação NAC o agente deve ser intencionalmente “burro” – verificar o que foi perguntado pelo ponto de acesso à Rede e gerar uma resposta pertinente.
Quando o “Agente Inteligente” é Neutralizado, o NAC falha
55
Avaliando supostas implementações de NAC
Atende as características da definição de NAC?
Suporte a Políticas?
Agente Inteligente ou Burro?
Aplicações (LAN,WAN, VPN,WLAN)?
Perímetro ou Gateway?
56
Padronização do NAC
• A Cisco está participando do processo de padronização do NAC
• Os drafts EAP-FAST (NAC-L2) e EAPoUDP (NAC-L3) estão publicados no IETF
• Cisco participou na reunião “Network Endpoint Assessment” (NEA) realizado no IETF em 2006
• Lista de discussão nea@ietf.org
• Mais informações :
www.cisco.com/go/nac
www.cisco.com/go/ibns
57
Conclusão
58*2005 FBI/CSI Report
Necessidade de Network Admission Control
• Vírus, worms, spyware, etc., continuam a ser um grande desafio no dia-a-dia das Empresas.* Virus são só um sintoma do problema maior : aplicativos complexos com inúmeras falhas de Segurança.
• Ameaças novas (principalmente baseadas em worms) tornam as soluções puramente reativas muito pouco eficazes.
• Apesar de a maioria dos usuários serem autenticados, não se verifica a adequação dos computadores deles (laptops, PCs, PDAs, etc.) à Política de Segurança
• É comum haver servidores e estações não adequados à Política de Segurança. É difícil detectá-los e contê-los.
• Produtos pontuais de Segurança (sem visão de Sistema e Política) não são muito efetivos em manter a disponibilidade da Rede
• Localizar, isolar e fazer “patching” de sistemas inefctados consome tempo e recursos.
“Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” Burton Group
59
Em que abordagem você confia ?
Segurança como uma opção
Segurança como um aditivo
Integração extremamente complicada
Não é economicamente viável
Não pode focar na principal prioridade
Segurança como parte do sistema
Segurança Embutida na Rede
Colaboração inteligente entre os elementos
Visão de sistemas
Foco direto na principal prioridade
60
Obrigado !!!
61
Q and A
62
Demos
• NAC DEMO
63
Backup Slides
64
The Lingering Effect of Non-Compliant EndpointsExample: “Blaster”
• Fast spreading—128,000 systems infected in first three hours
• Worms linger on—need to put out ‘brush fires’
• CERT data on Blaster—two plus weeks of damage
Unique IP Addresses
Number of SystemsInfected by Blaster
August 2003
140,000
120,000
100,000
80,000
60,000
40,000
20,000
02726252423222120191817161514131211109
Aug. 11th 127,965
65
NAC Benefits
Dramatically Improves Security• Ensures endpoints (laptops, PCs, PDAs, servers, etc.)
conform to security policy
• Proactively protects against worms, viruses, spyware, and malware
• Focuses operations on prevention, not reaction
Extends Existing Investments• Broad integration with multi-vendor antivirus, security, and
management software
• Enhances investment in network infrastructure and vendor software
Increases Enterprise Resilience• Comprehensive admission control across all access
methods (LAN, WAN, wireless, VPN, etc.)
• Prevents noncompliant and rogue endpoints from impacting network availability
• Reduces OpEx related to identifying and repairing non-compliant, rogue, and infected systems
Recommended